Share via

Appliquer des stratégies de contrôle d’application Windows Defender (WDAC)

Remarque

Certaines fonctionnalités de Windows Defender Contrôle d’application (WDAC) ne sont disponibles que sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités de contrôle d’application Windows Defender.

Vous devez maintenant avoir une ou plusieurs stratégies de contrôle d’application Windows Defender largement déployées en mode audit. Vous avez analysé les événements collectés à partir des appareils avec ces stratégies et vous êtes prêt à appliquer. Utilisez cette procédure pour préparer et déployer vos stratégies WDAC en mode d’application.

Remarque

Certaines des étapes décrites dans cet article s’appliquent uniquement à Windows 10 version 1903 ou ultérieure, ou Windows 11. Lorsque vous utilisez cette rubrique pour planifier vos propres stratégies WDAC organization, déterminez si vos clients gérés peuvent utiliser tout ou partie de ces fonctionnalités. Évaluez l’impact de toutes les fonctionnalités qui peuvent être indisponibles sur vos clients exécutant des versions antérieures de Windows 10 et De Windows Server. Vous devrez peut-être adapter ces conseils pour répondre aux besoins de votre organization spécifique.

Convertir la stratégie de base WDAC de l’audit en stratégie appliquée

Comme décrit dans scénarios de déploiement de contrôle d’application Windows Defender courants, nous allons utiliser l’exemple de Lamna Healthcare Company (Lamna) pour illustrer ce scénario. Lamna tente d’adopter des stratégies d’application plus fortes, y compris l’utilisation du contrôle d’application pour empêcher les applications indésirables ou non autorisées de s’exécuter sur leurs appareils gérés.

Alice Pena est la responsable de l’équipe informatique responsable du déploiement de WDAC de Lamna.

Alice a précédemment créé et déployé une stratégie pour les appareils entièrement gérés de l’organization. Ils ont mis à jour la stratégie en fonction des données d’événement d’audit, comme décrit dans Utiliser des événements d’audit pour créer des règles de stratégie WDAC et l’ont redéployée. Tous les événements d’audit restants sont comme prévu et Alice est prête à passer en mode d’application.

  1. Initialisez les variables qui seront utilisées et créez la stratégie appliquée en copiant la version d’audit.

    $EnforcedPolicyName = "Lamna_FullyManagedClients_Enforced"
$AuditPolicyXML = $env:USERPROFILE+"\Desktop\Lamna_FullyManagedClients_Audit.xml"
$EnforcedPolicyXML = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyName+".xml"
cp $AuditPolicyXML $EnforcedPolicyXML

  2. Utilisez Set-CIPolicyIdInfo pour donner à la nouvelle stratégie un ID unique et un nom descriptif. La modification de l’ID et du nom vous permet de déployer la stratégie appliquée côte à côte avec la stratégie d’audit. Effectuez cette étape si vous envisagez de renforcer votre stratégie WDAC au fil du temps. Si vous préférez remplacer la stratégie d’audit sur place, vous pouvez ignorer cette étape.

    $EnforcedPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedPolicyXML -PolicyName $EnforcedPolicyName -ResetPolicyID
$EnforcedPolicyID = $EnforcedPolicyID.Substring(11)

  3. [Facultatif] Utilisez Set-RuleOption pour activer les options de règle 9 (« Menu Options de démarrage avancées ») et 10 (« Audit de démarrage en cas d’échec »). L’option 9 permet aux utilisateurs de désactiver l’application de WDAC pour une session de démarrage unique à partir d’un menu de prédémarreur. L’option 10 indique à Windows de passer de l’application à l’audit uniquement si un pilote de démarrage critique en mode noyau est bloqué. Nous vous recommandons vivement ces options lors du déploiement d’une nouvelle stratégie appliquée sur votre premier anneau de déploiement. Ensuite, si aucun problème n’est détecté, vous pouvez supprimer les options et redémarrer votre déploiement.

    Set-RuleOption -FilePath $EnforcedPolicyXML -Option 9
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 10

  4. Utilisez Set-RuleOption pour supprimer l’option de règle en mode audit, qui remplace la stratégie par l’application :

    Set-RuleOption -FilePath $EnforcedPolicyXML -Option 3 -Delete

  5. Utilisez ConvertFrom-CIPolicy pour convertir la nouvelle stratégie WDAC en binaire :

    Remarque

    Si vous n’avez pas utilisé -ResetPolicyID à l’étape 2 ci-dessus, vous devez remplacer $EnforcedPolicyID dans la commande suivante par l’attribut PolicyID trouvé dans votre xml de stratégie de base.

    $EnforcedPolicyBinary = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyID+".cip"
ConvertFrom-CIPolicy $EnforcedPolicyXML $EnforcedPolicyBinary

Effectuer des copies des stratégies supplémentaires nécessaires à utiliser avec la stratégie de base appliquée

Étant donné que la stratégie appliquée a reçu un PolicyID unique dans la procédure précédente, vous devez dupliquer toutes les stratégies supplémentaires nécessaires à utiliser avec la stratégie appliquée. Les stratégies supplémentaires héritent toujours du mode Audit ou Application de la stratégie de base qu’elles modifient. Si vous n’avez pas réinitialisé le PolicyID de la stratégie de base d’application, vous pouvez ignorer cette procédure.

  1. Initialisez les variables qui seront utilisées et créez une copie de la stratégie supplémentaire actuelle. Certaines variables et fichiers de la procédure précédente seront également utilisés.

    $SupplementalPolicyName = "Lamna_Supplemental1"
$CurrentSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Audit.xml"
$EnforcedSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Enforced.xml"

  2. Utilisez Set-CIPolicyIdInfo pour donner à la nouvelle stratégie supplémentaire un ID unique et un nom descriptif, et modifier la stratégie de base à compléter.

    $SupplementalPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedSupplementalPolicy -PolicyName $SupplementalPolicyName -SupplementsBasePolicyID $EnforcedPolicyID -BasePolicyToSupplementPath $EnforcedPolicyXML -ResetPolicyID
$SupplementalPolicyID = $SupplementalPolicyID.Substring(11)

    Remarque

    Si Set-CIPolicyIdInfo ne génère pas la nouvelle valeur PolicyID sur votre version Windows 10, vous devez obtenir la valeur PolicyId directement à partir du code XML.

  3. Utilisez ConvertFrom-CIPolicy pour convertir la nouvelle stratégie supplémentaire Windows Defender Application Control en binaire :

    $EnforcedSuppPolicyBinary = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_"+$SupplementalPolicyID+".xml"
ConvertFrom-CIPolicy $EnforcedSupplementalPolicy $EnforcedSuppPolicyBinary

  4. Répétez les étapes ci-dessus si vous avez d’autres stratégies supplémentaires à mettre à jour.

Déployer votre stratégie appliquée et vos stratégies supplémentaires

Maintenant que votre stratégie de base est en mode appliqué, vous pouvez commencer à la déployer sur vos points de terminaison managés. Pour plus d’informations sur le déploiement de stratégies, consultez Déploiement de stratégies WDAC (Windows Defender Application Control).