Partager via


Windows Defender Exemples de stratégies de base de contrôle d’application

Remarque

Certaines fonctionnalités de Windows Defender Contrôle d’application ne sont disponibles que sur des versions spécifiques de Windows. Pour plus d’informations, consultez Windows Defender disponibilité des fonctionnalités de contrôle d’application.

Lorsque vous créez des stratégies à utiliser avec Windows Defender Contrôle d’application (WDAC), commencez à partir d’une stratégie de base existante, puis ajoutez ou supprimez des règles pour créer votre propre stratégie personnalisée. Windows inclut plusieurs exemples de stratégies que vous pouvez utiliser. Ces exemples de stratégies sont fournis « en l’état ». Vous devez tester minutieusement les stratégies que vous déployez à l’aide de méthodes de déploiement sécurisées.

Exemple de stratégie de base Description Où il peut être trouvé
DefaultWindows_*.xml Cet exemple de stratégie est disponible en mode audit et en mode appliqué. Il inclut des règles permettant d’autoriser Windows, les pilotes matériels et logiciels de noyau tiers et les applications du Windows Store. Utilisé comme base pour les Microsoft Intune stratégies de famille de produits. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml
%ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\DefaultWindows_Audit.xml
AllowMicrosoft.xml Cet exemple de stratégie inclut les règles de DefaultWindows et ajoute des règles aux applications d’approbation signées par le certificat racine de produit Microsoft. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml
%ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\AllowMicrosoft.xml
AllowAll.xml Cet exemple de stratégie est utile lors de la création d’une liste de blocage. Toutes les stratégies de blocage doivent inclure des règles autorisant l’exécution de tout autre code, puis ajouter les règles DENY pour les besoins de votre organization. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml
AllowAll_EnableHVCI.xml Cet exemple de stratégie peut être utilisé pour activer l’intégrité de la mémoire (également appelée intégrité du code protégée par l’hyperviseur) à l’aide de WDAC. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml
DenyAllAudit.xml Avertissement : provoquera des problèmes de démarrage sur Windows Server 2019 et versions antérieures. N’utilisez pas sur ces systèmes d’exploitation. Déployez uniquement cet exemple de stratégie en mode audit pour suivre tous les fichiers binaires en cours d’exécution sur des systèmes critiques ou pour répondre aux exigences réglementaires. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml
Microsoft Configuration Manager Les clients qui utilisent Configuration Manager peuvent déployer une stratégie avec l’intégration WDAC intégrée de Configuration Manager, puis utiliser le xml de stratégie généré comme exemple de stratégie de base. %OSDrive%\Windows\CCM\DeviceGuard sur un point de terminaison managé
SmartAppControl.xml Cet exemple de stratégie inclut des règles basées sur le contrôle d’application intelligente qui sont bien adaptées aux systèmes gérés légèrement. Cette stratégie inclut une règle qui n’est pas prise en charge pour les stratégies WDAC d’entreprise et qui doit être supprimée. Pour plus d’informations sur l’utilisation de cet exemple de stratégie, consultez Créer une stratégie de base personnalisée à l’aide d’un exemple de stratégie de base. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml
%ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\SignedReputable.xml
Exemple de stratégie supplémentaire Cet exemple de stratégie montre comment utiliser une stratégie supplémentaire pour développer le DefaultWindows_Audit.xml autoriser un seul fichier signé par Microsoft. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml
Liste des blocages recommandés par Microsoft Cette stratégie inclut une liste de code Windows et signé par Microsoft que Microsoft recommande de bloquer lors de l’utilisation de WDAC, si possible. Règles de blocage recommandées par Microsoft
%ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_UserMode_Blocklist.xml
Liste de blocage des pilotes recommandés par Microsoft Cette stratégie inclut des règles pour bloquer les pilotes de noyau vulnérables ou malveillants connus. Règles de blocage des pilotes recommandées par Microsoft
%OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml
%ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_Driver_Blocklist.xml
Mode Windows S Cette stratégie inclut les règles utilisées pour appliquer le mode Windows S. %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSiPolicy.xml.xml
Windows 11 SE Cette stratégie inclut les règles utilisées pour appliquer Windows 11 SE, une version de Windows conçue pour une utilisation dans les établissements scolaires. %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSEPolicy.xml.xml

Remarque

Toutes les stratégies affichées dans %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies ne sont pas disponibles sur toutes les versions de Windows.