Évaluer Microsoft Defender antivirus à l’aide de Microsoft Defender Gestion des paramètres de sécurité des points de terminaison (stratégies de sécurité des points de terminaison)
Dans Windows 10 ou version ultérieure, et dans Windows Server 2016 ou version ultérieure, vous pouvez utiliser les fonctionnalités de protection de nouvelle génération offertes par Microsoft Defender Antivirus (MDAV) et Microsoft Defender Exploit Guard (Microsoft Defender EG).
Cet article décrit les options de configuration dans Windows 10 ou version ultérieure, et dans Windows Server 2016 ou version ultérieure, qui vous guident pour activer et tester les principales fonctionnalités de protection dans MDAV et Microsoft Defender EG ; et vous fournit des conseils et des liens vers des informations supplémentaires.
Si vous avez des questions sur une détection que MDAV effectue, ou si vous découvrez une détection manquée, vous pouvez nous envoyer un fichier sur notre site d’aide sur l’exemple de soumission.
Utiliser Microsoft Defender Gestion des paramètres de sécurité des points de terminaison (stratégies de sécurité des points de terminaison) pour activer les fonctionnalités
Cette section décrit les Microsoft Defender pour point de terminaison Gestion des paramètres de sécurité (stratégies de sécurité des points de terminaison) qui configurent les fonctionnalités que vous devez utiliser pour évaluer notre protection.
MDAV indique une détection par le biais de notifications Windows standard. Vous pouvez également passer en revue les détections dans l’application MDAV. Pour ce faire, consultez Passer en revue Microsoft Defender résultats de l’analyse antivirus.
Le journal des événements Windows enregistre également les événements de détection et de moteur. Consultez l’article événements antivirus Microsoft Defender pour obtenir la liste des ID d’événements et leurs actions correspondantes. Pour plus d’informations sur la liste des ID d’événements et leurs actions correspondantes, consultez Examiner les journaux des événements et les codes d’erreur pour résoudre les problèmes liés à Microsoft Defender Antivirus.
Pour configurer les options que vous devez utiliser pour tester les fonctionnalités de protection, procédez comme suit :
- Connectez-vous à Microsoft Defender XDR.
- Accédez à Gestion de la configuration des > points de terminaison Stratégies > de sécurité > des points de terminaison Stratégies > Windows Créer une stratégie.
- Sélectionnez Windows 10, Windows 11 et Windows Server dans la liste déroulante Sélectionner la plateforme.
- Sélectionnez Microsoft Defender Antivirus dans la liste déroulante Sélectionner un modèle.
- Sélectionnez Créer. La page Créer une stratégie s’affiche .
- Dans la page Informations de base , entrez un nom et une description pour le profil dans les champs Nom et Description , respectivement.
- Sélectionnez Suivant.
- Dans la page Paramètres de configuration , développez les groupes de paramètres.
- Dans ces groupes de paramètres, sélectionnez les paramètres que vous souhaitez gérer avec ce profil.
- Définissez les stratégies pour les groupes de paramètres choisis en configurant les paramètres comme décrit dans les tableaux suivants :
Protection en temps réel (protection always-on, analyse en temps réel) :
| Description | Paramètres |
|---|---|
| Autoriser la surveillance en temps réel | Autorisé |
| Direction de l’analyse en temps réel | Surveiller tous les fichiers (bidirectionnel) |
| Autoriser la surveillance du comportement | Autorisé |
| Autoriser sur la protection d’accès | Autorisé |
| PUA Protection | Protection puA activée |
Fonctionnalités de protection cloud :
| Description | Setting |
|---|---|
| Autoriser la protection cloud | Autorisé |
| Niveau de bloc cloud | Élevé |
| Délai d’expiration étendu du cloud | Configuré, 50 |
| Envoyer des exemples de consentement | Envoyer automatiquement tous les exemples |
Standard mises à jour du renseignement de sécurité peuvent prendre des heures à préparer et à fournir ; notre service de protection cloud peut fournir cette protection en quelques secondes. Pour plus d’informations, consultez Utiliser des technologies de nouvelle génération dans Microsoft Defender Antivirus via une protection fournie par le cloud.
Analyses :
| Description | Setting |
|---|---|
| Autoriser l’analyse Email | Autorisé |
| Autoriser l’analyse de tous les fichiers et pièces jointes téléchargés | Autorisé |
| Autoriser l’analyse des scripts | Autorisé |
| Autoriser l’analyse Archive | Autorisé |
| Autoriser l’analyse des fichiers réseau | Autorisé |
| Autoriser l’analyse complète des lecteurs amovibles | Autorisé |
Protection réseau :
| Description | Setting |
|---|---|
| Activer la protection réseau | Activé (mode bloc) |
| Autoriser le niveau inférieur de la protection réseau | La protection réseau sera activée au niveau inférieur. |
| Autoriser le traitement des datagrammes sur Win Server | Le traitement des datagrammes sur Windows Server est activé. |
| Désactiver l’analyse DNS sur TCP | L’analyse DNS sur TCP est activée. |
| Désactiver l’analyse HTTP | L’analyse HTTP est activée. |
| Désactiver l’analyse SSH | L’analyse SSH est activée. |
| Désactiver l’analyse TLS | L’analyse TLS est activée. |
| Activer le récepteur DNS | Le récepteur DNS est activé. |
Mises à jour de Security Intelligence :
| Description | Setting |
|---|---|
| Intervalle de mise à jour de la signature | Configuré, 4 |
Description : Paramètre de l’ordre de secours de mise à jour de signature : cochez la case De secours de mise à jour de signature
InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, où « InternalDefinitionUpdateServer » est WSUS avec Microsoft Defender mises à jour antivirus autorisées ; 'MicrosoftUpdateServer' = Microsoft Update (anciennement Windows Update) ; et MMPC = https://www.microsoft.com/en-us/wdsi/definitions.
Antivirus de l’administrateur local :
Désactivez les paramètres AV de l’administrateur local, tels que les exclusions, et définissez les stratégies de la gestion des paramètres de sécurité Microsoft Defender pour point de terminaison, comme décrit dans le tableau suivant :
| Description | Setting |
|---|---|
| Désactiver la fusion Administration locale | Désactiver la fusion Administration locale |
Action par défaut de gravité des menaces :
| Description | Setting |
|---|---|
| Action de correction pour les menaces de gravité élevée | Quarantaine |
| Action de correction pour les menaces graves | Quarantaine |
| Action de correction pour les menaces de faible gravité | Quarantaine |
| Action de correction pour les menaces de gravité modérée | Quarantaine |
| Description | Setting |
|---|---|
| Jours à conserver nettoyés | Configuré, 60 |
| Autoriser l’accès à l’interface utilisateur | Autorisé. Permettre aux utilisateurs d’accéder à l’interface utilisateur. |
- Quand vous avez terminé de configurer les paramètres, sélectionnez Suivant.
- Sous l’onglet Affectations , sélectionnez Groupe d’appareils ou Groupe d’utilisateurs ou Tous les appareils ou Tous les utilisateurs.
- Sélectionnez Suivant.
- Sous l’onglet Vérifier + créer , passez en revue vos paramètres de stratégie, puis sélectionnez Enregistrer.
Règles de réduction de la surface d’attaque
Pour activer les règles de réduction de la surface d’attaque (ASR) à l’aide des stratégies de sécurité de point de terminaison, procédez comme suit :
Connectez-vous à Microsoft Defender XDR.
Accédez à Gestion de la configuration des > points de terminaison Stratégies > de sécurité > des points de terminaison Stratégies > Windows Créer une stratégie.
Sélectionnez Windows 10, Windows 11 et Windows Server dans la liste déroulante Sélectionner la plateforme.
Sélectionnez Règles de réduction de la surface d’attaque dans la liste déroulante Sélectionner un modèle .
Sélectionnez Créer.
Dans la page Informations de base , entrez un nom et une description pour le profil. ensuite, choisissez Suivant.
Dans la page Paramètres de configuration , développez les groupes de paramètres et configurez les paramètres que vous souhaitez gérer avec ce profil.
Définissez les stratégies en fonction des paramètres recommandés suivants :
Description Setting Bloquer le contenu exécutable du client de messagerie et de la messagerie web Bloquer Empêcher Adobe Reader de créer des processus enfants Bloquer Bloquer l’exécution de scripts potentiellement obfusqués Bloquer Bloquer les abus de pilotes signés vulnérables exploités (appareil) Bloquer Bloquer les appels d’API Win32 à partir de macros Office Bloquer Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste de confiance Bloquer Empêcher l’application de communication Office de créer des processus enfants Bloquer Empêcher toutes les applications Office de créer des processus enfants Bloquer [PRÉVERSION] Bloquer l’utilisation des outils système copiés ou usurpés d’identité Bloquer Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé Bloquer Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows Bloquer Bloquer la création de webshell pour les serveurs Bloquer Empêcher les applications Office de créer du contenu exécutable Bloquer Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB Bloquer Empêcher les applications Office d’injecter du code dans d’autres processus Bloquer Bloquer la persistance via un abonnement aux événements WMI Bloquer Utiliser une protection avancée contre les rançongiciels Bloquer Bloquer les créations de processus provenant des commandes PSExec et WMI Bloquer
REMARQUE : Si vous avez Configuration Manager (anciennement SCCM) ou d’autres outils de gestion qui utilisent WMI, vous devrez peut-être définir cette option sur Audit au lieu de Bloquer.[PRÉVERSION] Bloquer le redémarrage de l’ordinateur en mode sans échec Bloquer Activer l’accès contrôlé aux dossiers Activé
Conseil
L’une des règles peut bloquer le comportement que vous trouvez acceptable dans votre organization. Dans ce cas, ajoutez les exclusions par règle nommées « Exclusions de réduction de la surface d’attaque uniquement ». Et modifiez la règle de Activé à Audit pour empêcher les blocs indésirables.
- Sélectionnez Suivant.
- Sous l’onglet Affectations , sélectionnez Groupe d’appareils ou Groupe d’utilisateurs ou Tous les appareils ou Tous les utilisateurs.
- Sélectionnez Suivant.
- Sous l’onglet Vérifier + créer , passez en revue vos paramètres de stratégie, puis sélectionnez Enregistrer.
Vérifier la version de mise à jour de la plateforme
La dernière version « Mise à jour de la plateforme » Canal de production (GA) est disponible dans le catalogue Microsoft Update.
Pour case activée la version « Mise à jour de la plateforme » que vous avez installée, exécutez la commande suivante dans PowerShell à l’aide des privilèges d’un administrateur :
Get-MPComputerStatus | Format-Table AMProductVersion
Vérifier la version de security Intelligence Update
La dernière version de « Security Intelligence Update » est disponible dans Dernières mises à jour de veille de sécurité pour Microsoft Defender Antivirus et d’autres logiciels anti-programme malveillant Microsoft - Renseignement de sécurité Microsoft.
Pour case activée la version « Security Intelligence Update » que vous avez installée, exécutez la commande suivante dans PowerShell à l’aide des privilèges d’un administrateur :
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
Vérifier la version de la mise à jour du moteur
La dernière version de l’analyse « mise à jour du moteur » est disponible dans Dernières mises à jour de veille de sécurité pour Microsoft Defender Antivirus et d’autres logiciels anti-programme malveillant Microsoft - Renseignement de sécurité Microsoft.
Pour case activée la version « Mise à jour du moteur » que vous avez installée, exécutez la commande suivante dans PowerShell à l’aide des privilèges d’un administrateur :
Get-MPComputerStatus | Format-Table AMEngineVersion
Si vous constatez que vos paramètres ne prennent pas effet, vous risquez d’avoir un conflit. Pour plus d’informations sur la résolution des conflits, consultez Résoudre les problèmes Microsoft Defender paramètres antivirus.
Pour les envois de faux négatifs (FN)
Pour plus d’informations sur la façon d’effectuer des soumissions de faux négatifs (FN), consultez :
- Envoyez des fichiers dans Microsoft Defender pour point de terminaison si vous avez Microsoft XDR, Microsoft Defender pour point de terminaison P2/P1 ou Microsoft Defender pour entreprises.
- Envoyez des fichiers pour analyse si vous avez Microsoft Defender Antivirus.