Hello,
J'ai besoin de conseils concernant la restriction logicielle par GPO. Je souhaite bloquer l'exécution de tous les exécutables, scripts, etc., et je rencontre un problème. J'aimerais savoir s'il existe un moyen de bloquer l'installation locale à l'utilisateur sans droit admin dans le dossier %appdata% comme chrome, opera,etc ... sans empêcher les logiciels déjà présents de se lancer.
Merci d'avance pour les réponses,
Alors (pas taper hein?), je ne sais pas mais simplement faire de sorte que le droits des répertoires en questions ne soient pas RW pour des non admin ? Je sais je viens du monde Unix où ce genre de choses est légion, et un chmod suffit à régler le problème... (aller on peux ajouter le durcissement de l'OS... mais c'est un autre problème).
Qu'en penses-tu ?
Xavier
Bonjour, Un petit tour ici devrait répondre à votre question: https://learn.microsoft.com/fr-fr/windows/security/application-security/appl...
Je ne sais pas si c'est exactement ce que vous cherchez, mais en tout cas avec un peu de script c'est tout à fait possible, et il me semble qu'il est possible d'autoriser un dossier en particulier.
Hello,
J'ai besoin de conseils concernant la restriction logicielle par GPO. Je souhaite bloquer l'exécution de tous les exécutables, scripts, etc., et je rencontre un problème. J'aimerais savoir s'il existe un moyen de bloquer l'installation locale à l'utilisateur sans droit admin dans le dossier %appdata% comme chrome, opera,etc ... sans empêcher les logiciels déjà présents de se lancer.
Merci d'avance pour les réponses,
Alors (pas taper hein?), je ne sais pas mais simplement faire de sorte que le droits des répertoires en questions ne soient pas RW pour des non admin ? Je sais je viens du monde Unix où ce genre de choses est légion, et un chmod suffit à régler le problème... (aller on peux ajouter le durcissement de l'OS... mais c'est un autre problème).
Qu'en penses-tu ?
Xavier _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
Daniel VALAT-VOLFART ✉️ hello@danielvalat.fr
Salut,
Je pense que c'est AppLocker que tu cherches, blocage de tout exe/msi etc selon éditeur (signataire d'appli), répertoire de stockage/lancement, version d'app etc ; de quoi même bloquer les applis portables. Exemple tu bloqueras pas un launcher portableapps mais celui-ci empaquetant le vrai .exe d'une app portable (exemple firefox, signé par mozilla), le launcher pourra pas lancer firefox même portable.
En deux mots, tu actives le service "Identité de l'application" sur les postes W10/11 (par GPO tant qu'à faire) et tu vas faire mumuse dans une GPO globale : config ordi / param windows / param sécu / stratégies de controle de l'application / applocker. Tu te renseignes sur les "règles par défaut" pour ne pas te tirer une balle dans le pied sinon tu ne peux plus exécuter le moindre exe même ceux de c:\windows, program files etc. Puis tu fais des règles pour bloquer les exe / ou script / ou msi / ou appx. Et youpi
C'est ça que tu cherches ?
Jacques
Le 05/03/2024 à 17:22, Ilyass RAITI a écrit :
Bonjour, J'ai besoin de conseils concernant la restriction logicielle par GPO. Je souhaite bloquer l'exécution de tous les exécutables, scripts, etc., et je rencontre un problème. J'aimerais savoir s'il existe un moyen de bloquer l'installation locale à l'utilisateur sans droit admin dans le dossier %appdata% comme chrome, opera,etc ... sans empêcher les logiciels déjà présents de se lancer.
Merci d'avance pour les réponses,
Ilyass Raïti
Liste de diffusion du %(real_name)s http://www.frsag.org/
-
Daniel VALAT-VOLFART -
Ilyass RAITI -
Jacques MICHAU -
Xavier Beaudouin