Partager via


Protéger les appareils contre les codes malveillants exploitant une faille de sécurité

S’applique à :

Exploit Protection applique automatiquement un certain nombre de techniques d’atténuation du code malveillant exploitant une faille de sécurité aux processus et applications du système d’exploitation. Exploit Protection est pris en charge à partir de la version 1709 de Windows 10, Windows 11, et de la version 1803 de Windows Server.

La protection contre le code malveillant exploitant une faille de sécurité fonctionne de manière optimale avec Defender pour point de terminaison, ce qui vous permet de créer des rapports détaillés sur les événements et les blocs de protection contre le code malveillant exploitant une faille de sécurité dans le cadre des scénarios d’enquête sur les alertes habituels.

Vous pouvez activer la protection contre le code malveillant exploitant une faille de sécurité sur un appareil individuel, puis utiliser une Stratégie de groupe pour distribuer le fichier XML sur plusieurs appareils à la fois.

Lorsqu’une atténuation est trouvée sur l’appareil, une notification s’affiche à partir du Centre de notifications. Vous pouvez personnaliser la notification avec les informations et les coordonnées de l’entreprise. Vous pouvez également activer les règles individuellement pour personnaliser les techniques analysées par la fonctionnalité.

Vous pouvez également utiliser le mode audit pour évaluer l’impact d’Exploit Protection dans votre organisation si celui-ci a été activé.

De nombreuses fonctionnalités dans le Enhanced Mitigation Experience Toolkit (EMET) sont incluses dans la protection contre le code malveillant exploitant une faille de sécurité. En effet, vous pouvez convertir et importer vos profils de configuration EMET existants dans la protection contre le code malveillant exploitant une faille de sécurité. Si vous souhaitez en savoir plus, consultez l’article Importer, exporter et déployer des configurations de protection contre les codes malveillants exploitant une faille de sécurité.

Importante

Si vous l’utilisez actuellement, sachez que EMET n’est plus pris en charge depuis le 31 juillet 2018. Pensez à remplacer EMET par la protection contre le code malveillant exploitant une faille de sécurité dans Windows 10.

Avertissement

Certaines technologies d’atténuation en matière de sécurité peuvent présenter des problèmes de compatibilité avec certaines applications. Vous devez tester la protection contre le code malveillant exploitant une faille de sécurité dans tous les scénarios d’utilisation cibles en utilisant le mode audit avant de déployer la configuration dans un environnement de production ou sur le reste de votre réseau.

Passer en revue les événements exploit protection dans le portail Microsoft Defender

Defender pour point de terminaison vous permet de créer des rapports détaillés sur les événements et les blocs dans le cadre des scénarios d’enquête sur les alertes.

Vous pouvez interroger les données de Defender pour point de terminaison en utilisant le repérage avancé. Si vous utilisez le mode audit, vous pouvez utiliser le repérage avancé pour voir comment les paramètres de la protection contre le code malveillant exploitant une faille de sécurité peuvent affecter votre environnement.

Voici une requête d’exemple :

DeviceEvents
| where ActionType startswith 'ExploitGuard' and ActionType !contains 'NetworkProtection'

Exploit Protection et chasse avancée

Vous trouverez ci-dessous les types d’action de chasse avancés disponibles pour Exploit Protection.

Nom de l’atténuation d’Exploit Protection Exploit Protection - Repérage avancé - ActionTypes
Protection du code arbitraire ExploitGuardAcgAudited
ExploitGuardAcgEnforced
Ne pas autoriser le blocage des processus enfants ExploitGuardChildProcessAudited
ExploitGuardChildProcessBlocked
Exporter le filtrage d’adresses (EAF) ExploitGuardEafViolationAudited
ExploitGuardEafViolationBlocked
Importer le filtrage d’adresses (IAF) ExploitGuardIafViolationAudited
ExploitGuardIafViolationBlocked
Bloquer les images de faible intégrité ExploitGuardLowIntegrityImageAudited
ExploitGuardLowIntegrityImageBlocked
Protection de l’intégrité du code ExploitGuardNonMicrosoftSignedAudited
ExploitGuardNonMicrosoftSignedBlocked
• Simuler l’exécution (SimExec)
• Valider l’appel d’API (CallerCheck)
• Valider l’intégrité de la pile (StackPivot)
ExploitGuardRopExploitAudited
ExploitGuardRopExploitBlocked
Bloquer les images distantes ExploitGuardSharedBinaryAudited
ExploitGuardSharedBinaryBlocked
Désactiver les appels système Win32k ExploitGuardWin32SystemCallAudited
ExploitGuardWin32SystemCallBlocked

Examen des événements d’Exploit Protection dans l’observateur d’événements Windows

Vous pouvez examiner le journal des événements Windows pour voir les événements qui ont été créés lorsque Exploit Protection bloque (ou audite) une application :

Fournisseur/source ID d’événement Description
Security-Mitigations 1 Audit ACG
Security-Mitigations 2 Forcer ACG
Security-Mitigations 3 Ne pas autoriser l’audit des processus enfants
Security-Mitigations 4 Ne pas autoriser le blocage des processus enfants
Security-Mitigations 5 Bloquer l’audit des images à faible intégrité
Security-Mitigations 6 Bloquer le blocage des images à faible intégrité
Security-Mitigations 7 Bloquer l’audit des images distantes
Security-Mitigations 8 Bloquer le blocage des images distantes
Security-Mitigations 9 Désactiver l’audit des appels système win32k
Security-Mitigations 10 Désactiver le blocage des appels système win32k
Security-Mitigations 11 Audit de la protection d’intégrité du code
Security-Mitigations 12 Blocage de la protection d’intégrité du code
Security-Mitigations 13 Audit EAF
Security-Mitigations 14 Forcer EAF
Security-Mitigations 15 Audit EAF+
Security-Mitigations 16 Forcer EAF+
Security-Mitigations 17 Audit IAF
Security-Mitigations 18 Forcer IAF
Security-Mitigations 19 Audit de StackPivot ROP
Security-Mitigations 20 Forcer StackPivot ROP
Security-Mitigations 21 Audit de CallerCheck ROP
Security-Mitigations 22 Forcer CallerCheck ROP
Security-Mitigations 23 Audit de SimExec ROP
Security-Mitigations 24 Forcer SimExec ROP
WER-Diagnostics 5 Bloquer CFG
Win32K 260 Police non approuvée

Comparaison d’atténuation

Les atténuations disponibles dans EMET sont incluses de manière native dans Windows 10 (à partir de la version 1709), Windows 11, et Windows Server (à partir de la version 1803), sous Exploit Protection.

Le tableau de cette section indique la disponibilité et la prise en charge des atténuations natives entre EMET et la protection contre le code malveillant exploitant une faille de sécurité.

Atténuation Disponible sous Protection contre le code malveillant exploitant une faille de sécurité Disponible dans EMET
Protection du code arbitraire (ACG) Oui Oui
En tant que « Vérification de la protection de la mémoire »
Bloquer les images distantes Oui Oui
En tant que « vérification de chargement de bibliothèque »
Bloquer les polices non approuvées Oui Oui
Prévention de l’exécution des données (PED) Oui Oui
Exporter le filtrage d’adresses (EAF) Oui Oui
Forcer la randomisation des images (randomisation du format d’espace d’adresse obligatoire) Oui Oui
Atténuation de la sécurité NullPage Oui
Inclus en mode natif dans Windows 10 et Windows 11
Pour plus d’informations, consultez Atténuer les menaces à l’aide des fonctionnalités de sécurité Windows 10
Oui
Randomiser les allocations de mémoire (randomisation du format d’espace d’adresse de bas en haut) Oui Oui
Simuler l’exécution (SimExec) Oui Oui
Valider l’invocation de l’API (CallerCheck) Oui Oui
Valider les chaînes d’exception (SEHOP) Oui Oui
Valider l’intégrité de la pile (StackPivot) Oui Oui
Certificats de confiance (épinglage de certificat configurable) Windows 10 et Windows 11 fournissent un épinglage de certificat d’entreprise Oui
Allocation par pulvérisation des segments de mémoire Inefficace contre les plus récentes attaques de type exploit basées sur les navigateurs. Les nouvelles atténuations assurent une meilleure protection
Pour plus d’informations, consultez Atténuer les menaces à l’aide des fonctionnalités de sécurité Windows 10
Oui
Bloquer les images de faible intégrité Oui Non
Protection de l’intégrité du code Oui Non
Désactiver les points d’extension Oui Non
Désactiver les appels système Win32k Oui Non
Ne pas autoriser le blocage des processus enfants Oui Non
Importer le filtrage d’adresses (IAF) Oui Non
Valider l’utilisation de la poignée Oui Non
Valider l’intégrité du segment de mémoire Oui Non
Valider l’intégrité des dépendances d’image Oui Non

Remarque

Les atténuations ROP avancées qui sont disponibles dans EMET sont remplacées par ACG dans Windows 10 et Windows 11, dont les autres paramètres avancés EMET sont activés par défaut, dans le cadre de l’activation des atténuations anti-ROP pour un processus. Pour plus d’informations sur la façon dont Windows 10 utilise la technologie EMET existante, consultez atténuation des menaces à l’aide des fonctionnalités de sécurité Windows 10.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.