Utiliser plusieurs stratégies de contrôle d’application Windows Defender

• S’applique à:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Remarque

Certaines fonctionnalités de Windows Defender Contrôle d’application (WDAC) ne sont disponibles que sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités de contrôle d’application Windows Defender.

À compter de Windows 10 version 1903 et Windows Server 2022, vous pouvez déployer plusieurs stratégies WDAC (Windows Defender Application Control) côte à côte sur un appareil. Pour autoriser plus de 32 stratégies actives, installez la mise à jour de sécurité Windows publiée le ou après le 9 avril 2024, puis redémarrez l’appareil. Avec ces mises à jour, il n’y a aucune limite pour le nombre de stratégies que vous pouvez déployer à la fois sur un appareil donné. Tant que vous n’installez pas la mise à jour de sécurité Windows publiée le 9 avril 2024 ou après, votre appareil est limité à 32 stratégies actives et vous ne devez pas dépasser ce nombre.

Remarque

La limite de stratégie n’a pas été supprimée le Windows 11 21H2 et restera limitée à 32 stratégies.

Voici quelques scénarios courants où plusieurs stratégies côte à côte sont utiles :

1. Appliquer et auditer côte à côte
   • Pour valider les modifications de stratégie avant le déploiement en mode d’application, les utilisateurs peuvent désormais déployer une stratégie de base en mode audit côte à côte avec une stratégie de base en mode d’application existante
2. Stratégies de base multiples
   • Les utilisateurs peuvent appliquer deux stratégies de base ou plus simultanément afin d’autoriser un ciblage de stratégie plus simple pour les stratégies avec une étendue/intention différente
   • S’il existe deux stratégies de base sur un appareil, une application doit passer les deux stratégies pour qu’elle s’exécute
3. Stratégies supplémentaires
   • Les utilisateurs peuvent déployer une ou plusieurs stratégies supplémentaires pour développer une stratégie de base
   • Une stratégie supplémentaire développe une stratégie de base unique, et plusieurs stratégies supplémentaires peuvent développer la même stratégie de base
   • Pour les stratégies supplémentaires, les applications autorisées par la stratégie de base ou sa stratégie/stratégies supplémentaires s’exécutent

Remarque

Les systèmes antérieurs à 1903 ne prennent pas en charge l’utilisation de stratégies WDAC à plusieurs formats de stratégie.

Interaction de stratégie de base et supplémentaire

• Stratégies de base multiples : intersection
  • Seules les applications autorisées par les deux stratégies s’exécutent sans générer d’événements de bloc
• Stratégie de base + supplémentaire : union
  • Fichiers autorisés par la stratégie de base ou l’exécution de la stratégie supplémentaire

Création de stratégies WDAC dans plusieurs formats de stratégie

Pour permettre à plusieurs stratégies d’exister et de prendre effet sur un seul système, les stratégies doivent être créées à l’aide du nouveau format de stratégie multiple. Le commutateur « MultiplePolicyFormat » dans New-CIPolicy entraîne 1) la génération de valeurs uniques pour l’ID de stratégie et 2) le type de stratégie défini en tant que stratégie de base. L’exemple ci-dessous décrit le processus de création d’une stratégie dans le format de stratégie multiple.

New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level FilePublisher -Fallback SignedVersion,Publisher,Hash

Si vous le souhaitez, vous pouvez choisir d’autoriser la nouvelle stratégie de base pour les stratégies supplémentaires.

Set-RuleOption -FilePath ".\policy.xml" -Option 17

Pour que les stratégies de base signées autorisent les stratégies supplémentaires, assurez-vous que les signataires supplémentaires sont définis. Utilisez le commutateur Supplémentaire dans Add-SignerRule pour fournir des signataires supplémentaires.

Add-SignerRule -FilePath ".\policy.xml" -CertificatePath <certificate_path_> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]

Création de stratégies supplémentaires

Pour créer une stratégie supplémentaire, commencez par créer une stratégie au format de stratégie multiple, comme indiqué précédemment. À partir de là, utilisez Set-CIPolicyIdInfo pour la convertir en stratégie supplémentaire et spécifier la stratégie de base qu’elle développe. Vous pouvez utiliser SupplementsBasePolicyID ou BasePolicyToSupplementPath pour spécifier la stratégie de base.

• « SupplementsBasePolicyID » : GUID de la stratégie de base à laquelle la stratégie supplémentaire s’applique
• « BasePolicyToSupplementPath » : chemin d’accès au fichier de stratégie de base auquel la stratégie supplémentaire s’applique

Set-CIPolicyIdInfo -FilePath ".\supplemental_policy.xml" [-SupplementsBasePolicyID <BasePolicyGUID>] [-BasePolicyToSupplementPath <basepolicy_path_>] -PolicyId <policy_Id> -PolicyName <PolicyName>

Fusion de stratégies

Lorsque vous fusionnez des stratégies, le type de stratégie et l’ID de la stratégie la plus à gauche/première spécifiée sont utilisés. Si la stratégie la plus à gauche est une stratégie de base avec <l’ID>, quels que soient les GUID et les types pour les stratégies suivantes, la stratégie fusionnée est une stratégie de base avec l’ID<>.

Déploiement de plusieurs stratégies

Pour déployer plusieurs stratégies de contrôle d’application Windows Defender, vous devez les déployer localement en copiant les *.cip fichiers de stratégie dans le dossier approprié ou en utilisant le fournisseur de services de configuration ApplicationControl.

Déploiement de plusieurs stratégies localement

Pour déployer des stratégies localement à l’aide du nouveau format de stratégie multiple, procédez comme suit :

1. Vérifiez que les fichiers de stratégie binaires ont le format de nommage correct de {PolicyGUID}.cip.
   • Vérifiez que le nom du fichier de stratégie binaire est exactement le même que le GUID PolicyID dans la stratégie
   • Par exemple, si le code XML de stratégie avait l’ID , <PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID>le nom correct du fichier de stratégie binaire serait {A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip.
2. Copiez les stratégies binaires dans C:\Windows\System32\CodeIntegrity\CiPolicies\Active.
3. Redémarrez le système.

Déploiement de plusieurs stratégies via le fournisseur de services de configuration ApplicationControl

Plusieurs stratégies de contrôle d’application Windows Defender peuvent être gérées à partir d’un serveur GPM via le fournisseur de services de configuration (CSP) ApplicationControl. Le fournisseur csp prend également en charge le déploiement de stratégie sans redémarrage.

Toutefois, lorsque les stratégies sont annulées à partir d’un serveur GPM, le fournisseur de solutions cloud tente de supprimer toutes les stratégies qui ne sont pas activement déployées, et pas seulement les stratégies ajoutées par le fournisseur de solutions cloud. Ce comportement se produit parce que le système ne sait pas quelles méthodes de déploiement ont été utilisées pour appliquer des stratégies individuelles.

Pour plus d’informations sur le déploiement de plusieurs stratégies, éventuellement à l’aide de la fonctionnalité OMA-URI personnalisée de Microsoft Intune, consultez ApplicationControl CSP.

Remarque

Actuellement, WMI et GP ne prennent pas en charge plusieurs stratégies. Au lieu de cela, les clients qui ne peuvent pas accéder directement à la pile GPM doivent utiliser le fournisseur de solutions Cloud ApplicationControl via le fournisseur WMI du pont MDM pour gérer les stratégies multi-format de stratégie Windows Defender de contrôle d’application.