La technologie défensive bloque les documents Office non fiables pour empêcher le code d’attaque véhiculé par des fichiers malveillants d’atteindre le système d’exploitation ou ses applications.
Microsoft a lancé un aperçu public de «Microsoft Defender Application Guard for Office», une technologie défensive qui met en quarantaine les documents Office non approuvés afin que le code d’attaque transporté par des fichiers malveillants ne puisse pas atteindre le système d’exploitation ou ses applications.
Lundi, un ingénieur senior en cybersécurité de la société Redmond, Washington a expliqué comment Application Guard for Office fonctionnait et, plus important encore, a guidé les clients tout au long de son fonctionnement – ce que la documentation existante a omis lors du lancement de l’aperçu public à la fin du mois dernier.
«Microsoft Office ouvrira des fichiers à partir d’emplacements potentiellement dangereux dans Microsoft Defender Application Guard, un conteneur sécurisé, isolé de l’appareil grâce à la virtualisation matérielle», a écrit John Barbare dans un article sur un blog Microsoft. «Lorsque Microsoft Office ouvre des fichiers dans Microsoft Defender Application Guard, un utilisateur peut alors lire, modifier, imprimer et enregistrer les fichiers en toute sécurité sans avoir à rouvrir les fichiers en dehors du conteneur.»
Application Guard a une certaine histoire. La fonctionnalité a fait ses débuts en 2018 et a été conçue à l’origine pour Edge, le navigateur Windows 10 de Microsoft. (Nous parlons ici de l’Edge d’origine, celle utilisant les propres technologies de Microsoft, y compris le moteur de rendu EdgeHTML.)
Application Guard crée une instance jetable de Windows et Edge – des versions très condensées du système d’exploitation et du navigateur – dans un environnement virtualisé à l’aide de la technologie HyperVisor intégrée de Windows. Chaque ouverture entre la pseudo machine, la machine virtuelle et la vraie affaire est maçonnée, interdisant presque toute interaction entre la session Web et le périphérique physique.
Les utilisateurs peuvent ensuite naviguer dans un environnement plus sécurisé, car cela empêche les logiciels malveillants d’atteindre le système d’exploitation réel et les applications réelles sur le périphérique réel (par opposition à l’instance virtuelle). Lorsque l’utilisateur a terminé, le Windows + Edge virtualisé est ignoré. Considérez-le comme une quarantaine très brutale qui efface le patient s’il tombe malade.
Fonctionne avec Word, Excel et PowerPoint
Application Guard for Office fonctionne à peu près de la même manière, mais plutôt que de protéger Edge, il isole certains fichiers ouverts dans Word, Excel ou PowerPoint. Les documents obtenus à partir d’Internet général – domaines intranet ou domaines qui n’ont pas été marqués comme approuvés – les fichiers provenant de zones potentiellement dangereuses et les pièces jointes reçues via Outlook sont ouverts dans un environnement virtualisé, ou sandbox, où le code malveillant ne peut pas faire de ravages.
Pour la préversion publique, les clients doivent exécuter Windows 10 Entreprise 2004 ou version ultérieure, Office Beta Channel build 2008 16.0.13212 ou version ultérieure, cette mise à jour et une licence pour Microsoft 365 E5 (l’édition la plus complète et la plus chère) ou Microsoft 365 E5 Mobilité + Sécurité.
Contrairement à la vue protégée beaucoup plus ancienne, une autre fonctionnalité défensive d’Office, qui ouvre des documents potentiellement dangereux en lecture seule, les fichiers ouverts dans Application Guard peuvent être manipulés. Ils peuvent être imprimés, modifiés et enregistrés. Une fois enregistrés, cependant, ils restent dans le conteneur d’isolation et, lorsqu’ils sont rouverts ultérieurement, sont à nouveau mis en quarantaine dans ce bac à sable.
Word, Excel ou PowerPoint indique que le document actuel a été ouvert dans Application Guard avec plusieurs signaux visuels, y compris une notification contextuelle dans le ruban de l’application et une icône de marque différente dans la barre des tâches Windows.
Si l’utilisateur décide de faire définitivement confiance au document – qui peut être le maillon faible des protections d’Application Guard – il peut le sortir de la quarantaine et le déposer dans un dossier local ou réseau. (Des confirmations sont requises ici, cependant, donc au moins l’utilisateur est invité à reconsidérer avant d’appuyer sur le déclencheur de confiance.)
Les administrateurs informatiques peuvent contrôler une grande partie de cela, et plus encore, via les paramètres de configuration d’Application Guard, qui vont du copier-coller (autoriser / ne pas autoriser) à l’impression (limiter, par exemple, l’impression au format PDF uniquement) pour le rendre encore plus difficile. pour que les employés ouvrent un fichier en dehors d’Application Guard.
Etape par étape
Le billet de blog de Barbare devrait être précieux pour les utilisateurs et les administrateurs informatiques.
Les travailleurs techniquement avertis pourraient être dirigés vers le poste à la fois pour l’arrière-plan d’Application Guard et le fonctionnement de l’édition spécifique à Office désormais disponible en aperçu public. (Cela suppose que le service informatique active Application Guard via une stratégie de groupe ou une commande PowerShell.) Armés de la publication, ils pourraient être lâchés sans aucune assistance.
Les administrateurs informatiques préparant leurs frais pour le déploiement d’Application Guard pourraient utiliser la publication de Barbare pour créer des documents d’assistance et des procédures à distribuer à ceux qui utiliseront la fonctionnalité, en réutilisant ses captures d’écran, par exemple, ou en les utilisant comme guide pour élaborer des instructions étape par étape spécifiques à l’entreprise.
Barbare n’a pas dit quand Application Guard pour Office terminera l’aperçu public et passera à la disponibilité générale pour les utilisateurs de Windows 10 Entreprise et Microsoft 365 E5. (Ou peut-être d’autres aussi; Microsoft a lancé Application Guard en tant que fonctionnalité Windows 10 Entreprise uniquement, mais l’a ensuite étendue pour inclure Windows 10 Professionnel.)