Créer une règle pour les applications empaquetées
Cet article destiné aux professionnels de l’informatique explique comment créer une règle AppLocker pour les applications empaquetées avec une condition d’éditeur.
Les applications empaquetées sont basées sur un modèle d’application qui garantit que tous les fichiers d’un package d’application partagent la même identité. Par conséquent, il est possible de contrôler l’application entière à l’aide d’une seule règle AppLocker, par opposition aux applications non empaquetées où chaque fichier de l’application peut avoir une identité unique. Toutes les applications empaquetées doivent être signées. AppLocker prend uniquement en charge les règles d’éditeur pour les applications empaquetées. Une règle d’éditeur pour une application empaquetée est basée sur les informations suivantes :
- Éditeur du package
- Nom du package
- Version du package
Tous les fichiers d’un package et les programmes d’installation de package partagent ces attributs. Par conséquent, une règle AppLocker pour une application empaquetée contrôle à la fois l’installation et l’exécution de l’application. Sinon, les règles d’éditeur pour les applications empaquetées se comportent de la même façon que dans d’autres collections de règles.
Pour plus d’informations sur la condition d’éditeur, consultez Présentation de la condition de règle d’éditeur dans AppLocker.
Pour gérer une stratégie AppLocker dans un objet stratégie de groupe (GPO), vous pouvez effectuer cette tâche à l’aide de la console de gestion stratégie de groupe. Pour gérer une stratégie AppLocker pour l’ordinateur local ou pour une utilisation dans un modèle de sécurité, utilisez le composant logiciel enfichable Stratégie de sécurité locale. Pour plus d’informations sur l’utilisation de ces composants logiciels enfichables MMC pour administrer AppLocker, consultez Administrer AppLocker.
Pour créer une règle d’application empaquetée
Ouvrez la console AppLocker.
Dans le menu Action , ou en cliquant avec le bouton droit sur Règles d’application empaquetée, sélectionnez Créer une règle.
Dans la page Avant de commencer , sélectionnez Suivant.
Dans la page Autorisations , sélectionnez l’action (autoriser ou refuser) et l’utilisateur ou le groupe auquel la règle doit s’appliquer, puis sélectionnez Suivant.
Dans la page Serveur de publication , vous pouvez sélectionner une référence spécifique pour la règle d’application empaquetée et définir l’étendue de la règle. Le tableau suivant décrit les options de référence.
Selection Description Exemple Utiliser une application empaquetée installée comme référence Si cette option est sélectionnée, AppLocker vous oblige à choisir une application déjà installée sur laquelle baser votre nouvelle règle. AppLocker utilise l’éditeur, le nom du package et la version du package pour définir la règle. Vous souhaitez que le groupe Ventes utilise uniquement l’application nommée Microsoft.BingMaps pour ses appels commerciaux externes. L’application Microsoft.BingMaps étant déjà installée sur l’appareil sur lequel vous créez la règle, vous choisissez cette option. Sélectionnez ensuite l’application dans la liste des applications installées sur l’ordinateur et créez la règle en utilisant cette application comme référence. Utiliser un programme d’installation d’application empaqueté comme référence Si cette option est sélectionnée, AppLocker vous oblige à choisir un programme d’installation d’application sur lequel baser votre nouvelle règle. Un programme d’installation d’application empaqueté a l’extension .appx. AppLocker utilise l’éditeur, le nom du package et la version du package du programme d’installation pour définir la règle. Votre entreprise développe de nombreuses applications internes packagées métier. Les programmes d’installation de l’application sont stockés sur un partage de fichiers commun. Les employés peuvent installer les applications requises à partir de ce partage de fichiers. Vous souhaitez autoriser tous vos employés à installer l’application Paie à partir de ce partage. Vous choisissez donc cette option dans l’Assistant, accédez au partage de fichiers, puis choisissez le programme d’installation de l’application Paie comme référence pour créer votre règle. Le tableau suivant décrit la définition de l’étendue de la règle d’application empaquetée.
Selection Description Exemple S’applique à n’importe quel éditeur Ce paramètre est la condition d’étendue la moins restrictive pour une règle Allow . Il permet à chaque application empaquetée de s’exécuter ou d’installer.
À l’inverse, si ce paramètre est une règle De refus , cette option est la plus restrictive, car elle empêche toutes les applications d’installer ou d’exécuter.Vous souhaitez que le groupe Ventes utilise n’importe quelle application empaquetée de n’importe quel éditeur signé. Vous définissez les autorisations pour autoriser le groupe Ventes à exécuter n’importe quelle application. S’applique à un serveur de publication spécifique Ce paramètre étend la règle à toutes les applications publiées par un éditeur particulier. Vous souhaitez autoriser tous vos utilisateurs à installer des applications publiées par l’éditeur de Microsoft.BingMaps. Vous pouvez sélectionner Microsoft.BingMaps comme référence et choisir cette étendue de règle. S’applique à un nom de package Ce paramètre étend la règle à tous les packages qui partagent le nom de l’éditeur et le nom du package en tant que fichier de référence. Vous souhaitez autoriser votre groupe Ventes à installer n’importe quelle version de l’application Microsoft.BingMaps. Vous pouvez sélectionner l’application Microsoft.BingMaps comme référence et choisir cette étendue de règle. S’applique à une version de package Ce paramètre étend la règle à une version particulière du package. Vous voulez être sélectif dans ce que vous autorisez. Vous ne souhaitez pas approuver implicitement toutes les futures mises à jour de l’application Microsoft.BingMaps. Vous pouvez limiter l’étendue de votre règle à la version de l’application actuellement installée sur votre ordinateur de référence. Application de valeurs personnalisées à la règle La sélection de la zone Utiliser des valeurs personnalisées case activée vous permet d’ajuster les champs d’étendue en fonction de votre situation particulière. Vous souhaitez autoriser les utilisateurs à installer toutes les applications Microsoft.Bing , notamment Microsoft.BingMaps, Microsoft.BingWeather, Microsoft.BingMoney. Vous pouvez choisir Microsoft.BingMaps comme référence, sélectionner la zone Utiliser des valeurs personnalisées case activée et modifier le champ nom du package en ajoutant « Microsoft.Bing* » comme nom du package. Sélectionnez Suivant.
(Facultatif) Dans la page Exceptions , spécifiez les conditions permettant d’exclure les fichiers d’être affectés par la règle. Ces conditions vous permettent d’ajouter des exceptions basées sur la même référence de règle et la même étendue de règle que vous avez définies précédemment. Sélectionnez Suivant.
Dans la page Nom , acceptez le nom de règle généré automatiquement ou tapez un nouveau nom de règle, puis sélectionnez Créer.