Comment configurer la protection contre les exploits dans Windows Defender, comment l’utiliser et ce qu’elle signifie, sous Windows 10

Exploit Guard inclut un ensemble de fonctionnalités incluant la protection contre l’exploitation, la protection de la surface d’attaque, la protection du réseau et l’accès contrôlé aux dossiers.

Protection contre l’exploitation signifie protection contre tout type de virus qui peut exploiter des vulnérabilités, même inconnues, présentes dans un système informatique.

Cela permet d’assurer une certaine protection non seulement contre les virus connus, mais aussi contre les logiciels malveillants qui restent à découvrir (appelés « zero-day »), pour lesquels l’antivirus n’est pas prêt à agir.

L’antivirus traditionnel avec protection en temps réel détecte les logiciels malveillants et les virus en analysant certaines règles de comportement et nécessite des mises à jour fréquentes pour importer de nouvelles références sur les dernières infections découvertes.

L’antivirus est comme un médecin qui sait reconnaître et traiter les maladies qu’il a étudiées dans son livre médical ; si le médecin ne met pas à jour ses connaissances, il peut ne pas être capable de traiter les maladies les plus rares récemment découvertes.

Ainsi, même si votre antivirus est mis à jour tous les jours, il peut arriver qu’un nouvel exploit ou une vulnérabilité inconnue échappe au contrôle et cause des problèmes sur votre PC.

Un Exploit n’est rien de plus qu’un malware capable d’exploiter les vulnérabilités et les insécurités des logiciels (voir aussi « Types de malware et différences entre chevaux de Troie, vers et virus »).

Par exemple, dans des programmes tels que Java, Acrobat Reader et Flash se retrouvent souvent ce type de vulnérabilité « 0-day » restant exposé aux exploits (voir aussi « Désactiver Java sur les navigateurs pour éviter les problèmes de sécurité »)

Voir aussi :  Avant de mettre Windows 10, préparer le PC

Parmi les programmes les plus simples et les moins encombrants qui s’appellent eux-mêmes « anti-exploit » vous pouvez essayer Exploit Shield, gratuit.

La version bêta (actuellement disponible) protège automatiquement les navigateurs Google Chrome, Mozilla Firefox, Opera et Internet Explorer tout en restant en fonctionnement sur le système.

La protection contre les exploits de Microsoft est la même que celle du programme EMET de Microsoft Toolkit, un outil de sécurité qui sera retiré en 2018.

Pour comprendre de quoi nous parlons, vous pouvez penser à la façon dont les programmes antivirus utilisent les définitions de virus et l’heuristique pour trouver les programmes dangereux avant qu’ils ne puissent fonctionner sur le système.

Les outils anti-explit fonctionnent différemment, bloquant les programmes si des techniques d’exploitation de la mémoire de type virus sont détectées pour se protéger contre de nombreuses attaques zero day avant que les définitions de virus ne sortent.

Toutefois, des programmes tels qu’EMET, qui est généralement utilisé sur les réseaux d’entreprise, peuvent poser des problèmes de compatibilité entre les applications et exiger une certaine expertise de leurs développeurs.

La protection anti-exploitation de Windows Defender inclut plusieurs des mêmes protections EMET de Microsoft qui sont activées par défaut pour tous et configurées automatiquement.

Pour vérifier que la protection d’exploitation est activée dans Windows 10 après la mise à jour de Fall Creators Update, vous devez aller dans Settings.

C’est la seule fonction de sécurité de Windows 10 qui est indépendante de la protection en temps réel de Windows Defender (l’antivirus interne de Windows 10), qui fonctionne donc même si vous installez un autre antivirus.

Voir aussi :  Dépannage de Windows Installer, erreurs d'installation et de désinstallation du programme

Les options pour activer l’anti-exploitation dans Windows 10 se trouvent dans Paramètres Mise à jour et sécurité Sécurité Windows Ouvrir la sécurité Windows.

Cliquez ensuite sur l’élément de contrôle de l’application et du navigateur, faites défiler vers le bas jusqu’à ce que vous trouviez le mot Exploiter la protection et cliquez sur le lien « Paramètres de protection d’exploitation ».

Les différentes options, qui doivent être presque toutes actives, sont divisées en Paramètres système et Paramètres du programme.

Les paramètres du système sont :

– Protection du flux de contrôle (CFG) – Actif.

– Protection de l’exécution du programme (DEP) – Activé.

– Forcer l’assignation aléatoire des images (ASLR requis) – Désactivé par défaut.

– utilise les allocations de mémoire aléatoire (ASLR bottom-up) – Activer.

– Valider les chaînes d’exceptions (SEHOP) – Activer.

– Valide l’intégrité du tas – Actif.

La signification des différentes options est très technique, il est donc préférable de laisser les options telles quelles sans les modifier, à moins de besoins spécifiques.

En revanche, les paramètres de programme servent à personnaliser la protection de programmes et d’applications individuels, de la même manière que Microsoft EMET l’a fait pour ceux qui l’utilisaient dans le passé.

De cette façon, si un programme présentait des bogues de sécurité, l’ordinateur ne pouvait toujours pas être attaqué à cause de cela.

Pour la plupart des programmes listés par défaut, vous ne trouverez qu’un seul paramètre activé (un seul paramètre par défaut), qui est « Force random assignment to images (ASLR requis) ».

D’autres programmes installés sur le PC peuvent être ajoutés à cette liste.

Voir aussi :  Comment connecter des PC Windows dans un réseau LAN

Tout en activant toutes les protections disponibles pour les programmes que vous risquez de ne pas faire fonctionner, vous pouvez toujours utiliser l’option « simuler l’exécution (SimExec) » pour voir quels effets cela aurait.

Par exemple, l’activation de toutes les options pour iexplore.exe, en essayant d’ouvrir Internet Explorer, entraînera une erreur.

Enfin, la possibilité d’activer la réduction de la surface d’attaque, c’est-à-dire la partie du système qui peut être exposée à des modifications non autorisées, est à mentionner.

Pour ce faire, ouvrez les stratégies de groupe locales (recherche dans le menu Démarrer), allez dans Configuration de l’ordinateur Modèles administratifs Composants Windows Antivirus Windows Defender Windows Defender Exploit Guard.

Dans cette section, vous pouvez activer ou désactiver les fonctions de sécurité que l’on trouve également dans les Paramètres de Windows 10 (dans le Centre de sécurité de Windows Defender), à savoir l’accès aux dossiers contrôlés (anti ransomware) et la protection réseau (Smartscreen).

De plus, il existe également une configuration non présente dans les Paramètres, réservée aux administrateurs des réseaux d’entreprise, qui vous permet de réduire la surface d’attaque.