AppLocker est une nouvelle fonctionnalité dans Windows 7 et Windows Server 2008 R2 qui remplace les stratégies de restriction logicielle. AppLocker contient de nouvelles fonctions et extensions qui réduisent la charge administrative, et qui permettent aux administrateurs de contrôler la façon dont les utilisateurs accèdent aux fichiers (notamment les fichiers exécutables, les scripts, les fichiers Windows Installer et les DLL) et les utilisent. AppLocker vous permet d’effectuer les tâches suivantes :
- Définir des règles basées sur des attributs de fichier dérivés de la signature numérique, y compris l’éditeur, le nom du produit, le nom du fichier et la version du fichier. Par exemple, vous pouvez créer des règles basées sur l’attribut d’éditeur qui est persistant après des mises à jour, ou vous pouvez créer des règles pour une version spécifique d’un fichier.
- Affecter une règle à un groupe de sécurité ou à un utilisateur individuel.
- Créer des exceptions aux règles. Par exemple, vous pouvez créer une règle qui autorise l’exécution de tous les processus Windows, à l’exception de l’Éditeur du Registre (Regedit.exe).
- Utiliser le mode d’audit uniquement pour déployer la stratégie et comprendre son impact avant de l’appliquer.
- Importer et exporter des règles. L’importation et l’exportation affectent la stratégie dans son intégralité. Par exemple, si vous exportez une stratégie, toutes les règles de l’ensemble des regroupements de règles sont exportées, y compris les paramètres d’application pour les regroupements de règles. Si vous importez une stratégie, la stratégie existante est remplacée.
- Simplifier la création et la gestion de règles AppLocker à l’aide d’applets de commande PowerShell AppLocker.
Pour plus d’informations sur les règles AppLocker, voir Présentation des règles AppLocker.
Qu’est-ce qui a changé ?
Le tableau suivant compare AppLocker et les stratégies de restriction logicielle.
| Fonctionnalité | Stratégies de restriction logicielle | AppLocker |
|---|---|---|
Étendue de la règle | Tous les utilisateurs | Utilisateur ou groupe spécifique |
Conditions de règle fournies |
Règles de hachage du fichier, de chemin d’accès, de certificat, de chemin d’accès du Registre et de zone Internet |
Règles de hachage du fichier, de chemin d’accès et d’éditeur |
Types de règle fournis | Autoriser et refuser | Autoriser et refuser |
Action de règle par défaut | Autoriser ou refuser | Refuser |
Mode audit uniquement |
Non |
Oui |
Assistant pour créer plusieurs règles à la fois |
Non |
Oui |
Importation ou exportation de stratégie |
Non |
Oui |
Regroupement de règles |
Non |
Oui |
Prise en charge de PowerShell | Non | Oui |
Messages d’erreur personnalisés | Non | Oui |
Configuration requise pour AppLocker
AppLocker est disponible dans toutes les éditions de Windows Server 2008 R2, ainsi que dans Windows 7 Édition Intégrale et Windows 7 Entreprise. Pour utiliser AppLocker, il vous faut :
- Un ordinateur exécutant Windows Server 2008 R2, Windows 7 Édition Intégrale, Windows 7 Entreprise ou Windows 7 Professionnel pour créer des règles AppLocker. Windows 7 Professionnel peut être utilisé pour créer des règles, mais celles-ci ne peuvent pas être appliquées à des ordinateurs exécutant Windows 7 Professionnel. L’ordinateur peut être un contrôleur de domaine.
- Pour le déploiement de la stratégie de groupe, au moins un ordinateur équipé de la Console de gestion des stratégies de groupe ou des Outils d’administration de serveur distant pour héberger les règles AppLocker.
- Des ordinateurs exécutant Windows Server 2008 R2, Windows 7 Édition Intégrale ou Windows 7 Entreprise pour appliquer les règles AppLocker que vous créez.