Windows Defender Exemples de stratégies de base de contrôle d’application
Remarque
Certaines fonctionnalités de Windows Defender Contrôle d’application ne sont disponibles que sur des versions spécifiques de Windows. Pour plus d’informations, consultez Windows Defender disponibilité des fonctionnalités de contrôle d’application.
Lorsque vous créez des stratégies à utiliser avec Windows Defender Contrôle d’application (WDAC), commencez à partir d’une stratégie de base existante, puis ajoutez ou supprimez des règles pour créer votre propre stratégie personnalisée. Windows inclut plusieurs exemples de stratégies que vous pouvez utiliser. Ces exemples de stratégies sont fournis « en l’état ». Vous devez tester minutieusement les stratégies que vous déployez à l’aide de méthodes de déploiement sécurisées.
| Exemple de stratégie de base | Description | Où il peut être trouvé |
|---|---|---|
| DefaultWindows_*.xml | Cet exemple de stratégie est disponible en mode audit et en mode appliqué. Il inclut des règles permettant d’autoriser Windows, les pilotes matériels et logiciels de noyau tiers et les applications du Windows Store. Utilisé comme base pour les Microsoft Intune stratégies de famille de produits. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\DefaultWindows_Audit.xml |
| AllowMicrosoft.xml | Cet exemple de stratégie inclut les règles de DefaultWindows et ajoute des règles aux applications d’approbation signées par le certificat racine de produit Microsoft. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\AllowMicrosoft.xml |
| AllowAll.xml | Cet exemple de stratégie est utile lors de la création d’une liste de blocage. Toutes les stratégies de blocage doivent inclure des règles autorisant l’exécution de tout autre code, puis ajouter les règles DENY pour les besoins de votre organization. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml |
| AllowAll_EnableHVCI.xml | Cet exemple de stratégie peut être utilisé pour activer l’intégrité de la mémoire (également appelée intégrité du code protégée par l’hyperviseur) à l’aide de WDAC. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml |
| DenyAllAudit.xml | Avertissement : provoquera des problèmes de démarrage sur Windows Server 2019 et versions antérieures. N’utilisez pas sur ces systèmes d’exploitation. Déployez uniquement cet exemple de stratégie en mode audit pour suivre tous les fichiers binaires en cours d’exécution sur des systèmes critiques ou pour répondre aux exigences réglementaires. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml |
| Microsoft Configuration Manager | Les clients qui utilisent Configuration Manager peuvent déployer une stratégie avec l’intégration WDAC intégrée de Configuration Manager, puis utiliser le xml de stratégie généré comme exemple de stratégie de base. | %OSDrive%\Windows\CCM\DeviceGuard sur un point de terminaison managé |
| SmartAppControl.xml | Cet exemple de stratégie inclut des règles basées sur le contrôle d’application intelligente qui sont bien adaptées aux systèmes gérés légèrement. Cette stratégie inclut une règle qui n’est pas prise en charge pour les stratégies WDAC d’entreprise et qui doit être supprimée. Pour plus d’informations sur l’utilisation de cet exemple de stratégie, consultez Créer une stratégie de base personnalisée à l’aide d’un exemple de stratégie de base. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\SignedReputable.xml |
| Exemple de stratégie supplémentaire | Cet exemple de stratégie montre comment utiliser une stratégie supplémentaire pour développer le DefaultWindows_Audit.xml autoriser un seul fichier signé par Microsoft. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml |
| Liste des blocages recommandés par Microsoft | Cette stratégie inclut une liste de code Windows et signé par Microsoft que Microsoft recommande de bloquer lors de l’utilisation de WDAC, si possible. | Règles de blocage recommandées par Microsoft %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_UserMode_Blocklist.xml |
| Liste de blocage des pilotes recommandés par Microsoft | Cette stratégie inclut des règles pour bloquer les pilotes de noyau vulnérables ou malveillants connus. | Règles de blocage des pilotes recommandées par Microsoft %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_Driver_Blocklist.xml |
| Mode Windows S | Cette stratégie inclut les règles utilisées pour appliquer le mode Windows S. | %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSiPolicy.xml.xml |
| Windows 11 SE | Cette stratégie inclut les règles utilisées pour appliquer Windows 11 SE, une version de Windows conçue pour une utilisation dans les établissements scolaires. | %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSEPolicy.xml.xml |
Remarque
Toutes les stratégies affichées dans %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies ne sont pas disponibles sur toutes les versions de Windows.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour