Gérer les applications empaquetées avec AppLocker
Cet article destiné aux professionnels de l’informatique décrit les concepts et répertorie les procédures pour vous aider à gérer les applications empaquetées avec AppLocker dans le cadre de votre stratégie globale de contrôle des applications.
Présentation des applications empaquetées et des programmes d’installation d’applications empaquetées pour AppLocker
Les applications empaquetées sont basées sur un modèle qui garantit que tous les fichiers d’un package d’application partagent la même identité. Avec les applications Windows classiques, chaque fichier au sein de l’application peut avoir une identité unique. Avec les applications empaquetées, il est possible de contrôler l’ensemble de l’application à l’aide d’une seule règle AppLocker.
Remarque
AppLocker prend uniquement en charge les règles d’éditeur pour les applications empaquetées. Toutes les applications empaquetées doivent être signées par l’éditeur de logiciels, car Windows ne prend pas en charge les applications empaquetées non signées.
En règle générale, une application se compose de plusieurs composants : le programme d’installation utilisé pour installer l’application et un ou plusieurs exes, dlls ou scripts. Avec les applications Windows classiques, tous ces composants ne partagent pas toujours des attributs communs tels que le nom de l’éditeur du logiciel, le nom du produit et la version du produit. Par conséquent, AppLocker contrôle chacun de ces composants séparément via différentes collections de règles, telles que les règles exe, dll, script et Windows Installer. En revanche, tous les composants d’une application empaquetée partagent le même nom d’éditeur, le même nom de package et les mêmes attributs de version du package. Par conséquent, vous pouvez contrôler une application entière avec une seule règle.
Comparaison des applications Windows classiques et des applications empaquetées
Les règles pour les applications Windows classiques et les applications empaquetées peuvent être appliquées en tandem. Les différences entre les applications empaquetées et les applications Windows classiques que vous devez envisager sont les suivantes :
- Installation des applications : toutes les applications empaquetées peuvent être installées par un utilisateur standard, tandis que de nombreuses applications Windows classiques nécessitent des privilèges d’administration pour l’installation. Dans un environnement où la plupart des utilisateurs sont des utilisateurs standard, vous aurez peut-être besoin de moins de règles exe (car les applications Windows classiques nécessitent des privilèges d’administration pour l’installation), mais vous aurez peut-être besoin de règles supplémentaires pour les applications empaquetées.
- Modification de l’état du système : les applications Windows classiques peuvent être écrites pour modifier l’état du système si elles sont exécutées avec des privilèges d’administration. La plupart des applications empaquetées ne peuvent pas modifier l’état du système, car elles s’exécutent avec des privilèges limités. Lorsque vous concevez vos stratégies AppLocker, il est important de comprendre si une application que vous autorisez peut apporter des modifications à l’échelle du système.
AppLocker utilise différentes collections de règles pour contrôler les applications empaquetées et les applications Windows classiques. Vous avez le choix de contrôler un type, l’autre type ou les deux.
Pour plus d’informations sur le contrôle des applications Windows classiques, consultez Administrer AppLocker.
Pour plus d’informations sur les applications empaquetées, consultez Applications empaquetées et règles du programme d’installation d’applications empaquetées dans AppLocker.
Décisions de conception et de déploiement
Vous pouvez utiliser deux méthodes pour créer un inventaire des applications empaquetées sur un ordinateur : la console AppLocker ou l’applet de commande Get-AppxPackage Windows PowerShell.
Remarque
Toutes les applications empaquetées ne sont pas répertoriées dans l’Assistant Inventaire des applications d’AppLocker. Certains packages d’application sont des packages d’infrastructure qui sont exploités par d’autres applications. Par eux-mêmes, ces packages ne peuvent rien faire, mais le blocage de tels packages peut entraîner par inadvertance un échec pour les applications que vous souhaitez autoriser. Au lieu de cela, vous pouvez créer des règles Autoriser ou Refuser pour les applications empaquetées qui utilisent ces packages d’infrastructure. L’interface utilisateur d’AppLocker filtre délibérément tous les packages inscrits en tant que packages d’infrastructure. Pour plus d’informations sur la création d’une liste d’inventaire, consultez Créer une liste d’applications déployées sur chaque groupe d’entreprise.
Pour plus d’informations sur l’utilisation de l’applet de commande Get-AppxPackage Windows PowerShell, consultez la référence des commandes PowerShell AppLocker.
Pour plus d’informations sur la création de règles pour les applications empaquetées, consultez Créer une règle pour les applications empaquetées.
Tenez compte des informations suivantes lorsque vous concevez et déployez des applications :
- Étant donné qu’AppLocker prend uniquement en charge les règles d’éditeur pour les applications empaquetées, la collecte des informations sur le chemin d’installation des applications empaquetées n’est pas nécessaire.
- Vous n’avez pas besoin de créer de règles basées sur le hachage ou le chemin d’accès pour les applications empaquetées, car l’éditeur de logiciel doit signer toutes les applications empaquetées et les programmes d’installation d’applications empaquetées. Les applications Windows classiques n’étaient pas toujours signées de manière cohérente ; Par conséquent, AppLocker doit prendre en charge les règles basées sur le hachage ou le chemin d’accès.
- Par défaut, s’il n’y a pas de règles dans une collection de règles particulière, AppLocker autorise chaque fichier inclus dans cette collection de règles. Par exemple, s’il n’existe pas de règles Windows Installer, AppLocker autorise l’exécution de tous les fichiers .msi, .msp et .mst.
Remarque
Par défaut, AppLocker bloque toutes les applications empaquetées si la stratégie de domaine existante a des règles configurées dans la collection de règles exe. Vous devez prendre des mesures explicites pour autoriser les applications empaquetées dans votre entreprise. Vous pouvez autoriser uniquement un ensemble sélectionné d’applications empaquetées. Ou si vous souhaitez autoriser toutes les applications empaquetées, vous pouvez créer une règle par défaut pour la collection d’applications empaquetées.
Utilisation d’AppLocker pour gérer les applications empaquetées
Tout comme il existe des différences dans la gestion de chaque collection de règles, vous devez gérer les applications empaquetées avec la stratégie suivante :
Rassemblez des informations sur les applications empaquetées qui s’exécutent dans votre environnement. Pour plus d’informations sur la collecte de ces informations, consultez Créer une liste d’applications déployées sur chaque groupe d’entreprises.
Créez des règles AppLocker pour des applications empaquetées spécifiques en fonction de vos stratégies de stratégie. Pour plus d’informations, consultez Créer une règle pour les applications empaquetées et Présentation des règles par défaut d’AppLocker.
Continuez à mettre à jour les stratégies AppLocker à mesure que de nouvelles applications de package sont introduites dans votre environnement. Pour effectuer cette mise à jour, consultez Ajouter des règles pour les applications empaquetées à un ensemble de règles AppLocker existant.
Continuez à surveiller votre environnement pour vérifier l’efficacité des règles déployées dans les stratégies AppLocker. Pour effectuer cette surveillance, consultez Surveiller l’utilisation des applications avec AppLocker.