Déploiement de stratégies App Control for Business

Remarque

Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.

Vous devez maintenant disposer d’une ou de plusieurs stratégies App Control for Business prêtes à être déployées. Si vous n’avez pas encore effectué les étapes décrites dans le Guide de conception du contrôle d’application, faites-le maintenant avant de continuer.

Convertir votre code XML de stratégie de contrôle d’application en fichier binaire

Avant de déployer vos stratégies App Control, vous devez d’abord convertir le code XML dans sa forme binaire. Pour ce faire, utilisez l’exemple PowerShell suivant. Vous devez définir la variable $AppControlPolicyXMLFile pour qu’elle pointe vers votre fichier XML de stratégie App Control.

## Update the path to your App Control policy XML
$AppControlPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyAppControlPolicy.xml"
[xml]$AppControlPolicy = Get-Content -Path $AppControlPolicyXMLFile
if (($AppControlPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
{
    $PolicyID = $AppControlPolicy.SiPolicy.PolicyID
    $PolicyBinary = $PolicyID+".cip"
}
else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
{
    $PolicyBinary = "SiPolicy.p7b"
}

## Binary file will be written to your desktop
ConvertFrom-CIPolicy -XmlFilePath $AppControlPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary

Planifier votre déploiement

Comme pour toute modification importante de votre environnement, l’implémentation d’App Control peut avoir des conséquences inattendues. Pour garantir les meilleures chances de réussite, vous devez suivre les pratiques de déploiement sécurisées et planifier soigneusement votre déploiement. Identifiez les appareils que vous allez gérer avec App Control et fractionnez-les en anneaux de déploiement. De cette façon, vous pouvez contrôler la vitesse et l’échelle du déploiement et répondre en cas de problème. Définissez les critères de réussite qui déterminent quand il est sûr de continuer d’un anneau à l’autre.

Toutes les modifications de stratégie App Control for Business doivent être déployées en mode audit avant de passer à l’application. Surveillez attentivement les événements des appareils sur lesquels la stratégie a été déployée pour vous assurer que les événements de blocage que vous observez correspondent à vos attentes avant d’étendre le déploiement à d’autres anneaux de déploiement. Si votre organization utilise Microsoft Defender pour point de terminaison, vous pouvez utiliser la fonctionnalité Repérage avancé pour surveiller de manière centralisée les événements liés au contrôle d’application. Sinon, nous vous recommandons d’utiliser une solution de transfert de journal des événements pour collecter les événements pertinents à partir de vos points de terminaison managés.

Choisir comment déployer des stratégies App Control

Important

En raison d’un problème connu, vous devez toujours activer les nouvelles stratégies de base de contrôle d’application signées avec un redémarrage sur les systèmes sur lesquels l’intégrité de la mémoire est activée. Dans ce cas, nous vous recommandons de déployer via un script .

Ce problème n’affecte pas les mises à jour des stratégies de base signées qui sont déjà actives sur le système, le déploiement de stratégies non signées ou le déploiement de stratégies supplémentaires (signées ou non signées). Cela n’affecte pas non plus les déploiements sur des systèmes qui n’exécutent pas l’intégrité de la mémoire.

Il existe plusieurs options pour déployer des stratégies App Control for Business sur des points de terminaison managés, notamment :