Déployer des stratégies WDAC à l’aide de Microsoft Configuration Manager

• S’applique à:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Remarque

Certaines fonctionnalités de Windows Defender Contrôle d’application (WDAC) ne sont disponibles que sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités de contrôle d’application.

Vous pouvez utiliser Microsoft Configuration Manager pour configurer Windows Defender contrôle d’application (WDAC) sur les ordinateurs clients.

Utiliser les stratégies intégrées de Configuration Manager

Configuration Manager inclut la prise en charge native de WDAC, ce qui vous permet de configurer Windows 10 et Windows 11 ordinateurs clients avec une stratégie qui autorise uniquement :

• Composants Windows
• Applications du Microsoft Store
• Applications installées par Configuration Manager (Configuration Manager autoconfigurées en tant que programme d’installation managé)
• (Facultatif) Applications réputées telles que définies par Intelligent Security Graph (ISG)
• (Facultatif) Les applications et les exécutables déjà installés dans les emplacements de dossiers définissables par l’administrateur que Configuration Manager autorisent via une analyse unique lors de la création de stratégie sur des points de terminaison managés.

Configuration Manager ne supprime pas les stratégies une fois déployées. Pour arrêter l’application, vous devez basculer la stratégie en mode audit, ce qui produit le même effet. Si vous souhaitez désactiver complètement Windows Defender Contrôle d’application (WDAC) (y compris le mode audit), vous pouvez déployer un script pour supprimer le fichier de stratégie du disque et déclencher un redémarrage ou attendre le redémarrage suivant.

Créer une stratégie WDAC dans Configuration Manager

1. Sélectionnez Ressource et conformité>Endpoint Protection>Windows Defender Contrôle d’application>Créer une stratégie de contrôle d’application

   

2. Entrez le nom de la stratégie >Suivant

3. Activer Appliquer un redémarrage des appareils afin que cette stratégie puisse être appliquée à tous les processus

4. Sélectionnez le mode que vous souhaitez que la stratégie s’exécute (Application activée / Audit uniquement)

5. Sélectionnez Suivant.

   

6. Sélectionnez Ajouter pour commencer à créer des règles pour les logiciels approuvés.

   

7. Sélectionnez Fichier ou Dossier pour créer une règle > de chemin Parcourir

   

8. Sélectionnez l’exécutable ou le dossier de votre règle >de chemin OK

   

9. Sélectionnez OK pour ajouter la règle à la table des fichiers ou dossiers approuvés.

10. Sélectionnez Suivant pour accéder à la page récapitulative >Fermer

    

Déployer la stratégie WDAC dans Configuration Manager

1. Cliquez avec le bouton droit sur la stratégie nouvellement créée >Déployer la stratégie de contrôle d’application

   

2. Sélectionnez Parcourir.

   

3. Sélectionnez le regroupement d’appareils que vous avez créé précédemment >OK

   

4. Modifier la planification >OK

   

Pour plus d’informations sur l’utilisation des stratégies WDAC natives de Configuration Manager, consultez Windows Defender Gestion des contrôles d’application avec Configuration Manager.

Téléchargez l’intégralité du WDAC dans Configuration Manager document de laboratoire.

Déployer des stratégies WDAC personnalisées à l’aide de packages/programmes ou de séquences de tâches

L’utilisation des stratégies intégrées de Configuration Manager peut être un point de départ utile, mais les clients peuvent trouver les options de cercle de confiance disponibles dans Configuration Manager trop limitées. Pour définir votre propre cercle de confiance, vous pouvez utiliser Configuration Manager pour déployer des stratégies WDAC personnalisées à l’aide d’un déploiement basé sur des scripts via des programmes et packages de distribution de logiciels ou des séquences de tâches de déploiement de système d’exploitation.