Defender Application Guard

Les paramètres de Microsoft Defender Application Guard (Application Guard) protègent votre organisation des attaques malveillantes en isolant dans un environnement de navigation distinct les sites non sécurisés définis par l'entreprise auxquels les utilisateurs peuvent accéder lors de leur navigation sur Internet.

Présentation d'Application Guard

Application Guard, une défense de noeud final basée sur le matériel, est un outil de sécurité intégré à Microsoft Edge. Application Guard isole les sites non sécurisés définis par une entreprise par rapport au PC de bureau (hôte) dans une machine virtuelle afin d'empêcher toute activité malveillante d'atteindre le PC de bureau. Cette fonction est prise en charge sur Windows 10 version 1709 et ultérieure. Pour plus d'informations sur Application Guard, voir https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-application-guard/md-app-guard-overview.

Fonctionnement d'Application Guard

Si un utilisateur visite un site non sécurisé via le navigateur, celui-ci ouvre ce site dans un conteneur Hyper-V isolé qui est distinct de la machine hôte. Si le site non sécurisé qui se trouve dans l'isolement de conteneur est un site malveillant, la machine hôte est protégée et l'attaquant ne peut pas accéder aux données de l'entreprise.

Navigateur avec Application Guard activé

Cette fonction est prise en charge sur les navigateurs Microsoft Edge . Si votre navigateur est en mode Application Guard, l'icône suivante apparaît dans sa barre d'outils :

Configuration matérielle requise pour l'exécution d'Application Guard

Pour pouvoir exécuter Application Guard dans votre environnement, vous devez disposer de la configuration matérielle suivante :

Matériel	Condition requise
UC 64 bits	4 coeurs (processeurs logiques) au minimum sont requis pour l'hyperviseur et la sécurité basée sur la virtualisation (VBS). Pour plus d'informations sur Hyper-V, voir https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/about/.
Extensions de virtualisation d'UC	Tables de page étendues (SLAT) et l'un des éléments suivants : VT-x (Intel) ou AMD- V
Mémoire matérielle	8 Go minimum
Disque dur	Disque SSD avec 5 Go d'espace disponible recommandé
Prise en charge IOMMU (Input/Output Memory Management Unit)	Pas obligatoire, mais recommandé

Configuration des paramètres Application Guard

Le tableau suivant décrit les paramètres Application Guard que vous pouvez configurer pour les appareils Windows.

Paramètre de stratégie	Description	Appareils pris en charge
Configurer Defender Application Guard	Si ce paramètre est activé, vous pouvez configurer des paramètres empêchant les utilisateurs d'accéder aux sites malveillants/non sécurisés en isolant ces sites dans un environnement de navigation distinct en vue d'empêcher les attaques malveillantes de se propager à la machine hôte.	Windows Professionnel, Éducation, Entreprise
Paramètres Defender Application Guard
Paramètres du presse-papiers	Indique le type de contenu que les utilisateurs peuvent copier de la machine hôte vers la session Application Guard. Activez les paramètres dans la section Comportement du presse-papiers pour spécifier le comportement du presse-papiers lorsque l'utilisateur se trouve dans le conteneur Application Guard. Un message s'affiche pour les utilisateurs s'ils tentent de copier un contenu non autorisé. Les paramètres incluent : Autoriser la copie de texte et d'image Autoriser la copie de texte Autoriser la copie d'image	Windows Professionnel, Éducation, Entreprise
Comportement du presse-papiers	Indique la façon dont le presse-papiers se comporte lorsque l'utilisateur se trouve dans le conteneur Application Guard. Un message s'affiche pour les utilisateurs s'ils tentent de copier un contenu non autorisé. Les paramètres incluent : Bloquer le copier-coller Autoriser la session isolée sur l'hôte: les utilisateurs peuvent copier certains contenus d'Application Guard dans Microsoft Edge. Autoriser l'hôte à une session isolée: les utilisateurs peuvent copier certains contenus de Microsoft Edge dans Application Guard. Remarque : cette action peut entraîner des risques de sécurité dans le conteneur Application Guard. Autoriser les deux directions: les utilisateurs peuvent copier certains contenus d'Application Guard dans Microsoft Edge et de Microsoft Edge dans Application Guard. Remarque : cette action peut entraîner des risques de sécurité dans le conteneur Application Guard.	Windows Professionnel, Éducation, Entreprise
Paramètres d'impression	Indique la façon dont la fonction d'impression se comporte lorsque l'utilisateur se trouve dans le conteneur Application Guard. Les paramètres incluent : Bloquer l'impression Autoriser l'impression XPS : permet à Application Guard d'utiliser le format de fichier XPS (XML Paper Specification) pour l'impression. Autoriser l'impression PDF : permet à Application Guard d'utiliser le format de fichier PDF pour l'impression. Autoriser l'impression PDF et XPS Autoriser l'impression locale : permet à Application Guard d'utiliser des imprimantes connectées localement pour l'impression. Autoriser l'impression locale et PDF Autoriser l'impression locale, PDF et XPS Autoriser l'impression réseau : permet à Application Guard d'utiliser des imprimantes réseau déjà connectées. Les utilisateurs ne peuvent pas rechercher d'autres imprimantes. Autoriser l'impression réseau et XPS Autoriser l'impression réseau et PDF Autoriser l'impression réseau, PDF et XPS Autoriser l'impression réseau et locale	Windows Professionnel, Éducation, Entreprise
Autoriser l'accès à la caméra et au microphone dans le conteneur	Si ce paramètre est activé, les applications du conteneur Application Guard peuvent accéder à la caméra et au micro d'un appareil si ces paramètres sont également activés sur l'appareil de l'utilisateur.	Windows Professionnel, Éducation, Entreprise
Autoriser la persistance des données utilisateur	Si ce paramètre est activé, les données sont conservées dans les différentes sessions du conteneur Application Guard. Application Guard sauvegarde les fichiers téléchargés par l'utilisateur et d'autres éléments (cookies, favoris) dans la barre d'outils du navigateur afin de les utiliser dans de futures sessions Application Guard. Pour maintenir la session Application Guard sécurisée et isolée de la machine hôte, les favoris qui sont stockés dans une session Application Guard ne sont pas copiés sur la machine hôte. Les fichiers qui sont téléchargés d'un conteneur Application Guard sont téléchargés dans C:\Users\wdagutilityaccount\Downloads. Si un script malveillant est masqué dans ce fichier, ce script ne peut pas accéder aux données d'entreprise sur la machine hôte. Réinitialisation du conteneur Application Guard Si vous bloquez ou désactivez la persistance des données, le fait de redémarrer un appareil ou de vous connecter et de vous déconnecter du conteneur isolé déclenche un événement de recyclage qui supprime toutes les données générées, y compris les cookies de session et les favoris, en supprimant les données d'Application Guard. Si vous activez la persistance des données, tous les artefacts générés par l'utilisateur sont conservés dans les événements de recyclage de conteneur. Toutefois, ces artefacts n'existent que dans le conteneur isolé et ne sont pas partagés avec la machine hôte. Ces données persistent après les redémarrages et les mises à niveau de Windows d'une version à l'autre. Si vous souhaitez arrêter la prise en charge de la persistance des données pour les utilisateurs, servez-vous de l'utilitaire ci-après fourni par Windows. Il vous permet de réinitialiser le conteneur et de supprimer les données personnelles. Pour réinitialiser le conteneur : Ouvrez un programme de ligne de commande et allez à Windows/System32. Tapez `wdagtool.exe cleanup`. L'environnement de conteneur est réinitialisé et ne contient plus que les données générées par l'utilisateur. Tapez `wdagtool.exe cleanup RESET_PERSISTENCE_LAYER`. L'environnement de conteneur est réinitialisé et toutes les données générées par l'utilisateur sont supprimées.	Windows Professionnel, Éducation, Entreprise
Autoriser le processeur graphique virtuel à traiter les graphiques	Si ce paramètre est activé, Application Guard peut utiliser le processeur graphique virtuel pour traiter les graphiques. Ce paramètre est pris en charge sur Windows 10 version 1803 et versions ultérieures. Application Guard utilise Hyper-V pour accéder au matériel graphique d'affichage haute sécurité qui est pris en charge. Application Guard aide les processeurs graphiques à améliorer les performances d'affichage et la durée de vie de batterie pour la diffusion de vidéos et d'autres cas d'utilisation à fort contenu graphique. Si vous activez ce paramètre sans connecter le matériel graphique d'affichage haute sécurité, Application Guard revient automatiquement à l'affichage basé sur les logiciels. Remarque : si les appareils ou les pilotes graphiques sont compromis, l'activation de ce paramètre peut représenter un risque pour l'appareil hôte.	Windows Professionnel, Éducation, Entreprise
Sauvegarder les fichiers téléchargés sur le système d'exploitation hôte	Si ce paramètre est activé, les utilisateurs peuvent télécharger des fichiers depuis leur conteneur Application Guard sur leur machine hôte. Ce paramètre est pris en charge sur Windows 10 version 1803 et versions ultérieures.	Windows Professionnel, Éducation, Entreprise
Bloquer le contenu autre que d'entreprise	Si ce paramètre est activé, il empêche les sites de charger du contenu non d'entreprise (contenu provenant de sites non dignes de confiance) dans Microsoft Edge et Internet Explorer. Ce paramètre est pris en charge sur Microsoft Edge sous Windows Enterprise ou Windows Education avec Microsoft Defender Application Guard en mode Entreprise.	Windows Éducation, Entreprise
Empreintes digitales de certificat	Permet de partager certains certificats racine de niveau appareil avec le conteneur Application Guard. Les certificats qui comportent une empreinte digitale correspondant aux certificats spécifiés sont transférés dans le conteneur. Pour plusieurs certificats, utilisez des virgules afin de séparer l'empreinte digitale pour chaque certificat que vous souhaitez transférer. Par exemple : `b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924` Ce paramètre prend en charge les versions suivantes : Windows 10 version 1803 et versions ultérieures Microsoft Edge sur Windows Enterprise ou Windows Education avec Microsoft Defender Application Guard en mode Entreprise	Windows Éducation, Entreprise