Supprimer les stratégies App Control for Business

Suppression des stratégies de contrôle d’application

Il peut arriver que vous souhaitiez supprimer une ou plusieurs stratégies App Control, ou supprimer toutes les stratégies App Control que vous avez déployées. Cet article décrit les différentes façons de supprimer des stratégies De contrôle d’application.

Avant de supprimer une stratégie, vous devez d’abord désactiver la méthode utilisée pour la déployer (par exemple, stratégie de groupe ou GPM). Sinon, la stratégie peut se redéployer sur l’ordinateur.

Pour rendre une stratégie effectivement inactive avant de la supprimer, vous pouvez d’abord la remplacer par une nouvelle stratégie qui inclut les modifications suivantes :

1. Remplacez les règles de stratégie par les règles « Autoriser * » ;
2. Définissez l’option 3 Enabled :Audit Mode pour modifier la stratégie en mode audit uniquement ;
3. Définir l’option 11 Disabled :Script Enforcement ;
4. Autorisez tous les objets COM. Consultez Autoriser l’inscription d’objets COM dans une stratégie De contrôle d’application.
5. Le cas échéant, supprimez l’option 0 Enabled :UMCI pour convertir la stratégie en mode noyau uniquement.

Supprimer des stratégies de contrôle d’application à l’aide de CiTool.exe

À compter de la mise à jour Windows 11 2022, vous pouvez supprimer les stratégies App Control à l’aide de CiTool.exe. À partir d’une fenêtre de commande avec élévation de privilèges, exécutez la commande suivante. Veillez à remplacer le texte GUID PolicyId par le PolicyId réel de la stratégie de contrôle d’application que vous souhaitez supprimer :

CiTool.exe -rp "{PolicyId GUID}" -json

Redémarrez ensuite l’ordinateur.

Supprimer les stratégies App Control à l’aide de solutions MDM comme Intune

Vous pouvez utiliser une solution Mobile Gestion des appareils (MDM), comme Microsoft Intune, pour supprimer des stratégies De contrôle d’application des ordinateurs clients à l’aide du fournisseur de services de configuration ApplicationControl.

Consultez votre fournisseur de solutions MDM pour obtenir des informations spécifiques sur l’utilisation du fournisseur de services de configuration ApplicationControl.

Redémarrez ensuite l’ordinateur.

Supprimer des stratégies de contrôle d’application à l’aide d’un script

Pour supprimer des stratégies de contrôle d’application à l’aide d’un script, votre script doit supprimer le ou les fichiers de stratégie de l’ordinateur. Pour les stratégies de contrôle d’application de plusieurs formats de stratégie (1903+), recherchez les fichiers de stratégie aux emplacements suivants. Veillez à remplacer le GUID PolicyId par le PolicyId réel de la stratégie de contrôle d’application que vous souhaitez supprimer.

• <Partition> système EFI\Microsoft\Boot\CiPolicies\Active\{PolicyId GUID}.cip
• <Os Volume>\Windows\System32\CodeIntegrity\CiPolicies\Active\{PolicyId GUID}.cip

Pour les stratégies de contrôle d’application au format de stratégie unique, en plus des deux emplacements ci-dessus, recherchez également un fichier appelé SiPolicy.p7b qui peut se trouver aux emplacements suivants :

• <Partition> système EFI\Microsoft\Boot\SiPolicy.p7b
• <Os Volume>\Windows\System32\CodeIntegrity\SiPolicy.p7b

Redémarrez ensuite l’ordinateur.

Exemple de script pour supprimer une seule stratégie App Control

# Set PolicyId GUID to the PolicyId from your App Control policy XML
$PolicyId = "{PolicyId GUID}"

# Initialize variables
$SinglePolicyFormatPolicyId = "{A244370E-44C9-4C06-B551-F6016E563076}"
$SinglePolicyFormatFileName = "\SiPolicy.p7b"
$MountPoint =  $env:SystemDrive+"\EFIMount"
$SystemCodeIntegrityFolderRoot = $env:windir+"\System32\CodeIntegrity"
$EFICodeIntegrityFolderRoot = $MountPoint+"\EFI\Microsoft\Boot"
$MultiplePolicyFilePath = "\CiPolicies\Active\"+$PolicyId+".cip"

# Mount the EFI partition
$EFIPartition = (Get-Partition | Where-Object IsSystem).AccessPaths[0]
if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force }
mountvol $MountPoint $EFIPartition

# Check if the PolicyId to be removed is the system reserved GUID for single policy format.
# If so, the policy may exist as both SiPolicy.p7b in the policy path root as well as
# {GUID}.cip in the CiPolicies\Active subdirectory
if ($PolicyId -eq $SinglePolicyFormatPolicyId) {$NumFilesToDelete = 4} else {$NumFilesToDelete = 2}

$Count = 1
while ($Count -le $NumFilesToDelete)
{

    # Set the $PolicyPath to the file to be deleted, if exists
    Switch ($Count)
    {
        1 {$PolicyPath = $SystemCodeIntegrityFolderRoot+$MultiplePolicyFilePath}
        2 {$PolicyPath = $EFICodeIntegrityFolderRoot+$MultiplePolicyFilePath}
        3 {$PolicyPath = $SystemCodeIntegrityFolderRoot+$SinglePolicyFormatFileName}
        4 {$PolicyPath = $EFICodeIntegrityFolderRoot+$SinglePolicyFormatFileName}
    }

    # Delete the policy file from the current $PolicyPath
    Write-Host "Attempting to remove $PolicyPath..." -ForegroundColor Cyan
    if (Test-Path $PolicyPath) {Remove-Item -Path $PolicyPath -Force -ErrorAction Continue}

    $Count = $Count + 1
}

# Dismount the EFI partition
mountvol $MountPoint /D

Supprimer les stratégies de contrôle d’application provoquant des échecs d’arrêt de démarrage

Une stratégie App Control qui bloque les pilotes critiques de démarrage peut provoquer un échec d’arrêt de démarrage (BSOD), bien que cela puisse être atténué en définissant l’option 10 Enabled :Boot Audit On Failure dans vos stratégies. En outre, les stratégies de contrôle d’application signées protègent la stratégie contre les manipulations administratives et les programmes malveillants qui ont obtenu un accès au système au niveau de l’administration. Pour cette raison, les stratégies de contrôle d’application signées sont intentionnellement plus difficiles à supprimer que les stratégies non signées, même pour les administrateurs. La falsification ou la suppression d’une stratégie de contrôle d’application signée entraîne un BSOD.

Pour supprimer une stratégie qui provoque des échecs d’arrêt de démarrage :

1. Si la stratégie est une stratégie App Control signée , désactivez le démarrage sécurisé à partir de votre menu BIOS UEFI. Pour obtenir de l’aide sur la localisation de l’emplacement où désactiver le démarrage sécurisé dans le menu de votre BIOS, consultez votre fabricant d’équipement d’origine (OEM).
2. Accédez au menu Options de démarrage avancées sur votre ordinateur et choisissez l’option Désactiver l’application des signatures de pilote. Pour obtenir des instructions sur l’accès au menu Options de démarrage avancées au démarrage, consultez votre OEM. Cette option suspend toutes les vérifications d’intégrité du code, y compris App Control, pour une seule session de démarrage.
3. Démarrez Windows normalement et connectez-vous. Ensuite, supprimez les stratégies de contrôle d’application à l’aide d’un script.
4. Si vous avez désactivé le démarrage sécurisé à l’étape 1 ci-dessus et que votre lecteur est protégé par BitLocker, suspendez la protection BitLocker , puis activez le démarrage sécurisé à partir du menu DU BIOS UEFI.
5. Redémarrez l’ordinateur.