Bonjour
Une GPO est activée sur les postes interdisant l'installation d'objets avec l'extension .exe dans le répertoire %localappdata%\temp ; utilisez-vous ce dispositif et quelle solution à mettre en place pour permettre l'exécution des paquets wapt ?
D'avance merci, Bien cordialement. Laurent
Bonjour Laurent,
Une GPO est activée sur les postes interdisant l'installation d'objets avec l'extension .exe dans le répertoire %localappdata%\temp ; utilisez-vous ce dispositif et quelle solution à mettre en place pour permettre l'exécution des paquets wapt ?
Simon (blog fourmis du web) a déjà mis en place avec WAPT avec AppLocker mais pas dans la version stricte décrite dans le document SRP de la NSA [1] (probablement le meilleur document sur la whitelisting d'application disponible sur internet), et ça fonctionne. Par contre je n'ai personnellement de l'expérience qu'avec SRP, AppLocker n'étant dispo qu'avec la version Win7 Entreprise (et non version Win7 Pro), ce qui n'est pas à la portée de tous les parcs.
Par défaut, si l'on utilise le service WAPT, le paquet est dézippé dans le répertoire %TEMP% qui correspond à c:\windows\temp.
Par contre si on lance wapt-get en ligne de commande, ça va utiliser la variable %TEMP% de l'utilisateur actuel, donc %LOCALAPPDATA%\temp.
Vu la variable d'environnement mentionné dans votre post, l'installation a été du être faite en ligne de commande, et les règles AppLocker sont appliquées à "tout le monde", et n'exclue pas les utilisateurs membres du groupe local "administrateurs" de la règle.
Dans ce cas il faut passer par le WaptService qui fait l'installation en compte LocalSystem et n'est donc pas soumis aux restrictions. En ligne de commande, on peut forcer la commande l'installation en tant que service en rajoutant le flag -S [2]. Par exemple:
wapt-get install -S tis-firefox-esr
Petite question : est ce que vous avez installé wapt dans c:\program files (x86) ou bien vous avez whitelisté le répertoire c:\wapt?
Cordialement,
Denis Cardon
[1] https://www.iad.gov/iad/library/reports/application-whitelisting-using-srp.c... [2] https://www.wapt.fr/fr/doc/Utilisation/utilisation_cli/index.html?highlight=...
D'avance merci, Bien cordialement. Laurent