<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1678611822423757&amp;ev=PageView&amp;noscript=1">
Defrag This

| Read. Reflect. Reboot.

Utilisation d'AaronLocker pour un déploiement simplifié de Microsoft AppLocker

Dan Franciscus| August 22 2019

| security

using-aaronlocker-to-easily-deploy-microsoft-applocker

Si vous utilisez Windows, vous avez probablement entendu parler de Microsoft AppLocker. Ce programme de liste blanche permet aux utilisateurs de Windows de se protéger contre les logiciels malveillants sur disque en limitant les programmes exécutables à une liste spécifique de chemins, de valeurs de hachage ou d'applications signées. Un nouveau venu, AaronLocker, vient rejoindre les rangs du secteur. 

Qu'est-ce qu'AaronLocker ?

AaronLocker, qui doit son nom au développeur du produit, Aaron Margosis, est un wrapper permettant l'implémentation traditionnelle de Windows AppLocker. Il est entièrement écrit en langage PowerShell (5.0 et versions ultérieures) et inclut un petit nombre de scripts qui sont facilement personnalisables pour des besoins plus spécifiques.  L'objectif général est que l'implémentation de Windows AppLocker gagne en fiabilité, en convivialité et en facilité de gestion tout en restant gratuite. AaronLocker inclut même des scripts supplémentaires pour capturer les données de règles et d'événements issues de Microsoft AppLocker dans un fichier Excel. C'est chouette !

Les fichiers AaronLocker peuvent être téléchargés depuis github à partir du lien suivant : https://github.com/Microsoft/AaronLocker/

Stratégie AaronLocker

AaronLocker implémente Microsoft AppLocker selon une stratégie spécifique. Les programmes ou scripts ajoutés à l'ordinateur par un utilisateur non administrateur ne sont pas autorisés à s'exécuter, sauf autorisation expresse accordée par un administrateur. Le contrôle s'effectue au niveau des autorisations des utilisateurs et de l'emplacement. Les programmes se trouvant dans des répertoires tels que le répertoire des fichiers de programmes auxquels seul l'administrateur peut accéder sont considérés comme valides et exécutables. Les autres répertoires gérés par les utilisateurs sont restreints, sauf autorisation contraire.  

Exécution de votre premier script AaronLocker

Ce tutoriel a été réalisé sur une machine Windows 10 exécutant PowerShell version 5.1 avec exécution de script activée. Nous avons téléchargé Sysinternals AccessChk.exe à partir du lien suivant :
https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite. AccessChk a été ajouté à la machine Windows 10 pour permettre à AaronLocker de déterminer si les répertoires sont accessibles en écriture par l'utilisateur. Le package AaronLocker.zip a été décompressé dans le répertoire C:\ et AccessChk.exe a été placé dans le même répertoire AaronLocker.

Personnalisation initiale d'AaronLocker

La première étape du processus de création de règles AaronLocker consiste à ajouter toutes les personnalisations applicables. Tous les scripts de personnalisation se trouvent dans le dossier CustomizationInputs téléchargé dans le package AaronLocker depuis github.  Il suffit de placer les exclusions appropriées dans le fichier adéquat.  Par exemple, tout signataire digne de confiance et connu serait ajouté à TrustedSigners.ps1.

aaronlocker1

Dans ce tutoriel, nous allons gérer la stratégie AaronLocker par chemin.  Commencez par vous assurer que tous les chemins sécurisés sont autorisés à s'exécuter en les ajoutant au fichier GetSafePathsToAllow.ps1.  Assurez-vous que seul un administrateur peut modifier les chemins ajoutés à ce répertoire.

aaronlocker2

Nous allons ajouter ensuite une liste des chemins dangereux dans le fichier UnsafePathToBuildRulesFor.ps1. C'est là que notre liste blanche intervient. Dans ce cas, nous avons choisi de mettre en liste blanche le répertoire C:\Test.

aaronlocker3

Si vous n'êtes pas certain de connaître les répertoires nécessitant la mise en liste blanche, vous pouvez utiliser le script ScanDirectories.ps1 pour identifier les répertoires fiables. Par exemple, la commande PowerShell ci-dessous a créé une liste de répertoires fiables sous C:\Users.

aaronlocker4

Utilisez le fichier createpolicies.ps1 pour créer vos stratégies AppLocker.  Une fois le script exécuté, votre nouveau jeu de stratégies se trouve dans le répertoire outputs.   Un jeu d'audit et de stratégies est inclus.

aaronlocker5

Appliquer la stratégie en local

Enfin, nous allons appliquer la stratégie en local. Tout d'abord, exécutez ConfigureForAppLocker.ps1. Ce script configure le service Application Identity (AppIdSvc) pour un démarrage automatique, démarre le service et configure la taille des journaux d'événements AppLocker (1 Go chacun).

aaronlocker6

Ensuite, exécutez le script ApplyPolicyToLocalGPO.ps1. Il applique la stratégie la plus récente générée par AaronLocker à la stratégie du groupe local. Par défaut, la stratégie est immédiatement appliquée. Pour appliquer plutôt la stratégie en mode audit, ajoutez le commutateur ‑AuditOnly sur la ligne de commande.

aaronlocker7

Tester la stratégie AaronLocker

Pour tester la nouvelle stratégie, nous devons d'abord nous connecter avec un compte utilisateur. Nous allons exécuter une application à partir du répertoire C:\Test d'où toute exécution est bloquée. Voilà !   Notre exécution est bloquée.

aaronlocker8

Assurons-nous maintenant que les répertoires appropriés sont autorisés. Pour ce faire, nous allons tester un exécutable dans le répertoire C:\Windows. Il s'agit précisément de calc.exe.   Il s'exécute !  Nous avons validé notre première stratégie AaronLocker.

aaronlocker6-1

Leitfaden für IT-Spezialisten zur Informationssicherheit und Compliance

Topics: security

Leave a Reply

Your email address will not be published. Required fields are marked *

THIS POST WAS WRITTEN BY Dan Franciscus

Dan Franciscus is a systems engineer and VMware Certified Professional (VCP) specializing in VMware, PowerShell, and other Microsoft-based technologies. You can reach Dan at his blog (http://www.winsysblog.com/) or Twitter at @dan_franciscus.

Free Trials

Getting started has never been easier. Download a trial today.

Download Free Trials

Contact Us

Let us know how we can help you. Focus on what matters. 

Send us a note

Subscribe to our Blog

Let’s stay in touch! Register to receive our blog updates.