Créer une stratégie de contrôle d’application pour les appareils entièrement gérés
Remarque
Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.
Cette section décrit le processus de création d’une stratégie App Control for Business pour les appareils entièrement gérés au sein d’un organization. La principale différence entre ce scénario et les appareils gérés légèrement est que tous les logiciels déployés sur un appareil entièrement géré sont gérés par le service informatique et que les utilisateurs de l’appareil ne peuvent pas installer d’applications arbitraires. Dans l’idéal, toutes les applications sont déployées à l’aide d’une solution de distribution de logiciels, telle que Microsoft Intune. En outre, les utilisateurs sur des appareils entièrement gérés doivent idéalement s’exécuter en tant qu’utilisateur standard et seuls les professionnels de l’informatique autorisés disposent d’un accès administratif.
Remarque
Certaines des options App Control for Business décrites dans cette rubrique ne sont disponibles que sur Windows 10 version 1903 ou ultérieure, ou Windows 11. Lorsque vous utilisez cette rubrique pour planifier vos propres stratégies de contrôle d’application de organization, déterminez si vos clients gérés peuvent utiliser tout ou partie de ces fonctionnalités et évaluez l’impact des fonctionnalités qui peuvent être indisponibles sur vos clients. Vous devrez peut-être adapter ces conseils pour répondre aux besoins de votre organization spécifique.
Comme décrit dans les scénarios de déploiement d’App Control for Business courants, nous allons utiliser l’exemple de Lamna Healthcare Company (Lamna) pour illustrer ce scénario. Lamna tente d’adopter des stratégies d’application plus fortes, notamment l’utilisation d’App Control pour empêcher les applications indésirables ou non autorisées de s’exécuter sur leurs appareils gérés.
Alice Pena est la responsable de l’équipe informatique chargée du déploiement d’App Control.
Alice a précédemment créé une stratégie pour les appareils gérés légèrement par le organization. Toutefois, certains appareils sont gérés plus étroitement et peuvent bénéficier d’une stratégie plus limitée. En particulier, certaines fonctions de travail, telles que le personnel administratif et les employés de première ligne, ne disposent pas d’un accès de niveau administrateur à leurs appareils. De même, les bornes partagées sont configurées uniquement avec un ensemble managé d’applications et tous les utilisateurs de l’appareil, à l’exception du service informatique, s’exécutent en tant qu’utilisateur standard. Sur ces appareils, toutes les applications sont déployées et installées par le service informatique.
Définir le « cercle de confiance » pour les appareils entièrement gérés
Alice identifie les facteurs clés suivants pour arriver au « cercle de confiance » pour les appareils entièrement gérés de Lamna :
- Tous les clients exécutent Windows 10 version 1903 ou ultérieure ou Windows 11 ;
- Tous les clients sont gérés par Configuration Manager ou avec Intune ;
- La plupart des applications, mais pas toutes, sont déployées à l’aide de Configuration Manager ;
- Parfois, le personnel informatique installe des applications directement sur ces appareils sans utiliser Configuration Manager ;
- Tous les utilisateurs, à l’exception du service informatique, sont des utilisateurs standard sur ces appareils.
L’équipe d’Alice développe une application console simple, appelée LamnaITInstaller.exe, qui deviendra le moyen autorisé pour le personnel informatique d’installer des applications directement sur les appareils. LamnaITInstaller.exe permet au professionnel de l’informatique de lancer un autre processus, tel qu’un programme d’installation d’application. Alice configure LamnaITInstaller.exe en tant que programme d’installation managé supplémentaire pour App Control et lui permet de supprimer le besoin de règles de chemin de fichier.
Sur la base de ce qui précède, Alice définit les pseudo-règles pour la stratégie :
Règles « Windows works » qui autorisent :
- Windows
- WHQL (pilotes de noyau tiers)
- Applications signées du Windows Store
Les règles « ConfigMgr fonctionnent » qui incluent des règles de signataire et de hachage pour que les composants Configuration Manager fonctionnent correctement.
Autoriser le programme d’installation managé (Configuration Manager et LamnaITInstaller.exe configurés en tant que programme d’installation managé)
Les différences critiques entre cet ensemble de pseudo-règles et celles définies pour les appareils gérés légèrement par Lamna sont les suivantes :
- Suppression de l’option Isg (Intelligent Security Graph) ; et
- Suppression des règles de chemin de fichier.
Créer une stratégie de base personnalisée à l’aide d’un exemple de stratégie de base De contrôle d’application
Après avoir défini le « cercle de confiance », Alice est prête à générer la stratégie initiale pour les appareils entièrement gérés de Lamna et décide d’utiliser Configuration Manager pour créer la stratégie de base initiale, puis la personnaliser pour répondre aux besoins de Lamna.
Alice effectue ces étapes pour effectuer cette tâche :
Remarque
Si vous n’utilisez pas Configuration Manager ou si vous préférez utiliser un autre exemple de stratégie de base App Control for Business pour votre propre stratégie, passez à l’étape 2 et remplacez le chemin de stratégie Configuration Manager par votre exemple de stratégie de base préféré.
Utilisez Configuration Manager pour créer et déployer une stratégie d’audit sur un appareil client exécutant Windows 10 version 1903 ou ultérieure, ou Windows 11.
Sur l’appareil client, exécutez les commandes suivantes dans une session de Windows PowerShell avec élévation de privilèges pour initialiser des variables :
$PolicyPath=$env:userprofile+"\Desktop\" $PolicyName= "Lamna_FullyManagedClients_Audit" $LamnaPolicy=$PolicyPath+$PolicyName+".xml" $ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"
Copiez la stratégie créée par Configuration Manager sur le bureau :
cp $ConfigMgrPolicy $LamnaPolicy
Donnez à la nouvelle stratégie un ID unique, un nom descriptif et un numéro de version initiale :
Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"
Modifiez la stratégie copiée pour définir des règles de stratégie :
Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode Set-RuleOption -FilePath $LamnaPolicy -Option 6 # Unsigned Policy Set-RuleOption -FilePath $LamnaPolicy -Option 9 # Advanced Boot Menu Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer Set-RuleOption -FilePath $LamnaPolicy -Option 16 # No Reboot Set-RuleOption -FilePath $LamnaPolicy -Option 17 # Allow Supplemental Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security
Si nécessaire, ajoutez d’autres règles de signataire ou de fichier pour personnaliser davantage la stratégie pour votre organization.
Utilisez ConvertFrom-CIPolicy pour convertir la stratégie App Control for Business au format binaire :
[xml]$PolicyXML = Get-Content $LamnaPolicy $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip" ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin
Chargez votre code XML de stratégie de base et le fichier binaire associé vers une solution de contrôle de code source telle que GitHub ou une solution de gestion de documents comme Office 365 SharePoint.
À ce stade, Alice dispose désormais d’une stratégie initiale prête à être déployée en mode audit sur les clients managés dans Lamna.
Considérations relatives à la sécurité de cette stratégie entièrement managée
Alice a défini une stratégie pour les appareils entièrement gérés de Lamna, qui fait quelques compromis entre la sécurité et la facilité de gestion pour les applications. Voici quelques-uns des compromis :
Utilisateurs disposant d’un accès administratif
Bien que s’appliquant à moins d’utilisateurs, Lamna permet toujours à certains membres du personnel informatique de se connecter à ses appareils entièrement gérés en tant qu’administrateur. Ce privilège permet à ces utilisateurs (ou programmes malveillants s’exécutant avec les privilèges de l’utilisateur) de modifier ou de supprimer complètement la stratégie de contrôle d’application appliquée sur l’appareil. En outre, les administrateurs peuvent configurer n’importe quelle application qu’ils souhaitent utiliser en tant que programme d’installation managé qui leur permettrait d’obtenir une autorisation d’application persistante pour les applications ou les fichiers binaires qu’ils souhaitent.
Atténuations possibles :
- Utilisez des stratégies de contrôle d’application signées et la protection d’accès AU BIOS UEFI pour empêcher la falsification des stratégies de contrôle d’application.
- Créez et déployez des fichiers catalogue signés dans le cadre du processus de déploiement de l’application afin de supprimer la configuration requise pour le programme d’installation managé.
- Utilisez l’attestation d’appareil pour détecter l’état de configuration du contrôle d’application au démarrage et utilisez ces informations pour conditionner l’accès aux ressources d’entreprise sensibles.
Stratégies non signées
Les stratégies non signées peuvent être remplacées ou supprimées sans conséquence par tout processus exécuté en tant qu’administrateur. Les stratégies de base non signées qui activent également des stratégies supplémentaires peuvent avoir leur « cercle de confiance » modifié par n’importe quelle stratégie supplémentaire non signée.
Atténuations existantes appliquées :
- Limitez les personnes autorisées à être élevées en administrateur sur l’appareil.
Atténuations possibles :
- Utilisez des stratégies de contrôle d’application signées et la protection d’accès AU BIOS UEFI pour empêcher la falsification des stratégies de contrôle d’application.
Programme d’installation managé
Consultez considérations relatives à la sécurité avec le programme d’installation managé
Atténuations existantes appliquées :
- Limitez les personnes autorisées à être élevées en administrateur sur l’appareil.
Atténuations possibles :
- Créez et déployez des fichiers catalogue signés dans le cadre du processus de déploiement de l’application afin de supprimer la configuration requise pour le programme d’installation managé.
Stratégies supplémentaires
Les stratégies supplémentaires sont conçues pour assouplir la stratégie de base associée. En outre, l’autorisation des stratégies non signées permet à tout processus administrateur d’étendre le « cercle de confiance » défini par la stratégie de base sans restriction.
Atténuations possibles :
- Utilisez des stratégies de contrôle d’application signées qui autorisent uniquement les stratégies supplémentaires signées autorisées.
- Utilisez une stratégie de mode d’audit restrictive pour auditer l’utilisation des applications et augmenter la détection des vulnérabilités.