Paramètres de configuration Application Control
Vous configurez la fonction Application Control (Contrôle des applications) dans l'éditeur de configuration Contrôle des applications. Vous accédez à cet écran depuis l'un des emplacements suivants de la console Security Controls.
- Nouveau > Configuration Application Control
- Dans Configurations Application Control, cliquez avec le bouton droit sur Nouvelle configuration Application Control
- Nouveau > Stratégie d'agent > Application Control > Nouveau.
Attention, cette opération affecte la configuration à la stratégie lorsque vous l'enregistrez.
Le nœud de niveau supérieur Paramètres de configuration comporte trois onglets :
Fonctions
Sélectionnez cette option pour activer les fonctions Application Control (Contrôle des applications) suivantes pour cette configuration :
- Contrôle des exécutables (Executable Control)
- Gestion des privilèges
- Contrôle du navigateur (Browser Control)
Contrôle des exécutables (Executable Control)
Le contrôle des exécutables offre les fonctions suivantes à l'ensemble de la configuration :
- Trusted Ownership - Lors du processus de traitement des règles, la vérification de propriétaire de confiance (Trusted Ownership) est exécutée sur les fichiers et dossiers, afin de garantir que le propriétaire des éléments fait partie de la liste des propriétaires de confiance spécifiée dans la configuration.
- Niveaux de sécurité - Spécifiez des niveaux de restrictions à l'exécution des fichiers non autorisés.
- Éléments autorisés et refusés - Accordez ou refusez l'accès à des éléments spécifiques applicables à un ensemble de règles.
Gestion des privilèges
La gestion des privilèges vous permet de créer des stratégies réutilisables de gestion des privilèges, que vous pouvez associer à des ensembles de règles afin d'élever ou de restreindre les droits d'accès aux fichiers, dossiers, lecteurs, hachages de fichier et éléments Panneau de configuration. Un niveau de contrôle plus précis vous permet d'affecter des privilèges spécifiques pour le débogage ou l'installation de logiciels, ou de définir des niveaux d'intégrité pour la gestion de l'interopérabilité des différents produits, notamment Microsoft Outlook et Microsoft Word.
L'outil Gestion des privilèges offre quatre fonctions principales :
- Élévation de la gestion des privilèges pour les applications.
- Élévation de la gestion des privilèges pour les composants du Panneau de configuration et les extensions de gestion.
- Réduction de la gestion des privilèges pour les applications.
- Réduction de la gestion des privilèges pour les composants du Panneau de configuration et les extensions de gestion.
Contrôle du navigateur (Browser Control)
Utilisez cette fonction pour rediriger automatiquement les utilisateurs lorsqu'ils tentent d'accéder à l'URL spécifiée. En définissant la liste des URL interdites, vous redirigez tous les utilisateurs qui tentent d'accéder à une URL de la liste vers une page d'avertissement par défaut ou une page Web personnalisée. Vous pouvez aussi choisir d'autoriser certaines URL. Combinée aux redirections, cette fonction vous offre davantage de flexibilité et de contrôle, et vous permet de créer une liste de sites Web autorisés.
Pour configurer cette fonction pour Internet Explorer, vous devez d'abord activer des extensions de navigateur tierces avec Options Internet, pour chacun de vos postes client. Vous pouvez aussi utiliser une stratégie de groupe.
La redirection d'URL est compatible avec Internet Explorer 8, 9, 10 et 11. Si vous utilisez Chrome, tous les postes client gérés doivent faire partie d'un domaine.
Algorithme de hachage
Le hachage de fichier permet d'identifier un fichier de manière précise en fonction du contenu réel du fichier proprement dit. Chaque fichier est examiné et, en fonction de son contenu, le fichier génère un hachage numérique, qui fonctionne comme une empreinte. Contrôle des applications emploie des hachages aux normes de l'industrie : SHA-1, SHA-256 et Adler-32. Si le fichier est modifié d'une façon quelconque, le hachage est également modifié.
Le hachage numérique est considéré comme la meilleure méthode de sécurité, car il est exact. Il identifie chaque fichier, indépendamment de tous les facteurs autres que le fichier proprement dit. Par exemple, l'administrateur capture le hachage numérique de tous les exécutables d'un ordinateur et l'enregistre. Un utilisateur tente alors d'exécuter une application. Le hachage numérique de l'application est calculé et comparé aux valeurs enregistrées. Si le système trouve une correspondance, l'application est autorisée à s'exécuter. Sinon, l'exécution est refusée. Cette méthodologie vous protège également des attaques « Zero Day », car elle ne se contente pas d'empêcher l'introduction de nouvelles applications : elle bloque également les applications infectées par un malware.
Bien que le hachage de fichier offre une protection semblable à celle de Trusted Ownership, il faut aussi tenir compte du temps et des efforts de gestion nécessaires pour la maintenance des systèmes de sécurité en place. Les applications sont constamment mises à jour avec des niveaux de produit, des corrections de bug ou des correctifs de vulnérabilité. Par conséquent, tous les fichiers associés sont aussi constamment mis à jour. Ainsi, par exemple, si un niveau de produit est appliqué à Microsoft Office, il faut aussi, pour que les sections mises à jour fonctionnent, capturer les nouveaux hachages numériques des fichiers mis à jour. Assurez-vous que ces éléments sont disponibles lorsque la mise à jour est publiée, pour éviter les périodes d'inactivité. En outre, il est recommandé de supprimer l'ancien hachage.
Paramètres avancés
Les paramètres avancés vous permettent de configurer des options supplémentaires, qui s'appliqueront aux postes client gérés lors du déploiement d'une configuration Contrôle des applications. Si vous déployez une nouvelle configuration contenant de nouveaux paramètres avancés, tous les paramètres avancés préexistants, en place sur le poste client, sont supprimés.
Dans l'onglet Paramètres avancés, cliquez avec le bouton droit sur la zone de travail et sélectionnez Ajouter pour afficher la liste des paramètres avancés disponibles. Les paramètres sont appliqués lors du déploiement de la configuration sur vos postes client gérés.
Paramètres avancés disponibles
| Paramètre | Type de données | Description |
|---|---|---|
| ADComputerGroupMembershipTimeoutSecs | Numérique | Délai en secondes alloué pour la recherche de groupes d'ordinateurs imbriqués. La valeur par défaut est 120 secondes et la valeur 0 désactive la temporisation. |
| ADQueriesEnabled | Numérique | Ce paramètre contrôle les types de requête AD utilisés pour déterminer le nom distinctif du système et l'appartenance à des groupes d'ordinateurs. La valeur 0 désactive les requêtes adressées à AD, ainsi que l'utilisation de groupes d'ordinateurs et d'OU dans la configuration. La valeur 1 demande à l'agent d'exécuter à la fois des requêtes AD par nom distinctif et des requêtes de groupe d'ordinateurs direct (non imbriqué). Les groupes d'ordinateurs imbriqués figurant dans la configuration sont ignorés. La valeur 2 demande à l'agent d'exécuter des requêtes AD par nom distinctif, de groupe d'ordinateurs direct et de groupe d'ordinateurs imbriqué. Ce paramètre peut générer des problèmes de performances du contrôleur de domaine (DC) en raison de la forte consommation d'UC. |
| AlternateTOCheck | Numérique | Les vérifications Trusted Ownership provoquent parfois une utilisation excessive des ressources d'UC dans le processus SYSTEM si des pilotes de filtre tiers sont installés sur le système. En activant ce paramètre avec la valeur 1, vous demandez à Contrôle des applications d'utiliser une autre méthode pour la vérification Trusted Ownership, ce qui limite parfois ce phénomène. |
| AMFileSystemFilterFailSafe | Numérique | Ce paramètre indique si le pilote de filtre système fonctionne en mode Tolérance de pannes ou en mode Sécurité intégrée. Si l'agent connaît un problème et cesse de répondre, le pilote se déconnecte en mode Tolérance de pannes et n'intercepte plus aucune demande. La valeur 1 correspond à Tolérance de pannes, 0 à Sécurité intégrée. Tolérance de pannes est l'option par défaut. Si vous modifiez ce paramètre, un redémarrage de l'agent est nécessaire pour qu'il prenne effet. |
| AppHookDelayLoad | Texte | Ce paramètre demande à la DLL AmAppHook de se charger après un délai en millisecondes (ms) que vous pouvez configurer. Vous configurez ce paramètre pour chaque nom de fichier. Le format est <filename+extension>,<delay>. Le nom de fichier et l'extension peuvent contenir des caractères génériques. Chaque paire est séparée par le caractère point-virgule. Par exemple, « calc.exe,2000;note*.exe,6000 ». |
| AppHookEx | Texte | Contrôle des applications utilise un hook Windows pour la fonction Application Network Access Control (ANAC). Dans de rares situations, les applications peuvent avoir un comportement inattendu en présence d'un hook. Ce paramètre est composé de la liste des applications dans lesquelles les fonctions propres à ANAC ne portent pas de hook et, par conséquent, ne sont pas soumises aux règles ANAC. Si une application est citée à la fois dans AppHookEx et UrmHookEx, le fichier AmAppHook.dll n'est pas chargé. Les différentes entrées sont séparées par un point-virgule (;). |
| AppInitDllPosition | Numérique | Utilisez ce paramètre pour spécifier si le pilote AsModLdr ou la clé de registre Appinit doit servir à injecter le hook Contrôle des applications. Ce paramètre permet également de déterminer la position d'AMLdrAppinit.dll dans la valeur de registre AppInit_DLL. Définissez l'une des valeurs suivantes :
Vous ne devez utiliser ce paramètre que sous la supervision de l'équipe de support Ivanti. |
|
AssumeActiveSetupDespiteCitrix |
Avec les clients Citrix qui utilisent des applications publiées, Windows Active Setup n'est pas exécuté au cours de la connexion du client Citrix. Par défaut, Contrôle des applications détecte que le client utilise un protocole Citrix et considère qu'Active Setup est exclu, si bien que les applications bloquées ne seront jamais autorisées dans des situations ressemblant à une opération Active Setup. De plus (et cela est facultatif), Contrôle des applications peut imposer une vérification plus stricte de l'implication de Citrix : définissez la valeur de ce paramètre sur 1 pour demander à Contrôle des applications d'imposer la vérification la plus stricte s'il semble que des applications refusées sont autorisées dans ces circonstances. Définissez la valeur sur 2 pour empêcher Contrôle des applications d'effectuer ces vérifications « Citrix » si des applications semblent bloquées lors d'une opération Active Setup réelle. |
|
| BrowserAppStorePort | Numérique | Indiquez le port utilisé pour autoriser l'installation de l'extension Chrome de contrôle du navigateur. |
| BrowserCommsPort | Numérique | Indiquez le port utilisé pour les communications entre les extensions de navigateur et l'agent. |
| BrowserExtensionInstallHive | Numérique | Ce paramètre d'ingénierie permet à l'administrateur de choisir la ruche de registre dans laquelle installer l'extension de navigateur Contrôle des applications pour Chrome. Options disponibles :
Avec la valeur 0, l'administrateur doit configurer manuellement son propre App Store d'entreprise pour déployer l'extension Contrôle des applications pour Chrome. Le comportement par défaut correspond à 2 : l'extension Chrome est installée dans HKCU. |
| BrowserHookEx | Texte | Vous pouvez choisir la valeur « Chrome.exe » pour empêcher l'injection du hook de navigateur Application Control (BrowserHook.dll) dans Chrome. Le hook de navigateur interdit toutes les communications réseau jusqu'à ce que l'extension Chrome ait établi une connexion avec l'agent Application Control. Aucune des fonctions essentielles n'est affectée par ce paramètre personnalisé. |
| BrowserNavigateEx | Texte | Liste délimitée par le caractère pipe (|) qui indique les URL de navigation qui passent outre au traitement des événements de navigation. Les URL de cette liste ne sont pas soumises à la redirection d'URL. |
| ComputerOUThrottle | Numérique | Ce paramètre limite la recherche Active Directory pour chaque client qui se connecte pour vérifier l'appartenance aux unités organisationnelles (OU), en limitant le nombre de requêtes simultanées. Cet étranglement réduit le volume du trafic de requête dans un domaine lorsqu'il s'agit de gérer un gros volume de clients connectés. Choisissez une valeur entre 0 et 65535. |
| DFSLinkMatching | Numérique | Chemins de lien DFS pouvant être ajoutés aux règles. Les liens DFS et les cibles DFS sont considérés comme des éléments indépendants à faire correspondre. Aucune conversion des liens en cibles n'est effectuée avant l'application des règles. Définissez cette valeur sur 1 pour activer la mise en correspondance des liens DFS. |
| DirectHookNames | Texte | Par défaut, le hook Windows Contrôle des applications est chargé dans tous les processus qui chargent user32.dll. Les applications qui ne chargent pas cette DLL ne reçoivent pas de hook. Les applications qui ne chargent pas user32.dll doivent être incluses dans ce paramètre, sous forme d'une liste délimitée par des points-virgules de chemins complets ou de noms de fichier. |
| DisableAppV5AppCheck | Numérique | Par défaut, toutes les applications lancées avec AppV5 sont exonérées de la vérification Trusted Ownership. Utilisez ce paramètre pour désactiver ce comportement (avec la valeur 1). |
| DisableSESecondDesktop | Numérique | Par défaut, la boîte de dialogue d'audit pour la fonction Auto-élévation s'affiche sur un deuxième poste de travail. Utilisez la valeur 1 pour afficher cette boîte de dialogue sur le poste de travail principal. |
| DoNotWalkTree | Numérique | Par défaut, les règles de processus vérifient l'intégralité de la clé parent pour trouver une correspondance. Ce paramètre demande aux règles de processus de contrôler uniquement le parent direct du processus concerné, au lieu de consulter l'ensemble de l'arborescence. La valeur 1 active ce paramètre. |
| DriverHookEx | Texte | Liste délimitée par des points-virgules indiquant les applications où le hook Contrôle des applications (AMAppHook.Dll) ne sera pas injecté. Contrôle des applications a besoin que le hook soit chargé pour que certaines fonctions soient opérationnelles. Vous ne devez utiliser ce paramètre que sous la supervision de l'équipe de support Ivanti. |
| EnableScriptPreCheck | Numérique | Pendant le traitement des scripts dans les règles scriptées, ces scripts sont traités comme s'ils avaient renvoyé la valeur false (faux). La durée d'exécution des scripts dépend de leur contenu. Ce paramètre assure des performances optimales au démarrage de l'ordinateur et lors de la connexion de l'utilisateur, car aucun élément dépendant du résultat d'un script n'est retardé. Définissez la valeur sur 1 pour que les processus attendent jusqu'à la fin du script concerné. Cela peut sensiblement ralentir le démarrage de l'ordinateur et la connexion de l'utilisateur. Contrôle des applications n'attend pas indéfiniment les résultats des scripts : une temporisation de 30 secondes est appliquée. |
| EnableSignatureOptimization | Numérique | Ce paramètre améliore les performances de la vérification des règles en présence de signatures. Les fichiers ne correspondant pas au chemin complet ne reçoivent pas de hachage car le système considère qu'il s'agit d'un fichier différent. Utilisez 1 pour activer cette option. Si vous activez ce paramètre et ExtendedAuditInfo, le nom du fichier avec hachage ne figure pas dans les métadonnées d'audit. |
| ExplicitShellProgram | Texte | Ce paramètre est utilisé par Application Access Control (AAC). Contrôle des applications traite le lancement du programme de Shell (par défaut, explorer.exe) comme étant le déclencheur qui détermine si cette session est considérée comme connectée. Selon les environnements et les technologies, l'application de Shell change et, parfois, l'agent n'arrive pas à reconnaître ce programme de Shell. Contrôle des applications utilise les applications de cette liste (en plus des applications de Shell par défaut) pour déterminer le moment où une session est considérée comme connectée. Il s'agit d'une liste de chemins complets ou de noms de fichier séparés par un point-virgule. |
| ExProcessNames | Texte | Liste délimitée par des espaces indiquant le nom des fichiers à exclure du pilote de filtre. Si vous modifiez ce paramètre, un redémarrage de l'agent est nécessaire pour qu'il prenne effet. |
| ExtendedAuditInfo | Numérique | Ce paramètre étend les informations de fichier utilisées pour les événements audités. Il indique le hachage Secure Hash Algorithm 1 (SHA-1), la taille du fichier, la version du fichier et celle du produit, la description du fichier, le fournisseur, le nom de l'entreprise et le nom du produit, pour chaque fichier des événements audités. Ces informations sont ajoutées immédiatement après le nom du fichier dans le journal des événements. Ce paramètre est activé par défaut. Pour le désactiver, entrez la valeur 0. La génération du hachage ou de la somme de contrôle est désactivée si vous activez le paramètre EnableSignatureOptimization. |
| ForestRootDNQuery | Numérique | Utilisez la valeur 1 pour autoriser l'agent Application Control à exécuter une requête de racine de forêt. Cette requête inclut une recherche des références d'authentification, afin de déterminer le nom distinctif des périphériques qui se connectent, en vue de connaître l'appartenance aux OU et groupes d'ordinateurs dans les règles de périphérique. |
| ImageHijackDetectionInclude | Texte | Liste des noms de processus auxquels tous les processus enfant sont comparés pour garantir que l'image enfant s'exécute sans corruption ni modification, et correspond bien à celle initialement demandée. Si la vérification du processus enfant échoue, ce dernier est arrêté. Il s'agit d'une liste de chemins complets ou de noms de fichier séparés par un point-virgule. |
| OwnershipChange | Numérique | Contrôle des applications détecte si un fichier de confiance est modifié par un propriétaire non marqué De confiance. Dans ce cas, le propriétaire du fichier est remplacé par l'utilisateur non marqué De confiance, et toutes les demandes d'exécution sont bloquées. Certaines applications écrasent les fichiers d'une façon qui empêche Contrôle des applications de le détecter par défaut, si bien que le propriétaire du fichier ne change pas. Si vous activez ce paramètre, Contrôle des applications effectue des vérifications supplémentaires pour repérer tous les changements dans les fichiers, et les écrasements devraient être repérés. Utilisez la valeur 1 pour activer cette option. |
| RemoveDFSCheckOne | Numérique | Lorsque vous stockez des fichiers sur un lecteur DFS, l'agent Contrôle des applications utilise différentes stratégies pour évaluer le chemin UNC correct. L'une de ces approches peut provoquer des retards à la connexion si de nombreux scripts et exécutables sont stockés et répliqués dans Active Directory. Utilisez la valeur 1 pour activer ce paramètre afin de demander à Contrôle des applications d'ignorer cette stratégie et d'améliorer les performances dans cette situation. |
| SECancelButtonText | Texte | Texte affiché sur le bouton Annuler de la boîte de dialogue Auto-élévation. |
| SelfElevatePropertiesEnabled | Numérique | Utilisez la valeur 1 pour autoriser l'auto-élévation des propriétés. Par défaut, cette fonction est désactivée. |
| SelfElevatePropertiesMenuText | Texte | Texte de l'option de menu contextuel pour l'auto-élévation des propriétés. |
| SEOkButtonText | Texte | Texte affiché sur le bouton OK de la boîte de dialogue Auto-élévation. |
|
ShowMessageForBlockedDLLs |
Définissez cette valeur sur 1 pour afficher la fenêtre de message Accès refusé Contrôle des applications pour les DLL refusées. |
|
| UrlRedirectionSecPolicy | Numérique | Par défaut, la fonction Redirection d'URL ignore la stratégie de sécurité. Ce paramètre d'ingénierie permet à l'administrateur de forcer la fonction Redirection d'URL à respecter la stratégie de sécurité configurée. Utilisez la valeur 1 pour activer cette option. La fonction Auto-autorisation n'est pas prise en charge. |
| UrmForceMediumIntegrityLevel | Texte | Paramètre personnalisé de gestion des privilèges utilisateur (User Privilege Management - UPM) servant à remplacer le niveau d'intégrité si les privilèges utilisateur ont été élevés pour une application (car cela définit, par défaut, le niveau d'intégrité sur Élevé). Lorsque vous utilisez ce paramètre, le niveau est abaissé à Moyen. La valeur doit être une liste de noms de fichier séparés par un point-virgule. |
| UrmHookEx | Texte | Contrôle des applications utilise un hook Windows dans le cadre de la fonction UPM (Gestion des privilèges utilisateur). Dans de rares situations, les applications montrent un comportement inattendu en présence d'un hook. Ce paramètre répertorie les applications où les fonctions propres à User Privilege Management (Gestion des privilèges utilisateur) ne portent pas de hook. Si une application est citée à la fois dans AppHookEx et UrmHookEx, le fichier AmAppHook.dll n'est pas chargé. Les différentes entrées sont séparées par un point-virgule. |
| UrmPauseConsoleExit | Texte | Utilisé par la fonction UPM (User Privilege Management - Gestion des privilèges utilisateur). Lorsqu'une application de console voit ses droits élevés, une nouvelle application peut s'afficher dans une nouvelle fenêtre de console. Cette application s'exécute jusqu'à la fin, puis se ferme. C'est un problème si l'utilisateur souhaite voir la sortie du programme. Avec ce paramètre, l'application reste ouverte jusqu'à ce que l'utilisateur appuie sur une touche. Il s'agit d'une liste de chemins complets ou de noms de fichier séparés par un point-virgule. |
| UrmSecPolicy | Numérique | Par défaut, la fonction UPM (User Privilege Management - Gestion des privilèges utilisateur) ignore pratiquement la stratégie de sécurité. Les règles de gestion des privilèges utilisateur sont appliquées dans tous les cas, sauf si vous sélectionnez le mode Audit uniquement. Ce paramètre personnalisé permet aux administrateurs de forcer la fonction User Privilege Management à respecter la stratégie de sécurité configurée. Pour les niveaux de sécurité Non restreint et Auto-autorisation, les règles User Privilege Management ne sont pas appliquées. Pour le niveau Restreint, les règles User Privilege Management s'appliquent. Utilisez la valeur 1 pour activer ce paramètre. |
Rubriques connexes
À propos du contrôle des exécutables (Executable Control)
À propos du contrôle du navigateur (Browser Control)