Source: GitHub (HotCakeX/Harden-Windows-Security). Une page wiki mise à jour détaille AppControl Manager, une application moderne et gratuite pour gérer Windows App Control et Code Integrity sur postes locaux ou distants.

L’outil fournit une interface graphique pour créer/éditer/déployer des politiques App Control, avec support de Windows 11 (22H2 à 25H2) et Windows Server 2025. Il est développé en C#/WinUI3/.NET (WinAppSDK), packagé en MSIX, sans dépendances tierces, sans télémétrie, avec exécution rapide, trimming et Native AOT, et prise en charge x64/ARM64. 🔧

Côté distribution, l’app est disponible sur le Microsoft Store (recommandé), via Winget (source msstore), via GitHub Packages/PowerShell, et installable hors ligne (air-gapped). Elle intègre un auto-updater. Un CLI et plusieurs modes d’activation (alias, URI scheme, file activation, AUMID) sont fournis, notamment pour ouvrir/éditer des politiques, inspecter des signatures, calculer des CI hashes et déployer des politiques de blocage RMM (audit ou enforce).

Fonctionnalités clés: création de politiques (primaires, supplémentaires, deny), fusion et déploiement, configuration des options de règles, simulation, autorisation de nouvelles apps, génération de certificats, dérivation de politiques depuis journaux (Code Integrity/AppLocker) et MDE Advanced Hunting, récupération de hashes, validation de politiques, inspection de certificats, accès Microsoft Graph pour publier vers Intune, et prise en charge multilingue (dont français). ✅

Sécurité du processus: build public via GitHub Actions avec Artifact Attestation et génération SBOM, conformité SLSA niveau 3, envoi automatique des artefacts sur VirusTotal, scan CodeQL avancé et visibilité des dépendances. L’application applique des mitigations de processus (CFG strict, CIG, EAF/IAF, HE stack, blocage d’images low integrity/remote, fonts non fiables, etc.). Les opérations lecture/écriture se font exclusivement dans C:\Program Files\AppControl Manager, avec dossiers temporaires StagingArea supprimés à la fermeture. L’app requiert l’élévation pour accéder aux journaux, manipuler/déployer des politiques et créer des tâches SYSTEM, et utilise MSAL pour l’auth Microsoft 365. 🔐

Transparence réseau: la liste complète des URLs contactées est fournie (docs Microsoft pour block lists/règles, GitHub releases/wiki/issues, fichiers version et lien de téléchargement du bundle, VirusTotal, Microsoft Graph pour Intune, etc.), avec justification de chaque usage. Il s’agit d’une mise à jour de produit présentant l’outil, ses capacités, son modèle de sécurité et ses modes d’installation/utilisation.

🔗 Source originale : https://github.com/HotCakeX/Harden-Windows-Security/wiki/AppControl-Manager