Règle Autoriser/Refuser

Une règle d'autorisation permet d'autoriser des utilisateurs, des groupes ou des périphériques à accéder à des éléments spécifiques, comme des fichiers, des dossiers, des applications, des connexions réseau et la redirection des URL, sans fournir de privilèges d'administration complets.

Une règle de refus permet de refuser aux utilisateurs, aux groupes ou aux périphériques l'accès à des éléments spécifiques, comme des fichiers, des dossiers, des applications, des connexions réseau ou la redirection des URL.

Étapes du workflow de création de règles :

  1. Quelle règle voulez-vous créer ?
  2. Quels éléments voulez-vous autoriser/refuser ? Vous pouvez autoriser/refuser les types suivants :
  3. Quand la règle est-elle affectée ?
  4. Récapitulatif et enregistrement

Options Quoi/Quel

L'option Fichier/Application vous permet de créer une règle qui autorise/refuse l'exécution d'applications ou de fichiers spécifiques.

Pour configurer les fichiers/applications, reportez-vous à « Créer une règle d'autorisation/de refus pour des fichiers/applications ».

Application Network Access Control (ANAC) permet de contrôler les connexions réseau sortantes par adresse IP, nom d'hôte, URL, nom UNC ou port, sur la base du résultat du traitement des règles.

Les types de connexion suivants sont disponibles :

  • Adresse IP - Sélectionnez cette option pour contrôler l'accès à une adresse IP spécifique.

  • Partage réseau - Sélectionnez cette option pour contrôler l'accès aux chemins UNC. Le préfixe \\ est ajouté au champ Hôte.

  • Nom d'hôte - Sélectionnez cette option pour contrôler l'accès à un nom d'hôte spécifique.

Les options de connexion suivantes sont disponibles :

  • Hôte   Adresse IP ou nom d'hôte de la connexion réseau. Cette valeur dépend du type de connexion choisi. Vous pouvez utiliser les caractères génériques ? et *. Vous pouvez utiliser le tiret (-) pour spécifier une plage, mais uniquement si l'option Adresse IP est sélectionnée.

    • L'adresse IP doit être au format octal IP4. Par exemple, n.n.n.n

    • Si vous avez sélectionné le type de connexion Partage réseau, le préfixe \\ est requis.

    • Vous pouvez entrer le chemin complet de la ressource cible dans le champ Hôte.

  • Port : Numéro de port de la connexion réseau. Vous pouvez utiliser cette valeur en plus de l'adresse IP ou du nom d'hôte pour contrôler l'accès à un port spécifique. Les plages et les valeurs séparées par une virgule sont admises dans le numéro de port.
    Cliquez sur Ports pour afficher la liste des ports couramment utilisés. Sélectionnez autant de ports que nécessaire.

  • Chemin : Chemin de la connexion réseau. Vous pouvez utiliser les caractères génériques ? et *. Pour utiliser :

    • Le texte contient des caractères génériques - Sélectionnez cette option pour utiliser les caractères ? et * comme caractères génériques dans le chemin. Si l'option n'est pas sélectionnée, ? et * sont considérés comme des délimiteurs d'URL.

    • Utiliser des expressions régulières - Sélectionnez cette option pour utiliser des expressions régulières pour le chemin sélectionné.

    • Inclure les sous-répertoires - Sélectionnez cette option pour inclure les sous-répertoires dans le traitement des règles.

    • Applicable uniquement si vous avez choisi le type de connexion Partage réseau.

    L'option Chemin n'est pertinente que pour contrôler HTTP.

Pour configurer ANAC, reportez-vous à « Créer une règle Autoriser/Refuser pour la connexion réseau/Application Network Access Control (ANAC) ».

La redirection d'URL permet aux administrateurs de créer des règles pour rediriger automatiquement les utilisateurs lorsqu'ils tentent d'accéder à l'URL spécifiée. En définissant la liste des URL interdites, vous redirigez tous les utilisateurs qui tentent d'accéder à une URL de la liste vers une page d'avertissement par défaut ou une page Web personnalisée. Vous pouvez aussi choisir d'autoriser certaines URL. Combinée aux redirections, cette fonction vous offre davantage de flexibilité et de contrôle, et vous permet de créer une liste de sites Web autorisés.

* La page par défaut Accès refusé affiche l'URL bloquée.
* Pour la redirection d'URL dans les navigateurs Chrome et Edge, tous les postes client gérés doivent faire partie d'un domaine.

Pour configurer la redirection d'URL, reportez-vous à « Créer une règle Autoriser/Refuser pour une URL ».

Création de la règle Autoriser/Refuser - Que souhaitez-vous autoriser ?

  1. Sur la page Que voulez-vous faire ?, sélectionnez Je veux autoriser/refuser.
  2. Cliquez sur Suivant.
    La page Règle Autoriser/Refuser - Que voulez-vous autoriser/refuser ? apparaît.
  3. Sélectionnez l'option suivante et cliquez sur Suivant.
    • Fichier/Application : Autorisez/refusez l'exécution d'applications ou de fichiers spécifiques.
  4. Sous Sélectionner une source, utilisez le menu déroulant pour choisir la source des éléments. Options disponibles :
    • Bloqué par un propriétaire de confiance (Trusted Owner) (applicable uniquement pour une règle Autoriser) : Remplit la section Éléments source avec la liste de tous les éléments qu'App Control a consignés comme étant bloqués parce que n'appartenant à aucun propriétaire de confiance.
    • Modèles d'appli : Remplit la section Éléments source avec la liste de tous les Modèles d'appli qui ont été créés dans App Control.
    • Vous pouvez également sélectionner Ajouter un fichier manuellement pour afficher le volet Paramètres d'éléments de règle et préciser le fichier pour lequel créer la règle d'autorisation.
  5. Sélectionnez les éléments requis. Lors de la sélection, chaque élément est ajouté à la section Éléments sélectionnés.
    Vous pouvez modifier les paramètres d'élément Propriétés et Métadonnées en cliquant sur Icône de points de suspension pour ouvrir le volet Paramètres d'éléments de règle.
  6. Cliquez sur Suivant.
    La page Règle Autoriser/Refuser - Quand est affecté cet élément ? apparaît.
  7. Continuer avec les étapes Création de la règle Autoriser/Refuser - Quand est affecté cet élément ? et Récapitulatif.
  1. Sur la page Que voulez-vous faire ?, sélectionnez Je veux autoriser/refuser.
  2. Cliquez sur Suivant.

    La page Règle Autoriser/Refuser - Que voulez-vous autoriser/refuser ? apparaît.
  3. Sélectionnez l'option suivante :
    • Connexion réseau : Autoriser/refuser des connexions réseau spécifiques.
  4. Sous Sélectionner une source, utilisez la liste déroulante pour sélectionner Connexions réseau.
  5. Sous Connexion réseau, spécifiez un type de connexion, puis entrez l'hôte, les ports ou le chemin d'accès appropriés pour configurer les détails de la connexion :
    • Adresse IP : Pour autoriser/refuser une adresse IP ou une plage d'adresses IP.
    • Partage réseau : Pour autoriser/refuser un partage réseau. Entrez le chemin du partage réseau sur l'hôte.
    • Nom d'hôte : Pour autoriser/refuser un hôte. Entrez un nom d'hôte
  6. Cliquez sur Ajouter > Suivant.
    La page Règle Autoriser/Refuser - Quand est affecté cet élément ? apparaît.
  7. Continuer avec les étapes Création de la règle Autoriser/Refuser - Quand est affecté cet élément ? et Récapitulatif.
  1. Sur la page Que voulez-vous faire ?, sélectionnez Je veux autoriser/refuser.
  2. Cliquez sur Suivant.

    La page Règle Autoriser/Refuser - Que voulez-vous autoriser/refuser ? apparaît.
  3. Sélectionnez l'option suivante :
    • URL : Autoriser/refuser des URL spécifiques.
  4. Sous Sélectionner une source, utilisez la liste déroulante pour sélectionner URL.
  5. Sous URL, spécifiez l'URL à laquelle autoriser/refuser l'accès.
  6. (Facultatif) : Règle Refuser : Sélectionnez l'option appropriée parmi les suivantes, à afficher pour refuser l'accès :

    • Afficher la page d'avertissement Application Control par défaut si l'URL est refusée

    • Afficher une page personnalisée si l'URL est refusée

      • Entrez l'URL à afficher.

  7. Cliquez sur Ajouter > Suivant.
    La page Règle Autoriser/Refuser - Quand est affecté cet élément ? apparaît.
  8. Continuer avec les étapes Création de la règle Autoriser/Refuser - Quand est affecté cet élément ? et Récapitulatif.

Création de la règle Autoriser/Refuser - Quand est affecté cet élément ? et Récapitulatif

  1. Sous Sélectionner une source, utilisez la liste déroulante pour choisir la source des éléments. Toutes les sources sélectionnées ou ajoutées apparaissent dans la section Éléments sélectionnés. Options disponibles :
    • Groupes AD : Les noms d'affichage et de groupe AD sont répertoriés, vous pouvez utiliser la recherche et le filtre pour affiner la liste. Sinon, vous pouvez ajouter un groupe manuellement en cliquant sur Ajouter manuellement.
    • Utilisateurs AD : Entrez une valeur domaine\nom-utilisateur et cliquez sur Ajouter.
    • Utilisateurs App Control : Nom des utilisateurs pour lesquels App Control a enregistré un événement. Sélectionnez les utilisateurs requis.
    • Groupes d'ordinateurs : Indiquez le nom du groupe d'ordinateurs, par exemple : CN=GroupeOrdinateurs. Pour inclure des groupes imbriqués, sélectionnez Rechercher les groupes imbriqués. Cliquez sur Ajouter.
    • Unités org. des périphériques : Indiquez une unité organisationnelle (OU), par exemple : OU=Société. Pour inclure des sous-OU, sélectionnez Inclure les sous-OU. Cliquez sur Ajouter.
    • Périphériques : Nom de périphérique et nom d'hôte de tous les périphériques Windows découverts par Neurons sont répertoriés ; vous pouvez utiliser la recherche et le filtre pour affiner la liste. Sinon, vous pouvez ajouter un périphérique manuellement en cliquant sur Ajouter manuellement.
    • Adresses IP : Entrez les adresses IP et précisez si vous voulez leur faire correspondre des expressions régulières. Cliquez sur Ajouter.

      Exemple :
      • 192.168.0.1 - Sélectionner le périphérique client portant l'adresse IP 192.168.0.1
      • 192.168.0.* - Sélectionner les périphériques client portant l'adresse IP 192.168.0.<any>
      • 192.168.0.15-25 - Sélectionner tous les périphériques client figurant dans la plage IP 192.168.0.15 à 192.168.0.25

    • Vous pouvez également sélectionner Tout le monde afin de créer la règle pour le groupe Tout le monde. Cela inclut tous les utilisateurs qui se connectent à un périphérique où la configuration a été déployée avec succès, à l'exception des administrateurs.
  2. Une fois que vous avez terminé avec Éléments sélectionnés. Cliquez sur Suivant.

    La page Enregistrer la règle et Récapitulatif des règles apparaît.
  3. Entrez un nom pour la règle et (facultatif) fournissez une description.
  4. Sous Catégories, entrez (facultatif) une balise de catégorie pour la règle.

    Vous pouvez ajouter une catégorie existante ou en créer une nouvelle. Les catégories affectées à une règle figurent dans la table Règles de configuration.
    • Pour en ajouter : Cliquez dans la zone Catégories pour afficher la liste déroulante des catégories existantes et sélectionnez les catégories voulues.
    • Pour en créer : Cliquez dans la zone Catégories et entrez la nouvelle balise de catégorie, puis cliquez hors du champ pour créer et enregistrer la catégorie.
  5. L'état par défaut de la règle doit être Actif. Si vous ne voulez pas encore rendre cette règle active, définissez l'option État des règles sur Inactif.
  6. Cliquez sur Enregistrer pour enregistrer la règle et revenir à la configuration, où vous verrez la nouvelle règle dans la section Règles.

    Vous pouvez également cliquer sur Enregistrer et ajouter un autre pour enregistrer la règle et revenir à la page Que voulez-vous faire ? afin de créer une autre règle pour la configuration.
  7. Lorsque vous avez ajouté toutes les règles à la configuration, cliquez sur Enregistrer pour enregistrer la configuration en tant que brouillon. Ou cliquez sur Enregistrer et publier pour enregistrer cette version de la configuration.
    Une fois publiée, la configuration est disponible pour affectation à une stratégie.