Partager via


Utiliser AppLocker et des stratégies de restriction logicielle dans le même domaine

Cette rubrique destinée aux professionnels de l’informatique décrit des concepts et procédures pour vous aider à gérer votre stratégie de contrôle des applications à l’aide des stratégies de restriction logicielle et d’AppLocker.

Utilisation d’AppLocker et de stratégies de restriction logicielle dans le même domaine

AppLocker est pris en charge sur les systèmes exécutant Windows 7 et versions supérieures. Les stratégies de restriction logicielle sont prises en charge sur les systèmes exécutant Windows Vista ou une version antérieure. Vous pouvez continuer à utiliser les stratégies de restriction logicielle pour le contrôle des applications sur vos ordinateurs dotés de versions antérieures à Windows 7, mais utilisez AppLocker pour les ordinateurs exécutant Windows Server 2008 R2, Windows 7 et versions ultérieures. Il est recommandé de créer des règles AppLocker et de stratégie de restriction logicielle dans différents objets de stratégie de groupe et de cibler les objets de stratégie de groupe avec des stratégies de restriction logicielle sur les systèmes exécutant Windows Vista ou une version antérieure. Lorsque à la fois des stratégies de restriction logicielle et AppLocker sont appliquées sur des ordinateurs exécutant Windows Server 2008 R2, Windows 7 et des versions ultérieures, les stratégies de restriction logicielle sont ignorées.

Le tableau suivant compare les fonctionnalités et fonctions des stratégies de restriction logicielle et AppLocker.

Fonction de contrôle des applications Stratégie de restriction logicielle AppLocker

Étendue

Les stratégies de restriction logicielle peuvent être appliquées à tous les systèmes d’exploitation Windows, à partir de Windows XP et Windows Server 2003.

Les stratégies AppLocker s’appliquent uniquement à Windows Server 2008 R2, Windows 7 et versions ultérieures.

Création de la stratégie

Les stratégies de restriction logicielle sont gérées via une stratégie de groupe. Seul l’administrateur de l’objet de stratégie de groupe peut les mettre à jour. L’administrateur de l’ordinateur local peut modifier les stratégies de restriction logicielle définies dans l’objet de stratégie de groupe local.

Les stratégies AppLocker sont gérées via une stratégie de groupe. Seul l’administrateur de l’objet de stratégie de groupe peut les mettre à jour. L’administrateur de l’ordinateur local peut modifier les stratégies AppLocker définies dans l’objet de stratégie de groupe local.

AppLocker autorise la personnalisation des messages d’erreur redirigeant les utilisateurs vers une page web d’aide.

Maintenance des stratégies

Les stratégies de restriction logicielle doivent être mises à jour via le composant logiciel enfichable Stratégie de sécurité locale (si les stratégies sont créées en local) ou la Console de gestion des stratégies de groupe.

Les stratégies AppLocker peuvent être mises à jour via le composant logiciel enfichable Stratégie de sécurité locale (si les stratégies sont créées en local), la Console de gestion des stratégies de groupe ou les applets de commande AppLocker de Windows PowerShell.

Application de la stratégie

Les stratégies de restriction logicielle sont distribuées via une stratégie de groupe.

Les stratégies AppLocker sont distribuées via une stratégie de groupe.

Mode d’application

La stratégie de restriction logicielle fonctionne en « mode de liste d’exclusion », dans lequel les administrateurs peuvent créer des règles pour les fichiers qui ne doivent pas être autorisés dans l’entreprise, alors que le reste des fichiers est autorisé à s’exécuter par défaut.

La stratégie de restriction logicielle peut également être configurée en « mode de liste d’autorisation » : par exemple, l’ensemble des fichiers sont bloqués par défaut et les administrateurs doivent créer des règles pour les fichiers qu’ils souhaitent autoriser.

Par défaut, AppLocker s’exécute en « mode de liste d’autorisation » : seuls les fichiers associés à une règle d’autorisation correspondante peuvent s’exécuter.

Types de fichiers pouvant être contrôlés

La stratégie de restriction logicielle peut contrôler les types de fichiers suivants :

  • Fichiers exécutables

  • DLL

  • Scripts

  • Programmes Windows Installer

La stratégie de restriction logicielle ne peut pas contrôler chaque type de fichier séparément. Toutes les règles de stratégie de restriction logicielle figurent dans un regroupement de règles unique.

AppLocker peut contrôler les types de fichiers suivants :

  • Fichiers exécutables

  • DLL

  • Scripts

  • Programmes Windows Installer

  • Applications et programmes d’installation empaquetés

AppLocker gère un regroupement de règles distinct pour chacun des cinq types de fichiers.

Types de fichier désignés

La stratégie de restriction logicielle prend en charge une liste étendue de types de fichiers considérés comme exécutables. Les administrateurs peuvent ajouter des extensions pour les fichiers à considérer comme exécutables.

Actuellement, AppLocker prend en charge les extensions de fichiers suivantes :

  • Fichiers exécutables (.exe, .com)

  • DLL (.ocx, .dll)

  • Scripts (.vbs, .js, .ps1, .cmd, .bat)

  • Programmes Windows Installer (.msi, .mst, .msp)

  • Programmes d’installation d’application empaquetée (.appx)

Types de règles

La stratégie de restriction logicielle prend en charge quatre types de règles :

  • Hachage

  • Chemin d’accès

  • Signature

  • Zone Internet

AppLocker prend en charge trois types de règles :

  • Hachage du fichier

  • Chemin d’accès

  • Publisher

Modification de la valeur de hachage

Dans Windows XP, vous pouvez utiliser la stratégie de restriction logicielle pour fournir des valeurs de hachage personnalisées.

À partir de Windows 7 et Windows Server 2008 R2, vous pouvez sélectionner uniquement le fichier à hacher, et non fournir la valeur de hachage.

AppLocker calcule la valeur de hachage proprement dite. Il utilise le hash SHA2 Authenticode en interne pour les fichiers exécutables portables (.exe et .dll) et les programmes Windows Installer, et un hash de fichier plat SHA 2 pour le reste.

Prise en charge de niveaux de sécurité différents

Grâce à la stratégie de restriction logicielle, vous pouvez spécifier les autorisations en fonction desquelles une application peut s’exécuter. Ainsi, vous pouvez configurer une règle indiquant que le Bloc-notes doit toujours s’exécuter avec des autorisations restreintes, et jamais avec des privilèges d’administration.

Sur Windows Vista et les versions antérieures de Windows prises en charge, la stratégie de restriction logicielle prenait en charge plusieurs niveaux de sécurité. Sur Windows 7, la liste a été limitée à deux niveaux : Rejeté et Non restreint (pour l’utilisateur de la version Basic, cela se traduit par le niveau Rejeté).

AppLocker ne prend pas en charge les niveaux de sécurité.

Gestion des applications empaquetées et programmes d’installation d’applications empaquetées

Non pris en charge

Le type de fichier que le logiciel AppLocker peut gérer est .appx.

Association d’une règle à un utilisateur ou à un groupe d’utilisateurs

Les règles de stratégie de restriction logicielle s’appliquent à tous les utilisateurs sur un ordinateur spécifique.

Les règles AppLocker peuvent être associées à un utilisateur ou un groupe d’utilisateurs spécifique.

Prise en charge des exceptions de règles

La stratégie de restriction logicielle ne prend pas en charge les exceptions de règle.

Les règles AppLocker peuvent être associées à des exceptions, qui vous autorisent à créer des règles du type : « Tout autoriser en provenance de Windows, sauf pour regedit.exe ».

Prise en charge du mode audit

La stratégie de restriction logicielle ne prend pas en charge le mode audit. Le seul moyen de tester les stratégies de restriction logicielle consiste à configurer un environnement de test et à effectuer différentes expériences.

AppLocker prend en charge le mode audit, qui vous permet de tester l’effet de leur stratégie dans un environnement de production réel, sans affecter l’expérience utilisateur. Si les résultats de ces tests vous conviennent, vous pouvez commencer à appliquer la stratégie.

Prise en charge de l’exportation et de l’importation de stratégies

La stratégie de restriction logicielle ne prend pas en charge l’importation/l’exportation de stratégies.

AppLocker prend en charge l’importation et l’exportation de stratégies. Cela vous permet de créer une stratégie AppLocker sur un appareil de test, de la tester, puis de l’exporter et de la réimporter dans l’objet de stratégie de groupe de votre choix.

Application de règles

En interne, les règles de restriction logicielle sont exécutées en mode utilisateur, qui est moins sécurisé.

En interne, les règles AppLocker relatives aux fichiers .exe et .dll sont appliquées en mode noyau, qui est plus sécurisé que le mode utilisateur.