Utiliser des événements d’audit pour créer des règles de stratégie App Control

Remarque

Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.

L’exécution du contrôle d’application en mode audit vous permet de découvrir les applications, les fichiers binaires et les scripts qui sont manquants dans votre stratégie De contrôle d’application, mais qui doivent être inclus.

Pendant qu’une stratégie App Control s’exécute en mode audit, tout fichier binaire qui s’exécute mais qui aurait été refusé est enregistré dans le journal des événements Applications and Services Logs\Microsoft\Windows\CodeIntegrity\Operational . Les scripts et MSI sont enregistrés dans les journaux des applications et des services\Microsoft\Windows\AppLocker\MSI et dans le journal des événements script. Ces événements peuvent être utilisés pour générer une nouvelle stratégie De contrôle d’application qui peut être fusionnée avec la stratégie de base d’origine ou déployée en tant que stratégie supplémentaire distincte, si elle est autorisée.

Vue d’ensemble du processus de création d’une stratégie App Control pour autoriser les applications à l’aide d’événements d’audit

Remarque

Vous devez avoir déjà déployé une stratégie de mode d’audit App Control pour utiliser ce processus. Si vous ne l’avez pas déjà fait, consultez Déploiement de stratégies App Control for Business.

Pour vous familiariser avec la création de règles App Control à partir d’événements d’audit, suivez ces étapes sur un appareil avec une stratégie de mode d’audit App Control.

  1. Installez et exécutez une application non autorisée par la stratégie De contrôle d’application, mais que vous souhaitez autoriser.

  2. Passez en revue les journaux des événements CodeIntegrity - Operational et AppLocker - MSI et Script pour confirmer que les événements, comme ceux illustrés dans la figure 1, sont générés en rapport avec l’application. Pour plus d’informations sur les types d’événements que vous devez voir, consultez Présentation des événements App Control.

    Figure 1. Exceptions à la stratégie de contrôle d’application déployée
    Événement montrant une exception à la stratégie De contrôle d’application.

  3. Dans une session PowerShell avec élévation de privilèges, exécutez les commandes suivantes pour initialiser les variables utilisées par cette procédure. Cette procédure s’appuie sur la stratégie deLamna_FullyManagedClients_Audit.xml introduite dans Créer une stratégie de contrôle d’application pour les appareils entièrement gérés et produit une nouvelle stratégie appelée EventsPolicy.xml.

    $PolicyName= "Lamna_FullyManagedClients_Audit"
    $LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml"
    $EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml"
    $EventsPolicyWarnings=$env:userprofile+"\Desktop\EventsPolicyWarnings.txt"
    
  4. Utilisez New-CIPolicy pour générer une nouvelle stratégie App Control à partir d’événements d’audit enregistrés. Cet exemple utilise un niveau de règle de fichier FilePublisher et un niveau de secours de hachage. Les messages d’avertissement sont redirigés vers un fichier texte EventsPolicyWarnings.txt.

    New-CIPolicy -FilePath $EventsPolicy -Audit -Level FilePublisher -Fallback SignedVersion,FilePublisher,Hash -UserPEs -MultiplePolicyFormat 3> $EventsPolicyWarnings
    

    Remarque

    Lorsque vous créez des stratégies à partir d’événements d’audit, vous devez envisager avec soin le niveau de règle de fichier que vous sélectionnez pour approbation. L’exemple précédent utilise le niveau de règle FilePublisher avec un niveau de secours hash, qui peut être plus spécifique que souhaité. Vous pouvez réexécuter la commande ci-dessus en utilisant différentes options -Level et -Fallback pour répondre à vos besoins. Pour plus d’informations sur les niveaux de règle App Control, consultez Comprendre les règles de stratégie de contrôle d’application et les règles de fichier.

  5. Recherchez et examinez le fichier de stratégie App Control EventsPolicy.xml qui doit se trouver sur votre bureau. Assurez-vous qu’il inclut uniquement les règles de fichier et de signataire pour les applications, les fichiers binaires et les scripts que vous souhaitez autoriser. Vous pouvez supprimer des règles en modifiant manuellement le code XML de stratégie ou en utilisant l’outil Assistant Stratégie de contrôle d’application (consultez Modification des stratégies de contrôle d’application de base et supplémentaires existantes avec l’Assistant).

  6. Recherchez et examinez le fichier texteEventsPolicyWarnings.txt qui doit se trouver sur votre bureau. Ce fichier inclut un avertissement pour tous les fichiers pour utilisant app Control qui n’a pas pu créer de règle au niveau de règle spécifié ou au niveau de la règle de secours.

    Remarque

    New-CIPolicy crée uniquement des règles pour les fichiers qui se trouvent toujours sur le disque. Aucune règle n’est créée pour les fichiers qui ne sont plus présents sur le système. Toutefois, le journal des événements doit contenir suffisamment d’informations pour autoriser ces fichiers en modifiant manuellement le code XML de stratégie pour ajouter des règles. Vous pouvez utiliser une règle existante comme modèle et vérifier vos résultats par rapport à la définition de schéma de stratégie App Control disponible dans %windir%\schemas\CodeIntegrity\cipolicy.xsd.

  7. Fusionnez EventsPolicy.xml avec la stratégie de baseLamna_FullyManagedClients_Audit.xml ou convertissez-la en stratégie supplémentaire.

    Pour plus d’informations sur la fusion des stratégies, reportez-vous à Fusionner les stratégies App Control for Business et pour plus d’informations sur les stratégies supplémentaires, consultez Utiliser plusieurs stratégies App Control for Business.

  8. Convertissez la stratégie de base ou supplémentaire en binaire et déployez à l’aide de la méthode de votre choix.