Empêcher l’installation de logiciels non autorisés avec Applocker
IntroductionAppLocker est une fonctionnalité de sécurité avancée intégrée à Windows 11 Enterprise et Education, permettant de contrôler l’exécution des applications, scripts, installateurs et bibliothèques sur un poste ou un groupe d’ordinateurs. Elle permet de définir des règles de confiance fondées sur l’éditeur, le chemin ou le hachage du fichier, empêchant ainsi les utilisateurs non autorisés d’installer ou d’exécuter des logiciels tiers. AppLocker est un outil idéal pour renforcer la conformité et prévenir l’exécution de programmes malveillants dans les environnements professionnels.
Prérequis• Édition Windows 11 Enterprise ou Education
• Accès administrateur au poste ou à la console GPMC
• Connaissances des groupes de sécurité et de l’organisation des applications
• Service Application Identity activé
Procédure complète• Étape #1 : Activer le service Application Identity
• Étape #2 : Créer une GPO AppLocker ou l’utiliser localement
• Étape #3 : Définir des règles de restriction par type de fichier
• Étape #4 : Tester les règles avec le mode audit
• Étape #5 : Appliquer les règles en mode d’application
Niveau de difficulté• Étape #1 : Facile
• Étape #2 : Intermédiaire
• Étape #3 : Avancé
• Étape #4 : Avancé
• Étape #5 : Intermédiaire
Les Avantages• Étape #1 : Activation simple du service requis
• Étape #2 : Application possible par GPO ou localement
• Étape #3 : Contrôle précis des exécutables autorisés
• Étape #4 : Audit sans risque pour l’environnement
• Étape #5 : Blocage effectif des exécutables non conformes
Les Inconvénients• Étape #1 : Service désactivé par défaut
• Étape #2 : Fonctionnalité absente des éditions Famille et Pro
• Étape #3 : Complexité des règles avancées (éditeur, hachage)
• Étape #4 : Analyse requise des journaux pour validation
• Étape #5 : Risque de blocage involontaire si mauvaise configuration
Étape #1
Ouvrir une invite CMD en administrateur
Activer le service AppIDSvc :
Code:
sc config AppIDSvc start= auto
Code:
net start AppIDSvc
Vérifier dans services.msc que le service est bien démarré
Ce service est nécessaire pour l’application des règles AppLocker Étape #2 Ouvrir Gpedit.msc ou GPMC.msc si en domaine Naviguer dans :
Code:
Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de contrôle des applications > AppLocker
Code:
Refuser l’accès à %UserProfile%\Downloads*.exe
Code:
Observateur d’événements > Journaux des applications et services > Microsoft > Windows > AppLocker > EXE and DLL
Code:
gpupdate /force
AstuceLes règles par éditeur sont idéales pour autoriser les applications Microsoft ou logicielles certifiées, même en cas de mise à jour, sans avoir à recalculer les hachages.
Mise en gardeUne mauvaise configuration des règles AppLocker peut bloquer des applications critiques, y compris des outils d’administration. Testez systématiquement en mode audit avant le déploiement.
ConseilDocumentez toutes les règles appliquées et utilisez un poste de test représentatif pour valider vos stratégies. AppLocker peut aussi être combiné à Microsoft Defender Application Control (WDAC) pour des scénarios plus avancés.
Solutions alternatives• Windows Defender Application Control (WDAC)
• Contrôle applicatif via Intune
• AppLocker GUI Manager tiers
Références utiles• Support Microsoft
• Microsoft Learn
• Recherche GitHub
ConclusionAppLocker constitue une solution robuste et native pour bloquer l’installation ou l’exécution de logiciels non autorisés sous Windows 11. Son usage structuré permet d’appliquer une politique applicative stricte tout en conservant de la flexibilité grâce aux différents types de règles et aux modes audit ou application.
