Fournisseurs de confiance

Dans cette section :

• À propos des fournisseurs de confiance
• Ajout d'un certificat à un fournisseur de confiance
• Options de vérification

À propos des fournisseurs de confiance

Vous pouvez spécifier des fournisseurs de confiance dans chaque nœud de règle Application Control (Contrôle des applications). Les fournisseurs de confiance servent à répertorier les certificats numériques valides. Un certificat numérique est un document électronique qui utilise une signature numérique pour lier une clé publique à une identité. Cela inclut des informations telles que le nom de la personne ou de l'entreprise, son adresse, etc. Les certificats numériques sont émis par une autorité de certification (CA) et servent à vérifier qu'une clé publique appartient bien à une personne donnée. Application Control (Contrôle des applications) interroge chaque exécution de fichier pour détecter la présente d'un certificat numérique. Si le fichier comporte un certificat numérique valide et que son signataire correspond à une entrée dans la liste des fournisseurs de confiance, le fichier est autorisé à s'exécuter et les vérifications Trusted Ownership (Propriétaire de confiance) sont ignorées.

Vous pouvez vérifier si un fichier possède un certificat numérique en affichant la boîte de dialogue Propriétés. Un fichier comporte un certificat numérique si vous voyez apparaît l'onglet Signatures numériques, contenant les détails de ce certificat, notamment des informations sur le signataire, les paramètres avancés et une option permettant d'afficher le certificat.

Le sous-nœud Fournisseurs de confiance est disponible dans chacun des nœuds de règle et répertorie les certificats numériques valides.

Ajout d'un certificat à un fournisseur de confiance

1. Sélectionnez le nœud Fournisseurs de confiance auquel vous voulez ajouter le certificat.
2. Cliquez sur la liste déroulante Ajouter dans le ruban Éléments de règle, puis sélectionnez l'option appropriée :
   • Depuis un fichier signé - Sélectionnez un fichier connu, déjà signé par le fournisseur à marquer De confiance. Application Control (Contrôle des applications) peut alors identifier la signature propre à ce fournisseur pour identifier le code supplémentaire provenant du même fournisseur.
   • Importer un magasin basé sur un fichier - Ajoutez des certificats à partir d'un fichier P7B, créé dans un magasin basé sur un fichier, comme Gestionnaire de certificats.

3. Accédez au fichier requis, puis cliquez sur Ouvrir.

   La boîte de dialogue Vérifier les certificats affiche le nom de tous les certificats ajoutés. La colonne État indique si le certificat a été validé avec succès ou si des erreurs ont été détectées.

   

   D'autres options sont disponibles pour les certificats répertoriés. Mettez en surbrillance le certificat voulu et sélectionnez l'une des options suivantes :

   • Options de vérification - Vérifiez l'état du certificat, imposez sa date d'expiration ou appliquez des options de certificat avancées.

     Pour en savoir plus, reportez-vous à « Options de vérification ».

   • Afficher le certificat - Affichez des informations supplémentaires sur le certificat sélectionné.
   • Supprimer - Supprimez les certificats sélectionnés et empêchez leur ajout au fournisseur de confiance. Vous pouvez sélectionner et supprimer plusieurs certificats à l'aide des touches Maj et Ctrl.
4. Cliquez sur OK.

Les certificats répertoriés sont ajoutés à la zone de travail Fournisseurs de confiance.

Options de vérification

Les options de vérification des fournisseurs de confiance vous permettent de spécifier des paramètres pour valider un certificat en ignorant ou en autorisant des attributs spécifiques. Le certificat doit être valide pour que la règle soit applicable, mais vous pouvez configurer un certificat avec différents niveaux de validation.

Les options avancées sont disponibles lorsque vous ajoutez des métadonnées pour les fichiers en cliquant sur Options de vérification.

La modification des paramètres à l'aide des options avancées de certificat peut réduire le niveau de sécurité nécessaire pour valider un certificat.

La boîte de dialogue Options de vérification affiche l'état actuel du certificat, et vous permet d'accéder aux options Date d'expiration et Options avancées de certificat. Vous accédez aux options de vérification depuis :

• Certificats des fournisseurs de confiance
• Métadonnées des fichiers et dossiers autorisés ou refusés

Lorsque vous ajoutez un certificat, Application Control (Contrôle des applications) vérifie qu'il est valide et affiche les résultats de ce contrôle dans la fenêtre de message État de vérification actuel. La vérification est effectuée chaque fois qu'une option de cette boîte de dialogue est mise à jour. Par exemple, le certificat peut être non valide en raison d'un certificat racine qui n'est pas de confiance. Si vous sélectionnez ensuite l'option Autoriser les racines non De confiance, Application Control (Contrôle des applications) vérifie de nouveau le certificat et met à jour son état pour signaler que la validation du certificat a réussi.

Vous pouvez également choisir d'imposer le respect de la date d'expiration du certificat. Par défaut, Application Control (Contrôle des applications) ignore la date d'expiration des certificats, si bien qu'ils restent valides indéfiniment. Si vous choisissez d'imposer la date d'expiration, le certificat n'est plus vérifié après cette date et le fournisseur n'est plus marqué De confiance.

Options avancées de certificat

Les options avancées de certificat vous permettent de spécifier des paramètres pour valider un certificat en ignorant ou en autorisant des attributs spécifiques. Le certificat doit être valide pour que la règle soit applicable, mais vous pouvez configurer un certificat avec différents niveaux de validation.

La modification des paramètres à l'aide des options avancées de certificat peut réduire le niveau de sécurité nécessaire pour valider un certificat et présenter un risque pour la sécurité.

Appliquez les paramètres suivants pour déterminer la vérification des certificats :

• Ignorer les erreurs de révocation de CTL - Ignorer les erreurs provoquées par la révocation de la CTL (liste des certificats de confiance).
• Ignorer les erreurs de révocation de CA - Ignorer les erreurs provoquées par la révocation de l'autorité de certification (CA).
• Ignorer les erreurs de révocation du certificat final - Ignorer les erreurs provoquées par un état inconnu de révocation du certificat final (certificat d'utilisateur).
• Ignorer les erreurs de révocation de la racine - Ignorer les erreurs signalées lors de l'obtention d'une révocation de racine valide.
• Ignorer les erreurs d'heure CTL non valide - Ignorer les erreurs signalant que la liste des certificats de confiance (CTL) n'est pas valide, par exemple parce que le certificat a expiré.

• Ignorer les erreurs d'imbrication de périodes - Ignorer les erreurs dues au fait que les périodes de validité du certificat de CA (Autorité de certification) et du certificat émis ne sont pas imbriquées.

  Le certificat de CA peut être valide du 1er janver au 1er décembre alors que le certificat émis est valide du 1 janvier au 2 décembre. Dans ce cas, les périodes de validité ne sont pas imbriquées.

• Ignorer les erreurs de contrainte de base - Ignorer les erreurs signalant que les contraintes de base ne sont pas valides.
• Ignorer les erreurs de nom non valide - Ignorer les erreurs signalant que le certificat porte un nom non valide.
• Ignorer les erreurs de stratégie non valide - Ignorer les erreurs signalant que le certificat comporte une stratégie non valide.
• Ignorer les erreurs d'utilisation non valide - Ignorer les erreurs signalant que le certificat n'a pas été émis pour l'utilisation actuelle.
• Autoriser les racines non De confiance - Ignorer le fait que la racine ne peut pas être vérifiée parce qu'il s'agit d'une autorité de certification inconnue.

Rubriques connexes

Types de règle

Éléments de règle

Éléments autorisés

Éléments refusés

Règles de privilège utilisateur

Contrôle du navigateur (Browser Control)