Scribd
Importer
100 vues18 pages

Sécuriser Windows avec AppLocker

Ce document décrit les étapes pour configurer AppLocker afin de sécuriser les postes Windows. Il explique comment créer une politique AppLocker pour bloquer l'exécution et l'installation de logiciels, à l'exception de ceux dans Program Files et dans le dossier d'installation de Windows. La politique sera appliquée à un groupe Active Directory.

Transféré par

ahmed krichen
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
100 vues18 pages

Sécuriser Windows avec AppLocker

Ce document décrit les étapes pour configurer AppLocker afin de sécuriser les postes Windows. Il explique comment créer une politique AppLocker pour bloquer l'exécution et l'installation de logiciels, à l'exception de ceux dans Program Files et dans le dossier d'installation de Windows. La politique sera appliquée à un groupe Active Directory.

Transféré par

ahmed krichen
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Rabâa ElMestiri Année De Formation :

2021/2022
BTS – RI2 SER3

Configurer AppLocker pour sécuriser postes Windows

Présentation :
AppLocker permet de créer des règles pour définir les applications autorisées à
être exécutées par les utilisateurs lambda sur les machines du domaine. Grâce à
ces restrictions, vous allez pouvoir lutter contre l'installation de logiciels non
approuvés par le service informatique, de logiciels crackés en version portable,
des logiciels portables au sens large, mais cela va permettre aussi de limiter
l'installation de malwares sur les postes de travail.
AppLocker va permettre d'agir sur quatre types d'éléments : les exécutables, les
installeurs au format Windows Installer (package MSI), les scripts et les
applications modernes au format APPX.
Nous allons apprendre à créer une politique afin de bloquer l'exécution et
l'installation de tous les logiciels, à l'exception :
 les logiciels présents dans Program Files (car ils sont déjà installés)
 Des logiciels présents dans le dossier d'installation de Windows (les
utilitaires natifs et les composants indispensables au bon fonctionnement
de Windows s'y trouvent...)
 Des applications modernes signées
 De l'application Microsoft Teams (pour vous montrer le principe de
création d'une exception)
Cette politique sera appliquée uniquement aux membres d'un groupe de sécurité Active
Directory.

Vous avez besoin de deux machines :

 Un contrôleur de domaine Active Directory


 Une machine pour tester AppLocker, Windows 10 ou Windows 11, c'est
très bien ! Voire même un serveur.

1
Création d'un groupe pour appliquer la règle
AppLocker :
Avant d'attaquer la GPO AppLocker, nous allons créer un groupe de sécurité sur
lequel va s'appliquer notre politique AppLocker.
À partir de la console "Utilisateurs et ordinateurs Active Directory", j'ai créé le
groupe de sécurité "GG-Restrictions-Logiciels". Vous pouvez le créer avec le
Centre d'administration Active Directory ou avec PowerShell : vous avez le choix.

Au sein de ce groupe, j'ai ajouté un salarié de l'entreprise pour lui appliquer les
restrictions : "[Link]".

2
Configuration d'une GPO AppLocker :
À partir de la console de Gestion des stratégies de groupe, créez une nouvelle
GPO et liez cette GPO à une OU qui cible vos machines. Pour ma part, je vais
cibler l'OU qui contient la machine où se connecte "[Link]" et je vais nommer
cette GPO "AppLocker", tout simplement.

Ensuite, modifiez cette GPO à l'aide d'un clic droit sur son nom.

Pour qu'AppLocker fonctionne, il faut que le service "Identité de l'application"


(AppIDSvc) soit actif et démarré automatiquement. Ce n'est pas le cas par
défaut. Nous allons configurer la GPO pour configurer ce service sur nos postes
de travail.

Parcourez l'arborescence comme ceci :

3
Ouvrez les propriétés du service "Identité de l'application", cochez la case
"Définir ce paramètre de stratégie" et cliquez sur "Automatique"

Pour configurer AppLocker, parcourez l'arborescence de cette façon :


Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité >
Stratégies de contrôle de l'application > AppLocker

Ensuite, cliquez sur le lien "Configurer la mise en application des règles" sur la
partie de droite.

4
Pour chaque type de règles, cochez l'option "Configuré" et basculez sur
"Appliquer les règles".

Validez avec "OK".

5
Développez "AppLocker", quatre catégories vont s'afficher : règles de
l'exécutable (EXE), règles Windows Installer (MSI), règles de scripts et règles
d'applications empaquetées (APPX).

Je vous invite à générer les règles par défaut pour les "Règles de l'exécutable",
les "Règles Windows Installer" et les "Règles d'applications empaquetées". Pour
cela, effectuez un clic droit sur la catégorie et cliquez sur le bouton "Créer des
règles par défaut".

6
Si l'on regarde la partie "Règles de l'exécutable", on peut voir que cette action
crée plusieurs règles pour autoriser "Tout le monde" à exécuter les programmes
situés dans "Program Files" et "Windows" (et uniquement dans ces deux
dossiers, ce qui correspond au même sort que l'on va réserver à notre groupe).
En complément, les administrateurs n'auront pas de restrictions. C'est une bonne
base pour la suite.

Remarque importante : si vous souhaitez restreindre uniquement les membres du


groupe "GG-Restrictions-Logiciels", ne créez pas ces règles. Si vous souhaitez
restreindre tout le monde (comme sécurité de base) et appliquer des règles
supplémentaires sur le groupe "GG-Restrictions-Logiciels" pour autoriser
certains programmes ou créer des interdictions supplémentaires, créez ces règles
par défaut.

Dans le même esprit, une règle est créée pour les applications empaquetées.

Désormais, passons à la création de notre règle personnalisée. Effectuez un clic


droit sur "Règles de l'exécutable" et cliquez sur "Créer une règle". Un assistant
va se lancer.

Je vous rappelle que l'objectif est de créer une règle pour empêcher le groupe
"GG-Restrictions-Logiciels" d'exécuter et d'installer des logiciels, à part ceux
présents dans "Program Files" et "Windows" (c'est déjà le cas avec les règles par
défaut). Tout en se laissant la possibilité d'apporter d'autres restrictions aux
membres de ce groupe (blocage de chemins supplémentaires, ou à l'inverse créer
une exception, comme nous allons le voir).

7
Cliquez sur "Suivant" lorsque le premier écran apparaît.

Choisissez l'action "Refuser" et pour le champ "Utilisateur ou groupe",


sélectionnez le groupe "GG-Restrictions-Logiciels". Poursuivez.

8
Lorsque l'on crée une règle, il y a trois types de conditions principales :
 Chemin d'accès : règle basée sur un chemin d'accès. Par exemple : bloquer l'exécution de tous les
exécutables situés sur le Bureau de l'utilisateur.
 Editeur : règle basée sur l'éditeur de l'exécutable. Par exemple : autoriser uniquement
l'exécutable d'un éditeur spécifique, avec un nom spécifique, dans une version spécifique,
ou autoriser tous les exécutables de l'éditeur Microsoft.
 Hachage du fichier : règle basée sur le hash de l'exécutable, tout en sachant qu'un hash va
évoluer pour un même logiciel d'une version à l'autre.
Choisissez "Chemin d'accès" et continuez.

9
Pour le chemin d'accès, précisez "*.*" : cela signifie que l'on refuse tous les
exécutables ! Mais, nous allons créer deux exceptions à la prochaine étape.

10
Sous "Ajouter une exception", choisissez "Chemin d'accès" et cliquez sur le
bouton "Ajouter". Créez une première exception avec ce chemin :
%PROGRAMFILES%\*

Répétez l'opération avec ce chemin :


%WINDIR%\*

Cela va permettre d'autoriser les exécutables situés dans "Program Files" et le


dossier d'installation de Windows. Cliquez sur "Suivant".

Nommez cette règle et indiquez une précision si vous le souhaitez. Cliquez sur
"Créer".

11
Nous obtenons le résultat suivant :

Tester la configuration AppLocker :


Sur le poste client, je me connecte avec l'utilisateur "[Link]" puisqu'il est
membre du groupe "GG-Restrictions-Logiciels". Ensuite, j'effectue un "gpupdate
/force" et pendant ce temps je télécharge quelques logiciels : Putty, Firefox
Portable, Chrome, Teams et 7-Zip.

12
Le problème, c'est que l'administrateur système bloque l'exécution de tous ces
exécutables ! Et oui, notre stratégie AppLocker rentre en jeu et contrôle
l'exécution de chaque fichier ! Comme l'exécutable n'est pas dans un dossier
autorisé (Program Files ou Windows), il est bloqué

Dans le même esprit, avec un package MSI (suite à la création de la seconde


règle).

13
Si l'on regarde dans l'Observateur d'événements de la machine locale, on peut
voir que tous les événements AppLocker sont enregistrés. Vous pouvez les
retrouver dans :
Journaux des applications et des services > Microsoft >
Windows > AppLocker
Ensuite, il y a un journal par catégorie de règles, ce qui est appréciable pour le
debug. On peut voir que "[Link]" a tenté d'exécuter "[Link]" et que
l'exécution a été empêchée. Là ce sont des exécutables sans réels dangers, mais
ce serait un logiciel malveillant, ce serait bloqué également et d'autant plus
appréciable

14
Pour finir, nous allons apprendre à créer une exception pour autoriser
l'installation d'un logiciel spécifique, en l'occurrence Teams, malgré les
restrictions mises en place. Un cas très courant puisque Teams peut s'installer
sans les droits Administrateur étant donné qu'il s'installe dans le répertoire
"AppData" du profil de l'utilisateur, comme d'autres applications.

Lorsque l'on télécharge Teams, on obtient le fichier suivant :


Teams_windows_x64.exe

La première chose à faire, c'est ajouter une nouvelle exception sur notre règle
située dans "Règles de l'exécutable". Effectuez un clic droit sur la règle
"Empêcher installation de logiciels" et cliquez sur "Propriétés".

Au sein de l'onglet "Exceptions", choisissez "Editeur" sous "Ajouter une


exception" puis cliquez sur le bouton "Ajouter".

15
Vous devez indiquer le chemin vers l'exécutable de Teams pour que l'assistant
AppLocker récupère des informations sur l'exécutable, notamment l'éditeur.
Ensuite, les différents champs seront complétés automatiquement : Editeur,
Nom du produit, Nom du fichier et Version du fichier.

Prenez le curseur à gauche et positionnez-le sur "Editeur". Cela va permettre


d'accepter toutes les valeurs pour les autres champs et d'autoriser toutes les
applications signées par l'éditeur Microsoft. En fait, on pourrait être plus
restrictif et autoriser seulement le produit "MICROSOFT TEAMS", mais le
problème c'est que Teams s'appuie sur plusieurs composants. Si l'on ne crée par
une autorisation plus large, l'installation échouera. Validez.

16
La création d'une exception dans AppLocker ne suffit pas : même avec cette
exception, l'installeur de Teams sera bloqué ! En fait, en plus d'ajouter une
exception, il faut créer une règle pour autoriser l'éditeur Microsoft. Une petite
subtilité, mais qu'il faut connaître si vous ne voulez pas vous casser les dents
pendant 3 heures sur une règle AppLocker qui ne s'applique pas (ce qui devrait
arriver à un moment donné malgré tout).

Toujours dans "Règles de l'exécutable", créez une nouvelle règle... et :


 Choisissez l'action "Autoriser" et ciblez "Tout le monde" ou le groupe "GG-Restrictions-
Logiciels"
 Choisissez le type de condition principale "Editeur"
 Indiquez le fichier exécutable de Teams comme fichier de référence et positionnez le curseur sur
"Editeur"

Finalisez la création de la règle.

Vous devez obtenir ceci :

17
18

Vous aimerez peut-être aussi