1
Comment mettre en oeuvre l'outil de listes blanches de Windows
- 10-11-2008
Bien que la fonction SRP de Windows ne soit pas aussi puissante que les applications de listes blanches d'éditeurs tiers, elle permet de renforcer la sécurité des clients et serveurs Windows sans générer de coûts de licences supplémentaires.
Le laboratoire d'eWeek.com s'est intéressé à la stratégie de sécurité de Microsoft dans le domaine des listes blanches d'applications, une pratique qui consiste à identifier les applications autorisées à fonctionner sur le système plutôt que celles qui sont interdites. La fonctionnalité intégrée de Windows, appelée Software Restriction Policies (politiques de restriction logicielle) ou SRP, permet aux administrateurs de décider quelles applications ou bibliothèques peuvent être exécutées sur une machine Windows en fonction de leur chemin, de leur certificat numérique ou encore de leur type d'extension.
Cet outil offre moins de précision dans l'établissement de ces schémas de contrôle que des applications dédiées comme Parity 4.1 de Bit9 ou Bouncer 4.0 de CoreTrace. Cependant, SRP est fourni (depuis Windows Server 2003) sans supplément tarifaire et fonctionne à la fois avec de grands réseaux de clients Windows (via la Stratégie de groupes) et avec des machines individuelles (via la Stratégie de sécurité locale). Ainsi, l'outil vaut la peine d'être évalué par les entreprises souhaitant renforcer leur sécurité sans surcoût.
SRP en pratique
Pour tester SRP, nous avons décidé de verrouiller un ordinateur tournant sous Windows XP Service Pack 3 de sorte que seules les applications installées dans les répertoires Program Files ou Système soient autorisées. Associée à des droits d'utilisateurs limités, cette stratégie SRP empêchera l'exécution de programmes stockés dans des dossiers accessibles aux utilisateurs.
Nous avons donc exécuté l'outil secpol.msc pour modifier la stratégie de sécurité locale. Dans le répertoire Niveaux de sécurité dans Stratégies de restriction logicielle, nous avons cliqué sur Désactivé. Dans les Propriétés, nous avons alors opté pour une désactivation par défaut sur tout le système.
Après cette modification, Windows a automatiquement généré quatre exceptions concernant des emplacements de registre particuliers afin d'éviter que SRP ne nous bloque complètement l'accès au système. Nous avons ensuite ajouté des règles basées sur les chemins pour autoriser les applications situées dans les répertoires C:\Program Files et C:\Windows. Puis, nous avons également ajusté les options pour exclure les administrateurs de ces règles et inclure les DLL. Il nous a également fallu retirer les fichiers *.lnk pour que les raccourcis du menu Démarrer puissent fonctionner.
Nous nous sommes alors connectés à l'ordinateur avec un utilisateur disposant de droits limités et avons lancé sans problème le navigateur Firefox que nous avions installé auparavant. Par contre, en tentant de lancer le client SSH (Secure Shell) Putty installé sur le Bureau (emplacement restreint par notre stratégie SRP), Windows nous a informé que l'application avait été bloquée.
Windows propose également d'autoriser des bibliothèques et applications sur la base de leurs certificats. Cette option s'accommode mieux des changements de configuration, tant que les fichiers que vous souhaitez gérer sont bien signés – ce qui n'est pas toujours le cas.
AppLocker, successeur de SRP dans Windows 7
Heureusement, la version Windows 7 de SRP (appelée AppLocker) apporte une amélioration des stratégies de restriction logicielle sur la base des certificats. Par exemple, pour autoriser toutes les applications et bibliothèques du répertoire Program Files d'une machine sous Windows 7, nous avons lancé l'outil de règles automatiques, navigué dans le répertoire Program Files et sélectionné le groupe d'utilisateurs locaux comme étant celui soumis à notre stratégie. Sur l'écran suivant, Windows 7 nous a proposé de créer des règles basées sur les certificats pour tous les fichiers signés et des règles basées sur les chemins pour tous les autres.
L'outil nous a alors indiqué le nombre de fichiers protégés par ce nouvel ensemble de règles, le nombre de règles qu'il contenait, et nous a proposé de lister les fichiers analysés et les règles pas encore mises en place avant de créer notre stratégie. Nous pouvions ainsi exclure certains des fichiers analysés à ce moment.
AppLocker permet également aux administrateurs de déterminer le niveau de contrôle des versions ultérieures d'une application donnée, et même d'exporter ou importer des ensembles de règles. L'outil de Windows 7 présente cependant encore quelques défauts : aucune aide spécifique n'est proposée et AppLocker fonctionne en parallèle de l'ancienne version de SRP, ce qui est parfois assez déroutant.
(Adaptation d'un article de eWeek.com.)
