Gestion des conditions
Dans cette section :
- À propos des conditions
- Création d'une condition
- Réutilisation des conditions
- Variables de condition
- Validation des champs
À propos des conditions
Vous utilisez des conditions dans les règles personnalisées pour appliquer des contrôles de sécurité basés sur différents facteurs.Vous pouvez définir des conditions sur la base des éléments suivants :
- Ordinateur
- Scripté
- Appartenance à l'annuaire
- Environnement
- Fichiers et dossiers
- Registre
- Session et client
- Utilisateur
Vous pouvez également créer des conditions scriptées personnalisées avec VBScript ou JScript, afin de gérer les scénarios qui ne sont pas fournis en standard par la console Application Control.
Les contrôles de sécurité définis dans les éléments de règle comme Éléments autorisés et Gestion des privilèges sont appliqués si les critères de la condition sont true (vrai) ou false (faux). Vous pouvez également utiliser des expressions régulières et des plages pour créer des conditions avancées qui recherchent plusieurs éléments.
Dans les conditions prenant en charge les expressions régulières, il est possible d'utiliser des expressions régulières simples. Vous pouvez par exemple entrer [abc] pour trouver tous les éléments incluant l'un des caractères entre crochets.Vous pouvez aussi utiliser des requêtes plus complexes. Par exemple, ^[a-f]+ recherche tous les noms d'utilisateur qui commencent par une lettre comprise entre a et f.
Pour en savoir plus sur les caractères génériques, reportez-vous à « Caractères génériques et expressions régulières ».
Lorsque vous créez une règle personnalisée avec des conditions, n'oubliez pas que le logiciel Application Control (Contrôle des applications) impose un délai maximal de 10 secondes pour l'évaluation de toutes les conditions d'une règle.Si les conditions ne sont pas toutes évaluées au cours de ces 10 secondes, la règle personnalisée n'est pas appliquée.C'est particulièrement important pour la création de conditions scriptées. En effet, un script dont l'exécution prend plus de 10 secondes provoque la temporisation de l'évaluation.
Pour afficher les conditions d'une règle personnalisée, sélectionnez le nœud d'une règle personnalisée spécifique dans le volet de navigation.La zone de travail affiche le niveau de sécurité de la règle et, au-dessous, la liste des conditions de la règle. Elle indique aussi si la règle est activée.
Au sommet de la liste figure le menu déroulant Conditions, qui permet de créer de nouvelles conditions.En regard de ce menu figurent les options suivantes, qui permettent de gérer les conditions :
- Déplacer vers la gauche
- Déplacer vers la droite
- Descendre
- Monter
- Modifier
- Supprimer
Utilisez les flèches de déplacement pour réorganiser les conditions dans la liste.Vous pouvez remonter ou descendre des conditions dans la liste, ou les décaler vers la gauche ou la droite pour les marquer comme enfants ou parents d'autres conditions.La position d'une condition dans la hiérarchie de la liste détermine son mode d'application.Les conditions situées au même niveau sont évaluées simultanément (condition OR).Une condition qui est l'enfant d'une autre condition est évaluée seulement une fois que la condition parent a été exécutée avec succès (condition AND).Dans l'exemple suivant, l'utilisateur doit être administrateur OU membre du groupe d'utilisateurs Finance ET utiliser un ordinateur portable pour que les éléments de règle personnalisée s'appliquent :
Pour les conditions qui lancent une requête dans l'annuaire Active Directory, l'administrateur Application Control (Contrôle des applications) doit être membre du domaine cible, ou disposer de permissions suffisantes pour accéder au domaine et y émettre des requêtes.
Si les conditions font partie d'une configuration active, elles sont incluses dans le rapport lorsque vous générez un rapport complet avec Outil de profil de configuration.Le rapport répertorie la condition pertinente sous chaque règle personnalisée, avec le même texte de condition que dans la zone de travail Règle personnalisée :
Création d'une condition
Cette section s'applique uniquement à la création de conditions Appartenance à l'annuaire, Utilisateur, Ordinateur et Session et client, car les boîtes de dialogue de ces conditions utilisent le même format.
- Sélectionnez le nœud d'une règle personnalisée.
-
Dans la zone de travail de la règle, ouvrez le menu déroulant Conditions et sélectionnez la condition à appliquer. Par exemple, Conditions > Utilisateur > Groupe d'utilisateurs.
Dans la boîte de dialogue de condition, l'onglet Condition propre au type de condition choisi s'affiche par défaut.Cet onglet vous permet de définir les paramètres à l'aide d'un groupe commun d'options et de champs.
Pour en savoir plus, reportez-vous à «Variables de condition ».
- Définissez la condition à l'aide des champs et cases à cocher disponibles.
- Sélectionnez l'onglet Général.
- Entrez une description et toutes les notes facultatives de votre choix.La description est utilisée comme nom d'affichage pour les conditions.Si ce champ reste vide, le nom d'affichage est automatiquement défini à partir de la condition configurée.
- Cliquez sur OK pour enregistrer la condition.
L'agent Application Control (Contrôle des applications) utilise la condition pour trouver une correspondance avec les mêmes critères pour un utilisateur connecté.Si une correspondance est trouvée, la règle et les éléments de règles rattachés à la condition sont appliqués.
Conditions reposant sur Active Directory pour les périphériques des domaines enfant
Les conditions de client reposant sur Active Directory (AD) convertissent le nom NetBIOS du client, fourni par le serveur de terminal Windows Terminal Server (ou équivalent Citrix), en nom FQDN, utilisé pour les requêtes AD. Il est impossible de résoudre le nom FDQN si le serveur de terminal se trouve dans le domaine parent et tente de résoudre le FQDN d'un périphérique connecté dans un domaine enfant. Cela impacte les règles de périphérique et règles personnalisées avec conditions reposant sur le client Active Directory, appliquées aux serveurs de terminal et VDI d'un domaine racine.
Le serveur de terminal doit être configuré avec le suffixe DNS de tous les domaines enfant. La liste de recherche doit être configurée sur tous les serveurs de terminal qui doivent résoudre les noms pour la connexion dans des domaines enfant.
Par exemple, pour le parent domain.local, vous devez configurer les domaines enfant childa.domain.local et childb.domain.local sur le serveur de terminal afin que les conditions basées sur AD soient correctement évaluées.
Pour en savoir plus sur la configuration de listes de recherche de suffixe de domaine, reportez-vous à : https://support.microsoft.com/en-gb/kb/275553.
Réutilisation des conditions
Vous pouvez réutiliser les conditions déjà créées en les copiant, puis en les copiant d'une règle personnalisée vers une autre.
Vous pouvez couper, copier et coller des conditions entières à l'aide des options du ruban Modifier.
Variables de condition
Chaque type de condition peut être spécifié à l'aide variantes des champs, listes déroulantes et cases à cocher ci-après :
- Égal à - Le système compare le contenu du champ Correspondance pour cibler les utilisateurs ou les ordinateurs qui répondent à ces critères.Entrez les critères dans le champ Correspondance ou utilisez le bouton portant des points de suspension (...) pour rechercher ou sélectionner les éléments voulus.
- Différent - Cible tous les utilisateurs ou ordinateurs qui ne remplissent pas les critères du champ Correspondance.Entrez les critères dans le champ Correspondance, ou utilisez le bouton portant des points de suspension pour rechercher ou sélectionner les éléments voulus.
- Requête - Cible tous les utilisateurs ou ordinateurs qui correspondent aux critères entrés dans le champ Requête.L'utilisation de caractères génériques dans la requête permet d'établir une grande variété de correspondances, par exemple :
- *Windows - Cible les utilisateurs ou ordinateurs dont le nom finit par le texte « Windows ».
- Windows* - Cible les utilisateurs ou ordinateurs dont le nom commence par le texte « Windows ».
- *Windows* - Cible les utilisateurs ou ordinateurs dont le nom contient le texte « Windows ».
- Expression régulière - Utilisez des expressions régulières pour spécifier des requêtes avancées pour trouver des utilisateurs ou des ordinateurs.
- Entre - Utilisé pour les conditions où il est possible de définir une plage de valeurs.Par exemple, vous pouvez créer une condition qui s'appliquera à la plage d'adresses IP sélectionnée.
- Évaluer une fois par session - Lorsque vous sélectionnez cette option, la condition est évaluée et le résultat est mis en cache.Si la condition est de nouveau exécutée, le résultat est récupéré dans le cache au lieu que le système évalue à nouveau la condition.
Validation des champs
Le tableau suivant répertorie les chaînes acceptables dans les champs des différentes conditions.
| Condition | Champ | Chaîne admise | Exemple |
|---|---|---|---|
| Groupe d'utilisateurs | Correspondance | domain\group | ivanti/sales recherche le groupe « sales » dans le domaine Ivanti. |
| LDAP | CN=sales recherche le groupe « sales » dans le domaine ivanti.com. | ||
| Requête | domain\gro* | ivanti\sal* recherche les noms de groupe commençant par « sal » dans le domaine Ivanti. | |
| domain\*gro | ivanti\*les recherche les noms de groupe finissant par « les » dans le domaine Ivanti. | ||
| domain\*gro* | ivanti\*ale* recherche les noms de groupe contenant « ale » dans le domaine Ivanti. | ||
| Nom d'utilisateur | Correspondance | domain\user | ivanti\smithj recherche le nom d'utilisateur « smithj » dans le domaine Ivanti. |
| Requête | domain\use* | ivanti\smit* recherche les noms de groupe commençant par « smit » dans le domaine Ivanti. | |
| domain\*use | ivanti\*ith recherche les noms de groupe finissant par « ith » dans le domaine Ivanti. | ||
| domain\*use* | ivanti\*ith* recherche les noms de groupe contenant « ith » dans le domaine Ivanti. | ||
| Groupe d'ordinateurs | Correspondance | domain\group | ivanti/sales recherche le groupe « sales » dans le domaine Ivanti. |
| LDAP | CN=sales recherche le groupe « sales » dans le domaine ivanti.com. | ||
| Requête | domain\gro* | ivanti\sal* recherche les noms de groupe commençant par « sal » dans le domaine Ivanti. | |
| domain\*gro | ivanti\*les recherche les noms de groupe finissant par « les » dans le domaine Ivanti. | ||
| domain\*gro* | ivanti\*ale* recherche les noms de groupe contenant « ale » dans le domaine Ivanti. | ||
| Nom d'ordinateur | Correspondance | computer | SalesDesk01 recherche le nom d'ordinateur « SalesDesk01 ». |
| Requête | comp* | SalesDesk* recherche tous les noms d'ordinateur commençant par « SalesDesk ». | |
| *comp | *Desk01 recherche tous les noms d'ordinateur finissant par « Desk01 ». | ||
| *comp* | *Desk* recherche tous les noms d'ordinateur contenant « Desk ». | ||
| Domaine de l'ordinateur | Correspondance | domain | ivanti recherche le nom de domaine « Ivanti ». |
| domain | ivanti.com recherche le nom de domaine « ivanti.com ». | ||
| Requête | dom* | iva* recherche tous les domaines d'ordinateurs dont le nom commence par « iva ». | |
| *dom | *anti recherche tous les domaines d'ordinateurs dont le nom finit par « anti ». | ||
| *dom* | *ant* recherche les domaines dont le nom contient « ant ». | ||
| Nom NetBIOS de l'ordinateur | Correspondance | computer | SalesDesk01 recherche le nom NETBIOS d'ordinateur « SalesDesk01 ». |
| Requête | comp* | SalesDesk* recherche tous les noms d'ordinateur commençant par « SalesDesk ». | |
| *comp | *Desk01 recherche tous les noms d'ordinateur finissant par « Desk01 ». | ||
| *comp* | *Desk* recherche tous les noms d'ordinateur contenant « Desk ». | ||
| Ordinateur - Adresse IP | Correspondance | xxxx.xxxx.xxxx.xxxx | 192.168.0.1 recherche l'adresse IP 192.168.0.1. |
| Entre | xxxx.xxxx.xxxx.xxxx | Adresse IP 1 : 192.168.0.1, Adresse IP 2 : 192.168.0.254. Ces commandes permettent de rechercher toutes les adresses IP comprises entre « 192.168.0.1 » et « 192.168.0.254 ». | |
| Utilisateur - Appartenance aux OU | Correspondance | LDAP | CN=sales recherche l'appartenance aux groupes de l'OU d'utilisateur « sales » dans le domaine ivanti.com. |
| Requête | ou* | sales* recherche les noms d'OU d'utilisateur commençant par « sales ». | |
| *ou | *sales recherche les noms d'OU d'utilisateur finissant par « sales ». | ||
| *ou* | *sales* recherche tous les noms d'OU d'utilisateur contenant « sales ». | ||
| Ordinateur - Appartenance aux OU | Correspondance | LDAP | CN=sales recherche l'appartenance aux groupes de l'OU d'ordinateur « sales » dans le domaine ivanti.com. |
| Requête | ou* | sales* recherche les noms d'OU d'ordinateur commençant par « sales ». | |
| *ou | *sales recherche les noms d'OU d'ordinateur finissant par « sales ». | ||
| *ou* | *sales* recherche tous les noms d'OU d'ordinateur contenant « sales ». | ||
| Site d'annuaire | Correspondance | sitename | testsite recherche le nom de site « testsite ». |