Sélectionner les types de règles à créer
Cet article répertorie les ressources à utiliser lors de la création de vos règles de stratégie de contrôle d’application à l’aide d’AppLocker.
Lorsque vous déterminez les types de règles à créer pour chacun de vos groupes, vous devez également déterminer le paramètre d’application à utiliser pour chaque groupe. Les différents types de règles sont plus applicables à certaines applications, selon la façon dont les applications sont déployées dans un groupe d’entreprise spécifique.
Les articles suivants fournissent des informations supplémentaires sur les règles AppLocker qui peuvent vous aider à déterminer les règles à utiliser pour vos applications :
- Présentation du comportement des règles AppLocker
- Présentation des exceptions de règles AppLocker
- Présentation des regroupements de règles AppLocker
- Présentation des actions d’autorisation et de refus des règles AppLocker
- Présentation des types de conditions de règle AppLocker
- Présentation des règles par défaut AppLocker
Sélectionner la collection de règles
Les regroupements de règles que vous utilisez dépendent des types de fichiers que vous souhaitez contrôler, notamment :
- Fichiers exécutables : .exe et .com
- Fichiers Windows Installer : .msi, .msp et .mst
- Scripts : .ps1, .bat, .cmd, .vbs et .js
- Applications empaquetées et programmes d’installation d’applications empaquetées : .appx
- DLL : .dll et .ocx
Par défaut, les règles autorisent l’exécution d’un fichier en fonction des privilèges d’utilisateur ou de groupe. Si vous utilisez des règles DLL, une règle d’autorisation DLL doit être créée pour chaque DLL utilisée par toutes les applications autorisées. La collection de règles DLL n’est pas activée par défaut.
Dans l’exemple Woodgrove Bank, l’application métier pour le groupe d’activités Bank Tellers est C :\Program Files\Woodgrove\Teller.exe, et cette application doit être incluse dans une règle. En outre, étant donné que cette règle fait partie d’une liste d’applications autorisées, tous les fichiers Windows sous C :\Windows doivent également être inclus.
Déterminer la condition de règle
Une condition de règle est un critère sur lequel une règle AppLocker est basée et ne peut être qu’une des conditions de règle dans le tableau suivant.
| Condition de règle | Scénario d’utilisation | Ressources |
|---|---|---|
| Éditeur | Pour utiliser une condition d’éditeur, l’éditeur de logiciels doit signer numériquement ses fichiers, ou vous devez le faire à l’aide d’un certificat d’organisation. Les règles spécifiées au niveau de la version doivent peut-être être mises à jour lorsqu’une nouvelle version du fichier est publiée. | Pour plus d’informations sur cette condition de règle, consultez Présentation de la condition de règle d’éditeur dans AppLocker. |
| Chemin d'accès | Cette condition de règle peut être affectée à n’importe quel fichier. Toutefois, étant donné que les règles de chemin d’accès spécifient des emplacements dans le système de fichiers, la règle s’applique à n’importe quel sous-répertoire (sauf exception explicite). | Pour plus d’informations sur cette condition de règle, consultez Présentation de la condition de règle de chemin d’accès dans AppLocker. |
| Hachage de fichier | Cette condition de règle peut être affectée à n’importe quel fichier. Toutefois, la règle doit être mise à jour chaque fois qu’une nouvelle version du fichier est publiée, car la valeur de hachage change. | Pour plus d’informations sur cette condition de règle, consultez Présentation de la condition de règle de hachage de fichier dans AppLocker. |
Dans l’exemple Woodgrove Bank, l’application métier pour le groupe d’activités Bank Tellers est signée et se trouve à l’adresse C :\Program Files\Woodgrove\Teller.exe. Par conséquent, la règle peut être définie avec une condition d’éditeur.
Déterminer comment autoriser l’exécution des fichiers système
Étant donné que les règles AppLocker créent une liste d’applications autorisées, des règles doivent être créées pour autoriser l’exécution de tous les fichiers Windows. Vous pouvez générer les règles par défaut d’AppLocker pour chaque collection de règles afin de garantir l’exécution des applications système. Vous pouvez utiliser ces règles par défaut (répertoriées dans les règles par défaut AppLocker) comme modèle lors de la création de vos propres règles. Toutefois, ces règles sont destinées à fonctionner comme une stratégie de démarrage uniquement lorsque vous testez pour la première fois les règles AppLocker afin que les fichiers système dans les dossiers Windows s’exécutent. Lorsqu’une règle par défaut est créée, son nom commence par « (Règle par défaut) » dans la collection de règles.
Vous pouvez également créer une règle pour les fichiers système en fonction de la condition de chemin d’accès. Dans l’exemple précédent, pour le groupe Bank Tellers, tous les fichiers Windows se trouvent sous C :\Windows et peuvent être définis avec le type de condition de règle de chemin d’accès. Cette règle autorise l’accès à ces fichiers chaque fois que des mises à jour sont appliquées et que les fichiers changent. Si vous avez besoin de davantage de sécurité d’application, vous devrez peut-être modifier les règles créées à partir de la collection de règles par défaut intégrée. Par exemple, la règle par défaut permettant à tous les utilisateurs d’exécuter des fichiers .exe dans le dossier Windows est basée sur une condition de chemin d’accès qui autorise l’exécution de tous les fichiers du dossier Windows. Le dossier Windows contient un sous-dossier Temp pour lequel le groupe Utilisateurs dispose des autorisations suivantes :
- Parcourir le dossier/exécuter le fichier
- Créer des fichiers/écrire des données
- Créer des dossiers/Ajouter des données
Ces paramètres d’autorisations sont appliqués à ce dossier pour la compatibilité des applications. Toutefois, étant donné que tout utilisateur peut créer des fichiers à cet emplacement, autoriser l’exécution des applications à partir de cet emplacement peut entrer en conflit avec la stratégie de sécurité de votre organization.
Étapes suivantes
Après avoir sélectionné les types de règles à créer, enregistrez vos résultats comme expliqué dans Documenter vos règles AppLocker.
Après avoir enregistré vos résultats pour les règles AppLocker à créer, vous devez réfléchir à la façon d’appliquer les règles. Pour plus d’informations sur la façon d’effectuer cette application, consultez Déterminer la structure stratégie de groupe et l’application des règles.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour