Exécuter l’Assistant Générer automatiquement les règles
Cet article destiné aux professionnels de l’informatique décrit les étapes d’exécution de l’Assistant pour créer des règles AppLocker sur un appareil de référence.
AppLocker vous permet de générer automatiquement des règles pour tous les fichiers d’un dossier. Il analyse le dossier spécifié et crée les types de condition que vous choisissez pour chaque fichier dans ce dossier.
Pour gérer une stratégie AppLocker dans un objet stratégie de groupe (GPO), vous pouvez effectuer cette tâche à l’aide de la console de gestion stratégie de groupe. Pour gérer une stratégie AppLocker pour l’ordinateur local ou pour une utilisation dans un modèle de sécurité, utilisez le composant logiciel enfichable Stratégie de sécurité locale. Pour plus d’informations sur l’utilisation de ces composants logiciels enfichables MMC pour administrer AppLocker, consultez Administrer AppLocker.
Pour générer automatiquement des règles
Ouvrez la console AppLocker.
Cliquez avec le bouton droit sur le type de règle approprié pour lequel vous souhaitez générer automatiquement des règles. Vous pouvez générer automatiquement des règles pour les règles d’exécutable, de Windows Installer, de script et d’application empaquetée.
Sélectionnez Générer automatiquement des règles.
Dans la page Dossier et autorisations , sélectionnez Parcourir pour choisir le dossier à analyser. Par défaut, ce dossier est le dossier Program Files.
Sélectionnez Sélectionner pour choisir le groupe de sécurité dans lequel les règles par défaut doivent être appliquées. Par défaut, ce groupe est le groupe Tout le monde .
L’Assistant fournit un nom dans la zone Nom pour identifier cet ensemble de règles en fonction du nom du dossier sélectionné. Acceptez le nom fourni ou tapez un autre nom, puis sélectionnez Suivant.
Dans la page Préférences des règles, choisissez les conditions que l’Assistant doit utiliser lors de la création de règles, puis sélectionnez Suivant. Pour plus d’informations sur les conditions de règle, consultez Présentation des types de conditions de règle AppLocker.
Remarque
La zone Réduire le nombre de règles créées en regroupant des fichiers similaires case activée est sélectionnée par défaut. Cela vous permet d’organiser les règles AppLocker et de réduire le nombre de règles que vous créez en effectuant les opérations suivantes pour la condition de règle que vous sélectionnez :
- Une condition d’éditeur est créée pour tous les fichiers qui ont le même éditeur et le même nom de produit.
- Une condition de chemin d’accès est créée pour le dossier que vous sélectionnez. Par exemple, si vous sélectionnez C :\Program Files\ProgramName\ et que les fichiers de ce dossier ne sont pas signés, l’Assistant crée une règle pour %programfiles%\ProgramName\*.
- Une condition de hachage de fichier est créée et contient tous les hachages de fichier. Lorsque le regroupement de règles est désactivé, l’Assistant crée une règle de hachage de fichier pour chaque fichier.
Passez en revue les fichiers qui ont été analysés et les règles créées. Pour apporter des modifications, sélectionnez Précédent pour revenir à la page dans laquelle vous pouvez modifier vos sélections. Après avoir examiné les règles, sélectionnez Créer.
Remarque
Si vous exécutez l’Assistant pour créer vos premières règles pour un objet de stratégie de groupe, vous serez invité à créer les règles par défaut qui autorisent l’exécution des fichiers système critiques, une fois l’Assistant terminé. Vous pouvez modifier les règles par défaut à tout moment. Si votre organization a décidé de modifier les règles par défaut ou de créer des règles personnalisées pour autoriser l’exécution des fichiers système Windows, veillez à supprimer les règles par défaut après les avoir remplacées par vos règles personnalisées.