Contrôle d’application

Concerne:

  • Windows10
  • WindowsServer2003 2016
  • Windows Server2019

Avec des milliers de nouveaux fichiers malveillants créés chaque jour, les méthodes traditionnelles utilisées pour lutter contre les programmes malveillants, telles que la détection basée sur les signatures des solutions antivirus, offrent une protection insuffisante contre les nouvelles attaques.

Dans la plupart des organisations, il s’agit de l’atout le plus précieux et de veiller à ce que seuls les utilisateurs approuvés aient accès à ces informations soit impératif. Toutefois, lorsqu’un utilisateur exécute un processus, ce dernier bénéficie du même niveau d’accès aux données que celui dont dispose l’utilisateur. Par conséquent, des informations sensibles peuvent facilement être supprimées ou transmises hors de l’organisation si un utilisateur exécute intentionnellement ou involontairement des logiciels malveillants.

Le contrôle des applications peut aider à limiter ces types de menaces de sécurité en restreignant les applications que les utilisateurs sont autorisés à exécuter et le code qui s’exécute dans le noyau du système. Les stratégies de contrôle d’application peuvent également bloquer les scripts et MSIs non signés, et limiter Windows PowerShell pour qu’ils s’exécutent en mode de langue contrainte.

Le contrôle des applications est une ligne de défense essentielle pour la protection des entreprises du paysage des menaces du jour, et présente un avantage inhérent aux solutions antivirus traditionnelles. Plus précisément, le contrôle d’application quitte un modèle d’approbation d’application où toutes les applications sont considérées comme dignes de confiance pour une application qui doit gagner en fiabilité pour s’exécuter. Beaucoup d’organisations, comme la direction australienne des signaux, comprennent ce qui suit et citer fréquemment le contrôle d’application comme l’un des moyens les plus efficaces pour résoudre les problèmes de logiciels malveillants (. exe,. dll, etc.).

Notes

Bien que le contrôle d’application puisse considérablement renforcer la protection de vos ordinateurs contre du code malveillant, nous vous recommandons de continuer à gérer une solution antivirus d’entreprise pour un portefeuille de sécurité d’entreprise bien arrondi.

Windows 10 inclut deux technologies qui peuvent être utilisées pour le contrôle d’application en fonction des scénarios et exigences spécifiques de votre organisation:

  • Contrôle d’application Windows Defender; puis
  • AppLocker

Contrôle d'application Windows Defender

Windows Defender application Control (WDAC) a été introduit dans Windows 10 et permet aux organisations de contrôler les pilotes et applications autorisés à s’exécuter sur leurs clients Windows 10. La fonction WDAC a été conçue en tant que fonctionnalité de sécurité sous les critères de maintenance définis par le centre MSRC (Microsoft Security Response Center).

Notes

Avant Windows10, version1709, Windows Defender Application Control était connu sous le nom de stratégies d’intégrité du code configurables.

Les stratégies WDAC s’appliquent à l’ordinateur géré dans son intégralité et affectent tous les utilisateurs de l’appareil. Les règles WDAC peuvent être définies en fonction de:

  • Attributs du ou des certificats de co-création utilisés pour signer une application et ses fichiers binaires;
  • Les attributs des fichiers binaires de l’application issus des métadonnées signées pour les fichiers, tels que le nom de fichier et la version d’origine, ou le hachage du fichier;
  • La réputation de l’application, telle que définie par le graphique de sécurité intelligent de Microsoft;
  • Identité du processus à l’origine de l’installation de l’application et de ses fichiers binaires (programme d’installation géré).
  • Le chemin d’accès à partir duquel l’application ou le fichier est lancé (à partir de la version 1903 de Windows 10);
  • Processus ayant lancé l’application ou le fichier binaire.

Configuration requise pour les systèmes WDAC

Les stratégies WDAC peuvent uniquement être créées sur des ordinateurs commençant par Windows 10 entreprise ou Windows Server 2016 ou une version ultérieure. Ils peuvent être appliqués à des ordinateurs exécutant des éditions de Windows 10 ou Windows Server 2016 et éventuellement gérées via la gestion des périphériques mobiles (GPM), telle que Microsoft Intune. La stratégie de groupe peut également être utilisée pour déployer les stratégies WDAC vers Windows 10 Enterprise Edition ou Windows Server 2016 (ou une version ultérieure).

AppLocker

AppLocker a introduit Windows 7 et permet aux organisations de contrôler quelles applications les utilisateurs sont autorisés à exécuter sur leurs clients Windows. AppLocker fournit une valeur de sécurité en tant que fonctionnalité de défense en profondeur et permet aux utilisateurs finaux d’éviter d’exécuter des logiciels non approuvés sur leur ordinateur.

Les stratégies AppLocker peuvent s’appliquer à tous les utilisateurs sur un ordinateur ou à des utilisateurs et groupes individuels. Les règles AppLocker peuvent être définies en fonction de:

  • Attributs du ou des certificats de co-création utilisés pour signer une application et ses fichiers binaires;
  • Les attributs des fichiers binaires de l’application issus des métadonnées signées pour les fichiers, tels que le nom de fichier et la version d’origine, ou le hachage du fichier;
  • Le chemin d’accès à partir duquel l’application ou le fichier est lancé (à partir de la version 1903 de Windows 10).

Configuration système requise pour AppLocker

Les stratégies AppLocker sont uniquement configurables et applicables sur des ordinateurs exécutant les versions et éditions prises en charge du système d’exploitation Windows. Pour plus d’informations, voir l’article Configuration requise pour utiliser AppLocker. Les stratégies AppLocker peuvent être déployées à l’aide d’une stratégie de groupe ou d’une gestion des périphériques mobiles

Choisir quand utiliser WDAC ou AppLocker

Même s’il est possible d’utiliser AppLocker ou WDAC pour contrôler l’exécution d’une application sur des clients Windows 10, les facteurs suivants peuvent vous aider à décider quand utiliser chacune des technologies.

Le WDAC est particulièrement approprié dans les cas suivants:

  • Vous adoptez le contrôle d’application essentiellement pour des raisons de sécurité.
  • La stratégie de contrôle de votre application peut être appliquée à tous les utilisateurs sur les ordinateurs gérés.
  • Tous les appareils que vous souhaitez gérer sont dotés de Windows 10.

AppLocker est préférable dans les cas suivants:

  • Vous disposez d’un environnement de système d’exploitation Windows mixte et devez appliquer les mêmes contrôles de stratégie à Windows 10 et aux versions antérieures du système d’exploitation.
  • Vous devez appliquer des stratégies différentes pour différents utilisateurs ou groupes sur un ordinateur partagé.
  • Vous utilisez le contrôle de l’application pour aider les utilisateurs à éviter d’exécuter des logiciels non approuvés, mais vous n’avez pas besoin d’une solution conçue comme fonctionnalité de sécurité.
  • Vous ne souhaitez pas appliquer le contrôle d’application sur les fichiers d’application tels que les dll ou les pilotes.

Quand utiliser conjointement WDAC et AppLocker

AppLocker peut également être déployé en tant que composant WDAC pour ajouter des règles spécifiques à l’utilisateur ou au groupe pour les scénarios d’appareils partagés, où il est important d’empêcher certains utilisateurs d’exécuter des applications spécifiques. Pour obtenir les meilleurs résultats, vous devez appliquer WDAC au niveau le plus restrictif possible de votre entreprise, en utilisant AppLocker pour ajuster les restrictions à un niveau encore inférieur.

Articles associés