IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Windows 10 20H2 : Microsoft lance une version Public Preview de Defender Application Guard pour Office
Une fonction d'isolation exploitant un conteneur compatible Hyper-V pour plus de sécurité

Le , par Stéphane le calme
411 commentaires

476PARTAGES

5  0 
Windows 10 20H2 : Microsoft lance une version Public Preview de Defender Application Guard pour Office,
une fonction d'isolation exploitant un conteneur compatible Hyper-V pour apporter une couche de sécurité supplémentaire

John Barbare, Senior Customer Engineer chez Microsoft, a indiqué l'arrivée d'une future version de Microsoft Defender Application Guard pour Office disponible en Limited Preview pour Windows 10 20H2. Windows 10 20H2 est désormais maintenant disponible pour les clients commerciaux afin qu'ils puissent commencer l'exploration et la validation des fonctionnalités avant une publication en disponibilité générale.

Voici les Prérequis pour une utilisation de Microsoft Defender Application Guard :
  • Exigences matérielles :
    • Un ordinateur 64 bits avec un minimum de 4 cœurs (processeurs logiques) est requis pour l'hyperviseur et la sécurité basée sur la virtualisation (VBS).
    • Des extensions de virtualisation du processeur - Tables de pages étendues, également appelées Second Level Address Translation (SLAT) et l'une des extensions de virtualisation suivantes pour VBS : VT-x (Intel) ou AMD-V
    • 8 Go de RAM minimum
    • 5 Go d'espace libre, disque SSD (Solid State Disk) recommandé pour l'espace disque dur

  • Exigences logicielles :
    • Système d'exploitation - Windows 10 Enterprise Edition, version 1709 ou supérieure
    • Windows 10 Professional Edition, version 1803 ou supérieure
    • Windows 10 Professionnel pour les stations de travail édition, version 1803 ou supérieure
    • Windows 10 Professional Education Edition version 1803 ou supérieure
    • Édition Windows 10 Education, version 1903 ou supérieure
    • Navigateur - Toute variante de Microsoft Edge et Internet Explorer


Microsoft Defender Application Guard propose une fonction d'isolation exploitant un conteneur compatible Hyper-V. Le conteneur utilise une machine virtuelle (VM) légère qui résiste aux attaques du noyau et s'exécute sur un noyau distinct de l'hôte. Il existe deux types de modes: le mode de gestion d'entreprise et le mode autonome. En mode de gestion d'entreprise, l'administrateur définit les sites de confiance via des objets de stratégie de groupe, Microsoft Intune, Microsoft Endpoint Configuration Manager ou votre solution actuelle de gestion des appareils mobiles. Les sites non approuvés se lancent dans le conteneur Hyper-V isolé donnant à l'utilisateur une session de navigation gratuite malveillante.

Microsoft Defender Application Guard a été créé pour cibler les types de systèmes suivants:
  • Ordinateurs de bureau et portables d'entreprise : joint au domaine et géré par votre organisation.
  • Les stratégies BYOD (abréviation de l’anglais « bring your own device », en français, PAP pour « prenez vos appareils personnels » ou AVEC pour « apportez votre équipement personnel de communication » qui désigne une pratique qui consiste à utiliser ses équipements personnels (smartphone, ordinateur portable, tablette électronique) dans un contexte professionnel) : les ordinateurs portables personnels ne sont pas joints à un domaine, mais sont gérés par votre organisation via des outils, tels que Microsoft Intune.
  • Les appareils personnels : les ordinateurs de bureau ou les ordinateurs portables mobiles personnels ne sont pas joints au domaine ni gérés par une organisation. L'utilisateur est un administrateur de l'appareil et utilise un réseau personnel sans fil à large bande passante à la maison ou un réseau public comparable à l'extérieur.

En mode autonome, les utilisateurs peuvent utiliser des sessions de navigation isolées du matériel sans configuration d'administrateur ou de stratégie de gestion. Dans ce mode, vous devez installer Microsoft Defender Application Guard, puis l'utilisateur doit démarrer manuellement Microsoft Defender Application Guard lors de la navigation sur des sites approuvés / non approuvés. John Barbare indique qu'il ne recommande généralement pas le mode autonome aux clients car il permet à l'utilisateur de décider s'il souhaite utiliser une session Microsoft Defender Application Guard ou ne pas l'utiliser. Ensuite, l'utilisateur peut autoriser toute action (bonne ou mauvaise) qui pourrait entraîner un comportement malveillant.

Voici un diagramme des contrôles configurables pour les sessions Microsoft Defender Application Guard:


Microsoft Defender Application Guard sur Chrome et Firefox

En parcourant le web, vous avez déjà fait l’expérience de cliquer sur un lien pour atterrir sur une page qui n’a rien à voir avec le contenu auquel vous vous attendiez. Lorsqu’il s’agit de pages publicitaires par exemple, il est facile de revenir au point initial et continuer son périple sur la toile sans dommages. Par contre, lorsque c’est une page contenant un programme malveillant qui s’affiche, le premier réflexe est de fermer cette page pour ne pas infecter le système hôte.

Pour régler ce problème de liens redirigeant les internautes vers des pages web infectées, de nombreux navigateurs ont intégré en leur sein des alertes qui avertissent les utilisateurs lorsqu'ils sont sur le point de visiter une page web infectée, ou de télécharger un programme présentant des risques d’infection.

S’appuyant sur ces outils, Microsoft a annoncé une nouvelle extension pour Chrome et Firefox afin d’empêcher l’ouverture involontaire des sites malveillants par les utilisateurs. Microsoft a expliqué que l’extension Windows Defender Application Guard protège votre appareil contre les attaques avancées en redirigeant les sites Web non fiables vers une version isolée du navigateur Microsoft Edge. En utilisant une approche d’isolation unique basée sur le matériel, Application Guard ouvre des sites Web non fiables à l’intérieur d’un conteneur léger, séparé du système d’exploitation via la technologie de virtualisation Hyper-V. Si un site Web non approuvé s’avère malveillant, il reste dans le conteneur sécurisé d’Application Guard, protégeant ainsi le périphérique et vos données d’entreprise. Cette extension garantit que les sites Web non fiables s’ouvrent en toute sécurité dans l’environnement isolé d’Application Guard, tandis que les sites Web de confiance, définis par votre stratégie informatique et votre administrateur d’entreprise, continuent de s’ouvrir dans ce navigateur. Si un site web n’est pas fiable, vous pouvez utiliser cette extension pour l’ouvrir manuellement dans une session Application Guard isolée.

Microsoft Defender Application Guard pour Office

Les menaces sur internet sont larges, allant des attaques de phishing aux contenus malveillants. Divers autres vecteurs d'attaque, qui incluent des emplacements potentiellement dangereux, peuvent contenir des virus, des vers ou d'autres types de logiciels malveillants qui peuvent endommager votre ordinateur et / ou vos données sensibles. C'est ici que Microsoft Defender Application Guard intervient pour vous offrir une deuxième barrière afin de vous protéger contre ces attaques. Microsoft Office ouvrira des fichiers à partir d'emplacements potentiellement dangereux dans Microsoft Defender Application Guard, un conteneur sécurisé, isolé de l'appareil via la virtualisation matérielle. Lorsque Microsoft Office ouvre des fichiers dans Microsoft Defender Application Guard, un utilisateur peut ensuite lire, modifier, imprimer et enregistrer les fichiers en toute sécurité sans avoir à rouvrir les fichiers en dehors du conteneur.

Voici les conditions préalables pour Microsoft Defender Application Guard pour Office :
  • Configuration matérielle minimale :
    • Processeur: 64 bits, 4 cœurs (physiques ou virtuels), extensions de virtualisation (Intel VT-x OU AMD-V), équivalent Core i5 ou supérieur recommandé
    • Mémoire physique: 8 Go de RAM
    • Disque dur: 10 Go d'espace libre sur le lecteur système (SSD recommandé)

  • Configuration logicielle minimale :
    • Windows 10: Windows 10 Enterprise Edition, Client Build version 2004 (20H1) build 19041
    • Office: Office Beta Channel Build version 2008 16.0.13212 ou version ultérieure
    • Package de mise à jour: mises à jour de sécurité mensuelles cumulatives Windows 10 KB4566782


Les paramètres de Microsoft Defender Application Guard pour Office comportent des contrôles supplémentaires que vous pouvez définir comme illustré ci-dessous. Les fichiers Office pris en charge incluent Excel pour Microsoft 365, Word pour Microsoft 365 et PowerPoint pour Microsoft 365.


Vous pouvez définir vos configurations par exemple pour autoriser l'utilisateur à modifier les paramètres après l'ouverture du fichier ou ne lui accorder aucun privilège.

Si votre administrateur a activé Safe Documents, le fichier sera vérifié par le service Microsoft Defender Advanced Threat Protection pour déterminer s'il est malveillant avant d'être ouvert en dehors de Microsoft Defender Application Guard.

Office utilisera automatiquement Microsoft Defender Application Guard pour isoler les documents non approuvés dans les conditions suivantes:
  • Microsoft Defender Application Guard est activé dans Windows. Cela peut être activé soit par un administrateur de déploiement de stratégie, soit par l'utilisateur.
  • L'utilisateur utilise Microsoft 365 Apps pour les entreprises clients.
  • L'utilisateur connecté à Office dispose d'une licence pour Microsoft Defender Application Guard. Microsoft Defender Application Guard pour Office nécessitera une licence de sécurité Microsoft 365 E5 ou Microsoft 365 E5.

Si l'une de ces conditions n'est pas remplie, Office utilisera la vue protégée pour isoler les documents non approuvés.

John Barbare indique que « Mon intérêt pour Microsoft Defender Application Guard est venu de la démo, puis du déploiement sur plusieurs grands clients l'année dernière en raison d'un grand intérêt des attaquants développant de nouvelles techniques pour briser les réseaux à grande échelle et compromettre les stations de travail. Les schémas de phishing restant l'un des meilleurs moyens de duper les utilisateurs dans des attaques d'ingénierie sociale, Microsoft Defender Application Guard est conçu pour empêcher de manière proactive plusieurs types d'attaques. Lorsque Microsoft a étendu Microsoft Defender Application Guard à Office, cela a encore réduit la réduction globale de la surface d'attaque tout en augmentant la productivité des employés ».

Dans un billet de blog, il a proposé une démo.

Source : Microsoft

Voir aussi :

Les thèmes de Windows 10 peuvent être utilisés abusivement pour voler les mots de passe de compte Windows, selon un chercheur en sécurité
Seuls 3 % des développeurs Ruby on Rails travaillent sur Windows selon un sondage. Le développeur typique de Rails est autodidacte, travaille avec Rails depuis 4 à 7 ans et le fait à distance
Microsoft déclare qu'il ne permettra pas de désactiver Windows Defender via le registre pour prendre en charge une fonctionnalité de sécurité appelée "Tamper Protection
Vous avez lu gratuitement 882 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

411 commentaires
Commenter Signaler un problème
AndMax
Avatar de AndMax
Membre éprouvé https://www.developpez.com
Le 22/12/2023 à 8:01
"mais l'arrêt du support de Windows 10 pourrait empêcher des centaines de millions d'appareils d'avoir une seconde vie"
Archi faux... c'est presque à la limite de la fake news. Il suffit de mettre autre chose que Windows dessus. Il y a des OS plus rapides, qui ne gaspillent pas les ressources de la machine et qui vous permettent d'être beaucoup plus productif, le tout sans jamais vous afficher les écrans bleus qui demandent longuement de patienter pour le Windows Update avec des billes qui tournent.

Il faut vraiment arrêter de considérer Microsoft Windows comme la seule solution alors que pour la majorité des usages, c'est le pire des choix même sur un PC récent.
18  1 
sergio_is_back
Avatar de sergio_is_back
Expert confirmé https://www.developpez.com
Le 22/12/2023 à 8:59
Citation Envoyé par AndMax Voir le message
Archi faux... c'est presque à la limite de la fake news. Il suffit de mettre autre chose que Windows dessus. Il y a des OS plus rapides, qui ne gaspillent pas les ressources de la machine et qui vous permettent d'être beaucoup plus productif, le tout sans jamais vous afficher les écrans bleus qui demandent longuement de patienter pour le Windows Update avec des billes qui tournent.

Il faut vraiment arrêter de considérer Microsoft Windows comme la seule solution alors que pour la majorité des usages, c'est le pire des choix même sur un PC récent.
Oui une bonne partie peuvent être recyclés avec une bonne Distro Linux
Quand je vois l'usage que certains, même au bureau, font d'un ordi pas besoin de Windows
Perso je réfléchi à me passer totalement de Windows dans un avenir à moyen terme
Juste conserver des machines virtuelles pour les développements de mes clients, mais m'en passer pour toutes les autres tâches
14  0 
d_d_v
Avatar de d_d_v
Membre expérimenté https://www.developpez.com
Le 05/02/2025 à 9:57
Microsoft rend discrètement plus difficile l'installation de Windows 11 sur les anciens PC avant la fin du support de Windows 10
Microsoft redouble d'efforts pour forcer le passage à Windows 11 à quelques mois de la fin du support de Windows.
Faudrait savoir, ils veulent qu'on passe à Windows 11 ou non ? Ils pensent vraiment qu'en période inflationniste, avec l'explosion du chômage, les gens n'ont que ça à faire de dépenser de l'argent qu'ils n'ont pas dans un nouveau PC ? Ce que je dis est valable également aux USA.
12  0 
smarties
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 05/02/2025 à 10:46
Avec l'inflation c'est certain que ce n'est pas la meilleure période pour Windows 11.

Pour ceux qui changent quand même de PC pour en avoir un compatible, le marché de l'occasion va peut être permettre de trouver des bons PC pour mettre un Linux dessus
8  0 
Drekstop
Avatar de Drekstop
Membre à l'essai https://www.developpez.com
Le 22/12/2023 à 7:19
Linux : "Am I a joke for you ?" 😅
7  0 
curt
Avatar de curt
Membre émérite https://www.developpez.com
Le 22/12/2023 à 10:02
L'installation de W11 est possible, même sur un poste déclaré incompatible... 2 clés de registres à modifier à l'instal et ça passe.
Ce qui reste tout de même agaçant, c'est que MICROSOFT se targue du message "ECOLO" dans la la rubrique WINDOWS UPDATE du même W11.

Au final, il faut
- changer de véhicule parce que ça pollue
- changer de PC parce W11 ne tourne pas dessus
- changer de régime alimentaire parce les vaches pètent
- changer notre mode de vie parce que la planète bleue voit rouge
- etc...

Vivement le retour dans les cavernes ..... et Joyeux Noël et Bonnes fin de fin d'année à tous malgré ça
6  0 
emilie77
Avatar de emilie77
Membre éprouvé https://www.developpez.com
Le 16/10/2024 à 14:20
Personnellement, il n'y a rien dans W11 que je ne puisse déjà faire dans W7/10
6  0 
Hariom
Avatar de Hariom
Membre du Club https://www.developpez.com
Le 02/10/2020 à 14:27
C'est pas trop tôt pour le correctif de explorer.exe qui crash inopinément depuis le début de W10
5  0 
earhater
Avatar de earhater
Membre éprouvé https://www.developpez.com
Le 25/05/2021 à 22:18
Bonjour ! J'utilise WSL au quotidien et c'est un super outil. Je suis très intéressé par la prise en charge de ces applications graphiques nativement (j'utilise x410 aujourd'hui pour lancer par exemple mon IDE depuis linux). J'ai regardé la vidéo en source de cet article, il consiste simplement à faire un "wsl --update" et "sudo apt-get install gedit && gedit" depuis linux. Malheureusement déjà pour moi "wsl --update" n'est pas pris en charge. En regardant sur le github de WSL j'ai trouvé le moyen de télécharger le dernier kernel manuellement et de l'appliquer. Malheureusement une fois que je lance gedit il ne trouve pas de gestionnaire de fenêtre "cannot open display". Quelqu'un a-t-il plus d'infos ou a réussi à le faire fonctionner ? Cette MAJ est-t-elle déjà dispo pour tout le monde ?

EDIT: j'ai trouvé la réponse ici. Cette MAJ est disponible pour le build "build 21364" quand la version grand publique est "19042". Ce n'est donc pas disponible sans passer par le canal beta windows insider
5  0 
vicolachips44
Avatar de vicolachips44
Futur Membre du Club https://www.developpez.com
Le 28/05/2021 à 5:34
"Microsoft en a surpris plus d'un dans la communauté des développeurs Linux ces dernières années."
Surprenant de commencer l'article par une telle affirmation ou alors il faudrait préciser ce qu'est un développeur Linux ?

Développeur WEB aurait été plus approprié selon moi.

Microsoft a une stratégie commerciale basique qui consiste à croître et engranger plus de profits
et donc à tenter de prendre des parts de marché là où il en reste encore et de ce point de vue, on peut
dire que c'est une belle réussite.

Non, la disponibilité de WSL2 n'est pas du tout une raison valable de faire passer tous les serveurs
sous Windows xD!
5  0 
Commenter Signaler un problème