Éléments refusés

Dans cette section :

À propos des éléments refusés

Les nœuds Éléments refusés sont des sous-nœuds créés automatiquement dans un nœud Règle lorsque vous créez une nouvelle règle.Cela vous permet d'ajouter des éléments, auxquels les groupes, utilisateurs et périphériques spécifiés dans la règle n'auront pas accès.

Si vous utilisez l'option par défaut, qui fait confiance à toutes les applications installées en local par un propriétaire de confiance, il vous suffit d'ajouter les applications spécifiques que les utilisateurs ne doivent pas pouvoir exécuter.Par exemple, vous pouvez ajouter des outils d'administration, comme les outils de gestion et de modification du registre.

Vous n'avez pas besoin d'utiliser cette liste pour interdire les applications dont le propriétaire n'est pas un administrateur, car elles sont bloquées par la vérification Trusted Ownership (Propriétaire de confiance).

Vous pouvez utiliser la fonction Glisser-déplacer du logiciel Application Control (Contrôle des applications) pour ajouter des fichiers, dossiers, lecteurs et éléments de signature depuis l'Explorateur Windows, ainsi que pour copier ou déplacer des éléments du nœud Éléments autorisés au nœud Éléments refusés (et inversement) dans chacun des nœuds de configuration.

Vous pouvez ajouter les éléments suivants :

Si seul un nom de fichier est spécifié (par exemple, monappli.exe), toutes les instances de ce fichier sont refusées, quel que soit l'emplacement de l'application.Si le nom de fichier est accompagné d'un chemin complet (par exemple, \\nom-serveur\nom-partage\monappli.exe), seule cette instance de l'application est refusée.Les autres instances de cette application doivent satisfaire d'autres règles Application Control (Contrôle des applications) pour que leur exécution soit autorisée.Pour les fichiers et dossiers figurant dans Application Control (Contrôle des applications) qui font référence à des éléments dans un partage DFS, vous devez spécifier le serveur cible, plutôt que le serveur d'espace de noms, dans le chemin UNC.

Pour en savoir plus, reportez-vous à « Systèmes de fichiers distribués ».

Vous pouvez spécifier un dossier complet (comme \\nom-serveur\nom-partage\mondossier) pour que toutes les applications de ce dossier et de tous ses sous-dossiers soient refusées.Aucune vérification n'est effectuée sur les fichiers dans le dossier. Par conséquent, tous les fichiers copiés dans ce dossier sont refusés.Sélectionnez Inclure les sous-répertoires pour inclure tous les répertoires enfants du répertoire spécifié.Si vous ajoutez un chemin de fichier ou de dossier réseau, vous devez utiliser le nom UNC, car l'agent Application Control (Contrôle des applications) ignore tous les chemins configurés où la lettre de lecteur ne désigne pas un disque fixe local.L'utilisateur peut accéder à l'application réseau via une lettre de lecteur réseau mappé, car le chemin est converti au format UNC avant d'être validé par rapport aux paramètres de configuration.Pour appliquer automatiquement les variables d'environnement, sélectionnez Remplacer les variables d'environnement si possible dans les boîtes de dialogue Ajouter un fichier ou Ajouter un dossier.Cela rend les chemins plus génériques pour l'application sur différentes machines.La prise en charge des caractères génériques offre un niveau de contrôle supplémentaire pour la spécification de chemins de fichier génériques.

Vous pouvez spécifier un lecteur complet (par exemple, W) pour que toutes les applications sur ce lecteur, y compris dans des sous-dossiers, soient refusées.Aucune vérification n'est effectuée sur les fichiers du lecteur. Par conséquent, tous les fichiers copiés dans un dossier de ce lecteur sont refusés.

Vous pouvez ajouter un fichier, ainsi qu'un hachage numérique de ce fichier.Cela garantit que seul ce fichier particulier peut être exécuté, mais depuis n'importe quel emplacement.Pour en savoir plus, reportez-vous à « Hachage de signature ».

Vous pouvez spécifier un élément Connexion réseau.Tous les fichiers du réseau sont refusés.

Choisissez les applis Windows Store à refuser.Vous pouvez sélectionner l'une des options suivantes :

  • Autoriser Toutes les applis installées
  • Autoriser seulement les applis distinctes sélectionnées
  • Autoriser toutes les applis d'un éditeur donné

Les groupes peuvent contenir un nombre quelconque d'éléments combinant tous les types, notamment Fichier, Dossier, Lecteur, Signature et Network, pour une application particulière.Tous les fichiers sont refusés.

Ajout d'un élément refusé

Pour ajouter un élément, sélectionnez le nœud Éléments refusés et cliquez sur la liste déroulante Ajouter un élément dans le ruban Éléments de règle, sélectionnez Refusé, puis cliquez sur le type d'élément refusé à ajouter.

Cette opération empêche tous les utilisateurs d'accéder à une application dans un partage réseau :

  1. Sélectionnez le nœud Éléments refusés sous Règles > Groupe > Tout le monde.
  2. Cliquez sur Ajouter un élément dans le ruban Éléments de règle et sélectionnez Refusé.

  3. Sélectionnez l'élément à marquer comme autorisé, par exemple, un fichier.

  4. La boîte de dialogue Ajouter un fichier s'affiche.

    Recherchez le fichier à refuser ou entrez son nom.

  5. Par défaut, la case Remplacer les variables d'environnement si possible est cochée. Si elle n'est pas sélectionnée, les variables d'environnement ne sont pas remplacées par une variable d'environnement générique.
  6. Sélectionnez Ne pas afficher les messages de refus en cas de refus pour refuser l'élément en mode silencieux sans afficher aucun message d'avertissement pour l'utilisateur.
  7. Sélectionnez Ignorer le filtrage des événements d'audit pour ignorer tous les événements 9000 pour cet élément.
  8. L'élément est ajouté à la zone de travail Éléments refusés.

Pour désactiver un élément de règle spécifique, mettez-le en surbrillance, cliquez dessus avec le bouton droit et sélectionnez Changer l'état. Cela fait passer l'option de l'état Actif à l'état Inactif et inversement. Cela peut s'avérer utile si vous avez besoin d'effectuer un dépannage avec le support.

Suppression d'un élément refusé

  1. Sélectionnez l'élément à supprimer dans le nœud Éléments refusés.
  2. Dans le ruban Éléments de règle, cliquez sur Supprimer l'élément.
  3. Cliquez sur Oui dans la boîte de dialogue de confirmation.

L'élément est supprimé du nœud.

Rubriques connexes

Types de règle

Éléments de règle

Éléments autorisés

Fournisseurs de confiance

Règles de privilège utilisateur

Contrôle du navigateur (Browser Control)