Présentation technique AppLocker
S’applique à : Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise
Cette présentation technique pour professionnels de l’informatique fournit une description d’AppLocker. Ces informations peuvent vous aider à décider si votre organisation peut bénéficier du déploiement de stratégies de contrôle d’application AppLocker. AppLocker aide les administrateurs à contrôler les applications et les fichiers que les utilisateurs peuvent exécuter. Cela comprend les fichiers exécutables, les scripts, les fichiers du programme d’installation de Windows, les bibliothèques de liens dynamiques (DLL), les applications empaquetées et les programmes d’installation d’applications empaquetées.
Conseil
Pour enregistrer ou imprimer numériquement des pages de cette bibliothèque, cliquez sur Exporter (en haut à droite de la page), puis suivez les instructions.
À quoi sert AppLocker ?
AppLocker permet de réaliser les opérations suivantes :
Définir les règles selon les attributs de fichiers qui demeurent entre les mises à jour des applications comme le nom de l’éditeur (dérivé de la signature numérique), le nom du produit, le nom du fichier et la version du fichier. Vous pouvez également créer des règles selon le chemin d’accès et le hachage du fichier.
Attribuer une règle à un groupe de sécurité ou à un utilisateur individuel.
Créer des exceptions aux règles. Vous pouvez notamment créer une règle qui autorise tous les utilisateurs à exécuter tous les binaires Windows, hormis l’Éditeur du Registre (Regedit.exe).
Utiliser le mode Auditer uniquement pour déployer la stratégie et comprendre son impact avant sa mise en vigueur.
Créer des règles sur un serveur intermédiaire, les tester, puis les exporter dans votre environnement de production et les importer dans un objet de stratégie de groupe.
Simplifier la création et la gestion de règles AppLocker à l’aide des applets de commande Windows PowerShell pour AppLocker.
AppLocker permet de réduire la charge d’administration et le coût de gestion des ressources informatiques de l’organisation en diminuant le nombre des appels au support technique qui résultent de l’exécution, par les utilisateurs, d’applications non approuvées. AppLocker traite les scénarios de sécurité des applications suivants :
Inventaire des applications
AppLocker a la possibilité d’appliquer sa stratégie en mode Auditer uniquement où l’activité d’accès à toutes les applications est inscrite dans des journaux des événements. Ces événements peuvent être collectés en vue d’une analyse plus approfondie. Les applets de commande Windows PowerShell vous aident également à analyser ces données par programme.
Protection contre les logiciels indésirables
AppLocker a la possibilité de refuser l’exécution d’applications lorsque vous les excluez de la liste des applications autorisées. Une fois que les règles AppLocker sont appliquées dans l’environnement de production, l’exécution de toute application qui n’est pas incluse dans les règles autorisées est bloquée.
Conformité aux licences
AppLocker peut vous aider à créer des règles qui excluent l’exécution de tout logiciel sans licence et limitent les logiciels sous licence aux utilisateurs autorisés.
Normalisation des logiciels
Les stratégies AppLocker peuvent être configurées pour autoriser l’exécution uniquement des applications prises en charge ou approuvées sur les ordinateurs d’un groupe professionnel. Cela permet un déploiement plus uniforme des applications.
Amélioration de la facilité de gestion
AppLocker présente plusieurs améliorations apportées à la facilité de gestion par rapport à ses stratégies de restriction logicielle précédentes. L’importation et l’exportation de stratégies, la génération automatique de règles de plusieurs fichiers, le déploiement du mode Auditer uniquement et les applets de commande Windows PowerShell figurent parmi les améliorations apportées par rapport aux stratégies de restriction logicielles.
Quand utiliser AppLocker
Dans de nombreuses organisations, les informations sont la ressource la plus précieuse, et il est impératif de garantir que seuls les utilisateurs approuvés ont accès à ces informations. Les technologies de contrôle d’accès telles que les services AD RMS (Active Directory Rights Management Services) et les listes de contrôle d’accès (ACL) permettent de contrôler quels utilisateurs disposent d’une autorisation d’accès.
Toutefois, lorsqu’un utilisateur exécute un processus, ce processus a le même niveau d’accès aux données que celui dont dispose l’utilisateur. Par conséquent, des informations sensibles peuvent facilement être supprimées ou transmises hors de l’organisation si un utilisateur exécute intentionnellement ou involontairement des logiciels malveillants. AppLocker peut aider à réduire ces types de violations de la sécurité en limitant les fichiers que les utilisateurs ou les groupes sont autorisés à exécuter.
Les éditeurs de logiciels commencent à créer plus d’applications qui peuvent être installées par les utilisateurs non-administrateurs. Par conséquent, la stratégie de sécurité écrite d’une organisation peut être compromise et les solutions de contrôle d’applications traditionnelles basées sur l’incapacité des utilisateurs à installer des applications peuvent être contournées. En donnant la possibilité aux administrateurs de créer une liste autorisée d’applications et de fichiers approuvés, AppLocker permet d’empêcher l’exécution de telles applications par utilisateur. Dans la mesure où AppLocker peut contrôler les DLL, il s’avère également utile de contrôler qui peut installer et exécuter les contrôles ActiveX.
AppLocker est idéal pour les organisations qui utilisent actuellement une stratégie de groupe pour gérer leurs ordinateurs Windows. Étant donné qu’AppLocker s’appuie sur une stratégie de groupe pour la création et le déploiement, la connaissance des stratégies de groupes est utile si vous envisagez d’utiliser cet outil.
Voici quelques exemples de scénarios dans lesquels AppLocker peut être utilisé :
La stratégie de sécurité de votre organisation indiquant l’utilisation de logiciels sous licence uniquement, vous devez empêcher les utilisateurs d’exécuter tout logiciel sans licence et limiter également l’utilisation des logiciels sous licence aux utilisateurs autorisés.
Une application n’est plus prise en charge par votre organisation, donc vous devez empêcher son utilisation par quiconque.
Le risque que des logiciels indésirables puissent être introduits dans votre environnement est élevé, donc vous devez réduire cette menace.
La licence sur une application a été révoquée ou a expiré dans votre organisation, donc vous devez empêcher son utilisation par quiconque.
Une nouvelle application ou une nouvelle version d’une application est déployée, et vous devez empêcher les utilisateurs d’exécuter l’ancienne version.
Des outils logiciels spécifiques ne sont pas autorisés dans l’organisation, ou seuls des utilisateurs spécifiques doivent avoir accès à ces outils.
Un seul utilisateur ou un petit groupe d’utilisateurs doit utiliser une application spécifique qui est bloquée pour tous les autres.
Certains ordinateurs de votre organisation sont partagés par des personnes qui ont des besoins d’utilisation des logiciels différents, et vous devez protéger des applications spécifiques.
Outre d’autres mesures, vous devez contrôler l’accès aux données sensibles via l’utilisation des applications.
AppLocker peut vous aider à protéger les biens numériques dans votre organisation, à réduire la menace des logiciels malveillants introduits dans votre environnement ainsi qu’à améliorer la gestion du contrôle de l’application et la maintenance des stratégies de contrôle de l’application.
Versions, interopérabilité et différences dans les fonctionnalités
Versions prises en charge et éléments d’interopérabilité à prendre en considération
Les stratégies AppLocker peuvent être uniquement configurées et appliquées sur des ordinateurs exécutant les versions et éditions prises en charge du système d’exploitation Windows : Pour plus d'informations, consultez Configuration requise pour utiliser AppLocker.
Différences dans les fonctionnalités entre les versions
Le tableau suivant répertorie les différences par version de système d’exploitation pour chacune des principales fonctionnalités ou fonctions d’AppLocker :
| Fonctionnalité ou fonction | Windows Server 2008 R2 et Windows 7 | R2 Windows Server 2012, Windows Server 2012, Windows 8.1, et Windows 8 |
|---|---|---|
| Possibilité de définir des règles pour les applications empaquetées et les programmes d’installation d’applications empaquetées. | Non | Oui |
| Les stratégies AppLocker sont gérées via une stratégie de groupe, et seul l’administrateur de l’ordinateur peut mettre à jour une stratégie AppLocker. | Oui | Oui |
| AppLocker permet la personnalisation des messages d’erreur pour que les administrateurs puissent diriger les utilisateurs vers une page web pour obtenir de l’aide. | Oui | Oui |
| Possibilité de fonctionner en association avec des stratégies de restriction logicielle (en utilisant des objets de stratégie de groupe distincts). | Oui | Oui |
| AppLocker prend en charge un petit ensemble d’applets de commande Windows PowerShell pour aider à l’administration et à la maintenance. | Oui | Oui |
| Les règles AppLocker peuvent contrôler les formats de fichiers répertoriés : | - .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .dll - .ocx |
- .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .mst - .dll - .ocx - .appx |
Pour plus d’informations sur la comparaison des fonctions de contrôle d’application dans les stratégies de restriction logicielle et AppLocker, ainsi que sur l’utilisation combinée de ces deux fonctionnalités, voir Utiliser AppLocker et les stratégies de Restriction logicielle dans le même domaine.
Configuration système requise
Les stratégies AppLocker peuvent être uniquement configurées et appliquées sur des ordinateurs exécutant les versions et éditions prises en charge du système d’exploitation Windows : Une stratégie de groupe est requise pour distribuer les objets de stratégie de groupe qui contiennent des stratégies AppLocker. Pour plus d'informations, voir Configuration requise pour utiliser AppLocker.
Les règles AppLocker peuvent être créées sur les contrôleurs de domaine.
Notes
La capacité à créer des règles ou à les mettre en application pour les applications et les programmes d’installation d’applications empaquetés n’est pas disponible sur Windows Server 2008 R2 et Windows 7.
Installation d’AppLocker
AppLocker est inclus avec les éditions de niveau entreprise de Windows. Vous pouvez créer des règles AppLocker pour un seul ordinateur ou pour un groupe d’ordinateurs. Pour un seul ordinateur, vous pouvez créer des règles à l’aide de l’éditeur de stratégie de sécurité locale (secpol.msc). Pour un groupe d’ordinateurs, vous pouvez créer les règles au sein d’un objet de stratégie de groupe à l’aide de la console de gestion des stratégies de groupe (GPMC).
Notes
La console GPMC est disponible dans les ordinateurs clients exécutant Windows uniquement par le biais de l’installation des outils d’administration de serveur distant. Sur un ordinateur exécutant Windows Server, vous devez installer la fonctionnalité de gestion de stratégie de groupe.
Utilisation d’AppLocker sur une installation minimale
Windows PowerShell peut être utilisé pour gérer AppLocker sur les installations minimales en utilisant les applets de commande AppLocker et, dans le cadre d’une administration dans un objet de stratégie de groupe, les applets de commande PowerShell de stratégie de groupe. Pour plus d’informations, voir la Référence sur les commandes PowerShell AppLocker.
Éléments à prendre en compte en matière de virtualisation
Vous pouvez administrer les stratégies AppLocker à l’aide d’une instance virtualisée de Windows, à condition qu’elle réponde à toutes les exigences système répertoriées précédemment. Vous pouvez également exécuter une stratégie de groupe dans une instance virtualisée. Toutefois, vous risquez de perdre les stratégies que vous avez créées et que vous gérez si l’instance virtualisée est supprimée ou échoue.
Éléments à prendre en compte en matière de sécurité
Les stratégies de contrôle d’application indiquent les programmes autorisés à s’exécuter sur l’ordinateur local.
Étant donné les diverses formes que peuvent revêtir les logiciels malveillants, il est difficile pour les utilisateurs de savoir quels logiciels exécuter en toute sécurité. Lorsqu’il est activé, un logiciel malveillant peut endommager le contenu d’un lecteur de disque dur, saturer un réseau avec des demandes d’attaques par déni de service, envoyer des informations confidentielles sur Internet ou compromettre la sécurité d’un ordinateur.
La contre-mesure consiste à créer une sonorisation pour les stratégies de contrôle de l’application sur les ordinateurs des utilisateurs finaux de votre organisation, puis de tester soigneusement les stratégies dans un environnement de test avant de les déployer dans un environnement de production. AppLocker peut faire partie de votre stratégie de contrôle de l’application, car vous pouvez contrôler les logiciels qui sont autorisés à être exécutés sur vos ordinateurs.
L’implémentation d’une stratégie de contrôle de l’application défectueuse peut désactiver les applications nécessaires ou autoriser l’exécution de logiciels malveillants ou involontaires. Par conséquent, il est important que les organisations consacrent suffisamment de ressources à la gestion et au dépannage de l’implémentation de telles stratégies.
Pour plus d’informations sur les problèmes de sécurité spécifiques, voir Considérations relatives à la sécurité pour AppLocker.
Lorsque vous utilisez AppLocker pour créer des stratégies de contrôle d’application, tenez compte des considérations de sécurité suivantes :
Qui est autorisé à définir des stratégies AppLocker ?
Comment confirmer l’application des stratégies ?
Quels événements auditer ?
À titre de référence dans votre planification de la sécurité, le tableau suivant identifie les paramètres de base pour un ordinateur client sur lequel la fonctionnalité AppLocker est installée :
| Paramètre | Valeur par défaut |
|---|---|
| Comptes créés | Aucune |
| Méthodes d'authentification | Non applicable |
| Interfaces de gestion | AppLocker peut être gérée à l’aide d’un composant logiciel enfichable de la console de gestion Microsoft, de la gestion de stratégie de groupe et de Windows PowerShell |
| Ports ouverts | Aucune |
| Autorisations minimales requises | Administrateur sur l’ordinateur local ; Administrateur de domaine ou tout autre ensemble de droits vous autorisant à créer, modifier, et distribuer Objets de stratégie de groupe. |
| Protocoles utilisés | Non applicable |
| Tâches planifiées | Appidpolicyconverter.exe est placé dans une tâche planifiée à exécuter à la demande. |
| Stratégies de sécurité | Aucune requise. AppLocker crée des stratégies de sécurité. |
| Services système requis | Le service d’identité de l’application (appidsvc) s’exécute sous LocalServiceAndNoImpersonation. |
| Stockage des informations d’identification | Aucune |
Maintenance des stratégies AppLocker
Vous trouverez des informations sur la maintenance des stratégies Applocker dans les rubriques suivantes :
Voir aussi
| Resource | Windows Server 2008 R2 et Windows 7 | R2 Windows Server 2012, Windows Server 2012, Windows 8.1, et Windows 8 |
|---|---|---|
| Évaluation du produit | Forum Aux Questions Guide pas à pas d’AppLocker |
Forum Aux Questions Guide pas à pas d’AppLocker |
| Procédures | Guide des opérations AppLocker | Administrer AppLocker Gérer des applications empaquetées à l’aide d’AppLocker |
| Scripts | Utilisation des applets de commande Windows PowerShell AppLocker | Utilisez les applets de commande PowerShell de Windows AppLocker |
| Contenu technique | Référence technique d’AppLocker | Référence technique d’AppLocker |
| Conception, planification et déploiement | Guide de conception des stratégies AppLocker Guide de déploiement des stratégies AppLocker |
Guide de conception des stratégies AppLocker Guide de déploiement des stratégies AppLocker |