Depuis Windows 10 1903, on retrouve la capacité de protéger Microsoft Defender Antivirus dans une sandbox/un conteneur (tamper protection) rendant plus beaucoup plus difficile pour un attaquant de manipuler et d'exploiter la solution antivirus comme moyen de compromettre le périphérique lui-même. Cette capacité empêche une application malicieuse d’effectuer les actions suivantes :
- Désactiver la protection contre les virus et les menaces
- Désactiver la protection en temps réel
- Désactiver la surveillance du comportement
- Désactiver la détection des fichiers suspicieux depuis internet (tel que IOfficeAntivirus (IOAV))
- Désactivation de la protection fournie par le cloud
- Supprimer des mises à jour du renseignement de sécurité (comprendre mises à jour de définition)
Le mécanisme intervient en empêchant le changement de paramétrages de sécurité via une des méthodes suivantes :
- Configuration des paramètres dans l'éditeur de registre sur la machine Windows
- Modification des paramètres à l'aide des cmdlets PowerShell
- Modification ou suppression des paramètres de sécurité par le biais de stratégies de groupe
- Etc.
Ce paramétage requiert les prérequis suivants :
- Licence Microsoft Defender ATP E5
- Windows 10 1903+
- Des mises à jour de définition (Mise à jour intelligente de sécurté) supérieur à 1.287.60.0
- Une version de la platefrome antimalware supérieure à 4.18.1906.3
- Une version du moteur antimalware supérieure à 1.1.15500.x.
Avant de procéder à la configuration dans Microsoft Intune, vous devez avoir procéder à l’interconnexion de Microsoft Intune avec Microsoft Defender ATP en naviguant dans Settings > Advanced features.
Pour configurer la protection contre la manipulation (Tamper Protection), vous devez créer une stratégie Endpoint Protection. Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Configuration de l’appareil – Profils.
Procédez à la création du profil et sélectionnez la plateforme Windows 10 et ultérieur puis Endpoint Protection dans le type de profil. Sélectionnez ensuite la catégorie Microsoft Defender Security Center.
Identifiez le paramétrage : Protection contre les manipulations (Tamper Protection).
Procédez à la création de la stratégie puis déployez là sur un groupe de machines ou d’utilisateurs.
Notez que ce paramétrage n'est pas disponible par stratégie de groupes (GPO) ou tout autre paramètre pouvant être utilisé pour modifier la protection contre les manipulations par l'administrateur ou les applications ou les logiciels malveillants ayant le privilège d'administrateur.