Stratégie de Restriction Logicielle et Applocker
Stratégie de sécurité pour bloquer les applications malicieuses
Sommaire
Présentation
La Stratégie de Restriction Logiciel (ou SRP : Software Restriction Policy ) est un mécanisme introduit avec Windows Server 2000 et Windows XP.
Il permet de limiter l’exécution d'application non autorisés par l'administrateur système par une règle de sécurité.
Présentation vidéo
Configuration
La configuration se déroule dans l'édition de stratégies de groupes sur votre contrôleur de domaine.
2 solutions sont possibles :
- Soit vous appliquez cette solution aux ordinateur, ce a quoi tous les utilisateurs y compris locaux sont soumis aux restrictions
- Soit vous appliquez cette solution aux utilisateur, auquel cas seulement les utilisateurs domaine seront impactés.
Configuration ordinateur -> Paramètres de Windows -> Paramètres de sécurité
Configuration utilisateur -> Paramètres de Windows -> Paramètres de sécurité
Niveau de sécurité
Trois choix sont possibles
- Non autorisé : Le logiciel ne s’exécutera pas, quels que soient les droits d’accès de l’utilisateur.
- Utilisateur Standard : Permet d’exécuter des programmes en tant qu’utilisateur n’ayant pas les droits d’administrateur, mais pouvant accéder aux ressources accessibles aux utilisateurs normaux.
- Non restreint : Les droits d’accès au logiciel sont déterminés par les droits d’accès de l’utilisateur.
Nous préconisons le choix numéro 1 : Non autorisé
Contrôle obligatoire
Le contrôle obligatoire vous permet d'activer ou non le contrôle sur vos DLL.
Par défaut le contrôle des DLL n'est pas activé pour éviter un ralentissement du système car sinon, la stratégie sera testée systématiquement à chaque appel de DLL, ce qui nuiras largement au temps de réponse de votre système.
Types de fichiers désignés
Les types de fichiers les plus communément vecteurs d'infections sont définis dans cette fenêtre vous pourrez y ajouter explicitement :
- Les extensions javascript : *.JS
- Les extensions Visual Basic Script : *.VBS
Règles Supplémentaires
L'ordre d'application des règles est le suivant :
Hachage
Pour certains cas de figure il prévaut d'utiliser le hachage de l’exécutable, par exemple pour les manuels numériques sur clé USB ou executables sur DVD
Pour créer une règle de hachage il faut pouvoir atteindre l’exécutable depuis le serveur qu'il puisse en prendre l'empreinte.
Chemins d'Accès
Par défaut donc certains chemins sont ajoutés dans ce repertoire (C:\Windows\System32\ et ProgramFiles ).
Ces règles vont fonctionner comme une WhiteList qui va définir les chemins UNC a autoriser et comme une BlackList qui va définir les chemins a restreindre.
La NSA (National Security Agency), agence nationale de la sécurité Américaine, définit dans une de ses recommandations les différents chemins par défaut a restreindre :
Les voici sous forme de tableau :
Clé restreinte/Non autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Debug |
Clé restreinte/Non autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\PCHEALTH\ERRORREP |
Clé restreinte/Non autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Registration |
Clé restreinte/Non autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\catroot2 |
Clé restreinte/Non autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\com\dmp |
Clé restreinte/Non autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\FxsTmp |
Clé restreinte/Non autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\drivers\color |
Clé restreinte/Non autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\PRINTERS |
Clé restreinte/Non autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\SERVERS |
Clé restreinte/Non autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\Tasks |
Clé restreinte/Non autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\com\dmp |
Clé restreinte/Non autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\FxsTmp |
Clé restreinte/Non autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\Tasks |
Clé restreinte/Non autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Tasks |
Clé restreinte/Non autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Temp |
Clé restreinte/Non autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\tracing |
Clé restreinte/Non autorisé | runas.exe |
Voici une sélection de règles supplémentaires de restriction ou autorisation
Clé restreinte/Non autorisé | \\Serveur\%USERNAME% |
Clé restreinte/Non autorisé | %AppData%\*.exe |
Clé restreinte/Non autorisé | %AppData%\*\*.exe |
Clé restreinte/Non autorisé | %UserProfile%\AppData |
Clé restreinte/Non autorisé | %UserProfile%\Local Settings\Application Data\*.exe |
Clé restreinte/Non autorisé | %UserProfile%\Downloads |
Clé restreinte/Non autorisé | %localappdata%\Temp\*.exe |
Clé restreinte/Non autorisé | %ProgramFiles%\Internet Explorer\iexplore.exe |
Clé restreinte/Non autorisé | %programfiles(x86)%\Internet Explorer\iexplore.exe |
Clé non restreinte/Autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% |
Clé non restreinte/Autorisé | %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe |
Clé non restreinte/Autorisé | C:\Program Files |
Clé non restreinte/Autorisé | C:\Program Files (x86) |
Clé non restreinte/Autorisé | C:\wapt |
Clé non restreinte/Autorisé | C:\bcdi3 |
Clé non restreinte/Autorisé | C:\bcdi |
Clé non restreinte/Autorisé | C:\INCBW |
Clé non restreinte/Autorisé | \\Serveur\Application |
Clé non restreinte/Autorisé | \\Serveur\Profs_vers_eleves |
Clé non restreinte/Autorisé | \\Serveur\NETLOGON |
Clé non restreinte/Autorisé | *.lnk |
Déboguagge
On peut déboguer ces stratégies à l'aide de l'outil accesschk de Microsoft/SysInternals :
Remarques - Conseils
- Ne pas appliquer de restrictions logicielles sur les stratégies par défaut (du domaine, des contrôleurs de domaine, de site) car la moindre mauvaise manipulation peut entraîner le blocage de toute votre infrastructure. Il faut savoir que le démarrage en mode sans échec empêche l’application des restrictions.
- Passer en Niveau par défaut Rejeté sans prendre garde car comme précédemment cela peux provoquer le blocage de tous vos postes. Une étude préalable est nécessaire ou l’utilisation d’une OU de test contenant quelques postes pilotes
Applocker
AppLocker est un système de restriction logiciel introduit avec Windows 7 et Windows Server 2008
Cette fonctionnalité nécéssite au minimum :
- Windows 7 Entreprise
- Windows 7 Intégrale
Windows 7 Professionnel peut être utilisé pour créer des règles AppLocker. Toutefois, il est impossible d’appliquer des règles AppLocker à des ordinateurs exécutant Windows 7 Professionnel.
Sources
- Note technique ANSSI Applocker - http://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Applocker_NoteTech-v1.pdf
- Windows AppLocker - https://technet.microsoft.com/fr-fr/library/dd759117.aspx
- Documentation Guillaume DESFARGES Lab SupInfo - http://dracos.free.fr/Documents%20St%E9phane/Proc%E9dures/Les%20strat%E9gies%20de%20restrictions%20Logicielles.pdf
- Application Lockdown with Software Restriction Policies - https://technet.microsoft.com/en-us/magazine/2008.06.srp.aspx