[Résolu] Questions sur la protection contre les pup avec Windows Defender

[mwonex]

Bonjour,

Suite au tutoriel de PatriciaG sur l'ajout de la fonction anti-pup à Windows Defender préventif,
tutoriels-astuces-f26/topic3569.html
J'ai lu ce tuto avec intérêt, étant en délicatesse avec mon PC de bureau (résolu pour le moment), l'intérêt majeur en est le blocage des pup(s) avant installation.
Mes questions sont de plusieurs ordres:

1 -L'une des méthodes est publiée dans "Microsoft Malware Protection Center blog" selon l'article.
Les 3 méthodes se valent elles, si un comparatif existe?
Ce n'est pas précisé dans l'article original, dans ce cas il me parait préférable d'utiliser la 3e solution, après sauvegarde de la clé de registre?
Je ne connais pas le moyen de revenir en arrière avec la commande PowerShell..

2 - Y a t il un risque (sans danger) que les clés de registre soient réajustées à leur valeur par défaut à la délivrance de la Redstone 2 (je me doute que c'est difficile d'y répondre actuellement).

3 enfin (last but not least ) est ce que ça signifie qu'il ne serait plus utile de conserver MBAM version gratuite?

J'ai vu que la méthode a été testée avec succès, il est précisé que les "alertes" sont différentes et donc faciles à distinguer/
ex: PUA:Win32/CandyOpen

MPC Security Portal has the complete list of “Potentially Unwanted Programs” or “Potentially Unwanted Applications”, each threat name is prefixed with “PUA:”.

On peut se demander si la liste est bien actualisée à l'instar de celle de MBAM, l'outil est très intéressant et serait complémentaire dans tous les cas?
Une début de réponse ici:

We maintain a definition library of unwanted software. This library has a database of unwanted software files and settings. When our researchers identify new unwanted software, they create definitions and add them to the library. We release regular definition updates to help protect your PC and personal information.

Source: Malware Protection Center

traduction "simple" de la conclusion dans Winhelponline:

Conclusion: La fonctionnalité de détection de Windows Defender PUA peut être très utile pour les systèmes qui n'utilisent pas une solution anti-malware premium avec capacité de surveillance en temps réel. On souhaiterait seulement que Microsoft ajoute une option d'interface graphique pour activer la fonctionnalité de vérification de PUA dans Windows Defender, comme la fonctionnalité de choix "Limited Periodic Scanning" * qu'ils ont ajouté dans Windows 10.

Il est fait allusion à la possibilité d'analyse complémentaire par Windows Defender en présence d'un autre antivirus:
* Windows defender peut co-exister avec un autre antivirus
@+

[Patriciag]

Bonjour,

1 - les trois méthodes produisent le même résultat, activent la fonctionnalité.
J'ai effectué les trois manipulations, mais comme je n'ai pas de PUP, aucun fichier n'a été mis en quarantaine.

La troisième méthode est celle diffusée par Microsoft.
Pour ma part, j'ai gardé la première.

2 - Comme cette fonctionnalité est officielle Microsoft, je pense qu'elle résistera à Creator's Update (Redstone 2), mais je n'en ai pas la certitude.

3 - A mon avis, cette fonctionnalité est complémentaire de MBAM version gratuite, puisque ce dernier n'offre pas de protection résidente.

On peut donc parfaitement activer la fonction détection PUP dans Windows Defender, non pénalisante pour le système (je l'ai activée et mon pc ne s'en ressent pas) et conserver MBAM version gratuite pour faire des scans ponctuels.

Je ne me risquerais pas à faire coexister deux antivirus résidents.
Mais ce n'est pas le cas, seul Windows Defender est activé en résident et MBAM version gratuite est utilisé pour des scans ponctuels.
D'ailleurs MBAM n'est pas un antivirus mais un anti-malware.

Comme tu le sais, je ne suis hélas pas experte en sécurité et je ne réponds qu'avec ma petite expérience personnelle.

@+

[mwonex]

Bonjour,

Je ne me risquerais pas à faire coexister deux antivirus résidents.
Mais ce n'est pas le cas, seul Windows Defender est activé en résident et MBAM version gratuite est utilisé pour des scans ponctuels.
D'ailleurs MBAM n'est pas un antivirus mais un anti-malware.

Merci de ta réponse, il n'y a pas de double emploi à redouter j'en suis conscient, je garde également MBAM en attendant.
Je vais utiliser l'option 3, ne sachant pas comment défaire ce que la commande Poweshell a réalisé, c'est une chose que je dois rechercher un de ces jours de patience.

On se demande si une interface graphique pourra voir le jour de la part de Microsoft pour cette fonction.
@+

[Patriciag]

Bonjour,

Pour défaire ce que produit la méthode 1, celle que j'ai utilisée, rien de plus simple :

Dans PowerShell en mode administrateur, saisis la commande suivante :

Code : Tout sélectionner

Set-MpPreference -PUAProtection 0

Cette commande PowerShell met à la valeur de Registre PUAProtection de la clé suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender

ce qui désactive la protection.

Je doute d'une interface graphique prochaine, mais c'est à remonter dans le Hub de Commentaires.

@+

[mwonex]

Re,

Merci pour cette commande, il faut que j'étudie un peu le PowerShell très nouveau pour moi, moi s'il existe depuis longtemps.

Code : Tout sélectionner

Set-MpPreference -PUAProtection 0

Par curiosité je suis allé voir les commandes disponibles pour Windows defender, dans:
http://www.ntoskrnl.org/WinIntl_201608.pdf

Automatisation de Windows Defender via PowerShell
Quelques-uns des fonctions de sécurité véhiculées par Windows Defender sont automatisables par le biais de
PowerShell. La liste qui suit énumère les commandes les plus courantes employées à cet objet.
■ Add-MpPreference Affecte les paramètres régissant Windows Defender.
■ Get-MpComputerStatus Affiche des informations concernant l’état de la protection antimalware sur l’ordinateur.
■ Get-MpPreference Affiche les paramètres d’analyse et des mises à jour de Windows Defender.
■ Get-MpThreat Affiche l’historique des menaces détectées.■ Get-MpThreatCatalog Affiche les menaces connues à partir du catalogue des signatures.
■ Remove-MpPreference Supprime des exclusions.
■ Remove-MpThreat Supprime les menaces détectées.
■ Set-MpPreference Configure les paramètres d’analyse et des mises à jour de Windows Defender.
■ Start-MpScan Démarre une analyse sur l’ordinateur.
■ Update-MpSignature Met à jour les définitions de logiciels malveillants.

Ainsi on peut tester cette commande dans Poweshell, pour vérifier l'état de la protection antimalware

Code : Tout sélectionner

Get-MpComputerStatus 

Celle-ci pour vérifier les paramètres d'analyse et des mises à jour de Windows Defender, avant application de la commande Powershell

Code : Tout sélectionner

Get-MpPreference 

PS C:\Users\michel> Get-MpPreference


CheckForSignaturesBeforeRunningScan : False
ComputerID : 9F654182-DAB4-4C0E-9DD0-104C490D2AD2
........
........
ExclusionPath :
ExclusionProcess :
HighThreatDefaultAction : 0
LowThreatDefaultAction : 0
MAPSReporting : 2
ModerateThreatDefaultAction : 0
PUAProtection : 0 la valeur 1 sera attribuée par la commande PowerShell décrite
QuarantinePurgeItemsAfterDelay : 90

N'utilisez pas la commande "set'- en dehors de celle proposée par PatriciaG sans savoir ce que vous faites
Bien sur ce n'est qu'une recherche parmi d'autres pour mieux me familiariser avec le PowerShell

On voir que "Set-MpPreference" Configure les paramètres d’analyse et des mises à jour de Windows Defender, comme indiqué dans le tuto de Patriciag, ainsi après application la commande retourne:

Windows PowerShell
Copyright (C) 2016 Microsoft Corporation. Tous droits réservés.

PS C:\WINDOWS\system32> Set-MpPreference -PUAProtection 1
PS C:\WINDOWS\system32> Get-MpPreference


CheckForSignaturesBeforeRunningScan : False

ExclusionPath :
ExclusionProcess :
HighThreatDefaultAction : 0
LowThreatDefaultAction : 0
MAPSReporting : 2
ModerateThreatDefaultAction : 0
PUAProtection : 1
QuarantinePurgeItemsAfterDelay : 90

Ainsi je comprends mieux l'utilisation de la commande (pas à pas)
Correspondance du registre avec la commande powershell précédente:

Capture.-correspondance registre de la commande powershellPNG.PNG (43.56 Kio) Vu 1349 fois

Mais le chemin d'accès au Registre ci-dessus est protégé et ne peut pas être modifié à l'aide de l'Éditeur du Registre, sauf si vous le modifiez en tant que SYSTEM.

??
@+

[Patriciag]

Bonjour,

Je vois que tu as étudié Set-MpPreference de fond en comble.

Mais le chemin d'accès au Registre ci-dessus est protégé et ne peut pas être modifié à l'aide de l'Éditeur du Registre, sauf si vous le modifiez en tant que SYSTEM.

????

Dans mon tutoriel, j'indique trois méthodes, chacune impliquant une modification de registre.

Les clés concernées par les méthodes 2 et 3 sont modifiables directement, alors que la première n'est pas accessible via Regedit à moins d'avoir des autorisations System, ce qui implique de modifier les autorisations de cette clé.
C'est pourquoi il est plus simple d'utiliser la commande Set-MpPreference -PUAProtection 1 de PowerShell en mode administrateur, qui produit le même résultat, sans qu'on n'aie besoin de toucher aux autorisations.

@+

[Patriciag]

Bonjour,

La modification de la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender nécessite des autorisations de niveau système.
En revanche, il est possible de consulter cette clé directement avec Regedit, notamment pour vérifier le succès de la modification effectuée avec PowerShell, sans recourir à Get-MpComputerStatus.

Ainsi on peut tester cette commande dans Poweshell, pour vérifier l'état de la protection antimalware

Code : Tout sélectionner

Get-MpComputerStatus 

Celle-ci pour vérifier les paramètres d'analyse et des mises à jour de Windows Defender, avant application de la commande Powershell

Code : Tout sélectionner

Get-MpPreference 

Tu as fait une petite erreur d'étourderie, la commande qui effectue la modification est

Code : Tout sélectionner

Set-MpPreference -PUAProtection 1

@+

[mwonex]

Bonjour,

Je vois que tu as étudié Set-MpPreference de fond en comble.

Façon de m'approprier la chose, ni plus ni moins

Tu as fait une petite erreur d'étourderie, la commande qui effectue la modification est

Code: Tout sélectionner
Set-MpPreference -PUAProtection 1

Non j'avais très bien compris, ce que j'indique c'est qu'on peut vérifier dans le registre la valeur par défaut "avant" application du changement à 1 avec:

Code : Tout sélectionner

Get-MpPreference 

soit:

Capture-registre pour valeur defender par defaut avant changement.JPG (69.57 Kio) Vu 1326 fois

j'ai écrit ceci qui montre la valeur 0 de la commande ci-dessus "avant" application de la commande PowerShell "decrite" pour la modifier
PUAProtection : 0 la valeur 1 sera attribuée par la commande PowerShell décrite (entendre "Set-MpPreference -PUAProtection 1 "


Erreur d'expression ou de compréhension pour le lecteur difficile d'expliquer sans ajouter de multiples images.
@+

[Patriciag]

Bonjour,

Comme tu as écrit ceci exactement, avec répétition de la commande, cela prêtait à confusion selon moi, mais c'est sans importance.
Le principal est que tout soit clair pour tout le monde.

Ainsi on peut tester cette commande dans Poweshell, pour vérifier l'état de la protection antimalware

Code : Tout sélectionner

Get-MpComputerStatus 

Celle-ci pour vérifier les paramètres d'analyse et des mises à jour de Windows Defender, avant application de la commande Powershell

Code : Tout sélectionner

Get-MpPreference 

@+

[txuku]

Bonjour

Un peu en dehors de vos propositions............


Je vous propose de rajouter dans votre fichier hosts ce qu installe le logiciel unchecky qui me semble beaucoup plus fiable qu a ses debuts :

• # unchecky_begin
  # These rules were added by the Unchecky program in order to block advertising software modules
  0.0.0.0 0.0.0.0 # fix for traceroute and netstat display anomaly
  0.0.0.0 tracking.opencandy.com.s3.amazonaws.com
  0.0.0.0 media.opencandy.com
  0.0.0.0 cdn.opencandy.com
  0.0.0.0 tracking.opencandy.com
  0.0.0.0 api.opencandy.com
  0.0.0.0 api.recommendedsw.com
  0.0.0.0 installer.betterinstaller.com
  0.0.0.0 installer.filebulldog.com
  0.0.0.0 d3oxtn1x3b8d7i.cloudfront.net
  0.0.0.0 inno.bisrv.com
  0.0.0.0 nsis.bisrv.com
  0.0.0.0 cdn.file2desktop.com
  0.0.0.0 cdn.goateastcach.us
  0.0.0.0 cdn.guttastatdk.us
  0.0.0.0 cdn.inskinmedia.com
  0.0.0.0 cdn.insta.oibundles2.com
  0.0.0.0 cdn.insta.playbryte.com
  0.0.0.0 cdn.llogetfastcach.us
  0.0.0.0 cdn.montiera.com
  0.0.0.0 cdn.msdwnld.com
  0.0.0.0 cdn.mypcbackup.com
  0.0.0.0 cdn.ppdownload.com
  0.0.0.0 cdn.riceateastcach.us
  0.0.0.0 cdn.shyapotato.us
  0.0.0.0 cdn.solimba.com
  0.0.0.0 cdn.tuto4pc.com
  0.0.0.0 cdn.appround.biz
  0.0.0.0 cdn.bigspeedpro.com
  0.0.0.0 cdn.bispd.com
  0.0.0.0 cdn.bisrv.com
  0.0.0.0 cdn.cdndp.com
  0.0.0.0 cdn.download.sweetpacks.com
  0.0.0.0 cdn.dpdownload.com
  0.0.0.0 cdn.visualbee.net
  # unchecky_end