Propriétaires de confiance

Dans cette section :

À propos des propriétaires de confiance

Lors du processus de mise en correspondance des règles, la vérification de propriétaire de confiance (Trusted Ownership) est exécutée sur les fichiers et dossiers, afin de garantir que le propriétaire des éléments fait partie de la liste des propriétaires de confiance spécifiée dans la configuration de règle par défaut.

Par exemple, si le fichier que vous voulez exécuter correspond à un élément autorisé, un contrôle de sécurité supplémentaire s'assure que le propriétaire du fichier correspond également à la liste Propriétaires de confiance. Si un fichier légitime a été altéré ou si un fichier qui constitue une menace de sécurité a été renommé pour ressembler à un fichier autorisé, la vérification Trusted Ownership identifie cette irrégularité et empêche l'exécution du fichier.

Par défaut, les dossiers/partages réseau sont refusés. Ainsi, si le fichier réside dans un dossier réseau, vous devez ajouter ce fichier ou son dossier à la règle en tant qu'élément autorisé. Sinon, même si le fichier réussit le test de vérification Trusted Ownership, la règle interdit l'accès.

La vérification Trusted Ownership est inutile pour les éléments comportant des signatures numériques, car ils ne peuvent pas être imités.

Vous tenez à jour la liste des propriétaires de confiance dans la boîte de dialogue Propriétaires de confiance, disponible dans le ruban Paramètres globaux. Application Control (Contrôle des applications) fait par défaut confiance aux comptes suivants :

  • SYSTEM
  • BUILTIN/Administrators
  • %ComputerName%\Administrator
  • NT Service\TrustedInstaller

Cela signifie que, par défaut, Application Control (Contrôle des applications) fait confiance aux fichiers dont le groupe BUILTIN\Administrators et l'administrateur local sont propriétaires. Application Control (Contrôle des applications) ne regroupe pas les recherches de propriétaires de confiance ; les utilisateurs membres de BUILTIN\Administrators ne sont PAS considérés par défaut comme étant de confiance. Les autres utilisateurs, même membres du groupe Administrateurs, doivent être ajoutés explicitement pour devenir des propriétaires de confiance. Vous pouvez étendre la liste ci-dessus pour inclure d'autres utilisateurs ou groupes.

Lors de votre première utilisation du logiciel Application Control (Contrôle des applications), il est recommandé d'utiliser les paramètres par défaut. Pour éviter des personnalisations complexes, n'ajoutez pas d'entrée à la liste Propriétaires de confiance et ne changez pas les paramètres par défaut.

Cette boîte de dialogue contient les options suivantes :

  • Écrasement/Changement de nom de fichier - Lorsque l'option Changer le propriétaire d'un fichier s'il est écrasé ou renommé est sélectionnée, Application Control (Contrôle des applications) effectue change de façon sélective les propriétaires NTFS des fichiers exécutables lorsque ces derniers sont écrasés ou renommés.

    Si un utilisateur qui n'est pas un propriétaire de confiance tente d'écraser un fichier autorisé par Trusted Ownership ou une règle Élément autorisé, cela peut constituer une menace de sécurité si le contenu de ce fichier a changé. Application Control (Contrôle des applications) remplace le propriétaire d'un fichier écrasé par l'utilisateur qui effectue l'opération. Par conséquent, le fichier n'est plus De confiance et le système n'est plus protégé.

    De même, toute tentative de remplacement du nom d'un fichier refusé par celui d'un élément autorisé peut constituer une menace de sécurité. Application Control (Contrôle des applications) remplace également le propriétaire de ce type de fichier par l'utilisateur qui effectue le changement de nom, ce qui garantit que le fichier reste hors de la liste des éléments de confiance.

    Les actions Écraser et Renommer sont toutes deux auditées.

  • Écrasement/Changement de nom de fichier - Pour ignorer le test Trusted Ownership pour des fichiers particuliers, effectuez l'une des opérations suivantes :
    • Désélectionnez la case à cocher Trusted Ownership dans les sous-nœuds Éléments autorisés.
    • Affectez l'état Auto-autorisation aux utilisateurs et périphériques pour que l'utilisateur puisse décider d'autoriser ou non un fichier à s'exécuter.
    • Définissez le niveau de sécurité Auto-autorisation d'une règle dans les nœuds de règle Groupe, Utilisateur, Périphérique, Personnalisé, Scripté et Processus.
    • Les applications de confiance passent outre aux restrictions des éléments figurant sous Éléments refusés.
    • Les fournisseurs de confiance passent outre aux restrictions résultant des tests Trusted Ownership.

Whitelists

Si vous préférez utiliser une approche de liste blanche et d'interdire par défaut l'exécution de tous les éléments, désélectionnez la case à cocher Marquer par défaut les lecteurs locaux comme Autorisés dans la boîte de dialogue Paramètres de stratégie, disponible sous Paramètres avancés dans le ruban Paramètres globaux. Pour autoriser des éléments, ajoutez-les au dossier Éléments autorisés d'un nœud de configuration.

Si vous utilisez une liste blanche, veillez à autoriser les fichiers système importants à s'exécuter, en ajoutant une règle de groupe pour le groupe Tout le monde, dans laquelle tous les fichiers ou dossiers pertinents ont été ajoutés sous Éléments autorisés. Sinon, de nombreux fichiers exécutables et DLL indispensables, comme ceux stockés dans le dossier system32, risquent de ne pas pouvoir s'exécuter et de nuire au bon fonctionnement du système.

La vidéo suivante contient une présentation des concepts utilisés dans Trusted Ownership :

Trusted Ownership - Pourquoi ? Quoi ? Comment ?

Activer Trusted Ownership (Propriétaire de confiance)

Pour activer cette fonction, sélectionnez Propriétaires de confiance dans le ruban Paramètres globaux et configurez les paramètres voulus :

  • Activer la vérification Trusted Ownership - Sélectionnez cette option pour activer la vérification Trusted Ownership (Propriétaire de confiance).Option sélectionnée par défaut.

  • Changer le propriétaire d'un fichier s'il est écrasé ou renommé - Sélectionnez cette option pour changer le propriétaire d'un fichier autorisé (De confiance) qui est écrasé par un utilisateur non marqué De confiance (absent de la liste Propriétaires de confiance).

    Lorsqu'un fichier refusé est renommé par un utilisateur qui n'est pas de confiance, en vue de contourner une règle Élément refusé, le propriétaire est remplacé par l'utilisateur non marqué De confiance. Une fois le propriétaire changé, la vérification Trusted Ownership empêche l'exécution du fichier.

  • Propriétaire de confiance - Détails du propriétaire de confiance.
  • SID textuel - ID de sécurité au format texte du propriétaire de confiance. Par exemple, S-1-5-32-544.
  • Bouton Ajouter un propriétaire de confiance - Ouvre la boîte de dialogue Ajouter des propriétaires de confiance. Entrez ou sélectionnez le compte à ajouter à la liste des propriétaires de confiance.
  • Bouton Supprimer un propriétaire de confiance - Supprime le propriétaire de confiance sélectionné.

Tester Trusted Ownership (Propriétaire de confiance)

  1. Introduisez une ou plusieurs applications à l'aide d'un compte d'utilisateur de test.
  2. Copiez une ou plusieurs applications dans le lecteur d'accueil de l'utilisateur ou tout autre emplacement adapté. Copiez par exemple calc.exe depuis le dossier System32 ou copiez un fichier depuis un CD.
  3. Essayez d'exécuter l'un des fichiers copiés. L'application est refusée car le propriétaire des fichiers est l'utilisateur de test et non un membre de la liste Propriétaires de confiance.

Vous pouvez vérifier le propriétaire d'un fichier en affichant ses propriétés dans l'Explorateur Windows.

Rubriques connexes

Filtrage des extensions

Arrêt d'application

Paramètres de message

Archivage

Demande de changement de stratégie

Portail de centre de support