Processus et interactions AppLocker
Cette rubrique destinée aux professionnels de l’informatique décrit les dépendances et interactions de processus lorsqu’AppLocker évalue et applique des règles.
Mode d’implémentation des stratégies par AppLocker
Les stratégies AppLocker sont des regroupements de règles AppLocker qui peuvent contenir n’importe quel paramètre de mise en application configuré. Lorsqu’elle est appliquée, chaque règle est évaluée au sein de la stratégie, et le regroupement de règles est appliqué en fonction du paramètre de mise en application et de la structure de la stratégie de groupe.
La stratégie AppLocker est mise en application sur un ordinateur par le biais du service d’identité de l’application, qui est le moteur évaluant les stratégies. Si le service n’est pas exécuté, les stratégies ne sont pas appliquées. Le service d’identité de l’application renvoie les informations du fichier binaire (même si les noms de produit ou de fichier binaire sont vides) dans le volet de résultats du composant logiciel enfichable Stratégie de sécurité locale.
Les stratégies AppLocker sont stockées dans un format de descripteur de sécurité en fonction des exigences du service d’identité de l’application. Elles utilisent des attributs de chemin d’accès, de code de hachage ou de nom binaire complet pour former des actions d’autorisation ou de refus sur une règle. Chaque règle est stockée sous la forme d’une entrée de contrôle d’accès (ACE) dans le descripteur de sécurité et contient les informations suivantes :
une entrée de contrôle d’accès d’autorisation ou de refus (« XA » ou « XD » en langage SDDL (Security Descriptor Definition Language)) ;
l’identificateur de sécurité (SID) utilisateur auquel cette règle est applicable (la valeur par défaut est le SID de l’utilisateur authentifié, ou « AU » en langage SDDL) ;
la condition de règle contenant les attributs appid.
Par exemple, un SDDL pour une règle qui autorise l’exécution de tous les fichiers du répertoire %windir% utilise le format suivant : XA;;FX;;;AU;(APPID://PATH == "%windir%\*").
Une stratégie AppLocker pour les DLL et les fichiers exécutables est lue et mise en cache par le code en mode noyau, qui fait partie d’appid.sys. Chaque fois qu’une nouvelle stratégie est appliquée, appid.sys en est averti par une tâche de convertisseur de stratégie. Pour les autres types de fichiers, la stratégie AppLocker est lue chaque fois qu’un appel SaferIdentifyLevel est effectué.
Présentation des règles AppLocker
Une règle AppLocker est un contrôle placé sur un fichier pour indiquer si son exécution est ou non autorisée pour un utilisateur ou un groupe spécifiques. Les règles s’appliquent à cinq types ou regroupements de fichiers :
Une règle d’exécutable détermine si un utilisateur ou un groupe peuvent exécuter un fichier exécutable. Les fichiers exécutables portent généralement l’extension de nom de fichier .exe ou .com et s’appliquent aux applications.
Une règle de script détermine si un utilisateur ou un groupe peuvent exécuter des scripts portant l’extension de nom de fichier .ps1, .bat, .cmd, .vbs ou .js.
Une règle Windows Installer détermine si un utilisateur ou un groupe peuvent exécuter des fichiers portant l’extension de nom de fichier .msi, .mst ou .msp (correctif logiciel Windows Installer).
Une règle DLL détermine si un utilisateur ou un groupe peuvent exécuter des fichiers portant l’extension de nom de fichier .dll ou .ocx.
Une règle d’application empaquetée et de programme d’installation d’application empaquetée détermine si un utilisateur ou un groupe peuvent exécuter ou installer une application empaquetée. Un programme d’installation d’application empaquetée porte l’extension .aspx.
Trois types de conditions sont applicables aux règles :
Une condition éditeur sur une règle détermine si un utilisateur ou un groupe peuvent exécuter des fichiers à partir d’un éditeur de logiciel spécifique. Le fichier doit être signé.
Une condition chemin d’accès sur une règle détermine si un utilisateur ou un groupe peuvent exécuter des fichiers à partir d’un répertoire spécifique ou des sous-répertoires correspondants.
Une condition hachage de fichier sur une règle détermine si un utilisateur ou un groupe peuvent exécuter des fichiers présentant les codes de hachage chiffrés correspondants.
Présentation des regroupements de règles AppLocker
Un regroupement de règles AppLocker est un ensemble de règles qui s’appliquent à l’un des types suivants : fichiers exécutables, fichiers Windows Installer, scripts, DLL et applications empaquetées.
Présentation des types de conditions de règle AppLocker
Les conditions de règle sont les critères sur lesquels repose la règle AppLocker. Des conditions principales sont requises pour créer une règle AppLocker. Les trois conditions de règle principales sont les suivantes : éditeur, chemin d’accès et hachage du fichier.
Présentation des règles par défaut AppLocker
AppLocker inclut des règles par défaut pour chaque regroupement de règles. Ces règles visent à garantir que les fichiers nécessaires au bon fonctionnement de Windows sont autorisés dans un regroupement de règles AppLocker.
Présentation des exceptions de règles AppLocker
Vous pouvez appliquer des règles AppLocker à des utilisateurs individuels ou à un groupe d’utilisateurs. Si vous appliquez une règle à un groupe d’utilisateurs, tous les utilisateurs de ce groupe sont affectés par cette règle. Si vous souhaitez restreindre l’utilisation d’une application à un sous-ensemble d’un groupe d’utilisateurs, vous pouvez créer une règle spéciale pour ce sous-ensemble.
Présentation du comportement des règles AppLocker et Présentation des actions d’autorisation et de refus AppLocker sur les règles
Chaque regroupement de règles AppLocker fonctionne comme une liste autorisée de fichiers.
Présentation des stratégies AppLocker
Une stratégie AppLocker est un ensemble incluant des regroupements de règles et les paramètres de mise en application configurés correspondants qui ont été appliqués à un ou plusieurs ordinateurs.
Comprendre les paramètres d’application AppLocker
L’application de règles est appliquée uniquement à un regroupement de règles, pas aux règles individuelles. AppLocker divise les règles en quatre regroupements : fichiers exécutables, fichiers Windows Installer, scripts et fichiers DLL. Les options de mise en application des règles sont les suivantes : Non configuré, Appliquer les règles et Auditer uniquement. L’ensemble des regroupements de règles AppLocker forme la stratégie de contrôle d’applications, ou stratégie AppLocker. Par défaut, si la mise en application n’est pas configurée et que des règles sont présentes dans un regroupement de règles, ces règles sont appliquées.
Présentation d’AppLocker et de la stratégie de groupe
La stratégie de groupe permet de créer, modifier et distribuer des stratégies AppLocker dans des objets distincts ou en combinaison avec d’autres stratégies.
-
Lorsque la stratégie de groupe est utilisée pour distribuer les stratégies AppLocker, les regroupements de règles qui ne sont pas configurés sont appliqués. La stratégie de groupe n’écrase pas ni ne remplace les règles déjà présentes dans un objet de stratégie de groupe lié, et applique les règles AppLocker en plus des règles existantes. AppLocker traite la configuration de règle de refus explicite avant la configuration de règle d’autorisation. Pour la mise en application des règles, la dernière écriture dans l’objet de stratégie de groupe est appliquée.