Exercice : activer AppLocker sur une machine virtuelle Windows Server 2016 en cours d’exécution dans Azure

  • 10 minutes

En tant qu’administrateur principal travaillant pour Contoso, vous êtes invité à tester Microsoft AppLocker en cas de déploiement dans votre environnement Azure Virtual Desktop. Dans une entreprise, ce processus est généralement effectué via les objets de stratégie de groupe, Intune ou Configuration Manager. Cet exercice n’inclut pas l’accès à ces outils ou à un contrôleur de domaine Active Directory.

Dans cet exercice, vous allez utiliser une VM Windows Server 2016 en cours d’exécution dans Azure. Comme il ne s’agit pas d’un environnement Azure Virtual Desktop pour le laboratoire, Windows 10 Entreprise n’est pas disponible. Vous allez :

  • Ouvrez Azure Cloud Shell.
  • Créer un groupe de ressources.
  • Déployer une VM Windows Server 2016.
  • Connexion vers la droite.
  • Ajouter un utilisateur.
  • Activez le service AppIDsrv.
  • Désactiver la Configuration de sécurité renforcée d’Internet Explorer.
  • Téléchargez et installez Visual Studio Code 2019.
  • Activez AppLocker.
  • Activez les règles AppLocker par défaut.
  • Testez la configuration AppLocker sur notre VM Windows Server 2016 déployé.
  • Nettoyer les ressources.
  • Essayez une démonstration sur l’utilisation d’AppLocker.

Remarque

Pour effectuer cette unité d’exercices, vous devez avoir un abonnement Azure actif. Si vous effectuez l’exercice, votre abonnement Azure peut entraîner des frais. Pour estimer les coûts, voir Tarification des Machines virtuelles Windows. Les étapes décrites dans ce laboratoire s’écrivent pour un environnement Windows Server 2016.

Vous pouvez définir et déployer des VM sur Azure de plusieurs façons. Cet exercice utilise l’Interface de ligne de commande Azure Cloud Shell.

Ouvrez Azure Cloud Shell

  1. Se connecter au Portail Azure à l’aide de vos informations d’identification Azure.
  2. Sélectionnez l’icône Cloud Shell à côté de la zone de recherche. Une bannière Bienvenue dans Azure Cloud Shell s'ouvre.
  3. Il se peut que vous receviez une invite vous indique que vous n’avez pas monté d’espace de stockage, et vous invite à sélectionner un abonnement et à créer un espace de stockage. Sélectionnez votre abonnement, puis sélectionnez Créer un espace de stockage si vous y êtes invité.
  4. Dans la fenêtre du terminal Azure Cloud Shell, sélectionnez PowerShell en tant qu’environnement.

Créer un groupe de ressources

Il vous faut maintenant créer un nouvel onglet, puis un groupe et un bouton. Un groupe de ressources Azure est un conteneur logique dans lequel les ressources Azure sont déployées et gérées. L’exemple suivant crée un groupe de ressources nommé myResourceGroup à l’émplacement westus. En fonction de votre emplacement, vous pouvez sélectionner une autre option.

  1. Entrez la commande suivante dans l’CLI PowerShell :
az group create -n myResourceGroup -l westus
  1. Vérifiez votre nouveau groupe de ressources à l’aide de la commande suivante. Cette commande récupère le groupe de ressources Azure dans votre abonnement nommé myResourceGroup.
Get-AZResourceGroup -Name myResourceGroup

Déployer une VM Windows Server 2016

  1. Entrez les commandes suivantes dans la fenêtre CLI :
az vm create --resource-group myResourceGroup --name myVM --image win2016datacenter --admin-username myVMadmin

  1. Entrez le mot de passe d’administrateur et confirmez-le lorsque vous y êtes invité.

  2. Lorsque le message En cours s’affiche, l’ordinateur est en cours de déploiement. Le déploiement des ressources Azure devrait prendre 2 à 3 minutes.

    Lorsque le processus est terminé, la sortie suivante s’affiche :

    {- Finished ..
 "fqdns": "",
 "id":"/subscriptions/************/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM",
 "location": "westus",
 "macAddress": "00-0D-3A-5A-75-FA",
 "powerState": "VM running",
 "privateIpAddress": "10.0.0.4",
 "publicIpAddress": "65.52.124.71", 
 "resourceGroup": "myResourceGroup",
 "zones": ""
}

  3. Utilisez l’adresse publique dans votre connexion Bureau à distance. Notez l’adresse avec votre mot de passe d’administrateur.

Connexion vers la droite.

Pour créer une session Bureau à distance à partir de votre ordinateur local, utilisez les étapes suivantes. Remplacez l’adresse IP par l’adresse IP publique de votre VM. Lorsque vous y êtes invité, entrez le nom d’utilisateur d’administrateur spécifié dans la commande PowerShell et le mot de passe associé.

  1. Sur un bureau Windows, entrez mstsc dans la fenêtre de recherche, puis sélectionnez l’application Connexion Bureau à distance.
  2. Sélectionnez Afficher les options. Entrez l’adresse IP du gestionnaire de projets et vos informations d’identification d’administrateur, puis sélectionnez Connexion. Ne choisissez pas d’enregistrer la configuration de connexion.
  3. Si vous recevez un message indiquant L’identité de l’ordinateur à distance ne peut pas être vérifiée. Voulez-vous vous connecter quand même ?, sélectionnez Oui.

Ajouter un utilisateur

L’étape suivante consiste à ajouter un utilisateur standard au server myVM.

  1. Le tableau de bord Windows Server Manager devrait maintenant être disponible. Si ce n’est pas le cas, Démarrer, puis sélectionnez Serveur principal.
  2. Dans le tableau de bord, sélectionnez Outils, puis sélectionnez Gestion informatique.
  3. Sous Outils de système, sélectionnez Utilisateurs et groupes locaux. Cliquez avec le bouton droit sur Utilisateur ou activez son menu raccourci, puis sélectionnez Nouvel utilisateur.
  4. Entrer un nom et une description (facultatif). Entrez et confirmez un mot de passe, et décochez la case L’utilisateur doit changer de mot de passe lors de la prochaine connexion.
  5. Sélectionnez Créer, puis sélectionnez Fermer.
  6. Sélectionnez l’option Groupes , puis recherchez l’option Utilisateurs du Bureau à distance.
  7. Cliquez avec le bouton droit sur Les utilisateurs du Bureau à distance ou activez leur menu raccourci, puis sélectionnez Ajouter aux groupes.
  8. Dans la boîte de dialogue de propriétés Utilisateurs du Bureau à distance, sélectionnez Ajouter.
  9. Ajoutez l’utilisateur standard que vous avez créé précédemment à ce groupe.
  10. Sélectionnez OK.
  11. Fermez la console Gestion d’ordinateur.

Activer le service AppIDsrv

Le service d’identité d’application (AppIDsrv) détermine et vérifie l’identité d’une application. L’arrêt de ce service empêchera l’application des stratégies AppLocker.

  1. Démarrez le Gestionnaire des tâches en cliquant avec le bouton droit sur la barre des tâches, puis sélectionnez Gestionnaire des tâches.

  2. Sélectionnez Plus de détails, puis sélectionnez l’onglet Services .

  3. Faites défiler vers le bas jusqu’à AppIDSvc. Cliquez avec le bouton droit dessus, puis sélectionnez Démarrer.

    Le service AppIDSrv doit à présent avoir le statut En cours.

  4. Fermer le Gestionnaire des tâches.

Désactiver les paramètres de configuration de sécurité renforcée d’Internet Explorer

Pour montrer la puissance d’AppLocker, nous devons désactiver la Configuration de sécurité améliorée. Cette protection est activée par défaut dans Internet Explorer sur Windows Server 2016. Une fois la configuration de sécurité améliorée désactivée, l’accès à Internet n’est pas vérifié.

  1. Dans Gestionnaire de serveur, sélectionnez Serveur local.
  2. Dans le panneau Propriétés, recherchez Configuration de sécurité améliorée d’IE puis sélectionnez le lien Activé.
  3. Pour désactiver la Configuration de sécurité améliorée pour les Administrateurs et les Utilisateurs, en sélectionnant le bouton Désactiver pour chacun d’eux.
  4. Démarrez Internet Explorer. Vous devriez voir le message Configuration de sécurité améliorée d’Internet Explorer n’est pas activée.

Télécharger et installer Visual Studio Code 2019

  1. Téléchargez et installez l’édition Communauté de Visual Studio 2019 sur la page Téléchargements de Visual Studio. Cette édition est gratuite.
  2. Lorsque vous êtes invité à exécuter ou enregistrer le fichier Visual Studio .exe, sélectionnez Exécuter.
  3. Pendant l’installation, acceptez toutes les valeurs par défaut. Sélectionnez Continuer puis Installer lorsque vous y êtes invité lors de l’installation. Vous n’avez pas besoin d’installer de composants supplémentaires pour cet exercice.
  4. Ouvrez Visual Studio pour vous assurer qu’il peut être exécuté. Il n’existe pas de raccourci par défaut sur le Bureau ou la barre des tâches. Visual Studio est dans le menu Démarrer, sous Récemment ajouté.
  5. Fermer Visual Studio.

Activer AppLocker

  1. Dans le Gestionnaire de serveur, sélectionnez Outils, puis sélectionnez Stratégie de sécurité locale.

  2. Sous les Paramètres de sécurité, sélectionnez Stratégies de contrôle d’application.

  3. Développez Stratégies de contrôle d’application, puis sélectionnez AppLocker. L’interface de configuration AppLocker s’affiche.

  4. Sélectionnez Configurer l’application de la règle. Les Propriétés l’AppLocker deviennent disponibles.

  5. Sous l'onglet Mise en conformité, ces règles par défaut ne sont pas activées. Sélectionnez la case Règles exécutables : configuration pour activer les règles exécutables.

    Remarque

    Vérifiez que le paramètre est défini sur Appliquer des règles, et non surAudit uniquement. Le Audit uniquement ne bloque pas les applications, et l’exercice risque de ne pas se faire comme écrit si ce paramètre est sélectionné.

  6. Répétez l’étape précédente pour les règles Windows Installer, les règles de script et les règles de l’application empaqueté.

  7. Sélectionnez OK.

Activer les règles AppLocker par défaut

  1. Dans la consoleStratégie de sécurité locale, sous Paramètre de sécurité>Stratégies de contrôle des applications>AppLocker, cliquez avec le bouton droit sur Règles de l’application packagée. Sélectionnez ensuite Créer des règles par défaut.

    (Règle par défaut) Toutes les applications de package doivent apparaître dans le panneau droit.

  2. Répétez l’étape précédente pour Règles exécutables. Les règles par défaut créées doivent s’y voir.

  3. Dans le panneau gauche, cliquez avec le bouton droit sur règles exécutables, puis sélectionnez Créer une nouvelle règle.

  4. Le panneau Créer des règles exécutables s'affiche. Sélectionnez Suivant.

  5. Sous Actions, sélectionnez Refuser.

  6. Cliquez sur Sélectionner.

  7. Le Sélectionner un utilisateur ou un groupe s'affiche. Dans la zone Entrer le nom de l’objet pour sélectionner, entrez le nom d’utilisateur standard que vous avez créé précédemment.

  8. Sélectionnez Vérifier les noms. Vous devez voir myVM\"nom de connexion de vos utilisateurs standard ».

  9. Cliquez sur le bouton OK.

  10. Sélectionnez Suivant, sélectionnez Chemin, puis sélectionnez Suivant.

  11. Sélectionnez Parcourir les dossiers. L’explorateur fichier Parcourir les dossiers s’affiche.

  12. Sélectionnez Fichiers du programme (x86)>Microsoft Visual Studio>2019. Puis sélectionnez OK.

  13. Le chemin d’accès est %PROGRAMFILES%\Microsoft Visual Studio\2019. Sélectionnez Suivant.

  14. Sélectionnez Suivant dans le panneau Exceptions.

  15. Sélectionnez Créer dans le panneau Nom et description.

    Vous devriez maintenant voir une nouvelle règle de Refus dans le panneau Règles d'exécution.

  16. Fermez la fenêtre Stratégie de sécurité locale.

Tester la configuration d’AppLocker sur un ordinateur VM Windows Server 2016

  1. Connectez-vous à la messagerie VM Windows Server déployée que vous avez configurée, puis connectez-vous à l’aide du compte d’utilisateur standard que vous avez créé précédemment.

    La session Bureau à distance se ferme à l’ouverture de session. Vous devez démarrer une autre session bureau à distance et vous y inscrire à nouveau via le client Bureau à distance, comme décrit précédemment.

  2. Dans le menu Démarrer, sélectionnez Visual Studio 2019.

    Vous devriez voir le message Cette application a été bloquée par votre administrateur système.

Lorsque des règles AppLocker sont appliquées dans l’environnement de production, l’exécution de toutes les applications non incluses dans les règles autorisées est bloquée.

Nettoyer les ressources

Lorsque vous n’en avez plus besoin, vous pouvez utiliser la commande suivante pour supprimer le groupe de ressources, VM et toutes les ressources associées. Remplacez le nom du groupe de ressources par le nom du groupe de ressources que vous avez créé dans votre propre environnement (myResourceGroup). Si vous choisissez de ne pas supprimer ces ressources, vous risquez d’être associé à des coûts.

az group delete --name myResourceGroup

Ce processus prend de 2 à 3 jours.

Démonstration : utiliser AppLocker dans un environnement Azure Virtual Desktop

La vidéo suivante vous montre comment utiliser AppLocker pour sécuriser votre déploiement de Azure Virtual Desktop.