Règles de configuration

Les configurations App Control peuvent être créées avec des règles, qui sont ensuite vérifiées sur le poste client lorsqu'un utilisateur tente d'exécuter un fichier, en plus de la vérification Trusted Ownership.

Les règles App Control ne s'appliquent pas aux administrateurs.

Le niveau de sécurité de la configuration doit être défini sur Restreint pour que les règles prennent effet sur les postes client.

Vous pouvez créer des Modèles d'appli pour regrouper des éléments. Les modèles d'appli peuvent servir lors de la création ou de la modification de règles, pour remplir facilement la liste des éléments source.

Types de règle

Les règles servent à regrouper des actions qui répondent à une même condition. Sélectionnez le type d'action pour lequel vous voulez créer une règle.

Autoriser : Une règle d'autorisation accorde l'accès à des éléments spécifiques qui peuvent être restreints.

Refuser : Une règle de refus interdit l'accès à des éléments spécifiques.

Élever : Une règle d'élévation accorde des privilèges d'accès aux applications ou aux composants à un utilisateur non administrateur.

Fournisseur de confiance : Une règle de fournisseur de confiance accorde des permissions d'exécution pour un fournisseur et un élément spécifiques, si cet élément possède une signature numérique valide.

Création d'une règle

Vous pouvez créer une règle depuis une configuration ou en cliquant dans un graphique sur la page Vue d'ensemble :

Option 1 – Création d'une règle depuis la page Configurations

  1. Accédez à App Control (Contrôle des applis) > Configurations.
    La page Configurations s'affiche.
  2. Dans la table, repérez la configuration à laquelle ajouter une règle, puis cliquez dans la colonne Actions sur Icône de points de suspension pour ouvrir le menu Actions.
  3. Cliquez sur Modifier.
    La page Modifier la configuration s'affiche.
  4. Vous pouvez aussi choisir d'afficher la configuration avant de la modifier. Pour ce faire, dans la page Configurations, cliquez sur un nom de configuration.
    La page Configuration s'affiche.
    Cliquez sur le bouton Modifier.
    La page Modifier la configuration s'affiche.
  5. Dans la table Règles, cliquez sur +Ajouter une nouvelle règle.
    La page Configuration : <name> s'affiche.
  6. Sélectionnez le type de règle à créer et suivez la procédure de la rubrique liée correspondante :

Option 2 - Création d'une règle à partir de la page Vue d'ensemble (graphique Propriétaires non De confiance)

Vous pouvez créer une règle Autoriser pour les fichiers capturés comme ayant été exécutés sans propriétaire de confiance.

  1. Accédez à App Control > Vue d'ensemble.
    La page Vue d'ensemble apparaît.
  2. Cliquez sur le graphique Applications lancées avec des propriétaires non De confiance.
    La page Applications lancées avec des propriétaires non De confiance apparaît.
  3. Dans la table, repérez le fichier pour lequel créer une règle Autoriser, puis cliquez dans la colonne Actions sur pour ouvrir le menu d'options.
  4. Cliquez sur +Créer une règle.
    La boîte de dialogue Sélectionner une configuration apparaît.
  5. Sélectionnez la configuration à créer et à laquelle ajouter la règle.
  6. Cliquez sur Créer une règle.
    La page Configuration correspondant à la configuration sélectionnée s'affiche.
  7. Suivez le processus de création d'une règle Autoriser.

Option 3 - Création d'une règle à partir de la page Vue d'ensemble (graphique Privilèges élevés)

Vous pouvez créer une règle Élever pour les fichiers capturés comme ayant été exécutés avec des privilèges élevés.

  1. Accédez à App Control > Vue d'ensemble.
    La page Vue d'ensemble apparaît.
  2. Cliquez dans la table Applications exécutées avec des privilèges élevés.
    La page Applications exécutées avec des privilèges élevés s'affiche.
  3. Dans la table, repérez le fichier pour lequel créer une règle Élever, puis cliquez dans la colonne Actions sur pour ouvrir le menu d'options.
  4. Cliquez sur +Créer une règle.
    La boîte de dialogue Sélectionner une configuration apparaît.
  5. Sélectionnez la configuration à créer et à laquelle ajouter la règle.
  6. Cliquez sur Créer une règle.
    La page Configuration correspondant à la configuration sélectionnée s'affiche.
  7. Suivez le processus de création d'une règle Élever.

Paramètres d'éléments de règle

Le volet Paramètres d'éléments de règle est accessible depuis la page Quoi ? de la règle > section Éléments sélectionnés > icône > Modifier.

Onglet Propriétés

  • Nom d'affichage : Entrez le nom de fichier à afficher dans la colonne Nom de la table Règles.
  • Fichier : Entrez le fichier ou le chemin auquel la règle doit s'appliquer. Vous pouvez utiliser des caractères génériques pour faire correspondre plusieurs fichiers. Par exemple, C:\Program Files\*.exe correspond à tous les fichiers .exe du dossier Program Files.
    Les types de fichier acceptés sont exe, bat, cmd, vbs, wsf, js, msi, msp, ps1 et reg.
    • Utiliser une expression régulière : Sélectionnez cette option pour utiliser des expressions régulières pour la recherche de fichiers ou de chemins.
  • Arguments : Entrez tous les arguments tels qu'ils figurent dans l'Explorateur de processus (Process Explorer).
    Les arguments de ligne de commande étendent les critères de correspondance au-delà des valeurs entrées dans le champ Fichier. Si vous ajoutez un argument, le nom de fichier et l'argument doivent tous deux être satisfaits pour qu'une correspondance soit trouvée. Tous les arguments qui figurent dans la ligne de commande d'un processus peuvent être ajoutés, notamment les indicateurs, les commutateurs, les fichiers et les GUID.
    Vous pouvez choisir d'utiliser des expressions régulières.
    Fichier refuséFichier autoriséRésultat
    shutdown.exeshutdown.exe
    Arguments : -r -t 30    		shutdown.exe s'exécute uniquement si vous entrez -r -t 30 dans la ligne de commande. Tout autre mode d'exécution de shutdown.exe est refusé.

    Pour configurer correctement les arguments d'un élément autorisé ou refusé, vous devez les utiliser tels qu'ils figurent dans l'Explorateur de processus.

    Fichier : C:\Windows\System32\shutdown.exe

    Ligne de commande : C:\Windows\System32\shutdown.exe -r -t 30

    Sera configuré comme :

    Fichier : Chemin absolu ou relatif de shutdown.exe

    Arguments : -r -t 30

  • Description : (Facultatif) Entrez une description.
  • Options : Les options disponibles dépendent du type de règle.
    • Autoriser le fichier à s'exécuter même s'il n'appartient pas à un propriétaire de confiance : Applicable uniquement à un élément de règle Autoriser.
      La vérification Trusted Ownership (Propriétaire de confiance) est toujours activée. Par conséquent, une application doit toujours réussir cette vérification, même si cette application est un élément autorisé. Toutefois, si vous devez autoriser un utilisateur à accéder à un élément n'appartenant pas à un propriétaire de confiance, sélectionnez cette option.
    • Ne pas afficher le message Accès refusé en cas de refus : Applicable uniquement à un élément de règle Refuser.
      Sélectionnez cette option pour refuser l'élément en mode silencieux sans afficher aucun message Accès refusé pour l'utilisateur.
      Personnalisez les messages sous Paramètres de message de configuration.
  • Stratégie : Applicable uniquement à un élément de règle Élever.
    • Appliquer aux processus enfant : Par défaut, la stratégie d'auto-élévation appliquée aux éléments de règle n'est pas héritée par les processus enfant. Sélectionnez cette option pour appliquer la stratégie aux enfants directs du processus parent.
    • Appliquer aux boîtes de dialogue communes : Élève les droits d'accès aux options de menu Ouvrir le fichier et Enregistrer le fichier lorsqu'un fichier ou un dossier a été élevé.

      Pour empêcher les utilisateurs de modifier le système de fichiers avec des privilèges d'administration, cette option doit rester non sélectionnée.

    • Installer en tant que propriétaire de confiance : Désigne l'administrateur local comme propriétaire de tous les éléments créés par l'application spécifiée. Cette option n'est pas appliquée aux applications standard, uniquement aux paquets Programme d'installation.
    • Invite utilisateur avant l'élévation : Sélectionnez cette option pour afficher une invite d'auto-élévation pour l'utilisateur final avant l'élévation.
      Personnalisez le message sous Paramètres de message de configuration.
      • Nécessite une raison avant l'élévation : Sélectionnez cette option pour demander à l'utilisateur d'indiquer la raison de l'élévation.

Onglet Métadonnées

  • Nom de produit : Nom du produit.
    • Utiliser une expression régulière : Sélectionnez cette option pour utiliser des expressions régulières pour la recherche de noms de produit.
  • Fournisseur : Si le fichier porte une signature numérique, nom de fournisseur associé à cette signature.
    • Utiliser une expression régulière : Sélectionnez cette option pour utiliser des expressions régulières pour la recherche de fournisseurs.
    • Vérifier le certificat lors de l'exécution : Sélectionnez cette option pour vérifier le certificat fournisseur pendant la mise en correspondance du fichier.
      L'intégrité du fichier est également vérifiée pour garantir que ce fichier n'a pas été manipulé.

      Cela peut avoir un impact sur les performances si vous exécutez fréquemment des fichiers très volumineux.

  • Nom de société : Nom de l'entreprise qui a créé le fichier.
    • Utiliser une expression régulière : Sélectionnez cette option pour utiliser des expressions régulières pour la recherche de noms d'entreprise.
  • Description de fichier : Description du fichier.
    • Utiliser une expression régulière : Sélectionnez cette option pour utiliser des expressions régulières pour la recherche de descriptions de fichier.
  • Version de fichier : Plage de versions du fichier à faire correspondre.
    • Minimum : Numéro minimal de version du fichier à inclure pour la validation des règles.
    • Maximum : Numéro maximal de version du fichier à inclure pour la validation des règles.
  • Version de produit  : Plage de versions du produit à faire correspondre.
    • Minimum : Numéro minimal de version à inclure pour la validation des règles.
    • Maximum : Numéro maximal de version à inclure pour la validation des règles.

Rubriques connexes

Règle Autoriser/Refuser

Règle Élever

Règle Fournisseur de confiance