Share via

Autoriser des applications dignes de confiance avec Intelligent Security Graph (ISG)

Remarque

Certaines fonctionnalités de Windows Defender Contrôle d’application ne sont disponibles que sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités de contrôle d’application Windows Defender.

Le contrôle des applications peut être difficile à implémenter dans les organisations qui ne déploient pas et ne gèrent pas d’applications via un système géré par l’informatique. Dans ces environnements, les utilisateurs peuvent acquérir les applications qu’ils souhaitent utiliser pour travailler, ce qui complique la création d’une stratégie de contrôle d’application efficace.

Pour réduire les frictions des utilisateurs finaux et les appels au support technique, vous pouvez définir Windows Defender Contrôle d’application (WDAC) pour autoriser automatiquement les applications que Microsoft Intelligent Security Graph (ISG) reconnaît comme ayant une bonne réputation connue. L’option ISG permet aux organisations de commencer à implémenter le contrôle des applications même lorsque le organization a un contrôle limité sur leur écosystème d’applications. Pour en savoir plus sur l’ISG, consultez la section Sécurité dans Principaux services et fonctionnalités dans Microsoft Graph.

Warning

Les fichiers binaires essentiels au démarrage du système doivent être autorisés à l’aide de règles explicites dans votre stratégie WDAC. Ne vous fiez pas à l’ISG pour autoriser ces fichiers.

L’option ISG n’est pas recommandée pour autoriser les applications critiques pour l’entreprise. Vous devez toujours autoriser les applications critiques pour l’entreprise à l’aide de règles d’autorisation explicites ou en les installant avec un programme d’installation géré.

Comment WDAC fonctionne-t-il avec l’ISG ?

L’ISG n’est pas une « liste » d’applications. Au lieu de cela, il utilise la même vaste intelligence de sécurité et l’analytique machine learning qui alimentent Microsoft Defender SmartScreen et Microsoft Defender Antivirus pour aider à classer les applications comme ayant une réputation « connue bonne », « mauvaise connue » ou « inconnue ». Cette IA basée sur le cloud est basée sur des milliards de signaux collectés à partir de points de terminaison Windows et d’autres sources de données, et traités toutes les 24 heures. Par conséquent, la décision du cloud peut changer.

WDAC vérifie uniquement l’ISG pour les fichiers binaires qui ne sont pas explicitement autorisés ou refusés par votre stratégie et qui n’ont pas été installés par un programme d’installation géré. Lorsqu’un tel fichier binaire s’exécute sur un système avec WDAC activé avec l’option ISG, WDAC case activée la réputation du fichier en envoyant ses informations de hachage et de signature au cloud. Si l’ISG signale que le fichier a une réputation « connue bonne », le fichier est autorisé à s’exécuter. Sinon, il sera bloqué par WDAC.

Si le fichier ayant une bonne réputation est un programme d’installation d’application, la réputation du programme d’installation est passée à tous les fichiers qu’il écrit sur le disque. De cette façon, tous les fichiers nécessaires à l’installation et à l’exécution d’une application héritent des données de réputation positive du programme d’installation. Les fichiers autorisés en fonction de la réputation du programme d’installation ont le $KERNEL. SMARTLOCKER. ORIGINCLAIM kernel Extended Attribute (EA) écrit dans le fichier.

WDAC réexécuter régulièrement les données de réputation sur un fichier. En outre, les entreprises peuvent spécifier que tous les résultats de réputation mis en cache sont vidés au redémarrage à l’aide de l’option Enabled :Invalidate EAs on Reboot .

Configuration de l’autorisation ISG pour votre stratégie WDAC

La configuration de l’ISG est facile à l’aide de la solution de gestion que vous souhaitez. La configuration de l’option ISG implique les étapes de base suivantes :

Vérifiez que l’option ISG est définie dans le xml de stratégie WDAC

Pour autoriser les applications et les fichiers binaires basés sur Microsoft Intelligent Security Graph, l’option d’autorisation Enabled :Intelligent Security Graph doit être spécifiée dans la stratégie WDAC. Cette étape peut être effectuée avec l’applet de commande Set-RuleOption. Vous devez également définir l’option Enabled :Invalidate EAs on Reboot afin que les résultats ISG soient à nouveau vérifiés après chaque redémarrage. L’option ISG n’est pas recommandée pour les appareils qui n’ont pas d’accès régulier à Internet. L’exemple suivant montre les deux options définies.

<Rules> 
    <Rule> 
      <Option>Enabled:Unsigned System Integrity Policy</Option> 
    </Rule> 
    <Rule> 
      <Option>Enabled:Advanced Boot Options Menu</Option> 
    </Rule> 
    <Rule> 
      <Option>Required:Enforce Store Applications</Option> 
    </Rule> 
    <Rule>
      <Option>Enabled:UMCI</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Managed Installer</Option> 
    </Rule>
    <Rule> 
      <Option>Enabled:Intelligent Security Graph Authorization</Option> 
    </Rule> 
    <Rule> 
      <Option>Enabled:Invalidate EAs on Reboot</Option> 
    </Rule> 
</Rules>

Activer les services nécessaires pour permettre à WDAC d’utiliser correctement l’ISG sur le client

Pour que l’heuristique utilisée par l’ISG fonctionne correctement, d’autres composants de Windows doivent être activés. Vous pouvez configurer ces composants en exécutant l’exécutable appidtel dans c:\windows\system32.

appidtel start

Cette étape n’est pas nécessaire pour les stratégies WDAC déployées sur GPM, car le fournisseur de solutions Cloud activera les composants nécessaires. Cette étape n’est pas non plus nécessaire lorsque l’ISG est configuré à l’aide de l’intégration WDAC de Configuration Manager.

Considérations relatives à la sécurité avec l’option ISG

Étant donné que l’ISG est un mécanisme heuristique, il ne fournit pas les mêmes garanties de sécurité que les règles d’autorisation ou de refus explicites. Il convient mieux aux utilisateurs qui opèrent avec des droits d’utilisateur standard et à l’endroit où une solution de surveillance de la sécurité comme Microsoft Defender pour point de terminaison est utilisée.

Les processus exécutés avec des privilèges de noyau peuvent contourner WDAC en définissant l’attribut de fichier étendu ISG pour qu’un fichier binaire semble avoir une bonne réputation connue.

En outre, étant donné que l’option ISG transmet la réputation des programmes d’installation d’applications aux fichiers binaires qu’ils écrivent sur le disque, elle peut sur-autoriser les fichiers dans certains cas. Par exemple, si le programme d’installation lance l’application à l’achèvement, tous les fichiers que l’application écrit pendant cette première exécution seront également autorisés.

Limitations connues de l’utilisation de l’ISG

Étant donné que l’ISG autorise uniquement les fichiers binaires « connus », il peut arriver que l’ISG ne puisse pas prédire si les logiciels légitimes peuvent être exécutés en toute sécurité. Si cela se produit, le logiciel est bloqué par WDAC. Dans ce cas, vous devez autoriser le logiciel avec une règle dans votre stratégie WDAC, déployer un catalogue signé par un certificat approuvé dans la stratégie WDAC ou installer le logiciel à partir d’un programme d’installation géré par WDAC. Les programmes d’installation ou les applications qui créent dynamiquement des fichiers binaires au moment de l’exécution et les applications à mise à jour automatique peuvent présenter ce symptôme.

Les applications empaquetées ne sont pas prises en charge avec l’ISG et doivent être autorisées séparément dans votre stratégie WDAC. Étant donné que les applications empaquetées ont une identité d’application forte et doivent être signées, il est simple d’autoriser les applications empaquetées avec votre stratégie WDAC.

L’ISG n’autorise pas les pilotes en mode noyau. La stratégie WDAC doit disposer de règles qui autorisent les pilotes nécessaires à s'exécuter.

Remarque

Une règle qui refuse explicitement ou autorise un fichier est prioritaire sur les données de réputation de ce fichier. Microsoft Intune prise en charge de WDAC intégrée inclut la possibilité d’approuver les applications ayant une bonne réputation via l’ISG, mais il n’a pas la possibilité d’ajouter des règles d’autorisation ou de refus explicites. Dans la plupart des cas, les clients qui utilisent le contrôle d’application doivent déployer une stratégie WDAC personnalisée (qui peut inclure l’option ISG si nécessaire) à l’aide de la fonctionnalité OMA-URI de Intune.