Secure Exchanges rencontre une erreur à la mise à jour
1. Contexte
Microsoft Defender inclut une règle de sécurité appelée Block executable content from email client and webmail qui bloque les contenus exécutables provenant des clients de messagerie. Cette règle bloque tous les contenus considérés comme exécutables lorsqu'ils proviennent d'un courriel ou d'un client de messagerie (Outlook, webmail, etc.).
Secure Exchanges utilise ClickOnce pour déployer les mises à jour dans C:\Users\[username]\AppData\Local\Apps\2.0\Paramètres de la règle ASR :
Paramètre | Valeur |
Nom de la règle | Block executable content from email client and webmail |
GUID | BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 |
Nom Intune | Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions) |
Le blocage survient au moment de la mise à jour du connecteur Secure Exchanges, pas à l'installation initiale.
2. Identifier le blocage dans Microsoft Defender
2.1 Requête Kusto (Advanced Hunting)
Pour confirmer que la règle ASR est responsable du problème, utilisez la requête suivante dans Microsoft 365 Defender > Advanced Hunting :
DeviceEvents
| where ActionType == "AsrExecutableEmailContentBlocked"
| where FileName contains "SecureExchanges"
| project Timestamp, DeviceName, FileName, FolderPath, SHA256
| order by Timestamp desc
2.2 Résultat typique
Dans les résultats, vous verrez :
- ActionType : AsrExecutableEmailContentBlocked
- FileName : SecureExchangesSDK.dll
- FolderPath : C:\Users\[username]\AppData\Local\Apps\2.0\...
3. Pourquoi SecureExchangesSDK.dll est bloquée ?
Secure Exchanges utilise un composant logiciel (DLL) pour :
- Gérer la communication sécurisée entre Outlook et le serveur
- Valider les actions effectuées dans Outlook (envoi de messages chiffrés)
- Traiter les messages chiffrés/déchiffrés
Ce n'est pas une menace réelle. C'est un faux positif courant dans les environnements sécurisés.
4. Principe de sécurité : exclusions ciblées
N'excluez JAMAIS tout le dossier C:\Users\*\AppData\Local\Apps\2.0\
ClickOnce stocke TOUTES les applications déployées via ClickOnce dans ce dossier. En excluant ce dossier, vous :
- Désactivez la protection ASR pour toutes les applications ClickOnce
- Créez une faille de sécurité majeure
- Permettez à un attaquant de déployer du malware via ClickOnce sans détection
5. Comprendre les types d'exclusions ASR
Point crucial : Le type d'exclusion dépend de votre outil de gestion. Cette distinction est essentielle pour la sécurité.
Outil | Type d'exclusion | Impact |
Intune / MDE | Per-rule | Exclusion appliquée UNIQUEMENT à la règle spécifique. |
GPO | Globale | Exclusion appliquée à TOUTES les règles ASR actives. |
MECM / SCCM | Globale | Exclusion appliquée à TOUTES les règles ASR actives. |
PowerShell | Globale | Exclusion appliquée à TOUTES les règles ASR actives. |
6. Fichiers à exclure
Les chemins suivants doivent être ajoutés aux exclusions :
C:\Users\*\AppData\Local\Temp\Deployment\*\*\SecureExchangesSDK.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\OSecureExchange.dll
C:\Users\*\AppData\Local\Temp\Deployment\*\*\*\OSecureExchange.resources.dll
C:\Users\*\AppData\Local\Apps\2.0\*\SecureExchangesSDK.dll
C:\Users\*\AppData\Local\Apps\2.0\*\OSecureExchange.dll
C:\Users\*\AppData\Local\Apps\2.0\*\OSecureExchange.resources.dll
Les wildcards multiples (*\*\) sont nécessaires pour couvrir la structure de dossiers variable de ClickOnce.
A. Application via Intune
Intune permet de configurer des exclusions par règle (ASR Only Per Rule Exclusions), limitant l'impact sur la sécurité globale.
- Accédez à Endpoint Security → Attack Surface Reduction
- Sélectionnez ou créez une politique ASR
- Localisez la règle « Block executable content from email client and webmail »
- Dans ASR Only Per Rule Exclusions, ajoutez les chemins de la section 6
- Enregistrez et déployez la politique
B. Application via GPO (déploiement en entreprise)
Les exclusions configurées via GPO s'appliquent à TOUTES les règles ASR, pas uniquement à la règle concernée.
- Ouvrir gpedit.msc (ou GPMC pour un domaine)
- Naviguer vers : Configuration ordinateur → Modèles d'administration → Composants Windows → Antivirus Microsoft Defender → Microsoft Defender Exploit Guard → Réduction de la surface d'attaque
- Double-cliquer sur « Exclure des fichiers et des chemins d'accès des règles de réduction de la surface d'attaque »
- Activer la stratégie et ajouter les chemins de la section 6
- Appliquer la stratégie : gpupdate /force
C. Application via PowerShell
Comme pour GPO, les exclusions PowerShell sont GLOBALES et s'appliquent à toutes les règles ASR.
Ajouter une exclusion :
Add-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Users\*\AppData\Local\Apps\2.0\*\SecureExchangesSDK.dll"
Vérifier les exclusions actuelles :
Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionOnlyExclusions
7. Vérifier que l'exception fonctionne
- Attendre la propagation (jusqu'à 90 minutes pour GPO/Intune)
- Tester une mise à jour de Secure Exchanges sur un poste *Se fait automatiquement au redémarrage de Outlook
- Vérifier dans Advanced Hunting si de nouveaux blocages apparaissent
- Si aucun résultat → L'exclusion fonctionne correctement
Si le problème persiste
Causes possibles :
- L'exclusion n'a pas été appliquée correctement (vérifier la syntaxe)
- La GPO/Intune n'est pas encore propagée
- Un conflit avec une autre politique de sécurité
Actions de dépannage :
- Relancer la requête Kusto pour identifier tous les fichiers bloqués
- Vérifier si de nouvelles DLL sont bloquées et les ajouter aux exclusions
- Vérifier l'application des GPO : gpresult /h C:\temp\rapport_gpo.html
- Forcer une mise à jour : gpupdate /force
Références Microsoft
- Utiliser des règles de réduction de la surface d’attaque pour empêcher l’infection des programmes malveillants - Microsoft Defender for Endpoint | Microsoft Learn
- Informations de référence sur les règles de réduction de la surface d’attaque - Microsoft Defender for Endpoint | Microsoft Learn
Related Articles
Secure Exchanges rencontre une erreur à la mise à jour ou à l'installation
Si vous voyez cette fenêtre apparaître lors de l'ouverture de votre Outlook, voici les étapes à suivre afin de résoudre le problème. Pour suivre cette procédure assurez vous que Outlook est bien fermé. 1. Fermer complètement votre Outlook 2. Appuyez ...Après la mise à jour, mon connecteur Outlook n'est plus fonctionnel et je n'arrive plus à utiliser Secure Exchanges ?
Lors d'une mise à jour d'Outlook, il arrive qu'un problème survienne avec « ClickOnce » qui est l’outil que nous utilisons (qui appartient à Microsoft) pour déployer notre connecteur. Pour que le connecteur soit actif à nouveau et que la mise à jour ...Comment installer et activer Secure Exchanges sur Microsoft Outlook ?
L'installation de Secure Exchanges est rapide et facile. Suivez ces étapes pour commencer à sécuriser vos communications : 1. Comment installer l'extension Avant de commencer, assurez-vous de fermer Microsoft Outlook. 1.1. Rendez-vous sur notre site ...Comment Résoudre les Erreurs de Jonction de Fichiers avec Secure Exchanges ?
Si vous rencontrez une erreur lors de la tentative de joindre un fichier ou un document de signature dans un courriel que vous souhaitez protéger avec Secure Exchanges, veuillez suivre les étapes ci-dessous pour résoudre le problème. Cette erreur ...L'Analyse de Vulnérabilité de Secure Exchanges
Secure Exchanges offre une fonctionnalité d'analyse de vulnérabilité pour aider à détecter des échanges contenant des informations potentiellement vulnérables et à risque d'être compromises. Voici un guide étape par étape pour utiliser cette fonction ...