Options de règle

Les listes Éléments autorisés, Éléments refusés, Fournisseurs de confiance et Privilèges utilisateur peuvent s'appliquer aux fichiers, dossiers, lecteurs, signatures numériques, éléments de signature, éléments Connexion réseau, applis Windows Store et éléments Groupe.

Pour en savoir plus sur l'ajout d'éléments, reportez-vous à « Éléments de règle ».

Chaque option de règle doit être associée à un ou plusieurs types de règle.

Dans cette section :

Mise en correspondance des règles

La mise en correspondance des règles se produit lorsque le logiciel Application Control (Contrôle des applications) intercepte une demande d'exécution de fichier et vérifie la stratégie de configuration pour déterminer si un fichier est autorisé à s'exécuter.

Applying Rule Policies

La stratégie de sécurité la moins stricte est appliquée à un profil utilisateur affecté par plusieurs règles.Par exemple, un utilisateur soumis à la fois à une règle d'utilisateur portant le niveau de sécurité Restreint et à une règle de groupe dont le niveau de sécurité est Auto-autorisation recevra les privilèges d'auto-autorisation pour toutes les décisions et pour l'utilisation des applications.

Mise en correspondance de fichiers et de règles

L'agent Application Control (Contrôle des applications) applique les règles en trouvant une correspondance correcte pour le type de fichier concerné.

La mise en correspondance repose sur une approche en trois étapes qui tient compte de la sécurité, de l'ordre de mise en correspondance et des décisions liées aux stratégies :

  1. Sécurité :
    • L'utilisateur est-il restreint ?
    • Le propriétaire de l'élément exécutable est-il marqué De confiance ?
    • Où se trouve l'exécutable ?
  2. Mise en correspondance :
    • L'exécutable correspond-il à une signature ?
    • L'exécutable correspond-il à un élément autorisé ou refusé ?
  3. Stratégie :
    • La vérification Trusted Ownership (Propriétaire de confiance) est-elle activée ?
    • Existe-t-il une exception minutée ?
    • Existe-t-il une limite d'application ?

Exemple : Le fichier « confidential.doc » est stocké dans le dossier « common ».Une règle spécifie que confidential.doc est refusé mais le dossier common est autorisé.La règle la plus granulaire est prioritaire et le fichier confidential.doc est refusé.

Vérification Trusted Ownership (Propriétaire de confiance)

Pendant la mise en correspondance des règles, le système effectue la vérification Trusted Ownership (Propriétaire de confiance) des fichiers, dossiers et lecteurs, afin de garantir que le propriétaire des éléments figure dans la liste des propriétaires de confiance dans la configuration de règle par défaut.Si la vérification échoue, un contrôle Fournisseur de confiance est lancé.

Si vous avez configuré le système dans ce but, lorsqu'un fichier exécuté figure dans la liste prédéfinie Éléments autorisés, une vérification de sécurité supplémentaire garantit que le propriétaire correspond à un utilisateur figurant dans la liste Propriétaires de confiance.Si cette vérification échoue, Application Control (Contrôle des applications) tente de faire correspondre la signature numérique du fichier avec la liste Fournisseurs de confiance.Si le système ne trouve toujours aucune correspondance, l'exécution est bloquée.

La vérification Trusted Ownership (Propriétaire de confiance) est inutile pour les éléments portant des signatures numériques, car ils ne peuvent pas être limités.

Lorsque vous utilisez une configuration par défaut, tous les fichiers nouveaux ou existants introduits sur le système, puis écrasés ou renommés voient leur propriétaire remplacé par l'utilisateur actuel.Par conséquent, si le changement est apporté par un utilisateur qui n'est pas de confiance, toutes les demandes futures échouent à la vérification Trusted Ownership.

La vérification Trusted Ownership (Propriétaire de confiance) peut être utilisée comme règle globale ou séparément pour chaque élément.Pour empêcher Application Control (Contrôle des applications) de vérifier les propriétaires de confiance, vérifiez que l'option Activer la vérification Trusted Ownership est bien désélectionnée sous Paramètres globaux > Propriétaires de confiance.

Application et suppression de règles

Le nœud Règles de groupe vous permet de mettre des règles de contrôle de sécurité en correspondance avec des groupes d'utilisateurs spécifiques dans l'entreprise.

Le récapitulatif du groupe indique le nom du groupe, son SID (ID de sécurité) au format texte et le niveau de sécurité de la règle.Le SID est une structure de données de longueur variable qui identifie des comptes d'utilisateur, de groupe et d'ordinateur. Chaque compte d'un réseau reçoit un SID unique lors de sa création. Les processus internes Windows font référence aux SID de compte plutôt qu'aux noms d'utilisateur ou de groupe des comptes. De même, Application Control (Contrôle des applications) fait également référence au SID d'un utilisateur ou d'un groupe, sauf si ce SID est introuvable lors de l'ajout de l'élément à la configuration.

Application des règles

  1. Dans le ruban Éléments de règle, cliquez sur Ajouter.
  2. Sélectionnez le type de règle à créer :
    • Groupe
    • Utilisateur
    • Périphérique
    • Personnalisé
    • Scripté

    • Processus

    La boîte de dialogue Ajouter une règle s'affiche.

  3. Entrez les informations appropriées, puis cliquez sur OK.

Suppression de règles

  1. Pour supprimer une règle de groupe, sélectionnez-la et cliquez sur Supprimer la règle dans le ruban Règles.

    Un message de confirmation s'affiche.

  2. Cliquez sur Oui pour confirmer la suppression.

Métadonnées

Les métadonnées ajoutent des critères supplémentaires pour la mise en correspondance de fichiers et de dossiers, une fois que le système a trouvé une correspondance avec les propriétés de fichier ou de dossier.Par exemple, l'ajoute de métadonnées pour un fournisseur vous permet de vérifier qu'un fichier est signé par un éditeur vérifié particulier.

Les métadonnées sont disponibles pour les fichiers et dossiers des éléments de régle autorisés, refusés et de privilèges utilisateur.Vous pouvez entrer les métadonnées manuellement ou les ajouter depuis un fichier existant.Sélectionnez l'onglet Métadonnées d'un fichier ou dossier dans un élément de règle compatible :

  • Pour ajouter des métadonnées à partir d'un fichier, sélectionnez l'onglet Métadonnées et cliquez sur Remplir les métadonnées à partir d'un fichier, puis sélectionnez le fichier dont vous voulez utiliser les métadonnées.Cochez les cases des métadonnées requises.
  • Pour ajouter manuellement des métadonnées, cochez une case et ajoutez les données voulues.

Pour afficher les métadonnées d'un fichier dans l'Explorateur Windows, cliquez avec le bouton droit sur ce fichier et sélectionnez Propriétés.Les métadonnées apparaissent dans l'onglet Détails.

Vous pouvez configurer les métadonnées suivantes pour les fichiers et dossiers :

  • Nom de produit - Nom du produit.

  • Fournisseur - Si le fichier porte une signature numérique, nom de fournisseur associé à cette signature.Une autre option est disponible pour vérifier qu'il est possible de faire confiance aux métadonnées de fournisseur du fichier.

    Si les métadonnées de fournisseur sont activées, une option supplémentaire est disponible : Vérifier le certificat lors de l'exécution.Lorsque vous activez cette option, l'agent vérifie le certificat pendant la mise en correspondance du fichier. Cliquez sur Options de vérification pour accéder à des critères supplémentaires à utiliser pour la mise en correspondance des fichiers.

    Pour en savoir plus, reportez-vous à « Options de vérification ».

  • Nom de société - Nom de l'entreprise qui a créé le produit.

  • Description de fichier - Description du fichier ou dossier telle que définie par le fournisseur ou l'entreprise.

Les informations affichées peuvent être modifiées avec des critères peuvant inclure des segments de ces métadonnées. Les caractères génériques (*) sont pris en charge.

  • Minimum - Indique le numéro de version minimal admis pour le fichier sélectionné.

  • Maximum - Indique le numéro de version maximal admis pour le fichier sélectionné.

Vous pouvez modifer les informations affichées pour introduire une plage de versions, où il est possible d'indiquer les numéros de version minimal et maximal à l'aide de caractères génériques. Le système surveille toutes les versions du fichier appartenant à la plage indiquée.

  • Minimum - Indique le numéro de version de produit minimal admis pour le fichier sélectionné.

  • Maximum - Indique le numéro de version de produit maximal admis pour le fichier sélectionné.

Vous pouvez modifer les informations affichées pour introduire une plage de versions, où il est possible d'indiquer le numéros de version maximal à l'aide de caractères génériques. Le système peut surveiller toutes les versions du produit appartenant à la plage indiquée.

Vous pouvez utiliser des caractères génériques pour remplacer certaines portions des informations de métadonnées. Cela vous permet de spécifier une correspondance requise sur la base d'un segment des métadonnées sélectionnées.Par exemple, si votre liste de fournisseurs inclut Microsoft Corporation, mais que vous recherchez tous les éléments associés à Microsoft, vous pouvez remplacer le mot « Corporation » par le caractère générique astérique (*) pour trouver toutes les entrées associées à Microsoft, et pas seulement « Microsoft Corporation ».

Les éléments de règle s'appliquent uniquement aux fichiers qui correspondent aux métadonnées sélectionnées.

Rubriques connexes

Types de règle

Éléments de règle

Éléments autorisés

Éléments refusés

Fournisseurs de confiance

Règles de privilège utilisateur

Contrôle du navigateur (Browser Control)