La fonctionnalité «Windows Defender Application Guard» de Windows 10 exécute le navigateur Microsoft Edge dans un conteneur isolé et virtualisé. Même si un site Web malveillant exploitait une faille dans Edge, il ne pouvait pas compromettre votre PC. Application Guard est désactivé par défaut.
À compter de la mise à jour d’avril 2018, toute personne utilisant Windows 10 Professionnel peut désormais activer Application Guard. Auparavant, cette fonctionnalité n’était disponible que dans Windows 10 Entreprise. Si vous avez Windows 10 Famille et que vous souhaitez Application Guard, vous devrez passer à Pro.
Configuration requise
Windows Defender Application Guard, également appelé Application Guard ou WDAG, fonctionne uniquement avec le navigateur Microsoft Edge. Lorsque vous activez cette fonctionnalité, Windows peut exécuter Edge dans un conteneur protégé et isolé.
Plus précisément, Windows utilise la technologie de virtualisation Hyper-V de Microsoft. C’est pourquoi Application Guard nécessite que vous disposiez d’un PC avec du matériel de virtualisation Intel VT-X ou AMD-V. Microsoft répertorie également d’autres Configuration requise, y compris un processeur 64 bits avec au moins 4 cœurs, 8 Go de RAM et 5 Go d’espace libre.
Comment activer Windows Defender Application Guard
Pour activer cette fonctionnalité, accédez à Panneau de configuration> Programmes> Activer ou désactiver les fonctionnalités Windows.
Cochez l’option «Windows Defender Application Guard» dans la liste ici, puis cliquez sur le bouton «OK».
Si vous ne voyez pas l’option dans cette liste, vous utilisez une version familiale de Windows 10 ou vous n’avez pas encore mis à niveau vers la mise à jour d’avril 2018.
Si vous voyez l’option, mais qu’elle est grisée, votre PC ne prend pas en charge cette fonctionnalité. Vous n’avez peut-être pas de PC avec du matériel Intel VT-x ou AMD-V, ou vous devrez peut-être activer Intel VT-X dans le BIOS de votre ordinateur. L’option sera également grisée si vous disposez de moins de 8 Go de RAM.
Windows installera la fonctionnalité Windows Defender Application Guard. Une fois terminé, vous serez invité à redémarrer votre PC. Vous devez redémarrer votre PC avant de pouvoir utiliser cette fonction.
Comment lancer Edge dans Application Guard
Edge fonctionne toujours en mode de navigation normal par défaut, mais vous pouvez désormais ouvrir une fenêtre de navigation sécurisée protégée par la fonction Application Guard.
Pour ce faire, lancez d’abord Microsoft Edge normalement. Dans Edge, cliquez sur Menu> Nouvelle fenêtre Application Guard.
Une nouvelle fenêtre de navigateur Microsoft Edge distincte s’ouvre. Le texte orange «Application Guard» dans le coin supérieur gauche de la fenêtre vous informe que la fenêtre du navigateur est sécurisée avec Application Guard.
Vous pouvez ouvrir des fenêtres de navigateur supplémentaires à partir d’ici – même des fenêtres InPrivate supplémentaires pour la navigation privée – et elles auront également le texte orange «Application Guard».
La fenêtre Application Guard a également une icône de barre des tâches distincte de l’icône normale du navigateur Microsoft Edge. Il comporte un logo «e» Edge bleu avec une icône de bouclier grise dessus.
Lorsque vous téléchargez et ouvrez certains types de fichiers, Edge peut lancer des visionneuses de documents ou d’autres types d’applications en mode Application Guard. Si une application s’exécute en mode Application Guard, vous verrez la même icône de bouclier gris sur son icône de la barre des tâches.
En mode Application Guard, vous ne pouvez pas utiliser les fonctionnalités des favoris ou de la liste de lecture d’Edge. Tout historique de navigateur que vous créez sera également supprimé lorsque vous vous déconnecterez de votre PC. Tous les cookies de la session en cours seront également effacés lorsque vous chantez sur votre PC. Cela signifie que vous devrez vous reconnecter à vos sites Web chaque fois que vous commencez à utiliser le mode Application Guard.
Les téléchargements sont également limités. Le navigateur Edge isolé ne peut pas accéder à votre système de fichiers normal, vous ne pouvez donc pas télécharger de fichiers sur votre système ou télécharger des fichiers de vos dossiers normaux vers des sites Web en mode Application Guard. Vous ne pouvez pas télécharger et ouvrir la plupart des types de fichiers en mode Application Guard, y compris les fichiers .exe, bien que vous puissiez afficher des PDF et d’autres types de documents. Les fichiers que vous téléchargez sont stockés dans un système de fichiers Application Guard spécial et sont effacés une fois que vous vous déconnectez de votre PC.
D’autres fonctionnalités, notamment le copier-coller et l’impression, sont également désactivées pour les fenêtres Application Guard.
Microsoft a ajouté quelques options pour supprimer ces limitations, si vous le souhaitez, mais ce sont les paramètres par défaut.
Comment configurer Windows Defender Application Guard
Vous pouvez configurer Windows Defender Application Guard et ses limitations via la stratégie de groupe. Si vous utilisez Application Guard sur votre propre PC Windows 10 Professionnel autonome, vous pouvez lancer l’éditeur de stratégie de groupe local en cliquant sur Démarrer, en tapant «gpedit.msc», puis en appuyant sur Entrée.
(L’éditeur de stratégie de groupe n’est pas disponible sur les éditions familiales de Windows 10, mais la fonctionnalité Windows Defender Application Guard ne l’est pas non plus.)
Accédez à Configuration ordinateur> Modèles d’administration> Composants Windows> Windows Defender Application Guard.
Pour activer la «persistance des données» et permettre à Application Guard d’enregistrer vos favoris, votre historique de navigateur et vos cookies, double-cliquez sur le paramètre «Autoriser la persistance des données pour Windows Defender Application Guard» ici, sélectionnez «Activé», puis cliquez sur «OK». Application Guard n’effacera pas ses données une fois que vous vous serez déconnecté de votre PC.
Pour permettre à Edge de télécharger des fichiers dans vos dossiers système normaux, double-cliquez sur le paramètre «Autoriser le téléchargement et l’enregistrement des fichiers sur le système d’exploitation hôte à partir de Windows Defender Application Guard», définissez-le sur «Activé», puis cliquez sur «OK».
Les fichiers que vous téléchargez en mode Application Guard seront enregistrés dans un dossier «Fichiers non approuvés» dans le dossier Téléchargements normal de votre compte utilisateur Windows.
Pour donner à Edge l’accès à votre presse-papiers système normal, double-cliquez sur l’option «Configurer les paramètres du presse-papiers de Windows Defender Application Guard». Cliquez sur «Activé» et personnalisez les paramètres de votre presse-papiers en suivant les instructions ici. Par exemple, vous pouvez activer les opérations du presse-papiers du navigateur Application Guard vers le système d’exploitation normal, du système d’exploitation normal vers le navigateur Application Guard, ou des deux manières. Vous pouvez également choisir d’autoriser la copie de texte, la copie d’image ou les deux. Cliquez sur «OK» lorsque vous avez terminé.
Microsoft vous recommande de ne pas autoriser la copie de votre système d’exploitation hôte vers la session Application Guard. Si vous le faites, une session de navigateur Application Guard compromise pourrait lire les données du presse-papiers de votre ordinateur.
Pour activer l’impression, double-cliquez sur l’option «Configurer les paramètres d’impression de Windows Defender Application Guard». Cliquez sur «Activé» et personnalisez les paramètres de votre imprimante en utilisant les options ici. Par exemple, vous pouvez entrer «4» pour activer l’impression uniquement sur les imprimantes locales, «2» pour activer l’impression uniquement sur des fichiers PDF ou «6» pour autoriser l’impression uniquement sur des imprimantes locales et des fichiers PDF. Cliquez sur «OK» lorsque vous avez terminé.
Si vous activez l’impression vers des fichiers PDF ou XPS, Application Guard vous permettra d’enregistrer ces fichiers sur le système de fichiers normal du système d’exploitation hôte.
Vous devez redémarrer votre PC après avoir modifié ces paramètres. Ils ne prendront effet que lorsque vous le faites.
Bien que l’éditeur de stratégie de groupe déclare que ces paramètres nécessitent Windows 10 Entreprise, nous avons constaté qu’ils fonctionnaient parfaitement sous Windows 10 Professionnel avec la mise à jour d’avril 2018. Quelqu’un chez Microsoft a probablement oublié de mettre à jour la documentation.
Si vous avez besoin de plus d’informations sur ce que font ces paramètres de stratégie de groupe, consultez Microsoft Documentation de la stratégie de groupe Windows Defender Application Guard.
Et, si vous êtes intéressé par les fonctionnalités de sécurité de Windows 10, assurez-vous de jeter un œil à l’accès contrôlé aux dossiers, qui aide à protéger vos fichiers contre les ransomwares. Cette fonctionnalité est également désactivée par défaut.
