Le déploiement de la détection et du confinement des logiciels malveillants est l’un des meilleurs moyens de protéger les terminaux. De plus, l’intégration de ces stratégies dans les plateformes de surveillance et de gestion à distance (RMM) permet aux fournisseurs de services gérés (MSP) d’optimiser les tâches en automatisant les réponses pour réduire le temps de réaction. Cela permet également d’accroître la visibilité sur tous les terminaux des clients, réduisant ainsi la surface d’attaque.
C’est pourquoi il est essentiel de comprendre comment configurer les intégrations RMM pour aider à détecter et à mettre en quarantaine les logiciels malveillants. Grâce à une intégration adéquate, les MSP peuvent identifier les menaces et isoler automatiquement les machines infectées, faire remonter les alertes et maintenir la conformité grâce à la journalisation et à la création de rapports. Dans ce guide, nous vous présenterons les stratégies d’intégration de RMM dans votre système via PowerShell, CMD, la surveillance du registre, les objets de stratégie de groupe (GPO) et les journaux d’événements pour lutter contre les attaques de logiciels malveillants. Cela devrait aider les MSP à identifier les menaces.
En bref
| Tâche | Action | Rôle du RMM |
| Tâche 1 : Utiliser PowerShell pour détecter et mettre en quarantaine les logiciels malveillants | Détection et mise en quarantaine des logiciels malveillants via les cmdlets Defender | Envoi de scripts, programmation d’analyses, automatisation des actions de mise en quarantaine |
| Tâche 2 : Utilisation de CMD pour l’analyse antivirus et la mise en quarantaine | Détecte et met en quarantaine les logiciels malveillants à l’aide de MpCmdRun.exe | Déployer des scripts de traitement par lots sur des terminaux |
| Tâche 3 : Surveillance des journaux d’événements pour détecter les activités des logiciels malveillants | Détecte l’activité des logiciels malveillants en surveillant les journaux de Defender | Surveiller les identifiants d’événements, déclencher des alertes ou des scripts |
| Tâche 4 : Utilisation d’indicateurs de registre pour l’isolation et le renforcement | Détecte les altérations de l’AV (antivirus) et applique les changements de renforcement | Surveiller les clés de registre, appliquer ou restaurer les paramètres |
| Tâche 5 : Renforcer les paramètres de l’antivirus via la stratégie de groupe | Appliquer les politiques AV, mais ne pas détecter les menaces | Maintien de la politique de base, prise en charge du comportement des scripts RMM |
| Tâche 6 : Mise en quarantaine des terminaux via l’isolation du réseau et des services | Isole les machines infectées du réseau | Exécuter des scripts d’isolation réactifs basés sur des déclencheurs de menaces |
Conditions préalables à une réponse aux logiciels malveillants basée sur un système RMM
Avant de procéder à la configuration de la réponse aux logiciels malveillants basée sur RMM, assurez-vous que votre environnement répond aux exigences suivantes :
- Une plateforme RMM avec des capacités de script, d’alerte et d’automatisation (par exemple, NinjaOne)
- Logiciel antivirus actif sur les terminaux, tel que Microsoft Defender ou des outils tiers tels que SentinelOne ou Bitdefender
- PowerShell 5.1+ ou accès CMD pour l’écriture de commandes AV
- Accès aux journaux d’analyse antivirus ou aux journaux d’événements de sécurité Windows pour la surveillance des menaces
- Configurations GPO optionnelles pour renforcer les paramètres de l’antivirus et activer la protection en temps réel
Tâche 1 : Utiliser PowerShell pour détecter et mettre en quarantaine les logiciels malveillants
📌 Cas d’utilisation :
PowerShell permet aux administrateurs informatiques d’exécuter des scripts via RMM pour rechercher des menaces, enregistrer les événements de détection et prendre des mesures. Il est fonctionnellement intégré à Microsoft Defender, ce qui permet une gestion manuelle et automatisée des menaces.
Vous trouverez ci-dessous les tâches recommandées que vous pouvez effectuer avec PowerShell pour prévenir ou répondre de manière proactive aux menaces de logiciels malveillants par le biais de RMM.
- Ouvrez PowerShell en tant qu’administrateur. Appuyez sur la touche Windows, tapez PowerShell, puis cliquez avec le bouton droit de la souris sur Windows PowerShell et sélectionnez Exécuter en tant qu’administrateur.
- Exécutez les commandes suivantes :
- Pour lancer une analyse rapide :
Start-MpScan -ScanType QuickScan
- Pour passer en revue les menaces détectées :
Get-MpThreatDetection | Format-List
- Pour mettre les menaces en quarantaine :
Remove-MpThreat -ThreatID <ID> -Quarantine
- Pour s’assurer que la protection en temps réel est activée :
Set-MpPreference -DisableRealtimeMonitoring $false (Désactiver la surveillance en temps réel)
💡RMM role: RMM est un outil efficace pour aider les administrateurs système à programmer des analyses quotidiennes, à enregistrer les menaces et à mettre automatiquement en quarantaine les infections sur les terminaux.
Tâche 2 : Utilisation de CMD pour l’analyse antivirus et la mise en quarantaine
📌 Cas d’utilisation :
Les appareils plus anciens peuvent bénéficier d’une analyse en ligne de commande via MpCmdRun.exe. Cette tâche est également utile lorsque l’accès à PowerShell est limité et que le système nécessite une exécution simplifiée des scripts via les fichiers batch de RMM.
Vous trouverez ci-dessous les tâches recommandées à l’aide de l’outil de ligne de commande de Microsoft Defender(MpCmdRun.exe) que vous pouvez exécuter avec l’Invite de commande pour prévenir ou répondre de manière proactive aux menaces de logiciels malveillants par l’intermédiaire de RMM.
- Appuyez sur la touche Windows + X, puis sélectionnez Invite de commande (Admin) ou Terminal Windows (Admin). Si vous utilisez le terminal Windows, assurez-vous que vous êtes dans un onglet de l’Invite de commande, et non dans PowerShell.
- Exécutez les commandes suivantes :
- Pour lancer une analyse rapide :
"%ProgramFiles%\NWindows Defender\NMpCmdRun.exe" -Scan -ScanType 1
- Pour lancer une analyse complète :
"%ProgramFiles%\NWindows Defender\NMpCmdRun.exe" -Scan -ScanType 2
- Pour afficher l’historique des menaces mises en quarantaine :
"%ProgramFiles%\NWindows Defender\NMpCmdRun.exe" -GetFiles
💡 Rôle du RMM: Utilisez l’automatisation RMM pour déployer des scripts CMD en vue d’une analyse programmée ou conditionnelle, en particulier sur les appareils dont les environnements de script sont limités.
Tâche 3 : Surveillance des journaux d’événements pour détecter les activités des logiciels malveillants
📌 Cas d’utilisation :
Les administrateurs informatiques peuvent tirer parti de la capacité des journaux Microsoft Defender à enregistrer toutes les principales actions du système. Ils peuvent s’en servir comme source pour surveiller l’activité des menaces.
- Ouvrez l’observateur d’événements en appuyant sur la touche Windows + R, en tapant eventvwr.msc et en appuyant sur Entrée.
- Naviguez vers :
Journaux des applications et services > Microsoft > Windows > Windows Defender > Opérationnel - Recherchez les ID d’événements correspondants :
- 1116: Malware détecté
- 1117: Mesures prises
- 2001: Menace supprimée
- 5007: Registre modifié (éventuellement par un logiciel malveillant)
- Vous pouvez ensuite utiliser PowerShell pour contrôler ces journaux en exécutant la commande suivante :
Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" | Where-Object {$_.Id -eq 1116}
💡 Rôle du RMM: Les politiques RMM peuvent être configurées pour surveiller ces événements et déclencher une remédiation automatique. Ces actions peuvent inclure la mise en quarantaine du terminal ou la création d’un ticket d’assistance.
Tâche 4 : Utilisation des indicateurs de registre DisableAntiSpyware et DisableAntiVirus pour l’isolation et le renforcement de la sécurité
📌 Cas d’utilisation :
Les administrateurs informatiques peuvent utiliser les paramètres du registre pour renforcer rapidement le système. Les indicateurs de registre permettent également de connaître l’état de la protection antivirus et d’identifier les terminaux qui doivent être isolés.
- Ouvrez PowerShell en tant qu’administrateur. Appuyez sur la touche Windows, tapez PowerShell, puis cliquez avec le bouton droit de la souris sur Windows PowerShell et sélectionnez Exécuter en tant qu’administrateur.
- Exécutez les commandes suivantes :
- Pour vérifier si Defender est désactivé :
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "DisableAntiSpyware", "DisableAntiVirus"
- Pour réactiver Defender :
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Value 0
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "DisableAntiVirus" -Value 0
- Pour activer la protection du réseau :
Set-MpPreference -EnableNetworkProtection Enabled (activer la protection du réseau)
💡 Rôle du RMM: La surveillance des clés de registre via RMM permet de détecter les modifications malveillantes et de prendre rapidement des mesures correctives ou de retour en arrière.
Tâche 5 : Renforcer les paramètres de l’antivirus via la stratégie de groupe
📌 Cas d’utilisation :
Les objets de stratégie de groupe (GPO) permettent d’appliquer une ligne de base stable à tous les appareils, ce qui garantit que les paramètres de protection et d’analyse en temps réel restent actifs.
- Ouvrez la stratégie de groupe en tant qu’administrateur. Appuyez sur la touche Windows, tapez gpedit.msc, puis appuyez sur Ctrl + Shift + Entrée pour l’exécuter en tant qu’administrateur.
- Naviguez vers : Configuration de l’ordinateur > Modèles d’administration > Composants Windows > Antivirus Microsoft Defender
- Vérifiez chacun des paramètres suivants et assurez-vous qu’ils sont configurés correctement :
| Paramètre | Statut recommandé |
| « Désactiver l’antivirus Microsoft Defender » | Désactivé |
| « Autoriser le service antimalware à rester toujours en cours d’exécution » | Activé |
| « Désactiver la protection en temps réel | Désactivé |
| « Activer la surveillance du comportement | Activé |
💡 Rôle du RMM: L’association de GPO et de RMM garantit que les terminaux restent conformes aux politiques de sécurité et qu’ils sont toujours prêts à réagir aux logiciels malveillants.
Tâche 6 : Mise en quarantaine des terminaux via l’isolation du réseau et des services
📌 Cas d’utilisation :
Cette tâche est cruciale lorsque les logiciels malveillants sont classés comme étant à haut risque. Les administrateurs informatiques peuvent utiliser PowerShell pour désactiver la connectivité et les services à risque.
- Ouvrez PowerShell en tant qu’administrateur. Appuyez sur la touche Windows, tapez PowerShell, puis cliquez avec le bouton droit de la souris sur Windows PowerShell et sélectionnez Exécuter en tant qu’administrateur.
- Exécutez les commandes suivantes :
- Pour désactiver la carte réseau :
Disable-NetAdapter -Name "Ethernet" -Confirm:$false
- Pour arrêter les services clés :
Stop-Service -Name "RemoteRegistry" -Force
Stop-Service -Name "WinRM" -Force
- Pour bloquer le trafic sortant :
New-NetFirewallRule -DisplayName "BlockOutbound" -Direction Outbound -Action Block -Enabled True
💡 Rôle du RMM: Les administrateurs système peuvent déclencher ces scripts de manière conditionnelle par l’intermédiaire d’un outil RMM lorsque des logiciels malveillants sont détectés. Cela minimise les mouvements latéraux et l’exfiltration de données.
⚠️ Éléments à prendre en compte
| Risques | Conséquences potentielles | Retours en arrière |
| L’analyse ne s’exécute pas | Les logiciels malveillants peuvent passer inaperçus, laissant les terminaux exposés | Vérifiez que Microsoft Defender est activé et que PowerShell dispose des autorisations appropriées. Exécutez les scripts en tant qu’administrateur ou ajoutez un enregistrement pour vérifier l’exécution. |
| Aucune menace enregistrée | Les détections manquées peuvent empêcher les alertes et les rapports, réduisant ainsi la visibilité | Assurez-vous que la télémétrie et la journalisation de Defender sont activées. Utilisez Get-MpComputerStatus pour vérifier l’état de la journalisation et de la protection. |
| Échec de la quarantaine | Les menaces peuvent persister sur l’appareil et se propager latéralement sur le réseau | Redémarrez en mode sans échec pour exécuter la suppression, ou isolez l’appareil à distance à l’aide de scripts RMM. |
| Les scripts de désactivation de la carte réseau échouent silencieusement | Les appareils infectés restent en ligne, ce qui compromet les efforts d’endiguement | Ajoutez -Verbose et la journalisation de la transcription au script. Tester dans un environnement contrôlé avant le déploiement. |
Autres considérations relatives à la réponse aux logiciels malveillants via RMM
- Intégration d’antivirus tiers : Certains antivirus proposent des options CLI/API pour l’analyse et l’isolation.
- Fausses alertes : Conservez toujours des journaux de tous les événements et prenez en charge le retour en arrière manuel pour éviter les perturbations.
- Flux de travail d’escalade : Les administrateurs informatiques peuvent choisir parmi une variété de solutions RMM qui offrent également des outils PSA intégrés. Cela permet d’optimiser les services de reporting et de ticketing.
- Octroi de licences : Confirmez que les fonctionnalités de Defender ou de l’AV sont entièrement sous licence et qu’elles ne sont pas désactivées par des restrictions OEM.
Services NinjaOne pour la détection et la mise en quarantaine des logiciels malveillants via RMM
NinjaOne et ses outils peuvent contribuer à améliorer la détection et la réponse proactives aux menaces de logiciels malveillants.
| Service NinjaOne | Qu’est-ce que c’est ? | Comment il facilite la détection des logiciels malveillants et la réponse à ces derniers |
| Déploiement du script | Distribue des scripts d’analyse et de remédiation des logiciels malveillants basés sur PowerShell ou CMD | Automatise les analyses régulières et permet de remédier rapidement aux menaces sur plusieurs appareils |
| Surveillance du journal des événements | Surveille les journaux d’événements de Windows Defender (par exemple, l’ID d’événement 1116 pour la détection de logiciels malveillants) | Détecte les menaces en temps réel et déclenche des processus de réponse automatisés |
| Quarantaine automatisée | Exécute des scripts préconfigurés pour isoler les appareils infectés du réseau | Limite la propagation des logiciels malveillants en coupant rapidement les terminaux compromis |
| Gestion des politiques | Applique et renforce les configurations AV, telles que la protection en temps réel Defender et les paramètres d’analyse | Maintien d’une base de sécurité cohérente pour tous les terminaux |
| Intégration de ticketing | Génère des tickets PSA en cas de détection de logiciels malveillants | Veiller à ce que les incidents soient documentés, attribués et traités dans les délais prévus par les accords de niveau de service |
| Audit et rapports | Enregistre toutes les activités liées aux logiciels malveillants, y compris les actions de détection, de mise en quarantaine et de remédiation | Soutien à la conformité, à l’examen des incidents et à la transparence opérationnelle |
Tirer parti de la gestion des risques pour répondre aux menaces liées aux logiciels malveillants
L’intégration de la détection des logiciels malveillants et des flux de quarantaine dans les plateformes RMM transforme les outils AV réactifs en solutions de cybersécurité proactives. Grâce à PowerShell, Command Prompt et aux journaux d’événements, les fournisseurs de services gérés et les administrateurs système peuvent automatiser la détection et la réponse aux logiciels malveillants. Parallèlement, l’application du registre et des GPO permet de mettre en œuvre des stratégies visant à stabiliser la posture de sécurité.
Les outils RMM tels que NinjaOne peuvent compléter toutes les étapes décrites pour les rendre évolutives. En intégrant ces flux de travail dans la gestion des terminaux, les entreprises peuvent réduire considérablement les temps de réponse et renforcer la protection globale.
Articles connexes :
- Qu’est-ce qu’un logiciel malveillant ? Types, détection & Prévention
- Qu’est-ce que la quarantaine en cybersécurité ?
- Comment utiliser Windows Defender pour rechercher des logiciels malveillants ?
- Comment lire les journaux d’événements de Windows : Arrêt et redémarrage
- Comment analyser manuellement les fichiers, dossiers et lecteurs à la recherche de logiciels malveillants dans Windows 10 ?
