Partager via


Démonstrations des règles de réduction de la surface d’attaque

S’applique à :

Les règles de réduction de la surface d’attaque ciblent des comportements spécifiques qui sont généralement utilisés par les logiciels malveillants et les applications malveillantes pour infecter des machines, comme :

  • Fichiers exécutables et scripts utilisés dans les applications Office ou la messagerie web qui tentent de télécharger ou d’exécuter des fichiers
  • Scripts obfusqués ou suspects
  • Comportements que les applications effectuent et qui ne sont pas initiés pendant le travail quotidien normal

Configuration requise et configuration du scénario

Commandes PowerShell

Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions AuditMode
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions AuditMode

États de règle

État Mode Valeur numérique
Désactivé = Désactivé 0
Activé = Mode bloc 1
Audit = Mode d’audit 2

Vérifier la configuration


Get-MpPreference

Fichiers de test

Remarque : certains fichiers de test ont plusieurs attaques incorporées et déclenchent plusieurs règles

Nom de la règle GUID de règle
Bloquer le contenu exécutable du client de messagerie et de la messagerie web BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550
Empêcher les applications Office de créer des processus enfants D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Empêcher les applications Office de créer du contenu exécutable 3B576869-A4EC-4529-8536-B80A7769E899
Empêcher les applications Office de s’injecter dans d’autres processus 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84
Empêcher JavaScript et VBScript de lancer des exécutables D3E037E1-3EB8-44C8-A917-57927947596D
Bloquer l’exécution de scripts potentiellement obfusqués 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
Bloquer les importations Win32 à partir du code macro dans Office 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B
{Bloquer les créations de processus provenant de PSExec & commandes WMI D1E49AAC-8F56-4280-B9BA-993A6D77406C
Bloquer l’exécution d’exécutables non approuvés ou non signés à l’intérieur d’un support USB amovible B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4
Prévention agressive contre les ransomwares C1DB55AB-C21A-4637-BB3F-A12568109D35
Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à des critères de prévalence, d’âge ou de liste de confiance 01443614-CD74-433A-B99E-2ECDC07BFC25
Empêcher Adobe Reader de créer des processus enfants 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
Bloquer les abus de conducteurs vulnérables exploités signés 56a863a9-875e-4185-98a7-b882c64b5ce5
Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
Bloquer la persistance via un abonnement aux événements WMI e6db77e5-3df2-4cf1-b95a-636979351e5b
Bloquer la création de webshell pour les serveurs a8f5898e-1dc8-49a9-9878-85004b8a61e6

Scénarios

Configuration

Téléchargez et exécutez ce script d’installation. Avant d’exécuter la stratégie d’exécution du jeu de scripts sur Non restreint à l’aide de cette commande PowerShell :

Set-ExecutionPolicy Unrestricted

Vous pouvez effectuer ces étapes manuelles à la place :

  1. Create un dossier sous c : named demo, « c :\demo »
  2. Enregistrez ce fichier propre dans c :\demo.
  3. Activez toutes les règles à l’aide de la commande PowerShell.

Scénario 1 : La réduction de la surface d’attaque bloque un fichier de test avec plusieurs vulnérabilités

  1. Activer toutes les règles en mode bloc à l’aide des commandes PowerShell (vous pouvez copier coller tout)
  2. Téléchargez et ouvrez l’un des fichiers/documents de test, puis activez la modification et le contenu, si vous y êtes invité.

Résultats attendus du scénario 1

Vous devez immédiatement voir une notification « Action bloquée ».

Scénario 2 : la règle ASR bloque le fichier de test avec la vulnérabilité correspondante

  1. Configurez la règle que vous souhaitez tester à l’aide de la commande PowerShell de l’étape précédente.

    Exemple : Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled

  2. Téléchargez et ouvrez le fichier/document de test pour la règle que vous souhaitez tester, puis activez la modification et le contenu, si vous y êtes invité.

    Exemple : Empêcher les applications Office de créer des processus enfants D4F940AB-401B-4EFC-AADC-AD5F3C50688A

Résultats attendus du scénario 2

Vous devez immédiatement voir une notification « Action bloquée ».

Scénario 3 (Windows 10 ou version ultérieure) : la règle ASR empêche l’exécution du contenu USB non signé

  1. Configurez la règle pour la protection USB (B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4).
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Enabled
  1. Téléchargez le fichier et placez-le sur une clé USB et exécutez-le Bloquer l’exécution d’exécutables non approuvés ou non signés à l’intérieur d’un support USB amovible

Résultats attendus du scénario 3

Vous devez immédiatement voir une notification « Action bloquée ».

Scénario 4 : Que se passerait-il sans réduction de la surface d’attaque

  1. Désactivez toutes les règles de réduction de la surface d’attaque à l’aide des commandes PowerShell dans la section nettoyage.

  2. Téléchargez n’importe quel fichier/document de test et activez la modification et le contenu, si vous y êtes invité.

Résultats attendus du scénario 4

  • Les fichiers dans c :\demo sont chiffrés et vous devez recevoir un message d’avertissement
  • Réexécuter le fichier de test pour déchiffrer les fichiers

Nettoyer

Télécharger et exécuter ce script de propre

Vous pouvez également effectuer ces étapes manuelles :

Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3F-A12568109D35 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E-2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49E8-8B27-EB1D0A1CE869 -AttackSurfaceReductionRules_Actions Disabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674BA52-37EB-4A4F-A9A1-F0F9A1619A2C -AttackSurfaceReductionRules_Actions Disabled

Nettoyer le chiffrement c :\demo en exécutant le fichier chiffre/déchiffrement

Voir aussi

Guide de déploiement des règles de réduction de la surface d’attaque

Informations de référence sur les règles de réduction de la surface d’attaque

Microsoft Defender pour point de terminaison - scénarios de démonstration

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.