Plan de gestion des stratégies AppLocker

 

S'applique à: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Cette rubrique décrit les décisions que vous devez faire établir les processus de gestion et maintenance des stratégies AppLocker.

Gestion des stratégies

Avant de commencer le processus de déploiement, envisagez la façon dont les règles AppLocker seront gérés. Développement d'un processus de gestion d'AppLocker règles rétablit AppLocker continue de contrôler efficacement la manière dont les applications sont autorisées à exécuter dans votre organisation.

Stratégie de support utilisateur et applications

Développement d'un processus de gestion d'AppLocker règles rétablit AppLocker continue de contrôler efficacement la manière dont les applications sont autorisées à exécuter dans votre organisation. Considérations relatives à :

• Quel type de prise en charge de l'utilisateur final est fournie pour les applications bloquées ?

• Comment les nouvelles règles sont ajoutées à la stratégie ?

• Comment sont des règles existantes mises à jour ?

• Les événements sont transmis pour révision ?

Assistance technique

Si votre organisation dispose d'un service de prise en charge du support technique établie de, considérez les éléments suivants lorsque vous déployez des stratégies AppLocker :

• Quelle documentation nécessitent par votre service de support pour les nouveaux déploiements de stratégie ?

• Quels sont les processus critiques dans chaque entreprise de groupe à la fois dans le flux de travail et de temporisation qui est affecté par les stratégies de contrôle d'application et peuvent leur impact sur la charge de travail de votre service de support ?

• Quels sont les contacts dans le service de support ?

• Comment le service de support résoudra les problèmes de contrôle d'application entre l'utilisateur final et ceux qui gèrent les règles AppLocker ?

Prise en charge par l'utilisateur

Comme AppLocker empêche l'exécution d'applications non approuvées, il est important que votre organisation soigneusement planifier comment fournir la prise en charge par l'utilisateur. Considérations relatives à :

• Vous souhaitez utiliser un site intranet comme première ligne de la prise en charge pour les utilisateurs qui ont tenté d'exécuter une application bloquée

• Comment vous souhaitez prendre en charge des exceptions à la stratégie ? Permettra aux utilisateurs d'exécuter un script pour autoriser temporairement l'accès à une application bloquée ?

À l'aide d'un site intranet

AppLocker peut être configuré pour afficher le message par défaut, mais avec une URL personnalisée. Vous pouvez utiliser cette URL pour rediriger les utilisateurs vers un site de support qui contient des informations sur la raison de l'affichage de cette erreur à l'utilisateur et les applications qui sont autorisées. Si vous n'affichez pas une URL personnalisée pour le message lorsqu'une application est bloquée, l'URL par défaut est utilisé.

L'image suivante montre un exemple du message d'erreur pour une application bloquée. Vous pouvez utiliser ladéfinir un lien web de prise en chargeparamètre de stratégie pour personnaliser lesplus d'informationslien.

Message d'erreur application bloquée

Pour afficher une URL personnalisée pour le message, consultezAfficher un personnalisé URL Message lorsque les utilisateurs essaient d'exécuter une Application bloquée(https://go.microsoft.com/fwlink/?LinkId=160265).

Gestion des événements AppLocker

Chaque fois qu'un processus demande une autorisation d'exécuter, AppLocker crée un événement dans le journal des événements AppLocker. Détails de l'événement quel fichier a essayé d'exécuter, les attributs de ce fichier, l'utilisateur qui a initié la demande et la règle de GUID qui a été utilisé pour prendre la décision d'exécution AppLocker. Le journal des événements AppLocker se trouve dans le chemin d'accès suivant : Journaux des applications et des services\Microsoft\Windows\AppLocker. Le journal AppLocker inclut trois types de journaux :

1. EXE et DLL. Contient les événements pour tous les fichiers affectés par le fichier exécutable et les regroupements de règles DLL (.exe, .com, .dll et .ocx).

2. MSI et Script. Contient les événements pour tous les fichiers affectés par les regroupements de règles de script et de Windows Installer (.msi, .msp, .ps1, .bat, .cmd, .vbs et .js).

3. Empaqueté le déploiement d'applicationsouempaquetées de l'exécution de l'applicationcontient les événements pour toutes les applications Windows 8 sont affectées par l'application empaquetées et au programme d'installation de l'application le regroupement de règles (.aspx).

Recueillir ces événements dans un emplacement central peut vous aider à gérer votre stratégie AppLocker et résoudre les problèmes de configuration de règle. Technologies de collecte d'événement telles que celles disponibles dans Windows permettent d'administrateurs pour s'abonner aux canaux d'événement spécifique et ont les événements des ordinateurs sources regroupées dans un journal des événements transféré sur un collecteur de système d'exploitation Windows Server. Pour plus d'informations sur la configuration d'un abonnement d'événement, consultezconfigurer les ordinateurs pour collecter et transférer des événements(https://go.microsoft.com/fwlink/?LinkId=145012).

Maintenance des stratégies

Comme les nouvelles applications sont déployées ou des applications existantes sont mises à jour par l'éditeur de logiciel, vous devez apporter des modifications à vos regroupements de règles pour garantir que la stratégie est en cours.

Vous pouvez modifier une stratégie AppLocker en ajoutant, modifiant ou supprimant des règles. Toutefois, vous ne pouvez pas spécifier une version de la stratégie en important des règles supplémentaires. Pour garantir le contrôle de version lorsque vous modifiez une stratégie AppLocker, utilisez le logiciel de gestion de stratégie de groupe qui vous permet de créer des versions des objets de stratégie de groupe (GPO). La fonctionnalité Gestion avancée des stratégies de groupe du pack Microsoft Desktop Optimization Pack constitue un exemple de ce type de logiciel. Pour plus d'informations sur la fonctionnalité Gestion avancée des stratégies de groupe, consultez la Vue d'ensemble de la gestion avancée des stratégies de groupe (https://go.microsoft.com/fwlink/?LinkId=145013).

Avertissement

Vous ne devez pas modifier un regroupement de règles AppLocker pendant qu'il est appliqué dans une stratégie de groupe. Étant donné qu'AppLocker contrôle les fichiers dont l'exécution est autorisée, le fait d'apporter des modifications à une stratégie active peut créer un comportement inattendu.

Nouvelle version d'une application prise en charge

Lorsqu'une nouvelle version d'une application est déployée dans l'organisation, vous devez déterminer s'il faut continuer à prendre en charge la version précédente de cette application. Pour ajouter la nouvelle version, vous devrez peut-être uniquement créer une nouvelle règle pour chaque fichier qui est associé à l'application. Si vous utilisez des conditions éditeur et la version n'est pas spécifiée, l'ou les règles existantes peuvent être suffisantes pour permettre le fichier mis à jour à exécuter. Toutefois, vous devez vous assurer que l'application de mises à jour n'a pas modifié les noms de fichiers ou ajoutés pour prendre en charge les nouvelles fonctionnalités. Dans ce cas, vous devez modifier les règles existantes ou créer de nouvelles règles. Pour continuer à réutiliser une règle basée sur le serveur de publication sans une version de fichier spécifique, vous devez également vous assurer que la signature numérique du fichier est toujours identique à la version précédente, l'éditeur, le nom du produit et le nom de fichier (si configuré dans votre règle) doivent correspondre toutes les pour la règle soit correctement appliquée.

Pour déterminer si un fichier a été modifié pendant une mise à jour de l'application, passez en revue les détails de version de l'éditeur fournis avec le package de mise à jour. Vous pouvez également consulter la page Web de l'éditeur pour extraire ces informations. Chaque fichier peut également être inspectée pour déterminer la version.

Pour les fichiers qui sont autorisés ou refusées avec des conditions hachage du fichier, vous devez récupérer le hachage du fichier. Pour ajouter la prise en charge d'une nouvelle version et maintenir la prise en charge de la version antérieure, vous pouvez créer une nouvelle règle de hachage de fichier pour la nouvelle version ou modifier la règle existante et ajouter le nouveau hachage du fichier à la liste des conditions.

Pour les fichiers avec des conditions chemin d'accès, vous devez vérifier que le chemin d'installation n'est pas différente de celle indiquée dans la règle. Si le chemin d'accès a changé, vous devez mettre à jour la règle avant d'installer la nouvelle version de l'application.

Récemment déployé application

Pour prendre en charge une nouvelle application, vous devez ajouter une ou plusieurs règles à la stratégie AppLocker existante.

Application n'est plus pris en charge.

Si votre organisation a déterminé qu'il sera plus en charge une application qui a des règles AppLocker lui est associés, pour empêcher les utilisateurs de l'application en cours d'exécution le plus simple consiste à supprimer ces règles.

Application est bloquée, mais doit être autorisée

Un fichier peut être bloqué pour trois raisons :

• La raison la plus courante est qu'il n'existe aucune règle pour autoriser l'application s'exécute.

• Il peut y avoir une règle existante qui a été créée pour le fichier est trop restrictif.

• Une règle de refus qui ne peut pas être substituée, bloque explicitement le fichier.

Avant de modifier le regroupement de règles, vous devez d'abord déterminer quelle règle empêche le fichier en cours d'exécution. Vous pouvez résoudre le problème à l'aide de laTest-AppLockerPolicyapplet de commande Windows PowerShell. Pour plus d'informations sur le dépannage d'un AppLockerpolicy, consultezde test et de mise à jour d'une stratégie AppLocker(https://go.microsoft.com/fwlink/?LinkId=160269).

Étapes suivantes

Après avoir décidé comment votre organisation sera gérer votre stratégie AppLocker, enregistrez vos résultats.

• Stratégie de prise en charge de l'utilisateur final. Documentez le processus que vous allez utiliser pour gérer les appels aux utilisateurs qui ont tenté d'exécuter une application bloquée et veiller à ce service de support technique que les étapes de signalisation clair afin que l'administrateur peut mettre à jour la stratégie AppLocker, si nécessaire.

• Traitement des événements. Si les événements seront collectés dans un emplacement central, appelé un magasin, le magasin sera archivé que si les événements seront traités pour l'analyse de documents.

• Maintenance des stratégies. Décrit en détail comment règles sont ajoutées à la stratégie et dans quel objet de stratégie de groupe, les règles sont définies.

Pour plus d'informations et les étapes de la documenter vos processus, consultezVotre Application contrôler les processus de gestion de documents.