Configurations App Control

Une configuration App Control contient les paramètres de règle servant à gérer les postes client. Les fichiers de configuration sont installés sur les postes client gérés et servent de liste de contrôle des stratégies, qui permettent à l'agent App Control d'évaluer la manière de gérer les demandes d'exécution de fichier. Lors de l'exécution d'un fichier, App Control intercepte la demande et effectue une vérification par rapport à la configuration pour trouver la règle de correspondance appropriée et l'action à exécuter. Les autres stratégies par défaut spécifiées dans une configuration sont également appliquées, comme le mode d'affichage des notifications de message.

Après avoir créé ou modifié une configuration, vous devez l'enregistrer et la publier. Vous pouvez affecter la configuration à une stratégie. Une fois le processus de déploiement lancé, l'état de la configuration devient Actif et les règles prennent effet sur les postes client si le déploiement réussit.

Niveaux de sécurité

Le niveau de sécurité de la configuration détermine le niveau de restriction sur les postes client. Les niveaux suivants sont disponibles :

  • Non restreint : Il n'existe aucune restriction pour aucune application, toutes les activités sont autorisées. Cela peut s'avérer utile si vous souhaitez désactiver temporairement App Control sans le désinstaller.
  • Audit uniquement : Paramètre par défaut. Il n'existe aucune restriction pour aucune application, mais toutes les activités Trusted Ownership, de stratégie de configuration et de mise en correspondance des règles sont enregistrées et signalées dans App Control.
  • Restreint : Les restrictions sont déterminées par les règles de configuration. L'activité peut être restreinte pour des applications, des utilisateurs, des groupes et des périphériques spécifiques.

Paramètres de configuration par défaut

App Control est prêt à gérer votre sécurité dès que vous installez la stratégie d'agent et une configuration sur les postes client gérés. Lorsque vous créez une nouvelle configuration, vous pouvez l'utiliser immédiatement sans aucune personnalisation. Si le niveau de sécurité de la configuration est défini sur Restreint, cette configuration bloque tous les fichiers dont le propriétaire n'est pas marqué De confiance et interdit aux utilisateurs non administrateurs d'accéder aux exécutables des emplacements non sécurisés, y compris les dossiers réseau et les supports amovibles, en plus des paramètres par défaut de protection des stratégies.

Paramètres par défaut de protection des stratégies

  • Toutes les demandes d'exécution d'application et de processus sont comparées aux règles App Control avant que l'accès soit autorisé.
  • Les membres du groupe local Administrateurs disposent d'un accès illimité aux applications.
  • Si CMD dispose d'une règle de refus explicite, il est bloqué, sauf lors de l'exécution de fichiers batch autorisés.
  • Les fichiers MSI, WSH, les archives Java et les fichiers de registre sont comparés aux règles App Control.
  • Les installations autorisées peuvent exécuter tous les fichiers exe et dll qui font partie du processus d'installation.
  • Les administrateurs et les utilisateurs non administrateurs ne sont pas autorisés à lire, copier, modifier et supprimer un fichier de configuration App Control directement sur un poste client.

États de configuration

  • Publication : La configuration est en cours de publication.
  • Publié : La configuration a été enregistrée et publiée. Elle est disponible pour affectation à une stratégie d'agent.
  • Échec de la publication : La configuration n'a pas pu être publiée.
  • Affecté : La configuration est affectée à une stratégie d'agent.
  • Actif : La configuration est affectée à une stratégie d'agent et le processus de déploiement sur les postes client a été lancé.
  • Dépublication : La configuration est en cours de dépublication.
  • Dépublié : La configuration a été dépubliée.
  • Échec de la dépublication : La configuration n'a pas pu être dépubliée.
  • Précédemment publié : La configuration a été remplacée.

Alertes

Les alertes concernent l'un des avertissements suivants :

  • La configuration associée à la stratégie nécessite une mise à jour du schéma.
  • La stratégie associée à la configuration comporte un paramètre de redémarrage mal défini. Vous devez sélectionner Demander le redémarrage si nécessaire sous Paramètres de stratégie d'agent.

Schémas

Si une version d'une configuration nécessite une mise à jour du schéma, une alerte s'affiche dans la colonne Alertes. Cliquez sur l'icône . La page Modifier la configuration apparaît avec une bannière d'avertissement, vous informant que vous devez mettre à jour le schéma. Cliquez sur Mettre à jour le schéma. La boîte de dialogue Mettre à jour le schéma apparaît. Cliquez sur Mettre à jour le schéma.

Vous pouvez modifier une configuration et enregistrer le brouillon sans mettre à jour le schéma, mais vous ne pouvez pas enregistrer et publier la configuration tant que le schéma n'a pas été mis à jour.

Création d'une configuration

Pour créer une configuration App Control :

  1. Accédez à App Control (Contrôle des applis) > Configurations.
    La page Configurations s'affiche.
  2. Cliquez sur Créer une configuration.
    La page Nouvelle configuration s'affiche.
  3. Entrez un nom pour la configuration. (Facultatif) Entrez une description.
  4. Définissez un niveau de sécurité pour déterminer le niveau de restrictions que les règles de configuration vont appliquer aux utilisateurs, aux groupes ou aux périphériques.
    Vous pouvez choisir de garder la valeur de configuration par défaut (Niveau de sécurité : Audit uniquement). Cela active la fonction Trusted Ownership sur les postes client qui reçoivent cette configuration.
    Sinon, vous pouvez définir Niveau de sécurité sur Restreint et créer des règles pour contrôler l'utilisation des applications sur les postes client avec des règles Autoriser, Refuser, Élever et Fournisseur de confiance, et (facultatif) personnaliser les paramètres du message App Control à afficher pour l'utilisateur final lorsqu'App Control interdit le lancement d'une application. Pour en savoir plus sur la création de règles de configuration, reportez-vous à « Règles de configuration ».
  5. Cliquez sur Créer pour enregistrer la configuration.
    La page Modifier la configuration s'affiche.
  6. Cliquez sur Ajouter une nouvelle règle pour commencer à créer des règles dans votre configuration afin de déterminer si des éléments spécifiques doivent être autorisés, refusés, élevés ou appartenir à un fournisseur de confiance. Pour en savoir plus sur la création de règles, reportez-vous à « Règles de configuration ».
  7. Cliquez sur l'onglet Paramètres pour configurer les paramètres de message, les paramètres avancés et les paramètres d'audit pour la configuration. Pour en savoir plus sur les paramètres, reportez-vous à « Paramètres de configuration ».
  8. Cliquez sur Enregistrer pour créer un brouillon de la configuration, ou cliquez sur Enregistrer et publier pour enregistrer cette version de la configuration.
    Une configuration doit être publiée pour être disponible pour affectation à une stratégie en vue de son déploiement sur les postes client.
  9. La configuration est répertoriée dans la table Configurations.

Actions

La table répertorie toutes les configurations non archivées. Les actions suivantes sont disponibles pour chaque configuration :

  • Afficher : Sélectionnez cette option pour afficher la configuration.
  • Modifier : Sélectionnez cette option pour modifier la configuration. La version actuelle est enregistrée en tant que brouillon et toutes les versions restent inchangées. S'il n'existe aucun brouillon, un nouveau brouillon est créé à partir de la dernière version. Non disponible pour les configurations à l'état Publication.
  • Publier le brouillon : Sélectionnez cette option pour publier le brouillon, qui devient version 1. Pour toutes les publications ultérieures du brouillon, le numéro de version est incrémenté. Disponible uniquement pour les configurations dotées d'un brouillon.
  • Dépublier : Sélectionnez cette option pour dépublier la dernière version de la configuration. Disponible uniquement pour les configurations à l'état Publié et non affectées à une stratégie. Les versions dépubliées ne sont pas disponibles pour sélection dans Agent Policy (Stratégie d'agent).
  • Archiver : Sélectionnez cette option pour retirer la configuration des listes. La configuration n'est plus disponible pour utilisation et ne peut pas être récupérée. Disponible uniquement pour les brouillons ou lorsque la dernière version est à l'état Dépublié.

Affichage d'une configuration

Pour afficher une configuration, accédez à App Control > Configurations. Cliquez sur un nom de configuration ou, dans la colonne Actions, cliquez sur l'icône icône de points de suspension, puis sélectionnez Afficher.

Vous pouvez afficher les règles et les paramètres, et vous disposez des deux onglets supplémentaires suivants :

Historique

Affichez la liste de toutes les versions de la configuration, avec le nom de leur créateur et l'état de chaque version.

Stratégies

Affichez le nombre de stratégies d'agent auxquelles la configuration est associée et le nombre de postes client d'agent où la configuration a été déployée.

Les noms des stratégies associées sont répertoriés. L'icône indique que l'expérience de redémarrage de la stratégie est mal configurée. App Control exige que l'option Mise à jour auto de l'agent soit définie sur Demander le redémarrage si nécessaire. Reportez-vous à « Mise à jour automatique de l'agent »

Pour afficher la stratégie associée, cliquez sur l'icône icône de points de suspension dans la colonne Actions en face de la stratégie requise, puis sélectionnez Afficher. La page Agents > Stratégies d'agent > Stratégie d'agent apparaît. Dans cet écran, vous pouvez voir la fonction App Control, et modifier la configuration App Control associée et les paramètres de redémarrage.