Empêcher les outils de sécurité de bloquer les applications hébergées sur WebView2

Il s’agit de bonnes pratiques pour les administrateurs informatiques et les fournisseurs de logiciels de sécurité, afin de s’assurer que les outils de sécurité ne bloquent pas les fonctionnalités de l’application WebView2 ou ne bloquent pas les applications hébergées sur WebView2.

Les administrateurs informatiques et les fournisseurs de logiciels de sécurité doivent utiliser les pratiques et procédures ci-dessous pour configurer leurs environnements et outils de sécurité afin d’éviter de rompre l’architecture multiprocesseur de WebView2.

Contenu détaillé :

Outils de sécurité à configurer

Les outils de sécurité à configurer de manière appropriée sont les suivants :

  • Outils antivirus (AV).
  • Outils de protection contre la perte de données (DLP).
  • Outils EDR (Endpoint Detection and Response).

Les outils de sécurité d’entreprise incluent également :

  • Inspection TLS (Transport Layer Security).

Symptômes des problèmes de configuration d’entreprise

Les outils de sécurité d’entreprise, s’ils ne suivent pas les meilleures pratiques ci-dessous, peuvent perturber l’architecture multiprocesseur de WebView2 en :

  • Blocage des processus enfants.
  • Resserrement des listes de Access Control de dossiers (ACL).
  • Injection de bibliothèques de liens dynamiques (DLL).

Quand une telle interruption se produit, les expériences hébergées par WebView2 peuvent être vides en écran, figer ou échouer à l’initialisation.

Voir :

Mettre à jour les stratégies de sécurité d’entreprise si nécessaire

WebView2 respecte toutes les stratégies de sécurité d’entreprise.

Si des outils ou stratégies n’autorisent pas le chargement de certaines DLL WebView2, l’administrateur informatique d’entreprise doit mettre à jour les stratégies de sécurité d’entreprise.

WebView2 n’implémente pas la logique propre à l’application.

Liste verte des exécutables hôtes du runtime WebView2 et de l’application

Autorisez le runtime WebView2 (msedgewebview2.exe) et les exécutables hôtes de l’application.

Voir :

Préférer les règles d’éditeur.

Voir :

L’initialisation du runtime est bloquée

Problèmes :

  • Il peut y avoir une erreur d’initialisation, telle que E_FAIL. Dans ce cas, le contrôle WebView2 ne parvient pas à s’initialiser et le contenu de l’application ne se charge jamais.

  • L’initialisation du runtime est bloquée pour l’un des outils suivants :

    • Windows Defender Application Control (WDAC).

    • Règles de refus AppLocker ; stratégies qui bloquent explicitement l’exécution.

    • Access Control listes (ACL) qui ont été resserrées au-delà des paramètres par défaut ; autorisations rendues plus restrictives que les valeurs par défaut du système d’exploitation.

Symptômes

  • Erreurs TLS (Transport Layer Security), telles que ERR_CERT_*.

  • Échecs de redirection de connexion qui se produisent lorsque l’inspection TLS (Transport Layer Security) est activée.

  • Erreur d’initialisation immédiate.

  • Il n’existe aucun processus enfant.

  • La vue est vide.

Solutions

Autorisez le runtime WebView2 (msedgewebview2.exe) et les exécutables hôtes.

Voir :

Utilisez des règles d’éditeur.

Voir :

Restaurez les listes de Access Control par défaut (ACL).

Voir :

Conserver les listes de Access Control par défaut (ACL) sur les dossiers runtime

Ne modifiez pas les listes de Access Control (ACL) par défaut que Windows définit sur les dossiers WebView2 Runtime.

Si les outils de sécurité modifient les listes de contrôle d’accès sur les dossiers Runtime WebView2, ces processus en bac à sable peuvent perdre les autorisations dont ils ont besoin pour lire et exécuter les fichiers binaires runtime, ce qui peut entraîner des écrans vides, des échecs d’initialisation ou des blocages.

Voir :

Conserver un niveau d’intégrité faible (LowIL) sur les dossiers runtime

Ne modifiez pas les paramètres de niveau d’intégrité faible (LowIL) sur les dossiers WebView2 Runtime. WebView2 exécute les processus de renderer à un niveau d’intégrité bas, afin de limiter leur accès aux ressources système.

Un processus de niveau d’intégrité faible (LowIL) doit être en mesure de lire et d’exécuter les fichiers binaires du runtime WebView2.

Low Integrity Level (LowIL) est un mécanisme de sécurité Windows qui limite la capacité d’un processus à écrire dans des objets à intégrité plus élevée (tels que la plupart des emplacements système et de profil utilisateur). Les processus de renderer WebView2 s’exécutent à Faible IL pour réduire l’impact d’un processus compromis.

Voir :

Conserver les listes de Access Control (ACL) par défaut dans le dossier de données utilisateur (UDF) de l’application

Ne modifiez pas les listes de Access Control (ACL) par défaut définies par Windows dans le dossier de données utilisateur (UDF) de l’application. La modification de ces listes de contrôle d’accès peut empêcher les processus LowIL et AppContainer de fonctionner correctement.

AppContainer est un bac à sable Windows plus restrictif qui limite l’accès d’un processus aux seules ressources explicitement accordées. Sur les versions de système d’exploitation prises en charge, WebView2 peut exécuter des processus de renderer dans un , pour une AppContainerisolation supplémentaire.

le LowIL/AppContainer doit avoir l’autorisation de :

  • Lisez et exécutez le runtime WebView2.

  • Écrire dans le dossier de données utilisateur (UDF).

WebView2 exécute certains processus enfants à un niveau d’intégrité faible (LowIL) ou à l’intérieur d’un AppContainer bac à sable pour limiter leur accès aux ressources système.

Ces processus en bac à sable doivent toujours être en mesure d’effectuer les opérations suivantes :

  • Lisez et exécutez les fichiers binaires du runtime WebView2.

  • Écrivez dans le dossier de données utilisateur (UDF) de l’application.

Si les outils de sécurité renforcent les listes de Access Control (ACL) dans le dossier de données utilisateur (UDF) de l’application, les processus en bac à sable peuvent perdre l’accès dont ils ont besoin, ce qui peut entraîner des écrans vides, des échecs d’initialisation ou des blocages.

Les emplacements système gérés par le système d’exploitation sont entièrement gérés par Windows et ne doivent pas être modifiés.

Voir :

Accorder l’autorisation d’écrire dans le dossier de données utilisateur (UDF)

Accordez l’autorisation d’écriture pour autoriser l’application WebView2 à écrire dans le dossier de données utilisateur (UDF).

Ces écritures dans la fonction UDF peuvent provenir des éléments suivants :

  • Exceptions d’accès contrôlé aux dossiers (CFA) par application.

  • Exceptions de protection contre la perte de données (DLP) par application.

L’état du contenu web se trouve dans le dossier de données utilisateur (UDF) de l’application. L’état du contenu web inclut :

  • Cookies.
  • Cache.
  • Stockage local.

Voir :

Boucle de connexion ; état non persistant ; les paramètres ne sont pas conservés ; page initiale vide

Dans le cas d’une boucle de connexion, l’état n’est pas conservé lorsque les écritures de dossier de données utilisateur (UDF) sont bloquées.

Solutions

Autoriser les écritures dans le dossier de données utilisateur de l’application ; utilisez des exceptions d’accès contrôlé aux dossiers (CFA) par application ou des exceptions de protection contre la perte de données (DLP).

Évitez de placer le dossier de données utilisateur (UDF) WebView2 sur un partage réseau.

Assurez-vous que les stratégies de protection contre la perte de données (DLP) ne classent pas mal les données normales du navigateur (telles que les cookies, le cache ou le stockage local) en tant que tentatives d’exfiltration. L’exfiltration est le transfert non autorisé de données d’un système, d’un réseau ou d’un environnement cloud vers une destination externe sans autorisation.

Voir :

Autoriser l’accès aux dossiers runtime, les processus enfants et la création de processus enfants

Public : fournisseurs de logiciels de sécurité.

Conservez l’accès au dossier WebView2 Runtime sans restriction.

Autorisez les processus enfants et ne les terminez pas. Les processus enfants sont les suivants :

  • Rendu
  • Gpu (Graphics Processing Unit)
  • Réseau
  • Bloc-incident

Conservez la création du processus enfant WebView2 Runtime sans restriction ; autorise crashpad.

Voir :

Ne pas injecter de DLL dans les processus WebView2

Utilisez des connecteurs de sécurité Microsoft Edge.

Évitez l’injection de bibliothèque de liens dynamiques (DLL).

N’injectez pas de bibliothèques de liens dynamiques (DLL) dans les processus WebView2. Utilisez plutôt des connecteurs de sécurité Microsoft Edge.

Préférez les connecteurs de sécurité Microsoft Edge pour la protection contre la perte de données (DLP), la création de rapports ou l’approbation des appareils.

L’injection de bibliothèque de liens dynamiques (DLL) dans le renderer ou les processus GPU (Graphics Processing Unit) interrompt le modèle de bac à sable de Chromium et provoque généralement des blocages du renderer.

Les fournisseurs de logiciels de sécurité doivent utiliser des connecteurs de sécurité Edge pris en charge au lieu de crochets de bas niveau.

Voir :

Blocages ou gel

Blocage ou blocage lié à l’injection de bibliothèque de liens dynamiques (DLL) ou au renderer bloqué, à l’unité de traitement graphique (GPU) ou au bloc-incident.

Voir :

Le contenu ne se charge jamais

Problème : le processus principal démarre, mais le contenu ne se charge jamais et l’application se fige.

La génération de processus enfants est bloquée ou bloquée.

Solutions

Autoriser les processus enfants WebView2 :

  • Rendu.
  • Gpu (Graphics Processing Unit).
  • Réseau.
  • Crashpad.

Il s’agit des processus enfants que WebView2 instancie.

Évitez l’injection de bibliothèque de liens dynamiques (DLL).

Préférez les connecteurs Edge.

Voir :

Éviter les exclusions générales et globales

Démarrage lent

Problèmes :

  • Démarrage lent en raison d’une analyse approfondie en temps réel du runtime WebView2 et du dossier de données utilisateur (UDF).
  • Écran blanc temporaire, lors d’une navigation.
  • Analyse en temps réel agressive.
Solutions

Configurer des exclusions délimitées pour les fichiers binaires du runtime WebView2 et le dossier de données utilisateur (UDF) ; éviter les exclusions à grande échelle.

Paramétrez l’analyse avec des exclusions étendues pour le répertoire WebView2 Runtime et le dossier de données utilisateur (UDF).

Évitez les exclusions globales.

Voir :

Approuver les autorités de certification du proxy interne et autoriser les points de terminaison de connexion ou de réseau de distribution de contenu (CDN) essentiels

Alignez les stratégies TLS (Transport Layer Security) avec Chromium :

  • Approuver les autorités de certification du proxy interne ; installer des autorités de certification approuvées.

  • Autorisez les points de terminaison de connexion essentiels ou d’autres points de terminaison requis.

  • Autorisez les points de terminaison CDN (Content Delivery Network) essentiels.

Conservez les paramètres de listes de Access Control (ACL) et de bas niveau d’intégrité (LowIL) par défaut sur les dossiers Runtime WebView2.

  • Un processus de niveau d’intégrité faible (LowIL) doit être en mesure de lire et d’exécuter les fichiers binaires du runtime WebView2.

  • Ne modifiez pas les listes de contrôle d’accès par défaut que le système d’exploitation définit sur les dossiers Runtime. Les processus de renderer en bac à sable de WebView2 s’exécutent au niveau d’intégrité bas et nécessitent ces autorisations pour fonctionner correctement.

Approuver le runtime WebView2 par signature

Reconnaître et approuver le runtime WebView2 (msedgewebview2.exe) par signature ; autoriser les processus enfants.

Ne modifiez pas les fichiers WebView2 Runtime à partir duquel les composants Windows chargent C:\Windows\System32

Ne modifiez pas, ne mettez pas en quarantaine ou remplacez les fichiers binaires WebView2 Runtime que les composants Windows chargent directement à partir de C:\Windows\System32.

Certains composants Windows peuvent charger des fichiers binaires WebView2 Runtime directement à partir de C:\Windows\System32. Ces fichiers binaires appartiennent au système d’exploitation.

Ces fichiers binaires WebView2 Runtime appartenant au système d’exploitation :

  • Peut ne pas correspondre à la version du runtime Evergreen WebView2 utilisée par les applications de bureau.

  • Sont pris en service exclusivement via Windows Update, et non via les programmes d’installation WebView2.

Aligner l’inspection tls (Transport Layer Security) et la configuration du proxy

Symptômes :

  • Erreurs TLS (Transport Layer Security) (telles que ERR_CERT_*).

  • Échecs de redirection de connexion qui se produisent lorsque l’inspection TLS est activée.

Alignez l’inspection tls (Transport Layer Security) et la configuration du proxy avec les exigences de navigateur basées sur Chromium.

Si votre environnement utilise l’inspection TLS, vérifiez que les certificats d’inspection sont approuvés par le magasin de certificats du système d’exploitation.

Déchiffrement SSL par un pare-feu ou un proxy

Un exemple d’utilisation de l’inspection TLS est le déchiffrement SSL par un pare-feu ou un proxy.

Si votre environnement achemine le trafic via un serveur proxy, assurez-vous que les processus WebView2 peuvent atteindre les points de terminaison requis via le proxy.

ERR_CERT_* Erreur

Problèmes :

  • ERR_CERT_* Erreurs.

  • Boucles de connexion (boucles de connexion).

  • Échec des workers de service.

L’inspection du réseau et l’inspection TLS (Transport Layer Security) ne sont pas alignées.

Solutions

Installez l’autorité de certification racine du proxy d’entreprise afin que WebView2 approuve le trafic HTTPS intercepté.

Vérifiez que les points de terminaison d’authentification et les points de terminaison cdn (Content Delivery Network) utilisés par l’application WebView2 sont explicitement autorisés.

Valider les points de terminaison d’authentification et les points de terminaison cdn (Content Delivery Network).

Voir :

Autoriser les mises à jour du runtime Evergreen WebView2

Ne bloquez pas les mises à jour du runtime Evergreen WebView2.

Autoriser les mises à jour du runtime Evergreen WebView2 ; ne bloquez pas la maintenance.

La maintenance de Microsoft Edge met à jour les sous-dossiers avec version suivants :

C:\Program Files (x86)\Microsoft\EdgeWebView\Application\<version>\

Voir :

L’application fonctionne uniquement avec des privilèges plus élevés

Il existe une incompatibilité de liste de Access Control (ACL) avec le niveau d’intégrité.

Problème : l’application fonctionne uniquement avec des privilèges plus élevés. L’application échoue dans les environnements suivants :

  • plateforme Windows universelle (UWP) : applications qui s’exécutent dans le bac à sable d’application Windows avec des autorisations restreintes.

  • AppContainer : bac à sable de sécurité Windows qui limite l’accès d’un processus aux seules ressources explicitement accordées.

Solutions

Conservez les autorisations par défaut ALL APPLICATION PACKAGES sur les répertoires runtime WebView2 ; un processus de niveau d’intégrité faible (LowIL) doit être lu/exécuté.

Voir :

Cela inclut le chemin du runtime Evergreen WebView2 sous C:\Program Files (x86)\Microsoft\EdgeWebView\Application\<version>\, qui doit conserver ALL APPLICATION PACKAGES les autorisations de lecture/exécution.

Le runtime WebView2 basé sur System32 est détenu et géré par Windows.

Le runtime WebView2 basé sur System32 ne doit pas être modifié, remplacé, mis en quarantaine ou nettoyé par antivirus (AV), EDR (Endpoint Detection and Response) ou les outils de protection contre la perte de données (DLP).

Les listes de Access Control (ACL) par défaut du runtime WebView2 basées sur System32 doivent être conservées exactement telles qu’elles étaient fournies.

N’appliquez pas de stratégies de groupe de navigateur Edge uniquement

La plupart des stratégies de groupe qui s’appliquent à Microsoft Edge n’affectent pas WebView2, et les stratégies non prises en charge peuvent interrompre les fonctionnalités WebView2.

N’utilisez pas de stratégies de groupe Microsoft Edge uniquement pour affecter WebView2.

Outils dans lesquels case activée les symptômes et les causes

Public : administrateurs informatiques.

Les administrateurs informatiques peuvent utiliser les outils Windows standard pour déterminer si les symptômes répertoriés sont causés par :

  • WebView2 bloqué.
  • Échec de l’initialisation de WebView2.
  • Blocage de WebView2.

Gestionnaire des tâches

Sous l’application hôte, vérifiez que le runtime WebView2 (msedgewebview2.exe) et ses processus enfants s’affichent.

Les processus enfants sont les suivants :

  • Rendu.
  • Gpu (Graphics Processing Unit).
  • Réseau.
  • Crashpad.

Si aucun processus enfant WebView2 n’apparaît, l’apparition du runtime WebView2 ou du processus enfant est bloquée, car l’un des éléments suivants est activé sur l’ordinateur :

  • Windows Defender Application Control (WDAC).

  • Détection et réponse de point de terminaison (EDR).

  • Injection de bibliothèque de liens dynamiques (DLL).

Si les processus de renderer (ou gpu) apparaissent brièvement et disparaissent, les opérations suivantes peuvent mettre fin aux processus du renderer (ou gpu) :

  • Hooking EDR (Endpoint Detection and Response).

  • Hooking antivirus (AV).

  • Injection de bibliothèque de liens dynamiques (DLL).

Fenêtre incorporée vide ou blanche

S’il existe une fenêtre blanche ou vide incorporée, vérifiez que les processus WebView2 sont présents dans le Gestionnaire des tâches.

Voir :

Observateur d'événements

observateur d'événements (application/système des journaux > Windows).

Rechercher :

  • Échecs d’initialisation d’application ou webView2.

  • Windows Defender Application Control (WDAC) ou AppLocker a bloqué les événements d’exécution .

  • Événements de refus d’écriture d’accès contrôlé aux dossiers (CFA) ou de protection contre la perte de données (DLP) qui affectent le dossier de données utilisateur (UDF).

  • Échecs tls (Transport Layer Security), de certificat ou de stratégie réseau qui affectent les flux de connexion.

Journaux de sécurité

  • Blocs d’accès contrôlé aux dossiers (CFA).

  • Blocs de stratégie de protection contre la perte de données (DLP).

  • Refus d’AppLocker ou de contrôle d’application. Ceux-ci correspondent généralement à des symptômes tels que des boucles de connexion, des écrans vides ou des paramètres qui ne sont pas persistants.

Diagnostics, rapports d’incident et événements de traitement

Les rapports d’incident sont enregistrés sous le dossier de données utilisateur (UDF) de l’application à l’adresse EBWebView\Crashpad\reports\.

Utilisez des diagnostics d’incident avec des événements de processus pour trier les défaillances répétées.

Voir :

Moniteur de fiabilité

Identifiez les incidents répétés du renderer, du GPU (Graphics Processing Unit) ou des processus crashpad.

Ces incidents de processus sont corrélés avec :

  • Geler les problèmes.

  • Problèmes d’écran vide.

  • Instabilité du runtime WebView2.

Applicabilité aux outils

Public : administrateurs informatiques et éditeurs de logiciels de sécurité.

Différents types d’applications peuvent interagir avec WebView2. Les éléments suivants sont applicables aux différentes formes de WebView2.

Cet article s’applique aux outils ou logiciels suivants :

  • Microsoft Edge WebView2 Runtime (persistant et version fixe).

  • Applications de bureau Windows qui incorporent le contrôle WebView2.

  • Composants Windows qui utilisent WebView2 pour la partie web de l’interface utilisateur.

  • Antivirus non-Microsoft, EDR (Endpoint Detection and Response), Protection contre la perte de données (DLP) et produits d’interception de proxy ou TLS (Transport Layer Security) susceptibles d’interférer avec les processus WebView2.

Voir :

Résolution des problèmes de performances

Public : administrateurs informatiques et éditeurs de logiciels de sécurité.

Pour utiliser cette section :

  1. L’administrateur informatique utilise ces informations pour identifier un problème que l’administrateur informatique rencontre lors du lancement ou de l’utilisation de WebView2 dans son application, et déterminer le logiciel de sécurité à l’origine du problème.

  2. L’administrateur informatique contacte le fournisseur de logiciels de sécurité.

  3. Le fournisseur de logiciels de sécurité utilise ce contenu pour déterminer ce qu’il doit faire pour s’assurer que WebView2 n’est pas bloqué.

Une analyse ou un raccordement étendu aux processus peut ralentir les temps de démarrage et de chargement des pages.

Au lieu de cela, utilisez des exclusions délimitées pour les fichiers binaires webView2 Runtime et le dossier de données utilisateur (UDF), plutôt que d’opter pour des désactivations à haut risque à large échelle.

Traiter les processus enfants comme les processus de navigateur ; évitez d’arrêter ces processus enfants.

Les processus enfants sont les suivants :

  • Rendu.
  • Gpu (Graphics Processing Unit).
  • Réseau.
  • Crashpad.

Ne mettent pas fin aux processus gpu ou crashpad, car ils sont essentiels pour la stabilité et le rendu.

Voir :

Pourquoi WebView2 apparaît dans les charges de travail d’entreprise

Public : administrateurs informatiques et éditeurs de logiciels de sécurité.

De nombreuses fonctionnalités Microsoft 365 Apps et Windows utilisent WebView2 pour fournir une interface utilisateur moderne et cohérente.

Par exemple, les fonctionnalités d’Outlook s’appuient sur le runtime WebView2 pour fonctionner.

Recherche Windows utilise WebView2 pour certaines parties de son interface utilisateur.

Voir :

Voir aussi

Learn.microsoft.com :

Externe:

  • Last updated on