Windows Defender Vue d’ensemble du contrôle d’application et d’AppLocker
Remarque
Certaines fonctionnalités de Windows Defender Contrôle d’application (WDAC) ne sont disponibles que sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités WDAC.
Windows 10 et Windows 11 incluent deux technologies qui peuvent être utilisées pour le contrôle des applications, en fonction des scénarios et des exigences spécifiques de votre organization : Windows Defender Application Control (WDAC) et AppLocker.
Contrôle d’application Windows Defender
WDAC a été introduit avec Windows 10 et permet aux organisations de contrôler quels pilotes et applications sont autorisés à s’exécuter sur leurs clients Windows. Il a été conçu comme une fonctionnalité de sécurité selon les critères de maintenance, définis par le Microsoft Security Response Center (MSRC).
Les stratégies WDAC s’appliquent à l’ordinateur géré dans son ensemble et affectent tous les utilisateurs de l’appareil. Les règles WDAC peuvent être définies en fonction des éléments suivants :
- Attributs du ou des certificats de codesigning utilisés pour signer une application et ses fichiers binaires
- Attributs des fichiers binaires de l’application qui proviennent des métadonnées signées pour les fichiers, telles que le nom de fichier et la version d’origine, ou le hachage du fichier
- La réputation de l’application telle qu’elle est déterminée par l’Intelligent Security Graph de Microsoft
- Identité du processus qui a lancé l’installation de l’application et de ses fichiers binaires (programme d’installation géré)
- Chemin d’accès à partir duquel l’application ou le fichier est lancé (à partir de Windows 10 version 1903)
- Processus qui a lancé l’application ou binaire
Remarque
WDAC a été initialement publié dans le cadre de Device Guard et appelé intégrité du code configurable. Device Guard et l’intégrité du code configurable ne sont plus utilisés, sauf pour trouver où déployer la stratégie WDAC via stratégie de groupe.
Configuration système requise pour WDAC
Les stratégies WDAC peuvent être créées et appliquées sur n’importe quelle édition cliente de Windows 10 ou de Windows 11, ou sur Windows Server 2016 et versions ultérieures. Les stratégies WDAC peuvent être déployées via une solution mobile Gestion des appareils (MDM), par exemple, Intune, une interface de gestion telle que Configuration Manager ou un hôte de script comme PowerShell. stratégie de groupe peut également être utilisé pour déployer des stratégies WDAC, mais est limité aux stratégies de format à stratégie unique qui fonctionnent sur Windows Server 2016 et 2019.
Pour plus d’informations sur les fonctionnalités WDAC individuelles disponibles sur des builds WDAC spécifiques, consultez Disponibilité des fonctionnalités WDAC.
AppLocker
AppLocker a été introduit avec Windows 7 et permet aux organisations de contrôler les applications autorisées à s’exécuter sur leurs clients Windows. AppLocker permet d’empêcher les utilisateurs finaux d’exécuter des logiciels non approuvés sur leurs ordinateurs, mais ne répond pas aux critères de maintenance pour être une fonctionnalité de sécurité.
Les stratégies AppLocker peuvent s’appliquer à tous les utilisateurs sur un ordinateur, ou à des utilisateurs et des groupes individuels. Les règles AppLocker peuvent être définies en fonction des éléments suivants :
- Attributs des certificats de codesigning utilisés pour signer une application et ses fichiers binaires.
- Attributs des fichiers binaires de l’application qui proviennent des métadonnées signées pour les fichiers, telles que nom de fichier et version d’origine, ou du hachage du fichier.
- Chemin d’accès à partir duquel l’application ou le fichier est lancé.
AppLocker est également utilisé par certaines fonctionnalités de WDAC, notamment le programme d’installation managé et intelligent Security Graph.
Configuration requise pour AppLocker
Les stratégies AppLocker ne peuvent être configurées et appliquées qu’aux appareils qui s’exécutent sur les versions et éditions prises en charge du système d’exploitation Windows. Pour plus d’informations, voir l’article Configuration requise pour utiliser AppLocker. Les stratégies AppLocker peuvent être déployées à l’aide de stratégie de groupe ou GPM.
Choisir quand utiliser WDAC ou AppLocker
En règle générale, les clients qui sont en mesure d’implémenter le contrôle d’application à l’aide de WDAC, plutôt que d’AppLocker, doivent le faire. WDAC fait l’objet d’améliorations continues et bénéficie d’un support supplémentaire de la part des plateformes de gestion Microsoft. Bien qu’AppLocker continue de recevoir des correctifs de sécurité, il n’obtient pas de nouvelles améliorations de fonctionnalités.
Toutefois, dans certains cas, AppLocker peut être la technologie la plus appropriée pour votre organization. AppLocker est idéal dans les cas suivants :
- Vous disposez d’un environnement de système d’exploitation Windows mixte et vous devez appliquer les mêmes contrôles de stratégie aux versions Windows 10 et antérieures du système d’exploitation.
- Vous devez appliquer différentes stratégies pour différents utilisateurs ou groupes sur des ordinateurs partagés.
- Vous ne souhaitez pas appliquer le contrôle d’application sur des fichiers d’application tels que des DLL ou des pilotes.
AppLocker peut également être déployé en complément de WDAC pour ajouter des règles spécifiques aux utilisateurs ou aux groupes pour les scénarios d’appareils partagés, où il est important d’empêcher certains utilisateurs d’exécuter des applications spécifiques. Comme meilleure pratique, vous devez appliquer WDAC au niveau le plus restrictif possible pour votre organization, puis vous pouvez utiliser AppLocker pour affiner davantage les restrictions.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour