Surveiller l’utilisation des applications à l’aide d’AppLocker
Cette rubrique destinée aux professionnels de l’informatique explique comment surveiller l’utilisation des applications lorsque les stratégies AppLocker sont appliquées.
Une fois que vous avez défini des règles et déployé les stratégies AppLocker, nous vous conseillons de vérifier que l’implémentation de la stratégie correspond à vos attentes.
Découvrir l’effet d’une stratégie AppLocker
Vous pouvez évaluer la manière dont la stratégie AppLocker est implémentée à des fins de documentation ou d’audit, ou avant de la modifier. La mise à jour de votre document de planification du déploiement des stratégies AppLocker vous aidera à suivre vos résultats. Pour plus d’informations sur la création de ce document, voir Créer votre document de planification AppLocker. Vous pouvez effectuer une ou plusieurs des procédures suivantes pour comprendre quels contrôles de l’application sont appliqués via des règles AppLocker.
Analyser les journaux AppLocker dans l’Observateur d’événements
Lorsque l’application des stratégies AppLocker est définie sur Appliquer les règles, les règles sont appliquées pour le regroupement de règles et tous les événements sont audités. Lorsque l’application des stratégies AppLocker est définie sur Audit seulement, les règles ne sont pas appliquées, mais sont toujours évaluées pour générer des données d’événement d’audit qui sont écrites dans les journaux AppLocker.
Pour connaître la procédure d’accès au journal, voir Afficher le journal AppLocker dans l’Observateur d’événements.
Activer le paramètre d’application AppLocker Audit seulement
L’utilisation du paramètre d’application Audit seulement vous permet de vous assurer que les règles AppLocker sont correctement configurées pour votre organisation. Lorsque l'application des stratégies AppLocker est définie sur Audit seulement, les règles sont seulement évaluées, mais tous les événements générés à partir de cette évaluation sont écrits dans le journal AppLocker.
Pour la procédure à suivre, voir Configurer une stratégie AppLocker pour un audit seulement.
Passer en revue les événements AppLocker avec Get-AppLockerFileInformation
Pour les abonnements aux événements et les événements locaux, vous pouvez utiliser l’applet de commande Windows PowerShell Get-AppLockerFileInformation. Elle permet de déterminer quels fichiers ont été bloqués ou auraient été bloqués (si vous utilisez le mode d’application audit seulement) et la fréquence à laquelle l’événement s’est produit pour chaque fichier.
Pour connaître la procédure de cette opération, voir Passer en revue les événements AppLocker avec Get-AppLockerFileInformation.
Passer en revue les événements AppLocker avec Test-AppLockerPolicy
Vous pouvez utiliser l’applet de commande Windows PowerShell Test-AppLockerPolicy pour déterminer si des règles de vos regroupements de règles seront bloquées sur votre appareil de référence ou sur l’appareil sur lequel vous conservez les stratégies.
Pour connaître la procédure de cette opération, voir Tester une stratégie AppLocker à l’aide de Test-AppLockerPolicy.
Passer en revue les événements AppLocker avec Get-AppLockerFileInformation
Pour les abonnements aux événements et les événements locaux, vous pouvez utiliser l’applet de commande Windows PowerShell Get-AppLockerFileInformation. Elle permet de déterminer quels fichiers ont été bloqués ou auraient été bloqués (si le paramètre d’application Audit seulement est appliqué) et la fréquence à laquelle l’événement s’est produit pour chaque fichier.
Pour effectuer cette procédure, vous devez au minimum être membre du groupe Administrateurs local ou d’un groupe équivalent.
Remarque
Si les journaux AppLocker ne sont pas sur votre appareil local, vous devrez être autorisé à afficher les journaux. Si la sortie est enregistrée dans un fichier, vous devrez être autorisé à lire ce fichier.
.gif "Mt431800.wedge(fr-fr,VS.85).gif")
Pour passer en revue les événements AppLocker avec Get-AppLockerFileInformation
À l’invite de commande, tapez PowerShell, puis appuyez sur ENTRÉE.
Exécutez la commande suivante pour vérifier le nombre de fois où l’exécution d’un fichier aurait été bloquée si les règles avaient été appliquées :
Get-AppLockerFileInformation –EventLog –EventType Audited –StatisticsExécutez la commande suivante pour vérifier le nombre de fois où l’exécution d’un fichier a été autorisée ou empêchée :
Get-AppLockerFileInformation –EventLog –EventType Allowed –Statistics
Afficher le journal AppLocker dans l’Observateur d’événements
Lorsque l’application des stratégies AppLocker est définie sur Appliquer les règles, les règles sont appliquées pour le regroupement de règles et tous les événements sont audités. Lorsque l'application des stratégies AppLocker est définie sur Audit seulement, les règles sont seulement évaluées, mais tous les événements générés à partir de cette évaluation sont écrits dans le journal AppLocker.
Pour effectuer cette procédure, vous devez au minimum être membre du groupe Administrateurs local ou d’un groupe équivalent.
Pour afficher les événements dans le journal AppLocker à l’aide de l’Observateur d’événements
Ouvrez l’Observateur d’événements. Pour ce faire, cliquez sur Démarrer, tapez eventvwr.msc, puis appuyez sur ENTRÉE.
Dans l’arborescence de la console, sous Journaux des applications et des services Logs\Microsoft\Windows, double-cliquez sur AppLocker.
Les événements AppLocker sont répertoriés dans le journal EXE et DLL, MSI et Script, Déploiement d’application empaqueté ou Exécution d’application empaquetée. Les informations sur l’événement incluent le paramètre d’application, le nom du fichier, la date et l’heure, et le nom d’utilisateur. Les journaux peuvent être exportées vers d’autres formats de fichier pour une analyse approfondie.