Regroupements de règles
Le composant logiciel enfichable Microsoft Management Console (MMC) AppLocker comprend quatre zones appelées « regroupements de règles ». Il s’agit des fichiers exécutables, des scripts, des fichiers Windows Installer et des fichiers DLL. Ces regroupements permettent aux administrateurs de différencier aisément les règles pour différents types d’applications. Le tableau suivant répertorie les formats de fichiers inclus dans chaque regroupement de règles.
 | Remarques |
Le regroupement de règles DLL n’est pas activé par défaut. Pour savoir comment activer le regroupement de règles DLL, voir Appliquer des règles AppLocker. |
| Regroupement de règles | Formats de fichiers associés |
|---|---|
Exécutable |
.exe .com |
Scripts |
.ps1 .bat .cmd .vbs .js |
Windows Installer |
.msi .msp |
DLL |
.dll .ocx |
 | Important |
Si vous utilisez des règles DLL, vous devez créer une règle d’autorisation DLL pour chaque DLL utilisée par toutes les applications autorisées. |
 | Attention |
Lorsque des règles DLL sont utilisées, AppLocker doit vérifier qu’une application est chargée dans chaque DLL. Les utilisateurs peuvent donc constater une diminution des performances lors de l’utilisation de règles DLL. |
Conditions de règle
Les conditions de règle correspondent aux critères sur lesquels la règle AppLocker est basée. Des conditions principales sont requises pour créer une règle AppLocker. Les trois conditions principales de règle sont les suivantes : éditeur, chemin d’accès et hachage du fichier.
Éditeur
Cette condition identifie une application en fonction de sa signature numérique et de ses attributs étendus. La signature numérique contient des informations sur l’entreprise ayant créé l’application (l’éditeur). Les attributs étendus, qui proviennent de la ressource binaire, contiennent le nom du produit dont l’application fait partie et le numéro de version de l’application. L’éditeur peut être une société de développement de logiciels, comme Microsoft, ou bien le service informatique de votre organisation.
| Remarques |
Utilisez une condition éditeur chaque fois que cela est possible. Vous pouvez créer des conditions éditeur pour permettre aux applications de continuer de fonctionner même en cas de modification de l’emplacement de l’application ou de mise à jour de l’application. |
Lorsque vous sélectionnez un fichier de référence pour une condition éditeur, l’Assistant crée une règle qui spécifie l’éditeur, le produit, le nom du fichier et le numéro de version. Vous pouvez rendre la règle plus générique en déplaçant le curseur vers le bas ou en utilisant un caractère générique (*) dans les champs du produit, du nom du fichier ou du numéro de version.
| Remarques |
Pour entrer des valeurs personnalisées lors de la création d’une règle dans l’Assistant Création de règles, vous devez activer la case à cocher Utiliser des valeurs personnalisées. Lorsque cette case à cocher est activée, vous ne pouvez pas utiliser le curseur pour rendre la règle plus ou moins spécifique. |
La version du fichier contrôle si un utilisateur peut exécuter une version spécifique, des versions antérieures ou des versions ultérieures. Vous pouvez choisir un numéro de version, puis configurer les options suivantes :
- Exactement. La règle s’applique uniquement à cette version de l’application.
- Et supérieure. La règle s’applique à cette version et à toutes les versions ultérieures.
- Et inférieure. La règle s’applique à cette version et à toutes les versions antérieures.
Le tableau suivant décrit le mode d’application d’une condition éditeur.
| Option | La condition éditeur autorise ou refuse… | |
|---|---|---|
Tous les fichiers signés | Tous les fichiers qui sont signés par un éditeur. | |
Éditeur uniquement | Tous les fichiers qui sont signés par l’éditeur nommé. | |
Éditeur et nom de produit | Tous les fichiers pour le produit spécifié qui sont signés par l’éditeur nommé. | |
Éditeur, nom de produit et nom de fichier | Toutes les versions du fichier nommé pour le produit nommé qui sont signées par l’éditeur. | |
Éditeur, nom de produit, nom de fichier et version de fichier | Exactement | La version spécifiée du fichier nommé pour le produit nommé qui est signée par l’éditeur. |
Éditeur, nom de produit, nom de fichier et version de fichier | Et supérieure | La version spécifiée du fichier nommé et toute nouvelle version du produit qui sont signées par l’éditeur. |
Éditeur, nom de produit, nom de fichier et version de fichier | Et inférieure | La version spécifiée du fichier nommé et toute version antérieure du produit qui sont signées par l’éditeur. |
Personnaliser | Vous pouvez modifier les champs Éditeur, Nom de produit, Nom de fichier et Version pour créer une règle personnalisée. | |
Chemin d’accès
Cette condition identifie une application par son emplacement dans le système de fichiers de l’ordinateur ou sur le réseau.
AppLocker utilise des variables de chemin d’accès pour les répertoires dans Windows.
| Remarques |
Bien que deux de ces variables de chemin d’accès utilisent le même format que les variables d’environnement Windows, il ne s’agit pas de variables d’environnement. AppLocker peut uniquement interpréter les variables de chemin d’accès AppLocker. |
Le tableau suivant explique en détail ces variables de chemin d’accès.
| Répertoire ou lecteur Windows | Variable de chemin d’accès AppLocker | Variable d’environnement Windows |
|---|---|---|
Windows | %WINDIR% | %SystemRoot% |
System32 | %SYSTEM32% | %SystemDirectory% |
Répertoire d’installation de Windows | %OSDRIVE% | %SystemDrive% |
Fichiers programmes | %PROGRAMFILES% | %ProgramFiles% et %ProgramFiles(x86)% |
Média amovible (par exemple, un CD ou un DVD) | %REMOVABLE% | |
Dispositif de stockage amovible (par exemple, un disque mémoire flash USB) | %HOT% |
| Important |
Les conditions chemin d’accès pouvant être configurées de manière à inclure un grand nombre de dossiers et de fichiers, vous devez soigneusement les planifier. Par exemple, si une règle d’autorisation avec une condition chemin d’accès comprend un emplacement de dossier dans lequel des utilisateurs qui ne sont pas des administrateurs sont autorisés à écrire des données, un utilisateur peut copier des fichiers non approuvés dans cet emplacement et exécuter les fichiers. Pour cette raison, il est déconseillé de créer des conditions chemin d’accès dans des emplacements accessibles en écriture à un utilisateur standard, par exemple un profil d’utilisateur. |
Hachage du fichier
Lorsque la condition hachage du fichier est sélectionnée, le système calcule un hachage de chiffrement du fichier identifié.
Règles AppLocker par défaut
AppLocker vous permet de générer des règles par défaut pour chaque type de règle.
Types de règles d’exécutable par défaut :
- Permettre aux membres du groupe Administrateurs local d’exécuter toutes les applications.
- Permettre aux membres du groupe Tout le monde d’exécuter des applications situées dans le dossier Windows.
- Permettre aux membres du groupe Tout le monde d’exécuter des applications situées dans le dossier Program Files.
Types de règles Windows Installer par défaut :
- Permettre aux membres du groupe Administrateurs local d’exécuter tous les fichiers Windows Installer.
- Permettre aux membres du groupe Tout le monde d’exécuter des fichiers Windows Installer signés numériquement.
- Permettre aux membres du groupe Tout le monde d’exécuter tous les fichiers Windows Installer situés dans le dossier Windows\Installer.
Types de règles de script par défaut :
- Permettre aux membres du groupe Administrateurs local d’exécuter tous les scripts.
- Permettre aux membres du groupe Tout le monde d’exécuter des scripts situés dans le dossier Program Files.
- Permettre aux membres du groupe Tout le monde d’exécuter des scripts situés dans le dossier Windows.
Types de règles DLL par défaut :
- Permettre aux membres du groupe Administrateurs local d’exécuter toutes les DLL.
- Permettre aux membres du groupe Tout le monde d’exécuter des DLL situées dans le dossier Program Files.
- Permettre aux membres du groupe Tout le monde d’exécuter des DLL situées dans le dossier Windows.
Pour plus d’informations, voir Créer des règles AppLocker par défaut.
Comportement des règles AppLocker
Si aucune règle AppLocker n’existe pour un regroupement de règles spécifique, tous les fichiers appartenant à ce format de fichier peuvent être exécutés. Toutefois, lorsqu’une règle AppLocker pour un regroupement de règles spécifique est créée, seuls les fichiers explicitement autorisés dans une règle peuvent être exécutés. Par exemple, si vous créez une règle d’exécutable qui autorise l’exécution de fichiers .exe dans %SystemDrive%\FilePath, seuls les fichiers exécutables situés dans ce chemin d’accès peuvent être exécutés.
Une règle peut être configurée pour utiliser une action d’autorisation ou de refus :
- Autoriser. Vous pouvez spécifier les fichiers pouvant être exécutés dans votre environnement, et pour quels utilisateurs ou groupes d’utilisateurs. Vous pouvez aussi configurer des exceptions pour identifier les fichiers exclus de la règle.
- Refuser. Vous pouvez spécifier les fichiers not pouvant pas être exécutés dans votre environnement, et pour quels utilisateurs ou groupes d’utilisateurs. Vous pouvez aussi configurer des exceptions pour identifier les fichiers exclus de la règle.
| Important |
Vous pouvez utiliser une combinaison d’actions d’autorisation et de refus. Toutefois, nous vous recommandons d’utiliser des actions d’autorisation avec des exceptions, car les actions de refus l’emportent sur les actions d’autorisation dans tous les cas. Il est aussi possible de contourner les actions de refus. |
Exceptions de règle
Vous pouvez appliquer des règles AppLocker à des utilisateurs individuels ou à un groupe d’utilisateurs. Si vous appliquez une règle à un groupe d’utilisateurs, tous les utilisateurs de ce groupe sont affectés par cette règle. Si vous avez besoin d’autoriser un sous-ensemble d’un groupe d’utilisateurs à utiliser une application, vous pouvez créer une règle spéciale pour ce sous-ensemble. Par exemple, la règle « Autoriser Tout le monde à exécuter Windows sauf l’Éditeur du Registre » autorise tous les employés de l’organisation à exécuter Windows, mais interdit à toute personne d’exécuter l’Éditeur du Registre. Toutefois, cette règle empêcherait les membres du support technique d’exécuter un programme qui est nécessaire dans le cadre de leurs opérations de support. Pour résoudre ce problème, vous devez créer une deuxième règle qui s’applique au groupe d’utilisateurs du support technique : « Autoriser le support technique à exécuter l’Éditeur du Registre ». Si vous créez une règle de refus qui interdit aux utilisateurs d’exécuter l’Éditeur du Registre, la règle de refus remplace la deuxième règle qui autorise le groupe d’utilisateurs du support technique à exécuter l’Éditeur du Registre.
Assistants AppLocker
Vous pouvez créer des règles personnalisées de deux manières :
- L’Assistant Création de règles vous permet de créer une règle à la fois. Pour plus d’informations, voir Créer une règle AppLocker.
- L’Assistant Génération automatique de règles vous permet de sélectionner un dossier, de sélectionner un utilisateur ou un groupe auquel la règle sera appliquée, puis de créer plusieurs règles à la fois pour ce dossier. Cet Assistant ne génère automatiquement que des règles d’autorisation. Pour plus d’informations, voir Générer automatiquement des règles AppLocker.
Considérations supplémentaires
- Par défaut, les règles AppLocker ne permettent pas aux utilisateurs d’ouvrir ou d’exécuter des fichiers qui ne sont pas spécifiquement autorisés. Il est conseillé que les administrateurs conservent une liste à jour des applications autorisées.
- Il existe deux types de conditions AppLocker qui ne persistent pas après une mise à jour :
- Condition hachage du fichier. Les conditions hachage du fichier peuvent être utilisées avec n’importe quelle application, car une valeur de hachage de chiffrement de l’application est générée au moment de la création de la règle. Toutefois, la valeur de hachage est spécifique à cette version particulière de l’application. Si plusieurs versions de l’application sont utilisées au sein de l’organisation, vous devez créer des conditions hachage du fichier pour chaque version utilisée et pour les nouvelles versions qui sont publiées.
- Condition éditeur avec une version de produit spécifique définie. Si vous créez une condition éditeur qui utilise l’option de condition de fichier Exactement, la règle ne persiste pas si une nouvelle version de l’application est installée. Une nouvelle condition éditeur doit être créée, ou la version de la règle doit être modifiée pour être moins spécifique.
- Condition hachage du fichier. Les conditions hachage du fichier peuvent être utilisées avec n’importe quelle application, car une valeur de hachage de chiffrement de l’application est générée au moment de la création de la règle. Toutefois, la valeur de hachage est spécifique à cette version particulière de l’application. Si plusieurs versions de l’application sont utilisées au sein de l’organisation, vous devez créer des conditions hachage du fichier pour chaque version utilisée et pour les nouvelles versions qui sont publiées.
- Si une application n’est pas signée numériquement, vous ne pouvez pas utiliser une condition éditeur.
- Les règles AppLocker ne peuvent pas être utilisées pour gérer des ordinateurs exécutant un système d’exploitation Windows antérieur à Windows 7. Des stratégies de restriction logicielle doivent être utilisées à la place.
- Si des règles AppLocker sont définies dans un objet de stratégie de groupe, seules ces règles sont appliquées. Pour assurer l’interopérabilité entre les règles de stratégies de restriction logicielle et les règles AppLocker, définissez les règles de stratégies de restriction logicielle et les règles AppLocker dans des objets de stratégie de groupe différents.
- Lorsqu’une règle AppLocker a la valeur Audit uniquement, la règle n’est pas appliquée. Lorsqu’un utilisateur exécute une application qui est incluse dans la règle, l’application est ouverte et s’exécute normalement, et les informations sur cette application sont ajoutées au journal des événements AppLocker.
- Une URL personnalisée peut figurer dans le message qui est affiché en cas de blocage d’une application.
- Attendez-vous au départ à une augmentation du nombre d’appels au support technique en raison du blocage des applications. Le volume d’appels devrait décroître au fur et à mesure que les utilisateurs réalisent qu’ils ne peuvent pas exécuter les applications qui ne sont pas autorisées.
Références supplémentaires