Partager via


Déterminer les objectifs de contrôle des applications

Cette rubrique a pour objectif de vous aider à déterminer quelles applications doivent être contrôlées et de quelle manière, en comparant les stratégies de restriction logicielle et AppLocker.

Ce logiciel est très utile pour les entreprises associées à des exigences de restriction des applications dont les environnements sont dotés d’une topologie simple et qui présentent des objectifs clairs en matière de stratégie de contrôle de l’application. Par exemple, AppLocker peut être utile lorsque des utilisateurs autres que les employés ont accès aux ordinateurs connectés au réseau de l’organisation (école ou bibliothèque, par exemple). Par ailleurs, les grandes entreprises peuvent tirer parti du déploiement de stratégies AppLocker lorsque l’objectif consiste à obtenir un niveau de contrôle détaillé sur les PC gérés pour un nombre relativement peu important d’applications.

La gestion et la maintenance d’une liste d’applications autorisées engagent des frais. De plus, l’objectif des stratégies de contrôle de l’application est de permettre ou d’empêcher des employés d’utiliser des applications pouvant être des outils de gestion de la productivité. Or, le fait d’assurer la productivité des utilisateurs ou des employés lors de l’implémentation des stratégies demande du temps et des efforts. Enfin, la création de processus de support pour les utilisateurs et les réseaux, destinés à garantir la productivité de l’entreprise, est également un problème.

Utilisez le tableau suivant pour développer vos propres objectifs et déterminer quelle fonction de contrôle de l’application y répond le mieux.

Fonction de contrôle de l’application Stratégie de restriction logicielle AppLocker

Étendue

Les stratégies de restriction logicielle peuvent être appliquées à tous les systèmes d’exploitation Windows, à partir de Windows XP et Windows Server 2003.

Les stratégies AppLocker s’appliquent uniquement aux versions de support de Windows décrites dans la rubrique Configuration requise pour utiliser AppLocker.

Création de la stratégie

Les stratégies de restriction logicielle sont gérées via une stratégie de groupe. Seul l’administrateur de l’objet de stratégie de groupe peut les mettre à jour. L’administrateur de l’ordinateur local peut modifier les stratégies de restriction logicielle définies dans l’objet de stratégie de groupe local.

Les stratégies AppLocker sont gérées via une stratégie de groupe. Seul l’administrateur de l’objet de stratégie de groupe peut les mettre à jour. L’administrateur de l’ordinateur local peut modifier les stratégies AppLocker définies dans l’objet de stratégie de groupe local.

AppLocker autorise la personnalisation des messages d’erreur redirigeant les utilisateurs vers une page web d’aide.

Maintenance des stratégies

Les stratégies de restriction logicielle doivent être mises à jour via le composant logiciel enfichable Stratégie de sécurité locale (si les stratégies sont créées en local) ou la Console de gestion des stratégies de groupe.

Les stratégies AppLocker peuvent être mises à jour via le composant logiciel enfichable Stratégie de sécurité locale (si les stratégies sont créées en local), la Console de gestion des stratégies de groupe ou les applets de commande AppLocker de Windows PowerShell.

Application de la stratégie

Les stratégies de restriction logicielle sont distribuées via une stratégie de groupe.

Les stratégies AppLocker sont distribuées via une stratégie de groupe.

Mode d’application

La stratégie de restriction logicielle fonctionne en « mode de liste d’exclusion », dans lequel les administrateurs peuvent créer des règles pour les fichiers qui ne doivent pas être autorisés dans l’entreprise, alors que le reste des fichiers est autorisé à s’exécuter par défaut.

La stratégie de restriction logicielle peut également être configurée en « mode de liste d’autorisation » : par exemple, l’ensemble des fichiers sont bloqués par défaut et les administrateurs doivent créer des règles pour les fichiers qu’ils souhaitent autoriser.

Par défaut, AppLocker s’exécute en « mode de liste d’autorisation » : seuls les fichiers associés à une règle d’autorisation correspondante peuvent s’exécuter.

Types de fichiers pouvant être contrôlés

La stratégie de restriction logicielle peut contrôler les types de fichiers suivants :

  • Fichiers exécutables

  • DLL

  • Scripts

  • Programmes Windows Installer

La stratégie de restriction logicielle ne peut pas contrôler chaque type de fichier séparément. Toutes les règles de stratégie de restriction logicielle figurent dans un regroupement de règles unique.

AppLocker peut contrôler les types de fichiers suivants :

  • Fichiers exécutables

  • DLL

  • Scripts

  • Programmes Windows Installer

  • Applications et programmes d’installation empaquetés

AppLocker gère un regroupement de règles distinct pour chacun des cinq types de fichiers.

Types de fichier désignés

La stratégie de restriction logicielle prend en charge une liste étendue de types de fichiers considérés comme exécutables. Vous pouvez ajouter des extensions pour les fichiers à considérer comme exécutables.

AppLocker ne prend pas ces types en charge. Actuellement, AppLocker prend en charge les extensions de fichiers suivantes :

  • Fichiers exécutables (.exe, .com)

  • DLL (.ocx, .dll)

  • Scripts (.vbs, .js, .ps1, .cmd, .bat)

  • Programmes Windows Installer (.msi, .mst, .msp)

  • Programmes d’installation d’application empaquetée (.appx)

Types de règles

La stratégie de restriction logicielle prend en charge quatre types de règles :

  • Hachage

  • Chemin d’accès

  • Signature

  • Zone Internet

AppLocker prend en charge trois types de règles :

  • Hash

  • Chemin d’accès

  • Publisher

Modification de la valeur de hachage

La stratégie SRP vous permet de sélectionner un fichier pour le hachage.

AppLocker calcule la valeur de hachage proprement dite. Il utilise le hash SHA2 Authenticode en interner pour les fichiers exécutables portables (.exe et .dll) et les programmes Windows Installer, et un hash de fichier plat SHA 2 pour le reste.

Prise en charge de niveaux de sécurité différents

Grâce à la stratégie de restriction logicielle, vous pouvez spécifier les autorisations en fonction desquelles une application peut s’exécuter. Ainsi, vous pouvez configurer une règle indiquant que le Bloc-notes doit toujours s’exécuter avec des autorisations restreintes, et jamais avec des privilèges d’administration.

Sur Windows Vista et les versions antérieures de Windows, la stratégie de restriction logicielle prenait en charge plusieurs niveaux de sécurité. Sur Windows 7, la liste a été limitée à deux niveaux : Rejeté et Non restreint (pour l’utilisateur de la version Basic, cela se traduit par le niveau Rejeté).

AppLocker ne prend pas en charge les niveaux de sécurité.

Gestion des applications empaquetées et programmes d’installation d’applications empaquetées

Non prévue.

Le type de fichier que le logiciel AppLocker peut gérer est .appx.

Association d’une règle à un utilisateur ou à un groupe d’utilisateurs

Les règles de stratégie de restriction logicielle s’appliquent à tous les utilisateurs sur un ordinateur spécifique.

Les règles AppLocker peuvent être associées à un utilisateur ou un groupe d’utilisateurs spécifique.

Prise en charge des exceptions de règles

La stratégie SRP ne prend pas en charge les exceptions de règle.

Les règles AppLocker peuvent être associées à des exceptions, qui autorisent les administrateurs à créer des règles du type : « Tout autoriser en provenance de Windows, sauf pour Regedit.exe ».

Prise en charge du mode audit

La stratégie de restriction logicielle ne prend pas en charge le mode audit. Le seul moyen de tester les stratégies SRP consiste à configurer un environnement de test et à effectuer différentes expériences.

AppLocker prend en charge le mode audit, qui permet aux administrateurs de tester l’effet de leur stratégie dans un environnement de production réel, sans affecter l’expérience utilisateur. Si les résultats de ces tests vous conviennent, vous pouvez commencer à appliquer la stratégie.

Prise en charge de l’exportation et de l’importation de stratégies

La stratégie de restriction logicielle ne prend pas en charge l’importation/l’exportation de stratégies.

AppLocker prend en charge l’importation et l’exportation de stratégies. Cela vous permet de créer une stratégie AppLocker sur un ordinateur de test, de la tester, puis de l’exporter et de la réimporter dans l’objet de stratégie de groupe de votre choix.

Application de règles

En interne, les règles de restriction logicielle sont exécutées en mode utilisateur, qui est moins sécurisé.

En interne, les règles AppLocker relatives aux fichiers .exe et .dll sont appliquées en mode noyau, qui est plus sécurisé que le mode utilisateur.

 

Pour obtenir des informations générales, voir AppLocker.