Créer une stratégie d’intégrité du code Device Guard basée sur un appareil de référence

  • Article

Pour implémenter la protection d’application Device Guard, vous devez créer une stratégie d’intégrité du code. Les stratégies de ce type déterminent les applications qui sont considérées comme dignes de confiance et qui sont autorisées à s’exécuter sur un appareil protégé.

Créer une stratégie d’intégrité du code Device Guard basée sur un appareil de référence

Pour créer une stratégie d’intégrité du code, vous devez d’abord créer une image de référence qui comprend les applications signées à exécuter sur vos appareils protégés. Pour plus d’informations sur la signature des applications, consultez Exécution des applications sur des appareils protégés par Device Guard.

Remarque  Avant de créer une stratégie d’intégrité du code, assurez-vous que votre appareil de référence ne contient ni virus ni programmes malveillants.

 

Mt243445.wedge(fr-fr,VS.85).gifPour créer une stratégie d’intégrité du code basée sur un appareil de référence

  1. Sur votre appareil de référence, démarrez Windows PowerShell en tant qu’administrateur.

  2. Dans PowerShell, initialisez les variables en tapant :

    $CIPolicyPath=$env:userprofile+"\Desktop\"
$InitialCIPolicy=$CIPolicyPath+"InitialScan.xml"
$CIPolicyBin=$CIPolicyPath+"DeviceGuardPolicy.bin"

  3. Analysez les applications installées sur votre appareil et créez une stratégie d’intégrité du code en tapant :

    New-CIPolicy -Level <RuleLevel> -FilePath $InitialCIPolicy -UserPEs -Fallback Hash 3> Warningslog.txt

    <RuleLevel> peut être défini sur l’une des valeurs suivantes :

    Niveau de règle Description

    Hash

    Spécifie des valeurs de hachage individuelles pour chaque application détectée. À chaque mise à jour d’une application, la valeur de hachage change, et vous devez mettre à jour votre stratégie.

    FileName

    Non pris en charge actuellement.

    SignedVersion

    Non pris en charge actuellement.

    Publisher

    Ce niveau est une combinaison du certificat de l’Assistant Compatibilité des programmes et du nom commun (CN) sur le certificat feuille. Si un certificat de l’Assistant Compatibilité des programmes est utilisé pour signer des applications de plusieurs entreprises (telles que VeriSign), ce niveau de règle vous permet d’approuver le certificat de l’Assistant Compatibilité des programmes, mais uniquement pour l’entreprise dont le nom figure sur le certificat feuille.

    FilePublisher

    Non pris en charge actuellement.

    LeafCertificate

    Ajoute les signataires approuvés au niveau du certificat de signature individuel. Si une application est mise à jour, la valeur de hachage est modifiée, mais pas le certificat de signature. Vous devez mettre à jour votre stratégie uniquement si le certificat de signature d’une application change.

    Remarque  Les périodes de validité des certificats feuilles sont beaucoup plus courtes que celles des certificats de l’Assistant Compatibilité des programmes. Vous devez mettre à jour votre stratégie si un certificat arrive à expiration.
     

    PcaCertificate

    Ajoute le certificat le plus élevé à la chaîne de certificats fournie aux signataires. Il s’agit généralement d’un certificat situé au-dessous du certificat racine, car l’analyse ne valide pas les éléments au-dessus de la signature présentée en se connectant ou en recherchant dans les magasins racines locaux.

    RootCertificate

    Non pris en charge actuellement.

    WHQL

    Non pris en charge actuellement.

    WHQLPublisher

    Non pris en charge actuellement.

    WHQLFilePublisher

    Non pris en charge actuellement.

     

  4. Tapez la commande suivante pour convertir la stratégie d’intégrité du code dans un format binaire :

    ConvertFrom-CIPolicy $InitialCIPolicy $CIPolicyBin

Une fois que vous avez effectué ces étapes, le fichier binaire de stratégie Device Guard (DeviceGuardPolicy.bin) et le fichier xml d’origine (InitialScan.xml) sont disponibles sur votre Bureau.

Remarque  Nous vous recommandons de conserver une copie du fichier InitialScan.xml pour l’utiliser si vous devez fusionner cette stratégie d’intégrité du code avec une autre stratégie, ou de mettre à jour les options de règle de stratégie.

 

Rubriques associées

Exécution des applications sur des appareils protégés par Device Guard