Qu’est-ce qu’AppLocker ?

S’applique à

  • Windows 10
  • Windows 11
  • Windows Server 2016 et versions ultérieures

Notes

Certaines fonctionnalités de Windows Defender Contrôle d’application sont disponibles uniquement sur des versions Windows spécifiques. En savoir plus sur la disponibilité Windows Defender application Control.

Cette rubrique pour les professionnels de l’informatique décrit appLocker et la différence entre ses fonctionnalités et les stratégies de restriction logicielle.

AppLocker fait avancer les fonctionnalités de contrôle d’application et les fonctionnalités des stratégies de restriction logicielle. AppLocker contient de nouvelles fonctionnalités et extensions qui vous permettent de créer des règles pour autoriser ou refuser l’exécution d’applications en fonction des identités uniques des fichiers et pour spécifier les utilisateurs ou groupes qui peuvent exécuter ces applications.

À l’aide d’AppLocker, vous pouvez :

  • Contrôlez les types d’applications suivants : fichiers exécutables (.exe et .com), scripts (.js, .ps1, .vbs, .cmd et .bat), fichiers Windows Installer (.mst, .msi et .msp), fichiers DLL (.dll et .ocx), applications empaquetées et programme d’installation d’applications empaquetées (appx).
  • Définissez des règles basées sur les attributs de fichier dérivés de la signature numérique, y compris l’éditeur, le nom du produit, le nom de fichier et la version du fichier. Par exemple, vous pouvez créer des règles basées sur l’attribut éditeur qui est persistant par le biais des mises à jour, ou vous pouvez créer des règles pour une version spécifique d’un fichier.
  • Attribuer une règle à un groupe de sécurité ou à un utilisateur spécifique.
  • Créer des exceptions aux règles. Par exemple, vous pouvez créer une règle qui permet à tous les processus Windows de s’exécuter à l’exception de l’Éditeur du Registre (Regedit.exe).
  • Utiliser le mode Auditer uniquement pour déployer la stratégie et comprendre son impact avant de la mettre en application.
  • Règles d’importation et d’exportation. L’importation et l’exportation affectent l’ensemble de la stratégie. Par exemple, si vous exportez une stratégie, toutes les règles de tous les ensembles de règles sont exportées, y compris les paramètres d’application pour les collections de règles. Si vous importez une stratégie, tous les critères de la stratégie existante sont remplacés.
  • Simplifiez la création et la gestion des règles AppLocker à l’aide Windows PowerShell cmdlets.

AppLocker permet de réduire la surcharge administrative et réduit le coût de gestion des ressources informatiques de l’organisation en réduisant le nombre d’appels du service d’aide résultant de l’exécution d’applications non désapprouvées par les utilisateurs

Pour plus d’informations sur les scénarios de contrôle d’application pris en compte par AppLocker, voir scénarios d’utilisation de stratégie AppLocker.

Quelles fonctionnalités sont différentes entre les stratégies de restriction logicielle et AppLocker ?

Différences entre les fonctionnalités

Le tableau suivant compare AppLocker aux stratégies de restriction logicielle.

Fonctionnalité Stratégies de restriction logicielle AppLocker

Étendue de la règle

Tous les utilisateurs

Utilisateur ou groupe spécifique

Conditions de règle fournies

Hachage de fichier, chemin d’accès, certificat, chemin d’accès au Registre et zone Internet

Hachage de fichier, chemin d’accès et éditeur

Types de règles fournis

Défini par les niveaux de sécurité :

  • Non autorisé

  • Utilisateur de base

  • Non restreint

Autoriser et refuser

Action de règle par défaut

Non restreint

Refus implicite

Mode Audit uniquement

Non

Oui

Assistant pour créer plusieurs règles à la fois

Non

Oui

Importation ou exportation de stratégie

Non

Oui

Collection de règles

Non

Oui

Windows PowerShell prise en charge

Non

Oui

Messages d’erreur personnalisés

Non

Oui

Différences entre les fonctions de contrôle d’application

Le tableau suivant compare les fonctions de contrôle d’application des stratégies de restriction logicielle (SRP) et d’AppLocker.

Fonction de contrôle d’application SRP AppLocker

Étendue du système d’exploitation

Les stratégies SRP peuvent être appliquées à tous Windows d’exploitation à partir de Windows XP et Windows Server 2003.

Les stratégies AppLocker s’appliquent uniquement aux versions et éditions de système d’exploitation pris en charge répertoriées dans la liste Des conditions requises pour utiliser AppLocker . Toutefois, ces systèmes peuvent également utiliser SRP.

Remarque

Utilisez différents G GPO pour les règles SRP et AppLocker.

Prise en charge des utilisateurs

SRP permet aux utilisateurs d’installer des applications en tant qu’administrateur.

Les stratégies AppLocker sont conservées par le biais d’une stratégie de groupe et seul l’administrateur de l’appareil peut mettre à jour une stratégie AppLocker.

AppLocker permet la personnalisation des messages d’erreur pour diriger les utilisateurs vers une page Web pour obtenir de l’aide.

Maintenance des stratégies

Les stratégies SRP sont mises à jour à l’aide du logiciel en snap-in Stratégie de sécurité locale ou de la Console de gestion des stratégies de groupe (GPMC).

Les stratégies AppLocker sont mises à jour à l’aide du logiciel en snap-in Stratégie de sécurité locale ou de la GPMC.

AppLocker prend en charge un petit ensemble d’cmdlets PowerShell pour faciliter l’administration et la maintenance.

Infrastructure de gestion des stratégies

Pour gérer les stratégies SRP, SRP utilise la stratégie de groupe au sein d’un domaine et le logiciel en snap-in Stratégie de sécurité locale pour un ordinateur local.

Pour gérer les stratégies AppLocker, AppLocker utilise la stratégie de groupe au sein d’un domaine et le logiciel en snap-in Stratégie de sécurité locale pour un ordinateur local.

Bloquer les scripts malveillants

Les règles de blocage des scripts malveillants empêchent l’exécution de tous les scripts associés à l’hôte de scripts Windows, à l’exception de ceux signés numériquement par votre organisation.

Les règles AppLocker peuvent contrôler les formats de fichier suivants : .ps1, .bat, .cmd, .vbs et .js. En outre, vous pouvez définir des exceptions pour autoriser l’exécuter sur des fichiers spécifiques.

Gérer l’installation des logiciels

SRP peut empêcher l’installation Windows packages du programme d’installation. Il permet d.msi des fichiers signés numériquement par votre organisation.

La collection de règles Windows Installer est un ensemble de règles créées pour les types de fichiers Windows Installer (.mst, .msi et .msp) pour vous permettre de contrôler l’installation des fichiers sur les ordinateurs et serveurs clients.

Gérer tous les logiciels sur l’ordinateur

Tous les logiciels sont gérés dans un ensemble de règles. Par défaut, la stratégie de gestion de tous les logiciels d’un appareil ne permet pas d’utiliser tous les logiciels sur l’appareil de l’utilisateur', à l’exception des logiciels installés dans le dossier Windows, le dossier Program Files ou les sous-dossiers.

Contrairement au SRP, chaque collection de règles AppLocker fonctionne comme une liste autorisée de fichiers. Seuls les fichiers répertoriés dans la collection de règles seront autorisés à s’exécuter. Cette configuration permet aux administrateurs de déterminer plus facilement ce qui se produit lorsqu’une règle AppLocker est appliquée.

Stratégies différentes pour différents utilisateurs

Les règles sont appliquées uniformément à tous les utilisateurs sur un appareil particulier.

Sur un appareil partagé par plusieurs utilisateurs, un administrateur peut spécifier les groupes d’utilisateurs qui peuvent accéder au logiciel installé. À l’aide d’AppLocker, un administrateur peut spécifier l’utilisateur auquel une règle spécifique doit s’appliquer.