Comment fonctionne la nouvelle protection contre les exploits de Windows Defender (et comment la configurer)

Table des matières:

Comment fonctionne la nouvelle protection contre les exploits de Windows Defender (et comment la configurer)
Comment fonctionne la nouvelle protection contre les exploits de Windows Defender (et comment la configurer)

Vidéo: Comment fonctionne la nouvelle protection contre les exploits de Windows Defender (et comment la configurer)

Vidéo: Comment fonctionne la nouvelle protection contre les exploits de Windows Defender (et comment la configurer)
Vidéo: Partager un dossier dans un réseau WORKGROUP - YouTube 2024, Avril
Anonim
La mise à jour de Microsoft Fall Creators Update ajoute enfin une protection intégrée contre les attaques à Windows. Vous deviez auparavant chercher cela sous la forme de l’outil EMET de Microsoft. Il fait maintenant partie de Windows Defender et est activé par défaut.
La mise à jour de Microsoft Fall Creators Update ajoute enfin une protection intégrée contre les attaques à Windows. Vous deviez auparavant chercher cela sous la forme de l’outil EMET de Microsoft. Il fait maintenant partie de Windows Defender et est activé par défaut.

Fonctionnement de la protection contre les attaques contre Windows Defender

Nous recommandons depuis longtemps d’utiliser un logiciel anti-exploitation tel que le kit EMET (Enhanced Mitigation Experience Toolkit) de Microsoft ou encore Malwarebytes Anti-Malware, qui est plus convivial, et qui contient une puissante fonction anti-exploitation (entre autres). EMET de Microsoft est largement utilisé sur les grands réseaux où il peut être configuré par les administrateurs système, mais il n’a jamais été installé par défaut, nécessite une configuration et possède une interface déroutante pour les utilisateurs moyens.

Les programmes antivirus typiques, tels que Windows Defender lui-même, utilisent des définitions de virus et des méthodes heuristiques pour détecter les programmes dangereux avant qu'ils ne puissent s'exécuter sur votre système. Les outils anti-exploitation empêchent en réalité de nombreuses techniques d’attaque populaires de fonctionner, de sorte que ces programmes dangereux n’entrent pas sur votre système. Elles activent certaines protections du système d’exploitation et bloquent les techniques d’exploitation de la mémoire commune. Ainsi, si un comportement semblable à un exploit est détecté, elles mettront fin au processus avant que tout incident grave ne se produise. En d’autres termes, ils peuvent se protéger contre de nombreuses attaques «zero day» avant d’être patchés.

Cependant, ils pourraient potentiellement causer des problèmes de compatibilité et il pourrait être nécessaire de modifier leurs paramètres pour différents programmes. C’est pourquoi EMET était généralement utilisé sur les réseaux d’entreprise, où les administrateurs système pouvaient modifier les paramètres, et non sur les ordinateurs domestiques.

Windows Defender inclut désormais bon nombre de ces mêmes protections, qui ont été initialement trouvées dans EMET de Microsoft. Ils sont activés par défaut pour tout le monde et font partie du système d'exploitation. Windows Defender configure automatiquement les règles appropriées pour différents processus s'exécutant sur votre système. (Malwarebytes affirme toujours que sa fonction anti-exploitation est supérieure et nous recommandons toujours d’utiliser Malwarebytes, mais il est bon que Windows Defender intègre également une partie de cette fonctionnalité.)

Cette fonctionnalité est automatiquement activée si vous avez mis à niveau la mise à jour de Fall Creators de Windows 10 et que EMET n’est plus pris en charge. EMET ne peut même pas être installé sur des PC exécutant la mise à jour de Fall Creators. Si vous avez déjà installé EMET, il sera supprimé par la mise à jour.

La mise à jour des créateurs d’automne de Windows 10 comprend également une fonctionnalité de sécurité connexe appelée Accès contrôlé aux dossiers. Il est conçu pour empêcher les programmes malveillants de n’autoriser que des programmes fiables à modifier les fichiers de vos dossiers de données personnels, tels que Documents et Images. Les deux fonctionnalités font partie de «Windows Defender Exploit Guard». Cependant, l’accès contrôlé aux dossiers n’est pas activé par défaut.

Comment confirmer que la protection contre les exploits est activée

Cette fonctionnalité est automatiquement activée pour tous les ordinateurs Windows 10. Toutefois, il peut également être basculé sur «Mode audit», permettant ainsi aux administrateurs système de surveiller un journal de ce qu’aurait fait Exploit Protection pour s’assurer qu’il ne causerait aucun problème avant de l’activer sur des PC critiques.

Pour vérifier que cette fonctionnalité est activée, vous pouvez ouvrir Windows Defender Security Center. Ouvrez votre menu Démarrer, recherchez Windows Defender et cliquez sur le raccourci Windows Defender Security Center.

Cliquez sur l'icône «Contrôle de l'application et du navigateur» en forme de fenêtre dans la barre latérale. Faites défiler la liste et la section «Protection contre les exploits» s’affiche. Il vous informera que cette fonctionnalité est activée.
Cliquez sur l'icône «Contrôle de l'application et du navigateur» en forme de fenêtre dans la barre latérale. Faites défiler la liste et la section «Protection contre les exploits» s’affiche. Il vous informera que cette fonctionnalité est activée.

Si vous ne voyez pas cette section, votre ordinateur n’a probablement pas encore mis à jour la mise à jour pour Fall Creators.

Image
Image

Comment configurer la protection contre les exploits de Windows Defender

Attention: Vous ne voudrez probablement pas configurer cette fonctionnalité. Windows Defender offre de nombreuses options techniques que vous pouvez ajuster, et la plupart des gens ne savent pas ce qu’ils font ici. Cette fonctionnalité est configurée avec des paramètres par défaut intelligents qui éviteront de causer des problèmes, et Microsoft peut mettre à jour ses règles au fil du temps. Les options proposées ici semblent principalement conçues pour aider les administrateurs système à développer des règles pour les logiciels et à les déployer sur un réseau d'entreprise.

Si vous souhaitez configurer la protection contre les exploits, allez dans Windows Defender Security Center> Contrôle de l'application et du navigateur, faites défiler vers le bas, puis cliquez sur «Paramètres de protection contre les abus» sous sous Protection contre les abus.

Vous verrez deux onglets ici: Paramètres système et Paramètres du programme. Les paramètres système contrôlent les paramètres par défaut utilisés pour toutes les applications, tandis que les paramètres de programme contrôlent les paramètres individuels utilisés pour différents programmes. En d'autres termes, les paramètres du programme peuvent remplacer les paramètres du système pour des programmes individuels. Ils pourraient être plus restrictifs ou moins restrictifs.
Vous verrez deux onglets ici: Paramètres système et Paramètres du programme. Les paramètres système contrôlent les paramètres par défaut utilisés pour toutes les applications, tandis que les paramètres de programme contrôlent les paramètres individuels utilisés pour différents programmes. En d'autres termes, les paramètres du programme peuvent remplacer les paramètres du système pour des programmes individuels. Ils pourraient être plus restrictifs ou moins restrictifs.

Au bas de l'écran, vous pouvez cliquer sur «Exporter les paramètres» pour exporter vos paramètres sous forme de fichier.xml que vous pouvez importer sur d'autres systèmes. La documentation officielle de Microsoft fournit de plus amples informations sur le déploiement de règles avec la stratégie de groupe et PowerShell.

Dans l'onglet Paramètres système, vous verrez les options suivantes: Contrôle du flux de contrôle (CFG), Prévention de l'exécution des données (DEP), Forçage aléatoire pour les images (ASLR obligatoire), Allocations de mémoire aléatoires (ASLR de bas en haut), Validation des chaînes d'exceptions (SEHOP), et validez l’intégrité du tas. Ils sont tous activés par défaut, à l'exception de l'option Forcer la randomisation des images (ASLR obligatoire). Cela est probablement dû au fait que ASLR obligatoire provoque des problèmes avec certains programmes. Vous pouvez donc rencontrer des problèmes de compatibilité si vous l'activez, en fonction des programmes que vous exécutez.
Dans l'onglet Paramètres système, vous verrez les options suivantes: Contrôle du flux de contrôle (CFG), Prévention de l'exécution des données (DEP), Forçage aléatoire pour les images (ASLR obligatoire), Allocations de mémoire aléatoires (ASLR de bas en haut), Validation des chaînes d'exceptions (SEHOP), et validez l’intégrité du tas. Ils sont tous activés par défaut, à l'exception de l'option Forcer la randomisation des images (ASLR obligatoire). Cela est probablement dû au fait que ASLR obligatoire provoque des problèmes avec certains programmes. Vous pouvez donc rencontrer des problèmes de compatibilité si vous l'activez, en fonction des programmes que vous exécutez.

Encore une fois, vous ne devriez vraiment pas toucher à ces options à moins de savoir ce que vous faites. Les valeurs par défaut sont sensibles et sont choisies pour une raison.

L’interface fournit un résumé très bref de ce que fait chaque option, mais vous devrez faire des recherches si vous voulez en savoir plus. Nous avons déjà expliqué ce que DEP et ASLR font ici.

Cliquez sur l'onglet "Paramètres du programme" pour afficher une liste des différents programmes avec des paramètres personnalisés. Les options ici permettent de remplacer les paramètres généraux du système. Par exemple, si vous sélectionnez «iexplore.exe» dans la liste et cliquez sur «Modifier», vous constaterez que la règle ici active de force le ASLR obligatoire pour le processus Internet Explorer, même s’il n’est pas activé par défaut à l’échelle du système.
Cliquez sur l'onglet "Paramètres du programme" pour afficher une liste des différents programmes avec des paramètres personnalisés. Les options ici permettent de remplacer les paramètres généraux du système. Par exemple, si vous sélectionnez «iexplore.exe» dans la liste et cliquez sur «Modifier», vous constaterez que la règle ici active de force le ASLR obligatoire pour le processus Internet Explorer, même s’il n’est pas activé par défaut à l’échelle du système.

Vous ne devez pas altérer ces règles intégrées pour des processus tels que runtimebroker.exe et spoolsv.exe. Microsoft les a ajoutés pour une raison.

Vous pouvez ajouter des règles personnalisées pour des programmes individuels en cliquant sur «Ajouter un programme à personnaliser». Vous pouvez soit “Ajouter par nom de programme” ou “Choisir le chemin exact du fichier”, mais spécifier un chemin exact est beaucoup plus précis.

Une fois ajoutés, vous pouvez trouver une longue liste de paramètres qui ne seront pas significatifs pour la plupart des gens. La liste complète des paramètres disponibles ici est la suivante: contrôle de code arbitraire (ACG), blocage des images à faible intégrité, blocage des images distantes, blocage des polices non fiables, protection de l'intégrité du code, protection du flux de contrôle (CFG), prévention de l'exécution des données, désactivation des points d'extension, Désactiver les appels système Win32k, Ne pas autoriser les processus enfants, Filtrage d’adresses d’exportation (EAF), Forçage aléatoire des images (ASLR obligatoire), Importation du filtrage d’adresses (IAF), Allocations de mémoire aléatoire (ASLR de bas en haut), Exécution de simulation (SimExec), Validez l’appel de l’API (CallerCheck), Validez les chaînes d’exception (SEHOP), Validez l’utilisation des descripteurs, Validez l’intégrité du tas, Validez l’intégrité de la dépendance des images et Validez l’intégrité de la pile (StackPivot).
Une fois ajoutés, vous pouvez trouver une longue liste de paramètres qui ne seront pas significatifs pour la plupart des gens. La liste complète des paramètres disponibles ici est la suivante: contrôle de code arbitraire (ACG), blocage des images à faible intégrité, blocage des images distantes, blocage des polices non fiables, protection de l'intégrité du code, protection du flux de contrôle (CFG), prévention de l'exécution des données, désactivation des points d'extension, Désactiver les appels système Win32k, Ne pas autoriser les processus enfants, Filtrage d’adresses d’exportation (EAF), Forçage aléatoire des images (ASLR obligatoire), Importation du filtrage d’adresses (IAF), Allocations de mémoire aléatoire (ASLR de bas en haut), Exécution de simulation (SimExec), Validez l’appel de l’API (CallerCheck), Validez les chaînes d’exception (SEHOP), Validez l’utilisation des descripteurs, Validez l’intégrité du tas, Validez l’intégrité de la dépendance des images et Validez l’intégrité de la pile (StackPivot).

Encore une fois, vous ne devez pas toucher à ces options sauf si vous êtes un administrateur système qui souhaite verrouiller une application et vous savez vraiment ce que vous faites.

À titre de test, nous avons activé toutes les options pour iexplore.exe et essayé de le lancer. Internet Explorer vient d'afficher un message d'erreur et refuse de se lancer. Nous n'avons même pas vu de notification Windows Defender expliquant qu'Internet Explorer ne fonctionnait pas à cause de nos paramètres.
À titre de test, nous avons activé toutes les options pour iexplore.exe et essayé de le lancer. Internet Explorer vient d'afficher un message d'erreur et refuse de se lancer. Nous n'avons même pas vu de notification Windows Defender expliquant qu'Internet Explorer ne fonctionnait pas à cause de nos paramètres.

Ne tentez pas aveuglément de restreindre les applications, sinon vous causerez des problèmes similaires sur votre système. Ils seront difficiles à résoudre si vous ne vous souvenez pas que vous avez également changé les options.

Conseillé:

Show-box en streaming: Apple TV contre Roku contre Amazon Fire TV contre Chromecast contre Android TV

Show-box en streaming: Apple TV contre Roku contre Amazon Fire TV contre Chromecast contre Android TV

Ce n’est un secret pour personne que les téléviseurs «intelligents» ne sont pas aussi intelligents. En règle générale, une solution ou une clé de diffusion en continu est la solution. Cependant, comment choisir le meilleur pour vos besoins en matière de visionnage de films?

Windows Defender ATP fonctionne contre Ransomware dans les réseaux d'entreprise

Windows Defender ATP fonctionne contre Ransomware dans les réseaux d'entreprise

Windows Defender ATP récupère les informations sur les artefacts de Patient Zero pour comprendre la famille Ransomware et alerter davantage les professionnels de la sécurité.

Windows Defender est devenu un outil complet de protection contre les programmes malveillants

Windows Defender est devenu un outil complet de protection contre les programmes malveillants

Windows Defender n'est plus un simple logiciel antivirus. Téléchargez le livre blanc de Microsoft sur l’évolution des programmes malveillants pour en savoir plus.

Comment afficher les rapports de protection contre les menaces avancées

Comment afficher les rapports de protection contre les menaces avancées

Il existe trois types de rapports ATP: le rapport d'état de protection contre les menaces, le rapport d'élimination de messages ATP et le rapport sur les types de fichiers de protection avancée contre les menaces.

Activer la protection contre les programmes potentiellement indésirables dans Windows Defender

Activer la protection contre les programmes potentiellement indésirables dans Windows Defender

Vous pouvez activer et activer la protection des programmes potentiellement indésirables (PUP) dans Windows Defender en modifiant le Registre ou en utilisant PowerShell dans Windows 10. Découvrez tous les détails.