Présentation de WindowsDefenderApplicationGuard

S’applique à: Windows Defender avancée de Protection contre les menaces (Windows Defender ATP)

Windows Defender Application Guard (Application Guard) est conçu pour empêcher les attaques anciennes et qui vient d’être émergentes pour maintenir la productivité des employés. À l’aide de notre approche d’isolation matérielle unique, notre objectif est détruire le manuel qui utilisent des personnes malveillantes en effectuant des méthodes d’attaque en cours obsolète.

Qu’est-ce qu’ApplicationGuard et comment fonctionne-t-il?

Conçu pour Windows10 et MicrosoftEdge, ApplicationGuard permet d’isoler les sites non approuvés définis par l’entreprise, en protégeant votre entreprise lorsque vos employés naviguent sur Internet. En tant qu’administrateur d’entreprise, vous définissez les sitesWeb approuvés, les ressources de cloud et les réseaux internes. Tout ce qui ne figure pas sur votre liste est considéré comme non approuvé.

Si un employé accède à un site non approuvé par le biais de MicrosoftEdge ou Internet Explorer, MicrosoftEdge ouvre le site dans un conteneur isolé, activé par Hyper-V et distinct du système d’exploitation hôte. Grâce à l’isolement du conteneur, l’ordinateur hôte est protégé et l’attaquant ne peut pas accéder à vos données d’entreprise si le site non approuvé se révèle malveillant. Par exemple, cette approche anonymise le conteneur isolé, afin qu’une personne malveillante ne puisse pas accéder aux informations d’identification d’entreprise de votre employé.

Schéma d’isolement du matériel

Quels types d’appareils Application Guard doit-il utiliser?

Application Guard a été créé pour cibler plusieurs types de systèmes:

  • Ordinateurs de bureau d’entreprise. Ces ordinateurs de bureau sont joints au domaine et gérés par votre organisation. La configuration est gérée principalement par SystemCenter ConfigurationManager ou MicrosoftIntune. En règle générale, les employés ont des privilèges d’utilisateur standard et utilisent un réseau d’entreprise câblé à bande passante élevée.

  • Ordinateurs portables d’entreprise. Ces ordinateurs portables sont joints au domaine et gérés par votre organisation. La configuration est gérée principalement par SystemCenter ConfigurationManager ou MicrosoftIntune. En règle générale, les employés ont des privilèges d’utilisateur standard et utilisent un réseau d’entreprise sans fil à bande passante élevée.

  • Des ordinateurs portables personnels (BYOD). Ces ordinateurs portables personnels ne sont pas joints au domaine, mais sont gérés par votre organisation à l’aide d’outils tels que MicrosoftIntune. L’employé est généralement administrateur sur l’appareil et utilise un réseau d’entreprise sans fil à bande passante élevée au travail et un réseau personnel comparable à son domicile.

  • Appareils personnels. Ces personnels ordinateurs de bureau ou portables ne sont pas joints au domaine ou gérés par une organisation. L’utilisateur est un administrateur sur l’appareil et utilise un large bande passante réseau sans fil personnel domicile au ou un réseau public comparable tout en à l’extérieur.

Forum Aux Questions

Q: Puis-je activer Application Guard sur les ordinateurs équipés de 4Go de RAM?
R: Nous recommandons 8Go de RAM pour des performances optimales, mais vous pouvez utiliser les valeurs de Registre suivantes pour activer ApplicationGuard sur des ordinateurs qui ne respectent pas la configuration matérielle recommandée.
HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount - La valeur par défaut est 4cœurs.
HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB - La valeur par défaut est 8Go.
HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB - La valeur par défaut est 5Go.


Q: Les employés peuvent-ils télécharger des documents à partir de la session Application Guard Edge sur des appareils hôtes?
R: Dans Windows 10 Édition entreprise 1803, les utilisateurs seront en mesure de télécharger des documents à partir du conteneur Application Guard isolé sur l’ordinateur hôte. Cela est géré par la stratégie.

Dans Windows 10 Édition entreprise 1709 ou une édition de Windows 10 Professionnel 1803, il n’est pas possible de télécharger des fichiers à partir du conteneur Application Guard isolé sur l’ordinateur hôte. Toutefois, les employés peuvent utiliser les options ** Imprimer en tant que PDF** ou Imprimer en tant que XPS et enregistrer ces fichiers sur l’appareil hôte.


Q: Les employés peuvent-ils effectuer des opérations de copier et coller entre l’appareil hôte et la session Application Guard Edge?
R: En fonction des paramètres de votre organisation, les employés peuvent copier et coller des images (.bmp) et du texte vers et depuis le conteneur isolé.


Q: Pourquoi les employés ne voient pas leurs favoris dans la session Application Guard Edge?
R: Pour maintenir l’isolement et la sécurité de la session Application Guard Edge à partir de l’appareil hôte, nous ne copions pas les Favoris stockés dans la session Application Guard Edge vers l’appareil hôte.


Q: Pourquoi les employés ne voient pas leurs extensions dans la session Application Guard Edge?
R: Actuellement, la session Application Guard Edge ne prend pas en charge les extensions. Toutefois, nous surveillons de près vos commentaires sur ce sujet.


Q: Comment configurer WDAG pour fonctionner avec mon proxy réseau (adresses IP-littéral)?
R: WDAG nécessite des proxys d’avoir un nom symbolique, pas seulement une adresse IP. Paramètres de proxy IP-littéral tels que «192.168.1.4:81» peuvent être annotés en tant que «itproxy:81» ou à l’aide d’un enregistrement par exemple, «P19216810010» pour un proxy avec l’adresse IP 192.168.100.10. Cela s’applique à Windows 10 Édition entreprise, version 1709 ou ultérieure.


Q: J’ai activé la stratégie de l’accélération matérielle sur mon Windows 10 entreprise, déploiement 1803 de version. Pourquoi sont mes utilisateurs toujours uniquement rendu lors de l’obtention de processeur?
R: Cette fonctionnalité est actuellement expérimentale uniquement et n’est pas fonctionnelle sans une clé de Registre supplémentaires fournie par Microsoft. Si vous souhaitez évaluer cette fonctionnalité sur un déploiement de Windows 10 entreprise, version 1803, veuillez contacter Microsoft et nous allons travailler avec vous permettent d’activer la fonctionnalité.


Q: Qu’est le compte local WDAGUtilityAccount?
R: Ce compte fait partie de début d’Application Guard avec Windows 10 version 1709 (Fall Creators Update). Ce compte reste désactivé jusqu'à ce que l’Application Guard est activé sur votre appareil. Cet élément est intégré au système d’exploitation et n’est pas considéré comme une menace/virus/programmes malveillants.


Rubriques associées

Rubrique Description
Configuration système requise pour WindowsDefenderApplicationGuard Spécifie les conditions préalables requises pour installer et utiliser ApplicationGuard.
Préparer et installer WindowsDefenderApplicationGuard Fournit des instructions sur la détermination du mode à utiliser (Autonome ou Géré par l’entreprise) et l’installation d’ApplicationGuard dans votre organisation.
Configurer les paramètres de Stratégie de groupe pour WindowsDefenderApplicationGuard Fournit des informations sur les paramètres de Stratégie de groupe et GPM disponibles.
Scénarios de test utilisant WindowsDefender ApplicationGuard dans votre entreprise ou organisation Fournit une liste de scénarios de test suggérés, que vous pouvez utiliser pour tester WindowsDefenderApplicationGuard (ApplicationGuard) dans votre organisation.