Utiliser un appareil de référence pour créer et gérer les stratégies AppLocker
Cet article destiné aux professionnels de l’informatique décrit les étapes à suivre pour créer et gérer des stratégies AppLocker à l’aide d’un ordinateur de référence.
Arrière-plan et prérequis
Un appareil de référence AppLocker est un appareil de référence que vous pouvez utiliser pour configurer des stratégies et peut ensuite être utilisé pour gérer les stratégies AppLocker. Pour connaître la procédure de configuration d’un appareil de référence, consultez Configurer l’appareil de référence AppLocker.
Un appareil de référence AppLocker utilisé pour créer et gérer des stratégies AppLocker doit contenir les applications correspondantes pour chaque unité d’organisation (UO) afin de reproduire votre environnement de production.
Vous pouvez effectuer des tests de stratégie AppLocker sur l’appareil de référence à l’aide du paramètre Du mode d’application audit uniquement ou des applets de commande Windows PowerShell.
Étape 1 : générer automatiquement des règles sur l’appareil de référence
Avec AppLocker, vous pouvez générer automatiquement des règles pour tous les fichiers d’un dossier. AppLocker analyse le dossier spécifié et crée les types de conditions que vous choisissez pour chaque fichier de ce dossier. Pour plus d’informations sur la façon de générer automatiquement des règles, consultez Exécuter l’Assistant Générer automatiquement des règles.
Remarque
Si vous exécutez cet Assistant pour créer vos premières règles pour un objet stratégie de groupe (GPO), vous êtes invité à créer les règles par défaut qui autorisent l’exécution des fichiers système critiques. Vous pouvez modifier les règles par défaut à tout moment. Si votre organization utilise des règles personnalisées pour autoriser l’exécution des fichiers système Windows, veillez à supprimer les règles par défaut après avoir créé vos règles personnalisées.
Étape 2 : Créer les règles par défaut sur l’appareil de référence
AppLocker inclut des règles par défaut pour chaque collection de règles. Ces règles sont destinées à garantir que les fichiers nécessaires au bon fonctionnement de Windows sont autorisés dans une collection de règles AppLocker. Vous devez exécuter les règles par défaut pour chaque collection de règles. Pour plus d’informations sur les règles par défaut et les considérations relatives à leur utilisation, consultez Présentation des règles par défaut d’AppLocker. Pour connaître la procédure de création de règles par défaut, consultez Créer des règles AppLocker par défaut.
Important
Vous pouvez utiliser les règles par défaut comme modèle lorsque vous créez vos propres règles. Cela permet aux fichiers du répertoire Windows de s’exécuter. Toutefois, ces règles ne sont destinées à fonctionner comme une stratégie de démarrage que lorsque vous testez les règles AppLocker pour la première fois.
Étape 3 : Modifier les règles et la collection de règles sur l’appareil de référence
Si des stratégies AppLocker sont actuellement en cours d’exécution dans votre environnement de production, exportez les stratégies à partir des objets de stratégie de groupe correspondants et enregistrez-les sur l’appareil de référence. Pour plus d’informations sur l’exportation et l’enregistrement des stratégies, consultez Exporter une stratégie AppLocker à partir d’un objet de stratégie de groupe. Si aucune stratégie AppLocker n’est déployée, créez les règles et développez-les à l’aide des procédures suivantes :
- Créer une règle qui utilise une condition d’éditeur
- Créer une règle qui utilise une condition de hachage de fichier
- Créer une règle qui utilise une condition de chemin d’accès
- Modifier des règles AppLocker
- Ajouter des exceptions pour une règle AppLocker
- Supprimer une règle AppLocker
- Activer le regroupement de règles DLL
- Appliquer des règles AppLocker
Étape 4 : Tester et mettre à jour la stratégie AppLocker sur l’appareil de référence
Vous devez tester chaque ensemble de règles pour vous assurer qu’elles fonctionnent comme prévu. L’applet de commande Test-AppLockerPolicy Windows PowerShell peut être utilisée pour déterminer si les applications de votre appareil de référence sont bloquées par les règles de vos regroupements de règles. Effectuez les étapes sur chaque appareil de référence que vous avez utilisé pour définir la stratégie AppLocker. Vérifiez que l’appareil de référence est joint au domaine et qu’il reçoit la stratégie AppLocker de l’objet de stratégie de groupe approprié. Étant donné que les règles AppLocker sont héritées des objets de stratégie de groupe liés, vous devez déployer toutes les règles pour tester simultanément tous vos objets de stratégie de groupe de test. Utilisez les procédures suivantes pour effectuer cette étape :
- Tester une stratégie AppLocker avec Test-AppLockerPolicy
- Découvrir l’effet d’une stratégie AppLocker
Warning
Si vous avez défini le paramètre de mode d’application sur la collection de règles sur Appliquer des règles ou Non configuré, la stratégie est appliquée à l’étape suivante. Définissez le paramètre mode d’application sur la collection de règles sur Auditer uniquement si vous n’êtes pas prêt à bloquer l’exécution des fichiers.
Étape 5 : Exporter et importer la stratégie en production
Après avoir testé votre stratégie AppLocker, vous pouvez l’importer dans l’objet de stratégie de groupe (ou dans des ordinateurs individuels non gérés par stratégie de groupe) et vérifier son efficacité prévue. Pour effectuer ces tâches, effectuez les procédures suivantes :
- Exporter une stratégie AppLocker dans un fichier XML
- Importer une stratégie AppLocker dans un objet de stratégie de groupe ou
- Découvrir l’effet d’une stratégie AppLocker
Si le paramètre d’application de stratégie AppLocker est Auditer uniquement et que vous êtes convaincu que la stratégie répond à votre intention, vous pouvez le modifier en Appliquer les règles. Pour plus d’informations sur la modification du paramètre d’application, consultez Configurer une stratégie AppLocker pour appliquer des règles.
Étape 6 : Surveiller l’effet de la stratégie en production
Si d’autres affinements ou mises à jour sont nécessaires après le déploiement d’une stratégie, utilisez les procédures appropriées suivantes pour surveiller et mettre à jour la stratégie :
- Surveiller l’utilisation des applications à l’aide d’AppLocker
- Modifier une stratégie AppLocker
- Actualiser une stratégie AppLocker