L’utilité d’AppLocker

sympa prend la forme d’un assistant qui crée automatiquement des règles sur la base de tous les fichiers situés dans un dossier que vous spécifiez. Si vous créez votre stratégie sur un ordinateur représentatif de la majorité des machines de votre société, il est possible de créer les règles de stratégie nécessaires pour inclure dans la liste blanche toutes les applications installées sans y passer un temps fou.

De manière similaire aux anciennes règles de restriction logicielle, les règles AppLocker peuvent être basées sur des chemins de fichiers, des hachages de fichiers ou des certificats d’éditeurs de logiciels. Les chemins de fichiers constituent la méthode la moins fiable et fonctionnent uni – quement si les fichiers exécutables sont toujours situés au même endroit. Avec cette méthode, des programmes modifiés à des fins malveillantes peuvent aussi s’exécuter tant qu’ils résident à l’emplacement approuvé.

Les règles de hachage de fichiers sont plus fiables, car elles s’appliquent à des versions spécifiques de fichiers de programmes. Si un seul octet vient à être modifié, une règle de valeur de hachage ne s’applique plus et le programme est stoppé net. Toutefois, la gestion de ce type de règle peut être très ardue. Dès qu’un fichier de programme est modifié à la suite d’une mise à jour valide, il faut mettre à jour les hachages, sous peine de voir l’application devenir inopérationnelle. Si toutes les règles de hachage ne sont pas actualisées avant l’installation du correctif d’une application, vous allez être confronté à une multitude de réclamations d’utilisateurs à mesure que les programmes s’arrêteront de fonctionner sur le réseau.

Les règles les plus souples et les plus fiables sont les règles d’éditeurs. Vous pouvez configurer une stratégie qui permet à tous les programmes signés par un éditeur de confiance de s’exécuter, mais une granularité encore plus fine est possible. Ainsi, une règle peut autoriser uniquement l’exécution des programmes d’un seul éditeur, par exemple ceux de Microsoft. Pour limiter encore la portée de la règle, il est possible de la circonscrire à un nom de produit, qu’il convient de spécifier dans le fichier signé. Par exemple, vous pouvez placer Acrobat Reader dans une liste blanche sans autoriser d’autres programmes du même éditeur. Tant que les futures versions d’Acrobat Reader seront signées correctement, AppLocker leur appliquera la même règle. Vous éliminez ainsi le casse-tête des mises à jour et correctifs de logiciels en cas d’utilisation de règles de chemins de fichiers ou de hachage.

Avant d’activer AppLocker, il faut aussi choisir le mode de mise en vigueur. Vous pouvez faire en sorte qu’App Locker applique systématiquement vos stratégies ou autoriser le remplacement de paramètres par d’autres GPO. Une troisième option est le mode audit seul, lequel permet à toutes les applications de s’exécuter mais génère des événements d’audit lorsqu’une règle s’applique.