AppLocker

  • Article

Cette rubrique fournit une description d’AppLocker et vous aidera à déterminer si votre organisation peut tirer parti du déploiement de stratégies de contrôle d’applications AppLocker. AppLocker vous permet de contrôler les applications et fichiers que les utilisateurs peuvent exécuter. Cela comprend les fichiers exécutables, les scripts, les fichiers Windows Installer, les bibliothèques de liens dynamiques (DLL), les applications empaquetées et les programmes d’installation d’applications empaquetées.

AppLocker peut vous aider à effectuer les opérations suivantes :

  • Définir des règles reposant sur les attributs de fichier qui sont conservés entre chaque mise à jour des applications, comme le nom de l’éditeur (dérivé de la signature numérique), le nom du produit, le nom du fichier et la version du fichier. Vous pouvez également créer des règles en fonction du chemin d’accès et du code de hachage.

  • Attribuer une règle à un groupe de sécurité ou à un utilisateur spécifique.

  • Créer des exceptions aux règles. Vous pouvez notamment créer une règle qui autorise l’ensemble des utilisateurs à exécuter tous les fichiers binaires Windows, à l’exception de l’Éditeur du Registre (regedit.exe).

  • Utiliser le mode Auditer uniquement pour déployer la stratégie et comprendre son impact avant de la mettre en application.

  • Créer des règles sur un serveur intermédiaire, les tester, puis les exporter dans votre environnement de production et les importer dans un objet de stratégie de groupe.

  • Simplifier la création et la gestion des règles AppLocker à l’aide de Windows PowerShell.

AppLocker permet de réduire la charge d’administration et le coût de gestion des ressources informatiques de l’organisation en diminuant le nombre des appels au Support technique qui résultent de l’exécution, par les utilisateurs, d’applications non approuvées. AppLocker traite les scénarios de sécurité des applications suivants :

  • Inventaire des applications

    AppLocker a la possibilité d’appliquer sa stratégie en mode Auditer uniquement où l’activité d’accès à toutes les applications est inscrite dans des journaux des événements. Ces événements peuvent être collectés en vue d’une analyse plus approfondie. Les applets de commande Windows PowerShell vous aident également à analyser ces données par programme.

  • Protection contre les logiciels indésirables

    AppLocker a la possibilité de refuser l’exécution d’applications que vous excluez de la liste des applications autorisées. Une fois que les règles AppLocker sont appliquées dans l’environnement de production, l’exécution de toute application qui n’est pas incluse dans les règles autorisées est bloquée.

  • Conformité aux licences

    AppLocker peut vous aider à créer des règles qui excluent l’exécution de tout logiciel sans licence et restreignent les logiciels sous licence aux utilisateurs autorisés.

  • Normalisation des logiciels

    Les stratégies AppLocker peuvent être configurées de façon à autoriser uniquement l’exécution d’applications prises en charge ou approuvées sur les ordinateurs d’un groupe professionnel. Cela permet un déploiement plus uniforme des applications.

  • Amélioration de la facilité de gestion

    AppLocker présente plusieurs améliorations en matière de facilité de gestion par rapport à ses stratégies de restriction logicielle précédentes. L’importation et l’exportation de stratégies, la génération automatique de règles à partir de plusieurs fichiers, le déploiement du mode Auditer uniquement et les applets de commande Windows PowerShell figurent parmi les améliorations apportées par rapport aux stratégies de restriction logicielles.

Nouveautés et améliorations

Pour découvrir les nouveautés d’AppLocker pour Windows 10, voir l’article Nouveautés d’AppLocker.

Quand utiliser AppLocker

Les informations constituent la ressource la plus précieuse de nombreuses organisations, et il est donc impératif de garantir que seuls les utilisateurs approuvés ont accès à ces informations. Les technologies de contrôle d’accès, comme les services AD RMS (Active Directory Rights Management Services) et les listes de contrôle d’accès (ACL), permettent de contrôler quels utilisateurs disposent d’une autorisation d’accès.

Toutefois, lorsqu’un utilisateur exécute un processus, ce dernier bénéficie du même niveau d’accès aux données que celui dont dispose l’utilisateur. Par conséquent, des informations sensibles peuvent facilement être supprimées ou transmises hors de l’organisation si un utilisateur exécute intentionnellement ou involontairement des logiciels malveillants. AppLocker peut contribuer à réduire ces types de violations de la sécurité en limitant les fichiers que les utilisateurs ou groupes sont autorisés à exécuter.

Les éditeurs de logiciels créent de plus en plus d’applications pouvant être installées par des utilisateurs non administrateurs. Cela peut compromettre la stratégie de sécurité écrite d’une organisation et offre la possibilité de contourner les solutions de contrôle d’applications traditionnelles basées sur l’incapacité des utilisateurs à installer des applications. Grâce à la création d’une liste autorisée d’applications et de fichiers approuvés, AppLocker permet d’empêcher l’exécution de ces applications par utilisateur. Étant donné qu’AppLocker peut contrôler les DLL, il est également utile de contrôler qui peut installer et exécuter les contrôles ActiveX.

AppLocker constitue la solution idéale pour les organisations qui utilisent actuellement une stratégie de groupe pour gérer leurs PC.

Voici quelques exemples de scénarios dans lesquels AppLocker est utilisable :

  • La stratégie de sécurité de votre organisation stipule de n’utiliser que des logiciels sous licence ; vous devez donc empêcher les utilisateurs d’exécuter tout logiciel sans licence et également restreindre l’utilisation des logiciels sous licence aux utilisateurs autorisés.

  • Une application n’est plus prise en charge par votre organisation ; vous devez donc empêcher quiconque de l’utiliser.

  • Le risque que des logiciels indésirables soient introduits dans votre environnement est élevé ; vous devez donc réduire cette menace.

  • La licence d’une application a été révoquée ou est arrivée à expiration dans votre organisation ; vous devez donc empêcher son utilisation par quiconque.

  • Une nouvelle application ou une nouvelle version d’une application ont été déployées ; vous devez donc empêcher les utilisateurs d’exécuter l’ancienne version.

  • Des outils logiciels spécifiques ne sont pas autorisés dans l’organisation, ou seuls des utilisateurs spécifiques doivent avoir accès à ces outils.

  • Un seul utilisateur ou un petit groupe d’utilisateurs doivent utiliser une application spécifique qui est bloquée pour tous les autres.

  • Certains ordinateurs de votre organisation sont partagés par des personnes dont les besoins en matière d’utilisation des logiciels diffèrent, et vous devez protéger des applications spécifiques.

  • Outre d’autres mesures, vous devez contrôler l’accès aux données sensibles par le biais de l’utilisation des applications.

AppLocker peut vous aider à protéger les biens numériques dans votre organisation, à réduire la menace d’introduction de logiciels malveillants dans votre environnement, ainsi qu’à améliorer la gestion du contrôle des applications et la maintenance des stratégies de contrôle d’applications.

Configuration système requise

Les stratégies AppLocker sont uniquement configurables et applicables sur des ordinateurs exécutant les versions et éditions prises en charge du système d’exploitation Windows. Une stratégie de groupe est requise pour distribuer les objets de stratégie de groupe qui contiennent des stratégies AppLocker. Pour plus d’informations, voir l’article Configuration requise pour utiliser AppLocker.

Les règles AppLocker peuvent être créées sur des contrôleurs de domaine.

Installation d’AppLocker

AppLocker est fourni avec les éditions d’entreprise de Windows. Vous pouvez créer des règles AppLocker pour un seul ordinateur ou pour un groupe d’ordinateurs. Dans le cas d’un ordinateur unique, vous pouvez créer des règles à l’aide de l’éditeur de stratégie de sécurité locale (secpol.msc). Dans le cas d’un groupe d’ordinateurs, vous pouvez créer des règles au sein d’un objet de stratégie de groupe à l’aide de la Console de gestion des stratégies de groupe (GPMC).

Remarque  

La console GPMC est disponible sur les ordinateurs clients exécutant Windows uniquement par le biais de l’installation des Outils d’administration de serveur distant. Sur un ordinateur exécutant Windows Server, vous devez installer la fonctionnalité Gestion des stratégies de groupe.

 

Utilisation d’AppLocker sur Server Core

AppLocker n’est pas pris en charge sur les installations Server Core.

Éléments à prendre en compte en matière de virtualisation

Vous pouvez administrer les stratégies AppLocker à l’aide d’une instance virtualisée de Windows, à condition qu’elle réponde à toutes les exigences système répertoriées précédemment. Vous pouvez également exécuter une stratégie de groupe dans une instance virtualisée. Toutefois, vous risquez de perdre les stratégies que vous avez créées et que vous gérez en cas de suppression ou d’échec de l’instance virtualisée.

Éléments à prendre en compte en matière de sécurité

Les stratégies de contrôle d’applications indiquent les applications autorisées à s’exécuter sur l’ordinateur local.

Étant donné les diverses formes que peuvent revêtir les logiciels malveillants, il est difficile pour les utilisateurs de savoir quels logiciels exécuter en toute sécurité. Lorsqu’il est activé, un logiciel malveillant peut endommager le contenu d’un lecteur de disque dur, saturer un réseau avec des demandes d’attaques par déni de service, envoyer des informations confidentielles sur Internet ou compromettre la sécurité d’un ordinateur.

La contre-mesure consiste à créer une conception solide pour vos stratégies de contrôle d’applications sur les PC de votre organisation, puis à tester soigneusement les stratégies dans un environnement lab avant de les déployer dans un environnement de production. AppLocker peut faire partie intégrante de votre stratégie de contrôle d’applications, car vous pouvez contrôler les logiciels dont l’exécution est autorisée sur vos ordinateurs.

L’implémentation d’une stratégie de contrôle d’applications défectueuse peut désactiver les applications nécessaires ou autoriser l’exécution de logiciels malveillants ou indésirables. Par conséquent, il est important que les organisations consacrent suffisamment de ressources à la gestion et au dépannage de l’implémentation de telles stratégies.

Pour plus d’informations sur les problèmes de sécurité spécifiques, voir l’article Considérations relatives à la sécurité pour AppLocker.

Lorsque vous utilisez AppLocker pour créer des stratégies de contrôle d’applications, tenez compte des considérations de sécurité suivantes :

  • Qui est autorisé à définir des stratégies AppLocker ?

  • Comment vérifier la mise en application des stratégies ?

  • Quels événements auditer ?

À titre de référence dans votre planification de la sécurité, le tableau ci-après identifie les paramètres de référence pour un PC sur lequel la fonctionnalité AppLocker est installée :

Paramètre Valeur par défaut

Comptes créés

Aucun

Méthode d’authentification

Non applicable

Interfaces de gestion

AppLocker peut être géré à l’aide d’un composant logiciel enfichable Microsoft Management Console, de Gestion des stratégies de groupe et de Windows PowerShell.

Ports ouverts

Aucun

Privilèges minimaux requis

Administrateur sur l’ordinateur local ; Administrateur de domaine ou tout autre ensemble de droits vous autorisant à créer, modifier et distribuer des objets de stratégie de groupe.

Protocoles utilisés

Non applicable

Tâches planifiées

Appidpolicyconverter.exe est placé dans une tâche planifiée à exécuter à la demande.

Stratégies de sécurité

Aucune stratégie requise. AppLocker crée les stratégies de sécurité.

Services système requis

Le service d’identité de l’application (appidsvc) s’exécute sous LocalServiceAndNoImpersonation.

Stockage des informations d’identification

Aucun

 

Dans cette section

Rubrique Description

Administrer AppLocker

Cette rubrique destinée aux professionnels de l’informatique fournit des liens d’accès vers des procédures spécifiques à utiliser lors de l’administration des stratégies AppLocker.

Guide de conception AppLocker

Cette rubrique destinée aux professionnels de l’informatique présente les étapes de conception et de planification nécessaires pour le déploiement de stratégies de contrôle d’applications à l’aide d’AppLocker.

Guide de déploiement d’AppLocker

Cette rubrique destinée aux professionnels de l’informatique présente les concepts et les procédures requises pour le déploiement des stratégies AppLocker.

Informations techniques de référence sur AppLocker

Cette rubrique de présentation destinée aux professionnels de l’informatique fournit des liens d’accès vers les rubriques de référence technique.