Déploiement de Windows Defender Application Control dans différents scénarios : types d’appareils
Remarque
Certaines fonctionnalités de Windows Defender Application Control (WDAC) sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités de contrôle d’application Windows Defender.
En règle générale, le déploiement de Windows Defender Application Control (WDAC) se produit mieux par phases, plutôt que d’être une fonctionnalité que vous « activez simplement ». Le choix et la séquence des phases dépendent de la façon dont les différents ordinateurs et autres appareils sont utilisés dans votre organisation, et de la mesure dans laquelle le service informatique gère ces appareils. Le tableau suivant peut vous aider à commencer à développer un plan de déploiement de WDAC dans votre organisation. Il est courant pour les organisations d’avoir des cas d’utilisation d’appareils dans chacune des catégories décrites.
Types d'appareil
| Type d’appareil | Relation entre WDAC et ce type d’appareil |
|---|---|
| Appareils avec gestion allégée : ils appartiennent à l’entreprise, mais les utilisateurs sont libres d’installer des logiciels. Les appareils doivent exécuter la solution antivirus de l’organisation et les outils de gestion clients. |
Windows Defender Application Control peut être utilisé pour protéger le noyau et pour surveiller (auditer) les applications problématiques au lieu de limiter les applications qui peuvent être exécutées. |
| Appareils entièrement gérés : les logiciels autorisés sont limités par le département informatique. Les utilisateurs peuvent demander d’autres logiciels ou les installer à partir d’une liste d’applications fournies par le service informatique. Exemples : ordinateurs de bureau et portables verrouillés qui appartiennent à l’entreprise. |
Une stratégie de base initiale de contrôle d’application Windows Defender peut être établie et appliquée. Chaque fois que le service informatique approuve d’autres applications, il met à jour la stratégie WDAC et (pour les applications métier non signées) le catalogue. |
| Appareils présentant une charge de travail fixe : mêmes tâches effectuées quotidiennement. Les listes d’applications approuvées changent rarement. Exemples : bornes, systèmes de points de vente, ordinateurs de centres d’appels. |
Windows Defender Application Control peut être entièrement déployé, et le déploiement et l’administration en cours sont relativement simples. Après le déploiement de Windows Defender Application Control, seules les applications approuvées peuvent s’exécuter. Cette règle est due aux protections offertes par WDAC. |
| Apportez votre propre appareil : les employés sont autorisés à apporter leurs propres appareils et à utiliser ces appareils en dehors du travail. | Dans la plupart des cas, windows Defender Application Control ne s’applique pas. À la place, vous pouvez explorer d’autres fonctionnalités de sécurisation renforcée et de sécurité avec des solutions d’accès conditionnel GPM, comme Microsoft Intune. Toutefois, vous pouvez choisir de déployer une stratégie en mode audit sur ces appareils ou d’utiliser une stratégie de liste de blocage uniquement pour empêcher des applications ou des fichiers binaires spécifiques considérés comme malveillants ou vulnérables par votre organisation. |
Présentation de Lamna Healthcare Company
Dans l’ensemble d’articles suivant, nous allons explorer chacun des scénarios ci-dessus à l’aide d’une organisation fictive appelée Lamna Healthcare Company.
Lamna Healthcare Company (Lamna) est un important fournisseur de soins de santé opérant aux États-Unis. Lamna emploie des milliers de personnes, qu’il s’agisse de médecins et d’infirmières, de comptables, d’avocats internes et de techniciens informatiques. Leurs cas d’utilisation sont variés et comprennent des stations de travail mono-utilisateur pour leur personnel professionnel, des bornes partagées utilisées par les médecins et les infirmières pour accéder aux dossiers des patients, des appareils médicaux dédiés tels que des scanners IRM, et bien d’autres. En outre, Lamna a une politique souple et apportez votre propre appareil pour un grand nombre de ses employés professionnels.
Lamna utilise Microsoft Intune en mode hybride avec Configuration Manager et Intune. Bien qu’elle utilise Microsoft Intune pour déployer de nombreuses applications, Lamna a toujours eu des pratiques d’utilisation des applications souples : des équipes et des employés individuels ont pu installer et utiliser toutes les applications qu’ils jugent nécessaires pour leur rôle sur leurs propres stations de travail. Lamna a également récemment commencé à utiliser Microsoft Defender pour point de terminaison pour améliorer la détection et la réponse des points de terminaison.
Récemment, Lamna a rencontré un événement de ransomware qui a nécessité un processus de récupération coûteux et peut avoir inclus l’exfiltration de données par l’attaquant inconnu. Une partie de l’attaque comprenait l’installation et l’exécution de fichiers binaires malveillants qui échappaient à la détection par la solution antivirus de Lamna, mais qui auraient été bloqués par une stratégie de contrôle d’application. En réponse, le conseil d’administration de Lamna a autorisé de nombreuses nouvelles réponses informatiques de sécurité, notamment le renforcement des stratégies d’utilisation des applications et l’introduction du contrôle des applications.
À la prochaine étape
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour