Comprendre les décisions de conception de stratégie de contrôle d’application Windows Defender
Remarque
Certaines fonctionnalités de Windows Defender Application Control (WDAC) sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités de contrôle d’application Windows Defender.
Cet article s’adresse aux professionnels de l’informatique. Il répertorie les questions de conception, les réponses possibles et les conséquences pour les décisions prises, lors de la planification du déploiement de stratégies de contrôle d’application à l’aide de Windows Defender Application Control (WDAC), dans un environnement de système d’exploitation Windows.
Lorsque vous commencez le processus de conception et de planification, vous devez prendre en compte les conséquences de vos choix de conception. Les décisions qui en résultent affecteront votre schéma de déploiement de stratégie et la maintenance de la stratégie de contrôle d’application ultérieure.
Vous devez envisager d’utiliser Windows Defender Application Control dans le cadre des stratégies de contrôle d’application de votre organisation si les conditions suivantes sont remplies :
- Vous avez déployé ou envisagez de déployer les versions prises en charge de Windows dans votre organisation.
- Vous avez besoin d’un contrôle amélioré sur l’accès aux applications de votre organisation et aux données auxquelles vos utilisateurs accèdent.
- Votre organisation dispose d’un processus bien défini pour la gestion et le déploiement des applications.
- Vous disposez de ressources pour tester les stratégies par rapport aux exigences de l’organisation.
- Vous disposez de ressources pour impliquer le support technique ou créer un processus d’assistance autonome pour les problèmes d’accès aux applications des utilisateurs finaux.
- Les exigences du groupe en matière de productivité, de facilité de gestion et de sécurité peuvent être contrôlées par des stratégies restrictives.
Décider des stratégies à créer
À compter de Windows 10, version 1903, Windows Defender Application Control permet d’appliquer plusieurs stratégies simultanées à chaque appareil. Cette application simultanée ouvre de nombreux nouveaux cas d’usage pour les organisations, mais votre gestion des stratégies peut facilement devenir difficile à gérer sans un plan bien pensé pour le nombre et les types de stratégies à créer.
La première étape consiste à définir le « cercle de confiance » souhaité pour vos stratégies WDAC. Par « cercle de confiance », nous entendons une description de l’intention commerciale de la politique exprimée en langage naturel. Cette définition de « cercle de confiance » vous guidera lors de la création des règles de stratégie réelles pour votre code XML de stratégie.
Par exemple, la stratégie DefaultWindows, qui se trouve sous %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies, établit un « cercle de confiance » qui autorise Windows, les pilotes matériels et logiciels tiers et les applications à partir du Microsoft Store.
Configuration Manager utilise la stratégie DefaultWindows comme base de sa stratégie, mais modifie ensuite les règles de stratégie pour autoriser Configuration Manager et ses dépendances, définit la règle de stratégie d’installation managée et configure également Configuration Manager en tant que programme d’installation managé. Il peut également autoriser des applications ayant une réputation positive et effectuer une analyse unique des chemins d’accès aux dossiers spécifiés par l’administrateur Configuration Manager, ce qui ajoute des règles pour toutes les applications trouvées dans les chemins spécifiés sur le point de terminaison managé. Ce processus établit le « cercle de confiance » pour l’intégration native de WDAC de Configuration Manager.
Les questions suivantes peuvent vous aider à planifier votre déploiement windows Defender Application Control et à déterminer le « cercle de confiance » approprié pour vos stratégies. Ils ne sont pas dans l’ordre de priorité ou séquentiel, et ne sont pas destinés à être un ensemble exhaustif de considérations de conception.
Considérations relatives à la conception WDAC
Comment les applications sont-elles gérées et déployées dans votre organisation ?
Les organisations avec des processus de gestion et de déploiement d’applications bien définis et gérés de manière centralisée peuvent créer des stratégies plus restrictives et plus sécurisées. D’autres organisations peuvent être en mesure de déployer Windows Defender Application Control avec des règles plus souples, ou choisir de déployer WDAC en mode audit pour obtenir une meilleure visibilité sur les applications utilisées dans leur organisation.
| Réponses possibles | Considérations relatives à la conception |
|---|---|
| Toutes les applications sont gérées et déployées de manière centralisée à l’aide d’outils de gestion des points de terminaison tels que Microsoft Intune. | Les organisations qui gèrent de manière centralisée toutes les applications sont les mieux adaptées au contrôle des applications. Les options de contrôle d’application Windows Defender telles que le programme d’installation managé peuvent faciliter l’autorisation des applications déployées par la solution de gestion de la distribution d’applications de l’organisation. |
| Certaines applications sont gérées et déployées de manière centralisée, mais les équipes peuvent installer d’autres applications pour leurs membres. | Des stratégies supplémentaires peuvent être utilisées pour autoriser des exceptions spécifiques à l’équipe à votre stratégie principale de contrôle d’application Windows Defender à l’échelle de l’organisation. Les équipes peuvent également utiliser des programmes d’installation managés pour installer leurs applications spécifiques à l’équipe, ou des règles de chemin d’accès aux fichiers administrateur uniquement peuvent être utilisées pour autoriser les applications installées par les utilisateurs administrateurs. |
| Les utilisateurs et les équipes sont libres de télécharger et d’installer des applications, mais l’organisation souhaite restreindre ce droit aux applications répandues et dignes de confiance uniquement. | Windows Defender Application Control peut s’intégrer à Intelligent Security Graph de Microsoft (la même source d’intelligence que celle qui alimente l’Antivirus Microsoft Defender et Windows Defender SmartScreen) pour autoriser uniquement les applications et les fichiers binaires qui ont une réputation positive. |
| Les utilisateurs et les équipes sont libres de télécharger et d’installer des applications sans restriction. | Les stratégies Windows Defender Application Control peuvent être déployées en mode audit pour obtenir des informations sur les applications et les fichiers binaires en cours d’exécution dans votre organisation sans affecter la productivité des utilisateurs et des équipes. |
Les applications métier développées en interne et les applications développées par des sociétés tierces sont-elles signées numériquement ?
Les applications Win32 traditionnelles sur Windows peuvent s’exécuter sans être signées numériquement. Cette pratique peut exposer des appareils Windows à du code malveillant ou falsifié et présente une vulnérabilité de sécurité à vos appareils Windows. L’adoption de la signature de code dans le cadre des pratiques de développement d’applications de votre organisation ou l’augmentation des applications avec des fichiers catalogue signés dans le cadre de l’ingestion et de la distribution de vos applications peuvent considérablement améliorer l’intégrité et la sécurité des applications utilisées.
| Réponses possibles | Considérations relatives à la conception |
|---|---|
| Toutes les applications utilisées dans votre organisation doivent être signées. | Les organisations qui appliquent la signature de code pour tout le code exécutable sont les mieux placées pour protéger leurs ordinateurs Windows contre l’exécution de code malveillant. Les règles de contrôle d’application Windows Defender peuvent être créées pour autoriser les applications et les fichiers binaires des équipes de développement internes de l’organisation et des éditeurs de logiciels indépendants (ISV) approuvés. |
| Les applications utilisées dans votre organisation n’ont pas besoin de répondre à des exigences de codesigning. | Les organisations peuvent utiliser des outils Windows intégrés pour ajouter des signatures de catalogue d’applications spécifiques à une organisation à des applications existantes dans le cadre du processus de déploiement d’application, qui peut être utilisé pour autoriser l’exécution du code. Des solutions telles que Microsoft Intune offrent plusieurs façons de distribuer des catalogues d’applications signés. |
Existe-t-il des groupes spécifiques dans votre organisation qui ont besoin de stratégies de contrôle d’application personnalisées ?
La plupart des équipes ou services métier ont des exigences de sécurité spécifiques relatives à l’accès aux données et aux applications utilisées pour accéder à ces données. Tenez compte de l’étendue du projet pour chaque groupe et des priorités du groupe avant de déployer des stratégies de contrôle d’application pour l’ensemble de l’organisation. Il y a une surcharge dans la gestion des stratégies qui peut vous amener à choisir entre des stratégies générales à l’échelle de l’organisation et plusieurs stratégies spécifiques à l’équipe.
| Réponses possibles | Considérations relatives à la conception |
|---|---|
| Oui | Les stratégies WDAC peuvent être créées uniques par équipe, ou des stratégies supplémentaires spécifiques à l’équipe peuvent être utilisées pour développer ce qui est autorisé par une stratégie de base commune définie de manière centralisée. |
| Non | Les stratégies WDAC peuvent être appliquées globalement aux applications installées sur des PC exécutant Windows 10 et Windows 11. Selon le nombre d’applications que vous devez contrôler, la gestion de toutes les règles et exceptions peut être difficile. |
Votre service informatique dispose-t-il de ressources pour analyser l’utilisation des applications et concevoir et gérer les stratégies ?
Le temps et les ressources dont vous disposez pour effectuer la recherche et l’analyse peuvent affecter les détails de votre plan et de vos processus de gestion et de maintenance des stratégies.
| Réponses possibles | Considérations relatives à la conception |
|---|---|
| Oui | Prenez le temps d’analyser les exigences de contrôle des applications de votre organisation et planifiez un déploiement complet qui utilise des règles construites le plus possible. |
| Non | Envisagez un déploiement ciblé et échelonné pour des groupes spécifiques à l’aide de quelques règles. Lorsque vous appliquez des contrôles à des applications d’un groupe spécifique, découvrez ce déploiement pour planifier votre prochain déploiement. Vous pouvez également créer une stratégie avec un profil d’approbation large pour autoriser autant d’applications que possible. |
Votre organisation dispose-t-elle d’un support technique ?
Empêcher vos utilisateurs d’accéder à des applications connues, déployées ou personnelles entraîne initialement une augmentation du support des utilisateurs finaux. Il sera nécessaire de résoudre les différents problèmes de support au sein de votre organisation afin que les stratégies de sécurité soient suivies et que le flux de travail métier ne soit pas entravé.
| Réponses possibles | Considérations relatives à la conception |
|---|---|
| Oui | Impliquez le service de support au début de la phase de planification, car vos utilisateurs peuvent être bloqués par inadvertance pour utiliser leurs applications, ou ils peuvent rechercher des exceptions pour utiliser des applications spécifiques. |
| Non | Consacrez du temps au développement de processus de support en ligne et à la documentation avant le déploiement. |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour