Comprendre les règles AppLocker et l’héritage des paramètres d’application dans la Stratégie de groupe

• S’applique à:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Cet article pour les professionnels de l’informatique décrit comment les stratégies de contrôle d’application configurées dans AppLocker sont appliquées via stratégie de groupe.

L’application de règles s’applique uniquement à des regroupements de règles, et non à des règles individuelles. Pour plus d’informations sur les regroupements de règles, consultez Regroupements de règles AppLocker.

stratégie de groupe fusionne la stratégie AppLocker de deux manières :

• Règles. stratégie de groupe ne remplace pas les règles déjà présentes dans un objet de stratégie de groupe (GPO) lié. Par exemple, si l’objet de stratégie de groupe actuel a 12 règles et qu’un objet de stratégie de groupe lié en a 50, 62 règles sont appliquées.

  Important

  Lorsque vous déterminez si un fichier est autorisé à s’exécuter, AppLocker traite les règles dans l’ordre suivant :

  1. Refuser explicitement. Un administrateur a créé une règle pour refuser un fichier.
  2. Autoriser explicitement. Un administrateur a créé une règle pour autoriser un fichier.
  3. Refus implicite. Tous les fichiers non couverts par une règle d’autorisation sont bloqués.

• Paramètres d’application. La dernière écriture dans la stratégie est appliquée. Par exemple, si un objet de stratégie de groupe de niveau supérieur a le paramètre d’application configuré sur Appliquer des règles et que l’objet de stratégie de groupe le plus proche a le paramètre configuré sur Audit uniquement, l’audit uniquement est appliqué. Si le mode d’application n’est pas configuré sur l’objet de stratégie de groupe le plus proche, le paramètre de l’objet de stratégie de groupe lié le plus proche est appliqué. Étant donné que la stratégie effective d’un ordinateur inclut des règles de chaque objet de stratégie de groupe lié, des règles en double ou des règles en conflit peuvent être appliquées sur l’ordinateur d’un utilisateur. Par conséquent, vous devez planifier soigneusement votre déploiement pour vous assurer que seules les règles nécessaires sont présentes dans un objet de stratégie de groupe.

La figure suivante montre comment l’application des règles AppLocker est appliquée par le biais d’objets de stratégie de groupe liés.

Dans l’illustration précédente, tous les objets de stratégie de groupe liés à Contoso sont appliqués dans l’ordre configuré. Les règles qui ne sont pas configurées sont également appliquées. Par exemple, le résultat des objets de stratégie de groupe Contoso et Ressources humaines est 33 règles appliquées, comme indiqué dans le client HR-Term1. L’objet de stratégie de groupe Ressources humaines contient 10 règles où le paramètre de mode d’application est « non configuré ». Lorsque la collection de règles est configurée pour l’audit uniquement, aucune règle n’est appliquée.

Lors de la construction de l’architecture stratégie de groupe pour l’application de stratégies AppLocker, il est important de se rappeler :

• Toute collection de règles dont le mode d’application est défini sur « non configuré » est appliquée.
• stratégie de groupe ne remplace pas ou ne remplace pas les règles déjà présentes dans un objet de stratégie de groupe lié.
• Les règles de refus AppLocker sont toujours prioritaires sur toutes les règles d’autorisation.
• Pour l’application des règles, la dernière écriture dans l’objet de stratégie de groupe est appliquée.