Discussion :

[amazigh42]

Bonjour,

J'ai créé une maquette Active Directory virtuelle composée
- d'une VM 1 avec Windows Serveur r2
- d'une VM 2 avec Windows 7 Pro

Pour info j'utilise VMware Workstation 12 Player

J'ai créé une stratégie APPLOCKER avec une procédure similaire à celle-ci
https://www.youtube.com/watch?v=FzEsj5AEq_A

Mon problème est que les stratégies ne sont pas appliquées sur Windows 7

Ci-après ma configuration
Voir également le résultat gpresult qui me dit que
Les objets stratégie de groupe n'ont pas été appliqués car ils ont été refusés
Je ne sais pas pourquoi, je recherche donc un oeil plus affiné que le mien pour me sortir de ce pétrin.

Je vous remercie par avance de votre aide.

************************************
INFORMATIONS SUR VM 1 : SRV-WINDOWS2012
************************************

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ipconfig /all

Configuration IP de Windows

Nom de l'hôte . . . . . . . . . . : SRV-WINDOWS2012
Suffixe DNS principal . . . . . . : applocker.fr
Type de noeud. . . . . . . . . . : Hybride
Routage IP activé . . . . . . . . : Non
Proxy WINS activé . . . . . . . . : Non
Liste de recherche du suffixe DNS.: applocker.fr

Carte Ethernet Ethernet :

Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : vmxnet3 Ethernet Adapter
Adresse physique . . . . . . . . . . . : 00-0C-29-7A-64-9D
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : Oui
Adresse IPv6 de liaison locale. . . . .: fe80::8806:d70e:b70d:e9f0%12(préféré)
Adresse IPv4. . . . . . . . . . . . . .: 10.75.1.1(préféré)
Masque de sous-réseau. . . .*. . . . . : 255.255.255.0
Passerelle par défaut. . . .*. . . . . : 10.75.1.254
IAID DHCPv6 . . . . . . . . . . . : 201329705
DUID de client DHCPv6. . . . . . . . : 00-01-00-01-1E-81-59-D3-00-0C-29-7A-64-9D
Serveurs DNS. . . . . . . . . . . . . : 10.75.1.1
127.0.1.1
NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Carte Tunnel isatap.{C22B420D-C340-4AA6-9F3A-F577487B56B2} :

Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP
Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : Oui

************************************
INFORMATIONS SUR VM 2 : WIN7
************************************

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ipconfig /all

Configuration IP de Windows

Nom de l'hôte . . . . . . . . . . : WIN7
Suffixe DNS principal . . . . . . : applocker.fr
Type de noeud. . . . . . . . . . : Hybride
Routage IP activé . . . . . . . . : Non
Proxy WINS activé . . . . . . . . : Non
Liste de recherche du suffixe DNS.: applocker.fr

Carte Ethernet Connexion au réseau local 2 :

Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Connexion réseau Intel(R) PRO/1000 MT
Adresse physique . . . . . . . . . . . : 00-0C-29-69-C1-CB
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : Oui
Adresse IPv6 de liaison locale. . . . .: fe80::8054:55f5:1d14:2025%13(préféré)
Adresse IPv4. . . . . . . . . . . . . .: 10.75.1.2(préféré)
Masque de sous-réseau. . . .*. . . . . : 255.255.255.0
Passerelle par défaut. . . .*. . . . . : 10.75.1.254
IAID DHCPv6 . . . . . . . . . . . : 268438569
DUID de client DHCPv6. . . . . . . . : 00-01-00-01-17-43-B7-3F-50-E5-49-72-05-8D
Serveurs DNS. . . . . . . . . . . . . : 10.75.1.1
NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Carte Tunnel isatap.{1093E97B-7981-4EE0-9426-9E3A90D02E18} :

Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP
Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : Oui

Carte Tunnel 6TO4 Adapter :

Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Carte Microsoft 6to4
Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : Oui

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ping applocker.fr

Envoi d'une requête 'ping' sur applocker.fr [10.75.1.1] avec 32 octets de données*:
Réponse de 10.75.1.1*: octets=32 temps<1ms TTL=128
Réponse de 10.75.1.1*: octets=32 temps<1ms TTL=128
Réponse de 10.75.1.1*: octets=32 temps<1ms TTL=128
Réponse de 10.75.1.1*: octets=32 temps=1 ms TTL=128

Statistiques Ping pour 10.75.1.1:
Paquets*: envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 0ms, Maximum = 1ms, Moyenne = 0ms

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

gpresult /USER sssi /V

Outil de résultat du système d'exploitation Microsoft (R) Windows (R) v2.0
Copyright (C) Microsoft Corp. 1981-2001

Jeu créé le 30/03/2016 … 13:37:16

Données RSOP pour APPLOCKER\sssi sur WIN7 : mode journalisation
----------------------------------------------------------------

Configuration du système d'exploitation : Station de travail membre
Version du système d'exploitation...... : 6.1.7601
Nom du site............................ : Default-First-Site-Name
Profil itinérant : N/A
Profil local........................... : C:\Users\sssi.APPLOCKER
Connexion via une liaison lente ? : Non


Paramètre de l'ordinateur
--------------------------
CN=WIN7,OU=Ordinateurs,OU=mgsic,DC=applocker,DC=fr
Heure de la dernière application de la stratégie de groupe : 30/03/2016 … 13:13:02
Stratégie de groupe appliquée depuis : SRV-WINDOWS2012.applocker.fr
Seuil de liaison lente dans la stratégie de groupe : 500 kbps
Nom du domaine......................... : APPLOCKER
Type de domaine........................ : Windows 2000

Objets Stratégie de groupe appliqués
-------------------------------------
applockerGPO
applockerGPO
Default Domain Policy
identité de l'application
Stratégie de groupe locale

L'ordinateur fait partie des groupes de sécurité suivants
---------------------------------------------------------
Administrateurs
Tout le monde
Utilisateurs
RESEAU
Utilisateurs authentifiés
Cette organisation
WIN7$
Ordinateurs du domaine
Niveau obligatoire système


PARAMÈTRES UTILISATEURS
------------------------
CN=sssi,OU=Utilisateurs,OU=mgsic,DC=applocker,DC=fr
Heure de la dernière application de la stratégie de groupe : 30/03/2016 … 13:13:02
Stratégie de groupe appliquée depuis : SRV-WINDOWS2012.applocker.fr
Seuil de liaison lente dans la stratégie de groupe : 500 kbps
Nom du domaine : APPLOCKER
Type de domaine : Windows 2000

Objets Stratégie de groupe appliqués
-------------------------------------
N/A

Les objets stratégie de groupe n'ont pas été appliqués
car ils ont été refusés
-----------------------------------------------------------------------------------
Default Domain Policy
Filtrage : Non appliqué (vide)

identité de l'application
Filtrage : Non appliqué (vide)

applockerGPO
Filtrage : Non appliqué (vide)

Stratégie de groupe locale
Filtrage : Non appliqué (vide)

applockerGPO
Filtrage : Non appliqué (vide)

L'utilisateur fait partie des groupes de sécurité suivants
----------------------------------------------------------
Utilisateurs du domaine
Tout le monde
Utilisateurs
Administrateurs
INTERACTIF
OUVERTURE DE SESSION DE CONSOLE
Utilisateurs authentifiés
Cette organisation
LOCAL
Admins du domaine
Groupe de réplication dont le mot de passe RODC est refusé
Niveau obligatoire élevé

[cerede2000]

Bonjour à toi,

Ca ne vas pas répondre à ta question ni résoudre ton problème mais sache que très peu utilisent AppLocker car c'est très complexe à maintenir...
Si tu part sur les hashs de fichiers à chaque MAJ il faut gérer les nouveaux hashs, si tu part sur une publisher tu autorise rapidement beaucoup d'applications d'un même publisher...
Et puis il est facile de changer le nom d'un exe ou même son publisher...
Et je ne parle même pas de ce genre de manip qui sont très simple à trouver...

Ça parait attirant comme ça au début mais pour avoir tester c'est très rapidement une perte de temps.

Tu souhaites juste tester comme ça ou tu as un besoin final ?

Ensuite ce que je constate c'est que les GPO sont correctement appliquées :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Paramètre de l'ordinateur
--------------------------
CN=WIN7,OU=Ordinateurs,OU=mgsic,DC=applocker,DC=fr
Heure de la dernière application de la stratégie de groupe : 30/03/2016 … 13:13:02
Stratégie de groupe appliquée depuis : SRV-WINDOWS2012.applocker.fr
Seuil de liaison lente dans la stratégie de groupe : 500 kbps
Nom du domaine......................... : APPLOCKER
Type de domaine........................ : Windows 2000

Objets Stratégie de groupe appliqués
-------------------------------------
applockerGPO
applockerGPO
Default Domain Policy
identité de l'application
Stratégie de groupe locale

Etant donné que c'est un GPO Computer elle s'applique à l'ordinateur et donc il est normal que la partie User soit vide :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
PARAMÈTRES UTILISATEURS
------------------------
CN=sssi,OU=Utilisateurs,OU=mgsic,DC=applocker,DC=fr
Heure de la dernière application de la stratégie de groupe : 30/03/2016 … 13:13:02
Stratégie de groupe appliquée depuis : SRV-WINDOWS2012.applocker.fr
Seuil de liaison lente dans la stratégie de groupe : 500 kbps
Nom du domaine : APPLOCKER
Type de domaine : Windows 2000

Objets Stratégie de groupe appliqués
-------------------------------------
N/A

Les objets stratégie de groupe n'ont pas été appliqués
car ils ont été refusés
-----------------------------------------------------------------------------------
Default Domain Policy
Filtrage : Non appliqué (vide)

identité de l'application
Filtrage : Non appliqué (vide)

applockerGPO
Filtrage : Non appliqué (vide)

Vérifie que le service Identité de l’application soit bien lancé sur ta machine Win7

[amazigh42]

Bonjour à toi,

Ca ne vas pas répondre à ta question ni résoudre ton problème mais sache que très peu utilisent AppLocker car c'est très complexe à maintenir...
Si tu part sur les hashs de fichiers à chaque MAJ il faut gérer les nouveaux hashs, si tu part sur une publisher tu autorise rapidement beaucoup d'applications d'un même publisher...
Et puis il est facile de changer le nom d'un exe ou même son publisher...
Et je ne parle même pas de ce genre de manip qui sont très simple à trouver...

Ça parait attirant comme ça au début mais pour avoir tester c'est très rapidement une perte de temps.

Tu souhaites juste tester comme ça ou tu as un besoin final ?

Ensuite ce que je constate c'est que les GPO sont correctement appliquées :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Paramètre de l'ordinateur
--------------------------
CN=WIN7,OU=Ordinateurs,OU=mgsic,DC=applocker,DC=fr
Heure de la dernière application de la stratégie de groupe : 30/03/2016 … 13:13:02
Stratégie de groupe appliquée depuis : SRV-WINDOWS2012.applocker.fr
Seuil de liaison lente dans la stratégie de groupe : 500 kbps
Nom du domaine......................... : APPLOCKER
Type de domaine........................ : Windows 2000

Objets Stratégie de groupe appliqués
-------------------------------------
applockerGPO
applockerGPO
Default Domain Policy
identité de l'application
Stratégie de groupe locale

Etant donné que c'est un GPO Computer elle s'applique à l'ordinateur et donc il est normal que la partie User soit vide :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
PARAMÈTRES UTILISATEURS
------------------------
CN=sssi,OU=Utilisateurs,OU=mgsic,DC=applocker,DC=fr
Heure de la dernière application de la stratégie de groupe : 30/03/2016 … 13:13:02
Stratégie de groupe appliquée depuis : SRV-WINDOWS2012.applocker.fr
Seuil de liaison lente dans la stratégie de groupe : 500 kbps
Nom du domaine : APPLOCKER
Type de domaine : Windows 2000

Objets Stratégie de groupe appliqués
-------------------------------------
N/A

Les objets stratégie de groupe n'ont pas été appliqués
car ils ont été refusés
-----------------------------------------------------------------------------------
Default Domain Policy
Filtrage : Non appliqué (vide)

identité de l'application
Filtrage : Non appliqué (vide)

applockerGPO
Filtrage : Non appliqué (vide)

Vérifie que le service Identité de l’application soit bien lancé sur ta machine Win7

Bonjour,

J'avais préalablement vérifier que ce service Identité de l’application soit bien démarré.

Alors pourquoi ce message apparait dans le résultat de gpresult /USER sssi /V ?
" Les objets stratégie de groupe n'ont pas été appliqués car ils ont été refusés "

[cerede2000]

Déjà évite de mettre en citation les messages précédent.....
Et ensuite relis bien ce que j'ai écrit !

Etant donné que c'est un GPO Computer elle s'applique à l'ordinateur et donc il est normal que la partie User soit vide :

La raison de la non application est....

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
applockerGPO
Filtrage : Non appliqué (vide)

[amazigh42]

A ta question " Tu souhaites juste tester comme ça ou tu as un besoin final ? "

Mon besoin est de tester différents scenarii avant d’éventuellement les proposer de les faire déployer par les admin AD.

D'un coté tu me dis " Ensuite ce que je constate c'est que les GPO sont correctement appliquées "
Ensuite " La raison de la non application est...Filtrage : Non appliqué (vide) "
Puis " Etant donné que c'est un GPO Computer elle s'applique à l'ordinateur et donc il est normal que la partie User soit vide : "

Ok j'ai compris tes différents constats.
J'ai commencé par un test très très simple, interdire Wordpad dans la GPO lié à Ordinateur.
ça ne fonctionne pas sur le PC client en Windows 7, Wordpad se lance ?

Merci d'avance de ton aide

[cerede2000]

J'ai yeuté rapidement la vidéo, et ce que je vois dans les résultats que tu as collés sont cohérents.

Sur ta machine Win7, va dans le registre consulté cette clé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2

Tu devrais déjà y retrouver ce que tu as renseigné dans la GPO, cela permettra de savoir si l'application à bien écrit les paramètres.

[amazigh42]

Visiblement ça n'a pas été pris en compte ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Appx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Dll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Exe]
"EnforcementMode"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Exe\921cc481-6e17-4653-8f75-050b80acca20]
"Value"="<FilePathRule Id=\"921cc481-6e17-4653-8f75-050b80acca20\" Name=\"(Règle par défaut) Tous les fichiers se trouvant dans le dossier Program Files\" Description=\"Permet aux membres du groupe Tout le monde d’exécuter les applications se trouvant dans le dossier Program Files.\" UserOrGroupSid=\"S-1-1-0\" Action=\"Allow\"><Conditions><FilePathCondition Path=\"%PROGRAMFILES%\\*\"/></Conditions></FilePathRule>

"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Exe\a61c8b2c-a319-4cd0-9690-d2177cad7b51]
"Value"="<FilePathRule Id=\"a61c8b2c-a319-4cd0-9690-d2177cad7b51\" Name=\"(Règle par défaut) Tous les fichiers se trouvant dans le dossier Windows\" Description=\"Permet aux membres du groupe Tout le monde d’exécuter les applications se trouvant dans le dossier Windows.\" UserOrGroupSid=\"S-1-1-0\" Action=\"Allow\"><Conditions><FilePathCondition Path=\"%WINDIR%\\*\"/></Conditions></FilePathRule>

"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Exe\f09b3685-ca6a-4f8a-aeaa-1607ae7ab814]
"Value"="<FilePublisherRule Id=\"f09b3685-ca6a-4f8a-aeaa-1607ae7ab814\" Name=\"WORDPAD.EXE, dans MICROSOFT® WINDOWS® OPERATING SYSTEM, de O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\" Description=\"No Wordpad\" UserOrGroupSid=\"S-1-1-0\" Action=\"Deny\"><Conditions><FilePublisherCondition PublisherName=\"O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\" ProductName=\"MICROSOFT® WINDOWS® OPERATING SYSTEM\" BinaryName=\"WORDPAD.EXE\"><BinaryVersionRange LowSection=\"*\" HighSection=\"*\"/></FilePublisherCondition></Conditions></FilePublisherRule>

"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Exe\fd686d83-a829-4351-8ff4-27c7de5755d2]
"Value"="<FilePathRule Id=\"fd686d83-a829-4351-8ff4-27c7de5755d2\" Name=\"(Règle par défaut) Tous les fichiers\" Description=\"Permet aux membres du groupe Administrateurs local d’exécuter toutes les applications.\" UserOrGroupSid=\"S-1-5-32-544\" Action=\"Allow\"><Conditions><FilePathCondition Path=\"*\"/></Conditions></FilePathRule>

"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Msi]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Msi\5b290184-345a-4453-b184-45305f6d9a54]
"Value"="<FilePathRule Id=\"5b290184-345a-4453-b184-45305f6d9a54\" Name=\"(Règle par défaut) Tous les fichiers Windows Installer se trouvant dans le dossier %systemdrive%\\Windows\\Installer\" Description=\"Permet aux membres du groupe Tout le monde d’exécuter tous les fichiers Windows Installer se trouvant dans le dossier %systemdrive%\\Windows\\Installer.\" UserOrGroupSid=\"S-1-1-0\" Action=\"Allow\"><Conditions><FilePathCondition Path=\"%WINDIR%\\Installer\\*\"/></Conditions></FilePathRule>

"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Msi\64ad46ff-0d71-4fa0-a30b-3f3d30c5433d]
"Value"="<FilePathRule Id=\"64ad46ff-0d71-4fa0-a30b-3f3d30c5433d\" Name=\"(Règle par défaut) Tous les fichiers Windows Installer\" Description=\"Permet aux membres du groupe Administrateurs local d’exécuter tous les fichiers Windows Installer.\" UserOrGroupSid=\"S-1-5-32-544\" Action=\"Allow\"><Conditions><FilePathCondition Path=\"*.*\"/></Conditions></FilePathRule>

"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Msi\b7af7102-efde-4369-8a89-7a6a392d1473]
"Value"="<FilePublisherRule Id=\"b7af7102-efde-4369-8a89-7a6a392d1473\" Name=\"(Règle par défaut) Tous les fichiers Windows Installer signés numériquement\" Description=\"Permet aux membres du groupe Tout le monde d’exécuter les fichiers Windows Installer signés numériquement.\" UserOrGroupSid=\"S-1-1-0\" Action=\"Allow\"><Conditions><FilePublisherCondition PublisherName=\"*\" ProductName=\"*\" BinaryName=\"*\"><BinaryVersionRange LowSection=\"0.0.0.0\" HighSection=\"*\"/></FilePublisherCondition></Conditions></FilePublisherRule>

"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Script]
"EnforcementMode"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Script\06dce67b-934c-454f-a263-2515c8796a5d]
"Value"="<FilePathRule Id=\"06dce67b-934c-454f-a263-2515c8796a5d\" Name=\"(Règle par défaut) Tous les scripts se trouvant dans le dossier Program Files\" Description=\"Permet aux membres du groupe Tout le monde d’exécuter les scripts qui se trouvent dans le dossier Program Files.\" UserOrGroupSid=\"S-1-1-0\" Action=\"Allow\"><Conditions><FilePathCondition Path=\"%PROGRAMFILES%\\*\"/></Conditions></FilePathRule>

"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Script\9428c672-5fc3-47f4-808a-a0011f36dd2c]
"Value"="<FilePathRule Id=\"9428c672-5fc3-47f4-808a-a0011f36dd2c\" Name=\"(Règle par défaut) Tous les scripts qui se trouvent dans le dossier Windows\" Description=\"Permet aux membres du groupe Tout le monde d’exécuter les scripts qui se trouvent dans le dossier Windows.\" UserOrGroupSid=\"S-1-1-0\" Action=\"Allow\"><Conditions><FilePathCondition Path=\"%WINDIR%\\*\"/></Conditions></FilePathRule>

"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Script\cfbba6d3-92cc-4d2a-a0c4-61bdab5929a6]
"Value"="<FilePathRule Id=\"cfbba6d3-92cc-4d2a-a0c4-61bdab5929a6\" Name=\"%HOT%\" Description=\"Bloque les scripts de l'USB\" UserOrGroupSid=\"S-1-1-0\" Action=\"Deny\"><Conditions><FilePathCondition Path=\"%HOT%\"/></Conditions></FilePathRule>

"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Script\ed97d0cb-15ff-430f-b82c-8d7832957725]
"Value"="<FilePathRule Id=\"ed97d0cb-15ff-430f-b82c-8d7832957725\" Name=\"(Règle par défaut) Tous les scripts\" Description=\"Permet aux membres du groupe Administrateurs local d’exécuter tous les scripts.\" UserOrGroupSid=\"S-1-5-32-544\" Action=\"Allow\"><Conditions><FilePathCondition Path=\"*\"/></Conditions></FilePathRule>

"

[cerede2000]

Ah bon ?!?

Et ça c'est quoi

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Exe\f09b3685-ca6a-4f8a-aeaa-1607ae7ab814]
"Value"="<FilePublisherRule Id=\"f09b3685-ca6a-4f8a-aeaa-1607ae7ab814\" Name=\"WORDPAD.EXE, dans MICROSOFT® WINDOWS® OPERATING SYSTEM, de O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\"
Description=\"No Wordpad\" UserOrGroupSid=\"S-1-1-0\" Action=\"Deny\"><Conditions><FilePublisherCondition PublisherName=\"O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\" ProductName=\"MICROSOFT® WINDOWS® OPERATING SYSTEM\" BinaryName=\"WORDPAD.EXE\"><BinaryVersionRange LowSection=\"*\" HighSection=\"*\"/></FilePublisherCondition></Conditions></FilePublisherRule>

Il me semble bien que c'est ta règle pour Wordpad !

[amazigh42]

Ok

C'est plus étrange, pourquoi WordPad se lance-t-il donc ??

[cerede2000]

Ce n'est donc pas, comme je l'ai dit au départ, un problème d'application de GPO
Satané AppLocker, j'en ai de toute façon de mauvais souvenir....

L'utilisateur avec lequel tu test est il administrateur local de la machine ?
Si oui essaye déjà avec un compte non admin.

[amazigh42]

Oui il est admin local.

J'ai basculé sur le compte Invité, WordPad se lance toujours ??

[cerede2000]

Après les règles par défaut autorise tous les programmes placé dans WINDIR et PROGRAMFILES alors c'est peut être un conflit entre les deux qui fait que ça ne fonctionne pas...
Faudrait essayer un EXE placé ailleurs genre C:\Temp

[amazigh42]

Concernant " tous les programmes placés dans WINDIR et PROGRAMFILES " l'autorisation avait été donnée par " Créer les règles par défaut " que j'avais appliquée sur la GPO.

J'ai créé une nouvelle règle d'interdiction pour le C:\Temp, le .exe se lance quand même.
Et ce, après le gpupdate /force sur le serveur et le client puis le redémarrage du client WIN7.

[cerede2000]

Quand je dis qu'AppLocker c'est.......

J'ai tester sur un PC, hors domaine, hors GPO, j'édite directement la stratégie de sécurité local et ça marche pas....

[cerede2000]

Ca y est j'ai la réponse......
https://technet.microsoft.com/fr-fr/.../dd759131.aspx

AppLocker est disponible dans toutes les éditions de Windows Server 2008 R2, ainsi que dans Windows 7 Édition Intégrale et Windows 7 Entreprise. Windows 7 Professionnel peut être utilisé pour créer des règles AppLocker. Toutefois, il est impossible d’appliquer des règles AppLocker à des ordinateurs exécutant Windows 7 Professionnel. Les organisations doivent utiliser AppLocker pour tous les ordinateurs qui le prennent en charge.

En effet dans la boite à j'avais tester on avais un compte VLSC avec des licences Enterprise !

PS : [HS]En tous cas tu devrais revoir le fonctionnement des GPO [/HS]

[amazigh42]

Bonjour,

Effectivement j'avais un Windows 7 Professionnel, avec Entreprise ça fonctionne

Merci encore pour ton aide