Partager via


Comprendre les décisions de conception de stratégie App Control for Business

Remarque

Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.

Cet article s’adresse aux professionnels de l’informatique. Il répertorie les questions de conception, les réponses possibles et les conséquences pour les décisions prises, lors de la planification du déploiement de stratégies App Control à l’aide d’App Control for Business, dans un environnement de système d’exploitation Windows.

Lorsque vous commencez le processus de conception et de planification, vous devez prendre en compte les conséquences de vos choix de conception. Les décisions qui en résultent affectent votre schéma de déploiement de stratégie et la maintenance de la stratégie App Control ultérieure.

Vous devez envisager d’utiliser App Control for Business dans le cadre des stratégies App Control de votre organization si les conditions suivantes sont remplies :

  • Vous avez déployé ou envisagez de déployer les versions prises en charge de Windows dans votre organization.
  • Vous avez besoin d’un contrôle amélioré sur l’accès aux applications de votre organization et aux données auxquelles vos utilisateurs accèdent.
  • Votre organization dispose d’un processus bien défini pour la gestion et le déploiement des applications.
  • Vous disposez de ressources pour tester les stratégies par rapport aux exigences de l’organization.
  • Vous disposez de ressources pour impliquer le support technique ou créer un processus d’assistance autonome pour les problèmes d’accès aux applications des utilisateurs finaux.
  • Les exigences du groupe en matière de productivité, de facilité de gestion et de sécurité peuvent être contrôlées par des stratégies restrictives.

Décider des stratégies à créer

À compter de Windows 10 version 1903, App Control for Business permet d’appliquer plusieurs stratégies simultanées à chaque appareil. Cette application simultanée ouvre de nombreux nouveaux cas d’usage pour les organisations, mais votre gestion des stratégies peut facilement devenir difficile à gérer sans un plan bien pensé pour le nombre et les types de stratégies à créer.

La première étape consiste à définir le « cercle de confiance » souhaité pour vos stratégies App Control. Par « cercle de confiance », nous entendons une description de l’intention commerciale de la politique exprimée en langage naturel. Cette définition de « cercle de confiance » vous guidera lors de la création des règles de stratégie réelles pour votre code XML de stratégie.

Par exemple, la stratégie DefaultWindows, qui se trouve sous %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies, établit un « cercle de confiance » qui autorise Windows, les pilotes matériels et logiciels tiers et les applications à partir du Microsoft Store.

Configuration Manager utilise la stratégie DefaultWindows comme base de sa stratégie, mais modifie ensuite les règles de stratégie pour autoriser Configuration Manager et ses dépendances, définit la règle de stratégie d’installation managée et configure également Configuration Manager en tant que programme d’installation managé. Il peut également autoriser les applications ayant une réputation positive et effectuer une analyse unique des chemins d’accès aux dossiers spécifiés par l’administrateur Configuration Manager, ce qui ajoute des règles pour toutes les applications trouvées dans les chemins spécifiés sur le point de terminaison managé. Ce processus établit le « cercle de confiance » pour l’intégration native d’App Control de Configuration Manager.

Les questions suivantes peuvent vous aider à planifier votre déploiement App Control for Business et à déterminer le « cercle de confiance » approprié pour vos stratégies. Ils ne sont pas dans l’ordre de priorité ou séquentiel, et ne sont pas destinés à être un ensemble exhaustif de considérations de conception.

Considérations relatives à la conception du contrôle d’application

Comment les applications sont-elles gérées et déployées dans votre organization ?

Les organisations avec des processus de gestion et de déploiement d’applications bien définis et gérés de manière centralisée peuvent créer des stratégies plus restrictives et plus sécurisées. D’autres organisations peuvent être en mesure de déployer App Control for Business avec des règles plus souples, ou peuvent choisir de déployer App Control en mode audit pour obtenir une meilleure visibilité des applications utilisées dans leur organization.

Réponses possibles Considérations relatives à la conception
Toutes les applications sont gérées et déployées de manière centralisée à l’aide d’outils de gestion des points de terminaison comme Microsoft Intune. Les organisations qui gèrent de manière centralisée toutes les applications sont les mieux adaptées au contrôle d’application. Les options App Control for Business telles que le programme d’installation managé peuvent faciliter l’autorisation des applications déployées par la solution de gestion de la distribution d’applications de l’organization.
Certaines applications sont gérées et déployées de manière centralisée, mais les équipes peuvent installer d’autres applications pour leurs membres. Des stratégies supplémentaires peuvent être utilisées pour autoriser des exceptions spécifiques à l’équipe à votre stratégie de contrôle d’application principale organization pour l’entreprise. Les équipes peuvent également utiliser des programmes d’installation managés pour installer leurs applications spécifiques à l’équipe, ou des règles de chemin d’accès aux fichiers administrateur uniquement peuvent être utilisées pour autoriser les applications installées par les utilisateurs administrateurs.
Les utilisateurs et les équipes sont libres de télécharger et d’installer des applications, mais le organization souhaite limiter ce droit aux applications répandues et dignes de confiance uniquement. App Control for Business peut s’intégrer à Intelligent Security Graph de Microsoft (la même source d’intelligence que celle qui alimente Microsoft Defender Antivirus et Windows Defender SmartScreen) pour autoriser uniquement les applications et les fichiers binaires qui ont une réputation positive.
Les utilisateurs et les équipes sont libres de télécharger et d’installer des applications sans restriction. Les stratégies App Control for Business peuvent être déployées en mode audit pour obtenir des informations sur les applications et les fichiers binaires en cours d’exécution dans votre organization sans affecter la productivité des utilisateurs et des équipes.

Les applications métier développées en interne et les applications développées par des sociétés tierces sont-elles signées numériquement ?

Les applications Win32 traditionnelles sur Windows peuvent s’exécuter sans être signées numériquement. Cette pratique peut exposer des appareils Windows à du code malveillant ou falsifié et présente une vulnérabilité de sécurité à vos appareils Windows. L’adoption de la signature de code dans le cadre des pratiques de développement d’applications de votre organization ou l’augmentation des applications avec des fichiers catalogue signés dans le cadre de l’ingestion et de la distribution de vos applications peuvent considérablement améliorer l’intégrité et la sécurité des applications utilisées.

Réponses possibles Considérations relatives à la conception
Toutes les applications utilisées dans votre organization doivent être signées. Les organisations qui appliquent la signature de code pour tout le code exécutable sont les mieux placées pour protéger leurs ordinateurs Windows contre l’exécution de code malveillant. Les règles App Control for Business peuvent être créées pour autoriser les applications et les fichiers binaires des équipes de développement internes de l’organization et des éditeurs de logiciels indépendants (ISV) approuvés.
Les applications utilisées dans votre organization n’ont pas besoin de répondre à des exigences de codesigning. Les organisations peuvent utiliser des outils Windows intégrés pour ajouter des signatures de catalogue d’applications spécifiques à des organization à des applications existantes dans le cadre du processus de déploiement d’application, qui peut être utilisé pour autoriser l’exécution du code. Des solutions telles que Microsoft Intune offrent plusieurs façons de distribuer des catalogues d’applications signés.

Existe-t-il des groupes spécifiques dans votre organization qui nécessitent des stratégies de contrôle d’application personnalisées ?

La plupart des équipes ou services métier ont des exigences de sécurité spécifiques relatives à l’accès aux données et aux applications utilisées pour accéder à ces données. Tenez compte de l’étendue du projet pour chaque groupe et des priorités du groupe avant de déployer des stratégies App Control pour l’ensemble du organization. La gestion des stratégies entraîne une surcharge qui peut vous amener à choisir entre des stratégies larges organization et plusieurs stratégies spécifiques à l’équipe.

Réponses possibles Considérations relatives à la conception
Oui Les stratégies App Control peuvent être créées uniques par équipe, ou des stratégies supplémentaires spécifiques à l’équipe peuvent être utilisées pour développer ce qui est autorisé par une stratégie de base commune et centralisée.
Non Les stratégies De contrôle d’application peuvent être appliquées globalement aux applications installées sur des PC exécutant Windows 10 et Windows 11. Selon le nombre d’applications que vous devez contrôler, la gestion de toutes les règles et exceptions peut être difficile.

Votre service informatique dispose-t-il de ressources pour analyser l’utilisation des applications et concevoir et gérer les stratégies ?

Le temps et les ressources dont vous disposez pour effectuer la recherche et l’analyse peuvent affecter les détails de votre plan et de vos processus de gestion et de maintenance des stratégies.

Réponses possibles Considérations relatives à la conception
Oui Prenez le temps d’analyser les exigences de contrôle d’application de votre organization et planifiez un déploiement complet qui utilise des règles construites le plus possible.
Non Envisagez un déploiement ciblé et échelonné pour des groupes spécifiques à l’aide de quelques règles. Lorsque vous appliquez des contrôles à des applications d’un groupe spécifique, découvrez ce déploiement pour planifier votre prochain déploiement. Vous pouvez également créer une stratégie avec un profil d’approbation large pour autoriser autant d’applications que possible.

Votre organization dispose-t-il du support technique ?

Empêcher vos utilisateurs d’accéder à des applications connues, déployées ou personnelles entraîne initialement une augmentation du support des utilisateurs finaux. Il sera nécessaire de résoudre les différents problèmes de support dans votre organization afin que les stratégies de sécurité soient suivies et que le flux de travail métier ne soit pas entravé.

Réponses possibles Considérations relatives à la conception
Oui Impliquez le service de support au début de la phase de planification, car vos utilisateurs peuvent être bloqués par inadvertance pour utiliser leurs applications, ou ils peuvent rechercher des exceptions pour utiliser des applications spécifiques.
Non Consacrez du temps au développement de processus de support en ligne et à la documentation avant le déploiement.