Administrer les stratégies de restriction logicielle
Cette rubrique destinée aux professionnels de l’informatique contient des procédures permettant d’administrer les stratégies de contrôle d’application à l’aide de stratégies de restriction logicielle (SRP) à partir de Windows Server 2008 et Windows Vista.
Introduction
La fonctionnalité Stratégies de restriction logicielle est une fonctionnalité fondée sur les stratégies de groupe qui identifie les programmes logiciels s’exécutant sur les ordinateurs d’un domaine et qui contrôle la capacité de ces programmes à s’exécuter. Les stratégies de restriction logicielle peuvent aussi contribuer à créer une configuration fortement restreinte pour vos ordinateurs, dans laquelle seule l’exécution d’applications clairement identifiées est autorisée. Celles-ci sont intégrées à Microsoft Active Directory Domain Services et à la stratégie de groupe, mais elles peuvent également être configurées sur des ordinateurs autonomes. Pour plus d’informations sur les stratégies de restriction logicielles, consultez les Stratégies de restriction logicielle.
À partir de Windows Server 2008 R2 et Windows 7 , Windows AppLocker peut être utilisé à la place ou en concert avec SRP pour une partie de votre stratégie de contrôle d’application.
Cette rubrique contient :
Ne pas appliquer les stratégies de restriction logicielle aux administrateurs locaux
Changer le niveau de sécurité par défaut des stratégies de restriction logicielle
Pour plus d’informations sur la façon d’accomplir des tâches spécifiques à l’aide de SRP, consultez les rubriques suivantes :
Ouvrir Stratégies de restriction logicielle
Pour votre ordinateur local
Ouvrez Paramètres de sécurité locaux.
Dans l’arborescence de la console, cliquez sur Stratégies de restriction logicielle.
Où ?
- Paramètres de sécurité/Stratégies de restriction logicielle
Notes
Pour effectuer cette procédure, vous devez être membre du groupe Administrateurs sur l'ordinateur local, ou l'autorité appropriée doit vous avoir été déléguée.
Pour un domaine, un site ou une unité d’organisation, et vous êtes sur un serveur membre ou sur une station de travail qui est jointe à un domaine
Ouvrez la console MMC.
Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, puis sur Ajouter.
Cliquez sur Éditeur d’objet de stratégie de groupe locale., puis sur Ajouter.
Dans Sélectionner un objet de stratégie de groupe, cliquez sur Parcourir.
Dans Rechercher un objet Stratégie de groupe, sélectionnez un objet de stratégie de groupe(GPO) dans le domaine, site, ou unité d’organisation approprié (ou créez-en un), puis cliquez sur Terminer.
Cliquez sur Fermer, puis sur OK.
Dans l’arborescence de la console, cliquez sur Stratégies de restriction logicielle.
Où ?
Objet stratégie de groupe [ComputerName] Stratégie/Configuration de l’ordinateur ou
Configuration utilisateur/Paramètres Windows/Paramètres de sécurité/Stratégies de restriction logicielle
Remarque
Pour réaliser cette procédure, vous devez être membre du groupe Administrateurs du domaine.
Pour un domaine ou une unité d’organisation, et vous êtes sur un contrôleur de domaine ou sur une station de travail sur laquelle les Outils d’administration de serveur distant sont installés
Ouvrez la console de gestion des stratégies de groupe.
Dans l’arborescence de la console, cliquez avec le bouton droit sur l’objet stratégie de groupe (GPO) pour lequel vous souhaitez ouvrir les stratégies de restriction logicielle.
Cliquez sur Modifier pour ouvrir l’objet de stratégie de groupe à modifier. Vous pouvez également cliquer sur Nouveau pour créer un objet de stratégie de groupe, puis cliquez sur Modifier.
Dans l’arborescence de la console, cliquez sur Stratégies de restriction logicielle.
Où ?
Objet stratégie de groupe [ComputerName] Stratégie/Configuration de l’ordinateur ou
Configuration utilisateur/Paramètres Windows/Paramètres de sécurité/Stratégies de restriction logicielle
Remarque
Pour réaliser cette procédure, vous devez être membre du groupe Administrateurs du domaine.
Pour un site, et vous êtes sur un contrôleur de domaine ou sur une station de travail sur laquelle les Outils d’administration de serveur distant sont installés
Ouvrez la console de gestion des stratégies de groupe.
Dans l’arborescence de la console, cliquez avec le bouton droit sur le site pour lequel vous souhaitez définir une stratégie de groupe.
Où ?
- Sites et services Active Directory [Domain_Controller_Name.Domain_Name]/Sites/Site
Cliquez sur une entrée dans Liens d’objets Stratégie de groupe pour sélectionner un objet stratégie de groupe existant, puis cliquez sur Modifier. Vous pouvez également cliquer sur Nouveau pour créer un objet de stratégie de groupe, puis cliquez sur Modifier.
Dans l’arborescence de la console, cliquez sur Stratégies de restriction logicielle.
Where
Objet stratégie de groupe [ComputerName] Stratégie/Configuration de l’ordinateur ou
Configuration utilisateur/Paramètres Windows/Paramètres de sécurité/Stratégies de restriction logicielle
Remarque
- Pour effectuer cette procédure, vous devez être membre du groupe Administrateurs sur l'ordinateur local, ou l'autorité appropriée doit vous avoir été déléguée. Si l'ordinateur est joint à un domaine, les membres du groupe Admins du domaine peuvent être en mesure d'effectuer cette procédure.
- Pour définir les paramètres de stratégie qui seront appliqués aux ordinateurs, quels que soient les utilisateurs qui s’y connectent, cliquez sur Configuration de l’ordinateur.
- Pour définir les paramètres de stratégie qui seront appliqués aux utilisateurs, quel que soit l’ordinateur auquel ils se connectent, cliquez sur Configuration utilisateur.
Créer de nouvelles stratégies de restriction logicielle
Ouvrez Stratégies de restriction logicielle.
Dans le menu Action, cliquez sur Nouvelles stratégies de restriction logicielle.
Avertissement
Différentes informations d’identification d’administration sont requises pour exécuter cette procédure, en fonction de votre environnement :
- Si vous créez de nouvelles stratégies de restriction logicielle pour votre ordinateur local : l’appartenance au groupe Administrateurs local ou à un groupe équivalent est la condition minimale requise pour effectuer cette procédure.
- Si vous créez des stratégies de restriction logicielle pour un ordinateur joint à un domaine, les membres du groupe Administrateurs du domaine peuvent exécuter cette procédure.
Si des stratégies de restriction logicielle ont déjà été créés pour un objet de stratégie de groupe, la commande Nouvelles stratégies de restriction logicielle ne s’affiche pas dans le menu Action. Pour supprimer les stratégies de restriction logicielle appliquées à un objet de stratégie de groupe, dans l’arborescence de la console, cliquez avec le bouton droit sur Stratégies de restriction logicielle, puis cliquez sur Supprimer les stratégies de restriction logicielle. Quand vous supprimez des stratégies de restriction logicielle pour un GPO, vous supprimez également toutes les règles de stratégies de restriction logicielle pour ce GPO. Une fois les stratégies de restriction logicielle supprimées, vous pouvez en créer de nouvelles pour cet objet de stratégie de groupe.
Ajouter ou supprimer un type de fichier spécifique
Ouvrez Stratégies de restriction logicielle.
Dans le volet d’informations, double-cliquez sur Types de fichiers désignés.
Effectuez l’une des opérations suivantes :
Pour ajouter un type de fichier, dans Extension de nom de fichier, tapez l’extension de nom de fichier, puis cliquez sur Ajouter.
Pour supprimer un type de fichier, dans Types de fichiers désignés, cliquez sur le type de fichier, puis cliquez sur Supprimer.
Remarque
Différentes informations d’identification d’administration sont requises pour exécuter cette procédure, en fonction de l’environnement dans lequel vous ajoutez ou supprimez un type de fichier désigné :
- Si vous ajouter ou supprimer un type de fichier spécifique de votre ordinateur local : l’appartenance au groupe Administrateurs local ou à un groupe équivalent est la condition minimale requise pour effectuer cette procédure.
- Si vous créez des stratégies de restriction logicielle pour un ordinateur joint à un domaine, les membres du groupe Administrateurs du domaine peuvent exécuter cette procédure.
Il peut être nécessaire de créer un paramètre de stratégie de restriction logicielle pour l’objet de stratégie de groupe si cela n’est pas encore fait.
La liste des types de fichiers désignés est partagée par toutes les règles pour Configuration ordinateur et Configuration utilisateur pour un GPO.
Ne pas appliquer les stratégies de restriction logicielle aux administrateurs locaux
Ouvrez Stratégies de restriction logicielle.
Dans le volet d’informations, double-cliquez sur Mise en œuvre.
Sous Appliquer les stratégies de restriction logicielle aux utilisateurs suivants, cliquez sur Tous les utilisateurs exceptés les administrateurs locaux.
Avertissement
- L'appartenance au groupe local Administrateurs, ou équivalent, est la condition minimale requise pour effectuer cette procédure.
- Il peut être nécessaire de créer un paramètre de stratégie de restriction logicielle pour l’objet de stratégie de groupe si cela n’est pas encore fait.
- Si la plupart des utilisateurs de votre organisation sont membres du groupe local Administrateurs sur leur ordinateur, il est préférable de ne pas activer cette option.
- Si vous définissez une stratégie de restriction logicielle pour votre ordinateur local, utilisez cette procédure pour empêcher l’application de ces stratégies aux administrateurs locaux. Si vous définissez une stratégie de restriction logicielle pour votre réseau, filtrez les paramètres de stratégie utilisateur en fonction de l’appartenance aux groupes de sécurité via la stratégie de groupe.
Changer le niveau de sécurité par défaut des stratégies de restriction logicielle
Ouvrez Stratégies de restriction logicielle.
Dans le volet d’informations, double-cliquez sur Niveaux de sécurité.
Cliquez avec le bouton droit sur le niveau de sécurité à définir par défaut, puis cliquez sur Par défaut.
Attention
Dans certains répertoires, la définition du niveau de sécurité par défaut à Non autorisé peut avoir un effet néfaste sur votre système d’exploitation.
Notes
- Différentes informations d’identification d’administration sont requises pour exécuter cette procédure, en fonction de l’environnement pour lequel vous modifiez le niveau de sécurité par défaut des stratégies de restriction logicielle :
- Il peut être nécessaire de créer un paramètre de stratégie de restriction logicielle pour cet objet de stratégie de groupe si cela n’est pas encore fait.
- Dans le volet d’informations, le niveau de sécurité par défaut actuel est indiqué par un cercle noir avec une coche. Si vous cliquez avec le bouton droit sur le niveau de sécurité par défaut actuel, la commande Par défaut ne s’affiche pas dans le menu.
- Les règles des stratégies de restriction logicielle sont créées pour indiquer des exceptions au niveau de sécurité par défaut. Quand le niveau de sécurité par défaut est Non restreint, les règles peuvent indiquer les logiciels dont l’exécution n’est pas autorisée. Quand le niveau de sécurité par défaut est Non autorisé, les règles peuvent indiquer les logiciels dont l’exécution est autorisée.
- Au moment de l’installation, le niveau de sécurité par défaut des stratégies de restriction logicielle sur tous les fichiers du système est défini à Non restreint.
Appliquer des stratégies de restriction logicielle aux DLL
Ouvrez Stratégies de restriction logicielle.
Dans le volet d’informations, double-cliquez sur Mise en œuvre.
Sous Appliquer les stratégies de restriction logicielle aux fichiers suivants, cliquez sur Tous les fichiers de logiciel.
Remarque
- Pour effectuer cette procédure, vous devez être membre du groupe Administrateurs sur l'ordinateur local, ou l'autorité appropriée doit vous avoir été déléguée. Si l'ordinateur est joint à un domaine, les membres du groupe Admins du domaine peuvent être en mesure d'effectuer cette procédure.
- Par défaut, les stratégies de restriction logicielle ne vérifient pas les DLL. La vérification des DLL peut impacter les performances du système, car les stratégies de restriction logicielle doivent être évaluées chaque fois qu’une DLL est chargée. Cependant, vous pouvez choisir de vérifier les DLL si vous avez peur de recevoir un virus qui cible les DLL. Si le niveau de sécurité par défaut est défini sur Non autorisé, et que vous activez la vérification des DLL, vous devez créer des règles de stratégies de restriction logicielle pour autoriser l’exécution de chaque DLL.