AppLocker

Cet article fournit une description d’AppLocker et peut vous aider à déterminer si votre organization peut tirer parti du déploiement de stratégies de contrôle d’application AppLocker. AppLocker vous permet de contrôler les applications et fichiers que les utilisateurs peuvent exécuter. Cela comprend les fichiers exécutables, les scripts, les fichiers Windows Installer, les bibliothèques de liens dynamiques (DLL), les applications empaquetées et les programmes d’installation d’applications empaquetées. AppLocker est également utilisé par certaines fonctionnalités de Windows Defender Contrôle d’application.

Remarque

AppLocker est une fonctionnalité de sécurité de défense en profondeur qui n’est pas considérée comme une fonctionnalité de sécurité Windows défendable. Windows Defender Contrôle d’application doit être utilisé lorsque l’objectif est de fournir une protection robuste contre une menace et qu’il n’existe aucune limitation par conception qui empêcherait la fonctionnalité de sécurité d’atteindre cet objectif.

Remarque

Par défaut, la stratégie AppLocker s’applique uniquement au code lancé dans le contexte d’un utilisateur. Sur Windows 10, Windows 11 et Windows Server 2016 ou version ultérieure, vous pouvez appliquer la stratégie AppLocker aux processus non-utilisateur, y compris ceux qui s’exécutent en tant que SYSTÈME. Pour plus d’informations, consultez Extensions de collection de règles AppLocker.

AppLocker peut vous aider à effectuer les opérations suivantes :

  • Définir des règles reposant sur les attributs de fichier qui sont conservés entre chaque mise à jour des applications, comme le nom de l’éditeur (dérivé de la signature numérique), le nom du produit, le nom du fichier et la version du fichier. Vous pouvez également créer des règles en fonction du chemin d’accès et du code de hachage.
  • Attribuer une règle à un groupe de sécurité ou à un utilisateur spécifique.
  • Créer des exceptions aux règles. Vous pouvez notamment créer une règle qui autorise l’ensemble des utilisateurs à exécuter tous les fichiers binaires Windows, à l’exception de l’Éditeur du Registre (regedit.exe).
  • Utilisez le mode audit uniquement pour déployer la stratégie et comprendre son effet avant de l’appliquer.
  • Créer des règles sur un serveur intermédiaire, les tester, puis les exporter dans votre environnement de production et les importer dans un objet de stratégie de groupe.
  • Créez et gérez des règles AppLocker à l’aide de Windows PowerShell.

AppLocker permet d’empêcher les utilisateurs d’exécuter des applications non approuvées. AppLocker traite les scénarios de contrôle d’application suivants :

  • Inventaire des applications : AppLocker a la possibilité d’appliquer sa stratégie en mode audit uniquement où toutes les activités de lancement d’application sont autorisées, mais inscrites dans les journaux des événements. Ces événements peuvent être collectés en vue d’une analyse plus approfondie. Les applets de commande Windows PowerShell vous aident également à analyser ces données par programme.
  • Protection contre les logiciels indésirables : AppLocker a la possibilité de refuser l’exécution d’applications lorsque vous les excluez de la liste des applications autorisées. Lorsque des règles AppLocker sont appliquées dans l’environnement de production, l’exécution des applications qui ne sont pas incluses dans les règles autorisées est bloquée.
  • Conformité des licences : AppLocker peut vous aider à créer des règles qui empêchent l’exécution de logiciels sans licence et limitent les logiciels sous licence aux utilisateurs autorisés.
  • Standardisation des logiciels : les stratégies AppLocker peuvent être configurées pour autoriser uniquement les applications prises en charge ou approuvées à s’exécuter sur des ordinateurs au sein d’un groupe d’entreprise. Cette configuration permet un déploiement d’application plus uniforme.

Quand utiliser AppLocker

Dans de nombreuses organisations, les informations constituent la ressource la plus précieuse, c'est pourquoi il est impératif de s'assurer que seuls les utilisateurs approuvés ont accès à ces informations. Les technologies de contrôle d’accès, comme les services AD RMS (Active Directory Rights Management Services) et les listes de contrôle d’accès (ACL), permettent de contrôler quels utilisateurs disposent d’une autorisation d’accès.

Toutefois, lorsqu’un utilisateur exécute un processus, ce dernier bénéficie du même niveau d’accès aux données que celui dont dispose l’utilisateur. Par conséquent, les informations sensibles peuvent facilement être supprimées ou transmises hors du organization si un utilisateur exécute des logiciels non autorisés, y compris des logiciels malveillants. AppLocker permet d’atténuer ces types de problèmes de sécurité en limitant les fichiers que les utilisateurs ou les groupes sont autorisés à exécuter. Étant donné qu’AppLocker peut contrôler les DLL et les scripts, il est également utile de contrôler qui peut installer et exécuter des contrôles ActiveX.

AppLocker constitue la solution idéale pour les organisations qui utilisent actuellement une stratégie de groupe pour gérer leurs PC.

Voici quelques exemples de scénarios dans lesquels AppLocker est utilisable :

  • La stratégie de sécurité de votre organisation stipule de n’utiliser que des logiciels sous licence ; vous devez donc empêcher les utilisateurs d’exécuter tout logiciel sans licence et également restreindre l’utilisation des logiciels sous licence aux utilisateurs autorisés.
  • Une application n’est plus prise en charge par votre organisation ; vous devez donc empêcher quiconque de l’utiliser.
  • Le risque que des logiciels indésirables soient introduits dans votre environnement est élevé ; vous devez donc réduire cette menace.
  • La licence d’une application étant révoquée ou expirée dans votre organization, vous devez empêcher son utilisation par tout le monde.
  • Une nouvelle application ou une nouvelle version d’une application ont été déployées ; vous devez donc empêcher les utilisateurs d’exécuter l’ancienne version.
  • Les outils logiciels spécifiques ne sont pas autorisés dans le organization, ou seuls des utilisateurs spécifiques doivent avoir accès à ces outils.
  • Un seul utilisateur ou un petit groupe d’utilisateurs doivent utiliser une application spécifique qui est bloquée pour tous les autres.
  • Certaines personnes de votre organization qui ont besoin de logiciels différents partagent un ordinateur, et vous devez protéger des applications spécifiques.
  • Outre d’autres mesures, vous devez contrôler l’accès aux données sensibles par le biais de l’utilisation des applications.

AppLocker peut vous aider à protéger les biens numériques dans votre organisation, à réduire la menace d’introduction de logiciels malveillants dans votre environnement, ainsi qu’à améliorer la gestion du contrôle des applications et la maintenance des stratégies de contrôle d’applications.

Installation d’AppLocker

AppLocker est inclus dans toutes les éditions de Windows, à l’exception de Windows 10 version 1809 ou antérieure. Vous pouvez créer des règles AppLocker pour un seul ordinateur ou pour un groupe d’ordinateurs. Dans le cas d’un ordinateur unique, vous pouvez créer des règles à l’aide de l’éditeur de stratégie de sécurité locale (secpol.msc). Dans le cas d’un groupe d’ordinateurs, vous pouvez créer des règles au sein d’un objet de stratégie de groupe à l’aide de la Console de gestion des stratégies de groupe (GPMC).

Remarque

La console GPMC est disponible sur les ordinateurs clients exécutant Windows uniquement en installant les outils d’administration de serveur distant. Sur un ordinateur exécutant Windows Server, vous devez installer la fonctionnalité Gestion des stratégies de groupe.

Utilisation d’AppLocker sur Server Core

Les installations AppLocker sur Server Core ne sont pas prises en charge.

Éléments à prendre en compte en matière de virtualisation

Vous pouvez administrer les stratégies AppLocker à l’aide d’une instance virtualisée de Windows, à condition qu’elle réponde à toutes les exigences système répertoriées précédemment. Vous pouvez également exécuter une stratégie de groupe dans une instance virtualisée. Toutefois, vous risquez de perdre les stratégies que vous créez et gérez si le instance virtualisé est supprimé ou échoue.

Éléments à prendre en compte en matière de sécurité

Les stratégies de contrôle d’applications indiquent les applications autorisées à s’exécuter sur l’ordinateur local. Étant donné les diverses formes que peuvent revêtir les logiciels malveillants, il est difficile pour les utilisateurs de savoir quels logiciels exécuter en toute sécurité. Lorsqu’il est activé, un logiciel malveillant peut endommager le contenu d’un lecteur de disque dur, saturer un réseau avec des demandes d’attaques par déni de service, envoyer des informations confidentielles sur Internet ou compromettre la sécurité d’un ordinateur.

La contre-mesure consiste à créer une conception saine pour vos stratégies de contrôle d’application sur les PC de votre organization. AppLocker peut faire partie intégrante de votre stratégie de contrôle d’applications, car vous pouvez contrôler les logiciels dont l’exécution est autorisée sur vos ordinateurs.

L’implémentation d’une stratégie de contrôle d’applications défectueuse peut désactiver les applications nécessaires ou autoriser l’exécution de logiciels malveillants ou indésirables. Vous devez tester minutieusement les stratégies dans un environnement lab avant de les déployer en production. Il est également important que les organisations consacrent des ressources suffisantes pour gérer et dépanner l’implémentation de ces stratégies.

Pour plus d’informations sur des problèmes de sécurité spécifiques, consultez Considérations relatives à la sécurité pour AppLocker. Lorsque vous utilisez AppLocker pour créer des stratégies de contrôle d’application, tenez compte des aspects suivants en matière de sécurité :

  • Qui est autorisé à définir des stratégies AppLocker ?
  • Comment vérifier la mise en application des stratégies ?
  • Quels événements auditer ?

À titre de référence dans votre planification de la sécurité, le tableau ci-après identifie les paramètres de référence pour un PC sur lequel la fonctionnalité AppLocker est installée :

Paramètre Valeur par défaut
Comptes créés Aucun
Méthode d’authentification Non applicable
Interfaces de gestion AppLocker peut être géré à l’aide d’un composant logiciel enfichable Microsoft Management Console, de Gestion des stratégies de groupe et de Windows PowerShell.
Ports ouverts Aucun
Privilèges minimaux requis Administrateur sur l’ordinateur local ; Administrateur de domaine ou tout autre ensemble de droits vous autorisant à créer, modifier et distribuer des objets de stratégie de groupe.
Protocoles utilisés Non applicable
Tâches planifiées Appidpolicyconverter.exe est placé dans une tâche planifiée à exécuter à la demande.
Stratégies de sécurité Aucune stratégie requise. AppLocker crée les stratégies de sécurité.
Services système requis Le service d’identité de l’application (appidsvc) s’exécute sous LocalServiceAndNoImpersonation.
Stockage des informations d’identification Aucun

Dans cette section

Article Description
Administrer AppLocker Cet article destiné aux professionnels de l’informatique fournit des liens vers des procédures spécifiques à utiliser lors de l’administration des stratégies AppLocker.
Guide de conception AppLocker Cet article pour les professionnels de l’informatique présente les étapes de conception et de planification requises pour déployer des stratégies de contrôle d’application à l’aide d’AppLocker.
Guide de déploiement d’AppLocker Cet article pour les professionnels de l’informatique présente les concepts et décrit les étapes requises pour déployer des stratégies AppLocker.
Informations techniques de référence sur AppLocker Cet article de vue d’ensemble pour les professionnels de l’informatique fournit des liens vers les articles de la référence technique.