Configuration
Dans cette section :
À propos des configurations
Les fichiers de configuration (AAMP) Application Control (Contrôle des applications) contiennent les paramètres de règle servant à sécuriser votre système.Les fichiers de configuration sont installés sur les périphériques gérés et servent de liste de contrôle des stratégies, qui permettent à l'agent Application Control (Contrôle des applications) d'évaluer la manière de gérer les demandes d'exécution de fichier.Lors de l'exécution d'un fichier, Application Control (Contrôle des applications) intercepte la demande et effectue une vérification par rapport à la configuration pour trouver la règle de correspondance appropriée et l'action à exécuter.Les autres stratégies par défaut définies dans une configuration sont également appliquées (comme le filtrage des événements ou la gestion de types d'extension de fichiers spécifiques), ainsi que les stratégies générales comme les règles par défaut, les règles d'audit, le mode d'affichage des notifications de message et les options d'archivage.
Les configurations sont stockées en local dans différents emplacements en fonction de votre système d'exploitation, et sont protégées par la sécurité NTFS. Pour Windows 7 et supérieur : C:\ProgramData\AppSense\Application Manager\Configuration.
En mode Autonome, les changements apportés à la configuration sont écrits directement dans le fichier AAMP local depuis la console Application Control (Contrôle des applications).En mode Entreprise, vous pouvez créer des configurations et les stocker de façon centralisée dans la base de données Management Center, puis les distribuer aux postes client au format MSI via le serveur de gestion.Il est également possible d'exporter et d'importer des configurations vers et depuis le format de fichier MSI, ce qui s'avère utile pour créer des modèles ou distribuer des configurations avec des systèmes de déploiement tiers.
Après avoir créé ou modifié une configuration, vous devez enregistrer cette configuration avec les paramètres les plus récents pour garantir leur implémentation.
Éléments de configuration
Bibliothèques
Le nœud Bibliothèque du Gestionnaire d'applications vous permet de créer des groupes d'éléments, que vous pouvez utiliser dans les règles de configuration.Utilisez la bibliothèque pour créer un groupe d'éléments semblables à gérer.Une fois que vos bibliothèques ont été créées, vous pouvez leur affecter des règles et les utiliser pour gouverner un groupe d'utilisateurs.Les nœuds Bibliothèque fournissent les informations suivantes :
-
Gestion des groupes - Le nœud Gestion des groupes vous permet de regrouper un certain nombre d'éléments (fichiers, dossiers, lecteurs, fichiers de signature, applis Windows Store et connexions réseau, par exemple) pour une application donnée.Vous pouvez ensuite ajouter ce groupe aux listes Éléments autorisés et Éléments refusés d'une règle.
- Stratégies de privilèges utilisateur - Le nœud Utilisateur vous permet d'ajouter des stratégies de privilèges utilisateur pour promouvoir ou rétrograder de façon sélective les droits d'administration de chaque application.
Règles
Les nœuds Règle fournissent les paramètres par défaut utilisés pour gérer l'exécution des fichiers, ainsi que des paramètres spécifiques applicables à des utilisateurs, des groupes ou des périphériques particuliers.Les règles de groupe, d'utilisateur, de périphérique, personnalisées, scriptées et de processus vous permet de définir des paramètres de niveau de sécurité afin de spécifier des restrictions, applicables aux utilisateurs, groupes ou périphériques qui correspondent à la règle.Les règles personnalisées ciblent des combinaisons d'utilisateurs ou de groupes particuliers opérant sur des collections de périphériques spécifiques.Les règles scriptées permettent à l'administrateur d'appliquer les listes Éléments autorisés et Éléments refusés à des utilisateurs, en fonction du résultat d'un script Windows PowerShell ou VBScript.Vous pouvez exécuter des scripts pour chaque session utilisateur distincte ou les exécuter une fois sur chaque ordinateur.Les règles de processus vous permettent de gérer l'accès à l'application pour l'exécution de processus enfant qui seraient, sinon, gérés de façon différente dans d'autres règles.Vous pouvez ajouter à une règle des éléments autorisés, des éléments refusés, des fournisseurs de confiance, des privilèges utilisateur et des éléments de contrôle du navigateur (Browser Control).
- Éléments autorisés/Éléments refusés — Liste de sous-nœud figurant dans chaque règle, que vous pouvez remplir et tenir à jour avec des fichiers, dossiers, lecteurs et signatures numériques spécifiques, afin d'ajouter un niveau supplémentaire de granularité au contrôle des demandes d'exécution de fichier.Par exemple, les éléments normalement refusés par la vérification Trusted Ownership (Propriétaire de confiance) peuvent être autorisés pour les utilisateurs ou périphériques ciblés dans la règle.De même, il est possible de refuser les fichiers qui sont normalement autorisés.
- Fournisseurs de confiance — Liste de sous-nœud figurant dans chaque règle, que vous pouvez remplir avec des certificats numériques émis par des sources de confiance.Les fichiers qui échouent à la vérification Trusted Ownership (Propriétaire de confiance) sont contrôlés à la recherche de certificats numériques, et le système les autorise à s'exécuter s'il trouve une correspondance avec la liste Fournisseurs de confiance. Par exemple, un utilisateur dont l'accès est très restreint peut avoir l'interdiction, dans les conditions normales de la règle, d'introduire des fichiers exécutables sur le système. Cependant, il peut de temps en temps avoir besoin de télécharger et d'exécuter des mises à jour logicielles depuis une source spécifique. Si le fichier téléchargé inclut un certificat numérique qui correspond à l'un des certificats de la liste Fournisseurs de confiance, ce fichier est autorisé à s'exécuter.
- Privilèges utilisateur - Liste de sous-nœud figurant dans chaque règle, que vous pouvez remplir avec les applications, composants et installations Web auxquels vous voulez appliquer des stratégies de privilèges utilisateur.Les stratégies de privilèges utilisateur vous permettent de promouvoir ou rétrograder de façon sélective les droits d'administration de chaque application, composant et installation Web.
- Contrôle Navigateur - Liste de sous-nœud figurant dans chaque règle, qui permet d'indiquer des URL en vue de leur appliquer la redirection d'URL.Vous pouvez également spécifier des URL qui ouvrent une version élevée d'Internet Explorer et permettent l'élévation des privilèges vers le niveau Administrateur pour les personnes qui installent des contrôles ActiveX depuis des domaines spécifiques.
Configurations par défaut
Application Control (Contrôle des applications) est prêt à gérer votre sécurité dès que vous installez l'agent et une configuration sur des ordinateurs client.Une configuration par défaut est chargée lorsque vous exécutez la console et vous pouvez l'utiliser pour la protection immédiate de tous les ordinateurs client où cette configuration est déployée.Cette configuration bloque tous les fichiers dont le propriétaire n'est pas marqué De confiance et interdit aux utilisateurs non administrateurs d'accéder aux exécutables des emplacements non sécurisés, y compris les dossiers réseau et les supports amovibles.
Vous pouvez enregistrer la configuration par défaut directement en mode Autonome sur l'ordinateur client, via la console, ou bien l'enregistrer dans la base de données du mécanisme de déploiement si vous travaillez en mode Entreprise, prêt pour le déploiement.
Protection
- Toutes les demandes d'exécution d'application et de processus sont comparées aux règles Application Control (Contrôle des applications) avant que l'accès soit autorisé.
- Toutes les demandes d'accès réseau aux applications et processus sont interdites, sauf si les règles Application Control (Contrôle des applications) les autorisent.
- Les membres du groupe local Administrateurs disposent d'un accès illimité aux applications.
- Les membres des groupes non administratifs disposent d'un accès restreint aux applications.
- CMD.exe est bloqué, sauf s'il est exécuté par des fichiers batch.
- Les fichiers MSI, WSH et de registre sont comparés aux règles Application Control (Contrôle des applications).
- Windows Installer (msiexec.exe) est autorisé à exécuter tous les processus enfant portant les extensions DLL et EXE.
Paramètres de configuration par défaut
| Paramètre | Valeur | Description | |
|---|---|---|---|
| Paramètres avancés
|
Paramètres de stratégie
|
Fonctions générales
|
|
Validation
|
La validation des processus système peut affecter les performances. Elle est donc désactivée par défaut.
|
||
Fonction
|
|
||
| Arrêt d'application | Paramètres de fermeture et d'arrêt des applications. Définissez des déclencheurs, le comportement des messages d'avertissement adressés aux utilisateurs et les notifications de message d'avertissement. |
Désactivé par défaut. | |
| Bibliothèques
|
Nœud Gestion des groupes | Permet de créer des groupes d'applications réutilisables pour l'affectation à des règles. | Aucun paramètre par défaut. |
| Stratégies de privilèges utilisateur | Stratégies de privilèges utilisateur réutilisables, qui élèvent ou restreignent les privilèges des utilisateurs. Pour affectation à des fichiers, dossiers, signatures, lecteurs et groupes d'applications dans les règles. |
Aucun paramètre par défaut. | |
| Administrateur | Règle du groupe local Administrateurs, servant à gérer l'accès aux applications pour les administrateurs locaux. |
|
|
| Tout le monde | Règle de groupe pour tous les utilisateurs du système, sauf si un utilisateur correspond à d'autres règles avec des paramètres de privilèges plus élevés. |
|
|
| Processus | Windows Installer (msiexec.exe)
|
|