Autoriser l’inscription d’objets COM dans une stratégie de contrôle d’application Windows DefenderAllow COM object registration in a Windows Defender Application Control policy

Concerne:Applies to:

  • Windows10Windows10
  • WindowsServer2003 2016WindowsServer 2016
  • WindowsServer2003 2019WindowsServer 2019

Important

Certaines informations concernent la version préliminaire de produits susceptibles d’être considérablement modifiés d’ici leur commercialisation.Some information relates to prereleased product which may be substantially modified before it's commercially released. Microsoft ne donne aucune garantie, expresse ou implicite, concernant les informations fournies ici.Microsoft makes no warranties, express or implied, with respect to the information provided here.

Le modèle COM Microsoft (Component Object Model) est un système orienté objet qui est indépendant de la plateforme, qui permet de créer des composants logiciels binaires pouvant interagir.The Microsoft Component Object Model (COM) is a platform-independent, distributed, object-oriented system for creating binary software components that can interact. COM spécifie un modèle objet et des exigences de programmation qui permettent aux objets COM d’interagir avec d’autres objets.COM specifies an object model and programming requirements that enable COM objects to interact with other objects.

Configurabilité d’objets COM dans la stratégie WDACCOM object configurability in WDAC policy

Avant la mise à jour Windows 10 1903, le contrôle d’application Windows Defender (WDAC) applique une liste verte intégrée pour l’inscription d’objets COM.Prior to the Windows 10 1903 update, Windows Defender Application Control (WDAC) enforced a built-in allow list for COM object registration. Même si ce mécanisme fonctionne pour la plupart des scénarios courants d’utilisation des applications, les clients ont fourni des commentaires dans certains cas où des objets COM supplémentaires doivent être autorisés.While this mechanism works for most common application usage scenarios, customers have provided feedback that there are cases where additional COM objects need to be allowed. La mise à jour 1903 vers Windows 10 introduit la possibilité de spécifier des objets COM autorisés par le biais de leur GUID dans la stratégie WDAC.The 1903 update to Windows 10 introduces the ability to specify allowed COM objects via their GUID in the WDAC policy.

Remarque: pour ajouter cette fonctionnalité à d’autres versions de Windows 10, vous pouvez installer les mises à jour suivantes ou ultérieures:NOTE: To add this functionality to other versions of Windows 10, you can install the following or later updates:

Obtenir le GUID d’objet COMGet COM object GUID

Procurez-vous l’application GUID pour l’une des manières suivantes:Get GUID of application to allow in one of the following ways:

  • Recherche d’un événement de blocage dans l’observateur d’événements (journaux d’application et de service > Microsoft > Windows > AppLocker > MSI et script) et extraction du GUIDFinding block event in Event Viewer (Application and Service Logs > Microsoft > Windows > AppLocker > MSI and Script) and extracting GUID
  • Création d’une stratégie d’audit (à l’aide de New-CIPolicy-audit), éventuellement avec un fournisseur spécifique et utilisation d’informations de blocage des événements pour obtenir le GUIDCreating audit policy (using New-CIPolicy –Audit), potentially with specific provider, and use info from block events to get GUID

Paramètre de stratégie d’auteur permettant d’autoriser ou de refuser le GUID d’objet COMAuthor policy setting to allow or deny COM object GUID

Trois éléments:Three elements:

  • Fournisseur: plateforme sur laquelle le code est en cours d’exécution (les valeurs sont PowerShell, WSH, Internet Explorer, VBA, MSI ou un caractère générique «AllHostIds»)Provider: platform on which code is running (values are Powershell, WSH, IE, VBA, MSI, or a wildcard “AllHostIds”)
  • Clé: GUID pour le programme avec lequel vous souhaitez exécuter la mise en forme de la{33333333-4444-4444-1616-161616161616}clé = ""Key: GUID for the program you with to run, in the format Key="{33333333-4444-4444-1616-161616161616}"
  • ValueName: doit être définie sur «EnterpriseDefinedClsId»ValueName: needs to be set to "EnterpriseDefinedClsId"

Un attribut:One attribute:

  • Value: doit être «true» pour Allow et «false» pour DenyValue: needs to be “true” for allow and “false” for deny
    • Notez que Deny ne fonctionne que dans les stratégies de base, pas de complémentNote that deny only works in base policies, not supplemental
  • Le paramètre doit être placé dans l’ordre des valeurs ASCII (d’abord par le fournisseur, puis clé, puis ValueName)The setting needs to be placed in the order of ASCII values (first by Provider, then Key, then ValueName)

ExemplesExamples

Exemple 1: permettre l’inscription de tous les GUID d’objets COM dans n’importe quel fournisseurExample 1: Allows registration of all COM object GUIDs in any provider

<Setting Provider="AllHostIds" Key="AllKeys" ValueName="EnterpriseDefinedClsId">
  <Value>
    <Boolean>true</Boolean>
  </Value>
</Setting>

Exemple 2: bloquer l’enregistrement d’un objet COM spécifique via Internet Explorer (IE)Example 2: Blocks a specific COM object from being registered via Internet Explorer (IE)

<Setting Provider="IE" Key="{00000000-4444-4444-1616-161616161616}" ValueName="EnterpriseDefinedClsId">
  <Value>
    <Boolean>false</Boolean>
  </Value>
</Setting>

Exemple 3: permettre l’inscription d’un objet COM spécifique dans PowerShellExample 3: Allows a specific COM object to register in PowerShell

<Setting Provider="PowerShell" Key="{33333333-4444-4444-1616-161616161616}" ValueName="EnterpriseDefinedClsId">
  <Value>
    <Boolean>true</Boolean>
  </Value>
</Setting>