none
AppLocker ne fonctionne pas RRS feed

  • Question

  • Bonjour,

    J'essaye depuis quelques temps de mettre en place par GPO AppLocker au sein de mon AD. Seulement je rencontre quelques problèmes.

    J'ai actuellement en place un Windows Servers 2016 Preview 5 et une machine Windows 10 Pro, les deux sont virtualisées.

    Les deux machines sont connectés au sein du même réseau et le Windows Server fait office de contrôleur de domaine que j'ai crée dont fait maintenant parti les deux machines.

    Je souhaite maintenant utiliser AppLocker pour que ce dernier contrôle les application qui peuvent être exécutées sur l'ensemble du domaine. Après avoir crée une GPO dans laquelle Applocker est configuré avec les règles suivantes :

    • Une première qui autorise tous les programmes dans C:\Windows de s'éxécuter
    • Une deuxième qui interdit tous les programmes dans C:\Program Files de s'éxécuter

    Cependant ces règles ne sont appliqués qu'à ma machine sous Windows Server 2016. Je ne comprend pas pourquoi mon Windows Pro peut lui exécuter tous les programmes dans les répertoire C:\Program Files

    J'ai donc décider de tester ma GPO avec les commandes suivantes (sur ma machine Windows 10 pro) :

    • PS C:\ Get-AppLockerPolicy –Effective –XML > C:\Effective.xml
    • PS C:\ Get-ChildItem 'C:\Program Files' –filter *.exe –Recurse | Convert-Path | Test-AppLockerPolicy –XMLPolicy C:\Effective.xml –User AD2016\test | Export-CSV C:\BlockedFiles.csv ​V

    Voici un extrait du contenu BlockedFiles.csv

    #TYPE Microsoft.Security.ApplicationId.PolicyManagement.AppLockerPolicyDecision
    "FilePath","PolicyDecision","MatchingRule"
    "C:\Program Files\Internet Explorer\iediagcmd.exe","Denied","Tous les fichiers se trouvant dans le dossier Program Files"
    "C:\Program Files\Internet Explorer\ieinstal.exe","Denied","Tous les fichiers se trouvant dans le dossier Program Files"
    "C:\Program Files\Internet Explorer\ielowutil.exe","Denied","Tous les fichiers se trouvant dans le dossier Program Files"
    "C:\Program Files\Internet Explorer\iexplore.exe","Denied","Tous les fichiers se trouvant dans le dossier Program Files"

    Il est indiqué que Internet explorer est bloqué, pourtant tentant de l'exécuter depuis le même répertoire cela fonctionne.

    J'ai suivi toutes les procédures nécessaires et ne comprend pas pourquoi les règles ne sont effectives que sur mon Windows Server.

    Peut être ai-je oublié de configurer quelque chose ? Avez-vous une idée ? Que pourrais-je faire ?

    Merci d'avance pour le temps consacré,

    Je peux fournir des éléments supplémentaires si besoin

    mercredi 1 juin 2016 14:16

Réponses

Toutes les réponses