Création d’une stratégie de base avec l’Assistant
Remarque
Certaines fonctionnalités de Windows Defender Contrôle d’application ne sont disponibles que sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités de contrôle d’application Windows Defender.
Lors de la création de stratégies à utiliser avec Windows Defender Contrôle d’application (WDAC), il est recommandé de commencer par une stratégie de modèle, puis d’ajouter ou de supprimer des règles en fonction de votre scénario de contrôle d’application. Pour cette raison, l’Assistant WDAC propose trois modèles de stratégies à partir duquel démarrer et personnaliser pendant le flux de travail de création de stratégie de base. Les informations requises sur le contrôle d’application sont accessibles via le guide de conception WDAC. Cette page décrit les étapes à suivre pour créer une stratégie de contrôle d’application à partir d’un modèle, configurer les options de stratégie et les règles de signataire et de fichier.
Stratégies de base de modèles
Chacune des stratégies de modèle possède un ensemble unique de règles de liste d’autorisation de stratégie qui affectent le modèle de cercle de confiance et de sécurité de la stratégie. Le tableau suivant répertorie les stratégies dans l’ordre croissant de confiance et de liberté. Par instance, la stratégie en mode Windows par défaut approuve moins d’éditeurs et de signataires d’application que la stratégie en mode Signé et fiable. La stratégie Windows par défaut a un cercle de confiance plus petit avec une meilleure sécurité que la stratégie Signée et fiable, mais au détriment de la compatibilité.
| Stratégie de base de modèle | Description |
|---|---|
| Mode Windows par défaut | Le mode Windows par défaut autorise les composants suivants :
|
| Autoriser le mode Microsoft | Le mode Autoriser autorise les composants suivants :
|
| Mode signé et digne de confiance | Le mode Signé et fiable autorise les composants suivants :
|
Le contenu en italique désigne les modifications apportées à la stratégie actuelle par rapport à la stratégie précédente.
Pour plus d’informations sur les stratégies Mode Windows par défaut et Autoriser le mode Microsoft, consultez l’article Exemple Windows Defender stratégies de base du contrôle d’application.
Une fois le modèle de base sélectionné, donnez un nom à la stratégie et choisissez où enregistrer la stratégie de contrôle d’application sur le disque.
Configuration des règles de stratégie
Au lancement de la page, les règles de stratégie sont automatiquement activées/désactivées en fonction du modèle choisi dans la page précédente. Choisissez d’activer ou de désactiver les options de règle de stratégie souhaitées en appuyant sur le bouton curseur en regard des titres des règles de stratégie. Une brève description de chaque règle s’affiche en bas de la page lorsque la souris pointe sur le titre de la règle.
Description des règles de stratégie
Le tableau suivant contient une description de chaque règle de stratégie, en commençant par la colonne la plus à gauche. L’article Règles de stratégie fournit une description plus complète de chaque règle de stratégie.
| Option de règle | Description |
|---|---|
| Menu Options de démarrage avancées | Le menu de prédémarrage F8 est désactivé par défaut pour toutes les stratégies de contrôle d’application Windows Defender. Si vous définissez cette option de règle, le menu F8 s’affiche pour les utilisateurs physiquement présents. |
| Autoriser les stratégies supplémentaires | Utilisez cette option sur une stratégie de base pour permettre aux stratégies supplémentaires de la développer. |
| Désactiver l’application des scripts | Cette option désactive les options d’application de script. Les scripts PowerShell non signés et PowerShell interactifs ne sont plus limités au mode de langage limité. REMARQUE : cette option est nécessaire pour exécuter des fichiers HTA et n’est prise en charge qu’avec les Mise à jour de mai 2019 de Windows 10 (1903) et versions ultérieures. Son utilisation sur des versions antérieures de Windows 10 n’est pas prise en charge et peut avoir des résultats inattendus. |
| Intégrité du code protégé par l’hyperviseur (HVCI) | Lorsqu’elle est activée, l’application de stratégie utilise la sécurité basée sur la virtualisation pour exécuter le service d’intégrité du code dans un environnement sécurisé. HVCI offre des protections renforcées contre les programmes malveillants du noyau. |
| Autorisation de graphe de sécurité intelligent | Utilisez cette option pour autoriser automatiquement les applications dont la réputation est « connue » comme défini par Microsoft Intelligent Security Graph (ISG). |
| Programme d’installation managé | Utilisez cette option pour autoriser automatiquement les applications installées par une solution de distribution de logiciels, telle que Microsoft Configuration Manager, qui a été définie comme un programme d’installation managé. |
| Exiger WHQL | Par défaut, les pilotes hérités qui ne sont pas signés WHQL (Hardware Quality Labs) Windows sont autorisés à s’exécuter. L’activation de cette règle nécessite que chaque pilote exécuté soit signé par le laboratoire WHQL et supprime la prise en charge des pilotes hérités. Désormais, chaque nouveau pilote compatible Windows doit être certifié WHQL. |
| Mettre à jour la stratégie sans redémarrer | Utilisez cette option pour autoriser les futures mises à jour de stratégie de contrôle d’application Windows Defender à s’appliquer sans nécessiter de redémarrage du système. |
| Stratégie d’intégrité système non signée | Permet à la stratégie de rester non signée. Lorsque cette option est supprimée, la stratégie doit être signée et ajouter l’élément UpdatePolicySigners à la stratégie pour permettre toute modification future de cette dernière. |
| Intégrité du code en mode utilisateur | Windows Defender stratégies de contrôle d’application limitent les fichiers binaires en mode noyau et en mode utilisateur. Par défaut, seuls les fichiers binaires en mode noyau sont limités. L’activation de cette option de règle permet de valider les scripts et fichiers exécutables du mode utilisateur. |
Description des règles de stratégie avancées
La sélection de l’étiquette + Options avancées affiche une autre colonne de règles de stratégie, règles de stratégie avancées. Le tableau suivant fournit une description de chaque règle de stratégie avancée.
| Option de règle | Description |
|---|---|
| Audit de démarrage en cas d’échec | Utilisé lorsque la stratégie de contrôle d’application Windows Defender (WDAC) est en mode d’application. Lorsqu’un pilote échoue au démarrage, la stratégie WDAC est placée en mode audit afin que Windows se charge. Les administrateurs peuvent valider la cause de l’échec dans le journal des événements CodeIntegrity. |
| Désactiver la signature de version d’évaluation | Si elles sont activées, les stratégies WDAC bloquent les fichiers binaires signés flightroot. Cette option est utilisée dans le scénario dans lequel les organisations souhaitent uniquement exécuter des fichiers binaires publiés, et non des builds signées en version d’évaluation ou en préversion. |
| Désactiver la protection des règles FilePath runtime | Cette option désactive le runtime par défaut case activée qui autorise uniquement les règles FilePath pour les chemins d’accès accessibles en écriture uniquement par un administrateur. |
| Sécurité du code dynamique | Active l’application de stratégie pour les applications .NET et les bibliothèques chargées dynamiquement (DLL). |
| Invalider les EA au redémarrage | Lorsque l’option Intelligent Security Graph (14) est utilisée, WDAC définit un attribut de fichier étendu qui indique que le fichier a été autorisé à s’exécuter. Cette option permet à WDAC de revalider régulièrement la réputation des fichiers autorisés par l’ISG. |
| Exiger des signataires EV | Cette option n’est actuellement pas prise en charge. |
Remarque
Nous vous recommandons d’activer le mode Audit au départ, car il vous permet de tester de nouvelles stratégies de contrôle d’application Windows Defender avant de les appliquer. Avec le mode audit, aucune application n’est bloquée. À la place, la stratégie enregistre un événement chaque fois qu’une application en dehors de la stratégie est démarrée. Pour cette raison, le mode Audit est activé par défaut pour tous les modèles.
Création de règles de fichier personnalisées
Les règles de fichier dans une stratégie de contrôle d’application spécifient le niveau auquel les applications sont identifiées et approuvées. Les règles de fichier sont le mécanisme main pour définir l’approbation dans la stratégie de contrôle d’application. La sélection de + Règles personnalisées ouvre le panneau Conditions de règle de fichier personnalisé pour créer des règles de fichier personnalisées pour votre stratégie. L’Assistant prend en charge quatre types de règles de fichier :
Règles d’éditeur
Le type de règle de fichier Publisher utilise les propriétés de la chaîne de certificats de signature de code pour les règles de fichier de base. Une fois que le fichier de base de la règle, appelé fichier de référence, est sélectionné, utilisez le curseur pour indiquer la spécificité de la règle. Le tableau suivant montre la relation entre le positionnement du curseur, le niveau de règle WDAC (Windows Defender Application Control) correspondant et sa description. Plus le placement sur la table et le curseur de l’interface utilisateur sont bas, plus la spécificité de la règle est grande.
| Condition de règle | Niveau de règle WDAC | Description |
|---|---|---|
| Émission d’une autorité de certification | PCACertificate | Le certificat le plus élevé disponible est ajouté aux signataires. Ce certificat est généralement le certificat PCA, un niveau sous le certificat racine. Tout fichier signé par ce certificat est affecté. |
| Éditeur | Éditeur | Cette règle est une combinaison de la règle PCACertificate et du nom commun (CN) du certificat feuille. Tout fichier signé par une autorité de certification majeure, mais avec une feuille d’une société spécifique, par exemple, une société de pilotes d’appareil, est affecté. |
| Version du fichier | SignedVersion | Cette règle est une combinaison de PCACertificate, d’éditeur et d’un numéro de version. Tout élément du serveur de publication spécifié avec une version au-dessus ou au-dessus de celle spécifiée est affecté. |
| Nom de fichier | FilePublisher | Plus spécifique. Combinaison du nom de fichier, de l’éditeur et du certificat PCA et d’un numéro de version minimal. Les fichiers du serveur de publication portant le nom spécifié et supérieurs ou égaux à la version spécifiée sont affectés. |
Règles de chemin d’accès aux fichiers
Les règles filepath ne fournissent pas les mêmes garanties de sécurité que les règles de signataire explicites, car elles sont basées sur des autorisations d’accès mutables. Pour créer une règle de chemin de fichier, sélectionnez le fichier à l’aide du bouton Parcourir .
Règles d’attribut de fichier
L’Assistant prend en charge la création de règles de nom de fichier basées sur des attributs de fichier authentifiés. Les règles de nom de fichier sont utiles lorsqu’une application et ses dépendances (par exemple, dll) peuvent tous partager le même nom de produit, pour instance. Ce niveau de règle permet aux utilisateurs de créer facilement des stratégies ciblées basées sur le paramètre Product Name file name. Pour sélectionner l’attribut de fichier afin de créer la règle, déplacez le curseur de l’Assistant vers l’attribut souhaité. Le tableau suivant décrit chacun des attributs de fichier pris en charge à partir desquels créer une règle.
| Niveau de règle | Description |
|---|---|
| Nom de fichier d’origine | Spécifie le nom de fichier d’origine, ou le nom avec lequel le fichier a été créé pour la première fois, du fichier binaire. |
| Description du fichier | Spécifie la description du fichier fournie par le développeur du fichier binaire. |
| Nom du produit | Spécifie le nom du produit avec lequel le fichier binaire est fourni. |
| Nom interne | Spécifie le nom interne du fichier binaire. |
Règles de hachage de fichier
Enfin, l’Assistant prend en charge la création de règles de fichier à l’aide du hachage du fichier. Bien que ce niveau soit spécifique, il peut entraîner une surcharge administrative supplémentaire pour maintenir les valeurs de hachage de la version actuelle du produit. Chaque fois qu’un fichier binaire est mis à jour, la valeur de hachage change, ce qui nécessite la mise à jour de la stratégie. Par défaut, l’Assistant utilise le hachage de fichier comme secours si une règle de fichier ne peut pas être créée à l’aide du niveau de règle de fichier spécifié.
Suppression des règles de signature
Le tableau de liste des règles de signature de stratégie à gauche de la page documente les règles d’autorisation et de refus dans le modèle, ainsi que les règles personnalisées que vous créez. Les règles de signature de modèle et les règles personnalisées peuvent être supprimées de la stratégie en sélectionnant la règle dans la table de liste de règles. Une fois la règle mise en surbrillance, appuyez sur le bouton Supprimer sous la table. Vous êtes ensuite invité à fournir une autre confirmation. Sélectionnez cette option Yes pour supprimer la règle de la stratégie et de la table des règles.
À la prochaine étape
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour