Comment bloquer JavaScript et VBScript pour empêcher le lancement d'exécutables téléchargés dans Intune

Configurez les règles de réduction de la surface d'attaque de Microsoft Intune pour empêcher JavaScript et VBScript d'exécuter automatiquement des fichiers exécutables téléchargés, renforçant ainsi la sécurité des points de terminaison dans votre organisation.

Emanuel DE ALMEIDA

3/16/2026 15 min 0

hardintune 10 étapes 15 min

Pourquoi bloquer JavaScript et VBScript de lancer des exécutables téléchargés ?

L'exécution de JavaScript et VBScript d'exécutables téléchargés représente l'un des vecteurs d'attaque les plus courants dans les menaces de cybersécurité modernes. Les acteurs malveillants utilisent fréquemment ces langages de script pour exécuter automatiquement des logiciels malveillants, des ransomwares et d'autres charges nuisibles téléchargées sans interaction de l'utilisateur. Lorsque les utilisateurs téléchargent des fichiers à partir de pièces jointes d'e-mails, de navigateurs web ou de services de partage de fichiers, les scripts intégrés peuvent immédiatement lancer du contenu exécutable, contournant les contrôles de sécurité traditionnels.

Les règles de réduction de la surface d'attaque (ASR) de Microsoft Intune fournissent un mécanisme de défense puissant contre ces attaques d'exécution automatisées. La règle spécifique pour bloquer JavaScript et VBScript de lancer du contenu exécutable téléchargé cible le comportement où les scripts exécutent automatiquement des fichiers .exe, des installateurs .msi et d'autres formats exécutables immédiatement après le téléchargement. Cela crée une barrière de sécurité critique qui empêche de nombreuses méthodes courantes de livraison de logiciels malveillants.

Comment fonctionnent les règles de réduction de la surface d'attaque dans Microsoft Intune ?

Les règles de réduction de la surface d'attaque fonctionnent au niveau de Windows Defender, surveillant le comportement du système en temps réel pour détecter et prévenir les activités suspectes. Lorsqu'elles sont configurées via Microsoft Intune, ces règles se déploient de manière cohérente sur l'ensemble de votre parc d'appareils, offrant une gestion centralisée et des rapports. Les règles utilisent l'analyse comportementale plutôt que la détection basée sur les signatures, ce qui les rend efficaces contre les menaces zero-day et les logiciels malveillants polymorphes que l'antivirus traditionnel pourrait manquer.

Le système de règles ASR prend en charge plusieurs modes d'application : le mode Audit pour la surveillance et l'évaluation de l'impact, le mode Blocage pour la protection active, et le mode Avertissement pour l'éducation des utilisateurs avec des capacités de dérogation. Cette flexibilité permet aux organisations de mettre en œuvre une approche de déploiement par étapes, en commençant par la surveillance pour comprendre l'impact sur les applications commerciales légitimes avant de passer à l'application complète. La gestion centralisée via Intune assure une application cohérente des politiques et fournit des rapports détaillés sur l'efficacité des règles et toute activité bloquée dans votre organisation.

Guide de mise en oeuvre

Procédure complète

Accédez au Centre d'administration Microsoft Intune

Commencez par naviguer vers le centre d'administration Microsoft Intune où vous configurerez la politique de réduction de la surface d'attaque.

Ouvrez votre navigateur web et accédez à https://intune.microsoft.com. Connectez-vous avec vos identifiants administratifs disposant des autorisations d'administrateur Intune ou d'administrateur global.

Une fois connecté, vous verrez le tableau de bord principal d'Intune. L'interface a été mise à jour ces dernières années, assurez-vous donc d'utiliser la structure de navigation actuelle.

Astuce pro : Ajoutez le centre d'administration Intune à vos favoris et envisagez d'utiliser un profil de navigateur dédié pour les tâches administratives afin d'éviter les conflits de session.

Vérification : Confirmez que vous pouvez voir le tableau de bord principal d'Intune avec des options comme "Appareils", "Applications" et "Sécurité des points de terminaison" dans le volet de navigation de gauche.

Accédez aux politiques de réduction de la surface d'attaque

Accédez à la section de sécurité des points de terminaison où les règles de réduction de la surface d'attaque sont gérées dans l'interface actuelle d'Intune.

Dans le volet de navigation de gauche, cliquez sur Sécurité des points de terminaison. Cela s'étendra pour montrer plusieurs options liées à la sécurité. Cliquez sur Réduction de la surface d'attaque dans le sous-menu.

Vous verrez maintenant la page des politiques de réduction de la surface d'attaque, qui affiche toutes les politiques ASR existantes et offre des options pour en créer de nouvelles. C'est la méthode préférée pour configurer les règles ASR à partir de 2026, remplaçant l'ancienne approche des profils de configuration des appareils.

Avertissement : Évitez d'utiliser la méthode héritée "Configuration de l'appareil > Profils" pour les règles ASR, car Microsoft a déplacé ces paramètres vers la section Sécurité des points de terminaison pour une meilleure organisation et fonctionnalité.

Vérification : Vous devriez voir une page intitulée "Réduction de la surface d'attaque" avec des options pour "Créer une politique" et toutes les politiques ASR existantes listées ci-dessous.

Créer une nouvelle politique de réduction de la surface d'attaque

Créez une nouvelle stratégie spécifiquement pour bloquer JavaScript et VBScript de lancer des exécutables téléchargés.

Cliquez sur le bouton Créer une stratégie en haut de la page Réduction de la surface d'attaque. Cela ouvrira l'assistant de création de stratégie.

Configurez les paramètres de base de la stratégie :

Plateforme : Sélectionnez "Windows 10, Windows 11, et Windows Server"
Profil : Choisissez "Règles de réduction de la surface d'attaque"
Nom : Entrez un nom descriptif comme "Bloquer les exécutables téléchargés JS/VBS"
Description : Ajoutez une description claire telle que "Empêche JavaScript et VBScript de lancer automatiquement du contenu exécutable téléchargé"

Cliquez sur Créer pour passer aux paramètres de configuration.

Conseil de pro : Utilisez des conventions de nommage cohérentes pour vos stratégies. Incluez le type de règle et le comportement cible dans le nom pour faciliter la gestion des stratégies à mesure que votre organisation se développe.

Vérification : L'assistant devrait avancer à la page "Paramètres de configuration" où vous pouvez configurer des règles ASR spécifiques.

Configurer la règle de blocage JavaScript/VBScript

Configurez la règle spécifique de réduction de la surface d'attaque qui bloque JavaScript et VBScript de lancer du contenu exécutable téléchargé.

Dans la page des paramètres de configuration, localisez la règle "Bloquer JavaScript ou VBScript de lancer du contenu exécutable téléchargé". Cette règle a le GUID 56a863a9-875e-4185-98a7-b882c64b5ce5 dans le backend.

Définissez l'action de la règle en fonction de votre stratégie de déploiement :

Audit : Recommandé pour les tests initiaux (30+ jours) - enregistre les événements sans bloquer
Bloquer : Empêche activement le comportement - à utiliser après la période d'audit
Avertir : Affiche un avertissement à l'utilisateur mais permet de passer outre (Windows 10 1809+ requis)
Non configuré : Désactive la règle

Pour le déploiement initial, sélectionnez Audit pour surveiller l'impact avant l'application :

Bloquer JavaScript ou VBScript de lancer du contenu exécutable téléchargé : Audit

Avertissement : Ne déployez jamais les règles ASR en mode Bloquer sans les avoir d'abord exécutées en mode Audit pendant au moins 30 jours. Cela évite les interruptions inattendues des activités commerciales dues au blocage d'applications légitimes.

Vérification : Confirmez que la règle est définie sur l'action choisie (Audit pour le déploiement initial) et qu'elle apparaît comme configurée dans les paramètres de la politique.

Configurer les exclusions et les paramètres avancés

Configurez des exclusions pour les applications légitimes qui pourraient être affectées par la règle ASR.

Dans la même page de configuration, recherchez la section "Exclusions uniquement pour la réduction de la surface d'attaque". Ici, vous pouvez ajouter des exclusions pour :

Chemins de fichiers : Répertoires spécifiques où les scripts doivent être autorisés
Noms de fichiers : Noms d'exécutables spécifiques à exclure
Noms de processus : Applications qui doivent être exemptées

Exclusions courantes dont vous pourriez avoir besoin :

Exclusions de chemins de fichiers :
C:\Program Files\YourApp\Scripts\
C:\Scripts\Approved\

Exclusions de noms de fichiers :
legitimate-installer.exe
automation-script.js

Exclusions de processus :
trusted-application.exe

Ajoutez uniquement des exclusions pour les applications que vous avez vérifiées comme légitimes et nécessaires aux opérations commerciales. Chaque exclusion réduit le bénéfice de sécurité de la règle.

Astuce pro : Documentez toutes les exclusions avec une justification commerciale et révisez-les trimestriellement. Utilisez l'exclusion la plus spécifique possible (nom de fichier > chemin de fichier > nom de processus) pour minimiser les failles de sécurité.

Vérification : Passez en revue votre liste d'exclusions pour vous assurer que seules les exceptions nécessaires et documentées sont incluses.

Attribuer la politique aux groupes cibles

Configurez quels appareils ou utilisateurs recevront cette politique de réduction de la surface d'attaque.

Cliquez sur Suivant pour passer à la page des Assignations. Ici, vous définirez la portée de votre déploiement de politique.

Configurez les assignations :

Groupes inclus : Sélectionnez les groupes d'appareils ou les groupes d'utilisateurs qui devraient recevoir cette politique
Groupes exclus : Excluez éventuellement des groupes spécifiques (par exemple, appareils de test, appareils exécutifs)

Pour une approche de déploiement par phases :

Phase 1 : Appareils de test IT (50-100 appareils)
Phase 2 : Département pilote (500-1000 appareils)
Phase 3 : Tous les appareils de l'entreprise

Exclusions : Appareils exécutifs, Serveurs critiques

Commencez avec un petit groupe de test lors du déploiement en mode Audit, puis élargissez à des groupes plus importants à mesure que vous gagnez en confiance dans l'impact de la règle.

Avertissement : Évitez d'assigner des politiques ASR conflictuelles aux mêmes appareils. Si plusieurs politiques configurent la même règle avec des actions différentes (par exemple, l'une définit Bloquer, l'autre définit Audit), la règle sera entièrement ignorée sur ces appareils.

Vérification : Confirmez que vos groupes cibles sont sélectionnés et que toutes les exclusions nécessaires sont configurées avant de continuer.

Configurer les règles d'applicabilité (facultatif)

Configurez le déploiement conditionnel basé sur les caractéristiques de l'appareil comme la version du système d'exploitation ou les propriétés de l'appareil.

Cliquez sur Suivant pour atteindre la page des règles d'applicabilité. Cette étape optionnelle vous permet de créer des conditions qui doivent être remplies pour que la politique s'applique.

Règles d'applicabilité courantes pour les politiques ASR :

Version du système d'exploitation : Windows 10 version 1809 ou ultérieure (nécessaire pour le mode Avertissement)
Propriété de l'appareil : Appareils d'entreprise uniquement
Conformité de l'appareil : Uniquement les appareils conformes

Exemple de configuration de règle d'applicabilité :

Règle : Device.OSVersion
Opérateur : Supérieur ou égal à
Valeur : 10.0.17763 (Windows 10 1809)

Règle : Device.DeviceOwnership
Opérateur : Égal à
Valeur : Corporate

Si vous n'avez pas besoin de déploiement conditionnel, vous pouvez passer cette étape en cliquant sur Suivant sans ajouter de règles.

Astuce pro : Utilisez les règles d'applicabilité pour garantir que les politiques ASR ne s'appliquent qu'aux versions de système d'exploitation et types d'appareils pris en charge. Cela évite les échecs de politique sur des systèmes incompatibles comme les anciennes versions de Windows Server.

Vérification : Passez en revue les règles d'applicabilité que vous avez configurées, ou confirmez que vous continuez sans conditions si aucune n'est nécessaire.

Examiner et déployer la politique

Complétez la création de la stratégie et déployez-la sur vos appareils cibles.

Cliquez sur Suivant pour atteindre la page Révision + création. Examinez attentivement tous vos paramètres de stratégie :

Nom et description de la stratégie
Configuration des règles (doit être initialement réglée sur Audit)
Exclusions (le cas échéant)
Affectations cibles
Règles d'applicabilité (si configurées)

Une fois que vous avez vérifié que tous les paramètres sont corrects, cliquez sur Créer pour déployer la stratégie.

La stratégie commencera à s'appliquer aux appareils cibles en quelques minutes. Les stratégies Intune se synchronisent généralement toutes les 8 heures par défaut, mais vous pouvez forcer une synchronisation pour un test immédiat.

Pour forcer une synchronisation de stratégie sur un appareil de test :

# Exécuter sur l'appareil Windows cible en tant qu'administrateur
Get-ScheduledTask | Where-Object {$_.TaskName -eq "PushLaunch"} | Start-ScheduledTask

# Ou utilisez l'action à distance Intune :
# Appareils > Tous les appareils > Sélectionner l'appareil > Synchroniser

Astuce pro : Après le déploiement en mode Audit, attendez au moins 30 jours avant de passer en mode Blocage. Utilisez ce temps pour analyser les journaux d'audit et identifier les applications légitimes nécessitant des exclusions.

Vérification : Vérifiez que le statut de la stratégie dans Intune est affiché comme "Déployé" et assurez-vous qu'elle apparaît dans la liste des stratégies de réduction de la surface d'attaque.

Surveiller le déploiement et l'efficacité des politiques

Suivez le statut de déploiement des politiques et surveillez les événements des règles ASR pour assurer un bon fonctionnement.

Surveillez le statut de déploiement dans Intune :

Accédez à Sécurité des points de terminaison > Réduction de la surface d'attaque
Cliquez sur votre politique nouvellement créée
Examinez les onglets Statut de l'appareil et Statut de l'utilisateur

Vérifiez les problèmes de déploiement :

Succès : Politique appliquée avec succès
Erreur : Échec de l'application de la politique (vérifiez les journaux de l'appareil)
Conflit : Plusieurs politiques conflictuelles détectées
Non applicable : L'appareil ne répond pas aux règles d'applicabilité

Surveillez les événements ASR à l'aide de Microsoft Defender pour Endpoint ou des journaux d'événements Windows :

# Commande PowerShell pour vérifier localement les événements ASR
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Windows Defender/Operational'; ID=1121,1122,5007} | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

# Vérifiez le statut actuel des règles ASR
Get-MpPreference | Select-Object AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions

Dans le portail Microsoft Defender pour Endpoint, accédez à Rapports > Réduction de la surface d'attaque pour voir des analyses détaillées et des événements bloqués.

Avertissement : Si vous voyez de nombreuses applications légitimes bloquées en mode audit, examinez et ajoutez les exclusions appropriées avant de passer en mode Blocage. Documentez toutes les exclusions avec une justification commerciale.

Vérification : Confirmez que les appareils affichent le statut "Succès" dans Intune et que les événements ASR sont enregistrés dans Defender pour Endpoint ou dans les journaux d'événements locaux.

Transition de l'audit au mode bloc

Après avoir surveillé la phase d'audit, mettez à jour la politique pour bloquer activement l'exécution de JavaScript et VBScript malveillants.

Après avoir fonctionné en mode Audit pendant au moins 30 jours et analysé les résultats :

Retournez à Sécurité des points de terminaison > Réduction de la surface d'attaque
Cliquez sur le nom de votre politique pour la modifier
Accédez à Paramètres de configuration
Changez le paramètre de la règle de Audit à Bloquer

Avant de faire ce changement, assurez-vous d'avoir :

Examiné tous les événements d'audit et ajouté les exclusions nécessaires
Testé l'impact sur les applications critiques de l'entreprise
Communiqué le changement aux parties prenantes concernées
Préparé des procédures de réponse aux incidents pour les faux positifs

Enregistrez les modifications de la politique :

Bloquer JavaScript ou VBScript de lancer du contenu exécutable téléchargé : Bloquer

La politique mise à jour sera déployée sur les appareils lors du prochain cycle de synchronisation. Surveillez de près pendant les 48 premières heures après le passage en mode Bloquer.

Astuce pro : Envisagez d'utiliser le mode Avertir comme étape intermédiaire entre Audit et Bloquer. Cela permet aux utilisateurs de contourner les blocages si nécessaire tout en offrant une protection et une éducation des utilisateurs.

Vérification : Confirmez que la politique affiche le mode "Bloquer" dans la configuration et surveillez tout blocage d'application inattendu ou plainte d'utilisateur dans les premiers jours après le déploiement.

Questions Fréquentes

Quel est le GUID pour la règle ASR JavaScript VBScript dans Microsoft Intune ?+

Le GUID pour bloquer JavaScript ou VBScript de lancer du contenu exécutable téléchargé est 56a863a9-875e-4185-98a7-b882c64b5ce5. Cet identifiant unique est utilisé en interne par Windows Defender et peut être référencé dans les commandes PowerShell ou les configurations OMA-URI personnalisées. Vous n'avez pas besoin de saisir manuellement ce GUID lorsque vous utilisez l'interface du centre d'administration Intune, car il est automatiquement appliqué lorsque vous sélectionnez la règle dans les options de configuration de la politique.

Combien de temps devrais-je exécuter les règles ASR en mode Audit avant de passer en mode Blocage ?+

Microsoft recommande d'exécuter les règles ASR en mode Audit pendant au moins 30 jours avant de passer en mode Blocage. Cette période vous permet de collecter suffisamment de données sur les applications légitimes qui pourraient être affectées par la règle. Pendant ce temps, surveillez les journaux d'audit via Microsoft Defender pour Endpoint ou les journaux d'événements Windows pour identifier les applications critiques pour l'entreprise nécessitant des exclusions. Certaines organisations prolongent cette période à 60-90 jours pour des environnements complexes avec de nombreuses applications personnalisées.

Que se passe-t-il si plusieurs politiques Intune configurent la même règle ASR différemment ?+

Lorsque plusieurs stratégies Intune configurent la même règle ASR avec des paramètres conflictuels (par exemple, une stratégie la définit sur Bloquer et une autre sur Auditer), la règle sera entièrement ignorée sur les appareils concernés. Contrairement à d'autres types de stratégies, les règles ASR n'ont pas de système de priorité - les conflits entraînent la non-application de la règle. Pour éviter cela, assurez-vous qu'une seule stratégie par règle ASR est attribuée à chaque groupe d'appareils, ou utilisez une seule stratégie ASR complète pour votre organisation.

Puis-je utiliser PowerShell pour tester les règles ASR localement avant de les déployer via Intune ?+

Oui, vous pouvez tester les règles ASR localement en utilisant PowerShell avant le déploiement Intune. Utilisez le cmdlet Add-MpPreference avec le GUID de la règle : Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled. Utilisez 'Enabled' pour le mode Blocage, 'AuditMode' pour le mode Audit. N'oubliez pas que Add-MpPreference ajoute aux règles existantes tandis que Set-MpPreference remplace toutes les règles. Testez toujours d'abord sur des appareils non productifs et supprimez les configurations de test avant de déployer les politiques Intune.

Quelles versions de Windows prennent en charge la règle ASR de blocage JavaScript VBScript ?+

La règle ASR de blocage JavaScript VBScript prend en charge Windows 10 version 1709 et ultérieures, Windows 11 toutes versions, et Windows Server 2016 et ultérieures. Cependant, évitez de déployer des règles ASR sur Windows Server 2012 R2 et Windows Server 2016 lors de l'utilisation de la gestion moderne d'Intune, car certaines règles peuvent ne pas s'appliquer correctement. Pour la fonctionnalité du mode Avertissement, vous avez besoin de Windows 10 version 1809 ou ultérieure. Vérifiez toujours la compatibilité du système d'exploitation dans votre environnement et utilisez les règles d'applicabilité d'Intune pour cibler uniquement les versions prises en charge.

Écrit par

Emanuel DE ALMEIDA

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Intelligence Complémentaire

Approfondissez vos connaissances

tutorial

Cybersecurity