Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

António Vasconcelos et Rob Mallicoat (Program Managers dans le groupe produit Microsoft Defender ATP) ont publié une série d’articles sur Microsoft Defender Exploit Guard et les règles de réduction de surface d’attaque proposées (ASR).

Microsoft Defender Exploit Guard est un ensemble de fonctionnalités de prévention des intrusions qui est livré avec Windows 10. Les quatre composants de Microsoft Defender Exploit Guard sont conçus pour verrouiller l'appareil contre une grande variété de vecteurs d'attaque et bloquer les comportements couramment utilisés dans les attaques de logiciels malveillants, tout en permettant aux entreprises d'équilibrer leurs risques de sécurité et leurs exigences de productivité.

Les quatre composants de Microsoft Defender Exploit Guard sont :

  • Protection du réseau (Network Protection) : Protège le périphérique contre les menaces Web en bloquant tout processus sortant sur le périphérique vers des hôtes/IP non fiables via Microsoft Defender SmartScreen.
  • Accès contrôlé aux dossiers (Controlled Folder Access) : Protège les données sensibles contre les ransomewares en empêchant les processus non fiables d'accéder aux dossiers protégés de l’utilisateur.
  • Protection contre l'exploitation (Exploit Protection) : Un ensemble de mesures d'atténuation des exploits (remplaçant Enhanced Mitigation Experience Toolkit (EMET)) qui peuvent être facilement configurées pour protéger le système et les applications.
  • Les règles de réduction de la surface d'attaque (Attack Surface Reduction (ASR)) : comprend un ensemble de contrôles (15 règles) pour empêcher les logiciels malveillants d'entrer sur la machine en bloquant les menaces communes basées sur les logiciels Office, Adobe, les scripts et les e-mails. Office et les emails sont des moyens simples et faciles de distribuer des mécanismes permettant aux mauvais hackers de lancer des attaques malveillantes et des attaques sans fichiers.

C’est ce dernier mécanisme sur lequel les deux PMs focalise les articles. Il est parfois difficile de mettre en œuvre ces règles mais les différents articles reviennent sur des fondamentaux importants et des pièges à éviter.

Lire :

Facebook Like
Anonymous