Présentation des actions d’autorisation et de refus des règles AppLocker
Cette rubrique explique les différences entre les actions Autoriser et Refuser des règles AppLocker.
L’action Autoriser par rapport à l’action Refuser des règles
Contrairement aux stratégies de restriction logicielle, chaque regroupement de règles AppLocker fonctionne comme une liste autorisée de fichiers. Seuls les fichiers répertoriés dans le regroupement de règles sont autorisés à s’exécuter. Cette configuration permet de déterminer facilement ce qui se produira lors de l’application d’une règle AppLocker.
Vous pouvez également créer des règles qui utilisent l’action Refuser. Lors de l’application de règles, AppLocker vérifie d’abord si des actions Refuser explicites sont spécifiées dans la liste des règles. Si vous avez refusé l’exécution d’un fichier dans un ensemble de règles, l’action Refuser prime sur toute éventuelle action d’autorisation, peu importe l’objet de stratégie de groupe (GPO) dans lequel la règle a été appliquée à l’origine. Dans la mesure où AppLocker fonctionne comme une liste autorisée par défaut, si aucune règle n’autorise ni ne refuse explicitement l’exécution d’un fichier, l’action Refuser par défaut de AppLocker bloque le fichier.
Considérations relatives à la règle Refuser
Même si vous pouvez utiliser AppLocker pour créer une règle qui autorise l’exécution de tous les fichiers, puis utiliser des règles pour refuser des fichiers spécifiques, cette configuration n’est pas recommandée. L'action Refuser est généralement moins sécurisée que l’action Autoriser dans la mesure où un utilisateur malveillant peut modifier le fichier pour invalider la règle. Il est également possible de contourner les actions Refuser. Par exemple, si vous configurez une action Refuser pour un chemin de dossier ou de fichier, l’utilisateur peut tout de même exécuter le fichier à partir d’un autre chemin d’accès. Le tableau ci-après décrit les problèmes de sécurité de différentes conditions de règle avec les actions Refuser.
| Condition de règle | Problème de sécurité avec l’action Refuser |
|---|---|
Éditeur |
Un utilisateur peut modifier les propriétés d’un fichier (par exemple, en signant à nouveau le fichier avec un certificat différent). |
Hachage du fichier |
Un utilisateur peut modifier le hachage pour un fichier. |
Chemin d’accès |
Un utilisateur peut déplacer le fichier refusé vers un autre emplacement et l’exécuter à partir de cet emplacement. |
Important
Si vous choisissez d’utiliser l’action Refuser sur des règles, vous devez d’abord avoir créé des règles qui permettent aux systèmes de fichiers Windows de s’exécuter. AppLocker applique les règles pour les applications autorisées par défaut si bien que, après la création d’une ou plusieurs règles pour un regroupement de règles (affectant les systèmes de fichiers Windows), seules les applications qui sont répertoriées comme étant autorisées peuvent être exécutées. Par conséquent, la création d’une règle unique dans un regroupement de règles pour refuser l’exécution d’un fichier malveillant interdit également l’exécution de tous les autres fichiers sur l’ordinateur.