Configurer la protection contre les exploits de Windows Defender dans Windows 10
- Catégorie: Les Fenêtres
La protection contre les exploits est une nouvelle fonctionnalité de sécurité de Windows Defender que Microsoft a introduite dans la mise à jour Fall Creators Update du système d'exploitation.
Exploit Guard est un ensemble de fonctionnalités qui inclut la protection contre les exploits, réduction de la surface d'attaque , protection du réseau et accès contrôlé aux dossiers .
La protection contre les exploits peut être décrite au mieux comme une version intégrée de EMET de Microsoft - Exploit Mitigation Experience Toolkit - outil de sécurité que l'entreprise prendra sa retraite à la mi-2018 .
Microsoft a affirmé précédemment que le système d'exploitation Windows 10 de l'entreprise rendrait inutile l'exécution d'EMET avec Windows ; au moins un chercheur a cependant réfuté l'affirmation de Microsoft.
Protection contre les exploits Windows Defender
La protection contre les exploits est activée par défaut si Windows Defender est activé. Cette fonctionnalité est la seule fonctionnalité Exploit Guard qui ne nécessite pas l'activation de la protection en temps réel dans Windows Defender.
La fonctionnalité peut être configurée dans l'application Windows Defender Security Center, via les commandes PowerShell ou en tant que stratégies.
Configuration dans l'application Windows Defender Security Center
Vous pouvez configurer la protection contre les exploits dans l'application Windows Defender Security Center.
- Utilisez Windows-I pour ouvrir l'application Paramètres.
- Accédez à Mise à jour et sécurité> Windows Defender.
- Sélectionnez Ouvrir le centre de sécurité Windows Defender.
- Sélectionnez Contrôle des applications et du navigateur répertorié comme lien dans la barre latérale dans la nouvelle fenêtre qui s'ouvre.
- Localisez l'entrée de protection contre les exploits sur la page et cliquez sur les paramètres de protection contre les exploits.
Les paramètres sont divisés en paramètres système et paramètres de programme.
Les paramètres système répertorient les mécanismes de protection disponibles et leur état. Les éléments suivants sont disponibles dans la mise à jour Windows 10 Fall Creators:
- Control Flow Guard (CFG) - activé par défaut.
- Data Execution Prevention (DEP) - activé par défaut.
- Forcer la randomisation pour les images (ASLR obligatoire) - désactivé par défaut.
- Allocations de mémoire aléatoires (ASLR ascendant) - activé par défaut.
- Valider les chaînes d'exceptions (SEHOP) - activé par défaut.
- Validez l'intégrité du tas - activé par défaut.
Vous pouvez changer le statut de n'importe quelle option en «activé par défaut», «désactivé par défaut» ou «utiliser par défaut».
Les paramètres du programme vous offrent des options pour personnaliser la protection des programmes et applications individuels. Cela fonctionne de manière similaire à la façon dont vous pouvez ajouter des exceptions dans Microsoft EMET pour des programmes particuliers; bon si un programme se comporte mal lorsque certains modules de protection sont activés.
De nombreux programmes ont des exceptions par défaut. Cela inclut svchost.exe, spools.exe, runtimebroker.exe, iexplore.exe et d'autres programmes Windows de base. Notez que vous pouvez annuler ces exceptions en sélectionnant les fichiers et en cliquant sur modifier.
Cliquez sur «ajouter un programme à personnaliser» pour ajouter un programme par nom ou par chemin de fichier exact à la liste des exceptions.
Vous pouvez définir l'état de toutes les protections prises en charge individuellement pour chaque programme que vous avez ajouté dans les paramètres du programme. En plus de remplacer la valeur par défaut du système et de la forcer à une ou à une désactivation, il existe également une option pour la définir sur «audit uniquement». Ce dernier enregistre les événements qui se seraient déclenchés si l'état de la protection avait été activé, mais n'enregistrera que l'événement dans le journal des événements Windows.
Les paramètres du programme répertorient les options de protection supplémentaires que vous ne pouvez pas configurer sous les paramètres système car ils sont configurés pour s'exécuter uniquement au niveau de l'application.
Ceux-ci sont:
- Protection contre le code arbitraire (ACG)
- Soufflez des images à faible intégrité
- Bloquer les images distantes
- Bloquer les polices non approuvées
- Garde d'intégrité du code
- Désactiver les points d'extension
- Désactiver les appels système Win32
- Ne pas autoriser les processus enfants
- Filtrage des adresses d'exportation (EAF)
- Filtrage d'adresses d'importation (IAF)
- Simuler l'exécution (SimExec)
- Valider l'appel d'API (CallerCheck)
- Valider l'utilisation de la poignée
- Valider l'intégration des dépendances d'image
- Valider l'intégrité de la pile (StackPivot)
Configuration de la protection contre les exploits à l'aide de PowerShell
Vous pouvez utiliser PowerShell pour définir, supprimer ou répertorier les atténuations. Les commandes suivantes sont disponibles:
Pour répertorier toutes les atténuations du processus spécifié: Get-ProcessMitigation -Name processName.exe
Pour définir des atténuations: Set-ProcessMitigation - - ,,
- Portée: est soit -System, soit -Name.
- Action: est soit -Enable soit -Disable.
- Atténuation: le nom de l'atténuation. Consultez le tableau suivant. Vous pouvez séparer les atténuations par une virgule.
Exemples:
- Set-Processmitigation -System -Enable DEP
- Set-Processmitigation -Name test.exe -Remove -Désactiver DEP
- Set-ProcessMitigation -Name processName.exe -Enable EnableExportAddressFilterPlus -EAFModules dllName1.dll, dllName2.dll
| Atténuation | S'applique à | Applets de commande PowerShell | Applet de commande du mode d'audit |
|---|---|---|---|
| Contrôle du flux de garde (CFG) | Niveau système et application | CFG, StrictCFG, supprimer les exportations | Audit non disponible |
| Prévention de l'exécution des données (DEP) | Niveau système et application | DEP, EmulateAtlThunks | Audit non disponible |
| Forcer la randomisation pour les images (ASLR obligatoire) | Niveau système et application | ForceRelocate | Audit non disponible |
| Allocations de mémoire aléatoires (ASLR ascendant) | Niveau système et application | BottomUp, HighEntropy | Audit non disponible |
| Valider les chaînes d'exceptions (SEHOP) | Au niveau du système et de l'application | SEHOP, SEHOPTélémétrie | Audit non disponible |
| Valider l'intégrité du tas | Niveau système et application | TerminateOnHeapError | Audit non disponible |
| Protection contre le code arbitraire (ACG) | Au niveau de l'application uniquement | DynamicCode | AuditDynamicCode |
| Bloquer les images à faible intégrité | Au niveau de l'application uniquement | BlockLowLabel | AuditImageLoad |
| Bloquer les images distantes | Au niveau de l'application uniquement | BlockRemoteImages | Audit non disponible |
| Bloquer les polices non approuvées | Au niveau de l'application uniquement | DisableNonSystemFonts | AuditFont, FontAuditOnly |
| Garde d'intégrité du code | Au niveau de l'application uniquement | BlockNonMicrosoftSigned, AllowStoreSigned | AuditMicrosoftSigned, AuditStoreSigned |
| Désactiver les points d'extension | Au niveau de l'application uniquement | ExtensionPoint | Audit non disponible |
| Désactiver les appels système Win32k | Au niveau de l'application uniquement | DésactiverWin32kSystemCalls | AuditSystemCall |
| Ne pas autoriser les processus enfants | Au niveau de l'application uniquement | DisallowChildProcessCreation | AuditChildProcess |
| Filtrage des adresses d'exportation (EAF) | Au niveau de l'application uniquement | EnableExportAddressFilterPlus, EnableExportAddressFilter [une] | Audit non disponible |
| Filtrage d'adresses d'importation (IAF) | Au niveau de l'application uniquement | EnableImportAddressFilter | Audit non disponible |
| Simuler l'exécution (SimExec) | Au niveau de l'application uniquement | EnableRopSimExec | Audit non disponible |
| Valider l'appel d'API (CallerCheck) | Au niveau de l'application uniquement | EnableRopCallerCheck | Audit non disponible |
| Valider l'utilisation de la poignée | Au niveau de l'application uniquement | StrictHandle | Audit non disponible |
| Valider l'intégrité des dépendances d'image | Au niveau de l'application uniquement | EnforceModuleDepencySigning | Audit non disponible |
| Valider l'intégrité de la pile (StackPivot) | Au niveau de l'application uniquement | EnableRopStackPivot | Audit non disponible |
Importation et exportation de configurations
Les configurations peuvent être importées et exportées. Vous pouvez le faire à l'aide des paramètres de protection contre les exploits de Windows Defender dans le Centre de sécurité Windows Defender, à l'aide de PowerShell, à l'aide de stratégies.
Les configurations EMET peuvent en outre être converties pour pouvoir être importées.
Utilisation des paramètres de protection contre les exploits
Vous pouvez exporter des configurations dans l'application des paramètres, mais pas les importer. L'exportation ajoute toutes les atténuations au niveau du système et au niveau de l'application.
Pour ce faire, cliquez simplement sur le lien «paramètres d'exportation» sous la protection contre les exploits.
Utilisation de PowerShell pour exporter un fichier de configuration
- Ouvrez une invite Powershell élevée.
- Get-ProcessMitigation -RegistryConfigFilePath filename.xml
Modifiez filename.xml afin qu'il reflète l'emplacement d'enregistrement et le nom de fichier.
Utilisation de PowerShell pour importer un fichier de configuration
- Ouvrez une invite Powershell élevée.
- Exécutez la commande suivante: Set-ProcessMitigation -PolicyFilePath filename.xml
Modifiez filename.xml afin qu'il pointe vers l'emplacement et le nom de fichier du fichier XML de configuration.
Utilisation de la stratégie de groupe pour installer un fichier de configuration
Vous pouvez installer les fichiers de configuration à l'aide de stratégies.
- Appuyez sur la touche Windows, tapez gpedit.msc et appuyez sur la touche Entrée pour démarrer l'éditeur de stratégie de groupe.
- Accédez à Configuration de l'ordinateur> Modèles d'administration> Composants Windows> Windows Defender Exploit Guard> Protection contre les exploits.
- Double-cliquez sur «Utiliser un ensemble de commandes de paramètres de protection contre les exploits».
- Définissez la stratégie sur activée.
- Ajoutez le chemin et le nom de fichier du fichier XML de configuration dans le champ d'options.
Conversion d'un fichier EMET
- Ouvrez une invite PowerShell avec élévation de privilèges comme décrit ci-dessus.
- Exécutez la commande ConvertTo-ProcessMitigationPolicy -EMETFilePath emetFile.xml -OutputFilePath filename.xml
Remplacez emetFile.xml par le chemin et l'emplacement du fichier de configuration EMET.
Remplacez filename.xml par le chemin et l'emplacement dans lesquels vous souhaitez enregistrer le fichier de configuration converti.