Vue d’ensemble d’App Control for Business et AppLocker
Remarque
Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.
Windows 10 et Windows 11 incluent deux technologies qui peuvent être utilisées pour le contrôle des applications, en fonction des scénarios et des exigences spécifiques de votre organization : App Control for Business et AppLocker.
Contrôle d’application pour les entreprises
App Control a été introduit avec Windows 10 et permet aux organisations de contrôler quels pilotes et applications sont autorisés à s’exécuter sur leurs clients Windows. Il a été conçu comme une fonctionnalité de sécurité selon les critères de maintenance, définis par le Microsoft Security Response Center (MSRC).
Les stratégies de contrôle d’application s’appliquent à l’ordinateur géré dans son ensemble et affectent tous les utilisateurs de l’appareil. Les règles de contrôle d’application peuvent être définies en fonction des éléments suivants :
- Attributs du ou des certificats de codesigning utilisés pour signer une application et ses fichiers binaires
- Attributs des fichiers binaires de l’application qui proviennent des métadonnées signées pour les fichiers, telles que le nom de fichier et la version d’origine, ou le hachage du fichier
- La réputation de l’application telle qu’elle est déterminée par l’Intelligent Security Graph de Microsoft
- Identité du processus qui a lancé l’installation de l’application et de ses fichiers binaires (programme d’installation géré)
- Chemin d’accès à partir duquel l’application ou le fichier est lancé (à partir de Windows 10 version 1903)
- Processus qui a lancé l’application ou binaire
Remarque
App Control a été initialement publié dans le cadre de Device Guard et appelé intégrité du code configurable. Device Guard et l’intégrité du code configurable ne sont plus utilisés, sauf pour trouver où déployer la stratégie App Control via stratégie de groupe.
Configuration requise pour le contrôle d’application
Les stratégies App Control peuvent être créées et appliquées sur n’importe quelle édition cliente de Windows 10 ou de Windows 11, ou sur Windows Server 2016 et versions ultérieures. Les stratégies App Control peuvent être déployées via une solution mobile Gestion des appareils (MDM), par exemple, Intune, une interface de gestion telle que Configuration Manager ou un hôte de script comme PowerShell. stratégie de groupe peut également être utilisé pour déployer des stratégies App Control, mais est limité aux stratégies de format à stratégie unique qui fonctionnent sur Windows Server 2016 et 2019.
Pour plus d’informations sur les fonctionnalités App Control individuelles disponibles sur des builds App Control spécifiques, consultez Disponibilité des fonctionnalités App Control.
AppLocker
AppLocker a été introduit avec Windows 7 et permet aux organisations de contrôler les applications autorisées à s’exécuter sur leurs clients Windows. AppLocker permet d’empêcher les utilisateurs finaux d’exécuter des logiciels non approuvés sur leurs ordinateurs, mais ne répond pas aux critères de maintenance pour être une fonctionnalité de sécurité.
Les stratégies AppLocker peuvent s’appliquer à tous les utilisateurs sur un ordinateur, ou à des utilisateurs et des groupes individuels. Les règles AppLocker peuvent être définies en fonction des éléments suivants :
- Attributs des certificats de codesigning utilisés pour signer une application et ses fichiers binaires.
- Attributs des fichiers binaires de l’application qui proviennent des métadonnées signées pour les fichiers, telles que nom de fichier et version d’origine, ou du hachage du fichier.
- Chemin d’accès à partir duquel l’application ou le fichier est lancé.
AppLocker est également utilisé par certaines fonctionnalités d’App Control, notamment le programme d’installation managé et le graphe de sécurité intelligent.
Configuration requise pour AppLocker
Les stratégies AppLocker ne peuvent être configurées et appliquées qu’aux appareils qui s’exécutent sur les versions et éditions prises en charge du système d’exploitation Windows. Pour plus d’informations, voir l’article Configuration requise pour utiliser AppLocker. Les stratégies AppLocker peuvent être déployées à l’aide de stratégie de groupe ou GPM.
Choisir quand utiliser App Control ou AppLocker
En règle générale, les clients qui sont en mesure d’implémenter le contrôle d’application à l’aide du contrôle d’application, plutôt que d’AppLocker, doivent le faire. App Control fait l’objet d’améliorations continues et bénéficie d’un support supplémentaire de la part des plateformes de gestion Microsoft. Bien qu’AppLocker continue de recevoir des correctifs de sécurité, il n’obtient pas de nouvelles améliorations de fonctionnalités.
Toutefois, dans certains cas, AppLocker peut être la technologie la plus appropriée pour votre organization. AppLocker est idéal dans les cas suivants :
- Vous disposez d’un environnement de système d’exploitation Windows mixte et vous devez appliquer les mêmes contrôles de stratégie aux versions Windows 10 et antérieures du système d’exploitation.
- Vous devez appliquer différentes stratégies pour différents utilisateurs ou groupes sur des ordinateurs partagés.
- Vous ne souhaitez pas appliquer le contrôle d’application sur des fichiers d’application tels que des DLL ou des pilotes.
AppLocker peut également être déployé en complément du contrôle d’application pour ajouter des règles spécifiques aux utilisateurs ou aux groupes pour les scénarios d’appareils partagés, où il est important d’empêcher certains utilisateurs d’exécuter des applications spécifiques. En guise de bonne pratique, vous devez appliquer le contrôle d’application au niveau le plus restrictif possible pour votre organization, puis vous pouvez utiliser AppLocker pour affiner les restrictions.