Qu’est-ce qu’AppLocker ?
Cette rubrique destinée aux professionnels de l’informatique décrit ce qu’est AppLocker et en quoi ses fonctionnalités diffèrent de celles des stratégies de restriction logicielle.
AppLocker améliore les fonctions de contrôle des applications, ainsi que les fonctionnalités des stratégies de restriction logicielle. AppLocker contient de nouvelles fonctions et extensions qui vous permettent de créer des règles pour autoriser ou refuser l’exécution d’applications en fonction d’identités uniques de fichiers, et de spécifier les utilisateurs ou groupes autorisés à exécuter ces applications.
AppLocker vous permet de réaliser les opérations suivantes :
Contrôler les types d’applications suivants : fichiers exécutables (.exe et .com), scripts (.js, .ps1, .vbs, .cmd et .bat), fichiers Windows Installer (.mst, .msi et .msp), fichiers DLL (.dll et .ocx), applications empaquetées et programmes d’installation d’applications empaquetées (appx).
Définir des règles reposant sur les attributs de fichier dérivés de la signature numérique, notamment le nom de l’éditeur, le nom du produit, le nom du fichier et la version du fichier. Par exemple, vous pouvez créer des règles basées sur l’attribut d’éditeur persistant entre chaque mise à jour, ou des règles pour une version spécifique d’un fichier.
Attribuer une règle à un groupe de sécurité ou à un utilisateur spécifique.
Créer des exceptions aux règles. Vous pouvez notamment créer une règle qui autorise l’exécution de tous les processus Windows, à l’exception de l’Éditeur du Registre (regedit.exe).
Utiliser le mode Audit uniquement pour déployer la stratégie et comprendre son impact avant de la mettre en application.
Importer et exporter des règles. L’importation et l’exportation affectent la totalité de la stratégie. Par exemple, si vous exportez une stratégie, toutes les règles issues de l’ensemble des regroupements de règles sont exportées, y compris les paramètres d’application relatifs aux regroupements de règles. Si vous importez une stratégie, tous les critères de la stratégie existante sont remplacés.
Faciliter la création et la gestion des règles AppLocker à l’aide des applets de commande Windows PowerShell.
AppLocker permet de réduire la charge d’administration et le coût de gestion des ressources informatiques de l’organisation en diminuant le nombre des appels au support technique qui résultent de l’exécution par les utilisateurs d’applications non approuvées.
Pour plus d’informations sur les scénarios de contrôle des applications traités par AppLocker, consultez la rubrique Scénarios d’utilisation de stratégies AppLocker.
Quelles fonctionnalités diffèrent entre les stratégies de restriction logicielle et AppLocker ?
Différences de fonctionnalités
Le tableau suivant compare AppLocker aux stratégies de restriction logicielle.
| Fonctionnalité | Stratégies de restriction logicielle | AppLocker |
|---|---|---|
Étendue de la règle |
Tous les utilisateurs |
Utilisateur ou groupe spécifique |
Conditions de règles fournies |
Hachage du fichier, chemin d’accès, certificat, chemin d’accès au Registre et zone Internet |
Hachage du fichier, chemin d’accès et éditeur |
Types de règles fournis |
Définies par les niveaux de sécurité :
|
Autoriser et refuser |
Action de la règle par défaut |
Sans restriction |
Refus implicite |
Mode Audit uniquement |
Non |
Oui |
Assistant pour créer plusieurs règles à la fois |
Non |
Oui |
Importation ou exportation de stratégies |
Non |
Oui |
Regroupement de règles |
Non |
Oui |
Prise en charge de Windows PowerShell |
Non |
Oui |
Messages d’erreur personnalisés |
Non |
Oui |
Différences des fonctions de contrôle des applications
Le tableau suivant compare les fonctions de contrôle des applications des stratégies de restriction logicielle et AppLocker.
| Fonction de contrôle des applications | Stratégie de restriction logicielle | AppLocker |
|---|---|---|
Étendue du système d’exploitation |
Les stratégies de restriction logicielle peuvent être appliquées à tous les systèmes d’exploitation Windows, à partir de Windows XP et Windows Server 2003. |
Les stratégies AppLocker s’appliquent uniquement aux éditions et versions de Windows prises en charge répertoriées dans la section Configuration requise pour utiliser AppLocker. Mais ces systèmes peuvent également utiliser des stratégies de restriction logicielle. RemarqueUtilisez différents objets de stratégie de groupe pour les règles de restriction logicielle et AppLocker. |
Assistance technique |
Les stratégies de restriction logicielle permettent aux utilisateurs d’installer des applications en tant qu’administrateurs. |
Les stratégies AppLocker sont gérées via la stratégie de groupe et seul l’administrateur de l’appareil peut les mettre à jour. AppLocker autorise la personnalisation des messages d’erreur redirigeant les utilisateurs vers une page web d’aide. |
Maintenance des stratégies |
Les stratégies de restriction logicielle sont mises à jour à l’aide du composant logiciel enfichable Stratégie de sécurité locale ou de la Console de gestion des stratégies de groupe (GPMC). |
Les stratégies AppLocker sont mises à jour à l’aide du composant logiciel enfichable Stratégie de sécurité locale ou de la console de gestion des stratégies de groupe (GPMC). AppLocker prend en charge un petit ensemble d’applets de commande PowerShell pour aider à l’administration et à la maintenance. |
Infrastructure de gestion des stratégies |
Pour gérer les stratégies de restriction logicielle, SRP utilise une stratégie de groupe dans un domaine et le composant logiciel enfichable Stratégie de sécurité locale pour un ordinateur local. |
Pour gérer les stratégies AppLocker, AppLocker utilise une stratégie de groupe dans un domaine et le composant logiciel enfichable Stratégie de sécurité locale pour un ordinateur local. |
Bloquer les scripts malveillants |
Les règles destinées à bloquer les scripts malveillants empêchent l’exécution de tous les scripts associés à l’environnement d’exécution de scripts WSH (Windows Script Host), sauf de ceux signés numériquement par votre organisation. |
Les règles AppLocker peuvent contrôler les formats de fichiers suivants : .ps1, .bat, .cmd, .vbs et .js. De plus, vous pouvez définir des exceptions pour permettre l’exécution de fichiers spécifiques. |
Gérer l’installation des logiciels |
Les stratégies de restriction logicielle peuvent empêcher l’installation de tous les packages Windows Installer. Elles autorisent l’installation des fichiers .msi signés numériquement par votre organisation. |
Le regroupement de règles Windows Installer est un ensemble de règles créées pour les types de fichiers Windows Installer (.mst, .msi et .msp) afin de vous permettre de contrôler l’installation des fichiers sur les ordinateurs et serveurs clients. |
Gérer tous les logiciels sur l’ordinateur |
Tous les logiciels sont gérés dans un même ensemble de règles. Par défaut, la stratégie pour la gestion de tous les logiciels sur un appareil n’autorise aucun logiciel sur l’appareil de l’utilisateur, excepté les logiciels installés dans le dossier Windows, dans le dossier Program Files ou dans ses sous-dossiers. |
Contrairement aux stratégies de restriction logicielle, chaque regroupement de règles AppLocker fonctionne comme une liste autorisée de fichiers. Seuls les fichiers qui sont répertoriés dans le regroupement de règles seront autorisés à s’exécuter Cette configuration permet aux administrateurs de déterminer plus facilement ce qui se produira lorsqu’une règle AppLocker sera appliquée. |
Différentes stratégies pour différents utilisateurs |
Les règles sont appliquées uniformément à tous les utilisateurs sur un appareil particulier. |
Sur un appareil qui est partagé par plusieurs utilisateurs, un administrateur peut spécifier les groupes d’utilisateurs qui peuvent accéder aux logiciels installés. AppLocker permet à un administrateur de spécifier l’utilisateur à qui une règle spécifique doit s’appliquer. |