Utilisation des règles AppLocker
Cette rubrique destinée aux professionnels de l’informatique décrit les types de règles AppLocker et explique comment les utiliser pour vos stratégies de contrôle des applications.
Dans cette section
Rubrique | Description |
---|---|
Créer une règle qui utilise une condition de hachage de fichier |
Cette rubrique, destinée aux professionnels de l’informatique, explique comment créer une règle AppLocker associée à une condition de hachage de fichier. |
Cette rubrique, destinée aux professionnels de l’informatique, explique comment créer une règle AppLocker associée à une condition de chemin d’accès. |
|
Cette rubrique, destinée aux professionnels de l’informatique, explique comment créer une règle AppLocker associée à une condition d’éditeur. |
|
Cette rubrique, destinée aux professionnels de l’informatique, décrit la procédure à suivre pour créer un ensemble standard de règles AppLocker qui permettent l’exécution des fichiers système Windows. |
|
Cette rubrique, destinée aux professionnels de l’informatique, décrit les étapes permettant de spécifier les applications qui peuvent ou non s’exécuter en tant qu’exceptions à une règle AppLocker. |
|
Cette rubrique, destinée aux professionnels de l’informatique, explique comment créer une règle AppLocker pour les applications empaquetées avec une condition d’éditeur. |
|
Cette rubrique, destinée aux professionnels de l’informatique, décrit la procédure permettant de supprimer une règle AppLocker. |
|
Cette rubrique destinée aux professionnels de l’informatique décrit les procédures de modification d’une règle d’éditeur, d’une règle de chemin d’accès et d’une règle de hachage du fichier dans AppLocker. |
|
Cette rubrique destinée aux professionnels de l’informatique décrit les étapes d’activation de la fonctionnalité de regroupement de règles DLL pour AppLocker. |
|
Cette rubrique destinée aux professionnels de l’informatique décrit comment appliquer des règles de contrôle d’application à l’aide d’AppLocker. |
|
Cette rubrique destinée aux professionnels de l’informatique décrit la procédure d’exécution de l’Assistant de création de règles AppLocker sur un appareil de référence. |
Les trois modes d’application AppLocker sont décrits dans le tableau suivant. Le paramètre de mode d’application défini ici peut être remplacé par le paramètre dérivé à partir d’un objet de stratégie de groupe lié, doté d’une priorité plus élevée.
Mode d’application | Description |
---|---|
Non configuré |
Il s’agit du paramètre par défaut, ce qui signifie que les règles définies ici seront appliquées, sauf si un objet de stratégie de groupe lié avec un niveau de priorité supérieur a une valeur différente pour ce paramètre. |
Appliquer les règles |
Les règles sont appliquées. |
Audit uniquement |
Les règles sont auditées, mais pas appliquées. Lorsqu’un utilisateur exécute une application affectée par une règle AppLocker, l’application est autorisée à s’exécuter et les informations sur l’application sont ajoutées au journal des événements AppLocker. Le mode d’application Audit uniquement vous permet de déterminer quelles applications seront affectées par la stratégie avant la mise en application de la stratégie. Lorsque la stratégie AppLocker d’un regroupement de règles a la valeur Audit uniquement, les règles de ce regroupement de règles ne sont pas appliquées. |
Lorsque les stratégies AppLocker de différents objets de stratégie de groupe sont fusionnées, les règles de tous les objets de stratégie de groupe sont fusionnées et le paramètre du mode d’application de l’objet de stratégie de groupe gagnant est appliqué.
Regroupements de règles
La console AppLocker est organisée en regroupement de règles, à savoir des fichiers exécutables, scripts, fichiers Windows Installer, applications empaquetées et programmes d’installation d’applications empaquetées et fichiers DLL. Ces regroupements vous permettent de différencier aisément les règles pour différents types d’applications. Le tableau suivant répertorie les formats de fichiers inclus dans chaque regroupement de règles.
Regroupement de règles | Formats de fichiers associés |
---|---|
Fichiers exécutables |
.exe .com |
Scripts |
.ps1 .bat .cmd .vbs .js |
Fichiers Windows Installer |
.msi .msp .mst |
Applications empaquetées et programmes d’installation d’applications empaquetées |
.appx |
Fichiers DLL |
.dll .ocx |
Important
Si vous utilisez des règles DLL, vous devez créer une règle d’autorisation pour chaque DLL utilisée par toutes les applications autorisées.
Lorsque des règles DLL sont utilisées, AppLocker doit vérifier chaque DLL chargée par une application. Par conséquent, les utilisateurs peuvent constater une diminution des performances si les règles DLL sont utilisées.
Le regroupement de règles DLL n’est pas activé par défaut. Pour plus d’informations sur l’activation du regroupement de règles DLL, voir Regroupements de règles DLL.
Conditions de règle
Les conditions de règle sont des critères qui aident AppLocker à identifier les applications auxquelles la règle s’applique. Les trois conditions de règles principales sont les suivantes : Éditeur, Chemin d’accès et Hachage du fichier.
Éditeur : identifie une application en fonction de sa signature numérique
Chemin d’accès : identifie une application par son emplacement dans le système de fichiers de l’ordinateur ou sur le réseau
Hachage du fichier : représente le hachage cryptographique calculé par le système du fichier identifié
Éditeur
Cette condition identifie une application en fonction de sa signature numérique et de ses attributs étendus, si disponibles. La signature numérique contient des informations sur la société qui a créé l’application (l’éditeur). Les fichiers exécutables, dll, programmes d’installation Windows, applications empaquetées et programmes d’installation d’applications empaquetées disposent également d’attributs étendus, obtenus à partir de la ressource binaire. Dans le cas de fichiers exécutables, dll et programmes d’installation Windows Installer, ces attributs contiennent le nom du produit dont fait partie le fichier, le nom d’origine du fichier fourni par l’éditeur et le numéro de version du fichier. Dans le cas d’applications empaquetées et de programmes d’installation d’applications empaquetées, ces attributs étendus contiennent le nom et la version du package de l’application.
Remarque
Les règles créées dans le regroupement de règles des applications empaquetées et des programmes d’installation d’applications empaquetées peuvent uniquement reposer sur des conditions d’éditeur, car Windows ne prend pas en charge les applications empaquetées et les programmes d’installation d’applications empaquetées non signés.
Remarque
Utilisez des conditions de règle d’éditeur lorsque cela est possible, car elles restent valides malgré les mises à jour de l’application ou les changements d’emplacement des fichiers.
Lorsque vous sélectionnez un fichier de référence pour une condition d’éditeur, l’Assistant crée une règle qui spécifie l’éditeur, le produit, le nom de fichier et le numéro de version. Vous pouvez rendre la règle plus générique en déplaçant le curseur vers le haut ou en utilisant un caractère générique (*) dans les champs correspondants au produit, nom du fichier ou numéro de version.
Remarque
Pour entrer des valeurs personnalisées pour l’un des champs d’une condition de règle d’éditeur dans l’Assistant Créer des règles, vous devez activer la case à cocher Utiliser des valeurs personnalisées. Lorsque cette case à cocher est activée, vous ne pouvez pas utiliser le curseur.
Les options Version du fichier et Version du package permettent de contrôler si un utilisateur peut exécuter une version spécifique, des versions antérieures ou ultérieures de l’application. Vous pouvez choisir un numéro de version, puis configurer les options suivantes :
Exactement. La règle s’applique uniquement à cette version de l’application.
Et supérieure. La règle s’applique à cette version et à toutes les versions ultérieures.
Et inférieure. La règle s’applique à cette version et à toutes les versions antérieures.
Le tableau suivant décrit le mode d’application d’une condition d’éditeur.
Option | La condition d’éditeur autorise ou refuse... |
---|---|
Tous les fichiers signés |
Tous les fichiers qui sont signés par un éditeur. |
Éditeur uniquement |
Tous les fichiers qui sont signés par l’éditeur nommé. |
Éditeur et nom du produit |
Tous les fichiers pour le produit spécifié qui sont signés par l’éditeur nommé. |
Éditeur, nom du produit et nom du fichier |
Toutes les versions du fichier ou du package nommé pour le produit nommé qui sont signées par l’éditeur. |
Éditeur, nom du produit, nom du fichier et version du fichier |
Exactement La version spécifiée du fichier ou du package nommé pour le produit nommé qui est signée par l’éditeur. |
Éditeur, nom du produit, nom du fichier et version du fichier |
Et supérieure La version spécifiée du fichier ou du package nommé et toutes les nouvelles versions du produit qui sont signées par l’éditeur. |
Éditeur, nom du produit, nom du fichier et version du fichier |
Et inférieure La version spécifiée du fichier ou du package nommé et toutes les versions antérieures du produit qui sont signées par l’éditeur. |
Personnalisée |
Vous pouvez modifier les champs Éditeur, Nom du produit, Nom du fichier, Version Nom du package et Version du package pour créer une règle personnalisée. |
Chemin d’accès
Cette condition de règle identifie une application par son emplacement dans le système de fichiers de l’ordinateur ou sur le réseau.
AppLocker utilise des variables de chemin d’accès personnalisées pour les chemins d’accès bien connus, comme Program Files et Windows.
Le tableau suivant explique en détail ces variables de chemin d’accès.
Répertoire ou disque Windows | Variable de chemin d’accès AppLocker | Variable d’environnement Windows |
---|---|---|
Windows |
%WINDIR% |
%SystemRoot% |
System32 |
%SYSTEM32% |
%SystemDirectory% |
Répertoire d’installation de Windows |
%OSDRIVE% |
%SystemDrive% |
Program Files |
%PROGRAMFILES% |
%ProgramFiles% et %ProgramFiles(x86)% |
Média amovible (par exemple, un CD ou DVD) |
%REMOVABLE% |
|
Dispositif de stockage amovible (par exemple, une clé USB) |
%HOT% |
Important
Dans la mesure où les conditions de règle de chemin d’accès peuvent être configurées pour inclure un grand nombre de dossiers et fichiers, elles doivent être soigneusement planifiées. Par exemple, si une règle Autoriser avec une condition de chemin d’accès comprend un emplacement de dossier accessible en écriture pour les non-administrateurs, un utilisateur peut copier des fichiers non approuvés à cet emplacement et exécuter les fichiers. C’est pourquoi il est recommandé de ne pas créer de conditions de chemin d’accès pour des emplacements accessibles en écriture par des utilisateurs standard, par exemple un profil utilisateur.
Hachage du fichier
Lorsque vous choisissez la condition de règle de hachage du fichier, le système calcule un hachage cryptographique du fichier identifié. L’avantage de cette condition de règle est le suivant : dans la mesure où chaque fichier présente un hachage unique, une condition de règle de hachage du fichier s’applique à un seul fichier. L’inconvénient, c’est qu’à chaque mise à jour du fichier (mise à jour de sécurité ou mise à niveau, par exemple), le hachage du fichier est mis à jour. Vous devez donc mettre à jour manuellement les règles de hachage du fichier.
Règles par défaut AppLocker
AppLocker vous permet de générer des règles par défaut pour chaque regroupement de règles.
Exemples de types de règles d’exécutables par défaut :
Autoriser les membres du groupe Administrateurs local à exécuter toutes les applications.
Autoriser les membres du groupe Tout le monde à exécuter des applications situées dans le dossier Windows.
Autoriser les membres du groupe Tout le monde à exécuter des applications situées dans le dossier Program Files.
Exemples de types de règles de script par défaut :
Autoriser les membres du groupe Administrateurs local à exécuter tous les scripts.
Autoriser les membres du groupe Tout le monde à exécuter des scripts situés dans le dossier Program Files.
Autoriser les membres du groupe Tout le monde à exécuter des scripts situés dans le dossier Windows.
Exemples de types de règles par défaut Windows Installer :
Autoriser les membres du groupe Administrateurs local à exécuter tous les fichiers Windows Installer.
Autoriser les membres du groupe Tout le monde à exécuter tous les fichiers Windows Installer signés numériquement.
Autoriser les membres du groupe Tout le monde à exécuter tous les fichiers Windows Installer situés dans le dossier Windows\Installer.
Types de règles DLL par défaut :
Autoriser les membres du groupe Administrateurs local à exécuter toutes les DLL.
Autoriser les membres du groupe Tout le monde à exécuter des DLL situées dans le dossier Program Files.
Autoriser les membres du groupe Tout le monde à exécuter des DLL situées dans le dossier Windows.
Types de règles par défaut pour les applications empaquetées
- Autoriser les membres du groupe Tout le monde à installer et à exécuter toutes les applications empaquetées et tous les programmes d’installation d’applications empaquetées signés.
Comportement des règles AppLocker
Si aucune règle AppLocker n’existe pour un regroupement de règles spécifique, tous les fichiers présentant ce format de fichier sont autorisés à s’exécuter. Toutefois, quand une règle AppLocker est créée pour un regroupement de règles spécifique, seuls les fichiers explicitement autorisés dans une règle sont autorisés à s’exécuter. Par exemple, si vous créez une règle d’exécutable qui autorise l’exécution de fichiers .exe dans %SystemDrive%\FilePath, seuls les fichiers exécutables situés dans ce chemin d’accès sont autorisés à s’exécuter.
Une règle peut être configurée pour utiliser soit une action Autoriser, soit une action Refuser :
Autoriser. Vous pouvez spécifier les fichiers autorisés à s’exécuter dans votre environnement et pour quels utilisateurs ou groupes d’utilisateurs. Vous pouvez également configurer des exceptions pour identifier les fichiers exclus de cette règle.
Refuser. Vous pouvez spécifier les fichiers qui ne sont not autorisés à s’exécuter dans votre environnement et pour quels utilisateurs ou groupes d’utilisateurs. Vous pouvez également configurer des exceptions pour identifier les fichiers exclus de cette règle.
Important
La meilleure pratique recommandée consiste à utiliser des actions Autoriser avec des exceptions. Vous pouvez utiliser une combinaison d’actions Autoriser et Refuser, mais sachez que les actions Refuser sont prioritaires sur les actions Autoriser dans tous les cas. Il est également possible de les contourner.
Important
Si vous rejoignez un ordinateur exécutant au moins Windows Server 2012 ou Windows 8 à un domaine qui applique déjà des règles AppLocker pour des fichiers exécutables, les utilisateurs ne pourront pas exécuter des applications empaquetées, sauf si vous créez également des règles pour les applications empaquetées. Si vous voulez autoriser les applications empaquetées dans votre environnement tout en continuant de contrôler les fichiers exécutables, vous devez créer les règles par défaut pour les applications empaquetées et définir le mode d’application sur Audit uniquement pour le regroupement de règles d’applications empaquetées.
Exceptions de règles
Vous pouvez appliquer des règles AppLocker à des utilisateurs individuels ou à un groupe d’utilisateurs. Si vous appliquez une règle à un groupe d’utilisateurs, tous les utilisateurs de ce groupe sont affectés par cette règle. Si vous avez besoin d’autoriser un sous-ensemble d’un groupe d’utilisateurs à utiliser une application, vous pouvez créer une règle spéciale pour ce sous-ensemble. Par exemple, la règle « Autoriser tout le monde à exécuter Windows sauf l’Éditeur du Registre » autorise tous les employés de l’organisation à exécuter le système d’exploitation Windows, mais interdit à toute personne d’exécuter l’Éditeur du Registre.
Cette règle empêcherait les membres du support technique d’exécuter un programme qui est nécessaire dans le cadre de leurs opérations de support. Pour résoudre ce problème, vous devez créer une deuxième règle qui s’applique au groupe d’utilisateurs du support technique : « Autoriser le support technique à exécuter l’Éditeur du Registre ». Si vous créez une règle Refuser qui interdit aux utilisateurs d’exécuter l’Éditeur du Registre, cette règle Refuser est prioritaire sur la deuxième règle qui autorise le groupe d’utilisateurs du support technique à exécuter l’Éditeur du Registre.
Regroupement de règles DLL
Étant donné que le regroupement de règles DLL n’est pas activé par défaut, vous devez effectuer la procédure suivante avant de pouvoir créer et appliquer des règles DLL.
Pour effectuer cette procédure, vous devez au minimum être membre du groupe Administrateurs local ou d’un groupe équivalent.
Pour activer le regroupement de règles DLL
Cliquez sur Démarrer, tapez secpol.msc, puis appuyez sur ENTRÉE.
Si la boîte de dialogue Contrôle de compte d’utilisateur apparaît, vérifiez que l’action affichée correspond à l’action souhaitée, puis cliquez sur Oui.
Dans l’arborescence de la console, double-cliquez sur Stratégies de contrôle des applications, cliquez avec le bouton droit sur AppLocker, puis cliquez sur Propriétés.
Cliquez sur l’onglet Avancé, sélectionnez la case à cocher Activer le regroupement de règles DLL, puis cliquez sur OK.
Important
Avant d’appliquer des règles DLL, assurez-vous qu’il existe des règles d’autorisation pour chaque fichier DLL utilisé par les applications autorisées.
Assistants AppLocker
Vous pouvez créer des règles à l’aide de deux Assistants AppLocker :
L’Assistant Créer des règles vous permet de créer une règle à la fois.
L’Assistant Générer automatiquement les règles vous permet de créer plusieurs règles à la fois. Vous pouvez sélectionner un dossier et laisser l’Assistant créer des règles pour les fichiers pertinents dans ce dossier ou bien, dans le cas d’applications empaquetées, laisser l’Assistant créer des règles pour toutes les applications empaquetées installées sur l’ordinateur. Vous pouvez également spécifier l’utilisateur ou le groupe auquel vous souhaitez appliquer les règles. Cet Assistant génère automatiquement des règles Autoriser uniquement.
Considérations supplémentaires
Par défaut, les règles AppLocker ne permettent pas aux utilisateurs d’ouvrir ou d’exécuter les fichiers qui ne sont pas explicitement autorisés. Les administrateurs doivent gérer une liste à jour des applications autorisées.
Il existe deux types de conditions AppLocker qui ne sont pas conservées après la mise à jour d’une application :
Condition de hachage du fichier Les conditions de hachage du fichier peuvent être utilisées avec n’importe quelle application, car une valeur de hachage cryptographique de l’application est générée au moment de la création de la règle. Toutefois, la valeur de hachage est spécifique à cette version particulière de l’application. Si plusieurs versions de l’application sont utilisées au sein de l’organisation, vous devez créer des conditions de hachage du fichier pour chaque version utilisée et pour les nouvelles versions qui sont publiées.
Condition d’éditeur avec une version de produit spécifique définie Si vous créez une condition d’éditeur qui utilise l’option de condition de fichier Exactement, la règle ne persiste pas si une nouvelle version de l’application est installée. Une nouvelle condition d’éditeur doit être créée, ou la version de la règle doit être modifiée pour être moins spécifique.
Si une application n’est pas signée numériquement, vous ne pouvez pas utiliser une condition de règle d’éditeur pour cette application.
Les règles AppLocker ne peuvent pas être utilisées pour gérer des ordinateurs exécutant un système d’exploitation Windows antérieur à Windows Server 2008 R2 ou Windows 7. Des stratégies de restriction logicielle doivent être utilisées à la place. Si des règles AppLocker sont définies dans un objet de stratégie de groupe, seules ces règles sont appliquées. Pour assurer l’interopérabilité entre les règles de stratégies de restriction logicielle et les règles AppLocker, définissez les règles de stratégies de restriction logicielle et les règles AppLocker dans des objets de stratégie de groupe différents.
Le regroupement de règles pour les applications empaquetées et les programmes d’installation d’applications empaquetées est disponible sur les appareils exécutant au moins Windows Server 2012 et Windows 8.
Lorsque les règles du regroupement de règles d’exécutables sont appliquées et que le regroupement de règles pour les applications empaquetées et les programmes d’installation d’applications empaquetées ne contient aucune règle, aucune application empaquetée ou programme d’installation d’applications empaquetées n’est autorisé à s’exécuter. Pour autoriser l’exécution d’applications empaquetées et de programmes d’installation d’applications empaquetées, vous devez créer des règles pour le regroupement de règles pour les applications empaquetées et les programmes d’installation d’applications empaquetées.
Lorsqu’un regroupement de règles AppLocker est défini sur la valeur Audit uniquement, les règles ne sont pas appliquées. Lorsqu’un utilisateur exécute une application qui est incluse dans la règle, l’application s’ouvre et s’exécute normalement et des informations concernant cette application sont ajoutées dans le journal des événements AppLocker.
Une URL configurée personnalisée peut être incluse dans le message qui s’affiche lorsqu’une application est bloquée.
Attendez-vous au départ à une augmentation du nombre d’appels au support technique en raison du blocage des applications. Le volume d’appels devrait décroître au fur et à mesure que les utilisateurs comprennent qu’ils ne peuvent pas exécuter des applications non autorisées.