IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Windows 10 20H2 : Microsoft lance une version Public Preview de Defender Application Guard pour Office
Une fonction d'isolation exploitant un conteneur compatible Hyper-V pour plus de sécurité

Le , par Stéphane le calme
370 commentaires

441PARTAGES

5  0 
John Barbare, Senior Customer Engineer chez Microsoft, a indiqué l'arrivée d'une future version de Microsoft Defender Application Guard pour Office disponible en Limited Preview pour Windows 10 20H2. Windows 10 20H2 est désormais maintenant disponible pour les clients commerciaux afin qu'ils puissent commencer l'exploration et la validation des fonctionnalités avant une publication en disponibilité générale.

Voici les Prérequis pour une utilisation de Microsoft Defender Application Guard :
  • Exigences matérielles :
    • Un ordinateur 64 bits avec un minimum de 4 cœurs (processeurs logiques) est requis pour l'hyperviseur et la sécurité basée sur la virtualisation (VBS).
    • Des extensions de virtualisation du processeur - Tables de pages étendues, également appelées Second Level Address Translation (SLAT) et l'une des extensions de virtualisation suivantes pour VBS : VT-x (Intel) ou AMD-V
    • 8 Go de RAM minimum
    • 5 Go d'espace libre, disque SSD (Solid State Disk) recommandé pour l'espace disque dur
  • Exigences logicielles :
    • Système d'exploitation - Windows 10 Enterprise Edition, version 1709 ou supérieure
    • Windows 10 Professional Edition, version 1803 ou supérieure
    • Windows 10 Professionnel pour les stations de travail édition, version 1803 ou supérieure
    • Windows 10 Professional Education Edition version 1803 ou supérieure
    • Édition Windows 10 Education, version 1903 ou supérieure
    • Navigateur - Toute variante de Microsoft Edge et Internet Explorer

Microsoft Defender Application Guard propose une fonction d'isolation exploitant un conteneur compatible Hyper-V. Le conteneur utilise une machine virtuelle (VM) légère qui résiste aux attaques du noyau et s'exécute sur un noyau distinct de l'hôte. Il existe deux types de modes: le mode de gestion d'entreprise et le mode autonome. En mode de gestion d'entreprise, l'administrateur définit les sites de confiance via des objets de stratégie de groupe, Microsoft Intune, Microsoft Endpoint Configuration Manager ou votre solution actuelle de gestion des appareils mobiles. Les sites non approuvés se lancent dans le conteneur Hyper-V isolé donnant à l'utilisateur une session de navigation gratuite malveillante.

Microsoft Defender Application Guard a été créé pour cibler les types de systèmes suivants:
  • Ordinateurs de bureau et portables d'entreprise : joint au domaine et géré par votre organisation.
  • Les stratégies BYOD (abréviation de l’anglais « bring your own device », en français, PAP pour « prenez vos appareils personnels » ou AVEC pour « apportez votre équipement personnel de communication » qui désigne une pratique qui consiste à utiliser ses équipements personnels (smartphone, ordinateur portable, tablette électronique) dans un contexte professionnel) : les ordinateurs portables personnels ne sont pas joints à un domaine, mais sont gérés par votre organisation via des outils, tels que Microsoft Intune.
  • Les appareils personnels : les ordinateurs de bureau ou les ordinateurs portables mobiles personnels ne sont pas joints au domaine ni gérés par une organisation. L'utilisateur est un administrateur de l'appareil et utilise un réseau personnel sans fil à large bande passante à la maison ou un réseau public comparable à l'extérieur.

En mode autonome, les utilisateurs peuvent utiliser des sessions de navigation isolées du matériel sans configuration d'administrateur ou de stratégie de gestion. Dans ce mode, vous devez installer Microsoft Defender Application Guard, puis l'utilisateur doit démarrer manuellement Microsoft Defender Application Guard lors de la navigation sur des sites approuvés / non approuvés. John Barbare indique qu'il ne recommande généralement pas le mode autonome aux clients car il permet à l'utilisateur de décider s'il souhaite utiliser une session Microsoft Defender Application Guard ou ne pas l'utiliser. Ensuite, l'utilisateur peut autoriser toute action (bonne ou mauvaise) qui pourrait entraîner un comportement malveillant.

Voici un diagramme des contrôles configurables pour les sessions Microsoft Defender Application Guard:


Microsoft Defender Application Guard sur Chrome et Firefox

En parcourant le web, vous avez déjà fait l’expérience de cliquer sur un lien pour atterrir sur une page qui n’a rien à voir avec le contenu auquel vous vous attendiez. Lorsqu’il s’agit de pages publicitaires par exemple, il est facile de revenir au point initial et continuer son périple sur la toile sans dommages. Par contre, lorsque c’est une page contenant un programme malveillant qui s’affiche, le premier réflexe est de fermer cette page pour ne pas infecter le système hôte.

Pour régler ce problème de liens redirigeant les internautes vers des pages web infectées, de nombreux navigateurs ont intégré en leur sein des alertes qui avertissent les utilisateurs lorsqu'ils sont sur le point de visiter une page web infectée, ou de télécharger un programme présentant des risques d’infection.

S’appuyant sur ces outils, Microsoft a annoncé une nouvelle extension pour Chrome et Firefox afin d’empêcher l’ouverture involontaire des sites malveillants par les utilisateurs. Microsoft a expliqué que l’extension Windows Defender Application Guard protège votre appareil contre les attaques avancées en redirigeant les sites Web non fiables vers une version isolée du navigateur Microsoft Edge. En utilisant une approche d’isolation unique basée sur le matériel, Application Guard ouvre des sites Web non fiables à l’intérieur d’un conteneur léger, séparé du système d’exploitation via la technologie de virtualisation Hyper-V. Si un site Web non approuvé s’avère malveillant, il reste dans le conteneur sécurisé d’Application Guard, protégeant ainsi le périphérique et vos données d’entreprise. Cette extension garantit que les sites Web non fiables s’ouvrent en toute sécurité dans l’environnement isolé d’Application Guard, tandis que les sites Web de confiance, définis par votre stratégie informatique et votre administrateur d’entreprise, continuent de s’ouvrir dans ce navigateur. Si un site web n’est pas fiable, vous pouvez utiliser cette extension pour l’ouvrir manuellement dans une session Application Guard isolée.

Microsoft Defender Application Guard pour Office

Les menaces sur internet sont larges, allant des attaques de phishing aux contenus malveillants. Divers autres vecteurs d'attaque, qui incluent des emplacements potentiellement dangereux, peuvent contenir des virus, des vers ou d'autres types de logiciels malveillants qui peuvent endommager votre ordinateur et / ou vos données sensibles. C'est ici que Microsoft Defender Application Guard intervient pour vous offrir une deuxième barrière afin de vous protéger contre ces attaques. Microsoft Office ouvrira des fichiers à partir d'emplacements potentiellement dangereux dans Microsoft Defender Application Guard, un conteneur sécurisé, isolé de l'appareil via la virtualisation matérielle. Lorsque Microsoft Office ouvre des fichiers dans Microsoft Defender Application Guard, un utilisateur peut ensuite lire, modifier, imprimer et enregistrer les fichiers en toute sécurité sans avoir à rouvrir les fichiers en dehors du conteneur.

Voici les conditions préalables pour Microsoft Defender Application Guard pour Office :
  • Configuration matérielle minimale :
    • Processeur: 64 bits, 4 cœurs (physiques ou virtuels), extensions de virtualisation (Intel VT-x OU AMD-V), équivalent Core i5 ou supérieur recommandé
    • Mémoire physique: 8 Go de RAM
    • Disque dur: 10 Go d'espace libre sur le lecteur système (SSD recommandé)
  • Configuration logicielle minimale :
    • Windows 10: Windows 10 Enterprise Edition, Client Build version 2004 (20H1) build 19041
    • Office: Office Beta Channel Build version 2008 16.0.13212 ou version ultérieure
    • Package de mise à jour: mises à jour de sécurité mensuelles cumulatives Windows 10 KB4566782

Les paramètres de Microsoft Defender Application Guard pour Office comportent des contrôles supplémentaires que vous pouvez définir comme illustré ci-dessous. Les fichiers Office pris en charge incluent Excel pour Microsoft 365, Word pour Microsoft 365 et PowerPoint pour Microsoft 365.


Vous pouvez définir vos configurations par exemple pour autoriser l'utilisateur à modifier les paramètres après l'ouverture du fichier ou ne lui accorder aucun privilège.

Si votre administrateur a activé Safe Documents, le fichier sera vérifié par le service Microsoft Defender Advanced Threat Protection pour déterminer s'il est malveillant avant d'être ouvert en dehors de Microsoft Defender Application Guard.

Office utilisera automatiquement Microsoft Defender Application Guard pour isoler les documents non approuvés dans les conditions suivantes:
  • Microsoft Defender Application Guard est activé dans Windows. Cela peut être activé soit par un administrateur de déploiement de stratégie, soit par l'utilisateur.
  • L'utilisateur utilise Microsoft 365 Apps pour les entreprises clients.
  • L'utilisateur connecté à Office dispose d'une licence pour Microsoft Defender Application Guard. Microsoft Defender Application Guard pour Office nécessitera une licence de sécurité Microsoft 365 E5 ou Microsoft 365 E5.

Si l'une de ces conditions n'est pas remplie, Office utilisera la vue protégée pour isoler les documents non approuvés.

John Barbare indique que « Mon intérêt pour Microsoft Defender Application Guard est venu de la démo, puis du déploiement sur plusieurs grands clients l'année dernière en raison d'un grand intérêt des attaquants développant de nouvelles techniques pour briser les réseaux à grande échelle et compromettre les stations de travail. Les schémas de phishing restant l'un des meilleurs moyens de duper les utilisateurs dans des attaques d'ingénierie sociale, Microsoft Defender Application Guard est conçu pour empêcher de manière proactive plusieurs types d'attaques. Lorsque Microsoft a étendu Microsoft Defender Application Guard à Office, cela a encore réduit la réduction globale de la surface d'attaque tout en augmentant la productivité des employés ».

Dans un billet de blog, il a proposé une démo.

Source : Microsoft

Voir aussi :

Les thèmes de Windows 10 peuvent être utilisés abusivement pour voler les mots de passe de compte Windows, selon un chercheur en sécurité
Seuls 3 % des développeurs Ruby on Rails travaillent sur Windows selon un sondage. Le développeur typique de Rails est autodidacte, travaille avec Rails depuis 4 à 7 ans et le fait à distance
Microsoft déclare qu'il ne permettra pas de désactiver Windows Defender via le registre pour prendre en charge une fonctionnalité de sécurité appelée "Tamper Protection

Une erreur dans cette actualité ? Signalez-nous-la !

370 commentaires
Commenter Signaler un problème
AndMax
Avatar de AndMax
Membre éprouvé https://www.developpez.com
Le 22/12/2023 à 8:01
"mais l'arrêt du support de Windows 10 pourrait empêcher des centaines de millions d'appareils d'avoir une seconde vie"
Archi faux... c'est presque à la limite de la fake news. Il suffit de mettre autre chose que Windows dessus. Il y a des OS plus rapides, qui ne gaspillent pas les ressources de la machine et qui vous permettent d'être beaucoup plus productif, le tout sans jamais vous afficher les écrans bleus qui demandent longuement de patienter pour le Windows Update avec des billes qui tournent.

Il faut vraiment arrêter de considérer Microsoft Windows comme la seule solution alors que pour la majorité des usages, c'est le pire des choix même sur un PC récent.
18  1 
sergio_is_back
Avatar de sergio_is_back
Expert éminent https://www.developpez.com
Le 22/12/2023 à 8:59
Citation Envoyé par AndMax Voir le message
Archi faux... c'est presque à la limite de la fake news. Il suffit de mettre autre chose que Windows dessus. Il y a des OS plus rapides, qui ne gaspillent pas les ressources de la machine et qui vous permettent d'être beaucoup plus productif, le tout sans jamais vous afficher les écrans bleus qui demandent longuement de patienter pour le Windows Update avec des billes qui tournent.

Il faut vraiment arrêter de considérer Microsoft Windows comme la seule solution alors que pour la majorité des usages, c'est le pire des choix même sur un PC récent.
Oui une bonne partie peuvent être recyclés avec une bonne Distro Linux
Quand je vois l'usage que certains, même au bureau, font d'un ordi pas besoin de Windows
Perso je réfléchi à me passer totalement de Windows dans un avenir à moyen terme
Juste conserver des machines virtuelles pour les développements de mes clients, mais m'en passer pour toutes les autres tâches
14  0 
Drekstop
Avatar de Drekstop
Membre à l'essai https://www.developpez.com
Le 22/12/2023 à 7:19
Linux : "Am I a joke for you ?" 😅
7  0 
curt
Avatar de curt
Membre émérite https://www.developpez.com
Le 22/12/2023 à 10:02
L'installation de W11 est possible, même sur un poste déclaré incompatible... 2 clés de registres à modifier à l'instal et ça passe.
Ce qui reste tout de même agaçant, c'est que MICROSOFT se targue du message "ECOLO" dans la la rubrique WINDOWS UPDATE du même W11.

Au final, il faut
- changer de véhicule parce que ça pollue
- changer de PC parce W11 ne tourne pas dessus
- changer de régime alimentaire parce les vaches pètent
- changer notre mode de vie parce que la planète bleue voit rouge
- etc...

Vivement le retour dans les cavernes ..... et Joyeux Noël et Bonnes fin de fin d'année à tous malgré ça
6  0 
emilie77
Avatar de emilie77
Membre éprouvé https://www.developpez.com
Le 16/10/2024 à 14:20
Personnellement, il n'y a rien dans W11 que je ne puisse déjà faire dans W7/10
6  0 
Hariom
Avatar de Hariom
Membre du Club https://www.developpez.com
Le 02/10/2020 à 14:27
C'est pas trop tôt pour le correctif de explorer.exe qui crash inopinément depuis le début de W10
5  0 
earhater
Avatar de earhater
Membre éprouvé https://www.developpez.com
Le 25/05/2021 à 22:18
Bonjour ! J'utilise WSL au quotidien et c'est un super outil. Je suis très intéressé par la prise en charge de ces applications graphiques nativement (j'utilise x410 aujourd'hui pour lancer par exemple mon IDE depuis linux). J'ai regardé la vidéo en source de cet article, il consiste simplement à faire un "wsl --update" et "sudo apt-get install gedit && gedit" depuis linux. Malheureusement déjà pour moi "wsl --update" n'est pas pris en charge. En regardant sur le github de WSL j'ai trouvé le moyen de télécharger le dernier kernel manuellement et de l'appliquer. Malheureusement une fois que je lance gedit il ne trouve pas de gestionnaire de fenêtre "cannot open display". Quelqu'un a-t-il plus d'infos ou a réussi à le faire fonctionner ? Cette MAJ est-t-elle déjà dispo pour tout le monde ?

EDIT: j'ai trouvé la réponse ici. Cette MAJ est disponible pour le build "build 21364" quand la version grand publique est "19042". Ce n'est donc pas disponible sans passer par le canal beta windows insider
5  0 
vicolachips44
Avatar de vicolachips44
Futur Membre du Club https://www.developpez.com
Le 28/05/2021 à 5:34
"Microsoft en a surpris plus d'un dans la communauté des développeurs Linux ces dernières années."
Surprenant de commencer l'article par une telle affirmation ou alors il faudrait préciser ce qu'est un développeur Linux ?

Développeur WEB aurait été plus approprié selon moi.

Microsoft a une stratégie commerciale basique qui consiste à croître et engranger plus de profits
et donc à tenter de prendre des parts de marché là où il en reste encore et de ce point de vue, on peut
dire que c'est une belle réussite.

Non, la disponibilité de WSL2 n'est pas du tout une raison valable de faire passer tous les serveurs
sous Windows xD!
5  0 
archqt
Avatar de archqt
Membre émérite https://www.developpez.com
Le 23/12/2023 à 18:38
La Chine a fait une distribution linux qui reprend tout le thème de windows, voire même (à vérifier) le nom des applications . Pour ceux qui ne peuvent changer d'OS cela devrait aider à faire passer la pilule.
5  0 
Prox_13
Avatar de Prox_13
Membre éprouvé https://www.developpez.com
Le 16/10/2024 à 14:15
Citation Envoyé par forthx Voir le message
J'ai envie de dire que c'est une bonne nouvelle :
On ne va plus être ennuyé avec des mise a jours automatique susceptibles de "casser" notre machine
On va trouver plein de pc occasion pas cher pour installer autre chose que windows

J'ai brické une machine Windows en désinstallant le Windows Store; Le Store me téléchargeait 100Go de jeux non utilisés et supposément désinstallés sans arrêt, alors je l'ai simplement effacé.
Au relancement du PC, une tache de fond a bouclé en essayant de télécharger le Windows Store > Plantage > Ecriture log > DL Windows Store > Plantage > etc... jusqu'a ce que mon disque dur se remplisse totalement.

Le process "WSAppx" était le process en question ici pour info.

La meilleure pub pour Linux qu'on m'a faite.
5  0 
Commenter Signaler un problème