Utiliser des stratégies signées pour protéger le Contrôle d’application Windows Defender contre la falsification

• S’applique à:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Remarque

Certaines fonctionnalités de Windows Defender Contrôle d’application ne sont disponibles que sur des versions spécifiques de Windows. Pour plus d’informations, consultez Windows Defender disponibilité des fonctionnalités de contrôle d’application.

Les stratégies de contrôle d’application Windows Defender signées (WDAC) offrent aux organisations le niveau de protection le plus élevé disponible dans Windows. Ces stratégies sont conçues pour détecter la falsification administrative de la stratégie, par exemple par un programme malveillant exécuté en tant qu’administrateur, et entraînent un échec de démarrage ou un écran bleu. Avec cet objectif à l’esprit, il est beaucoup plus difficile de supprimer les stratégies WDAC signées. SecureBoot doit être activé afin de fournir cette protection pour les stratégies WDAC signées.

Si vous ne disposez pas actuellement d’un certificat de signature de code que vous pouvez utiliser pour signer vos stratégies, consultez Obtenir des certificats de signature de code pour votre propre utilisation.

Warning

Un échec de démarrage, ou écran bleu, peut se produire si votre certificat de signature ne suit pas ces règles :

• Toutes les stratégies, y compris les stratégies de base et supplémentaires, doivent être signées conformément à la norme PKCS 7.
• Utilisez des clés RSA avec une taille de clé de 2 Ko, 3K ou 4K uniquement. ECDSA n’est pas pris en charge.
• Vous pouvez utiliser SHA-256, SHA-384 ou SHA-512 comme algorithme digest sur Windows 11, ainsi que Windows 10 et Windows Server 2019 et versions ultérieures après avoir appliqué la mise à jour de sécurité cumulative de novembre 2022. Tous les autres appareils prennent uniquement en charge SHA-256.

Avant de tenter de déployer une stratégie signée, vous devez d’abord déployer une version non signée de la stratégie pour découvrir tout problème avec les règles de stratégie. Nous vous recommandons également d’activer les options de règle 9 - Enabled :Advanced Boot Options Menu et 10 - Enabled :Boot Audit on Failure pour laisser les options de résolution des problèmes disponibles pour les administrateurs. Pour vous assurer qu’une option de règle est activée, vous pouvez exécuter une commande telle que Set-RuleOption -FilePath <PathAndFilename> -Option 9, même si vous ne savez pas si l’option est déjà activée. Si c’est le cas, la commande n’a aucun effet. Une fois ces éléments validés et prêts à être déployés en entreprise, vous pouvez supprimer ces options. Pour plus d’informations sur les options de règle, consultez Windows Defender règles de stratégie de contrôle d’application.

Remarque

Lors de la signature d’une stratégie de base qui a des stratégies supplémentaires existantes, vous devez également basculer vers la stratégie signée pour tous les suppléments. Autorisez les stratégies supplémentaires signées en ajoutant une <SupplementalPolicySigner> règle à la stratégie de base.

Préparer votre stratégie WDAC pour la signature

1. Ouvrez une session de Windows PowerShell avec élévation de privilèges et initialisez les variables à utiliser :

   $PolicyPath=$env:userprofile+"\Desktop\"
   $PolicyName="FixedWorkloadPolicy_Enforced"
   $LamnaServerPolicy=$PolicyPath+$PolicyName+".xml"
   

   Remarque

   Cet exemple utilise une version appliquée de la stratégie WDAC que vous avez créée dans Create une stratégie de contrôle d’application Windows Defender à partir d’un ordinateur de référence. Si vous signez une autre stratégie, veillez à mettre à jour le $PolicyPath et $PolicyName variables avec les informations correctes.

2. Accédez à votre Bureau, utilisé en tant que répertoire de travail :

   cd $PolicyPath
   

3. Si votre stratégie WDAC n’inclut pas encore de <UpdatePolicySigner> règle pour votre certificat de signature de stratégie, vous devez l’ajouter. Au moins une <UpdatePolicySigner> règle doit exister pour convertir votre code XML de stratégie avec ConvertFrom-CiPolicy.

   Utilisez Add-SignerRule et créez une <UpdatePolicySigner> règle à partir de votre fichier de certificat (.cer). Si vous avez acheté un certificat de signature de code ou si vous en avez émis un à partir de votre propre infrastructure à clé publique (PKI), vous pouvez exporter le fichier de certificat.

   Remarque

   Si votre stratégie n’autorise pas les stratégies supplémentaires, vous devez omettre le commutateur -Supplemental de la commande suivante :

   Add-SignerRule -FilePath $LamnaServerPolicy -CertificatePath <Path to exported .cer certificate> -Update -Supplemental
   

   Important

   Si vous ne parvenez pas à effectuer cette étape, vous ne pouvez pas modifier ou désactiver cette stratégie et entraîner un échec de démarrage. Pour plus d’informations sur la désactivation des stratégies signées à l’origine de l’échec de démarrage, consultez Supprimer Windows Defender stratégies de contrôle d’application à l’origine d’échecs d’arrêt de démarrage.

4. Utilisez Set-RuleOption pour supprimer l’option de règle de stratégie non signée :

   Set-RuleOption -FilePath $LamnaServerPolicy -Option 6 -Delete
   

5. (Facultatif) Utilisez Set-CIPolicyIdInfo pour réinitialiser l’ID de stratégie et modifier le nom de la stratégie.

6. (Facultatif) Utilisez Set-CIPolicyVersion pour modifier la stratégie VersionEx.

   Important

   Lors de la mise à jour d’une stratégie signée, la VersionEx de la stratégie mise à jour doit être supérieure ou égale à la stratégie actuelle. Le remplacement d’une stratégie signée par une version inférieure entraîne un échec de démarrage.

7. Utilisez ConvertFrom-CIPolicy pour convertir la stratégie au format binaire :

   $PolicyID= Set-CIPolicyIdInfo -FilePath $LamnaServerPolicy  -ResetPolicyID
   $PolicyID = $PolicyID.Substring(11)
   $CIPolicyBin = $env:userprofile + "\Desktop\" + $PolicyID + ".cip"
   ConvertFrom-CIPolicy $LamnaServerPolicy $CIPolicyBin
   

Signer votre stratégie

Signature de stratégie avec signtool.exe

Si vous avez acheté un certificat de signature de code ou en avez émis un à partir de votre propre infrastructure à clé publique, vous pouvez utiliser SignTool.exe pour signer vos fichiers de stratégie WDAC :

1. Importez le certificat de signature de code .pfx dans le magasin personnel de l’utilisateur sur l’ordinateur où la signature se produira. Pour les besoins de cet exemple, vous allez utiliser le certificat créé dans Facultatif : créer un certificat de signature du code pour Windows Defender Application Control.

2. Signez la stratégie WDAC à l’aide de l’outil SignTool.exe :

   <Path to signtool.exe> sign -v -n "ContosoSigningCert" -p7 . -p7co 1.3.6.1.4.1.311.79.1 -fd sha256 $CIPolicyBin
   

   Remarque

   La variable <Path to signtool.exe> doit correspondre au chemin d’accès complet de l’utilitaire SignTool.exe. ContosoSigningCert est le nom d’objet du certificat qui sera utilisé pour signer la stratégie. Vous devez importer ce certificat dans votre magasin de certificats personnels, sur l’ordinateur que vous utilisez pour signer la stratégie.

Une fois l’opération terminée, les commandes doivent générer un fichier de stratégie signé avec une .p7 extension. Vous devez renommer le fichier où {GUID}.cip « {GUID} » est le <PolicyId> de votre xml de stratégie WDAC d’origine.

Vérifier et déployer la stratégie signée

Vous pouvez utiliser certutil.exe pour vérifier le fichier signé. Passez en revue la sortie pour confirmer l’algorithme de signature et l’encodage des champs de certificat, tels que « nom commun de l’objet » et « nom commun de l’émetteur », comme décrit dans l’avertissement en haut de cet article.

certutil.exe -asn <path to signed policy file>

Testez minutieusement la stratégie signée sur un ensemble représentatif d’ordinateurs avant de poursuivre le déploiement. Veillez à redémarrer les ordinateurs de test au moins deux fois après avoir appliqué la stratégie WDAC signée pour vous assurer que vous ne rencontrez pas d’échec de démarrage.

Une fois que vous avez vérifié la stratégie signée, déployez-la à l’aide de votre méthode de déploiement préférée. Pour plus d’informations sur le déploiement de stratégies, consultez Déploiement de stratégies de contrôle d’application Windows Defender.

Remarque

La protection anti-falsification pour les stratégies signées prend effet après le premier redémarrage une fois que la stratégie signée est appliquée à un ordinateur. Cette protection s’applique uniquement aux ordinateurs sur lesquels le démarrage sécurisé UEFI est activé.