Windows Defender gestion du contrôle d’application avec Configuration Manager

S’applique à : Gestionnaire de Configuration (branche actuelle)

Windows Defender Contrôle d’application est conçu pour protéger les appareils contre les programmes malveillants et autres logiciels non approuvés. Il empêche l’exécution de code malveillant en garantissant que seul le code approuvé, que vous connaissez, peut être exécuté.

Le contrôle d’application est une couche de sécurité basée sur un logiciel qui applique une liste explicite des logiciels autorisés à s’exécuter sur un PC. En soi, le contrôle d’application n’a aucun matériel ou microprogramme requis. Les stratégies de contrôle d’application déployées avec Configuration Manager activer une stratégie sur les appareils dans des regroupements ciblés qui répondent aux exigences minimales de la version de Windows et de la référence SKU décrites dans cet article. Si vous le souhaitez, la protection basée sur l’hyperviseur des stratégies de contrôle d’application déployées via Configuration Manager peut être activée via une stratégie de groupe sur du matériel compatible.

Pour plus d’informations, consultez le guide de déploiement Windows Defender Application Control.

Remarque

Cette fonctionnalité était précédemment appelée intégrité du code configurable et Device Guard.

Utilisation du contrôle d’application avec Configuration Manager

Vous pouvez utiliser Configuration Manager pour déployer une stratégie De contrôle d’application. Cette stratégie vous permet de configurer le mode dans lequel le contrôle d’application s’exécute sur les appareils d’un regroupement.

Vous pouvez configurer l’un des modes suivants :

1. Application activée : seuls les exécutables approuvés sont autorisés à s’exécuter.
2. Auditer uniquement : autorisez l’exécution de tous les exécutables, mais journalisez les exécutables non approuvés qui s’exécutent dans le journal des événements du client local.

Que peut exécuter lorsque vous déployez une stratégie De contrôle d’application ?

Le contrôle d’application vous permet de contrôler fortement ce qui peut s’exécuter sur les appareils que vous gérez. Cette fonctionnalité peut être utile pour les appareils des services de haute sécurité, où il est essentiel que les logiciels indésirables ne puissent pas s’exécuter.

Lorsque vous déployez une stratégie, les exécutables suivants peuvent généralement s’exécuter :

• Composants du système d’exploitation Windows
• Pilotes du Centre de développement matériel avec signatures Windows Hardware Quality Labs
• Applications Windows Store
• Client Configuration Manager
• Tous les logiciels déployés via Configuration Manager que les appareils installent après avoir traité la stratégie de contrôle d’application
• Mises à jour aux composants Windows intégrés à partir de :
  • Windows Update
  • Windows Update pour Entreprise
  • Windows Server Update Services
  • Configuration Manager
  • Si vous le souhaitez, vous pouvez utiliser un logiciel ayant une bonne réputation, tel que déterminé par le Microsoft Intelligent Security Graph (ISG). L’ISG inclut Windows Defender SmartScreen et d’autres services Microsoft. L’appareil doit exécuter Windows Defender SmartScreen et Windows 10 version 1709 ou ultérieure pour que ce logiciel soit approuvé.

Importante

Ces éléments n’incluent aucun logiciel non intégré à Windows qui se met automatiquement à jour à partir d’Internet ou de mises à jour logicielles tierces. Cette limitation s’applique qu’ils soient installés par l’un des mécanismes de mise à jour répertoriés ou à partir d’Internet. Le contrôle d’application autorise uniquement les modifications logicielles déployées via le client Configuration Manager.

Systèmes d’exploitation pris en charge

Pour utiliser le contrôle d’application avec Configuration Manager, les appareils doivent exécuter les versions prises en charge de :

• Windows 11 ou version ultérieure, Édition Entreprise
• Windows 10 ou version ultérieure, Édition Entreprise
• Windows Server 2019 ou version ultérieure

Conseil

Les stratégies de contrôle d’application existantes créées avec Configuration Manager version 2006 ou antérieure ne fonctionnent pas avec Windows Server. Pour prendre en charge Windows Server, créez des stratégies De contrôle d’application.

Avant de commencer

• Une fois qu’une stratégie est correctement traitée sur un appareil, Configuration Manager est configuré en tant que programme d’installation géré sur ce client. Une fois la stratégie terminée, les logiciels déployés par Configuration Manager sont automatiquement approuvés. Avant que l’appareil ne traite la stratégie De contrôle d’application, les logiciels installés par Configuration Manager ne sont pas automatiquement approuvés.

  Remarque

  Par exemple, vous ne pouvez pas utiliser l’étape Installer l’application dans une séquence de tâches pour installer des applications pendant un déploiement de système d’exploitation. Pour plus d’informations, consultez Étapes de séquence de tâches - Installer l’application.

• Le calendrier d’évaluation de la conformité par défaut pour les stratégies De contrôle d’application est tous les jours. Cette planification est configurable pendant le déploiement de la stratégie. Si vous remarquez des problèmes lors du traitement de la stratégie, configurez la planification de l’évaluation de la conformité pour qu’elle soit plus fréquente. Par exemple, toutes les heures. Cette planification détermine la fréquence à laquelle les clients essaient de traiter une stratégie de contrôle d’application en cas d’échec.

• Quel que soit le mode d’application que vous sélectionnez, lorsque vous déployez une stratégie De contrôle d’application, les appareils ne peuvent pas exécuter d’applications HTML avec l’extension de .hta fichier.

Créer une stratégie de contrôle d’application

1. Dans la console de Configuration Manager, accédez à l’espace de travail Actifs et conformité.

2. Développez Endpoint Protection, puis sélectionnez le nœud Contrôle d’application Windows Defender.

3. Sous l’onglet Accueil du ruban, dans le groupe Créer , sélectionnez Créer une stratégie De contrôle d’application.

4. Dans la page Général de l’Assistant Création d’une stratégie de contrôle d’application, spécifiez les paramètres suivants :

   • Nom : entrez un nom unique pour cette stratégie de contrôle d’application.

   • Description : si vous le souhaitez, entrez une description de la stratégie qui vous permet de l’identifier dans la console Configuration Manager.

   • Appliquer un redémarrage des appareils afin que cette stratégie puisse être appliquée à tous les processus : une fois que l’appareil a traité la stratégie, un redémarrage est planifié sur le client en fonction des paramètres client pour le redémarrage de l’ordinateur. Les applications en cours d’exécution sur l’appareil n’appliquent la nouvelle stratégie de contrôle d’application qu’après un redémarrage. Toutefois, les applications lancées après l’application de la stratégie respectent la nouvelle stratégie.

   • Mode d’application : choisissez l’une des méthodes d’application suivantes :

     • Application activée : seules les applications approuvées sont autorisées à s’exécuter.

     • Auditer uniquement : autorisez toutes les applications à s’exécuter, mais journalisez les programmes non approuvés qui s’exécutent. Les messages d’audit se trouvent dans le journal des événements du client local.

5. Sous l’onglet Inclusions de l’Assistant Création d’une stratégie de contrôle d’application, choisissez si vous souhaitez autoriser les logiciels approuvés par intelligent Security Graph.

6. Si vous souhaitez ajouter une approbation pour des fichiers ou dossiers spécifiques sur des appareils, sélectionnez Ajouter. Dans la boîte de dialogue Ajouter un fichier ou un dossier approuvé , vous pouvez spécifier un fichier local ou un chemin d’accès de dossier à approuver. Vous pouvez également spécifier un chemin d’accès de fichier ou de dossier sur un appareil distant sur lequel vous êtes autorisé à vous connecter. Lorsque vous ajoutez une approbation pour des fichiers ou dossiers spécifiques dans une stratégie de contrôle d’application, vous pouvez :

   • Résoudre les problèmes liés aux comportements du programme d’installation managé.

   • Faites confiance aux applications métier que vous ne pouvez pas déployer avec Configuration Manager.

   • Approuver les applications incluses dans une image de déploiement de système d’exploitation.

7. Suivez les instructions de l’Assistant.

Déployer une stratégie de contrôle d’application

1. Dans la console de Configuration Manager, accéder à l’espace de travail Actifs et conformité.

2. Développez Endpoint Protection, puis sélectionnez le nœud Contrôle d’application Windows Defender.

3. Dans la liste des stratégies, sélectionnez celle que vous souhaitez déployer. Sous l’onglet Accueil du ruban, dans le groupe Déploiement , sélectionnez Déployer la stratégie de contrôle d’application.

4. Dans la boîte de dialogue Déployer la stratégie de contrôle d’application, sélectionnez le regroupement sur lequel vous souhaitez déployer la stratégie. Ensuite, configurez une planification pour le moment où les clients évaluent la stratégie. Enfin, indiquez si le client peut évaluer la stratégie en dehors des fenêtres de maintenance configurées.

5. Lorsque vous avez terminé, sélectionnez OK pour déployer la stratégie.

Surveiller une stratégie de contrôle d’application

En général, utilisez les informations de l’article Surveiller les paramètres de conformité . Ces informations peuvent vous aider à surveiller que la stratégie déployée a été correctement appliquée à tous les appareils.

Pour surveiller le traitement d’une stratégie De contrôle d’application, utilisez le fichier journal suivant sur les appareils :

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Pour vérifier le logiciel spécifique bloqué ou audité, consultez les journaux d’événements du client local suivants :

• Pour bloquer et auditer les fichiers exécutables, utilisez Les journaux> des applications et des services Microsoft>Intégrité>du code>Windows Opérationnelle.

• Pour bloquer et auditer les fichiers windows Installer et les fichiers de script, utilisez les journaux> des applications et des services Microsoft>Windows>AppLocker>MSI et script.

Informations sur la sécurité et la confidentialité

• Les appareils qui ont une stratégie déployée sur eux en mode Audit uniquement ou Application activée , mais qui n’ont pas été redémarrés pour appliquer la stratégie, sont vulnérables aux logiciels non approuvés en cours d’installation. Dans ce cas, le logiciel peut continuer à s’exécuter même si l’appareil redémarre ou reçoit une stratégie en mode Application activée .

• Pour améliorer l’efficacité de la stratégie De contrôle d’application, commencez par préparer l’appareil dans un environnement lab. Déployez une stratégie d’application activée , puis redémarrez l’appareil. Une fois que vous avez vérifié que les applications fonctionnent, donnez l’appareil à l’utilisateur.

• Ne déployez pas de stratégie avec application activée , puis déployez ultérieurement une stratégie avec Audit uniquement sur le même appareil. Cette configuration peut entraîner l’autorisation de l’exécution de logiciels non approuvés.

• Lorsque vous utilisez Configuration Manager pour activer le contrôle d’application sur les appareils, la stratégie n’empêche pas les utilisateurs disposant de droits d’administrateur local de contourner les stratégies de contrôle d’application ou d’exécuter des logiciels non approuvés.

• La seule façon d’empêcher les utilisateurs disposant de droits d’administrateur local de désactiver le contrôle d’application consiste à déployer une stratégie binaire signée. Ce déploiement est possible via une stratégie de groupe, mais n’est actuellement pas pris en charge dans Configuration Manager.

• La configuration de Configuration Manager en tant que programme d’installation managé sur les appareils utilise une stratégie Windows AppLocker. AppLocker est utilisé uniquement pour identifier les programmes d’installation gérés. Toute application s’effectue avec le contrôle d’application.

Prochaines étapes

Gérer les stratégies anti-programme malveillant et les paramètres de pare-feu