AppLocker et les applications virtuelles App-V
Le contrôle des applications avec AppLocker est de plus en plus répandu car simple de mise en œuvre et une gestion simplifiée (mise en place de GPO). Cet article n’est pas destiné à expliquer le fonctionnement d’AppLocker mais plutôt de faire un focus sur l’intégration d’AppLocker avec App-V.
La création de « white list » ou « black list » permettant de bloquer ou autoriser une série d’applications peut se faire facilement avec des applications physiques, scripts, dll mais quid des applications virtuelles ayant un fonctionnement particulier :
· Client App-V (sfttray.exe qui lance l’application virtuelle)
· Un process pour l’application virtuelle est alors créée pointant vers l’exécutable à lancer
L’exemple ci-dessous montre comment créer une règle AppLocker permettant de bloquer une application virtuelle App-V. Dans le cas de la mise en place d’une « white list » il suffit d’autoriser l’application plutôt que de la bloquer.
1. Vérifier que le service « Identité d’application » appelé « Application Identity » en anglais est bien démarré
![clip_image002[4]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/85/02/metablogapi/8304.clip_image0024_63E6B115.png "clip_image002[4]")
2. Vérifier que l’application virtuelle se lance bien avant la création de la règle AppLocker (dans notre cas l’application virtuelle est le client SCCM Client Center qui au passage est très utile pour les personnes travaillant sur SCCM)
![clip_image004[4]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/85/02/metablogapi/4075.clip_image0044_1374A9D5.png "clip_image004[4]")
3. Dans la console du client App-V, il faut récupérer le nom de l’application virtuelle en se dirigeant sur les propriétés de l’application.
![clip_image006[4]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/85/02/metablogapi/4130.clip_image0064_00648ECC.png "clip_image006[4]")
4. Il faut ensuite récupérer le chemin de l’exécutable de l’application virtuelle. Cela peut être fait lors de la création de l’application virtuelle mais le descriptif ci-dessous montre comment le récupérer par la suite. Il suffit d’ouvrir un CMD avec des privilèges administrateurs et de lancer la commande sfttray.exe /exe cmd <Nom de l’application App-V préalablement récupérée> puis de se diriger dans le dossier de l’application pour récupérer le chemin de l’application virtuelle.
![clip_image008[4]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/85/02/metablogapi/2844.clip_image0084_4F0492C8.png "clip_image008[4]")
5. L’étape d’après est de créer une GPO ou stratégie de sécurité locale permettant la création d’une règle AppLocker. Pour se faire, il faut se diriger vers « Paramètre de sécurité | Stratégie de contrôle d’application » puis cliquer bouton droit sur « AppLocker » et sélectionner « Propriétés ». Cette étape est importante pour activer AppLocker et le configurer. Dans notre cas, il faut sélectionner « Configuré » pour les règles de l’exécutable et choisir « appliquer les règles » .
![clip_image010[4]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/85/02/metablogapi/3021.clip_image0104_41FA8CEA.png "clip_image010[4]")
6. Cliquer ensuite bouton droit sur « Règles de l’exécutable » et créer une nouvelle règle. Il suffit ensuite de suivre le Wizard. Dans la partie autorisation sélectionner « Refuser » et choisissez les utilisateurs n’ayant pas le droit de lancer l’application.
![clip_image012[4]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/85/02/metablogapi/6560.clip_image0124_2313F33F.png "clip_image012[4]")
7. Sélectionner « Chemin d’accès » .
![clip_image014[4]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/85/02/metablogapi/7723.clip_image0144_69CD667C.png "clip_image014[4]")
8. Copier le chemin de l’exécutable de l’application virtuelle préalablement récupérée.
![clip_image016[3]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/85/02/metablogapi/8625.clip_image0163_7A18B868.png "clip_image016[3]")
9. Enfin, il faut terminer le Wizard.
10. Après avoir vérifié que la règle était bien appliquée sur le poste, il suffit de relancer l’application virtuelle. L’application virtuelle doit être bloquée et le message suivant doit apparaitre :
![clip_image018[3]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/85/02/metablogapi/2450.clip_image0183_1CACD117.png "clip_image018[3]")
Pour résumer, il suffit de créer une règle de type « exécutable » se basant sur le chemin de l’exécutable de l’application virtuelle (exemple : Q:\<Chemin virtuel>\Fichier.exe)