Déploiement de stratégies WDAC (Windows Defender Application Control)

Remarque

Certaines fonctionnalités de Windows Defender Contrôle d’application ne sont disponibles que sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités de contrôle d’application Windows Defender.

Vous devez maintenant disposer d’une ou de plusieurs stratégies de contrôle d’application Windows Defender (WDAC) prêtes à être déployées. Si vous n’avez pas encore effectué les étapes décrites dans le Guide de conception WDAC, faites-le maintenant avant de continuer.

Convertir votre xml de stratégie WDAC en fichier binaire

Avant de déployer vos stratégies WDAC, vous devez d’abord convertir le xml dans sa forme binaire. Pour ce faire, utilisez l’exemple PowerShell suivant. Vous devez définir la variable $WDACPolicyXMLFile pour qu’elle pointe vers votre fichier XML de stratégie WDAC.

 ## Update the path to your WDAC policy XML
 $WDACPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyWDACPolicy.xml"
 [xml]$WDACPolicy = Get-Content -Path $WDACPolicyXMLFile
 if (($WDACPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
 {
     $PolicyID = $WDACPolicy.SiPolicy.PolicyID
     $PolicyBinary = $PolicyID+".cip"
 }
 else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
 {
     $PolicyBinary = "SiPolicy.p7b"
 }
 
 ## Binary file will be written to your desktop
 ConvertFrom-CIPolicy -XmlFilePath $WDACPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary

Planifier votre déploiement

Comme pour toute modification significative de votre environnement, l’implémentation du contrôle d’application peut avoir des conséquences inattendues. Pour garantir les meilleures chances de réussite, vous devez suivre les pratiques de déploiement sécurisées et planifier soigneusement votre déploiement. Identifiez les appareils que vous allez gérer avec WDAC et fractionnez-les en anneaux de déploiement. De cette façon, vous pouvez contrôler la vitesse et l’échelle du déploiement et répondre en cas de problème. Définissez les critères de réussite qui déterminent quand il est sûr de continuer d’un anneau à l’autre.

Toutes les modifications de stratégie de contrôle d’application Windows Defender doivent être déployées en mode audit avant de passer à l’application. Surveillez attentivement les événements des appareils sur lesquels la stratégie a été déployée pour vous assurer que les événements de blocage que vous observez correspondent à vos attentes avant d’étendre le déploiement à d’autres anneaux de déploiement. Si votre organization utilise Microsoft Defender pour point de terminaison, vous pouvez utiliser la fonctionnalité Repérage avancé pour surveiller de manière centralisée les événements liés à WDAC. Sinon, nous vous recommandons d’utiliser une solution de transfert de journal des événements pour collecter les événements pertinents à partir de vos points de terminaison managés.

Choisir comment déployer des stratégies WDAC

Important

En raison d’un problème connu, vous devez toujours activer les nouvelles stratégies de base WDAC signées avec un redémarrage sur les systèmes sur lesquels l’intégrité de la mémoire est activée. Dans ce cas, nous vous recommandons de déployer via un script .

Ce problème n’affecte pas les mises à jour des stratégies de base signées qui sont déjà actives sur le système, le déploiement de stratégies non signées ou le déploiement de stratégies supplémentaires (signées ou non signées). Cela n’affecte pas non plus les déploiements sur des systèmes qui n’exécutent pas l’intégrité de la mémoire.

Il existe plusieurs options pour déployer Windows Defender stratégies De contrôle d’application sur des points de terminaison managés, notamment :