DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 324036 - Dernière mise à jour: lundi 16 février 2004 - Version: 6.1

Sommaire

Résumé

Cet article décrit comment utiliser les stratégies de restriction logicielle dans Windows Server 2003. Lorsque vous utilisez des stratégies de restriction logicielle, vous pouvez identifier et spécifier le logiciel qui est autorisé à s'exécuter pour protéger votre environnement informatique contre un code non approuvé. Vous pouvez alors définir un niveau de sécurité Non restreint ou Rejeté par défaut pour un objet Stratégie de groupe afin d'autoriser ou d'interdire par défaut une exécution de logiciel. Pour créer des exceptions à ce niveau de sécurité par défaut, vous pouvez créer des règles pour un logiciel spécifique. Vous pouvez créer les types de règles suivants :
  • Règles de hachage
  • Règles de certificat
  • Règles de chemin d'accès
  • Règles de zones Internet
Une stratégie est composée du niveau de sécurité par défaut et de toutes les règles appliquées à un objet Stratégie de groupe. Cette stratégie peut s'appliquer à tous les ordinateurs ou à des utilisateurs. Les stratégies de restriction logicielle fournissent divers moyens pour identifier le logiciel et offrent une infrastructure fondée sur une stratégie pour appliquer les décisions d'exécuter ou non le logiciel. Grâce aux stratégies de restriction logicielle, les utilisateurs doivent suivre les directives établies par les administrateurs lors de l'exécution des programmes.

Les stratégies de restriction logicielle vous permettent d'effectuer les tâches suivantes :
  • Indiquer les programmes qui peuvent s'exécuter sur votre ordinateur. Vous pouvez, par exemple, appliquer une stratégie qui interdit l'exécution de certains types de fichier dans le dossier des pièces jointes de votre programme de messagerie si vous craignez que ces éléments véhiculent des virus.
  • Autoriser les utilisateurs à exécuter uniquement des fichiers spécifiques sur des ordinateurs multi-utilisateurs. Si, par exemple, les ordinateurs sont utilisés par plusieurs personnes, vous pouvez définir des stratégies de restriction logicielle pour que les utilisateurs n'aient accès à aucun logiciel sauf aux fichiers dont ils ont besoin pour travailler.
  • Désigner les personnes habilitées à ajouter des éditeurs approuvés sur votre ordinateur.
  • Indiquer si les stratégies de restriction logicielle s'appliquent à tous les utilisateurs ou uniquement à certains utilisateurs d'un ordinateur.
  • Empêcher l'exécution de fichiers sur votre ordinateur local, votre unité d'organisation, votre site ou votre domaine. Par exemple, en présence d'un virus connu, vous pouvez utiliser des stratégies de restriction logicielle pour empêcher l'ordinateur d'ouvrir le fichier le contenant.IMPORTANT : Microsoft recommande de ne pas utiliser les stratégies de restriction logicielle en lieu et place d'un logiciel antivirus.

Procédure pour démarrer les stratégies de restriction logicielle

Ordinateur local uniquement

  1. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d'administration, puis cliquez sur Stratégie de sécurité locale.
  2. Dans l'arborescence de la console, développez Paramètres de sécurité, puis développez Stratégies de restriction logicielle.

Domaine, site ou unité d'organisation sur un serveur membre ou une station de travail joint à un domaine

  1. Ouvrez la console MMC (Microsoft Management Console). Pour ce faire, cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
  2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, puis sur Ajouter.
  3. Cliquez sur Éditeur d'objets de stratégie de groupe, puis sur Ajouter.
  4. Dans Sélection d'un objet de stratégie de groupe, cliquez sur Parcourir.
  5. Dans Rechercher un objet Stratégie de groupe, sélectionnez un objet Stratégie de groupe dans le domaine, le site ou l'unité d'organisation approprié, puis cliquez sur Terminer.

    Sinon, vous pouvez créer un nouvel objet Stratégie de groupe et cliquer sur Terminer.
  6. Cliquez sur Fermer, puis sur OK.
  7. Dans l'arborescence de la console, allez à l'emplacement :
    Stratégie Objet stratégie de groupeNom_ordinateur/Configuration ordinateur ou Configuration utilisateur/Windows Settings/Security Settings/Stratégies de restriction logicielle

Unité d'organisation ou domaine sur un contrôleur de domaine ou une station de travail dotée du pack Outils d'administration

  1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.
  2. Dans l'arborescence de la console, cliquez avec le bouton droit sur le domaine ou l'unité d'organisation pour lequel vous souhaitez configurer la stratégie de groupe.
  3. Cliquez sur Propriétés, puis sur l'onglet Stratégie de groupe.
  4. Cliquez sur une entrée dans Liaisons de l'objet Stratégie de groupe pour sélectionner un objet Stratégie de groupe, puis cliquez sur Edition.

    Sinon, vous pouvez cliquer sur Nouveau pour créer un nouvel objet Stratégie de groupe, puis sur Edition.
  5. Dans l'arborescence de la console, allez à l'emplacement :
    Stratégie Objet stratégie de groupe Nom_ordinateur/Configuration ordinateur ou Configuration utilisateur/Windows Settings/Security Settings/Stratégies de restriction logicielle

Votre site et sur un contrôleur de domaine ou une station de travail dotée du Pack Outils d'administration

  1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur Outils d'administration, puis cliquez sur Sites et services Active Directory.
  2. Dans l'arborescence de la console, cliquez avec le bouton droit sur le site pour lequel vous souhaitez configurer la stratégie de groupe :
    • Sites et services Active Directory [ Nom_Contrôleur_Domaine. Nom_Domaine]
    • Sites
    • Site

  3. Cliquez sur Propriétés, puis sur l'onglet Stratégie de groupe.
  4. Cliquez sur une entrée dans Liaisons de l'objet Stratégie de groupe pour sélectionner un objet Stratégie de groupe existant, puis cliquez sur Edition.

    Sinon, vous pouvez cliquer sur Nouveau pour créer un nouvel objet Stratégie de groupe, puis sur Edition.
  5. Dans l'arborescence de la console, allez à l'emplacement :
    Stratégie Objet Stratégie de groupe Nom_ordinateur/Configuration ordinateur ou Configuration utilisateur/Windows Settings/Security Settings/Stratégies de restriction logicielle
    IMPORTANT : Cliquez sur Configuration utilisateur pour définir des stratégies qui seront appliquées aux utilisateurs, quel que soit l'ordinateur auquel ils sont connectés. Cliquez sur Configuration ordinateur pour définir des stratégies qui seront appliquées aux utilisateurs, quel que soit l'utilisateur connecté.

    Vous pouvez également appliquer des stratégies de restriction logicielle à des utilisateurs déterminés lorsqu'ils se connectent à un ordinateur spécifique à l'aide de la boucle nommée d'un paramètre avancé de stratégie de groupe.

Procédure pour empêcher l'application de stratégies de restriction logicielle à des administrateurs locaux

  1. Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
  2. Ouvrez les stratégies de restriction logicielle.
  3. Dans le volet des informations détaillées, double-cliquez sur Contrôle obligatoire.
  4. Sous Appliquer les stratégies de restriction logicielle aux utilisateurs suivants, cliquez sur Tous les utilisateurs exceptés les administrateurs locaux.
REMARQUES :
  • Si vous ne l'avez pas encore fait, vous devez créer un nouveau paramètre de stratégie logicielle pour cet objet Stratégie de groupe.
  • En règle générale, comme les utilisateurs des ordinateurs dans votre organisation sont membres du groupe Administrateur local, vous ne souhaiterez peut-être pas activer ce paramètre. Les stratégies de restriction logicielle ne s'appliquent pas aux utilisateurs membres de leur groupe Administrateur local.
  • Si vous définissez un paramètre de stratégie de restriction logicielle pour votre ordinateur local, utilisez cette procédure pour que les stratégies ne soient pas appliquées aux administrateurs locaux. Si vous définissez un paramètre de stratégie de restriction logicielle pour votre réseau, utilisez la stratégie de groupe pour filtrer les paramètres en fonction de l'appartenance aux groupes de sécurité.

Procédure pour créer une règle de certificat

  1. Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
  2. Ouvrez les stratégies de restriction logicielle.
  3. Dans l'arborescence de la console ou le volet des informations détaillées, cliquez avec le bouton droit sur Règles supplémentaires, puis cliquez sur Nouvelle règle de certificat.
  4. Cliquez sur Parcourir, puis sélectionnez un certificat.
  5. Sélectionnez un niveau de sécurité.
  6. Dans la zone Description, entrez une description pour cette règle, puis cliquez sur OK.
REMARQUES :
  • Pour plus d'informations sur la façon de démarrer des stratégies de restriction logicielle dans la console MMC, consultez la rubrique « Démarrage des stratégies de restriction logicielle » dans les Rubriques connexes de l'aide en ligne de Windows Server 2003.
  • Si vous ne l'avez pas encore fait, vous devez créer un nouveau paramètre de stratégie de restriction logicielle pour cet objet Stratégie de groupe.
  • Par défaut, les règles de certificat ne sont pas actives. Pour activer les règles de certificat :
    1. Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis cliquez sur OK.
    2. Localisez puis cliquez sur la clé de Registre suivante :
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    3. Dans le volet des informations détaillées, double-cliquez sur AuthenticodeEnabled, puis remplacez la valeur de données 0 par 1.
  • Les seuls types de fichiers affectés par les règles de certificat sont ceux indiqués dans Types de fichiers désignés. Une liste de types de fichiers désignés est partagée par toutes les règles.
  • Pour que les stratégies de restriction logicielle prennent effet, les utilisateurs doivent mettre à jour les paramètres de stratégie en fermant et en ouvrant une session sur leurs ordinateurs.
  • Lorsque plusieurs règles sont appliquées aux paramètres de stratégie, un ordre de priorité est appliqué à la gestion des conflits.

Procédure pour créer une règle de hachage

  1. Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
  2. Ouvrez les stratégies de restriction logicielle.
  3. Dans l'arborescence de la console ou le volet des informations détaillées, cliquez avec le bouton droit sur Règles supplémentaires, puis cliquez sur Nouvelle règle de hachage.
  4. Cliquez sur Parcourir pour trouver un fichier, ou collez un hachage précalculé dans la zone Fichier à hacher.
  5. Dans la zone Niveau de sécurité, cliquez sur Rejeté ou sur Non restreint.
  6. Dans la zone Description, entrez une description pour cette règle, puis cliquez sur OK.
REMARQUES :
  • Si vous ne l'avez pas encore fait, vous devez créer un nouveau paramètre de stratégie de restriction logicielle pour cet objet Stratégie de groupe.
  • Vous pouvez créer une règle de hachage pour un virus ou un cheval de Troie afin de bloquer l'exécution de ce logiciel nuisible.
  • Pour que d'autres utilisateurs utilisent une règle de hachage pour bloquer l'exécution d'un virus, calculez le hachage du virus à l'aide de stratégies de restriction logicielle, puis envoyez-leur la valeur du hachage par voie électronique. N'envoyez jamais le virus lui-même.
  • Si un virus a été envoyé par messagerie électronique, vous pouvez également créer une règle de chemin d'accès pour empêcher les utilisateurs d'exécuter des pièces jointes de message électronique.
  • Un fichier renommé ou déplacé dans un autre dossier produit le même hachage.
  • En revanche, une modification dans un fichier entraîne un hachage différent.
  • Les seuls types de fichiers affectés par les règles de hachage sont ceux indiqués dans les Types de fichiers désignés. Une liste de types de fichiers désignés est partagée par toutes les règles.
  • Pour que les stratégies de restriction logicielle prennent effet, les utilisateurs doivent mettre à jour les paramètres de stratégie en fermant et en ouvrant une session sur leurs ordinateurs.
  • Lorsque plusieurs règles sont appliquées aux paramètres de stratégie, un ordre de priorité est appliqué à la gestion des conflits.

Procédure pour créer une règle de zone Internet

  1. Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
  2. Ouvrez les stratégies de restriction logicielle.
  3. Dans l'arborescence de la console, cliquez sur Stratégies de restriction logicielle.
  4. Dans l'arborescence de la console ou le volet des informations détaillées, cliquez avec le bouton droit sur Règles supplémentaires, puis cliquez sur Nouvelle règle de zone Internet.
  5. Dans la Zone Internet, cliquez sur une zone Internet.
  6. Dans la zone Niveau de sécurité, cliquez sur Rejeté ou sur Non restreint, puis sur OK.
REMARQUES :
  • Si vous ne l'avez pas encore fait, vous devez créer un nouveau paramètre de restriction logicielle pour cet objet Stratégie de groupe.
  • Les règles de zone s'appliquent uniquement aux packages Windows Installer.
  • Les seuls types de fichiers affectés par les règles de zone sont ceux indiqués dans Types de fichiers désignés. Une liste de types de fichiers désignés est partagée par toutes les règles.
  • Pour que les stratégies de restriction logicielle prennent effet, les utilisateurs doivent mettre à jour les paramètres de stratégie en fermant et en ouvrant une session sur leurs ordinateurs.
  • Lorsque plusieurs règles sont appliquées aux paramètres de stratégie, un ordre de priorité est appliqué à la gestion des conflits.

Procédure pour créer une règle de chemin d'accès

  1. Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
  2. Ouvrez les stratégies de restriction logicielle.
  3. Dans l'arborescence de la console ou le volet des informations détaillées, cliquez avec le bouton droit sur Règles supplémentaires, puis cliquez sur Nouvelle règle de chemin d'accès.
  4. Dans la zone Chemin d'accès, entrez un chemin d'accès ou cliquez sur Parcourir pour trouver un fichier ou un dossier.
  5. Dans la zone Niveau de sécurité, cliquez sur Rejetéou sur Non restreint.
  6. Dans la zone Description, entrez une description pour cette règle, puis cliquez sur OK.IMPORTANT : Sur certains dossiers, comme le dossier Windows, le fait de paramétrer le niveau de sécurité sur Rejeté peut gêner le fonctionnement de votre système d'exploitation. Assurez-vous que vous ne désactivez pas un composant essentiel du système d'exploitation ou l'un de ses programmes dépendants.
REMARQUES :
  • Si vous ne l'avez pas encore fait, vous devez créer un nouveau paramètre de stratégie de restriction logicielle pour cet objet Stratégie de groupe.
  • Si vous créez une règle de chemin d'accès pour un programme dont le niveau de sécurité est Rejeté, un utilisateur peut néanmoins exécuter le logiciel en le copiant à un autre emplacement.
  • Les caractères génériques pris en charge par la règle du chemin d'accès sont l'astérisque (*) et le point d'interrogation (?).
  • Vous pouvez utiliser des variables d'environnement, comme %programfiles% ou %systemroot%, dans votre règle de chemin d'accès.
  • Pour créer une règle de chemin d'accès pour un logiciel lorsque vous ne connaissez pas son emplacement sur un ordinateur, mais connaissez sa clé de Registre, vous pouvez créer une règle de chemin d'accès au Registre.
  • Pour empêcher les utilisateurs d'exécuter des pièces jointes, vous pouvez créer une règle de chemin d'accès au dossier des pièces jointes de message électronique afin d'empêcher les utilisateurs d'exécuter des pièces jointes.
  • Les seuls types de fichiers affectés par des règles de chemin d'accès sont ceux indiqués dans Types de fichiers désignés. Une liste de types de fichiers désignés est partagée par toutes les règles.
  • Pour que les stratégies de restriction logicielle prennent effet, les utilisateurs doivent mettre à jour les paramètres de stratégie en fermant et en ouvrant une session sur leurs ordinateurs.
  • Lorsque plusieurs règles sont appliquées aux paramètres de stratégie, un ordre de priorité est appliqué à la gestion des conflits.

Procédure pour créer une règle de chemin d'accès au Registre

  1. Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis cliquez sur OK.
  2. Dans l'arborescence de la console, cliquez avec le bouton droit sur la clé de Registre pour laquelle vous souhaitez créer une règle, puis cliquez sur Copier le nom de clé.
  3. Notez le nom de la valeur dans le volet des informations détaillées.
  4. Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
  5. Ouvrez les stratégies de restriction logicielle.
  6. Dans l'arborescence de la console ou le volet des informations détaillées, cliquez avec le bouton droit sur Règles supplémentaires, puis cliquez sur Nouvelle règle de chemin d'accès.
  7. Dans Chemin d'accès, collez le nom de la clé de Registre et le nom de la valeur.
  8. Entourez de signes de pourcentage (%) le chemin d'accès au Registre, par exemple :
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
  9. Dans la zone Niveau de sécurité, cliquez sur Rejeté ou sur Non restreint.
  10. Dans la zone Description, tapez une description pour cette règle, puis cliquez sur OK.
REMARQUES :
  • Si vous ne l'avez pas encore fait, vous devez créer un nouveau paramètre de stratégie de restriction logicielle pour cet objet Stratégie de groupe.
  • Vous devez être membre du groupe Administrateurs pour effectuer cette procédure.
  • Définissez le chemin d'accès au Registre comme suit :
    % Ruche du Registre\ Nom de la clé du Registre\ Nom de la valeur%
  • Vous devez indiquer en toutes lettres le nom de la ruche du Registre, les abréviations ne sont pas autorisées. Par exemple, vous ne pouvez pas utiliser HKCU pour HKEY_CURRENT_USER.
  • La règle du chemin d'accès au Registre peut contenir un suffixe après le signe de pourcentage de fermeture (%). N'utilisez pas de barre oblique inversée (\) dans le suffixe. Vous pouvez, par exemple, utiliser la règle suivante de chemin d'accès au Registre :
    %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
  • Les seuls types de fichiers affectés par les règles du chemin d'accès sont ceux indiqués dans Types de fichiers désignés. Une liste de types de fichiers désignés est partagée par toutes les règles.
  • Pour que les stratégies de restriction logicielle prennent effet, les utilisateurs doivent mettre à jour les paramètres de stratégie en fermant et en ouvrant une session sur leurs ordinateurs.
  • Lorsque plusieurs règles sont appliquées aux paramètres de stratégie, un ordre de priorité est appliqué à la gestion des conflits.

Procédure pour ajouter ou supprimer un type de fichier désigné

  1. Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
  2. Ouvrez les stratégies de restriction logicielle.
  3. Dans le volet des informations détaillées, double-cliquez sur Types de fichiers désignés.
  4. Effectuez l'une des procédures suivantes :
    • Pour ajouter un type de fichier, tapez l'extension du nom de fichier dans la zone Extension de fichier, puis cliquez sur Ajouter.
    • Pour supprimer un type de fichier, cliquez sur le type de fichier dans la zone Types de fichiers désignés, puis cliquez sur Supprimer.
REMARQUES :
  • Si vous ne l'avez pas déjà fait, vous devez créer un nouveau paramètre de stratégie de restriction logicielle pour cet objet Stratégie de groupe.
  • La liste des types de fichiers désignés est partagée par toutes les règles pour chaque configuration. La liste des types de fichiers désignés pour les paramètres de la stratégie ordinateur est différente de la liste pour les paramètres de la stratégie utilisateur.

Procédure pour modifier le niveau de sécurité par défaut des stratégies de restriction logicielle

  1. Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
  2. Ouvrez les stratégies de restriction logicielle.
  3. Dans le volet des informations détaillées, double-cliquez sur Niveaux de sécurité.
  4. Cliquez avec le bouton droit sur le niveau de sécurité à définir par défaut, puis cliquez sur Par défaut.

    ATTENTION : Dans certains dossiers, si vous définissez le niveau de sécurité par défaut sur Rejeté, ceci peut gêner le fonctionnement du système d'exploitation.
REMARQUES :
  • Si vous ne l'avez pas déjà fait, vous devez créer un nouveau paramètre de stratégie de restriction logicielle pour cet objet Stratégie de groupe.
  • Dans le volet des informations détaillées, le niveau de sécurité par défaut est indiqué par une coche dans un cercle noir. Si vous cliquez avec le bouton droit sur le niveau de sécurité par défaut, la commande Par défaut n'apparaît pas dans le menu.
  • Les règles sont créées pour spécifier des exceptions au niveau de sécurité par défaut. Lorsque le niveau de sécurité par défaut est défini sur Non restreint, les règles spécifient que l'exécution du logiciel n'est pas autorisée. Lorsque le niveau de sécurité par défaut est défini sur Rejeté, les règles spécifient que l'exécution du logiciel est autorisée.
  • Si vous changez le niveau par défaut, la modification agit sur tous les fichiers sur les ordinateurs auxquels s'appliquent des stratégies de restriction logicielle.
  • À l'installation, le niveau de sécurité par défaut des stratégies de restriction logicielle sur tous les fichiers de votre ordinateur est défini sur Non restreint.

Procédure pour définir les options Éditeurs approuvés

  1. Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
  2. Ouvrez les stratégies de restriction logicielle.
  3. Double-cliquez sur Éditeurs approuvés.
  4. Cliquez sur les utilisateurs que vous autorisez à déterminer les certificats à approuver, puis cliquez sur OK.
REMARQUES :
  • Si vous ne l'avez pas encore fait, vous devez créer un nouveau paramètre de stratégie de restriction logicielle pour cet objet Stratégie de groupe.
  • Vous pouvez sélectionner les utilisateurs habilités à ajouter des éditeurs approuvés, des utilisateurs, des administrateurs ou des administrateurs d'entreprise. Par exemple, vous pouvez utiliser cet outil pour empêcher les utilisateurs de prendre des décisions d'approbation concernant les éditeurs de contrôles ActiveX.
  • Les administrateurs d'ordinateurs locaux ont le droit de spécifier les éditeurs approuvés sur l'ordinateur local, mais les administrateurs de société ont le droit de spécifier les éditeurs approuvés au niveau de l'unité d'organisation.

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Mots-clés : 
kbhowtomaster KB324036
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store