Sélectionner les types de règles à créer

Cette rubrique répertorie les ressources que vous pouvez utiliser lors de la sélection de vos règles de stratégie de contrôle d’application à l’aide de AppLocker.

Lorsque vous déterminez les types de règles à créer pour chacun de vos groupes, vous devez également déterminer quel paramètre d’application utiliser pour chaque groupe. Certains types de règles s’appliquent davantage à certaines applications, en fonction de la manière dont les applications sont déployées dans un groupe professionnel spécifique.

Les rubriques suivantes fournissent des informations supplémentaires sur les règles AppLocker qui peuvent vous aider à déterminer quelles règles utiliser pour vos applications :

• Présentation du comportement des règles AppLocker

• Présentation des exceptions de règles AppLocker

• Présentation des regroupements de règles AppLocker

• Présentation des actions d’autorisation et de refus des règles AppLocker

• Présentation des types de conditions de règle AppLocker

• Présentation des règles par défaut AppLocker

Sélectionner le regroupement de règles

Les règles que vous créez seront dans l’un des regroupements de règles suivants :

• Fichiers exécutables : .exe et .com

• Fichiers Windows Installer : .msi, msp et .mst

• Scripts : .ps1, .bat, .cmd, .vbs et .js

• Applications empaquetées et programmes d’installation d’applications empaquetées : .appx

• DLL : .dll et .ocx

Par défaut, les règles permettront l’exécution d’un fichier en fonction des privilèges d’utilisateur ou de groupe. Si vous utilisez des règles DLL, vous devez créer une règle d’autorisation pour chaque DLL utilisée par toutes les applications autorisées. Le regroupement de règles DLL n’est pas activé par défaut.

Dans l’exemple Woodgrove Bank, l’application métier du groupe professionnel Bank Tellers est C:\Program Files\Woodgrove\Teller.exe, et cette application doit être incluse dans une règle. En outre, cette règle faisant partie d’une liste d’applications autorisées, tous les fichiers Windows sous C:\Windows doivent également être inclus.

Déterminer la condition de règle

Une condition de règle est le critère sur lequel une règle AppLocker repose. Il ne peut s’agir que d’une seule des conditions de règle du tableau suivant.

Condition de règle	Scénario d’utilisation	Ressources
Éditeur	Pour utiliser une condition éditeur, les fichiers doivent être signés numériquement par l’éditeur de logiciel, ou vous devez le faire à l’aide d’un certificat interne. Les règles spécifiées au niveau de la version devront peut-être être mises à jour lorsqu’une nouvelle version du fichier sera disponible.	Pour plus d’informations sur cette condition de règle, consultez la rubrique Présentation de la condition de règle d’éditeur dans AppLocker.
Chemin d’accès	Cette condition de règle peut être affectée à n’importe quel fichier. Toutefois, étant donné que les règles de chemin d’accès spécifient des emplacements au sein du système de fichiers, tous les sous-répertoires seront également affectés par la règle (sauf ceux qui en ont été explicitement exclus).	Pour plus d’informations sur cette condition de règle, consultez la rubrique Présentation de la condition de règle de chemin d’accès dans AppLocker.
Hachage du fichier	Cette condition de règle peut être affectée à n’importe quel fichier. Toutefois, la règle doit être mise à jour chaque fois qu’une nouvelle version du fichier est disponible, car la valeur de hachage est basée en partie sur la version.	Pour plus d’informations sur cette condition de règle, consultez la rubrique Présentation de la condition de règle de hachage de fichier dans AppLocker.

 

Dans l’exemple Woodgrove Bank, l’application métier du groupe professionnel Bank Tellers est signée et se trouve dans C:\Program Files\Woodgrove\Teller.exe. Par conséquent, la règle peut être définie avec une condition éditeur. Si la règle est définie sur une version spécifique et supérieure (par exemple, Teller.exe version 8.0 et supérieure), les mises à jour de cette application pourront se produire sans interruption de l’accès des utilisateurs si le nom de l’application et les attributs signés restent identiques.

Déterminer comment autoriser l’exécution des fichiers système

Étant donné que les règles AppLocker génèrent une liste des applications autorisées, une ou plusieurs règles doivent être créées pour permettre l’exécution de tous les fichiers Windows. AppLocker fournit un moyen de garantir que les systèmes de fichiers sont correctement pris en compte dans votre regroupement de règles en générant les règles par défaut pour chaque regroupement de règles. Vous pouvez vous servir des règles par défaut comme modèle lorsque vous créez vos propres règles. Toutefois, ces règles sont uniquement destinées à servir de stratégie de prise en main lorsque vous testez les règles AppLocker pour la première fois, de manière à ce que l’exécution des systèmes de fichiers dans les dossiers soit autorisée. Lorsqu’une règle par défaut est créée, la mention « (Règle par défaut) » apparaît dans son nom lorsqu’elle s’affiche dans le regroupement de règles.

Vous pouvez également créer une règle pour les systèmes de fichiers en fonction de la condition chemin d’accès. Dans l’exemple précédent, pour le groupe Bank Tellers, tous les fichiers Windows se trouvent sous C:\Windows et peuvent être définies avec le type de condition de règle chemin d’accès. Il sera alors possible d’accéder à ces fichiers chaque fois que des mises à jour seront appliquées et que les fichiers seront modifiés. Si vous avez besoin d’une sécurité supplémentaire pour les applications, vous devrez peut-être modifier les règles créées à partir du regroupement de règles par défaut intégré. Par exemple, la règle par défaut pour autoriser tous les utilisateurs à exécuter des fichiers .exe dans le dossier Windows est basée sur une condition de chemin d’accès qui permet l’exécution de tous les fichiers du dossier Windows. Le dossier Windows contient un sous-dossier Temp sur lequel le groupe d’utilisateurs dispose des autorisations suivantes :

• Parcours du dossier/exécution du fichier

• Création de fichiers/écriture de données

• Création de dossiers/ajout de données

Ces paramètres d’autorisation sont appliqués à ce dossier à des fins de compatibilité des applications. Toutefois, étant donné que n’importe quel utilisateur peut créer des fichiers à cet emplacement, autoriser l’exécution d’applications à partir de cet emplacement peut entrer en conflit avec la stratégie de sécurité de votre organisation.

Étapes suivantes

Après avoir sélectionné les types de règles à créer, enregistrez vos résultats comme expliqué dans Documenter vos règles AppLocker.

Après avoir enregistré vos résultats pour les règles AppLocker à créer, vous devez réfléchir à la manière d’appliquer les règles. Pour plus d’informations sur la façon de procéder, voir Déterminer la structure de stratégie de groupe et l’application des règles.