Création d’une stratégie supplémentaire avec l’Assistant
Remarque
Certaines fonctionnalités de Windows Defender Contrôle d’application ne sont disponibles que sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités de contrôle d’application Windows Defender.
À compter de Windows 10 version 1903, Windows Defender Contrôle d’application (WDAC) prend en charge la création de plusieurs stratégies actives sur un appareil. Une ou plusieurs stratégies supplémentaires permettent aux clients d’étendre une stratégie de base WDAC pour augmenter le cercle de confiance de la stratégie. Une stratégie supplémentaire ne peut développer qu’une seule stratégie de base, mais plusieurs autres peuvent développer la même stratégie de base. Lorsque des stratégies supplémentaires sont utilisées, les applications autorisées par la base ou l’une de ses stratégies supplémentaires sont autorisées à s’exécuter.
Les informations requises sur le contrôle d’application sont accessibles via le guide de conception WDAC. Cette page décrit les étapes à suivre pour créer une stratégie de contrôle d’application supplémentaire, configurer les options de stratégie et les règles de signataire et de fichier.
Développement d’une stratégie de base
Une fois le type de stratégie supplémentaire choisi dans la page Nouvelle stratégie, les champs de boîte de dialogue Nom de la stratégie et fichier peuvent être utilisés pour nommer et enregistrer la stratégie supplémentaire. L’étape suivante nécessite la sélection d’une stratégie de base à développer. Pour développer une stratégie de base, la base doit autoriser des stratégies supplémentaires. L’Assistant WDAC vérifie si la stratégie de base autorise les suppléments et affiche la confirmation suivante.
Si la stratégie de base n’est pas configurée pour les stratégies supplémentaires, l’Assistant tente de convertir la stratégie en stratégie qui peut être complétée. Une fois l’opération réussie, l’Assistant affiche une boîte de dialogue indiquant que l’ajout de la règle Autoriser la stratégie supplémentaire a été effectué.
Les stratégies qui ne peuvent pas être complétées, pour instance une autre stratégie supplémentaire, sont détectées par l’Assistant et affichent l’erreur suivante. Seule une stratégie de base peut être complétée. Pour plus d’informations sur les stratégies supplémentaires, consultez notre article Sur plusieurs stratégies.
Configuration des règles de stratégie
Lors du lancement de la page, les règles de stratégie sont automatiquement activées/désactivées en fonction de la stratégie de base choisie dans la page précédente. La plupart des règles de stratégie supplémentaires sont héritées de la stratégie de base. L’Assistant analyse automatiquement la stratégie de base et définit les règles de stratégie supplémentaires requises pour qu’elles correspondent aux règles de stratégie de base. Les règles de stratégie héritées sont grisées et ne sont pas modifiables dans l’interface utilisateur.
Une brève description de la règle s’affiche en bas de la page lorsque le curseur est placé sur le titre de la règle.
Description des règles de stratégie supplémentaires configurables
Les stratégies supplémentaires ne peuvent configurer que trois règles de stratégie. Le tableau suivant décrit chaque règle de stratégie, en commençant par la colonne la plus à gauche. La sélection de l’étiquette + Options avancées affiche une autre colonne de règles de stratégie, les règles de stratégie avancées.
| Option de règle | Description |
|---|---|
| Autorisation de graphe de sécurité intelligent | Utilisez cette option pour autoriser automatiquement les applications dont la réputation est « bonne » telle que définie par l’Intelligent Security Graph (ISG) de Microsoft. |
| Programme d’installation managé | Utilisez cette option pour autoriser automatiquement les applications installées par une solution de distribution de logiciels, telle que Microsoft Configuration Manager, qui a été définie comme un programme d’installation managé. |
| Désactiver la protection des règles FilePath runtime | Cette option désactive le runtime par défaut case activée qui autorise uniquement les règles FilePath pour les chemins d’accès accessibles en écriture uniquement par un administrateur. |
Création de règles de fichier personnalisées
Les règles de fichier dans une stratégie de contrôle d’application spécifient le niveau auquel les applications sont identifiées et approuvées. Les règles de fichier sont le mécanisme main pour définir l’approbation dans la stratégie de contrôle d’application. La sélection de + Règles personnalisées ouvre le panneau Conditions de règle de fichier personnalisé pour créer et personnaliser des règles de fichier ciblées pour votre stratégie. L’Assistant prend en charge quatre types de règles de fichier :
Règles d’éditeur
Le type de règle de fichier Publisher utilise les propriétés de la chaîne de certificats de signature de code pour les règles de fichier de base. Une fois que le fichier de base de la règle, appelé fichier de référence, est sélectionné, utilisez le curseur pour indiquer la spécificité de la règle. Le tableau suivant montre la relation entre le positionnement du curseur, le niveau de règle WDAC (Windows Defender Application Control) correspondant et sa description. Plus le placement sur la table et le curseur de l’interface utilisateur sont bas, plus la spécificité de la règle est grande.
| Condition de règle | Niveau de règle WDAC | Description |
|---|---|---|
| Émission d’une autorité de certification | PCACertificate | Le certificat le plus élevé disponible est ajouté aux signataires. Ce certificat est généralement le certificat PCA, un niveau sous le certificat racine. Tout fichier signé par ce certificat est affecté. |
| Éditeur | Éditeur | Cette règle est une combinaison de la règle PCACertificate et du nom commun (CN) du certificat feuille. Tout fichier signé par une autorité de certification majeure, mais avec une feuille d’une entreprise spécifique, par exemple un éditeur de pilote de périphérique, est affecté. |
| Version du fichier | SignedVersion | Cette règle est une combinaison de la règle PCACertificate et Publisher, ainsi qu’un numéro de version. Tout élément du serveur de publication spécifié avec une version au-dessus ou au-dessus de celle spécifiée est affecté. |
| Nom de fichier | FilePublisher | Plus spécifique. Combinaison du nom de fichier, de l’éditeur et du certificat PCA et d’un numéro de version minimal. Les fichiers du serveur de publication portant le nom spécifié et supérieurs ou égaux à la version spécifiée sont affectés. |
Règles de chemin d’accès aux fichiers
Les règles filepath ne fournissent pas les mêmes garanties de sécurité que les règles de signataire explicites, car elles sont basées sur des autorisations d’accès mutables. Pour créer une règle de chemin de fichier, sélectionnez le fichier à l’aide du bouton Parcourir .
Règles d’attribut de fichier
L’Assistant prend en charge la création de règles de nom de fichier basées sur des attributs de fichier authentifiés. Les règles de nom de fichier sont utiles lorsqu’une application et ses dépendances (par exemple, dll) peuvent tous partager le même nom de produit, pour instance. Ce niveau de règle permet aux utilisateurs de créer facilement des stratégies ciblées basées sur le nom de fichier Nom du produit. Pour sélectionner l’attribut de fichier afin de créer la règle, déplacez le curseur de l’Assistant vers l’attribut souhaité. Le tableau suivant décrit chacun des attributs de fichier pris en charge à partir desquels créer une règle.
| Niveau de règle | Description |
|---|---|
| Nom de fichier d’origine | Spécifie le nom de fichier d’origine, ou le nom avec lequel le fichier a été créé pour la première fois, du fichier binaire. |
| Description du fichier | Spécifie la description du fichier fournie par le développeur du fichier binaire. |
| Nom du produit | Spécifie le nom du produit avec lequel le fichier binaire est fourni. |
| Nom interne | Spécifie le nom interne du fichier binaire. |
Règles de hachage de fichier
Enfin, l’Assistant prend en charge la création de règles de fichier à l’aide du hachage du fichier. Bien que ce niveau soit spécifique, il peut entraîner une surcharge administrative supplémentaire pour maintenir les valeurs de hachage des versions de produit actuelles. Chaque fois qu’un fichier binaire est mis à jour, la valeur de hachage change, ce qui nécessite la mise à jour de la stratégie. Par défaut, l’Assistant utilise le hachage de fichier comme secours si une règle de fichier ne peut pas être créée à l’aide du niveau de règle de fichier spécifié.
Suppression des règles de signature
Le tableau à gauche de la page documente les règles d’autorisation et de refus dans le modèle, ainsi que toutes les règles personnalisées que vous créez. Les règles peuvent être supprimées de la stratégie en sélectionnant la règle dans la table de liste de règles. Une fois la règle mise en surbrillance, appuyez sur le bouton Supprimer sous la table. Vous êtes à nouveau invité à fournir une autre confirmation. Sélectionnez cette option Yes pour supprimer la règle de la stratégie et de la table des règles.
À la prochaine étape
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour