Autoriser des applications dignes de confiance avec Intelligent Security Graph (ISG)

• S’applique à:

  ✅ Windows 11, ✅ Windows 10

Remarque

Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.

App Control peut être difficile à implémenter dans les organisations qui ne déploient pas et ne gèrent pas d’applications via un système géré par l’informatique. Dans ces environnements, les utilisateurs peuvent acquérir les applications qu’ils souhaitent utiliser pour travailler, ce qui complique la création d’une stratégie De contrôle d’application efficace.

Pour réduire les frictions des utilisateurs finaux et les appels au support technique, vous pouvez définir App Control for Business pour autoriser automatiquement les applications que Microsoft Intelligent Security Graph (ISG) reconnaît comme ayant une bonne réputation connue. L’option ISG permet aux organisations de commencer à implémenter le contrôle d’application même lorsque le organization a un contrôle limité sur leur écosystème d’applications. Pour en savoir plus sur l’ISG, consultez la section Sécurité dans Principaux services et fonctionnalités dans Microsoft Graph.

Warning

Les fichiers binaires essentiels au démarrage du système doivent être autorisés à l’aide de règles explicites dans votre stratégie De contrôle d’application. Ne vous fiez pas à l’ISG pour autoriser ces fichiers.

L’option ISG n’est pas recommandée pour autoriser les applications critiques pour l’entreprise. Vous devez toujours autoriser les applications critiques pour l’entreprise à l’aide de règles d’autorisation explicites ou en les installant avec un programme d’installation géré.

Comment app Control fonctionne-t-il avec l’ISG ?

L’ISG n’est pas une « liste » d’applications. Au lieu de cela, il utilise la même vaste intelligence de sécurité et l’analytique machine learning qui alimentent Microsoft Defender SmartScreen et Microsoft Defender Antivirus pour aider à classer les applications comme ayant une réputation « connue bonne », « mauvaise connue » ou « inconnue ». Cette IA basée sur le cloud est basée sur des milliards de signaux collectés à partir de points de terminaison Windows et d’autres sources de données, et traités toutes les 24 heures. Par conséquent, la décision du cloud peut changer.

Le contrôle d’application vérifie uniquement l’ISG pour les fichiers binaires qui ne sont pas explicitement autorisés ou refusés par votre stratégie et qui n’ont pas été installés par un programme d’installation géré. Lorsqu’un tel fichier binaire s’exécute sur un système avec App Control activé avec l’option ISG, App Control case activée la réputation du fichier en envoyant ses informations de hachage et de signature au cloud. Si l’ISG signale que le fichier a une réputation « connue bonne », le fichier est autorisé à s’exécuter. Dans le cas contraire, elle sera bloquée par le contrôle d’application.

Si le fichier ayant une bonne réputation est un programme d’installation d’application, la réputation du programme d’installation est passée à tous les fichiers qu’il écrit sur le disque. De cette façon, tous les fichiers nécessaires à l’installation et à l’exécution d’une application héritent des données de réputation positive du programme d’installation. Les fichiers autorisés en fonction de la réputation du programme d’installation ont le $KERNEL. SMARTLOCKER. ORIGINCLAIM kernel Extended Attribute (EA) écrit dans le fichier.

App Control réexécuter régulièrement les données de réputation sur un fichier. En outre, les entreprises peuvent spécifier que tous les résultats de réputation mis en cache sont vidés au redémarrage à l’aide de l’option Enabled :Invalidate EAs on Reboot .

Configuration de l’autorisation ISG pour votre stratégie App Control

La configuration de l’ISG est facile à l’aide de la solution de gestion que vous souhaitez. La configuration de l’option ISG implique les étapes de base suivantes :

• Vérifiez que l’option d’autorisation Enabled :Intelligent Security Graph est définie dans le code XML de stratégie De contrôle d’application
• Activer les services nécessaires pour permettre au contrôle d’application d’utiliser correctement l’ISG sur le client

Vérifiez que l’option ISG est définie dans le code XML de stratégie De contrôle d’application

Pour autoriser les applications et les fichiers binaires basés sur Microsoft Intelligent Security Graph, l’option d’autorisation Enabled :Intelligent Security Graph doit être spécifiée dans la stratégie De contrôle d’application. Cette étape peut être effectuée avec l’applet de commande Set-RuleOption. Vous devez également définir l’option Enabled :Invalidate EAs on Reboot afin que les résultats ISG soient à nouveau vérifiés après chaque redémarrage. L’option ISG n’est pas recommandée pour les appareils qui n’ont pas d’accès régulier à Internet. L’exemple suivant montre les deux options définies.

<Rules>
    <Rule>
      <Option>Enabled:Unsigned System Integrity Policy</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Advanced Boot Options Menu</Option>
    </Rule>
    <Rule>
      <Option>Required:Enforce Store Applications</Option>
    </Rule>
    <Rule>
      <Option>Enabled:UMCI</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Managed Installer</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Intelligent Security Graph Authorization</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Invalidate EAs on Reboot</Option>
    </Rule>
</Rules>

Activer les services nécessaires pour permettre au contrôle d’application d’utiliser correctement l’ISG sur le client

Pour que l’heuristique utilisée par l’ISG fonctionne correctement, d’autres composants de Windows doivent être activés. Vous pouvez configurer ces composants en exécutant l’exécutable appidtel dans c:\windows\system32.

appidtel start

Cette étape n’est pas obligatoire pour les stratégies App Control déployées sur GPM, car le fournisseur de solutions Cloud activera les composants nécessaires. Cette étape n’est pas non plus nécessaire lorsque l’ISG est configuré à l’aide de l’intégration app Control de Configuration Manager.

Considérations relatives à la sécurité avec l’option ISG

Étant donné que l’ISG est un mécanisme heuristique, il ne fournit pas les mêmes garanties de sécurité que les règles d’autorisation ou de refus explicites. Il convient mieux aux utilisateurs qui opèrent avec des droits d’utilisateur standard et à l’endroit où une solution de surveillance de la sécurité comme Microsoft Defender pour point de terminaison est utilisée.

Les processus exécutés avec des privilèges de noyau peuvent contourner le contrôle d’application en définissant l’attribut de fichier étendu ISG pour qu’un fichier binaire semble avoir une bonne réputation connue.

En outre, étant donné que l’option ISG transmet la réputation des programmes d’installation d’applications aux fichiers binaires qu’ils écrivent sur le disque, elle peut sur-autoriser les fichiers dans certains cas. Par exemple, si le programme d’installation lance l’application à l’achèvement, tous les fichiers que l’application écrit pendant cette première exécution seront également autorisés.

Limitations connues de l’utilisation de l’ISG

Étant donné que l’ISG autorise uniquement les fichiers binaires « connus », il peut arriver que l’ISG ne puisse pas prédire si les logiciels légitimes peuvent être exécutés en toute sécurité. Si cela se produit, le logiciel est bloqué par Le contrôle d’application. Dans ce cas, vous devez autoriser le logiciel avec une règle dans votre stratégie App Control, déployer un catalogue signé par un certificat approuvé dans la stratégie App Control ou installer le logiciel à partir d’un programme d’installation géré par App Control. Les programmes d’installation ou les applications qui créent dynamiquement des fichiers binaires au moment de l’exécution et les applications à mise à jour automatique peuvent présenter ce symptôme.

Les applications empaquetées ne sont pas prises en charge avec l’ISG et doivent être autorisées séparément dans votre stratégie App Control. Étant donné que les applications empaquetées ont une identité d’application forte et doivent être signées, il est simple d’autoriser les applications empaquetées avec votre stratégie App Control.

L’ISG n’autorise pas les pilotes en mode noyau. La stratégie App Control doit avoir des règles qui autorisent l’exécution des pilotes nécessaires.

Remarque

Une règle qui refuse explicitement ou autorise un fichier est prioritaire sur les données de réputation de ce fichier. Microsoft Intune prise en charge du contrôle d’application intégré inclut la possibilité d’approuver les applications ayant une bonne réputation via l’ISG, mais il n’a pas la possibilité d’ajouter des règles d’autorisation ou de refus explicites. Dans la plupart des cas, les clients qui utilisent App Control devront déployer une stratégie de contrôle d’application personnalisée (qui peut inclure l’option ISG si nécessaire) à l’aide de la fonctionnalité OMA-URI de Intune.