Erreur Microsoft Office lors de la mise à jour de Secure Exchanges (blocage ASR)
1. Contexte
Microsoft Defender inclut une règle de sécurité appelée Block executable content from email client and webmail qui bloque les contenus exécutables provenant des clients de messagerie. Cette règle bloque tous les contenus considérés comme exécutables lorsqu'ils proviennent d'un courriel ou d'un client de messagerie (Outlook, webmail, etc.).
Secure Exchanges utilise ClickOnce pour déployer les mises à jour dans C:\Users\[username]\AppData\Local\Apps\2.0\Paramètres de la règle ASR :
Paramètre | Valeur |
Nom de la règle | Block executable content from email client and webmail |
GUID | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
Nom Intune | Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions) |
Le blocage survient au moment de la mise à jour du connecteur Secure Exchanges, pas à l'installation initiale.
2. Identifier le blocage dans Microsoft Defender
2.1 Requête Kusto (Advanced Hunting)
Pour confirmer que la règle ASR est responsable du problème, utilisez la requête suivante dans Microsoft 365 Defender > Advanced Hunting :
DeviceEvents
| where ActionType == "AsrExecutableEmailContentBlocked"
| where FileName contains "SecureExchanges"
| project Timestamp, DeviceName, FileName, FolderPath, SHA256
| order by Timestamp desc
2.2 Résultat typique
Dans les résultats, vous verrez :
- ActionType : AsrExecutableEmailContentBlocked
- FileName : SecureExchangesSDK.dll
- FolderPath : C:\Users\[username]\AppData\Local\Apps\2.0\...
3. Pourquoi SecureExchangesSDK.dll est bloquée ?
Secure Exchanges utilise un composant logiciel (DLL) pour :
- Gérer la communication sécurisée entre Outlook et le serveur
- Valider les actions effectuées dans Outlook (envoi de messages chiffrés)
- Traiter les messages chiffrés/déchiffrés
Ce n'est pas une menace réelle. C'est un faux positif courant dans les environnements sécurisés.
4. Principe de sécurité : exclusions ciblées
N'excluez JAMAIS tout le dossier C:\Users\*\AppData\Local\Apps\2.0\
ClickOnce stocke TOUTES les applications déployées via ClickOnce dans ce dossier. En excluant ce dossier, vous :
- Désactivez la protection ASR pour toutes les applications ClickOnce
- Créez une faille de sécurité majeure
- Permettez à un attaquant de déployer du malware via ClickOnce sans détection
5. Comprendre les types d'exclusions ASR
Point crucial : Le type d'exclusion dépend de votre outil de gestion. Cette distinction est essentielle pour la sécurité.
Outil | Type d'exclusion | Impact |
Intune / MDE | Per-rule | Exclusion appliquée UNIQUEMENT à la règle spécifique. |
GPO | Globale | Exclusion appliquée à TOUTES les règles ASR actives. |
MECM / SCCM | Globale | Exclusion appliquée à TOUTES les règles ASR actives. |
PowerShell | Globale | Exclusion appliquée à TOUTES les règles ASR actives. |
6. Fichiers à exclure
Les chemins suivants doivent être ajoutés aux exclusions :
DLLs principales de Secure Exchanges
C:\Users\*\AppData\Local\Temp\Deployment\*\*\SecureExchangesSDK.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\OSecureExchange.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\OSecureExchange.resources.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\SecureExchangesSDK.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\OSecureExchange.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\OSecureExchange.resources.dllDLLs iText
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.barcodes.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.bouncy-castle-adapter.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.bouncy-castle-connector.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.commons.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.forms.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.io.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.kernel.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.layout.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.pdfa.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.pdfua.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.sign.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.styledxmlparser.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\itext.svg.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.barcodes.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.bouncy-castle-adapter.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.bouncy-castle-connector.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.commons.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.forms.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.io.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.kernel.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.layout.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.pdfa.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.pdfua.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.sign.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.styledxmlparser.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\itext.svg.dllDLLs tierces
C:\Users\*\AppData\Local\Temp\Deployment\*\*\BouncyCastle.Cryptography.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\CsvHelper.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\Newtonsoft.Json.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\PhoneNumbers.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\BouncyCastle.Cryptography.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\CsvHelper.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\Newtonsoft.Json.dll
C:\Users\*\AppData\Local\Apps\2.0\*\*\PhoneNumbers.dllLes wildcards multiples (*\*\) sont nécessaires pour couvrir la structure de dossiers variable de ClickOnce.
A. Application via Intune
Intune permet de configurer des exclusions par règle (ASR Only Per Rule Exclusions), limitant l'impact sur la sécurité globale.
- Accédez à Endpoint Security → Attack Surface Reduction
- Sélectionnez ou créez une politique ASR
- Localisez la règle « Block executable content from email client and webmail »
- Dans ASR Only Per Rule Exclusions, ajoutez les chemins de la section 6
- Enregistrez et déployez la politique
B. Application via GPO (déploiement en entreprise)
Les exclusions configurées via GPO s'appliquent à TOUTES les règles ASR, pas uniquement à la règle concernée.
- Ouvrir gpedit.msc (ou GPMC pour un domaine)
- Naviguer vers : Configuration ordinateur → Modèles d'administration → Composants Windows → Antivirus Microsoft Defender → Microsoft Defender Exploit Guard → Réduction de la surface d'attaque
- Double-cliquer sur « Exclure des fichiers et des chemins d'accès des règles de réduction de la surface d'attaque »
- Activer la stratégie et ajouter les chemins de la section 6
- Appliquer la stratégie : gpupdate /force
C. Application via PowerShell
Comme pour GPO, les exclusions PowerShell sont GLOBALES et s'appliquent à toutes les règles ASR.
Ajouter une exclusion :
Add-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Users\*\AppData\Local\Apps\2.0\*\SecureExchangesSDK.dll"
Vérifier les exclusions actuelles :
Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionOnlyExclusions
7. Vérifier que l'exception fonctionne
- Attendre la propagation (jusqu'à 90 minutes pour GPO/Intune)
- Tester une mise à jour de Secure Exchanges sur un poste *Se fait automatiquement au redémarrage de Outlook
- Vérifier dans Advanced Hunting si de nouveaux blocages apparaissent
- Si aucun résultat → L'exclusion fonctionne correctement
Si le problème persiste
Causes possibles :
- L'exclusion n'a pas été appliquée correctement (vérifier la syntaxe)
- La GPO/Intune n'est pas encore propagée
- Un conflit avec une autre politique de sécurité
Actions de dépannage :
- Relancer la requête Kusto pour identifier tous les fichiers bloqués
- Vérifier si de nouvelles DLL sont bloquées et les ajouter aux exclusions
- Vérifier l'application des GPO : gpresult /h C:\temp\rapport_gpo.html
- Forcer une mise à jour : gpupdate /force
Références Microsoft
- Utiliser des règles de réduction de la surface d’attaque pour empêcher l’infection des programmes malveillants - Microsoft Defender for Endpoint | Microsoft Learn
- Informations de référence sur les règles de réduction de la surface d’attaque - Microsoft Defender for Endpoint | Microsoft Learn
Related Articles
Erreur Microsoft lors de l’installation ou de la mise à jour de Secure Exchanges
Il peut arriver que Microsoft Office affiche un message d’erreur lors de l’installation ou de la mise à jour du connecteur Secure Exchanges dans Outlook. Dans la majorité des cas, ce problème est causé par un cache local corrompu utilisé par ...Erreur lors de l’ajout d’un fichier ou d’un document de signature avec Secure Exchanges
Si une erreur survient lorsque vous tentez de joindre un fichier ou un document à signer dans un courriel protégé par Secure Exchanges, cela signifie généralement que le fichier est déjà utilisé par une autre application, ou temporairement bloqué par ...Paramétrer Secure Exchanges dans Outlook
Secure Exchanges offre plusieurs paramètres configurables directement dans Outlook afin d’adapter le niveau de sécurité, le comportement des envois et la gestion des signatures selon vos besoins. Cet article explique chaque onglet des paramètres, en ...Installer et activer Secure Exchanges pour Outlook
Identifiez votre version d’Outlook Cette procédure s’applique uniquement aux utilisateurs d’Outlook Classique. Si vous utilisez plutôt : Le Nouvel Outlook, ou Outlook Web (navigateur) Vous devez suivre cette procédure : Comment installer et activer ...L'Analyse de Vulnérabilité de Secure Exchanges
Secure Exchanges offre une fonctionnalité d'analyse de vulnérabilité pour aider à détecter des échanges contenant des informations potentiellement vulnérables et à risque d'être compromises. Voici un guide étape par étape pour utiliser cette fonction ...