Présentation de WindowsDefenderApplicationGuard

S’applique à: Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP)

Windows Defender application Guard (application Guard) est conçu pour vous aider à éviter les anciennes et les nouvelles attaques pour garantir la productivité des employés. Dans le cadre de notre approche d’isolement matérielle unique, notre objectif est de détruire le manuel utilisé par les pirates en mettant les méthodes d’attaque actuelles obsolètes.

Qu’est-ce qu’ApplicationGuard et comment fonctionne-t-il?

Conçu pour Windows10 et MicrosoftEdge, ApplicationGuard permet d’isoler les sites non approuvés définis par l’entreprise, en protégeant votre entreprise lorsque vos employés naviguent sur Internet. En tant qu’administrateur d’entreprise, vous définissez les sitesWeb approuvés, les ressources de cloud et les réseaux internes. Tout ce qui ne figure pas sur votre liste est considéré comme non approuvé.

Si un employé accède à un site non approuvé par le biais de MicrosoftEdge ou Internet Explorer, MicrosoftEdge ouvre le site dans un conteneur isolé, activé par Hyper-V et distinct du système d’exploitation hôte. Grâce à l’isolement du conteneur, l’ordinateur hôte est protégé et l’attaquant ne peut pas accéder à vos données d’entreprise si le site non approuvé se révèle malveillant. Par exemple, cette approche anonymise le conteneur isolé, afin qu’une personne malveillante ne puisse pas accéder aux informations d’identification d’entreprise de votre employé.

Schéma d’isolement du matériel

Quels types d’appareils Application Guard doit-il utiliser?

Application Guard a été créé pour cibler plusieurs types de systèmes:

  • Ordinateurs de bureau d’entreprise. Ces ordinateurs de bureau sont joints au domaine et gérés par votre organisation. La configuration est gérée principalement par SystemCenter ConfigurationManager ou MicrosoftIntune. En règle générale, les employés ont des privilèges d’utilisateur standard et utilisent un réseau d’entreprise câblé à bande passante élevée.

  • Ordinateurs portables d’entreprise. Ces ordinateurs portables sont joints au domaine et gérés par votre organisation. La configuration est gérée principalement par SystemCenter ConfigurationManager ou MicrosoftIntune. En règle générale, les employés ont des privilèges d’utilisateur standard et utilisent un réseau d’entreprise sans fil à bande passante élevée.

  • Des ordinateurs portables personnels (BYOD). Ces ordinateurs portables personnels ne sont pas joints au domaine, mais sont gérés par votre organisation à l’aide d’outils tels que MicrosoftIntune. L’employé est généralement administrateur sur l’appareil et utilise un réseau d’entreprise sans fil à bande passante élevée au travail et un réseau personnel comparable à son domicile.

  • Appareils personnels. Ces ordinateurs de bureau et ordinateurs portables personnels ne sont pas joints au domaine ou gérés par une organisation. L’utilisateur est un administrateur sur l’appareil et utilise un réseau personnel sans fil à bande passante élevée alors qu’il se trouve à la maison ou au réseau public.

Forum Aux Questions

Q: Puis-je activer Application Guard sur les ordinateurs équipés de 4Go de RAM?
R: Nous recommandons une RAM de 8 Go pour des performances optimales, mais vous pouvez utiliser les valeurs DWORD de Registre suivantes pour activer application Guard sur des ordinateurs qui ne répondent pas à la configuration matérielle recommandée.
HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount - La valeur par défaut est 4cœurs.
HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB - La valeur par défaut est 8Go.
HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB - La valeur par défaut est 5Go.


Q: Les employés peuvent-ils télécharger des documents à partir de la session Application Guard Edge sur des appareils hôtes?
R: Dans Windows 10 entreprise édition 1803, les utilisateurs pourront télécharger des documents du conteneur application Guard isolé sur l’ordinateur hôte. Ce paramètre est géré par la stratégie.

Dans Windows 10 Enterprise Edition 1709 ou Windows 10 Professional Edition 1803, il est impossible de télécharger des fichiers à partir du conteneur application Guard isolé sur l’ordinateur hôte. Toutefois, les employés peuvent utiliser les options ** Imprimer en tant que PDF** ou Imprimer en tant que XPS et enregistrer ces fichiers sur l’appareil hôte.


Q: Les employés peuvent-ils effectuer des opérations de copier et coller entre l’appareil hôte et la session Application Guard Edge?
R: En fonction des paramètres de votre organisation, les employés peuvent copier et coller des images (. bmp) et du texte vers et depuis le conteneur isolé.


Q: Pourquoi les employés ne voient pas leurs favoris dans la session Application Guard Edge?
R: Pour maintenir l’isolement et la sécurité de la session Application Guard Edge à partir de l’appareil hôte, nous ne copions pas les Favoris stockés dans la session Application Guard Edge vers l’appareil hôte.


Q: Pourquoi les employés ne voient pas leurs extensions dans la session Application Guard Edge?
R: Actuellement, la session Application Guard Edge ne prend pas en charge les extensions. Toutefois, nous surveillons de près vos commentaires sur ce sujet.


Q: Comment configurer WDAG pour qu’il fonctionne avec mon proxy réseau (adresses IP-littérales)?
R: WDAG nécessite que les serveurs proxy aient un nom symbolique et pas seulement une adresse IP. Les paramètres de proxy de littéraux IP tels que «192.168.1.4:81» peuvent être annotés en tant que «itproxy: 81» ou à l’aide d’un enregistrement tel que «P19216810010» pour un proxy avec l’adresse IP 192.168.100.10. Ceci s’applique à Windows 10 Enterprise Edition, 1709 ou version ultérieure.


Q: J’ai activé la stratégie d’accélération matérielle pour le déploiement de la version 1803 de Windows 10 entreprise. Pourquoi mes utilisateurs continuent-ils de bénéficier du rendu de l’UC uniquement?
R: Cette fonctionnalité est pour l’instant uniquement disponible et ne fonctionne pas sans un autre objet RegKey fourni par Microsoft. Si vous souhaitez évaluer cette fonctionnalité dans le cas d’un déploiement de Windows 10 entreprise, version 1803, veuillez contacter Microsoft et nous travaillerons avec vous pour activer cette fonctionnalité.


Q: Qu’est-ce que le compte local WDAGUtilityAccount?
R: Ce compte est inclus dans application Guard à partir de Windows 10, version 1709 (automne Creators Update). Ce compte reste désactivé tant que l’application Guard est activée sur votre appareil. Cet élément est intégré au système d’exploitation et n’est pas considéré comme une menace ou un virus/programme malveillant.


Rubriques associées

Rubrique Description
Configuration système requise pour WindowsDefenderApplicationGuard Spécifie les conditions préalables requises pour installer et utiliser ApplicationGuard.
Préparer et installer WindowsDefenderApplicationGuard Fournit des instructions sur la détermination du mode à utiliser (Autonome ou Géré par l’entreprise) et l’installation d’ApplicationGuard dans votre organisation.
Configurer les paramètres de Stratégie de groupe pour WindowsDefenderApplicationGuard Fournit des informations sur les paramètres de Stratégie de groupe et GPM disponibles.
Scénarios de test utilisant WindowsDefender ApplicationGuard dans votre entreprise ou organisation Fournit une liste de scénarios de test suggérés, que vous pouvez utiliser pour tester WindowsDefenderApplicationGuard (ApplicationGuard) dans votre organisation.