Appliquer les stratégies App Control for Business

Remarque

Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.

Vous devez maintenant disposer d’une ou de plusieurs stratégies App Control for Business largement déployées en mode audit. Vous avez analysé les événements collectés à partir des appareils avec ces stratégies et vous êtes prêt à appliquer. Utilisez cette procédure pour préparer et déployer vos stratégies De contrôle d’application en mode d’application.

Remarque

Certaines des étapes décrites dans cet article s’appliquent uniquement à Windows 10 version 1903 ou ultérieure, ou Windows 11. Lorsque vous utilisez cette rubrique pour planifier vos propres stratégies de contrôle d’application de organization, déterminez si vos clients gérés peuvent utiliser tout ou partie de ces fonctionnalités. Évaluez l’impact de toutes les fonctionnalités qui peuvent être indisponibles sur vos clients exécutant des versions antérieures de Windows 10 et De Windows Server. Vous devrez peut-être adapter ces conseils pour répondre aux besoins de votre organization spécifique.

Convertir la stratégie de base de contrôle d’application de l’audit en stratégie appliquée

Comme décrit dans les scénarios de déploiement d’App Control for Business courants, nous allons utiliser l’exemple de Lamna Healthcare Company (Lamna) pour illustrer ce scénario. Lamna tente d’adopter des stratégies d’application plus fortes, notamment l’utilisation d’App Control pour empêcher les applications indésirables ou non autorisées de s’exécuter sur leurs appareils gérés.

Alice Pena est la responsable de l’équipe informatique responsable du déploiement du contrôle d’application de Lamna.

Alice a précédemment créé et déployé une stratégie pour les appareils entièrement gérés de l’organization. Ils ont mis à jour la stratégie en fonction des données d’événement d’audit, comme décrit dans Utiliser des événements d’audit pour créer des règles de stratégie App Control et l’ont redéployée. Tous les événements d’audit restants sont comme prévu et Alice est prête à passer en mode d’application.

  1. Initialisez les variables qui seront utilisées et créez la stratégie appliquée en copiant la version d’audit.

    $EnforcedPolicyName = "Lamna_FullyManagedClients_Enforced"
$AuditPolicyXML = $env:USERPROFILE+"\Desktop\Lamna_FullyManagedClients_Audit.xml"
$EnforcedPolicyXML = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyName+".xml"
cp $AuditPolicyXML $EnforcedPolicyXML

  2. Utilisez Set-CIPolicyIdInfo pour donner à la nouvelle stratégie un ID unique et un nom descriptif. La modification de l’ID et du nom vous permet de déployer la stratégie appliquée côte à côte avec la stratégie d’audit. Effectuez cette étape si vous envisagez de renforcer votre stratégie De contrôle d’application au fil du temps. Si vous préférez remplacer la stratégie d’audit sur place, vous pouvez ignorer cette étape.

    $EnforcedPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedPolicyXML -PolicyName $EnforcedPolicyName -ResetPolicyID
$EnforcedPolicyID = $EnforcedPolicyID.Substring(11)

  3. [Facultatif] Utilisez Set-RuleOption pour activer les options de règle 9 (« Menu Options de démarrage avancées ») et 10 (« Audit de démarrage en cas d’échec »). L’option 9 permet aux utilisateurs de désactiver l’application du contrôle d’application pour une session de démarrage unique à partir d’un menu de prédémarreur. L’option 10 indique à Windows de passer de l’application à l’audit uniquement si un pilote de démarrage critique en mode noyau est bloqué. Nous vous recommandons vivement ces options lors du déploiement d’une nouvelle stratégie appliquée sur votre premier anneau de déploiement. Ensuite, si aucun problème n’est détecté, vous pouvez supprimer les options et redémarrer votre déploiement.

    Set-RuleOption -FilePath $EnforcedPolicyXML -Option 9
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 10

  4. Utilisez Set-RuleOption pour supprimer l’option de règle en mode audit, qui remplace la stratégie par l’application :

    Set-RuleOption -FilePath $EnforcedPolicyXML -Option 3 -Delete

  5. Utilisez ConvertFrom-CIPolicy pour convertir la nouvelle stratégie App Control en binaire :

    Remarque

    Si vous n’avez pas utilisé -ResetPolicyID à l’étape 2 ci-dessus, vous devez remplacer $EnforcedPolicyID dans la commande suivante par l’attribut PolicyID trouvé dans votre xml de stratégie de base.

    $EnforcedPolicyBinary = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyID+".cip"
ConvertFrom-CIPolicy $EnforcedPolicyXML $EnforcedPolicyBinary

Effectuer des copies des stratégies supplémentaires nécessaires à utiliser avec la stratégie de base appliquée

Étant donné que la stratégie appliquée a reçu un PolicyID unique dans la procédure précédente, vous devez dupliquer toutes les stratégies supplémentaires nécessaires à utiliser avec la stratégie appliquée. Les stratégies supplémentaires héritent toujours du mode Audit ou Application de la stratégie de base qu’elles modifient. Si vous n’avez pas réinitialisé le PolicyID de la stratégie de base d’application, vous pouvez ignorer cette procédure.

  1. Initialisez les variables qui seront utilisées et créez une copie de la stratégie supplémentaire actuelle. Certaines variables et fichiers de la procédure précédente seront également utilisés.

    $SupplementalPolicyName = "Lamna_Supplemental1"
$CurrentSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Audit.xml"
$EnforcedSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Enforced.xml"

  2. Utilisez Set-CIPolicyIdInfo pour donner à la nouvelle stratégie supplémentaire un ID unique et un nom descriptif, et modifier la stratégie de base à compléter.

    $SupplementalPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedSupplementalPolicy -PolicyName $SupplementalPolicyName -SupplementsBasePolicyID $EnforcedPolicyID -BasePolicyToSupplementPath $EnforcedPolicyXML -ResetPolicyID
$SupplementalPolicyID = $SupplementalPolicyID.Substring(11)

    Remarque

    Si Set-CIPolicyIdInfo ne génère pas la nouvelle valeur PolicyID sur votre version Windows 10, vous devez obtenir la valeur PolicyId directement à partir du code XML.

  3. Utilisez ConvertFrom-CIPolicy pour convertir la nouvelle stratégie supplémentaire App Control for Business en binaire :

    $EnforcedSuppPolicyBinary = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_"+$SupplementalPolicyID+".xml"
ConvertFrom-CIPolicy $EnforcedSupplementalPolicy $EnforcedSuppPolicyBinary

  4. Répétez les étapes ci-dessus si vous avez d’autres stratégies supplémentaires à mettre à jour.

Déployer votre stratégie appliquée et vos stratégies supplémentaires

Maintenant que votre stratégie de base est en mode appliqué, vous pouvez commencer à la déployer sur vos points de terminaison managés. Pour plus d’informations sur le déploiement de stratégies, consultez Déploiement de stratégies App Control for Business.