Contrôle du navigateur (Browser Control)

Dans cette section :

À propos du contrôle du navigateur (Browser Control)

Le nœud de contrôle du navigateur (Browser Control) vous permet d'effectuer les opérations suivantes :

  • Configuration de la redirection d'URL
  • Ajout d'installations Web
  • Importation d'extraits (snippet)
  • Ajouter des sites Web élevés

Les navigateurs suivants sont pris en charge : Internet Explorer (8, 9, 10 et 11), Edge (Chromium) et Google Chrome.

Lorsqu'une nouvelle configuration contenant des éléments Contrôle Navigateur (comme la redirection d'URL) est déployée sur les postes client, les utilisateurs doivent fermer et rouvrir leur navigateur pour que la configuration prenne effet.En fermant et en rouvrant les navigateurs, vous activez les extensions de navigateur. Si une configuration existante comportant un contrôle Navigateur est mise à jour pour y ajouter des éléments Contrôle Navigateur supplémentaires, la configuration mise à jour prend effet dès son déploiement.Les extensions de navigateur sont déjà activées, alors il est inutile de fermer et de rouvrir le navigateur.

Pour implémenter les fonctions de contrôle du navigateur (Browser Control) dans Internet Explorer, Application Control (Contrôle des applications) Application Control utilise un objet Processus d'aide de navigateur (Browser Helper Object - BHO), chargé au démarrage du navigateur. Pour les navigateurs Google Chrome et Edge (Chromium), Application Control (Contrôle des applications) charge l'extension Ivanti Cascade.

Redirection d'URL

Utilisez cette fonction pour rediriger automatiquement les utilisateurs lorsqu'ils tentent d'accéder à l'URL spécifiée. En définissant la liste des URL interdites, vous redirigez tous les utilisateurs qui tentent d'accéder à une URL de la liste vers une page d'avertissement par défaut ou vers une page Web personnalisée. Vous pouvez également choisir d'autoriser certaines URL. En combinant cela avec la redirection, vous disposez de davantage de flexibilité et de contrôle pour la création d'une liste blanche des sites Web.

Vous configurez la redirection d'URL dans la boîte de dialogue Ajouter une URL à rediriger, accessible via le ruban Contrôle Navigateur. La fonction Redirection d'URL est activée ou désactivée pour l'application sous Paramètres avancés, page accessible via le ruban Gérer.

Pour pouvoir configurer cette fonction pour Internet Explorer, vous devez d'abord activer des extensions de navigateur tierces via Options Internet, sur chacun de vos postes client.Vous pouvez également appliquer cette option via une stratégie de groupe.

Pour la redirection d'URL dans le navigateur Chrome, tous les postes client gérés doivent faire partie d'un domaine.

Dans les versions antérieures à Application Control (Contrôle des applications) 10.0, l'option Redirection d'URL était un paramètre global accessible via le ruban Gérer. Les configurations contenant des redirections d'URL qui ont été créées dans les versions 8.8 et 8.9 du produit peuvent être ouvertes dans la console et automatiquement mises à niveau vers la version 10.0. Les redirections d'URL sont converties en règles personnalisées contenant les éléments suivants :

  • Conditions correspondantes pour les types de connexion, les adresses IP et les numéros de port.
  • Éléments de contrôle du navigateur (Browser Control) pour les URL sensibles (répertoriées dans l'onglet Redirection d'URL).

Si vous ne mettez pas la configuration à niveau, l'agent version 10.n continue à la lire, mais la redirection d'URL et les règles personnalisées sont ignorées.Le reste de la configuration reste actif.

Ajout de la redirection d'URL à une règle

  1. Dans le volet de navigation Application Control (Contrôle des applications), sélectionnez le nœud Contrôle Navigateur correspondant à la règle à laquelle vous voulez ajouter la redirection d'URL.

  2. Dans le ruban Contrôle Navigateur, sélectionnez Ajouter un élément > Ajouter une URL.

    La boîte de dialogue Ajouter une URL à rediriger apparaît.

  3. Entrez une URL. Vous pouvez utiliser aussi bien des adresses IP que des URL au format texte.

    Astuce : Si vous utilisez une URL texte et que le serveur traite également les adresses IP, ajoutez à la fois l'URL texte et l'adresse IP de ce serveur.

  4. Sélectionnez l'action voulue pour l'URL : Rediriger ou Autoriser.
  5. Si vous choisissez Rediriger, vous devez sélectionner la réponse requise lorsqu'un utilisateur tente d'accéder à l'URL interdite :
    • Afficher la page d'avertissement par défaut lorsqu'une URL est redirigée - L'utilisateur est amené à la page « Accès refusé » par défaut.
    • Afficher une page personnalisée lorsqu'une URL est redirigée - Spécifiez un emplacement de rechange à afficher à la place de la page d'avertissement par défaut.Il peut s'agir par exemple d'un emplacement sur le réseau de votre entreprise, d'un fichier sur un disque, de votre intranet ou d'un autre sit Web.
  6. (Facultatif) Entrez une description pour référence future.
  7. Cliquez sur Ajouter.

La redirection est ajoutée à l'onglet Redirection d'URL de la zone de travail Contrôle Navigateur. Lorsque la configuration est déployée et que l'utilisateur tente d'accéder à la page Web spécifiée, la page de redirection s'affiche dans la même instance de navigateur. Si une URL autorisée a été configurée, le site Web s'ouvre comme prévu.

Contrôle de l'accès aux URL d'un domaine

Vous pouvez également utiliser la fonction Redirection d'URL pour contrôler les accès au sein d'un seul domaine. L'accès au domaine peut être interdit alors que l'accès à certains des sous-domaines est autorisé. Par exemple, vous pouvez refuser l'accès à www.entreprise.com tout en autorisant l'accès à www.entreprise.com/ressources.

Voir la vidéo associée

Configuration d'une liste blanche avec Redirection d'URL

Vous pouvez utiliser la fonction Redirection d'URL pour mettre en place une liste blanche afin de contrôler les accès Internet dans votre entreprise. En créant une redirection qui interdit l'accès à tous les sites Internet, vous pouvez ajouter des éléments pour autoriser l'accès aux sites Web qui doivent être disponibles pour votre personnel.

Voir la vidéo associée

  1. Créez un élément Redirection d'URL pour http* ou *. Cela empêche l'utilisateur d'accéder à l'ensemble d'Internet.

  2. Créez des redirections pour autoriser l'accès aux URL requises.

Lorsque vous déployez la configuration pour vos utilisateurs, ils ne peuvent accéder à aucun autre site Web que ceux configurés dans Redirection d'URL avec l'action Autoriser.

Listes blanches et cadres insérés (iFrames)

Si vous utilisez l'approche par liste blanche et que vous autorisez l'accès à un site qui utilise des cadres insérés (iFrames), vous devez configurer des éléments Redirection d'URL pour autoriser les URL de chaque cadre inséré. Si l'URL d'un cadre inséré (iFrame) est redirigée, l'URL principale du site Web l'est également, même si elle a été configurée pour être autorisée.

Par exemple, vous avez redirigé tous les sites Web avec http* et vous avez créé une autorisation d'URL pour que vos utilisateurs puissent accéder à http://www.site-Web.com. Ce siteWeb utilise un cadre inséré (iFrame) pour afficher http://www.cadre.com, qui n'a pas été autorisée.Les utilisateurs ne peuvent pas ouvrir http://www.site-Web.com parce que http://www.cadre.com est bloquée en raison de la redirection http*.

Recherche d'URL de cadre inséré (iFrame) avec l'analyseur de règles

Vous pouvez utiliser l'analyseur de règles Application Control (Contrôle des applications) pour trouver les URL des cadres insérés (iFrames).Vous pouvez ensuite autoriser ces URL dans Redirection d'URL pour que les sites Web parents soient disponibles pour les utilisateurs.

Vous devez être connecté avec un compte qui autorise l'accès en lecture-écriture au registre de tous les postes client gérés pour lequel vous voulez générer des journaux (pour l'utilisation d'Analyseur de règles) et l'accès en lecture-écriture au registre local de l'ordinateur où la console fonctionne.

  1. Dans la console Application Control, créez une configuration avec redirections d'URL pour effectuer les opérations suivantes :
    • Redirection de toutes les URL vers le site Web dont vous voulez trouver les cadres insérés (iFrames)

    • Autorisation de l'accès à ce site Web

  2. Déployez la configuration vers le poste client où vous créez la configuration.
  3. Sélectionnez le bouton de navigation Analyseur de règles.
  4. Cliquez sur Ajouter un poste client, puis sélectionnez Parcourir le groupe de déploiement ou Parcourir le domaine/groupe de travail.
  5. Sélectionnez le poste client que vous allez utiliser pour découvrir les URL de cadre inséré (iFrame).

  6. Cliquez sur Démarrer la journalisation.

  7. Accédez au site Web dont vous voulez trouver les cadres insérés (iFrames).

    L'accès au site est autorisé, mais l'URL du cadre inséré (iFrame) est interdite, si bien que l'utilisateur est coincé dans une boucle qui le redirige vers son point de départ.Au cours de ce processus, Analyseur de règles journalise les détails de tous les cadres insérés (iFrames) de redirection.

  8. Fermez votre navigateur et revenez à Analyseur de règles.

  9. Cliquez sur Arrêter la journalisation et entrez un nom de rapport.

    Les résultats de votre analyse s'affichent.

  10. Cliquez sur un lien dans la colonne Contrôle Navigateur pour afficher les demandes d'URL journalisées.

  11. Sélectionnez une URL pour afficher des détails supplémentaires. L'écran de détails vous permet de vérifier que la redirection a été effectuée à partir du site que vous avez autorisé.

  12. Copiez le domaine et utilisez-le pour créer une nouvelle autorisation de redirection d'URL.

Lorsque la configuration est déployée, les utilisateurs peuvent accéder au site parce que le cadre inséré (iFrame) est autorisé.

Ajout d'une installation Web

Un certain nombre d'installations Web exigent que l'utilisateur final dispose de droits d'administrateur.Par exemple, un contrôle ActiveX comme Adobe Flash Player ou un téléchargement Web comme le catalogue Microsoft Update.

La fonction Installation Web du contrôle de navigateur (Browser Control) permet l'élévation des privilèges vers le niveau Administrateur pour les personnes qui installent des contrôles ActiveX depuis un domaine spécifique.Vous pouvez créer une configuration de base où vous entrez uniquement le nom du domaine, ou bien créer une configuration avancée et spécifier le fichier CAB d'un élément, son ID de classe, et les versions minimale et maximale. Vous pouvez également préciser que seuls les contrôles signés provenant du domaine peuvent être installés.

Le téléchargement des fichiers .exe ou MSI n'est pas géré directement par le contrôle du navigateur (Browser Control), vous pouvez le contrôler avec Trusted Ownership (voir « Contrôles système »).
Cependant, vous pouvez configurer le contrôle du navigateur (Browser Control) pour empêcher l'installation du fichier .cab (il est généralement téléchargé dans un .exe ou un MSI, puis utilisé dans l'installation des logiciels Windows).

  1. Accédez au nœud Contrôle Navigateur sous la règle sélectionnée.

  2. Dans le ruban de contrôle du navigateur (Browser Control), sélectionnez Ajouter un élément > Ajouter une installation Web.

    La boîte de dialogue Ajouter une nouvelle installation Web s'ouvre.

  3. Entez un nom descriptif pour l'installation Web.
  4. Pour garantir que vos utilisateurs se connectent uniquement aux installations Web légitimes, sélectionnez Autoriser uniquement les contrôles signés.
  5. Entrez l'URL de site Web de l'installation. Par exemple, entrez adobe.com pour autoriser les installations depuis toutes les pages adobe.com.
  6. Cliquez sur Ajouter.

L'onglet Sites Web de la zone de travail de contrôle du navigateur (Browser Control) affiche le nom de la nouvelle installation Web.

Ajout d'une installation Web (Paramètres avancés)

  1. Accédez au nœud Contrôle Navigateur sous la règle sélectionnée.

  2. Dans le ruban de contrôle du navigateur (Browser Control), sélectionnez Ajouter un élément > Ajouter une installation Web.

    La boîte de dialogue Ajouter une nouvelle installation Web s'ouvre.

  3. Entez un nom descriptif pour l'installation Web.
  4. Pour autoriser uniquement les contrôles signés, cochez la case appropriée.

  5. Sélectionnez Utiliser les paramètres avancés.

    La section Paramètres avancés s'active.

  6. Entrez l'URL du programme d'installation, par exemple http://www.exemple.com/control.cab.
  7. Ajoutez des critères supplémentaires de validation, si nécessaire : ID de classe, Version maximale et Version maximale.
  8. Cliquez sur Ajouter.

L'onglet Sites Web de la zone de travail de contrôle du navigateur (Browser Control) affiche le nom de la nouvelle installation Web.

Dans le scénario courant, un utilisateur standard tente de télécharger et d'installer Adobe Flash Player. Cela nécessite des privilèges Administrateur.Au cours de la tentive, la boîte de dialogue Contrôle de compte d'utilisateur (UAC) s'affiche et demande à l'utilisateur d'entrer un mot de passe Administrateur. De nombreuses entreprises ne veulent pas donner aux utilisateurs des privilèges d'administration.

  1. Sélectionnez le nœud Contrôle Navigateur de la règle requise.

  2. Dans le ruban de contrôle du navigateur (Browser Control), sélectionnez Ajouter un élément > Ajouter une installation Web.

    La boîte de dialogue Ajouter une nouvelle installation Web s'ouvre.

  3. Entrez un nom pour l'installation Web dans le champ Nom. Par exemple, Adobe Flash.
  4. Entrez l'URL voulue dans le champ URL du site Web.Par exemple, adobe.com pour autoriser les installations depuis l'ensemble du site adobe.com.
  5. Vérifiez que l'option Autoriser uniquement les contrôles signés est sélectionnée.

  6. Cliquez sur Ajouter.

    L'onglet Sites Web de la zone de travail Contrôle Navigateur affiche le nom de la nouvelle installation Web.

  7. Vérifiez que la stratégie par défaut, Élévation intégrée, est sélectionnée dans la colonne Stratégie de l'onglet Sites Web.
  8. Enregistrez la configuration.Tous les téléchargements portant une signature et émanant du site Web indiqué sont autorisés.

En plus de la procédure ci-dessus, vous devez tenir compte d'autres éléments configurables.Par exemple, pour une installation ActiveX, vous avez besoin d'autoriser l'exécution du fichier ActiveX, ainsi que de tous les exécutables appelés par ce contrôle.Vous devez penser aux options Règles de processus, Fournisseurs de confiance, Certificats numériques, Éléments autorisés, Éléments élevés, etc.

Snippets (extraits)

Les snippets (extraits) permettent à Application Control (Contrôle des applications) d'importer et de fusionner des configurations partielles dans la configuration ouverte dans la console.

Cela s'avère particulièrement utile pour les installations Web car, en plus de la création de la section installation Web de la configuration, vous devez penser à un certain nombre d'autres éléments configurables.Il s'agit notamment des options Règles de processus, Éléments autorisés, Fournisseurs de confiance, Certificats numériques, Éléments élevés, etc.

Téléchargement des derniers snippets depuis le site de la communauté Ivanti

  1. Sélectionnez une règle.

  2. Dans le ruban Contrôle Navigateur, sélectionnez Importer un snippet.

    La boîte de dialogue Importer un snippet s'affiche.

  3. Cliquez sur le lien Communauté Ivanti dans la boîte de dialogue.

    Les snippets les plus récents apparaissent.

  4. Sélectionnez un snippet et enregistrez-le dans C:\Program Files\AppSense\Application Manager\Console\Snippets. Il s'agit de l'emplacement par défaut.

    Le snippet est désormais disponible dans la boîte de dialogue Importer un snippet.

  5. Sélectionnez le snippet et cliquez sur Ajouter.

  6. Pour consulter le contenu du snippet, cliquez sur le lien Voir les éléments qui vont être ajoutés à la configuration.

    Un rapport de configuration s'affiche.

  7. Cliquez sur Continuer.

Le snippet est importé et vous pouvez voir les éléments dans les différents nœuds de la console.

Sites Web élevés

Cette fonction est prise en charge uniquement pour les versions 32 bits d'Internet Explorer (8, 9, 10 et 11) et de Chrome.

La fonction Site Web élevé vous permet de définir une URL spécifique, qui s'ouvre dans une instance sécurisée distincte d'Internet Explorer, avec des privilèges plus élevés.En cas d'élévation, l'utilisateur reçoit des privilèges d'administration qui lui permettent d'installer et d'exécuter des composants tels que des logiciels supplémentaires ou des contrôles ActiveX propres au site.

Pour pouvoir configurer cette fonction, vous devez d'abord activer des extensions de navigateur tierces via Options Internet, sur chacun de vos postes client. Vous pouvez aussi utiliser une stratégie de groupe (objet GPO).

Il est recommandé d'utiliser cette fonction uniquement pour les sites Web internes qui nécessite l'élévation des privilèges pour exécuter du contenu, comme un outil de diagnostic ou un portail avec modération contenant des logiciels approuvés par l'administrateur.

Vous ne devez pas élever les privilèges des sites Web qui pourraient permettre à l'utilisateur d'obtenir des logiciels susceptibles de poser des problèmes de sécurité pour votre réseau (popups, barres de recherche ou liens externes, par exemple).

  1. Accédez au nœud Contrôle Navigateur sous le groupe sélectionné.
  2. Sélectionnez le ruban de contrôle du navigateur (Browser Control).

  3. Cliquez sur Ajouter un élément et sélectionnez Ajouter un site Web élevé.

    La boîte de dialogue Ajouter un nouveau site Web élevé s'affiche.

  4. Entrez une description explicite pour référence.

  5. Entrez l'adresse Web voulue dans le champ URL du site Web.

    Vous pouvez utiliser des expressions régulières pour définir les sites Web.Pour utiliser cette fonction, sélectionnez Utiliser une expression régulière et entrez les critères d'URL de site Web. Par exemple, https://.+\.com$ élève les privilèges et redirige les sites Web sécurisés portant l'extension .com, comme https://www.cisco.com. Par contre, il ne le fait pas pour http://www.cisco.com.

    Pour en savoir plus, reportez-vous à « Caractères génériques et expressions régulières ».

  6. Cliquez sur Ajouter.
  7. Enregistrez le fichier AAMP.

Rubriques connexes

Types de règle

Éléments de règle

Éléments autorisés

Éléments refusés

Fournisseurs de confiance

Règles de privilège utilisateur

Paramètres avancés