Stratégie de Restriction Logicielle et Applocker

De Wiki des Responsables Techniques du 85
Aller à : navigation, rechercher

Stratégie de sécurité pour bloquer les applications malicieuses

Présentation

La Stratégie de Restriction Logiciel (ou SRP : Software Restriction Policy ) est un mécanisme introduit avec Windows Server 2000 et Windows XP.

Il permet de limiter l’exécution d'application non autorisés par l'administrateur système par une règle de sécurité.

Torbrowserinterdit.PNG

Présentation vidéo

Présentation Vidéo SRP

Configuration

La configuration se déroule dans l'édition de stratégies de groupes sur votre contrôleur de domaine.

2 solutions sont possibles :

  • Soit vous appliquez cette solution aux ordinateur, ce a quoi tous les utilisateurs y compris locaux sont soumis aux restrictions
  • Soit vous appliquez cette solution aux utilisateur, auquel cas seulement les utilisateurs domaine seront impactés.
Configuration ordinateur  -> Paramètres de Windows -> Paramètres de sécurité
Configuration utilisateur -> Paramètres de Windows -> Paramètres de sécurité

Niveau de sécurité

Niveau-restriction.PNG

Trois choix sont possibles

  • Non autorisé : Le logiciel ne s’exécutera pas, quels que soient les droits d’accès de l’utilisateur.
  • Utilisateur Standard : Permet d’exécuter des programmes en tant qu’utilisateur n’ayant pas les droits d’administrateur, mais pouvant accéder aux ressources accessibles aux utilisateurs normaux.
  • Non restreint : Les droits d’accès au logiciel sont déterminés par les droits d’accès de l’utilisateur.

Nous préconisons le choix numéro 1 : Non autorisé

Contrôle obligatoire

Le contrôle obligatoire vous permet d'activer ou non le contrôle sur vos DLL.

Par défaut le contrôle des DLL n'est pas activé pour éviter un ralentissement du système car sinon, la stratégie sera testée systématiquement à chaque appel de DLL, ce qui nuiras largement au temps de réponse de votre système.

SRP-1.PNG

Types de fichiers désignés

Les types de fichiers les plus communément vecteurs d'infections sont définis dans cette fenêtre vous pourrez y ajouter explicitement :

  • Les extensions javascript : *.JS
  • Les extensions Visual Basic Script : *.VBS

SRP-3.PNG

Règles Supplémentaires

L'ordre d'application des règles est le suivant :

SRP order.PNG

Hachage

Pour certains cas de figure il prévaut d'utiliser le hachage de l’exécutable, par exemple pour les manuels numériques sur clé USB ou executables sur DVD

Pour créer une règle de hachage il faut pouvoir atteindre l’exécutable depuis le serveur qu'il puisse en prendre l'empreinte.

Hachage.PNG

Chemins d'Accès

Par défaut donc certains chemins sont ajoutés dans ce repertoire (C:\Windows\System32\ et ProgramFiles ).

Ces règles vont fonctionner comme une WhiteList qui va définir les chemins UNC a autoriser et comme une BlackList qui va définir les chemins a restreindre.

La NSA (National Security Agency), agence nationale de la sécurité Américaine, définit dans une de ses recommandations les différents chemins par défaut a restreindre :

Les voici sous forme de tableau :

Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Debug
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\PCHEALTH\ERRORREP
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Registration
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\catroot2
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\com\dmp
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\FxsTmp
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\drivers\color
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\PRINTERS
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\SERVERS
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\Tasks
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\com\dmp
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\FxsTmp
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\Tasks
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Tasks
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Temp
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\tracing
Clé restreinte/Non autorisé runas.exe

Voici une sélection de règles supplémentaires de restriction ou autorisation

Clé restreinte/Non autorisé \\Serveur\%USERNAME%
Clé restreinte/Non autorisé  %AppData%\*.exe
Clé restreinte/Non autorisé  %AppData%\*\*.exe
Clé restreinte/Non autorisé  %UserProfile%\AppData
Clé restreinte/Non autorisé  %UserProfile%\Local Settings\Application Data\*.exe
Clé restreinte/Non autorisé  %UserProfile%\Downloads
Clé restreinte/Non autorisé  %localappdata%\Temp\*.exe
Clé restreinte/Non autorisé  %ProgramFiles%\Internet Explorer\iexplore.exe
Clé restreinte/Non autorisé  %programfiles(x86)%\Internet Explorer\iexplore.exe
Clé non restreinte/Autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
Clé non restreinte/Autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe
Clé non restreinte/Autorisé C:\Program Files
Clé non restreinte/Autorisé C:\Program Files (x86)
Clé non restreinte/Autorisé C:\wapt
Clé non restreinte/Autorisé C:\bcdi3
Clé non restreinte/Autorisé C:\bcdi
Clé non restreinte/Autorisé C:\INCBW
Clé non restreinte/Autorisé \\Serveur\Application
Clé non restreinte/Autorisé \\Serveur\Profs_vers_eleves
Clé non restreinte/Autorisé \\Serveur\NETLOGON
Clé non restreinte/Autorisé *.lnk

Déboguagge

On peut déboguer ces stratégies à l'aide de l'outil accesschk de Microsoft/SysInternals :

Remarques - Conseils

  • Ne pas appliquer de restrictions logicielles sur les stratégies par défaut (du domaine, des contrôleurs de domaine, de site) car la moindre mauvaise manipulation peut entraîner le blocage de toute votre infrastructure. Il faut savoir que le démarrage en mode sans échec empêche l’application des restrictions.
  • Passer en Niveau par défaut Rejeté sans prendre garde car comme précédemment cela peux provoquer le blocage de tous vos postes. Une étude préalable est nécessaire ou l’utilisation d’une OU de test contenant quelques postes pilotes

Applocker

AppLocker est un système de restriction logiciel introduit avec Windows 7 et Windows Server 2008

Cette fonctionnalité nécéssite au minimum :

  • Windows 7 Entreprise
  • Windows 7 Intégrale

Windows 7 Professionnel peut être utilisé pour créer des règles AppLocker. Toutefois, il est impossible d’appliquer des règles AppLocker à des ordinateurs exécutant Windows 7 Professionnel.

Sources