Gérer les stratégies AppLocker
Cet article explique comment gérer des règles dans les stratégies AppLocker.
Les scénarios de maintenance AppLocker courants sont les suivants :
- Une nouvelle application est déployée et vous devez mettre à jour une stratégie AppLocker.
- Une nouvelle version d’une application est déployée et vous devez mettre à jour une stratégie AppLocker ou créer une règle pour mettre à jour la stratégie.
- Une application n’étant plus prise en charge par votre organization, vous devez empêcher son utilisation.
- Une application semble bloquée, mais doit être autorisée.
- Une application semble autorisée, mais doit être bloquée.
- Un seul utilisateur ou un petit sous-ensemble d’utilisateurs doit utiliser une application spécifique qui est bloquée.
Il existe trois méthodes que vous pouvez utiliser pour gérer les stratégies AppLocker :
- Gestion des stratégies AppLocker à l’aide de Mobile Gestion des appareils (MDM)
- Gestion des stratégies AppLocker à l’aide de stratégie de groupe
- Gestion des stratégies AppLocker sur l’ordinateur local
Gestion des stratégies AppLocker à l’aide de Mobile Gestion des appareils (MDM)
À l’aide du fournisseur de services de configuration AppLocker, vous pouvez sélectionner les applications autorisées ou bloquées. À l’aide du fournisseur de solutions Cloud, vous pouvez configurer des restrictions d’application en fonction du regroupement (par exemple, EXE, MSI, DLL, applications du Store, etc.), puis choisir comment appliquer différentes stratégies pour différentes applications.
Pour plus d’informations, consultez le fournisseur de services de configuration AppLocker.
Gestion des stratégies AppLocker à l’aide de stratégie de groupe
Pour chaque scénario, les étapes de maintenance d’une stratégie AppLocker distribuée par stratégie de groupe incluent les tâches suivantes.
À mesure que de nouvelles applications sont déployées et que les applications existantes sont mises à jour ou mises à jour, vous devrez peut-être mettre à jour les règles dans l’objet stratégie de groupe (GPO) pour maintenir votre stratégie à jour.
Vous pouvez modifier une stratégie AppLocker en ajoutant, en modifiant ou en supprimant des règles. Toutefois, vous ne pouvez pas spécifier une version pour la stratégie AppLocker en important d’autres règles. Pour garantir le contrôle de version lors de la modification d’une stratégie AppLocker, utilisez stratégie de groupe logiciel de gestion qui vous permet de créer des versions d’objets de stratégie de groupe.
Important
Vous devez éviter de modifier une collection de règles AppLocker lorsqu’elle est appliquée dans stratégie de groupe. Étant donné qu’AppLocker contrôle les fichiers autorisés à s’exécuter, le fait d’apporter des modifications à une stratégie active peut entraîner un comportement inattendu.
Étape 1 : Comprendre le comportement actuel de la stratégie à partir de l’objet de stratégie de groupe
Avant de modifier une stratégie, évaluez la façon dont la stratégie est actuellement implémentée. Par exemple, si une nouvelle version de l’application est déployée, vous pouvez utiliser Test-AppLockerPolicy pour vérifier l’efficacité de votre stratégie actuelle pour cette application.
Étape 2 : Exporter la stratégie AppLocker à partir de l’objet de stratégie de groupe
La mise à jour d’une stratégie AppLocker actuellement appliquée dans votre environnement de production peut avoir des résultats inattendus. Par conséquent, exportez la stratégie à partir de l’objet de stratégie de groupe et mettez à jour la ou les règles à l’aide d’AppLocker sur votre ordinateur de référence ou de test AppLocker. Pour préparer une stratégie AppLocker en vue de sa modification, consultez Exporter une stratégie AppLocker à partir d’un objet de stratégie de groupe.
Étape 3 : Mettre à jour la stratégie AppLocker en modifiant la règle AppLocker appropriée
Une fois que vous avez exporté la stratégie AppLocker à partir de l’objet de stratégie de groupe vers l’ordinateur de référence ou de test AppLocker, ou que vous avez accédé à la stratégie sur l’ordinateur local, les règles peuvent être modifiées en fonction des besoins.
Pour modifier les règles AppLocker, consultez les articles suivants :
- Modifier des règles AppLocker
- Fusionner des stratégies AppLocker à l’aide de Set-ApplockerPolicy ou fusionner manuellement des stratégies AppLocker
- Supprimer une règle AppLocker
- Appliquer des règles AppLocker
Étape 4 : Tester la stratégie AppLocker
Vous devez tester chaque collection de règles pour vous assurer que les règles fonctionnent comme prévu. (Étant donné que les règles AppLocker sont héritées des objets de stratégie de groupe liés, vous devez déployer toutes les règles pour les tests simultanés dans tous les objets de stratégie de groupe de test.) Pour connaître les étapes à suivre pour effectuer ce test, consultez Tester et mettre à jour une stratégie AppLocker.
Étape 5 : Importer la stratégie AppLocker dans l’objet de stratégie de groupe
Après le test, réimportez la stratégie AppLocker dans l’objet de stratégie de groupe pour implémentation. Pour mettre à jour l’objet de stratégie de groupe avec une stratégie AppLocker modifiée, consultez Importer une stratégie AppLocker dans un objet de stratégie de groupe.
Étape 6 : Surveiller le comportement de stratégie résultant
Après avoir déployé une stratégie, évaluez l’efficacité de la stratégie.
Gestion des stratégies AppLocker à l’aide du composant logiciel enfichable Stratégie de sécurité locale
Pour chaque scénario, les étapes de maintenance d’une stratégie AppLocker à l’aide du composant logiciel enfichable Stratégie de groupe Rédacteur local ou Stratégie de sécurité locale incluent les tâches suivantes.
Étape 1 : Comprendre le comportement actuel de la stratégie
Avant de modifier une stratégie, évaluez la façon dont la stratégie est actuellement implémentée.
Étape 2 : Mettre à jour la stratégie AppLocker en modifiant la règle AppLocker appropriée
Les règles sont regroupées dans une collection, qui peut être appliquée au paramètre d’application de stratégie. Par défaut, les règles AppLocker n’autorisent pas les utilisateurs à ouvrir ou à exécuter des fichiers qui ne sont pas autorisés.
Pour modifier les règles AppLocker, consultez l’article approprié répertorié sur Administrer AppLocker.
Étape 3 : Tester la stratégie AppLocker
Vous devez tester chaque collection de règles pour vous assurer que les règles fonctionnent comme prévu. Pour connaître les étapes à suivre pour effectuer ce test, consultez Tester et mettre à jour une stratégie AppLocker.
Étape 4 : Déployer la stratégie avec la règle modifiée
Vous pouvez exporter, puis importer des stratégies AppLocker pour déployer la stratégie sur d’autres ordinateurs exécutant Windows 8 ou une version ultérieure. Pour effectuer cette tâche, consultez Exporter une stratégie AppLocker vers un fichier XML et Importer une stratégie AppLocker à partir d’un autre ordinateur.
Étape 5 : Surveiller le comportement de stratégie résultant
Après avoir déployé une stratégie, évaluez l’efficacité de la stratégie.
Autres ressources
- Pour connaître les étapes permettant d’effectuer d’autres tâches de stratégie AppLocker, consultez Administrer AppLocker.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour