Sélectionner les Types de règles à créer

 

S'applique à: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Cette rubrique répertorie les ressources que vous pouvez utiliser lors de la sélection de vos règles de contrôle d'application à l'aide d'AppLocker.

Pour déterminer quels types de règles à créer pour chacun de vos groupes, vous devez également déterminer le paramètre de l'application à utiliser pour chaque groupe. Différents types de règles sont plus applicables pour quelques applications, selon la façon dont les applications sont déployées dans un groupe professionnel spécifique.

Les rubriques suivantes fournissent des informations supplémentaires sur les règles AppLocker qui peuvent vous aider à décider quelles règles à utiliser pour vos applications :

• Présentation du comportement des règles AppLocker 

• Présentation des exceptions des règles AppLocker 

• Présentation des regroupements de règles AppLocker 

• Présentation des actions d'autorisation et de refus AppLocker sur les règles 

• Présentation des types de condition de règle AppLockerPrésentation des Types de Condition de règle AppLocker

• Présentation des règles par défaut AppLocker 

Sélectionnez le regroupement de règles

Les règles que vous créez sera dans un des regroupements de règles suivants :

• Fichiers exécutables : .exe et .com

• Fichiers Windows Installer : .msi, .msp et .mst

• Scripts : .ps1, .bat, .cmd, .vbs et .js

• Les applications empaquetées et empaqueté des programmes d'installation de l'application: .aspx

• DLL : .dll et .ocx

Notes

types de fichiers .aspx et .mst ne sont pas applicables à AppLocker s'exécutant sur Windows Server 2008 R2 et Windows 7.

Par défaut, les règles permettra à un fichier à exécuter en fonction des utilisateurs ou des privilèges de groupe. Si vous utilisez des règles DLL, une DLL permettent la règle doit être créé pour chaque DLL utilisée par toutes les applications autorisées. Le regroupement de règles DLL n’est pas activé par défaut.

Dans l'exemple de la Woodgrove Bank, l'application métier de pour le groupe de professionnels du personnel de la banque est C:\Program Files\Woodgrove\Teller.exe, et cette application doit être inclus dans une règle. En outre, étant donné que cette règle fait partie d'une liste des applications autorisées, tous les fichiers Windows sous C:\Windows doivent également être inclus.

Déterminer la condition de règle

Une condition de règle est les critères sur lesquels une règle AppLocker est basée et ne peut être une des conditions de règle dans le tableau suivant.

Condition de règle	Scénario d'utilisation	Ressources
Éditeur	Pour utiliser une condition éditeur, les fichiers doivent être signés numériquement par l'éditeur de logiciel, ou vous devez le faire à l'aide d'un certificat interne. Les règles qui sont spécifiées au niveau de la version peut-être être mis à jour lors de la publication d'une nouvelle version du fichier.	Pour plus d'informations sur cette condition de règle, consultezPrésentation de la condition de règle d’éditeur dans AppLocker.
Path	Cette condition de règle peut être affecté à n'importe quel fichier Toutefois, les règles de chemin d'accès spécifiant les emplacements dans le système de fichiers, n'importe quel sous-répertoire sera également affecté par la règle (sauf explicitement exempté).	Pour plus d'informations sur cette condition de règle, consultezPrésentation de la condition de règle de chemin d’accès dans AppLocker.
Hachage du fichier	Cette condition de règle peut être affecté à n'importe quel fichier Toutefois, la règle doit être mis à jour chaque fois qu'une nouvelle version du fichier est disponible, car la valeur de hachage est basée en partie sur la version.	Pour plus d'informations sur cette condition de règle, consultezPrésentation de la condition de règle de hachage de fichier dans AppLocker.

Dans l'exemple de la Woodgrove Bank, l'application métier de pour le groupe de professionnels du personnel de la banque est signée et se trouve dans C:\Program Files\Woodgrove\Teller.exe. Par conséquent, la règle peut être définie avec une condition éditeur. Si la règle est définie sur une version spécifique et les versions ultérieures (par exemple, Teller.exe version 8.0 et versions ultérieures), puis ainsi, les mises à jour de cette application à se produire sans interruption de l'accès aux utilisateurs si signé et nom de l'application d'attributs restent les mêmes.

Déterminer comment autoriser l'exécution de fichiers système

Étant donné que les règles AppLocker dresse la liste des applications autorisées, une règle ou règles doivent être créés pour permettre à tous les fichiers de Windows exécuter. AppLocker fournit un moyen d'assurer les fichiers système sont considérés comme correctement dans votre collection de règles en générant les règles par défaut pour chaque regroupement de règles. Vous pouvez utiliser les règles par défaut comme modèle lors de la création de vos propres règles. Toutefois, ces règles sont uniquement destinés à fonctionner comme une stratégie de démarrage lorsque vous testez tout d'abord les règles AppLocker afin que les fichiers système dans les dossiers Windows pourront s'exécuter. Lorsqu'une règle par défaut est créée, elle est désignée "(règle par défaut) » dans son nom tel qu'il apparaît dans le regroupement de règles.

Vous pouvez également créer une règle pour les fichiers système selon la condition chemin d'accès. Dans l'exemple précédent, pour le groupe personnel de la banque, tous les fichiers Windows résident sous C:\Windows et peuvent être définis avec le type de condition de règle de chemin d'accès. Cela permettra l'accès à ces fichiers chaque fois que les mises à jour sont appliquées et modifier les fichiers. Si vous avez besoin de la sécurité des applications supplémentaires, vous devrez peut-être modifier les règles créées à partir de la collection de règles par défaut. Par exemple, la règle par défaut pour autoriser tous les utilisateurs d'exécuter des fichiers .exe dans le dossier Windows est basée sur une condition chemin d'accès qui permet à tous les fichiers dans le dossier Windows à exécuter. Le dossier Windows contient un sous-dossier Temp auquel le groupe utilisateurs possède les autorisations suivantes :

• Parcourir le dossier/Exécuter le fichier

• Créer des fichiers/Écrire des données

• Créer des dossiers/Ajouter des données

Ces paramètres d'autorisation sont appliquées à ce dossier pour la compatibilité des applications. Toutefois, étant donné que tout utilisateur peut créer des fichiers à cet emplacement, permettant aux applications d'être exécuté à partir de cet emplacement peut entrer en conflit avec la stratégie de sécurité de votre organisation.

Étapes suivantes

Après avoir sélectionné les types de règles pour créer, enregistrer vos résultats comme expliqué dansDocumenter vos règles AppLocker.

Après avoir enregistré les résultats pour les règles AppLocker créer, vous devez réfléchir à la manière d'appliquer les règles. Pour plus d'informations, consultezDéterminer la stratégie de groupe de Structure et de mise en œuvre de la règle.