Tester et mettre à jour une stratégie AppLocker

Cette rubrique décrit la procédure requise pour tester une stratégie AppLocker avant le déploiement.

Vous devez tester chaque ensemble de règles pour vous assurer que ces règles fonctionnent comme prévu. Si vous utilisez une stratégie de groupe pour gérer les stratégies AppLocker, procédez comme suit pour chaque objet de stratégie de groupe (GPO) dans lequel vous avez créé des règles AppLocker. Étant donné que les règles AppLocker sont héritées des GPO liés, vous devez déployer toutes les règles pour un test simultané dans tous vos GPO tests.

Étape 1 : Activer le paramètre d’application Audit seulement

En utilisant le paramètre d’application Audit seulement, vous êtes certain que les règles AppLocker que vous avez créées sont correctement configurées pour votre organisation. Ce paramètre peut être activé dans l’onglet Application de la boîte de dialogue Propriétés d’AppLocker. Pour la procédure à suivre, voir Configurer une stratégie AppLocker pour un audit seulement.

Étape 2 : Configurer le service Identité de l’application pour qu’il démarre automatiquement

Dans la mesure où AppLocker utilise le service Identité de l’application pour vérifier les attributs d’un fichier, vous devez le configurer pour qu’il démarre automatiquement dans n’importe quel GPO appliquant les règles AppLocker. Pour la procédure à suivre, voir Configurer le service Identité d’application. Pour les stratégies AppLocker qui ne sont pas gérées par un GPO, vous devez vous assurer que le service est en cours d’exécution sur chaque PC afin d’appliquer les stratégies.

Étape 3 : Tester la stratégie

Testez la stratégie AppLocker pour déterminer si votre regroupement de règles doit être modifié. Étant donné que vous avez créé des règles AppLocker, activé le service Identité de l’application et activé le paramètre d’application Audit seulement, la stratégie AppLocker doit être présente sur tous les PC clients qui sont configurés pour recevoir votre stratégie AppLocker.

L’applet de commande Test-AppLockerPolicy Windows PowerShell peut être utilisé pour déterminer si les règles de votre regroupement de règles doivent être bloquées sur vos PC de référence. Pour la procédure à suivre, voir Tester une stratégie AppLocker à l’aide de Test-AppLockerPolicy.

Étape 4 : Analyser les événements AppLocker

Vous pouvez analyser manuellement les événements AppLocker ou utiliser l’applet de commande Get-AppLockerFileInformation Windows PowerShell pour automatiser l’analyse.

Pour analyser manuellement les événements AppLocker

Vous pouvez afficher les événements dans l’Observateur d’événements ou dans un éditeur de texte, puis les trier pour effectuer une analyse, comme la recherche de modèles dans les événements d’utilisation de l’application, les fréquences d’accès ou l’accès par des groupes d’utilisateurs. Si vous n'avez pas configuré un abonnement aux événements, vous devrez consulter les journaux sur un échantillon d’ordinateurs de votre organisation. Pour plus d’informations sur l’utilisation de l’Observateur d’événements, voir Surveiller l’utilisation d’une application avec AppLocker.

Pour analyser des événements AppLocker à l’aide de Get-AppLockerFileInformation

Vous pouvez utiliser l’applet de commande Get-AppLockerFileInformation Windows PowerShell pour analyser les événements AppLocker à partir d’un ordinateur distant. Si une application est bloquée et doit être autorisée, vous pouvez utiliser les applets de commande AppLocker pour tenter de résoudre le problème.

Pour les abonnements aux événements et les événements locaux, vous pouvez utiliser l’applet de commande Get-AppLockerFileInformation afin de déterminer quels fichiers ont été bloqués ou auraient été bloqués (si vous utilisez le mode d’application Audit seulement) et la fréquence à laquelle l’événement s’est produit pour chaque fichier. Pour la procédure à suivre, voir Surveiller l’utilisation d’une application avec AppLocker.

Après avoir utilisé Get-AppLockerFileInformation pour déterminer le nombre de fois où l’exécution d’un fichier aurait été bloquée, vous devez examiner votre liste de règles pour déterminer si une nouvelle règle doit être créée pour le fichier bloqué ou si une règle existante est définie trop strictement. Vous devez avoir vérifié quel GPO empêche actuellement l’exécution du fichier. Pour cela, vous pouvez utiliser l’Assistant Résultats de stratégie de groupe afin d’afficher les noms des règles.

Étape 5 : Modifier la stratégie AppLocker

Après avoir identifié les règles qui doivent être modifiées ou ajoutées à la stratégie, vous pouvez utiliser la Console de gestion des stratégies de groupe pour modifier les règles AppLocker dans les GPO pertinents. Pour les stratégies AppLocker qui ne sont pas gérées par un GPO, vous pouvez utiliser le composant logiciel enfichable Stratégie de sécurité locale (secpol.msc). Pour obtenir des informations sur la modification d’une stratégie AppLocker, voir Modifier une stratégie AppLocker.

Étape 6 : Répéter le test de la stratégie, l’analyse et la modification de la stratégie

Répétez les étapes 3 à 5 précédentes jusqu’à ce que toutes les règles fonctionnent comme attendu avant de mettre en œuvre l’application.

Ressources supplémentaires

• Pour connaître les procédures concernant d’autres tâches en rapport avec la stratégie AppLocker, voir Administrer AppLocker.