Device Guard notes from the Field…

1. Pré requis matériel

Support HYPERV et SLAT + Secure Boot + UEFI

2. Pré requis logiciel

Version Windows 10 Entreprise seulement !

HyperV (plateforme pas obligatoirement les outils de gestion)

Mode Utilisateur isolé

3. Création de la GPO / GPO Pack

a. Creation d’une GPO Device Guard

Faire les choix appropriés en fonction des capacités matérielles et du souhait de configuration. Valider et lier la GPO sur une OU de test. Faire un GPUPDATE /FORCE.

Ici j’ai utilisé GPEDIT.MSC en local, mais le système reste le même…

b. Création d’un GPOPack

Le système du GPO Pack permet de déployer ces mêmes paramètres sur des PCs hors domaine, via script ou depuis un TS MDT/SCCM.

Le but dans mon cas étant de déployer ce GPOPack lors du déploiement MDT de manière automatique.

Exporter ces paramètres grâce à l’outil LocalGPO (Fourni avec SCM 3.0) :

Cscript localgpo.wsf /Path:D: /export /GPOPack

Cela crée un dossier ici, sur D, contenant les paramètres présents dans la GPO locale crée ci-dessus.

Exporting Local Policy… this process can take a few moments.

Local Policy Exported to D:\{5179D33A-64A1-4432-AD76-D5D1BAE898FE}

Renommer le répertoire (par exemple WINGPOPACK1), puis le copier dans votre arborescence MDT (C:\DeploymentShare\Templates\GPOPacks) et vous êtes bons ! il faut juste le référencer dans le CS.INI :

ApplyGPOPack=YES

GPOPackPath=WINGPOPACK1

Dans la TS il y a une étape Apply Local GPO Packs, qui appliquera votre GPO Pack lors du déploiement.

On peut également appeler une commandline de manière à piloter/deployer plusieurs GPOPACKs de manière plus granulaire :

cscript localgpo.wsf /Path:D:\{5179D33A-64A1-4432-AD76-D5D1BAE898FE}

4. Création de la règle de base (certificats éditeurs)

Windows PowerShell en mode administrateur

New-CIPolicy -Level PcaCertificate -FilePath C:\ScanDeBase.xml -userPEs 3> C:\ScanDeBaseLog.txt

Checking for Catalog Signers…

Generating Rules…

Unable to generate rules for all scanned files at the requested level. A list of files not covered by the current policy can be found at C:\Users\Administrateur\AppData\Local\Temp\tmp550C.tmp. A more complete policy may be created using the -fallback switch

5. Conversion en format binaire

ConvertFrom-CIPolicy C:\ScanDeBase.xml C:\CIPolicydeBase.bin

6. Copie dans le répertoire CodeIntegrity

xcopy C:\CIPolicydeBase.bin C:\Windows\System32\CodeIntegrity\SIPolicy.p7b /y

7. Redémarrage et tests

8. Mode audit Device Guard

Eventvwr : CodeIntegrity Events 3076

9. Création de la règle basée sur l’audit (hash sur les exceptions levées)

New-CIPolicy -Audit -Level Hash -FilePath C:\ScanAuditBase.xml -UserPEs 3> CIAuditPolicylog.txt

10. Fusion des 2 règles

Merge-CIPolicy -PolicyPaths C:\ScanDeBase.xml, C:\ScanAuditBase.xml -OutputFilePath C:\ScanMerged.xml

11. Conversion et copie…redémarrage

ConvertFrom-CIPolicy C:\ScanMerged.xml C:\ScanMerged.bin

xcopy C:\ ScanMerged.bin C:\Windows\System32\CodeIntegrity\SIPolicy.p7b /y

et on redémarre.

12. Deuxième passe d’audit pour vérification

13. Si concluant : Passage en mode PROD.

Pour passer en production il faut enlever l’option audit de la stratégie :

Set-ruleoption -Option 3 -delete C:\ScanMerged.xml

Recompiler et recopier le fichier, puis redémarrer.

Pour le déployer avec MDT/SCCM, il suffit d’inclure une étape de copie de votre fichier SIPolicy.p7b dans votre TS MDT/SCCM si nécessaire :

(ex : xcopy \\DC01\DeviceGuard\ScanMerged.bin C:\Windows\System32\CodeIntegrity\SIPolicy.p7b /y)

14. Conclusions

Device guard permet une sécurisation optimale de vos Postes sensibles. Pas forcément à généraliser pour tous les postes mais ceux que l’on souhaite sécuriser à fond sont de bons candidats !