Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

Microsoft a communiqué sur les prochains mécanismes de sécurité qui seront présents dans Windows 10 1709 ou Fall Creators Update. Ces derniers viennent enrichir la gamme Windows Defender et les différents bundles proposés par Microsoft.

Parmi les nouveautés, on retrouve :

  • Windows Defender Application Guard (WDAG) permettant d’isoler Microsoft Edge dans un environnement conteneurisé. Ceci évite qu’un logiciel malveillant qui exécute du code à partir du navigateur puisse se propager au système. Cette fonctionnalité nécessite Hyper-V pour fonctionner et par conséquent le matériel adéquat.
  • Windows Defender Exploit Guard (WDEG) est l’équivalent d’Enhanced Mitigation Experience Toolkit directement inclus dans Windows 10. Il permet de se protéger contre certaines techniques communément utilisées pour l’exploitation de vulnérabilités. Cette solution de type Host Based Intrusion Prevention System (HIPS) s’intègre au Microsoft Intelligent Security Graph pour réduire la surface d’attaque avec des règles intelligentes.

Parmi les services déjà implémentés mais qui comportent des nouveautés, on retrouve Windows Defender Advanced Threat Protection (ATP) est une solution d’analyse, d’investigation et de réponse (forensic) permettant d’améliorer la détection et l’alerting, d’offrir des actions de réponse et d’offrir une vision courante des attaques possibles. Cette version est complétée par les éléments suivants :

  • Les alertes Windows Defender SmartScreen sont visibles dans la console afin de voir si un utilisateur a cliqué sur une URL en dépit des avertissements.
  • Les détections et actions réalisées par l’antivirus Windows Defender ainsi que les connexions bloquées par le pare-feu sont affichées dans la console.
  • Les événements Device Guard mettant en avant les applications non autorisées qui ont été bloquées ainsi que les informations d’audit ou de blocage provenant de Windows Defender Exploit Guard sont proposées dans la console.
  • De la même façon, les alertes et événements de Windows Defender Application Guard sont rapatriées dans la console.
  • Il va devenir possible d’activer à la demande Device Guard sur un périphérique donné directement depuis la console ATP. De la même façon, il sera possible de générer automatique la liste des applications autorisées basée sur la réputation des applications.
  • En outre, on retrouve de nouveaux indicateurs d’attaques (IoA) comme des règles de détections pour des attaques basées sur des scripts dynamiques, de l’exploration réseaux ou des alertes de Key Koggers.
  • De nouvelles vues sont proposées pour les opérationnels de sécurité.
  • On retrouve de nouvelles APIs permettant d’intégrer les SIEM ou obtenir des informations.
  • Enfin, la solution est étendue à Windows Server 2012 R2 et 2016 ainsi que d’autres plateformes qui vont au-delà de Windows (sans plus de détails)

 

 

Une vidéo de présentation de Windows Defender Application Guard:

Lire un showcase Microsoft IT sur Windows Defender ATP.

Source : https://blogs.technet.microsoft.com/mmpc/2017/06/27/whats-new-in-windows-defender-atp-fall-creators-update/

Facebook Like
Anonymous