Configuration de l'antivirus Microsoft Defender dans les environnements d'entreprise

Configuration de l'antivirus Microsoft Defender dans les environnements d'entreprise

09/08/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la configuration et la gestion efficaces de Microsoft Defender Antivirus (MDAV) dans les environnements d’entreprise. MDAV, qui fait partie intégrante du système d'exploitation Windows, est passé d'une solution de base à un composant robuste et fondamental de la stratégie de sécurité de Microsoft, offrant une protection des points finaux de nouvelle génération contre un large éventail de menaces, notamment les logiciels malveillants, les ransomwares et les attaques sans fichier [1].

Présentation

Dans un paysage de cybermenaces en constante évolution, disposer d’une solution antivirus fiable et bien configurée constitue la première ligne de défense pour toute organisation. Microsoft Defender Antivirus, lorsqu'il est géré de manière centralisée, offre une protection puissante qui s'intègre parfaitement à l'écosystème Microsoft, offrant une visibilité et un contrôle unifiés. Ce guide couvrira les méthodes les plus courantes pour configurer Defender AV dans les environnements d’entreprise, garantissant ainsi que votre organisation est protégée de manière cohérente et efficace.

Outils de gestion

Il existe plusieurs façons de gérer Microsoft Defender AV dans un environnement d'entreprise. Les plus courants sont :

  • Microsoft Intune (recommandé) : pour les organisations utilisant une gestion moderne basée sur le cloud. Fournit une interface centralisée dans le portail Microsoft Endpoint Manager pour créer et déployer des politiques de sécurité.
  • Stratégie de groupe (GPO) : pour les organisations disposant d'une infrastructure Active Directory sur site. Permet la configuration via des objets de stratégie de groupe.
  • Microsoft Endpoint Configuration Manager (MECM/SCCM) : pour une gestion à grande échelle, souvent dans des environnements hybrides.
  • PowerShell : pour l'automatisation et les configurations granulaires ou groupées.

Ce guide se concentrera sur les deux méthodes les plus populaires : Intune et GPO.

Prérequis

  • Système d'exploitation : Windows 10, Windows 11 ou Windows Server 2016 et versions ultérieures.
  • Accès administratif : autorisations d'administrateur Intune (pour Intune) ou d'administrateur de domaine (pour GPO).
  • Licence : Defender AV est inclus avec Windows. Les fonctionnalités avancées (telles que Microsoft Defender for Endpoint) nécessitent une licence supplémentaire (ex : Microsoft 365 E5).

Configuration de Defender AV avec Microsoft Intune

Il s’agit de l’approche moderne et recommandée pour les appareils gérés dans le cloud.

  1. Accédez au portail Microsoft Intune : https://intune.microsoft.com.
  2. Accédez à Endpoint Security > Antivirus.
  3. Cliquez sur Créer une stratégie.
  4. Sélectionnez :
    • Plateforme : Windows 10 et versions ultérieures
    • Profil : Microsoft Defender Antivirus
  5. Cliquez sur Créer.
  6. Bases : donnez un nom à la stratégie (ex : Windows - Defender AV Default Policy) et une description. Cliquez sur Suivant.
  7. Paramètres de configuration : Il s'agit de l'étape la plus importante. Configurez les sections suivantes avec les meilleures pratiques :
    • Protection du cloud :
      • Activer la protection fournie par le cloud : « Oui ». Indispensable pour la veille sur les menaces en temps réel.
      • Niveau de protection fourni dans le cloud : « Élevé ». Offre une détection plus agressive.
      • Délai d'expiration étendu du Defender Cloud : 50 secondes. Cela donne au service cloud plus de temps pour analyser les fichiers suspects.
    • Protection en temps réel :
      • Activer la protection en temps réel : Oui. Le cœur de la protection Defender.
      • Activer la surveillance du comportement : Oui.
      • Analyser tous les fichiers téléchargés et pièces jointes : Oui.
    • Vérification :
      • Planifiez une vérification rapide quotidienne : définissez une durée d'utilisation faible (ex : 12h00).
      • Type d'analyse programmée : Analyse rapide.
    • Exclusions : configurez soigneusement les exclusions pour éviter les failles de sécurité. Utilisez la stratégie Exclusions de l’antivirus Microsoft Defender pour gérer cela de manière centralisée.
  8. Affectations : attribuez la stratégie à un groupe d'appareils Azure AD.
  9. Réviser + créer : Révisez et créez la stratégie.

Configuration de Defender AV avec la stratégie de groupe (GPO)

Pour les environnements avec Active Directory local.

  1. Ouvrez l'Éditeur de gestion des stratégies de groupe.
  2. Créez-en un survo GPO ou modifiez-en un existant et liez-le à l’UO (Unité Organisationnelle) souhaitée.
  3. Accédez à « Configuration ordinateur > Modèles d'administration > Composants Windows > Microsoft Defender Antivirus ».
  4. Configurez les stratégies suivantes (définies sur « Activé » et ajustez les options) :
    • Désactiver l'antivirus Microsoft Defender : définissez-le sur « Désactivé » pour vous assurer qu'il est toujours activé.
    • Protection en temps réel :
      • Activer la surveillance du comportement
      • Analyser tous les fichiers téléchargés et pièces jointes
      • Surveillez l'activité des fichiers et des programmes sur votre ordinateur
    • MAPS (équivalent à Cloud Protection) :
      • « Rejoindre Microsoft MAPS » : sélectionnez « Maps avancés ».
      • Configurer la fonctionnalité 'Bloquer à première vue' : Activé.
    • Vérification :
      • Configurez les options d'analyse programmée telles que « Type d'analyse » et « Jour d'analyse ».

Validation et surveillance

  • Localement : sur un appareil client, ouvrez l'application Sécurité Windows pour vérifier que les paramètres « Protection contre les virus et les menaces » sont gérés par votre organisation.
  • Via PowerShell : exécutez la commande Get-MpComputerStatus pour voir l'état de l'antivirus, y compris AMRunningMode (doit être "Normal") et les dates de signature.
  • Portail Microsoft 365 Defender : si vous disposez de Defender for Endpoint, le portail (security.microsoft.com) propose des rapports détaillés sur l'état de l'antivirus sur tous vos appareils sous Rapports > État de l'appareil.

Conclusion

La configuration correcte de Microsoft Defender Antivirus est une étape fondamentale dans la protection des points de terminaison d’une organisation. Qu'il s'agisse d'une gestion moderne avec Microsoft Intune ou d'une gestion traditionnelle avec des GPO, l'application cohérente des politiques de sécurité garantit que la première ligne de défense de votre entreprise est robuste, résiliente et toujours à jour contre les dernières menaces. La surveillance continue via les portails Microsoft boucle la boucle, offrant la visibilité nécessaire pour garantir la conformité et la sécurité de votre environnement.

Références

[1]Microsoft. (2023). Antivirus Microsoft Defender sous Windows. [2]Microsoft. (2023). Gérez l'antivirus Microsoft Defender avec Microsoft Intune. [3]Microsoft. (2023). Utilisez les paramètres de stratégie de groupe pour configurer et gérer Microsoft Defender Antivirus.