Liste blanche des applications dans Windows 7 et Windows Server 2008 R2

AppLocker de Microsoft, la fonction de contrôle des applications incluse dans Windows 7 et Windows Server 2008 R2, est une amélioration des stratégies de restriction logicielle (SRP) introduites avec Windows XP Professionnel. AppLocker permet de définir les règles d'exécution des applications et leurs exceptions en fonction d'attributs de fichier tels que le chemin, l'éditeur, le nom du produit, le nom du fichier, la version du fichier, etc. Les stratégies peuvent ensuite être attribuées aux ordinateurs, utilisateurs, groupes de sécurité et unités organisationnelles via Active Directory.

Les rapports sont limités à ce qui peut être extrait des fichiers journaux, et la création de règles pour les types de fichiers non définis dans AppLocker peut être difficile. Mais le plus gros inconvénient d'AppLocker est qu'il est limité aux clients Windows 7 Entreprise, Windows 7 Ultimate et Windows Server 2008 R2. Windows 7 Professionnel peut être utilisé pour créer une stratégie, mais ne peut pas utiliser AppLocker pour appliquer des règles sur lui-même. AppLocker ne peut pas être utilisé pour gérer les versions antérieures de Windows, bien que SRP et AppLocker de Windows XP Pro puissent être configurés de la même manière pour affecter une stratégie à l'échelle de l'entreprise.

[Lisez la revue Test Center des solutions de liste blanche des applications de Bit9, CoreTrace, Lumension, McAfee, SignaCert et Microsoft. Comparez ces solutions de liste blanche d'applications en fonction des fonctionnalités. ]  

AppLocker peut être configuré localement à l'aide de l'objet Stratégie de l'ordinateur local (gpedit.msc) ou à l'aide d'Active Directory et d'objets de stratégie de groupe (GPO). Comme beaucoup des dernières technologies activées par Active Directory de Microsoft, les administrateurs auront besoin d'au moins un ordinateur Windows Server 2008 R2 ou Windows 7 joint à un domaine pour définir et administrer AppLocker. Les ordinateurs Windows 7 auront besoin de la fonctionnalité de console de gestion des stratégies de groupe installée dans le cadre des outils d'administration de serveur distant (RSAT) pour Windows 7 (téléchargement gratuit). AppLocker repose sur le service d'identité d'application intégré, qui est normalement défini sur le type de démarrage manuel par défaut. Les administrateurs doivent configurer le service pour qu'il démarre automatiquement.

Dans l'objet de stratégie local ou de groupe, AppLocker est activé et configuré sous le conteneur \ Configuration ordinateur \ Paramètres Windows \ Paramètres de sécurité \ Stratégies de contrôle des applications [image d'écran].

Par défaut, lorsqu'elles sont activées, les règles AppLocker ne permettent pas aux utilisateurs d'ouvrir ou d'exécuter des fichiers qui ne sont pas spécifiquement autorisés. Les nouveaux testeurs bénéficieront en permettant à AppLocker de créer un ensemble par défaut de «règles de sécurité» à l'aide de l'option Créer des règles par défaut. Les règles par défaut autorisent tous les fichiers de Windows et Program Files à s'exécuter, tout en permettant aux membres du groupe Administrateurs d'exécuter quoi que ce soit.

L'une des améliorations les plus notables par rapport à SRP est la possibilité d'exécuter AppLocker sur n'importe quel ordinateur participant à l'aide de l'option Générer automatiquement des règles [image d'écran] pour générer rapidement un ensemble de règles de base. En quelques minutes, des dizaines à des centaines de règles peuvent être créées sur une image propre connue, ce qui permet aux administrateurs AppLocker d'économiser des heures à des jours de travail.

AppLocker prend en charge quatre types de collections de règles: exécutable, DLL, Windows Installer et Script. Les administrateurs SRP remarqueront que Microsoft n'a plus les règles de registre ni les options de zones Internet. Chaque collection de règles couvre un ensemble limité de types de fichiers. Par exemple, les règles exécutables couvrent les .EXE et .COM 32 bits et 64 bits; toutes les applications 16 bits peuvent être bloquées en empêchant l'exécution du processus ntdvm.exe. Les règles de script couvrent les types de fichiers .VBS, .JS, .PS1, .CMD et .BAT. La collection de règles DLL couvre les fichiers .DLL (y compris les bibliothèques liées statiquement) et les OCX (Object Linking and Embedding Control Extensions, également appelés contrôles ActiveX).

S'il n'existe aucune règle AppLocker pour une collection de règles spécifique, tous les fichiers avec ce format de fichier sont autorisés à s'exécuter. Cependant, lorsqu'une règle AppLocker pour une collection de règles spécifique est créée, seuls les fichiers explicitement autorisés dans une règle sont autorisés à s'exécuter. Par exemple, si vous créez une règle exécutable qui autorise l'exécution des fichiers .exe dans % SystemDrive% \ FilePath , seuls les fichiers exécutables situés dans ce chemin sont autorisés à s'exécuter.

AppLocker prend en charge trois types de conditions de règle pour chaque collection de règles: les règles de chemin d'accès, les règles de hachage de fichier et les règles de l'éditeur. Toute condition de règle peut être utilisée pour autoriser ou refuser l'exécution, et elle peut être définie pour un utilisateur ou un groupe particulier. Les règles de hachage de chemin et de fichier sont explicites; les deux acceptent les symboles joker. Les règles de l'éditeur sont assez flexibles et permettent à plusieurs champs de tout fichier signé numériquement d'être mis en correspondance avec des valeurs spécifiques ou des caractères génériques. En utilisant une barre de défilement pratique dans l'interface graphique AppLocker [image d'écran], vous pouvez rapidement remplacer les valeurs spécifiques par des caractères génériques. Chaque nouvelle règle permet de manière pratique de faire une ou plusieurs exceptions. Par défaut, les règles de l'éditeur traiteront les versions mises à jour des fichiers de la même manière que les originaux, ou vous pouvez appliquer une correspondance exacte.

Une distinction importante entre AppLocker et les soi-disant concurrents est que AppLocker est en réalité un service, un ensemble d'API et de politiques définies par l'utilisateur avec lesquelles d'autres programmes peuvent s'interfacer. Microsoft a codé Windows et ses interpréteurs de script intégrés pour s'interfacer avec AppLocker afin que ces programmes (Explorer.exe, JScript.dll, VBScript.dll, etc.) puissent appliquer les règles définies par les stratégies AppLocker. Cela signifie qu'AppLocker fait vraiment partie du système d'exploitation et n'est pas facilement contourné lorsque les règles sont correctement définies.

Cependant, si vous devez créer une règle pour un type de fichier qui n'est pas défini dans la table de stratégie d'AppLocker, cela peut prendre un peu de créativité pour obtenir l'effet souhaité. Par exemple, pour empêcher l'exécution des fichiers de script Perl avec l'extension .PL, vous devez créer une règle exécutable qui bloque l'interpréteur de script Perl.exe à la place. Cela bloquerait ou autoriserait tous les scripts Perl et nécessiterait une certaine ingéniosité pour obtenir un contrôle plus fin. Ce n'est pas un problème unique, car la plupart des produits de cette revue ont le même type de limitation.

La configuration et les règles d'AppLocker peuvent facilement être importées et exportées sous forme de fichiers XML lisibles, les règles peuvent être rapidement effacées en cas d'urgence et toutes peuvent être gérées à l'aide de Windows PowerShell. Les rapports et les alertes sont limités à ce qui peut être extrait des journaux d'événements normaux. Mais même avec les limitations d'AppLocker, le prix de Microsoft - gratuit, si vous utilisez Windows 7 et Windows Server 2008 R2 - peut être un attrait puissant pour les boutiques Microsoft à jour.

Cet article, «Liste blanche des applications dans Windows 7 et Windows Server 2008 R2», et des critiques de cinq solutions de liste blanche pour les réseaux d'entreprise, a été initialement publié sur .com. Suivez les derniers développements en matière de sécurité des informations, Windows et la sécurité des terminaux sur .com.