Verrouillage de Windows 10 pour des applications spécifiques

  • Article

Découvrez comment configurer un appareil exécutant Windows 10 Entreprise ou Windows 10 Éducation afin que les utilisateurs ne puissent exécuter que quelques applications spécifiques. Le résultat est similaire à un appareil kiosque, mais avec plusieurs applications disponibles. Par exemple, vous pouvez configurer un ordinateur de bibliothèque afin que les utilisateurs puissent rechercher dans le catalogue et naviguer sur Internet, mais ne puissent pas exécuter d’autres applications ou modifier les paramètres de l’ordinateur.

Vous pouvez restreindre les utilisateurs à un ensemble spécifique d’applications sur un appareil exécutant Windows 10 Entreprise ou Windows 10 Éducation à l’aide d’AppLocker. Les règles AppLocker spécifient les applications dont l’exécution sur l’appareil est autorisée.

Les règles AppLocker sont organisées dans des regroupements basés sur le format de fichier. Si aucune règle AppLocker n’existe pour un regroupement de règles spécifique, tous les fichiers présentant ce format de fichier sont autorisés à s’exécuter. Toutefois, quand une règle AppLocker est créée pour un regroupement de règles spécifique, seuls les fichiers explicitement autorisés dans une règle sont autorisés à s’exécuter. Pour plus d’informations, voir Fonctionnement d’AppLocker.

Cette rubrique décrit comment verrouiller des applications sur un appareil local. Vous pouvez également utiliser AppLocker pour définir des règles pour des applications dans un domaine à l’aide d’une stratégie de groupe.

installer créer verrouiller personnaliser

Installation d’applications

Tout d’abord, installez les applications souhaitées sur l’appareil pour les comptes d’utilisateur cibles. Cela fonctionne pour le Windows Store et Win32. Pour les applications du Windows Store, vous devez vous connecter en tant qu’utilisateur de l’application à installer. Pour Win32, vous pouvez installer une application pour tous les utilisateurs sans vous connecter au compte spécifique.

Utilisation d’AppLocker pour définir des règles pour les applications

Après avoir installé les applications souhaitées, configurez des règles AppLocker pour autoriser uniquement des applications spécifiques et bloquer tout le reste.

  1. Exécutez la stratégie de sécurité locale (secpol.msc) en tant qu’administrateur.

  2. Accédez à Paramètres de sécurité > Stratégies de contrôle de l’application > AppLocker, puis sélectionnez Configurer la mise en application des règles.

    configurer l’application de règles

  3. Activez Configuré sous Règles de l’exécutable, puis cliquez sur OK.

  4. Cliquez avec le bouton droit sur Règles de l’exécutable, puis cliquez sur Générer automatiquement les règles.

    générer automatiquement des règles

  5. Sélectionnez le dossier contenant les applications que vous souhaitez autoriser, ou sélectionnez C:\ pour analyser toutes les applications.

  6. Tapez un nom pour identifier cet ensemble de règles, puis cliquez sur Suivant.

  7. Dans la page Préférences de règles, cliquez sur Suivant. Soyez patient. La génération des règles peut prendre un certain temps.

  8. Dans la page Vérifier les règles, cliquez sur Créer. L’Assistant va maintenant créer un ensemble de règles autorisant l’ensemble d’applications installées.

  9. Lisez le message, puis cliquez sur Oui.

    avertissement de règles par défaut

  10. (facultatif) Si vous voulez qu’une règle s’applique à un ensemble spécifique d’utilisateurs, cliquez avec le bouton droit sur la règle, puis sélectionnez Propriétés. Utilisez ensuite la boîte de dialogue pour choisir un autre utilisateur ou groupe d’utilisateurs.

  11. (facultatif) Si une règle a été générée pour des applications qui ne doivent pas être exécutées, vous pouvez la supprimer en cliquant avec le bouton droit sur la règle, puis en sélectionnant Supprimer.

  12. Pour qu’AppLocker puisse appliquer des règles, le service Identité de l’application doit être activé. Pour forcer le service Identité de l’application à démarrer automatiquement en cas de réinitialisation, ouvrez une invite de commandes, puis exécutez :

    sc config appidsvc start=auto

  13. Redémarrez l’appareil.

Autres paramètres à verrouiller

En plus de spécifier les applications que les utilisateurs peuvent exécuter, vous devez limiter des paramètres et fonctions sur l’appareil. Pour une expérience plus sécurisée, nous vous recommandons d’apporter les modifications de configuration suivantes à l’appareil :

  • Supprimez Toutes les applications.

    Accédez à Éditeur de stratégie de groupe > Configuration utilisateur > Modèles d’administration\Menu Démarrer et barre des tâches\Supprimer la liste Tous les programmes du menu Démarrer.

  • Masquez la fonctionnalité Options d’ergonomie sur l’écran de connexion.

    Sélectionnez Panneau de configuration > Options d’ergonomie > Options d’ergonomie, puis désactivez l’ensemble des outils d’accessibilité.

  • Désactivez le bouton d’alimentation du matériel.

    Sélectionnez Options d’alimentation > Choisir l’action du bouton d’alimentation, définissez le paramètre sur Ne rien faire, puis sélectionnez Enregistrer les modifications.

  • Désactivez la caméra.

    Sélectionnez Paramètres > Confidentialité > Caméra, puis désactivez Autoriser les applications à utiliser ma caméra.

  • Désactivez les notifications d’application sur l’écran de verrouillage.

    Accédez à Éditeur de stratégie de groupe > Configuration ordinateur > Modèles d’administration\Système\Connexion\Désactiver les notifications des applications sur l’écran de verrouillage.

  • Désactivez le média amovible.

    Accédez à Éditeur de stratégie de groupe > Configuration ordinateur > Modèles d’administration\Système\Installation de périphériques\Restrictions d’installation de périphériques. Passez en revue les paramètres de stratégie disponibles dans Restrictions d’installation de périphériques pour les paramètres applicables à votre situation.

    Remarque  

    Pour empêcher cette stratégie d’affecter un membre du groupe Administrateurs, dans Restrictions d’installation de périphériques, activez Autoriser les administrateurs à passer outre les stratégies de restriction d’installation de périphériques.

     

Pour plus d’informations sur le verrouillage de fonctionnalités, voir Personnalisations de Windows 10 Entreprise.

Personnaliser la disposition de l’écran de démarrage de l’appareil

Configurez le menu Démarrer sur l’appareil pour n’afficher que les vignettes des applications autorisées. Vous apportez les modifications manuellement, exportez la disposition vers un fichier .xml, puis appliquez ce fichier aux appareils pour empêcher les utilisateurs d’apporter des modifications. Pour plus d’informations, voir Gestion des options de disposition de l’écran de démarrage de Windows 10.