À propos de la Protection Anti-Exploit
S'applique à : WatchGuard EPDR, WatchGuard EDR
Dans les paramètres d'Advanced Protection d'un profil de paramètres de stations de travail et de serveurs, vous pouvez activer la protection anti-exploit. La protection anti-exploit est activée par défaut sur Bloquer.
La technologie anti-exploit n'est pas disponible sur les systèmes Windows ARM. Les fonctionnalités disponibles varient en fonction de chaque plate-forme. Pour plus d'informations, consultez Advanced Protection des Périphériques sur les Plates-Formes Windows, Linux et macOS.
Blocage et Détection des Exploits
La protection anti-exploit bloque automatiquement les tentatives d'exploitation des vulnérabilités détectées dans les processus actifs des ordinateurs des utilisateurs.
Les ordinateurs du réseau peuvent exécuter des processus approuvés présentant des bogues. Bien que légitimes, ces processus sont vulnérables, car ils n'interprètent parfois pas correctement les données transmises par les utilisateurs ou les autres processus. Si un pirate transmet des entrées malveillantes à un processus vulnérable, un dysfonctionnement permettant au pirate d'injecter du code malveillant dans les zones mémoire gérées par le processus vulnérable peut se produire. Le code injecté peut forcer le processus compromis à exécuter des actions pour lesquelles il n'a pas été programmé et compromettre la sécurité de l'ordinateur.
La protection anti-exploit intégrée à WatchGuard Endpoint Security détecte les tentatives d'injection de code malveillant dans les processus vulnérables exécutés par les utilisateurs et les neutralise en fonction de l'exploit détecté.
Blocage des Exploits
WatchGuard Endpoint Security détecte la tentative d'injection alors qu'elle se produit. Étant donné que le processus d'injection ne s'achève pas, le processus ciblé n'est pas compromis et l'ordinateur ne court aucun risque. L'exploit est neutralisé sans qu'il ait été nécessaire d'arrêter le processus concerné ni de redémarrer l'ordinateur, et aucune fuite de données n'a eu lieu pour le processus concerné. L'utilisateur de l'ordinateur ciblé voit s'afficher une notification de blocage en fonction des paramètres configurés par l'administrateur.
Détection des Exploits
WatchGuard Endpoint Security détecte l'injection après qu'elle ait eu lieu. Étant donné que le processus vulnérable contient déjà du code malveillant, WatchGuard Endpoint Security doit arrêter le processus avant qu'il n'exécute des actions susceptibles de compromettre la sécurité de l'ordinateur. Quel que soit le temps écoulé entre la détection de l'exploit et l'arrêt du processus compromis, WatchGuard Endpoint Security signale que l'ordinateur a encouru un risque. Le niveau de risque dépend du temps écoulé avant l'arrêt du processus et du type de malware.
WatchGuard Endpoint Security peut arrêter automatiquement un processus compromis afin de minimiser les nuisances d'une attaque ou inviter l'utilisateur à arrêter le processus et le supprimer de la mémoire. L'utilisateur peut ainsi enregistrer son travail ou les informations critiques avant que le processus compromis ne soit arrêté ou que l'ordinateur ne redémarre. S'il est impossible d'arrêter un processus compromis, l'utilisateur est invité à redémarrer l'ordinateur.
Voir Également
Gérer les Profils de Paramètres
Copier un Profil de Paramètres
Modifier un Profil de Paramètres
Assigner un Profil de Paramètres
Paramètres de Sécurité des Stations de Travail et des Serveurs