Déployer des stratégies de contrôle d’application Windows Defender à l’aide de stratégie de groupe

Remarque

Certaines fonctionnalités de Windows Defender Contrôle d’application (WDAC) ne sont disponibles que sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités de contrôle d’application Windows Defender.

Important

En raison d’un problème connu, vous devez toujours activer les nouvelles stratégies de base WDAC signéesavec un redémarrage sur les systèmes sur lesquels l’intégrité de la mémoire est activée. Au lieu de stratégie de groupe, déployez de nouvelles stratégies de base WDAC signées via un script et activez la stratégie avec un redémarrage du système.

Ce problème n’affecte pas les mises à jour des stratégies de base signées qui sont déjà actives sur le système, le déploiement de stratégies non signées ou le déploiement de stratégies supplémentaires (signées ou non signées). Cela n’affecte pas non plus les déploiements sur des systèmes qui n’exécutent pas l’intégrité de la mémoire.

Le format à stratégie unique Windows Defender les stratégies de contrôle d’application (schéma de stratégie antérieur à 1903) peut être facilement déployé et géré avec stratégie de groupe.

Important

le déploiement basé sur stratégie de groupe des stratégies de contrôle d’application Windows Defender prend uniquement en charge les stratégies WDAC au format de stratégie unique. Pour utiliser WDAC sur les appareils exécutant Windows 10 1903 et versions ultérieures, ou Windows 11, nous vous recommandons d’utiliser une autre méthode pour le déploiement de stratégie.

Vous devez maintenant avoir une stratégie WDAC convertie en forme binaire. Si ce n’est pas le cas, suivez les étapes décrites dans Déploiement de stratégies WDAC (Windows Defender Application Control).

La procédure suivante vous guide tout au long du déploiement d’une stratégie WDAC appelée SiPolicy.p7b sur une unité d’organisation de test appelée PC compatible WDAC à l’aide d’un objet de stratégie de groupe appelé Contoso GPO Test.

Pour déployer et gérer une stratégie de contrôle d’application Windows Defender avec stratégie de groupe :

  1. Sur un ordinateur client sur lequel rsat est installé, ouvrez la console GPMC en exécutant GPMC.MSC

  2. Créer un nouvel objet de stratégie de groupe : cliquez avec le bouton droit sur une unité d’organisation, puis sélectionnez Créer un objet de stratégie de groupe dans ce domaine, puis liez-le ici.

    Remarque

    Vous pouvez utiliser n’importe quel nom d’unité d’organisation. En outre, le filtrage des groupes de sécurité est une option lorsque vous envisagez différentes façons de combiner des stratégies WDAC (ou de les garder séparées), comme indiqué dans Planifier Windows Defender gestion des stratégies de cycle de vie application Control.

    stratégie de groupe Management, créez un objet de stratégie de groupe.

  3. Nommez le nouvel objet GPO. Vous pouvez choisir n'importe quel nom.

  4. Ouvrez le Rédacteur gestion stratégie de groupe : cliquez avec le bouton droit sur le nouvel objet de stratégie de groupe, puis sélectionnez Modifier.

  5. Dans l’objet de stratégie de groupe sélectionné, accédez à Configuration ordinateur\Modèles d’administration\Système\Device Guard. Cliquez avec le bouton droit sur Déployer Windows Defender Contrôle d’application, puis sélectionnez Modifier.

    Modifiez le stratégie de groupe pour Windows Defender Contrôle d’application.

  6. Dans la boîte de dialogue Déployer Windows Defender contrôle d’application, sélectionnez l’option Activé, puis spécifiez le chemin de déploiement de la stratégie WDAC.

    Dans ce paramètre de stratégie, vous spécifiez le chemin d’accès local où la stratégie existera sur chaque ordinateur client ou un chemin d’accès UNC (Universal Naming Convention) que les ordinateurs clients rechercheront pour récupérer la dernière version de la stratégie. Par exemple, le chemin d’accès à SiPolicy.p7b en suivant les étapes décrites dans Déploiement de stratégies WDAC (Windows Defender Application Control) serait %USERPROFILE%\Desktop\SiPolicy.p7b.

    Remarque

    Ce fichier de stratégie n’a pas besoin d’être copié sur tous les ordinateurs. Il est préférable de copier les stratégies WDAC dans un partage de fichiers auquel tous les comptes d’ordinateur ont accès. Toute stratégie sélectionnée ici est convertie et se voit affecter le nom « SIPolicy.p7b » lorsqu’elle est déployée sur les différents ordinateurs clients.

    stratégie de groupe appelé Deploy Windows Defender Application Control.

    Remarque

    Vous avez peut-être remarqué que le paramètre d’objet de stratégie de groupe fait référence à un fichier .p7b, mais que l’extension de fichier et le nom du fichier binaire de stratégie n’ont pas d’importance. Quel que soit le nom que vous nommez votre fichier binaire de stratégie, ils sont tous convertis en SIPolicy.p7b lorsqu’ils sont appliqués aux ordinateurs clients exécutant Windows 10. Si vous déployez différentes stratégies WDAC sur différents ensembles d’appareils, vous souhaiterez peut-être donner à chacune de vos stratégies WDAC un nom convivial et autoriser le système à convertir les noms de stratégie pour vous assurer que les stratégies sont facilement identifiables lorsqu’elles sont consultées dans un partage ou tout autre référentiel central.

  7. Fermez le Rédacteur stratégie de groupe Management, puis redémarrez l’ordinateur de test Windows. Le redémarrage de l’ordinateur met à jour la stratégie WDAC.