Académique Documents
Professionnel Documents
Culture Documents
RDR-IT » Tutoriel » Windows Serveur » Active directory » GPO : bloquer des programmes et empêcher l’installation de logiciels – restriction logicielle
Dans ce tutoriel, je vais vous expliquer comment par stratégie de groupe (GPO) dans un environnement Active Directory, bloquer le lancement de programmes et
empêcher l’installation de certain logiciel avec la stratégie de restriction logicielle.
Par défaut, si les utilisateurs ne sont pas administrateur (local) de l’ordinateur, il n’est normalement pas possible d’installer des programmes, par contre il est possible de
lancer des applications portables qu’il télécharge sur Internet.
En plus des programmes (EXE / MSI), la stratégie de groupe va nous permettre de bloquer l’exécution de script (bat/powershell…).
Pour cela, on va s’appuyer sur les stratégies de restriction logicielle qui se trouve dans les Paramètres de sécurité.
Les stratégies de restriction logicielle sont disponibles aux niveaux Configuration ordinateur et Configuration utilisateur, dans le tutoriel je vais l’appliquer au niveau
Ordinateur.
Si vous débutez avec les stratégies de groupe je vous conseille la lecture de ce cours avant : Présentation des stratégies de groupe
Avant de mettre en place ce type de stratégie, je vous conseille de passer par une phase de test sur une Unité d’Organisation, une mauvaise configuration peut bloquer
tous les programmes.
Pour restreindre l’utilisation de logiciels, il est aussi possible AppLocker, par contre il est nécessaire d’avoir des clients Windows
(10/11) entreprise ou Windows Serveur.
Conclusion
Je vous conseille d’utiliser cette méthode pour toutes vos stratégies de groupe.
Depuis la console Gestion de stratégie de groupe, faire un clic droit sur le dossier Objets de stratégie de groupe 1 cliquer sur Nouveau 2 .
RDR-IT
Faire un clic droit sur Stratégies de restriction logicielle 1 et cliquer sur Nouvelles stratégies de restriction logicielle 2 .
RDR-IT
Après avoir cliqué sur Nouvelles stratégies de restriction logicielle, on peut voir que des éléments ont été ajoutés dans la stratégie.
Sur niveau de sécurité 1 , on retrouve le comportement de la stratégie de restriction logicielle, par défaut la configuration est non restreint (on peut voir la sélection en
bas à gauche sur l’icône). Ce que l’on va faire c’est passer en Utilisateur standard pour activer le blocage.
Aller sur le dossier Règles supplémentaires, ici on peut voir que deux exceptions ont été créé pour permettre l’exécution des programmes dans le dossier C:\Windows et
C:\Program Files.
RDR-IT
Si vous rencontrez des problèmes pour lancer des programmes lors des tests, ajouter les chemins suivant :
Faire un clic droit sur l’OU 1 et cliquer sur Lier un objet de stratégie de groupe existant 2 .
Pour rappel, la stratégie a été configurée au niveau Ordinateur, je lie donc la stratégie à une OU qui contient les ordinateurs.
Toujours pour illustrer le blocage, j’ai téléchargé AnyDesk depuis MS Edge et quand je lance j’ai aussi le message d’erreur :
Conclusion
À travers ce logiciel, vous avez vu comment bloquer l’exécution et l’installation de logiciel sur les ordinateurs.
Cette stratégie permet de mieux contrôler les programmes, en empêchant l’exécution d(‘application portable et en bloquant l’installation, car certain logiciel contourne
le manque de droit de l’utilisateur en installant les programmes dans le dossier AppData de l’utilisateur.
En entreprise, c’est aussi intéressant pour bloquer les outils de prise de main à distance qui pourrait être utilisé par des prestataires ou les utilisateurs eux même.
Cela augmenter aussi le niveau de sécurité en bloquant l’exécution de scripts qui pourrait potentiellement être malveillant.
Active directory
Active Directory, GPO, Logiciels, Sécurité
RDR-IT
Derniers tutoriels
Active Directory : utiliser un compte pour déléguer la jonction des ordinateurs au domaine
Tutoriels au hasard
Arrêt de la Newsletter
Étiquettes
Active Directory Administration Agent Base de données Bureau à distance Cluster Configuration Disques DNS Docker Domaine Déploiement
Exchange Fichiers Firewall GLPI GPO Haute-Disponibilité Hyper-V IIS Installation MDT Migration Mise à jour nginx Optimisation PowerShell
RDP RDS Reseau Sauvegarde Scripts Serveur Sophos XG SQL Server stockage Supervision Sécurité Ubuntu Utilisateur Veeam Virtualisation
Windows Wordpress WSUS
RDR-IT
Learn RDR-IT
Mentions légales
Politique de confidentialité
Contact
Whoami
RDR-IT © 2022 - RDR-IT
Français