Supprimer Windows Defender stratégies de contrôle d’application (WDAC)

• S’applique à:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Remarque

Certaines fonctionnalités de Windows Defender Contrôle d’application (WDAC) ne sont disponibles que sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités de contrôle d’application Windows Defender.

Suppression des stratégies WDAC

Il peut arriver que vous souhaitiez supprimer une ou plusieurs stratégies WDAC, ou supprimer toutes les stratégies WDAC que vous avez déployées. Cet article décrit les différentes façons de supprimer des stratégies WDAC.

Important

Stratégie WDAC signée

Si la stratégie que vous essayez de supprimer est une stratégie WDAC signée, vous devez d’abord déployer une stratégie de remplacement signée qui inclut l’option 6 Enabled :Unsigned System Integrity Policy.

La stratégie de remplacement doit avoir le même PolicyId que celui qu’elle remplace et une version qui est égale ou supérieure à la stratégie existante. La stratégie de remplacement doit également inclure <UpdatePolicySigners>.

Pour prendre effet, cette stratégie doit être signée avec un certificat inclus dans la <section UpdatePolicySigners> de la stratégie d’origine que vous souhaitez remplacer.

Vous devez ensuite redémarrer l’ordinateur afin que la protection UEFI de la stratégie soit désactivée. Si vous ne le faites pas, le démarrage échoue.

Avant de supprimer une stratégie, vous devez d’abord désactiver la méthode utilisée pour la déployer (par exemple, stratégie de groupe ou GPM). Sinon, la stratégie peut se redéployer sur l’ordinateur.

Pour rendre une stratégie effectivement inactive avant de la supprimer, vous pouvez d’abord la remplacer par une nouvelle stratégie qui inclut les modifications suivantes :

1. Remplacez les règles de stratégie par les règles « Autoriser * » ;
2. Définissez l’option 3 Enabled :Audit Mode pour modifier la stratégie en mode audit uniquement ;
3. Définir l’option 11 Disabled :Script Enforcement ;
4. Autorisez tous les objets COM. Consultez Autoriser l’inscription d’objets COM dans une stratégie WDAC.
5. Le cas échéant, supprimez l’option 0 Enabled :UMCI pour convertir la stratégie en mode noyau uniquement.

Important

Après avoir supprimé une stratégie, redémarrez l’ordinateur pour qu’elle prenne effet. Vous ne pouvez pas supprimer les stratégies WDAC sans redémarrer l’appareil.

Supprimer des stratégies WDAC à l’aide de CiTool.exe

À compter de la mise à jour Windows 11 2022, vous pouvez supprimer des stratégies WDAC à l’aide de CiTool.exe. À partir d’une fenêtre de commande avec élévation de privilèges, exécutez la commande suivante. Veillez à remplacer le texte GUID PolicyId par le PolicyId réel de la stratégie WDAC que vous souhaitez supprimer :

    CiTool.exe -rp "{PolicyId GUID}" -json

Redémarrez ensuite l’ordinateur.

Supprimer des stratégies WDAC à l’aide de solutions GPM telles que Intune

Vous pouvez utiliser une solution mobile Gestion des appareils (GPM), comme Microsoft Intune, pour supprimer des stratégies WDAC des ordinateurs clients à l’aide du fournisseur de services de configuration ApplicationControl.

Consultez votre fournisseur de solutions MDM pour obtenir des informations spécifiques sur l’utilisation du fournisseur de services de configuration ApplicationControl.

Redémarrez ensuite l’ordinateur.

Supprimer des stratégies WDAC à l’aide d’un script

Pour supprimer des stratégies WDAC à l’aide d’un script, votre script doit supprimer le ou les fichiers de stratégie de l’ordinateur. Pour les stratégies WDAC de plusieurs formats de stratégie (1903+), recherchez les fichiers de stratégie aux emplacements suivants. Veillez à remplacer le GUID PolicyId par le PolicyId réel de la stratégie WDAC que vous souhaitez supprimer.

• <Partition> système EFI\Microsoft\Boot\CiPolicies\Active\{PolicyId GUID}.cip
• <Os Volume>\Windows\System32\CodeIntegrity\CiPolicies\Active\{PolicyId GUID}.cip

Pour les stratégies WDAC au format de stratégie unique, en plus des deux emplacements ci-dessus, recherchez également un fichier appelé SiPolicy.p7b qui se trouve aux emplacements suivants :

• <Partition> système EFI\Microsoft\Boot\SiPolicy.p7b
• <Os Volume>\Windows\System32\CodeIntegrity\SiPolicy.p7b

Redémarrez ensuite l’ordinateur.

Exemple de script pour supprimer une seule stratégie WDAC

# Set PolicyId GUID to the PolicyId from your WDAC policy XML
$PolicyId = "{PolicyId GUID}"

# Initialize variables
$SinglePolicyFormatPolicyId = "{A244370E-44C9-4C06-B551-F6016E563076}"
$SinglePolicyFormatFileName = "\SiPolicy.p7b"
$MountPoint =  $env:SystemDrive+"\EFIMount"
$SystemCodeIntegrityFolderRoot = $env:windir+"\System32\CodeIntegrity"
$EFICodeIntegrityFolderRoot = $MountPoint+"\EFI\Microsoft\Boot"
$MultiplePolicyFilePath = "\CiPolicies\Active\"+$PolicyId+".cip"

# Mount the EFI partition
$EFIPartition = (Get-Partition | Where-Object IsSystem).AccessPaths[0]
if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force }
mountvol $MountPoint $EFIPartition

# Check if the PolicyId to be removed is the system reserved GUID for single policy format.
# If so, the policy may exist as both SiPolicy.p7b in the policy path root as well as
# {GUID}.cip in the CiPolicies\Active subdirectory
if ($PolicyId -eq $SinglePolicyFormatPolicyId) {$NumFilesToDelete = 4} else {$NumFilesToDelete = 2}

$Count = 1
while ($Count -le $NumFilesToDelete)
{

    # Set the $PolicyPath to the file to be deleted, if exists
    Switch ($Count)
    {
        1 {$PolicyPath = $SystemCodeIntegrityFolderRoot+$MultiplePolicyFilePath}
        2 {$PolicyPath = $EFICodeIntegrityFolderRoot+$MultiplePolicyFilePath}
        3 {$PolicyPath = $SystemCodeIntegrityFolderRoot+$SinglePolicyFormatFileName}
        4 {$PolicyPath = $EFICodeIntegrityFolderRoot+$SinglePolicyFormatFileName}
    }

    # Delete the policy file from the current $PolicyPath
    Write-Host "Attempting to remove $PolicyPath..." -ForegroundColor Cyan
    if (Test-Path $PolicyPath) {Remove-Item -Path $PolicyPath -Force -ErrorAction Continue}

    $Count = $Count + 1
}

# Dismount the EFI partition
mountvol $MountPoint /D

Remarque

Vous devez exécuter le script en tant qu’administrateur pour supprimer les stratégies WDAC sur votre ordinateur.

Supprimer les stratégies WDAC provoquant des échecs d’arrêt de démarrage

Une stratégie WDAC qui bloque les pilotes critiques de démarrage peut provoquer un échec d’arrêt de démarrage (BSOD), bien que cela puisse être atténué en définissant l’option 10 Enabled :Boot Audit On Failure dans vos stratégies. En outre, les stratégies WDAC signées protègent la stratégie contre les manipulations administratives et les programmes malveillants qui ont obtenu un accès au système au niveau de l’administration. Pour cette raison, les stratégies WDAC signées sont intentionnellement plus difficiles à supprimer que les stratégies non signées, même pour les administrateurs. La falsification ou la suppression d’une stratégie WDAC signée entraîne un BSOD.

Pour supprimer une stratégie qui provoque des échecs d’arrêt de démarrage :

1. Si la stratégie est une stratégie WDAC signée , désactivez le démarrage sécurisé à partir du menu DU BIOS UEFI. Pour obtenir de l’aide sur la localisation de l’emplacement où désactiver le démarrage sécurisé dans le menu de votre BIOS, consultez votre fabricant d’équipement d’origine (OEM).
2. Accédez au menu Options de démarrage avancées sur votre ordinateur et choisissez l’option Désactiver l’application des signatures de pilote. Pour obtenir des instructions sur l’accès au menu Options de démarrage avancées au démarrage, consultez votre OEM. Cette option suspend toutes les vérifications d’intégrité du code, y compris WDAC, pour une seule session de démarrage.
3. Démarrez Windows normalement et connectez-vous. Ensuite, supprimez les stratégies WDAC à l’aide d’un script.
4. Si vous avez désactivé le démarrage sécurisé à l’étape 1 ci-dessus et que votre lecteur est protégé par BitLocker, suspendez la protection BitLocker , puis activez le démarrage sécurisé à partir du menu DU BIOS UEFI.
5. Redémarrez l’ordinateur.

Remarque

Si votre lecteur est protégé par Bitlocker, vous aurez peut-être besoin de vos clés de récupération Bitlocker pour effectuer les étapes 1 à 2 ci-dessus.