Partager via

Créer une règle pour les applications empaquetées

  • Article

Cette rubrique, destinée aux professionnels de l’informatique, explique comment créer une règle AppLocker pour les applications empaquetées avec une condition d’éditeur.

Les applications empaquetées, également appelées applications Windows universelles, sont basées sur un modèle d’application qui garantit que tous les fichiers au sein d’un package d’application partagent la même identité. Il est ainsi possible de contrôler la totalité de l’application à l’aide d’une seule et même règle AppLocker au contraire des applications non empaquetées dans lesquelles chaque fichier peut avoir une identité unique. Windows ne gère pas les applications empaquetées non signées, ce qui implique que toutes les applications empaquetées doivent être signées. AppLocker ne prend en charge que les règles d’éditeur des applications empaquetées. Une règle d’éditeur pour une application empaquetée est basée sur les informations suivantes :

  • Éditeur du package

  • Nom du package

  • Version du package

Tous les fichiers au sein d’un package, ainsi que le programme d’installation du package partagent ces attributs. Par conséquent, une règle AppLocker pour une application empaquetée contrôle aussi bien l’installation que l’exécution de l’application. Pour le reste, les règles d’éditeur pour les applications empaquetées ne diffèrent pas du reste des regroupements de règles ; elles prennent en charge les exceptions, peuvent être augmentées ou diminuées en portée, et attribuées à des utilisateurs et des groupes.

Pour en savoir plus sur la condition d’éditeur, voir Présentation de la condition de règle d’éditeur dans AppLocker.

Vous pouvez effectuer cette tâche à l’aide de la Console de gestion des stratégies de groupe pour une stratégie AppLocker dans un objet de stratégie de groupe (GPO), ou à l’aide du composant logiciel enfichable Stratégie de sécurité locale pour une stratégie AppLocker sur un ordinateur local ou dans un modèle de sécurité. Pour en savoir plus sur l’utilisation de ces composants logiciels enfichables MMC afin de gérer AppLocker, voir Administrer AppLocker.

Mt431738.wedge(fr-fr,VS.85).gifPour créer une règle d’application empaquetée

  1. Ouvrez la console AppLocker.

  2. Dans le menu Action ou après avoir cliqué avec le bouton droit sur Règles d’applications empaquetées, cliquez sur Créer une règle.

  3. Dans la page Avant de commencer, cliquez sur Suivant.

  4. Dans la page Autorisations, sélectionnez l’action (autoriser ou refuser) et l’utilisateur ou le groupe auquel appliquer la règle, puis cliquez sur Suivant.

  5. Dans la page Éditeur, vous pouvez sélectionner une référence spécifique pour la règle d’application empaquetée et définir la portée de la règle. Le tableau suivant décrit les options de référence.

    Sélection Description Exemple

    Utiliser une application empaquetée installée comme référence

    Si cette option est sélectionnée, AppLocker nécessite que vous choisissiez une application déjà installée sur laquelle baser votre nouvelle règle. AppLocker utilise l’éditeur, le nom du package et la version du package pour définir la règle.

    Vous souhaitez que le groupe de ventes utilise uniquement l’application nommée Microsoft.BingMaps pour ses communications professionnelles extérieures. L’application Microsoft.BingMaps est déjà installée sur l’appareil sur lequel vous créez la règle. Vous pouvez donc sélectionner cette option, choisir l’application dans la liste des applications installées sur l’ordinateur et créer la règle utilisant cette application en tant que référence.

    Utiliser un programme d’installation d’application empaquetée comme référence

    Si cette option est sélectionnée, AppLocker nécessite que vous choisissiez un programme d’installation d’application sur lequel baser votre nouvelle règle. Un programme d’installation d’application empaquetée porte l’extension .aspx. AppLocker utilise l’éditeur, le nom du package et la version du package du programme d’installation pour définir la règle.

    Votre entreprise a développé plusieurs applications empaquetées métier internes. Les programmes d’installation des applications sont stockés dans un partage de fichiers communs. Les employés peuvent installer les applications requises à partir de ce partage de fichiers. Vous voulez autoriser tous vos employés à installer l’application Salaires à partir de ce partage. Vous sélectionnez donc cette option dans l’Assistant, accédez au partage de fichiers et choisissez le programme d’installation de l’application Salaires en tant que référence pour créer votre règle.

     

    Le tableau suivant décrit la définition de la portée de la règle d’application empaquetée.

    Sélection Description Exemple

    S’applique à n'importe quel éditeur.

    Il s’agit de la condition de portée la moins restrictive pour une règle d’autorisation. Elle autorise l’exécution ou l’installation de chaque application empaquetée.

    À l'inverse, s’il s’agit d’une règle de refus, cette option est la plus restrictive, car elle refuse l’installation ou l’exécution de l’ensemble des applications.

    Vous souhaitez que le groupe de ventes utilise n’importe quelle application empaquetée de tout éditeur signé. Vous définissez les autorisations pour permettre au groupe de ventes d’exécuter n’importe quelle application.

    S’applique à un éditeur spécifique

    Cette option applique la règle à toutes les applications publiées par un éditeur particulier.

    Vous voulez autoriser tous vos utilisateurs à installer les applications publiées par l’éditeur de Microsoft.BingMaps. Vous pouvez sélectionner Microsoft.BingMaps en tant que référence et choisir cette portée de règle.

    S’applique à un Nom du package

    Cette option applique la règle à tous les packages qui partagent le nom de l’éditeur et le nom du package en tant que fichier de référence.

    Vous voulez autoriser votre groupe de ventes à installer une version quelconque de l’application Microsoft.BingMaps. Vous pouvez sélectionner l’application Microsoft.BingMaps en tant que référence et choisir cette portée de règle.

    S’applique à une version du package

    Cette option applique la règle à une version particulière du package.

    Vous voulez être très sélectif dans ce que vous autorisez. Vous ne souhaitez pas implicitement faire confiance à toutes les futures mises à jour de l’application Microsoft.BingMaps. Vous pouvez limiter la portée de votre règle à la version de l’application actuellement installée sur votre ordinateur de référence.

    Application de valeurs personnalisées à la règle

    Cocher la case Utiliser des valeurs personnalisées permet d’ajuster les champs de portée pour votre cas particulier.

    Vous souhaitez permettre aux utilisateurs d’installer toutes les applications Microsoft.Bing* qui incluent Microsoft.BingMaps, Microsoft.BingWeather et Microsoft.BingMoney. Vous pouvez choisir l’application Microsoft.BingMaps en tant que référence, cocher la case Utiliser des valeurs personnalisées et modifier le champ Nom du package en ajoutant « Microsoft.Bing* » comme nom de package.

     

  6. Cliquez sur Suivant.

  7. (Facultatif) Dans la page Exceptions, spécifiez les conditions en fonction desquelles exclure les fichiers de l’affectation par la règle. Cela vous permet d’ajouter des exceptions en fonction de la référence de règle et de la portée de règle que vous avez définies auparavant. Cliquez sur Suivant.

  8. Dans la page Nom, acceptez le nom de règle généré automatiquement ou saisissez-en un, puis cliquez sur Créer.