Qu'est-ce que Windows Defender Application Control?

Si vous ne connaissez pas bien Windows Defender Application Control (WDAC), laissez-moi vous renseigner. Ne pas confondre avec Windows Defender Application Guard, une solution de conteneurisation pour Microsoft Edge qui utilise Hyper-V pour isoler les sessions de navigateur. WDAC en fait partie. de Windows Device Guard. Juste pour ajouter à la confusion, Microsoft utilise Windows Device Guard pour désigner l’utilisation simultanée de WDAC et de l’intégrité du code protégée par un hyperviseur (HVCI).

Pour plus d'informations sur Windows Defender Application Guard, voir Retour sur Application Guard dans la mise à jour Windows 10 d’avril 2018 sur Petri.

Windows Device Guard a été introduit dans Windows 10 en tant que nouvelle solution de contrôle d'applications robuste conçue pour être plus flexible que AppLocker. Cependant, Microsoft a fait la promotion de Device Guard avec HVCI et de nombreux administrateurs informatiques ont supposé à tort que la partie de contrôle des applications de Device Guard ne pourrait pas être utilisée sans HVCI, qui présente des exigences matérielles auxquelles beaucoup de périphériques plus anciens ne répondent pas.

L'année dernière, Microsoft a annoncé que les deux technologies constituant Device Guard avaient été séparées dans Windows Defender Application Control, qui traite de la mise en liste blanche des applications, et que Windows Defender Exploit Guard se chargerait de protéger WDAC à l'aide de HVCI, si nécessaire. En séparant Device Guard en deux technologies distinctes, Microsoft espère que les administrateurs informatiques comprendront que l’interface HVCI n’est pas obligée d’utiliser WDAC.

Windows Defender Application Control

Le contrôle des applications est apparu pour la première fois dans Windows XP sous le nom de stratégies de restriction logicielle (SRP), mais il n’a pas été adopté à grande échelle car il était difficile à implémenter. AppLocker dans Windows 7 a été conçu pour résoudre ce problème. Mais AppLocker ne manque pas de lacunes. Notamment, sa mise en œuvre n'est pas très robuste. Par exemple, les utilisateurs dotés de privilèges administratifs peuvent désactiver AppLocker.

Windows Defender Application Control utilise les stratégies d'intégrité du code (CI) implémentées par le noyau Windows dès le début de la séquence de démarrage, avant que la plupart des autres codes de système d'exploitation ne commencent à s'exécuter. Les stratégies de CI incluent également le code en mode noyau, tels que les pilotes et les composants Windows, contrairement à AppLocker qui ne peut être utilisé que pour ajouter du code en mode utilisateur à la liste blanche. Il est possible d'empêcher les administrateurs de manipuler WDAC en signant numériquement des stratégies de CI. Pour modifier une stratégie, un utilisateur aurait besoin des privilèges d'administrateur et d'un accès au processus de signature numérique de l'entreprise.

Exploit Guard, HVCI, intégrité de la mémoire, VBS - Faites votre choix

En outre, l'ensemble du processus peut être davantage protégé à l'aide de la sécurité basée sur la virtualisation (VBS) si vos périphériques répondent à la configuration matérielle requise. Ceci est activé avec Windows Defender Exploit Guard. Parfois, la documentation de Microsoft le désigne également par le terme HVCI. Pour brouiller davantage les eaux, la fonctionnalité est étiquetée Intégrité de la mémoire sous Sécurité du périphérique dans Windows Defender Security Center.

Activer HVCI dans Windows Defender Security Center (Crédit image: Russell Smith)

Activer HVCI dans Windows Defender Security Center (Crédit image: Russell Smith)

Si vous souhaitez activer HVCI à l'aide de la stratégie de groupe ou du MDM, vous devez rechercher le Activer la sécurité basée sur la virtualisation Paramètre sous Configuration ordinateur> Modèles d’administration> Système> Protection du périphérique. Pour plus d'informations sur l'activation de HVCI, consultez le site Web de Microsoft. ici . Vous pouvez savoir si vos appareils prennent en charge HVCI en téléchargeant le Outil de préparation de Device Guard et Credential Guard à partir de Microsoft.

Windows Defender Application Control est une technologie de liste blanche d’applications robuste qui, une fois mise en œuvre, peut considérablement réduire le risque d’être infectée par les menaces persistantes avancées (APT) et les malwares du jour au lendemain. Mais, dans l’état actuel des choses, l’absence d’un outil de gestion centralisé des interfaces graphiques risque de limiter leur adoption. Les outils de configuration de PowerShell impliquent également une courbe d'apprentissage abrupte et nécessitent un investissement important en tests. Certains pilotes peuvent ne pas être compatibles avec HVCI. Microsoft a plus d'informations sur ce problème ici . Les organisations intéressées par le déploiement de WDAC pourraient éventuellement commencer par l'activer sur des serveurs où le portefeuille de logiciels est relativement statique.

Le poste Qu'est-ce que Windows Defender Application Control? apparaît en premier sur Petri.

Article similaire

Laisser un commentaire

Ce site utilise Akismet pour réduire les spams. Découvrez comment vos données de commentaire sont traitées.