GPO – Comment empêcher les utilisateurs d’exécuter certains logiciels ?


I. Présentation

Dans ce tutoriel, nous allons voir comment empêcher les utilisateurs d’exécuter certains logiciels sur une machine Windows grâce à une GPO de type « Stratégie de restriction logicielle ». C’est un bon moyen de se protéger contre les logiciels malveillants, mais aussi de garder le contrôle sur vos postes pour lutter contre les logiciels en version portable, par exemple.

Lorsque l’on a un Active Directory, des postes sous Windows et que l’on veut mettre en place des restrictions au niveau des logiciels, il y a deux noms qui ressortent : les stratégies de restriction logicielle et AppLocker.

Stratégie de restriction logicielle VS AppLocker

Les stratégies de restrictions logicielles existent depuis longtemps (Windows 2000 ou Windows XP, et Windows Server 2003). Elles fonctionnent toujours aujourd’hui sur les versions les plus récentes de Windows, y compris Windows Server 2022 et Windows 11. Cette méthode fonctionne sur la majorité des éditions de Windows : Pro, Entreprise et Education.

Suite à la sortie de Windows 7 et Windows Server 2008 R2, Microsoft a introduit une nouvelle manière d’appliquer des restrictions sur les machines : AppLocker. Bien que plus évoluée et censé prendre la relève vis-à-vis des stratégies de restriction logicielle, AppLocker présente l’inconvénient de fonctionner seulement sur les éditions Enterprise et Education de Windows.

Aujourd’hui, les stratégies de restriction logicielle restent très utilisées et répondent à des besoins simples, d’autant plus qu’elle fonctionne sur une majorité de versions de Windows, y compris les éditions Pro.

II. Créer une GPO « Stratégie de restriction logicielle »

À partir de la console de Gestion de stratégie de groupe, créez une nouvelle GPO et liez cette GPO à l’OU qui contient les ordinateurs que vous souhaitez brider. Pour ma part, la GPO se nomme tout simplement « Stratégie de restriction logicielle« .

Modifiez la GPO et parcourez l’arborescence de cette façon :

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de restriction logicielle

Création d'une GPO - Stratégie de restriction logicielle
Création d’une GPO – Stratégie de restriction logicielle

Ensuite, effectuez un clic droit sur « Stratégies de restriction logicielle » et cliquez sur « Nouvelles stratégies de restriction logicielle« . Cela va débloquer l’accès à la configuration de la stratégie.

Sous « Stratégies de restriction logicielle« , si vous cliquez sur « Niveaux de sécurité« , vous allez voir qu’il y a trois niveaux : Non autorisé, Utilisateur standard et Non restreint. Le mode « non restreint » n’applique pas de restriction supplémentaire, ce sont les droits de l’utilisateur qui s’appliquent. Il s’agit du mode par défaut et on peut le savoir grâce à son icône, légèrement différente.

Nous allons modifier ce mode pour choisir « Utilisateur standard« . Double cliquez sur le mode « Utilisateur standard » et cliquez sur le bouton « Par défaut« . Un avertissement s’affiche, cliquez sur « Oui » pour valider.

Ce mode permet d’autoriser l’exécution des programmes pour les utilisateurs qui ne sont pas administrateur. Mais c’est un début, nous allons renforcer la stratégie juste après.

Cliquez sur « Stratégies de restriction logicielle » et cette fois-ci, ouvrez le paramètre « Contrôle obligatoire« . Je vous invite à modifier l’option suivante : « Appliquer les stratégies de restriction logicielle aux utilisateurs suivants » avec la valeur « Tous les utilisateurs excepté les administrateurs locaux« . De cette façon, les administrateurs ne seront pas restreints sur les machines.

Note : je vous recommande de laisser la première option sur « Tous les fichiers de logiciels à l’exception des bibliothèques (ex : fichiers DLL)« , car bien que cela puisse renforcer la sécurité, il peut y avoir des effets de bords : dysfonctionnements et ralentissement du système.

Validez.

Passez maintenant sur l’option « Types de fichiers désignés » : cette option sert à déterminer les extensions sur lesquelles s’applique cette stratégie. La liste contient déjà un certain nombre d’extensions, mais nous pouvons en ajouter, par exemple : VBS pour les scripts et PAF pour les applications portables.

Il suffit de remplir la case « Extension du fichier » et de cliquer sur le bouton « Ajouter« .

Maintenant, nous allons créer nos règles et pour cela plusieurs choix sont possibles :

  • Règle basée sur un certificat
  • Règle basée sur le hachage, c’est-à-dire le hash d’un fichier
  • Règle basée sur une zone réseau
  • Réglé basée sur un chemin d’accès

C’est le type de règle basée sur un chemin d’accès qui nous intéresse particulièrement. Par défaut, il y a déjà deux règles existantes pour autoriser les exécutables situés dans « Program Files » et dans le répertoire d’installation de Windows.

Voici ces deux règles :

Dans certains cas, ces règles par défaut ne sont pas créées (je ne sais pas pourquoi). Ce qui me donne l’occasion de vous montrer comment créer une règle, car nous avons besoin de ces règles : effectuez un clic droit sur « Règles supplémentaires » et choisissez « Nouvelle règle de chemin d’accès« .

Pour le chemin, nous avons deux choix : reprendre la valeur telle que sur la copie d’écran ci-dessus ou saisir le chemin directement, tout en sachant qu’il faudra créer trois règles avec trois chemins :

C:Program Files (x86)
C:Program Files
C:Windows

Pour le niveau de sécurité, choisissez « Non restreint« , car on souhaite autoriser les exécutables dans ces dossiers.

Note : si vous créez une stratégie de restriction logicielle pour bloquer un exécutable spécifique, choisissez le mode « Non autorisé » et spécifier le chemin vers le dossier d’installation de votre logiciel où se situe l’exécutable.

Ce qui nous donne le résultat suivant après avoir créé les trois règles. Je vous rappelle qu’il n’est pas nécessaire de créer ces trois règles si vous avez déjà les deux règles par défaut.

La GPO est prête : la suite se passe sur le poste client, mais n’oubliez pas de lier la GPO à votre OU où se situe le PC, si ce n’est pas déjà fait.

III. Tester le blocage des applications sur un poste client

La stratégie étant en place, nous allons effectuer des essais. Pour cela, je me connecte avec un utilisateur du domaine (non-administrateur) sur une machine où la GPO s’applique.

J’ai téléchargé plusieurs applications, dont un Firefox Portable, que je vais tenter d’exécuter.

Bingo ! Le message « Cette application a été bloquée par votre administrateur système » s’affiche : la stratégie de restriction logicielle fonctionne ! L’utilisateur va râler, mais l’admin système est ravi !

Dans le même esprit, avec un fichier MSI, c’est bloqué également !

IV. Contournement de la stratégie de restriction logicielle

Ce système relativement ancien n’est pas sans faiblesse et pour qu’il soit réellement efficace, il nécessite la mise en place de deux restrictions supplémentaires. En fait, si vous ouvrez une console comme l’Invite de commande sur votre machine en tant qu’utilisateur standard (et donc restreint par la politique), vous allez pouvoir exécuter les fichiers bloqués ! Autrement dit, en exécutant le logiciel depuis la console, vous contournez la restriction.

Attention, tout n’est pas permis : s’il faut les droits Administrateur pour installer le logiciel, alors l’utilisateur standard sera bloqué. Par contre, cela ouvre la porte aux logiciels portables et à certains logiciels qui s’installent au sein du profil de l’utilisateur.

Tandis qu’avec AppLocker, Microsoft a pris le soin de corriger le tir comme vous pouvez le voir ci-dessous.

Le blocage avec AppLocker
Le blocage avec AppLocker

Pour renforcer la stratégie de restriction logicielle, vous devez appliquer deux restrictions supplémentaires :

  • Empêcher l’accès à l’Invite de commande par GPO

Je vous invite à consulter cet article où je prend ce paramètre comme exemple : Bloquer l’Invite de commande par GPO.

  • Empêcher l’accès à la console PowerShell par GPO

Pour bloquer PowerShell, vous pouvez appliquer la méthode décrite dans ce tutoriel ou alors ajouter une règle dans la politique de restriction logicielle pour bloquer « powershell.exe » (« C:WindowsSystem32WindowsPowerShellv1.0powershell.exe »).

Sachez également que pour contourner la stratégie de restriction logicielle, il y a une autre méthode. Il faut réussir à déposer le fichier à exécuter dans « Program Files » ou « Windows » puisque ce sont nos deux dossiers approuvés, mais cela nécessite les droits Administrateur.

Voici ce qu’il faut savoir à ce sujet, sans rentrer dans les techniques avancées de hacking.

Nous venons de voir comment utiliser les stratégies de restriction logicielle sous Windows pour restreindre l’utilisation des logiciels et particulièrement des exécutables sur les postes clients. Pour aller plus loin et renforcer encore plus la sécurité, je vous recommande de vous intéresser à AppLocker.

Source link

Mourad ELGORMA

Fondateur de summarynetworks, passionné des nouvelles technologies et des métiers de Réseautique , Master en réseaux et système de télécommunications. ,j’ai affaire à Pascal, Delphi, Java, MATLAB, php …Connaissance du protocole TCP / IP, des applications Ethernet, des WLAN …Planification, installation et dépannage de problèmes de réseau informatique……Installez, configurez et dépannez les périphériques Cisco IOS. Surveillez les performances du réseau et isolez les défaillances du réseau. VLANs, protocoles de routage (RIPv2, EIGRP, OSPF.)…..Manipuler des systèmes embarqués (matériel et logiciel ex: Beaglebone Black)…Linux (Ubuntu, kali, serveur Mandriva Fedora, …). Microsoft (Windows, Windows Server 2003). ……Paquet tracer, GNS3, VMware Workstation, Virtual Box, Filezilla (client / serveur), EasyPhp, serveur Wamp,Le système de gestion WORDPRESS………Installation des caméras de surveillance ( technologie hikvision DVR………..). ,

Laisser un commentaire