Configuration de la Protection réseau de la fonction Exploit Guard de Microsoft Defender

Face aux arnaques par hameçonnage (phishing) et autres contenus malveillants en ligne, la la protection réseau Exploit Guard de Windows Defender peut établir une couche de sécurité sur les terminaux. Ce guide vous montrera les différentes façons de configurer la protection réseau de Windows Defender et d’aider votre infrastructure informatique à résister aux cyberattaques.

Étapes de la configuration de la protection réseau de Windows Defender

• Via l’éditeur d’objets de stratégie de groupe :

  • Appuyez sur la touche Windows + R, tapez gpedit.msc et appuyez sur Entrée.
  • Dans le dossier Protection du réseau, activez la stratégie « Empêcher les utilisateurs et les applications d’accéder aux sites web dangereux ».

• Via PowerShell avec un accès élevé :

  • Appuyez sur la touche Windows + S et tapez powershell. Cliquez sur Exécuter en tant qu’administrateur sous l’icône Windows PowerShell.
  • Tapez la cmdlet Set-MpPreference -EnableNetworkProtection Enabled et appuyez sur Entrée.

• Via l’application Sécurité Windows :

  • Ouvrez Sécurité Windows en lançant le menu Démarrer, en tapant securité et en appuyant sur Entrée.
  • Sélectionnez Contrôle des applications et du navigateur, Paramètres d’Exploit Protection, et Paramètres du programme. Choisissez les applications auxquelles vous souhaitez appliquer des mesures d’atténuation de la protection contre les exploits.

• Vérifiez vos paramètres dans l’éditeur du registre :

  • Appuyez sur la touche Windows + R, sélectionnez regedit et appuyez sur Entrée. Ouvrez la clé de registre de la protection du réseau via ce chemin : Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection.
  • Après avoir sélectionné la stratégie EnableNetworkProtection dans le dossier Protection du réseau , vérifiez la valeur correspondante pour voir si la protection du réseau est désactivée (0), activée (1) ou en mode audit (2).

• Auditer manuellement les pages web via l’observateur d’événements Windows :

  • Ouvrez le menu Démarrer, tapez observateur d’événements et cliquez sur observateur d’événements.
  • Dans le dossier Windows Defender (opérationnel), reportez-vous à l’ ID d’événement 1125 pour consulter les journaux des pages Web signalées par la protection du réseau.

Comprendre la protection du réseau dans Windows 10/11

Avant d’aborder la configuration de la protection du réseau, définissons d’abord ce qu’est la protection du réseau dans Windows 10/11 et comment elle défend vos appareils contre les menaces en ligne.

Qu’est-ce que la protection réseau Exploit Guard de Windows Defender ?

Exploit Guard fait partie intégrante des opérations de Windows Defender. Elle est apparue pour la première fois sur la version 1709 de Windows 10. La protection réseau Exploit Guard de Windows Defender utilise l’Intelligent Security Graph (ISG), une vaste base de données contenant des informations sur la sécurité de tous les produits et services Microsoft, pour déterminer et analyser les schémas et pratiques communs aux cyberattaques existantes.

Exploit Guard de Windows Defender fonctionne grâce à quatre composants :

• Réduction de la surface d’attaque : Il s’agit de bloquer les menaces provenant de Microsoft Office, des scripts et des e-mails.
• Accès contrôlé aux dossiers : Il s’agit de limiter l’accès aux données sensibles contenues dans les fichiers et dossiers de votre ordinateur.
• Protection contre les exploits : Il s’agit de configurer des mesures d’atténuation des exploits pour votre système et vos applications.
• Protection du réseau : Il s’agit de protéger l’appareil contre les menaces basées sur le web, généralement par le biais de domaines et d’adresses IP trompeurs.

Dans ce guide, nous nous concentrerons sur la composante de protection du réseau d’Exploit Guard.

Comment la protection réseau de Windows Defender aide à empêcher l’accès à des domaines potentiellement dangereux et à des sites de phishing

Malgré le renforcement des mesures de cybersécurité, les hackers se basant sur internet ont appris à s’adapter en améliorant leurs stratégies de vol d’informations. Ils utilisent pour cela des méthodes telles que l’hameçonnage (phishing), les arnaques, l’ingénierie sociale, l’accès non autorisé à un centre de commande et de contrôle (C&C), et bien d’autres encore.

La protection du réseau dans Windows 10/11 vise à repérer les connexions sortantes vers des domaines potentiellement dangereux et à y mettre fin. Elle utilise les informations que le ISG rassemble et les contrôles de réputation basés sur les adresses IP des domaines. Cette capacité de filtrage bloque et suspend la connexion dès qu’elle reconnaît un domaine comme hôte potentiel d’attaques.

Comparaison entre la protection réseau de Windows Defender et d’autres fonctions de sécurité de Microsoft Defender

La protection réseau de Windows Defender présente de nombreuses similitudes avec Microsoft Defender SmartScreen, un outil anti-malware intégré à Microsoft Edge. Ces outils permettent de protéger les ordinateurs contre les attaques de phishing et les fichiers et programmes potentiellement malveillants. Les deux outils utilisent également le ISG pour identifier les cyberattaques éventuelles.

Bien qu’ils visent tous deux à protéger votre système, ils diffèrent par leur mécanisme. SmartScreen analyse les pages web suspectes, vérifie les téléchargements récents et avertit l’utilisateur d’une menace potentielle en ligne par le biais d’un système d’alerte précoce. La protection réseau, de son côté, interrompt rapidement la connexion sortante au premier signe de danger, empêchant ainsi les attaquants d’entrer en contact avec les utilisateurs vulnérables.

Conditions préalables et configuration requise pour la protection du réseau

Versions Windows prises en charge d’Exploit Guard Network Protection

Les versions de Windows qui prennent en charge Windows Defender et, par extension, Network Protection sous Exploit Guard sont énumérées ci-dessous :

Conditions de licence pour la protection réseau de Windows Defender

Si votre ordinateur utilise une plateforme de sécurité de niveau entreprise appelée Microsoft Defender for Endpoint, les conditions de licence suivantes pour Windows Defender Network Protection doivent être remplies :

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

Les deux premières peuvent être des licences autonomes ou faire partie d’autres plans Microsoft 365, tandis que la dernière est généralement réservée aux petites et moyennes entreprises.

Autorisations nécessaires pour la protection réseau de Windows Defender

Pour activer la protection réseau sur votre appareil, vous devez disposer d’autorisations de niveau administrateur pour configurer les paramètres de Windows Defender. Si votre ordinateur est privé, vous devriez déjà disposer de ces autorisations par défaut. Toutefois, si votre appareil appartient à l’entreprise, vous devrez peut-être demander à votre équipe informatique un accès administrateur.

Grâce à Microsoft Defender for Endpoint, un administrateur peut utiliser le contrôle d’accès basé sur les rôles (RBAC) pour gérer les autorisations et attribuer des rôles à différents utilisateurs ou groupes d’utilisateurs. Avec RBAC, vous pouvez modifier l’accès d’autres utilisateurs au portail Defender for Endpoint. Les utilisateurs peuvent ensuite activer la protection du réseau sur leurs propres appareils.

Méthodes pour activer la protection réseau Exploit Guard de Windows Defender

Maintenant que nous avons abordé tout ce que vous devez savoir sur la protection du réseau, nous allons vous aider à activer cette fonctionnalité.

Utilisation de l’éditeur de stratégie de groupe pour activer la protection réseau Windows Defender.

1. Ouvrez l’éditeur de stratégie de groupe local en appuyant sur la touche Windows + R. Tapez gpedit.msc et cliquez sur OK.
2. Dans la partie gauche de la fenêtre, naviguez jusqu’au dossier Protection du réseau en suivant les étapes ci-dessous :

Configuration de l’ordinateur → Modèles d’administration → Composants Windows → Windows Defender Antivirus → Windows Defender Exploit Guard → Protection du réseau

3. Dans la partie droite de la fenêtre, double-cliquez sur Empêcher les utilisateurs et les applications d’accéder aux sites Web dangereux. Cela vous permet de modifier la politique.
4. Sélectionnez Activé, sélectionnez Bloquer sous Options et cliquez sur OK.

Si vous gérez plusieurs terminaux dans un environnement d’entreprise et que vous souhaitez y déployer la protection du réseau, procédez comme suit :

1. Ouvrez la console de gestion des stratégies de groupe (GPMC – Group Policy Management Console) en appuyant sur les touches Windows + R. Tapez gpmc.msc et cliquez sur OK.
2. Double-cliquez sur Objets de stratégie de groupe et recherchez l’objet de stratégie de groupe (GPO) que vous souhaitez modifier. Cliquez avec le bouton droit de la souris sur cette GPO et cliquez sur Modifier.
3. Répétez les étapes 2 à 4 de la section précédente.

Activation de la protection réseau de Windows Defender via PowerShell

1. Ouvrez une fenêtre PowerShell en appuyant sur la touche Windows + S. Tapez powershell et cliquez sur Exécuter en tant qu’administrateur sous l’icône Windows PowerShell.
2. Tapez Set-MpPreference -EnableNetworkProtection Enabled et appuyez sur Entrée.
3. Fermez la fenêtre PowerShell et redémarrez votre ordinateur.

Vous pouvez également vérifier si la protection du réseau a été activée en utilisant la cmdlet « Get-MpPreference ». Le numéro figurant à côté de la propriété « EnableNetworkProtection » correspond à l’un des états suivants :

• 0 – Désactivé
• 1 – Activé
• 2 – Mode audit

Activation des mesures d’atténuation de la protection contre les exploits via l’application WindowsSecurity

1. Ouvrez l’application Sécurité Windows en lançant le menu Démarrer, en tapant sécurité dans la barre de recherche et en appuyant sur Enter.
2. Cliquez sur la tuile de contrôle du navigateur et des applications, puis sélectionnez Paramètres de protection contre les exploits.
3. Naviguez vers les paramètres du programme et choisissez l’application ou les applications auxquelles vous souhaitez appliquer des mesures d’atténuation de la protection contre les exploits.

• • Sélectionnez l’application, puis Modifier si l’application est déjà répertoriée.
  • Sinon, sélectionnez Ajouter un programme à personnaliser pour ajouter l’application.

4. Choisissez les mesures d’atténuation que vous souhaitez activer pour l’application sélectionnée. Répétez ce processus jusqu’à ce que vous ayez appliqué toutes vos configurations préférées. Notez que vous pouvez être invité à redémarrer le processus, l’application ou même Windows.
5. Pour configurer une atténuation spécifique de la protection contre les exploits, accédez aux Paramètres du système et spécifiez l’un des paramètres suivants :

• • Activé par défaut 
  • Désactivé par défaut
  • Utiliser la configuration par défaut (cela dépend de la configuration par défaut lors de l’installation de Windows 10/11)

6. Enfin, une fois que vous avez effectué toutes les modifications souhaitées, cliquez sur Appliquer.

Vérification et test de la protection du réseau dans Windows 10/11

Méthodes pour confirmer que la protection réseau Windows Defender est active

Dans la section PowerShell, nous avons brièvement expliqué comment vérifier si la protection réseau est activée sur l’appareil. Cette opération peut également être effectuée par l’intermédiaire de l’éditeur de registre. Voici comment :

1. Ouvrez l’Editeur de registre en cliquant sur le bouton Démarrer. Tapez regedit et appuyez sur Entrée. Dans le panneau de gauche, sélectionnez HKEY_LOCAL_MACHINE.
2. Naviguez jusqu’à Protection du réseau. Vous pouvez suivre l’un de ces chemins :
   1. LOGICIELS → Stratégies → Microsoft → Windows Defender → Windows Defender Exploit Guard → Protection du réseau
   2. LOGICIELS → Microsoft → Windows Defender → Windows Defender Exploit Guard → Protection du réseau
3. Cliquez sur EnableNetworkProtection et confirmez si la protection du réseau est activée, désactivée ou en mode audit à l’aide des valeurs suivantes :
   • 0 – Désactivé
   • 1 – Activé
   • 2 – Mode audit

Tester les URL bloquées et les journaux dans le Microsoft Defender Security Center

Pour vérifier les URL et les journaux spécifiques auxquels vous avez bloqué l’accès pour plusieurs terminaux dans le cadre de la protection du réseau, suivez les étapes ci-dessous :

1. Connectez-vous au portail Microsoft Defender.
2. Cliquez sur Paramètres dans le panneau de gauche, puis sur Terminaux.
3. Sous Règles, sélectionnez Indicateurs.
4. Les URL bloqués doivent être répertoriés sous URL/Domaines.

Résolution des problèmes lors de la configuration de la protection du réseau

Problèmes courants lors de l’activation de la protection réseau Windows Defender

Comme votre appareil utilise la protection du réseau pour enregistrer les pages web auxquelles vous accédez en temps réel, il est possible qu’il marque un site web sûr comme étant une menace (faux positif) ou un site web malveillant comme étant sûr (faux négatif).

Lorsque ce scénario se produit, vous pouvez signaler le site web étiqueté comme faux positif/négatif via ce formulaire de Windows Defender Security Intelligence.

En outre, la protection du réseau peut ralentir les performances de votre ordinateur ou la connectivité internet, car elle surveille et bloque activement les menaces potentielles en ligne. Si ce problème persiste malgré la mise à jour de Windows Defender, essayez de passer en mode audit de la protection du réseau en procédant comme suit :

1. Ouvrez une session PowerShell surélevée.
2. Tapez Set-MpPreference -EnableNetworkProtection AuditMode et appuyez sur Entrée.

En mode audit, la protection du réseau autorise toutes les connexions, mais vous avertit des risques éventuels, ce qui vous permet de les gérer directement. Tous les journaux peuvent être consultés dans Observateur d’événements Windows dont nous parlerons dans la section suivante.

Les journaux et la visionneuse d’événements pour le débogage dans la protection du réseau

Pour afficher les événements de protection du réseau enregistrés en mode audit, procédez comme suit :

1. Ouvrez l’observateur d’événements Windows en cliquant sur le bouton Démarrer, en tapant observateur d’événements et en sélectionnant observateur d’événements.
2. Naviguez jusqu’au dossier Windows Defender (opérationnel) en utilisant ce chemin :

Journaux des applications et services → Microsoft → Windows → Windows Defender (opérationnel)

3. Utilisez l’ID d’événement 1125 pour filtrer les événements déclenchés par la protection du réseau en mode audit. À partir de là, vous pouvez vous attaquer aux pages web signalées par la protection du réseau et les marquer comme des menaces.

Désactivation de la protection réseau de Windows Defender si nécessaire

Bien que nous déconseillions généralement de désactiver Windows Defender, n’oubliez pas que Windows Defender est automatiquement désactivé lorsque vous utilisez un programme antivirus tiers. L’utilisation simultanée des deux outils de sécurité peut entraîner des problèmes de compatibilité et ralentir les performances de votre terminal.

Si vous préférez utiliser un outil antivirus non Windows et souhaitez désactiver Windows Defender :

1. Ouvrez une session PowerShell surélevée.
2. Tapez Set-MpPreference -EnableNetworkProtection Disabled et appuyez sur Entrée.

Meilleures pratiques pour les administrateurs informatiques lors de l’activation de la protection du réseau dans Windows

Combinaison de la protection du réseau avec d’autres fonctions de sécurité de Windows

Pour optimiser la protection de votre appareil contre les cyberattaques, nous vous recommandons d’activer la protection du réseau en même temps que ces fonctions de sécurité Windows :

• Protection du Web: Dans le cadre de Microsoft Defender for Endpoint, Web Protection assure le filtrage du contenu et la prise en charge d’indicateurs de compromission personnalisés.
• Protection contre les exploits: Intégrée au système d’exploitation en tant que composant de Windows Defender Exploit Guard, la protection contre les exploits combat les logiciels malveillants (sous forme de programmes et d’applications).
• Pare-feu Windows: Activée par défaut sur tous les appareils Windows, cette fonction restreint l’accès entre votre appareil et les domaines en ligne qu’elle juge non fiables (généralement en fonction des logiciels installés et des autorisations préapprouvées).

Configuration des exclusions pour les domaines de confiance dans la protection du réseau

La création d’une liste de domaines et d’adresses IP de confiance par le biais de la protection du réseau réduit le nombre de faux positifs et les interruptions inutiles pour les utilisateurs finaux. Vous pouvez autoriser l’accès à un domaine spécifique en procédant comme suit :

1. Connectez-vous au portail Microsoft Defender.
2. Cliquez sur Paramètres, puis sur Terminaux.
3. Sous Règles, sélectionnez Indicateurs.
4. Cliquez sur URL/Domaine, puis sur Ajouter un élément.
5. Tapez le domaine du site et définissez l’action de la stratégie sur Autoriser.

Surveillance des journaux de sécurité pour obtenir des informations sur les menaces dans le cadre de la protection des réseaux

Pour une approche plus directe de la visualisation et de l’exploitation des journaux de sécurité, vous pouvez utiliser le mode audit de la protection réseau ou l’Observateur d’événements de Windows, ou les deux. La mise à jour régulière de votre liste de domaines autorisés et bloqués permet également de minimiser les étapes d’interdiction d’accès à des domaines potentiellement dangereux.

Sur l’importance globale de la protection réseau de Windows Defender

L’activation de la protection réseau de Windows Defender offre plusieurs avantages en termes de protection des appareils et des données personnels ou d’entreprise. Il peut renforcer les mesures précises de sécurité en ligne pour les ordinateurs personnels. De plus, il peut contribuer à interdire l’accès entre un domaine non sécurisé et des terminaux gérés par l’entreprise.

Les utilisateurs peuvent activer la protection réseau de Windows Defender de différentes manières. Cette fonction peut compléter d’autres outils anti-malware basés sur Windows pour renforcer les défenses contre les cyber-attaques et les virus les plus récents. N’oubliez pas de mettre à jour régulièrement Windows Defender Exploit Guard pour bénéficier d’une protection plus robuste et plus récente contre les nouvelles menaces.