ATP existe depuis plusieurs années et est une extension de Defender. Solution destinée surtout aux entreprises, elle fonctionne avec le portail Security Center et a pour mission de combattre d’éventuelles tentatives d’intrusion dans l’infrastructure.
Cette protection prend maintenant en charge Linux, en plus de Windows et macOS. Les distributions officiellement supportées sont RHEL 7.2, CentOS Linux 7.2, Ubuntu 16.04 LTS, SLES 12, Debian 9, Oracle Linux 7.2 et leurs versions ultérieures. Dans le cas d’Ubuntu, seules les moutures LTS sont concernées, donc 18.04 et la récente 20.04.
Selon la documentation de Microsoft, les administrateurs devront s’y connaître un peu en scripts Linux et Bash pour installer ATP. Le déploiement et la configuration peuvent être assurés par Puppet, Ansible ou un outil de gestion existant.
La compatibilité d’ATP est également étendue à Android, en préversion pour l’instant. La protection s’étend notamment aux adresses visitées dans le navigateur, se servant de SmartScreen pour prévenir l’utilisateur en cas de mauvaise réputation ou de site carrément détecté comme frauduleux.
ATP surveille également l’installation d’applications, là encore en repérant les réputations faibles ou celles reconnues comme malveillantes. Si l’entreprise dispose en plus de Endpoint Manager, les administrateurs pourront bloquer l’accès des applications non autorisées aux ressources d’entreprise.
Actuellement, seul Intune est supporté comme outil permettant de définir les règles de déploiement et de conformité. Cet aspect devrait être développé au cours des prochains mois, puisque la préversion va durer un moment.
Microsoft compte fournir ATP pour iOS « plus tard dans l’année ». Il y a des chances cependant que la protection y soit moins efficace, car iOS n’a pas la souplesse d’Android pour laisser ce genre d’outil faire son travail.
On l’a vu récemment avec la préversion du contrôle parental lancée par Microsoft : les fonctions sont beaucoup moins nombreuses sur la plateforme d’Apple que celle de Google.
Commentaires (10)
#1
Pour le coup je ne vois pas l’intérêt d’un antivirus résident sous Linux. Le problème est que ces systèmes sont obligés de tourner avec des privilèges très élevés et l’expérience montre qu’ils sont plus souvent des sources de vulnérabilités qu’autre chose. Cela dit je connais hélas des entreprises très friandes de ce genre de produit.
#2
Il s’agit d’un EDR, pas d’un antivirus.
#3
Defender ATP est vraiment en train de devenir le meilleur produit du marché. Reste à voir la pertinence des logs remontés pour les systèmes Linux. Pour en avoir testé un paquet, on a vite tendance à générer du “bruit” pour aller tamponner son produit comme disposant d’une composante EDR.
Mais quoi qu’il en soit, je ne peux que recommander cette solution pour la partie Crosoft.
#4
c’est un produit gratuit (comme par exemple WSUS à condition qu’on a une licence serveurs M$)?
#5
Non il faut une licence E5
#6
#7
Il y a des failles dans Linux bien évidemment - mais l’ironie de l’histoire veut que les antivirus résidents en rajoutent souvent, cf. le billet du développeur de Firefox qui disait ce qu’il pensait de ces produits et ce n’est pas le seul.
Après la meilleure politique est de n’utiliser ta bécane en admin qu’au minimum et d’être réactif sur l’application des patches de sécurité. Et tant pis pour les concours d’uptime quand il y a une mise à jour du noyau ou de certains services comme systemd.
#8
Sur quelle tests tu te bases pour avancer cela?
De mon coté, en quelques minutes, j’ai pu vérifier que leur protection de liens étant du flan complet :
https://tuxicoman.jesuislibre.net/2020/05/microsoft-safe-links.html
Ils ont juste des bons commerciaux pour vendre aux beotiens.
#9
#10
Ce qui est remarquable c’est que c’est un produit d’entreprise pour poste de travail et que M$ se sent devoir fournir ce logiciel pour Linux, signe que même en entreprise Linux sur poste de travail commence à gagner du terrain !..