Menu Fermer

Windows AppLocker : bloquer les exécutables et Scripts

Dans la continuité du sujet Comment se protéger des scripts malveillants sur Windows, Microsoft a intégré depuis Windows Server 2008, une fonctionnalité du nom de AppLocker qui permet de créer des règles de restrictions d’exécutable au sein d’un domaine.
On parle alors de restrictions logicielles ou SRP (Software Restrictions Policies).
Ces règles peuvent s’appliquer à un utilisateur ou groupe d’utilisateurs et permettent de bloquer des exécutables ou scripts à partir d’un emplacement, un éditeur spécifique ou un hash.
A ces règles, il est aussi possible d’ajouter des règles d’exception afin de pouvoir autoriser l’exécution que certaines applications/scripts.

Cela permet donc d’améliorer la sécurité de Windows 10 et de mieux le protéger contre les virus et piratages.

La page de Microsoft Tech concernant Windows AppLocker : Windows AppLocker

Windows AppLocker : bloquer les exécutables et Scripts
Windows AppLocker : bloquer les exécutables et Scripts

Restrictions Logicielles dans Windows 10

Windows 10 prévoit de pouvoir bloquer les exécutables à travers des restrictions logicielles.
Cela à partir d’un emplacement ou hash en particulier.

Cela fonctionne sur les éditions familles.

Windows AppLocker : bloquer les exécutables et Scripts

Pour accéder à AppLocker :

  • Sur votre clavier, appuyez sur la touche + R
  • Saisissez ensuite polsec.msc
  • Puis déroulez les Paramètres de sécurité > Stratégie de contrôle de l’application > AppLocker (1)

Vous arrivez alors sur la page de gestion des stratégie de contrôle de l’application (AppLocker).

Windows_AppLocker_page_principale

Dans la configuration des règles, vous pouvez appliquer les règles, ou simplement auditer.

Windows_AppLocker_page_principale_2

Comme le mentionne aussi l’encart, le service identité de l’application (AppIDSvc) doit être en cours d’exécution sur l’ordinateur, sinon les règles ne s’appliqueront pas.

Windows_AppLocker_identite_application
Windows_AppLocker

Quelques exemples, ci-dessous, on interdit l’exécution d’exécutable depuis TEMP et AppData et ses sous-répertoires. Les règles prennent les variables et les wildcards.
Vous pouvez par exemple bloquer PowerShell : %SYSTEM32%\Windows\PowerShell\* – par exemple pour les Malware ‘FileLess’ : PoweLiks, Kovter, Gootkit

Les événements de blocages sont enregistrés dans l’observateur d’événements :

Windows_AppLocker_2

Même chose avec les scripts (extension .ps1 .bat .cmd .vbs .js) – ci-dessous avec un script malicieux sur le bureau :

Windows_AppLocker_scripts_2

Même chose l’événement est enregistré.

Windows_AppLocker_scripts_3

Une fonctionnalité intéressante, notamment contre les Web ExploitKit puisque ces derniers ont tendance à placer le dropper dans %TEMP% ou %TEMP%\Low
Certains droppers ont aussi tendance à écrire dans ces dossiers ou dans %APPDATA%
Pensez aussi à interdire le dossier Windows\Temp

Il faudrait aussi tester, si bloquer l’exécution de vssadmin est possible pour les utilisateurs sans conséquence sur le fonctionne.
En effet, tous les crypto-ransomware utilisent vssadmin pour supprimer les shadow copies (versions précédentes) avant de chiffrer les documents.

Restrictions logicielles à travers Hard Configurator

Ce dernier permet d’activer SRP et AppLocker.
Il gère aussi des listes blanches.
Cet outil gratuit est donc idéal pour protéger et sécuriser Windows 10 efficacement.

Liens