Vos utilisateurs contournent les restrictions d’installation avec des applications portables. L’UAC ne les bloque pas. Un portable ne s’installe pas, il s’exécute. AppLocker règle ça en contrôlant non pas ce que le programme demande, mais depuis où il tourne et qui l’a signé.
Au programme de cet article
Pourquoi l’UAC seul ne suffit pas
L’UAC (User Account Control) bloque les actions qui nécessitent des droits administrateur : écriture dans C:\Program Files, modification du registre, installation de services. Une application portable ne fait rien de tout ça. Elle s’extrait dans %APPDATA% ou le dossier Documents de l’utilisateur et s’exécute sans déclencher la moindre invite UAC.
Du point de vue de Windows, c’est un programme qui tourne avec les droits de l’utilisateur courant. Légitime. AppLocker raisonne différemment. Il ne regarde pas ce que le programme demande, mais depuis où il s’exécute et qui l’a signé.
Comment fonctionne AppLocker
AppLocker applique des règles sur quatre types de fichiers : exécutables (.exe, .com), scripts (.ps1, .bat, .vbs), installeurs Windows (.msi, .msp) et DLL. Pour chaque type, vous définissez ce qui est autorisé. Tout ce qui n’est pas explicitement autorisé est bloqué.
Les règles s’appuient sur trois critères. Le chemin d’accès (C:\Program Files\* est autorisé, %APPDATA%\* ne l’est pas). L’éditeur, via la signature numérique. Le hash du fichier, pour autoriser un exécutable précis sans tenir compte de son emplacement.
La combinaison chemin + éditeur couvre la majorité des parcs. Le hash sert pour les cas particuliers : un outil interne non signé, un exécutable livré par un partenaire.
Configurer AppLocker : les étapes
1. Ouvrir l’éditeur de stratégie de groupe
Appuyez sur Win + R, tapez gpedit.msc et validez. Naviguez jusqu’à Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de contrôle des applications > AppLocker.
2. Activer le service Application Identity
AppLocker ne fonctionne pas si le service Application Identity est arrêté. Ouvrez services.msc, trouvez Application Identity, passez-le en démarrage Automatique et lancez-le. Sans ce service, toutes les règles AppLocker sont ignorées silencieusement.
3. Générer les règles par défaut
Avant de créer vos règles personnalisées, générez les règles par défaut pour les exécutables (clic droit sur Règles des exécutables > Créer des règles par défaut). Ces règles autorisent C:\Windows\* et C:\Program Files\* pour tous les utilisateurs, et tout pour les administrateurs. Sans elles, Windows lui-même ne démarre plus.
4. Bloquer l’exécution depuis les répertoires utilisateur
Créez une règle de refus sur les chemins suivants pour le groupe Tout le monde (les admins restent couverts par leur règle d’autorisation globale) :
| Chemin à bloquer | Raison |
|---|---|
%APPDATA%\* | Cible principale des portables et malwares |
%LOCALAPPDATA%\* | Utilisé par certains installeurs sans droits |
%TEMP%\* | Exécutables extraits à la volée |
%USERPROFILE%\Downloads\* | Téléchargements directs |
%USERPROFILE%\Desktop\* | Portables déposés sur le bureau |
Un exécutable placé dans l’un de ces répertoires est bloqué avant même de se lancer. L’utilisateur voit le message « Cette application a été bloquée pour votre protection ».
Limites d’AppLocker à connaître
AppLocker ne couvre pas les scripts interprétés si vous ne configurez pas aussi les règles de scripts. Un fichier .py ou .jar lancé via l’interpréteur système (Python, Java) peut contourner les règles exe si l’interpréteur lui-même est dans un répertoire autorisé. À couvrir avec les règles de scripts dès la première semaine de déploiement.
Les règles de chemin sont contournables si un utilisateur a accès en écriture à un répertoire autorisé. C’est rare sur un parc correctement configuré, mais sur certains postes anciens où C:\Program Files était accessible en écriture aux utilisateurs standard, la règle de chemin perd sa valeur. Coupler chemin et éditeur élimine ce risque.
AppLocker n’est pas disponible sur Windows 11 Famille. Sur les parcs mixtes, WDAC (Windows Defender Application Control) est l’alternative, plus complexe à configurer mais disponible sur toutes les éditions.