rss logo

Comment empécher l'exécution de Windows Store ou n'importe quelle application avec une GPO

Icone Windows Store barrée avec une croix rouge

Dans une entreprise, en tant qu'administrateur système responsable, on ne souhaite pas que les utilisateurs puissent installer ou exécuter n'importe quel programme sur leurs postes informatique (oui ils sont souvent mal éduqués). Windows Store est une porte ouverte sur ce type de comportement, il peut donc être utile d'empécher les utilisateurs de pouvoir simplement l'ouvrir.

Et c'est justement ce que nous allons voir dans cet article (comme tu es chanceux ami lecteur!). En fait la méthode décrite ici peut fonctionner pour bloquer n'importe quelle application.

Pour se faire, nous allons utiliser les Stratégies de restriction logicielle (Seulement fonctionnel pour Windows 10) ou AppLocker (disponible pour Windows 10 et 11).

Création de la GPO

Depuis un serveur Active Directory nous créerons une nouvelle GPO.

  • Ouvrir la console Éditeur de gestion des stratégies de groupe :
Lancer la console Éditeur de gestion des stratégies de groupe
  • Créer une nouvelle GPO et la lier dans l'OU où se trouve les objets de type ordinateurs :
Créer une GPO depuis la console Éditeur de gestion des stratégies de groupe
  • Donner un nom à la GPO :
Fenêtre pour donner un nom à la gpo

Utilisation des règles de restriction logicielle (SRP) (Windows 10)

  • Éditer la GPO :
Éditer une GPO
  • Aller dans «Configuration ordinateur > Stratégies > Paramètres Windows > Stratégie de restriction logicielle». Faire un clic droit et cliquer sur Nouvelles stratégies de restrictions logicielle
Ajouter une nouvelle Stratégie de restriction logicielle depuis la console Éditeur de gestion des stratégies de groupe
  • Puis depuis Stratégies de restriction logicielle > Règles supplémentaires cliquer sur Nouvelle règle de chemin d'accès…
Ajouter une nouvelle règle de chemin d'accès dans les stratégies de restriction logicille
  • Ajouter «%programfiles%\WindowsApps\Microsoft.WindowsStore*» dans Chemin d'accès puis sélectionner «Non autorisé» au niveau de Niveau de sécurité :
Paramétrage d'une règle de stratégie de restriction logicielle

Utilisation d'AppLocker (Windows 11)

Depuis les dernières versions de Windows 11, Microsoft a complètement désactivé la fonctionnalité Software Restriction Policies. En fait, cette fonctionnalité est annoncée comme dépréciée depuis la version Windows 10 build 1803. Nous pouvons toujours empêcher les utilisateurs de lancer des applications spécifiques en utilisant AppLocker, qui est l'évolution du Software Restriction Policies.

Fichier de règles XML

Nous allons devoir nous connecter à un ordinateur Windows 11 dans le but de générer les règles AppLocker par défaut qui seront ensuite importées dans notre GPO.

  • Ouvrir l'éditeur de stratégie de groupe de la machine :
Capture d'écran de la boîte de dialogue Exécuter de Windows avec 'gpedit.msc' tapé, indiquant que les privilèges administratifs seront utilisés pour ouvrir l'Éditeur de stratégie de groupe.
  • Aller dans «Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de contrôle de l'application > AppLocker > Règles d'applications empaquetées». Faire un clic droit sur Règles d'applications empaquetées et sélectionner Générer automatiquement les règles…
Capture d'écran de l'Éditeur de stratégie de groupe local dans Windows, montrant les paramètres AppLocker sous Configuration de l'ordinateur. Le menu contextuel pour les règles des applications empaquetées est ouvert avec des options pour Créer une nouvelle règle, Générer des règles automatiquement, Créer des règles par défaut, Voir, Exporter la liste et Aide.
  • Laisser les valeurs par défaut et cliquer sur Suivant :
Capture d'écran de l'assistant Générer automatiquement les règles des applications empaquetées.
  • Décocher la case "Réduire le nombre de règles" et cliquer sur Suivant :
Capture d'écran de l'assistant Générer automatiquement les règles des applications empaquetées. Étape des préférences des règles.
  • Après l'analyse, cliquer sur Créer pour remplir les règles :
Capture d'écran de l'assistant Générer automatiquement les règles des applications empaquetées. Étape de révision des règles.
  • Une fois les règles créées, exporter la politique AppLocker en fichier XML et le copier sur le serveur Active Directory :
Capture d'écran montrant l'Éditeur de stratégie de groupe local avec les paramètres AppLocker sélectionnés et l'option de menu contextuel 'Exporter la politique' surlignée. Une flèche pointe vers la boîte de dialogue de sauvegarde de fichier à droite de l'écran, où la politique est enregistrée sous 'applocker.xml' sur le bureau.
  • Le problème avec le fichier brut exporté est qu'il précise une version spécifique pour chaque application:
  • Or, nous souhaitons que les règles matchent avec toutes les versions possibles, c'est à dire avoir le paramètrage suivant :
  • Pour éviter de modifier manuellement les centaines de règles, on pourra générer un nouveau fichier xml modifié, avec la commande PowerShell suivante :
PS C:\> $(Get-Content .\AppLocker.xml) -replace ".*BinaryVersionRange LowSection.*",' <BinaryVersionRange LowSection="*" HighSection="*" />' | Out-File -FilePath .\AppLocker_modifie.xml

Sinon télécharger mon fichier xml modifié ici : AppLocker.xml.

Bloquer une WindowsApp

Nous allons voir ici comment faire pour bloquer la Windows App Windows Store.

  • Modifier le GPO précédemment créé :
Modifier un GPO
  • Aller dans «Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Politiques de contrôle des applications». Faire un clic droit sur AppLocker et sélectionner Importer une politique… pour ajouter le fichier XML précédemment généré :
Capture d'écran montrant l'Éditeur de gestion des stratégies de groupe avec les paramètres AppLocker sélectionnés et l'option de menu contextuel 'Importer une politique' surlignée. Une flèche pointe vers la boîte de dialogue d'ouverture de fichier à droite, où 'applocker.xml' est sélectionné, et une autre flèche pointe vers une boîte de dialogue de confirmation demandant 'Voulez-vous importer la politique maintenant ?' avec le bouton 'Oui' surligné.
  • Une fois importé, aller dans Règles des applications empaquetées et modifier la règle Microsoft.WindowsStore (noter que l'on peut bloquer n'importe quelle application Windows listée, comme les jeux, Xbox, Zune, etc…) :
Capture d'écran montrant l'Éditeur de gestion des stratégies de groupe avec les règles des applications empaquetées sous AppLocker sélectionnées. Une règle spécifique pour 'Microsoft.WindowsStore' est surlignée, et une flèche pointe vers le menu contextuel où 'Propriétés' est sélectionné.
  • Sélectionner Refuser puis aller dans l'onglet Éditeur :
Capture d'écran de la boîte de dialogue Propriétés de refus dans l'Éditeur de gestion des stratégies de groupe. La boîte de dialogue montre les propriétés pour 'Microsoft.WindowsStore' avec l'action définie sur 'Refuser'. La boîte de dialogue comprend des champs pour Nom, Description, Utilisateur ou groupe, et des boutons pour OK, Annuler et Appliquer.
  • Dans l'onglet Éditeur, vérifier que la version du package est paramétrée en * et que Et supérieure est sélectionné. Enfin, cliquer sur OK :
Capture d'écran de la boîte de dialogue Propriétés de refus dans l'Éditeur de gestion des stratégies de groupe. La boîte de dialogue concerne 'Microsoft.WindowsStore' avec des champs pour l'éditeur, le nom du package et la version du package. La version du package est définie sur '*' avec 'Et au-dessus' sélectionné. Les boutons OK, Annuler et Appliquer sont en bas.
  • AppLocker fonctionne avec le service Identité de l'application, ce service doit donc être en cours d'exécution pour qu'AppLocker puisse fonctionner. Pour ce faire, nous allons forcer son exécution en paramétrant ce service dans «Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Services système» depuis la même GPO :
Capture d'écran montrant l'Éditeur de gestion des stratégies de groupe avec Identité de l'application sous Services système sélectionné. L'option du menu contextuel 'Propriétés' est surlignée. Une flèche pointe vers la boîte de dialogue Propriétés de l'identité de l'application, où 'Définir ce paramètre de politique' est coché et 'Automatique' est sélectionné pour le mode de démarrage du service. Le bouton OK est surligné.
  • Enfin, cocher la case Configuré et sélectionner Appliquer les règles pour activer le bloquage :
Capture d'écran montrant l'Éditeur de gestion des stratégies de groupe avec AppLocker sous Politiques de contrôle des applications sélectionné et l'option de menu contextuel 'Propriétés' surlignée. Une flèche pointe vers la boîte de dialogue Propriétés d'AppLocker où 'Configuré' est coché pour les règles des applications empaquetées et 'Appliquer les règles' est sélectionné. Le bouton OK est surligné.

Bloquer une application

⚠️Note : Même si l'application à bloquer n'est pas une application Windows, on devra importer (via le fichier xml) et activer les Règles des applications empaquetées comme expliqué ci-dessus. Sinon, on risque de rencontrer des dysfonctionnements lors de l'activation des Règles exécutables d'AppLocker. Cela se traduit par l'impossibilité d'exécuter le menu démarrer de Windows ou toute application dépendant des WindowsApps. L'autre option consiste à créer une règle d'éditeur qui autorise toutes les applications Microsoft.⚠️

A titre d'exemple, nous verrons ici comment bloquer le navigateur/mouchard Chrome.

  • D'abord, Créer des règles par défaut pour éviter de tout bloquer :
Capture d'écran montrant l'Éditeur de gestion des stratégies de groupe avec les Règles exécutables sous AppLocker sélectionnées et l'option de menu contextuel 'Créer des règles par défaut' surlignée.
  • Ensuite, Créer une règle… :
Capture d'écran montrant l'Éditeur de gestion des stratégies de groupe avec les Règles exécutables sous AppLocker sélectionnées et l'option de menu contextuel 'Créer une règle' surlignée. Les règles par défaut pour les fichiers exécutables sont affichées dans le volet de droite.
  • Cliquer sur Suivant dans la première fenêtre :
Capture d'écran de l'assistant 'Créer des règles exécutables' dans la section AppLocker de l'Éditeur de gestion des stratégies de groupe. La page 'Avant de commencer' est affichée avec des instructions pour installer des applications, sauvegarder les règles existantes et consulter la documentation AppLocker avant de continuer. Le bouton 'Suivant' est surligné.
  • Sélectionner l'action Refuser :
Capture d'écran de l'assistant 'Créer des règles exécutables' dans la section AppLocker de l'Éditeur de gestion des stratégies de groupe. La page 'Autorisations' est affichée avec l'action définie sur 'Refuser' pour tout le monde. Le bouton 'Suivant' est surligné.
  • Ici, nous pouvons choisir entre différents types de conditions pour spécifier l'application à bloquer. La méthode Par chemin est facilement contournable, la méthode par hash peut être lourde à gérer si l'application à bloquer évolue souvent ou si plusieurs version cohabitent. La méthode par l'Éditeur étant la méthode la plus précise et flexible, c'est celle qui sera retenue ici :
Capture d'écran de l'assistant 'Créer des règles exécutables' dans la section AppLocker de l'Éditeur de gestion des stratégies de groupe. La page 'Conditions' est affichée avec l'option 'Éditeur' sélectionnée, indiquant que la règle sera créée en fonction de l'éditeur du logiciel. Le bouton 'Suivant' est surligné.
  • Cliquer sur Parcourir pour spécifier l'Exécutable de l'application que l'on souhaite bloquer :
Capture d'écran de l'assistant 'Créer des règles exécutables' dans la section AppLocker de l'Éditeur de gestion des stratégies de groupe. La page 'Éditeur' est affichée avec une invite pour parcourir un fichier de référence. Une flèche pointe vers la boîte de dialogue d'ouverture de fichier où 'chrome.exe' est sélectionné et le bouton 'Ouvrir' est surligné.
  • Déplacer le curseur vers le haut jusqu'au nom du fichier pour que toutes les versions du logiciel puissent matcher la règle :
Capture d'écran de l'assistant 'Créer des règles exécutables' dans la section AppLocker de l'Éditeur de gestion des stratégies de groupe. La page 'Éditeur' est affichée avec le fichier de référence défini sur 'chrome.exe'. Le curseur est réglé pour inclure l'éditeur, le nom du produit, le nom du fichier et toute version du fichier. Le bouton 'Suivant' est surligné.
  • Nous n'avons pas besoin d'ajouter d'exceptions, cliquer simplement sur Suivant :
Capture d'écran de l'assistant 'Créer des règles exécutables' dans la section AppLocker de l'Éditeur de gestion des stratégies de groupe. La page 'Exceptions' est affichée sans exceptions ajoutées. La condition principale est pour 'chrome.exe' dans 'Google Chrome' de 'Google LLC'. Le bouton 'Suivant' est surligné.
  • Dernière étape, cliquer sur Créer :
Capture d'écran de l'assistant 'Créer des règles exécutables' dans la section AppLocker de l'Éditeur de gestion des stratégies de groupe. La page 'Nom et Description' est affichée avec le champ de nom rempli avec 'CHROME.EXE, dans GOOGLE CHROME, de O=GOOGLE LLC, L=MOUNTAIN VIEW, S=CALIFORNIE, C=US'. Le bouton 'Créer' est surligné.
  • Enfin, cocher la case Configuré et sélectionner Appliquer les règles pour activer le bloquage :
Capture d'écran montrant l'Éditeur de gestion des stratégies de groupe avec AppLocker sous Politiques de contrôle des applications sélectionné et l'option de menu contextuel 'Propriétés' surlignée. Une flèche pointe vers la boîte de dialogue Propriétés d'AppLocker où 'Configuré' est coché pour les règles exécutables et 'Appliquer les règles' est sélectionné, ainsi que pour les règles des applications empaquetées. Le bouton OK est surligné.

Débuguer, débloquer une application légitime

Selon la configuration et les applications utilisées, on pourra se retrouver dans des cas ou des applications légitimes seront bloquées. Par exemple si l'applications est exécutée dans des dossiers en dehors de ProgramFiles. Nous allons voir ici comment débloquer ce genre de situation.

Tracer les applications bloquées

  • Depuis l'ordinateur où une application est bloquée, ouvrir le journal d'évenements Windows :
  • Depuis le journal, aller dans le dossier Journaux des applications et des services> > Microsoft > AppLocker et parcourir les différents journaux pour obtenir les information sur l'application bloquée :

Il ne restera ici plus qu'à ajouter une règle autorisant l'application.

Autoriser tous les exécutables à l'intérieur d'un dossier

Même si cela n'est pas conseillé on peut être amené à devoir autoriser tous les exécutables se trouvant à l'intérieur d'un dossier.

  • Ici, on souhaite autoriser l'exécution de tous les exécutables présents à l'intérieur du dossier C:\ALLOWED_EXE\. Pour se faire notre règle devra ressembler à cela. Noter la présence du caractère «*» qui permet de matcher les exe présents dans le dossier et ses sous-dossiers. Sans ce dernier, seuls les exe présents dans le dossier précisé auraient été autorisés :

Ouvrir Windows Store

  • Une fois la stratégie prise en compte, les utilisateurs verront la fenêtre suivante lors de l'ouverture du Windows Store :
Fenêtre cette application ne peut être exécuter sur ce PC
Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Contact :

contact mail address