Le Blog Amazon Web Services

Utiliser Microsoft AppLocker pour gérer l’expérience applicative sur Amazon AppStream 2.0

Nos clients utilisent Amazon AppStream 2.0 avec un logiciel de contrôle des applications et des politiques de contrôle pour gérer le streaming des applications de bureau à leurs utilisateurs finaux. Les clients utilisent ce logiciel de contrôle des applications et ces politiques de contrôle pour gérer le presse-papiers, le transfert de fichiers, les autorisations d’impression locale et les groupes de sécurité VPC pour fournir le bon niveau d’intégration, contrôler l’accès aux ressources et gérer l’expérience utilisateur. Par défaut, Amazon AppStream 2.0 permet aux utilisateurs ou aux applications de lancer n’importe quel exécutable sur l’instance, au-delà de ce qui est spécifié dans le catalogue d’applications d’images. Ceci est utile lorsque votre application dépend d’une autre application dans le cadre d’un workflow, mais que vous ne souhaitez pas que l’utilisateur puisse démarrer directement cette application dépendante.

Par exemple, votre application démarre le navigateur pour fournir des instructions d’aide à partir du site web du fournisseur de l’application, mais vous ne voulez pas que l’utilisateur puisse démarrer le navigateur directement. Dans certaines situations, vous pouvez vouloir contrôler quelles applications peuvent être lancées sur les instances de streaming. Microsoft AppLocker est un logiciel de contrôle d’application qui utilise des politiques de contrôle pour activer ou désactiver explicitement les applications qu’un utilisateur peut exécuter. Dans cet article, nous illustrons comment mettre en œuvre AppLocker dans votre image.

Conditions préalables

  • Un générateur d’images Amazon AppStream 2.0 en cours d’exécution,
  • Une stack Amazon AppStream 2.0 associée à une flotte en état d’arrêt.

Vous pouvez en savoir plus sur la mise en place d’Amazon AppStream 2.0 via son guide de démarrage.

Mise en œuvre

Configurez vos politiques de contrôle des applications AppLocker

Au cours de cette étape, nous nous connectons au générateur d’images en cours d’exécution, nous lançons l’utilitaire de politique de sécurité locale et nous configurons les politiques de contrôle des applications de Microsoft AppLocker. Les politiques de contrôle des applications de Microsoft AppLocker autoriseront les agents Amazon AppStream 2.0 et nous utiliserons Mozilla FireFox comme application de démonstration.

Remarque : si vous utilisez Active Directory pour votre générateur d’images et votre flotte, vous pouvez configurer les politiques de contrôle des applications Microsoft AppLocker via une politique de groupe. Pour ce faire, créez une nouvelle GPO (Group Policy Object, Stratégie de Groupe) ou modifiez une GPO existante.

1. Connectez-vous à votre générateur d’images en cours d’exécution en tant qu’utilisateur administrateur.

2. Une fois connecté, ouvrez le menu Démarrer et entrez dans secpol.msc.

3. Développez ce qui suit : Stratégies de contrôle de l’application > AppLocker.

Stratégie de sécurité locale

4. Choisissez Configurer la mise en application des règles.

5. Dans la boîte de dialogue Propriétés d’AppLocker, cochez la case située à côté de Configuré dans la section Règles de l’exécutable, puis choisissez OK.

Remarque : Les règles ne seront pas appliquées tant que le service Windows AppLocker n’aura pas été lancé dans une étape ultérieure.

Propriétés d'AppLocker

6. Choisissez Règles de l’exécutable.

Stratégies de contrôle de l'application

7. Dans le panneau de droite, cliquez avec le bouton droit de la souris dans l’espace blanc et choisissez Créer des règles par défaut pour créer les règles par défaut recommandées par Microsoft.

Remarque : Les règles par défaut recommandées par Microsoft autorisent automatiquement tout ce qui se trouve dans les répertoires Windows et Program Files. Vous devez les réduire en fonction des besoins de votre utilisateur.

8. Sélectionnez la règle portant le nom (Règle par défaut) Tous les fichiers situés dans le répertoire Program Files, puis sélectionnez Action dans la barre d’outils, et choisissez Supprimer. Cette règle est trop large et sera remplacée dans les étapes ultérieures par les dossiers des logiciels que l’utilisateur peut exécuter.

Règles par défaut recommandées par Microsoft

9. Sélectionnez Action, Créer une nouvelle règle.

10. Si la boîte de dialogue Avant de commencer apparaît, choisissez Suivant, sinon passez cette étape.

11. Les valeurs par défaut de la boîte de dialogue Permissions sont suffisantes. Choisissez Suivant pour continuer.

12. Dans la boîte de dialogue Conditions, sélectionnez Parcourir, puis cliquez sur Suivant.

13. Dans la boîte de dialogue Parcourir, sélectionnez Parcourir les dossiers, puis naviguez jusqu’au répertoire Mozilla Firefox situé dans C:\Program Files (x86)\Mozilla Firefox. Une fois sélectionné, choisissez OK. Ensuite, choisissez Créer.

Créer règles de l'exécutable

14. Amazon AppStream 2.0 requiert des règles d’autorisation spécifiques pour permettre un fonctionnement réussi. Répétez les 6 dernières étapes pour créer les règles comme indiqué dans la section Accès aux applications de la rubrique Protection des données du Guide d’Administration d’Amazon AppStream 2.0.

Remarque : Pour empêcher les utilisateurs de lancer l’invite de commande de Windows ou Windows PowerShell, modifiez la règle (Règle par défaut) Tous les fichiers situés dans le dossier Windows pour exclure l’exécutable de l’invite de commande et les répertoires PowerShell. L’utilisation d’une règle de refus peut empêcher le provisionnement des générateurs d’images et des instances de streaming des flottes.

Configurer Microsoft AppLocker pour qu’il démarre automatiquement

Dans cette étape, nous activons Microsoft AppLocker sur le générateur d’images, et le configurons pour qu’il démarre automatiquement. Par défaut, le service Windows qui gère AppLocker, Application Identity, n’est pas en cours d’exécution et est configuré pour ne démarrer que manuellement. Lorsque le service Application Identity n’est pas en cours d’exécution, les règles ne sont pas en vigueur. Vous pouvez utiliser la stratégie de groupe pour démarrer le service sur les instances jointes du domaine Active Directory, ou configurer le service pour qu’il démarre automatiquement en utilisant une invite de commande avec des privilèges élevés. Vous pouvez en savoir plus en lisant Configurer le service Identité de l’Application sur l’aperçu de Microsoft AppLocker.

1. Ouvrez le menu Démarrer de Windows, et cliquez avec le bouton droit de la souris sur l’invite de commande, puis choisissez Exécuter en tant qu’administrateur.

2. Dans l’invite de commande élevée, exécutez la commande suivante pour démarrer le service Windows Application Identity : net start appidsvc

3. Dans l’invite de commande élevée, exécutez la commande suivante : sc.exe config appidsvc start=auto

Le service Windows Application Identity devrait maintenant être en cours d’exécution et configuré pour démarrer automatiquement sur les instances de génération d’images et de streaming de la flotte. Si vous passez à un utilisateur non-administrateur, vous devriez voir que les règles prennent effet, permettant uniquement l’exécution des applications qui ont été spécifiées par les règles Microsoft AppLocker.

Créer l’image Amazon AppStream 2.0

Dans cette étape, nous créons l’image Amazon AppStream 2.0 qui permet d’exécuter Mozilla Firefox, nous l’appliquons à une flotte, puis nous la testons en utilisant une URL de streaming.

1. Depuis le bureau du générateur d’images, en tant qu’utilisateur administrateur, lancez l’Assistant Image.

2. Sélectionnez Ajouter une application, puis spécifiez l’application que l’utilisateur doit pouvoir lancer à partir du catalogue d’applications. Pour notre image, utilisez Mozilla Firefox.

Remarque : Les seules applications qui doivent être spécifiées sont celles que l’utilisateur doit lancer directement. Si l’application lance une autre application, l’application supplémentaire n’a pas besoin d’être spécifiée dans l’Assistant Image. L’application doit être incluse dans une règle d’autorisation AppLocker.

3. Répétez l’étape 2 pour chaque application supplémentaire que l’utilisateur doit pouvoir lancer à partir du catalogue d’applications Amazon AppStream 2.0.

4. Pour les tests, répétez l’étape 2 avec une application qui n’est pas autorisée par les règles de l’AppLocker. Par exemple, vous pouvez spécifier Microsoft Internet Explorer.

5. Continuez à créer l’image Amazon AppStream 2.0 comme vous le feriez normalement.

Mettez à jour une flotte arrêtée avec l’image Amazon AppStream 2.0 nouvellement créée et testez avec une URL de streaming

Dans cette étape, nous mettons à jour la flotte arrêtée avec l’image Amazon AppStream 2.0 nouvellement créée, nous démarrons la flotte, puis nous la diffusons en streaming en utilisant une URL de streaming.

1. Dans le volet de navigation de la console de gestion d’AppStream 2.0, sélectionnez Flottes.

2. Sélectionnez la flotte arrêtée sur laquelle vous voulez déployer l’image nouvellement créée, puis choisissez Actions, Modifier.

3. Sélectionnez l’image nouvellement créée dans le menu déroulant Nom, puis choisissez Mettre à jour la flotte.

4. Sélectionnez Actions, puis choisissez Démarrer.

5. Une fois que la flotte a atteint l’état de marche, passez à l’onglet Piles

6. Sélectionnez la pile associée à la flotte mise à jour précédemment, puis choisissez Actions, Créer une URL de streaming.

7. Entrez un nom d’utilisateur, puis choisissez Obtenir l’URL.

8. Choisissez Copier le lien pour copier l’URL de streaming dans votre presse-papiers.

9. Dans un nouvel onglet, ou à l’aide d’une fenêtre de navigation privée, accédez à l’URL.

10. Essayez de lancer l’application qui n’est pas autorisée par la politique AppLocker. Vous devriez recevoir un message d’erreur indiquant que l’application est bloquée par l’administrateur.

Suppression des ressources AWS

Dans cet article, nous avons déployé des ressources dans un compte AWS qui peut entraîner des frais. Pour nettoyer ces ressources, suivez les étapes suivantes :

  • Arrêtez et supprimez le générateur d’images utilisé pour créer l’image;
  • Arrêtez et supprimez la flotte utilisée pour tester l’image créée;
  • Supprimez l’image créée.

Conclusion

Dans cet article, nous avons utilisé Microsoft AppLocker pour créer une liste d’applications autorisées que l’utilisateur peut exécuter sur l’instance Amazon AppStream 2.0. L’utilisation de Microsoft AppLocker parallèlement au presse-papiers, au transfert de fichiers, aux autorisations d’impression locale et aux groupes de sécurité VPC vous permet de gérer étroitement l’expérience des applications de vos utilisateurs, en leur fournissant exactement l’accès et les ressources dont ils ont besoin.

Article original contribué par Murali Rathinasamy et adapté en français par Jérôme Gras, Solutions Architect dans les équipes AWS France.