Extensions de collection de règles AppLocker

• S’applique à:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Cet article décrit les extensions de collection de règles ajoutées dans Windows 10 et versions ultérieures. Les extensions de collection de règles sont des fonctionnalités facultatives disponibles uniquement pour les collections de règles EXE et DLL. Configurez les extensions de collection de règles en modifiant directement votre code XML de stratégie AppLocker, comme indiqué dans le fragment XML suivant.

<RuleCollectionExtensions>
    <ThresholdExtensions>
        <Services EnforcementMode="Enabled"/>
    </ThresholdExtensions>
    <RedstoneExtensions>
        <SystemApps Allow="Enabled"/>
    </RedstoneExtensions>
</RuleCollectionExtensions>

Important

Lorsque vous ajoutez des extensions de collection de règles à votre stratégie AppLocker, vous devez inclure les valeurs ThresholdExtensions et RedstoneExtensions , sinon votre stratégie entraînera un comportement inattendu.

Application des services

Par défaut, la stratégie AppLocker s’applique uniquement au code s’exécutant dans le contexte d’un utilisateur. Sur Windows 10, Windows 11 et Windows Server 2016 ou version ultérieure, vous pouvez appliquer une stratégie AppLocker aux processus non-utilisateurs, y compris aux services s’exécutant en tant que SYSTÈME. Vous devez activer l’application des services lors de l’utilisation d’AppLocker avec Windows Defender fonctionnalité d’installation managée du contrôle d’application (WDAC).

Pour appliquer une stratégie AppLocker à des processus non utilisateur, définissez <Services EnforcementMode="Enabled"/> dans la <ThresholdExtensions> section comme indiqué dans le fragment XML précédent.

Applications système

Lorsque vous utilisez AppLocker pour contrôler les processus non utilisateur, votre stratégie doit autoriser tout le code système Windows ou la nuit de votre appareil à se comporter de manière inattendue. Pour autoriser automatiquement tout le code système qui fait partie de Windows, définissez <SystemApps Allow="Enabled"/> dans la <RedstoneExtensions> section comme indiqué dans le fragment XML précédent.