Planifier la gestion des stratégies AppLocker
Cet article décrit les décisions que vous devez prendre pour établir les processus de gestion et de maintenance des stratégies AppLocker.
Gestion des stratégies
Avant de commencer le processus de déploiement, envisagez de gérer vos règles AppLocker au fil du temps. Le développement d’un processus de gestion des règles AppLocker permet de garantir qu’AppLocker continue de contrôler efficacement la façon dont les applications sont autorisées à s’exécuter dans votre organization.
Stratégie de support des applications et des utilisateurs
Le développement d’un processus de gestion des règles AppLocker permet de garantir qu’AppLocker continue de contrôler efficacement la façon dont les applications sont autorisées à s’exécuter dans votre organization. Les considérations sont les suivantes :
- Quel type de support utilisateur final est fourni pour les applications bloquées ?
- Comment les nouvelles règles sont-elles ajoutées à la stratégie ?
- Comment les règles existantes sont-elles mises à jour ?
- Les événements sont-ils transférés pour révision ?
Support technique
Si votre organization dispose d’un service de support technique établi, tenez compte des points suivants lors du déploiement de stratégies AppLocker :
- Quelle documentation votre service de support a-t-il besoin pour les nouveaux déploiements de stratégie ?
- Quels sont les processus critiques dans chaque groupe d’entreprise affectés par les stratégies de contrôle des applications et comment peuvent-ils affecter la charge de travail de votre service de support ?
- Qui sont les contacts du service de support ?
- Comment les problèmes de contrôle d’application sont-ils résolus pour l’utilisateur final ?
Prise en charge des utilisateurs finaux
Étant donné qu’AppLocker bloque l’exécution des applications non approuvées, il est important que votre organization planifie soigneusement la façon de fournir un support aux utilisateurs finaux. Les considérations sont les suivantes :
- Voulez-vous utiliser un site intranet comme support de première ligne pour les utilisateurs qui rencontrent des applications bloquées ?
- Comment voulez-vous prendre en charge les exceptions à la stratégie ?
Utilisation d’un site intranet
AppLocker peut être configuré pour afficher le message de blocage par défaut, mais avec une URL personnalisée. Vous pouvez utiliser cette URL pour rediriger les utilisateurs vers un site de support qui contient des informations sur la raison pour laquelle l’utilisateur a reçu l’erreur et sur les applications autorisées. Si vous n’affichez pas d’URL personnalisée pour le message lorsqu’une application est bloquée, l’URL par défaut est utilisée.
L’image suivante montre un exemple de message d’erreur pour une application bloquée. Vous pouvez utiliser le paramètre de stratégie Définir un lien web de prise en charge pour personnaliser le lien Plus d’informations .
Pour connaître la procédure d’affichage d’une URL personnalisée pour le message, consultez Afficher un message d’URL personnalisée lorsque les utilisateurs essaient d’exécuter une application bloquée.
Gestion des événements AppLocker
Chaque fois qu’un processus tente de s’exécuter, AppLocker crée un événement dans le journal des événements AppLocker. L’événement inclut des informations sur le fichier qui a tenté de s’exécuter, l’utilisateur qui l’a initié et le GUID de règle AppLocker qui a bloqué ou autorisé le fichier. Le journal des événements AppLocker se trouve dans le chemin d’accès suivant : Journaux des applications et des services\Microsoft\Windows\AppLocker. Le journal AppLocker comprend trois journaux :
- EXE et DLL. Contient des événements pour tous les fichiers affectés par les collections de règles exécutables et DLL (.exe, .com, .dll et .ocx).
- MSI et Script. Contient des événements pour tous les fichiers affectés par les collections de règles windows Installer et de script (.msi, .msp, .ps1, .bat, .cmd, .vbs et .js).
- Déploiement d’applications empaquetées ou exécution d’applications empaquetées, contient des événements pour toutes les applications Windows universelles affectées par l’application empaquetée et la collection de règles d’installation d’applications packagées (.appx).
La collecte de ces événements dans un emplacement central peut vous aider à gérer votre stratégie AppLocker et à résoudre les problèmes de configuration des règles.
Maintenance de la stratégie
À mesure que les applications sont déployées, mises à jour ou mises hors service, vous devez maintenir vos règles de stratégie à jour.
Vous pouvez modifier une stratégie AppLocker en ajoutant, en modifiant ou en supprimant des règles. Toutefois, vous ne pouvez pas spécifier une version pour la stratégie en important d’autres règles. Pour garantir le contrôle de version lors de la modification d’une stratégie AppLocker, utilisez stratégie de groupe logiciel de gestion qui vous permet de créer des versions d’objets stratégie de groupe (GPO). La fonctionnalité Advanced stratégie de groupe Management de Microsoft Desktop Optimization Pack est un exemple de ce type de logiciel. Pour plus d’informations, consultez Vue d’ensemble de la gestion avancée des stratégie de groupe.
Important
Vous ne devez pas modifier une collection de règles AppLocker tant qu’elle est appliquée dans stratégie de groupe. Étant donné qu’AppLocker contrôle les fichiers autorisés à s’exécuter, apporter des modifications à une stratégie active peut créer un comportement inattendu.
Nouvelle version d’une application prise en charge
Lorsqu’une nouvelle version d’une application est déployée dans le organization, vous devez déterminer s’il faut continuer à prendre en charge la version précédente de cette application. Pour ajouter la nouvelle version, vous devrez peut-être uniquement créer une règle pour chaque fichier associé à l’application. Si vous utilisez des conditions d’éditeur et que la version n’est pas spécifiée, la ou les règles existantes peuvent être suffisantes pour autoriser l’exécution du fichier mis à jour. Toutefois, vous devez case activée pour les noms de fichiers qui changent ou de nouveaux fichiers ajoutés. Si c’est le cas, vous devez modifier les règles existantes ou en créer de nouvelles. Vous devrez peut-être mettre à jour les règles basées sur l’éditeur pour les fichiers dont la signature numérique change.
Pour déterminer si un fichier a changé pendant une mise à jour d’application, passez en revue les détails de publication de l’éditeur fournis avec le package de mise à jour. Vous pouvez également consulter la page web de l’éditeur pour récupérer ces informations. Chaque fichier peut également être inspecté pour déterminer la version.
Pour les fichiers autorisés ou refusés avec des conditions de hachage de fichier, vous devez récupérer le nouveau hachage de fichier et vous assurer que vos règles incluent ce nouveau hachage.
Pour les fichiers avec des conditions de chemin d’accès, vous devez vérifier que le chemin d’installation est identique. Si le chemin d’accès a changé, vous devez ajouter une règle pour le nouveau chemin avant d’installer la nouvelle version de l’application.
Application récemment déployée
Pour prendre en charge une nouvelle application, vous devez ajouter une ou plusieurs règles à la stratégie AppLocker existante.
L’application n’est plus prise en charge
Si votre organization ne prend plus en charge une application associée à des règles AppLocker, vous pouvez supprimer les règles pour bloquer l’application.
L’application est bloquée, mais doit être autorisée
Un fichier peut être bloqué pour trois raisons :
- La raison la plus courante est qu’il n’existe aucune règle pour autoriser l’exécution de l’application.
- Il se peut qu’une règle existante créée pour le fichier soit trop restrictive.
- Une règle de refus, qui ne peut pas être remplacée, bloque explicitement le fichier.
Avant de modifier la collection de règles, déterminez d’abord quelle règle empêche l’exécution du fichier. Vous pouvez résoudre le problème à l’aide de l’applet de commande Test-AppLockerPolicy Windows PowerShell. Pour plus d’informations sur la résolution des problèmes d’une stratégie AppLocker, consultez Test et mise à jour d’une stratégie AppLocker.
Enregistrer vos résultats
Pour terminer ce document de planification AppLocker, vous devez d’abord effectuer les étapes suivantes :
- Déterminer les objectifs de contrôle des applications
- Créer une liste des applications déployées sur chaque groupe professionnel
- Sélectionner les types de règles à créer
- Déterminer l’application des règles et la structure de la stratégie de groupe
- Planifier la gestion des stratégies AppLocker
Les trois domaines clés à déterminer pour la gestion des stratégies AppLocker sont les suivants :
Stratégie de support
Documentez votre processus de gestion des appels des utilisateurs qui ont tenté d’exécuter une application bloquée et assurez-vous que le personnel du support technique connaît les étapes de résolution des problèmes recommandées et les points d’escalade pour votre stratégie.
Traitement des événements
Documentez où les événements sont collectés, la fréquence à laquelle ils sont archivés et la façon dont les événements sont traités pour analyse.
Maintenance de la stratégie
Détaillez les plans de maintenance et de cycle de vie de votre stratégie.
Le tableau suivant contient les exemples de données ajoutés qui ont été collectés lors de la détermination de la gestion et de la gestion des stratégies AppLocker.
Groupe d’entreprises | Unité d’organisation | Implémenter AppLocker ? | Applications | Chemin d’installation | Utiliser la règle par défaut ou définir une nouvelle condition de règle | Autoriser ou refuser | Nom de l’objet de stratégie de groupe | Stratégie de support |
---|---|---|---|---|---|---|---|---|
Guichets bancaires | Teller-East et Teller-West | Oui | Teller Software | C :\Program Files\Woodgrove\Teller.exe | Le fichier est signé ; créer une condition d’éditeur | Autoriser | Tellers-AppLockerTellerRules | Aide web |
Fichiers Windows | C :\Windows | Créer une exception de chemin d’accès à la règle par défaut pour exclure \Windows\Temp | Autoriser | Support technique | ||||
Ressources humaines | HR-All | Oui | Vérifier le paiement | C :\Program Files\Woodgrove\HR\Checkcut.exe | Le fichier est signé ; créer une condition d’éditeur | Autoriser | HR-AppLockerHRRules | Aide web |
Organisateur de feuille de temps | C :\Program Files\Woodgrove\HR\Timesheet.exe | Le fichier n’est pas signé ; créer une condition de hachage de fichier | Autoriser | Aide web | ||||
Internet Explorer 7 | C :\Program Files\Internet Explorer | Le fichier est signé ; créer une condition d’éditeur | Refuser | Aide web | ||||
Fichiers Windows | C :\Windows | Utiliser la règle par défaut pour le chemin d’accès Windows | Autoriser | Support technique |
Les deux tableaux suivants illustrent des exemples de considérations relatives à la gestion et à la gestion des stratégies AppLocker.
Stratégie de traitement des événements
Une méthode de découverte pour l’utilisation de l’application consiste à définir le mode d’application AppLocker sur Audit uniquement. Ce mode d’application écrit des événements dans les journaux AppLocker, qui peuvent être gérés et analysés comme d’autres journaux Windows. Une fois les applications identifiées, vous pouvez commencer à développer des stratégies concernant le traitement et l’accès aux événements AppLocker.
Le tableau suivant est un exemple de ce qu’il faut prendre en compte et enregistrer.
Groupe d’entreprises | Emplacement de collecte d’événements AppLocker | Stratégie d’archivage | Analysé? | Stratégie de sécurité |
---|---|---|---|---|
Guichets bancaires | Transféré vers : Référentiel d’événements AppLocker sur srvBT093 | Standard | Aucun(e) | Standard |
Ressources humaines | NE PAS TRANSFÉRER. srvHR004 | 60 mois | Oui, rapports de synthèse mensuels aux responsables | Standard |
Stratégie de maintenance de stratégie
Commencez à documenter la façon dont vous envisagez de mettre à jour vos stratégies de contrôle d’application.
Le tableau suivant est un exemple de ce qu’il faut prendre en compte et enregistrer.
Groupe d’entreprises | Stratégie de mise à jour des règles | Stratégie de désactivation de l’application | Stratégie de version d’application | Stratégie de déploiement d’applications |
---|---|---|---|---|
Guichets bancaires | Planifié : Triage mensuel par bureau d’entreprise Urgence : Demander via le support technique |
Par le biais du triage des bureaux d’affaires Préavis de 30 jours requis |
Stratégie générale : Conserver les versions antérieures pendant 12 mois Répertorier les stratégies pour chaque application |
Coordonné par le biais d’un bureau d’affaires Préavis de 30 jours requis |
Ressources humaines | Planifié : Triage mensuel à rh Urgence : Demander via le support technique |
Via le triage DES RH Préavis de 30 jours requis |
Stratégie générale : Conserver les versions antérieures pendant 60 mois Répertorier les stratégies pour chaque application |
Coordonné par le biais des RH Préavis de 30 jours requis |