Gestion du Contrôle d’application Windows Defender avec Configuration ManagerWindows Defender Application Control management with Configuration Manager

S’applique à : Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

IntroductionIntroduction

Le Contrôle d’application Windows Defender est conçu pour protéger les PC contre les programmes malveillants et autres logiciels non approuvés.Windows Defender Application Control is designed to protect PCs against malware and other untrusted software. Il empêche le code malveillant de s’exécuter en s’assurant que seul le code approuvé, que vous connaissez, peut être exécuté.It prevents malicious code from running by ensuring that only approved code, that you know, can be run.

Windows Defender Application Control est une couche de sécurité logicielle qui limite à une liste explicite les logiciels autorisés à s’exécuter sur un PC.Windows Defender Application Control is a software-based security layer that enforces an explicit list of software that is allowed to run on a PC. Application Control n’a en lui-même pas de prérequis en termes de matériel ou de microprogramme.On its own, Application Control does not have any hardware or firmware prerequisites. Les stratégies Application Control déployées avec Configuration Manager activent une stratégie sur les PC de regroupements ciblés qui répondent aux exigences décrites dans cet article (version minimale et référence SKU de Windows).Application Control policies deployed with Configuration Manager enable a policy on PCs in targeted collections that meet the minimum Windows version and SKU requirements outlined in this article. Si vous le souhaitez, vous pouvez activer la protection basée sur un hyperviseur des stratégies Application Control déployées via Configuration Manager, en utilisant la stratégie de groupe sur du matériel compatible.Optionally, hypervisor-based protection of Application Control policies deployed through Configuration Manager can be enabled through Group Policy on capable hardware.

Pour en savoir plus sur le Contrôle d’application Windows Defender, lisez le Guide de déploiement du Contrôle d’application Windows Defender.To learn more about Windows Defender Application Control, read the Windows Defender Application Control deployment guide.

Notes

  • À compter de Windows 10 version 1709, les stratégies d’intégrité du code configurables sont appelées Contrôle d’application Windows Defender (Windows Defender Application Control).Beginning with Windows 10, version 1709, configurable code integrity policies are known as Windows Defender Application Control.
  • Depuis Configuration Manager version 1710, les stratégies Device Guard ont été renommées stratégies de Contrôle d’application Windows Defender.Beginning in Configuration Manager version 1710, Device Guard policies have been renamed to Windows Defender Application Control policies.

Utilisation du Contrôle d’application Windows Defender avec Configuration ManagerUsing Windows Defender Application Control with Configuration Manager

Vous pouvez utiliser Configuration Manager pour déployer une stratégie Windows Defender Application Control.You can use Configuration Manager to deploy a Windows Defender Application Control policy. Cette stratégie vous permet de configurer le mode dans lequel le Contrôle d’application Windows Defender s’exécute sur les PC d’une collection.This policy lets you configure the mode in which Windows Defender Application Control runs on PCs in a collection.

Vous pouvez configurer l’un des modes suivants :You can configure one of the following modes:

  1. Mise en conformité activée : seuls les exécutables approuvés sont autorisés à s’exécuter.Enforcement enabled - Only trusted executables are allowed to run.
  2. Audit uniquement : autorisez tous les exécutables à s’exécuter, mais journalisez les exécutables non fiables qui s’exécutent dans le journal local des événements du client.Audit only - Allow all executables to run, but log untrusted executables that run in the local client event log.

Conseil

Cette fonctionnalité a été introduite dans la version 1702 en tant que fonctionnalité en préversion.This feature was first introduced in version 1702 as a pre-release feature. À compter de la version 1906, elle n’est plus en préversion.Beginning with version 1906, it's no longer a pre-release feature.

Quels composants peuvent s’exécuter quand vous déployez une stratégie Windows Defender Application Control ?What can run when you deploy a Windows Defender Application Control policy?

Le Contrôle d’application Windows Defender vous permet de contrôler étroitement ce qui peut s’exécuter sur les PC que vous gérez.Windows Defender Application Control lets you strongly control what can run on PCs you manage. Cette fonctionnalité peut être utile pour les PC des services de haute sécurité, où il est vital que les logiciels indésirables ne puissent pas s’exécuter.This feature can be useful for PCs in high-security departments, where it's vital that unwanted software cannot run.

Quand vous déployez une stratégie, les exécutables suivants peuvent généralement s’exécuter :When you deploy a policy, typically, the following executables can run:

  • Composants du système d’exploitation WindowsWindows operating system components
  • Pilotes du Centre de développement matériel (qui ont des signatures Windows Hardware Quality Labs)Hardware Dev Center drivers (that have Windows Hardware Quality Labs signatures)
  • Applications du Windows StoreWindows Store apps
  • Client Configuration ManagerThe Configuration Manager client
  • Tous les logiciels déployés par le biais de Configuration Manager que les PC installent après le traitement de la stratégie Windows Defender Application Control.All software deployed through Configuration Manager that PCs install after the Windows Defender Application Control policy is processed.
  • Mises à jour des composants Windows à partir de :Updates to windows components from:
    • Windows UpdateWindows Update
    • Windows Update for BusinessWindows Update for Business
    • Windows Server Update ServicesWindows Server Update Services
    • Configuration ManagerConfiguration Manager
    • Facultativement, les logiciels jouissant d’une bonne réputation, comme déterminé par Microsoft Intelligent Security Graph (ISG).Optionally, software with a good reputation as determined by the Microsoft Intelligent Security Graph (ISG). Intelligent Security Graph inclut Windows Defender SmartScreen et d’autres services Microsoft.The ISG includes Windows Defender SmartScreen and other Microsoft services. Les appareils doivent exécuter Windows Defender SmartScreen et Windows 10 version 1709 ou ultérieur pour que ces logiciels soient approuvés.The device must be running Windows Defender SmartScreen and Windows 10 version 1709 or later for this software to be trusted.

Important

Ces éléments n’incluent pas les logiciels qui ne sont pas intégrés à Windows et qui se mettent à jour automatiquement à partir d’Internet ou de mises à jour logicielles tierces en cas d’installation par le biais d’un des mécanismes de mise à jour mentionnés précédemment, ou à partir d’Internet.These items do not include any software that is not built-into Windows that automatically updates from the internet or third-party software updates whether they are installed via any of the update mechanisms mentioned previously, or from the internet. Seuls les changements logiciels déployés au moyen du client Configuration Manager peuvent s’exécuter.Only software changes that are deployed though the Configuration Manager client can run.

Avant de commencerBefore you start

Avant de configurer ou de déployer des stratégies Windows Defender Application Control, lisez les informations suivantes :Before you configure or deploy Windows Defender Application Control policies, read the following information:

  • La gestion du Contrôle d’application Windows Defender est une fonctionnalité en préversion pour Configuration Manager. Elle est susceptible de changer.Windows Defender Application Control management is a pre-release feature for Configuration Manager, and is subject to change.
  • Pour utiliser le Contrôle d’application Windows Defender avec Configuration Manager, les PC que vous gérez doivent exécuter Windows 10 Entreprise version 1703 ou ultérieure.To use Windows Defender Application Control with Configuration Manager, PCs you manage must be running the Windows 10 Enterprise version 1703, or later.
  • Une fois qu’une stratégie a été traitée avec succès sur un PC client, Configuration Manager est configuré en tant que programme d’installation managé sur ce client.Once a policy is successfully processed on a client PC, Configuration Manager is configured as a Managed Installer on that client. Les logiciels déployés par son intermédiaire, une fois la stratégie traitée, sont automatiquement approuvés.Software deployed through it, after the policy processes, is automatically trusted. Les logiciels installés par Configuration Manager avant le traitement de la stratégie Windows Defender Application Control ne sont pas approuvés automatiquement.Software installed by Configuration Manager before the Windows Defender Application Control policy processes is not automatically trusted.
  • L’évaluation de la conformité par défaut pour les stratégies Application Control, configurable lors du déploiement, s’effectue quotidiennement.The default compliance evaluation schedule for Application Control policies, configurable during deployment, is every one day. Si des problèmes de traitement de la stratégie sont observés, il peut être avantageux de configurer une planification plus fréquente de l’évaluation de la conformité, par exemple toutes les heures.If issues in policy processing are observed, it may be beneficial to configure the compliance evaluation schedule to be shorter, for example every hour. Cette planification détermine la fréquence à laquelle les clients réessayent de traiter une stratégie Windows Defender Application Control en cas d’échec.This schedule dictates how often clients reattempt to process a Windows Defender Application Control policy if a failure occurs.
  • Quel que soit le mode de mise en conformité que vous sélectionnez quand vous déployez une stratégie Windows Defender Application Control, les PC clients ne peuvent pas exécuter des applications HTML avec l’extension .hta.Regardless of the enforcement mode you select, when you deploy a Windows Defender Application Control policy, client PCs cannot run HTML applications with the extension .hta.

Comment créer une stratégie Windows Defender Application ControlHow to create a Windows Defender Application Control policy

  1. Dans la console Configuration Manager, cliquez sur Ressources et Conformité.In the Configuration Manager console, click Assets and Compliance.
  2. Dans l’espace de travail Ressources et conformité, développez Endpoint Protection, puis cliquez sur Windows Defender Application Control.In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Defender Application Control.
  3. Dans l’onglet Accueil, dans le groupe Créer, cliquez sur Créer une stratégie Application Control.On the Home tab, in the Create group, click Create Application Control policy.
  4. Dans la page Général de l’Assistant Création d’une stratégie Application Control, spécifiez les paramètres suivants :On the General page of the Create Application Control policy Wizard, specify the following settings:
    • Nom : entrez un nom unique pour cette stratégie Windows Defender Application Control.Name - Enter a unique name for this Windows Defender Application Control policy.
    • Description : si vous le souhaitez, entrez une description pour faciliter l’identification de la stratégie dans la console Configuration Manager.Description - Optionally, enter a description for the policy that helps you identify it in the Configuration Manager console.
    • Forcer un redémarrage pour que cette stratégie soit appliquée à tous les processus : une fois que la stratégie est traitée sur un PC client, un redémarrage est planifié sur le client, en fonction des Paramètres clients pour Redémarrage de l’ordinateur.Enforce a restart of devices so that this policy can be enforced for all processes - After the policy is processed on a client PC, a restart is scheduled on the client according to the Client Settings for Computer Restart.
      • Les appareils qui exécutent Windows 10 version 1703 ou antérieure sont toujours redémarrés automatiquement.Devices running Windows 10 version 1703 or earlier will always be automatically restarted.
      • À compter de Windows 10 version 1709, la nouvelle stratégie Application Control n’est appliquée aux applications en cours d’exécution sur l’appareil qu’après un redémarrage.Starting with Windows 10 version 1709, applications currently running on the device will not have the new Application Control policy applied to them until after a restart. Cependant, les applications lancées après l’application de la stratégie respectent la nouvelle stratégie Application Control.However, applications launched after the policy applies will honor the new Application Control policy.
    • Mode de mise en œuvre : choisissez l’une des méthodes de mise en œuvre suivantes pour le Contrôle d’application Windows Defender sur le PC client.Enforcement Mode - Choose one of the following enforcement methods for Windows Defender Application Control on the client PC.
      • Mise en conformité activée : seuls les exécutables approuvés sont autorisés à s’exécuter.Enforcement Enabled - Only allow trusted executables are allowed to run.
      • Audit uniquement : autorisez tous les exécutables à s’exécuter, mais journalisez les exécutables non fiables qui s’exécutent dans le journal local des événements du client.Audit Only - Allow all executables to run, but log untrusted executables that run in the local client event log.
  5. Sous l’onglet Inclusions de l’Assistant Création d’une stratégie Application Control, choisissez si vous voulez Autoriser les logiciels qui sont approuvés par Intelligent Security Graph.On the Inclusions tab of the Create Application Control policy Wizard, choose if you want to Authorize software that is trusted by the Intelligent Security Graph.
  6. Cliquez sur Ajouter si vous voulez ajouter une approbation pour des fichiers ou des dossiers spécifiques sur les PC.Click Add if you want to add trust for specific files or folders on PCs. Dans la boîte de dialogue Ajouter un fichier ou un dossier approuvé, vous pouvez spécifier un chemin de fichier ou de dossier local auquel faire confiance.In the Add Trusted File or Folder dialog box, you can specify a local file or a folder path to trust. Vous pouvez aussi spécifier un chemin de fichier ou de dossier sur un appareil distant auquel vous avez l’autorisation de vous connecter.You can also specify a file or folder path on a remote device on which you have permission to connect. Quand vous ajoutez une approbation pour des fichiers ou des dossiers spécifiques dans une stratégie Windows Defender Application Control, vous pouvez :When you add trust for specific files or folders in a Windows Defender Application Control policy, you can:
    • Résoudre les problèmes avec les comportements des programmes d’installation gérésOvercome issues with managed installer behaviors
    • Approuver les applications métier qui ne peuvent pas être déployées avec Configuration ManagerTrust line-of-business apps that cannot be deployed with Configuration Manager
    • Approuver des applications qui sont incluses dans une image de déploiement de système d’exploitation.Trust apps that are included in an operating system deployment image.
  7. Cliquez sur Suivant pour terminer l’Assistant.Click Next, to complete the wizard.

Important

L’inclusion de fichiers ou de dossiers approuvés n’est prise en charge que sur les PC clients équipés de la version 1706 ou d’une version ultérieure du client Gestionnaire de configuration.The inclusion of trusted files or folders is only supported on client PCs running version 1706 or later of the Configuration Manager client. Si toutes les règles d’inclusion sont comprises dans une stratégie Windows Defender Application Control et que celle-ci est ensuite déployée sur un PC client équipé d’une version antérieure du client Gestionnaire de configuration, elle ne sera pas appliquée.If any inclusion rules are included in a Windows Defender Application Control policy and the policy is then deployed to a client PC running an earlier version on the Configuration Manager client, the policy will fail to be applied. Pour résoudre ce problème, il suffit de mettre à niveau ces anciennes versions de clients.Upgrading these older clients will resolve this issue. Les stratégies qui ne comprennent aucune règle d’inclusion peuvent toujours être appliquées sur des versions antérieures du client Gestionnaire de configuration.Policies that do not include any inclusion rules may still be applied on older versions of the Configuration Manager client.

Comment déployer une stratégie Windows Defender Application ControlHow to deploy a Windows Defender Application Control policy

  1. Dans la console Configuration Manager, cliquez sur Ressources et Conformité.In the Configuration Manager console, click Assets and Compliance.
  2. Dans l’espace de travail Ressources et conformité, développez Endpoint Protection, puis cliquez sur Windows Defender Application Control.In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Defender Application Control.
  3. Dans la liste des stratégies, sélectionnez celle que vous voulez déployer puis, sous l’onglet Accueil, dans le groupe Déploiement, cliquez sur Déployer la stratégie Application Control.From the list of policies, select the one you want to deploy, and then, on the Home tab, in the Deployment group, click Deploy Application Control Policy.
  4. Dans la boîte de dialogue Déployer la stratégie Application Control, sélectionnez le regroupement sur lequel vous voulez déployer la stratégie.In the Deploy Application Control policy dialog box, select the collection to which you want to deploy the policy. Ensuite, configurez une planification pour définir à quel moment les clients évaluent la stratégie.Then, configure a schedule for when clients evaluate the policy. Enfin, indiquez si le client peut évaluer la stratégie en dehors des fenêtres de maintenance configurées.Finally, select whether the client can evaluate the policy outside of any configured maintenance windows.
  5. Lorsque vous avez terminé, cliquez sur OK pour déployer la stratégie.When you are finished, click OK to deploy the policy.

Comment surveiller une stratégie Windows Defender Application ControlHow to monitor a Windows Defender Application Control policy

Utilisez les informations de l’article Surveiller les paramètres de conformité pour vérifier que la stratégie a été correctement déployée sur tous les PC.Use the information in the Monitor compliance settings article to help you monitor that the deployed policy has been applied to all PCs correctly.

Pour surveiller le traitement d’une stratégie Windows Defender Application Control, utilisez le fichier journal suivant sur les PC clients :To monitor the processing of a Windows Defender Application Control policy, use the following log file on client PCs:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Pour vérifier le logiciel bloqué ou audité, consultez les journaux d’événements suivants du client local :To verify the specific software being blocked or audited, see the following local client event logs:

  1. Pour le blocage et l’audit des fichiers exécutables, utilisez Journaux des applications et des services > Microsoft > Windows > Intégrité du code > Opérationnel.For blocking and auditing of executable files, use Applications and Services Logs > Microsoft > Windows > Code Integrity > Operational.
  2. Pour le blocage et l’audit du programme d’installation Windows et des fichiers de script, utilisez Journaux des applications et des services > Microsoft > Windows > AppLocker > MSI et Script.For blocking and auditing of Windows Installer and script files, use Applications and Services Logs > Microsoft > Windows > AppLocker > MSI and Script.

Informations sur la sécurité et la confidentialité pour le Contrôle d’application Windows DefenderSecurity and privacy information for Windows Defender Application Control

  • Dans cette préversion, ne déployez pas de stratégies Windows Defender Application Control avec le mode de mise en conformité Audit uniquement dans un environnement de production.In this pre-release version, do not deploy Windows Defender Application Control policies with the enforcement mode Audit Only in a production environment. Ce mode est conçu pour vous aider à tester la capacité dans un environnement de laboratoire uniquement.This mode is intended to help you test the capability in a lab setting only.
  • Les appareils où une stratégie a été déployée en mode Audit uniquement ou Mise en conformité activée, et qui n’ont pas encore été redémarrés pour appliquer la stratégie, sont vulnérables aux logiciels non autorisés dont l’installation est en cours.Devices that have a policy deployed to them in Audit Only or Enforcement Enabled mode that have not been restarted to enforce the policy, are vulnerable to untrusted software being installed. Dans ce cas, le logiciel peut continuer à être autorisé à s’exécuter même en cas de redémarrage de l’appareil ou il reçoit une stratégie en mode Mise en conformité activée.In this situation, the software might continue to be allowed to run even if the device restarts, or receives a policy in Enforcement Enabled mode.
  • Pour vérifier que la stratégie Windows Defender Application Control est appliquée, préparez l’appareil dans un environnement lab.To ensure that the Windows Defender Application Control policy is effective, prepare the device in a lab environment. Ensuite, déployez la stratégie Mise en conformité activée. Pour terminer, redémarrez l’appareil avant de donner l’appareil à un utilisateur final.Then, deploy the Enforcement Enabled policy, and finally, restart the device before you give the device to an end user.
  • Ne déployez pas une stratégie Mise en conformité activée puis plus tard une stratégie Audit uniquement sur le même appareil.Do not deploy a policy with Enforcement Enabled, and then later deploy a policy with Audit Only to the same device. Il se peut que des logiciels non autorisés soient autorisés à s’exécuter à cause de cette configuration.This configuration might result in untrusted software being allowed to run.
  • Quand vous utilisez Configuration Manager pour activer Windows Defender Application Control sur des PC clients, la stratégie n’empêche pas les utilisateurs disposant de droits d’administrateur local de contourner les stratégies Application Control ou d’exécuter des logiciels non autorisés.When you use Configuration Manager to enable Windows Defender Application Control on client PCs, the policy does not prevent users with local administrator rights from circumventing the Application Control policies or otherwise executing untrusted software.
  • La seule façon d’empêcher les utilisateurs ayant des droits d’administrateur local de désactiver Application Control consiste à déployer une stratégie de fichiers binaires signés.The only way to prevent users with local administrator rights from disabling Application Control is to deploy a signed binary policy. Ce déploiement est possible par le biais de la stratégie de groupe, mais il n’est pas pris en charge dans Configuration Manager pour le moment.This deployment is possible through Group Policy but not currently supported in Configuration Manager.
  • Le paramétrage de Configuration Manager en tant que programme d’installation managé sur les PC clients utilise la stratégie AppLocker.Setting up Configuration Manager as a Managed Installer on client PCs uses AppLocker policy. AppLocker est utilisé uniquement pour identifier les programmes d’installation managés. La mise en conformité est effectuée avec Windows Defender Application Control.AppLocker is only used to identify Managed Installers and all enforcement happens with Windows Defender Application Control.

Étapes suivantesNext steps

Gérer les stratégies de logiciel anti-programme malveillant et les paramètres du pare-feuManage antimalware policies and firewall settings