Éléments autorisés

Dans cette section :

À propos des éléments autorisés

Ajoutez des éléments autorisés à des ensembles de règles pour donner aux utilisateurs un accès à des éléments spécifiques sans leur donner de pleins privilèges d'administrateur. Les éléments autorisés apparaissent dans la liste Éléments autorisés de l'ensemble de règles sélectionné :

Fichier

Si vous spécifiez uniquement un nom de fichier, comme monappli.exe, toutes les instances de ce fichier sont autorisées, quel que soit l'emplacement de l'application. Si vous spécifiez le chemin complet du fichier, comme \\nom-serveur\nom-partage\monappli.exe, seule cette instance de l'application est autorisée. Les autres instances de l'application doivent satisfaire d'autres règles Contrôle des applications pour que leur exécution soit autorisée.

  1. Sélectionnez le nœud Contrôle des exécutables (Executable Control) d'un ensemble de règles.
  2. Cliquez avec le bouton droit et sélectionnez Autorisé > Fichier.
    La boîte de dialogue Ajouter un fichier s'affiche.
  3. Dans l'onglet Propriétés, cliquez sur les points de suspension (...) dans le champ :
  4. Dans la boîte de dialogue Ouvrir, naviguez jusqu'au fichier à ajouter et cliquez sur Ouvrir.

    5. Si nécessaire, vous pouvez sélectionner les options suivantes :

    • Remplacer les variables d'environnement si possible
    • Utiliser une expression régulière
  5. (Facultatif) Entrez des arguments de ligne de commande dans le champ Arguments. Entrez tous les arguments tels qu'ils figurent dans l'Explorateur de processus (Process Explorer).
    Les arguments de ligne de commande étendent les critères de correspondance au-delà des valeurs entrées dans le champ Fichier. Si vous ajoutez un argument, le nom de fichier et l'argument doivent tous deux être satisfaits pour qu'une correspondance soit trouvée. Tous les arguments qui apparaissent dans la ligne de commande d'un processus (indicateurs, commutateurs, noms de fichier et GUID) peuvent être ajoutés.

Fichier refusé

Fichier autorisé

Résultat

shutdown.exe

shutdown.exe

Arguments : -r -t 30

shutdown.exe s'exécute uniquement si vous entrez -r -t 30 dans la ligne de commande. Tout autre mode d'exécution de shutdown.exe est refusé.

Pour configurer correctement les arguments d'un élément autorisé ou refusé, vous devez les utiliser tels qu'ils figurent dans l'Explorateur de processus, par exemple :

Fichier : C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE

Ligne de commande : "C:\Program Files\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\example.docx

Sera configuré comme :

File : Chemin absolu ou relatif de winword.exe

Arguments : /n C:\example.docx

  1. Si nécessaire (facultatif), entrez la description du fichier pour référence future.
  2. Sélectionnez Autoriser le fichier à s'exécuter même s'il n'appartient pas à un propriétaire de confiance pour autoriser un utilisateur autre que le propriétaire de confiance à accéder à ce fichier.

    3. Par défaut, la vérification Trusted Ownership est activée. Par conséquent, l'application doit toujours réussir ce test, même s'il s'agit d'un élément autorisé. Ce paramètre vous permet de contourner cette vérification. Bien qu'il soit possible de désactiver entièrement la vérification Trusted Ownership, nous vous le déconseillons.

  3. Sélectionnez Ignorer le filtrage des événements pour créer des événements quelle que soit la valeur définie sous Sélection d'événements.
  4. Pour ajouter des métadonnées au fichier, cliquez sur l'onglet Métadonnées.
  5. Pour remplir automatiquement les champs, cliquez sur Remplir les métadonnées à partir d'un fichier.

    6. Les champs suivants peuvent être remplis : Nom de produit, Fournisseur, Nom de société, Description de fichier, Version de fichier et Version de produit.

    Vous pouvez affiner ces données : cochez la case voulue et modifiez les champs.

    Si les métadonnées Fournisseur sont activées, une option supplémentaire devient disponible : Vérifier le certificat lors de l'exécution. Lorsque vous activez cette option, l'agent vérifie le certificat pendant la mise en correspondance du fichier. Cliquez sur Options de vérification pour accéder à un autre ensemble de critères, utilisé pour la mise en correspondance du fichier.

    Pour en savoir plus, reportez-vous à « Options de vérification ».

  6. Pour ajouter des horaires d'accès, cliquez sur l'onglet Heures d'accès.
  7. Vous ne pouvez fixer des périodes d'accès que si vous avez sélectionné l'option Autoriser uniquement les fichiers à s'exécuter à certaines heures.
  8. Pour appliquer des horaires d'accès, sélectionnez la période voulue dans la colonne de la journée appropriée. Vous pouvez activer plusieurs horaires.
  9. Cliquez avec le bouton droit et sélectionnez Nouvelle période autorisée. La période est ombrée pour signaler qu'elle est autorisée.
  10. Répétez les étapes 12-13 pour chaque horaire et journée nécessaire.

    11. Vous pouvez configurer l'action à exécuter si la période d'accès est dépassée, sous Paramètres de configuration > Contrôle Exécutable >Heures d'accès.

  11. Pour ajouter des limites d'application, accédez à l'onglet Limite d'application.
  12. Sélectionnez Activer les limites d'application.
  13. Indiquez le nombre d'instances d'une application que l'utilisateur peut exécuter au cours d'une session. Par exemple, si vous fixez la limite à 1 et que l'utilisateur exécute déjà une instance au moment où il tente d'en lancer une deuxième, cette dernière n'est pas autorisée à s'exécuter. Remarque : Cela s'applique à chaque utilisateur, pas à chaque machine.
  14. Cliquez sur Ajouter pour ajouter le fichier aux exécutables autorisés pour l'ensemble de règles.
    Le fichier est ajouté à la zone de travail Éléments autorisés.

Dossier

Vous pouvez spécifier un dossier entier, comme \\nom-serveur\partage-serveur\mondossier. Toutes les applications de ce dossier et de tous ses sous-dossiers, si nécessaire, sont autorisées à s'exécuter. Aucune vérification n'est effectuée sur les fichiers de ce dossier. Par conséquent, les fichiers que vous copiez vers ce dossier seront autorisés à s'exécuter. Sélectionnez Inclure les sous-dossiers pour inclure tous les sous-répertoires du dossier sélectionné. Si vous ajoutez un chemin de fichier réseau ou de dossier, vous devez utiliser le nom UNC, car l'agent Contrôle des applications ignore tous les chemins qui sont configurés avec une lettre de lecteur ne désignant pas un disque fixe local. L'utilisateur peut accéder à l'application réseau via une lettre de lecteur réseau connecté, car le chemin est converti au format UNC avant la comparaison aux paramètres de configuration. Pour appliquer automatiquement des variables d'environnement, sélectionnez Remplacer les variables d'environnement si possible dans les boîtes de dialogue Ajouter un fichier ou Ajouter un dossier. Cela rend les chemins plus génériques et applicables à différentes machines. La prise en charge des caractères génériques offre un niveau de contrôle supplémentaire pour la spécification de chemins de fichier génériques.

  1. Sélectionnez le nœud Contrôle des exécutables (Executable Control) d'un ensemble de règles.
  2. Cliquez avec le bouton droit et sélectionnez Autorisé > Dossier.
    La boîte de dialogue Ajouter un dossier s'affiche.
  3. Dans l'onglet Propriétés, cliquez sur les points de suspension (...) dans le champ :
  4. Dans la boîte de dialogue Ouvrir, naviguez jusqu'au dossier à ajouter et cliquez sur Ouvrir.

    5. Si nécessaire, vous pouvez sélectionner les options suivantes :

    • Remplacer les variables d'environnement si possible
    • Utiliser une expression régulière
    • Inclure les sous-dossiers
  5. Si nécessaire (facultatif), entrez la description du dossier pour référence future.
  6. Sélectionnez Autoriser le fichier à s'exécuter même s'il n'appartient pas à un propriétaire de confiance pour autoriser un utilisateur autre que le propriétaire de confiance à accéder à ces fichiers.

    7. Par défaut, la vérification Trusted Ownership est activée. Par conséquent, l'application doit toujours réussir ce test, même s'il s'agit d'un élément autorisé. Ce paramètre vous permet de contourner cette vérification. Bien qu'il soit possible de désactiver entièrement la vérification Trusted Ownership, nous vous le déconseillons.

  7. Sélectionnez Ignorer le filtrage des événements pour créer des événements quelle que soit la valeur définie sous Sélection d'événements.
  8. Pour ajouter des métadonnées au dossier, cliquez sur l'onglet Métadonnées.
  9. Pour remplir automatiquement les champs, cliquez sur Remplir les métadonnées à partir d'un fichier.

    10. Les champs suivants peuvent être remplis : Nom de produit, Fournisseur, Nom de société, Description de fichier, Version de fichier et Version de produit.

    Vous pouvez affiner ces données : cochez la case voulue et modifiez les champs.

    Si les métadonnées Fournisseur sont activées, une option supplémentaire devient disponible : Vérifier le certificat lors de l'exécution. Lorsque vous activez cette option, l'agent vérifie le certificat pendant la mise en correspondance du fichier. Cliquez sur Options de vérification pour accéder à un autre ensemble de critères, utilisé pour la mise en correspondance du fichier.

    Pour en savoir plus, reportez-vous à « Options de vérification ».

  10. Pour ajouter des horaires d'accès, cliquez sur l'onglet Heures d'accès.
  11. Vous ne pouvez fixer des périodes d'accès que si vous avez sélectionné l'option Autoriser uniquement les fichiers à s'exécuter à certaines heures.
  12. Pour appliquer des horaires d'accès, sélectionnez la période voulue dans la colonne de la journée appropriée. Vous pouvez activer plusieurs horaires.
  13. Cliquez avec le bouton droit et sélectionnez Nouvelle période autorisée. La période est ombrée pour signaler qu'elle est autorisée.
  14. Répétez les étapes 12-13 pour chaque horaire et journée nécessaire.

    15. Vous pouvez configurer l'action à exécuter si la période d'accès est dépassée, sous Paramètres de configuration > Contrôle Exécutable >Heures d'accès.

  15. Cliquez sur Ajouter pour ajouter le dossier aux exécutables autorisés pour l'ensemble de règles.
    Le dossier est ajouté à la zone de travail Éléments autorisés.

Lecteur

Vous pouvez spécifier un lecteur entier, comme W. Toutes les applications de ce lecteur sont autorisées à s'exécuter, y compris celles des sous-dossiers. Aucune vérification n'est effectuée sur les fichiers de ce lecteur. Par conséquent, les fichiers que vous copiez vers un dossier de ce lecteur seront autorisés à s'exécuter.

Cette fonction vous permet de spécifier les lecteurs d'exécutables autorisés.

  1. Sélectionnez le nœud Contrôle des exécutables (Executable Control) d'un ensemble de règles.
  2. Cliquez avec le bouton droit et sélectionnez Autorisé > Lecteur.
    La boîte de dialogue Ajouter un lecteur s'affiche.
  3. Entrez la lettre du lecteur à autoriser, ainsi qu'une description.
  4. Cliquez sur Ajouter pour ajouter le lecteur à la liste Exécutables autorisés.

Hachage de fichier

Vous pouvez ajouter un fichier avec le hachage numérique associé. Cela garantit que ce fichier spécifique est le seul à pouvoir s'exécuter, quel que soit l'emplacement de lancement.

Cette fonction permet d'ajouter des éléments exécutables autorisés en fonction de leur hachage de fichier.

  1. Sélectionnez le nœud Contrôle des exécutables (Executable Control) d'un ensemble de règles.
  2. Cliquez avec le bouton droit et sélectionnez Autorisé > Hachage de fichier.
    La boîte de dialogue Ajouter un hachage de fichier s'affiche.
  3. Dans l'onglet Propriétés, cliquez sur les points de suspension (...) dans le champ :
  4. Dans la boîte de dialogue Ouvrir, naviguez jusqu'au hachage de fichier à ajouter et cliquez sur Ouvrir.
  5. (Facultatif) Entrez des arguments de ligne de commande dans le champ Arguments. Entrez tous les arguments tels qu'ils figurent dans l'Explorateur de processus (Process Explorer).
    Les arguments de ligne de commande étendent les critères de correspondance au-delà des valeurs entrées dans le champ Fichier. Si vous ajoutez un argument, le nom de fichier et l'argument doivent tous deux être satisfaits pour qu'une correspondance soit trouvée. Tous les arguments qui apparaissent dans la ligne de commande d'un processus (indicateurs, commutateurs, noms de fichier et GUID) peuvent être ajoutés.
  6. Si nécessaire (facultatif), entrez la description du hachage de fichier pour référence future.
  7. Si la valeur du hachage de fichier est affichée, sélectionnez Réanalyser pour la mettre à jour.
  8. Sélectionnez Ignorer le filtrage des événements pour créer des événements quelle que soit la valeur définie sous Sélection d'événements.
  9. Pour ajouter des horaires d'accès, cliquez sur l'onglet Heures d'accès.
  10. Vous ne pouvez fixer des périodes d'accès que si vous avez sélectionné l'option Autoriser uniquement les fichiers à s'exécuter à certaines heures.
  11. Pour appliquer des horaires d'accès, sélectionnez la période voulue dans la colonne de la journée appropriée. Vous pouvez activer plusieurs horaires.
  12. Cliquez avec le bouton droit et sélectionnez Nouvelle période autorisée. La période est ombrée pour signaler qu'elle est autorisée.
  13. Répétez les étapes 12-13 pour chaque horaire et journée nécessaire.

    14. Vous pouvez configurer l'action à exécuter si la période d'accès est dépassée, sous Paramètres de configuration > Contrôle Exécutable >Heures d'accès.

  14. Cliquez sur Ajouter pour ajouter le hachage de fichier aux hachages de fichier autorisés pour l'ensemble de règles.
    Le hachage de fichier est ajouté à la zone de travail Éléments autorisés.

Collection de règles

Vous pouvez ajouter une collection de règles aux éléments autorisés pour un ensemble de règles.

  1. Sélectionnez le nœud Contrôle des exécutables (Executable Control) d'un ensemble de règles.
  2. Cliquez avec le bouton droit et sélectionnez Autorisé > Collection de règles.
    La boîte de dialogue de sélection de la collection de règles apparaît.
  3. Cochez la case Ajouter à la règle pour la ou les collections à ajouter à l'ensemble de règles.
  4. Une fois la collection choisie, vous pouvez sélectionner les options suivantes :
    • Autoriser un propriétaire autre que De confiance - Autorise l'exécution des fichiers même s'ils n'appartiennent pas à un propriétaire de confiance.
    • Ignorer le filtrage des événements - Crée tous les événements, quelle que soit la valeur définie sous Sélection d'événements.
  5. Cliquez sur OK pour ajouter la ou les collections aux collections de règles autorisées pour l'ensemble de règles.
    La collection de règles est ajoutée à la zone de travail Éléments autorisés.

Rubriques connexes

Éléments refusés