Partager via


Utilisation des règles AppLocker

Cet article destiné aux professionnels de l’informatique décrit les types de règles AppLocker et comment les utiliser pour vos stratégies de contrôle d’application.

Collections de règles

Les stratégies AppLocker sont organisées en collections de règles, notamment les fichiers exécutables, les scripts, les fichiers Windows Installer, les applications empaquetées et les programmes d’installation d’applications empaquetées et les fichiers DLL. Ces collections vous permettent de différencier facilement les règles des différents types d’applications. Le tableau suivant répertorie les formats de fichiers inclus dans chaque collection de règles.

Collection de règles Formats de fichiers associés
Fichiers exécutables .exe
.com
Scripts .ps1
.bat
.cmd
.vbs
.js
Fichiers Windows Installer .msi
.msp
.mst
Applications empaquetées et programmes d’installation d’applications empaquetées .appx
Fichiers DLL .dll
.ocx

Remarque

Les règles AppLocker pour les fichiers exécutables s’appliquent en fait à tous les fichiers exécutables portables (PE), quelle que soit l’extension du fichier que les attaquants peuvent facilement modifier. Les informations d’extension de fichier répertoriées dans le tableau précédent pour les fichiers exécutables sont à titre d’illustration uniquement.

La collection de règles DLL n’est pas activée par défaut. Pour savoir comment activer la collection de règles DLL, consultez Collections de règles DLL.

Important

Si vous utilisez des règles DLL, vous devez créer une règle d’autorisation qui couvre chaque DLL utilisée par toutes les applications autorisées.

Lorsque des règles DLL sont utilisées, AppLocker doit case activée chaque DLL qu’une application charge. Par conséquent, les utilisateurs peuvent subir une réduction des performances si des règles DLL sont utilisées. Toutefois, cet impact sur les performances est généralement imperceptible, sauf si un appareil est déjà limité en ressources.

Modes d’application

Les stratégies AppLocker définissent un mode d’application pour chaque collection de règles incluse dans la stratégie. Ces modes d’application sont décrits dans le tableau suivant.

Mode d’application Description
Non configuré Malgré le nom, ce mode d’application ne signifie pas que les règles sont ignorées. Au contraire, si des règles existent dans une collection de règles qui n’est « pas configurée », les règles sont appliquées , sauf si une stratégie avec une priorité plus élevée change le mode d’application en Audit uniquement. Étant donné que ce mode d’application peut prêter à confusion pour les auteurs de stratégies, vous devez éviter d’utiliser cette valeur dans vos stratégies AppLocker. Au lieu de cela, vous devez choisir explicitement entre les deux options restantes.
Appliquer des règles Les règles sont appliquées. Lorsqu’un utilisateur exécute une application affectée par une règle AppLocker, le fichier binaire de l’application est bloqué. Des informations sur le fichier binaire sont ajoutées au journal des événements AppLocker.
Auditer uniquement Les règles sont auditées, mais pas appliquées. Lorsqu’un utilisateur exécute une application affectée par une règle AppLocker, le fichier binaire de l’application est autorisé à s’exécuter. Toutefois, les informations sur le fichier binaire sont ajoutées au journal des événements AppLocker. Le mode d’application Audit uniquement vous permet d’identifier les applications affectées par la stratégie avant l’application de la stratégie.

Lorsque les stratégies AppLocker sont fusionnées, les règles de toutes les stratégies sont ajoutées à la stratégie effective et un mode d’application unique est sélectionné pour chaque collection de règles. Si plusieurs stratégies AppLocker sont appliquées à un appareil via stratégie de groupe, le paramètre de mode d’application appliqué est sélectionné en fonction de stratégie de groupe priorité. Si vous appliquez une stratégie AppLocker localement à l’aide de l’applet de commande PowerShell Set-AppLockerPolicy avec l’option -merge , le mode d’application le plus restrictif est choisi entre la stratégie locale existante et la stratégie fusionnée.

Conditions de règle

Les conditions de règle sont des critères qui aident AppLocker à identifier les applications auxquelles la règle s’applique. Les trois conditions de règle principales sont le serveur de publication, le chemin d’accès et le hachage de fichier.

  • Éditeur : identifie une application en fonction de sa signature numérique
  • Chemin d’accès : identifie une application par son emplacement dans le système de fichiers de l’ordinateur ou sur le réseau
  • Hachage de fichier : représente le hachage authenticode de chiffrement calculé par le système du fichier identifié

Éditeur

Cette condition identifie une application en fonction de sa signature numérique et des attributs étendus lorsqu’ils sont disponibles. La signature numérique contient des informations sur la société qui a créé l’application (l’éditeur). Les fichiers exécutables, dll, programmes d’installation Windows, applications empaquetées et programmes d’installation d’applications empaquetées incluent également des attributs étendus, qui sont obtenus à partir de la ressource binaire. Ces attributs incluent souvent le nom du produit, le nom de fichier d’origine et le numéro de version du fichier tel que défini par l’éditeur. S’il existe des applications empaquetées et des programmes d’installation d’applications empaquetés, ces attributs étendus contiennent le nom et la version du package d’application.

Remarque

Les règles créées dans la collection de règles d’applications empaquetées et de programmes d’installation d’applications empaquetées peuvent uniquement avoir des conditions d’éditeur, car Windows ne prend pas en charge les applications empaquetées non signées et les programmes d’installation d’applications empaquetées.

Utilisez une condition de règle d’éditeur dans la mesure du possible, car ils sont plus résilients aux mises à jour d’application ainsi qu’à une modification de l’emplacement des fichiers.

Lorsque vous sélectionnez un fichier de référence pour une condition d’éditeur, l’Assistant crée une règle qui spécifie le serveur de publication, le produit, le nom de fichier et le numéro de version. Vous pouvez rendre la règle plus générique en déplaçant le curseur vers le haut ou en utilisant un caractère générique (*) dans les champs produit, nom de fichier ou numéro de version.

Remarque

Pour entrer des valeurs personnalisées pour l’un des champs d’une condition de règle d’éditeur dans l’Assistant Création de règles, vous devez sélectionner la zone Utiliser des valeurs personnalisées case activée. Lorsque cette zone case activée est sélectionnée, vous ne pouvez pas utiliser le curseur.

La version du fichier et la version du package contrôlent si un utilisateur peut exécuter une version spécifique, des versions antérieures ou ultérieures de l’application. Vous pouvez choisir un numéro de version, puis configurer les options suivantes :

  • Exactement. La règle s’applique uniquement à cette version de l’application
  • Et au-dessus. La règle s’applique à cette version et à toutes les versions ultérieures.
  • Et en dessous. La règle s’applique à cette version et à toutes les versions antérieures.

Le tableau suivant décrit comment une condition d’éditeur est appliquée.

Option La condition d’éditeur autorise ou refuse...
Tous les fichiers signés Tous les fichiers signés par tout éditeur.
Éditeur uniquement Tous les fichiers signés par l’éditeur nommé.
Nom du serveur de publication et du produit Tous les fichiers du produit spécifié signés par l’éditeur nommé.
Nom de l’éditeur et du produit, et nom de fichier Toute version du fichier ou package nommé pour le produit nommé signé par l’éditeur.
Serveur de publication, nom du produit, nom de fichier et version du fichier Exactement
Version spécifiée du fichier ou du package nommé pour le produit nommé signé par l’éditeur.
Serveur de publication, nom du produit, nom de fichier et version du fichier Et au-dessus
Version spécifiée du fichier ou du package nommé et toutes les nouvelles versions du produit signées par l’éditeur.
Serveur de publication, nom du produit, nom de fichier et version du fichier Et ci-dessous
Version spécifiée du fichier ou du package nommé et toutes les versions antérieures du produit signé par l’éditeur.
Personnalisée Vous pouvez modifier les champs Serveur de publication, Nom du produit,Nom du fichier, Nom du package de version et Version du package pour créer une règle personnalisée.

Chemin d'accès

Cette condition de règle identifie une application par son emplacement dans le système de fichiers de l’ordinateur ou sur le réseau.

AppLocker utilise des variables de chemin d’accès personnalisées pour les chemins connus, tels que Program Files et Windows.

Le tableau suivant détaille ces variables de chemin d’accès.

Répertoire ou disque Windows Variable de chemin d’accès AppLocker Variable d’environnement Windows
Windows %WINDIR% %SystemRoot%
System32 et SysWOW64 %SYSTEM32% %SystemDirectory%
Répertoire d’installation de Windows %OSDRIVE% %SystemDrive%
Program Files %PROGRAMFILES% %ProgramFiles% et %ProgramFiles(x86)%
Support amovible (par exemple, cd-rom ou DVD) %AMOVIBLE%
Périphérique de stockage amovible (par exemple, un lecteur flash USB) %HOT%

Important

Étant donné qu’une condition de règle de chemin d’accès peut être configurée pour inclure un grand nombre de dossiers et de fichiers, les conditions de chemin d’accès doivent être soigneusement planifiées. Par exemple, si une règle de chemin d’accès inclut un emplacement de dossier qui permet aux non-administrateurs d’écrire des données, un utilisateur (ou un programme malveillant s’exécutant en tant qu’utilisateur standard) peut copier les fichiers non approuvés dans cet emplacement et exécuter les fichiers. Pour cette raison, vous devez éviter de créer des conditions de chemin d’accès pour les emplacements accessibles en écriture par l’utilisateur standard, tels qu’un profil utilisateur.

Hachage de fichier

Lorsque vous choisissez la condition de règle de hachage de fichier, le système calcule le hachage de chiffrement Authenticode du fichier identifié. L’avantage de cette condition de règle est que, étant donné que chaque fichier a un hachage unique, une condition de règle de hachage de fichier s’applique à un seul fichier. L’inconvénient est que chaque fois que le fichier est mis à jour (par exemple, une mise à jour de sécurité ou une mise à niveau), le hachage du fichier change. Par conséquent, vous devez mettre à jour manuellement les règles de hachage de fichier.

Règles par défaut d’AppLocker

Les stratégies AppLocker créées à l’aide de l’éditeur de stratégie de groupe AppLocker peuvent inclure des règles par défaut. Les règles par défaut sont destinées à garantir que les fichiers nécessaires au bon fonctionnement de Windows sont autorisés dans une collection de règles AppLocker. Pour plus d’informations, consultez Présentation des règles par défaut d’AppLocker et pour connaître les étapes à suivre, consultez Créer des règles AppLocker par défaut.

Les types de règles par défaut exécutables sont les suivants :

  • Autoriser les membres du groupe Administrateurs local à exécuter toutes les applications.
  • Autoriser les membres du groupe Tout le monde à exécuter des applications qui se trouvent dans le dossier Windows.
  • Autoriser les membres du groupe Tout le monde à exécuter des applications qui se trouvent dans le dossier Program Files.

Les types de règles par défaut de script sont les suivants :

  • Autoriser les membres du groupe Administrateurs local à exécuter tous les scripts.
  • Autoriser les membres du groupe Tout le monde à exécuter des scripts situés dans le dossier Program Files.
  • Autoriser les membres du groupe Tout le monde à exécuter des scripts situés dans le dossier Windows.

Les types de règles par défaut de Windows Installer sont les suivants :

  • Autoriser les membres du groupe Administrateurs local à exécuter tous les fichiers Windows Installer.
  • Autoriser les membres du groupe Tout le monde à exécuter tous les fichiers Windows Installer signés numériquement.
  • Autoriser les membres du groupe Tout le monde à exécuter tous les fichiers Windows Installer qui se trouvent dans le dossier Windows\Installer.

Types de règles dll par défaut :

  • Autoriser les membres du groupe Administrateurs local à exécuter toutes les DLL.
  • Autorisez les membres du groupe Tout le monde à exécuter des DLL situées dans le dossier Program Files.
  • Autoriser les membres du groupe Tout le monde à exécuter des DLL situées dans le dossier Windows.

Types de règles par défaut des applications empaquetées :

  • Autoriser les membres du groupe Tout le monde à installer et exécuter toutes les applications empaquetées signées et les programmes d’installation d’applications empaquetées.

Comportement des règles AppLocker

Si aucune règle AppLocker n’est définie pour une collection de règles spécifique, tous les fichiers couverts par ce regroupement de règles sont autorisés à s’exécuter. Toutefois, s’il existe une règle pour une collection de règles spécifique, seuls les fichiers correspondant à au moins une règle d’autorisation et ne correspondant à aucune règle de refus s’exécutent. Par exemple, si vous créez une règle exécutable qui autorise .exe fichiers dans %SystemDrive%\FilePath à s’exécuter, seuls les fichiers exécutables situés dans ce chemin d’accès sont autorisés à s’exécuter.

Une règle peut être configurée pour utiliser des actions d’autorisation ou de refus :

  • Autoriser. Vous pouvez spécifier quels fichiers sont autorisés à s’exécuter dans votre environnement et pour quels utilisateurs ou groupes d’utilisateurs. Vous pouvez également configurer des exceptions pour identifier les fichiers exclus de la règle.
  • Nier. Vous pouvez spécifier quels fichiers ne sont pas autorisés à s’exécuter dans votre environnement et pour quels utilisateurs ou groupes d’utilisateurs. Vous pouvez également configurer des exceptions pour identifier les fichiers exclus de la règle.

Pour une bonne pratique, utilisez des actions d’autorisation avec des exceptions. Bien que vous puissiez utiliser une combinaison d’actions autoriser et refuser, les actions de refus gagnent toujours. Vous ne pouvez pas utiliser d’autre règle pour autoriser un fichier qui correspond à une règle de refus.

Exceptions de règle

Vous pouvez appliquer des règles AppLocker à des utilisateurs individuels ou à un groupe d’utilisateurs. Si vous appliquez une règle à un groupe d’utilisateurs, la règle affecte tous les utilisateurs de ce groupe. Si vous devez autoriser un sous-ensemble d’un groupe d’utilisateurs à utiliser une application, vous pouvez créer une règle spéciale pour ce sous-ensemble. Par exemple, la règle « Autoriser tout le monde à exécuter Windows à l’exception du Registre Rédacteur » permet à tous les utilisateurs du organization d’exécuter le système d’exploitation Windows, mais elle n’autorise personne à exécuter le Registre Rédacteur.

L’effet de cette règle empêcherait les utilisateurs tels que le personnel du support technique d’exécuter un programme nécessaire pour leurs tâches de support. Pour résoudre ce problème, créez une deuxième règle qui s’applique au groupe d’utilisateurs du support technique : « Autoriser le support technique à exécuter le Registre Rédacteur ». Si vous avez plutôt utilisé une règle de refus qui empêche tous les utilisateurs d’exécuter le Registre Rédacteur, la deuxième règle ne permet pas réellement aux utilisateurs du support technique d’exécuter le Registre Rédacteur.

Collection de règles DLL

Étant donné que la collection de règles DLL n’est pas activée par défaut, vous devez effectuer la procédure suivante avant de pouvoir créer et appliquer des règles DLL.

L’appartenance au groupe Administrateurs local, ou équivalent, est la condition minimale requise pour effectuer cette procédure.

Pour activer la collection de règles DLL

  1. Sélectionnez Démarrer, tapez secpol.msc, puis entrée.
  2. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, vérifiez que l’action qu’elle affiche correspond à ce que vous voulez, puis sélectionnez Oui.
  3. Dans l’arborescence de la console, double-cliquez sur Stratégies de contrôle d’application, cliquez avec le bouton droit sur AppLocker, puis sélectionnez Propriétés.
  4. Sélectionnez l’onglet Avancé, sélectionnez la zone Activer la collection de règles DLL case activée, puis sélectionnez OK.

Important

Avant d’appliquer des règles DLL, assurez-vous qu’il existe des règles d’autorisation pour chaque DLL nécessaire à toutes les applications autorisées.

Assistants AppLocker

Vous pouvez créer des règles à l’aide de deux Assistants AppLocker :

  1. L’Assistant Création de règles vous permet de créer une règle à la fois.
  2. L’Assistant Génération automatique de règles vous permet de créer plusieurs règles à la fois. Vous pouvez sélectionner un dossier et laisser l’Assistant créer des règles pour tous les fichiers pertinents trouvés. Ou, pour les applications empaquetées, laissez l’Assistant créer des règles pour toutes les applications empaquetées installées sur l’ordinateur. Vous pouvez également spécifier l’utilisateur ou le groupe auquel appliquer les règles. Cet Assistant génère automatiquement des règles d’autorisation uniquement.

Autres considérations

  • Par défaut, les règles AppLocker n’autorisent pas les utilisateurs à ouvrir ou à exécuter des fichiers qui ne sont pas autorisés. Les administrateurs doivent tenir à jour la liste des applications autorisées.
  • Il existe deux types de conditions AppLocker qui ne persistent pas après une mise à jour d’une application :
    • Condition de hachage de fichier Les conditions de règle de hachage de fichier peuvent être utilisées avec n’importe quelle application, car une valeur de hachage de chiffrement du fichier d’application est générée au moment de la création de la règle. Toutefois, la valeur de hachage est spécifique à cette version exacte du fichier. Si vous devez autoriser plusieurs versions du fichier, vous avez besoin de conditions de hachage de fichier individuelles pour chaque version du fichier.
    • Condition d’éditeur avec un ensemble de versions de produit spécifique Si vous créez une condition de règle d’éditeur qui utilise l’option Version exacte , la règle ne peut pas être conservée si une nouvelle version de l’application est installée. Une nouvelle condition d’éditeur doit être créée ou la version doit être modifiée dans la règle pour être moins spécifique.
  • Si une application n’est pas signée numériquement, vous ne pouvez pas utiliser de condition de règle d’éditeur pour cette application.
  • Si des règles sont appliquées pour la collection de règles EXE, vous devez créer des règles dans la collection de règles des applications empaquetées et des programmes d’installation d’applications empaquetées. Sinon, toutes les applications empaquetées et tous les programmes d’installation d’applications empaquetés sont bloqués.
  • Une URL configurée personnalisée peut être incluse dans le message qui s’affiche lorsqu’une application est bloquée.
  • Attendez-vous à une augmentation du nombre d’appels du support technique lorsque les utilisateurs rencontrent des applications qui ne sont pas autorisées.

Dans cette section

Article Description
Créer une règle qui utilise une condition de hachage de fichier Cet article destiné aux professionnels de l’informatique explique comment créer une règle AppLocker avec une condition de hachage de fichier.
Créer une règle qui utilise une condition de chemin d’accès Cet article destiné aux professionnels de l’informatique explique comment créer une règle AppLocker avec une condition de chemin d’accès.
Créer une règle qui utilise une condition d’éditeur Cet article destiné aux professionnels de l’informatique explique comment créer une règle AppLocker avec une condition d’éditeur.
Créer des règles AppLocker par défaut Cet article destiné aux professionnels de l’informatique décrit les étapes à suivre pour créer un ensemble standard de règles AppLocker qui autorisent l’exécution de fichiers système Windows.
Ajouter des exceptions pour une règle AppLocker Cet article destiné aux professionnels de l’informatique décrit les étapes à suivre pour spécifier les applications qui peuvent ou ne peuvent pas s’exécuter en tant qu’exceptions à une règle AppLocker.
Créer une règle pour les applications empaquetées Cet article destiné aux professionnels de l’informatique explique comment créer une règle AppLocker pour les applications empaquetées avec une condition d’éditeur.
Supprimer une règle AppLocker Cet article destiné aux professionnels de l’informatique décrit les étapes de suppression d’une règle AppLocker.
Modifier des règles AppLocker Cet article destiné aux professionnels de l’informatique décrit les étapes de modification d’une règle d’éditeur, d’une règle de chemin d’accès et d’une règle de hachage de fichier dans AppLocker.
Activer le regroupement de règles DLL Cet article destiné aux professionnels de l’informatique décrit les étapes permettant d’activer la fonctionnalité de collecte de règles DLL pour AppLocker.
Appliquer des règles AppLocker Cet article destiné aux professionnels de l’informatique explique comment appliquer des règles de contrôle d’application à l’aide d’AppLocker.
Exécuter l’Assistant Générer automatiquement les règles Cet article destiné aux professionnels de l’informatique décrit les étapes d’exécution de l’Assistant pour créer des règles AppLocker sur un appareil de référence.