Comment configurer la stratégie de sécurité Dev Drive pour les appareils professionnels d’entreprise

Les administrateurs au niveau de l’entreprise sont souvent responsables de la gestion de la sécurité sur de nombreux appareils Windows différents au sein d’une organisation. Il existe plusieurs façons de configurer les stratégies qui contrôlent si les nouvelles fonctionnalités sont activées à mesure que la mise à disposition dans les nouvelles versions de Windows est disponible. Ce guide décrit les informations importantes sur les fonctionnalités de volume de stockage du lecteur de développement Windows 11 et sur la configuration de la stratégie de groupe pour votre organisation afin de permettre aux développeurs d’utiliser ce format de stockage optimisé pour les performances tout en conservant la sécurité et le contrôle sur l’attachement des filtres de système de fichiers.

Vous trouverez des conseils sur l’activation de la stratégie de groupe ci-dessous à l’aide de votre outil de gestion de stratégie préféré :

Prérequis

  • Windows 11, Build #10.0.22621.2338 ou version ultérieure (Rechercher les mises à jour Windows)
  • Recommandé : 16 Go de mémoire (minimum 8 Go)
  • Espace disque disponible minimal : 50 Go
  • Les lecteurs de développement sont disponibles sur toutes les versions de référence SKU Windows.

Contrôle de fonctionnalité d’entreprise temporaire

De nouvelles fonctionnalités et améliorations sont introduites par le biais de la mise à jour cumulative mensuelle afin de fournir une innovation continue pour Windows 11. Pour permettre aux organisations de planifier et de préparer, certaines de ces nouvelles fonctionnalités sont temporairement désactivées par défaut à l’aide du contrôle de fonctionnalité d’entreprise temporaire dans Windows 11.

Le lecteur de développement est automatiquement désactivé pour les appareils dont les mises à jour Windows sont gérées par les stratégies. La désactivation de la possibilité de créer un lecteur de développement n’est temporaire que pour permettre aux administrateurs de sécurité de décider et de déployer de nouvelles mises à jour de stratégie. Les conseils pour déterminer et configurer ces mises à jour de stratégie sont décrits ci-dessous.

Déterminer la stratégie de groupe pour l’activation du stockage du lecteur de développement et la sécurité des filtres antivirus

La stratégie de groupe est une fonctionnalité Windows qui permet aux administrateurs d’entreprise de gérer les paramètres des appareils professionnels et de contrôler les modifications apportées aux comptes d’utilisateur (administrateurs locaux) dans un environnement d’entreprise.

Les filtres antivirus, dont les filtres antivirus Microsoft Defender et tiers, sont attachés par défaut à un lecteur Dev Drive. Les paramètres par défaut des volumes de stockage Dev Drive permettent également aux administrateurs d’appareils locaux de contrôler les filtres attachés. Cela signifie qu’un administrateur d’appareil local peut configurer le système pour supprimer les filtres antivirus par défaut, afin qu’aucun filtre antivirus ne soit attaché au lecteur de développement. S’il s’agit d’un problème, la stratégie de groupe peut être configurée pour s’assurer que les filtres antivirus restent attachés lorsque le lecteur de développement est activé. En outre, une liste de filtres de système de fichiers autorisée peut être définie.

Mettre à jour la stratégie de groupe pour activer le lecteur de développement

Les paramètres de stratégie Activer le lecteur de développement sont les suivants :

  • Non configuré : Par défaut, l’option de volume de stockage Dev Drive sera désactivée dans le cadre de la stratégie de contrôle des fonctionnalités temporaires de l’entreprise jusqu’à ce qu’elle soit activée par un administrateur de l’entreprise dans la stratégie de groupe.
  • Activé : l’activation active l’option permettant de créer des volumes de stockage de lecteur de développement.
  • Options : laissez le filtre antivirus protéger les lecteurs de développement : les lecteurs de développement sont optimisés pour les performances dans les scénarios de développement, ce qui permet à l’administrateur local (compte d’utilisateur) de choisir les filtres de système de fichiers qui sont attachés. Cela permet également aux administrateurs locaux de détacher les fonctionnalités antivirus par défaut, sauf si l’option « Autoriser le filtre antivirus à protéger les lecteurs de développement » est case activée. La vérification de cette option force les filtres antivirus par défaut à rester attachés.
  • Désactivé : la désactivation de ce paramètre désactive la possibilité de créer et d’utiliser des volumes de stockage de lecteur de développement.

Mettre à jour la stratégie d’attachement de filtre du lecteur de développement

En outre, il existe un paramètre de stratégie d’attachement de filtre Dev Drive, qui offre aux administrateurs d’entreprise un contrôle sur les filtres pouvant être attachés à un lecteur de développement. Paramètres :

  • Non configuré : par défaut, le lecteur de développement est optimisé pour les performances, avec les filtres antivirus Microsoft Defender et tiers attachés, mais sans filtres de système de fichiers. Ce paramètre par défaut permet aux administrateurs locaux d’attacher ou de détacher des filtres, y compris les filtres antivirus par défaut. La vérification de l’option « Autoriser le filtre antivirus à protéger les lecteurs de développement » dans la stratégie Activer le lecteur de développement ci-dessus force les filtres antivirus à rester attachés même si aucune stratégie de filtre supplémentaire n’est définie.
  • Activé : les administrateurs locaux (comptes d’utilisateur) sont autorisés à attacher ou détacher des filtres. L’ajout d’une liste de filtres permet aux administrateurs d’entreprise (au niveau du domaine de stratégie de groupe) de définir les filtres qui peuvent être attachés. L’inclusion d’une liste de filtres permet d’attacher n’importe quel filtre.
  • Désactivé : les administrateurs locaux (comptes d’utilisateur) ne sont pas autorisés à attacher ou détacher des filtres.

Il existe plusieurs façons d’activer la fonctionnalité Dev Drive et de mettre à jour la stratégie de groupe :

Utiliser Microsoft Intune pour mettre à jour la stratégie de groupe pour le lecteur de développement

Pour mettre à jour la stratégie de groupe et activer le lecteur de développement à l’aide de Microsoft Intune) :

  1. Ouvrez le portail Intune (https://endpoint.microsoft.com) et connectez-vous avec vos identifiants.

  2. Créer un profil

    1. Appareils > Windows > Profils de configuration > Créer un profil
    2. Sélectionnez plateforme > Windows 10 et versions ultérieures
    3. Sélectionner le type de profil > Paramètres catalogue

    Capture d’écran des profils de configuration Windows du centre d’administration de Microsoft Intune

  3. Ajoutez le nom et la description du profil.

    Capture d’écran de Microsoft Intune créant un profil de configuration

  4. Configurer les paramètres associés au lecteur de développement :

    1. Recherchez « Lecteur de développement » dans le sélecteur de paramètres ou accédez à « Modèles d’administration\System\Filesystem »
    2. Sélectionner les stratégies associées au lecteur de développement : activer le lecteur de développement et autoriser le filtre antivirus à protéger les lecteurs de développement, stratégie d’attachement de filtre de lecteur de développement et liste de filtres

    Capture d’écran du centre d’administration Microsoft Intune Sélecteur de paramètres avec les résultats du lecteur de développement

  5. Configurez les paramètres de stratégie Dev Drive, terminez la configuration restante des balises d’étendue et des affectations, puis sélectionnez Créer

    Capture d’écran de l’étape finale de configuration du profil dans le centre d’administration Microsoft Intune (Examiner et créer)

Utiliser Microsoft Configuration Manager pour mettre à jour la stratégie de groupe pour le lecteur de développement

Pour mettre à jour la stratégie de groupe et activer le lecteur de développement à l’aide de Microsoft Configuration Manager (ConfigMgr, anciennement MEMCM/SCCM), vous pouvez utiliser les scripts PowerShell suivants. (Qu’est-ce que Configuration Manager ?)

La console Configuration Manager dispose d’une capacité intégrée à exécuter des scripts PowerShell pour mettre à jour les paramètres de stratégie de groupe sur tous les ordinateurs de votre réseau.

  1. Ouvrir la Console Microsoft Endpoint Configuration Manager Sélectionnez Scripts de bibliothèque>de>logiciels Créer un script.

    Capture d’écran de la fenêtre Créer un script de Microsoft Configuration Manager affichant des détails tels que le nom du script, la description, la langue, le délai d’attente et le script proprement dit.

  2. Entrez le nom du script (par exemple, démonstration dev drive), description (configuration de démonstration pour activer les paramètres du lecteur de développement), langue (PowerShell), délai d’expiration (180), puis collez l’exemple de script « Démonstration dev Drive » suivant pour l’utiliser comme modèle.

    ######
    #ConfigMgr Management of Dev Drive
    #Dev Drive is a new form of storage volume available to improve performance for key developer workloads.
    #Check Log File for enforcement status - C:\Windows\temp\ConfigDevDrive-<TimeStamp>.log
    ######
    
    Function Set-RegistryKeyValue{
    param (
    $KeyPath,
    $ValueName,
    $Value,
    $PropertyType,
    $LogFile
    )
    Try {
        If (!(Test-path $KeyPath)) {
        $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
        ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
        New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
        }
        Else {
        New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
        }
        $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
        If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
        Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
        }
        Catch {
        $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
        Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
        }
    }
    $ExecutionTime = Get-Date
    $StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
    $LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
    Add-Content -Path $LogFile -Value "------------------------------------V 1.0 $ExecutionTime - Execution Starts -------------------------------------------"
    Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
    #Set up a Dev Drive
    Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FsEnableDevDrive" -Value "1" -PropertyType "Dword" -LogFile $LogFile
    Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAllowAntivirusFilter" -Value "1" -PropertyType "Dword" -LogFile $LogFile
    Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAttachPolicy" -Value "PrjFlt, MsSecFlt, WdFilter, bindFlt, wcifs, FileInfo" -PropertyType "MultiString" -LogFile $LogFile
    $ExecutionTime = Get-Date
    Add-Content -Path $LogFile -Value "------------------------------------ $ExecutionTime - Execution Ends -------------------------------------------"
    --------------------
    
  3. Lors de l’ajout d’un nouveau script, vous devez le sélectionner et l’approuver. L’état d’approbation passe de « En attente d’approbation » à « Approuvé ».

  4. Une fois approuvé, cliquez avec le bouton droit sur un seul appareil ou un regroupement d’appareils, puis sélectionnez Exécuter le script.

    Capture d’écran de la fenêtre Exécuter le script de Microsoft Configuration Manager affichant le script de démonstration du lecteur de développement.

  5. Dans la page de script de l’Assistant Exécuter un script, choisissez votre script dans la liste (démonstration du lecteur de développement dans notre exemple). Seuls les scripts approuvés sont affichés. Cliquez sur Suivant pour terminer l'Assistant.

Consultez les stratégies de requête avec FsUtil pour case activée que les paramètres de stratégie de groupe ont été mis à jour avec précision.

Pour plus d’informations, consultez Créer et exécuter des scripts PowerShell à partir de la console Configuration Manager.

Utiliser l’éditeur de stratégie de groupe local Windows 11 pour mettre à jour la stratégie de groupe pour le lecteur de développement

Pour mettre à jour la stratégie de groupe et activer le lecteur de développement à l’aide de l’éditeur de stratégie de groupe local Windows 11 :

  1. Ouvrez l’Éditeur de stratégie de groupe local dans Windows Panneau de configuration.

    Capture d’écran de la fenêtre de l’éditeur de stratégie de groupe locale avec une liste d’éléments de répertoire

  2. Sous Configuration de l'ordinateur, sélectionnez Modèles d'administration>Système>Filesystem et, dans la liste des paramètres, sélectionnez Activer le lecteur de développement.

    Capture d’écran de la sélection de l’option Activer le lecteur de développement dans l’éditeur de stratégie de groupe locale

  3. Sélectionnez Activé pour activer le lecteur de développement dans votre stratégie de groupe.

    Capture d’écran de la case à cocher « Activation du lecteur de développement » dans l’éditeur de stratégie de groupe locale

Pour mettre à jour cette stratégie d’attachement de filtre, sélectionnez La stratégie d’attachement de filtre du lecteur de développement à partir de l’éditeur de stratégie de groupe local dans Windows Panneau de configuration.

Capture d’écran de la sélection de la stratégie de rattachement du filtre du lecteur de développement et de la liste des filtres dans l’éditeur de stratégie de groupe locale

Interroger des stratégies avec FsUtil

FSUtil peut être utilisé pour interroger la stratégie de groupe configurée pour le lecteur de développement. Voici la sortie d’une requête FsUtil pour une stratégie de groupe de lecteurs de développement configurée pour :

  • Activer le lecteur de développement
  • Autoriser les filtres antivirus à protéger les lecteurs de développement (MsSecFlt)
  • FileInfo minifilter a été ajouté à la liste de filtres en tant que filtre autorisé

Entrez la commande FSUtil :

fsutil devdrv query

Résultat :

Developer volumes are enabled. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 

Cette même requête peut être exécutée sur un lecteur de développement spécifique pour afficher les filtres attachés. Pour exécuter la commande sur un lecteur de développement spécifique, entrez la commande :

fsutil devdrv query d:

Résultat :

This is a trusted developer volume. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 
Filters currently attached to this developer volume: 
    MsSecFlt, WdFilter, FileInfo 

Ressources supplémentaires