Partager via

Planifier la gestion des stratégies AppLocker

  • Article

Cette rubrique décrit les décisions que vous devez prendre afin d’établir les processus de gestion et de maintenance des stratégies AppLocker.

Gestion des stratégies

Avant de commencer le processus de déploiement, réfléchissez à la manière dont les règles AppLocker seront gérées. Le développement d’un processus de gestion des règles AppLocker permet de s’assurer qu’AppLocker continue de contrôler efficacement la manière dont les applications sont autorisées à s’exécuter dans votre organisation.

Stratégie de prise en charge des applications et des utilisateurs

Le développement d’un processus de gestion des règles AppLocker permet de s’assurer qu’AppLocker continue de contrôler efficacement la manière dont les applications sont autorisées à s’exécuter dans votre organisation. Les éléments à prendre en considération sont les suivants :

  • Quel type d’assistance technique est proposé pour les applications bloquées ?

  • Comment de nouvelles règles sont ajoutées à la stratégie ?

  • Comment les règles existantes sont-elles mises à jour ?

  • Les événements sont-ils transmis en vue de leur examen ?

Support technique

Si votre organisation dispose d’un service de support technique, posez-vous les questions suivantes lors du déploiement de stratégies AppLocker :

  • Quelle documentation requiert votre service de support technique pour le déploiement de nouvelles stratégies ?

  • Quels sont les processus critiques de chaque groupe d’entreprise à la fois en termes de flux de travail et de durée qui sont affectés par les stratégies de contrôle d’application et comment ils pourraient avoir un effet sur la charge de travail de votre service de support technique ?

  • Quels sont les contacts du service de support technique ?

  • Comment le service de support technique résout les problèmes de contrôle des applications entre l’utilisateur final et ceux qui gèrent les règles AppLocker ?

Assistance technique

Dans la mesure où AppLocker empêche l’exécution d’applications non approuvées, il est important que votre organisation planifie avec soin comment fournir une assistance technique. Les éléments à prendre en considération sont les suivants :

  • Voulez-vous utiliser un site intranet en tant qu’assistance technique de premier niveau pour les utilisateurs qui ont essayé d’exécuter une application bloquée ?

  • Comment voulez-vous prendre en charge les exceptions à la stratégie ? Allez-vous permettre aux utilisateurs d’exécuter un script pour autoriser temporairement l’accès à une application bloquée ?

Utilisation d’un site intranet

Vous pouvez configurer le logiciel AppLocker afin qu’il affiche le message par défaut en incluant une URL personnalisée. Vous pouvez utiliser cette URL pour rediriger les utilisateurs vers un site de support technique indiquant pour quelle raison l’utilisateur a reçu l’erreur signalée et quelles applications sont autorisées. Si vous n’affichez pas une URL personnalisée dans le message lors du blocage d’une application, l’URL par défaut est utilisée.

L’image suivante montre un exemple du message d’erreur pour une application bloquée. Vous pouvez utiliser le paramètre de stratégie Définir un lien web vers le support technique pour personnaliser le lien Informations supplémentaires.

Message d’erreur d’application bloquée AppLocker

Pour savoir comment afficher une URL personnalisée dans le message, voir Afficher une URL personnalisée lorsque les utilisateurs tentent d’exécuter une application bloquée.

Gestion des événements AppLocker

Chaque fois qu’un processus demande l’autorisation de s’exécuter, AppLocker crée un événement dans le journal des événements AppLocker. L’événement indique le fichier ayant tenté de s’exécuter, les attributs de ce fichier, l’utilisateur à l’origine de la demande et le GUID de règles utilisé pour prendre la décision d’exécution d’AppLocker. Le journal des événements AppLocker est accessible depuis l’emplacement suivant : Journaux des applications et des services\Microsoft\Windows\AppLocker. Le journal AppLocker inclut trois journaux :

  1. EXE et DLL. Contient les événements de tous les fichiers affectés par le fichier exécutable et les regroupements de règles DLL (.exe, .com, .dll et .ocx).

  2. MSI et Script. Contient les événements de tous les fichiers affectés par le programme d’installation et les regroupements de règles de script (.msi, .msp, .ps1, .bat, .cmd, .vbs et .js).

  3. Déploiement d’application empaquetée ou Exécution d’application empaquetée, contient les événements de toutes les applications Windows universelles affectées par le regroupement de règles de l’application empaquetée et du programme d’installation de l’application empaquetée (.appx).

Le fait de regrouper ces événements dans un emplacement central peut vous permettre d’assurer la maintenance de votre stratégie AppLocker et de résoudre les problèmes de configuration de règles. Les technologies de regroupement d’événements, telles que celles disponibles dans Windows, permettent aux administrateurs de s’abonner à des canaux d’événements spécifiques et d’agréger les événements issus d’ordinateurs source dans un journal des événements transférés sur un collecteur de système d’exploitation Windows Server. Pour en savoir plus sur la configuration d’un abonnement à un événement, voir Configurer les ordinateurs pour transférer et recueillir les événements.

Maintenance des stratégies

Au fil du déploiement de nouvelles applications et de la mise à jour d’applications existantes par l’éditeur du logiciel, vous devrez vérifier votre regroupement de règles pour vous assurer que la stratégie est en cours.

Vous pouvez remanier une stratégie AppLocker en ajoutant, en modifiant ou en supprimant des règles. Toutefois, vous ne pouvez pas spécifier une version de la stratégie en important des règles supplémentaires. Pour garantir le contrôle de version lorsque vous modifiez une stratégie AppLocker, utilisez le logiciel de gestion de stratégie de groupe qui vous permet de créer des versions d’objets de stratégie de groupe (GPO). Par exemple, la fonctionnalité Gestion avancée des stratégies de groupe du Microsoft Desktop Optimization Pack est un logiciel de ce type. Pour en savoir plus sur la gestion avancée des stratégies de groupe, voir le document Advanced Group Policy Management Overview (en anglais) (https://go.microsoft.com/fwlink/?LinkId=145013).

Attention  

Vous ne devez pas modifier un regroupement de règles AppLocker lorsqu’il est appliqué dans une stratégie de groupe. Étant donné qu’AppLocker contrôle les fichiers dont l’exécution est autorisée, l’apport de modifications à une stratégie dynamique peut entraîner un comportement inattendu.

 

Nouvelle version d’une application prise en charge

Lors du déploiement de la nouvelle version d’une application au sein de l’organisation, vous devez déterminer s’il convient de continuer à prendre en charge la version précédente de cette application. Pour ajouter la nouvelle version, vous n’aurez peut-être qu’à créer une nouvelle règle pour chaque fichier associé à l’application. Si vous utilisez des conditions de l’éditeur, et si la version n’est pas spécifiée, la ou les règles existantes peuvent être suffisantes pour permettre l’exécution du fichier mis à jour. Toutefois, vous devez vous assurer que l’application mise à jour n’a pas modifié les noms de fichiers ou ajouté de fichiers pour prendre en charge de nouvelles fonctionnalités. Si tel est le cas, vous devez modifier les règles existantes ou en créer de nouvelles. Pour continuer à réutiliser une règle basée sur l’éditeur sans version de fichier spécifique, vous devez également vous assurer que la signature numérique du fichier est toujours identique à la version précédente : l’éditeur, le nom du produit et le nom de fichier (s’il est configuré dans votre règle) doivent tous correspondre pour que la règle soit appliquée correctement.

Pour déterminer si un fichier a été modifié au cours d’une mise à jour de l’application, passez en revue les détails relatifs à la version de l’éditeur fournis avec le package de mise à jour. Vous pouvez également consulter la page web de l’éditeur pour récupérer ces informations. Il est également possible d’examiner chaque fichier pour déterminer la version.

Pour les fichiers autorisés ou refusés avec des conditions de hachage de fichier, vous devez récupérer le nouveau hachage du fichier. Pour prendre en charge une nouvelle version et maintenir la prise en charge de la version antérieure, vous pouvez créer une nouvelle règle de hachage de fichier pour la nouvelle version ou modifier la règle existante et ajouter le nouveau hachage de fichier à la liste des conditions.

Concernant les fichiers avec conditions de chemin d’accès, vous devez vérifier que le chemin d’installation n’a pas été modifié par rapport à celui indiqué dans la règle. Si le chemin d’accès a changé, vous devez mettre à jour la règle avant d’installer la nouvelle version de l’application.

Application déployée récemment

Pour prendre en charge une nouvelle application, vous devez ajouter une ou plusieurs règles à la stratégie AppLocker existante.

L’application n’est plus prise en charge

Si votre organisation a déterminé qu’elle ne prendra plus en charge d’application comportant des règles AppLocker qui lui sont associées, le moyen le plus simple pour empêcher les utilisateurs d’exécuter l’application consiste à supprimer ces règles.

L’application est bloquée mais doit être autorisée

Un fichier peut être bloqué pour trois raisons :

  • La raison la plus courante est qu’il n’existe aucune règle pour permettre à l’application de s’exécuter.

  • Il peut exister une règle existante trop restrictive créée pour le fichier.

  • Une règle de refus, qui ne peut pas être remplacée, bloque explicitement le fichier.

Avant de modifier le regroupement de règles, vous devez d’abord déterminer la règle empêchant l’exécution du fichier. Vous pouvez résoudre le problème à l’aide de l’applet de commande Windows PowerShell Test-AppLockerPolicy. Pour en savoir plus sur la résolution de problèmes liés à une stratégie AppLocker, voir Test et mise à jour d’une stratégie AppLocker (https://go.microsoft.com/fwlink/?LinkId=160269).

Étapes suivantes

Après avoir décidé de la manière dont votre organisation gère votre stratégie AppLocker, enregistrez vos résultats.

  • Politique d’assistance technique. Documentez le processus que vous allez utiliser pour la gestion des appels d’utilisateurs ayant tenté d’exécuter une application bloquée et assurez-vous que le personnel d’assistance dispose de procédures de remontée d’informations claires permettant à l’administrateur de mettre à jour la stratégie AppLocker, si nécessaire.

  • Traitement des événements. Indiquez si les événements doivent être collectés à un emplacement centralisé appelé magasin, en précisant de quelle manière ce dernier sera archivé et si les événements doivent être traités à des fins d’analyse.

  • Maintenance des stratégies. Explique comment les règles sont ajoutées à la stratégie et dans quel objet de stratégie de groupe les règles sont définies.

Pour prendre connaissance des informations et des étapes à suivre relatives à la documentation de vos processus, voir Document your application control management processes (en anglais).