Configurer la Surface d’Attaque de Réduction dans Windows 10

0
321

Attaque de Réduction de la Surface est une nouvelle fonctionnalité de sécurité de Windows Defender Exploiter Garde sur Windows 10 que Microsoft a introduit dans l’Automne Créateurs de mise à Jour.

Attaque de Réduction de la Surface peut empêcher des actions communes de logiciel malveillant qui s’exécute sur Windows 10 appareils qui ont la fonction est activée.

La fonctionnalité est basé sur des règles, et conçu pour cibler les actions et le comportement, qui est généralement de logiciels malveillants. Vous pouvez activer les règles de bloquer l’exécution de obscurci scripts, exécutable contenu dans les clients de messagerie, ou au Bureau de la ponte des processus enfants.

La Surface d’attaque de Réduction est disponible uniquement si vous activez la protection en temps réel de Windows Defender Antivirus.

Attaque de Réduction de la Surface des règles

Les règles suivantes sont disponibles dans le Windows 10 à l’Automne Créateurs de mise à Jour:

  1. Bloquer l’exécution de (potentiellement) d’obfuscation des scripts (5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
    )
  2. Bloc exécutable contenu dans les clients de messagerie et de messagerie web (BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550)
  3. Bloc de Bureau apps à partir de la ponte des processus enfants (D4F940AB-401B-4EFC-AADC-AD5F3C50688A)
  4. Bloquer les applications Office à partir de la création d’exécutables (3B576869-A4EC-4529-8536-B80A7769E899)
  5. Bloquer les applications Office d’injecter des données dans d’autres processus (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)
  6. Bloc Win32 importations en provenance de code de Macro dans le Bureau (92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B)
  7. Empêcher JavaScript et VBScript pour lancer les exécutables (D3E037E1-3EB8-44C8-A917-57927947596D)

La Configuration De La Surface D’Attaque De Réduction

La Surface d’Attaque de Réduction de la protection peut être configuré de trois façons différentes:

  1. À L’Aide De Stratégie De Groupe.
  2. À L’Aide De PowerShell.
  3. À l’aide de MDM CSP.

Les règles de configuration à l’aide de politiques

attack surface reduction policy

Il faut lancer l’éditeur de Stratégie de Groupe pour commencer. Notez que l’éditeur de Stratégie de Groupe n’est pas disponible sur la Maison d’éditions de Windows 10.

Les utilisateurs à domicile peuvent consulter la Politique de Plus qui apporte de la politique d’édition à l’édition de Windows 10.

  1. Appuyez sur le Windows-clé, tapez gpedit.msc et frapper la touche Entrée pour lancer l’éditeur de Stratégie de Groupe dans Windows 10.
  2. Accédez à Configuration Ordinateur > Modèles d’Administration > composants Windows > Windows Defender Antivirus > Windows Defender Exploiter Garde > Attaque de Réduction de la Surface
  3. Double-cliquez sur la politique de “configuration de la surface d’Attaque de réduction de règles”.
  4. Définir la stratégie est activée.
  5. Définition de la politique de enabled active le bouton “afficher”. Cliquez sur afficher pour charger le “afficher le contenu” de la fenêtre.

Afficher le contenu est un tableau qui accepte une Attaque de Réduction de la Surface de la règle par ligne. Nom de la valeur est l’IDENTIFIANT qui est inscrite en vertu des règles ci-dessus dans les crochets.

Valeur accepte l’entrée suivants:

  • 0 = désactivé. La règle n’est pas active.
  • 1 = activé. La règle est active, et en mode bloc est activé.
  • 2 = mode de vérification. Les événements seront enregistrés, mais la règle n’est pas appliquée.

Les règles de configuration à l’aide de PowerShell

Vous pouvez utiliser PowerShell pour configurer des règles.

  1. Appuyez sur le Windows-clés, type de PowerShell, maintenez la touche Shift et la touche Ctrl, et de charger le PowerShell entrée avec un clic.

Utilisez la commande suivante pour ajouter un mode de blocage de la règle:

Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Activé

Utilisez la commande suivante pour ajouter un mode de vérification de la règle:

Lire aussi: Microsoft donne des tiers l’accès à Windows 10 les données de Télémétrie

Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

Utilisez la commande suivante pour définir une règle pour les handicapés:

Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions Désactivé

Vous pouvez combiner plusieurs règles en une seule commande en séparant chaque règle avec une virgule, et en listant les états, individuellement pour chaque règle. Exemple:

Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID>, <rule ID 2>, <rule ID 3> -AttackSurfaceReductionRules_Actions Désactivé, activé, Activé

Remarque: vous pouvez utiliser le Set-MpPreference ou Ajoutez-MpPreference. La commande Set va toujours remplacer les règles existantes, tandis que la commande Add ajoute sans écraser les règles existantes.

Vous pouvez afficher l’ensemble des règles à l’aide de la MpPreference de commande.

Attaque De Réduction De La Surface Des Événements

attack surface reduction events

Les entrées de journal sont créés chaque fois que vous modifiez les règles, et lorsque des événements les règles d’incendie en mode audit ou en mode bloc.

  1. Télécharger l’Exploit de la Garde d’Évaluation Package Microsoft.
  2. Extrayez le contenu de l’archive dans le système local de sorte que asr-events.xml il est accessible sur le système.
  3. Appuyez sur le Windows-clés, type de l’Observateur d’Événements, puis sélectionnez l’élément dans la liste de suggestions à la charge de l’Observateur d’Événements de l’interface.
  4. Sélectionnez Action > Importer vue personnalisée lorsque l’interface est ouvert.
  5. Sélectionnez l’asr-events.xml fichier que vous avez extrait précédemment.
  6. Sélectionnez ok lorsque l’option “importer vue personnalisée de fichier” s’ouvre. Vous pouvez ajouter une description si vous le souhaitez.

La nouvelle vue est répertorié sous des Vues Personnalisées après, qui montre les événements suivants:

  • L’ID d’événement 1121 — mode de blocage des événements
  • ID de l’événement 1122 — mode de vérification d’événements
  • ID de l’événement 5007 — la modification des paramètres des événements.

L’exclusion de fichiers et de dossiers

attack surface reduction exclusion

Vous pouvez exclure des fichiers ou des dossiers afin que les éléments exclus ne sont pas évaluées par l’Attaque de Réduction de la Surface des règles.

  • La Stratégie de groupe: Accédez à configuration Ordinateur > modèles d’Administration > composants Windows > Windows Defender Antivirus > Windows Defender Exploiter Garde > Attaque de réduction de la surface > Exclure des fichiers et les chemins d’accès à partir de la surface d’Attaque de réduction de Règles. Définir la stratégie est activée, cliquez sur le bouton afficher et ajouter des fichiers ou des dossiers (chemin du dossier ou de la ressource, par exemple c:Windows dans le nom de la valeur, et 0 dans le champ de valeur de chaque colonne.
  • PowerShell: Utilisez la commande Add-MpPreference -AttackSurfaceReductionOnlyExclusions “<chemin d’accès complet ou de ressources>” pour ajouter des fichiers ou des dossiers à la liste des exclusions.

Ressources De Microsoft

Consultez les ressources suivantes sur le site de Microsoft pour plus d’informations sur l’Attaque de Réduction de la Surface:

  • Activer la réduction de la surface d’Attaque
  • Personnaliser la surface d’Attaque de réduction
  • Réduire les surfaces d’attaques avec Windows Defender Exploiter Garde
  • Windows Defender Exploiter Garde
  • Set-MpPreference documentation
  • Ajoutez-MpPreference documentation
  • Get-MpPreference documentation