Comment bloquer les applications Office pour qu'elles ne créent pas de contenu exécutable à l'aide d'Intune

Commencez par vous connecter au centre d'administration Microsoft Intune où vous configurerez la politique ASR. C'est votre hub central pour gérer les politiques de sécurité des points de terminaison dans votre organisation.

Ouvrez votre navigateur web et accédez à https://endpoint.microsoft.com. Connectez-vous avec vos identifiants d'administrateur global ou d'administrateur Intune.

Une fois connecté, accédez à Sécurité des points de terminaison dans le volet de navigation de gauche, puis sélectionnez Réduction de la surface d'attaque. Cette section contient toutes les politiques et configurations liées à l'ASR.

Vérification : Vous devriez voir la page d'aperçu de la réduction de la surface d'attaque avec des options pour créer de nouvelles politiques et consulter celles existantes. Si vous ne voyez pas ces options, vérifiez que vos autorisations de rôle incluent les droits de gestionnaire de sécurité des points de terminaison.

Vous allez maintenant créer une nouvelle politique ASR spécifiquement conçue pour empêcher les applications Office de créer du contenu exécutable. Cette politique utilisera la règle ASR dédiée avec le GUID 3B576869-A4EC-4529-8536-B80A7769E899.

Cliquez sur Créer une politique dans la section Réduction de la surface d'attaque. Vous serez présenté avec des options de plateforme et de profil.

Sélectionnez la configuration suivante :

• Plateforme : Windows 10, Windows 11 et Windows Server
• Profil : Règles de réduction de la surface d'attaque

Cliquez sur Créer pour passer à l'assistant de configuration de la politique.

Vérification : L'assistant de création de politique devrait s'ouvrir avec l'onglet "Bases" sélectionné. Le fil d'Ariane devrait afficher "Sécurité des points de terminaison > Réduction de la surface d'attaque > Créer une politique".

La dénomination et la documentation appropriées de votre politique ASR sont cruciales pour la gestion continue et le dépannage. Utilisez des noms descriptifs qui indiquent clairement l'objectif et la portée de la politique.

Remplissez les champs suivants dans l'onglet Bases :

• Nom : ASR - Bloquer la création de contenu exécutable Office
• Description : Empêche les applications Office (Word, Excel, PowerPoint) de créer du contenu exécutable pour atténuer les attaques de logiciels malveillants basés sur des macros. S'applique aux appareils Windows 10 1709+ et Windows 11.

La description doit être suffisamment détaillée pour que d'autres administrateurs comprennent l'objectif de la politique sans avoir besoin d'examiner la configuration.

Cliquez sur Suivant pour passer aux paramètres de configuration.

Vérification : L'onglet Paramètres de configuration devrait maintenant être actif, affichant une liste des règles de réduction de la surface d'attaque disponibles.

C'est l'étape de configuration principale où vous allez activer la règle ASR spécifique qui empêche les applications Office de créer des fichiers exécutables. La règle cible les vecteurs d'attaque courants utilisés par les logiciels malveillants basés sur des macros.

Dans la section Paramètres de configuration, localisez la règle "Empêcher les applications Office de créer du contenu exécutable". Cela correspond au GUID 3B576869-A4EC-4529-8536-B80A7769E899.

Configurez la règle avec l'un de ces modes :

• Bloquer : Recommandé pour les environnements de production - empêche complètement l'action
• Audit : Recommandé pour les tests initiaux - enregistre les événements mais permet l'action
• Avertir : Disponible sur Windows 10 1809+ et Windows 11 - avertit les utilisateurs avant de bloquer

Pour le déploiement initial, sélectionnez Audit pour surveiller les impacts potentiels. Vous pouvez changer cela en Bloquer après les tests.

Envisagez d'activer ces règles complémentaires pour une protection complète :

• Empêcher les applications Office d'injecter du code dans d'autres processus (GUID : 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84)
• Empêcher les processus enfants d'Office (GUID : D4F940AB-401B-4EFC-AADC-AD5F3C50688A)

Cliquez sur Suivant pour passer aux affectations.

Vérification : La règle sélectionnée doit afficher le mode choisi (Audit/Bloquer/Avertir) à côté du nom de la règle.

Une attribution correcte des groupes garantit que votre politique ASR atteint les bons appareils tout en évitant les perturbations des systèmes critiques. Commencez par un groupe pilote avant le déploiement complet.

Dans l'onglet Attributions, configurez ce qui suit :

Groupes inclus : Cliquez sur Ajouter des groupes et sélectionnez d'abord votre groupe pilote. Cela devrait être un petit groupe d'appareils ou d'utilisateurs de test qui peuvent valider l'impact de la politique.

Exemple de sélection de groupe pilote :

Nom du groupe : IT-Pilot-Devices-ASR-Testing
Description : 10-15 appareils pour la validation de la politique ASR
Membres : Mélange de différents modèles d'utilisation d'Office

Groupes exclus : Envisagez d'exclure :

• Utilisateurs VIP ou cadres (initialement)
• Appareils exécutant des applications métiers critiques
• Serveurs avec traitement automatisé d'Office

Cliquez sur Suivant pour passer à l'étape de révision.

Vérification : La section Attributions doit afficher vos groupes inclus sélectionnés et tous les groupes exclus. Le nombre estimé d'appareils doit correspondre à vos attentes.

La dernière étape de révision garantit que toutes les configurations sont correctes avant le déploiement. Prenez le temps de vérifier chaque paramètre car les modifications de politique peuvent prendre plusieurs heures à se propager.

Dans l'onglet Révision + création, vérifiez les paramètres suivants :

• Nom de la politique : ASR - Bloquer la création de contenu exécutable Office
• Plateforme : Windows 10, Windows 11 et Windows Server
• Profil : Règles de réduction de la surface d'attaque
• Configuration de la règle : Bloquer les applications Office de créer du contenu exécutable = Audit (ou votre mode choisi)
• Affectations : Votre groupe pilote est inclus

Si tout semble correct, cliquez sur Créer pour déployer la politique.

La politique commencera à se déployer sur les appareils assignés. Le déploiement prend généralement de 1 à 8 heures selon la fréquence de vérification des appareils et les conditions du réseau.

Vérification : Vous devriez voir un message de succès et être redirigé vers la page d'aperçu de la politique. Le statut de la politique devrait indiquer "Actif" et commencer à montrer la progression du déploiement.

Suivre la progression du déploiement aide à identifier les appareils qui n'ont pas reçu la politique et à résoudre tout problème d'affectation avant le début des tests.

Revenez à Sécurité des points de terminaison > Réduction de la surface d'attaque et cliquez sur le nom de votre nouvelle politique créée.

Examinez les sections suivantes :

Statut de l'appareil : Montre combien d'appareils ont reçu la politique avec succès :

• Réussi : Politique appliquée avec succès
• Erreur : Échec de l'application de la politique (enquêter sur ces appareils)
• Conflit : Plusieurs politiques conflictuelles détectées
• Non applicable : L'appareil ne répond pas aux exigences

Statut de l'utilisateur : Montre le statut de déploiement par utilisateur si vous utilisez des affectations basées sur l'utilisateur.

Cliquez sur les catégories de statut individuelles pour voir les listes détaillées des appareils et les messages d'erreur.

Vérification : Dans les 8 heures, la plupart des appareils devraient afficher le statut "Réussi". Si des appareils affichent "Erreur" ou "Non applicable", examinez les messages d'erreur spécifiques en cliquant sur ces catégories.

Le Visualiseur d'événements fournit la méthode la plus fiable pour confirmer que les règles ASR sont actives et fonctionnent sur les appareils cibles. Cette étape de vérification est cruciale avant de procéder aux tests.

Sur un appareil de test qui a reçu la politique, ouvrez le Visualiseur d'événements en appuyant sur Windows + R, en tapant eventvwr.msc, et en appuyant sur Entrée.

Naviguez vers le chemin suivant :

Applications and Services Logs > Microsoft > Windows > Windows Defender > Operational

Cherchez ces ID d'événements spécifiques liés à votre règle ASR :

• ID d'événement 1121 : Règle ASR déclenchée en mode Audit
• ID d'événement 1122 : Règle ASR déclenchée en mode Blocage
• ID d'événement 5007 : Changement de configuration ASR détecté

Filtrez le journal pour n'afficher que les événements liés à ASR en cliquant avec le bouton droit sur le journal Opérationnel, en sélectionnant Filtrer le journal actuel, et en entrant les ID d'événements : 1121,1122,5007.

Vérification : Vous devriez voir des entrées ID d'événement 5007 indiquant que la configuration de la règle ASR a été appliquée. Si les tests ont commencé, vous pouvez également voir des événements 1121 (audit) ou 1122 (blocage).

Les tests contrôlés valident que votre règle ASR identifie et gère correctement les applications Office tentant de créer du contenu exécutable. Cette étape confirme que la politique fonctionne comme prévu.

Sur un appareil de test avec la politique appliquée, créez un scénario de test :

Méthode 1 - Test de macro Word :

1. Ouvrez Microsoft Word
2. Créez un nouveau document
3. Appuyez sur Alt + F11 pour ouvrir l'éditeur VBA
4. Insérez un nouveau module et ajoutez ce code de test :

Sub TestExecutableCreation()
    Dim fso As Object
    Set fso = CreateObject("Scripting.FileSystemObject")
    
    ' Tentative de création d'un fichier .exe (cela devrait être bloqué)
    Dim testFile As Object
    Set testFile = fso.CreateTextFile("C:\temp\test.exe", True)
    testFile.WriteLine "Ceci est un exécutable de test"
    testFile.Close
    
    MsgBox "Test terminé"
End Sub

5. Exécutez la macro en appuyant sur F5

Résultats attendus :

• Mode audit : La macro s'exécute mais l'ID d'événement 1121 est enregistré
• Mode blocage : La macro est empêchée et l'ID d'événement 1122 est enregistré
• Mode avertissement : L'utilisateur reçoit une invite d'avertissement

Vérification : Vérifiez le Visualiseur d'événements pour l'ID d'événement correspondant (1121 ou 1122) avec des détails sur l'action bloquée. L'événement doit faire référence à l'application Office et à la tentative de création exécutable.

Après que les tests révèlent que des applications légitimes sont bloquées, configurez les exclusions appropriées avant de passer du mode Audit au mode Blocage pour une protection complète.

Ajout d'exclusions (si nécessaire) :

Retournez à votre politique ASR dans le centre d'administration Intune. Cliquez sur Propriétés, puis Modifier à côté des paramètres de configuration.

Pour la règle "Bloquer les applications Office de créer du contenu exécutable", vous pouvez ajouter des exclusions pour :

• Chemins de fichiers : C:\Program Files\TrustedApp\*
• Noms de fichiers : legitimate-tool.exe
• Noms de processus : trusted-process.exe

Exemple de configuration d'exclusion :

Type d'exclusion : Chemin de fichier
Chemin : C:\Program Files\RemoteManagement\winagent.exe
Raison : Outil RMM légitime bloqué par la règle ASR

Passage au mode Blocage :

Une fois les tests terminés et les exclusions configurées :

1. Modifiez les paramètres de configuration de la politique
2. Changez le mode de la règle de Audit à Blocage
3. Étendez l'affectation à des groupes d'utilisateurs plus larges
4. Surveillez pendant 48-72 heures avant le déploiement complet

Vérification : Après le passage au mode Blocage, surveillez le Visualiseur d'événements pour les entrées Event ID 1122 et les rapports d'utilisateurs sur les applications légitimes bloquées. Ajustez les exclusions si nécessaire.