Qu'est-ce que Windows Defender Application Control?

 

Si vous n'êtes pas familier avec Windows Defender Application Control (WDAC), laissez-moi vous remplir. À ne pas confondre avec Windows Defender Application Guard, une solution de conteneurisation pour Microsoft Edge qui utilise Hyper-V pour isoler les sessions de navigateur, WDAC est une partie de la Garde de périphériques Windows. Il suffit d'ajouter à la confusion, Microsoft utilise la Garde de périphériques Windows pour se référer à l'utilisation de WDAC et de l'intégrité du code protégé par hyperviseur (HVCI) ensemble.

Pour plus d'informations sur Windows Defender Application Guard, voir Revisiter Garde d'application dans Windows 10 avril 2018 Mettre à jour est Petri.

Garde de périphériques Windows a été introduit dans Windows 10 comme nouveau, solution de contrôle d'application robuste conçue pour être plus flexible que AppLocker. Mais Microsoft promu garde de périphériques avec HVCI et de nombreux administrateurs à tort supposé que la partie de contrôle de l'application de la Garde de l'appareil ne peut pas être utilisé sans HVCI, qui a des exigences matérielles que de nombreux appareils plus anciens ne répondent pas.

L'année dernière, Microsoft a annoncé que les deux technologies qui garde le maquillage de l'appareil avait été séparé dans Windows Defender Application Control, qui traite de l'application de liste blanche, et Windows Defender Exploit Guard gérerait la protection WDAC à l'aide HVCI si nécessaire. En séparant la Garde de l'appareil en deux technologies distinctes, Microsoft espère que les administrateurs informatiques comprendra que HVCI n'est pas nécessaire d'utiliser WDAC.

Windows Defender Application Control

Contrôle des applications première apparition dans Windows XP comme stratégies de restriction logicielle (SRP), mais il n'a pas été largement adopté parce qu'il était difficile à mettre en œuvre. AppLocker dans Windows 7 a été conçu pour résoudre ce problème. Mais AppLocker est pas sans défauts. Pas moins qui est que sa mise en œuvre n'est pas très robuste. Par exemple, utilisateurs avec des privilèges d'administrateur peuvent désactiver AppLocker.

Windows Defender Application Control utilise des stratégies Integrity Code (CI) qui sont mis en œuvre par le noyau Windows dès au début de la séquence de démarrage avant la plupart des autres codes du système d'exploitation commence à courir. les politiques de CI s'étendent également au code en mode noyau, tels que les pilotes et les composants Windows, contrairement à AppLocker qui ne peut être utilisé pour whitelist code mode utilisateur. Les administrateurs peuvent être empêchées de falsifier WDAC par signature numérique des politiques de CI. Pour changer une politique, un utilisateur aurait besoin des privilèges d'administrateur et l'accès au processus de signature numérique de l'organisation.

Garde d'exploiter, HVCI, Intégrité de la mémoire, VBS - Faites votre choix

aditionellement, l'ensemble du processus peut encore être protégé par la sécurité basée sur la virtualisation (VBS) si vos appareils répondent aux exigences matérielles nécessaires. Ceci est activé à l'aide de Windows Defender Exploit Guard. Parfois, cela est également mentionné dans la documentation de Microsoft comme HVCI. Pour les eaux boueuses plus, la fonction est étiquetée l'intégrité de la mémoire dans la section Sécurité du périphérique dans le Centre de sécurité Windows Defender.

Activer HVCI dans le Centre de sécurité Windows Defender (Crédit d'image: Russell Smith)

Activer HVCI dans le Centre de sécurité Windows Defender (Crédit d'image: Russell Smith)

Si vous souhaitez activer HVCI en utilisant une stratégie de groupe ou MDM, vous devez chercher la Allumez virtualisation de sécurité Mise sous Configuration ordinateur > Modèles d'administration > Système > Garde de l'appareil. Pour plus d'informations sur l'activation HVCI, consultez le site Web de Microsoft ici. Vous pouvez savoir si vos appareils prennent en charge HVCI en téléchargeant le Garde de l'appareil et Credential Garde outil de préparation de Microsoft.

Windows Defender Application Control est une technologie de liste blanche d'applications robuste que lorsque mis en œuvre peut réduire considérablement le risque d'être infecté par les menaces persistantes avancées (APTS) et les logiciels malveillants zero-day. Mais comme il se, l'absence d'un outil de gestion de l'interface centralisée est susceptible de limiter l'absorption. Les outils de configuration PowerShell impliquent également une courbe d'apprentissage abrupte et nécessitent un investissement important dans les tests. Certains pilotes peuvent ne pas être compatibles avec HVCI. Microsoft a plus d'informations sur cette question ici. Les organisations intéressées à déployer WDAC pourrait ressembler à ce qui lui permet d'abord sur les serveurs sur lesquels le portefeuille de logiciels est relativement statique.

La poste Qu'est-ce que Windows Defender Application Control? est apparu d'abord sur Petri.

Article similaire

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.