Contrôle des applications

Vous pouvez combiner les méthodes de sécurité Application Control (Contrôle des applications) (comme la vérification Trusted Ownership) et des règles dans une configuration pour contrôler les utilisateurs qui peuvent installer et exécuter des applications.

Application Control (Contrôle des applications) utilise la méthode appelée vérification Trusted Ownership (Propriétaire de confiance) pour interdire l'exécution des exécutables introduits par les utilisateurs.Par défaut, seules les applications installées par un propriétaire de confiance (l'administrateur, par exemple) sont autorisés à s'exécuter.Dans le cas des applications Microsoft (comme Project et Visio) installées dans un environnement multiutilisateur, vous pouvez utiliser Application Control (Contrôle des applications) pour autoriser uniquement l'accès à ces applications, sur la base du périphérique sous licence spécifié.

La configuration Application Control (Contrôle des applications) contient deux règles de groupe.Il s'agit du groupe BuiltIn\Administrators, qui dispose d'un accès non restreint et est autorisé à lancer tous les exécutables, et du groupe Tout le monde, qui ne peut lancer que les exécutables appartenant à des propriétaires de confiance.Chaque règle que vous créez comporte une liste Éléments autorisés et une liste Éléments refusés.

La liste Éléments autorisés permet aux administrateurs d'autoriser l'accès aux exécutables normalement bloqués par les règles par défaut, comme un échec Trusted Ownership ou des exécutables réseau.

La liste Éléments refusés permet aux administrateurs de refuser l'accès aux exécutables normalement autorisés par les règles par défaut.

Comme les applications Microsoft possèdent souvent une licence qui autorise leur exécution seulement sur quelques périphériques, les meilleures pratiques consistent à utiliser Application Control (Contrôle des applications) pour refuser initialement l'accès à ces applications à tout le monde, puis à autoriser l'accès de certaines personnes, sur la base du périphérique autorisé.

  1. Développez le nœud Groupe > Tout le monde.
  2. Cliquez avec le bouton droit sur le nœud Éléments refusés et sélectionnez Ajouter un élément > Refusé > Fichier.La boîte de dialogue Ajouter un fichier s'affiche.
  3. Naviguez jusqu'à l'application dont l'accès doit être restreint et sélectionnez-la, ou entrez son nom dans le champ Fichier, puis cliquez sur Ajouter.Aucun utilisateur standard ne peut plus utiliser l'application spécifiée.

La configuration ci-dessus refuse l'accès à tout le monde. Par conséquent, vous devez créer une règle d'exception pour autoriser les périphériques sous licence nommés à exécuter l'application.Vous pouvez spécifier les périphériques à l'aide d'une plage d'adresses IP ou d'un nom NetBIOS.Ces périphériques constituent la machine client de connexion dans un environnement de serveurs de terminal/Citrix.

Les règles Application Control (Contrôle des applications) fonctionne différemment des stratégies de groupe Microsoft car une règle Éléments autorisés est toujours prioritaire sur une règle Éléments refusés.

  1. Dans le ruban Règles, sélectionnez Ajouter une règle > Règle de périphérique.

    Une nouvelle règle est créée.

  2. Cliquez avec le bouton droit sur la nouvelle règle et choisissez Renommer.
  3. Entrez un nom convivial, comme Périphériques sous licence Visio.
  4. Développez la nouvelle règle.
  5. Sélectionnez le nœud Éléments autorisés.

  6. Dans le ruban Éléments de règle, sélectionnez Ajouter un élément > Autorisé > Fichier.

    La boîte de dialogue Ajouter un fichier s'affiche.

  7. Naviguez jusqu'à l'application qui doit être autorisée sur les périphériques autorisés et sélectionnez-la, ou entrez son nom dans le champ Fichier, puis cliquez sur Ajouter.

    Il s'agit de la même application précédemment restreinte à l'étape 1.
  1. Sélectionnez la nouvelle règle de périphérique.

  2. Sélectionnez Ajouter un périphérique client dans le ruban Règles.

    La boîte de dialogue Ajouter un périphérique client s'affiche.

  3. Naviguez jusqu'aux périphériques à autoriser pour l'application spécifiée et sélectionnez-les, puis cliquez sur Ajouter.

    Vous pouvez également spécifier les périphériques en entrant directement les données suivantes :

    • Adresse IP (par exemple, 192.168.1.80)
    • Plage d'adresse IP (par exemple, 192.168.1.10-20)

    • Nom NetBIOS (par exemple, Ivanti-PC1)

      Vous pouvez combiner les valeurs ci-dessus à votre gré.

  4. Pour spécifier que les périphériques sont des périphériques de connexion, et pas les périphériques physiques qui exécutent l'application, sélectionnez Périphérique de connexion dans la colonne Type de périphérique pour chaque périphérique.

Enregistrez la configuration.Lorsque la configuration est déployée sur un serveur de terminal/Citrix, seuls les périphériques spécifiés sont autorisés à lancer l'application sous licence Microsoft « par périphérique ».

Rubriques connexes

Règles

Options de règle

Éléments de règle