Ce guide explique ce qu’est Device Guard de Windows, ce qu’il faut faire pour l’utiliser et comment vérifier si Device Guard est activé ou désactivé. Vous y trouverez également des instructions détaillées pour vérifier l’état de Device Guard, ainsi que des informations de dépannage et les implications de la désactivation de Device Guard.
Qu’est-ce que Windows Device Guard ?
Device Guard désigne un ensemble de fonctions de sécurité Windows conçues pour protéger les entreprises et les établissements d’enseignement contre les malwares et autres menaces de cybersécurité, en ne permettant l’exécution que d’applications et de codes fiables et autorisés. Si vous utilisez Windows 10 Pro/Windows 10 Home, ou Windows 11 Pro/Windows 11 Home, Device Guard n’est pas disponible et vous ne pourrez pas vérifier s’il est activé.
Device Guard est un composant de Windows Defender Application Control (WDAC) et implémente plusieurs technologies de sécurité pour protéger l’infrastructure Windows dans les environnements d’entreprise, tant au niveau du matériel que du logiciel. Il s’agit notamment de la sécurité basée sur la virtualisation (VBS) qui isole les processus et les informations sensibles du reste du système, kernel control flow guard (CFG) pour protéger Windows des attaques par injection de code, et hypervisor-enforced code integrity (HVCI) pour appliquer les stratégies d’intégrité du code définies par l’utilisateur qui garantissent que seules les applications figurant sur la liste blanche peuvent être exécutées.
Ces mesures améliorent la protection contre les malwares et permettent aux administrateurs de s’assurer que seul le code qu’ils autorisent peut être exécuté sur les systèmes de leur environnement Domaine Windows .
L’importance de la vérification de l’état de Device Guard
Device Guard fonctionne conjointement avec Credential Guard pour protéger les réseaux Windows des entreprises contre les cyberattaques. Toutefois, contrairement à Credential Guard, Device Guard n’est pas automatiquement activé sur les systèmes qui répondent à ses exigences matérielles.
Certains composants utilisés par Device Guard, tels que HVCI, peuvent être automatiquement activés si le système répond aux exigences. Cela signifie qu’il convient de s’assurer que les fonctionnalités spécifiques de Device Guard dont vous avez besoin fonctionnent une fois que vous les avez configurées pour vos déploiements Windows.
Avant que Device Guard ne puisse être pleinement activé, des stratégies d’intégrité du code doivent être implémentées par un administrateur afin de définir quel code autorisé pourra être exécuté sur les appareils concernés. La configuration de ces stratégies et l’activation de Device Guard sur votre domaine Windows sont bénéfiques pour deux raisons principales : elles contribuent à protéger vos systèmes contre les malwares et les cyberattaques en empêchant l’exécution de codes malveillants, et elles vous permettent de contrôler ce que vos utilisateurs peuvent faire avec leurs machines en autorisant uniquement l’exécution d’applications approuvées.
Comment vérifier si Device Guard est activé
Les méthodes ci-dessous peuvent être utilisées pour vérifier l’état de Device Guard sur un PC Windows Enterprise :
Vérification du Device Guard à l’aide des informations système de Windows (msinfo32)
Pour utiliser l’outil Informations système de Windows afin de vérifier l’état de Device Guard, procédez comme suit :
- Faites un clic droit sur le bouton Démarrer et sélectionnez Exécuter
- Saisissez msinfo32 dans la boîte de dialogue Exécuter et cliquez sur OK
- Cliquez sur Résumé système dans le panneau de navigation gauche
- Dans le panneau droit, descendez jusqu’à Services en cours d’exécution pour la sécurité basés sur la virtualisation
- Si Device Guard est activé, apparaîtra comme En cours d’exécution
En plus de l’élément d’information système affichant l’état de Device Guard, il y aura également des entrées contenant des informations spécifiques sur les propriétés et les services de Device Guard, et indiquant s’ils sont disponibles/en cours d’exécution sur votre système.
Vérification de Device Guard à l’aide de commandes PowerShell
La cmdlet PowerShell Get-CimInstance peut être utilisée pour vérifier l’état de Device Guard en exécutant cette commande dans une invite PowerShell administrative:
Get-CimInstance –ClassName Win32_DeviceGuard –Namespace root\Microsoft\Windows\DeviceGuard
Cette commande affiche les fonctions de sécurité matérielle actuellement disponibles sur votre PC Windows, et celles qui sont activées.
Vérification de Device Guard sur un seul PC à l’aide de l’éditeur de stratégie de groupe
Pour vérifier si les fonctionnalités de Device Guard sont activées via la stratégie de groupe locale, procédez comme suit :
- Démarrez l’éditeur de stratégie de groupe local en exécutant gpedit.msc
- Ouvrez Computer Configuration/Administrative Templates/System/Device Guard
- Vérifier l’état des stratégies Device Guard, notamment Activer la sécurité basée sur la virtualisation, Déployer Windows Defender Application Control et Configurer HVCI et Kernel Mode Code Integrity
Notez que les stratégies Device Guard doivent être configurées au niveau du domaine et que la console locale de stratégie de groupe ne doit être utilisée que pour vérifier l’état de Device Guard sur une machine spécifique.
Confirmation de l’activation de Device Guard par les modifications de la stratégie de groupe
Si vous avez récemment apporté des modifications à la stratégie de groupe de votre domaine Windows et que vous ne voyez pas encore les changements appliqués, essayez d’exécuter gpupdate /force pour appliquer les changements ou redémarrez les machines concernées.
Pour vérifier si Device Guard a été activé avec succès par la stratégie de groupe sur un domaine Windows, vous pouvez exécuter gpresult/h gpresult.html dans PowerShell (en tant qu’administrateur) pour voir quelles stratégies de domaine ont été appliquées.
Si Device Guard pose des problèmes de compatibilité, vous pouvez soit le désactiver pour des appareils spécifiques à l’aide de la stratégie de groupe, soit désactiver les paramètres de sécurité correspondants dans le BIOS/UEFI de l’appareil.
Assurer la sécurité des flottes d’appareils Windows dans l’entreprise
Le maintien d’une sécurité efficace contre les cybermenaces ne doit pas devenir plus difficile à mesure que le nombre de machines que vous gérez augmente. L’application des configurations de sécurité Windows, y compris l’activation et la vérification de l’état de Device Guard, peut être automatisée en utilisant la gestion des terminaux par NinjaOne.
NinjaOne vous permet de gérer et de rendre compte de vos configurations Windows à partir d’une interface web centralisée qui peut déployer des scripts, faire l’inventaire et aider à la gestion des correctifs. Il prend également en charge l’administration de Linux, MacOS, Android et des appareils mobiles Apple, garantissant ainsi une surveillance complète, une visibilité totale et des informations actualisées sur l’état de votre infrastructure informatique.
