Pare-feu (Firewall) Windows 7 et les applications virtuelles App-V

  • Article

Comme pour la création de règles AppLocker pour des applications virtuelles (article précédent ici), la création de règles pour le pare-feu afin d’autoriser ou interdire les flux entrants et/ou sortant d’une application virtuelle peut se produire. Le fonctionnement est identique à AppLocker, c’est-à-dire qu’il faut créer une règle se basant sur « un programme » et dont le chemin est le chemin de l’exécutable de l’application virtuelle.

L’exemple ci-dessous montre comment créer une règle de pare-feu permettant d’interdire les flux entrant et/ou sortant d’une application virtuelle App-V. Dans le cas de la mise en place d’une « white list » il suffit de créer une règle autorisant les flux entrant et/ou sortant de l’application.

1. Vérifier que l’application virtuelle se lance bien avant la création de la règle AppLocker (là encore l’exemple se base sur l’application virtuelle suivante : client SCCM Center)

clip_image002

2. Dans la console du client App-V, il faut récupérer le nom de l’application virtuelle en se dirigeant sur les propriétés de l’application.

clip_image004

3. Il faut ensuite récupérer le chemin de l’exécutable de l’application virtuelle. Cela peut être fait lors de la création de l’application virtuelle mais le descriptif ci-dessous montre comment le récupérer par la suite. Il suffit d’ouvrir un CMD avec des privilèges administrateurs et de lancer la commande sfttray.exe /exe cmd <Nom de l’application App-V préalablement récupérée> puis de se diriger dans le dossier de l’application pour récupérer le chemin de l’application virtuelle.

clip_image006

4. L’étape d’après est de créer une GPO ou stratégie de sécurité locale voir directement une règle dans les paramètres avancés du pare-feu. Créer une nouvelle règle et sélectionner « Programme » .

clip_image008

5. Copier le chemin de l’exécutable de l’application virtuelle préalablement récupérée.

clip_image010

6. Sélectionner « Bloquer la connexion » .

clip_image012

7. Enfin, il faut terminer le Wizard.

8. Après avoir vérifié que la règle était bien appliquée sur le poste, il suffit de relancer l’application virtuelle. Une fois l’application virtuelle lancée, il suffit de faire le test suivant : essayer de se connecter sur une machine distante ayant le client SCCM. L’accès doit être refusé.

clip_image014

Pour résumer, il suffit de créer une règle de type « Programme » se basant sur le chemin de l’exécutable de l’application virtuelle (exemple : Q:\<Chemin virtuel>\Fichier.exe)