Protéger les appareils contre les codes malveillants exploitant une faille de sécurité
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Exploit Protection applique automatiquement un certain nombre de techniques d’atténuation du code malveillant exploitant une faille de sécurité aux processus et applications du système d’exploitation. Exploit Protection est pris en charge à partir de la version 1709 de Windows 10, Windows 11, et de la version 1803 de Windows Server.
La protection contre le code malveillant exploitant une faille de sécurité fonctionne de manière optimale avec Defender pour point de terminaison, ce qui vous permet de créer des rapports détaillés sur les événements et les blocs de protection contre le code malveillant exploitant une faille de sécurité dans le cadre des scénarios d’enquête sur les alertes habituels.
Vous pouvez activer la protection contre le code malveillant exploitant une faille de sécurité sur un appareil individuel, puis utiliser une Stratégie de groupe pour distribuer le fichier XML sur plusieurs appareils à la fois.
Lorsqu’une atténuation est trouvée sur l’appareil, une notification s’affiche à partir du Centre de notifications. Vous pouvez personnaliser la notification avec les informations et les coordonnées de l’entreprise. Vous pouvez également activer les règles individuellement pour personnaliser les techniques analysées par la fonctionnalité.
Vous pouvez également utiliser le mode audit pour évaluer l’impact d’Exploit Protection dans votre organisation si celui-ci a été activé.
De nombreuses fonctionnalités dans le Enhanced Mitigation Experience Toolkit (EMET) sont incluses dans la protection contre le code malveillant exploitant une faille de sécurité. En effet, vous pouvez convertir et importer vos profils de configuration EMET existants dans la protection contre le code malveillant exploitant une faille de sécurité. Si vous souhaitez en savoir plus, consultez l’article Importer, exporter et déployer des configurations de protection contre les codes malveillants exploitant une faille de sécurité.
Importante
Si vous l’utilisez actuellement, sachez que EMET n’est plus pris en charge depuis le 31 juillet 2018. Pensez à remplacer EMET par la protection contre le code malveillant exploitant une faille de sécurité dans Windows 10.
Avertissement
Certaines technologies d’atténuation en matière de sécurité peuvent présenter des problèmes de compatibilité avec certaines applications. Vous devez tester la protection contre le code malveillant exploitant une faille de sécurité dans tous les scénarios d’utilisation cibles en utilisant le mode audit avant de déployer la configuration dans un environnement de production ou sur le reste de votre réseau.
Passer en revue les événements exploit protection dans le portail Microsoft Defender
Defender pour point de terminaison vous permet de créer des rapports détaillés sur les événements et les blocs dans le cadre des scénarios d’enquête sur les alertes.
Vous pouvez interroger les données de Defender pour point de terminaison en utilisant le repérage avancé. Si vous utilisez le mode audit, vous pouvez utiliser le repérage avancé pour voir comment les paramètres de la protection contre le code malveillant exploitant une faille de sécurité peuvent affecter votre environnement.
Voici une requête d’exemple :
DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'
Exploit Protection et chasse avancée
Vous trouverez ci-dessous les types d’action de chasse avancés disponibles pour Exploit Protection.
Nom de l’atténuation d’Exploit Protection | Exploit Protection - Repérage avancé - ActionTypes |
---|---|
Protection du code arbitraire | ExploitGuardAcgAudited ExploitGuardAcgEnforced |
Ne pas autoriser le blocage des processus enfants | ExploitGuardChildProcessAudited ExploitGuardChildProcessBlocked |
Exporter le filtrage d’adresses (EAF) | ExploitGuardEafViolationAudited ExploitGuardEafViolationBlocked |
Importer le filtrage d’adresses (IAF) | ExploitGuardIafViolationAudited ExploitGuardIafViolationBlocked |
Bloquer les images de faible intégrité | ExploitGuardLowIntegrityImageAudited ExploitGuardLowIntegrityImageBlocked |
Protection de l’intégrité du code | ExploitGuardNonMicrosoftSignedAudited ExploitGuardNonMicrosoftSignedBlocked |
• Simuler l’exécution (SimExec) • Valider l’appel d’API (CallerCheck) • Valider l’intégrité de la pile (StackPivot) |
ExploitGuardRopExploitAudited ExploitGuardRopExploitBlocked |
Bloquer les images distantes | ExploitGuardSharedBinaryAudited ExploitGuardSharedBinaryBlocked |
Désactiver les appels système Win32k | ExploitGuardWin32SystemCallAudited ExploitGuardWin32SystemCallBlocked |
Examen des événements d’Exploit Protection dans l’observateur d’événements Windows
Vous pouvez examiner le journal des événements Windows pour voir les événements qui ont été créés lorsque Exploit Protection bloque (ou audite) une application :
Fournisseur/source | ID d’événement | Description |
---|---|---|
Security-Mitigations | 1 | Audit ACG |
Security-Mitigations | 2 | Forcer ACG |
Security-Mitigations | 3 | Ne pas autoriser l’audit des processus enfants |
Security-Mitigations | 4 | Ne pas autoriser le blocage des processus enfants |
Security-Mitigations | 5 | Bloquer l’audit des images à faible intégrité |
Security-Mitigations | 6 | Bloquer le blocage des images à faible intégrité |
Security-Mitigations | 7 | Bloquer l’audit des images distantes |
Security-Mitigations | 8 | Bloquer le blocage des images distantes |
Security-Mitigations | 9 | Désactiver l’audit des appels système win32k |
Security-Mitigations | 10 | Désactiver le blocage des appels système win32k |
Security-Mitigations | 11 | Audit de la protection d’intégrité du code |
Security-Mitigations | 12 | Blocage de la protection d’intégrité du code |
Security-Mitigations | 13 | Audit EAF |
Security-Mitigations | 14 | Forcer EAF |
Security-Mitigations | 15 | Audit EAF+ |
Security-Mitigations | 16 | Forcer EAF+ |
Security-Mitigations | 17 | Audit IAF |
Security-Mitigations | 18 | Forcer IAF |
Security-Mitigations | 19 | Audit de StackPivot ROP |
Security-Mitigations | 20 | Forcer StackPivot ROP |
Security-Mitigations | 21 | Audit de CallerCheck ROP |
Security-Mitigations | 22 | Forcer CallerCheck ROP |
Security-Mitigations | 23 | Audit de SimExec ROP |
Security-Mitigations | 24 | Forcer SimExec ROP |
WER-Diagnostics | 5 | Bloquer CFG |
Win32K | 260 | Police non approuvée |
Comparaison d’atténuation
Les atténuations disponibles dans EMET sont incluses de manière native dans Windows 10 (à partir de la version 1709), Windows 11, et Windows Server (à partir de la version 1803), sous Exploit Protection.
Le tableau de cette section indique la disponibilité et la prise en charge des atténuations natives entre EMET et la protection contre le code malveillant exploitant une faille de sécurité.
Atténuation | Disponible sous Protection contre le code malveillant exploitant une faille de sécurité | Disponible dans EMET |
---|---|---|
Protection du code arbitraire (ACG) | Oui | Oui En tant que « Vérification de la protection de la mémoire » |
Bloquer les images distantes | Oui | Oui En tant que « vérification de chargement de bibliothèque » |
Bloquer les polices non approuvées | Oui | Oui |
Prévention de l’exécution des données (PED) | Oui | Oui |
Exporter le filtrage d’adresses (EAF) | Oui | Oui |
Forcer la randomisation des images (randomisation du format d’espace d’adresse obligatoire) | Oui | Oui |
Atténuation de la sécurité NullPage | Oui Inclus en mode natif dans Windows 10 et Windows 11 Pour plus d’informations, consultez Atténuer les menaces à l’aide des fonctionnalités de sécurité Windows 10 |
Oui |
Randomiser les allocations de mémoire (randomisation du format d’espace d’adresse de bas en haut) | Oui | Oui |
Simuler l’exécution (SimExec) | Oui | Oui |
Valider l’invocation de l’API (CallerCheck) | Oui | Oui |
Valider les chaînes d’exception (SEHOP) | Oui | Oui |
Valider l’intégrité de la pile (StackPivot) | Oui | Oui |
Certificats de confiance (épinglage de certificat configurable) | Windows 10 et Windows 11 fournissent un épinglage de certificat d’entreprise | Oui |
Allocation par pulvérisation des segments de mémoire | Inefficace contre les plus récentes attaques de type exploit basées sur les navigateurs. Les nouvelles atténuations assurent une meilleure protection Pour plus d’informations, consultez Atténuer les menaces à l’aide des fonctionnalités de sécurité Windows 10 |
Oui |
Bloquer les images de faible intégrité | Oui | Non |
Protection de l’intégrité du code | Oui | Non |
Désactiver les points d’extension | Oui | Non |
Désactiver les appels système Win32k | Oui | Non |
Ne pas autoriser le blocage des processus enfants | Oui | Non |
Importer le filtrage d’adresses (IAF) | Oui | Non |
Valider l’utilisation de la poignée | Oui | Non |
Valider l’intégrité du segment de mémoire | Oui | Non |
Valider l’intégrité des dépendances d’image | Oui | Non |
Remarque
Les atténuations ROP avancées qui sont disponibles dans EMET sont remplacées par ACG dans Windows 10 et Windows 11, dont les autres paramètres avancés EMET sont activés par défaut, dans le cadre de l’activation des atténuations anti-ROP pour un processus. Pour plus d’informations sur la façon dont Windows 10 utilise la technologie EMET existante, consultez atténuation des menaces à l’aide des fonctionnalités de sécurité Windows 10.
Voir aussi
- Configurer et auditer les atténuations de la protection contre le code malveillant exploitant une faille de sécurité
- Résolution des problèmes de la protection contre le code malveillant exploitant une faille de sécurité
- Optimiser le déploiement et les détections des règles ASR
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.