contrôle des applications

Introduction #

Avec la version 5.24.0, la configuration App Control a été introduite. Grâce à cette fonctionnalité, vous pouvez appliquer les politiques de Windows Defender Application Control (WDAC) aux appareils Windows. Ces politiques définissent les applications de confiance, permettant uniquement à ces applications de s’exécuter sur l’appareil.

Microsoft fournit toutes les informations nécessaires sur les politiques WDAC dans sa [documentation] (https://learn.microsoft.com/en-us/windows/security/application-security/application-control/windows-defender-application-control/wdac).

Génération de politiques WDAC #

Microsoft explique la conception et la création des politiques WDAC dans son [guide de conception] (https://learn.microsoft.com/en-us/windows/security/application-security/application-control/windows-defender-application-control/design/wdac-design-guide).

Il est recommandé de tester minutieusement toute politique WDAC avant de la déployer sur des appareils de production via Relution.

Il faut s’assurer que l’application Relution Windows Companion n’est pas bloquée ou restreinte par les règles définies.

Créer le fichier de politique WDAC nécessaire #

Pour la création, vous pouvez utiliser l’Assistant WDAC et les exemples de politiques de base.

L’assistant Windows Defender Application Control (WDAC) Policy Wizard génère deux fichiers de configuration lorsqu’il est utilisé pour la génération de politiques : un fichier XML et un fichier CIP. Cependant, ces deux fichiers ne peuvent pas être utilisés directement dans Relution car l’interface MDM de Microsoft nécessite un fichier binaire. Le processus de création de ce fichier binaire à partir du fichier XML est expliqué dans les sections suivantes.

Fichier Xml #

Le fichier xml de la politique WDAC contient deux informations essentielles pour appliquer avec succès la configuration aux périphériques Windows via Relution.

Le <PolicyID> est un GUID qui identifie de manière unique cette politique WDAC. Il est donc utilisé pour appliquer, mettre à jour et supprimer la configuration.

Le paramètre <VersionEx> est utilisé comme version de la politique WDAC. Par conséquent, pour les mises à jour d’une politique WDAC, la version ne doit pas être inférieure à la version appliquée précédemment. Dans le cas contraire, la mise à jour de la configuration via Relution échouera.

Convertir le fichier xml #

Le fichier xml doit être converti en fichier binaire. Ceci peut être fait en utilisant la commande PowerShell ConvertFrom-CIPolicy PowerShell.

Exemple :

ConvertFrom-CIPolicy -XmlFilePath .\AllowAll.xml -BinaryFilePath .\AllowAll.bin

Le fichier binaire résultant peut être téléchargé vers Relution dans la configuration du contrôle de l’application.

App Control configuration #

La configuration du contrôle de l’application se compose de deux champs :

• Un bouton pour télécharger le fichier de politique WDAC au format binaire, voir WDAC policy generation
• Un champ pour entrer le App Control ID. Pour que la configuration soit appliquée avec succès à l’appareil, le App Control ID doit contenir la même valeur que le <PolicyID> de la politique WDAC. Mais sans les crochets.
  • Exemple :
    • PolicyID dans la politique du WDAC : <PolicyID>{31351756-3F24-4963-8380-4E7602335AAE}</PolicyID>
  • App Control ID dans la configuration : 31351756-3F24-4963-8380-4E7602335AAE
  • Il n’est pas possible de modifier le App Control ID saisi après avoir sauvegardé pour la première fois. Cependant, il est possible de créer plusieurs configurations de contrôle d’application (complémentaires) et de les appliquer à un seul appareil.

Mise à jour #

Pour qu’une nouvelle version de la configuration de contrôle d’application soit appliquée avec succès à l’appareil, le <PolicyID> dans la politique WDAC doit avoir la même valeur que le App Control ID de la configuration et le <VersionEx> doit avoir une valeur supérieure à celle de la version précédente.

Supprimer #

Pour que la suppression d’une politique WDAC soit appliquée à l’appareil, un redémarrage de l’appareil est nécessaire.

Microsoft recommande une solution de contournement pour que les restrictions de l’application soient supprimées sans redémarrage, voir [documentation Microsoft] (https://learn.microsoft.com/en-us/windows/client-management/mdm/applicationcontrol-csp#delete-policies).

Supprimer une configuration de contrôle d’application non signée #

Dans Relution, la suppression sans redémarrage peut être mise en œuvre comme suit :

1. Créer une politique WDAC Allow-All.
   • Le <PolicyID> doit correspondre au App Control ID.
   • La <VersionEx> doit être supérieure à la version précédente.
2. Convertissez le fichier xml dans le format binaire requis.
3. Créer une nouvelle version de politique dans Relution
   • Télécharger le nouveau fichier binaire de la politique WDAC Allow-All dans la configuration de contrôle de l’application.
4. Publier la nouvelle version de la politique
   • Cela supprimera les restrictions existantes de l’appareil.
5. Supprimer la politique de l’appareil
   • Cette opération supprime la configuration du contrôle des applications de l’appareil. Toutefois, cette opération n’est active qu’après le redémarrage.

Supprimer une configuration de contrôle d’application signée #

La suppression d’une politique WDAC signée (sans nécessiter de redémarrage) peut donc être mise en œuvre dans Relution de la manière suivante :

1. Créer une politique WDAC signée qui autorise les politiques WDAC non signées.
   • Le <PolicyID> doit correspondre au App Control ID.
   • La <VersionEx> doit être supérieure à la version précédente.
2. Convertissez le fichier xml dans le format binaire requis.
3. Créer une nouvelle version de politique dans Relution
   • Télécharger le nouveau fichier binaire de la politique Allow-All WDAC dans la configuration de contrôle de l’application.
4. Publier la nouvelle version de la politique
   • Cela permet aux politiques WDAC non signées d’être appliquées sur l’appareil.
5. Supprimer une configuration de contrôle d’application non signée