Paramètres de configuration
Vous pouvez définir des paramètres de message et des paramètres avancés pour chaque configuration.
Paramètres de message
Les paramètres de message servent à définir la façon dont les zones de message s'affichent pour les utilisateurs et pour spécifier le contenu des messages affichés lorsque les utilisateurs tentent de lancer des applications, conformément aux règles de configuration.
Vous pouvez définir les messages utilisateur suivants :
- Accès refusé : Définissez le message qui s'affiche lorsque l'exécution d'une application est refusée.
Vous pouvez désactiver l'affichage de ce message pour l'utilisateur pour chaque élément de la règle Refuser, dans le volet Paramètres d'éléments de règle > onglet Propriétés > section Options.
- Invites d'élévation : Définissez les messages qui s'affichent lorsque des droits élevés sont requis pour exécuter une application :
- Définissez le message qui s'affiche lorsque des droits élevés sont requis pour exécuter une application.
Vous pouvez activer cette invite de message pour chaque élément de la règle d'élévation, dans le volet Paramètres d'éléments de règle > onglet Propriétés > section Stratégie. - Définissez le message qui s'affiche lorsque des droits élevés sont requis et qu'une raison doit être fournie pour exécuter une application.
Vous pouvez activer cette invite de message pour chaque élément de la règle d'élévation, dans le volet Paramètres d'éléments de règle > onglet Propriétés > section Stratégie.
- Définissez le message qui s'affiche lorsque des droits élevés sont requis pour exécuter une application.
Pour chaque type de message, définissez les éléments suivants :
- Légende : Texte à afficher en haut du message. Par exemple, vous pouvez remplacer la légende par défaut (App Control) pour que l'utilisateur ne sache pas qu'App Control est intervenu.
- Bannière : Entrez le texte à afficher dans une bannière de couleur. Pour supprimer la bannière de couleur de la zone de message, effacez simplement ce champ afin qu'il reste vide.
- Corps du message : Entrez le texte à afficher dans le corps du message.
- Largeur : Spécifiez la largeur de la boîte de dialogue de message. La largeur est mesurée en pixels et s'applique à tous les messages.
- Hauteur : Spécifiez la hauteur de la boîte de dialogue de message. La hauteur est mesurée en pixels et s'applique à tous les messages.
Astuces pour les messages
Lorsque vous configurez des messages, tenez compte des points suivants :
- Les variables d'environnement sont prises en charge dans la légende, la bannière et le message.
- Si vous utilisez des liens hypertextes dans le corps du message, vous devez entrer la balise d'attribut HREF complète.
- Pour insérer des chevrons Inférieur à ou Supérieur à dans le corps du message, utilisez respectivement < et >. JavaScript n'est pas pris en charge.
Variables d'environnement dans la zone de message
Les messages prennent en charge les variables d'environnement système et utilisateur, ainsi que les variables suivantes définies par App Control :
|
Variable d'environnement |
Description |
|---|---|
| %ExecutableName% | Nom de l'application refusée. |
| %FullPathName% | Chemin complet de l'application refusée. |
| %DirectoryName% | Répertoire où l'application refusée est stockée. |
| %NetworkLocation% | Adresse IP résolue correspondant au nom d'hôte indiqué. |
| %AC_Hash% | Hachage de fichier. |
| %AC_FileSize% | Taille du fichier. |
|
%AC_ProductVersion% |
Version du produit. |
|
%AC_FileVersion% |
Version du fichier. |
| %AC_ProductName% |
Nom du produit. |
| %AC_CompanyName% |
Nom de l'entreprise. |
| %AC_Vendor% |
Nom du signataire du certificat. |
| %AC_FileDescription% |
Description du fichier. |
| %AC_ParentProcess% |
Nom du processus qui l'a démarré. |
| %AC_DecidingRule% |
Nom de la règle d'autorisation dans la configuration App Control. |
| %AC_FileOwner% |
Propriétaire du fichier. |
| %AC_ClientName% |
Nom du périphérique de connexion. |
|
%AC_PortNumber% |
Nom du port réseau (si applicable, uniquement). Si le numéro de port est différent de 0, il apparaît à la fin de l'adresse IP bloquée. |
Paramètres avancés
Paramètres de stratégie
Configurez les paramètres de stratégie généraux, de validation et de fonctionnalité à appliquer à toutes les demandes d'exécution d'application.
Fonctions générales
- Refuser les fichiers sur partage réseau : La valeur par défaut de configuration des partages réseau consiste à tout refuser, sauf les éléments figurant dans une règle Autoriser. Si vous désactivez ce paramètre, tout le contenu du partage réseau est autorisé, sauf si l'élément échoue lors de la vérification Trusted Ownership ou s'il figure dans une liste Refuser.
Validation
- Valider les paquets MSI (Windows Installer) : Les fichiers MSI constituent la méthode standard d'installation des applications Windows. Il est recommandé d'interdire à l'utilisateur d'installer librement des applications MSI.
Lorsque cette option est activée (paramètre par défaut), l'exécution de msiexec.exe est refusée et tous les fichiers MSI sont soumis à la validation des règles.
Lorsque ce paramètre est désactivé, msiexec.exe n'est pas bloqué et les fichiers MSI sont autorisés à s'exécuter, sous réserve de validation des règles. - Valider les scripts PowerShell : Lorsque cette option est activée, le système interdit l'exécution de powershell.exe et powershell_ise.exe. Cependant, si un script PowerShell (fichier PS1) est détecté sur la ligne de commande, il est soumis à une validation par la règle.
Lorsque cette option est désactivée (paramètre par défaut), powershell.exe et powershell.ise.exe ne sont plus bloqués, et les fichiers PS1 ne sont plus soumis à validation par les règles.- Bloquer -Command : Quand cette option est activée (paramètre par défaut), toutes les lignes de commande PowerShell qui incluent -Command sont bloquées.
Pour modifier le niveau de sécurité, vous pouvez être amené à désélectionner cette option afin d'autoriser -Command.
Exemple : Dans l'Explorateur de fichiers, cliquez avec le bouton droit sur un fichier PS1 et sélectionnez Exécuter avec PowerShell. L'Explorateur ajoute automatiquement la commande -Command pour interroger la stratégie d'exécution actuelle et afficher une invite utilisateur pour demander à cette personne si elle veut la modifier. Pour qu'App Control évalue les fichiers PS1 exécutés de cette façon et ne se contente pas de les bloquer, désactivez l'option Bloquer -Command.Sachez que, si cette option est désactivée, tous les fichiers PS1 de confiance peuvent être modifiés à l'aide d'un code malveillant inséré via un argument -Command, qui s'exécutera parce que le fichier proprement dit est marqué De confiance.
- Bloquer -Command : Quand cette option est activée (paramètre par défaut), toutes les lignes de commande PowerShell qui incluent -Command sont bloquées.
- Autoriser CMD pour les fichiers batch : On s'attend à ce que les administrateurs interdisent explicitement cmd.exe dans leur configuration App Control.
Lorsque cette option est activée (paramètre par défaut), cmd.exe est autorisé à s'exécuter. Si une règle refuse explicitement cmd.exe, ce dernier n'est pas autorisé à s'exécuter seul, mais les fichiers batch s'exécutent, sous réserve de validation des règles.
Lorsque ce paramètre est désactivé, cmd.exe n'est pas autorisé à s'exécuter mais tous les fichiers batch le sont. Si une règle refuse explicitement cmd.exe, tous les fichiers batch sont bloqués. Ils ne sont même pas évalués. - Valider les scripts WSH (Windows Script Host) : Les scripts peuvent introduire des virus et du code malveillant, il est donc recommandé de valider les scripts WSH.
Lorsque cette option est activée (paramètre par défaut), cscript.exe et wscript.exe sont refusés. Cependant, l'exécution de scripts js ou vb est soumise à la validation des règles.
Lorsque ce paramètre est désactivé, cscript.exe et wscript.exe ne sont plus bloqués par défaut, et les scripts js ou vb ne sont plus soumis à la validation des règles. - Valider les fichiers de registre : Lorsque cette option est activée (paramètre par défaut), regedit.exe et regini.exe sont refusés. L'exécution d'un script .reg est soumise à la validation des règles.
Lorsque ce paramètre est désactivé, regedit.exe et regini.exe ne sont plus bloqués par défaut. De plus, les scripts .reg ne sont plus soumis à la validation des règles. - Valider les archives Java : Lorsque cette option est activée (paramètre par défaut), java.exe et javaw.exe sont refusés. Cependant, si une archive Java (fichier JAR) est détectée sur la ligne de commande, elle est soumise à la validation des règles.
Lorsque ce paramètre est désactivé, java.exe et javaw.exe ne sont plus bloqués par défaut, et les fichiers JAR ne sont plus soumis à la validation des règles.
Fonction
- Activer le contrôle d'accès aux applications : Lorsque cette option est activée, le contrôle d'accès est appliqué par les règles de refus de la configuration.
Lorsque ce paramètre est désactivé, toutes les règles de refus sont ignorées, aucun accès aux applications n'est refusé, tout est autorisé. - Activer la gestion des privilèges utilisateur : Lorsque cette option est activée, les privilèges utilisateur sont déterminés par les règles d'élévation de la configuration.
Lorsque ce paramètre est désactivé, toutes les règles d'élévation sont ignorées et aucune élévation d'application n'est autorisée.
Paramètres personnalisés
Configurez les paramètres supplémentaires à appliquer aux postes client gérés :
- Exclusions de hooks de pilote : Sélectionnez cette option pour exclure les hooks de pilote lors de l'exécution d'App Control. App Control injecte une DLL dans tous les processus en cours d'exécution pour mieux intercepter et modifier les comportements des processus, par exemple pour les autoriser ou les élever. Cette exclusion signifie que la DLL App Control n'est pas injectée.
Entrez le nom des fichiers pour créer la liste des exclusions de hook de pilote. Utilisez un point-virgule pour séparer les noms de fichier.
Vous ne devez utiliser ce paramètre personnalisé que sous la supervision de l'équipe de support technique Ivanti.
- Exclusions du pilote App Control : Sélectionnez cette option pour exclure le pilote App Control afin qu'il n'intercepte pas la demande de démarrage pour les processus spécifiques répertoriés. App Control possède un pilote qui empêche le démarrage d'un processus le temps d'effectuer des vérifications, notamment la mise en correspondance des règles ou le contrôle Trusted Ownership. Cette exclusion empêche ce pilote d'intercepter la demande de démarrage.
Entrez le nom des fichiers pour créer la liste des exclusions de pilote de filtre. Utilisez un point-virgule ou un espace pour séparer les noms de fichier.Pour prendre effet, ce paramètre nécessite un redémarrage de l'agent.
- Afficher un message pour les DLL bloquées : Sélectionnez cette option pour afficher le message « Accès refusé » App Control lorsqu'une DLL est bloquée.
- Protection du fichier de config : Sélectionnez cette option pour empêcher les utilisateurs et les administrateurs de lire, copier, modifier et supprimer le fichier de configuration App Control sur le poste client.
Paramètres d'audit
Configurez les paramètres généraux d'audit.
Consigner les événements App Control dans le journal d'événements d'application local : Sélectionnez cette option pour activer l'audit App Control. Tous les événements App Control sont capturés dans le journal d'événements d'application Windows local.
| ID d'événement | Nom | Description |
|---|---|---|
| 9018 | Privilèges utilisateur de l'application changés | Les privilèges utilisateur de l'application ont changé. |
| 9060 | Exécution refusée (Trusted Ownership) | Demande d'exécution refusée (Trusted Ownership) |
| 9061 | Exécution refusée (Règle de stratégie) | Demande d'exécution refusée (Règle de stratégie) |
| 9062 | Application démarrée avec des droits élevés | Une application a démarré avec des droits élevés (droits Admin complets) |