Gérer les applications empaquetées avec Windows Defender contrôle d’application

• S’applique à:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Remarque

Certaines fonctionnalités de Windows Defender Contrôle d’application (WDAC) ne sont disponibles que sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités WDAC.

Cet article destiné aux professionnels de l’informatique décrit les concepts et répertorie les procédures pour vous aider à gérer les applications empaquetées avec Windows Defender Contrôle d’application (WDAC) dans le cadre de votre stratégie globale de contrôle des applications.

Comparaison des applications Windows classiques et des applications empaquetées

Le plus grand défi de l’adoption du contrôle d’application est l’absence d’une identité d’application forte pour les applications Windows classiques, également appelées applications win32. Une application win32 classique se compose de plusieurs composants, y compris le programme d’installation utilisé pour installer l’application, et d’un ou plusieurs exes, dlls ou scripts. Une application peut se composer de centaines, voire de milliers de fichiers binaires individuels, qui fonctionnent ensemble pour fournir les fonctionnalités que vos utilisateurs comprennent comme l’application. Une partie de ce code peut être signée par l’éditeur du logiciel, d’autres peuvent être signées par d’autres sociétés, et d’autres peuvent ne pas être signées du tout. Une grande partie du code peut être écrite sur le disque par un ensemble commun de programmes d’installation, mais certains peuvent déjà être installés et d’autres téléchargés à la demande. Certains fichiers binaires ont des métadonnées d’en-tête de ressource communes, telles que le nom du produit et la version du produit, mais d’autres fichiers ne partagent pas ces informations. Par conséquent, bien que vous souhaitiez pouvoir exprimer des règles telles que « autoriser l’application Foo », ce n’est pas quelque chose que Windows comprend par nature pour les applications Windows classiques. Au lieu de cela, vous devrez peut-être créer de nombreuses règles WDAC pour autoriser tous les fichiers qui composent l’application.

En revanche, les applications empaquetées, également appelées MSIX, garantissent que tous les fichiers qui composent une application partagent la même identité et ont une signature commune. Par conséquent, avec les applications empaquetées, il est possible de contrôler l’ensemble de l’application avec une seule règle WDAC.

Utilisation de WDAC pour gérer les applications empaquetées

Important

Lorsque vous contrôlez des applications empaquetées, vous devez choisir entre les règles de signataire ou les règles PFN (Package Family Name). Si une règle PFN (Package Family Name) est utilisée dans votre stratégie de base WDAC ou l’une de ses stratégies supplémentaires, toutes les applications empaquetées doivent être contrôlées exclusivement à l’aide de règles PFN. Vous ne pouvez pas combiner des règles PFN avec des règles basées sur des signatures dans l’étendue d’une stratégie de base donnée. Cela affectera de nombreuses applications système de boîte de réception, comme le menu Démarrer. Vous pouvez utiliser des caractères génériques dans les règles PFN sur Windows 11 pour simplifier la création de règles.

Création de règles basées sur des signatures pour les applications empaquetées

Tous les fichiers qui composent une application MSIX sont signés avec une signature de catalogue commune. Vous pouvez créer une règle de signataire à partir du fichier d’installation de l’application MSIX (.msix ou .msixbundle) ou du fichier AppxSignature.p7x trouvé dans le dossier d’installation de l’application sous %ProgramFiles%\WindowsApps\ à l’aide de l’applet de commande PowerShell New-CIPolicyRule . Exemple :

Créer une règle de signataire à partir de MSIX/MSIXBUNDLE

$FilePath = $env:USERPROFILE+'\Downloads\WDACWizard_2.1.0.1_x64_8wekyb3d8bbwe.MSIX'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher

Utilisez ensuite l’applet de commande PowerShell Merge-CIPolicy pour fusionner votre nouvelle règle dans votre code XML de stratégie WDAC existant.

Créer une règle de signataire à partir d’AppxSignature.p7x

$FilePath = $env:ProgramFiles+'\WindowsApps\Microsoft.WDAC.WDACWizard_2.1.0.1_x64__8wekyb3d8bbwe\AppxSignature.p7x'
$Rules = New-CIPolicyRule -DriverFilePath $FilePath -Level Publisher

Utilisez ensuite l’applet de commande PowerShell Merge-CIPolicy pour fusionner votre nouvelle règle dans votre code XML de stratégie WDAC existant.

Création de règles PackageFamilyName pour les applications empaquetées

Créer des règles PFN à partir de PowerShell

Vous pouvez créer des règles PFN directement à partir d’applications empaquetées actuellement installées à l’aide des applets de commande PowerShell Get-AppXPackage et New-CIPolicyRule . Exemple :

# Query for the packaged apps. This example looks for all packages from Microsoft.
$Packages = Get-AppXPackage -Name Microsoft.*
foreach ($Package in $Packages)
{
   $Rules += New-CIPolicyRule -Package $Package
}

Utilisez ensuite l’applet de commande PowerShell Merge-CIPolicy pour fusionner vos nouvelles règles dans votre code XML de stratégie WDAC existant.

Créer des règles PFN à l’aide de l’Assistant WDAC

Créer une règle PFN à partir d’une application MSIX installée

Procédez comme suit pour créer une règle PFN WDAC pour une application installée sur le système :

1. Dans la page Règles de signature de stratégie de l’Assistant WDAC, sélectionnez Ajouter une règle personnalisée.
2. Si cette option n’est pas cochée, cochez La règle usermode comme étendue de la règle.
3. Sélectionnez Autoriser ou Refuser pour votre action de règle.
4. Sélectionnez Application empaquetée pour votre type de règle.
5. Dans le champ Nom du package , entrez une valeur de chaîne à rechercher. Vous pouvez utiliser ? des caractères génériques ou * dans la chaîne de recherche. Sélectionnez ensuite Rechercher.
6. Dans la zone de résultats, case activée une ou plusieurs applications pour lesquelles vous souhaitez créer des règles.
7. Sélectionnez Créer une règle.
8. Créez toutes les autres règles souhaitées, puis terminez l’Assistant.

Créer une règle PFN à l’aide d’une chaîne personnalisée

Procédez comme suit pour créer une règle PFN avec une valeur de chaîne personnalisée :

1. Répétez les étapes 1 à 4 dans l’exemple précédent.
2. Cochez la case Utiliser la famille de packages personnalisée. L’étiquette du bouton Rechercher devient Créer.
3. Dans le champ Nom du package , entrez une valeur de chaîne pour votre règle PFN. Vous pouvez utiliser ? des caractères génériques ou * si vous ciblez des appareils Windows 11. Sélectionnez ensuite Créer.
4. Dans la zone de résultats, case activée une ou plusieurs applications pour lesquelles vous souhaitez créer des règles.
5. Sélectionnez Créer une règle.
6. Créez toutes les autres règles souhaitées, puis terminez l’Assistant.