Contrôle des applications

  • Article

Remarque

La fonctionnalité de contrôle d’application est facultative. Vous devez envoyer une demande pour activer le contrôle d’application.

Le contrôle des applications est une pratique de sécurité facultative de Microsoft Managed Desktop qui restreint l'exécution du code sur les appareils clients.

Ce contrôle atténue les risques liés aux logiciels ou aux scripts malveillants. Le contrôle exige que seuls les codes signés par une liste d'éditeurs approuvés par le client puissent être exécutés. Ce contrôle présente de nombreux avantages en matière de sécurité, mais il vise principalement à protéger les données et l'identité contre les exploits basés sur le client.

Microsoft Managed Desktop simplifie la gestion des stratégies de contrôle d’application en créant une stratégie de base qui permet des scénarios de productivité de base. Vous pouvez étendre la confiance à d'autres signataires qui sont spécifiques aux applications et aux scripts de votre environnement.

Toute technologie de sécurité nécessite un équilibre entre l'expérience de l'utilisateur, la sécurité et le coût. Le contrôle des applications réduit la menace des logiciels malveillants dans votre environnement, mais il y a des conséquences pour l'utilisateur et des actions supplémentaires pour votre administrateur informatique.

Sécurité et responsabilités supplémentaires Description
Sécurité supplémentaire Les applications ou les scripts qui ne sont pas approuvés par la stratégie de contrôle d’application ne peuvent pas s’exécuter sur les appareils.
Vos responsabilités supplémentaires
  • Il vous incombe de tester vos applications pour déterminer si elles peuvent être bloquées par la stratégie de contrôle des applications.
  • Si une application est (ou serait) bloquée, il vous incombe d'identifier les détails du signataire requis. Vous devez demander une modification par le biais du centre d’administration.
Responsabilités de Microsoft Managed Desktop
  • Microsoft Managed Desktop gère la stratégie de base qui permet d'utiliser les principaux produits Microsoft tels que Microsoft 365 Apps, Windows, Teams, OneDrive, etc.
  • Microsoft Managed Desktop insère vos signataires de confiance et déploie la stratégie mise à jour sur vos appareils.

Gestion de la confiance dans les applications

Microsoft Managed Desktop élabore une stratégie de base qui fait confiance aux principaux composants des technologies Microsoft. Vous ajoutez de confiance pour vos propres applications et scripts en indiquant à Microsoft Managed Desktop les applications et scripts auxquels vous faites déjà confiance.

Stratégie de base

Microsoft Managed Desktop, en collaboration avec les experts en cybersécurité de Microsoft, crée et maintient une politique standard. Cette stratégie standard :

  • Active la plupart des applications déployées via Microsoft Intune.
  • Bloque les activités dangereuses comme la compilation de code ou l'exécution de fichiers non fiables.

La stratégie de base adopte l'approche suivante pour restreindre l'exécution des logiciels :

  • Les fichiers exécutés par les administrateurs seront autorisés à s'exécuter.
  • Les fichiers situés dans des emplacements qui ne sont pas dans des répertoires enregistrables par l'utilisateur seront autorisés à s'exécuter.
  • Les fichiers sont signés par un signataire de confiance.
  • La plupart des fichiers signés par Microsoft s'exécutent, mais certains sont bloqués pour éviter les actions à haut risque comme la compilation de code.

Si un utilisateur, autre qu'un administrateur, a pu ajouter une application ou un script à un appareil (c'est-à-dire qu'il se trouve dans un répertoire pouvant être écrit par l'utilisateur), nous ne l'autoriserons pas à s'exécuter. Nous autoriserons l'exécution si l'application ou le script a déjà été autorisé par un administrateur.

Notre stratégie arrêtera l'exécution des applications dans les scénarios suivants :

  • Si un utilisateur est piégé en essayant d'installer un malware.
  • Si une vulnérabilité dans une application que l'utilisateur exécute tente d'installer un logiciel malveillant.
  • Si un utilisateur essaie intentionnellement d'exécuter une application ou un script non autorisé.

Demandes du signataire

Vous nous indiquez quelles applications sont fournies par des éditeurs de logiciels auxquels vous faites confiance en déposant une demande de signature. En faisant cela, nous :

  • Ajoutez ces informations de confiance dans la stratégie de contrôle des applications de base.
  • Autorisez tout logiciel signé avec le certificat de cet éditeur à fonctionner sur vos appareils.

Auditer et appliquer des stratégies

Microsoft Managed Desktop utilise les stratégies Microsoft Intune pour assurer le contrôle des applications :

Stratégie d’audit

Cette stratégie crée des journaux pour enregistrer si une application ou un script serait bloqué par la stratégie appliquée.

Les stratégies d'audit n'appliquent pas les règles de contrôle des applications. Ils sont destinés à être testés pour déterminer si une application nécessite une exemption d'éditeur. Il enregistre les avertissements (événements 8003 ou 8006) dans l'observateur d'événements au lieu de bloquer l'exécution ou l'installation des applications ou des scripts spécifiés.

Stratégie appliquée

Cette stratégie bloque l'exécution des applications et des scripts non fiables et crée des journaux chaque fois qu'une application ou un script est bloqué. Les stratégies mises en œuvre empêchent les utilisateurs standard d'exécuter des applications ou des scripts stockés dans des répertoires pouvant être écrits par l'utilisateur.

Les appareils du groupe Test ont une stratégie d'audit appliquée pour vérifier si les applications causent des problèmes. Tous les autres groupes (First, Fast, et Broad) utilisent une stratégie appliquée. Les utilisateurs de ces groupes ne pourront pas exécuter des applications ou des scripts non fiables.