Liste des modules d'injection de DLL autorisés
Pris en charge sur : ADMX Migrator a rencontré une stratégie qui ne dispose pas d'une valeur supportedOn.
Description
La stratégie de liste d'autorisation DLL permet aux administrateurs d’exclure une DLL de la protection contre les injections de DLL. Lorsque la stratégie est : Non configurée - aucune DLL ne figure dans la liste d'autorisation. Inclut toutes les DLL lors de l'utilisation de la protection contre les injections de DLL. Activée - exclut les DLL mentionnées dans la liste d'autorisation de la protection contre les injections de DLL. Désactivée - efface la liste d'autorisation DLL. Les DLL doivent être configurées à nouveau lorsque la stratégie est activée. Le champ Liste d'autorisation des modules permet aux administrateurs d’ajouter des informations DLL qui peuvent être exclues de la protection contre les injections de DLL. Exemple de format pour ajouter une DLL à la liste d'autorisation : [ { « filePath »: " C:\\Program Files (x86)\\trusted\\messagebox.dll » }, { « filePath »: "%PROGRAMFILES%\\trusted\\logging.dll » } ]
Registre
Software\Policies\Citrix\AppProtection REG Builder
BETAConfigurez l'état et les éléments pour générer les sorties .reg, PowerShell, Intune et SCCM.
Ces exports reproduisent l'effet registre de la stratégie. Modifier le registre directement n'équivaut pas à appliquer la GPO via la console (pas de gpupdate, pas de suivi centralisé). Testez avant la production ; HKLM nécessite des droits administrateur.
Fichier .reg
Windows Registry Editor Version 5.00
; Exported from gporais.com
; Policy: Liste des modules d'injection de DLL autorisés
; State: Enabled
; Supported on: ADMX Migrator a rencontré une stratégie qui ne dispose pas d'une valeur supportedOn.
[HKEY_LOCAL_MACHINE\Software\Policies\Citrix\AppProtection]
"AntiDLLInjectionModuleAllowList"=hex(7):00,00
; REG_MULTI_SZ: one string per input line; edit in regedit if you need richer formatting. PowerShell
# Exported from gporais.com
# Policy: Liste des modules d'injection de DLL autorisés
# State: Enabled
# Supported on: ADMX Migrator a rencontré une stratégie qui ne dispose pas d'une valeur supportedOn.
$path = 'HKLM:\Software\Policies\Citrix\AppProtection'
New-Item -Path $path -Force | Out-Null
Set-ItemProperty -Path $path -Name 'AntiDLLInjectionModuleAllowList' -Value @() -Type MultiString
# REG_MULTI_SZ: one string per input line; edit in regedit if you need richer formatting. Intune XML
Aucune correspondance directe Policy CSP / OMA-URI pour cette stratégie. Utilisez l'onglet Intune Remediation, ou importez l'ADMX dans Intune. Intune Remediation
# === Detection script ===
# Exported from gporais.com
# Policy: Liste des modules d'injection de DLL autorisés
# State: Enabled
# Supported on: ADMX Migrator a rencontré une stratégie qui ne dispose pas d'une valeur supportedOn.
function Test-RegistryValue {
param(
[Parameter(Mandatory = $true)][string]$Path,
[Parameter(Mandatory = $true)][string]$Name,
[object]$Expected,
[ValidateSet('String', 'DWord', 'MultiString')][string]$Kind = 'String',
[switch]$Absent
)
try {
$item = Get-ItemProperty -LiteralPath $Path -Name $Name -ErrorAction Stop
} catch {
return $Absent.IsPresent
}
if ($Absent.IsPresent) { return $false }
$actual = $item.$Name
if ($Kind -eq 'DWord') { return ([int64]$actual) -eq ([int64]$Expected) }
if ($Kind -eq 'MultiString') {
$actualValues = @($actual)
$expectedValues = @($Expected)
if ($actualValues.Count -ne $expectedValues.Count) { return $false }
for ($i = 0; $i -lt $expectedValues.Count; $i++) {
if ([string]$actualValues[$i] -ne [string]$expectedValues[$i]) { return $false }
}
return $true
}
return [string]$actual -eq [string]$Expected
}
$checks = @(
(Test-RegistryValue -Path 'HKLM:\Software\Policies\Citrix\AppProtection' -Name 'AntiDLLInjectionModuleAllowList' -Expected @() -Kind MultiString)
)
if ($checks -notcontains $false) {
Write-Output 'Compliant'
exit 0
}
Write-Output 'Non-compliant'
exit 1
# === Remediation script ===
# Exported from gporais.com
# Policy: Liste des modules d'injection de DLL autorisés
# State: Enabled
# Supported on: ADMX Migrator a rencontré une stratégie qui ne dispose pas d'une valeur supportedOn.
$path = 'HKLM:\Software\Policies\Citrix\AppProtection'
New-Item -Path $path -Force | Out-Null
Set-ItemProperty -Path $path -Name 'AntiDLLInjectionModuleAllowList' -Value @() -Type MultiString
# REG_MULTI_SZ: one string per input line; edit in regedit if you need richer formatting. SCCM CI
# Exported from gporais.com
# Policy: Liste des modules d'injection de DLL autorisés
# State: Enabled
# Supported on: ADMX Migrator a rencontré une stratégie qui ne dispose pas d'une valeur supportedOn.
# SCCM Configuration Item guidance:
# Create a Configuration Item of type "Setting: Script".
# Discovery script: use the Detection script below.
# Remediation script: use the Remediation script below.
# Compliance rule: the Discovery script output equals 'Compliant'.
# === Detection script ===
# Exported from gporais.com
# Policy: Liste des modules d'injection de DLL autorisés
# State: Enabled
# Supported on: ADMX Migrator a rencontré une stratégie qui ne dispose pas d'une valeur supportedOn.
function Test-RegistryValue {
param(
[Parameter(Mandatory = $true)][string]$Path,
[Parameter(Mandatory = $true)][string]$Name,
[object]$Expected,
[ValidateSet('String', 'DWord', 'MultiString')][string]$Kind = 'String',
[switch]$Absent
)
try {
$item = Get-ItemProperty -LiteralPath $Path -Name $Name -ErrorAction Stop
} catch {
return $Absent.IsPresent
}
if ($Absent.IsPresent) { return $false }
$actual = $item.$Name
if ($Kind -eq 'DWord') { return ([int64]$actual) -eq ([int64]$Expected) }
if ($Kind -eq 'MultiString') {
$actualValues = @($actual)
$expectedValues = @($Expected)
if ($actualValues.Count -ne $expectedValues.Count) { return $false }
for ($i = 0; $i -lt $expectedValues.Count; $i++) {
if ([string]$actualValues[$i] -ne [string]$expectedValues[$i]) { return $false }
}
return $true
}
return [string]$actual -eq [string]$Expected
}
$checks = @(
(Test-RegistryValue -Path 'HKLM:\Software\Policies\Citrix\AppProtection' -Name 'AntiDLLInjectionModuleAllowList' -Expected @() -Kind MultiString)
)
if ($checks -notcontains $false) {
Write-Output 'Compliant'
exit 0
}
Write-Output 'Non-compliant'
exit 1
# === Remediation script ===
# Exported from gporais.com
# Policy: Liste des modules d'injection de DLL autorisés
# State: Enabled
# Supported on: ADMX Migrator a rencontré une stratégie qui ne dispose pas d'une valeur supportedOn.
$path = 'HKLM:\Software\Policies\Citrix\AppProtection'
New-Item -Path $path -Force | Out-Null
Set-ItemProperty -Path $path -Name 'AntiDLLInjectionModuleAllowList' -Value @() -Type MultiString
# REG_MULTI_SZ: one string per input line; edit in regedit if you need richer formatting.