Que fait le «blocage des comportements suspects»?
Cette fonctionnalité a un nom assez vague. Cependant, la documentation de Microsoft précise que «Bloquer les comportements suspects» n’est qu’un nom convivial pour la «technologie de réduction de la surface d’attaque de Windows Defender Exploit Guard». Cette fonctionnalité de sécurité a été introduite dans la mise à jour de Fall Creators, mais n’était disponible que dans Windows 10 Entreprise. Dans la mise à jour d’octobre 2018, il est désormais disponible pour tous via une option de la sécurité Windows.
Lorsque vous activez cette fonctionnalité, Windows 10 active diverses règles de sécurité. Ces règles désactivent les fonctionnalités normalement utilisées par les programmes malveillants, protégeant ainsi votre PC des attaques.
Voici quelques règles de réduction de la surface d'attaque:
- Bloquer le contenu exécutable du client de messagerie et du webmail
- Empêcher les applications Office de créer des processus enfants
- Empêcher les applications Office de créer du contenu exécutable
- Empêcher les applications Office d'injecter du code dans d'autres processus
- Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé
- Bloquer l'exécution de scripts potentiellement obscurcis
- Bloquer les appels de l'API Win32 à partir d'une macro Office
- Bloquer les informations d'identification volées du sous-système de l'autorité de sécurité locale Windows (lsass.exe)
- Bloquer les créations de processus à partir de commandes PSExec et WMI
- Bloquez les processus non approuvés et non signés exécutés à partir de l'USB
- Empêcher les applications de communication Office de créer des processus enfants
Ce sont des actions suspectes qui pourraient être utilisées par des applications malveillantes. Par exemple, ces règles bloquent les fichiers exécutables qui arrivent par courrier électronique, empêchent les applications Office de faire des tâches spécifiques et arrêtent les comportements de macro dangereux. Lorsque ces règles sont activées, Windows protège les informations d'identification contre le vol, arrête l'exécution des fichiers exécutables suspects sur les lecteurs USB et refuse d'exécuter des scripts qui semblent déguisés pour contourner les logiciels antivirus.
Vous trouverez une liste complète des règles de réduction de la surface d'attaque sur le site de support de Microsoft. Les organisations peuvent personnaliser les règles utilisées par le biais de la stratégie de groupe, mais les PC grand public obtiennent un ensemble de règles unique. On ne sait pas exactement quelles règles sont utilisées lorsque vous activez cette option dans Windows Security.
Cela fait partie de Windows Defender Exploit Guard
La réduction de la surface d'attaque fait partie de Windows Defender Exploit Guard, qui comprend également la protection contre les exploits, la protection réseau et l'accès contrôlé aux dossiers.
Il est important de préciser que «Bloquer les comportements suspects» n’est pas la même fonctionnalité que la protection contre les exploits, qui protège votre PC contre diverses techniques d’exploitation courantes. Par exemple, Exploit Protection protège contre les techniques d'exploitation de la mémoire courantes utilisées par les attaques «zero-day» et met fin à tout processus qui les utilise. La protection contre les exploits fonctionne comme le logiciel EMET (Enhanced Mitigation Experience Toolkit) de Microsoft. La réduction de la surface d'attaque désactive les fonctionnalités potentiellement dangereuses à un niveau supérieur.
La protection contre les exploits est activée par défaut et vous pouvez la modifier ailleurs dans l'application de sécurité Windows. La réduction de la surface d’attaque ou «Bloquer les comportements suspects» n’est pas encore activée par défaut.
Comment activer «Bloquer les comportements suspects»
Vous pouvez activer cette fonctionnalité à partir de l'application de sécurité Windows, anciennement nommée Windows Defender Security Center.
Pour le trouver, allez dans Paramètres> Mettre à jour et sécurité> Sécurité Windows> Ouvrir la sécurité Windows ou tout simplement lancer le raccourci «Sécurité Windows» à partir du menu Démarrer.
