Modifier une stratégie AppLocker

Cette rubrique, destinée aux professionnels de l’informatique, décrit la procédure permettant de modifier une stratégie AppLocker.

Vous pouvez remanier une stratégie AppLocker en ajoutant, en modifiant ou en supprimant des règles. Toutefois, vous ne pouvez pas créer une version de la stratégie en important des règles supplémentaires. Pour modifier une stratégie AppLocker qui se trouve dans l’environnement de production, vous devez utiliser le logiciel de gestion des stratégies de groupe, qui vous permet de créer des versions des objets de stratégie de groupe (GPO). Si vous avez créé plusieurs stratégies AppLocker et que vous devez les fusionner pour en créer une seule, vous pouvez le faire manuellement ou utiliser les applets de commande Windows PowerShell pour AppLocker. Vous ne pouvez pas fusionner automatiquement les stratégies à l’aide du composant logiciel enfichable AppLocker. Vous devez créer un regroupement de règles à partir d’au moins deux stratégies. La stratégie AppLocker est enregistrée au format XML. Vous pouvez modifier la stratégie exportée avec un éditeur de texte ou XML. Pour savoir comment fusionner des stratégies, voir Fusionner manuellement les stratégies AppLocker et Fusionner les stratégies AppLocker à l’aide de Set-ApplockerPolicy.

Vous pouvez modifier une stratégie AppLocker de deux manières différentes :

• Modification manuelle de la stratégie AppLocker à l’aide de la stratégie de groupe

• Modification d’une stratégie AppLocker à l’aide du composant logiciel enfichable Stratégie de sécurité locale

Modification manuelle de la stratégie AppLocker à l’aide de la stratégie de groupe

La procédure permettant de modifier une stratégie AppLocker distribuée par une Stratégie de groupe inclut les étapes suivantes :

Étape 1 : Utilisation du logiciel de gestion des stratégies de groupe pour exporter la stratégie AppLocker à partir de l’objet de stratégie de groupe

AppLocker fournit une fonctionnalité permettant d’exporter et d’importer des stratégies AppLocker sous la forme d’un fichier XML. Cela vous permet de modifier une stratégie AppLocker en dehors de votre environnement de production. Étant donné que la mise à jour d’une stratégie AppLocker dans un objet de stratégie de groupe déployé peut avoir des conséquences inattendues, vous devez d’abord exporter la stratégie AppLocker vers un fichier XML. Pour savoir comment faire, voir Exporter une stratégie AppLocker d’un objet de stratégie de groupe (GPO).

Étape 2 : Importation de la stratégie AppLocker sur le PC de référence doté d’AppLocker ou sur le PC que vous utilisez pour la maintenance des stratégies

Une fois la stratégie AppLocker exportée vers un fichier XML, vous devez importer ce dernier sur un PC de référence, afin de pouvoir modifier la stratégie. Pour connaître la procédure permettant d’importer une stratégie AppLocker, voir Importer une stratégie AppLocker depuis un autre ordinateur.

Attention  

L’importation d’une stratégie sur un autre PC remplace la stratégie existante sur cet ordinateur.

 

Étape 3 : Utilisation d’AppLocker pour modifier et tester la règle

AppLocker fournit différentes méthodes pour modifier, supprimer ou ajouter des règles à une stratégie, en remaniant les règles au sein du regroupement.

• Pour connaître la procédure permettant de modifier une règle, voir Modifier des règles AppLocker.

• Pour connaître la procédure permettant de supprimer une règle, voir Supprimer une règle AppLocker.

• Pour savoir comment créer des règles, voir :

  • Créer une règle qui utilise une condition d’éditeur

  • Créer une règle qui utilise une condition de chemin d’accès

  • Créer une règle qui utilise une condition de hachage de fichier

  • Activer le regroupement de règles DLL

• Pour savoir comment tester une stratégie AppLocker, voir Tester et mettre à jour une stratégie AppLocker.

• Pour savoir comment exporter la stratégie mise à jour de l’ordinateur de référence vers l’objet de stratégie de groupe, voir Exporter une stratégie AppLocker vers un fichier XML et Importer une stratégie AppLocker dans un objet de stratégie de groupe.

Étape 4 : Utilisation d’AppLocker et de la Stratégie de groupe pour importer la stratégie AppLocker dans l’objet de stratégie de groupe

Pour savoir comment exporter la stratégie mise à jour de l’ordinateur de référence vers l’objet de stratégie de groupe, voir Exporter une stratégie AppLocker vers un fichier XML et Importer une stratégie AppLocker dans un objet de stratégie de groupe.

Attention  

Vous ne devez jamais modifier un regroupement de règles AppLocker lorsqu’il est appliqué dans une Stratégie de groupe. Étant donné qu’AppLocker contrôle les fichiers dont l’exécution est autorisée, l’apport de modifications à une stratégie dynamique peut entraîner un comportement inattendu. Pour en savoir plus sur le test de stratégies, voir Test et mise à jour d’une stratégie AppLocker.

 

Remarque  

Si vous exécutez cette procédure via la fonction Gestion avancée des stratégies de groupe, vérifiez l’objet de stratégie de groupe avant d’exporter la stratégie.

 

Modification d’une stratégie AppLocker à l’aide du composant logiciel enfichable Stratégie de sécurité locale

La procédure à suivre pour modifier une stratégie AppLocker distribuée à l’aide du composant logiciel enfichable Stratégie de sécurité locale (secpol.msc) inclut les étapes ci-après.

Étape 1 : Importation de la stratégie AppLocker

Sur le PC utilisé pour la gestion des stratégies, ouvrez le composant logiciel enfichable AppLocker à partir du composant logiciel enfichable Stratégie de sécurité locale (secpol.msc). Si vous avez exporté la stratégie AppLocker à partir d’un autre PC, utilisez AppLocker pour l’importer sur le PC.

Une fois la stratégie AppLocker exportée vers un fichier XML, vous devez importer ce dernier sur un PC de référence, afin de pouvoir modifier la stratégie. Pour connaître la procédure permettant d’importer une stratégie AppLocker, voir Importer une stratégie AppLocker depuis un autre ordinateur.

Attention  

L’importation d’une stratégie sur un autre PC remplace la stratégie existante sur cet ordinateur.

 

Étape 2 : Identification de la règle à modifier, supprimer ou ajouter

AppLocker fournit différentes méthodes pour modifier, supprimer ou ajouter des règles à une stratégie, en remaniant les règles au sein du regroupement.

• Pour connaître la procédure permettant de modifier une règle, voir Modifier des règles AppLocker.

• Pour connaître la procédure permettant de supprimer une règle, voir Supprimer une règle AppLocker.

• Pour savoir comment créer des règles, voir :

  • Créer une règle qui utilise une condition d’éditeur

  • Créer une règle qui utilise une condition de chemin d’accès

  • Créer une règle qui utilise une condition de hachage de fichier

  • Activer le regroupement de règles DLL

Étape 3 : Test de l’effet de la stratégie

Pour savoir comment tester une stratégie AppLocker, voir Tester et mettre à jour une stratégie AppLocker.

Étape 4 : Exportation de la stratégie vers un fichier XML et propagation à tous les ordinateurs ciblés

Pour savoir comment exporter la stratégie mise à jour de l’ordinateur de référence vers les ordinateurs ciblés, voir Exporter une stratégie AppLocker vers un fichier XML et Importer une stratégie AppLocker depuis un autre ordinateur.

Ressources supplémentaires

• Pour connaître les procédures concernant d’autres tâches en rapport avec la stratégie AppLocker, voir Administrer AppLocker.