Comment activer la protection contre les altérations pour votre organisation à l'aide de Microsoft Intune

Commencez par vous connecter au centre d'administration Microsoft Intune où vous créerez et gérerez votre politique de protection contre les altérations.

Ouvrez votre navigateur web et accédez à https://intune.microsoft.com. Connectez-vous avec vos identifiants d'administrateur global ou d'administrateur Intune.

Une fois connecté, accédez à Sécurité des points de terminaison dans le volet de navigation de gauche, puis sélectionnez Antivirus. Vous pouvez également y accéder directement à https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/antivirus.

Vérification : Vous devriez voir le tableau de bord des politiques Antivirus avec des options pour créer de nouvelles politiques et consulter celles existantes.

Vous allez maintenant créer une nouvelle politique antivirus spécifiquement conçue pour activer la protection contre les altérations dans votre organisation.

Cliquez sur + Créer une politique dans le tableau de bord des politiques antivirus. Dans l'assistant de création de politique, vous devrez sélectionner la plateforme et le profil appropriés :

• Plateforme : Sélectionnez Windows 10 et versions ultérieures
• Profil : Choisissez Expérience de sécurité Windows

Cliquez sur Créer pour passer à la configuration de la politique.

Vérification : L'assistant de création de politique devrait s'ouvrir avec l'onglet "Informations de base" actif, prêt à configurer les détails de la politique.

Configurez les détails fondamentaux de votre politique de protection contre les altérations pour assurer une identification et une gestion appropriées.

Dans l'onglet Principes de base, remplissez les informations suivantes :

• Nom : Entrez un nom descriptif comme "Activer la protection contre les altérations - Organisation entière"
• Description : Ajoutez une description détaillée telle que "Empêche les modifications non autorisées des paramètres et exclusions de Microsoft Defender Antivirus sur tous les appareils gérés"

Cliquez sur Suivant pour passer aux paramètres de configuration.

Vérification : L'onglet "Paramètres de configuration" devrait maintenant être actif, affichant divers paramètres de sécurité que vous pouvez configurer.

C'est l'étape principale où vous allez réellement activer la protection contre les altérations pour empêcher les modifications non autorisées des paramètres de Defender.

Dans l'onglet Paramètres de configuration, localisez la section Defender. Vous trouverez plusieurs paramètres ici, mais concentrez-vous sur l'option de protection contre les altérations :

• Trouvez Protection contre les altérations (appareil)
• Réglez la valeur sur Activé

Laissez les autres paramètres à leurs valeurs par défaut, sauf si vous avez des exigences organisationnelles spécifiques. Le paramètre de protection contre les altérations est le principal objectif de cette politique.

Cliquez sur Suivant pour continuer à la configuration des balises de portée.

Vérification : Confirmez que "Protection contre les altérations (appareil)" affiche "Activé" avant de passer à l'étape suivante.

Définissez quels appareils et utilisateurs recevront cette politique de protection contre la falsification grâce à une configuration d'affectation appropriée.

Dans l'onglet Balises de portée, vous pouvez généralement laisser la balise de portée par défaut sélectionnée, sauf si votre organisation utilise des balises de portée spécifiques pour les politiques de sécurité. Cliquez sur Suivant pour continuer.

Dans l'onglet Affectations, configurez qui reçoit cette politique :

• Inclure : Sélectionnez Tous les utilisateurs et Tous les appareils pour un déploiement à l'échelle de l'organisation
• Sinon, sélectionnez Groupes sélectionnés si vous souhaitez cibler des groupes de sécurité spécifiques
• Assurez-vous que le Type de cible est défini sur Inclure

Pour la plupart des organisations, il est recommandé de déployer sur tous les appareils pour une protection complète.

Cliquez sur Suivant pour passer à la révision finale.

Vérification : Vérifiez vos paramètres d'affectation pour vous assurer que la portée correcte est sélectionnée pour votre stratégie de déploiement.

Terminez le processus de création de la politique et déployez-la sur vos appareils sélectionnés.

Dans l'onglet Révision + création, examinez attentivement tous vos paramètres de politique :

• Vérifiez le nom et la description de la politique
• Confirmez que la protection contre les altérations est réglée sur "Activé"
• Vérifiez que le champ d'application de l'affectation correspond à vos intentions

Une fois que vous avez vérifié que tous les paramètres sont corrects, cliquez sur Créer pour déployer la politique.

La politique sera maintenant créée et commencera à être déployée sur les appareils assignés. Ce processus prend généralement 15 à 30 minutes pour que les appareils reçoivent et appliquent la politique.

Vérification : Vous devriez voir la nouvelle politique répertoriée dans votre tableau de bord des politiques Antivirus avec un statut "Créé".

Suivez la progression du déploiement et assurez-vous que la politique de protection contre les altérations est appliquée avec succès à vos appareils.

Retournez à Sécurité des points de terminaison > Antivirus dans le centre d'administration Intune. Cliquez sur votre nouvelle politique de protection contre les altérations pour voir son statut de déploiement.

Dans l'aperçu de la politique, vous verrez plusieurs indicateurs clés :

• Statut d'affectation : Indique combien d'appareils ont reçu la politique
• Statut de l'appareil : Affiche les comptes de succès, en attente et d'erreur
• Statut de l'utilisateur : Montre les informations de déploiement au niveau de l'utilisateur

Cliquez sur Statut de l'appareil pour voir des informations détaillées par appareil. Recherchez les appareils affichant le statut "Succès", ce qui indique que la protection contre les altérations a été activée avec succès.

Vérification : La plupart des appareils devraient afficher le statut "Succès" dans les 1 à 2 heures suivant le déploiement de la politique. Enquêtez sur tout appareil affichant le statut "Erreur" ou "En attente".

Confirmez que la protection contre les altérations fonctionne réellement sur vos appareils gérés en utilisant la vérification PowerShell.

Sur un appareil de test qui a reçu la politique, ouvrez PowerShell en tant qu'administrateur et exécutez la commande suivante :

Get-MpComputerStatus | Select-Object IsTamperProtected

Cette commande devrait retourner True si la protection contre les altérations est activée avec succès.

Vous pouvez également vérifier via l'application Sécurité Windows :

1. Ouvrez Sécurité Windows depuis le menu Démarrer
2. Accédez à Protection contre les virus et menaces
3. Cliquez sur Gérer les paramètres sous "Paramètres de protection contre les virus et menaces"
4. Vérifiez que les paramètres protégés apparaissent comme gérés et ne peuvent pas être modifiés

De plus, vérifiez le registre pour confirmation :

Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Defender" -Name "ManagedDefenderProductType"

Cela devrait retourner une valeur de 6, indiquant que l'appareil est géré par Intune.

Vérification : La commande PowerShell devrait retourner IsTamperProtected : True et Sécurité Windows devrait montrer les paramètres comme protégés.

Améliorez votre protection contre les altérations en empêchant les administrateurs locaux d'ajouter des exclusions antivirus qui pourraient affaiblir la sécurité.

Créez une politique antivirus supplémentaire pour protéger les exclusions. Retournez à Sécurité des points de terminaison > Antivirus et créez une nouvelle politique :

• Plateforme : Windows 10 et versions ultérieures
• Profil : Microsoft Defender Antivirus

Dans les paramètres de configuration, localisez la section Defender et configurez :

• Désactiver la fusion de l'administrateur local : Réglez sur Oui

Ce paramètre empêche les administrateurs locaux d'ajouter leurs propres exclusions à la configuration antivirus, garantissant que seules les exclusions gérées par Intune sont appliquées.

Déployez cette politique aux mêmes groupes que votre politique de protection contre les altérations pour une couverture de sécurité cohérente.

Vérification : Testez sur un appareil en essayant d'ajouter une exclusion locale en tant qu'administrateur - cela devrait être bloqué ou ignoré.

Vérifiez que votre implémentation de protection contre la falsification fonctionne correctement en tentant de modifier les paramètres protégés.

Sur un appareil de test avec la protection contre la falsification activée, essayez d'effectuer des actions qui devraient être bloquées :

1. Essayez de désactiver la protection en temps réel : Ouvrez Sécurité Windows et tentez de désactiver la protection en temps réel. Cela devrait être empêché.
2. Testez les modifications PowerShell : Exécutez la commande suivante en tant qu'administrateur :

Set-MpPreference -DisableRealtimeMonitoring $true

Cette commande devrait échouer ou n'avoir aucun effet en raison de la protection contre la falsification.

3. Tentez des modifications du registre : Essayez de modifier les paramètres de Defender directement dans le registre - ces changements devraient être bloqués ou annulés.

Si vous devez désactiver temporairement la protection contre la falsification pour le dépannage, utilisez la fonctionnalité mode de dépannage dans le portail Microsoft Defender :

1. Accédez au portail Defender à https://security.microsoft.com
2. Accédez à la gestion des appareils et activez le mode de dépannage pour des appareils spécifiques
3. Cela fournit un accès temporaire tout en maintenant les journaux d'audit

Vérification : Toutes les tentatives de modification des paramètres protégés devraient échouer, et l'appareil devrait maintenir sa configuration de sécurité malgré les tentatives administratives de la modifier.