Détection des applications non autorisées avec Windows Defender Application Control
IntroductionWindows Defender Application Control (WDAC) est une fonctionnalité de sécurité intégrée à Windows qui permet de contrôler les applications autorisées à s'exécuter sur un système. Ce tutoriel vous guidera pour configurer WDAC afin de détecter et signaler les applications non autorisées.
Prérequis• Windows 10 version 1903 ou ultérieure, ou Windows 11.
• Accès en tant qu'administrateur sur la machine cible.
• Windows PowerShell version 5.1 ou supérieure (intégré à Windows 10/11).
• Connaissance de base en gestion de fichiers et scripts PowerShell.
Méthodologie• Méthode 1 : Utilisation des outils graphiques intégrés (Stratégies de groupe).
• Méthode 2 : Configuration via des commandes PowerShell pour une gestion automatisée et avancée.
Avantages des 2 méthodes• Méthode 1 : Interface conviviale, idéale pour les débutants.
• Méthode 2 : Automatisation possible pour les environnements professionnels.
Inconvénients des 2 méthodes• Méthode 1 : Moins flexible pour les grandes infrastructures.
• Méthode 2 : Nécessite des compétences en PowerShell.
Étapes pour chaque méthodeMéthode 1 : Configuration avec l’interface graphique
Ouvrez l’Éditeur de stratégies de groupe locales (gpedit.msc).
Naviguez vers :
Configuration ordinateur > Modèles d’administration > Composants Windows > Windows Defender Application Control.
Activez la stratégie Activer Windows Defender Application Control.
Configurez le mode de fonctionnement en sélectionnant Audit uniquement pour détecter les applications sans les bloquer.
Appliquez et redémarrez le système pour activer les modifications.
MĂ©thode 2 : Configuration via PowerShell
Ouvrez PowerShell en tant qu’administrateur.
Créez une politique WDAC avec les commandes suivantes :
Code:
New-CIPolicy -FilePath "C:\Policies\WDACPolicy.xml" -Level Publisher -AuditModeAppliquez la politique générée :
Code:
ConvertFrom-CIPolicy -XmlFilePath "C:\Policies\WDACPolicy.xml" -BinaryFilePath "C:\Policies\WDACPolicy.bin"Déployez la politique sur le système :
Code:
Copy-Item "C:\Policies\WDACPolicy.bin" "C:\Windows\System32\CodeIntegrity\CiPolicies\Active"Redémarrez l’ordinateur pour activer le mode Audit.
AstuceAjoutez des exclusions personnalisées pour éviter les faux positifs en modifiant directement le fichier XML généré.
Mise en gardeN’activez pas directement le mode Enforcement sans tester la configuration en mode Audit. Cela pourrait bloquer des applications essentielles.
ConseilConservez une copie des politiques WDAC dans un emplacement sécurisé pour une restauration rapide en cas de problème.
Solution alternativeUtilisez l’outil AppLocker, intégré à Windows, pour des besoins similaires, bien qu’il soit moins puissant que WDAC.
Références• Microsoft Learn
• Recherche Google
ConclusionGrâce à WDAC, vous pouvez détecter efficacement les applications non autorisées et améliorer la sécurité de votre système sans bloquer immédiatement les applications nécessaires.
