> Tech > La Software Restriction Policy

La Software Restriction Policy

Tech - Par iTPro - Publié le 24 juin 2010
email

Je manque de place pour couvrir toutes les stratégies de sécurité existant dans les Stratégies de groupe, mais il en est une qui mérite quelque attention : la software restriction policy. Cette stratégie est nouvelle dans Windows 2003 et XP. Par conséquent, il faut utiliser l'une de ces versions d'OS

pour l’utiliser. La software restriction
policy est disponible dans une stratégie
de groupe sous forme de paramètres
par ordinateur ou par utilisateur.
En substance, la software
restriction policy permet d’empêcher
certaines applications de s’exécuter.
On peut restreindre une application
d’après le certificat X.509 qui l’a signée,
sa valeur hash de fichier, sa zone
Internet d’origine, ou son chemin de
fichier.
Un exemple est le meilleur moyen
pour expliquer le mode d’utilisation de la software restriction policy.
Supposons que je veuille empêcher
tous les utilisateurs de mon domaine
AD d’exécuter toute application lancée
à  partir du dossier Temporary Internet
Files sous leur profil utilisateur. Les fichiers
téléchargés par Microsoft IE
(Internet Explorer) se trouvent généralement
dans ce dossier temporairement
; par conséquent, c’est un bon
endroit pour restreindre l’exécution
du code.
Je dois tout d’abord valider la restriction
logicielle dans mon GPO en navigant
jusqu’à  Computer ConfigurationWindows Settings\Security
Settings, en faisant un clic droit sur le
noeud Software Restriction Policies, et
en choisissant Create New Policies.
Windows crée immédiatement un ensemble
d’objets que je peux utiliser
pour modifier le comportement de la
restriction logicielle et les affiche dans
le Group Policy Object Editor, comme
le montre la figure 4.
Les trois noeuds « leaf » dans le
panneau de droite – Enforcement,
Designated File Types et Trusted
Publishers – vous permettent de définir
des options globales pour une software
restriction policy. Dans la plupart
des cas, vous pourrez prendre les
valeurs par défaut proposées.
Le dossier Security Levels contient
deux options : Disallowed et Unrestricted.
L’état par défaut est Unrestricted,
qui permet aux utilisateurs
d’exécuter tout le logiciel, sauf les programmes
interdits explicitement par la
Software Restriction Policy. L’option
Disallowed empêche les utilisateurs
d’exécuter tout logiciel à  l’exception
des programmes permis explicitement
par la Software Restriction Policy. Pour
cet exemple, j’utilise la valeur par défaut
Unrestricted.
La véritable substance de la
Software Restriction Policy se trouve
dans le dossier Additional Rules. Si l’on
fait un clic droit sur ce dossier, on voit
que l’on peut créer des règles d’après
les quatre critères mentionnés ci-dessus.
Pour mon exemple, je veux créer
une règle qui empêche l’exécution de
tout logiciel situé dans le dossier
Temporary Internet Files du profil utilisateur.
Je crée une nouvelle règle de
chemin, je définis le chemin à  %userprofile%local settings\temporary internet
files, puis je définis le niveau de
sécurité pour cette règle à  Disallowed,
comme illustré figure 5.
Quand un ordinateur traitera cette
stratégie, le système n’exécutera aucun
des fichiers d’application dans le dossier
Temporary Internet Files dont les
types se trouvent sur la liste Designated
File Types. Comme on le voit, la
software restriction policy peut être un
moyen puissant pour empêcher du
code exécutable inconnu de s’exécuter
de façon débridée sur le réseau.

Téléchargez gratuitement cette ressource

Endpoint Security : Guide de Mise en œuvre

Endpoint Security : Guide de Mise en œuvre

Détournement d’applications légitimes, élévation de privilèges, logiciels malveillants furtifs : comment les solutions de Endpoint Security permettent elles de faire face aux nouvelles techniques d'attaques complexes ? Découvrez, dans ce Guide Endpoint Security, les perspectives associées à leur mise en œuvre.

Tech - Par iTPro - Publié le 24 juin 2010