Déployer des stratégies WDAC à l’aide de Mobile Gestion des appareils (MDM)
Remarque
Certaines fonctionnalités de Windows Defender Contrôle d’application (WDAC) ne sont disponibles que sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités de contrôle d’application Windows Defender.
Vous pouvez utiliser une solution Mobile Gestion des appareils (MDM), comme Microsoft Intune, pour configurer Windows Defender Contrôle d’application (WDAC) sur les ordinateurs clients. Intune inclut la prise en charge native de WDAC, qui peut être un point de départ utile, mais les clients peuvent trouver les options de cercle de confiance disponibles trop limitées. Pour déployer une stratégie personnalisée via Intune et définir votre propre cercle d’approbation, vous pouvez configurer un profil à l’aide de l’OMA-URI personnalisé. Si votre organization utilise une autre solution MDM, case activée avec votre fournisseur de solutions pour les étapes de déploiement de stratégie WDAC.
Important
En raison d’un problème connu, vous devez toujours activer les nouvelles stratégies de base WDAC signéesavec un redémarrage sur les systèmes sur lesquels l’intégrité de la mémoire est activée. Au lieu de Mobile Gestion des appareils (MDM), déployez de nouvelles stratégies de base WDAC signées via un script et activez la stratégie avec un redémarrage du système.
Ce problème n’affecte pas les mises à jour des stratégies de base signées qui sont déjà actives sur le système, le déploiement de stratégies non signées ou le déploiement de stratégies supplémentaires (signées ou non signées). Cela n’affecte pas non plus les déploiements sur des systèmes qui n’exécutent pas l’intégrité de la mémoire.
Utiliser les stratégies intégrées de Intune
La prise en charge intégrée de Windows Defender Application Control de Intune vous permet de configurer les ordinateurs clients Windows pour qu’ils exécutent uniquement :
- Composants Windows
- Pilotes de noyau matériel et logiciel tiers
- Applications signées du Microsoft Store
- [Facultatif] Applications réputées telles que définies par Intelligent Security Graph (ISG)
Remarque
Les stratégies intégrées de Intune utilisent la version antérieure à 1903 au format à stratégie unique de la stratégie DefaultWindows. Utilisez l’expérience améliorée Intune WDAC, actuellement en préversion publique, pour créer et déployer des fichiers de format à plusieurs stratégies. Vous pouvez également utiliser la fonctionnalité OMA-URI personnalisée de Intune pour déployer vos propres stratégies WDAC de format à plusieurs stratégies et tirer parti des fonctionnalités disponibles sur Windows 10 1903+ ou Windows 11, comme décrit plus loin dans cette rubrique.
Remarque
Intune utilise actuellement le fournisseur de services de configuration AppLocker pour déployer ses stratégies intégrées. Le fournisseur de services de configuration AppLocker demande toujours le redémarrage d’un appareil lorsqu’il applique des stratégies WDAC. Utilisez l’expérience améliorée Intune WDAC, actuellement en préversion publique, pour déployer vos propres stratégies WDAC sans redémarrage. Vous pouvez également utiliser la fonctionnalité OMA-URI personnalisée de Intune avec le csp ApplicationControl.
Pour utiliser les stratégies WDAC intégrées de Intune, configurez Endpoint Protection pour Windows 10 (et versions ultérieures).
Déployer des stratégies WDAC avec OMA-URI personnalisé
Remarque
Les stratégies déployées via Intune OMA-URI personnalisé sont soumises à une limite de 350 000 octets. Les clients doivent créer Windows Defender stratégies de contrôle d’application qui utilisent des règles basées sur des signatures, le graphe de sécurité intelligent et des programmes d’installation managés lorsque cela est possible. Les clients dont les appareils exécutent des builds 1903+ de Windows sont également encouragés à utiliser plusieurs stratégies qui permettent une stratégie plus granulaire.
Vous devez maintenant avoir une ou plusieurs stratégies WDAC converties en forme binaire. Si ce n’est pas le cas, suivez les étapes décrites dans Déploiement de stratégies WDAC (Windows Defender Application Control).
Déployer des stratégies WDAC personnalisées sur Windows 10 1903 et versions ultérieures
À compter de Windows 10 1903, le déploiement de stratégie OMA-URI personnalisé peut utiliser le fournisseur de services de configuration ApplicationControl, qui prend en charge plusieurs stratégies et des stratégies sans redémarrage.
Remarque
Vous devez convertir votre code XML de stratégie personnalisé en forme binaire avant de procéder au déploiement avec OMA-URI.
Les étapes à suivre pour utiliser la fonctionnalité OMA-URI personnalisée de Intune sont les suivantes :
Ouvrez le portail Microsoft Intune et créez un profil avec des paramètres personnalisés.
Spécifiez un Nom et une Description et utilisez les valeurs suivantes pour les paramètres OMA-URI personnalisés restants :
- OMA-URI :
./Vendor/MSFT/ApplicationControl/Policies/_Policy GUID_/Policy - Type de données : Base64 (fichier)
- Fichier de certificat : chargez votre fichier de stratégie de format binaire. Pour ce faire, remplacez votre fichier {GUID}.cip par {GUID}.bin. Vous n’avez pas besoin de charger un fichier Base64, car Intune convertit le fichier .bin chargé en Base64 en votre nom.
- OMA-URI :
Remarque
Pour la valeur GUID de stratégie, n’incluez pas les accolades.
Supprimer les stratégies WDAC sur Windows 10 1903 et versions ultérieures
Lors de la suppression, les stratégies déployées via Intune via le fournisseur de services de configuration ApplicationControl sont supprimées du système, mais restent en vigueur jusqu’au prochain redémarrage. Pour désactiver Windows Defender application du contrôle d’application, remplacez d’abord la stratégie existante par une nouvelle version de la stratégie qui va « Autoriser * », comme les règles de l’exemple de stratégie à %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml. Une fois la stratégie mise à jour déployée, vous pouvez la supprimer du portail Intune. Cette suppression empêchera tout blocage et supprimera complètement la stratégie WDAC au prochain redémarrage.
Pour les systèmes antérieurs à 1903
Déploiement de stratégies
Les étapes à suivre pour utiliser la fonctionnalité OMA-URI personnalisée de Intune pour appliquer le csp AppLocker et déployer une stratégie WDAC personnalisée sur les systèmes antérieurs à 1903 sont les suivantes :
Convertissez le xml de stratégie au format binaire à l’aide de l’applet de commande ConvertFrom-CIPolicy afin d’être déployé. La stratégie binaire peut être signée ou non signée.
Ouvrez le portail Microsoft Intune et créez un profil avec des paramètres personnalisés.
Spécifiez un Nom et une Description et utilisez les valeurs suivantes pour les paramètres OMA-URI personnalisés restants :
- OMA-URI :
./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/_Grouping_/CodeIntegrity/Policy - Type de données : Base64 (fichier)
- Fichier de certificat : chargez votre fichier de stratégie de format binaire
Remarque
Le déploiement de stratégies via le fournisseur de services de configuration AppLocker force un redémarrage pendant L’OOBE.
- OMA-URI :
Suppression de stratégies
Les stratégies déployées via Intune via le fournisseur de services de configuration AppLocker ne peuvent pas être supprimées via la console Intune. Pour désactiver Windows Defender’application de la stratégie De contrôle d’application, déployez une stratégie en mode audit ou utilisez un script pour supprimer la stratégie existante.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour