Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.
Dans la mesure du possible, le contrôle d’application pour les entreprises (contrôle d’application) doit être activé lors de la première configuration d’un appareil et avant d’installer des applications. Cela garantit que le système est dans un état « propre » au démarrage du contrôle d’application, et est particulièrement important pour les applications autorisées parce qu’elles ont été installées par un programme d’installation géré ou parce que l’Intelligent Security Graph (ISG) a déterminé que l’exécution de l’application était sécurisée.
En règle générale, le déploiement d’App Control for Business se produit mieux en phases, plutôt que d’être une fonctionnalité que vous « activez simplement ». Le choix et la séquence des phases dépendent de la façon dont les différents ordinateurs et autres appareils sont utilisés dans votre organization, et de la mesure dans laquelle le service informatique gère ces appareils. Le tableau suivant peut vous aider à commencer à développer un plan de déploiement d’App Control dans votre organization. Il est courant pour les organisations d’avoir des cas d’utilisation d’appareils dans chacune des catégories décrites.
Cas d’usage courants
| Cas d'utilisation | Relation entre App Control et ce cas d’usage |
|---|---|
|
Bloquer les applications indésirables : peu d’entreprises gèrent toutes les applications de manière centralisée, nécessitant une longue période de découverte avant même de commencer à décider ce qu’il faut autoriser. Au lieu de cela, le service informatique se concentre sur le blocage d’un ensemble d’applications qu’il considère comme des problèmes, pendant qu’il crée son inventaire des applications. |
À l’aide du contrôle d’application, déployez une stratégie de liste de blocage uniquement en même temps qu’une stratégie de liste d’autorisation d’audit pour collecter des informations sur les applications et les processus en cours d’exécution sur vos appareils. |
|
Appareils avec gestion allégée : ils appartiennent à l’entreprise, mais les utilisateurs sont libres d’installer des logiciels. Les appareils sont nécessaires pour exécuter des applications spécifiques, telles que la solution antivirus du organization ou ses outils de gestion des clients du support technique. |
App Control for Business peut être utilisé pour protéger le noyau et pour permettre aux utilisateurs d’exécuter des applications signées, installées par la solution de déploiement d’applications de l’entreprise, comme Intune, installées dans des emplacements où seul un administrateur peut écrire des fichiers et toute application ayant une bonne réputation. |
|
Appareils entièrement gérés : les logiciels autorisés sont limités par votre service informatique. Les utilisateurs peuvent demander d’autres logiciels ou les installer à partir d’une liste d’applications fournies par le service informatique. Exemples : ordinateurs de bureau et portables verrouillés qui appartiennent à l’entreprise. |
Une stratégie App Control for Business initiale peut être établie et appliquée. Chaque fois que le service informatique approuve davantage d’applications, il peut mettre à jour la stratégie De contrôle d’application dans le cadre de ses processus d’empaquetage et de déploiement d’applications. Ils peuvent également créer et signer des fichiers catalogue d’applications qui sont ensuite distribués en tant que dépendance de l’application. |
|
Appareils présentant une charge de travail fixe : mêmes tâches effectuées quotidiennement. Les listes d’applications approuvées changent rarement. Exemples : bornes, systèmes de points de vente, ordinateurs de centres d’appels. |
App Control for Business peut être entièrement déployé, et le déploiement et l’administration en cours sont relativement simples. Après le déploiement d’App Control for Business, seules les applications approuvées peuvent s’exécuter. Cette règle est due aux protections offertes par Le contrôle d’application. |
| Apportez votre propre appareil : les employés sont autorisés à apporter leurs propres appareils et à utiliser ces appareils en dehors du travail. | Dans la plupart des cas, App Control for Business ne s’applique pas. À la place, vous pouvez explorer d’autres fonctionnalités de sécurisation renforcée et de sécurité avec des solutions d’accès conditionnel GPM, comme Microsoft Intune. Toutefois, vous pouvez choisir de déployer une stratégie en mode audit sur ces appareils ou d’utiliser une stratégie de liste de blocage uniquement pour empêcher des applications ou des fichiers binaires spécifiques qui sont considérés comme malveillants ou vulnérables par votre organization. |
| Systèmes « sales » : l’introduction d’une solution de contrôle d’application sur les systèmes déjà utilisés est beaucoup plus difficile que lorsque vous l’appliquez à un nouvel appareil qui n’a pas encore installé d’applications. Parfois, des compromis doivent être faits pour maintenir la productivité, même si certaines applications peuvent ne pas être souhaitées par le organization. | À l’aide d’un script pour appliquer des stratégies App Control, les organisations peuvent créer une stratégie en analysant chaque appareil et en créant des règles pour chaque fichier binaire ou de script observé. Cet ensemble de règles est utilisé pour compléter la stratégie de base plus restrictive appliquée aux nouveaux appareils nouvellement configurés. De cette façon, toutes les applications précédemment installées continuent de fonctionner, mais toutes les installations futures doivent passer par les règles de contrôle d’application nouvellement appliquées par les organisations. |
Présentation de Lamna Healthcare Company
Dans l’ensemble d’articles suivant, nous allons explorer des stratégies pour gérer des scénarios tels que ceux du tableau à l’aide d’une société fictive appelée Lamna Healthcare Company.
Lamna Healthcare Company (Lamna) est un important fournisseur de soins de santé opérant dans le États-Unis. Lamna emploie des milliers de personnes, qu’il s’agisse de médecins et d’infirmières, de comptables, d’avocats internes et de techniciens informatiques. Leurs cas d’utilisation sont variés et comprennent des stations de travail mono-utilisateur pour leur personnel professionnel, des bornes partagées utilisées par les médecins et les infirmières pour accéder aux dossiers des patients, des appareils médicaux dédiés tels que des scanners IRM, et bien d’autres. En outre, Lamna a une politique souple et apportez votre propre appareil pour un grand nombre de ses employés professionnels.
Lamna utilise Microsoft Intune en mode hybride avec Configuration Manager et Intune. Bien qu’elle utilise Microsoft Intune pour déployer de nombreuses applications, Lamna a toujours eu des pratiques d’utilisation des applications souples : des équipes et des employés individuels ont pu installer et utiliser toutes les applications qu’ils jugent nécessaires pour leur rôle sur leurs propres stations de travail. Lamna a également récemment commencé à utiliser Microsoft Defender pour point de terminaison pour améliorer la détection et la réponse des points de terminaison.
Récemment, Lamna a rencontré un événement de ransomware qui a nécessité un processus de récupération coûteux et peut avoir inclus l’exfiltration de données par l’attaquant inconnu. Une partie de l’attaque comprenait l’installation et l’exécution de fichiers binaires malveillants qui ont échappé à la détection par la solution antivirus de Lamna, mais qui auraient été bloqués par une stratégie De contrôle d’application. En réponse, le conseil d’administration de Lamna a autorisé de nombreuses nouvelles réponses informatiques de sécurité, y compris le renforcement des stratégies d’utilisation des applications et l’introduction du contrôle d’application.
À la prochaine étape
À présent, nous allons créer notre stratégie initiale en utilisant le « cercle de confiance » du contrôle des applications intelligentes comme point de départ.
Ou, si vous préférez :