Comprendre les choix de conception en matière de stratégies AppLocker
Cet article décrit les questions de conception d’AppLocker, les réponses possibles et d’autres considérations lorsque vous planifiez un déploiement de stratégies de contrôle d’application à l’aide d’AppLocker.
Lorsque vous commencez le processus de conception et de planification, vous devez prendre en compte l’effet de vos choix de conception. Les décisions qui en résultent affectent votre schéma de déploiement de stratégie et la maintenance ultérieure de la stratégie de contrôle des applications.
Vous devez envisager d’utiliser AppLocker dans le cadre des stratégies de contrôle d’application de votre organization si toutes les conditions suivantes sont vraies :
- Vous exécutez des versions prises en charge de Windows dans votre organization. Pour connaître la configuration requise pour la version du système d’exploitation, consultez Configuration requise pour utiliser AppLocker.
- Vous avez besoin d’un contrôle amélioré de l’accès aux applications de votre organization.
- Le nombre d’applications dans votre organization est connu et gérable.
- Vous disposez de ressources pour tester les stratégies par rapport aux exigences de l’organization.
- Vous disposez de ressources pour impliquer le support technique ou créer un processus d’assistance autonome pour les problèmes d’accès aux applications des utilisateurs finaux.
Voici quelques questions que vous devez prendre en compte lorsque vous déployez des stratégies de contrôle d’application (en fonction de votre environnement ciblé).
Quelles applications devez-vous contrôler dans votre organization ?
Vous devrez peut-être contrôler un nombre limité d’applications, car elles accèdent à des données sensibles, ou vous souhaitez uniquement autoriser les applications approuvées à des fins professionnelles. Il peut y avoir certains groupes d’entreprises qui nécessitent un contrôle strict, et d’autres qui favorisent l’utilisation indépendante des applications.
| Réponses possibles | Considérations relatives à la conception |
|---|---|
| Contrôler toutes les applications | Les stratégies AppLocker contrôlent les applications en créant une liste autorisée d’applications par type de fichier. Des exceptions sont également possibles. Les stratégies AppLocker ne peuvent être appliquées qu’aux applications installées sur des ordinateurs exécutant l’une des versions prises en charge de Windows. |
| Contrôler des applications spécifiques | Lorsque vous créez des règles AppLocker, une liste d’applications autorisées est créée. Toutes les applications de cette liste sont autorisées à s’exécuter (à l’exception des applications figurant dans la liste des exceptions). L’exécution des applications qui ne figurent pas dans la liste est bloquée. Les stratégies AppLocker ne peuvent être appliquées qu’aux applications installées sur des ordinateurs exécutant l’une des versions prises en charge de Windows. |
| Contrôler uniquement les applications Windows classiques, uniquement les applications empaquetées, ou les deux | Les stratégies AppLocker contrôlent les applications en créant une liste autorisée d’applications par type de fichier. Étant donné que les applications empaquetées sont classées sous la condition serveur de publication, les applications Windows classiques et les applications empaquetées peuvent être contrôlées ensemble. Les règles que vous avez actuellement pour les applications Windows classiques peuvent rester, et vous pouvez en créer de nouvelles pour les applications empaquetées. Pour une comparaison des applications Windows classiques et des applications empaquetées, consultez Comparaison des applications Windows classiques et des applications empaquetées pour les décisions de conception de stratégie AppLocker dans cet article. |
| Contrôler les applications par groupe d’entreprise et utilisateur | Les stratégies AppLocker peuvent être appliquées via un objet stratégie de groupe (GPO) à des objets ordinateur au sein d’une unité d’organisation (UO). Des règles AppLocker individuelles peuvent être appliquées à des utilisateurs individuels ou à des groupes d’utilisateurs. |
| Contrôler les applications par ordinateur, pas par utilisateur | AppLocker est une implémentation de stratégie basée sur l’ordinateur. Si votre structure organisationnelle de domaine ou de site n’est pas basée sur une structure d’utilisateur logique, telle qu’une unité d’organisation, vous pouvez configurer cette structure avant de commencer votre planification AppLocker. Sinon, vous devez identifier les utilisateurs, leurs ordinateurs et leurs exigences d’accès aux applications. |
| Comprendre l’utilisation des applications, mais il n’est pas encore nécessaire de contrôler les applications | Les stratégies AppLocker peuvent être définies pour auditer l’utilisation des applications afin de vous aider à suivre les applications utilisées dans votre organization. Vous pouvez ensuite utiliser le journal des événements AppLocker pour créer des stratégies AppLocker. |
Remarque
Les règles AppLocker autorisent ou bloquent le lancement d’une application ou d’un fichier binaire. AppLocker ne contrôle pas le comportement des applications après leur lancement. Pour plus d’informations, consultez Considérations relatives à la sécurité pour AppLocker.
Comparaison des applications Windows classiques et des applications empaquetées pour les décisions de conception de stratégie AppLocker
Les stratégies AppLocker pour les applications empaquetées peuvent uniquement être appliquées aux applications installées sur des ordinateurs exécutant des systèmes d’exploitation Windows qui prennent en charge les applications du Microsoft Store. Toutefois, les applications Windows classiques peuvent être contrôlées dans Windows Server 2008 R2 et Windows 7, en plus des ordinateurs qui prennent en charge les applications empaquetées. Les règles pour les applications Windows classiques et les applications empaquetées peuvent être appliquées ensemble. Les différences que vous devez prendre en compte pour les applications empaquetées sont les suivantes :
- Les utilisateurs standard peuvent installer des applications empaquetées, tandis que de nombreuses applications Windows classiques nécessitent des informations d’identification d’administration pour l’installation. Par conséquent, dans un environnement où la plupart des utilisateurs sont des utilisateurs standard, vous n’avez peut-être pas besoin de nombreuses règles exe, mais vous souhaiterez peut-être des stratégies plus explicites pour les applications empaquetées.
- Les applications Windows classiques peuvent être écrites pour modifier l’état du système si elles s’exécutent avec des informations d’identification d’administration. La plupart des applications empaquetées ne peuvent pas modifier l’état du système, car elles s’exécutent avec des autorisations limitées. Lorsque vous concevez vos stratégies AppLocker, il est important de comprendre si une application que vous autorisez peut apporter des modifications à l’échelle du système.
- Les applications empaquetées peuvent être acquises via le Windows Store, ou elles peuvent être chargées de côté à l’aide d’applets de commande Windows PowerShell. Si vous utilisez des applets de commande Windows PowerShell, une licence Entreprise spéciale est nécessaire pour acquérir des applications empaquetées. Les applications Windows classiques peuvent être acquises par des moyens traditionnels, tels que des éditeurs de logiciels ou une distribution commerciale.
AppLocker contrôle les applications empaquetées et les applications Windows classiques à l’aide de différentes collections de règles. Vous avez le choix de contrôler les applications empaquetées, les applications Windows classiques ou les deux.
Pour plus d’informations, consultez Applications empaquetées et règles d’installation d’applications empaquetées dans AppLocker.
Utilisation d’AppLocker pour contrôler les scripts
L’application de script AppLocker implique une liaison entre un hôte de script compatible, tel que PowerShell, et AppLocker. Toutefois, l’hôte de script gère le comportement d’application réel. La plupart des hôtes de script demandent d’abord à AppLocker si un script doit être autorisé à s’exécuter en fonction des stratégies AppLocker actuellement actives. L’hôte de script bloque, autorise ou modifie la façon dont le script est exécuté pour protéger au mieux l’utilisateur et l’appareil.
AppLocker utilise le journal des événements AppLocker - MSI et Script pour tous les événements d’application de script. Chaque fois qu’un hôte de script demande à AppLocker si un script doit être autorisé, un événement est journalisé avec la réponse AppLocker renvoyée à l’hôte de script.
Remarque
Lorsqu’un script s’exécute qui n’est pas autorisé par la stratégie, AppLocker déclenche un événement indiquant que le script a été « bloqué ». Toutefois, le comportement d’application de script réel est géré par l’hôte de script et peut ne pas bloquer complètement l’exécution du fichier.
L’application des scripts AppLocker peut uniquement contrôler les fichiers VBScript, JScript, .bat, les fichiers .cmd et les scripts Windows PowerShell. Il ne contrôle pas tout le code interprété qui s’exécute dans un processus hôte, par exemple les macros et les scripts Perl. Le code interprété est une forme de code exécutable qui s’exécute dans un processus hôte. Par exemple, les fichiers de commandes Windows (*.bat) s’exécutent dans le contexte de l’hôte de commande Windows (cmd.exe). Pour utiliser AppLocker pour contrôler le code interprété, le processus hôte doit appeler AppLocker avant d’exécuter le code interprété, puis appliquer la décision à partir d’AppLocker. Tous les processus hôtes n’appellent pas AppLocker. Par conséquent, AppLocker ne peut pas contrôler tous les types de code interprété, par exemple les macros Microsoft Office.
Important
Vous devez configurer les paramètres de sécurité appropriés de ces processus hôtes si vous devez les autoriser à s’exécuter. Par exemple, configurez les paramètres de sécurité dans Microsoft Office pour vous assurer que seules les macros signées et approuvées sont chargées.
Comment contrôlez-vous actuellement l’utilisation des applications dans votre organization ?
La plupart des organisations font évoluer leurs stratégies et méthodes de contrôle des applications au fil du temps. AppLocker est idéal dans les organisations avec des processus de déploiement et d’approbation d’applications bien gérés.
| Réponses possibles | Considérations relatives à la conception |
|---|---|
| Stratégies de sécurité (définies localement ou via stratégie de groupe) | L’utilisation d’AppLocker nécessite un effort accru dans la planification de la création de stratégies correctes, mais cette création de stratégie entraîne une méthode de distribution plus simple. |
| Logiciel de contrôle d’application non-Microsoft | L’utilisation d’AppLocker nécessite une évaluation et une implémentation complètes de la stratégie de contrôle des applications. |
| Utilisation managée par groupe ou unité d’organisation | L’utilisation d’AppLocker nécessite une évaluation et une implémentation complètes de la stratégie de contrôle des applications. |
| Gestionnaire d’autorisations ou autres technologies d’accès en fonction du rôle | L’utilisation d’AppLocker nécessite une évaluation et une implémentation complètes de la stratégie de contrôle des applications. |
| Other | L’utilisation d’AppLocker nécessite une évaluation et une implémentation complètes de la stratégie de contrôle des applications. |
Existe-t-il des groupes spécifiques dans votre organization qui nécessitent des stratégies de contrôle d’application personnalisées ?
La plupart des groupes ou services d’entreprise ont des exigences de sécurité spécifiques relatives à l’accès aux données et aux applications utilisées pour accéder à ces données. Vous devez prendre en compte l’étendue du projet pour chaque groupe et les priorités du groupe avant de déployer des stratégies de contrôle d’application pour l’ensemble du organization.
| Réponses possibles | Considérations relatives à la conception |
|---|---|
| Oui | Pour chaque groupe, vous devez créer une liste qui inclut ses exigences de contrôle d’application. Bien que cette considération puisse augmenter le temps de planification, elle aboutit souvent à un déploiement plus efficace. Si la structure de votre objet de stratégie de groupe ne correspond pas à des groupes d’organisation, vous pouvez appliquer des règles AppLocker à des groupes d’utilisateurs spécifiques. |
| Non | Les stratégies AppLocker peuvent être appliquées globalement aux applications installées. Selon le nombre d’applications que vous devez contrôler, la gestion de toutes les règles et exceptions peut être difficile. |
Votre service informatique dispose-t-il de ressources pour analyser l’utilisation des applications et concevoir et gérer les stratégies ?
Le temps et les ressources dont vous disposez pour effectuer la recherche et l’analyse peuvent affecter les détails de votre plan et de vos processus de gestion et de maintenance des stratégies.
| Réponses possibles | Considérations relatives à la conception |
|---|---|
| Oui | Prenez le temps d’analyser les exigences de contrôle des applications de votre organization et planifiez un déploiement complet qui utilise des règles aussi construites que possible. |
| Non | Envisagez un déploiement ciblé et échelonné pour des groupes spécifiques à l’aide de quelques règles. Lorsque vous appliquez des contrôles à des applications d’un groupe spécifique, découvrez ce déploiement pour planifier votre prochain déploiement. |
Votre organization dispose-t-il du support technique ?
Lorsque vous empêchez vos utilisateurs d’accéder aux applications, cela entraîne une augmentation de la prise en charge des utilisateurs finaux, du moins initialement. Il est nécessaire de résoudre les différents problèmes de support dans votre organization afin que les stratégies de sécurité soient suivies et que le flux de travail métier ne soit pas entravé.
| Réponses possibles | Considérations relatives à la conception |
|---|---|
| Oui | Impliquez le service de support au début de la phase de planification, car vos utilisateurs peuvent être empêchés d’utiliser leurs applications, ou ils peuvent rechercher des exceptions pour utiliser des applications spécifiques. |
| Non | Consacrez du temps au développement de processus de support en ligne et à la documentation avant le déploiement. |
Savez-vous quelles applications nécessitent des stratégies restrictives ?
Toute implémentation réussie de la stratégie de contrôle d’application est basée sur vos connaissances et votre compréhension de l’utilisation des applications au sein du groupe organization ou d’entreprise. En outre, la conception du contrôle d’application dépend des exigences de sécurité pour les données et des applications qui accèdent à ces données.
| Réponses possibles | Considérations relatives à la conception |
|---|---|
| Oui | Vous devez déterminer les priorités de contrôle d’application pour un groupe d’entreprises, puis essayer de concevoir le schéma le plus simple pour ses stratégies de contrôle d’application. |
| Non | Vous devez effectuer un projet d’audit et de collecte des exigences pour découvrir l’utilisation de l’application. AppLocker fournit les moyens de déployer des stratégies en mode Audit uniquement et des outils pour afficher les journaux des événements. |
Comment déployer ou approuver des applications (mises à niveau ou nouvelles) dans votre organization ?
L’implémentation d’une stratégie de contrôle d’application réussie est basée sur vos connaissances et votre compréhension de l’utilisation des applications au sein du organization ou du groupe d’entreprise. En outre, la conception du contrôle d’application dépend des exigences de sécurité pour les données et les applications qui accèdent à ces données. La compréhension de la stratégie de mise à niveau et de déploiement permet de façonner la construction des stratégies de contrôle d’application.
| Réponses possibles | Considérations relatives à la conception |
|---|---|
| Imprévus | Vous devez rassembler les exigences de chaque groupe. Certains groupes peuvent souhaiter un accès ou une installation sans restriction, tandis que d’autres groupes peuvent souhaiter des contrôles stricts. |
| Stratégie écrite ou instructions strictes à suivre | Vous devez développer des règles AppLocker qui reflètent ces stratégies, puis tester et gérer les règles. |
| Aucun processus en place | Vous devez déterminer si vous disposez des ressources nécessaires pour développer une stratégie de contrôle d’application et pour quels groupes. |
Quelles sont les priorités de votre organization lors de l’implémentation de stratégies de contrôle d’application ?
Certaines organisations tirent parti des stratégies de contrôle des applications, comme le montre une augmentation de la productivité ou de la conformité, tandis que d’autres sont entravées dans l’exécution de leurs tâches. Hiérarchisez ces aspects pour chaque groupe afin de vous permettre d’évaluer l’efficacité d’AppLocker.
| Réponses possibles | Considérations relatives à la conception |
|---|---|
| Productivité : la organization garantit que les outils fonctionnent et que les applications requises peuvent être installées. | Pour atteindre les objectifs d’innovation et de productivité, certains groupes ont besoin de la possibilité d’installer et d’exécuter différents logiciels à partir de différentes sources, y compris les logiciels qu’ils ont développés. Par conséquent, si l’innovation et la productivité sont une priorité élevée, la gestion des stratégies de contrôle des applications par le biais d’une liste autorisée peut prendre du temps et être un obstacle au progrès. |
| Gestion : le organization connaît et contrôle les applications qu’il prend en charge. | Dans certains groupes d’entreprise, l’utilisation des applications peut être gérée à partir d’un point de contrôle central. Les stratégies AppLocker peuvent être intégrées à un objet de stratégie de groupe à cet effet. |
| Sécurité : le organization doit protéger les données en partie en veillant à ce que seules les applications approuvées soient utilisées. | AppLocker peut aider à protéger les données en autorisant un ensemble défini d’utilisateurs à accéder aux applications qui accèdent aux données. Si la sécurité est la priorité absolue, vos stratégies de contrôle d’application peuvent être plus restrictives. |
Comment les applications sont-elles actuellement accessibles dans votre organization ?
AppLocker est efficace pour les organisations disposant d’une gestion des applications bien gérée avec des objectifs de stratégie de contrôle d’application simples. Par exemple, AppLocker peut bénéficier d’un environnement dans lequel les non-employés ont accès à des ordinateurs connectés au réseau organisationnel, comme une école ou une bibliothèque.
| Réponses possibles | Considérations relatives à la conception |
|---|---|
| Les utilisateurs s’exécutent sans droits d’administration. | Les applications sont installées à l’aide d’une technologie de déploiement d’installation. |
| AppLocker peut aider à réduire le coût total de possession pour les groupes d’entreprises qui utilisent généralement un ensemble limité d’applications, telles que les services des ressources humaines et des finances. En même temps, ces ministères accèdent à des renseignements hautement sensibles, dont la plupart contiennent des informations confidentielles et propriétaires. En utilisant AppLocker pour créer des règles pour des applications spécifiques qui sont autorisées à s’exécuter, vous pouvez limiter l’accès des applications non autorisées à ces informations. Note: AppLocker peut également être efficace pour aider à créer des bureaux standardisés dans les organisations où les utilisateurs s’exécutent en tant qu’administrateurs. Toutefois, il est important de noter que les utilisateurs disposant d’informations d’identification administratives peuvent ajouter de nouvelles règles à la stratégie AppLocker locale. |
Les utilisateurs doivent être en mesure d’installer des applications en fonction des besoins. |
| Les utilisateurs disposent actuellement d’un accès administrateur et il serait difficile de modifier ce privilège. | L’application de règles AppLocker n’est pas adaptée aux groupes d’entreprises qui doivent être en mesure d’installer des applications en fonction des besoins et sans l’approbation du service informatique. Si une ou plusieurs unités d’organisation de votre organization ont cette exigence, vous pouvez choisir de ne pas appliquer les règles d’application dans ces unités d’organisation à l’aide d’AppLocker ou d’implémenter le paramètre d’application Auditer uniquement via AppLocker. |
La structure dans services de domaine Active Directory est-elle basée sur la hiérarchie du organization ?
Il est plus facile de concevoir des stratégies de contrôle d’application basées sur une structure organisationnelle déjà intégrée à services de domaine Active Directory (AD DS) que de convertir la structure existante en structure organisationnelle. Étant donné que l’efficacité des stratégies de contrôle d’application dépend de la possibilité de mettre à jour les stratégies, réfléchissez au travail organisationnel à accomplir avant le début du déploiement.
| Réponses possibles | Considérations relatives à la conception |
|---|---|
| Oui | Les règles AppLocker peuvent être développées et implémentées via stratégie de groupe, en fonction de votre structure AD DS. |
| Non | Le service informatique doit créer un schéma pour identifier la façon dont les stratégies de contrôle d’application peuvent être appliquées à l’utilisateur ou à l’ordinateur approprié. |
Enregistrer vos résultats
L’étape suivante du processus consiste à enregistrer et analyser vos réponses aux questions précédentes. Si AppLocker est la solution appropriée pour vos objectifs, vous pouvez définir vos objectifs de stratégie de contrôle d’application et planifier vos règles AppLocker. Ce processus aboutit à la création de votre document de planification.