Autoriser l’inscription d’objets COM dans une stratégie App Control for Business
Remarque
Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.
Le modèle COM (Microsoft Component Object Model) est un système orienté objet indépendant de la plateforme, distribué et qui permet de créer des composants logiciels binaires qui peuvent interagir. COM spécifie un modèle objet et des exigences de programmation qui permettent aux objets COM d’interagir avec d’autres objets.
Configurabilité des objets COM dans la stratégie De contrôle d’application
App Control for Business applique une liste d’autorisation intégrée pour l’inscription d’objets COM. Bien que cette liste fonctionne pour les scénarios d’utilisation d’applications les plus courants, vous devrez peut-être autoriser d’autres objets COM à prendre en charge les applications utilisées dans votre organization. Vous pouvez spécifier des objets COM autorisés via leur GUID dans votre stratégie App Control, comme décrit dans cet article.
Remarque
Pour ajouter cette fonctionnalité à d’autres versions de Windows 10, vous pouvez installer les mises à jour suivantes ou ultérieures.
- Windows 10, 1809 18 juin 2019-KB4501371 (build du système d’exploitation 17763.592)
- Windows 10, 1607 18 juin 2019-KB4503294 (build du système d’exploitation 14393.3053)
Obtenir le GUID de l’objet COM
Vous pouvez obtenir le GUID de l’application COM à partir des événements de bloc d’objets COM 8036 dans observateur d'événements situés dans Journaux > d’application et de service Microsoft > Windows > AppLocker > MSI et script, et extraire le GUID des données d’événement.
Créer un paramètre de stratégie pour autoriser ou refuser le GUID d’objet COM
Trois éléments :
- Fournisseur : plateforme sur laquelle le code s’exécute (les valeurs sont PowerShell, WSH, IE, VBA, MSI ou un caractère générique « AllHostIds »)
- Clé : GUID du programme que vous souhaitez exécuter, au format Key="{33333333-4444-4444-1616-161616161616} »
- ValueName : doit être défini sur « EnterpriseDefinedClsId »
Un attribut :
Valeur : doit être « true » pour autoriser et « false » pour refuser
Remarque
Refuser fonctionne uniquement dans les stratégies de base, et non dans les stratégies supplémentaires
Le paramètre doit être placé dans l’ordre des valeurs ASCII (d’abord par Provider, puis Key, puis ValueName)
Considérations sur les stratégies multiples
À l’instar des fichiers exécutables, les objets COM doivent passer toutes les stratégies de contrôle d’application appliquées sur le système pour s’exécuter. Par exemple, si l’objet COM en cours d’évaluation passe la plupart de vos stratégies App Control, mais pas toutes, l’objet COM est bloqué. Si vous utilisez une combinaison de stratégies de base et de stratégies supplémentaires, l’objet COM doit simplement être autorisé dans la stratégie de base ou l’une des stratégies supplémentaires.
Exemples
Exemple 1 : Autorise l’inscription de tous les GUID d’objets COM dans n’importe quel fournisseur
<Setting Provider="AllHostIds" Key="AllKeys" ValueName="EnterpriseDefinedClsId">
<Value>
<Boolean>true</Boolean>
</Value>
</Setting>
Exemple 2 : Empêche l’inscription d’un objet COM spécifique via Internet Explorer (IE)
<Setting Provider="IE" Key="{00000000-4444-4444-1616-161616161616}" ValueName="EnterpriseDefinedClsId">
<Value>
<Boolean>false</Boolean>
</Value>
</Setting>
Exemple 3 : Autorise l’inscription d’un objet COM spécifique dans PowerShell
<Setting Provider="PowerShell" Key="{33333333-4444-4444-1616-161616161616}" ValueName="EnterpriseDefinedClsId">
<Value>
<Boolean>true</Boolean>
</Value>
</Setting>
Guide pratique pour configurer les paramètres des CLSID
Voici un exemple d’erreur dans le observateur d'événements trouvé dans Journaux > d’application et de service Microsoft > Windows > AppLocker > MSI et script :
Nom du journal : Microsoft-Windows-AppLocker/MSI et script
Source : Microsoft-Windows-AppLocker
Date : 11/11/2020 1:18:11 PM
ID d’événement : 8036
Catégorie de tâche : Aucun
Niveau : Erreur
Mots clés :
Utilisateur : S-1-5-21-3340858017-3068726007-3466559902-3647
Ordinateur : contoso.com
Description : {f8d253d9-89a4-4daa-87b6-1168369f0b21} n’a pas pu s’exécuter en raison de la stratégie CONFIG CI.
XML event :
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-AppLocker" Guid="{cbda4dbf-8d5d-4f69-9578-be14aa540d22}" />
<EventID>8036</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x4000000000000000</Keywords>
<TimeCreated SystemTime="2020-11-11T13:18:11.4029179Z" />
<EventRecordID>819347</EventRecordID>
<Correlation ActivityID="{61e3e871-adb0-0047-c9cc-e761b0add601}" />
<Execution ProcessID="21060" ThreadID="23324" />
<Channel>Microsoft-Windows-AppLocker/MSI and Script</Channel>
<Computer>contoso.com</Computer>
<Security UserID="S-1-5-21-3340858017-3068726007-3466559902-3647" />
</System>
<EventData>
<Data Name="IsApproved">false</Data>
<Data Name="CLSID">{f8d253d9-89a4-4daa-87b6-1168369f0b21}</Data>
</EventData>
</Event>
Pour ajouter ce CLSID à la stratégie existante, procédez comme suit :
Ouvrez PowerShell ISE avec des privilèges d’administration.
Copiez et modifiez cette commande, puis exécutez-la à partir de l’environnement d’administration PowerShell ISE. Considérez que le nom de la stratégie est
AppControl_policy.xml.PS C:\WINDOWS\system32> Set-CIPolicySetting -FilePath <path to policy xml>\AppControl_policy.xml -Key "{f8d253d9-89a4-4daa-87b6-1168369f0b21}" -Provider WSH -Value true -ValueName EnterpriseDefinedClsId -ValueType BooleanUne fois la commande exécutée, recherchez la section suivante ajoutée au xml de stratégie.
<Settings> <Setting Provider="WSH" Key="{f8d253d9-89a4-4daa-87b6-1168369f0b21}" ValueName="EnterpriseDefinedClsId"> <Value> <Boolean>true</Boolean> </Value> </Setting>
Liste d’autorisation d’objets COM par défaut
Le tableau qui suit décrit la liste des objets COM qui sont par nature approuvés dans App Control for Business. Les objets de cette liste n’ont pas besoin d’être autorisés dans vos stratégies de contrôle d’application. Elles peuvent être refusées en créant des règles de refus explicites dans votre stratégie De contrôle d’application.
| Nom de fichier | CLSID |
|---|---|
| scrrun.dll | EE09B103-97E0-11CF-978F-00A02463E06F |
| scrrun.dll | 0D43FE01-F093-11CF-8940-00A0C9054228 |
| vbscript.dll | 3F4DACA4-160D-11D2-A8E9-00104B365C9F |
| WEX. Logger.Log | 70B46225-C474-4852-BB81-48E0D36F9A5A |
| TE. Common.TestData | 1d68f3c0-b5f8-4abd-806a-7bc57cdce35a |
| TE. Common.RuntimeParameters | 9f3d4048-6028-4c5b-a92d-01bc977af600 |
| TE. Common.Verify | e72cbabf-8e48-4d27-b14e-1f347f6ec71a |
| TE. Common.Interruption | 5850ba6f-ce72-46d4-a29b-0d3d9f08cc0b |
| msxml6.dll | 2933BF90-7B36-11d2-B20E-00C04F983E60 |
| msxml6.dll | ED8C108E-4349-11D2-91A4-00C04F7969E8 |
| mmcndmgr.dll | ADE6444B-C91F-4E37-92A4-5BB430A33340 |
| puiobj.dll | B021FF57-A928-459C-9D6C-14DED0C9BED2 |
| wdtf.dll | 041E868E-0C7D-48C6-965F-5FD576530E5B |
| wdtfedtaction.dll | 0438C02B-EB9C-4E42-81AD-407F6CD6CDE1 |
| wdtfioattackaction.dll | 078B1F7D-C34C-4B13-A7C3-9663901650F1 |
| wdtfmutt2tcdsimpleioaction.dll | 0ABB2961-2CC1-4F1D-BE8E-9D330D06B77D |
| wdtfdriverpackageaction.dll | 0D7237E6-930F-4682-AD0A-52EBFFD3AEE3 |
| wdtf.dll | 0D972387-817B-46E7-913F-E9993FF401EB |
| wdtf.dll | 0E770B12-7221-4A5D-86EE-77310A5506BB |
| wdtfdriversetupdeviceaction.dll | 0FA57208-5100-4CD6-955C-FE69F8898973 |
| wdtf.dll | 1080A020-2B47-4DA9-8095-DBC9CEFFFC04 |
| wdtfnetworksimpleioaction.dll | 10CF2E12-1681-4C53-ADC0-932C84832CD8 |
| wdtf.dll | 140F2286-3B39-4DE1-AF94-E083DEEA6BB9 |
| wdtfinterfaces.dll | 1A7D6D61-4FE5-42E2-8F23-4FC1731C474F |
| wdtfaudiosimpleioaction.dll | 1C658D42-4256-4743-A4C5-90BF3A3A186A |
| wdtf.dll | 2236B1F3-4A33-48C2-B22C-A1F93A626F05 |
| wdtfsystemaction.dll | 23440924-1AB0-41F2-A732-B75069E5C823 |
| wdtfdriversetupsystemaction.dll | 238C0AEB-1DFC-4575-AAF3-C67FE15C1819 |
| wdtffuzztestaction.dll | 23D0E542-0390-4873-9AC7-EF86E95E5215 |
| wdtf.dll | 240FA08C-1D70-40CB-BDB3-2CC41A45496B |
| wdtf.dll | 26CC4211-A9A6-4E5C-A30D-3C659BB4CDC9 |
| wdtf.dll | 28EE5F0B-97D8-4A59-BAC8-A8A80E11F56B |
| wdtf.dll | 2C9AF7D6-2589-4413-A2BA-9926EBCFD67C |
| wdtf.dll | 32A9798D-987F-489E-8DB6-2EFB240248BD |
| wdtfinterfaces.dll | 3C0B0D50-611A-4368-AC87-4488D6E0C4A7 |
| wdtfcdromsimpleioaction.dll | 3F2C07F3-199B-4165-A948-B8B59A97FCC5 |
| wdtf.dll | 485785D3-8820-4C3D-A532-4C0F66392A30 |
| wdtfinterfaces.dll | 5EAE59BE-6946-44B7-A7B3-1D59811B246A |
| wdtfiospyaction.dll | 698F6A82-7833-4499-8BA5-2145D604ABD4 |
| wdtfdevicesupportaction.dll | 69D94D1B-0833-40D4-9AE7-7FC6F64F2624 |
| wdtf.dll | 6EE5B280-3B0F-4358-9E20-99F169FAA700 |
| wdtfmuttsimpleioaction.dll | 7776915A-0370-49A7-90B7-20EB36E80B6D |
| wdtfcpuutilizationsystemaction.dll | 7926C7DE-299C-4B09-BB1B-649A4B917ED0 |
| wdtfwirelesssimpleioaction.dll | 7A686BCD-9203-435C-8B06-9D7E7A518F98 |
| wdtfbluetoothsimpleioaction.dll | 7E6C4615-6184-4077-A150-5D30F29993A4 |
| wdtf.dll | 9663A00A-5B72-4810-9014-C77108062949 |
| wdtfinterfaces.dll | 9C261B2B-DBD6-4087-B636-ABE1607989E8 |
| wdtfwebcamsimpleioaction.dll | A1B74619-F02D-4574-8091-2AADD46A5B2B |
| wdtf.dll | A2FD15D7-64F0-4080-AABD-884380202022 |
| wdtfvolumesimpleioaction.dll | AC91E813-B116-4676-AE33-2988B590F3C7 |
| wdtfconcurrentioaction.dll | AE278430-ABC2-49D1-AF30-910B9A88CB1E |
| wdtf.dll | B43FF7F1-629C-4DE5-9559-1D09E0A07037 |
| wdtfdriververifiersystemaction.dll | B7770265-B643-4600-A60B-93F9BA9F4B24 |
| wdtfpnpaction.dll | B8D74985-4EB9-46AA-B2ED-DD2D918849DF |
| wdtfmobilebroadbandsimpleioaction.dll | BCFBBB02-4DA5-466C-9DA7-DC672877B075 |
| wdtf.dll | BE56FAD1-A489-4508-ABB7-3348E1C2C885 |
| wdtfpnpaction.dll | C0B6C572-D37D-47CC-A89D-E6B9E0852764 |
| wdtfioattackaction.dll | C88B324E-6B26-49BC-9D05-A221F15D7E13 |
| wdtfsensorsiosimpleioaction.dll | C8BF7EC0-C746-4DE8-BA46-34528C6329FB |
| wdtfanysimpleioaction.dll | C8C574DA-367B-4130-AED6-1EA61A5C6A4B |
| simpleio_d3dtest.dll | CBC36BDB-A6BC-4383-8194-659470553488 |
| wdtfsystemaction.dll | D30E1E07-AA39-4086-A7E6-9245FBD0A730 |
| wdtf.dll | DD34E741-139D-4F4C-A1E2-D4184FCDD4F9 |
| wdtfsupaction.dll | EA48171B-4265-48C3-B56B-70B175A7FDFA |
| wdtfinterfaces.dll | EB9DB874-D23D-44D5-A988-85E966322843 |
| wdtfinterfaces.dll | ED05EF76-09A9-4409-90CA-C5D0711CA057 |
| wdtfwpdsimpleioaction.dll | EEA17F2B-8E8E-41A3-9776-A87FACD625D0 |
| wdtfinterfaces.dll | F30FC2BB-F424-4A1F-8F95-68CFEE935E92 |
| wdtfedtaction.dll | F6694E02-5AD0-476D-BD2D-43F7E5D10AF6 |
| wdtfsmartcardreadersimpleioaction.dll | FA6F7E49-76C6-490C-B50E-8B1E8E0EEE2A |
| wdtfiospyaction.dll | FE36026D-CDA8-4514-B3D9-57BDA3870D0C |