Restriction logicielle

Restriction logicielle des Utilisateurs

La restriction logicielle permet de brider l’utilisation de certain logicel qui pourraient être utilisés pour compremettre la sécurité du système. Cette restriction ne s’ppliquera donc que pour les ordinateurs réservés aux utilisateurs de base.

Effectuer un clic-droit sur “Objets de stratégie de groupe” (1)
Cliquer sur “Nouveau” pour créer une nouvelle GPO (2):

DM1

Entrer le nom de la nouvelle GPO, ici “Restriction logicielle - GPO” (1)
Cliquer sur “OK” (2) pour valider la création:

DM1

Effectuer un clic-droit sur la GPO nouvellement créée (1)
Cliquer sur “Modifier” (2):

DM1

Cliquer sur “Configuration ordinateur” (1)
Cliquer sur “Statégies” (2)
Cliquer sur “Paramètres Windows” (3)
Cliquer sur “Paramètres de sécurité” (4)
Cliquer sur “Stratégie de restriction logicielle” (5)
Cliquer sur “Nouvelle stratégie de restriction logicielle” (6):

DM1

Cliquer sur “Niveau de sécurité” (1)
Cliquer sur “Utilisateur standard” (2):

DM1

Cliquer sur “Par défaut” (1):

DM1

Cliquer sur “Oui” (1):

DM1

Cliquer sur “Appliquer” (1)
Cliquer sur “OK” (2):

DM1

Cliquer sur “Stratégies de restriction logicielle” (1)
Cliquer sur “Contrôle obligatoire” (2):

DM1

Cocher “Tous les utilisateurs exceptés les administrateurs locaux” (1) afin de ne pas restreindre les administrateurs locaux dans leurs tâches d’administration
Cliquer sur “Appliquer” (2)
Cliquer sur “OK” (3):

DM1

Cliquer sur “Types de fichiers désignés” (1) afin de préciser quel type de fichiers vont être interdis selon la propriété de contrôle précemment établies:

DM1

Entrer “VBS” (1) pour interdire les scripts
Cliquer sur “Ajouter” (2):

DM1

Entrer “PAF” (1) pour interdire les applications portables
Cliquer sur “Ajouter” (2)
Cliquer sur “Appliquer” (3)
Cliquer sur “OK” (4):

DM1

Effectuer un clic-droit sur “Règles supplémentaires” (1)
Cliquer sur “Nouvelle règle de chemin d’accès…” (2):

DM1

Il faut maintenant ajouter les chemins qui ne seront pas soumis à la restrcition:

  • C:\Program Files (x86) (A ajouter)
  • C:\Program Files (Déjà présent)
  • C:\Windows (Déjà présent)

Entrer “C:\Program Files (x86)” (1)
Sélectionner l’option de “Niveau de sécurité” “Non restreint” (2):

DM1

Effectuer un clic-droit sur “Utilisateurs” (1)
Sélectionner “Lier un objet de stratégie de groupe existant…” (2):

DM1

Sélectionner la GPO précédemment créée, “Restriction logicielle - GPO” (1)
Cliquer sur “OK” pour valider la modification (2):

DM1

Afin de compléter la restriction logicielle, il est imperatif d’interdire l’utilisation des exécutables powershell.

Effectuer un clic-droit sur “Restrictions logicielle - GPO” (1)
Cliquer sur “Modifier…” (2):

DM1

Cliquer sur “Configuration utilisateur” (1)
Cliquer sur “Stratégies” (2)
Cliquer sur “Modèles d’administration : …” (3)
Cliquer sur “Système” (4)
Cliquer sur “Ne pas exécuter les applications Windows spécifiées” (5):

DM1

Cocher “Activé” (1)
Cliquer sur “Afficher” (2):

DM1

Entrer dans 3 champs successifs (1):

  • powershell.exe
  • powershell_ise.exe
  • pwsh.exe Cliquer sur “OK” pour valider (2):

DM1

Cliquer sur “Aplliquer” (1)
Cliquer sur “OK” (2):

DM1