Exemples de stratégies de base App Control for Business
Remarque
Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.
Lorsque vous créez des stratégies à utiliser avec App Control for Business, commencez à partir d’une stratégie de base existante, puis ajoutez ou supprimez des règles pour créer votre propre stratégie personnalisée. Windows inclut plusieurs exemples de stratégies que vous pouvez utiliser. Ces exemples de stratégies sont fournis « en l’état ». Vous devez tester minutieusement les stratégies que vous déployez à l’aide de méthodes de déploiement sécurisées.
Exemple de stratégie de base | Description | Où il peut être trouvé |
---|---|---|
DefaultWindows_*.xml | Cet exemple de stratégie est disponible en mode audit et en mode appliqué. Il inclut des règles permettant d’autoriser Windows, les pilotes matériels et logiciels de noyau tiers et les applications du Windows Store. Utilisé comme base pour les Microsoft Intune stratégies de famille de produits. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\DefaultWindows_Audit.xml |
AllowMicrosoft.xml | Cet exemple de stratégie inclut les règles de DefaultWindows et ajoute des règles aux applications d’approbation signées par le certificat racine de produit Microsoft. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\AllowMicrosoft.xml |
AllowAll.xml | Cet exemple de stratégie est utile lors de la création d’une liste de blocage. Toutes les stratégies de blocage doivent inclure des règles autorisant l’exécution de tout autre code, puis ajouter les règles DENY pour les besoins de votre organization. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml |
AllowAll_EnableHVCI.xml | Cet exemple de stratégie peut être utilisé pour activer l’intégrité de la mémoire (également appelée intégrité du code protégée par l’hyperviseur) à l’aide du contrôle d’application. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml |
DenyAllAudit.xml | Avertissement : provoquera des problèmes de démarrage sur Windows Server 2019 et versions antérieures. N’utilisez pas sur ces systèmes d’exploitation. Déployez uniquement cet exemple de stratégie en mode audit pour suivre tous les fichiers binaires en cours d’exécution sur des systèmes critiques ou pour répondre aux exigences réglementaires. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml |
Microsoft Configuration Manager | Les clients qui utilisent Configuration Manager peuvent déployer une stratégie avec l’intégration app Control intégrée de Configuration Manager, puis utiliser le code XML de stratégie généré comme exemple de stratégie de base. | %OSDrive%\Windows\CCM\DeviceGuard sur un point de terminaison managé |
SmartAppControl.xml | Cet exemple de stratégie inclut des règles basées sur le contrôle d’application intelligente qui sont bien adaptées aux systèmes gérés légèrement. Cette stratégie inclut une règle qui n’est pas prise en charge pour les stratégies de contrôle d’application d’entreprise et qui doit être supprimée. Pour plus d’informations sur l’utilisation de cet exemple de stratégie, consultez Créer une stratégie de base personnalisée à l’aide d’un exemple de stratégie de base. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\SignedReputable.xml |
Exemple de stratégie supplémentaire | Cet exemple de stratégie montre comment utiliser une stratégie supplémentaire pour développer le DefaultWindows_Audit.xml autoriser un seul fichier signé par Microsoft. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml |
Liste des blocages recommandés par Microsoft | Cette stratégie inclut une liste de code Windows et signé par Microsoft que Microsoft recommande de bloquer lors de l’utilisation du contrôle d’application, si possible. |
Règles de blocage recommandées par Microsoft %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_UserMode_Blocklist.xml |
Liste de blocage des pilotes recommandés par Microsoft | Cette stratégie inclut des règles pour bloquer les pilotes de noyau vulnérables ou malveillants connus. |
Règles de blocage des pilotes recommandées par Microsoft %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_Driver_Blocklist.xml |
Mode Windows S | Cette stratégie inclut les règles utilisées pour appliquer le mode Windows S. | %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSiPolicy.xml.xml |
Windows 11 SE | Cette stratégie inclut les règles utilisées pour appliquer Windows 11 SE, une version de Windows conçue pour une utilisation dans les établissements scolaires. | %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSEPolicy.xml.xml |
Remarque
Toutes les stratégies affichées dans %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies ne sont pas disponibles sur toutes les versions de Windows.