Comment bloquer le contenu exécutable des clients de messagerie à l'aide de Microsoft Intune

Commencez par vous connecter au centre d'administration Microsoft Intune pour créer votre stratégie de réduction de la surface d'attaque.

Ouvrez votre navigateur et accédez à https://intune.microsoft.com. Connectez-vous avec vos identifiants administratifs disposant des autorisations d'administrateur de la sécurité des points de terminaison ou d'administrateur global.

Une fois connecté, accédez à Sécurité des points de terminaison dans le volet de navigation de gauche, puis cliquez sur Réduction de la surface d'attaque.

Cliquez sur Créer une stratégie pour commencer à créer une nouvelle stratégie ASR.

Vérification : Vous devriez voir l'assistant de création de stratégie de réduction de la surface d'attaque avec des options de plateforme et de type de profil.

Configurez les paramètres de base de la stratégie pour le déploiement de votre règle ASR.

Dans l'assistant de création de stratégie :

1. Sélectionnez Windows 10, Windows 11, et Windows Server comme plateforme
2. Choisissez Règles de réduction de la surface d'attaque comme type de profil
3. Cliquez sur Créer

Sur la page de base :

1. Entrez un nom descriptif comme ASR - Bloquer le contenu exécutable des emails
2. Ajoutez une description : Empêche l'exécution de fichiers et scripts exécutables lorsqu'ils sont téléchargés via des clients de messagerie et des services de messagerie web
3. Cliquez sur Suivant

Vérification : Le nom de la stratégie doit apparaître dans la liste des stratégies, et vous devez être sur la page des paramètres de configuration.

Configurez maintenant la règle ASR spécifique qui bloque le contenu exécutable des clients de messagerie.

Dans la page des paramètres de configuration, localisez la règle Bloquer le contenu exécutable du client de messagerie et du webmail. Cette règle a le GUID D3E037E1-3EB8-44C8-A917-57927947596D.

Réglez la règle sur l'un de ces modes :

• Mode audit - Recommandé pour le déploiement initial afin d'identifier les faux positifs
• Avertir - Affiche une notification à l'utilisateur mais permet de contourner
• Bloquer - Empêche complètement l'exécution
• Non configuré - La règle est désactivée

Pour le déploiement initial, sélectionnez Mode audit. Cela vous permet de surveiller ce qui serait bloqué sans impacter les utilisateurs.

Cliquez sur Suivant pour passer aux balises de portée.

Vérification : La règle devrait apparaître comme "Mode audit" dans le résumé de configuration.

Configurez les balises de portée (si utilisées) et assignez la politique aux groupes cibles.

Sur la page des balises de portée, ajoutez toutes les balises de portée pertinentes pour les limites administratives de votre organisation, ou laissez vide si vous n'utilisez pas de balises de portée. Cliquez sur Suivant.

Sur la page des Assignations :

1. Cliquez sur Ajouter des groupes sous "Groupes inclus"
2. Recherchez et sélectionnez un groupe pilote d'appareils (recommandé : 10-50 appareils initialement)
3. Évitez d'assigner à "Tous les appareils" lors du premier déploiement
4. Cliquez sur Sélectionner, puis Suivant

Examinez vos paramètres sur la page Révision + création et cliquez sur Créer.

Vérification : La politique devrait apparaître dans votre liste de politiques de réduction de la surface d'attaque avec un statut de "En attente" ou "Réussi".

Vérifiez que la stratégie est déployée avec succès sur les appareils cibles.

Dans le centre d'administration Intune, accédez à Sécurité des points de terminaison > Réduction de la surface d'attaque et cliquez sur votre stratégie nouvellement créée.

Cliquez sur l'onglet État de l'appareil pour surveiller la progression du déploiement. Vous devriez voir les appareils listés avec leur statut de conformité.

Pour forcer une vérification immédiate de la stratégie sur un appareil de test, vous pouvez utiliser l'application Portail d'entreprise ou exécuter cette commande PowerShell en tant qu'administrateur sur l'appareil cible :

Get-ScheduledTask | Where-Object {$_.TaskName -eq "PushLaunch"} | Start-ScheduledTask

Sinon, redémarrez l'appareil pour garantir l'application de la stratégie.

Vérification : L'état de l'appareil devrait indiquer "Réussi" pour les appareils cibles dans les 15 à 30 minutes suivant la création de la stratégie.

Confirmez que la règle ASR est active sur les appareils inscrits en utilisant PowerShell.

Sur un appareil cible, ouvrez PowerShell en tant qu'administrateur et exécutez :

Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Ids

Cela devrait renvoyer le GUID D3E037E1-3EB8-44C8-A917-57927947596D si la règle est configurée.

Pour vérifier le mode actuel de la règle, exécutez :

Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Actions

Les valeurs de sortie signifient :

• 0 = Désactivé
• 1 = Mode blocage
• 2 = Mode audit
• 6 = Mode avertissement

Étant donné que vous avez configuré le mode audit, vous devriez voir 2 dans la sortie.

Vérification : Les deux commandes devraient renvoyer le GUID et la valeur d'action attendus (2 pour le mode audit).

Effectuez un test contrôlé pour vérifier que la règle ASR fonctionne correctement.

Créez un scénario de test en envoyant un e-mail avec une pièce jointe exécutable inoffensive à un utilisateur sur un appareil cible. Vous pouvez utiliser un simple fichier batch pour le test :

@echo off
echo Ceci est un exécutable de test
pause

Enregistrez ceci sous test.bat et envoyez-le en pièce jointe par e-mail à un utilisateur de test.

Lorsque l'utilisateur tente d'exécuter la pièce jointe directement depuis son client de messagerie (Outlook, Thunderbird, etc.), la règle ASR devrait se déclencher.

Comme vous êtes en mode Audit, le fichier s'exécutera mais un événement sera enregistré. Vérifiez le Visualisateur d'événements Windows sur l'appareil cible :

1. Ouvrez le Visualisateur d'événements
2. Accédez à Journaux des applications et des services > Microsoft > Windows > Windows Defender > Opérationnel
3. Cherchez l'ID d'événement 1122 (déclenchement du mode Audit)

Vérification : Vous devriez voir l'ID d'événement 1122 avec des détails sur l'exécutable bloqué et le GUID de la règle ASR.

Utilisez le portail Microsoft Defender pour surveiller l'efficacité des règles ASR dans votre environnement.

Accédez à https://security.microsoft.com et connectez-vous avec vos identifiants administratifs.

Allez à Rapports > Règles de réduction de la surface d'attaque dans la navigation de gauche.

Cliquez sur l'onglet Détections pour voir les déclencheurs de règles ASR. Vous devriez voir des entrées pour votre test et tout déclencheur légitime de la règle "Bloquer le contenu exécutable des clients de messagerie et webmail".

Cliquez sur l'onglet Configuration pour voir quels appareils ont la règle activée et leur statut de configuration actuel.

Examinez les données pendant au moins une semaine en mode Audit pour identifier les modèles et les faux positifs potentiels avant de passer en mode Blocage.

Vérification : L'onglet Détections devrait montrer les événements d'audit de votre test et tout déclencheur réel avec des informations détaillées sur les fichiers.

Sur la base de vos données d'audit, ajoutez des exclusions pour les applications légitimes qui sont incorrectement signalées.

Retournez à votre politique ASR dans le centre d'administration Intune. Cliquez sur Propriétés, puis sur Modifier à côté des paramètres de configuration.

Faites défiler vers le bas pour trouver Exclusions des règles de réduction de la surface d'attaque. Ajoutez des chemins de fichiers, des chemins de dossiers ou des extensions de fichiers qui doivent être exclus de cette règle.

Les exclusions courantes peuvent inclure :

• Chemins d'exécutables spécifiques : C:\Program Files\YourApp\app.exe
• Exclusions de dossiers : C:\Program Files\LegitimateApp\*
• Extensions de fichiers (à utiliser avec prudence) : *.msi

Exemple de configuration d'exclusion :

C:\Program Files\RemoteMonitoring\winagent.exe
C:\Program Files (x86)\BusinessApp\*

Cliquez sur Réviser + enregistrer pour appliquer les exclusions.

Vérification : Testez les applications légitimes précédemment bloquées pour vous assurer qu'elles fonctionnent maintenant correctement.

Après avoir validé la règle en mode Audit et configuré les exclusions nécessaires, passez en mode Blocage pour une protection complète.

Modifiez votre politique ASR et changez la règle "Bloquer le contenu exécutable des clients de messagerie et webmail" de mode Audit à Blocage.

Enregistrez les modifications de la politique. Le nouveau paramètre sera déployé sur les appareils lors du prochain cycle de rafraîchissement de la politique (généralement 8 heures, ou immédiatement avec une synchronisation manuelle).

Une fois que vous avez confirmé que le mode Blocage fonctionne correctement avec votre groupe pilote, élargissez l'affectation :

1. Modifiez les affectations de la politique
2. Ajoutez des groupes d'appareils plus larges ou "Tous les appareils" selon le cas
3. Envisagez d'exclure des groupes spécifiques nécessitant un traitement différent

Surveillez le portail Microsoft Defender pour les événements de Blocage (ID d'événement 1121) afin de vous assurer que la règle fonctionne comme prévu.

Mettez en place des plannings de surveillance réguliers pour examiner l'efficacité de l'ASR et ajuster les exclusions si nécessaire.

Vérification : L'Observateur d'événements devrait afficher l'ID d'événement 1121 (mode Blocage) au lieu de 1122 (mode Audit) pour les nouveaux déclencheurs, et les pièces jointes malveillantes des emails devraient être empêchées de s'exécuter.