Partager via


Présentation de la condition de règle de chemin d’accès dans AppLocker

Cette rubrique explique la condition de règle de chemin d’accès AppLocker, ses avantages et ses inconvénients, et comment elle est appliquée.

La condition de chemin d’accès identifie une application par son emplacement dans le système de fichiers de l’ordinateur ou sur le réseau.

Lorsque vous créez une règle qui utilise une action Refuser, les conditions de chemin d’accès sont moins sécurisées que les conditions d’éditeur et de hachage du fichier pour empêcher l’accès à un fichier, car un utilisateur pourrait facilement copier le fichier vers un emplacement autre que celui spécifié dans la règle. Étant donné que les règles de chemin d’accès indiquent des emplacements dans le système de fichiers, vous devez garantir qu’il n’y a pas de sous-répertoires accessibles en écriture par les non-administrateurs. Par exemple, si vous créez une règle de chemin d’accès pour C: \ avec l’action Autoriser, l’exécution de tout fichier se trouvant à cet emplacement sera autorisée, notamment dans les profils des utilisateurs. Le tableau suivant décrit les avantages et les inconvénients de la condition de chemin d’accès.

Avantages de la condition de chemin d’accès Inconvénients de la condition de chemin d’accès
  • Vous pouvez contrôler facilement de nombreux dossiers ou un seul fichier.

  • Vous pouvez utiliser l’astérisque (*) comme caractère générique dans les règles de chemin d’accès.

  • Si une règle configurée pour utiliser un chemin d’accès au dossier contient des sous-répertoires accessibles en écriture par des non-administrateurs, celle-ci peut être moins sécurisée.

  • Vous devez indiquer le chemin complet vers un fichier ou dossier lors de la création des règles de chemin d’accès afin que la règle soit appliquée correctement.

 

AppLocker n’applique pas les règles qui spécifient des chemins d’accès avec des noms courts. Vous devez toujours indiquer le chemin complet vers un fichier ou dossier lors de la création des règles de chemin d’accès afin que la règle soit appliquée correctement.

Le caractère générique astérisque (*) peut être utilisé dans le champ Chemin d’accès. Le caractère astérisque (*) utilisé seul représente n’importe quel chemin d’accès. Lorsqu’elle est combinée avec n’importe quelle valeur de chaîne, la règle est limitée au chemin d’accès du fichier et de tous les fichiers sous ce chemin. Par exemple, %ProgramFiles%\Internet Explorer\* indique que tous les fichiers et sous-dossiers contenus dans le dossier Internet Explorer seront affectés par la règle.

AppLocker utilise des variables de chemin d’accès pour les répertoires connus de Windows. Les variables de chemin d’accès ne sont pas des variables d’environnement. Le moteur AppLocker peut uniquement interpréter les variables de chemin d’accès AppLocker. Le tableau suivant explique en détail ces variables de chemin d’accès.

Répertoire ou lecteur Windows Variable de chemin d’accès AppLocker Variable d’environnement Windows

Windows

%WINDIR%

%SystemRoot%

System32

%SYSTEM32%

%SystemDirectory%

Répertoire d’installation de Windows

%OSDRIVE%

%SystemDrive%

Program Files

%PROGRAMFILES%

%ProgramFiles% et %ProgramFiles(x86)%

Média amovible (par exemple, un CD ou DVD)

%REMOVABLE%

Dispositif de stockage amovible (par exemple, une clé USB)

%HOT%

 

Pour une vue d’ensemble des trois types de conditions de règles AppLocker et des explications sur les avantages et les inconvénients de chacune d’entre elles, consultez la rubrique Présentation des types de conditions de règles AppLocker.

Rubriques associées

Fonctionnement d’AppLocker