Paramètres de configuration - Contrôle des exécutables
Le nœud Paramètres de configuration de l'outil de contrôle des exécutables (Executable Control) contient cinq onglets : Propriétaires de confiance, Options, Validation, Arrêt d'application et Limites d'accès.
Dans cette section :
Propriétaires de confiance
Accédez à Paramètres de configuration > Contrôle Exécutable > onglet Propriétaires de confiance.
- Activer la vérification Trusted Ownership - Sélectionnez cette option pour activer la vérification Trusted Ownership. Option sélectionnée par défaut.
- Changer le propriétaire d'un fichier s'il est écrasé ou renommé - Sélectionnez cette option pour changer le propriétaire d'un fichier autorisé (De confiance) qui est écrasé par un utilisateur non marqué De confiance (absent de la liste Propriétaires de confiance).
Lorsqu'un fichier refusé est renommé par un utilisateur qui n'est pas de confiance, en vue de contourner une règle Élément refusé, le propriétaire est remplacé par l'utilisateur non marqué De confiance. Une fois le propriétaire changé, la vérification Trusted Ownership empêche l'exécution du fichier.
Attention : Ne supprimez pas tous les propriétaires de confiance. Si vous le faites, plus aucune application du système ne serait marquée De confiance et les utilisateurs standard ne pourraient rien exécuter.
Lorsque l'option Changer le propriétaire d'un fichier s'il est écrasé ou renommé est sélectionnée, Contrôle des applications effectue des changements sélectifs des propriétaires NTFS des fichiers exécutables lorsque ces derniers sont écrasés ou renommés.
Si un utilisateur qui n'est pas un propriétaire de confiance tente d'écraser un fichier autorisé par Trusted Ownership ou une règle Élément autorisé, cela peut constituer une menace de sécurité si le contenu de ce fichier a changé. Contrôle des applications remplace le propriétaire d'un fichier écrasé par l'utilisateur qui effectue l'opération. Par conséquent, le fichier n'est plus De confiance et le système n'est plus protégé.
Là encore, toute tentative de remplacement du nom d'un fichier refusé par celui d'un élément autorisé peut constituer une menace de sécurité. Contrôle des applications remplace également le propriétaire de ce type de fichier par l'utilisateur qui effectue le changement de nom, ce qui garantit que le fichier reste hors de la liste des éléments de confiance.
Les actions Écraser et Renommer sont toutes deux auditées.
Ajout d'un propriétaire de confiance
- Dans l'onglet Paramètres de configuration > Contrôle Exécutable > Propriétaires de confiance, cliquez avec le bouton droit dans la zone de travail et sélectionnez Ajouter.
- La boîte de dialogue Ajouter des propriétaires de confiance s'affiche.
- Entrez le nom d'utilisateur à ajouter ou utilisez Parcourir pour le sélectionner.
- Cliquez sur Ajouter. L'utilisateur est alors ajouté à la liste, avec son SID unique.
Test de Trusted Ownership
Test rapide pour montrer le fonctionnement de Trusted Ownership :
- Introduisez une ou plusieurs applications à l'aide d'un compte d'utilisateur de test.
- Copiez une ou plusieurs applications dans le lecteur d'accueil de l'utilisateur ou tout autre emplacement adapté. Copiez par exemple calc.exe depuis le dossier System32 ou copiez un fichier depuis un CD.
- Essayez d'exécuter l'un des fichiers copiés. L'application est refusée car le propriétaire des fichiers est l'utilisateur de test et non un membre de la liste Propriétaires de confiance.
Vous pouvez vérifier le propriétaire d'un fichier en affichant ses propriétés dans l'Explorateur Windows.
Options
Le tableau ci-dessous répertorie toutes les options disponibles, avec leur description :
|
Option |
Description |
|---|---|
|
Marquer par défaut les lecteurs locaux comme Autorisés |
Sélectionnez cette option pour créer des listes de refus de configurations Contrôle des applications. Tout le contenu du lecteur local est autorisé, sauf si l'élément figure dans la liste Éléments refusés ou si la vérification Trusted Ownership échoue. Désélectionnez cette option pour changer la configuration en liste d'autorisations. Tout le contenu du lecteur local est bloqué, sauf si l'élément figure dans la liste Éléments autorisés. Une configuration de liste d'autorisations est l'option la plus sécurisée. Cependant, créer ce type de configuration prend du temps et peut affecter la stabilité du client, car toutes les applications non spécifiées sont bloquées. |
|
Autoriser cmd.exe pour les fichiers batch |
On s'attend à ce que les administrateurs interdisent explicitement cmd.exe dans leur configuration Contrôle des applications. Si cmd.exe est refusé et que vous désactivez l'option 'Autoriser cmd.exe pour les fichiers batch', les fichiers batch sont évalués et bloqués s'ils ne satisfont pas la stratégie Contrôle des applications. Si cette option n'est pas sélectionnée et que vous refusez explicitement cmd.exe, tous les fichiers batch sont bloqués. Le système ne les évalue même pas. Si cette option est sélectionnée et que vous refusez explicitement cmd.exe, ce dernier ne peut toujours pas s'exécuter seul, mais les fichiers batch sont évalués à l'aide des règles Contrôle des applications. Si cmd.exe n'est pas explicitement refusé, tous les fichiers batch s'exécutent, que cette option soit sélectionnée ou non. |
|
Ignorer les restrictions pendant la connexion |
Au cours de la connexion, l'ordinateur peut exécuter plusieurs applications essentielles. Si vous les bloquez, cela peut provoquer des dysfonctionnements de l'ordinateur, voire même une panne totale. Par conséquent, cette option est sélectionnée par défaut. |
|
Extraire les fichiers ZIP autoextractibles |
Un fichier autoextractible est un exécutable contenant un fichier ZIP et un petit programme servant à l'extraire. Ces fichiers servent parfois d'alternative à l'installation d'une application avec un fichier MSI. Certains administrateurs préfèrent que les applications soient uniquement installées à l'aide de fichiers MSI. Seuls les EXE autoextractibles formatés avec la spécification ZIP sont pris en charge. Pour en savoir plus, reportez-vous à « Spécifications ZIP ». L'option Extraire les fichiers ZIP autoextractibles permet à l'extracteur ZIP d'extraire un fichier exécutable refusé au format de ZIP autoextractible. Si cette option est désélectionnée (valeur par défaut), le fichier est soumis au traitement normal par les règles, même s'il s'agit d'un fichier exécutable. Une fois le contenu extrait, tout le contenu exécutable présent reste soumis aux vérifications Trusted Ownership normales et son exécution est refusée si l'utilisateur n'est pas un propriétaire de confiance. Cela s'avère utile dans le cas où le fichier ZIP autoextractible contient des éléments non exécutables, comme un document dont l'utilisateur a besoin. Par défaut, cette option est désélectionnée. Le fichier ZIP autoextractible est traité comme un exécutable standard et son exécution (et, donc, l'extraction de son contenu) peut être interdite par le traitement normal des règles. |
|
Ignorer les restrictions pendant Configuration active |
Par défaut, toutes les applications qui exécutent Configuration active (Active Setup) sont soumises aux règles Contrôle des applications. Sélectionnez cette option pour exempter ces applications de la vérification des règles au cours de la phase Configuration active. |
|
Refuser les fichiers sur support amovible |
Désélectionnez cette option pour supprimer les restrictions sur les supports amovibles. Un support est considéré comme support amovible si telle est la définition qu'en donne l'appel à GetDriveType. En raison de la nature des supports amovibles, la lettre de lecteur peut changer en fonction de la configuration du poste client. Par exemple, un ordinateur peut reconnaître le lecteur amovible en tant que lecteur E: alors qu'un autre l'identifie comme F:. |
|
Refuser les fichiers sur partage réseau |
La valeur de configuration par défaut pour les partages réseau est une liste d'autorisations, ce qui signifie que tout le contenu du partage réseau est refusé, sauf si l'élément figure dans la liste Éléments autorisés. Désélectionnez cette option pour passer en configuration de liste de refus, afin que tout le contenu du partage réseau soit autorisé, sauf si l'élément concerné échoue lors de la vérification Trusted Ownership ou figure dans la liste Éléments refusés. |
Validation
Le tableau ci-dessous répertorie toutes les options de validation disponibles, avec leur description.
|
Option |
Description |
|---|---|
|
Valider les processus système |
Sélectionnez cette option pour valider tous les fichiers exécutés par l'utilisateur système (System). Notez qu'il est déconseillé de sélectionner cette option, car elle augmente le nombre de tests de validation effectués sur l'ordinateur de poste client et cela peut bloquer l'exécution d'applications essentielles. Si vous sélectionnez cette option, tous les exécutables lancés par le système sont soumis à la validation des règles. |
|
Valider les scripts WSH (Windows Script Host) |
Si vous sélectionnez cette option, le contenu de ligne de commande des scripts exécutés avec wscript ou cscript est soumis à la validation des règles. Les scripts peuvent introduire des virus et du code malveillant. Il est recommandé de valider les scripts WSH. |
|
Valider les paquets MSI (Windows Installer) |
Les fichiers MSI constituent la méthode standard d'installation des applications Windows. Il est recommandé d'interdire à l'utilisateur d'installer librement des applications MSI. Si vous sélectionnez cette option, tous les fichiers MSI sont soumis à la validation des règles. Si vous désélectionnez cette option, seul le programme d'installation Windows proprement dit (msiexec.exe) est validé par le traitement des règles Contrôle des applications, pas le fichier MSI qu'il tente d'exécuter. |
|
Valider les fichiers de registre |
Sélectionnez cette option pour activer la validation des règles pour regedit.exe et regini.exe. Si vous désélectionnez cette option, regedit.exe et regini.exe ne sont plus bloqués par défaut. De plus, le script .reg, et les fichiers regedit.exe et regini.exe qu'il tente d'exécuter ne sont plus validés par le traitement des règles Contrôle des applications. Il est déconseillé d'autoriser les utilisateurs à accéder au registre ou à ses fichiers. |
|
Valider les scripts PowerShell |
Lorsque cette option est activée, le système bloque powershell.exe et powershell_ise.exe. Cependant, si un script PowerShell (fichier PS1) est détecté sur la ligne de commande, il est soumis à une vérification complète des règles pour savoir s'il est configuré pour l'élévation, autorisé ou refusé. |
|
Valider les archives Java |
Lorsque cette option est activée, le système bloque java.exe et javaw.exe. Cependant, si une archive Java (fichier JAR) est détectée sur la ligne de commande, elle est soumise à une vérification complète des règles pour savoir si elle est autorisée ou refusée. |
Arrêt d'application
L'option Arrêt d'application vous permet de contrôler les déclencheurs et le comportement d'arrêt des applications sur les postes client gérés. Vous pouvez arrêter correctement les applications, ce qui permet à l'utilisateur d'enregistrer son travail avant l'arrêt, ou bien forcer l'arrêt.
L'option Arrêt d'application est désactivée par défaut. Pour activer la fonction, sélectionnez Activer l'arrêt d'application dans l'onglet Paramètres de configuration > Contrôle Exécutable > Arrêt d'application.
Les déclencheurs d'arrêt d'une application peuvent être les suivants :
- Application d'une nouvelle configuration
- Changement de l'adresse IP de l'ordinateur
- Changement de périphérique connecté
Lorsqu'un déclencheur est activé, les processus sont évalués à l'aide des règles pour déterminer si une application doit être arrêtée. Les règles dotées des niveaux de sécurité Auto-autorisation et Audit uniquement ne sont pas évaluées, parce que les règles Auto-autorisation permettent à l'utilisateur de contrôler les applications et parce que les règles Audit uniquement n'appliquent pas le contrôle Contrôle des applications.
Configuration de déclencheurs pour Arrêt d'application
|
Option |
Description |
|---|---|
|
Configuration appliquée |
Sélectionnez cette option pour arrêter une application en fonction de la configuration appliquée. |
|
Adresse IP d'ordinateur changée |
Sélectionnez cette option pour arrêter une application lorsque l'adresse IP de l'ordinateur change. Par exemple, lorsque vous passez d'un environnement sécurisé à un environnement non sécurisé. Voir un exemple. |
|
Périphérique connecté changé |
Sélectionnez cette option pour arrêter une application lorsque le périphérique connecté change. Par exemple, lorsque vous passez d'un ordinateur de bureau à un ordinateur portable dans la même session. |
Exemple : Adresse IP d'ordinateur changée
Utilisez l'option Arrêt d'application pour arrêter une application lorsque l'adresse IP a changé. Par exemple, quand l'adresse IP est hors de la plage d'adresses IP de l'entreprise.
Étape 1 - Configuration des options Arrêt d'application
- Activez Arrêt d'application dans l'onglet Paramètres de configuration > Contrôle Exécutable > Arrêt d'application.
- Sélectionnez l'option Adresse IP d'ordinateur changée.
- Définissez les actions ci-après à exécuter lors de l'arrêt :
- Afficher un message d'avertissement initial
- Fermer l'application
- Arrêter l'application
Vous pouvez sélectionner les trois options et définir le délai en secondes d'attente entre deux actions. La valeur maximale est 120 secondes.
Étape 2 - Configuration de la règle de périphérique pour le travail au bureau
Cette étape consiste à définir la plage d'adresses IP autorisée pour le bureau.
- Sélectionnez le nœud Ensembles de règles dans le volet de navigation.
- Sélectionnez Périphérique et cliquez avec le bouton droit pour afficher le menu contextuel.
- Sélectionnez Ajouter un ensemble de règles de périphérique.
Un nœud enfant est créé sous le nœud Périphérique. - Cliquez sur le nouveau nœud pour le renommer. Vous pouvez aussi le mettre en surbrillance, cliquer avec le bouton droit et sélectionner Renommer.
- Entrez un nom convivial, comme Dans le bureau.
- Cliquez avec le bouton droit dans la zone de travail pour ajouter un périphérique à l'ensemble de règles. Sélectionnez Nom d'hôte ou adresse IP.
- La boîte de dialogue Ajouter un périphérique client s'affiche.
- Entrez la plage d'adresses IP autorisée et cliquez sur Ajouter.
Étape 3 - Configuration de la règle de périphérique pour le travail hors du bureau
Cette étape consiste à configurer la plage d'adresses IP non autorisée, par exemple pour l'utilisation du VPN depuis un autre emplacement.
- Suivez les étapes indiquées pour créer un nouvel ensemble de règles de périphérique comme vous l'avez fait à l'étape 2.
- Entrez un nom convivial, comme Hors du bureau.
- Cliquez avec le bouton droit sur la zone de travail et sélectionnez Ajouter un périphérique client.
- La boîte de dialogue Ajouter un périphérique client s'affiche.
Effectuez l'une des opérations suivantes :
- Entrez la plage d'adresses IP interdite.
- Entrez *.*.*.* pour inclure toutes les autres adresses IP.
- Cliquez sur Ajouter.
Étape 4 - Enregistrement de la configuration
Cliquez sur Enregistrer pour stocker la configuration.
Configuration des actions réalisées à l'arrêt de l'application
|
Option |
Description |
|---|---|
|
Afficher un message d'avertissement initial |
Affiche un message d'avertissement initial pour signaler à l'utilisateur que l'application refusée va être fermée et qu'il doit enregistrer son travail. Vous pouvez spécifier le moment de la fermeture avec l'option Secondes d'attente entre deux actions. Utilisez cette option avec les options Fermer l'application et Quitter l'application. Si vous ne combinez pas ces différentes options, un message est affiché et l'application refusée ne se ferme pas. |
|
Fermer l'application |
Ferme l'application après le message d'avertissement initial, en laissant à l'utilisateur le temps d'enregistrer son travail. |
|
Arrêter l'application |
Arrête l'application refusée sans afficher de message d'avertissement pour l'utilisateur. |
|
Secondes d'attente entre deux actions |
Spécifie le délai en secondes qui s'écoule entre deux actions, ainsi que la durée séparant fermeture et arrêt. Le délai maximal est de 120 secondes. |
Heures d'accès
Si une application dépasse les heures d'accès autorisées, vous pouvez spécifier l'action à exécuter. Par exemple, vous pouvez aussi indiquer si l'utilisateur est autorisé à enregistrer son travail avant la fermeture de l'application ou si l'application doit se fermer dès l'avertissement :
Afficher un message d'avertissement initial - Permet d'afficher un message d'avertissement initial pour l'utilisateur lorsqu'une application dépasse les limites d'horaires. En général, cela laisse à l'utilisateur le temps d'enregistrer son travail et de fermer l'application. Utilisez cette option avec les options Fermer l'application et Quitter l'application. Si vous ne combinez pas ces différentes options, un message est affiché mais l'application ne se ferme pas.
Fermer l'application - Permet d'envoyer un message de fermeture à l'application. La plupart des applications, lorsqu'elles reçoivent un message de fermeture, donnent automatiquement à l'utilisateur une chance d'enregistrer son travail. Associez cette option à l'option Afficher un message d'avertissement initial.
Quitter l'application - Permet d'arrêter l'application sans autoriser l'utilisateur à enregistrer son travail. En général, vous utilisez cette option si l'application a reçu un message de fermeture mais ne s'arrête pas. Indiquez s'il faut ou non afficher un message d'avertissement initial. L'application s'arrête dans les deux cas.
Secondes d'attente entre deux actions - Spécifiez le délai d'attente en secondes à respecter après chaque option d'arrêt sélectionnée. Par exemple, si l'utilisateur sélectionne les trois options d'arrêt et un délai de 20 secondes, le message d'avertissement s'affiche, puis (20 secondes plus tard) le message de fermeture apparaît et enfin (après encore 20 secondes), l'application s'arrête. La valeur par défaut est 60 secondes.
Vous pouvez spécifier des heures d'accès pour les Éléments autorisés de type Fichier, Dossier et Hachage de fichier.
Rubriques connexes
À propos du contrôle des exécutables (Executable Control)