Processus et interactions AppLocker
Remarque
Certaines fonctionnalités de Windows Defender Contrôle d’application ne sont disponibles que sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités de contrôle d’application Windows Defender.
Cet article pour les professionnels de l’informatique décrit les dépendances de processus et les interactions quand AppLocker évalue et applique des règles.
Comment AppLocker applique les stratégies
Les stratégies AppLocker sont des collections de règles qui peuvent contenir l’un des paramètres de mode d’application configurés. Lorsqu’elle est appliquée, chaque règle est évaluée dans la stratégie et la collection de règles est appliquée en fonction du paramètre d’application et de votre structure de stratégie de groupe.
La stratégie AppLocker est appliquée sur un ordinateur via le service Application Identity (appid.sys), qui est le moteur qui évalue les stratégies et s’exécute dans le noyau Windows. Si le service n’est pas en cours d’exécution, les stratégies ne sont pas appliquées. Le service Application Identity retourne les informations du fichier binaire (même si les noms de produits ou binaires sont vides) dans le volet de résultats du composant logiciel enfichable Stratégie de sécurité locale.
Les stratégies AppLocker sont stockées dans un format de descripteur de sécurité en fonction des exigences du service Application Identity. Il utilise des attributs de chemin d’accès au fichier, de hachage ou de nom binaire complet pour former des actions d’autorisation ou de refus sur une règle. Chaque règle est stockée en tant qu’entrée de contrôle d’accès (ACE) dans le descripteur de sécurité et contient les informations suivantes :
- Une ace d’autorisation ou de refus (« XA » ou « XD » dans le formulaire SDDL (Security Descriptor Definition Language).
- Identificateur de sécurité utilisateur (SID) auquel cette règle s’applique. (La valeur par défaut est le SID utilisateur authentifié dans SDDL.)
- Condition de règle contenant les attributs appid .
Par exemple, un SDDL pour une règle qui autorise l’exécution de tous les fichiers du répertoire %windir% utilise le format suivant : XA;;FX;;;AU;(APPID://PATH == "%windir%\\\*").
Appid.sys lit et met en cache la stratégie AppLocker effective pour les DLL et les fichiers exécutables. Chaque fois qu’une nouvelle stratégie est appliquée, une tâche de convertisseur de stratégie avertit appid.sys. Pour les autres types de fichiers, la stratégie AppLocker est lue chaque fois qu’un appel SaferIdentifyLevel est effectué.
Présentation des règles AppLocker
Une règle AppLocker est un contrôle placé sur un fichier qui contrôle s’il s’exécute ou non pour un utilisateur ou un groupe spécifique. Vous créez des règles AppLocker pour cinq types différents de fichiers ou de collections :
- Une règle exécutable contrôle si un utilisateur ou un groupe peut exécuter un fichier exécutable. Les fichiers exécutables ont le plus souvent les extensions de nom de fichier .exe ou .com et s’appliquent aux applications.
- Une règle de script détermine si un utilisateur ou un groupe peut exécuter des scripts avec une extension de nom de fichier .ps1, .bat, .cmd, .vbs et .js.
- Une règle Windows Installer détermine si un utilisateur ou un groupe peut exécuter des fichiers avec l’extension de nom de fichier .msi, .mst et .msp (correctif Windows Installer).
- Une règle DLL contrôle si un utilisateur ou un groupe peut exécuter des fichiers avec l’extension de nom de fichier .dll et .ocx.
- Une règle d’installation d’application empaquetée et d’application empaquetée contrôle si un utilisateur ou un groupe peut exécuter ou installer une application empaquetée. Un programme d’installation d’application empaqueté a l’extension .appx.
Il existe trois types de conditions différents qui peuvent être appliqués aux règles :
Une condition d’éditeur sur une règle détermine si un utilisateur ou un groupe peut exécuter des fichiers à partir d’un éditeur de logiciel spécifique. Le fichier doit être signé.
Une condition de chemin d’accès sur une règle détermine si un utilisateur ou un groupe peut exécuter des fichiers à partir d’un répertoire spécifique ou de ses sous-répertoires.
Une condition de hachage de fichier sur une règle détermine si un utilisateur ou un groupe peut exécuter des fichiers avec des hachages chiffrés correspondants.
Présentation des regroupements de règles AppLocker
Une collection de règles AppLocker est un ensemble de règles qui s’appliquent à l’un des types suivants : fichiers exécutables, fichiers Windows Installer, scripts, DLL et applications empaquetées.
Présentation des types de conditions de règle AppLocker
Les conditions de règle sont des critères sur ant la règle AppLocker. Les conditions principales sont requises pour créer une règle AppLocker. Les trois conditions de règle principales sont le serveur de publication, le chemin d’accès et le hachage de fichier.
Présentation des règles par défaut AppLocker
AppLocker inclut des règles par défaut pour chaque collection de règles. Ces règles sont destinées à garantir que les fichiers nécessaires au bon fonctionnement de Windows sont autorisés dans une collection de règles AppLocker.
Présentation des exceptions de règles AppLocker
Vous pouvez appliquer des règles AppLocker à des utilisateurs individuels ou à un groupe d’utilisateurs. Si vous appliquez une règle à un groupe d’utilisateurs, la règle affecte tous les utilisateurs de ce groupe. Si vous devez autoriser uniquement un sous-ensemble d’un groupe d’utilisateurs à utiliser une application, vous pouvez créer une règle spéciale pour ce sous-ensemble.
Présentation du comportement des règles AppLocker et Présentation des actions d’autorisation et de refus d’AppLocker sur les règles
Chaque collection de règles AppLocker fonctionne comme une liste autorisée de fichiers.
Présentation des stratégies AppLocker
Une stratégie AppLocker est un ensemble de regroupements de règles et leurs paramètres de mode d’application configurés correspondants appliqués à un ou plusieurs ordinateurs.
Comprendre les paramètres d’application AppLocker
L’application de règles s’applique uniquement à des regroupements de règles, et non à des règles individuelles. AppLocker divise les règles en quatre collections : fichiers exécutables, fichiers Windows Installer, scripts et fichiers DLL. Les options d’application des règles sont Non configuré, Appliquer des règles ou Audit uniquement. Ensemble, toutes les collections de règles AppLocker composent la stratégie de contrôle d’application ou la stratégie AppLocker. Par défaut, si l’application n’est pas configurée et que des règles sont présentes dans une collection de règles, ces règles sont appliquées.
Présentation d’AppLocker et de stratégie de groupe
stratégie de groupe pouvez être utilisé pour créer, modifier et distribuer des stratégies AppLocker dans des objets distincts ou en combinaison avec d’autres stratégies.
-
Lorsque stratégie de groupe est utilisé pour distribuer des stratégies AppLocker, les regroupements de règles contenant une ou plusieurs règles sont appliqués, sauf si le mode d’application est défini sur Audit uniquement. stratégie de groupe ne remplace pas les règles déjà présentes dans un objet de stratégie de groupe (GPO) lié et applique les règles AppLocker en plus des règles existantes. AppLocker traite les règles de refus explicites avant toute règle d’autorisation, et pour l’application des règles, la dernière écriture dans l’objet de stratégie de groupe est appliquée.
Articles connexes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour