Utiliser les règles des stratégies de restriction logicielle

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Cette rubrique décrit les procédures qui utilisent des règles de certificat, de chemin, de zone Internet et de hachage à l’aide de stratégies de restriction logicielle.

Introduction

Les stratégies de restriction logicielle permettent de protéger votre environnement informatique contre les logiciels non autorisés en identifiant et en spécifiant les logiciels qui sont autorisés à s’exécuter. Vous pouvez définir un niveau de sécurité par défaut, Non restreint ou Non autorisé pour un objet de stratégie de groupe afin que l’exécution de logiciels soit autorisée ou non autorisée par défaut. Vous pouvez créer des exceptions à ce niveau de sécurité par défaut en créant des règles de stratégies de restriction logicielle pour un logiciel spécifique. Par exemple, si le niveau de sécurité par défaut a la valeur Non autorisé, vous pouvez créer des règles pour autoriser l’exécution de logiciels spécifiques. Les types de règles sont les suivants :

• Règles de certificat

  Pour obtenir des procédures, voir Utilisation des règles de certificat.

• Règles de hachage

  Pour obtenir des procédures, voir Utilisation des règles de hachage.

• Règles de zone Internet

  Pour obtenir des procédures, voir Utilisation des règles de zone Internet.

• Règles de chemins d’accès

  Pour obtenir des procédures, voir Utilisation des règles de chemins d’accès.

Pour plus d’informations sur les autres tâches de gestion des stratégies de restriction logicielle, consultez Administrer les stratégies de restriction logicielle.

Utilisation des règles de certificat

Les stratégies de restriction logicielle peuvent aussi identifier un logiciel par son certificat de signature. Vous pouvez créer une règle de certificat qui identifie le logiciel et autorise ou refuse l’exécution du logiciel, en fonction du niveau de sécurité. Par exemple, vous pouvez utiliser les règles de certificat pour approuver automatiquement les logiciels d’une source approuvée dans un domaine sans intervention de l’utilisateur. Vous pouvez également utiliser des règles de certificat pour exécuter des fichiers dans des zones non autorisées de votre système d’exploitation. Les règles de certificat ne sont pas activées par défaut.

Quand des règles sont créées pour le domaine à l’aide de la stratégie de groupe, vous devez disposer d’autorisations pour créer ou modifier un objet de stratégie de groupe. Si vous créez des règles pour l’ordinateur local, vous devez disposer d’informations d’authentification d’administration sur cet ordinateur.

Pour créer une règle de certificat

1. Ouvrez Stratégies de restriction logicielle.

2. Dans l’arborescence de la console ou le panneau détails, cliquez avec le bouton droit sur Règles additionnelles, puis cliquez sur Nouvelle règle de certificat.

3. Cliquez sur Parcourir, et sélectionnez un certificat ou un fichier signé.

4. Dans Niveau de sécurité, cliquez sur Non autorisé ou Non restreint.

5. Dans Description, tapez une description pour cette règle, puis cliquez sur OK.

Remarque

• Il peut être nécessaire de créer un paramètre de stratégie de restriction logicielle pour l’objet de stratégie de groupe si cela n’est pas encore fait.
• Les règles de certificat ne sont pas activées par défaut.
• Les seuls types de fichiers concernés par les règles de certificat sont ceux qui sont répertoriés dans Types de fichiers désignés dans le volet d’informations des stratégies de restriction logicielle. Une liste de types de fichiers désignés est partagée par toutes les règles.
• Afin que les stratégies de restriction logicielle soient mises en œuvre, les utilisateurs doivent mettre à jour les paramètres de stratégie en se déconnectant, puis en se reconnectant à leur ordinateur.
• Quand plusieurs règles de stratégies de restriction logicielle sont appliquées aux paramètres de stratégie, certaines règles sont prioritaires pour la gestion des conflits.

Activation des règles de certificat

En fonction de votre environnement, différentes procédures existent pour activer les règles de certificat :

• Pour votre ordinateur local

• Pour un objet stratégie de groupe et vous êtes sur un serveur joint à un domaine

• Pour un objet stratégie de groupe, et vous êtes sur un contrôleur de domaine ou sur une station de travail sur laquelle les outils d’administration du serveur distant sont installés

• Pour les seuls contrôleurs de domaine, et vous êtes sur un contrôleur de domaine ou sur une station de travail sur laquelle le pack Outils d’administration du serveur distant est installé

Pour activer les règles de certificat pour votre ordinateur local

1. Ouvrez Paramètres de sécurité locaux.

2. Dans l’arborescence de la console, cliquez sur Options de sécurité, situées sous Paramètres de sécurité / Stratégies locales.

3. Dans le volet d’informations, double-cliquez sur Paramètres système : utiliser les règles de certificat avec les exécutables Windows pour les stratégies de restriction logicielle.

4. Effectuez les actions suivantes, puis cliquez sur OK :

   • Pour activer les règles de certificat, cliquez sur Activé.

   • Pour désactiver les règles de certificat, cliquez sur Désactivé.

Pour activer les règles de certificat pour un objet stratégie de groupe, et vous êtes sur un serveur joint à un domaine

1. Ouvrez la console MMC.

2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, puis sur Ajouter.

3. Cliquez sur Éditeur d’objet de stratégie de groupe locale., puis sur Ajouter.

4. Dans Sélectionner un objet de stratégie de groupe, cliquez sur Parcourir.

5. Dans Rechercher un objet Stratégie de groupe, sélectionnez un objet de stratégie de groupe(GPO) dans le domaine, site, ou unité d’organisation approprié (ou créez-en un), puis cliquez sur Terminer.

6. Cliquez sur Fermer, puis sur OK.

7. Dans l’arborescence de la console, cliquez sur Options de sécurité sous GroupPolicyObject [NomOrdinateur] Stratégie/Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies locales.

8. Dans le volet d’informations, double-cliquez sur Paramètres système : utiliser les règles de certificat avec les exécutables Windows pour les stratégies de restriction logicielle.

9. Si ce paramètre de stratégie n’a pas encore été défini, activez la case à cocher Définir ces paramètres de stratégie.

10. Effectuez les actions suivantes, puis cliquez sur OK :

    • Pour activer les règles de certificat, cliquez sur Activé.

    • Pour désactiver les règles de certificat, cliquez sur Désactivé.

Pour activer des règles de certificat pour un objet stratégie de groupe, et vous êtes sur un contrôleur de domaine ou sur une station de travail sur laquelle les outils d’administration du serveur distant sont installés

1. Ouvrez Utilisateurs et ordinateurs Active Directory.

2. Dans l’arborescence de la console, cliquez avec le bouton droit sur l’objet de stratégie de groupe pour lequel vous voulez activer les règles de certificat.

3. Cliquez sur Propriétés, puis sur l’onglet Stratégie de groupe.

4. Cliquez sur Modifier pour ouvrir l’objet de stratégie de groupe à modifier. Vous pouvez également cliquer sur Nouveau pour créer un objet de stratégie de groupe, puis cliquez sur Modifier.

5. Dans l’arborescence de la console, cliquez sur Options de sécurité sous GroupPolicyObject [NomOrdinateur] Stratégie/Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies locales.

6. Dans le volet d’informations, double-cliquez sur Paramètres système : utiliser les règles de certificat avec les exécutables Windows pour les stratégies de restriction logicielle.

7. Si ce paramètre de stratégie n’a pas encore été défini, activez la case à cocher Définir ces paramètres de stratégie.

8. Effectuez les actions suivantes, puis cliquez sur OK :

   • Pour activer les règles de certificat, cliquez sur Activé.

   • Pour désactiver les règles de certificat, cliquez sur Désactivé.

Pour activer les règles de certificat pour uniquement les contrôleurs de domaine, et vous êtes sur un contrôleur de domaine ou sur une station de travail sur laquelle les outils d’administration du serveur distant sont installés

1. Ouvrez Paramètres de sécurité du contrôleur de domaine.

2. Dans l’arborescence de la console, cliquez sur Options de sécurité sous Stratégie [NomOrdinateur]GroupPolicyObject/Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies locales.

3. Dans le volet d’informations, double-cliquez sur Paramètres système : utiliser les règles de certificat avec les exécutables Windows pour les stratégies de restriction logicielle.

4. Si ce paramètre de stratégie n’a pas encore été défini, activez la case à cocher Définir ces paramètres de stratégie.

5. Effectuez les actions suivantes, puis cliquez sur OK :

   • Pour activer les règles de certificat, cliquez sur Activé.

   • Pour désactiver les règles de certificat, cliquez sur Désactivé.

Notes

Vous devez effectuer cette procédure avant la mise en œuvre des règles de certificat.

Définir des options d’éditeur approuvé

La signature de logiciel est utilisée par un nombre croissant d’éditeurs de logiciels et de développeurs d’applications pour vérifier que leurs applications proviennent d’une source de confiance. Cependant, beaucoup d’utilisateurs ne comprennent pas ou ne font pas vraiment attention à la signature des certificats associés aux applications qu’ils installent.

Les paramètres de stratégie sous l’onglet Éditeurs approuvés de la stratégie de validation du chemin d’accès du certificat permettent aux administrateurs de contrôler les certificats qui peuvent être acceptés comme provenant d’un éditeur approuvé.

Pour configurer les paramètres de stratégie des éditeurs approuvés pour un ordinateur local

1. Dans l’écran Démarrer, entrez gpedit.msc, puis appuyez sur Entrée.

2. Dans l’arborescence de la console, sous Stratégie de l’ordinateur local\Configuration ordinateur\Paramètres Windows\Paramètres de sécurité, cliquez sur Stratégies de clé publique.

3. Double-cliquez sur Paramètres de validation du chemin d’accès de certificat, puis cliquez sur l’onglet Éditeurs approuvés.

4. Activez la case à cocher Définir ces paramètres de stratégie, sélectionnez les paramètres de stratégie à appliquer, puis cliquez sur OK pour appliquer les nouveaux paramètres.

Pour configurer les paramètres de stratégie des éditeurs approuvés pour un domaine

1. Ouvrez Gestion des stratégies de groupe.

2. Dans l’arborescence de la console, double-cliquez sur Objets de stratégie de groupe dans la forêt et le domaine qui contiennent l’objet de stratégie de groupeStratégie de domaine par défaut que vous souhaitez modifier.

3. Cliquez avec le bouton droit sur l’objet Stratégie de domaine par défaut, puis cliquez sur Modifier.

4. Dans l’arborescence de la console, sous Configuration ordinateur\Paramètres Windows\Paramètres de sécurité, cliquez sur Stratégies de clé publique.

5. Double-cliquez sur Paramètres de validation du chemin d’accès de certificat, puis cliquez sur l’onglet Éditeurs approuvés.

6. Activez la case à cocher Définir ces paramètres de stratégie, sélectionnez les paramètres de stratégie à appliquer, puis cliquez sur OK pour appliquer les nouveaux paramètres.

Pour n’autoriser que les administrateurs à gérer des certificats utilisés pour la signature du code pour un ordinateur local

1. Dans l’écran Démarrer, entrez gpedit.msc dans Rechercher des programmes et des fichiers ou dans Windows 8, sur le Bureau, puis appuyez sur Entrée.

2. Dans l’arborescence de la console, sous Stratégie de domaine par défaut ou Stratégie de l’ordinateur local, double-cliquez sur Configuration ordinateur, Paramètres Windows et Paramètres de sécurité, puis cliquez sur Stratégies de clé publique.

3. Double-cliquez sur Paramètres de validation du chemin d’accès de certificat, puis cliquez sur l’onglet Éditeurs approuvés.

4. Activez la case à cocher Définir ces paramètres de stratégie.

5. Sous Gestion des éditeurs approuvés, cliquez sur Autoriser seulement tous les administrateurs à gérer les éditeurs approuvés, puis cliquez sur OK pour appliquer les nouveaux paramètres.

Pour n’autoriser que les administrateurs à gérer des certificats utilisés pour la signature du code pour un domaine

1. Ouvrez Gestion des stratégies de groupe.

2. Dans l’arborescence de la console, double-cliquez sur Objets de stratégie de groupe dans la forêt et le domaine qui contiennent le GPO Stratégie de domaine par défaut que vous souhaitez modifier.

3. Cliquez avec le bouton droit sur l’objet Stratégie de domaine par défaut, puis cliquez sur Modifier.

4. Dans l’arborescence de la console, sous Configuration ordinateur\Paramètres Windows\Paramètres de sécurité, cliquez sur Stratégies de clé publique.

5. Double-cliquez sur Paramètres de validation du chemin d’accès de certificat, puis cliquez sur l’onglet Éditeurs approuvés.

6. Activez la case à cocher Définir ces paramètres de stratégie, effectuez les modifications de votre choix, puis cliquez sur OK pour appliquer les nouveaux paramètres.

Utilisation des règles de hachage

Un hachage est une série d’octets de longueur fixe qui identifie de façon unique un programme logiciel ou un fichier. Le hachage est calculé par un algorithme de hachage. Quand une règle de hachage est créée pour un programme logiciel, les stratégies de restriction logicielle calculent un hachage du programme. Quand un utilisateur essaie d’ouvrir un programme logiciel, un hachage du programme est comparé aux règles de hachage existantes pour les stratégies de restriction logicielle. Le hachage d’un programme logiciel est toujours le même, quel que soit l’emplacement du programme sur l’ordinateur. Cependant, si un programme logiciel est modifié, son hachage change, et il ne correspond plus au hachage de la règle de hachage pour les stratégies de restriction logicielle.

Par exemple, vous pouvez créer une règle de hachage et définir le niveau de sécurité à Non autorisé pour empêcher l’exécution d’un fichier spécifique par les utilisateurs. Un fichier peut être renommé ou déplacé dans un autre dossier, cela ne change pas le hachage. Cependant, les modifications apportées au fichier lui-même changent la valeur de hachage du fichier et ce qui peut permettre au fichier de contourner les restrictions.

Pour créer une règle de hachage

1. Ouvrez Stratégies de restriction logicielle.

2. Dans l’arborescence de la console ou le panneau Détails, cliquez avec le bouton droit sur Règles additionnelles, puis cliquez sur Nouvelle règle de hachage.

3. Cliquez sur Parcourir pour rechercher un fichier.

   Remarque

   Dans Windows XP, il est possible de coller un hachage pré-calculé dans Le hachage de fichier. Dans Windows Server 2008 R2 , Windows 7 et versions ultérieures, cette option n’est pas disponible.

4. Dans Niveau de sécurité, cliquez sur Non autorisé ou Non restreint.

5. Dans Description, tapez une description pour cette règle, puis cliquez sur OK.

Notes

• Il peut être nécessaire de créer un paramètre de stratégie de restriction logicielle pour l’objet de stratégie de groupe si cela n’est pas encore fait.
• Une règle de hachage peut être créée pour un virus ou un cheval de Troie afin d’empêcher son exécution.
• Si vous voulez que d’autres personnes utilisent une règle de hachage afin qu’un virus ne puisse pas s’exécuter, calculez le hachage du virus en utilisant les stratégies de restriction logicielle, puis envoyez par e-mail la valeur de hachage à d’autres personnes. Ne jamais envoyer d’e-mail au virus lui-même.
• Si un virus a été envoyé par e-mail, vous pouvez également créer une règle de chemin d’accès pour empêcher l’exécution des pièces jointes de message électronique.
• Un fichier peut être renommé ou déplacé dans un autre dossier, cela ne change pas le hachage. Si le fichier lui-même est modifié, le hachage change.
• Les seuls types de fichiers concernés par les règles de hachage sont ceux qui sont répertoriés dans Types de fichiers désignés dans le volet d’informations des stratégies de restriction logicielle. Une liste de types de fichiers désignés est partagée par toutes les règles.
• Afin que les stratégies de restriction logicielle soient mises en œuvre, les utilisateurs doivent mettre à jour les paramètres de stratégie en se déconnectant, puis en se reconnectant à leur ordinateur.
• Quand plusieurs règles de stratégies de restriction logicielle sont appliquées aux paramètres de stratégie, certaines règles sont prioritaires pour la gestion des conflits.

Utilisation des règles de zone Internet

Les règles de zone Internet s’appliquent uniquement aux packages Windows Installer. Une règle de zone peut identifier un logiciel d’une zone spécifiée dans Internet Explorer. Ces zones sont Internet, Intranet local, Sites sensibles, Sites de confiance et Mon ordinateur. Une règle de zone Internet est conçue pour empêcher le téléchargement et l’installation de logiciels.

Pour créer une règle de zone Internet

1. Ouvrez Stratégies de restriction logicielle.

2. Dans l’arborescence de la console ou dans le panneau Détails, cliquez avec le bouton droit sur Règles additionnelles, puis cliquez sur Nouvelle règle de zone Internet.

3. Dans Zone Internet, cliquez sur une zone Internet.

4. Dans Niveau de sécurité, cliquez sur Non autorisé ou Non restreint, puis cliquez sur OK.

Notes

• Il peut être nécessaire de créer un paramètre de stratégie de restriction logicielle pour l’objet de stratégie de groupe si cela n’est pas encore fait.
• Les règles de zone s’appliquent uniquement aux fichiers de type .msi, qui sont des packages Windows Installer.
• Afin que les stratégies de restriction logicielle soient mises en œuvre, les utilisateurs doivent mettre à jour les paramètres de stratégie en se déconnectant, puis en se reconnectant à leur ordinateur.
• Quand plusieurs règles de stratégies de restriction logicielle sont appliquées aux paramètres de stratégie, certaines règles sont prioritaires pour la gestion des conflits.

Utilisation des règles de chemin d’accès

Une règle de chemin d’accès identifie un logiciel par le chemin du fichier. Par exemple, si le niveau de sécurité par défaut de votre ordinateur est Non autorisé, vous pouvez tout de même accorder un accès illimité à un dossier spécifique pour chaque utilisateur. Vous pouvez créer une règle de chemin d’accès en utilisant le chemin du fichier et en définissant le niveau de sécurité de la règle de chemin d’accès à Non restreint. Certains chemins d’accès courants pour ce type de règle sont %userprofile%, %windir%, %appdata%, %programfiles%, et %temp%. Vous pouvez également créer des règles de chemin d’accès du registre qui utilisent la clé de registre du logiciel comme chemin.

Comme ces règles sont indiquées par leur chemin, si un programme logiciel est déplacé, la règle de chemin d’accès ne s’applique plus.

Pour créer une règle de chemin d’accès

1. Ouvrez Stratégies de restriction logicielle.

2. Dans l’arborescence de la console ou le panneau Détails, cliquez avec le bouton droit sur Règles additionnelles, puis cliquez sur Nouvelle règle de tracé.

3. Dans Chemin d’accès, tapez un chemin ou cliquez sur Parcourir pour trouver un fichier ou un dossier.

4. Dans Niveau de sécurité, cliquez sur Non autorisé ou Non restreint.

5. Dans Description, tapez une description pour cette règle, puis cliquez sur OK.

Attention

• Sur certains dossiers (tels que le dossier Windows), la définition du niveau de sécurité à Non autorisé peut avoir un impact néfaste sur le fonctionnement du système d’exploitation. Assurez-vous de ne pas refuser l’accès à un composant vital du système d’exploitation ou à l’un de ses programmes.

Notes

• Il peut être nécessaire de créer des stratégies de restriction logicielle pour l’objet de stratégie de groupe si cela n’est pas encore fait.
• Si vous créez une règle de chemin d’accès avec un niveau de sécurité Non autorisé, les utilisateurs peuvent toujours exécuter le logiciel en le copiant à un autre emplacement.
• Les caractères génériques * et ? sont pris en charge par la règle de chemin d’accès.
• Vous pouvez utiliser les variables d’environnement, tels que %programfiles% ou %systemroot%, dans la règle de chemin d’accès.
• Si vous voulez créer une règle de chemin d’accès pour un logiciel quand vous ne savez pas où il est stocké sur un ordinateur, mais que vous connaissez sa clé de registre, vous pouvez créer une règle de chemin d’accès de registre.
• Pour que les utilisateurs n’exécutent pas des pièces jointes de message électronique, vous pouvez créer une règle de chemin d’accès pour le répertoire des pièces jointes de votre programme de messagerie, qui bloque l’exécution des pièces jointes de message électronique.
• Les seuls types de fichiers concernés par les règles de chemin d’accès sont ceux qui sont répertoriés dans Types de fichiers désignés dans le volet d’informations des stratégies de restriction logicielle. Une liste de types de fichiers désignés est partagée par toutes les règles.
• Afin que les stratégies de restriction logicielle soient mises en œuvre, les utilisateurs doivent mettre à jour les paramètres de stratégie en se déconnectant, puis en se reconnectant à leur ordinateur.
• Quand plusieurs règles de stratégies de restriction logicielle sont appliquées aux paramètres de stratégie, certaines règles sont prioritaires pour la gestion des conflits.

Pour créer une règle de chemin d’accès de registre

1. Sur l’écran Démarrer, entrez regedit.

2. Dans l’arborescence de la console, cliquez avec le bouton droit sur la clé de registre pour laquelle vous voulez créer une règle, puis cliquez sur Copier le nom de la clé. Notez le nom de la valeur dans le volet d’informations.

3. Ouvrez Stratégies de restriction logicielle.

4. Dans l’arborescence de la console ou le panneau Détails, cliquez avec le bouton droit sur Règles additionnelles, puis cliquez sur Nouvelle règle de tracé.

5. Dans Tracé, collez la clé de registre, suivie par le nom de la valeur.

6. Encerclez le chemin d'accès au registre par des signes de pourcentage (%), par exemple, %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%.

7. Dans Niveau de sécurité, cliquez sur Non autorisé ou Non restreint.

8. Dans Description, tapez une description pour cette règle, puis cliquez sur OK.