Partager via

Gérer les applications empaquetées avec AppLocker

  • Article

Cette rubrique destinée aux professionnels de l’informatique décrit des concepts et procédures pour vous aider à gérer des applications empaquetées avec AppLocker dans le cadre d’une stratégie de contrôle des applications.

Présentation des applications empaquetées et des programmes d’installation d’applications empaquetées pour AppLocker

Les applications empaquetées, également appelées applications Windows universelles, sont basées sur un modèle qui garantit que tous les fichiers au sein d’un package d’application partagent la même identité. Avec les applications Windows classiques, chaque fichier de l’application peut avoir une identité unique. Avec les applications empaquetées, il est possible de contrôler l’ensemble de l’application à l’aide d’une règle AppLocker unique.

Remarque  

AppLocker ne prend en charge que les règles d’éditeur pour les applications empaquetées. Toutes les applications empaquetées doivent être signées par l’éditeur du logiciel, car Windows ne prend pas en charge les applications empaquetées non signées.

 

En règle générale, une application est constituée de plusieurs composants : le programme d’installation utilisé pour installer l’application, et un ou plusieurs exe, DLL ou scripts. Avec les applications Windows classiques, tous ces composants ne partagent pas toujours des attributs communs comme le nom de l’éditeur du logiciel, le nom du produit et la version du produit. Par conséquent, AppLocker contrôle chacun de ces composants séparément par le biais de regroupement de règles différents, comme des exe, dll, scripts, et des règles de programme d’installation Windows. En revanche, tous les composants d’une application empaquetée partagent les mêmes attributs de nom d’éditeur, nom du package et version du package. Vous pouvez donc contrôler l’ensemble d’une application avec une règle unique.

Comparaison des applications Windows classiques et des applications empaquetées

Les stratégies AppLocker pour les applications empaquetées ne peuvent être appliquées qu’aux applications installées sur des ordinateurs exécutant au moins Windows Server 2012 ou Windows 8, alors que les applications Windows classiques peuvent être contrôlées sur des appareils exécutant au moins Windows Server 2008 R2 ou Windows 7. Les règles pour les applications Windows classiques et les applications empaquetées peuvent être appliquées conjointement. Les différences entre les applications empaquetées et les applications Windows classiques que vous devez prendre en compte sont les suivantes :

  • Installation des applications   Toutes les applications empaquetées peuvent être installées par un utilisateur standard, tandis que l’installation d’un certain nombre d’applications Windows classiques nécessite des privilèges d’administration. Dans un environnement où la plupart des utilisateurs sont des utilisateurs standard, vous ne disposez peut-être pas d’un grand nombre de règles d’exécutable (en raison de la nécessité de privilèges d’administration pour l’installation), mais vous disposez peut-être de stratégies plus explicites pour les applications empaquetées.

  • Modification de l’état du système   Des applications Windows classiques peuvent être écrites pour modifier l’état du système si elles sont exécutées avec des privilèges d’administration. La plupart des applications empaquetées ne peuvent pas modifier l’état du système, car elles s’exécutent avec des privilèges limités. Lorsque vous concevez vos stratégies AppLocker, il est important de comprendre si une application que vous autorisez peut apporter des modifications à l’échelle du système.

  • Acquisition des applications   Les applications empaquetées peuvent être acquises via le Windows Store, ou en les chargeant à l’aide des applets de commande Windows PowerShell (une licence d’entreprise spéciale est alors nécessaire). Les applications Windows classiques peuvent être acquises via les méthodes traditionnelles.

AppLocker utilise des regroupements de règles différents pour contrôler les applications empaquetées et les applications Windows classiques. Vous avez le choix de contrôler un type ou l’autre, ou les deux.

Pour plus d’informations sur le contrôle des applications Windows classiques, voir Administrer AppLocker.

Pour plus d’informations sur les applications empaquetées, voir Règles d’applications empaquetées et de programmes d’installation d’applications empaquetées dans AppLocker.

Décisions en matière de conception et de déploiement

Vous pouvez utiliser deux méthodes pour créer un inventaire des applications empaquetées sur un ordinateur : la console AppLocker ou l’applet de commande Windows PowerShell Get-AppxPackage.

Remarque  

Toutes les applications empaquetées ne sont pas répertoriées dans l’Assistant d’inventaire des applications AppLocker. Certains packages d’applications sont des packages d’infrastructure utilisés par d’autres applications. Ces packages ne font rien en eux-mêmes, mais leur blocage involontaire peut entraîner une erreur pour les applications que vous voulez autoriser. Au lieu de cela, vous pouvez créer des règles Autoriser ou Refuser pour les applications empaquetées qui utilisent ces packages d’infrastructure. L’interface utilisateur AppLocker filtre délibérément tous les packages enregistrés en tant que packages d’infrastructure. Pour plus d’informations sur la création d’une liste d’inventaire, voir Créer une liste des applications déployées pour chaque groupe d’entreprise.

 

Pour plus d’informations sur l’utilisation de l’applet de commande Windows PowerShell Get-AppxPackage, voir Référence de commande PowerShell AppLocker.

Pour plus d’informations sur la création de règles pour les applications empaquetées, voir Créer une règle pour les applications empaquetées.

Prenez en compte les informations suivantes lors de la conception et du déploiement d’applications :

  • Étant donné qu’AppLocker prend uniquement en charge les règles d’éditeur pour les applications empaquetées, la collecte des informations sur le chemin d’accès de l’installation des applications empaquetées n’est pas nécessaire.

  • Vous ne pouvez pas créer de règles basées sur le hachage ou le chemin d’accès pour des applications empaquetées, car toutes les applications empaquetées et tous les programmes d’installation d’applications empaquetées sont signés par l’éditeur du logiciel du package. Les applications Windows classiques n’ont pas toujours été signées de manière cohérente ; AppLocker doit donc prendre en charge les règles basées sur le hachage ou le chemin d’accès.

  • Par défaut, s’il n’existe aucune règle dans un regroupement de règles donné, AppLocker autorise chaque fichier inclus dans ce regroupement de règles. Par exemple, s’il n’existe aucune règle Windows Installer, AppLocker autorise l’exécution de tous les fichiers .msi, .msp et .mst. Une stratégie AppLocker existante ciblée sur les ordinateurs exécutant Windows Server 2008 R2 et Windows 7 ne peut pas inclure de règles pour les applications empaquetées. Ainsi, lorsqu’un ordinateur exécutant au moins Windows Server 2012 ou Windows 8 s’associe à un domaine dans lequel une stratégie AppLocker est déjà configurée, les utilisateurs peuvent être autorisés à exécuter n’importe quelle application empaquetée. Ce qui peut contraire à votre conception.

    Pour empêcher l’exécution de toutes les applications empaquetées sur un ordinateur récemment associé à un domaine, AppLocker bloque par défaut toutes les applications empaquetées sur un ordinateur exécutant au moins Windows Server 2012 ou Windows 8 si la stratégie de domaine existante inclut des règles configurées dans le regroupement de règles d’exécutable. Vous devez entreprendre explicitement une action pour autoriser toutes les applications empaquetées de votre entreprise. Vous pouvez autoriser un ensemble d’applications empaquetées seulement. Ou, si vous souhaitez autoriser toutes les applications empaquetées, vous pouvez créer une règle par défaut pour le regroupement d’applications empaquetées.

Utilisation d’AppLocker pour gérer les applications empaquetées

Tout comme il existe des différences dans la gestion de chaque regroupement de règles, vous devez gérer les applications empaquetées avec la stratégie suivante :

  1. Collectez des informations sur les applications empaquetées actuellement exécutées dans votre environnement. Pour plus d’informations sur cette tâche, voir Créer une liste des applications déployées pour chaque groupe d’entreprise.

  2. Créez des règles AppLocker pour des applications empaquetées spécifiques en fonction de vos stratégies. Pour plus d’informations, voir Créer une règle pour les applications empaquetées et Règles d’applications empaquetées par défaut dans AppLocker.

  3. Continuez à mettre à jour les stratégies AppLocker à mesure que de nouvelles applications empaquetées sont introduites dans votre environnement. Pour cela, voir Ajouter des règles pour les applications empaquetées à l’ensemble de règles AppLocker existant.

  4. Continuez à surveiller votre environnement pour vérifier l’efficacité des règles déployées dans les stratégies AppLocker. Pour cela, voir Surveiller l’utilisation des applications à l’aide d’AppLocker.