IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Windows 10 20H2 : Microsoft lance une version Public Preview de Defender Application Guard pour Office
Une fonction d'isolation exploitant un conteneur compatible Hyper-V pour plus de sécurité

Le , par Stéphane le calme
226 commentaires

408PARTAGES

4  0 
John Barbare, Senior Customer Engineer chez Microsoft, a indiqué l'arrivée d'une future version de Microsoft Defender Application Guard pour Office disponible en Limited Preview pour Windows 10 20H2. Windows 10 20H2 est désormais maintenant disponible pour les clients commerciaux afin qu'ils puissent commencer l'exploration et la validation des fonctionnalités avant une publication en disponibilité générale.

Voici les Prérequis pour une utilisation de Microsoft Defender Application Guard :
  • Exigences matérielles :
    • Un ordinateur 64 bits avec un minimum de 4 cœurs (processeurs logiques) est requis pour l'hyperviseur et la sécurité basée sur la virtualisation (VBS).
    • Des extensions de virtualisation du processeur - Tables de pages étendues, également appelées Second Level Address Translation (SLAT) et l'une des extensions de virtualisation suivantes pour VBS : VT-x (Intel) ou AMD-V
    • 8 Go de RAM minimum
    • 5 Go d'espace libre, disque SSD (Solid State Disk) recommandé pour l'espace disque dur

  • Exigences logicielles :
    • Système d'exploitation - Windows 10 Enterprise Edition, version 1709 ou supérieure
    • Windows 10 Professional Edition, version 1803 ou supérieure
    • Windows 10 Professionnel pour les stations de travail édition, version 1803 ou supérieure
    • Windows 10 Professional Education Edition version 1803 ou supérieure
    • Édition Windows 10 Education, version 1903 ou supérieure
    • Navigateur - Toute variante de Microsoft Edge et Internet Explorer


Microsoft Defender Application Guard propose une fonction d'isolation exploitant un conteneur compatible Hyper-V. Le conteneur utilise une machine virtuelle (VM) légère qui résiste aux attaques du noyau et s'exécute sur un noyau distinct de l'hôte. Il existe deux types de modes: le mode de gestion d'entreprise et le mode autonome. En mode de gestion d'entreprise, l'administrateur définit les sites de confiance via des objets de stratégie de groupe, Microsoft Intune, Microsoft Endpoint Configuration Manager ou votre solution actuelle de gestion des appareils mobiles. Les sites non approuvés se lancent dans le conteneur Hyper-V isolé donnant à l'utilisateur une session de navigation gratuite malveillante.

Microsoft Defender Application Guard a été créé pour cibler les types de systèmes suivants:
  • Ordinateurs de bureau et portables d'entreprise : joint au domaine et géré par votre organisation.
  • Les stratégies BYOD (abréviation de l’anglais « bring your own device », en français, PAP pour « prenez vos appareils personnels » ou AVEC pour « apportez votre équipement personnel de communication » qui désigne une pratique qui consiste à utiliser ses équipements personnels (smartphone, ordinateur portable, tablette électronique) dans un contexte professionnel) : les ordinateurs portables personnels ne sont pas joints à un domaine, mais sont gérés par votre organisation via des outils, tels que Microsoft Intune.
  • Les appareils personnels : les ordinateurs de bureau ou les ordinateurs portables mobiles personnels ne sont pas joints au domaine ni gérés par une organisation. L'utilisateur est un administrateur de l'appareil et utilise un réseau personnel sans fil à large bande passante à la maison ou un réseau public comparable à l'extérieur.

En mode autonome, les utilisateurs peuvent utiliser des sessions de navigation isolées du matériel sans configuration d'administrateur ou de stratégie de gestion. Dans ce mode, vous devez installer Microsoft Defender Application Guard, puis l'utilisateur doit démarrer manuellement Microsoft Defender Application Guard lors de la navigation sur des sites approuvés / non approuvés. John Barbare indique qu'il ne recommande généralement pas le mode autonome aux clients car il permet à l'utilisateur de décider s'il souhaite utiliser une session Microsoft Defender Application Guard ou ne pas l'utiliser. Ensuite, l'utilisateur peut autoriser toute action (bonne ou mauvaise) qui pourrait entraîner un comportement malveillant.

Voici un diagramme des contrôles configurables pour les sessions Microsoft Defender Application Guard:


Microsoft Defender Application Guard sur Chrome et Firefox

En parcourant le web, vous avez déjà fait l’expérience de cliquer sur un lien pour atterrir sur une page qui n’a rien à voir avec le contenu auquel vous vous attendiez. Lorsqu’il s’agit de pages publicitaires par exemple, il est facile de revenir au point initial et continuer son périple sur la toile sans dommages. Par contre, lorsque c’est une page contenant un programme malveillant qui s’affiche, le premier réflexe est de fermer cette page pour ne pas infecter le système hôte.

Pour régler ce problème de liens redirigeant les internautes vers des pages web infectées, de nombreux navigateurs ont intégré en leur sein des alertes qui avertissent les utilisateurs lorsqu'ils sont sur le point de visiter une page web infectée, ou de télécharger un programme présentant des risques d’infection.

S’appuyant sur ces outils, Microsoft a annoncé une nouvelle extension pour Chrome et Firefox afin d’empêcher l’ouverture involontaire des sites malveillants par les utilisateurs. Microsoft a expliqué que l’extension Windows Defender Application Guard protège votre appareil contre les attaques avancées en redirigeant les sites Web non fiables vers une version isolée du navigateur Microsoft Edge. En utilisant une approche d’isolation unique basée sur le matériel, Application Guard ouvre des sites Web non fiables à l’intérieur d’un conteneur léger, séparé du système d’exploitation via la technologie de virtualisation Hyper-V. Si un site Web non approuvé s’avère malveillant, il reste dans le conteneur sécurisé d’Application Guard, protégeant ainsi le périphérique et vos données d’entreprise. Cette extension garantit que les sites Web non fiables s’ouvrent en toute sécurité dans l’environnement isolé d’Application Guard, tandis que les sites Web de confiance, définis par votre stratégie informatique et votre administrateur d’entreprise, continuent de s’ouvrir dans ce navigateur. Si un site web n’est pas fiable, vous pouvez utiliser cette extension pour l’ouvrir manuellement dans une session Application Guard isolée.

Microsoft Defender Application Guard pour Office

Les menaces sur internet sont larges, allant des attaques de phishing aux contenus malveillants. Divers autres vecteurs d'attaque, qui incluent des emplacements potentiellement dangereux, peuvent contenir des virus, des vers ou d'autres types de logiciels malveillants qui peuvent endommager votre ordinateur et / ou vos données sensibles. C'est ici que Microsoft Defender Application Guard intervient pour vous offrir une deuxième barrière afin de vous protéger contre ces attaques. Microsoft Office ouvrira des fichiers à partir d'emplacements potentiellement dangereux dans Microsoft Defender Application Guard, un conteneur sécurisé, isolé de l'appareil via la virtualisation matérielle. Lorsque Microsoft Office ouvre des fichiers dans Microsoft Defender Application Guard, un utilisateur peut ensuite lire, modifier, imprimer et enregistrer les fichiers en toute sécurité sans avoir à rouvrir les fichiers en dehors du conteneur.

Voici les conditions préalables pour Microsoft Defender Application Guard pour Office :
  • Configuration matérielle minimale :
    • Processeur: 64 bits, 4 cœurs (physiques ou virtuels), extensions de virtualisation (Intel VT-x OU AMD-V), équivalent Core i5 ou supérieur recommandé
    • Mémoire physique: 8 Go de RAM
    • Disque dur: 10 Go d'espace libre sur le lecteur système (SSD recommandé)

  • Configuration logicielle minimale :
    • Windows 10: Windows 10 Enterprise Edition, Client Build version 2004 (20H1) build 19041
    • Office: Office Beta Channel Build version 2008 16.0.13212 ou version ultérieure
    • Package de mise à jour: mises à jour de sécurité mensuelles cumulatives Windows 10 KB4566782


Les paramètres de Microsoft Defender Application Guard pour Office comportent des contrôles supplémentaires que vous pouvez définir comme illustré ci-dessous. Les fichiers Office pris en charge incluent Excel pour Microsoft 365, Word pour Microsoft 365 et PowerPoint pour Microsoft 365.


Vous pouvez définir vos configurations par exemple pour autoriser l'utilisateur à modifier les paramètres après l'ouverture du fichier ou ne lui accorder aucun privilège.

Si votre administrateur a activé Safe Documents, le fichier sera vérifié par le service Microsoft Defender Advanced Threat Protection pour déterminer s'il est malveillant avant d'être ouvert en dehors de Microsoft Defender Application Guard.

Office utilisera automatiquement Microsoft Defender Application Guard pour isoler les documents non approuvés dans les conditions suivantes:
  • Microsoft Defender Application Guard est activé dans Windows. Cela peut être activé soit par un administrateur de déploiement de stratégie, soit par l'utilisateur.
  • L'utilisateur utilise Microsoft 365 Apps pour les entreprises clients.
  • L'utilisateur connecté à Office dispose d'une licence pour Microsoft Defender Application Guard. Microsoft Defender Application Guard pour Office nécessitera une licence de sécurité Microsoft 365 E5 ou Microsoft 365 E5.

Si l'une de ces conditions n'est pas remplie, Office utilisera la vue protégée pour isoler les documents non approuvés.

John Barbare indique que « Mon intérêt pour Microsoft Defender Application Guard est venu de la démo, puis du déploiement sur plusieurs grands clients l'année dernière en raison d'un grand intérêt des attaquants développant de nouvelles techniques pour briser les réseaux à grande échelle et compromettre les stations de travail. Les schémas de phishing restant l'un des meilleurs moyens de duper les utilisateurs dans des attaques d'ingénierie sociale, Microsoft Defender Application Guard est conçu pour empêcher de manière proactive plusieurs types d'attaques. Lorsque Microsoft a étendu Microsoft Defender Application Guard à Office, cela a encore réduit la réduction globale de la surface d'attaque tout en augmentant la productivité des employés ».

Dans un billet de blog, il a proposé une démo.

Source : Microsoft

Voir aussi :

Les thèmes de Windows 10 peuvent être utilisés abusivement pour voler les mots de passe de compte Windows, selon un chercheur en sécurité
Seuls 3 % des développeurs Ruby on Rails travaillent sur Windows selon un sondage. Le développeur typique de Rails est autodidacte, travaille avec Rails depuis 4 à 7 ans et le fait à distance
Microsoft déclare qu'il ne permettra pas de désactiver Windows Defender via le registre pour prendre en charge une fonctionnalité de sécurité appelée "Tamper Protection

Une erreur dans cette actualité ? Signalez-le nous !

226 commentaires
Commenter Signaler un problème
Hariom
Avatar de Hariom
Membre du Club https://www.developpez.com
Le 02/10/2020 à 14:27
C'est pas trop tôt pour le correctif de explorer.exe qui crash inopinément depuis le début de W10
4  0 
earhater
Avatar de earhater
Membre éprouvé https://www.developpez.com
Le 25/05/2021 à 22:18
Bonjour ! J'utilise WSL au quotidien et c'est un super outil. Je suis très intéressé par la prise en charge de ces applications graphiques nativement (j'utilise x410 aujourd'hui pour lancer par exemple mon IDE depuis linux). J'ai regardé la vidéo en source de cet article, il consiste simplement à faire un "wsl --update" et "sudo apt-get install gedit && gedit" depuis linux. Malheureusement déjà pour moi "wsl --update" n'est pas pris en charge. En regardant sur le github de WSL j'ai trouvé le moyen de télécharger le dernier kernel manuellement et de l'appliquer. Malheureusement une fois que je lance gedit il ne trouve pas de gestionnaire de fenêtre "cannot open display". Quelqu'un a-t-il plus d'infos ou a réussi à le faire fonctionner ? Cette MAJ est-t-elle déjà dispo pour tout le monde ?

EDIT: j'ai trouvé la réponse ici. Cette MAJ est disponible pour le build "build 21364" quand la version grand publique est "19042". Ce n'est donc pas disponible sans passer par le canal beta windows insider
4  0 
vicolachips44
Avatar de vicolachips44
Futur Membre du Club https://www.developpez.com
Le 28/05/2021 à 5:34
"Microsoft en a surpris plus d'un dans la communauté des développeurs Linux ces dernières années."
Surprenant de commencer l'article par une telle affirmation ou alors il faudrait préciser ce qu'est un développeur Linux ?

Développeur WEB aurait été plus approprié selon moi.

Microsoft a une stratégie commerciale basique qui consiste à croître et engranger plus de profits
et donc à tenter de prendre des parts de marché là où il en reste encore et de ce point de vue, on peut
dire que c'est une belle réussite.

Non, la disponibilité de WSL2 n'est pas du tout une raison valable de faire passer tous les serveurs
sous Windows xD!
4  0 
chrtophe
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 02/10/2020 à 17:32
Enfin un outil pour tirer parti du S.M.A.R.T. ça fait juste depuis 2002 que ça existe sous Linux.
C'est accessible depuis belle lurette sous Windows en ligne de commande avec wmic. La nouveauté c'est l'envoi d'une notification au niveau de la GUI.
3  0 
Aizen64
Avatar de Aizen64
Membre confirmé https://www.developpez.com
Le 02/10/2020 à 18:06
En soit c'est une bonne chose, je me demande s'ils ont ajouté la température actuelle du SSD dans le gestionnaire de tâches.

Ce serait top s'il ajoutaient les températures des coeurs du CPU dans le gestionnaire de tâches également comme ça plus besoin d'installer CoreTemp ou équivalent.
3  0 
earhater
Avatar de earhater
Membre éprouvé https://www.developpez.com
Le 26/05/2021 à 14:05
Y a t'il d'autres utilisateurs de WSL qui pourraient donner leur retour d’expérience, positifs et négatifs et si possible en quoi WSL est mieux/plus pratique qu'une VM ou un conteneur ?
Bonjour ça y ressemble fortement sans être vraiment pareil. Le gros avantage de WSL c'est que c'est l'ip locale et pas de la VM qui est utilisée (si on lance un script qui écoute en http sur localhost:8080 on va sur chrome windows et on tape http://localhost:8080). Le second gros avantage c'est de pouvoir utiliser les commandes windows directement dans linux. Le dernier avantage est d'être nativement intégré à windows. Je pense que l'on peut toutefois avoir le même résultat avec quelque chose comme vagrant mais en moins pratique à utiliser, avec les problèmes réseaux que ça engendre et le fait que ce ne soit pas natif (là il suffit d'aller dans le store télécharger ubuntu en plus d'être intégré dans le terminal windows et nativement dans les IDE de type jetbrains ou VS code). Ils ont en plus intégré le fait de pouvoir utiliser la carte graphique de son PC comme carte dédiée dans WSL, là où ce n'est pas possible avec une VM à moins d'avoir 2 GPU et de faire du passthrough

C'est pour cela que la prise en charge des applications graphiques est un gros plus, là un conteneur ne peut pas le gérer et on sait très bien qu'une full VM n'est pas très pratique à utiliser en interface graphique (là les applications de bureaux linux se lancent comme une app windows)
3  0 
CaptainDangeax
Avatar de CaptainDangeax
Membre expérimenté https://www.developpez.com
Le 05/10/2020 à 16:53
Citation Envoyé par chrtophe Voir le message
C'est accessible depuis belle lurette sous Windows en ligne de commande avec wmic. La nouveauté c'est l'envoi d'une notification au niveau de la GUI.
Voilà, on a WMIC qui existe depuis belle lurette mais il faut 20 ans à microsoft pour implémenter la fonction envoyer une alerte

Quant au résultat :

c:\windows\system32>wmic diskdrive get status
Status
OK

C'est juste du foutage de gueule tellement c'est pauvre
2  0 
weed
Avatar de weed
Membre expérimenté https://www.developpez.com
Le 28/09/2022 à 8:23
De mon point de vue, cette version est une mauvaise nouvelle. Les entreprises vont encore moins le pas pour proposer des machines sous Linux si Windows permet de faire de plus en plus de chose.

Et malheureusement j'ai l'impression que c'est à sens unique. On dépouille Linux mais on ne dépouille pas Windows pour les implémenter sous Linux.
Je suis de mauvaise langue, on peut dorénavant connecter un poste Linux à un domaine Windows Exchange mais j'ai cette mauvaise impression que d'un seul sens
2  0 
Gluups
Avatar de Gluups
Membre expérimenté https://www.developpez.com
Le 23/11/2022 à 20:57
Citation Envoyé par Aizen64 Voir le message
Oui il serait temps de finir l’appli paramètres et se débarrasser de panneau de config.
Je crois surtout qu'il serait temps d'avoir un système opérationnel.
À deux ans de la fin de support, il serait temps, non ?

Alors si c'est le panneau de config qui est opérationnel, de grâce, gardons le panneau de config.


Que leur OS soit plus léger aussi et ne nécessite pas un SSD pour être utilisé. C’est juste un OS quoi !

J’avoue que Linux au moins peut faire tourner une IHM sur un Raspberry pi, pas Windows.
Pour sûr.
Un système qui ne fonctionne pas sur une machine de plus de cinq ans, ce n'est pas un système.
3  1 
destroyedlolo
Avatar de destroyedlolo
Membre habitué https://www.developpez.com
Le 02/12/2022 à 11:09
Travaillant a 99% du temps sous Linux (hormis la bureautique burocatique), WSL me permet de travailler sans les limitations imposées par notre DSI poussiéreuses.
Le fait de pouvoir ENFIN utiliser des applications graphiques m'évitera de batailler avec la même DSI pour installer des VM sur mon PC ... voir de devoir bosser depuis mes PC perso.
2  0 
Commenter Signaler un problème