GPO : bloquer des programmes et empêcher l’installation de logiciels – restriction logicielle

Dans ce tutoriel, je vais vous expliquer comment par stratégie de groupe (GPO) dans un environnement Active Directory, bloquer le lancement de programmes et empêcher l’installation de certain logiciel avec la stratégie de restriction logicielle.

Par défaut, si les utilisateurs ne sont pas administrateur (local) de l’ordinateur, il n’est normalement pas possible d’installer des programmes, par contre il est possible de lancer des applications portables qu’il télécharge sur Internet.

La stratégie de groupe que je vais vous présenter permet de bloquer cela.

En plus des programmes (EXE / MSI), la stratégie de groupe va nous permettre de bloquer l’exécution de script (bat/powershell…).

Pour cela, on va s’appuyer sur les stratégies de restriction logicielle qui se trouve dans les Paramètres de sécurité.

Les stratégies de restriction logicielle sont disponibles aux niveaux Configuration ordinateur et Configuration utilisateur, dans le tutoriel je vais l’appliquer au niveau Ordinateur.

Si vous débutez avec les stratégies de groupe je vous conseille la lecture de ce cours avant : Présentation des stratégies de groupe

Avant de mettre en place ce type de stratégie, je vous conseille de passer par une phase de test sur une Unité d’Organisation, une mauvaise configuration peut bloquer tous les programmes.

Pour restreindre l’utilisation de logiciels, il est aussi possible AppLocker, par contre il est nécessaire d’avoir des clients Windows (10/11) entreprise ou Windows Serveur.

Créer la stratégie de groupe

Afin d’éviter toute mauvaise application de la stratégie de groupe, on va la créer dans conteneur Objets de stratégie de groupe et ensuite la lier à l’OU que l’on souhaite l’appliquer.

Je vous conseille d’utiliser cette méthode pour toutes vos stratégies de groupe.

Depuis la console Gestion de stratégie de groupe, faire un clic droit sur le dossier Objets de stratégie de groupe 1 cliquer sur Nouveau 2.

Nommer la stratégie de groupe 1 puis cliquer sur le bouton OK 2.

Faire un clic droit 1 sur l’objet et cliquer sur Modifier 2.

Configuration de la stratégie de restriction logicielle

Depuis l’éditeur de gestion des stratégies de groupe, aller à l’emplacement : Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Stratégies de restriction logicielle 1.

Faire un clic droit sur Stratégies de restriction logicielle 1 et cliquer sur Nouvelles stratégies de restriction logicielle 2.

Nouvelle restriction logicielle

Après avoir cliqué sur Nouvelles stratégies de restriction logicielle, on peut voir que des éléments ont été ajoutés dans la stratégie.

Je vais maintenant vous expliquer comment configurer les éléments.

Sur niveau de sécurité 1, on retrouve le comportement de la stratégie de restriction logicielle, par défaut la configuration est non restreint (on peut voir la sélection en bas à gauche sur l’icône). Ce que l’on va faire c’est passer en Utilisateur standard pour activer le blocage.

Cliquer sur Utilisateur standard 1.

Cliquer sur le bouton Par défaut 1.

Valider le changement de niveau en cliquant sur Oui 1.

Valider les paramètres en cliquant sur les boutons Appliquer 1 et OK 2.

Le niveau est maintenant Non autorisé.

Aller sur le dossier Règles supplémentaires, ici on peut voir que deux exceptions ont été créé pour permettre l’exécution des programmes dans le dossier C:\Windows et C:\Program Files.

Si vous rencontrez des problèmes pour lancer des programmes lors des tests, ajouter les chemins suivant :

– C:\Program Files (x86)
– C:\Program Files
– C:\Windows

Retourner sur le dossier Stratégies de restriction logicielle, on va continuer d’affiner la configuration.

Cliquer sur Contrôle obligatoire 1.

Cette propriété permet d’exclure les administrateurs locaux de la stratégie 1.

Ouvrir ensuite la propriété : Types de fichiers désignés.

Ici on peut configurer les extensions des fichiers bloqués.

La stratégie de groupe est prête.

Lier la stratégie de groupe à l’OU

Maintenant il ne reste plus qu’à lier la stratégie de groupe à OU où celle-ci doit s’appliquer.

Faire un clic droit sur l’OU1 et cliquer sur Lier un objet de stratégie de groupe existant 2.

Pour rappel, la stratégie a été configurée au niveau Ordinateur, je lie donc la stratégie à une OU qui contient les ordinateurs.

Sélectionner la stratégie de groupe 1 et cliquer sur OK 2.

La stratégie est liée à OU.

Tester la stratégie de restriction logicielle

Pour tester la stratégie de groupe, je vais utiliser Firefox portable et tester de le lancer avec un compte qui est administrateur local de l’ordinateur et un compte utilisateur du domaine. L’exécutable de Firefox sera sur le bureau.

Avec le compte Administrateur, Firefox se lance sans problème :

Avec un utilisateur standard, l’application est bloquée :

Toujours pour illustrer le blocage, j’ai téléchargé AnyDesk depuis MS Edge et quand je lance j’ai aussi le message d’erreur :

Conclusion

À travers ce logiciel, vous avez vu comment bloquer l’exécution et l’installation de logiciel sur les ordinateurs.

Cette stratégie permet de mieux contrôler les programmes, en empêchant l’exécution d(‘application portable et en bloquant l’installation, car certain logiciel contourne le manque de droit de l’utilisateur en installant les programmes dans le dossier AppData de l’utilisateur.

En entreprise, c’est aussi intéressant pour bloquer les outils de prise de main à distance qui pourrait être utilisé par des prestataires ou les utilisateurs eux même.

Cela augmenter aussi le niveau de sécurité en bloquant l’exécution de scripts qui pourrait potentiellement être malveillant.




Laisser un commentaire