Maintenance des configurations

Dans cette section :

• Création de configurations
• Importation de configurations
• Exportation de configurations
• Enregistrement de configurations
• Test des configurations
• Configurations de stratégie de groupe
• Recherche dans les configurations

Création de configurations

Pour créer une nouvelle configuration, cliquez sur Fichier > Nouveau.

La nouvelle configuration s'affiche. Par défaut, elle assure automatiquement la protection suivante :

• Les applications qui ne sont pas stockées sur des disques durs locaux sont interdites.Par exemple, les applications résidant dans des dossiers réseau ou sur support amovible sont bloquées.Les applications dont l'administrateur n'est pas propriétaire sont interdites.Par exemple, les applications copiées sur les disques durs de l'ordinateur par un utilisateur non administrateur sont bloquées.
• Tous les administrateurs peuvent exécuter toutes les applications.

Vous devez enregistrer la nouvelle configuration pour que les paramètres par défaut prennent effet.

Importation de configurations

Vous pouvez importer des configurations dans Application Control (Contrôle des applications).

1. Cliquez sur Fichier > Importer/Exporter > Importer une configuration depuis un MSI.

   La boîte de dialogue Ouvrir s'affiche.

2. Naviguez jusqu'à l'emplacement du fichier MSI, sélectionnez-le, puis cliquez sur Ouvrir.

La configuration s'ouvre dans la console Application Control (Contrôle des applications).

Exportation de configurations

Vous pouvez exporter des configurations depuis Application Control (Contrôle des applications).

1. Cliquez sur Fichier > Importer/Exporter > Exporter la configuration au format MSI.

   La boîte de dialogue Enregistrer sous s'affiche.

2. Naviguez jusqu'à l'emplacement où vous voulez enregistrer le fichier MSI et cliquez sur Enregistrer.

Enregistrement de configurations

Le menu Fichier offre les options suivantes d'enregistrement de configurations.

Enregistrer

• Enregistrer et continuer la modification - Enregistre la configuration, et la garde verrouillée et ouverte pour modification.Les changements apportés ne sont pas validés dans la configuration et vous ne pouvez pas déployer cette dernière quand elle est verrouillée.
• Enregistrer et déverrouiller - Enregistre la configuration et la déverrouille pour qu'elle soit prête au déploiement.
• Déverrouiller sans enregistrer - Déverrouille la configuration sans enregistrer les changements.

Enregistrer sous

• Configuration active sur cet ordinateur - Remplace/Met à jour la configuration de l'ordinateur local avec la configuration actuellement ouverte.
• Configuration dans Management Center - Enregistre la configuration dans le magasin de paquets sur le serveur de gestion sélectionné.
• Configuration dans System Center Configuration Manager - Enregistre votre configuration sur le serveur System Center Configuration Manager spécifié.
• Configuration dans une stratégie de groupe - Vous permet de créer la configuration dans le magasin de stratégies de groupe sélectionné.
• Configuration file on disk - Fichier de configuration sur disque.

Test des configurations

Définissez une installation utilisateur de test avant d'effectuer cette opération.Le compte de test ne doit pas appartenir à la liste Propriétaires de confiance de la configuration.

1. Connectez-vous en tant qu'administrateur à un poste client où la configuration Application Control (Contrôle des applications) pertinente est installée.
2. Démarrez Application Control (Contrôle des applications).
3. Dans l'arborescence de navigation, accédez à Règles > Utilisateur.

4. Cliquez sur Ajouter une règle dans le ruban Règles et sélectionnez Règle utilisateur.

   La boîte de dialogue Ajouter une règle utilisateur s'affiche.

5. Cliquez sur Parcourir.

   La boîte de dialogue Active Directory Sélectionner des utilisateurs s'affiche.

6. Cliquez sur Avancé.

7. Cliquez sur Rechercher maintenant.

   Les résultats de recherche apparaissent dans la partie inférieure de la boîte de dialogue.

8. Faites défiler l'écran pour trouver l'utilisateur de test, sélectionnez-le et cliquez sur OK.

   La boîte de dialogue Sélectionner des utilisateurs apparaît. L'utilisateur de test s'affiche dans le nom d'objet.

9. Cliquez sur OK.

   La zone de travail Règle utilisateur affiche l'utilisateur de test nouvellement créé.

10. Enregistrez la configuration.
11. Déconnectez-vous du compte Administrateur.
12. Connectez-vous en tant qu'utilisateur de test pour voir Application Control (Contrôle des applications) fonctionner.

Configurations de stratégie de groupe

Une stratégie de groupe permet la gestion centralisée et la configuration des systèmes d'exploitation, applications et paramètres utilisateur dans un environnement Active Directory.Application Control (Contrôle des applications) utilise la fonction Stratégie de groupe pour enregistrer et déployer des configurations vers n'importe quelle machine de l'OU (Unité organisationnelle) spécifiée dans un domain, sans nécessiter d'infrastructure supplémentaire.Pour utiliser une stratégie de groupe, vous devez d'abord installer les outils d'administration de serveur distant (Remote Server Administration Tools).

Pour en savoir plus, reportez-vous à « Installation ou suppression du pack Remote Server Administration Tools ».

Pour ajouter un fichier de configuration Application Control (Contrôle des applications) à un objet Stratégie de groupe (GPO), vous devez d'abord ajouter un domaine à la liste de sélection accessible dans la boîte de dialogue Sélection de domaine.Pour en savoir plus, reportez-vous à « Ajout de domaines à la liste de sélection ».

Si nécessaire, vous pouvez utiliser la commande suivante pour installer la console de gestion des stratégies de groupe (GPO) avec PowerShell :

Import-Module ServerManager (2008 Server et supérieur)

Add-WindowsFeature -Name GPMC

Ajout de domaines à la liste de sélection

Ajoutez un domaine à votre liste de sélection de demaine à l'aide de la boîte de dialogue Sélection de domaine.Une fois le domaine ajouté, vous pouvez ajouter la configuration à un objet GPO (Group Policy Object - Objet Stratégie de groupe) dans ce domaine.

1. Dans le menu Fichier, choisissez Enregistrer sous ou Ouvrir, puis sélectionnez Configuration dans une stratégie de groupe.

   La boîte de dialogue Sélection de domaine s'affiche.

2. Cliquez sur l'icône Ajouter dans la barre d'outils.

   La boîte de dialogue Ajouter un domaine s'affiche.

3. Entrez le nom du domaine à ajouter à la liste.Vous devez disposer des droits appropriés sur le domaine que vous ajoutez.
4. Cliquez sur le bouton Ajouter.

Le domaine est ajouté à votre liste et est prêt pour sélection.

Déploiement de configurations à l'aide d'objets GPO

Une fois la configuration complète et déployée, l'extension côté client copie la configuration dans la structure %ProgramData% Application Control (Contrôle des applications), avec le fichier merge_manifest.xml.L'agent Application Control (Contrôle des applications) est averti de la mise à jour et le fichier merge_manifest.xml est copié dans le dossier de fusion pour que la fusion soit possible.La configuration est ensuite appliquée à vos postes client.

Une fois la configuration enregistrée dans l'objet Stratégie de groupe (GPO), le déploiement de cette configuration dépend des paramètres de stratégie de groupe de votre entreprise.

Application Control (Contrôle des applications) prend en charge la fusion de plusieurs configurations déployées avec une stratégie de groupe.Chaque objet GPO ne peut stocker qu'une seule configuration ; pour déployer plusieurs configurations, il vous faut le même nombre d'objets GPO.Si tous les objets Stratégie de groupe (GPO) résident au même niveau dans Active Directory, l'ordre des liens affecte la façon dont les configurations sont fusionnées. Le numéro le plus faible indique la configuration de base.

Par défaut, la stratégie de groupe de l'ordinateur est mise à jour à l'arrière-plan toutes les 90 minutes, avec un décalage aléatoire de 0 à 30 minutes.

Enregistrement de configurations dans un objet GPO

Pour enregistrer des configurations dans un objet Stratégie de groupe (GPO), vous devez disposer d'un compte doté de permissions Lecture-Écriture sur la zone dans l'annuaire Active Directory (AD) que vous manipulez.Vous ne pouvez enregistrer des données que dans cette zone et la stratégie s'applique uniquement aux ordinateurs qui y figurent.

Vous devez créer la configuration dans la console Application Control (Contrôle des applications) et il faut qu'un objet GPO ait été créé dans une OU (Unité organisationnelle) dans le domaine sélectionné.

1. Créez votre fichier de configuration Ivanti Application Control (Contrôle des applications) (AAMP).

2. Sélectionnez Fichier > Enregistrer sous > Configuration dans une stratégie de groupe.

   La boîte de dialogue Sélection de domaine s'affiche.

3. Mettez en surbrillance le domaine voulu et cliquez sur Connexion.

   Si le domaine où vous effectuez l'enregistrement n'est pas disponible dans la liste, il faut l'ajouter.

   Reportez-vous à « Ajout de domaines à la liste de sélection ».

4. Naviguez jusqu'à votre OU (Unité organisationnelle).Vous devez disposer des droits appropriés sur l'OU sélectionnée.
5. Sélectionnez l'objet GPO et cliquez sur Enregistrer.

6. Si le GPO n'existe, cliquez avec le bouton droit sur l'OU cible et sélectionnez Créer un GPO dans ce domaine, puis liez-le à cet endroit.

   Sur certains postes client, vous pouvez constater un retard lorsque vous enregistrez le GPO dans votre annuaire Active Directory (AD).En effet, la réplication AD doit s'exécuter sur plusieurs contrôleurs de domaine et Application Control (Contrôle des applications) ne trouve pas le GPO tant que la réplication n'est pas terminée.

   Le GPO contenant la configuration est stocké à l'emplacement suivant et peut être identifié par son GUID unique.

   \\<Domain Controller>\SysVol\<domain.fqdn>\Policies\<guid for GPO>\Machine\AppSense

   Si plusieurs configurations sont déployées sur un poste client avec une stratégie de groupe (GPO), la fusion des configurations de poste client se produit et le fichier merged_configuration.aamp est prioritaire sur les configurations existantes.Pour en savoir plus.

Reportez-vous à « Fusion de configurations de poste client ».

Recherche dans les configurations

Les configurations peuvent devenir assez volumineuses lorsque vous leur ajoutez des groupes et des ensembles de règles. Pour accéder plus facilement à une zone précise de la configuration, vous pouvez lancer une recherche de texte afin de trouver l'endroit où l'élément voulu est configuré au sein de la configuration.

Comment faire une recherche dans une configuration

Prenons comme exemple widget.exe. Vous avez configuré des règles pour widget.exe, mais vous ne savez plus dans quel groupe ou ensemble de règles.

1.Naviguez jusqu'à l'entrée de menu Modifier > Options et sélectionnez Recherche dans la configuration.

La boîte de dialogue Recherche dans la configuration s'ouvre.

2.Dans le champ de recherche, saisissez le texte à recherche, par exemple widget.

3.Le système examine tous les groupes et ensembles de règles de la configuration, à la recherche du texte widget. La liste de résultats affiche toutes les instances trouvées.

4.Cliquez sur l'un des résultats dans la liste pour afficher l'emplacement correspondant dans la configuration.

Vous pouvez travailler dans l'écran Éditeur de configuration sans fermer la boîte de dialogue Recherche. Pour mémoriser les résultats de la recherche mais masquer temporairement la fenêtre de recherche, sélectionnez Fermer. Pour la réafficher, cliquez sur Recherche dans la configuration.

Rubriques connexes

Paramètres globaux

Configuration