Créer une liste des applications déployées sur chaque groupe professionnel
Cette rubrique décrit le processus de regroupement, sur chaque groupe professionnel, des informations de configuration requise pour l’utilisation des applications, afin d’implémenter des stratégies de contrôle des applications via AppLocker.
Détermination de l’utilisation des applications
Pour chaque groupe professionnel, vous devez déterminer les éléments suivants :
la liste complète des applications utilisées, avec les différentes versions ;
le chemin d’installation complet de l’application ;
l’éditeur et le statut signé de chaque application ;
Le type de configuration requise par chaque groupe professionnel pour chaque application (précisez si elle est stratégique et sa productivité métier, ou s’il s’agit d’une application facultative ou personnelle). Il peut également être utile, au cours de cet effort, d’identifier les applications prises en charge ou non par le service informatique, ou prises en charge par des tiers non gérés.
Une liste des fichiers ou applications dont l’installation ou l’exécution nécessite les informations d’identification d’un administrateur. Si l’installation ou l’exécution d’un fichier nécessite ce type d’informations, les utilisateurs qui n’en disposent pas ne pourront pas l’exécuter, même si la stratégie AppLocker les y autorise de manière explicite. Même lorsque les stratégies AppLocker sont appliquées, seuls les membres du groupe des administrateurs peut installer ou exécuter des fichiers nécessitant des informations d’identification d’administration.
Comment exécuter l’évaluation de l’utilisation de l’application
Vous devez utiliser ces informations pour créer un regroupement de règles AppLocker, même si vous disposez déjà d’une méthode permettant de déterminer l’utilisation d’une application pour chaque groupe professionnel. AppLocker comprend l’assistant Générer automatiquement les règles et la fonction d’application Audit uniquement, qui vous aident à planifier et à créer votre regroupement de règles.
Méthodes d’inventaire des applications
L’assistant Générer automatiquement les règles crée rapidement des règles pour les applications que vous indiquez. Cet assistant est spécifiquement conçu pour créer un regroupement de règles. Vous pouvez utiliser le composant logiciel enfichable Stratégie de sécurité locale pour afficher et modifier les règles. Cette méthode est très utile lorsque vous créez des règles à partir d’un ordinateur de référence et lorsque vous générez et évaluez des stratégies AppLocker dans un environnement de test. Toutefois, elle nécessite l’accessibilité des fichiers sur l’ordinateur de référence, ou via un lecteur réseau. Cela peut se traduire par des efforts supplémentaires en matière de configuration de l’ordinateur de référence et d’identification d’une stratégie de maintenance pour ce dernier.
La méthode d’application Audit uniquement vous permet d’afficher les journaux, car elle collecte des informations sur chaque processus exécuté sur les ordinateurs qui reçoivent l’objet de stratégie de groupe (GPO). Par conséquent, vous pouvez voir les résultats de la mise en œuvre sur les ordinateurs associés à un groupe professionnel. AppLocker inclut des applets de commande Windows PowerShell, que vous pouvez utiliser pour étudier les événements dans le journal des événements, ainsi que des applets de commande permettant de créer des règles. Toutefois, lorsque vous utilisez la Stratégie de groupe pour déployer plusieurs ordinateurs, il est très important de disposer d’une méthode de collecte des événements au sein d’un emplacement centralisé, pour optimiser la facilité de gestion. Dans la mesure où AppLocker consigne les informations relatives aux fichiers que les utilisateurs ou autres processus exécutent sur un ordinateur, vous risquez de ne pas créer de règles au départ. Par conséquent, vous devez continuer votre évaluation, jusqu’à ce que vous soyez sûr que le système a pu accéder à toutes les applications requises et autorisées à s’exécuter.
Astuce
Si vous exécutez l’outil Application Verifier sur une application personnalisée pour laquelle des stratégies AppLocker sont activées, il se peut que cette application ne se lance pas. Vous devez désactiver Application Verifier ou AppLocker.
Pour créer un inventaire d’applications Windows universelles, vous pouvez appliquer deux méthodes : l’applet de commande Get-AppxPackage Windows PowerShell ou la console AppLocker.
Les rubriques suivantes du guide pas à pas relatif à AppLocker expliquent comment appliquer chaque méthode.
Génération automatique des règles d’exécutable à partir d’un ordinateur de référence
Utilisation de la fonctionnalité d’audit pour identifier les applications utilisées
Conditions préalables à l’élaboration de l’inventaire
Identifiez le groupe professionnel et les unités d’organisation qu’il inclut auxquels vous appliquerez des stratégies de contrôle des applications. Pour commencer, vous devez déterminer si AppLocker est l’outil à utiliser pour ces stratégies. Pour en savoir plus sur cette procédure, consultez les rubriques suivantes :
Étapes suivantes
Identifiez et développez la liste des applications. Inscrivez le nom de l’application, en spécifiant si elle est signée ou non, comme signalé par le nom de l’éditeur ; indiquez si elle est stratégique, sa productivité métier ou s’il s’agit d’une application facultative ou personnelle. Indiquez le chemin d’installation complet des applications. Pour savoir comment procéder, voir Documenter votre liste d’applications.
Une fois que vous avez créé la liste des applications, vous devez identifier les regroupements de règles, qui deviendront des stratégies. Ces informations peuvent être ajoutées au tableau, dans les colonnes suivantes :
Utiliser la règle par défaut ou définir une nouvelle condition de règle
Autoriser ou refuser
Nom d’objet de stratégie de groupe
Pour obtenir des exemples, consultez les rubriques suivantes :