File: C:/Windows/PolicyDefinitions/fr-FR/DeviceGuard.adml
<?xml version="1.0" encoding="utf-8"?>
<!-- (c) 2015 Microsoft Corporation -->
<policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">
<displayName>Microsoft Windows Device Guard</displayName>
<description>Windows Device Guard Security</description>
<resources>
<stringTable>
<string id="DeviceGuard">Device Guard</string>
<string id="VirtualizationBasedSecurity">Activer la sécurité basée sur la virtualisation</string>
<string id="VirtualizationBasedSecurityHelp">Spécifie si la sécurité basée sur la virtualisation est activée.
La sécurité basée sur la virtualisation utilise l'hyperviseur Windows pour fournir un support pour les services de sécurité. La sécurité basée sur la virtualisation nécessite un démarrage sécurisé et peut éventuellement être activée avec l'utilisation de protections DMA. Les protections DMA nécessitent un support matériel et ne sont activées que sur des appareils correctement configurés.
Protection basée sur la virtualisation de l'intégrité du code
Ce paramètre permet la protection basée sur la virtualisation de l'intégrité du code en mode noyau. Lorsque cette option est activée, les protections de mémoire en mode noyau sont appliquées et le chemin d'accès de validation de l'intégrité du code est protégé par la fonctionnalité de sécurité basée sur la virtualisation.
L'option « Désactivé » désactive la protection basée sur la virtualisation de l'intégrité du code à distance si elle a été précédemment activée avec l'option « Activé sans verrou ».
L'option « activé avec verrouillage UEFI » garantit que la protection basée sur la virtualisation de l'intégrité du code ne peut pas être désactivée à distance. Pour désactiver la fonctionnalité, vous devez définir la stratégie de groupe sur « Désactivé » et supprimer la fonctionnalité de sécurité de chaque ordinateur, avec un utilisateur physiquement présent, afin d'effacer la configuration persistante dans UEFI.
L'option « Activé sans verrou » permet à la protection basée sur la virtualisation de l'intégrité du code d'être désactivée à distance à l'aide de la stratégie de groupe.
TL'option « Non configuré » laisse le paramètre de stratégie non défini. La stratégie de groupe n'écrit pas le paramètre de stratégie dans le Registre et n'a donc aucune incidence sur les ordinateurs ou les utilisateurs. S'il y a un paramètre actuel dans le Registre, il ne sera pas modifié.
L'option « Exiger une table d'attributs de mémoire UEFI » permet uniquement la protection basée sur la virtualisation de l'intégrité du code sur les appareils avec support du microprogramme UEFI pour la table des attributs de mémoire. Les appareils sans la table des attributs de mémoire UEFI peuvent avoir des microprogrammes qui sont incompatibles avec la protection basée sur la virtualisation de l'intégrité du code qui, dans certains cas, peut entraîner des incidents, des pertes de données ou une incompatibilité avec certaines cartes de plug-in. Si cette option n'est pas paramétrée, les appareils ciblés doivent être testés pour assurer la compatibilité.
Avertissement : tous les pilotes du système doivent être compatibles avec cette fonction ou le système peut se bloquer. Assurez-vous que ce paramètre de stratégie est uniquement déployé sur des ordinateurs reconnus compatibles.
Credential Guard
Ce paramètre permet aux utilisateurs d'activer Credential Guard avec la sécurité basée sur la virtualisation pour protéger les informations d'identification.
L'option « Désactivé » désactive Credential Guard à distance s'il a été précédemment activé avec l'option « Activé sans verrou ».
L'option « Activé avec verrouillage UEFI » garantit que Credential Guard ne peut pas être désactivé à distance. Pour désactiver la fonctionnalité, vous devez définir la stratégie de groupe sur « Désactivé » et supprimer la fonctionnalité de sécurité de chaque ordinateur, avec un utilisateur physiquement présent, afin d'effacer la configuration persistante dans UEFI.
L'option « Activé sans verrou » permet de désactiver Credential Guard à distance à l'aide de la stratégie de groupe. Les appareils qui utilisent ce paramètre doivent exécuter au moins Windows 10 (version 1511).
L'option « Non configuré » laisse le paramètre de stratégie non défini. La stratégie de groupe n'écrit pas le paramètre de stratégie dans le Registre et n'a donc aucune incidence sur les ordinateurs ou les utilisateurs. S'il y a un paramètre actuel dans le Registre, il n'est pas modifié.
Lancement sécurisé
Ce paramètre définit la configuration du Lancement sécurisé de manière à sécuriser la chaîne de démarrage.
Le paramètre « Non configuré » est la valeur par défaut et permet la configuration de la fonctionnalité par les utilisateurs d'administration.
L'option « Activé » active le lancement sécurisé sur le matériel pris en charge.
L'option « Désactivé » désactive le lancement sécurisé, quel que soit le support matériel.
</string>
<string id="SecureBoot">Démarrage sécurisé</string>
<string id="SecureBootAndDmaProtection">Démarrage sécurisé et protection contre les DMA</string>
<string id="Disabled">Désactivé</string>
<string id="Enabled">Activé</string>
<string id="EnabledWithoutLock">Activé sans verrouillage</string>
<string id="EnabledWithUefiLock">Activé avec le verrouillage UEFI</string>
<string id="NotConfigured">Non configuré</string>
<string id="ConfigCIPolicy">Déployer le Contrôle d'application Windows Defender</string>
<string id="ConfigCIPolicyHelp">Déployer le Contrôle d'application Windows Defender
Ce paramètre de stratégie vous permet de déployer une stratégie d'intégrité du code sur un ordinateur pour contrôler ce qui peut être exécuté sur cet ordinateur.
Si vous déployez une stratégie d'intégrité du code, Windows restreint ce qui peut être exécuté à la fois en mode noyau et sur le bureau Windows, en fonction de la stratégie. Pour activer cette stratégie, l'ordinateur doit être redémarré.
Le chemin d'accès doit être un chemin d'accès UNC (par exemple, \\ServerName\ShareName\SIPolicy.p7b) ou un chemin d'accès local valide (par exemple, C:\FolderName\SIPolicy.p7b). Le compte d'ordinateur local (SYSTÈME LOCAL) doit être autorisé à accéder au fichier de stratégie.
Si vous utilisez une stratégie signée et protégée, la désactivation de ce paramètre de stratégie ne supprime pas la fonctionnalité de l'ordinateur. À la place, vous devez :
1) commencer par mettre à jour la stratégie en une stratégie non protégée, puis désactiver le paramètre, ou
2) désactiver le paramètre, puis supprimer la stratégie de chaque ordinateur, avec un utilisateur physiquement présent.
</string>
</stringTable>
<presentationTable>
<presentation id="VirtualizationBasedSecurity">
<dropdownList refId="RequirePlatformSecurityFeaturesDrop" defaultItem="1">Sélectionner le niveau de sécurité de plateforme :</dropdownList>
<dropdownList refId="HypervisorEnforcedCodeIntegrityDrop" defaultItem="3">Protection basée sur la virtualisation de l’intégrité du code :</dropdownList>
<checkBox refId="CheckboxMAT">Demander la table des attributs de mémoire UEFI</checkBox>
<dropdownList refId="CredentialIsolationDrop" defaultItem="3">Configuration Credential Guard :</dropdownList>
<dropdownList refId="SystemGuardDrop" defaultItem="2">Configuration du Lancement sécurisé :</dropdownList>
</presentation>
<presentation id="ConfigCIPolicy">
<textBox refId="ConfigCIPolicyFilePathText">
<label>Chemin d'accès aux fichiers de stratégie d'intégrité du code :</label>
</textBox>
</presentation>
</presentationTable>
</resources>
</policyDefinitionResources>