Dans cet article

Résumé

Microsoft a été informé d’une vulnérabilité dans Windows qui permet à un attaquant disposant de privilèges d’administrateur de remplacer les fichiers système Windows mis à jour qui ont des versions antérieures, ouvrant ainsi la porte à un attaquant afin de supprimer les vulnérabilités de sécurité basée sur la virtualisation (VBS)..  La restauration de ces fichiers binaires peut permettre à un attaquant de contourner les fonctionnalités de sécurité VBS et d’exfiltrer les données protégées par VBS. Ce problème est décrit dans CVE-2024-21302 | Vulnérabilité d’élévation de privilèges en mode noyau sécurisé Windows.

Pour résoudre ce problème, nous révoquons les fichiers système VBS vulnérables qui ne sont pas mis à jour. En raison du grand nombre de fichiers VBS qui doivent être bloqués, nous utilisons une autre approche pour bloquer les versions de fichiers qui ne sont pas mises à jour.

Étendue de l’impact

Tous les appareils Windows qui prennent en charge VBS sont affectés par ce problème. Cela inclut les appareils physiques locaux et les machines virtuelles (VM). VBS est pris en charge sur Windows 10 et les versions ultérieures de Windows, ainsi que sur Windows Server 2016 et les versions ultérieures de Windows Server.

L’état VBS peut être vérifié via l’outil Microsoft System Information (Msinfo32.exe).. Cet outil collecte des informations sur votre appareil. Après avoir démarré Msinfo32.exe, faites défiler jusqu’à la ligne de sécurité basée sur la virtualisation . Si la valeur de cette ligne est En cours d’exécution, VBS est activé et en cours d’exécution.

Boîte de dialogue System Information avec la ligne « Sécurité basée sur la virtualisation » mise en évidence

L’état VBS peut également être vérifié avec Windows PowerShell à l’aide de la classe Win32_DeviceGuard WMI. Pour interroger l’état VBS à partir de PowerShell, ouvrez une session Windows PowerShell avec élévation de privilèges, puis exécutez la commande suivante :

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Après avoir exécuté la commande PowerShell ci-dessus, l’état VBS doit être l’un des suivants.

Nom de champ

État

VirtualizationBasedSecurityStatus

  • Si le champ est égal à 0, VBS n’est pas activé.

  • Si le champ est égal à 1, VBS est activé mais ne s’exécute pas.

  • Si le champ est égal à 2, VBS est activé et en cours d’exécution.

Atténuations disponibles

Pour toutes les versions prises en charge de Windows 10, version 1809 et les versions ultérieures de Windows, et Windows Server 2019 et les versions ultérieures de Windows Server, les administrateurs peuvent déployer une stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b). Cela empêchera le chargement par le système d’exploitation des versions vulnérables des fichiers système VBS qui ne sont pas mis à jour.

Remarque Des atténuations supplémentaires et la prise en charge de l’atténuation pour toutes les versions prises en charge de Windows 10, version 1507 et les versions antérieures de Windows, et Windows Server 2016 et les versions antérieures de Windows Server sont prévues pour les mises à jour ultérieures.

Lorsque cette stratégie est appliquée à un appareil Windows, la stratégie est également verrouillée sur l’appareil en ajoutant une variable au microprogramme UEFI. Au démarrage, la stratégie se charge et Windows bloque le chargement des fichiers binaires qui enfreignent la stratégie. Si le verrou UEFI est appliqué et que la stratégie est supprimée ou remplacée par une version antérieure, le gestionnaire de démarrage Windows ne démarre pas ainsi que l’appareil. Cet échec de démarrage n’affiche pas d’erreur et le système passe à la prochaine option de démarrage disponible, ce qui peut entraîner une boucle de démarrage.

Pour que l’atténuation de la stratégie fonctionne, l’appareil doit être mis à jour avec la mise à jour de Windows publiée le 13 août 2024 ou après. Si des mises à jour sont manquantes, l’appareil peut ne pas commencer par l’atténuation appliquée ou l’atténuation peut ne pas fonctionner comme prévu. En outre, les atténuations décrites dans KB5025885 doivent être appliquées à votre appareil.

Important N’appliquez pas cette atténuation aux versions de Windows antérieures à Windows 10, version 1809 ou aux versions de Windows Server antérieures à Windows Server 2019. Si l’atténuation est appliquée aux appareils qui ne sont pas pris en charge, les appareils ne démarrent pas et vous recevez une erreur 0xc0000428. Vous devez suivre les instructions de la section Suppression de stratégie et procédure de récupération pour récupérer.

Boîte de dialogue de récupération indiquant que votre appareil doit être réparé

Comprendre les risques d’atténuation

Vous devez être conscient des risques potentiels avant d’appliquer la stratégie de révocation signée par Microsoft. Évaluez ces risques et apportez les mises à jour nécessaires au support de récupération avant d’appliquer l’atténuation.

  • Intégrité du code du mode utilisateur (UMCI). La stratégie de révocation signée par Microsoft active l’intégrité du code en mode utilisateur afin que les règles de la stratégie soient appliquées aux fichiers binaires en mode utilisateur. UMCI active également la sécurité du code dynamique par défaut. L’application de ces fonctionnalités peut introduire des problèmes de compatibilité avec les applications et les scripts, et les empêcher de s’exécuter et avoir un impact sur les performances au moment du démarrage. Avant de déployer l’atténuation, suivez les instructions pour déployer la stratégie de mode d’audit afin de tester les problèmes potentiels.

  • Verrouillage ueFI et désinstallation des mises à jour. Après avoir appliqué le verrou UEFI avec la stratégie de révocation signée par Microsoft sur un appareil, l’appareil ne peut pas être rétabli (en désinstallant les mises à jour Windows, à l’aide d’un point de restauration ou par d’autres moyens) si vous continuez à appliquer le démarrage sécurisé. Même le reformatage du disque ne supprime pas le verrou UEFI de l’atténuation s’il a déjà été appliqué. Cela signifie que si vous tentez de rétablir le système d’exploitation Windows à un état antérieur qui n’a pas l’atténuation appliquée, l’appareil ne démarre pas, aucun message d’erreur n’est affiché et l’UEFI passe à la prochaine option de démarrage disponible. Cela peut entraîner une boucle de démarrage. Vous devez désactiver le démarrage sécurisé pour supprimer le verrou UEFI. N’oubliez pas toutes les implications possibles et effectuez des tests approfondis avant d’appliquer les révocations décrites dans cet article à votre appareil.

  • Support de démarrage externe. Une fois que les atténuations de verrou UEFI ont été appliquées à un appareil, le support de démarrage externe doit être mis à jour avec les mises à jour Windows datées ou postérieures au 13 août 2024 et avec la stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b). Si le support de démarrage externe n'est pas mis à jour, il se peut que l’appareil ne démarre pas à partir de ce support. Consultez les instructions de la section Mise à jour du support de démarrage externe avant d’appliquer les atténuations. Le support de démarrage mis à jour avec la stratégie de révocation signée par Microsoft ne doit être utilisé que pour les appareils de démarrage pour lesquels l’atténuation est déjà appliquée.  S’il est utilisé avec des appareils sans atténuation, le verrou UEFI est appliqué au démarrage à partir du support de démarrage. Les démarrages ultérieurs à partir du disque échoueront, sauf si l'appareil est mis à jour avec l'atténuation ou si le verrou UEFI est supprimé.

  • Environnement de récupération Windows. L’environnement de récupération Windows (WinRE) sur l’appareil doit être mis à jour avec les mises à jour Windows du ou après le 13 août 2024 avant l’application de SkuSipolicy.p7b à l’appareil. L’omission de cette étape peut empêcher WinRE d’exécuter la fonctionnalité Réinitialiser le PC.  Pour plus d’informations, consultez Ajouter un package de mise à jour à Windows RE.

  • Démarrage PXE (Preboot Execution Environment). Si l’atténuation est déployée sur un appareil et que vous tentez d’utiliser le démarrage PXE, l’appareil ne démarre que si les atténuations sont également appliquées aux sources de démarrage réseau (racine où bootmgfw.efi est présent). Si un appareil démarre à partir d’une source de démarrage réseau pour laquelle l’atténuation est appliquée, le verrou UEFI s’applique à l’appareil et a un impact sur les démarrages suivants. Nous vous déconseillons de déployer des atténuations sur les sources de démarrage réseau, sauf si les atténuations sont déployées sur tous les appareils de votre environnement.  

Instructions de déploiement d’atténuation

Pour résoudre les problèmes décrits dans cet article, vous pouvez déployer une stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b). Cette atténuation n’est prise en charge que sur Windows 10, version 1809 et les versions ultérieures de Windows, ainsi que sur Windows Server 2019 et les versions ultérieures de Windows Server. Avant de déployer la stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b), vous devez tester les problèmes de compatibilité à l’aide d’une stratégie de mode d’audit.

Remarque Si vous utilisez BitLocker, assurez-vous que votre clé de récupération BitLocker a été sauvegardée. Vous pouvez exécuter la commande suivante à partir d’une invite de commandes Administrateur et noter le mot de passe numérique à 48 chiffres :

manage-bde -protectors -get %systemdrive%​​​​​​​

Déploiement d’une stratégie de mode d’audit

La stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b) applique l’intégrité du code en mode utilisateur (UMCI) et la sécurité du code dynamique. Ces fonctionnalités peuvent présenter des problèmes de compatibilité avec les applications clientes. Avant de déployer l’atténuation, vous devez déployer une stratégie d’audit pour détecter les problèmes de compatibilité.

Vous avez deux options de stratégie d’audit :

  • Utilisez la stratégie d’audit SiPolicy.p7b fournie,

  • Vous pouvez également compiler votre propre fichier binaire de stratégie d’audit à partir d’un fichier XML fourni.

Nous vous recommandons d’utiliser le fichier binaire de stratégie d’audit SiPolicy.p7b fourni, sauf si vous avez déjà déployé une stratégie Windows Defender Application Guard (WDAC) existante. Le fichier binaire de stratégie d’audit fourni ne sera pas verrouillé par UEFI. Les supports de démarrage externes et les supports de récupération n’ont pas besoin d’être mis à jour avant d’appliquer la stratégie d’audit.

L’intégrité du code Windows évalue les fichiers binaires en mode utilisateur et en mode protégé par rapport aux règles de la stratégie d’audit. Si l’intégrité du code identifie une application ou un script en violation de la stratégie, un événement du journal des événements Windows est généré avec des informations sur l’application ou le script bloqué et des informations sur la stratégie appliquée. Ces événements peuvent être utilisés pour déterminer si des applications ou des scripts incompatibles sont utilisés sur votre appareil. Pour plus d’informations, consultez la section Journaux des événements Windows.

La stratégie d’audit SiPolicy.p7b est incluse dans la mise à jour Windows datée du 13 août 2024 pour tous les systèmes d’exploitation Windows pris en charge de Windows 10, version 1809 et les versions ultérieures de Windows, ainsi que Windows Server 2019 et les versions ultérieures de Windows Server. Cette stratégie d’audit doit être appliquée uniquement aux appareils sur lesquels la mise à jour Windows du 13 août 2024 ou celle ultérieure est installée, ou la stratégie d’audit peut ne pas se comporter comme prévu.

Pour déployer la stratégie d’audit SiPolicy.p7b fournie, procédez comme suit :

  1. Exécutez les commandes suivantes à partir d’une invite Windows PowerShell avec élévation de privilèges :

    # Initialiser l’emplacement et la destination de la stratégie

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\VbsSI_Audit.p7b"

    $DestinationBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Copier le binaire de stratégie d’audit

    Copy-Item -Path $PolicyBinary -Destination $DestinationBinary -force

  2. Redémarrez lʼappareil.

  3. Vérifiez que la stratégie est chargée dans l’observateur d'événements à l’aide des informations de la section Événements d’activation de stratégie.

  4. Testez à l’aide d’applications et de scripts pendant que la stratégie est appliquée pour identifier les problèmes de compatibilité.

Pour désinstaller la stratégie d’audit SiPolicy.p7b, procédez comme suit :

  1. Exécutez les commandes suivantes à partir d’une invite Windows PowerShell avec élévation de privilèges :

    # Initialiser l’emplacement de la stratégie

    ​​​​​​​$PolicyBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Supprimer SiPolicy.p7b

    Remove-Item -Path $PolicyBinary -force

  2. Redémarrez lʼappareil.

  3. Vérifiez que la stratégie d’audit n’est pas chargée dans le observateur d'événements à l’aide des informations de la section Événements d’activation de stratégie.

Si vous utilisez WDAC pour gérer les applications et les pilotes autorisés à s’exécuter sur vos appareils, vous utilisez peut-être déjà une stratégie nommée « SiPolicy.p7b ». Pour tous les systèmes d’exploitation Windows pris en charge de Windows 10, version 1903 et les versions ultérieures de Windows et Windows Server 2022 et les versions ultérieures de Windows Server, vous pouvez utiliser le fichier XML fourni pour générer et déployer une stratégie d’audit à l’aide du format de stratégie multiple WDAC. Pour obtenir des instructions sur la création et le déploiement du fichier binaire de stratégie d’audit, consultez Déploiement de stratégies (WDAC) Deploying Windows Defender Application Control.

Un fichier XML avec les règles de stratégie d’audit est disponible sur les appareils sur lesquels la mise à jour Windows date du 13 août 2024 ou celle qui vient par la suite. Le fichier XML se trouve sous « %systemroot%\schemas\CodeIntegrity\ExamplePolicies\VbsSI_Audit.xml ».

Si vous utilisez la stratégie WDAC sur Windows 10, version 1809 et les versions antérieures de Windows, ou sur Windows Server 2016 et les versions antérieures de Windows Server, vous devez remplacer la stratégie WDAC existante par la stratégie d’audit pour tester les problèmes de compatibilité avec l’atténuation.

Déploiement d’une stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b)

La stratégie de révocation signée par Microsoft est incluse dans la mise à jour de Windows datée du 13 août 2024 ou d'une date ultérieure. Cette stratégie ne doit être appliquée qu’aux appareils sur lesquels la mise à jour du 13 août 2024 ou celle ultérieure est installée. Si des mises à jour sont manquantes, l’appareil peut ne pas commencer par l’atténuation appliquée ou l’atténuation peut ne pas fonctionner comme prévu.

Pour déployer la stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b), procédez comme suit :

  1. Exécutez les commandes suivantes dans une invite de Windows PowerShell avec élévation de privilèges :

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'

    $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem).AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } mountvol $MountPoint $EFIPartition if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }

    Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -Force

    mountvol $MountPoint /D

  2. Redémarrez votre appareil.

  3. Vérifiez que la stratégie est chargée dans l’observateur d'événements à l’aide des informations de la section Journaux des événements Windows.

Remarques

  • Vous ne devez pas supprimer le fichier de révocation (stratégie) SkuSiPolicy.p7b après son déploiement. Votre appareil risque de ne plus pouvoir démarrer si le fichier est supprimé.

  • Si votre appareil ne démarre pas, consultez la section Procédure de récupération.

Mise à jour du support de démarrage externe

Pour utiliser un support de démarrage externe avec un appareil sur lequel une stratégie de révocation signée par Microsoft est appliquée, le support de démarrage externe doit être mis à jour avec le fichier de stratégie appliqué. En outre, il doit inclure les mises à jour Windows datées du 13 août 2024 ou après. Si le support n’inclut pas les mises à jour, il ne démarre pas.

Le support de démarrage mis à jour avec la stratégie de révocation signée par Microsoft ne doit être utilisé que pour les appareils de démarrage pour lesquels l’atténuation est déjà appliquée.  S’il est utilisé avec des appareils sans atténuation, le verrou UEFI est appliqué au démarrage à partir du support de démarrage. Les démarrages ultérieurs à partir du disque échoueront, sauf si l'appareil est mis à jour avec l'atténuation ou si le verrou UEFI est supprimé.

Important Nous vous recommandons de créer un lecteur de récupération avant de continuer. Ce support peut être utilisé pour réinstaller un appareil en cas de problème majeur.

Procédez comme suit pour mettre à jour le support de démarrage externe :

  1. Accédez à un appareil sur lequel les mises à jour Windows publiées le ou après le 13 août 2024 ont été installées.

  2. Montez le support de démarrage externe sous forme de lettre de lecteur. Par exemple, montez le lecteur de curseur en tant que D :.

  3. Cliquez sur Démarrer, tapez Créer un lecteur de récupération dans la zone de recherche, puis cliquez sur Créer un panneau de configuration de lecteur de récupération. Suivez les instructions pour créer un lecteur de récupération à l’aide du lecteur de curseur monté.

  4. Une fois le support nouvellement créé monté, copiez le fichier SkuSiPolicy.p7b dans <MediaRoot>\EFI\Microsoft\Boot (par exemple, D :\EFI\Microsoft\Boot).

  5. Retirez en toute sécurité le lecteur de curseur monté.

Si vous gérez les supports installables dans votre environnement à l’aide du support d’installation de mise à jour Windows avec des instructions de mise à jour dynamique, procédez comme suit :

  1. Accédez à un appareil sur lequel les mises à jour Windows publiées le ou après le 13 août 2024 ont été installées.

  2. Suivez les étapes dans Mettre à jour les supports d'installation de Windows avec Dynamic Update pour créer un support sur lequel les mises à jour Windows sont publiées le 13 août 2024 ou après leur installation.

  3. Placez le contenu du média sur une clé USB et montez le lecteur de pouce sous forme de lettre de lecteur. Par exemple, montez le lecteur de curseur en tant que D :.

  4. Copiez SkuSiPolicy.p7b dans <MediaRoot>\EFI\Microsoft\Boot (par exemple, D :\EFI\Microsoft\Boot).

  5. Retirez en toute sécurité le lecteur de curseur monté.

Journaux d’événements Windows

Windows journalise les événements lors du chargement des stratégies d’intégrité du code, notamment SkuSiPolicy.p7b, et lorsqu’un fichier est bloqué en raison de la mise en œuvre de la stratégie. Vous pouvez utiliser ces événements pour vérifier que l’atténuation a été appliquée.

Les journaux d’intégrité du code sont disponibles dans l’observateur d'événements Windows sous Journaux d’activité d’application et de services > Microsoft > Windows > CodeIntegrity > Opérationnel > Journaux d’application et de services > Journaux de services > Microsoft > Windows > AppLocker > MSI et script.

Pour plus d’informations sur les événements d’intégrité du code, consultez le guide opérationnel Windows Defender Application Control.

Événements d’activation de stratégie

Les événements d’activation de stratégie sont disponibles dans l’observateur d'événements Windows sous Journaux d’application et de services > Microsoft > Windows > CodeIntegrity > Opérationnel.

L’événement CodeIntegrity 3099 indique qu’une stratégie a été chargée et inclut des détails sur la stratégie chargée. Les informations contenues dans l’événement incluent le nom convivial de la stratégie, un identificateur global unique (GUID) et un hachage de la stratégie. Plusieurs événements CodeIntegrity Event 3099 sont présents si plusieurs stratégies d’intégrité du code sont appliquées à l’appareil.

Lorsque la stratégie d’audit fournie est appliquée, un événement contenant les informations suivantes s’affiche :

  • PolicyNameBuffer – Stratégie d’audit de sécurité basée sur la virtualisation Microsoft Windows

  • PolicyGUID – {a244370e-44c9-4c06-b551-f6016e563076}

  • PolicyHash – 98FC5872FD022C7DB400953053756A6E62A8F24E7BD8FE080C6525DFBCA38387

Stratégie d’audit de sécurité basée sur la virtualisation Microsoft

Lorsque la stratégie de révocation signée par Microsoft (SkuSiPolicy.p7b) est appliquée, il y aura un événement avec les informations suivantes (voir la capture d’écran de l’événement CodeIntegrity 3099 ci-dessous) :

  • PolicyNameBuffer – Stratégie Microsoft Windows SKU SI

  • PolicyGUID – {976d12c8-cb9f-4730-be52-54600843238e}

  • PolicyHash – 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D

Stratégie SKU SI de Microsoft Windows

Si vous avez appliqué la stratégie d’audit ou d’atténuation à votre appareil et que l’événement CodeIntegrity 3099 pour la stratégie appliquée n’est pas présent, la stratégie n’est pas appliquée. Consultez les instructions de déploiement pour vérifier que la stratégie a été installée correctement.

Auditer et bloquer les événements

Les événements d’audit et de blocage de l’intégrité du code sont disponibles dans l’observateur d'événements Windows sous Journaux d’application et de services > Microsoft>Windows > CodeIntegrity > Opérationnel > Journaux d’application et de services > Microsoft > Windows > AppLocker > MSI et script.

L’emplacement de la journalisation précédente inclut des événements sur le contrôle des exécutables, des dll et des lecteurs. Ce dernier emplacement de journalisation inclut des événements sur le contrôle des programmes d’installation, des scripts et des objets COM MSI.

L’événement CodeIntegrity 3076 dans le journal « CodeIntegrity – Opérationnel » est l’événement de bloc principal pour les stratégies de mode audit et indique qu’un fichier aurait été bloqué si une stratégie avait été appliquée. Cet événement inclut des informations sur le fichier bloqué et sur la stratégie appliquée. Pour les fichiers qui seraient bloqués par l’atténuation, les informations de stratégie dans l’événement 3077 correspondent aux informations de stratégie de la stratégie d’audit de l’événement 3099.

L’événement CodeIntegrity 3077 dans le journal « CodeIntegrity – Opérationnel » indique qu’un exécutable, un .dll ou un lecteur n’a pas pu être chargé. Cet événement inclut des informations sur le fichier bloqué et sur la stratégie appliquée. Pour les fichiers bloqués par l’atténuation, les informations de stratégie dans l’événement CodeIntegrity 3077 correspondent aux informations de stratégie de SkuSiPolicy.p7b de l’événement CodeIntegrity 3099. L’événement CodeIntegrity 3077 n’est pas présent s’il n’existe aucun exécutable, .dll ou lecteur en violation de la stratégie d’intégrité du code sur votre appareil.

Pour d’autres événements d’audit et de blocage de l’intégrité du code, consultez Présentation des événement Application Control.

Procédure de suppression et de récupération de la stratégie

Si un problème se produit après l’application de l’atténuation, vous pouvez utiliser les étapes suivantes pour supprimer l’atténuation :

  1. Suspendez BitLocker s’il est activé. Exécutez les commandes suivantes à partir d'une invite de commandes avec élévation de privilèges Windows :

    Manager-bde -protectors -disable c: -rebootcount 3

  2. Désactivez le démarrage sécurisé à partir du menu BIOS UEFI. La procédure de désactivation du démarrage sécurisé diffère entre les fabricants d’appareils et les modèles. Pour obtenir de l’aide sur l’emplacement où désactiver le démarrage sécurisé, consultez la documentation du fabricant de votre appareil. Vous trouverez plus de détails dans Désactivation du démarrage sécurisé.

  3. Supprimez la stratégie SkuSiPolicy.p7b.

    1. Démarrez Windows normalement, puis connectez-vous. La stratégie SkuSiPolicy.p7b doit être supprimée de l’emplacement suivant :

      • ​​​​​​​<EFI System Partition>\Microsoft\Boot\SKUSiPolicy.p7b​​​​​​​

    2. Exécutez le script suivant à partir d’une session Windows PowerShell avec élévation de privilèges pour nettoyer la stratégie à partir de ces emplacements :

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'

      $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b"

      $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem).AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } mountvol $MountPoint $EFIPartition if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }

      si (Test-Path   $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force }

      mountvol $MountPoint /D

  4. Activez le démarrage sécurisé à partir du BIOS. Consultez la documentation du fabricant de votre appareil pour savoir où activer le démarrage sécurisé. Si vous avez désactivé le démarrage sécurisé à l’étape 1 et que votre lecteur est protégé par BitLocker, suspendez la protection BitLocker, puis activez le démarrage sécurisé à partir de votre menu BIOS UEFI.

  5. Activer BitLocker. Exécutez les commandes suivantes à partir d'une invite de commandes avec élévation de privilèges Windows :

    Manager-bde -protectors -enable c:

  6. Redémarrez votre appareil.

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.