Comment bloquer JavaScript et VBScript pour empêcher le lancement d'exécutables téléchargés dans Intune

Commencez par naviguer vers le centre d'administration Microsoft Intune où vous configurerez la politique de réduction de la surface d'attaque.

Ouvrez votre navigateur web et accédez à https://intune.microsoft.com. Connectez-vous avec vos identifiants administratifs disposant des autorisations d'administrateur Intune ou d'administrateur global.

Une fois connecté, vous verrez le tableau de bord principal d'Intune. L'interface a été mise à jour ces dernières années, assurez-vous donc d'utiliser la structure de navigation actuelle.

Vérification : Confirmez que vous pouvez voir le tableau de bord principal d'Intune avec des options comme "Appareils", "Applications" et "Sécurité des points de terminaison" dans le volet de navigation de gauche.

Accédez à la section de sécurité des points de terminaison où les règles de réduction de la surface d'attaque sont gérées dans l'interface actuelle d'Intune.

Dans le volet de navigation de gauche, cliquez sur Sécurité des points de terminaison. Cela s'étendra pour montrer plusieurs options liées à la sécurité. Cliquez sur Réduction de la surface d'attaque dans le sous-menu.

Vous verrez maintenant la page des politiques de réduction de la surface d'attaque, qui affiche toutes les politiques ASR existantes et offre des options pour en créer de nouvelles. C'est la méthode préférée pour configurer les règles ASR à partir de 2026, remplaçant l'ancienne approche des profils de configuration des appareils.

Vérification : Vous devriez voir une page intitulée "Réduction de la surface d'attaque" avec des options pour "Créer une politique" et toutes les politiques ASR existantes listées ci-dessous.

Créez une nouvelle stratégie spécifiquement pour bloquer JavaScript et VBScript de lancer des exécutables téléchargés.

Cliquez sur le bouton Créer une stratégie en haut de la page Réduction de la surface d'attaque. Cela ouvrira l'assistant de création de stratégie.

Configurez les paramètres de base de la stratégie :

• Plateforme : Sélectionnez "Windows 10, Windows 11, et Windows Server"
• Profil : Choisissez "Règles de réduction de la surface d'attaque"
• Nom : Entrez un nom descriptif comme "Bloquer les exécutables téléchargés JS/VBS"
• Description : Ajoutez une description claire telle que "Empêche JavaScript et VBScript de lancer automatiquement du contenu exécutable téléchargé"

Cliquez sur Créer pour passer aux paramètres de configuration.

Vérification : L'assistant devrait avancer à la page "Paramètres de configuration" où vous pouvez configurer des règles ASR spécifiques.

Configurez la règle spécifique de réduction de la surface d'attaque qui bloque JavaScript et VBScript de lancer du contenu exécutable téléchargé.

Dans la page des paramètres de configuration, localisez la règle "Bloquer JavaScript ou VBScript de lancer du contenu exécutable téléchargé". Cette règle a le GUID 56a863a9-875e-4185-98a7-b882c64b5ce5 dans le backend.

Définissez l'action de la règle en fonction de votre stratégie de déploiement :

• Audit : Recommandé pour les tests initiaux (30+ jours) - enregistre les événements sans bloquer
• Bloquer : Empêche activement le comportement - à utiliser après la période d'audit
• Avertir : Affiche un avertissement à l'utilisateur mais permet de passer outre (Windows 10 1809+ requis)
• Non configuré : Désactive la règle

Pour le déploiement initial, sélectionnez Audit pour surveiller l'impact avant l'application :

Bloquer JavaScript ou VBScript de lancer du contenu exécutable téléchargé : Audit

Vérification : Confirmez que la règle est définie sur l'action choisie (Audit pour le déploiement initial) et qu'elle apparaît comme configurée dans les paramètres de la politique.

Configurez des exclusions pour les applications légitimes qui pourraient être affectées par la règle ASR.

Dans la même page de configuration, recherchez la section "Exclusions uniquement pour la réduction de la surface d'attaque". Ici, vous pouvez ajouter des exclusions pour :

• Chemins de fichiers : Répertoires spécifiques où les scripts doivent être autorisés
• Noms de fichiers : Noms d'exécutables spécifiques à exclure
• Noms de processus : Applications qui doivent être exemptées

Exclusions courantes dont vous pourriez avoir besoin :

Exclusions de chemins de fichiers :
C:\Program Files\YourApp\Scripts\
C:\Scripts\Approved\

Exclusions de noms de fichiers :
legitimate-installer.exe
automation-script.js

Exclusions de processus :
trusted-application.exe

Ajoutez uniquement des exclusions pour les applications que vous avez vérifiées comme légitimes et nécessaires aux opérations commerciales. Chaque exclusion réduit le bénéfice de sécurité de la règle.

Vérification : Passez en revue votre liste d'exclusions pour vous assurer que seules les exceptions nécessaires et documentées sont incluses.

Configurez quels appareils ou utilisateurs recevront cette politique de réduction de la surface d'attaque.

Cliquez sur Suivant pour passer à la page des Assignations. Ici, vous définirez la portée de votre déploiement de politique.

Configurez les assignations :

• Groupes inclus : Sélectionnez les groupes d'appareils ou les groupes d'utilisateurs qui devraient recevoir cette politique
• Groupes exclus : Excluez éventuellement des groupes spécifiques (par exemple, appareils de test, appareils exécutifs)

Pour une approche de déploiement par phases :

Phase 1 : Appareils de test IT (50-100 appareils)
Phase 2 : Département pilote (500-1000 appareils)
Phase 3 : Tous les appareils de l'entreprise

Exclusions : Appareils exécutifs, Serveurs critiques

Commencez avec un petit groupe de test lors du déploiement en mode Audit, puis élargissez à des groupes plus importants à mesure que vous gagnez en confiance dans l'impact de la règle.

Vérification : Confirmez que vos groupes cibles sont sélectionnés et que toutes les exclusions nécessaires sont configurées avant de continuer.

Configurez le déploiement conditionnel basé sur les caractéristiques de l'appareil comme la version du système d'exploitation ou les propriétés de l'appareil.

Cliquez sur Suivant pour atteindre la page des règles d'applicabilité. Cette étape optionnelle vous permet de créer des conditions qui doivent être remplies pour que la politique s'applique.

Règles d'applicabilité courantes pour les politiques ASR :

• Version du système d'exploitation : Windows 10 version 1809 ou ultérieure (nécessaire pour le mode Avertissement)
• Propriété de l'appareil : Appareils d'entreprise uniquement
• Conformité de l'appareil : Uniquement les appareils conformes

Exemple de configuration de règle d'applicabilité :

Règle : Device.OSVersion
Opérateur : Supérieur ou égal à
Valeur : 10.0.17763 (Windows 10 1809)

Règle : Device.DeviceOwnership
Opérateur : Égal à
Valeur : Corporate

Si vous n'avez pas besoin de déploiement conditionnel, vous pouvez passer cette étape en cliquant sur Suivant sans ajouter de règles.

Vérification : Passez en revue les règles d'applicabilité que vous avez configurées, ou confirmez que vous continuez sans conditions si aucune n'est nécessaire.

Complétez la création de la stratégie et déployez-la sur vos appareils cibles.

Cliquez sur Suivant pour atteindre la page Révision + création. Examinez attentivement tous vos paramètres de stratégie :

• Nom et description de la stratégie
• Configuration des règles (doit être initialement réglée sur Audit)
• Exclusions (le cas échéant)
• Affectations cibles
• Règles d'applicabilité (si configurées)

Une fois que vous avez vérifié que tous les paramètres sont corrects, cliquez sur Créer pour déployer la stratégie.

La stratégie commencera à s'appliquer aux appareils cibles en quelques minutes. Les stratégies Intune se synchronisent généralement toutes les 8 heures par défaut, mais vous pouvez forcer une synchronisation pour un test immédiat.

Pour forcer une synchronisation de stratégie sur un appareil de test :

# Exécuter sur l'appareil Windows cible en tant qu'administrateur
Get-ScheduledTask | Where-Object {$_.TaskName -eq "PushLaunch"} | Start-ScheduledTask

# Ou utilisez l'action à distance Intune :
# Appareils > Tous les appareils > Sélectionner l'appareil > Synchroniser

Vérification : Vérifiez que le statut de la stratégie dans Intune est affiché comme "Déployé" et assurez-vous qu'elle apparaît dans la liste des stratégies de réduction de la surface d'attaque.

Suivez le statut de déploiement des politiques et surveillez les événements des règles ASR pour assurer un bon fonctionnement.

Surveillez le statut de déploiement dans Intune :

1. Accédez à Sécurité des points de terminaison > Réduction de la surface d'attaque
2. Cliquez sur votre politique nouvellement créée
3. Examinez les onglets Statut de l'appareil et Statut de l'utilisateur

Vérifiez les problèmes de déploiement :

Succès : Politique appliquée avec succès
Erreur : Échec de l'application de la politique (vérifiez les journaux de l'appareil)
Conflit : Plusieurs politiques conflictuelles détectées
Non applicable : L'appareil ne répond pas aux règles d'applicabilité

Surveillez les événements ASR à l'aide de Microsoft Defender pour Endpoint ou des journaux d'événements Windows :

# Commande PowerShell pour vérifier localement les événements ASR
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Windows Defender/Operational'; ID=1121,1122,5007} | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

# Vérifiez le statut actuel des règles ASR
Get-MpPreference | Select-Object AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions

Dans le portail Microsoft Defender pour Endpoint, accédez à Rapports > Réduction de la surface d'attaque pour voir des analyses détaillées et des événements bloqués.

Vérification : Confirmez que les appareils affichent le statut "Succès" dans Intune et que les événements ASR sont enregistrés dans Defender pour Endpoint ou dans les journaux d'événements locaux.

Après avoir surveillé la phase d'audit, mettez à jour la politique pour bloquer activement l'exécution de JavaScript et VBScript malveillants.

Après avoir fonctionné en mode Audit pendant au moins 30 jours et analysé les résultats :

1. Retournez à Sécurité des points de terminaison > Réduction de la surface d'attaque
2. Cliquez sur le nom de votre politique pour la modifier
3. Accédez à Paramètres de configuration
4. Changez le paramètre de la règle de Audit à Bloquer

Avant de faire ce changement, assurez-vous d'avoir :

• Examiné tous les événements d'audit et ajouté les exclusions nécessaires
• Testé l'impact sur les applications critiques de l'entreprise
• Communiqué le changement aux parties prenantes concernées
• Préparé des procédures de réponse aux incidents pour les faux positifs

Enregistrez les modifications de la politique :

Bloquer JavaScript ou VBScript de lancer du contenu exécutable téléchargé : Bloquer

La politique mise à jour sera déployée sur les appareils lors du prochain cycle de synchronisation. Surveillez de près pendant les 48 premières heures après le passage en mode Bloquer.

Vérification : Confirmez que la politique affiche le mode "Bloquer" dans la configuration et surveillez tout blocage d'application inattendu ou plainte d'utilisateur dans les premiers jours après le déploiement.