Share via

Surveiller l’utilisation des applications à l’aide d’AppLocker

Cet article destiné aux professionnels de l’informatique explique comment surveiller l’utilisation des applications lorsque des stratégies AppLocker sont appliquées.

Après avoir déployé des stratégies AppLocker, surveillez leur effet sur les appareils pour vous assurer que les résultats correspondent à vos attentes.

Découvrir l’effet d’une stratégie AppLocker

Vous pouvez évaluer la façon dont la stratégie AppLocker est actuellement implémentée à des fins de documentation ou d’audit, ou avant de modifier la stratégie. La mise à jour de votre document de planification du déploiement de stratégie AppLocker vous aide à suivre vos résultats. Vous pouvez effectuer une ou plusieurs des étapes suivantes pour comprendre quels contrôles d’application sont actuellement appliqués par le biais des règles AppLocker.

  • Analyser les journaux AppLocker dans observateur d'événements

    Lorsque l’application de la stratégie AppLocker est définie sur Appliquer des règles, tous les fichiers qui ne sont pas autorisés par votre stratégie sont bloqués. Dans ce cas, un événement est déclenché dans le journal des événements AppLocker pour la collection de règles. Lorsque l’application de stratégie AppLocker est définie sur Audit uniquement, les règles ne sont pas appliquées, mais elles sont toujours évaluées pour générer des données d’événement d’audit écrites dans les journaux AppLocker.

    Pour plus d’informations sur la procédure d’accès au journal, consultez Afficher le journal AppLocker dans observateur d'événements.

  • Activer le paramètre d’application AppLocker audit uniquement

    En utilisant le paramètre d’application Auditer uniquement, vous pouvez vous assurer que les règles AppLocker sont correctement configurées pour votre organization. Lorsque l’application de la stratégie AppLocker est définie sur Audit uniquement, les règles sont évaluées uniquement, mais tous les événements générés à partir de cette évaluation sont écrits dans le journal AppLocker.

    Pour plus d’informations sur la procédure à suivre pour effectuer cette configuration, consultez Configurer une stratégie AppLocker pour l’audit uniquement.

  • Passer en revue les événements AppLocker avec Get-AppLockerFileInformation

    Pour les abonnements aux événements et les événements locaux, vous pouvez utiliser l’applet de commande Get-AppLockerFileInformation Windows PowerShell pour déterminer quels fichiers ont été bloqués ou seraient bloqués (si vous utilisez le mode d’application audit uniquement) et le nombre de fois où l’événement de blocage s’est produit pour chaque fichier.

    Pour plus d’informations sur la procédure de vérification, consultez Examiner les événements AppLocker avec Get-AppLockerFileInformation.

  • Passer en revue les événements AppLocker avec Test-AppLockerPolicy

    Vous pouvez utiliser l’applet de commande Test-AppLockerPolicy Windows PowerShell pour déterminer si l’une des règles de vos regroupements de règles affecte les fichiers exécutés sur votre appareil de référence ou sur l’appareil sur lequel vous gérez des stratégies.

    Pour plus d’informations sur la procédure à suivre pour effectuer ce test, consultez Tester une stratégie AppLocker à l’aide de Test-AppLockerPolicy.

Passer en revue les événements AppLocker avec Get-AppLockerFileInformation

Pour les abonnements aux événements et les événements locaux, vous pouvez utiliser l’applet de commande Get-AppLockerFileInformation Windows PowerShell pour déterminer quels fichiers ont été bloqués ou seraient bloqués (si le paramètre d’application Auditer uniquement est appliqué) et le nombre de fois où l’événement de blocage s’est produit pour chaque fichier.

L’appartenance au groupe Administrateurs local, ou équivalent, est la condition minimale requise pour effectuer cette procédure.

Remarque

Si les journaux AppLocker ne se trouvent pas sur votre appareil local, vous devez être autorisé à afficher les journaux. Si la sortie est enregistrée dans un fichier, vous devez être autorisé à lire ce fichier.

Pour passer en revue les événements AppLocker avec Get-AppLockerFileInformation

  1. À l’invite de commandes, tapez PowerShell, puis sélectionnez ENTRÉE.

  2. Exécutez la commande suivante pour vérifier le nombre de fois où votre stratégie AppLocker n’a pas autorisé un fichier :

    Get-AppLockerFileInformation -EventLog -EventType Audited -Statistics

  3. Exécutez la commande suivante pour examiner le nombre de fois où un fichier a été autorisé à s’exécuter ou a empêché l’exécution :

    Get-AppLockerFileInformation -EventLog -EventType Allowed -Statistics

Afficher la connexion AppLocker observateur d'événements

Lorsque l’application de la stratégie AppLocker est définie sur Appliquer des règles, tous les fichiers qui ne sont pas autorisés par votre stratégie sont bloqués. Dans ce cas, un événement est déclenché dans le journal des événements AppLocker pour la collection de règles. Lorsque l’application de stratégie AppLocker est définie sur Audit uniquement, les règles ne sont pas appliquées, mais elles sont toujours évaluées pour générer des données d’événement d’audit écrites dans les journaux AppLocker.

L’appartenance au groupe Administrateurs local, ou équivalent, est la condition minimale requise pour effectuer cette procédure.

Pour afficher les événements dans le journal AppLocker à l’aide de observateur d'événements

  1. Pour ouvrir observateur d'événements, accédez au menu Démarrer, tapez eventvwr.msc, puis sélectionnez ENTRÉE.
  2. Dans l’arborescence de la console, sous Journaux des applications et des services\Microsoft\Windows, double-cliquez sur AppLocker.

Les événements AppLocker sont répertoriés dans le journal EXE et DLL , le journal MSI et script , ou le journal application empaquetée -Déploiement ou Application empaquetée-Exécution . Les informations d’événement incluent le paramètre d’application, le nom de fichier, la date et l’heure et le nom d’utilisateur. Les journaux peuvent être exportés vers d’autres formats de fichier pour une analyse plus approfondie.