Tutoriel 📝 Corriger les erreurs liées aux stratégies de restriction logicielle (SRL)

[Sylvain*]

Corriger les erreurs liées aux stratégies de restriction logicielle (SRL)

Introduction

Les stratégies de restriction logicielle (SRL) permettent de contrôler l'exécution des applications sur Windows 10/11. Elles peuvent cependant causer des problèmes lorsqu’elles bloquent des programmes légitimes ou ne s’appliquent pas correctement, empêchant le bon fonctionnement de certains outils. Ce guide explique comment identifier, corriger ou adapter ces stratégies pour éviter les blocages injustifiés.

---

Prérequis

• Connaissance de base des stratégies de groupe (GPO)

• Savoir utiliser CMD, PowerShell, l’Éditeur de stratégie de sécurité locale

• Accès administrateur local ou domaine

---

Différentes Approches

• Approche #1 : Diagnostiquer les règles appliquées via CMD

• Approche #2 : Modifier ou désactiver les SRL avec PowerShell

• Approche #3 : Réviser les règles dans la console secpol.msc

---

Niveau de difficulté

• Approche #1 : Facile

• Approche #2 : Moyen

• Approche #3 : Moyen à avancé

---

Les Avantages

• Approche #1 : Permet d’identifier les blocages rapidement

• Approche #2 : Possibilité d’automatiser la désactivation des règles

• Approche #3 : Contrôle fin et structuré des restrictions

---

Les Inconvénients

• Approche #1 : N’apporte pas de solution directe

• Approche #2 : Risque de désactivation totale des protections

• Approche #3 : Risque d’erreur dans le ciblage des règles

---

Approche #1

Ouvrir CMD en tant qu’administrateur

Lancer une simulation des règles de restriction

gpresult /h C:\rapport_srl.html

Ouvrir le rapport dans un navigateur pour vérifier les stratégies SRL appliquées

Identifier la règle qui bloque l’application (chemin, éditeur, hash, zone)

---

Approche #2

Ouvrir PowerShell en tant qu’administrateur

Supprimer toutes les stratégies SRL (utiliser avec prudence)

Remove-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" -Recurse

Forcer l’actualisation des stratégies

gpupdate /force

Vérifier que l’application est désormais accessible

---

Approche #3

Appuyer sur Win + R puis entrer secpol.msc

Aller dans Stratégies de restriction logicielle

Examiner les règles dans les catégories :
• Chemin d'accès
• Certificats
• Hachage
• Zone Internet

Modifier ou supprimer les règles bloquant les exécutables légitimes

Ajouter une nouvelle règle d’exception par chemin ou éditeur si nécessaire

Redémarrer le poste ou lancer

gpupdate /force

---

Astuce

Utilisez une stratégie de sécurité locale test sur une machine non critique avant déploiement en production

---

Mise en garde

Les SRL sont souvent utilisées pour renforcer la sécurité. Désactivez-les uniquement si vous avez une politique alternative en place (AppLocker, Defender for Endpoint, etc.)

---

Conseil

Créez un journal des règles SRL dans l’Observateur d’événements > Microsoft > Windows > CodeIntegrity > Operational pour surveiller les blocages

---

Solution alternative

Voici deux outils pour gérer ou remplacer efficacement les SRL :

• FortiClient Application Control – Gestion avancée des applications

• GFI EndPointSecurity – Contrôle des exécutions et périphériques USB

---

Références

• Support Microsoft

• Microsoft Learn

• Recherche Google

• Recherche Github

---

Conclusion

Les stratégies de restriction logicielle sont puissantes mais doivent être utilisées avec précision. En cas de blocage injustifié ou de non-application, leur diagnostic via CMD, PowerShell ou la console secpol.msc permet de les corriger rapidement. Pour des environnements complexes, des solutions alternatives comme FortiClient ou GFI EndPointSecurity offrent un contrôle granulaire et centralisé.