S'applique À : WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR et WatchGuard EDR Core
La technologie anti-exploitation n'est pas disponible sur les systèmes Windows ARM. Les fonctionnalités disponibles varient en fonction de chaque plate-forme. Pour de plus amples informations, accédez à Fonctionnalités Prises en Charge par Endpoint Security par Plate-Forme.
Dans les paramètres de la Protection Avancée d'un profil de paramètres de stations de travail et serveurs, vous pouvez activer la protection contre l'Injection de Code. L'injection de code est un terme général pour les attaques qui insèrent du code nuisible dans une application qui est ensuite interprété ou exécuté par l'application. Le code malveillant est généralement conçu pour manipuler le flux de données, ce qui entraîne une perte de confidentialité et une disponibilité réduite des applications.
Si vous désactivez la protection contre l'Injection de Code, elle est désactivée dans les processus qui affectent :
- La détection d'exploitations et d'injection de code
- Les IOA avancés
- Les stratégies de sécurité avancées utilisées par PowerShell
Nous vous recommandons d'activer la protection contre l'Injection de Code et d'ajouter des exclusions pour les processus susceptibles de rencontrer des problèmes de performances ou de compatibilité. Vous devez également activer l'option Détecter les Pilotes Présentant des Vulnérabilités pour détecter les pilotes vulnérables qui pourraient être exploités.
Caution: Lorsque vous allouez WatchGuard EDR ou EDR Core à un nouveau compte et que le compte ne dispose pas d'un profil de paramètres de stations de travail et serveurs attribué, le profil par défaut attribué au groupe Tous a la protection anti-exploitation désactivée.
Blocage et Détection des Exploitations
La protection anti-exploitation bloque automatiquement les tentatives d'exploitation des vulnérabilités détectées dans les processus actifs des ordinateurs des utilisateurs.
Les ordinateurs du réseau peuvent exécuter des processus approuvés présentant des bogues. Bien que légitimes, ces processus sont vulnérables, car ils n'interprètent parfois pas correctement les données transmises par les utilisateurs ou les autres processus. Si un pirate transmet des entrées malveillantes à un processus vulnérable, un dysfonctionnement permettant au pirate d'injecter du code malveillant dans les zones mémoire gérées par le processus vulnérable peut se produire. Le code injecté peut forcer le processus compromis à exécuter des actions pour lesquelles il n'a pas été programmé et compromettre la sécurité de l'ordinateur.
La protection anti-exploitation intégrée à Endpoint Security détecte les tentatives d'injection de code malveillant dans les processus vulnérables exécutés par les utilisateurs et les neutralise en fonction de l'exploitation détectée.
Blocage des Exploitations
Endpoint Security détecte la tentative d'injection alors qu'elle se produit. Étant donné que le processus d'injection ne s'achève pas, le processus ciblé n'est pas compromis et l'ordinateur ne court aucun risque. L'exploitation est neutralisée sans qu'il ait été nécessaire d'arrêter le processus concerné ni de redémarrer l'ordinateur, et aucune fuite de données n'a eu lieu pour le processus concerné. L'utilisateur de l'ordinateur ciblé voit s'afficher une notification de blocage en fonction des paramètres configurés par l'administrateur.
Détection des Exploitations
Endpoint Security détecte l'injection après qu'elle ait eu lieu. Étant donné que le processus vulnérable contient déjà du code malveillant, Endpoint Security doit arrêter le processus avant qu'il n'exécute des actions susceptibles de compromettre la sécurité de l'ordinateur. Quel que soit le temps écoulé entre la détection des exploitations et l'arrêt du processus compromis, Endpoint Security signale que l'ordinateur a encouru un risque. Le niveau de risque dépend du temps écoulé avant l'arrêt du processus et du type de logiciel malveillant.
Endpoint Security peut arrêter automatiquement un processus compromis afin de minimiser les nuisances d'une attaque ou inviter l'utilisateur à arrêter le processus et le supprimer de la mémoire. L'utilisateur peut ainsi enregistrer son travail ou les informations critiques avant que le processus compromis ne soit arrêté ou que l'ordinateur ne redémarre. S'il est impossible d'arrêter un processus compromis, l'utilisateur est invité à redémarrer l'ordinateur.
Blocage des Pilotes Vulnérables
Les pilotes vulnérables sont des pilotes présentant des vulnérabilités qui ont été exploitées dans le contexte de menace. Cela peut inclure des pilotes obsolètes contenant des failles de sécurité.
Les pilotes fournis par des fournisseurs légitimes peuvent contenir des vulnérabilités que des logiciels malveillants pourraient exploiter pour infecter un ordinateur ou désactiver le logiciel de sécurité. Ces pilotes ne sont pas malveillants en eux-mêmes et peuvent être installés sur des ordinateurs sans constituer une menace pour la sécurité. Par conséquent, ils ne sont pas initialement détectés comme des logiciels malveillants. La protection anti-exploitation bloque l'utilisation de pilotes vulnérables, sauf lorsque le pilote se charge au démarrage du système d'exploitation.
Configurer la Protection Anti-Exploitation (Ordinateurs Windows)