Déterminer la liste d’autorisation/exclusion et l’inventaire des applications pour les stratégies de restriction logicielleDetermine Allow-Deny List and Application Inventory for Software Restriction Policies

S'applique à : Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Cette rubrique destinée aux professionnels de l’informatique fournit des instructions sur la création d’une liste verte et d’exclusion pour les applications qui doivent être gérées par les stratégies de restriction logicielle (SRP) à partir de Windows Server 2008 et Windows Vista.This topic for the IT professional gives guidance how to create an allow and deny list for applications to be managed by Software Restriction Policies (SRP) beginning with Windows Server 2008 and Windows Vista.

IntroductionIntroduction

La fonctionnalité Stratégies de restriction logicielle est une fonctionnalité fondée sur les stratégies de groupe qui identifie les programmes logiciels s’exécutant sur les ordinateurs d’un domaine et qui contrôle la capacité de ces programmes à s’exécuter.Software Restriction Policies (SRP) is Group Policy-based feature that identifies software programs running on computers in a domain, and controls the ability of those programs to run. Les stratégies de restriction logicielle peuvent aussi contribuer à créer une configuration fortement restreinte pour vos ordinateurs, dans laquelle seule l’exécution d’applications clairement identifiées est autorisée.You use software restriction policies to create a highly restricted configuration for computers, in which you allow only specifically identified applications to run. Celles-ci sont intégrées à Microsoft Active Directory Domain Services et stratégie de groupe mais peuvent également être configurées sur des ordinateurs autonomes.These are integrated with Microsoft Active Directory Domain Services and Group Policy but can also be configured on stand-alone computers. Pour un point de départ pour les SRP, consultez stratégies de restriction logicielle.For a starting point for SRP, see the Software Restriction Policies.

À compter de Windows Server 2008 R2 et Windows 7, il est possible d’utiliser Windows AppLocker à la place ou en collaboration avec les stratégies de restriction logicielle pour une partie de votre stratégie de contrôle des applications.Beginning with Windows Server 2008 R2 and Windows 7 , Windows AppLocker can be used instead of or in concert with SRP for a portion of your application control strategy.

Pour plus d’informations sur la façon d’accomplir des tâches spécifiques à l’aide de SRP, consultez les rubriques suivantes :For information about how to accomplish specific tasks using SRP, see the following:

Quelle règle par défaut choisir : autoriser ou refuserWhat default rule to choose: Allow or Deny

Les stratégies de restriction logicielle peuvent être déployées dans l’un des deux modes qui constituent la base de votre règle par défaut : liste verte ou liste d’exclusion.Software restriction policies can be deployed in one of two modes that are the basis of your default rule: Allow List or Deny List. Vous pouvez créer une stratégie qui identifie toutes les applications qui sont autorisées à s’exécuter dans votre environnement. la règle par défaut dans votre stratégie est restreinte et bloquera toutes les applications que vous n’autorisez pas à exécuter de manière explicite.You can create a policy that identifies every application that is allowed to run in your environment; the default rule within your policy is Restricted and will block all applications that you do not explicitly allow to run. Ou vous pouvez créer une stratégie qui identifie toutes les applications qui ne peuvent pas s’exécuter ; la règle par défaut est sans restriction et restreint uniquement les applications que vous avez explicitement listées.Or you can create a policy that identifies every application that cannot run; the default rule is Unrestricted and restricts only the applications that you have explicitly listed.

Important

Le mode liste de refus peut être une stratégie de maintenance élevée pour votre organisation en ce qui concerne le contrôle d’application.The Deny List mode might be a high-maintenance strategy for your organization regarding application control. La création et la maintenance d’une liste en constante évolution qui empêche tous les logiciels malveillants et autres applications problématiques seraient fastidieuses et sujettes à des erreurs.Creating and maintaining an evolving list that prohibits all malware and other problematic applications would be time consuming and susceptible to mistakes.

Créer un inventaire de vos applications pour la liste verteCreate an inventory of your applications for the Allow list

Pour utiliser efficacement la règle autoriser les valeurs par défaut, vous devez déterminer exactement les applications requises dans votre organisation.To effectively use the Allow default rule, you need to determine exactly which applications are required in your organization. Des outils sont conçus pour produire un inventaire des applications, tel que le collecteur d’inventaire dans Microsoft Application Compatibility Toolkit.There are tools designed to produce an application inventory, such as the Inventory Collector in the Microsoft Application Compatibility Toolkit. Mais SRP dispose d’une fonctionnalité de journalisation avancée pour vous aider à comprendre exactement quelles applications s’exécutent dans votre environnement.But SRP has an advanced logging feature to help you understand exactly what applications are running in your environment.

Pour découvrir les applications à autoriserTo discover which applications to allow
  1. Dans un environnement de test, déployez la stratégie de restriction logicielle avec la règle par défaut définie sur non restreint et supprimez toutes les règles supplémentaires.In a test environment, deploy Software Restriction Policy with the default rule set to Unrestricted and remove any additional rules. Si vous activez le SRP sans le forcer à limiter les applications, SPR pourra surveiller les applications en cours d’exécution.If you enable SRP without forcing it to restrict any applications, SPR will be able to monitor what applications are being run.

  2. Créez la valeur de Registre suivante pour activer la fonctionnalité de journalisation avancée et définir le chemin d’accès à l’emplacement où le fichier journal doit être écrit.Create the following registry value in order to enable the advanced logging feature and set the path to where the log file should be written.

    « HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers »"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers"

    Valeur de chaîne : chemin LogFileName de LogFileNameString Value: LogFileName path to LogFileName

    Étant donné que le SRP évalue toutes les applications lors de son exécution, une entrée est écrite dans le fichier journal NameLogFile chaque fois que l’application est exécutée.Because SRP is evaluating all applications when they run, an entry is written to the log file NameLogFile each time that application is run.

  3. Évaluer le fichier journalEvaluate the log file

    Chaque entrée de journal indique :Each log entry states:

    • l’appelant de la stratégie de restriction logicielle et l’ID de processus (PID) du processus appelantthe caller of the software restriction policy and the process ID (PID) of the calling process

    • cible évaluéethe target being evaluated

    • la règle SRP qui a été rencontrée lors de l’exécution de cette applicationthe SRP rule that was encountered when that application ran

    • identificateur de la règle de SRP.an identifier for the SRP rule.

    Exemple de sortie écrite dans un fichier journal :An example of the output written to a log file:

explorer.exe (PID = 4728) identifiedC:\Windows\system32\onenote.exe en tant que règle usingpath non restreinte, Guid = {320bd852-aa7c-4674-82c5-9a80321670a3} Toutes les applications et le code associé que les stratégies de restriction logicielle (SRP) vérifient et configurent pour bloquer sont notés dans le fichier journal, que vous pouvez ensuite utiliser pour déterminer les exécutables à prendre en compte pour votre liste autorisée.explorer.exe (PID = 4728) identifiedC:\Windows\system32\onenote.exe as Unrestricted usingpath rule, Guid ={320bd852-aa7c-4674-82c5-9a80321670a3} All applications and associated code that SRP checks and set to block will be noted in the log file, which you then can use to determine which executables should be considered for your Allowed list.