Partager via

Gestion du Contrôle d’application Windows Defender avec Configuration Manager

  • Article

S’applique à : Configuration Manager (branche actuelle)

Le Contrôle d’application Windows Defender a été conçu pour protéger les appareils contre les programmes malveillants et autres logiciels non approuvés. Il empêche l’exécution du code malveillant en s’assurant que seul le code approuvé, que vous connaissez, peut s’exécuter.

Le Contrôle d’application est une couche de sécurité logicielle qui met en œuvre une liste explicite de logiciels autorisés à s’exécuter sur un PC. En soi, le Contrôle d’application n’a pas de prérequis particuliers en termes de matériel ou de microprogramme. Les stratégies de Contrôle d’application déployées avec Configuration Manager sont activées sur les appareils appartenant aux regroupements ciblés qui répondent aux exigences minimales concernant la version de Windows et les références SKU décrites dans cet article. Si vous le souhaitez, la protection avec hyperviseur des stratégies de Contrôle d’application déployées via Configuration Manager peut être activée à l’aide d’une stratégie de groupe sur le matériel compatible.

Si vous souhaitez en savoir plus, veuillez consulter le guide de déploiement du Contrôle d’application Windows Defender.

Remarque

Cette fonctionnalité était auparavant connue sous le nom d’intégrité de code configurable et de Device Guard.

Utilisation du Contrôle d’application avec Configuration Manager

Vous pouvez utiliser Configuration Manager pour déployer une stratégie de Contrôle d’application. Cette stratégie vous permet de configurer le mode d’exécution du Contrôle d’application sur les appareils d’un regroupement.

Vous pouvez configurer l’un des modes suivants :

  1. Application activée : seuls les exécutables approuvés sont autorisés à s’exécuter.
  2. Audit uniquement : autorise l’exécution de tous les exécutables, mais journalise les exécutables non approuvés qui ont été exécutés dans le journal des événements du client local.

Qu’est-ce qui peut s’exécuter lorsque vous déployez une stratégie de Contrôle d’application ?

Le Contrôle d’application vous permet de contrôler fortement ce qui peut être exécuté sur les appareils que vous gérez. Cette fonctionnalité peut s’avérer utile pour les appareils utilisés dans les services hautement sécurisés, où les logiciels indésirables ne doivent absolument pas s’exécuter.

En général, lorsque vous déployez une stratégie, les exécutables suivants peuvent s’exécuter :

  • Composants du système d’exploitation Windows
  • Pilotes du Centre de développement matériel avec signatures WHQL (Windows Hardware Quality Labs)
  • Applications Windows Store
  • Client Configuration Manager
  • Tous les logiciels déployés via Configuration Manager et installés par les appareils une fois qu’ils ont traité la stratégie de Contrôle d’application
  • Mises à jour des composants Windows intégrés en provenance de :
    • Windows Update
    • Windows Update for Business
    • Windows Server Update Services
    • Configuration Manager
    • Le cas échéant, logiciels de bonne réputation, selon Microsoft Intelligent Security Graph (ISG). L’ISG inclut Windows Defender SmartScreen et d’autres services Microsoft. Pour que ces logiciels soient approuvés, l’appareil doit exécuter Windows Defender SmartScreen et Windows 10 version 1709 ou ultérieure.

Importante

Ces éléments n’incluent pas les logiciels non intégrés à Windows et dont la mise à jour s’effectue automatiquement via Internet ou des mises à jour logicielles tierces. Cette limitation s’applique, que ces éléments soient installés par l’un des mécanismes de mise à jour mentionnés ou via Internet. Le Contrôle d’application autorise uniquement les changements logiciels déployés par l’intermédiaire du client Configuration Manager.

Systèmes d’exploitation pris en charge

Pour utiliser le Contrôle d’application avec Configuration Manager, les appareils doivent exécuter des versions prises en charge de :

  • Windows 11 ou version ultérieure, Édition Entreprise
  • Windows 10 ou version ultérieure, Édition Entreprise
  • Windows Server 2019 ou versions ultérieures

Conseil

Les stratégies de Contrôle d’application existantes créées avec Configuration Manager version 2006 ou antérieure ne fonctionnent pas avec Windows Server. Pour prendre en charge Windows Server, créez de nouvelles stratégies de Contrôle d’application.

Avant de commencer

  • Une fois qu’une stratégie est correctement traitée sur un appareil, Configuration Manager est configuré en tant que programme d’installation géré sur ce client. Les logiciels déployés par Configuration Manager sont automatiquement approuvés après que la stratégie est traitée. Tant que l’appareil n’a pas traité la stratégie de Contrôle d’application, les logiciels installés par Configuration Manager ne sont pas automatiquement approuvés.

    Remarque

    Par exemple, vous ne pouvez pas utiliser l’étape Installer l’application d’une séquence de tâches pour installer des applications lors d’un déploiement du système d’exploitation. Pour en savoir plus, veuillez consulter Étapes de séquence de tâches – Installer l’application.

  • Par défaut, la conformité des stratégies de Contrôle d’application est évaluée tous les jours. Cette planification peut être configurée lors du déploiement de stratégie. Si vous constatez des difficultés dans le traitement des stratégies, configurez la planification d’évaluation de la conformité pour en augmenter la fréquence. Par exemple, toutes les heures. Cette planification détermine la fréquence à laquelle les clients effectuent une nouvelle tentative de traitement d’une stratégie de Contrôle d’application en cas d’échec.

  • Quel que soit le mode de mise en conformité que vous sélectionnez, lorsque vous déployez une stratégie de Contrôle d’application, les appareils ne peuvent pas exécuter les applications HTML avec l’extension de fichier .hta.

Créer une stratégie de Contrôle d’application

  1. Dans la console de Configuration Manager, accéder à l’espace de travail Actifs et conformité.

  2. Développez Endpoint Protection, puis sélectionnez le nœud Contrôle d’application Windows Defender.

  3. Sous l’onglet Accueil du ruban, dans le groupe Créer, sélectionnez Créer une stratégie de Contrôle d’application.

  4. Dans la page Général de l’Assistant Création d’une stratégie de Contrôle d’application, spécifiez les paramètres suivants :

    • Nom : donnez un nom unique à cette stratégie de Contrôle d’application.

    • Description : entrez éventuellement une description de la stratégie pour faciliter son identification dans la console Configuration Manager.

    • Imposer le redémarrage des appareils pour permettre l’application de la stratégie à tous les processus : après que l’appareil a traité la stratégie, le redémarrage du client est planifié en fonction de la configuration des Paramètres du client pour le Redémarrage de l’ordinateur. Les applications en cours d’exécution sur l’appareil n’appliquent pas la nouvelle stratégie de Contrôle d’application tant que l’ordinateur n’a pas redémarré. En revanche, les applications lancées après que la stratégie a été appliquée respectent la nouvelle stratégie.

    • Mode de mise en conformité : choisissez l’une des méthodes d’application suivantes :

      • Application activée : seules les applications approuvées sont autorisées à s’exécuter.

      • Audit uniquement : autorise toutes les applications à s’exécuter, mais journalise les programmes non approuvés qui s’exécutent. Les messages d’audit se trouvent dans le journal des événements du client local.

  5. Sous l’onglet Inclusions de l’Assistant Création d’une stratégie de Contrôle d’application, indiquez si vous souhaitez Autoriser les logiciels approuvés par Intelligent Security Graph.

  6. Si vous souhaitez ajouter une approbation pour des fichiers ou dossiers spécifiques sur des appareils, sélectionnez Ajouter. Dans la boîte de dialogue Ajouter un fichier ou dossier approuvé, vous pouvez spécifier le chemin d’accès du fichier local ou du dossier à approuver. Vous pouvez également spécifier le chemin d’accès d’un fichier ou d’un dossier situé sur un appareil distant auquel vous êtes autorisé à vous connecter. Lorsque vous ajoutez une approbation pour des fichiers ou dossiers spécifiques dans une stratégie de Contrôle d’application, vous pouvez :

    • Résoudre les problèmes liés aux comportements du programme d’installation géré.

    • Approuver les applications métier que vous ne pouvez pas déployer avec Configuration Manager.

    • Approuver les applications incluses dans une image de déploiement du système d’exploitation.

  7. Suivez les instructions de l’Assistant.

Déployer une stratégie de Contrôle d’application

  1. Dans la console de Configuration Manager, accéder à l’espace de travail Actifs et conformité.

  2. Développez Endpoint Protection, puis sélectionnez le nœud Contrôle d’application Windows Defender.

  3. Dans la liste des stratégies, sélectionnez celle que vous souhaitez déployer. Sous l’onglet Accueil du ruban, dans le groupe Déploiement, sélectionnez Déployer une stratégie de Contrôle d’application.

  4. Dans la boîte de dialogue Déployer une stratégie de Contrôle d’application, sélectionnez le regroupement dans lequel vous voulez déployer la stratégie. Configurez ensuite une planification pour préciser à quel moment les clients évalueront la stratégie. Enfin, indiquez si le client peut évaluer la stratégie en dehors des fenêtres de maintenance configurées.

  5. Lorsque vous avez terminé, sélectionnez OK pour déployer la stratégie.

Surveiller une stratégie de Contrôle d’application

En général, vous trouverez les informations nécessaires dans l’article Surveiller les paramètres de conformité. Ces informations vous aideront à vérifier que la stratégie déployée a bien été appliquée à tous les appareils.

Pour surveiller le traitement d’une stratégie de Contrôle d’application, utilisez le fichier journal suivant sur les appareils :

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Pour identifier le logiciel spécifique qui fait l’objet d’un blocage ou d’un audit, examinez les journaux d’événements suivants sur le client local :

  • Pour le blocage et l’audit de fichiers exécutables, utilisez Journaux des applications et des services>Microsoft>Windows>Intégrité du code>Opérationnel.

  • Pour le blocage et l’audit de Windows Installer et des fichiers de script, utilisez Journaux des applications et des services>Microsoft>Windows>AppLocker>MSI et Script.

Informations de sécurité et de confidentialité

  • Les appareils sur lesquels une stratégie a été déployée en mode Audit uniquement ou Application activée, mais qui n’ont pas été redémarrés pour que la stratégie soit mise en œuvre, sont vulnérables aux logiciels non approuvés qui sont installés. Dans ce cas, les logiciels peuvent continuer à s’exécuter même si l’appareil redémarre ou reçoit une stratégie en mode Application activée.

  • Pour améliorer l’efficacité de la stratégie de Contrôle d’application, commencez par préparer l’appareil dans un environnement de labo. Déployez une stratégie en mode Application activée, puis redémarrez l’appareil. Après avoir vérifié que les applications fonctionnent, donnez l’appareil à l’utilisateur.

  • Évitez de déployer une stratégie en mode Application activée, puis une autre stratégie en mode Audit uniquement sur le même appareil. Dans ce cas, un logiciel non approuvé risque d’être autorisé à s’exécuter.

  • Lorsque vous utilisez Configuration Manager pour activer le Contrôle d’application sur les appareils, la stratégie n’empêche pas les utilisateurs disposant de droits d’administrateur local de contourner les stratégies de Contrôle d’application ou d’exécuter des logiciels non approuvés.

  • Le seul moyen d’empêcher les utilisateurs disposant de droits d’administrateur local de désactiver le Contrôle d’application est de déployer une stratégie binaire signée. Ce déploiement est possible via une stratégie de groupe, mais cela n’est actuellement pas pris en charge dans Configuration Manager.

  • La configuration de Configuration Manager en tant que programme d’installation géré sur les appareils utilise une stratégie Windows AppLocker. AppLocker est utilisé uniquement pour identifier les programmes d’installation gérés. Toute la mise en œuvre s’effectue avec le Contrôle d’application.

Étapes suivantes

Gérer les stratégies anti-programme malveillant et les paramètres de pare-feu