Paramètres de configuration - Contrôle des exécutables

Le nœud Paramètres de configuration de l'outil de contrôle des exécutables (Executable Control) contient cinq onglets : Propriétaires de confiance, Options, Validation, Arrêt d'application et Limites d'accès.

Dans cette section :

Propriétaires de confiance

Options

Validation

Arrêt d'application

Heures d'accès

Propriétaires de confiance

Accédez à Paramètres de configuration > Contrôle Exécutable > onglet Propriétaires de confiance.

  • Activer la vérification Trusted Ownership - Sélectionnez cette option pour activer la vérification Trusted Ownership. Option sélectionnée par défaut.
  • Changer le propriétaire d'un fichier s'il est écrasé ou renommé - Sélectionnez cette option pour changer le propriétaire d'un fichier autorisé (De confiance) qui est écrasé par un utilisateur non marqué De confiance (absent de la liste Propriétaires de confiance).

Lorsqu'un fichier refusé est renommé par un utilisateur qui n'est pas de confiance, en vue de contourner une règle Élément refusé, le propriétaire est remplacé par l'utilisateur non marqué De confiance. Une fois le propriétaire changé, la vérification Trusted Ownership empêche l'exécution du fichier.

Attention : Ne supprimez pas tous les propriétaires de confiance. Si vous le faites, plus aucune application du système ne serait marquée De confiance et les utilisateurs standard ne pourraient rien exécuter.

Lorsque l'option Changer le propriétaire d'un fichier s'il est écrasé ou renommé est sélectionnée, Contrôle des applications effectue des changements sélectifs des propriétaires NTFS des fichiers exécutables lorsque ces derniers sont écrasés ou renommés.

Si un utilisateur qui n'est pas un propriétaire de confiance tente d'écraser un fichier autorisé par Trusted Ownership ou une règle Élément autorisé, cela peut constituer une menace de sécurité si le contenu de ce fichier a changé. Contrôle des applications remplace le propriétaire d'un fichier écrasé par l'utilisateur qui effectue l'opération. Par conséquent, le fichier n'est plus De confiance et le système n'est plus protégé.

Là encore, toute tentative de remplacement du nom d'un fichier refusé par celui d'un élément autorisé peut constituer une menace de sécurité. Contrôle des applications remplace également le propriétaire de ce type de fichier par l'utilisateur qui effectue le changement de nom, ce qui garantit que le fichier reste hors de la liste des éléments de confiance.

Les actions Écraser et Renommer sont toutes deux auditées.

Ajout d'un propriétaire de confiance

  1. Dans l'onglet Paramètres de configuration > Contrôle Exécutable > Propriétaires de confiance, cliquez avec le bouton droit dans la zone de travail et sélectionnez Ajouter.
  2. La boîte de dialogue Ajouter des propriétaires de confiance s'affiche.
  3. Entrez le nom d'utilisateur à ajouter ou utilisez Parcourir pour le sélectionner.
  4. Cliquez sur Ajouter. L'utilisateur est alors ajouté à la liste, avec son SID unique.

Test de Trusted Ownership

Test rapide pour montrer le fonctionnement de Trusted Ownership :

  1. Introduisez une ou plusieurs applications à l'aide d'un compte d'utilisateur de test.
  2. Copiez une ou plusieurs applications dans le lecteur d'accueil de l'utilisateur ou tout autre emplacement adapté. Copiez par exemple calc.exe depuis le dossier System32 ou copiez un fichier depuis un CD.
  3. Essayez d'exécuter l'un des fichiers copiés. L'application est refusée car le propriétaire des fichiers est l'utilisateur de test et non un membre de la liste Propriétaires de confiance.

Vous pouvez vérifier le propriétaire d'un fichier en affichant ses propriétés dans l'Explorateur Windows.

Options

Le tableau ci-dessous répertorie toutes les options disponibles, avec leur description :

Option

Description

Marquer par défaut les lecteurs locaux comme Autorisés

Sélectionnez cette option pour créer des listes de refus de configurations Contrôle des applications. Tout le contenu du lecteur local est autorisé, sauf si l'élément figure dans la liste Éléments refusés ou si la vérification Trusted Ownership échoue. Désélectionnez cette option pour changer la configuration en liste d'autorisations. Tout le contenu du lecteur local est bloqué, sauf si l'élément figure dans la liste Éléments autorisés.

Une configuration de liste d'autorisations est l'option la plus sécurisée. Cependant, créer ce type de configuration prend du temps et peut affecter la stabilité du client, car toutes les applications non spécifiées sont bloquées.

Autoriser cmd.exe pour les fichiers batch

On s'attend à ce que les administrateurs interdisent explicitement cmd.exe dans leur configuration Contrôle des applications. Si cmd.exe est refusé et que vous désactivez l'option 'Autoriser cmd.exe pour les fichiers batch', les fichiers batch sont évalués et bloqués s'ils ne satisfont pas la stratégie Contrôle des applications. Si cette option n'est pas sélectionnée et que vous refusez explicitement cmd.exe, tous les fichiers batch sont bloqués. Le système ne les évalue même pas. Si cette option est sélectionnée et que vous refusez explicitement cmd.exe, ce dernier ne peut toujours pas s'exécuter seul, mais les fichiers batch sont évalués à l'aide des règles Contrôle des applications. Si cmd.exe n'est pas explicitement refusé, tous les fichiers batch s'exécutent, que cette option soit sélectionnée ou non.

Ignorer les restrictions pendant la connexion

Au cours de la connexion, l'ordinateur peut exécuter plusieurs applications essentielles. Si vous les bloquez, cela peut provoquer des dysfonctionnements de l'ordinateur, voire même une panne totale. Par conséquent, cette option est sélectionnée par défaut.

Extraire les fichiers ZIP autoextractibles

Un fichier autoextractible est un exécutable contenant un fichier ZIP et un petit programme servant à l'extraire. Ces fichiers servent parfois d'alternative à l'installation d'une application avec un fichier MSI. Certains administrateurs préfèrent que les applications soient uniquement installées à l'aide de fichiers MSI.

Seuls les EXE autoextractibles formatés avec la spécification ZIP sont pris en charge. Pour en savoir plus, reportez-vous à « Spécifications ZIP ».

L'option Extraire les fichiers ZIP autoextractibles permet à l'extracteur ZIP d'extraire un fichier exécutable refusé au format de ZIP autoextractible. Si cette option est désélectionnée (valeur par défaut), le fichier est soumis au traitement normal par les règles, même s'il s'agit d'un fichier exécutable. Une fois le contenu extrait, tout le contenu exécutable présent reste soumis aux vérifications Trusted Ownership normales et son exécution est refusée si l'utilisateur n'est pas un propriétaire de confiance. Cela s'avère utile dans le cas où le fichier ZIP autoextractible contient des éléments non exécutables, comme un document dont l'utilisateur a besoin. Par défaut, cette option est désélectionnée. Le fichier ZIP autoextractible est traité comme un exécutable standard et son exécution (et, donc, l'extraction de son contenu) peut être interdite par le traitement normal des règles.

Ignorer les restrictions pendant Configuration active

Par défaut, toutes les applications qui exécutent Configuration active (Active Setup) sont soumises aux règles Contrôle des applications. Sélectionnez cette option pour exempter ces applications de la vérification des règles au cours de la phase Configuration active.

Refuser les fichiers sur support amovible

Désélectionnez cette option pour supprimer les restrictions sur les supports amovibles. Un support est considéré comme support amovible si telle est la définition qu'en donne l'appel à GetDriveType. En raison de la nature des supports amovibles, la lettre de lecteur peut changer en fonction de la configuration du poste client. Par exemple, un ordinateur peut reconnaître le lecteur amovible en tant que lecteur E: alors qu'un autre l'identifie comme F:.

Refuser les fichiers sur partage réseau

La valeur de configuration par défaut pour les partages réseau est une liste d'autorisations, ce qui signifie que tout le contenu du partage réseau est refusé, sauf si l'élément figure dans la liste Éléments autorisés. Désélectionnez cette option pour passer en configuration de liste de refus, afin que tout le contenu du partage réseau soit autorisé, sauf si l'élément concerné échoue lors de la vérification Trusted Ownership ou figure dans la liste Éléments refusés.

Validation

Le tableau ci-dessous répertorie toutes les options de validation disponibles, avec leur description.

Option

Description

Valider les processus système

Sélectionnez cette option pour valider tous les fichiers exécutés par l'utilisateur système (System). Notez qu'il est déconseillé de sélectionner cette option, car elle augmente le nombre de tests de validation effectués sur l'ordinateur de poste client et cela peut bloquer l'exécution d'applications essentielles. Si vous sélectionnez cette option, tous les exécutables lancés par le système sont soumis à la validation des règles.

Valider les scripts WSH (Windows Script Host)

Si vous sélectionnez cette option, le contenu de ligne de commande des scripts exécutés avec wscript ou cscript est soumis à la validation des règles.

Les scripts peuvent introduire des virus et du code malveillant. Il est recommandé de valider les scripts WSH.

Valider les paquets MSI (Windows Installer)

Les fichiers MSI constituent la méthode standard d'installation des applications Windows. Il est recommandé d'interdire à l'utilisateur d'installer librement des applications MSI. Si vous sélectionnez cette option, tous les fichiers MSI sont soumis à la validation des règles. Si vous désélectionnez cette option, seul le programme d'installation Windows proprement dit (msiexec.exe) est validé par le traitement des règles Contrôle des applications, pas le fichier MSI qu'il tente d'exécuter.

Valider les fichiers de registre

Sélectionnez cette option pour activer la validation des règles pour regedit.exe et regini.exe. Si vous désélectionnez cette option, regedit.exe et regini.exe ne sont plus bloqués par défaut. De plus, le script .reg, et les fichiers regedit.exe et regini.exe qu'il tente d'exécuter ne sont plus validés par le traitement des règles Contrôle des applications.

Il est déconseillé d'autoriser les utilisateurs à accéder au registre ou à ses fichiers.

Valider les scripts PowerShell

Lorsque cette option est activée, le système bloque powershell.exe et powershell_ise.exe. Cependant, si un script PowerShell (fichier PS1) est détecté sur la ligne de commande, il est soumis à une vérification complète des règles pour savoir s'il est configuré pour l'élévation, autorisé ou refusé.

Valider les archives Java

Lorsque cette option est activée, le système bloque java.exe et javaw.exe. Cependant, si une archive Java (fichier JAR) est détectée sur la ligne de commande, elle est soumise à une vérification complète des règles pour savoir si elle est autorisée ou refusée.

Arrêt d'application

L'option Arrêt d'application vous permet de contrôler les déclencheurs et le comportement d'arrêt des applications sur les postes client gérés. Vous pouvez arrêter correctement les applications, ce qui permet à l'utilisateur d'enregistrer son travail avant l'arrêt, ou bien forcer l'arrêt.

L'option Arrêt d'application est désactivée par défaut. Pour activer la fonction, sélectionnez Activer l'arrêt d'application dans l'onglet Paramètres de configuration > Contrôle Exécutable > Arrêt d'application.

Les déclencheurs d'arrêt d'une application peuvent être les suivants :

  • Application d'une nouvelle configuration
  • Changement de l'adresse IP de l'ordinateur
  • Changement de périphérique connecté

Lorsqu'un déclencheur est activé, les processus sont évalués à l'aide des règles pour déterminer si une application doit être arrêtée. Les règles dotées des niveaux de sécurité Auto-autorisation et Audit uniquement ne sont pas évaluées, parce que les règles Auto-autorisation permettent à l'utilisateur de contrôler les applications et parce que les règles Audit uniquement n'appliquent pas le contrôle Contrôle des applications.

Configuration de déclencheurs pour Arrêt d'application

Option

Description

Configuration appliquée

Sélectionnez cette option pour arrêter une application en fonction de la configuration appliquée.

Adresse IP d'ordinateur changée

Sélectionnez cette option pour arrêter une application lorsque l'adresse IP de l'ordinateur change. Par exemple, lorsque vous passez d'un environnement sécurisé à un environnement non sécurisé. Voir un exemple.

Périphérique connecté changé

Sélectionnez cette option pour arrêter une application lorsque le périphérique connecté change. Par exemple, lorsque vous passez d'un ordinateur de bureau à un ordinateur portable dans la même session.

Exemple : Adresse IP d'ordinateur changée

Utilisez l'option Arrêt d'application pour arrêter une application lorsque l'adresse IP a changé. Par exemple, quand l'adresse IP est hors de la plage d'adresses IP de l'entreprise.

Configuration des actions réalisées à l'arrêt de l'application

Option

Description

Afficher un message d'avertissement initial

Affiche un message d'avertissement initial pour signaler à l'utilisateur que l'application refusée va être fermée et qu'il doit enregistrer son travail. Vous pouvez spécifier le moment de la fermeture avec l'option Secondes d'attente entre deux actions. Utilisez cette option avec les options Fermer l'application et Quitter l'application. Si vous ne combinez pas ces différentes options, un message est affiché et l'application refusée ne se ferme pas.

Fermer l'application

Ferme l'application après le message d'avertissement initial, en laissant à l'utilisateur le temps d'enregistrer son travail.

Arrêter l'application

Arrête l'application refusée sans afficher de message d'avertissement pour l'utilisateur.

Secondes d'attente entre deux actions

Spécifie le délai en secondes qui s'écoule entre deux actions, ainsi que la durée séparant fermeture et arrêt. Le délai maximal est de 120 secondes.

Heures d'accès

Si une application dépasse les heures d'accès autorisées, vous pouvez spécifier l'action à exécuter. Par exemple, vous pouvez aussi indiquer si l'utilisateur est autorisé à enregistrer son travail avant la fermeture de l'application ou si l'application doit se fermer dès l'avertissement :

Afficher un message d'avertissement initial - Permet d'afficher un message d'avertissement initial pour l'utilisateur lorsqu'une application dépasse les limites d'horaires. En général, cela laisse à l'utilisateur le temps d'enregistrer son travail et de fermer l'application. Utilisez cette option avec les options Fermer l'application et Quitter l'application. Si vous ne combinez pas ces différentes options, un message est affiché mais l'application ne se ferme pas.

Fermer l'application - Permet d'envoyer un message de fermeture à l'application. La plupart des applications, lorsqu'elles reçoivent un message de fermeture, donnent automatiquement à l'utilisateur une chance d'enregistrer son travail. Associez cette option à l'option Afficher un message d'avertissement initial.

Quitter l'application - Permet d'arrêter l'application sans autoriser l'utilisateur à enregistrer son travail. En général, vous utilisez cette option si l'application a reçu un message de fermeture mais ne s'arrête pas. Indiquez s'il faut ou non afficher un message d'avertissement initial. L'application s'arrête dans les deux cas.

Secondes d'attente entre deux actions - Spécifiez le délai d'attente en secondes à respecter après chaque option d'arrêt sélectionnée. Par exemple, si l'utilisateur sélectionne les trois options d'arrêt et un délai de 20 secondes, le message d'avertissement s'affiche, puis (20 secondes plus tard) le message de fermeture apparaît et enfin (après encore 20 secondes), l'application s'arrête. La valeur par défaut est 60 secondes.

Vous pouvez spécifier des heures d'accès pour les Éléments autorisés de type Fichier, Dossier et Hachage de fichier.

Rubriques connexes

À propos du contrôle des exécutables (Executable Control)

Paramètres de configuration Application Control

Collections de règles

Ensembles de règles

Éléments autorisés