Partager via

Déterminer la liste d’autorisation/exclusion et l’inventaire des applications pour les stratégies de restriction logicielle

Cette rubrique pour le professionnel de l’informatique fournit des conseils sur la façon dont vous pouvez créer une liste d’autorisation et de refus pour que les applications soient gérées par des stratégies de restriction logicielle (SRP) à compter de Windows Server 2008 et de Windows Vista.

Introduction

La fonctionnalité Stratégies de restriction logicielle est une fonctionnalité fondée sur les stratégies de groupe qui identifie les programmes logiciels s’exécutant sur les ordinateurs d’un domaine et qui contrôle la capacité de ces programmes à s’exécuter. Les stratégies de restriction logicielle peuvent aussi contribuer à créer une configuration fortement restreinte pour vos ordinateurs, dans laquelle seule l’exécution d’applications clairement identifiées est autorisée. Celles-ci sont intégrées à Microsoft Active Directory Domain Services et à la stratégie de groupe, mais elles peuvent également être configurées sur des ordinateurs autonomes. Pour obtenir un point de départ pour SRP, consultez les stratégies de restriction logicielle.

À partir de Windows Server 2008 R2 et Windows 7 , Windows AppLocker peut être utilisé à la place ou en concert avec SRP pour une partie de votre stratégie de contrôle d’application.

Pour plus d’informations sur la façon d’accomplir des tâches spécifiques à l’aide de SRP, consultez les rubriques suivantes :

Quelle règle par défaut choisir : autoriser ou refuser

Les stratégies de restriction logicielle peuvent être déployées dans l’un des deux modes qui sont la base de votre règle par défaut : autoriser la liste ou refuser la liste. Vous pouvez créer une stratégie qui identifie chaque application autorisée à s»exécuter dans votre environnement ; la règle par défaut de votre stratégie est Restreint et bloque toutes les applications dont vous n’autorisez pas explicitement l’exécution. Vous pouvez aussi créer une stratégie qui identifie toutes les applications qui ne peuvent pas s’exécuter ; la règle par défaut est « Non restreint » et ne limite que les applications que vous avez explicitement listées.

Important

Le mode Refuser la liste peut être une stratégie de maintenance élevée pour votre organisation concernant le contrôle d’application. La création et la mise à jour d’une liste évolutive interdisant tous les logiciels malveillants et autres applications problématiques prendrait beaucoup de temps et serait sujette à des erreurs.

Créer un inventaire de vos applications pour la liste d’autorisation

Pour utiliser efficacement la règle par défaut Autoriser, vous devez déterminer exactement quelles applications sont requises dans votre organisation. Il existe des outils conçus pour produire un inventaire d’applications, tels que le collecteur d’inventaire dans le Kit de ressources de compatibilité des applications Microsoft. Toutefois, SRP dispose d’une fonctionnalité de journalisation avancée pour vous aider à comprendre exactement les applications qui s’exécutent dans votre environnement.

Découvrir les applications à autoriser

  1. Dans un environnement de test, déployez la stratégie de restriction logicielle avec la règle par défaut définie sur Non restreint et supprimez toutes les règles supplémentaires. Si vous activez SRP sans le forcer à restreindre les applications, SPR pourra surveiller les applications en cours d’exécution.

  2. Créez la valeur de registre suivante afin d'activer la fonction de journalisation avancée et de définir le chemin d’accès où le fichier journal doit être écrit.

    "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers"

    Valeur de chaîne : Chemin d’accès LogFileName à LogFileName

    Étant donné que SRP évalue toutes les applications lorsqu’elles s’exécutent, une entrée est écrite dans le fichier journal NameLogFile chaque fois que l’application est exécutée.

  3. Évaluer le fichier journal

    Chaque entrée de journal indique :

    • l’appelant de la stratégie de restriction logicielle et l’ID de processus du processus appelant

    • la cible évaluée

    • la règle SRP rencontrée lors de l’exécution de cette application

    • un identificateur de la règle SRP.

    Exemple de sortie écrite dans un fichier journal :

explorer.exe (PID = 4728) identifiedC:\Windows\system32\onenote.exe en tant que règle usingpath sans restriction, GUID ={320bd852-aa7c-4674-82c5-9a80321670a3} Toutes les applications et le code associé que SRP vérifie et définit pour bloquer seront notées dans le fichier journal, que vous pouvez ensuite utiliser pour déterminer quels exécutables doivent être pris en compte pour votre liste autorisée.