Utiliser une stratégie de Contrôle d’application Windows Defender pour contrôler des plug-ins, des compléments et des modules spécifiques
Remarque
Certaines fonctionnalités de Windows Defender Contrôle d’application ne sont disponibles que sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités de contrôle d’application Windows Defender.
Vous pouvez utiliser Windows Defender stratégies De contrôle d’application (WDAC) pour contrôler les applications et également pour contrôler si des plug-ins, des compléments et des modules spécifiques peuvent s’exécuter à partir d’applications spécifiques (par exemple, une application métier ou un navigateur) :
| Approche | Recommandation |
|---|---|
| Vous pouvez travailler à partir de la liste de plug-ins, d'extensions ou de modules pour laquelle vous ne souhaitez exécuter qu'une seule application spécifique. Les autres applications ne pourront alors pas les exécuter. | Utilisez New-CIPolicyRule avec l'option -AppID. |
| En outre, vous pouvez travailler à partir d’une liste de plug-ins, de compléments ou de modules que vous souhaitez bloquer dans une application spécifique. D'autres applications seront autorisées à les exécuter. | Utilisez New-CIPolicyRuleavec les options -AppIDet -Deny. |
Par exemple, pour ajouter des règles à une stratégie WDAC appelée « Lamna_FullyManagedClients_Audit.xml » qui permet à addin1.dll et addin2.dll d’être exécutés par ERP1.exe, l’application de planification des ressources d’entreprise (ERP) de Lamna, exécutez les commandes suivantes. Dans la deuxième commande, += est utilisé pour ajouter une deuxième règle à la variable $rule :
$rule = New-CIPolicyRule -DriverFilePath '.\temp\addin1.dll' -Level FileName -AppID '.\ERP1.exe'
$rule += New-CIPolicyRule -DriverFilePath '.\temp\addin2.dll' -Level FileName -AppID '.\ERP1.exe'
Par exemple, pour créer une stratégie de contrôle d’application Windows Defender qui empêche addin3.dll de s’exécuter dans Microsoft Word, exécutez la commande suivante. Vous devez inclure l’option -Deny permettant de bloquer les compléments spécifiés dans l’application spécifiée. Une fois que vous avez toutes les règles souhaitées, vous pouvez les fusionner dans une stratégie WDAC existante à l’aide de l’applet de commande Merge-CIPolicy, comme illustré ici :
$rule += New-CIPolicyRule -DriverFilePath '.\temp\addin3.dll' -Level FileName -Deny -AppID '.\winword.exe'
Merge-CIPolicy -OutputFilePath .\Lamna_FullyManagedClients_Audit.xml -PolicyPaths .\Lamna_FullyManagedClients_Audit.xml -Rules $rule
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour