Vue d’ensemble du contrôle d’application Windows Defender et d’AppLocker

• S’applique à:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Remarque

Certaines fonctionnalités de Windows Defender Application Control (WDAC) sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités WDAC.

Windows 10 et Windows 11 incluent deux technologies qui peuvent être utilisées pour le contrôle des applications, en fonction des scénarios et des exigences spécifiques de votre organisation : Windows Defender Application Control (WDAC) et AppLocker.

Contrôle d’application Windows Defender

WDAC a été introduit avec Windows 10 et permet aux organisations de contrôler les pilotes et applications autorisés à s’exécuter sur leurs clients Windows. Il a été conçu comme une fonctionnalité de sécurité selon les critères de maintenance, définis par le Microsoft Security Response Center (MSRC).

Les stratégies WDAC s’appliquent à l’ordinateur géré dans son ensemble et affectent tous les utilisateurs de l’appareil. Les règles WDAC peuvent être définies en fonction des éléments suivants :

• Attributs du ou des certificats de codesigning utilisés pour signer une application et ses fichiers binaires
• Attributs des fichiers binaires de l’application qui proviennent des métadonnées signées pour les fichiers, telles que le nom de fichier et la version d’origine, ou le hachage du fichier
• La réputation de l’application telle qu’elle est déterminée par l’Intelligent Security Graph de Microsoft
• Identité du processus qui a lancé l’installation de l’application et de ses fichiers binaires (programme d’installation géré)
• Chemin d’accès à partir duquel l’application ou le fichier est lancé (à partir de Windows 10 version 1903)
• Processus qui a lancé l’application ou binaire

Remarque

WDAC a été initialement publié dans le cadre de Device Guard et appelé intégrité du code configurable. Device Guard et l’intégrité du code configurable ne sont plus utilisés, sauf pour trouver l’emplacement de déploiement de la stratégie WDAC via la stratégie de groupe.

Configuration système requise pour WDAC

Les stratégies WDAC peuvent être créées et appliquées sur n’importe quelle édition cliente de Windows 10 ou Windows 11, ou sur Windows Server 2016 et versions ultérieures. Les stratégies WDAC peuvent être déployées via une solution de gestion des appareils mobiles (GPM), par exemple, Intune ; une interface de gestion telle que Configuration Manager ; ou un hôte de script tel que PowerShell. La stratégie de groupe peut également être utilisée pour déployer des stratégies WDAC, mais elle est limitée aux stratégies de format à stratégie unique qui fonctionnent sur Windows Server 2016 et 2019.

Pour plus d’informations sur les fonctionnalités WDAC individuelles disponibles sur des builds WDAC spécifiques, consultez Disponibilité des fonctionnalités WDAC.

AppLocker

AppLocker a été introduit avec Windows 7 et permet aux organisations de contrôler les applications autorisées à s’exécuter sur leurs clients Windows. AppLocker permet d’empêcher les utilisateurs finaux d’exécuter des logiciels non approuvés sur leurs ordinateurs, mais ne répond pas aux critères de maintenance pour être une fonctionnalité de sécurité.

Les stratégies AppLocker peuvent s’appliquer à tous les utilisateurs sur un ordinateur, ou à des utilisateurs et des groupes individuels. Les règles AppLocker peuvent être définies en fonction des éléments suivants :

• Attributs des certificats de codesigning utilisés pour signer une application et ses fichiers binaires.
• Attributs des fichiers binaires de l’application qui proviennent des métadonnées signées pour les fichiers, telles que nom de fichier et version d’origine, ou du hachage du fichier.
• Chemin d’accès à partir duquel l’application ou le fichier est lancé.

AppLocker est également utilisé par certaines fonctionnalités de WDAC, notamment le programme d’installation managé et intelligent Security Graph.

Configuration requise pour AppLocker

Les stratégies AppLocker ne peuvent être configurées et appliquées qu’aux appareils qui s’exécutent sur les versions et éditions prises en charge du système d’exploitation Windows. Pour plus d’informations, voir l’article Configuration requise pour utiliser AppLocker. Les stratégies AppLocker peuvent être déployées à l’aide d’une stratégie de groupe ou DPM.

Choisir quand utiliser WDAC ou AppLocker

En règle générale, les clients qui sont en mesure d’implémenter le contrôle d’application à l’aide de WDAC, plutôt que d’AppLocker, doivent le faire. WDAC fait l’objet d’améliorations continues et bénéficie d’un support supplémentaire de la part des plateformes de gestion Microsoft. Bien qu’AppLocker continue de recevoir des correctifs de sécurité, il n’obtient pas de nouvelles améliorations de fonctionnalités.

Toutefois, dans certains cas, AppLocker peut être la technologie la plus appropriée pour votre organisation. AppLocker est idéal dans les cas suivants :

• Vous disposez d’un environnement de système d’exploitation Windows mixte et devez appliquer les mêmes contrôles de stratégie à Windows 10 et aux versions antérieures du système d’exploitation.
• Vous devez appliquer différentes stratégies pour différents utilisateurs ou groupes sur des ordinateurs partagés.
• Vous ne souhaitez pas appliquer le contrôle d’application sur des fichiers d’application tels que des DLL ou des pilotes.

AppLocker peut également être déployé en complément de WDAC pour ajouter des règles spécifiques aux utilisateurs ou aux groupes pour les scénarios d’appareils partagés, où il est important d’empêcher certains utilisateurs d’exécuter des applications spécifiques. En guise de meilleure pratique, vous devez appliquer WDAC au niveau le plus restrictif possible pour votre organisation, puis vous pouvez utiliser AppLocker pour affiner davantage les restrictions.