Fusionner Windows Defender stratégies de contrôle d’application (WDAC)
Remarque
Certaines fonctionnalités de Windows Defender Contrôle d’application (WDAC) ne sont disponibles que sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités de contrôle d’application Windows Defender.
Cet article explique comment fusionner plusieurs fichiers XML de stratégie et comment fusionner des règles directement dans une stratégie. Windows Defender déploiements Application Control incluent souvent quelques stratégies de base et des stratégies supplémentaires facultatives pour des cas d’usage spécifiques.
Remarque
Avant Windows version 1903, y compris Windows Server 2019 et versions antérieures, une seule stratégie de contrôle d’application Windows Defender peut être active sur un système à la fois. Si vous devez utiliser WDAC sur des systèmes exécutant ces versions antérieures de Windows, vous devez fusionner toutes les stratégies avant de déployer.
Fusionner plusieurs fichiers XML de stratégie WDAC
Il existe de nombreux scénarios dans lesquels vous souhaiterez peut-être fusionner au moins deux fichiers de stratégie. Par exemple, si vous utilisez des événements d’audit pour créer Windows Defender règles de stratégie De contrôle d’application, vous pouvez fusionner ces règles avec votre stratégie de base WDAC existante. Pour fusionner les deux stratégies WDAC référencées dans cet article, effectuez les étapes suivantes dans une session Windows PowerShell avec élévation de privilèges.
Initialisez les variables qui seront utilisées :
$PolicyName= "Lamna_FullyManagedClients_Audit" $LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml" $EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml" $MergedPolicy=$env:userprofile+"\Desktop\"+$PolicyName+"_Merged.xml"Utilisez Merge-CIPolicy pour fusionner deux stratégies et créer une stratégie de contrôle d’application Windows Defender :
Merge-CIPolicy -PolicyPaths $LamnaPolicy,$EventsPolicy -OutputFilePath $MergedPolicyRemarque
Vous pouvez fusionner des stratégies supplémentaires avec l’étape Merge-CIPolicy ci-dessus en les ajoutant au paramètre -PolicyPaths séparés par des virgules. Le nouveau fichier de stratégie spécifié par -OutputFilePath contient les informations de stratégie de la première stratégie de la liste. Par exemple, dans l’exemple ci-dessus, le $MergedPolicy héritera des informations sur le type de stratégie, l’ID, le nom et la version de $LamnaPolicy. Pour modifier l’une de ces valeurs, utilisez Set-CIPolicyIdInfo et Set-CIPolicyVersion.
Fusionner des règles WDAC directement dans un xml de stratégie
Outre la fusion de plusieurs fichiers XML de stratégie, vous pouvez également fusionner des règles créées avec l’applet de commande New-CIPolicyRule directement dans un fichier XML de stratégie WDAC existant. La fusion directe des règles est un moyen pratique de mettre à jour votre stratégie sans créer de fichiers XML de stratégie supplémentaires. Par exemple, pour ajouter des règles qui autorisent l’Assistant WDAC et l’outil RefreshPolicy.exe WDAC, procédez comme suit :
Installez l’application MSIX empaquetée de l’Assistant WDAC .
Téléchargez l’outil Stratégie d’actualisation pour votre architecture de processeur et enregistrez-le sur votre bureau en tant que RefreshPolicy.exe.
À partir d’une session PowerShell, exécutez les commandes suivantes pour créer des règles d’autorisation d’application empaquetées pour l’Assistant WDAC :
$PackageInfo = Get-AppxPackage -Name Microsoft.WDAC.WDACWizard $Rules = New-CIPolicyRule -Package $PackageInfoAjoutez des règles FilePublisher pour le RefreshPolicy.exe :
$Rules += New-CIPolicyRule -DriverFilePath $env:USERPROFILE\Desktop\RefreshPolicy.exe -Level FilePublisherUtilisez Merge-CIPolicy pour fusionner les nouvelles règles directement dans le fichier MergedPolicy créé à l’étape finale de la procédure précédente :
Merge-CIPolicy -PolicyPaths $MergedPolicy -OutputFilePath $MergedPolicy -Rules $Rules
Convertir et déployer une stratégie fusionnée en points de terminaison managés
Maintenant que vous disposez de votre nouvelle stratégie fusionnée, vous pouvez convertir et déployer le fichier binaire de stratégie sur vos points de terminaison managés.
Utilisez ConvertFrom-CIPolicy pour convertir la stratégie WDAC au format binaire :
$WDACPolicyBin=$env:userprofile+"\Desktop\"+$PolicyName+"_{InsertPolicyID}.bin" ConvertFrom-CIPolicy -XMLFilePath $MergedPolicy -BinaryFilePath $WDACPolicyBinRemarque
Dans les exemples de commandes ci-dessus, pour les stratégies ciblant Windows 10 version 1903+ ou Windows 11, remplacez la chaîne « {InsertPolicyID} » par le GUID PolicyID réel (y compris les accolades { }) trouvé dans votre fichier XML de stratégie. Pour Windows 10 versions antérieures à 1903, utilisez le nom SiPolicy.p7b comme nom de fichier binaire.
Chargez votre code XML de stratégie fusionné et le fichier binaire associé dans la solution de contrôle de code source que vous utilisez pour vos stratégies de contrôle d’application Windows Defender. comme GitHub ou une solution de gestion de documents telle que Office 365 SharePoint.
Déployez la stratégie fusionnée à l’aide de votre solution de déploiement préférée. Consultez Déploiement de stratégies WDAC (Windows Defender Application Control)
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour