Nouveautés du logiciel Application Control (Contrôle des applications)

Version 2020.2

Outre les améliorations apportées au code et les bugs corrigés, la nouvelle version offre les fonctions suivantes :

Remplacement UAC

La fonction Remplacement UAC complète la fonction Auto-élévation existante dans Application Control (Contrôle des applications). Lorsque vous activez le remplacement UAC, l'invite standard d'élévation des droits UAC Windows est remplacée par la boîte de dialogue de consentement Application Control (Contrôle des applications), que vous pouvez configurer. Cela s'applique que l'application soit lancée depuis le menu Démarrer, l'Explorateur, le Bureau ou une invite de commande.

Pour en savoir plus, reportez-vous à « Remplacement UAC ».

Mise à jour des styles globaux dans 2020.2

La version 2020.2 inaugure une mise à jour de la conception des styles globaux par défaut. Les nouveaux styles utilisent un format de zone de message plus large pour afficher des informations plus détaillées, et les messages par défaut n'utilisent plus de logo mais une bannière à codage couleur.

Cette mise à jour est rétrocompatible, ce qui vous permet de continuer à utiliser les styles classiques existants ou d'appliquer les styles mis à jour à vos configurations existantes, si nécessaire.

Pour en savoir plus, reportez-vous à « Paramètres de message ».

Nouvel événement Propriétaire de confiance bloqué

Deux ID d'événement supplémentaires ont été ajoutés : 9060 et 9061. Par défaut, ces deux événements sont désactivés. Si nécessaire, ils permettent aux entreprises de faire la différence entre les demandes d'exécution bloquées par Trusted Ownership et celles bloquées explicitement par une stratégie de règle.

Pour en savoir plus, reportez-vous à « Audit ».

Prise en charge d'Edge pour Redirection d'URL

Le nouveau navigateur Microsoft Edge (Chromium) est désormais pris en charge.

Pour en savoir plus, reportez-vous à « Contrôle du navigateur (Browser Control) ».

Lancement des outils Applications et fonctionnalités Windows 10

Les permissions affectées s'appliquent dans la vue Applications et fonctionnalités, sous Paramètres, dans Windows 10.

Pour en savoir plus, reportez-vous à « Contrôles système ».

Accès plus facile à Autres informations

Outre ce système d'aide en ligne, Ivanti fournit une mine d'informations utiles, sous forme de documents en ligne, de vidéos d'aide et d'articles choisis sur le site de la communauté. Dans la version 2020.2, nous avons réuni ces ressources dans une table récapitulative, et elles sont désormais disponibles via la section Notes de publication et depuis la page d'accueil de l'aide en ligne.

Outre les améliorations apportées au code et les bugs corrigés, la nouvelle version offre les fonctions suivantes :

Localisation

Application Control (Contrôle des applications) 2020.1 a été traduit et prend désormais en charge les 5 langues suivantes :

Anglais

Allemand

Japonais

Chinois (Simplifié)

Chinois (Traditionnel)

Le choix du paramètre de langue voulu est décrit dans la rubrique « Paramètres de langue » dans l'aide User Workspace Manager.

Recherche dans les configurations

Les configurations peuvent devenir assez volumineuses lorsque vous leur ajoutez des groupes et des ensembles de règles. Pour naviguer plus facilement, vous pouvez lancer une recherche de texte afin de trouver l'endroit de la configuration où l'élément voulu est configuré.

Pour en savoir plus, reportez-vous à « Maintenance des configurations ».

Prise en charge de Microsoft Windows Server 2019

Le serveur de gestion, la console, la console de licences et les agents sont tous compatibles avec Microsoft Windows Server 2019.

Pour en savoir plus sur les logiciels pris en charge, consultez notre document « Maintained Platforms Matrix » (Matrice des plateformes prises en charge).

Ajout de groupes à des règles de processus

Vous pouvez maintenant sélectionner des options pour ajouter des dossiers et des groupes à des règles de processus. Avantage supplémentaire, vous pouvez mettre à jour toutes les règles dans un même groupe, au lieu de traiter chacune séparément.

Pour en savoir plus, reportez-vous à « Règles de processus ».

Prise en charge de l'audit élément par élément pour la bibliothèque

Nouvelle option permettant d'ignorer le filtrage des événements pour les groupes. Elle permet désormais de journaliser les événements pour chaque instance d'élément de groupe. Ainsi, si vous utilisez un groupe en plusieurs endroits, chaque instance a son propre paramétrage. Ce paramétrage remplace toutes les options de filtrage des événements définies.

Pour en savoir plus, reportez-vous à « Éléments autorisés » et à « Éléments refusés ».

Marquage d'un partage réseau comme accessible

Nouveau paramètre par défaut permettant de refuser les fichiers d'un partage réseau. Pour autoriser des fichiers, vous pouvez soit désélectionner cette option, soit ajouter des éléments spécifiques à la liste Éléments autorisés.

Pour en savoir plus, reportez-vous à « Paramètres avancés ».

Infos de ligne de commande de l'analyseur de règles

Arguments de ligne de commande inclus dans les résultats de l'analyseur de règles pour les exécutables autorisés, refusés et élevés. Cela s'avère utile pour le dépannage et pour créer des règles ciblées.

Demandes de changement de stratégie

Les changements apportés à la compatibilité des demandes de changement de stratégie signifient que, désormais, l'agent Application Control (Contrôle des applications) et les services Web Application Control (Contrôle des applications) doivent avoir la même version.

Blocage silencieux des fichiers exécutables

Nouvelle option Ne pas afficher les messages de refus en cas de refus pour la création de règles. Permet aux administrateurs de bloquer volontairement certains exécutables et d'effectuer un « refus silencieux » pour que l'utilisateur final ne reçoive aucun message d'accès refusé.

Pour en savoir plus, reportez-vous à « Éléments refusés ».

Désactivation des éléments de règle dans un groupe

Nouvelle option de menu contextuel Désactiver la règle, utile pour le dépannage et pour que l'administrateur n'ait pas besoin de supprimer la règle. Cette option passe de Désactiver à Activer, si bien qu'il est facile de réactiver la règle.

Pour en savoir plus, reportez-vous à « Éléments autorisés », à « Éléments refusés » et à « Éléments de règle ».

DLL de confiance pour les éléments auto-autorisés

Lorsque vous auto-autorisez un exe d'application, toutes les DLL enfant dépendantes sont automatiquement autorisées. Dans les versions précédentes du logiciel Application Control (Contrôle des applications), il fallait auto-autoriser chaque enfant, ce qui provoquait souvent le plantage de l'application. Maintenant, l'auto-autorisation s'effectue en un seul clic.

Pour en savoir plus, reportez-vous à « Règles ».

Zone de message, variable de port réseau

Le numéro de port réseau apparaît désormais dans la zone de message Port bloqué, si applicable. Cela facilite le dépannage.

Pour en savoir plus, reportez-vous à « Paramètres de message ».

Non-prise en compte du filtrage des événements pour un élément de règle

Une nouvelle option a été ajoutée à la zone Ignorer le filtrage des événements. Lorsque vous sélectionnez cette option pour une règle spécifique, lorsqu'un ID d'événement est sélectionné dans la boîte de dialogue Audit, cet événement est généré pour la règle en question, quels que soient les paramètres de filtrage des événements. Ainsi, même si aucun type de fichier n'a été sélectionné, l'événement est quand même généré pour cette règle.

Pour en savoir plus, reportez-vous à « Éléments autorisés » et à « Éléments refusés ».

Prise en charge du composant BitLocker pour Suspendre/Reprendre

Une nouvelle option a été ajoutée sous Privilèges utilisateur > Composants, qui vous permet désormais de désactiver ou de suspendre BitLocker, et l'option Activer a été étendue pour inclure Reprendre. Cela vous donne un contrôle plus précis du composant BitLocker.

Pour en savoir plus, reportez-vous à « Privilèges utilisateur - Composants contrôlés ».

Redirection d'URL - Liste blanche

La fonction Redirection d'URL permet de rediriger automatiquement les utilisateurs lorsqu'ils tentent d'accéder à l'URL spécifiée. En définissant la liste des URL interdites, vous redirigez tous les utilisateurs qui tentent d'accéder à une URL de la liste vers une page d'avertissement par défaut ou une page Web personnalisée.

Cette fonction a été améliorée dans la version 10.1 FR3. Elle permet désormais de mettre sur liste blanche des URL spécifiques pour répondre aux scénarios d'utilisation suivants :

  • Contrôler l'accès au sein d'un seul domaine : il est possible d'interdire l'accès à un domaine tout en autorisant l'accès à certains de ses sous-domaines. Par exemple, vous pouvez refuser l'accès à www.entreprise.com tout en autorisant l'accès à www.entreprise.com/ressources.

Vidéo d'autorisation d'URL

  • Implémenter une approche par liste blanche afin de contrôler l'accès Internet pour votre entreprise. En créant une redirection qui interdit l'accès à tous les sites Internet, vous pouvez ajouter des éléments pour autoriser l'accès aux sites Web qui doivent être disponibles pour votre personnel.

Vidéo Liste blanche d'URL

Pour en savoir plus sur cette fonction, reportez-vous à « Redirection d'URL ».

Suppression de la limite de 255 caractères des messages

Nous avons supprimé la limite de 255 caractères pour les messages affichés pour les utilisateurs finaux.

Dans les boîtes de dialogue Paramètres de message et Arrêt d'application de la console Application Control, l'administrateur peut configurer le texte affiché pour les utilisateurs finaux dans les différents types de message. Dans les versions 10.1 FR2 et antérieures, ce texte était limité à 255 caractères. Dans cette version, la limite a été supprimée et vous pouvez entrer davantage d'informations.

Pour en savoir plus, reportez-vous à « Paramètres de message ».

Prise en charge de variables d'environnement supplémentaires dans la zone de message Application refusée

Vous pouvez afficher des variables d'environnement supplémentaires dans la zone de message Application refusée.Depuis la version 10.1 FR3, toutes les informations incluses dans le journal Application refusée peuvent être utilisées.

Pour en savoir plus, reportez-vous à « Accès refusé ».

Scripts PowerShell dans les conditions personnalisées

Outre les scripts VBScript et JScript, vous pouvez désormais créer et utiliser des scripts PowerShell dans les conditions personnalisées.

Pour en savoir plus, reportez-vous à « Conditions scriptées ».

Audit des processus enfant élevés pour la gestion des privilèges utilisateur

Les journaux d'audit capturent désormais les détails des processus enfant élevés. Si l'option Appliquer aux processus enfant est sélectionnée dans la configuration, après l'élévation du processus principal, cette élévation s'applique également à tous les processus enfant. Cependant, dans les versions 10.1 FR2 et antérieures, le système n'effectuait aucun audit de ces processus enfant, d'où un manque de visibilité sur les activités associées. Les journaux d'audit 10.1 FR3 capturent désormais les détails du processus principal et ceux de tous les processus enfant, pour améliorer la visibilité d'audit.

Pour en savoir plus sur les endroits où utiliser l'option Appliquer aux processus enfant, reportez-vous à « Éléments de règle » et à « Auto-élévation ».

Il n'y a aucune nouveauté dans la présente version.

Changement de marque et de nom de la console

La console Application Manager a été mise à jour pour refléter le nouveau nom de l'entreprise, Ivanti. Cliquez ici pour en savoir plus. Outre le changement de marque (AppSense devient Ivanti), Application Manager s'appelle désormais Application Control, à compter de la présente version.

La console Application Control, de même que les composants du poste client, ont été mis à jour pour refléter ces changements.

Vous verrez peut-être encore le nom AppSense Application Manager dans certaines zones, comme le registre ou les services. Cela permet de rendre la transition aussi peu gênante que possible pour les utilisateurs existants d'Application Control.

Actualisation des icônes

Après avoir apporté d'importants changements à la conception de la console User Workspace Manager à la version 10, nous avons tenu compte des commentaires, et remis une touche de couleur dans les consoles en actualisant et en mettant à jour certaines des icônes utilisées dans la console Application Control.

Journalisation d'audit étendue

La journalisation des événements Application Control (Contrôle des applications) a été étendue pour inclure les éléments suivants :

  • Nouvel événement correspondant au démarrage et à l'arrêt de services par un utilisateur
  • Nom du processus parent, désormais présent dans les événements 9000
  • Nom du propriétaire du fichier, désormais présent dans les événements 9000
  • Règle déterminante désormais incluse dans les événements

Pour en savoir plus sur l'audit Application Control (Contrôle des applications), reportez-vous à « Audit ».

Condition du système d'exploitation Windows

Le modèle de mise à jour Microsoft utilise désormais les numéros de Build pour identifier les différents Service Packs et versions des fonctions. Lorsque vous créez une règle de système d'exploitation d'ordinateur, vous pouvez spécifier le numéro de Build et configurer la règle pour rechercher le numéro de Build entré, ou utiliser cette valeur comme maximum ou minimum de Build.

Pour en savoir plus, reportez-vous à « Conditions d'ordinateur ».

Métadonnées étendues avec vérification du certificat numérique

Lors de la vérification d'un fichier à l'aide des métadonnées, les administrateurs peuvent comparer l'ensemble du certificat pour déterminer l'authenticité du fichier et savoir s'il s'agit de métadonnées de confiance. Cette fonction inclut également une vérification en temps réel du certificat, qui permet de diagnostiquer les éventuels problèmes en sélectionnant différentes combinaisons ou différents paramètres de vérification. Lorsque vous configurez les paramètres, l'état du certificat est mis à jour.

Pour en savoir plus, reportez-vous à « Métadonnées» et à « Options de vérification ».

Améliorations apportées à l'auto-élévation

L'auto-élévation a été étendue pour prendre en charge tous les types de fichier. Les administrateurs peuvent aussi spécifier que certaines extensions de fichier ne peuvent être élevées que si les fichiers sont ouverts dans des applications spécifiques. Par exemple, vous pouvez préciser que les fichiers VBS ne peuvent être élevés qu'avec wscript.exe.

Pour en savoir plus, reportez-vous à « Auto-élévation ».

Correspondance de ligne de commande

Application Control (Contrôle des applications) peut désormais appliquer des règles non seulement sur la base de l'application ouverte, mais aussi en fonction des arguments de ligne de commande. Cela s'avère utile si l'accès complet à une application n'est pas nécessaire, mais que des utilisateurs spécifiques ont besoin de lancer certains fichiers ou d'exécuter des applications sous certaines conditions. Il est possible d'ajouter des arguments de ligne de commande pour les éléments de règle Fichier et Signature.

Cette fonction inclut aussi deux nouveaux paramètres avancés : Valider les scripts PowerShell et Valider les archives Java. Lorsque ces paramètres sont activés, powershell.exe, powershell_ise.exe et java(w).exe sont bloqués, et les fichiers PS1 et JAR sont soumis à la vérification Trusted Ownership. Il est ensuite possible d'ajouter des fichiers spécifiques aux règles qui n'ont pas besoin d'un propriétaire de confiance. Ajoutez powershell.exe ou java(w).exe à une règle pour les autoriser pour des utilisateurs spécifiques, alors qu'ils sont bloqués pour tous les autres utilisateurs. Par exemple, vous pouvez être amené à autoriser powershell.exe pour vos développeurs, afin qu'ils puissent lancer n'importe quel script PowerShell.

Pour en savoir plus, reportez-vous à « Éléments de règle » et à « Paramètres avancés ».

Protection de processus

La fonction Contrôles système dans Application Control (Contrôle des applications) a été étendue pour inclure la protection des processus. Avec cette amélioration, il est possible de protéger le processus spécifié (comme un logiciel antivirus) d'un arrêt par tous les utilisateurs, y compris les administrateurs.

Pour en savoir plus, reportez-vous à « Contrôles système ».

Prise en charge améliorée des applis Windows Store

Nous avons enrichi le contrôle des applications Windows Store. Il est possible de bloquer ou d'autoriser des applications sur la base de l'éditeur de l'application. L'utilisation de l'éditeur pour les applis téléchargées en dossier intermédiaire permet de contrôler plusieurs applis. Il est ainsi possible de configurer une restriction pour toutes les applis Windows Store, tout en autorisant celles qui ont été chargées en dossier intermédiaire par une entreprise ou un département IT.

Pour en savoir plus, reportez-vous à « Éléments de règle ».

Demande de changement de stratégie par règle

Les administrateurs peuvent activer la fonction Demande de changement de stratégie séparément pour chaque règle. Vous pouvez ainsi configurer le type de demande de changement et les méthodes de demande disponibles de façon différente pour les différents utilisateurs ou groupes d'utilisateurs. Certains aspects de cette fonction, comme la spécification de l'adresse e-mail et de la clé partagées, restent globaux.

Pour en savoir plus, reportez-vous à « Demandes de changement de stratégie ».