Évaluation d’Exploit Protection
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Exploit Protection permet de protéger les appareils contre les programmes malveillants qui utilisent des attaques pour propager et infecter d’autres appareils. L’atténuation peut être appliquée au système d’exploitation ou à une application individuelle. La plupart des fonctionnalités qui faisaient partie de l’EMET (Enhanced Mitigation Experience Toolkit) sont incluses dans Exploit Protection. (L’EMET a atteint sa fin du support.)
Dans l’audit, vous pouvez voir le fonctionnement de l’atténuation pour certaines applications dans un environnement de test. Cela montre ce qui se serait passé si vous activiez Exploit Protection dans votre environnement de production. De cette façon, vous pouvez vérifier que Exploit Protection n’affecte pas vos applications métier et voir quels événements suspects ou malveillants se produisent.
Activer Exploit Protection pour les tests
Vous pouvez définir des atténuations dans un mode de test pour des programmes spécifiques à l’aide de l’application Sécurité Windows ou Windows PowerShell.
Ouvrez l’application Sécurité Windows.
Ouvrez l’application Sécurité Windows. Sélectionnez l’icône de bouclier dans la barre des tâches ou recherchez Windows Security dans le menu Démarrer.
Sélectionnez la vignette Contrôle Applications et navigateur (ou l’icône de l’application dans la barre de menus de gauche), puis sélectionnez Exploit Protection.
Accédez aux paramètres du programme et choisissez l’application à laquelle vous souhaitez appliquer la protection :
- Si l’application que vous souhaitez configurer est déjà répertoriée, sélectionnez-la, puis sélectionnez Modifier
- Si l’application n’est pas répertoriée en haut de la liste, sélectionnez Ajouter un programme à personnaliser. Ensuite, choisissez la façon dont vous souhaitez ajouter l’application.
- Utilisez Ajouter par nom de programme pour appliquer l’atténuation à tout processus en cours d’exécution portant ce nom. Spécifiez un fichier avec une extension. Vous pouvez entrer un chemin d’accès complet pour limiter l’atténuation uniquement à l’application portant ce nom à cet emplacement.
- Utilisez Choisir le chemin exact du fichier pour utiliser une fenêtre standard de sélecteur de fichiers Explorateur Windows pour rechercher et sélectionner le fichier souhaité.
Après avoir sélectionné l’application, vous verrez une liste de toutes les atténuations qui peuvent être appliquées. Le choix de l’option Audit applique l’atténuation en mode test uniquement. Vous serez averti si vous devez redémarrer le processus, l’application ou Windows.
Répétez cette procédure pour toutes les applications et atténuations que vous souhaitez configurer. Sélectionnez Appliquer lorsque vous avez terminé de paramétrer votre configuration.
PowerShell
Pour définir les atténuations au niveau de l’application en mode test, utilisez Set-ProcessMitigation avec l’applet de commande Mode Audit .
Configurez chaque atténuation au format suivant :
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Où :
-
<Étendue> :
-
-Namepour indiquer que les atténuations doivent être appliquées à une application spécifique. Spécifiez l’exécutable de l’application après cet indicateur.
-
-
<Action> :
-
-Enablepour activer l’atténuation-
-Disablede désactiver l’atténuation
-
-
-
<Atténuation :>
- Cmdlet de l’atténuation telle que définie dans le tableau suivant. Chaque atténuation est séparée par une virgule.
| Atténuation | Applet de commande du mode test |
|---|---|
| Arbitrary Code Guard (ACG) | AuditDynamicCode |
| Bloquer les images de faible intégrité | AuditImageLoad |
| Bloquer les polices non approuvées |
AuditFont, FontAuditOnly |
| Protection de l’intégrité du code |
AuditMicrosoftSigned, AuditStoreSigned |
| Désactiver les appels système Win32k | AuditSystemCall |
| Ne pas autoriser le blocage des processus enfants | AuditChildProcess |
Par exemple, pour activer la protection de code arbitraire (ACG) en mode test pour une application nommée testing.exe, exécutez la commande suivante :
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Vous pouvez désactiver le mode audit en remplaçant -Enable par -Disable.
Examiner les événements d’audit Exploit Protection
Pour vérifier quelles applications auraient été bloquées, ouvrez observateur d'événements et filtrez les événements suivants dans le journal Security-Mitigations.
| Fonctionnalité | Fournisseur/source | ID d’événement | Description |
|---|---|---|---|
| Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 1 | Audit ACG |
| Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 3 | Ne pas autoriser l’audit des processus enfants |
| Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 5 | Bloquer l’audit des images à faible intégrité |
| Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 7 | Bloquer l’audit des images distantes |
| Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 9 | Désactiver l’audit des appels système win32k |
| Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 11 | Audit de la protection d’intégrité du code |
Voir aussi
- Activer la protection la protection contre les codes malveillants exploitant une faille de sécurité
- Configurer et auditer les atténuations de la protection contre le code malveillant exploitant une faille de sécurité
- Importer, exporter et déployer des configurations de protection contre les codes malveillants exploitant une faille de sécurité
- Résolution des problèmes de la protection contre le code malveillant exploitant une faille de sécurité
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.