Applies ToWindows 10 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise, version 1809 Windows Server 2019 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2
Vous êtes invité(e) à essayer Microsoft 365 gratuitement

Déverrouiller maintenant

Date de publication d’origine : 13 août 2024

ID de la base de connaissances : 5042562

Windows 10 ne sera plus pris en charge à compter du mois d’octobre 2025

Après le 14 octobre 2025, Microsoft ne fournira plus de mises à jour logicielles gratuites à partir de Windows Update, ni d'assistance technique, ni de correctifs de sécurité pour Windows 10. Votre ordinateur personnel fonctionnera toujours, mais nous vous recommandons de passer à Windows 11.

En savoir plus

Remarque importante sur la stratégie SkuSiPolicy.p7b

La stratégie SkuSiPolicy.p7b a été mise à jour. Vous devez appliquer la stratégie mise à jour en installant la dernière mise à jour windows publiée à partir de janvier 2025. Pour obtenir des instructions pour appliquer la stratégie mise à jour, consultez la section Déploiement d’une stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b). 

Dans cet article

Résumé

Microsoft a été informé d’une vulnérabilité dans Windows qui permet à un attaquant disposant de privilèges d’administrateur de remplacer les fichiers système Windows mis à jour qui ont des versions antérieures, ouvrant ainsi la porte à un attaquant afin de supprimer les vulnérabilités de sécurité basée sur la virtualisation (VBS)..  La restauration de ces fichiers binaires peut permettre à un attaquant de contourner les fonctionnalités de sécurité VBS et d’exfiltrer les données protégées par VBS. Ce problème est décrit dans CVE-2024-21302 | Vulnérabilité d’élévation de privilèges en mode noyau sécurisé Windows.

Pour résoudre ce problème, nous révoquons les fichiers système VBS vulnérables qui ne sont pas mis à jour. En raison du grand nombre de fichiers VBS qui doivent être bloqués, nous utilisons une autre approche pour bloquer les versions de fichiers qui ne sont pas mises à jour.

Étendue de l’impact

Tous les appareils Windows qui prennent en charge VBS sont affectés par ce problème. Cela inclut les appareils physiques locaux et les machines virtuelles (VM). VBS est pris en charge sur Windows 10 et les versions ultérieures de Windows, ainsi que sur Windows Server 2016 et les versions ultérieures de Windows Server.

L’état VBS peut être vérifié via l’outil Microsoft System Information (Msinfo32.exe).. Cet outil collecte des informations sur votre appareil. Après avoir démarré Msinfo32.exe, faites défiler jusqu’à la ligne de sécurité basée sur la virtualisation . Si la valeur de cette ligne est En cours d’exécution, VBS est activé et en cours d’exécution.

Boîte de dialogue System Information avec la ligne « Sécurité basée sur la virtualisation » mise en évidence

L’état VBS peut également être vérifié avec Windows PowerShell à l’aide de la classe Win32_DeviceGuard WMI. Pour interroger l’état VBS à partir de PowerShell, ouvrez une session Windows PowerShell avec élévation de privilèges, puis exécutez la commande suivante :

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Après avoir exécuté la commande PowerShell ci-dessus, l’état VBS doit être l’un des suivants.

Nom de champ

État

VirtualizationBasedSecurityStatus

  • Si le champ est égal à 0, VBS n’est pas activé.

  • Si le champ est égal à 1, VBS est activé mais ne s’exécute pas.

  • Si le champ est égal à 2, VBS est activé et en cours d’exécution.

Atténuations disponibles

Pour toutes les versions prises en charge de Windows 10, la version 1507 et les versions ultérieures de Windows et Windows Server 2016 et versions Windows Server ultérieures, les administrateurs peuvent déployer une stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b). Cela empêchera le chargement par le système d’exploitation des versions vulnérables des fichiers système VBS qui ne sont pas mis à jour.

Lorsque cette stratégie est appliquée à un appareil Windows, la stratégie est également verrouillée sur l’appareil en ajoutant une variable au microprogramme UEFI. Au démarrage, la stratégie se charge et Windows bloque le chargement des fichiers binaires qui enfreignent la stratégie. Si le verrou UEFI est appliqué et que la stratégie est supprimée ou remplacée par une version antérieure, le gestionnaire de démarrage Windows ne démarre pas ainsi que l’appareil. Cet échec de démarrage n’affiche pas d’erreur et le système passe à la prochaine option de démarrage disponible, ce qui peut entraîner une boucle de démarrage.

Pour que l’atténuation de la stratégie fonctionne, la stratégie doit être mise à jour à l’aide de la mise à jour de maintenance Windows, car les composants de Windows et la stratégie doivent provenir de la même version. Si l’atténuation de la stratégie est copiée sur l’appareil, l’appareil risque de ne pas démarrer si la mauvaise version de l’atténuation est appliquée, ou si l’atténuation peut ne pas fonctionner comme prévu. En outre, les atténuations décrites dans KB5025885 doivent être appliquées à votre appareil.

Comprendre les risques d’atténuation

Vous devez être conscient des risques potentiels avant d’appliquer la stratégie de révocation signée par Microsoft. Évaluez ces risques et apportez les mises à jour nécessaires au support de récupération avant d’appliquer l’atténuation.

  • Intégrité du code du mode utilisateur (UMCI). La stratégie de révocation signée par Microsoft active l’intégrité du code en mode utilisateur afin que les règles de la stratégie soient appliquées aux fichiers binaires en mode utilisateur. UMCI active également la sécurité du code dynamique par défaut. L’application de ces fonctionnalités peut introduire des problèmes de compatibilité avec les applications et les scripts, et les empêcher de s’exécuter et avoir un impact sur les performances au moment du démarrage. Avant de déployer l’atténuation, suivez les instructions pour déployer la stratégie de mode d’audit afin de tester les problèmes potentiels.

  • Verrouillage ueFI et désinstallation des mises à jour. Après avoir appliqué le verrou UEFI avec la stratégie de révocation signée par Microsoft sur un appareil, l’appareil ne peut pas être rétabli (en désinstallant les mises à jour Windows, à l’aide d’un point de restauration ou par d’autres moyens) si vous continuez à appliquer le démarrage sécurisé. Même le reformatage du disque ne supprime pas le verrou UEFI de l’atténuation s’il a déjà été appliqué. Cela signifie que si vous tentez de rétablir le système d’exploitation Windows à un état antérieur qui n’a pas l’atténuation appliquée, l’appareil ne démarre pas, aucun message d’erreur n’est affiché et l’UEFI passe à la prochaine option de démarrage disponible. Cela peut entraîner une boucle de démarrage. Vous devez désactiver le démarrage sécurisé pour supprimer le verrou UEFI. N’oubliez pas toutes les implications possibles et effectuez des tests approfondis avant d’appliquer les révocations décrites dans cet article à votre appareil.

  • Support de démarrage externe. Une fois que les atténuations de verrouillage UEFI ont été appliquées à un appareil, le média de démarrage externe doit être mis à jour avec la dernière mise à jour de Windows installée sur l’appareil. Si le support de démarrage externe n’est pas mis à jour vers la même version de Windows Update, l’appareil risque de ne pas démarrer à partir de ce support. Consultez les instructions de la section Mise à jour du support de démarrage externe avant d’appliquer les atténuations.

  • Environnement de récupération WindowsL’environnement de récupération Windows (WinRE) sur l’appareil doit être mis à jour avec les dernières mises à jour Windows installées sur l’appareil avant l’application de SkuSipolicy.p7b à l’appareil. L’omission de cette étape peut empêcher WinRE d’exécuter la fonctionnalité Réinitialiser le PC.  Pour plus d’informations, consultez Ajouter un package de mise à jour à Windows RE.

  • Démarrage de l’environnement d’exécution de prédémarreur (PXE). Si l’atténuation est déployée sur un appareil et que vous essayez d’utiliser le démarrage PXE, l’appareil ne démarre pas, sauf si la dernière mise à jour de Windows est également appliquée à l’image de démarrage du serveur PXE. Nous vous déconseillons de déployer des mesures d’atténuation sur les sources de démarrage réseau, sauf si le serveur de démarrage PXE a été mis à jour vers la dernière mise à jour windows publiée le ou après janvier 2025, y compris le gestionnaire de démarrage PXE.  

Instructions de déploiement d’atténuation

Pour résoudre les problèmes décrits dans cet article, vous pouvez déployer une stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b). Cette atténuation n’est prise en charge que sur Windows 10, version 1507 et versions ultérieures de Windows et Windows Server 2016. Avant de déployer la stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b), vous devez tester les problèmes de compatibilité à l’aide d’une stratégie de mode d’audit.

Remarque Si vous utilisez BitLocker, assurez-vous que votre clé de récupération BitLocker a été sauvegardée. Vous pouvez exécuter la commande suivante à partir d’une invite de commandes Administrateur et noter le mot de passe numérique à 48 chiffres :

manage-bde -protectors -get %systemdrive%​​​​​​​

Déploiement d’une stratégie de mode d’audit

La stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b) applique l’intégrité du code en mode utilisateur (UMCI) et la sécurité du code dynamique. Ces fonctionnalités peuvent présenter des problèmes de compatibilité avec les applications clientes. Avant de déployer l’atténuation, vous devez déployer une stratégie d’audit pour détecter les problèmes de compatibilité.

Vous avez deux options de stratégie d’audit :

  • Utilisez la stratégie d’audit SiPolicy.p7b fournie,

  • Vous pouvez également compiler votre propre fichier binaire de stratégie d’audit à partir d’un fichier XML fourni.

Nous vous recommandons d’utiliser le binaire de stratégie d’audit SiPolicy.p7b fourni, sauf si vous avez déjà déployé une stratégie WDAC (Windows Defender Application Control) existante. Le fichier binaire de stratégie d’audit fourni ne sera pas verrouillé par UEFI. Les supports de démarrage externes et les supports de récupération n’ont pas besoin d’être mis à jour avant d’appliquer la stratégie d’audit.

L’intégrité du code Windows évalue les fichiers binaires en mode utilisateur et en mode protégé par rapport aux règles de la stratégie d’audit. Si l’intégrité du code identifie une application ou un script en violation de la stratégie, un événement du journal des événements Windows est généré avec des informations sur l’application ou le script bloqué et des informations sur la stratégie appliquée. Ces événements peuvent être utilisés pour déterminer si des applications ou des scripts incompatibles sont utilisés sur votre appareil. Pour plus d’informations, consultez la section Journaux des événements Windows.

La stratégie d’audit SiPolicy.p7b est incluse dans les dernières mises à jour Windows pour tous les systèmes d’exploitation Windows pris en charge. Cette stratégie d’audit doit uniquement être appliquée aux appareils en installant la dernière mise à jour de maintenance, puis en procédant comme suit :

  1. Exécutez les commandes suivantes à partir d’une invite Windows PowerShell avec élévation de privilèges :

    # Initialize policy location and destination

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\VbsSI_Audit.p7b"

    $DestinationBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Copy the audit policy binary

    Copy-Item -Path $PolicyBinary -Destination $DestinationBinary -force

  2. Redémarrez lʼappareil.

  3. Vérifiez que la stratégie est chargée dans l’observateur d'événements à l’aide des informations de la section Événements d’activation de stratégie.

  4. Testez à l’aide d’applications et de scripts pendant que la stratégie est appliquée pour identifier les problèmes de compatibilité.

Pour désinstaller la stratégie d’audit SiPolicy.p7b, procédez comme suit :

  1. Exécutez les commandes suivantes à partir d’une invite Windows PowerShell avec élévation de privilèges :

    # Initialize policy location

    $PolicyBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Remove SiPolicy.p7b

    Remove-Item -Path $PolicyBinary -force

  2. Redémarrez lʼappareil.

  3. Vérifiez que la stratégie d’audit n’est pas chargée dans le observateur d'événements à l’aide des informations de la section Événements d’activation de stratégie.

Déploiement d’une stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b)

La stratégie de révocation signée par Microsoft est incluse dans la dernière mise à jour de Windows. Cette stratégie doit uniquement être appliquée aux appareils en installant la dernière mise à jour windows disponible publiée à partir de janvier 2025, puis procédez comme suit :

Remarque Si des mises à jour sont manquantes, l’appareil peut ne pas commencer par l’atténuation appliquée ou l’atténuation peut ne pas fonctionner comme prévu. Veillez à mettre à jour votre média Windows de démarrage avec la dernière mise à jour windows disponible avant de déployer la stratégie. Pour plus d’informations sur la mise à jour du média de démarrage, consultez la section Mise à jour du média de démarrage externe .

  1. Exécutez les commandes suivantes dans une invite de Windows PowerShell avec élévation de privilèges :

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force } Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -Force mountvol $MountPoint /D

  2. Redémarrez votre appareil.

  3. Vérifiez que la stratégie est chargée dans l’observateur d'événements à l’aide des informations de la section Journaux des événements Windows.

Remarques

  • Vous ne devez pas supprimer le fichier de révocation (stratégie) SkuSiPolicy.p7b après son déploiement. Votre appareil risque de ne plus pouvoir démarrer si le fichier est supprimé.

  • Si votre appareil ne démarre pas, consultez la section Procédure de récupération.

Mise à jour du support de démarrage externe

Pour utiliser un support de démarrage externe avec un appareil auquel une stratégie de révocation signée Microsoft est appliquée, le média de démarrage externe doit être mis à jour avec la dernière mise à jour de Windows, y compris le Gestionnaire de démarrage. Si le média n’inclut pas la dernière mise à jour de Windows, le média ne démarre pas.

Important Nous vous recommandons de créer un lecteur de récupération avant de continuer. Ce support peut être utilisé pour réinstaller un appareil en cas de problème majeur.

Procédez comme suit pour mettre à jour le support de démarrage externe :

  1. Accédez à un appareil sur lequel les dernières mises à jour Windows ont été installées.

  2. Montez le support de démarrage externe sous forme de lettre de lecteur. Par exemple, montez le lecteur de curseur en tant que D :.

  3. Cliquez sur Démarrer, tapez Créer un lecteur de récupération dans la zone de recherche, puis cliquez sur Créer un panneau de configuration de lecteur de récupération. Suivez les instructions pour créer un lecteur de récupération à l’aide du lecteur de curseur monté.

  4. Retirez en toute sécurité le lecteur de curseur monté.

Si vous gérez les supports installables dans votre environnement à l’aide du support d’installation de mise à jour Windows avec des instructions de mise à jour dynamique, procédez comme suit :

  1. Accédez à un appareil sur lequel les dernières mises à jour Windows ont été installées.

  2. Suivez les étapes décrites dans Mettre à jour le support d’installation de Windows avec la mise à jour dynamique pour créer un média sur lequel les dernières mises à jour Windows sont installées.

Journaux d’événements Windows

Windows journalise les événements lors du chargement des stratégies d’intégrité du code, notamment SkuSiPolicy.p7b, et lorsqu’un fichier est bloqué en raison de la mise en œuvre de la stratégie. Vous pouvez utiliser ces événements pour vérifier que l’atténuation a été appliquée.

Les journaux d’intégrité du code sont disponibles dans l’observateur d'événements Windows sous Journaux d’activité d’application et de services > Microsoft > Windows > CodeIntegrity > Opérationnel > Journaux d’application et de services > Journaux de services > Microsoft > Windows > AppLocker > MSI et script.

Pour plus d’informations sur les événements d’intégrité du code, consultez le guide opérationnel Windows Defender Application Control.

Événements d’activation de stratégie

Les événements d’activation de stratégie sont disponibles dans l’observateur d'événements Windows sous Journaux d’application et de services > Microsoft > Windows > CodeIntegrity > Opérationnel.

L’événement CodeIntegrity 3099 dans le journal des événements « CodeIntegrity - Operational » indique qu’une stratégie a été chargée et inclut des détails sur la stratégie chargée. Les informations contenues dans l’événement incluent le nom convivial de la stratégie, un identificateur global unique (GUID) et un hachage de la stratégie. Plusieurs événements CodeIntegrity Event 3099 sont présents si plusieurs stratégies d’intégrité du code sont appliquées à l’appareil.

Lorsque la stratégie d’audit fournie est appliquée, un événement contenant les informations suivantes s’affiche :

  • PolicyNameBuffer – Stratégie d’audit de sécurité basée sur la virtualisation Microsoft Windows

  • PolicyGUID – {a244370e-44c9-4c06-b551-f6016e563076}

  • PolicyHash – 98FC5872FD022C7DB400953053756A6E62A8F24E7BD8FE080C6525DFBCA38387

Stratégie d’audit de sécurité basée sur la virtualisation Microsoft

Lorsque la stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b) est appliquée, il y aura un événement avec les informations suivantes (voir la capture d’écran de l’événement CodeIntegrity 3099 ci-dessous) :

  • PolicyNameBuffer – Stratégie Microsoft Windows SKU SI

  • PolicyGUID – {976d12c8-cb9f-4730-be52-54600843238e}

  • PolicyHash – 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D

Stratégie SKU SI de Microsoft Windows

Si vous avez appliqué la stratégie d’audit ou d’atténuation à votre appareil et que l’événement CodeIntegrity 3099 pour la stratégie appliquée n’est pas présent, la stratégie n’est pas appliquée. Consultez les instructions de déploiement pour vérifier que la stratégie a été installée correctement.

Remarque L’événement d’intégrité du code 3099 n’est pas pris en charge sur les versions de Windows 10 Entreprise 2016, Windows Server 2016 et Windows 10 Entreprise 2015 LTSB. Pour vérifier que la stratégie a été appliquée (stratégie d’audit ou de révocation), vous devez monter la partition système EFI à l’aide de la commande mountvol.exe et vérifier que la stratégie a été appliquée à la partition EFI. Veillez à démonter la partition système EFI après vérification.

SkuSiPolicy.p7b - Stratégie de révocation

La stratégie SkuSiPolicy.p7b a été appliquée

SiPolicy.p7b - Stratégie d’audit

SiPolicy.p7b Stratégie d’audit appliquée

Auditer et bloquer les événements

Les événements d’audit et de blocage de l’intégrité du code sont disponibles dans l’observateur d'événements Windows sous Journaux d’application et de services > Microsoft>Windows > CodeIntegrity > Opérationnel > Journaux d’application et de services > Microsoft > Windows > AppLocker > MSI et script.

L’emplacement de la journalisation précédente inclut des événements sur le contrôle des exécutables, des dll et des lecteurs. Ce dernier emplacement de journalisation inclut des événements sur le contrôle des programmes d’installation, des scripts et des objets COM MSI.

L’événement CodeIntegrity 3076 dans le journal « CodeIntegrity – Opérationnel » est l’événement de bloc principal pour les stratégies de mode audit et indique qu’un fichier aurait été bloqué si une stratégie avait été appliquée. Cet événement inclut des informations sur le fichier bloqué et sur la stratégie appliquée. Pour les fichiers qui seraient bloqués par l’atténuation, les informations de stratégie dans l’événement 3077 correspondent aux informations de stratégie de la stratégie d’audit de l’événement 3099.

L’événement CodeIntegrity 3077 dans le journal « CodeIntegrity – Opérationnel » indique qu’un exécutable, un .dll ou un lecteur n’a pas pu être chargé. Cet événement inclut des informations sur le fichier bloqué et sur la stratégie appliquée. Pour les fichiers bloqués par l’atténuation, les informations de stratégie dans l’événement CodeIntegrity 3077 correspondent aux informations de stratégie de SkuSiPolicy.p7b de l’événement CodeIntegrity 3099. L’événement CodeIntegrity 3077 n’est pas présent s’il n’existe aucun exécutable, .dll ou lecteur en violation de la stratégie d’intégrité du code sur votre appareil.

Pour d’autres événements d’audit et de blocage de l’intégrité du code, consultez Présentation des événement Application Control.

Procédure de suppression et de récupération de la stratégie

Si un problème se produit après l’application de l’atténuation, vous pouvez utiliser les étapes suivantes pour supprimer l’atténuation :

  1. Suspendez BitLocker s’il est activé. Exécutez les commandes suivantes à partir d'une invite de commandes avec élévation de privilèges Windows :

    Manager-bde -protectors -disable c: -rebootcount 3

  2. Désactivez le démarrage sécurisé à partir du menu BIOS UEFI. La procédure de désactivation du démarrage sécurisé diffère entre les fabricants d’appareils et les modèles. Pour obtenir de l’aide sur l’emplacement où désactiver le démarrage sécurisé, consultez la documentation du fabricant de votre appareil. Vous trouverez plus de détails dans Désactivation du démarrage sécurisé.

  3. Supprimez la stratégie SkuSiPolicy.p7b.

    1. Démarrez Windows normalement, puis connectez-vous. La stratégie SkuSiPolicy.p7b doit être supprimée de l’emplacement suivant :

      • <partition système EFI>\Microsoft\Boot\SkuSiPolicy.p7b

    2. Exécutez les commandes suivantes à partir d’une session Windows PowerShell avec élévation de privilèges pour propre stratégie à partir de ces emplacements :

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b" $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force } if (Test-Path   $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force } ​​​​​​​mountvol $MountPoint /D

  4. Activez le démarrage sécurisé à partir du BIOS. Consultez la documentation du fabricant de votre appareil pour savoir où activer le démarrage sécurisé. Si vous avez désactivé le démarrage sécurisé à l’étape 1 et que votre lecteur est protégé par BitLocker, suspendez la protection BitLocker, puis activez le démarrage sécurisé à partir de votre menu BIOS UEFI.

  5. Activer BitLocker. Exécutez les commandes suivantes à partir d'une invite de commandes avec élévation de privilèges Windows :

    Manager-bde -protectors -enable c:

  6. Redémarrez votre appareil.

Modifier la date

Description

24 février 2025

  • Mise à jour de la note dans la section « Événements d’activation de stratégie » et ajout d’une deuxième capture d’écran de la liste des répertoires montrant le fichier « SiPolicy.p7b - Audit Policy ».

11 février 2025

  • Mise à jour du script à l’étape 1 de la section « Déploiement d’une stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b) ».

  • Ajout d’une note à la fin de la section « Événements d’activation de stratégie » et ajout d’une capture d’écran de la liste des répertoires montrant le fichier « SkuSiPolicy.p7b - Stratégie de révocation ».

  • Mise à jour du script à l’étape 3b de la section « Procédure de suppression et de récupération de stratégie ».

14 janvier 2025

  • Ajout de la note Importante sur la stratégie SkuSiPolicy.p7b en haut de cet article.*

  • Suppression de la note (qui a été ajoutée le 12 novembre 2024) sur les stratégies SkuSiPolicy.p7b et VbsSI_Audit.p7b pour Windows 10, version 1507, Windows 10 Entreprise 2016 et Windows Server 2016 de la section « Atténuations disponibles », car elle n’est plus nécessaire.

  • Ajout d’informations supplémentaires à la note dans la section « Déploiement d’une stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b) ». Le texte d’origine était « Remarque Si des mises à jour sont manquantes, l’appareil peut ne pas commencer avec l’atténuation appliquée ou l’atténuation peut ne pas fonctionner comme prévu ». *

  • Suppression du deuxième paragraphe de la section « Mise à jour du média de démarrage externe ». Le texte d’origine supprimé était « Le support de démarrage, qui est mis à jour avec la stratégie de révocation signée par Microsoft, ne doit être utilisé que pour démarrer les appareils sur lesquels l’atténuation est déjà appliquée.  S’il est utilisé avec des appareils sans atténuation, le verrou UEFI est appliqué au démarrage à partir du support de démarrage. Les démarrages ultérieurs à partir du disque échoueront, sauf si l’appareil est mis à jour avec l’atténuation ou si le verrou UEFI est supprimé. » *

  • Suppression de l’étape « Avec le média nouvellement créé monté, copiez le fichier SkuSiPolicy.p7b dans <MediaRoot>\EFI\Microsoft\Boot (par exemple, D :\EFI\Microsoft\Boot) » dans la procédure « étapes de mise à jour du média de démarrage externe » de la section « Mise à jour du média de démarrage externe », car cette étape n’est plus nécessaire.*

  • Suppression des étapes 3 à 5 de la procédure « Mettre à jour le support d’installation Windows avec les instructions de mise à jour dynamique » de la section « Mise à jour du support de démarrage externe », car les étapes ne sont plus nécessaires.*

    • 3. Placez le contenu du média sur une clé USB et montez la clé usb en tant que lettre de lecteur. Par exemple, montez le lecteur de curseur en tant que D :.

    • 4. Copiez SkuSiPolicy.p7b dans <MediaRoot>\EFI\Microsoft\Boot (par exemple, D :\EFI\Microsoft\Boot).

    • 5. Retirez en toute sécurité la clé usb montée.

  • Mise à jour du premier paragraphe de la rubrique « Média de démarrage externe » dans la section « Comprendre les risques d’atténuation ». Le texte d’origine était « Une fois que les atténuations de verrouillage UEFI ont été appliquées à un appareil, le support de démarrage externe doit être mis à jour avec les dernières mises à jour Windows installées sur l’appareil et avec la stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b). Si le support de démarrage externe n'est pas mis à jour, il se peut que l’appareil ne démarre pas à partir de ce support. Consultez les instructions de la section Mise à jour du support de démarrage externe avant d’appliquer les atténuations.*

  • Suppression du deuxième paragraphe de la rubrique « Média de démarrage externe » dans la section « Comprendre les risques d’atténuation ». Le texte d’origine était « Le support de démarrage, qui est mis à jour avec la stratégie de révocation signée par Microsoft, ne doit être utilisé que pour démarrer les appareils sur lesquels l’atténuation est déjà appliquée.  S’il est utilisé avec des appareils sans atténuation, le verrou UEFI est appliqué au démarrage à partir du support de démarrage. Les démarrages ultérieurs à partir du disque échoueront, sauf si l’appareil est mis à jour avec l’atténuation ou si le verrou UEFI est supprimé. » *

  • Mise à jour de la rubrique « Démarrage de l’environnement d’exécution prédémarreur (PXE) » dans la section « Comprendre les risques d’atténuation ». Le texte d’origine était « Si l’atténuation est déployée sur un appareil et que vous tentez d’utiliser le démarrage PXE, l’appareil ne démarre pas, sauf si les atténuations sont également appliquées aux sources de démarrage réseau (racine où bootmgfw.efi est présent). Si un appareil démarre à partir d’une source de démarrage réseau pour laquelle l’atténuation est appliquée, le verrou UEFI s’applique à l’appareil et a un impact sur les démarrages suivants. Nous vous déconseillons de déployer des atténuations sur les sources de démarrage réseau, sauf si les atténuations sont déployées sur tous les appareils de votre environnement. "*

12 novembre 2024

  • Dans la section « Atténuations disponibles », la prise en charge des stratégies SkuSiPolicy.p7b et VbsSI_Audit.p7b pour Windows 10, version 1507, Windows 10 Entreprise 2016 et Windows Server 2016 a été ajoutée dans le cadre des mises à jour Windows publiées à partir du 8 octobre 2024.

  • Mise à jour des dates de publication de Windows du 13 août 2024 au 12 novembre 2024.
Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Vous êtes invité(e) à essayer Microsoft 365 gratuitement

Déverrouiller maintenant