Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.
Microsoft a des exigences strictes pour l’exécution du code dans le noyau. Par conséquent, des acteurs malveillants se tournent vers l’exploitation des vulnérabilités dans les pilotes de noyau légitimes et signés pour exécuter des programmes malveillants dans le noyau. L’un des nombreux atouts de la plateforme Windows est notre étroite collaboration avec des fournisseurs de matériel indépendants (IVS) et des fabricants OEM. Microsoft travaille en étroite collaboration avec nos IVS et la communauté de sécurité pour garantir le plus haut niveau de sécurité des pilotes pour nos clients. Lorsque des vulnérabilités dans les pilotes sont détectées, nous travaillons avec nos partenaires pour nous assurer qu’elles sont rapidement corrigées et déployées dans l’écosystème. La liste de blocage des pilotes vulnérables est conçue pour renforcer les systèmes contre les pilotes non développés par Microsoft dans l’écosystème Windows avec l’un des attributs suivants :
- Vulnérabilités de sécurité connues qu’un attaquant pourrait exploiter pour élever les privilèges dans le noyau Windows
- Comportements malveillants (programmes malveillants) ou certificats utilisés pour signer des programmes malveillants
- Des comportements qui ne sont pas malveillants, mais qui contournent le modèle Sécurité Windows et qu’un attaquant peut exploiter pour élever les privilèges dans le noyau Windows
Les pilotes peuvent être soumis à Microsoft à des fins d’analyse de la sécurité dans la page Renseignement de sécurité Microsoft De soumission du pilote. Pour plus d’informations sur l’envoi de pilotes, consultez Améliorer la sécurité du noyau avec le nouveau Centre de rapports sur les pilotes vulnérables et malveillants Microsoft. Pour signaler un problème ou demander une modification à la liste de blocage, y compris la mise à jour d’une règle de bloc une fois qu’une version fixe d’un pilote est disponible, visitez le portail Renseignement de sécurité Microsoft.
Remarque
Le blocage des pilotes peut entraîner un dysfonctionnement des appareils ou des logiciels et, dans de rares cas, entraîner un écran bleu. Il n’est pas garanti que la liste de blocage des pilotes vulnérables bloque tous les pilotes détectés comme ayant des vulnérabilités. Lorsque nous produisons la liste de blocage, Microsoft tente d’équilibrer les risques de sécurité des pilotes vulnérables avec l’impact potentiel sur la compatibilité et la fiabilité. La liste de blocage incluse dans cet article et dans les fichiers téléchargeables associés contient généralement un ensemble plus complet de pilotes vulnérables connus que la version du système d’exploitation et fourni par Windows Update. Il est souvent nécessaire pour nous de retenir certains blocs pour éviter de casser les fonctionnalités existantes pendant que nous travaillons avec nos partenaires qui invitent leurs utilisateurs à effectuer une mise à jour vers des versions corrigées. Comme toujours, Microsoft recommande d’utiliser une approche explicite de la sécurité de la liste d’autorisation dans la mesure du possible, mais lorsque cela n’est pas possible, l’utilisation de cette liste de blocage est un outil essentiel pour perturber les acteurs malveillants.
Liste de blocage des pilotes vulnérables Microsoft
Depuis la mise à jour Windows 11 2022, la liste de blocage des pilotes vulnérables est activée par défaut pour tous les appareils et peut être activée ou désactivée via l’application Sécurité Windows. Sauf sur Windows Server 2016, la liste de blocage des pilotes vulnérables est également appliquée lorsque l’intégrité de la mémoire, également appelée intégrité du code protégé par l’hyperviseur (HVCI), Le contrôle d’application intelligente ou le mode S, est actif. Les utilisateurs peuvent opter pour HVCI à l’aide de l’application Sécurité Windows, et HVCI est activé par défaut pour la plupart des nouveaux appareils Windows 11.
La liste de blocage est mise à jour tous les trimestres. En outre, les mises à jour de liste de blocage sont fournies via les mises à jour Windows mensuelles dans le cadre du processus de maintenance standard pour aider à protéger les clients.
Les clients qui souhaitent toujours obtenir la liste de blocage de pilotes la plus récente peuvent également utiliser App Control for Business pour appliquer la dernière liste de blocage de pilotes recommandée incluse dans cet article. Pour votre commodité, nous fournissons un téléchargement de la liste de blocage des pilotes vulnérables la plus à jour, ainsi que des instructions pour l’appliquer sur votre ordinateur à la fin de cet article.
Blocage des pilotes vulnérables à l’aide du contrôle d’application
Microsoft recommande d’activer le mode HVCI ou S pour protéger vos appareils contre les menaces de sécurité. Si ce paramètre n’est pas possible, Microsoft recommande de bloquer cette liste de pilotes dans votre stratégie App Control for Business existante. Le blocage des pilotes du noyau sans tests suffisants peut entraîner un dysfonctionnement des appareils ou des logiciels et, dans de rares cas, un écran bleu. Vous devez d’abord valider cette stratégie en mode audit et passer en revue les événements de bloc d’audit avant de déployer une version appliquée.
Important
Microsoft recommande également d’activer la règle De réduction de la surface d’attaque (ASR) Bloquer l’utilisation abusive de pilotes signés vulnérables exploités pour empêcher une application d’écrire un pilote signé vulnérable sur le disque. La règle ASR n’empêche pas le chargement d’un pilote existant déjà sur le système, mais l’activation de la liste de blocage des pilotes vulnérables Microsoft ou l’application de cette stratégie de contrôle d’application empêche le chargement du pilote existant.
Étapes de téléchargement et d’application du fichier binaire de liste de blocage des pilotes vulnérables
Si vous préférez appliquer la liste de blocage des pilotes vulnérables, procédez comme suit :
- Télécharger l’outil d’actualisation de la stratégie App Control
- Télécharger et extraire les fichiers binaires de la liste de blocage des pilotes vulnérables
- Sélectionnez la version d’audit uniquement ou la version appliquée et renommez le fichier SiPolicy.p7b
- Copiez SiPolicy.p7b dans %windir %\system32\CodeIntegrity
- Exécutez l’outil d’actualisation de stratégie App Control que vous avez téléchargé à l’étape 1 ci-dessus pour activer et actualiser toutes les stratégies App Control sur votre ordinateur
Pour case activée que la stratégie a été correctement appliquée sur votre ordinateur :
- Ouvrez l’observateur d’événements
- Accédez aux journaux des applications et des services - Microsoft - Windows - CodeIntegrity - Opérationnel
- Sélectionnez Filtrer le journal actuel...
- Remplacez «< Tous les ID d’événement> » par « 3099 », puis sélectionnez OK.
- Vous devez trouver un événement 3099 où PolicyNameBuffer et PolicyIdBuffer correspondent aux paramètres Nom et ID de PolicyInfo trouvés dans la liste de blocages Du code XML de stratégie de contrôle d’application de cet article. REMARQUE : Votre ordinateur peut avoir plusieurs événements 3099 si d’autres stratégies de contrôle d’application sont présentes.
Remarque
Si des pilotes vulnérables sont déjà en cours d’exécution et que la stratégie se bloquerait, vous devez redémarrer votre ordinateur pour que ces pilotes soient bloqués. Les processus en cours d’exécution ne sont pas arrêtés lors de l’activation d’une nouvelle stratégie de contrôle d’application sans redémarrage.
CODE XML de liste de blocage de pilotes vulnérables
Le fichier de stratégie XML de liste de blocage recommandé peut être téléchargé à partir du Centre de téléchargement Microsoft.
Cette stratégie contient des règles Autoriser tout . Si votre version de Windows prend en charge plusieurs stratégies App Control, nous vous recommandons de déployer cette stratégie avec toutes les stratégies App Control existantes. Si vous envisagez de fusionner cette stratégie avec une autre stratégie, supprimez les règles Autoriser tout avant de la fusionner si l’autre stratégie applique une liste d’autorisation explicite. Pour plus d’informations, consultez Créer une stratégie de refus de contrôle d’application.
Remarque
Pour utiliser cette stratégie avec Windows Server 2016, vous devez convertir le code XML de stratégie sur un appareil exécutant un système d’exploitation plus récent. Les stratégies disponibles dans le lien du Centre de téléchargement Microsoft fourni précédemment dans cet article incluent également des versions pour Windows Server 2016.