Windows Exploit Protection est un ensemble de fonctionnalités de prévention des intrusions qui aident à protéger Windows 10, Windows 11 et Windows Server contre diverses techniques d'exploitation. Il applique automatiquement de nombreuses techniques de mitigation des exploits aux processus du système d'exploitation et aux applications, réduisant la surface d'attaque contre les logiciels malveillants de nouvelle génération. Certaines des mitigations incluses dans la protection contre les exploits sont Control Flow Guard (CFG), la prévention de l'exécution de données (DEP) et la randomisation de l'espace d'adressage (ASLR).
La protection contre les exploits fonctionne mieux avec Microsoft Defender for Endpoint, qui offre des rapports détaillés sur les événements de protection contre les exploits. Elle est composée de nombreuses mesures d'atténuation qui peuvent être appliquées au système d'exploitation et aux applications individuelles. Les mesures d'atténuation sont configurées via une entrée de registre pour chaque programme et prennent effet lorsque le programme est redémarré. Cependant, il est important de noter que .NET 2.0 n'est pas compatible avec certaines fonctionnalités de protection contre les exploits.
Le fait que .NET 2.0 ne soit pas compatible avec certaines fonctionnalités de protection contre les exploits, spécifiquement Export Address Filtering (EAF) et Import Address Filtering (IAF), implique que si .NET 2.0 est activé, l'utilisation de EAF et IAF n'est pas prise en charge. Cela signifie que certaines fonctionnalités de protection contre les exploits liées au filtrage des adresses ne sont pas disponibles lorsque .NET 2.0 est utilisé. Il est important de prendre en compte cette limitation de compatibilité lors de la planification et de la mise en œuvre de la protection contre les exploits, car cela peut avoir un impact sur l'efficacité des atténuations de filtrage d'adresses pour les applications s'exécutant sur .NET 2.0.
De plus, Windows Defender Exploit Guard est une suite de contrôles préventifs et détectifs visant à identifier et atténuer les exploitations actives. Il s'agit d'une série de prévention et de détection des intrusions basées sur l'hôte, offrant toute une gamme de fonctionnalités de sécurité pour se protéger contre les attaques avancées. Cependant, il est essentiel de s'assurer de la compatibilité avec la protection matérielle renforcée de la pile, qui ne fonctionne que sur les chipsets avec prise en charge de l'ombre matérielle.
En activant la protection contre les exploits, les organisations peuvent atténuer efficacement les attaques qui exploitent les vulnérabilités logicielles, réduisant ainsi le risque d'infection et de propagation de logiciels malveillants. Il est important de noter que la protection contre les exploits est conçue pour fournir des protections avancées pour les applications, et ses mesures d'atténuation sont appliquées par application, ce qui permet un niveau de contrôle de sécurité granulaire.
La protection contre les exploits peut aider à prévenir divers types courants de vulnérabilités, notamment :
- Débordement de tampon : Une vulnérabilité qui se produit lorsqu'un programme écrit plus de données dans un tampon qu'il ne peut en contenir, ce qui peut entraîner des problèmes de sécurité potentiels.
- Validation des données : Des vulnérabilités résultant d'une absence de validation appropriée des données avant leur traitement, ce qui peut être exploité par des attaquants.
- Élévation de privilèges : L'exploitation de vulnérabilités pour obtenir des privilèges élevés, permettant aux attaquants d'accéder à des ressources restreintes.
- Injection de code : Des vulnérabilités qui permettent aux attaquants d'injecter et d'exécuter du code malveillant dans une application ou un système.
- Corruption de la mémoire : Des vulnérabilités qui peuvent être exploitées pour corrompre la mémoire d'un programme, ce qui peut entraîner des atteintes à la sécurité potentielles.
En appliquant des techniques d'atténuation de sécurité telles que Control Flow Guard (CFG), Data Execution Prevention (DEP) et Address Space Layout Randomization (ASLR), la protection contre les exploits contribue à atténuer ces vulnérabilités courantes et d'autres, améliorant ainsi la posture de sécurité globale du système.
Explorer Windows Exploit Protection
1. Ouvrir la sécurité Windows :
.png)
.png)
.png)
4. Comprendre les fonctionnalités de protection contre les exploits :
Modifier les fonctionnalités de sécurité globales:
- Examiner chaque fonctionnalité, telle que Control Flow Guard (CFG), Data Execution Prevention (DEP), etc.
- Activer ou désactiver chaque fonctionnalité selon vos préférences.
- Passez le curseur sur chaque fonctionnalité pour obtenir une description et des paramètres recommandés.
Ajouter un programme à personnaliser :
- Sous "Paramètres de programme", cliquez sur "Ajouter un programme à personnaliser".
- Choisissez si vous souhaitez ajouter par nom de programme ou par chemin d'accès.
.png)
Vous pouvez outrepasser les paramètres système ou désactiver des protections spécifiques pour ce programme.
Dans cet exemple, nous avons choisi l'option Désactiver les points d'extension: Cela désactiverait la possibilité d'étendre notepad.exe avec des fonctionnalités supplémentaires via des bibliothèques de liens dynamiques (DLL), telles que des plugins ou des modules complémentaires, en particulier ceux qui s'accrochent aux messages de fenêtre (crochets de fenêtre).
.png)
Pour sauvegarder les paramètres de protection contre les exploits de Windows à l'aide de PowerShell, vous pouvez utiliser la commande Export-ProcessMitigation. Cette commande exporte les paramètres actuels de protection contre les exploits vers un fichier XML, que vous pouvez ensuite utiliser pour restaurer les paramètres ultérieurement ou les appliquer à un autre système.