Demandez à quelqu’un quel logiciel antivirus il utilise et vous obtiendrez probablement un argument quasi religieux à propos de celui qu’il a installé. Les choix d’antivirus dépendent souvent de ce en quoi nous avons confiance ou non sur notre système d’exploitation. J’ai vu certains utilisateurs de Windows indiquer qu’ils préféreraient qu’un fournisseur tiers surveille et protège leurs systèmes. D’autres, comme moi, considèrent les logiciels antivirus comme moins importants de nos jours ; il est plus important que votre fournisseur d’antivirus puisse gérer correctement la mise à jour de Windows et ne causera pas de problèmes.
D’autres encore comptent sur Microsoft Defender. Il existe sous une forme ou une autre depuis Windows XP.
Defender a récemment eu un problème de jour zéro qui a été corrigé en silence. En conséquence, j’ai demandé à de nombreux utilisateurs de vérifier quelle version de Defender ils ont installée. (Pour vérifier : cliquez sur Démarrer, puis sur Paramètres, puis sur Mise à jour et sécurité, puis sur Sécurité Windows, puis sur Ouvrir la sécurité Windows. Maintenant, recherchez la roue dentée (paramètres) et sélectionnez À propos.
Il y a quatre lignes d’information ici. Le premier vous donne le numéro de version du client Antimalware. La seconde vous donne la version du moteur. Le troisième vous donne le numéro de version de l’antivirus. Et le nombre final est le numéro de version Antispyware. Mais qu’est-ce que cela signifie quand Defender dit que sa version de moteur, sa version d’antivirus et sa version d’antispyware sont 0.0.0.0 ? Cela peut signifier qu’un antivirus tiers est installé ; il prend le relais pour Defender, qui est ainsi correctement éteint. Certaines personnes pensaient que leur fournisseur d’antivirus “à la demande” n’était qu’un outil d’analyse uniquement, Defender restant le principal outil antivirus. Mais si l’outil d’analyse tiers est considéré comme un antivirus en temps réel, ce sera le logiciel opérationnel de votre système.
Defender implique plus que la simple vérification des fichiers et des téléchargements défectueux. Il offre une variété de paramètres que la plupart des utilisateurs ne vérifient pas régulièrement ou ne connaissent même pas. Certains sont exposés dans l’interface graphique. D’autres s’appuient sur des développeurs tiers pour fournir des conseils et une compréhension supplémentaires. L’une de ces options est l’outil ConfigureDefender sur le site de téléchargement GitHub. (ConfigureDefender expose tous les paramètres que vous pouvez utiliser via PowerShell ou le registre.)
ConfigurerDefender
L’outil ConfigureDefender.
Comme indiqué sur le site ConfigureDefender, différentes versions de Windows 10 fournissent différents outils pour Defender. Toutes les versions de Windows 10 incluent la surveillance en temps réel ; Surveillance du comportement ; analyses de tous les fichiers et pièces jointes téléchargés ; Niveau de rapport (niveau d’adhésion à MAPS); Charge CPU moyenne lors de la numérisation ; Soumission automatique d’échantillons ; Vérifications des applications potentiellement indésirables (appelées PUA Protection) ; un niveau de protection cloud de base (par défaut) ; et une limite de temps Cloud Check de base. Avec la sortie de Windows 10 1607, le paramètre “bloquer à première vue” a été introduit. Avec la version 1703, des niveaux plus granulaires de niveau de protection du cloud et de limite de temps de vérification du cloud ont été ajoutés. Et à partir de 1709, la réduction de la surface d’attaque, le niveau de protection du cloud (avec des niveaux étendus pour Windows Pro et Enterprise), l’accès contrôlé aux dossiers et la protection du réseau sont apparus.
Au fur et à mesure que vous faites défiler l’outil, vous remarquerez une section qui couvre le contrôle des règles de réduction de la surface d’attaque (ASR) de Microsoft. Vous remarquerez également que beaucoup d’entre eux sont handicapés. Ce sont parmi les paramètres les plus négligés de Microsoft Defender. Bien que vous ayez besoin d’une licence Enterprise pour exposer pleinement la surveillance sur votre réseau, même les ordinateurs autonomes et les petites entreprises peuvent tirer parti de ces paramètres et protections. Comme indiqué dans un document récent, les recommandations de Microsoft Defender Attack Surface Reduction, plusieurs paramètres devraient être sûrs pour la plupart des environnements.
Les paramètres recommandés à activer incluent :
L’activation de ces paramètres, ce qui signifie qu’ils bloquent l’action, n’aura généralement pas d’impact négatif, même sur les ordinateurs autonomes. Vous pouvez utiliser l’outil pour définir ces valeurs et examiner tout impact sur votre système. Vous ne réaliserez probablement même pas qu’ils vous protègent mieux.
Ensuite, certains paramètres doivent être examinés pour votre environnement afin de vous assurer qu’ils n’interfèrent pas avec vos besoins professionnels ou informatiques. Ces paramètres sont :
En particulier, dans un environnement qui inclut Outlook et Teams, un grand nombre d’événements étaient enregistrés si le paramètre « Empêcher toutes les applications bureautiques de créer des processus enfants » était activé. Encore une fois, vous pouvez les essayer et voir si vous êtes concerné.
Les paramètres à surveiller incluent ceux-ci :
Ces paramètres doivent être examinés pour s’assurer qu’ils n’entravent pas les applications et les processus métier du secteur d’activité. Par exemple, alors que “Utiliser une protection avancée contre les ransomwares” ressemble à un paramètre que tout le monde souhaiterait, dans une entreprise où une équipe avait développé un logiciel à usage interne, cela a créé des problèmes avec les flux de travail des développeurs. (Ce paramètre analyse spécifiquement les fichiers exécutables entrant dans le système pour déterminer s’ils sont dignes de confiance. Si les fichiers ressemblent à des rançongiciels, cette règle les empêche de s’exécuter.)
Le paramètre “Bloquer les créations de processus provenant des commandes PSExec et WMI” était particulièrement gênant, selon les auteurs. Non seulement le paramètre a entraîné un grand nombre d’événements dans le journal d’audit, mais il est incompatible avec Microsoft Endpoint Configuration Manager, car le client du gestionnaire de configuration a besoin des commandes WMI pour fonctionner correctement.
Si vous n’avez pas examiné les paramètres supplémentaires dans Microsoft Defender, téléchargez le fichier zip à partir de github, décompressez-le et exécutez ConfigureDefender.exe pour voir comment ces paramètres peuvent affecter votre ordinateur. Vous pourriez être surpris de constater que vous pouvez ajouter un peu plus de protection sans impact sur votre expérience informatique.