Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.
Microsoft a des exigences strictes pour l’exécution du code dans le noyau. Par conséquent, des acteurs malveillants se tournent vers l’exploitation des vulnérabilités dans les pilotes de noyau légitimes et signés pour exécuter des programmes malveillants dans le noyau. L’un des nombreux atouts de la plateforme Windows est notre étroite collaboration avec des fournisseurs de matériel indépendants (IVS) et des fabricants OEM. Microsoft travaille en étroite collaboration avec nos IVS et la communauté de sécurité pour garantir le plus haut niveau de sécurité des pilotes pour nos clients. Lorsque des vulnérabilités dans les pilotes sont détectées, nous travaillons avec nos partenaires pour nous assurer qu’elles sont rapidement corrigées et déployées dans l’écosystème. La liste de blocage des pilotes vulnérables est conçue pour renforcer les systèmes contre les pilotes non développés par Microsoft dans l’écosystème Windows avec l’un des attributs suivants :
- Vulnérabilités de sécurité connues qui peuvent être exploitées par des attaquants pour élever les privilèges dans le noyau Windows
- Comportements malveillants (programmes malveillants) ou certificats utilisés pour signer des programmes malveillants
- Comportements qui ne sont pas malveillants mais contournent le modèle Sécurité Windows et peuvent être exploités par des attaquants pour élever les privilèges dans le noyau Windows
Les pilotes peuvent être soumis à Microsoft à des fins d’analyse de la sécurité dans la page Renseignement de sécurité Microsoft De soumission du pilote. Pour plus d’informations sur l’envoi de pilotes, consultez Améliorer la sécurité du noyau avec le nouveau Centre de rapports sur les pilotes vulnérables et malveillants Microsoft. Pour signaler un problème ou demander une modification à la liste de blocage, y compris la mise à jour d’une règle de bloc une fois qu’un pilote a été corrigé, visitez le portail Renseignement de sécurité Microsoft.
Remarque
Le blocage des pilotes peut entraîner un dysfonctionnement des appareils ou des logiciels et, dans de rares cas, entraîner un écran bleu. La liste de blocage des pilotes vulnérables n’est pas garantie de bloquer tous les pilotes détectés comme ayant des vulnérabilités. Microsoft tente d’équilibrer les risques de sécurité des pilotes vulnérables avec l’impact potentiel sur la compatibilité et la fiabilité pour produire la liste de blocage. Comme toujours, Microsoft recommande d’utiliser une approche de liste verte explicite pour la sécurité dans la mesure du possible.
Liste de blocage des pilotes vulnérables Microsoft
Avec Windows 11 mise à jour 2022, la liste de blocage des pilotes vulnérables est activée par défaut pour tous les appareils et peut être activée ou désactivée via l’application Sécurité Windows. Sauf sur Windows Server 2016, la liste de blocage des pilotes vulnérables est également appliquée lorsque l’intégrité de la mémoire (également appelée intégrité du code protégée par l’hyperviseur ou HVCI), le contrôle d’application intelligent ou le mode S est actif. Les utilisateurs peuvent opter pour HVCI à l’aide de l’application Sécurité Windows, et HVCI est activé par défaut pour la plupart des nouveaux appareils Windows 11.
Remarque
Sécurité Windows est mis à jour séparément du système d’exploitation et est livré par défaut. La version avec le bouton bascule de liste de blocage des pilotes vulnérables se trouve dans l’anneau de validation final et sera bientôt livrée à tous les clients. Au départ, vous pouvez afficher l’état de configuration uniquement et le bouton bascule apparaît grisé. La possibilité d’activer ou de désactiver le bouton bascule s’accompagne d’une prochaine mise à jour Windows.
Pour les Windows Insiders, l’option permettant d’activer ou de désactiver la liste de blocage des pilotes vulnérables de Microsoft à l’aide des paramètres de Sécurité Windows est grisée lorsque le mode HVCI, Smart App Control ou S est activé. Vous devez désactiver HVCI ou Smart App Control, ou sortir l’appareil du mode S, puis redémarrer l’appareil avant de pouvoir désactiver la liste de blocage des pilotes microsoft vulnérables.
La liste de blocage est mise à jour avec chaque nouvelle version majeure de Windows, généralement 1 à 2 fois par an. La liste de blocage la plus actuelle est désormais également disponible pour les utilisateurs Windows 10 20H2 et Windows 11 21H2 en tant que mise à jour facultative de Windows Update. Microsoft publiera occasionnellement les futures mises à jour par le biais d’une maintenance Régulière de Windows.
Les clients qui souhaitent toujours obtenir la liste de blocage de pilotes la plus récente peuvent également utiliser App Control for Business pour appliquer la dernière liste de blocage de pilotes recommandée. Pour votre commodité, nous fournissons un téléchargement de la liste de blocage des pilotes vulnérables la plus à jour, ainsi que des instructions pour l’appliquer sur votre ordinateur à la fin de cet article.
Blocage des pilotes vulnérables à l’aide du contrôle d’application
Microsoft recommande d’activer le mode HVCI ou S pour protéger vos appareils contre les menaces de sécurité. Si ce paramètre n’est pas possible, Microsoft recommande de bloquer cette liste de pilotes dans votre stratégie App Control for Business existante. Le blocage des pilotes du noyau sans tests suffisants peut entraîner un dysfonctionnement des appareils ou des logiciels et, dans de rares cas, un écran bleu. Il est recommandé de valider d’abord cette stratégie en mode audit et de passer en revue les événements de bloc d’audit.
Important
Microsoft recommande également d’activer la règle de réduction de la surface d’attaque (ASR) Bloquer l’utilisation abusive de pilotes signés vulnérables exploités pour empêcher une application d’écrire un pilote signé vulnérable sur le disque. La règle ASR n’empêche pas le chargement d’un pilote existant déjà sur le système, mais l’activation de la liste de blocage des pilotes vulnérables Microsoft ou l’application de cette stratégie de contrôle d’application empêchent le chargement du pilote existant.
Étapes de téléchargement et d’application du fichier binaire de liste de blocage des pilotes vulnérables
Si vous préférez appliquer la liste de blocage des pilotes vulnérables, procédez comme suit :
- Télécharger l’outil d’actualisation de la stratégie App Control
- Télécharger et extraire les fichiers binaires de la liste de blocage des pilotes vulnérables
- Sélectionnez la version d’audit uniquement ou la version appliquée et renommez le fichier SiPolicy.p7b
- Copiez SiPolicy.p7b dans %windir%\system32\CodeIntegrity
- Exécutez l’outil d’actualisation de stratégie App Control que vous avez téléchargé à l’étape 1 ci-dessus pour activer et actualiser toutes les stratégies App Control sur votre ordinateur
Pour case activée que la stratégie a été correctement appliquée sur votre ordinateur :
- Ouvrez l’observateur d’événements
- Accédez aux journaux des applications et des services - Microsoft - Windows - CodeIntegrity - Opérationnel
- Sélectionnez Filtrer le journal actuel...
- Remplacez «< Tous les ID d’événement> » par « 3099 », puis sélectionnez OK.
- Recherchez un événement 3099 où PolicyNameBuffer et PolicyIdBuffer correspondent aux paramètres Name et Id PolicyInfo qui se trouvent en bas du code XML de stratégie de contrôle d’application de la liste de blocage dans cet article. REMARQUE : Votre ordinateur peut avoir plusieurs événements 3099 si d’autres stratégies App Control sont également présentes.
Remarque
Si des pilotes vulnérables sont déjà en cours d’exécution et sont bloqués par la stratégie, vous devez redémarrer votre ordinateur pour que ces pilotes soient bloqués. Les processus en cours d’exécution ne sont pas arrêtés lors de l’activation d’une nouvelle stratégie de contrôle d’application sans redémarrage.
CODE XML de liste de blocage de pilotes vulnérables
Le fichier de stratégie XML de liste de blocage recommandé peut être téléchargé à partir du Centre de téléchargement Microsoft.
Cette stratégie contient des règles Autoriser tout . Si votre version de Windows prend en charge plusieurs stratégies App Control, nous vous recommandons de déployer cette stratégie avec toutes les stratégies App Control existantes. Si vous envisagez de fusionner cette stratégie avec une autre stratégie, vous devrez peut-être supprimer les règles Autoriser tout avant de la fusionner si l’autre stratégie applique une liste verte explicite. Pour plus d’informations, consultez Créer une stratégie de refus de contrôle d’application.
Remarque
Pour utiliser cette stratégie avec Windows Server 2016, vous devez convertir le code XML de stratégie sur un appareil exécutant un système d’exploitation plus récent.