Exporter (0) Imprimer
Développer tout

Vue d'ensemble d'AppLocker dans Windows 7

Mis à jour: janvier 2010

S'applique à: Windows 7

L'objet de cette rubrique est de vous présenter AppLocker, une nouvelle fonctionnalité de contrôle des applications disponible dans Windows 7 qui permet d'empêcher l'exécution d'applications indésirables et inconnues sur le réseau d'une organisation tout en offrant des avantages en matière de sécurité, de fonctionnement et de conformité.

Pour obtenir une vue complète des ressources, articles, démonstrations et conseils relatifs à Windows 7, consultez la Série Springboard pour Windows 7 sur le Windows Client TechCenter.

Introduction

La configuration logicielle d'un ordinateur de bureau typique change de son état souhaité ou initial généralement suite à l'installation et à l'exécution de logiciels non standard ou non autorisés. Les utilisateurs installent des logiciels provenant de chez eux, de téléchargements Internet, d'un partage de fichiers entre collègues et du courrier électronique. Il en résulte une forte propension aux infections causées par des logiciels malveillants, des appels plus nombreux au support technique et des difficultés à garantir que seuls des logiciels approuvés et sous licence s'exécutent sur vos ordinateurs de bureau. De plus, la productivité de l'entreprise diminue. Face à cette situation, bon nombre d'organisations veulent exercer un contrôle accru sur leurs postes de travail au moyen de différents systèmes de verrouillage, notamment la limitation des informations d'identification de l'administrateur. L'utilisation de comptes d'utilisateurs standard, sans privilèges administratifs, est recommandée, car les modifications de configuration pouvant être appliquées à l'environnement de bureau sont effectivement limitées ; toutefois, l'état d'utilisateur standard n'empêche pas l'installation ou l'exécution de logiciels inconnus ou indésirables dans votre organisation.

Dans Windows XP et Windows Vista, les stratégies de restriction logicielle (SRP) mettaient à la disposition des administrateurs informatiques un mécanisme permettant de définir et de faire respecter des stratégies de contrôle d'applications. Toutefois, ces stratégies pouvaient se révéler lourdes à gérer lorsqu'elles étaient utilisées dans un environnement de bureau très dynamique, où les applications étaient constamment installées et mises à jour car les stratégies de contrôle d'applications utilisaient essentiellement des règles de hachage. L'utilisation de règles de hachage implique qu'une nouvelle règle soit créée chaque fois qu'une application est mise à jour.

AppLocker de Windows 7

Windows 7 apporte une réponse au désir croissant d'instaurer des solutions de contrôle d'applications au sein de l'entreprise avec la mise en place d'AppLocker, un mécanisme simple et flexible qui permet aux administrateurs de déterminer précisément ce qui est autorisé à s'exécuter dans leur environnement de bureau. Ainsi, non seulement AppLocker fournit des protections en matière de sécurité, mais il offre également des avantages en termes de fonctionnement et de mise en conformité, car il permet aux administrateurs d'effectuer les opérations suivantes :

  • empêcher l'exécution des logiciels sans licence dans votre environnement de bureau s'ils ne figurent pas dans la liste autorisée ;

  • éviter que des applications vulnérables et non autorisées s'exécutent dans l'environnement de bureau, notamment des logiciels malveillants ;

  • empêcher les utilisateurs d'exécuter des applications qui consomment inutilement de la bande passante réseau, ou qui ont une incidence sur l'environnement informatique de l'entreprise ;

  • empêcher les utilisateurs d'exécuter des applications qui déstabilisent leur environnement de bureau et augmentent les coûts de support technique ;

  • fournir des options supplémentaire pour une gestion efficace de la configuration de bureau ;

  • autorise les utilisateurs à installer et à exécuter des applications approuvées et des mises à jour de logiciels en fonction de stratégies tout en maintenant l'exigence selon laquelle seuls les utilisateurs disposant d'informations d'identification d'administration peuvent installer ou exécuter des applications et des mises à jour de logiciels ;

  • permettre de garantir la conformité de votre environnement de bureau avec les stratégies de l'entreprise et les réglementations spécifiques au secteur d'activité.

AppLocker propose une structure simple et puissante au moyen de deux actions de règles : autorisation et refus. Cette fonctionnalité permet également d'identifier des exceptions à ces actions. Une action d'autorisation sur des règles limite l'exécution des applications à une liste autorisée d'applications et bloque toutes les autres. Une action de refus sur des règles procède à l'inverse et autorise l'exécution de toutes les applications, sauf de celles qui sont inscrites dans une liste des applications refusées. Beaucoup d'entreprises auront tendance à choisir une combinaison d'actions d'autorisation et de refus, alors que le déploiement idéal d'AppLocker utilise des actions d'autorisation sur des règles avec des exceptions intégrées. Les règles d'exception vous permettent d'exclure des fichiers d'une action d'autorisation ou de refus sur une règle qui serait habituellement incluse. L'utilisation d'exceptions vous permet de créer une règle visant à « autoriser l'exécution de tous les programmes du système d'exploitation Windows à l'exception des jeux intégrés ». L'utilisation de l'action d'autorisation sur des règles associées à des exceptions constitue un bon moyen pour dresser une liste autorisée d'applications connues » sans avoir à créer un nombre incalculable de règles.

AppLocker met en place des règles d'éditeur qui sont basées sur les signatures numériques des applications. Les règles d'éditeur permettent d'élaborer des règles qui survivent aux mises à jour des applications grâce à la possibilité de spécifier des attributs tels que la version d'une application. Par exemple, une organisation peut créer une règle pour « autoriser toute version du logiciel Acrobat Reader ultérieure à la version 9.0 de s'exécuter si elle est signée par son éditeur, Adobe ». Ainsi, lorsqu'Adobe procède à la mise à jour d'Acrobat, vous pouvez déployer la mise à jour de l'application sans avoir besoin de créer une autre règle pour la nouvelle version de l'application.

AppLocker prend en charge plusieurs stratégies configurables individuellement, appelées « regroupements de règles » : fichiers exécutables, programmes d'installation, scripts et DLL. Le fait d'utiliser plusieurs regroupements donne la possibilité à une organisation d'élaborer des règles qui dépassent les solutions classiques consistant à gérer uniquement des fichiers exécutables, en offrant une plus grande flexibilité et une protection renforcée. Ainsi, une organisation peut créer une règle qui « autorise le groupe de sécurité Graphique à exécuter le programme d'installation ou l'application d'Adobe pour le logiciel Photoshop à condition qu'il s'agisse de la version 14.* d'Adobe Photoshop ». Cela permet aux administrateurs informatiques de conserver le contrôle tout en autorisant les utilisateurs de maintenir leurs ordinateurs à jour en fonction de leurs besoins professionnels. De plus, chacune de ces stratégies peut être testée individuellement en mode d'audit uniquement, ce qui vous donne la possibilité de tester vos règles avant qu'elles puissent commencer à empêcher l'exécution d'applications et à affecter potentiellement la productivité des utilisateurs.

Les règles AppLocker peuvent être associées à un utilisateur ou à un groupe spécifique au sein d'une organisation. Cette facilité vous procure un niveau de contrôle précis, en adéquation avec les spécifications de conformité, pour valider et activer les utilisateurs autorisés à exécuter des applications spécifiques. Par exemple, vous pouvez créer une règle pour « autoriser les utilisateurs du groupe de sécurité Finances à exécuter les applications propres au secteur de la finance ». Cette règle interdira à quiconque n'appartenant pas au groupe de sécurité Finances d'exécuter vos applications financières (administrateurs inclus), tout en autorisant ceux ayant professionnellement besoin d'utiliser ces applications de le faire.

AppLocker fournit une solide pratique aux informaticiens par le biais des nouveaux Assistants et outils de création de règles qu'il contient. Par exemple, les administrateurs informatiques peuvent automatiquement générer des règles à l'aide d'un ordinateur de test de référence, puis importer les règles dans un environnement de production en vue d'un déploiement de grande ampleur. L'administrateur informatique peut également exporter une stratégie dans le but de sauvegarder la configuration de production ou de créer une documentation par souci de conformité. Votre infrastructure de stratégie de groupe peut également être utilisée pour générer et déployer des règles AppLocker, réduisant ainsi les coûts de formation et de support technique de votre organisation.

AppLocker est une nouvelle technologie proposée dans Windows 7 Enterprise et Windows 7 Édition Intégrale. De plus, AppLocker est disponible dans Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter et Windows Server 2008 R2 pour les systèmes Itanium. Les stratégies de restriction logicielles sont également disponibles dans ces mêmes éditions.

Résumé

Votre environnement de bureau n'est pas seulement un de vos outils de productivité les plus importants, il représente également un investissement significatif. Vous avez besoin d'outils permettant à vos utilisateurs d'exécuter les applications qui leur sont nécessaires pour travailler de façon optimale, tout en assurant une défense efficace contre les logiciels inconnus et indésirables.

Windows 7 apporte une réponse au besoin de solutions de contrôle d'applications au sein de l'entreprise avec la mise en place d'AppLocker, un mécanisme simple et flexible qui permet aux administrateurs de déterminer précisément ce qui est autorisé à s'exécuter dans leur environnement de bureau. Ainsi, non seulement AppLocker fournit des protections en matière de sécurité, mais il offre également des avantages en termes de fonctionnement et de mise en conformité. De plus, AppLocker peut être administré à l'aide d'outils et de techniques connus et éprouvés, en permettant de mobiliser vos ressources informatiques afin de faire coïncider votre infrastructure informatique avec vos exigences professionnelles dynamiques.

Voir aussi

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft