Évaluation d’Exploit Protection
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Vous voulez découvrir Microsoft Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Exploit Protection permet de protéger les appareils contre les programmes malveillants qui utilisent des attaques pour propager et infecter d’autres appareils. L’atténuation peut être appliquée au système d’exploitation ou à une application individuelle. La plupart des fonctionnalités qui faisaient partie de l’EMET (Enhanced Mitigation Experience Toolkit) sont incluses dans Exploit Protection. (L’EMET a atteint sa fin du support.)
Dans l’audit, vous pouvez voir le fonctionnement de l’atténuation pour certaines applications dans un environnement de test. Cela montre ce qui se passerait si vous activez exploit protection dans votre environnement de production. De cette façon, vous pouvez vérifier que Exploit Protection n’affecte pas vos applications métier et voir quels événements suspects ou malveillants se produisent.
Instructions génériques
Les atténuations exploit protection fonctionnent à un niveau bas dans le système d’exploitation, et certains types de logiciels qui effectuent des opérations de bas niveau similaires peuvent rencontrer des problèmes de compatibilité lorsqu’ils sont configurés pour être protégés à l’aide d’exploit protection.
Quels types de logiciels ne doivent pas être protégés par exploit protection ?
- Logiciel anti-programme malveillant et de prévention ou de détection des intrusions
- Débogueurs
- Logiciels qui gèrent les technologies de gestion des droits numériques (DRM) (autrement dit, les jeux vidéo)
- Logiciels qui utilisent des technologies d’anti-débogage, d’obfuscation ou de raccordement
Quel type d’application devez-vous envisager d’activer exploit protection ?
Applications qui reçoivent ou gèrent des données non approuvées.
Quel type de processus n’entre pas dans le cadre de la protection contre les attaques ?
Services
- Services système
- Services réseau
Atténuations d’Exploit Protection activées par défaut
| Limitation des risques | Activé par défaut |
|---|---|
| Prévention de l’exécution des données (PED) | Applications 64 bits et 32 bits |
| Valider les chaînes d’exception (SEHOP) | Applications 64 bits |
| Valider l’intégrité du segment de mémoire | Applications 64 bits et 32 bits |
Atténuations « Paramètres du programme » déconseillées
| Atténuations des « paramètres du programme » | Reason |
|---|---|
| Exporter le filtrage d’adresses (EAF) | Problèmes de compatibilité des applications |
| Importer le filtrage d’adresses (IAF) | Problèmes de compatibilité des applications |
| Simuler l’exécution (SimExec) | Remplacé par Arbitraire Code Guard (ACG) |
| Valider l’invocation de l’API (CallerCheck) | Remplacé par Arbitraire Code Guard (ACG) |
| Valider l’intégrité de la pile (StackPivot) | Remplacé par Arbitraire Code Guard (ACG) |
Bonnes pratiques pour les applications Office
Au lieu d’utiliser Exploit Protection pour les applications Office telles qu’Outlook, Word, Excel, PowerPoint et OneNote, envisagez d’utiliser une approche plus moderne pour empêcher leur utilisation : règles de réduction de la surface d’attaque (règles ASR) :
- Bloquer le contenu exécutable du client de messagerie et de la messagerie web
- Empêcher les applications Office de créer du contenu exécutable
- Empêcher toutes les applications Office de créer des processus enfants
- Empêcher l’application de communication Office de créer des processus enfants
- Empêcher les applications Office d’injecter du code dans d’autres processus
- Bloquer l’exécution de scripts potentiellement obfusqués
- Bloquer les appels d’API Win32 à partir de macros Office
Pour Adobe Reader, utilisez la règle ASR suivante :
• Empêcher Adobe Reader de créer des processus enfants
Liste de compatibilité des applications
Le tableau suivant répertorie les produits spécifiques qui présentent des problèmes de compatibilité avec les atténuations incluses dans exploit Protection. Vous devez désactiver les atténuations incompatibles spécifiques si vous souhaitez protéger le produit à l’aide d’exploit protection. N’oubliez pas que cette liste prend en compte les paramètres par défaut pour les dernières versions du produit. Des problèmes de compatibilité peuvent survenir lorsque vous appliquez certains compléments ou d’autres composants au logiciel standard.
| Product | Atténuation de la protection contre les attaques |
|---|---|
| .NET 2.0/3.5 | EAF/IAF |
| console 7-Zip/GUI/Gestionnaire de fichiers | EAF |
| Processeurs AMD 62xx | EAF |
| Avecto (Beyond Trust) Power Broker | EAF, EAF+, Stack Pivot |
| Certains pilotes vidéo AMD (ATI) | Système ASLR=AlwaysOn |
| DropBox | EAF |
| Excel Power Query, Power View, Power Map et PowerPivot | EAF |
| Google Chrome | EAF+ |
| Immidio Flex+ | EAF |
| Microsoft Office Web Components (OWC) | System DEP=AlwaysOn |
| Microsoft PowerPoint | EAF |
| Microsoft Teams | EAF+ |
| Oracle Javaǂ | Heapspray |
| Pitney Bowes Print Audit 6 | SimExecFlow |
| Siebel CRM version 8.1.1.9 | SEHOP |
| Skype | EAF |
| SolarWinds Syslogd Manager | EAF |
| Lecteur Windows Media | ObligatoireASLR, EAF |
ǂ les atténuations EMET peuvent être incompatibles avec Oracle Java lorsqu’elles sont exécutées à l’aide de paramètres qui réservent une grande partie de la mémoire pour la machine virtuelle (autrement dit, à l’aide de l’option -Xms).
Activer les paramètres système exploit protection pour les tests
Ces paramètres système Exploit Protection sont activés par défaut, à l’exception de la randomisation de disposition de l’espace d’adressage obligatoire (ASLR) sur Windows 10 et versions ultérieures, Windows Server 2019 et versions ultérieures, et sur Windows Server version 1803 core edition et versions ultérieures.
| Paramètres système | Setting |
|---|---|
| Protection du flux de contrôle (CFG) | Utiliser la valeur par défaut (Activé) |
| Prévention de l’exécution des données (PED) | Utiliser la valeur par défaut (Activé) |
| Forcer la randomisation pour les images (liste asrl obligatoire) | Utiliser la valeur par défaut (Désactivé) |
| Random memory allocations (Bottom-up ASRL) | Utiliser la valeur par défaut (Activé) |
| ASRL haute entropie | Utiliser la valeur par défaut (Activé) |
| Valider les chaînes d’exception (SEHOP) | Utiliser la valeur par défaut (Activé) |
L’exemple xml est disponible ci-dessous
<?xml version="1.0" encoding="UTF-8"?>
<MitigationPolicy>
<SystemConfig>
<DEP Enable="true" EmulateAtlThunks="false" />
<ASLR ForceRelocateImages="false" RequireInfo="false" BottomUp="true" HighEntropy="true" />
<ControlFlowGuard Enable="true" SuppressExports="false" />
<SEHOP Enable="true" TelemetryOnly="false" />
<Heap TerminateOnError="true" />
</SystemConfig>
</MitigationPolicy>
Activer les paramètres du programme Exploit Protection pour les tests
Conseil
Nous vous recommandons vivement de passer en revue l’approche moderne pour l’atténuation des vulnérabilités, qui consiste à utiliser des règles de réduction de la surface d’attaque (règles ASR).
Vous pouvez définir des atténuations dans un mode de test pour des programmes spécifiques à l’aide de l’application Sécurité Windows ou Windows PowerShell.
Ouvrez l’application Sécurité Windows.
Ouvrez l’application Sécurité Windows. Sélectionnez l’icône de bouclier dans la barre des tâches ou recherchez Windows Security dans le menu Démarrer.
Sélectionnez la vignette Contrôle Applications et navigateur (ou l’icône de l’application dans la barre de menus de gauche), puis sélectionnez Exploit Protection.
Accédez aux paramètres du programme et choisissez l’application à laquelle vous souhaitez appliquer la protection :
Si l’application que vous souhaitez configurer est déjà répertoriée, sélectionnez-la, puis sélectionnez Modifier.
Si l’application n’est pas répertoriée en haut de la liste, sélectionnez Ajouter un programme à personnaliser. Ensuite, choisissez la façon dont vous souhaitez ajouter l’application.
- Utilisez Ajouter par nom de programme pour appliquer l’atténuation à tout processus en cours d’exécution portant ce nom. Spécifiez un fichier avec une extension. Vous pouvez entrer un chemin d’accès complet pour limiter l’atténuation uniquement à l’application portant ce nom à cet emplacement.
- Utilisez Choisir le chemin exact du fichier pour utiliser une fenêtre standard de sélecteur de fichiers Explorateur Windows pour rechercher et sélectionner le fichier souhaité.
Après avoir sélectionné l’application, vous verrez une liste de toutes les atténuations qui peuvent être appliquées. Choisir Audit applique l’atténuation en mode test uniquement. Vous êtes averti si vous devez redémarrer le processus, l’application ou Windows.
Répétez cette procédure pour toutes les applications et atténuations que vous souhaitez configurer. Sélectionnez Appliquer lorsque vous avez terminé de paramétrer votre configuration.
PowerShell
Pour définir les atténuations au niveau de l’application en mode test, utilisez Set-ProcessMitigation avec l’applet de commande Mode Audit .
Configurez chaque atténuation au format suivant :
Set-ProcessMitigation -<scope> <app executable> -<action> <mitigation or options>,<mitigation or options>,<mitigation or options>
Où :
-
<Étendue> :
-
-Namepour indiquer que les atténuations doivent être appliquées à une application spécifique. Spécifiez l’exécutable de l’application après cet indicateur.
-
-
<Action> :
-
-Enablepour activer l’atténuation-
-Disablede désactiver l’atténuation
-
-
-
<Atténuation :>
- Cmdlet de l’atténuation telle que définie dans le tableau suivant. Chaque atténuation est séparée par une virgule.
| Atténuation | Applet de commande du mode test |
|---|---|
| Arbitrary Code Guard (ACG) | AuditDynamicCode |
| Bloquer les images de faible intégrité | AuditImageLoad |
| Bloquer les polices non approuvées |
AuditFont, FontAuditOnly |
| Protection de l’intégrité du code |
AuditMicrosoftSigned, AuditStoreSigned |
| Désactiver les appels système Win32k | AuditSystemCall |
| Ne pas autoriser le blocage des processus enfants | AuditChildProcess |
Par exemple, pour activer la protection de code arbitraire (ACG) en mode test pour une application nommée testing.exe, exécutez la commande suivante :
Set-ProcessMitigation -Name c:\apps\lob\tests\testing.exe -Enable AuditDynamicCode
Vous pouvez désactiver le mode audit en remplaçant -Enable par -Disable.
Examiner les événements d’audit Exploit Protection
Pour examiner les applications qui seraient bloquées, ouvrez observateur d'événements et filtrez les événements suivants dans le journal Security-Mitigations.
| Fonctionnalité | Fournisseur/source | ID d’événement | Description |
|---|---|---|---|
| Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 1 | Audit ACG |
| Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 3 | Ne pas autoriser l’audit des processus enfants |
| Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 5 | Bloquer l’audit des images à faible intégrité |
| Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 7 | Bloquer l’audit des images distantes |
| Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 9 | Désactiver l’audit des appels système win32k |
| Exploit Protection | Atténuations de sécurité (mode noyau/mode utilisateur) | 11 | Audit de la protection d’intégrité du code |
Voir aussi
- Activer la protection la protection contre les codes malveillants exploitant une faille de sécurité
- Configurer et auditer les atténuations de la protection contre le code malveillant exploitant une faille de sécurité
- Importer, exporter et déployer des configurations de protection contre les codes malveillants exploitant une faille de sécurité
- Résolution des problèmes de la protection contre le code malveillant exploitant une faille de sécurité
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.