Ajout et test d'une règle qui bloque une DLL

Vous pouvez vouloir empêcher l'utilisateur d'ouvrir une application spécifique. Une manière d'empêcher un utilisateur d'ouvrir une application est de bloquer une DLL utilisée par l'application pour son exécution. Pour bloquer la DLL, vous pouvez créer une règle qui bloque le chargement de la DLL. Lorsque l'utilisateur tente d'ouvrir l'application, il ne peut pas.
Par exemple, le fichier Msvcrt.dll contient le code de programme utilisé pour exécuter diverses applications Windows telles que Microsoft WordPad. Si vous ajoutez une règle qui bloque Msvcrt.dll sur l'ordinateur client, vous ne pouvez pas ouvrir Microsoft WordPad.
Certaines applications qui sont enregistrées pour être "conscientes de la sécurité" peuvent interpréter l'injection DLL comme un acte malveillant. Prenez des contre-mesures pour bloquer l'injection ou supprimez la DLL.
  1. Pour ajouter une règle permettant de bloquer une DLL, ouvrez une politique de contrôle des applications, puis cliquez sur
    Ajouter
    dans le volet
    Contrôle des applications
    .
  2. Dans la boîte de dialogue
    Ensemble de règles de contrôle des applications
    , sous la liste
    Règles
    , cliquez sur
    Ajouter > Ajouter une règle
    .
  3. Dans l'onglet
    Propriétés
    , dans la zone de texte
    Nom de la règle
    , saisissez
    Empêcher l'utilisateur d'ouvrir Microsoft WordPad
    .
  4. Sur la droite de
    Appliquer cette règle aux processus suivants
    , cliquez sur
    Ajouter
    .
  5. Dans la boîte de dialogue
    Ajouter une définition de processus
    , dans la zone de texte de la zone de groupe
    Nom de processus à mettre en correspondance
    , saisissez
    C:\Program Files\Windows NT\Accessories\wordpad.exe
    , puis cliquez sur
    OK
    .
  6. Dans la boîte de dialogue
    Ensemble de règles de contrôle des applications
    , sous la liste
    Règles
    , cliquez sur
    Ajouter > Ajouter une condition > Tentatives de chargement de DLL
    .
  7. Dans l'onglet
    Propriétés
    , dans la zone de texte
    Description
    , saisissez
    dll blocked
    .
  8. Sur la droite de
    Appliquer aux DLL suivantes
    , cliquez sur
    Ajouter
    .
  9. Dans la boîte de dialogue
    Ajouter une définition de DLL
    , dans la zone de texte de la zone de groupe
    Nom de DLL à mettre en correspondance
    , saisissez
    MSVCRT.dll
    , puis cliquez sur
    OK
    .
  10. Dans la boîte de dialogue
    Ensemble de règles de contrôle des applications
    , dans l'onglet
    Actions
    , cliquez sur
    Bloquer l'accès
    ,
    Activer la journalisation
    et
    Informer l'utilisateur
    .
  11. Sous
    Informer l'utilisateur
    , saisissez
    Should not be able to load WordPad
    .
  12. Cliquez sur
    OK
    deux fois et assignez la politique au groupe d'ordinateurs clients.
    Testez la règle.
  13. Pour tester une règle bloquant une DLL, essayez d'ouvrir Microsoft WordPad sur l'ordinateur client.