Présentation des actions d’autorisation et de refus des règles AppLocker

Cet article explique les différences entre les actions d’autorisation et de refus sur les règles AppLocker.

Autoriser l’action ou refuser l’action sur les règles

Chaque collection de règles AppLocker fonctionne comme une liste d’autorisation explicite de fichiers. Vous ne pouvez exécuter que les fichiers couverts par une ou plusieurs règles d’autorisation dans la collection de règles. Vous pouvez également créer des règles qui refusent explicitement l’exécution de certains fichiers. L’exécution de tous les autres fichiers non couverts par une règle d’autorisation ou de refus explicite est implicitement bloquée. Comprendre ce bloc par défaut, autoriser par exception est essentiel lors de l’analyse de l’impact de votre stratégie sur les utilisateurs de votre organization.

Quand AppLocker applique des règles, il vérifie d’abord si des actions de refus explicites sont spécifiées dans la liste des règles. Si vous refusez l’exécution d’un fichier dans une collection de règles, l’action refuser est prioritaire sur toute action d’autorisation et ne peut pas être remplacée. Ensuite, AppLocker recherche les actions d’autorisation explicites pour le fichier. Comme AppLocker fonctionne comme une liste d’autorisation par défaut, si aucune règle n’autorise ou refuse explicitement l’exécution d’un fichier, l’action de refus par défaut d’AppLocker bloque le fichier.

Utilisation d’AppLocker pour implémenter une liste de blocage

Bien que vous puissiez utiliser AppLocker pour créer une stratégie de liste de blocage explicite, cette approche n’est pas bien mise à l’échelle pour la plupart des organisations et n’est pas recommandée comme stratégie de contrôle d’application pratique. Toutefois, si vous choisissez de le faire, veillez à inclure une règle « autoriser * » dans la collection de règles afin que tous les autres fichiers s’exécutent.

Important

Si vous n’incluez pas de règles d’autorisation pour toutes les applications requises, y compris les fichiers système Windows, dans une collection de règles, vous obtiendrez des résultats inattendus, car votre stratégie refusera implicitement l’exécution de tous les autres fichiers sur l’ordinateur.