Partager via

Fonctionnalités de sécurité du programme d’installation d’application

  • Article

La build 1.24.1981 a introduit les fonctionnalités de sécurité suivantes du programme d’installation d’application :

  • Avertissement Internet
  • Validation de l’URL basée sur la réputation de Microsoft SmartScreen
  • Zones de sécurité d’URL

Avertissement Internet

Le programme d’installation de l’application affiche une bannière d’avertissement à l’utilisateur chaque fois que l’utilisateur installe un package à partir d’Internet. Lorsque l’avertissement Internet s’affiche, les utilisateurs doivent veiller à vérifier que la source répertoriée dans la boîte de dialogue est approuvée.

Capture d’écran montrant un avertissement Internet Microsoft SmartScreen. Il s’agit d’une boîte de dialogue de confirmation d’installation. En bas du volet, une icône de badge avec un point d’exclamation est en regard d’un avertissement indiquant que les applications Internet peuvent potentiellement endommager votre ordinateur. Si vous ne faites pas confiance à la source, n’installez pas ce logiciel ».

L’installation de logiciels à partir d’un site non approuvé sur Internet peut être risquée et vous exposer à des programmes malveillants et à d’autres attaques. Pour plus d’informations, consultez Protéger vous-même contre les escroqueries en ligne et les attaques

Validation de l’URL basée sur la réputation de Microsoft SmartScreen

Le programme d’installation d’application tire désormais parti de Microsoft SmartScreen pour aider les utilisateurs à effectuer des déscions informées avant d’installer des logiciels. Avant de télécharger un package à partir d’une source Internet, App Installer consulte le service Réputation de l’URL de Microsoft SmartScreen.

Capture d’écran montrant une erreur de validation d’URL basée sur la réputation de Microsoft SmartScreen. Le titre de la boîte de dialogue est « Échec de la validation SmartScreen ! » et le texte d’explication ci-dessous indique « Cette application a été bloquée comme non sécurisée par Microsoft Defender SmartScreen. Si vous choisissez de continuer, cette application peut ne pas être sûre à installer. »

Une fois cette erreur présentée, l’utilisateur peut choisir d’annuler ou de continuer (non recommandé).

Le fait de cliquer sur Continuer permet au programme d’installation d’Application d’ouvrir le package pour l’installation.

Zones de sécurité d’URL

Outre l’activation et la désactivation du protocole MS-AppInstaller, les professionnels de l’informatique peuvent désormais empêcher les utilisateurs d’installer des applications à partir d’URI que l’entreprise n’autorise pas. Les professionnels de l’informatique peuvent désactiver l’installation à partir de zones de sécurité d’URL spécifiques.

Lorsqu’un utilisateur tente d’ouvrir une URL bloquée, il reçoit la boîte de dialogue suivante.

Capture d’écran d’une erreur zone de sécurité d’URL. Le titre de la boîte de dialogue indique « Vos paramètres de sécurité Internet ont empêché l’ouverture de ce fichier ». Le texte d’explication ci-dessous indique « L’application que vous tentez d’accéder a été bloquée par votre administrateur ».

Configuration de la zone Programmes d’installation d’applications

EnableMSAppInstallerProtocol L’entrée EnableMSAppInstallerProtocol permet aux professionnels de l’informatique d’activer ou de désactiver le protocole MS-AppInstaller. Activé: HKLM:\Software\Policies\Microsoft\Windows\AppInstaller EnableMSAppInstallerProtocol=1'

EnableMsixAllowedZones

Si EnableMsixAllowedZones est activé (défini sur « 1 »), vous avez la possibilité de remplacer si le programme d’installation d’application autorise une zone de sécurité ou non.

Activé: 'HKLM:\Software\Policies\Microsoft\Windows\AppInstaller" EnableMsixAllowedZones=1'

MsixAllowedZones

Lorsque EnableMsixAllowedZones est activé, le programme d’installation de l’application doit respecter les restrictions spécifiées dans MsixAllowedZones. Par défaut, les URL de la zone de sécurité Non approuvéeSites sont rejetées et toutes les autres zones sont autorisées.

Zone d’autorisation : HKLM:\Software\Policies\Microsoft\Windows\AppInstaller\MsixAllowedZones" UntrustedSites=1

Données de zone

Zone de sécurité Par défaut Détail
Ordinateur local Autoriser Le paramètre sur Blocked empêche l’installation d’un MSIX local.
Intranet Autoriser Le paramètre sur Bloqué empêche les fichiers des serveurs d’entreprise d’être téléchargés et installés.
Sites approuvés Autoriser Lorsqu’il est défini sur Autoriser, permet aux professionnels de l’informatique d’autoriser des URI Internet spécifiques.
Internet Autoriser Lorsqu’il est défini sur Autoriser, permet au professionnel de l’informatique de restreindre l’installation d’applications à partir de toutes les URI Internet.
Sites non approuvés Bloqué Lorsqu’il est défini sur Bloqué, le professionnel de l’informatique peut bloquer des URI Internet spécifiques.

Zones de sécurité CSP du programme d’installation d’application

L’accès au programme d’installation d’application aux zones de sécurité d’URL est contrôlé par le fournisseur csp DesktopAppinstaller. Si un programme d’installation d’application tente de charger une URL à partir d’une zone bloquée, l’utilisateur reçoit une erreur.

Cette image est identique à l’image d’erreur de zone de sécurité d’URL précédemment dans la page. Capture d’écran d’une erreur zone de sécurité d’URL. Le titre de la boîte de dialogue indique « Vos paramètres de sécurité Internet ont empêché l’ouverture de ce fichier ». Le texte d’explication ci-dessous indique « L’application que vous tentez d’accéder a été bloquée par votre administrateur ».

Les professionnels de l’informatique peuvent ajouter des sites à la zone Sites restreints ou approuvés à l’aide de policy-csp-Internetexplorer. Si une URL apparaît dans une zone bloquée, le programme d’installation de l’application bloque l’installation.