Tester et mettre à jour une stratégie AppLocker
Cet article décrit les étapes requises pour tester une stratégie AppLocker avant le déploiement.
Vous devez tester chaque ensemble de règles pour vous assurer que les règles fonctionnent comme prévu. Si vous utilisez stratégie de groupe pour gérer les stratégies AppLocker, effectuez les étapes suivantes pour chaque objet stratégie de groupe (GPO) contenant des règles AppLocker. Étant donné que les règles AppLocker sont héritées des objets de stratégie de groupe liés, vous devez déployer toutes les règles pour les tests simultanés dans tous vos objets de stratégie de groupe de test.
Étape 1 : Activer le paramètre d’application Auditer uniquement
Utilisez le paramètre Auditer uniquement le mode d’application pour vérifier que vos règles AppLocker sont correctement configurées pour votre organization sans bloquer de code. Ce paramètre peut être activé sous l’onglet Application de la boîte de dialogue Propriétés AppLocker . Pour plus d’informations sur la procédure à suivre pour effectuer cette configuration, consultez Configurer une stratégie AppLocker pour l’audit uniquement.
Étape 2 : Configurer le service Application Identity pour qu’il démarre automatiquement
Étant donné qu’AppLocker utilise le service Application Identity pour vérifier les attributs d’un fichier, vous devez le configurer pour qu’il démarre automatiquement dans un objet de stratégie de groupe qui applique des règles AppLocker. Pour plus d’informations, consultez Configurer application Identity Service. Si vous ne déployez pas vos stratégies AppLocker à l’aide d’un objet de stratégie de groupe, vous devez vous assurer que le service s’exécute sur chaque PC pour que les stratégies s’appliquent.
Étape 3 : Tester la stratégie
Testez la stratégie AppLocker pour déterminer si votre collection de règles doit être modifiée. Votre stratégie AppLocker doit être active en mode audit uniquement sur tous les PC clients configurés pour recevoir votre stratégie AppLocker.
L’applet de commande Test-AppLockerPolicy Windows PowerShell peut être utilisée pour déterminer si l’exécution du code sur vos PC de référence est bloquée par les règles de votre collection de règles. Pour plus d’informations sur la procédure à suivre pour effectuer ce test, consultez Tester une stratégie AppLocker à l’aide de Test-AppLockerPolicy.
Étape 4 : Analyser les événements AppLocker
Vous pouvez analyser manuellement les événements AppLocker ou utiliser l’applet de commande Get-AppLockerFileInformation Windows PowerShell pour automatiser l’analyse.
Pour analyser manuellement les événements AppLocker
Utilisez observateur d'événements ou un éditeur de texte pour afficher et trier vos événements AppLocker à des fins d’analyse. Vous pouvez rechercher des modèles dans les événements d’utilisation de l’application, les fréquences d’accès ou l’accès par groupes d’utilisateurs. Si aucun abonnement aux événements n’est configuré, vous pouvez consulter les journaux sur un échantillon d’ordinateurs de votre organization. Pour plus d’informations sur l’utilisation de observateur d'événements, consultez Surveiller l’utilisation des applications avec AppLocker.
Pour analyser les événements AppLocker à l’aide de Get-AppLockerFileInformation
Vous pouvez utiliser l’applet de commande Get-AppLockerFileInformation Windows PowerShell pour analyser les événements AppLocker à partir d’un ordinateur distant. Si une application est bloquée et doit être autorisée, vous pouvez utiliser les applets de commande AppLocker pour résoudre le problème.
Pour les abonnements aux événements et les événements locaux, vous pouvez utiliser l’applet de commande Get-AppLockerFileInformation pour déterminer les fichiers qui n’ont pas été autorisés par votre stratégie et le nombre de fois où l’événement s’est produit pour chaque fichier. Pour plus d’informations sur la procédure à suivre pour effectuer cette surveillance, consultez Surveiller l’utilisation des applications avec AppLocker.
Ensuite, vous devez examiner votre liste de règles pour déterminer si une nouvelle règle doit être créée pour le fichier bloqué ou si une règle existante est trop strictement définie. Vérifiez que vous case activée quel objet de stratégie de groupe empêche actuellement l’exécution du fichier. Pour déterminer cet objet de stratégie de groupe bloquant, vous pouvez utiliser l’Assistant Résultats stratégie de groupe pour afficher les noms des règles.
Étape 5 : Modifier la stratégie AppLocker
Une fois que vous savez quelles règles vous souhaitez modifier ou ajouter à la stratégie, utilisez la console de gestion stratégie de groupe pour modifier les règles AppLocker dans les objets de stratégie de groupe appropriés. Si vous ne gérez pas vos stratégies AppLocker par un objet de stratégie de groupe, vous pouvez utiliser le composant logiciel enfichable Stratégie de sécurité locale (secpol.msc). Pour plus d’informations sur la modification d’une stratégie AppLocker, consultez Modifier une stratégie AppLocker.
Étape 6 : Répéter le test, l’analyse et la modification de stratégie
Répétez les étapes précédentes 3 à 5 jusqu’à ce que toutes les règles s’exécutent comme prévu avant d’appliquer l’application.
Autres ressources
- Pour connaître les étapes permettant d’effectuer d’autres tâches de stratégie AppLocker, consultez Administrer AppLocker.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour