Utiliser un appareil de référence pour créer et gérer les stratégies AppLocker

Cette rubrique destinée aux professionnels de l’informatique décrit les étapes permettant de créer et gérer les stratégies AppLocker à l’aide d’un ordinateur de référence.

Contexte et conditions préalables

Un appareil de référence AppLocker est un appareil que vous pouvez utiliser pour configurer des stratégies et ensuite pour gérer les stratégies AppLocker. Pour savoir comment configurer un appareil de référence, consultez la rubrique Configurer l’appareil de référence AppLocker.

Un appareil de référence AppLocker qui sert à créer et à gérer les stratégies AppLocker doit contenir les applications correspondantes pour chaque unité d’organisation afin de reproduire votre environnement de production.

Important  

L’appareil de référence doit exécuter une édition de Windows prise en charge. Pour plus d’informations sur la configuration de système d’exploitation requise pour AppLocker, consultez la rubrique Configuration requise pour utiliser AppLocker.

 

Vous pouvez effectuer des tests de stratégie AppLocker sur l’appareil de référence à l’aide du paramètre d’application Audit uniquement ou des applets de commande Windows PowerShell. Vous pouvez également utiliser l’appareil de référence dans le cadre d’une configuration de test qui inclut des stratégies créées à l’aide de stratégies de restriction logicielle.

Étape 1 : Générer automatiquement des règles sur l’appareil de référence

Avec AppLocker, vous pouvez générer automatiquement des règles pour tous les fichiers d’un dossier. AppLocker analyse le dossier spécifié et crée les types de conditions choisis pour chaque fichier dans ce dossier. Pour connaître la procédure à suivre, consultez la rubrique Exécuter l’Assistant Générer automatiquement les règles.

Remarque  

Si vous exécutez cet Assistant pour créer vos premières règles pour un objet de stratégie de groupe (GPO), une fois l’Assistant terminé, vous êtes invité à créer des règles par défaut permettant l’exécution de fichiers système critiques. Vous pouvez modifier ces règles par défaut à tout moment. Si votre organisation a décidé de modifier les règles par défaut ou de créer des règles personnalisées pour autoriser l’exécution des fichiers système Windows, veillez à supprimer les règles par défaut après que vous les avez remplacées par vos propres règles personnalisées.

 

Étape 2 : Créer les règles par défaut sur l’appareil de référence

AppLocker inclut des règles par défaut pour chaque regroupement de règles. Ces règles visent à vous aider à garantir que les fichiers nécessaires au bon fonctionnement de Windows sont autorisés dans un regroupement de règles AppLocker. Vous devez exécuter les règles par défaut pour chaque regroupement de règles. Pour plus d’informations sur les règles par défaut et les éléments à prendre en considération pour les utiliser, consultez la rubrique Présentation des règles par défaut AppLocker. Pour savoir comment créer les règles par défaut, consultez la rubrique Créer des règles par défaut AppLocker.

Important  

Vous pouvez utiliser les règles par défaut comme modèle lorsque vous créez vos propres règles. Cela permet l’exécution des fichiers dans le répertoire Windows. Toutefois, ces règles sont uniquement destinées à servir de stratégie de démarrage lorsque vous commencez par tester les règles AppLocker.

 

Étape 3 : Modifier les règles et le regroupement de règles sur l’appareil de référence

Si des stratégies AppLocker sont en cours d’exécution dans votre environnement de production, exportez les stratégies des objets de stratégie de groupe correspondants et enregistrez-les sur l’appareil de référence. Pour connaître la procédure à suivre, consultez la rubrique Exporter une stratégie AppLocker d’un objet de stratégie de groupe (GPO). Si aucune stratégie AppLocker n’a été déployée, créez les règles et développez les stratégies en utilisant les procédures suivantes :

• Créer une règle qui utilise une condition d’éditeur

• Créer une règle qui utilise une condition hachage de fichier

• Créer une règle qui utilise une condition de chemin d’accès

• Modifier des règles AppLocker

• Ajouter des exceptions pour une règle AppLocker

• Supprimer une règle AppLocker

• Activer le regroupement de règles DLL

• Appliquer des règles AppLocker

Étape 4 : Tester et mettre à jour une stratégie AppLocker sur l’appareil de référence

Vous devez tester chaque ensemble de règles pour vous assurer qu’elles fonctionnent comme prévu. L’applet de commande Test-AppLockerPolicy Windows PowerShell peut être utilisé pour déterminer si les règles de votre regroupement de règles doivent être bloquées sur votre appareil de référence. Suivez cette procédure sur chaque appareil de référence utilisé pour définir la stratégie AppLocker. Assurez-vous que l’appareil de référence est associé au domaine et qu’il reçoit la stratégie AppLocker de l’objet de stratégie de groupe approprié. Étant donné que les règles AppLocker sont héritées des objets de stratégie de groupe liés, vous devez déployer toutes les règles pour tester simultanément l’ensemble de vos objets de stratégie de groupe tests. Pour exécuter cette étape, utilisez les procédures suivantes :

• Tester une stratégie AppLocker avec Test-AppLockerPolicy

• Tester l’effet d’une stratégie AppLocker

Attention  

Si vous avez défini le paramètre d’application du regroupement de règles sur Appliquer les règles ou que vous n’avez pas configuré le regroupement de règles, la stratégie sera appliquée à la mise à jour de l’objet de stratégie de groupe à l’étape suivante. Si vous avez défini le paramètre d’application du regroupement de règles sur Audit uniquement, les événements d’accès aux applications sont écrits dans le journal AppLocker et la stratégie n’est pas appliquée.

 

Étape 5 : Exporter et importer la stratégie en environnement de production

Lorsque la stratégie AppLocker a été testée avec succès, il est possible de l’importer dans l’objet de stratégie de groupe (ou dans des ordinateurs individuels non gérés par la stratégie de groupe) et d’en évaluer l’efficacité. Pour ce faire, exécutez les procédures suivantes :

• Exporter une stratégie AppLocker dans un fichier XML

• Importer une stratégie AppLocker dans un objet de stratégie de groupe (GPO) ou

• Tester l’effet d’une stratégie AppLocker

Si le paramètre d’application de la stratégie AppLocker est défini sur Audit uniquement et que la stratégie répond à vos attentes, vous pouvez le définir sur Appliquer les règles. Pour savoir comment modifier le paramètre d’application, consultez la rubrique Configurer une stratégie AppLocker pour appliquer les règles.

Étape 6 : Surveiller l’effet de la stratégie en environnement de production

Si des ajustements ou des mises à jour supplémentaires sont nécessaires après le déploiement d’une stratégie, utilisez les procédures suivantes pour la surveiller et la mettre à jour :

• Surveiller l’utilisation des applications à l’aide d’AppLocker

• Modifier une stratégie AppLocker

• Actualiser une stratégie AppLocker

Voir aussi

Déployer la stratégie AppLocker en environnement de production