AppLockerAppLocker

S’applique àApplies to

  • Windows10Windows10
  • WindowsServerWindows Server

Cette rubrique fournit une description d’AppLocker et vous aidera à déterminer si votre organisation peut tirer parti du déploiement de stratégies de contrôle d’applications AppLocker.This topic provides a description of AppLocker and can help you decide if your organization can benefit from deploying AppLocker application control policies. AppLocker vous permet de contrôler les applications et fichiers que les utilisateurs peuvent exécuter.AppLocker helps you control which apps and files users can run. Cela comprend les fichiers exécutables, les scripts, les fichiers WindowsInstaller, les bibliothèques de liens dynamiques (DLL), les applications empaquetées et les programmes d’installation d’applications empaquetées.These include executable files, scripts, Windows Installer files, dynamic-link libraries (DLLs), packaged apps, and packaged app installers.

Notes

AppLocker ne peut pas contrôler les processus en cours d’exécution sous le compte système sur tout système d’exploitation.AppLocker is unable to control processes running under the system account on any operating system.

AppLocker peut vous aider à effectuer les opérations suivantes:AppLocker can help you:

  • Définir des règles reposant sur les attributs de fichier qui sont conservés entre chaque mise à jour des applications, comme le nom de l’éditeur (dérivé de la signature numérique), le nom du produit, le nom du fichier et la version du fichier.Define rules based on file attributes that persist across app updates, such as the publisher name (derived from the digital signature), product name, file name, and file version. Vous pouvez également créer des règles en fonction du chemin d’accès et du code de hachage.You can also create rules based on the file path and hash.
  • Attribuer une règle à un groupe de sécurité ou à un utilisateur spécifique.Assign a rule to a security group or an individual user.
  • Créer des exceptions aux règles.Create exceptions to rules. Vous pouvez notamment créer une règle qui autorise l’ensemble des utilisateurs à exécuter tous les fichiers binaires Windows, à l’exception de l’Éditeur du Registre (regedit.exe).For example, you can create a rule that allows all users to run all Windows binaries, except the Registry Editor (regedit.exe).
  • Utiliser le mode Auditer uniquement pour déployer la stratégie et comprendre son impact avant de la mettre en application.Use audit-only mode to deploy the policy and understand its impact before enforcing it.
  • Créer des règles sur un serveur intermédiaire, les tester, puis les exporter dans votre environnement de production et les importer dans un objet de stratégie de groupe.Create rules on a staging server, test them, then export them to your production environment and import them into a Group Policy Object.
  • Simplifier la création et la gestion des règles AppLocker à l’aide de WindowsPowerShell.Simplify creating and managing AppLocker rules by using Windows PowerShell.

AppLocker permet de réduire la charge d’administration et le coût de gestion des ressources informatiques de l’organisation en diminuant le nombre des appels au Support technique qui résultent de l’exécution, par les utilisateurs, d’applications non approuvées.AppLocker helps reduce administrative overhead and helps reduce the organization's cost of managing computing resources by decreasing the number of Help Desk calls that result from users running unapproved apps. AppLocker traite les scénarios de sécurité des applications suivants:AppLocker addresses the following app security scenarios:

  • Inventaire des applicationsApplication inventory

    AppLocker a la possibilité d’appliquer sa stratégie en mode Auditer uniquement où l’activité d’accès à toutes les applications est inscrite dans des journaux des événements.AppLocker has the ability to enforce its policy in an audit-only mode where all app access activity is registered in event logs. Ces événements peuvent être collectés en vue d’une analyse plus approfondie.These events can be collected for further analysis. Les applets de commande WindowsPowerShell vous aident également à analyser ces données par programme.Windows PowerShell cmdlets also help you analyze this data programmatically.

  • Protection contre les logiciels indésirablesProtection against unwanted software

    AppLocker a la possibilité de refuser l’exécution d’applications que vous excluez de la liste des applications autorisées.AppLocker has the ability to deny apps from running when you exclude them from the list of allowed apps. Une fois que les règles AppLocker sont appliquées dans l’environnement de production, l’exécution de toute application qui n’est pas incluse dans les règles autorisées est bloquée.When AppLocker rules are enforced in the production environment, any apps that are not included in the allowed rules are blocked from running.

  • Conformité aux licencesLicensing conformance

    AppLocker peut vous aider à créer des règles qui excluent l’exécution de tout logiciel sans licence et restreignent les logiciels sous licence aux utilisateurs autorisés.AppLocker can help you create rules that preclude unlicensed software from running and restrict licensed software to authorized users.

  • Normalisation des logicielsSoftware standardization

    Les stratégies AppLocker peuvent être configurées de façon à autoriser uniquement l’exécution d’applications prises en charge ou approuvées sur les ordinateurs d’un groupe professionnel.AppLocker policies can be configured to allow only supported or approved apps to run on computers within a business group. Cela permet un déploiement plus uniforme des applications.This permits a more uniform app deployment.

  • Amélioration de la facilité de gestionManageability improvement

    AppLocker présente plusieurs améliorations en matière de facilité de gestion par rapport à ses stratégies de restriction logicielle précédentes.AppLocker includes a number of improvements in manageability as compared to its predecessor Software Restriction Policies. L’importation et l’exportation de stratégies, la génération automatique de règles de plusieurs fichiers, le déploiement du mode Auditer uniquement et les applets de commande Windows PowerShell figurent parmi les améliorations apportées par rapport aux stratégies de restriction logicielles.Importing and exporting policies, automatic generation of rules from multiple files, audit-only mode deployment, and Windows PowerShell cmdlets are a few of the improvements over Software Restriction Policies.

Quand utiliser AppLockerWhen to use AppLocker

Dans de nombreuses organisations, les informations constituent la ressource la plus précieuse, c'est pourquoi il est impératif de s'assurer que seuls les utilisateurs approuvés ont accès à ces informations.In many organizations, information is the most valuable asset, and ensuring that only approved users have access to that information is imperative. Les technologies de contrôle d’accès, comme les services de gestion des droits relatifs à l’ADRMS (Active Directory Rights Management Services) et les listes de contrôle d’accès (ACL), permettent de contrôler ce que les utilisateurs sont autorisés à y accéder.Access control technologies, such as Active Directory Rights Management Services (ADRMS) and access control lists (ACLs), help control what users are allowed to access.

Toutefois, lorsqu’un utilisateur exécute un processus, ce dernier bénéficie du même niveau d’accès aux données que celui dont dispose l’utilisateur.However, when a user runs a process, that process has the same level of access to data that the user has. Par conséquent, des informations sensibles peuvent facilement être supprimées ou transmises hors de l’organisation si un utilisateur exécute intentionnellement ou involontairement des logiciels malveillants.As a result, sensitive information could easily be deleted or transmitted out of the organization if a user knowingly or unknowingly runs malicious software. AppLocker peut contribuer à réduire ces types de violations de la sécurité en limitant les fichiers que les utilisateurs ou groupes sont autorisés à exécuter.AppLocker can help mitigate these types of security breaches by restricting the files that users or groups are allowed to run. Les éditeurs de logiciels créent de plus en plus d’applications pouvant être installées par des utilisateurs non administrateurs.Software publishers are beginning to create more apps that can be installed by non-administrative users. Cela peut compromettre la stratégie de sécurité écrite d’une organisation et offre la possibilité de contourner les solutions de contrôle d’applications traditionnelles basées sur l’incapacité des utilisateurs à installer des applications.This could jeopardize an organization's written security policy and circumvent traditional app control solutions that rely on the inability of users to install apps. Grâce à la création d’une liste autorisée d’applications et de fichiers approuvés, AppLocker permet d’empêcher l’exécution de ces applications par utilisateur.By creating an allowed list of approved files and apps, AppLocker helps prevent such per-user apps from running. Étant donné qu’AppLocker peut contrôler les DLL, il est également utile de contrôler qui peut installer et exécuter les contrôles ActiveX.Because AppLocker can control DLLs, it is also useful to control who can install and run ActiveX controls.

AppLocker constitue la solution idéale pour les organisations qui utilisent actuellement une stratégie de groupe pour gérer leurs PC.AppLocker is ideal for organizations that currently use Group Policy to manage their PCs.

Voici quelques exemples de scénarios dans lesquels AppLocker est utilisable:The following are examples of scenarios in which AppLocker can be used:

  • La stratégie de sécurité de votre organisation stipule de n’utiliser que des logiciels sous licence; vous devez donc empêcher les utilisateurs d’exécuter tout logiciel sans licence et également restreindre l’utilisation des logiciels sous licence aux utilisateurs autorisés.Your organization's security policy dictates the use of only licensed software, so you need to prevent users from running unlicensed software and also restrict the use of licensed software to authorized users.
  • Une application n’est plus prise en charge par votre organisation; vous devez donc empêcher quiconque de l’utiliser.An app is no longer supported by your organization, so you need to prevent it from being used by everyone.
  • Le risque que des logiciels indésirables soient introduits dans votre environnement est élevé; vous devez donc réduire cette menace.The potential that unwanted software can be introduced in your environment is high, so you need to reduce this threat.
  • La licence d’une application a été révoquée ou est arrivée à expiration dans votre organisation; vous devez donc empêcher son utilisation par quiconque.The license to an app has been revoked or it is expired in your organization, so you need to prevent it from being used by everyone.
  • Une nouvelle application ou une nouvelle version d’une application ont été déployées; vous devez donc empêcher les utilisateurs d’exécuter l’ancienne version.A new app or a new version of an app is deployed, and you need to prevent users from running the old version.
  • Des outils logiciels spécifiques ne sont pas autorisés dans l’organisation, ou seuls des utilisateurs spécifiques doivent avoir accès à ces outils.Specific software tools are not allowed within the organization, or only specific users should have access to those tools.
  • Un seul utilisateur ou un petit groupe d’utilisateurs doivent utiliser une application spécifique qui est bloquée pour tous les autres.A single user or small group of users needs to use a specific app that is denied for all others.
  • Certains ordinateurs de votre organisation sont partagés par des personnes dont les besoins en matière d’utilisation des logiciels diffèrent, et vous devez protéger des applications spécifiques.Some computers in your organization are shared by people who have different software usage needs, and you need to protect specific apps.
  • Outre d’autres mesures, vous devez contrôler l’accès aux données sensibles par le biais de l’utilisation des applications.In addition to other measures, you need to control the access to sensitive data through app usage.

Notes

AppLocker est une fonctionnalité de sécurité de défense en profondeur et non une limite de sécurité.AppLocker is a defense-in-depth security feature and not a security boundary. Le contrôle d’application Windows Defender doit être utilisé lorsque le but est d’offrir une protection fiable contre une menace et qu’il n’y a aucune limitation à la conception qui empêche la fonctionnalité de sécurité d’atteindre cet objectif.Windows Defender Application Control should be used when the goal is to provide robust protection against a threat and there are expected to be no by-design limitations that would prevent the security feature from achieving this goal.

AppLocker peut vous aider à protéger les biens numériques dans votre organisation, à réduire la menace d’introduction de logiciels malveillants dans votre environnement, ainsi qu’à améliorer la gestion du contrôle des applications et la maintenance des stratégies de contrôle d’applications.AppLocker can help you protect the digital assets within your organization, reduce the threat of malicious software being introduced into your environment, and improve the management of application control and the maintenance of application control policies.

Installation d’AppLockerInstalling AppLocker

AppLocker est fourni avec les éditions d’entreprise de Windows.AppLocker is included with enterprise-level editions of Windows. Vous pouvez créer des règles AppLocker pour un seul ordinateur ou pour un groupe d’ordinateurs.You can author AppLocker rules for a single computer or for a group of computers. Dans le cas d’un ordinateur unique, vous pouvez créer des règles à l’aide de l’éditeur de stratégie de sécurité locale (secpol.msc).For a single computer, you can author the rules by using the Local Security Policy editor (secpol.msc). Dans le cas d’un groupe d’ordinateurs, vous pouvez créer des règles au sein d’un objet de stratégie de groupe à l’aide de la Console de gestion des stratégies de groupe (GPMC).For a group of computers, you can author the rules within a Group Policy Object by using the Group Policy Management Console (GPMC).

Notes

La console GPMC est disponible sur les ordinateurs clients exécutant Windows uniquement en installant les outils d’administration de serveur distant.The GPMC is available in client computers running Windows only by installing the Remote Server Administration Tools. Sur un ordinateur exécutant WindowsServer, vous devez installer la fonctionnalité Gestion des stratégies de groupe.On computer running Windows Server, you must install the Group Policy Management feature.

Utilisation d’AppLocker sur ServerCoreUsing AppLocker on Server Core

AppLocker n’est pas pris en charge sur les installations ServerCore.AppLocker on Server Core installations is not supported.

Éléments à prendre en compte en matière de virtualisationVirtualization considerations

Vous pouvez administrer les stratégies AppLocker à l’aide d’une instance virtualisée de Windows, à condition qu’elle réponde à toutes les exigences système répertoriées précédemment.You can administer AppLocker policies by using a virtualized instance of Windows provided it meets all the system requirements listed previously. Vous pouvez également exécuter une stratégie de groupe dans une instance virtualisée.You can also run Group Policy in a virtualized instance. Toutefois, vous risquez de perdre les stratégies que vous avez créées et que vous gérez en cas de suppression ou d’échec de l’instance virtualisée.However, you do risk losing the policies that you created and maintain if the virtualized instance is removed or fails.

Éléments à prendre en compte en matière de sécuritéSecurity considerations

Les stratégies de contrôle d’applications indiquent les applications autorisées à s’exécuter sur l’ordinateur local.Application control policies specify which apps are allowed to run on the local computer.

Étant donné les diverses formes que peuvent revêtir les logiciels malveillants, il est difficile pour les utilisateurs de savoir quels logiciels exécuter en toute sécurité.The variety of forms that malicious software can take make it difficult for users to know what is safe to run. Lorsqu’il est activé, un logiciel malveillant peut endommager le contenu d’un lecteur de disque dur, saturer un réseau avec des demandes d’attaques par déni de service, envoyer des informations confidentielles sur Internet ou compromettre la sécurité d’un ordinateur.When activated, malicious software can damage content on a hard disk drive, flood a network with requests to cause a denial-of-service (DoS) attack, send confidential information to the Internet, or compromise the security of a computer.

La contre-mesure consiste à créer une conception solide pour vos stratégies de contrôle d’applications sur les PC de votre organisation, puis à tester soigneusement les stratégies dans un environnement lab avant de les déployer dans un environnement de production.The countermeasure is to create a sound design for your application control policies on PCs in your organization, and then thoroughly test the policies in a lab environment before you deploy them in a production environment. AppLocker peut faire partie intégrante de votre stratégie de contrôle d’applications, car vous pouvez contrôler les logiciels dont l’exécution est autorisée sur vos ordinateurs.AppLocker can be part of your app control strategy because you can control what software is allowed to run on your computers.

L’implémentation d’une stratégie de contrôle d’applications défectueuse peut désactiver les applications nécessaires ou autoriser l’exécution de logiciels malveillants ou indésirables.A flawed application control policy implementation can disable necessary applications or allow malicious or unintended software to run. Par conséquent, il est important que les organisations consacrent suffisamment de ressources à la gestion et au dépannage de l’implémentation de telles stratégies.Therefore, it is important that organizations dedicate sufficient resources to manage and troubleshoot the implementation of such policies.

Pour plus d’informations sur les problèmes de sécurité spécifiques, voir Considérations de sécurité pour AppLocker.For additional information about specific security issues, see Security considerations for AppLocker.

Lorsque vous utilisez AppLocker pour créer des stratégies de contrôle d’application, tenez compte des aspects suivants en matière de sécurité:When you use AppLocker to create application control policies, you should be aware of the following security considerations:

  • Qui est autorisé à définir des stratégies AppLocker?Who has the rights to set AppLocker policies?
  • Comment vérifier la mise en application des stratégies?How do you validate that the policies are enforced?
  • Quels événements auditer?What events should you audit?

À titre de référence dans votre planification de la sécurité, le tableau ci-après identifie les paramètres de référence pour un PC sur lequel la fonctionnalité AppLocker est installée:For reference in your security planning, the following table identifies the baseline settings for a PC with AppLocker installed:

ParamètreSetting Valeur par défautDefault value
Comptes créésAccounts created NoneNone
Méthode d’authentificationAuthentication method Non applicableNot applicable
Interfaces de gestionManagement interfaces AppLocker peut être géré à l’aide d’un composant logiciel enfichable Microsoft Management Console, de Gestion des stratégies de groupe et de WindowsPowerShell.AppLocker can be managed by using a Microsoft Management Console snap-in, Group Policy Management, and Windows PowerShell
Ports ouvertsPorts opened AucunNone
Privilèges minimaux requisMinimum privileges required Administrateur sur l’ordinateur local; Administrateur de domaine ou tout autre ensemble de droits vous autorisant à créer, modifier et distribuer des objets de stratégie de groupe.Administrator on the local computer; Domain Admin, or any set of rights that allow you to create, edit and distribute Group Policy Objects.
Protocoles utilisésProtocols used Non applicableNot applicable
Tâches planifiéesScheduled Tasks Appidpolicyconverter.exe est placé dans une tâche planifiée à exécuter à la demande.Appidpolicyconverter.exe is put in a scheduled task to be run on demand.
Stratégies de sécuritéSecurity Policies Aucune stratégie requise.None required. AppLocker crée les stratégies de sécurité.AppLocker creates security policies.
Services système requisSystem Services required Le service d’identité de l’application (appidsvc) s’exécute sous LocalServiceAndNoImpersonation.Application Identity service (appidsvc) runs under LocalServiceAndNoImpersonation.
Stockage des informations d’identificationStorage of credentials AucunNone

Dans cette sectionIn this section

RubriqueTopic DescriptionDescription
Administrer AppLockerAdminister AppLocker Cette rubrique destinée aux professionnels de l’informatique fournit des liens d’accès vers des procédures spécifiques à utiliser lors de l’administration des stratégies AppLocker.This topic for IT professionals provides links to specific procedures to use when administering AppLocker policies.
Guide de conception AppLockerAppLocker design guide Cette rubrique destinée aux professionnels de l’informatique présente les étapes de conception et de planification nécessaires pour le déploiement de stratégies de contrôle d’applications à l’aide d’AppLocker.This topic for the IT professional introduces the design and planning steps required to deploy application control policies by using AppLocker.
Guide de déploiement d’AppLockerAppLocker deployment guide Cette rubrique destinée aux professionnels de l’informatique présente les concepts et les procédures requises pour le déploiement des stratégies AppLocker.This topic for IT professionals introduces the concepts and describes the steps required to deploy AppLocker policies.
Informations techniques de référence sur AppLockerAppLocker technical reference Cette rubrique de présentation destinée aux professionnels de l’informatique fournit des liens d’accès vers les rubriques de référence technique.This overview topic for IT professionals provides links to the topics in the technical reference.