Partager via


Protéger les paramètres de sécurité avec la protection contre la falsifiation

S’applique à :

Plateformes

Qu’est-ce que la protection contre les falsifications ?

La protection contre les falsifications est une fonctionnalité dans Microsoft Defender pour point de terminaison qui permet de protéger certains paramètres de sécurité, tels que la protection contre les virus et les menaces, d’être désactivés ou modifiés. Pendant certains types de cyberattaques, des acteurs malveillants tentent de désactiver les fonctionnalités de sécurité sur les appareils. La désactivation des fonctionnalités de sécurité permet aux acteurs malveillants d’accéder plus facilement à vos données, d’installer des programmes malveillants et d’exploiter vos données, identité et appareils. La protection contre les falsifications permet de se prémunir contre ces types d’activités.

La protection contre les falsifications fait partie des fonctionnalités anti-falsification qui incluent des règles standard de réduction de la surface d’attaque de protection. La protection contre les falsifications est une partie importante de la protection intégrée.

Que se passe-t-il lorsque la protection contre les falsifications est activée ?

Lorsque la protection contre les falsifications est activée, ces paramètres protégés contre les falsifications ne peuvent pas être modifiés :

  • La protection contre les virus et les menaces reste activée.
  • La protection en temps réel reste activée.
  • La surveillance du comportement reste activée.
  • La protection antivirus, y compris IOfficeAntivirus (IOAV) reste activée.
  • La protection cloud reste activée.
  • Les mises à jour du renseignement de sécurité se produisent.
  • Des actions automatiques sont effectuées sur les menaces détectées.
  • Les notifications sont visibles dans l’application Sécurité Windows sur les appareils Windows.
  • Les fichiers archivés sont analysés.
  • Les exclusions ne peuvent pas être modifiées ou ajoutées (S’applique aux appareils gérés par Intune uniquement ou par Configuration Manager uniquement. Co-Managed appareils ne sont pas pris en charge)

À compter de la publication 1.383.1159.0de la signature , en raison de la confusion autour de la valeur par défaut pour « Autoriser l’analyse des fichiers réseau », la protection contre les falsifications ne verrouille plus ce paramètre à sa valeur par défaut. Dans les environnements managés, la valeur par défaut est enabled.

Importante

Lorsque la protection contre les falsifications est activée, les paramètres protégés contre les falsifications ne peuvent pas être modifiés. Pour éviter d’interrompre les expériences de gestion, y compris les Intune et les Configuration Manager, gardez à l’esprit que les modifications apportées aux paramètres protégés contre les falsifications peuvent sembler réussir, mais qu’elles sont en fait bloquées par la protection contre les falsifications. Selon votre scénario particulier, plusieurs options sont disponibles :

  • Si vous devez apporter des modifications à un appareil et que ces modifications sont bloquées par la protection contre les falsifications, vous pouvez utiliser le mode résolution des problèmes pour désactiver temporairement la protection contre les falsifications sur l’appareil.
  • Vous pouvez utiliser Intune ou Configuration Manager pour exclure les appareils de la protection contre les falsifications.

La protection contre les falsifications ne vous empêche pas d’afficher vos paramètres de sécurité. De plus, la protection contre les falsifications n’affecte pas la façon dont les applications antivirus non-Microsoft s’inscrivent auprès de l’application Sécurité Windows. Si votre organization utilise Defender pour point de terminaison, les utilisateurs individuels ne peuvent pas modifier le paramètre de protection contre les falsifications ; dans ce cas, votre équipe de sécurité gère la protection contre les falsifications. Pour plus d’informations, consultez Comment faire configurer ou gérer la protection contre les falsifications ?

Sur quels appareils la protection contre les falsifications peut-elle être activée ?

La protection contre les falsifications est disponible pour les appareils qui exécutent l’une des versions suivantes de Windows :

  • Windows 10 et 11 (y compris Entreprise multisession)
  • Windows Server 2022, Windows Server 2019 et Windows Server, version 1803 ou ultérieure
  • Windows Server 2016 et Windows Server 2012 R2 (à l’aide de la solution unifiée moderne)

La protection contre les falsifications est également disponible pour Mac, bien qu’elle fonctionne un peu différemment de celle de Windows. Pour plus d’informations, consultez Protéger les paramètres de sécurité macOS avec la protection contre les falsifications.

Conseil

La protection intégrée inclut l’activation de la protection contre les falsifications par défaut. Pour plus d’informations, reportez-vous aux rubriques suivantes :

Protection contre les falsifications sur Windows Server 2012 R2, 2016 ou Windows version 1709, 1803 ou 1809

Si vous utilisez Windows Server 2012 R2 à l’aide de la solution unifiée moderne, Windows Server 2016, Windows 10 version 1709, 1803 ou 1809, la protection contre les falsifications n’apparaît pas dans l’application Sécurité Windows. Au lieu de cela, vous pouvez utiliser PowerShell pour déterminer si la protection contre les falsifications est activée.

Importante

Sur Windows Server 2016, l’application Paramètres ne reflète pas avec précision la status de la protection en temps réel lorsque la protection contre les falsifications est activée.

Utiliser PowerShell pour déterminer si la protection contre les falsifications et la protection en temps réel sont activées

  1. Ouvrez l’application Windows PowerShell.

  2. Utilisez l’applet de commande PowerShell Get-MpComputerStatus .

  3. Dans la liste des résultats, recherchez IsTamperProtected ou RealTimeProtectionEnabled. (La valeur true signifie que la protection contre les falsifications est activée.)

Comment faire configurer ou gérer la protection contre les falsifications ?

Vous pouvez utiliser Microsoft Intune et d’autres méthodes pour configurer ou gérer la protection contre les falsifications, comme indiqué dans le tableau suivant :

Méthode Ce que vous pouvez faire
Utilisez le portail Microsoft Defender. Activez (ou désactivez la protection contre les falsifications) à l’échelle du locataire. Consultez Gérer la protection contre les falsifications pour votre organization à l’aide de Microsoft Defender XDR.

Cette méthode ne remplace pas les paramètres gérés dans Microsoft Intune ou Configuration Manager.
Utilisez le centre d’administration Microsoft Intune ou le Configuration Manager. Activez (ou désactivez la protection contre les falsifications), à l’échelle du locataire, ou appliquez la protection contre les falsifications à certains utilisateurs/appareils. Vous pouvez exclure certains appareils de la protection contre les falsifications. Consultez Gérer la protection contre les falsifications pour votre organization à l’aide de Intune.

Protégez Microsoft Defender exclusions antivirus contre la falsification si vous utilisez Intune uniquement ou Configuration Manager uniquement. Consultez Protection contre les falsifications pour les exclusions antivirus.
Utilisez Configuration Manager avec l’attachement de locataire. Activez (ou désactivez la protection contre les falsifications), à l’échelle du locataire, ou appliquez la protection contre les falsifications à certains utilisateurs/appareils. Vous pouvez exclure certains appareils de la protection contre les falsifications. Consultez Gérer la protection contre les falsifications pour votre organization à l’aide de l’attachement de locataire avec Configuration Manager, version 2006.
Utilisez l’application Sécurité Windows. Activez (ou désactivez la protection contre les falsifications) sur un appareil individuel qui n’est pas géré par une équipe de sécurité (par exemple, les appareils à usage domestique). Consultez Gérer la protection contre les falsifications sur un appareil individuel.

Cette méthode ne remplace pas les paramètres de protection contre les falsifications définis dans le portail Microsoft Defender, Intune ou Configuration Manager, et elle n’est pas destinée à être utilisée par les organisations.

Conseil

Si vous utilisez stratégie de groupe pour gérer Microsoft Defender paramètres antivirus, n’oubliez pas que toutes les modifications apportées aux paramètres protégés contre les falsifications sont ignorées. Si vous devez apporter des modifications à un appareil et que ces modifications sont bloquées par la protection contre les falsifications, utilisez le mode résolution des problèmes pour désactiver temporairement la protection contre les falsifications sur l’appareil. Une fois le mode de résolution des problèmes terminé, toutes les modifications apportées aux paramètres protégés contre la falsification sont rétablies à leur état configuré. Pour modifier définitivement les valeurs des paramètres protégés contre les falsifications, désactivez la protection contre les falsifications temporairement avant de la réactiver une fois les paramètres modifiés. Gardez à l’esprit que cette méthode peut poser des risques de sécurité et ne fonctionne pas sur les appareils qui sont hors connexion lorsque la protection contre les falsifications a été temporairement désactivée. Pour cette raison, nous vous recommandons d’utiliser d’autres méthodes de gestion pour les paramètres de Defender pour point de terminaison, telles que Intune, au lieu d’utiliser stratégie de groupe.

Protéger les exclusions de l’antivirus Microsoft Defender

Sous certaines conditions, la protection contre les falsifications peut protéger les exclusions définies pour Microsoft Defender Antivirus. Pour plus d’informations, consultez Protection contre les falsifications pour les exclusions.

Afficher des informations sur les tentatives de falsification

Les tentatives de falsification indiquent généralement qu’une cyberattaque plus importante a eu lieu. Les acteurs malveillants tentent de modifier les paramètres de sécurité afin de conserver et de rester non détectés. Si vous faites partie de l’équipe de sécurité de votre organization, vous pouvez afficher des informations sur ces tentatives, puis prendre les mesures appropriées pour atténuer les menaces.

Chaque fois qu’une tentative de falsification est détectée, une alerte est déclenchée dans le portail Microsoft Defender (https://security.microsoft.com).

À l’aide de la détection et de la réponse des points de terminaison et des fonctionnalités avancées de repérage dans Microsoft Defender pour point de terminaison, votre équipe des opérations de sécurité peut examiner et résoudre ces tentatives.

Passer en revue vos recommandations de sécurité

La protection contre les falsifications s’intègre aux fonctionnalités de Gestion des vulnérabilités Microsoft Defender. Les recommandations de sécurité incluent la garantie que la protection contre les falsifications est activée. Par exemple, dans votre tableau de bord Gestion des vulnérabilités, vous pouvez effectuer une recherche sur la falsification. Dans les résultats, vous pouvez sélectionner Activer la protection contre les falsifications pour en savoir plus et l’activer.

Pour en savoir plus sur Gestion des vulnérabilités Microsoft Defender, consultez Insights de tableau de bord - Defender Vulnerability Management.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.