En première ligne avec Windows Defender
La mise à jour d’automne de Windows 10 a apporté des avancées significatives à Defender, renforçant la sécurité du système d’exploitation notamment avec Application Guard et Exploit Guard.
Windows Defender offre bien plus qu'une protection contre les maliciels connus. Pour les utilisateurs en entreprise, il inclut une foule de fonctions avancées, dont Advanced Threat Protection, Exploit Guard et Application Guard.
Chacune des fonctionnalités de Windows Defender renforce la sécurité d'une manière différente. Windows Defender Advanced Threat Protection (ATP) aide à la détection et au renseignement des menaces. Windows Defender Exploit Guard vise à protéger contre les intrusions et Windows Defender Application Guard aide à assurer une navigation sûre.
Windows Defender ATP
Windows Defender ATP est un service sans agent qui met à profit l’analyse comportementale pour détecter les menaces avancées. Il permet d’identifier plus rapidement les attaques qui s’invitent au sein de l’infrastructure.
Defender ATP recueille pour cela des données comportementales à partir des hôtes du système d’information. Il stocke les données dans un cloud dédié sur Microsoft Azure. Une équipe de veille sur les menaces vient compléter l’édifice. Tout comme ses concurrents, tels que McAfee Dynamic Endpoint Threat Defense et Symantec Advanced Threat Protection, Windows Defender ATP offre une administration centralisée, avec tableaux de bord et systèmes d’alerte, mises à jour sur l'état et la santé des hôtes, représentations de bout en bout du déploiement et recommandations pour résoudre les problèmes de sécurité.
Les administrateurs peuvent utiliser le portail Windows Defender ATP pour connecter les terminaux Windows 10 au service et en administrer la sécurité. Il convient de ne pas confondre ce portail avec le Centre de sécurité Windows Defender, une application Windows 10 qui donne accès aux paramètres de protection contre les virus et les menaces, au pare-feu et aux autres systèmes de protection installés sur le poste de travail.
Windows Defender ATP fournit un historique détaillé des activités sur les machines administrées, dont les sites Web visités et les fichiers utilisés. La chronologie est mise à jour en continu pour chaque hôte. Ces informations peuvent s'avérer très utiles dans le cadre d’une enquête sur la manière dont est survenue une brèche. Il est également possible de soumettre les échantillons suspects aux analystes de l'équipe de renseignement sur les menaces pour un examen plus approfondi.
Windows Defender Exploit Guard
Une autre fonctionnalité de Windows Defender est Exploit Guard, qui vise à protéger les applications des tentatives d’exploitation de vulnérabilités, en utilisant des règles pour réduire leur surface d'attaque, ou encore en contrôlant l'accès au système de fichiers pour empêcher les changements par les logiciels malveillants. Microsoft recommande d'utiliser Exploit Guard conjointement à Windows Defender ATP, qui fournit des rapports détaillés sur les événements observés par Exploit Guard.
Les professionnels qui connaissent la trousse d'outils EMET (Enhanced Mitigation Experience Toolkit), qui a pris sa retraite le 31 juillet 2018, remarqueront qu’Exploit Guard en reprend de nombreuses caractéristiques. Pour faire la transition d'EMET à Exploit Guard sans peine, il est possible d’utiliser les profils de configuration EMET dans Exploit Guard après une étape de conversion rapide. Il est également possible d’exécuter Exploit Guard en mode audit pour tester cette fonctionnalité sans affecter l’environnement de production.
Windows Defender Application Guard
Windows Defender Application Guard isole les sessions de navigation dans Edge et Internet Explorer. Si un utilisateur rencontre un maliciel ou tout autre contenu malveillant en naviguant sur des sites Web, Application Guard l'empêche de se propager sur son poste de travail ou sur le réseau de l'entreprise.
Travaillant en liste blanche, un administrateur définit d'abord les sites et réseaux de confiance. Par la suite, les sites non fiables visités par les utilisateurs sont isolés à l'intérieur d’une micro-machine virtuelle.
Application Guard vise les postes de travail d'entreprise, fixes et mobiles, ainsi que les ordinateurs personnels des utilisateurs (BYOD).
System Center Configuration Manager et Microsoft Intune peuvent être utilisés pour configurer et administrer les terminaux d'entreprise et Intune pour les appareils BYOD.
Application Guard peut s’installer via le Panneau de configuration, avec PowerShell ou une solution de MDM. Mais il est nécessaire de décider au préalable s’il sera exécuté en mode autonome ou en mode administré. Le premier ne nécessite pas l'assistance d'un administrateur, tandis que le second implique la création d'une liste de domaines de confiance et une personnalisation supplémentaire.