Configurer App Control for Business à l’aide de OSConfig
App Control for Business est une couche de sécurité basée sur un logiciel qui réduit la surface d’attaque en appliquant une liste explicite de logiciels autorisés à s’exécuter. Microsoft a développé une stratégie par défaut pour Windows Server 2025, que vous pouvez implémenter sur le serveur à l’aide d’applets de commande Windows PowerShell. L’implémentation du contrôle d’application est facilitée par le biais de la plateforme de configuration de sécurité OSConfig et fournit deux modes d’opération principaux :
- Mode d’audit : autorise l’exécution du code non approuvé pendant l’enregistrement des événements.
- Mode d’application : interdit l’exécution du code non approuvé pendant l’enregistrement des événements.
Pour en savoir plus sur ces journaux d’événements de sécurité, consultez Présentation des événements App Control et présentation des étiquettes d’événements App Control.
Étant donné que App Control est un composant de Windows Server 2025, le déploiement de ses stratégies offre un accès plus facile au mode d’audit et au mode d’application via PowerShell. Par défaut, les stratégies app Control en mode audit ne sont pas définies dans Window Server 2025. Au lieu de cela, les organisations peuvent utiliser les entreprises peuvent utiliser l’outil OSConfig pour ajouter ces stratégies. OSConfig inclut des stratégies de base (non signées) qui peuvent être personnalisées avec des stratégies supplémentaires pour répondre à des besoins métier spécifiques. Pour en savoir plus sur cette amélioration de la sécurité, consultez Application Control pour Windows.
Remarque
Un classeur Azure Monitor simplifie le processus d’examen des événements d’audit ou de blocage émis par le système d’exploitation lors de l’activation du contrôle d’application. Ce classeur fournit des insights sur l’audit des fichiers et l’activité de bloc, ainsi que :
- Collecte et envoi des journaux d’événements Windows pour App Control for Business à votre espace de travail Log Analytics.
- Identification des activités d’événement de fichier et de stratégie à l’aide de différents tableaux de bord, graphiques, filtres et fonctionnalités d’exportation. Ces fonctionnalités vous aident à analyser et à résoudre les effets et l’état de vos stratégies App Control.
- Affinement de vos stratégies App Control en exportant les données du classeur et en les ingérer dans l’Assistant WDAC.
Pour commencer à utiliser le classeur Azure Monitor pour App Control for Business, consultez Comment obtenir des insights sur les événements App Control for Business (WDAC).
Prérequis
Vous devez exécuter une build Windows Server 2025 signée en production sur votre appareil. Cette exigence garantit la conformité avec les stratégies App Control for Business.
Attention
Les fichiers binaires signés par vol ne sont pas autorisés. Le non-respect de cette exigence entraîne l’incapacité de démarrer votre appareil.
Le module PowerShell OSConfig doit être installé sur votre appareil serveur. Pour plus d’informations, consultez Installer le module PowerShell OSConfig.
Vous devez exécuter Windows 10 version 1909 ou ultérieure sur votre appareil client et installer l’Assistant WDAC.
Remarque
Si l’appareil client n’a pas installé .NET Desktop Runtime 8.0 ou version ultérieure, l’Assistant WDAC vous invite à télécharger et installer cette application.
Gérer les stratégies par défaut
Pour configurer les stratégies App Control par défaut en mode audit, ouvrez PowerShell en tant qu’administrateur et exécutez la commande suivante :
Set-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\DefaultPolicy\Audit -Default
Set-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\AppBlockList\Audit -Default
Pour configurer les stratégies app Control par défaut en mode d’application, ouvrez PowerShell en tant qu’administrateur et exécutez la commande suivante :
Set-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\DefaultPolicy\Enforce -Default
Set-OSConfigDesiredConfiguration -Scenario AppControl\WS2025\AppBlockList\Enforce -Default
Surveiller les journaux des événements
Pour afficher les événements capturés après avoir appliqué la stratégie App Control, choisissez toute application tierce que vous souhaitez exécuter sur votre appareil. Si vous définissez la stratégie App Control en mode audit, vérifiez si le système d’exploitation a émis l’ID d’événement 3076 pour toutes les applications tierces. Si vous définissez la stratégie en mode d’application, vérifiez si le système d’exploitation a émis l’ID d’événement 3077.
Le système détecte les tentatives effectuées par l’application tierce pour accéder au contenu restreint et prend des mesures pour bloquer l’accès. Pour afficher et exporter ces journaux d’événements, procédez comme suit :
- Cliquez avec le bouton droit sur Démarrer, puis sélectionnez Observateur d’événements.
- Dans le volet gauche, accédez à Applications et journaux de service\Microsoft\Windows\CodeIntegrity\Operational.
- Dans le volet central, recherchez l’ID d’événement 3076 pour le mode audit ou 3077 pour le mode d’application.
Configurer des stratégies supplémentaires
Pour créer des stratégies App Control supplémentaires, procédez comme suit :
- Copiez le
.evtxfichier journal de votre serveur sur votre appareil client. - Sur l’appareil client, ouvrez l’Assistant WDAC.
- Dans l’écran d’accueil, sélectionnez Éditeur de stratégie.
- Dans l’écran Éditeur de stratégie, sélectionnez Convertir le journal des événements en stratégie WDAC. Ensuite, sous Analyser les fichiers evtx du journal des événements dans la stratégie, sélectionnez Analyser le ou les fichiers journaux.
- Dans la boîte de dialogue Choisir les journaux d’événements à convertir en stratégie , recherchez votre
.evtxfichier, puis sélectionnez Ouvrir. Sélectionnez OK dans l’invite, puis sélectionnez Suivant. - Dans l’écran Règles de fichier, sous Nom de fichier, sélectionnez le fichier que vous souhaitez ajouter à la stratégie.
- Sous Type de règle, sélectionnez Chemin d’accès, puis sélectionnez + Ajouter une autorisation.
- Répétez l’étape 7 pour tous les éléments que vous souhaitez ajouter à la stratégie, puis sélectionnez Suivant.
Remarque
Par défaut, les stratégies supplémentaires sont stockées dans C :\Users\Username\Documents au format XML.
Une fois la stratégie supplémentaire générée, copiez le fichier XML sur votre serveur et exécutez le script suivant :
$policyPath = "<Path to the XML policy file>"
# Reset GUID (best practice)
Set-CIPolicyIdInfo -FilePath $policyPath -ResetPolicyID
# Set policy version (VersionEx in the XML file)
$policyVersion = "1.0.0.1"
Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion
# Set policy info (PolicyName and PolicyID in the XML file)
Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "<App name>-Policy_$policyVersion" -PolicyName "<App name>-Policy" # E.g. Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Chrome-Policy_$policyVersion" -PolicyName "Chrome-Policy"
$base = "{9214D8EE-9B0F-4972-9073-A04E917D7989}"
Set-CIPolicyIdInfo -FilePath $policyPath -SupplementsBasePolicyID $base
#Set the new policy into the system
Set-OSConfigDesiredConfiguration -Scenario AppControl -Name Policies -Value $policyPath
Pour vérifier que les stratégies supplémentaires ont été appliquées, surveillez les ID d’événement 3076 et 3077, comme décrit précédemment dans les journaux des événements Monitor. Vérifiez que le système d’exploitation n’a pas généré de nouveaux événements.
Stratégies de requête
Pour afficher les stratégies actuellement en vigueur dans votre environnement, exécutez la commande suivante :
(Get-OSConfigDesiredConfiguration -Scenario AppControl).Value.PolicyInfo | Where-Object { $_.IsEffective -eq $true }
Pour afficher les stratégies actuellement inactives dans votre environnement, exécutez la commande suivante :
(Get-OSConfigDesiredConfiguration -Scenario AppControl).Value.PolicyInfo | Where-Object { $_.IsEffective -eq $false }
La sortie de ces requêtes varie en fonction des besoins de configuration de votre stratégie.