Paramètres d'agent : Contrôle des applications

Outils > Sécurité et conformité > Paramètres d'agent > Sécurité > Endpoint Security > Contrôle des applications

Utilisez cette boîte de dialogue pour créer ou modifier un paramètre Contrôle des applications (fichier de configuration) pour Endpoint Security (EPS). Lorsque vous créez des paramètres EPS, vous devez d'abord définir les exigences et actions générales, puis ajouter des certifications de fichier spécifiques. Vous pouvez créer autant de paramétrages EPS que vous le souhaitez et les modifier à tout moment.

Pour modifier les paramètres EPS par défaut du périphérique sans réinstaller l'agent EPS ni redéployer une configuration d'agent complète, apportez les changements souhaités aux options de la boîte de dialogue des paramètres EPS, affectez le nouveau paramétrage à une tâche de changement de paramètres, puis déployez cette tâche sur les périphériques cible.

Cette boîte de dialogue contient les pages suivantes :

Présentation de la page Paramètres généraux

Utilisez cette page pour donner un nom à votre paramètre Application Control. Sélectionnez Définir comme valeur par défaut si tel est votre choix.

À propos de la page Protection des applications

Utilisez cette page pour configurer les actions et paramètres généraux pour la protection EPS.

  • Activer la protection du comportement des applications : Active la protection EPS, qui autorise l'exécution de tous les programmes (à l'exception de ceux dont l'exécution menace la sécurité du système), en fonction des options des règles de protection prédéfinies. Vous pouvez attribuer des droits spéciaux à certains fichiers de programme à l'aide de listes de fichiers de confiance, en configurant des certifications de fichier personnalisées. La protection EPS observe le comportement des applications (l'application est-elle autorisée à modifier un autre exécutable, à modifier le registre, etc.) et applique les règles de sécurité.
    • Interdire le cryptage de l'enregistrement d'amorçage maître (MBR) : Bloque l'accès à l'enregistrement d'amorçage maître (MBR), ce qui protège les clients des ransomwares qui cryptent ce MBR.
    • Détection auto et mise sur liste noire des logiciels de cryptage/rançon : L'agent Endpoint Security (EPS) recherche les processus de cryptage. S'il en détecte un, EPS met fin à ce processus, tente de le supprimer du démarrage et l'ajoute à la liste de refus. EPS détecte les processus de cryptage dès que possible, mais certains fichiers seront sans doute cryptés avant que le processus soit stoppé. Nous vous recommandons d'utiliser des règles de protection de fichier afin d'empêcher le cryptage de vos fichiers par les ransomwares.

À propos de la page Protection des applications : Protection des fichiers

Utilisez cette page pour afficher, gérer et mettre en priorité les règles de protection de fichier. Les règles de protection de fichier sont un ensemble de restrictions qui évitent que les programmes exécutables spécifiés réalisent certaines actions sur les fichiers spécifiés. Avec les règles de protection de fichier, vous pouvez autoriser ou refuser l'accès, la modification, la création et l'exécution par un autre programme/fichier.

Par défaut, les règles suivantes sont activées :

  • Protéger les fichiers Word, PowerPoint et Excel du cryptage par un ransomware : Si vous activez cette option, Endpoint Security autorise uniquement les processus Word, PowerPoint et Excel à modifier des fichiers dans ces produits (les utilisateurs pourront quand même copier-coller ces fichiers). Si un ransomware s'exécute sur le poste client, il ne peut pas crypter ce type de fichier. En cas d'attaque par ransomware, l'administrateur peut contrôler à distance le périphérique infecté et copier les documents restés intacts vers un emplacement sûr. Cela garantit une récupération plus rapide, car l'utilisateur final conserve la dernière version de ses fichiers et n'a pas besoin de restaurer une ancienne copie de sauvegarde.
  • Interdire l'exécution des scripts depuis Word, PowerPoint ou Excel : L'une des méthodes courantes pour infecter un poste client consiste à convaincre l'utilisateur final d'exécuter une macro dans un document Word ou Excel. La plupart du temps, la macro lance un script PowerShell (ou autre) qui télécharge le malware sur le périphérique. Une fois cette fonction activée, Endpoint Security empêche les macros de lancer des scripts PowerShell, Visual Basic ou autres. Ainsi, si un utilisateur final exécute une macro qui lance un script, ce dernier ne s'exécute pas, ce qui empêche l'exécution du malware. La macro proprement dite continue à fonctionner.

Les options supplémentaires suivantes sont disponibles dans cette page :

  • Règles de protection : Répertorie toutes les règles de protection de fichier prédéfinies (par défaut) fournies par Ivanti, ainsi que toutes les règles de protection de fichier que vous avez créées.
    • Nom de règle : Identifie la règle de protection de fichiers.
    • Restrictions : Affiche les actions spécifiques de chaque programme sur les fichiers restreints par la règle de protection de fichier.
    • Programmes : Affiche les programmes exécutables protégés par la règle de protection.
  • Monter/Descendre : Détermine la priorité de la règle de protection de fichier : une règle de protection de fichier plus haut dans la liste prend la priorité sur une règle plus bas dans la liste. Par exemple, vous pouvez créer une règle qui empêche un programme d'accéder à un certain fichier ou type de fichier (et de le modifier), puis créer une autre règle pour autoriser une exception à cette restriction pour un ou plusieurs programmes nommés. Tant que la seconde règle est plus haute dans la liste des règles, elle va prendre la priorité.
  • Réinitialiser : Restaure les règles de protection de fichier prédéfinies (par défaut) fournies par Ivanti.
  • Ajouter : Ouvre la boîte de dialogue Configurer la règle de protection de fichier, où vous pouvez ajouter et supprimer des programmes et fichiers, et spécifier des restrictions.
  • Modifier : Ouvre la boîte de dialogue Configurer la règle de protection de fichier, où vous pouvez modifier une règle existante.
  • Supprimer : Supprime la règle de protection de fichier de la base de données principale.

NOTE: Les règles de protection de fichier sont stockées dans le fichier FILEWALL.XML, et placées dans : ProgramFiles\Landesk\ManagementSuite\ldlogon\AgentBehaviors\EPS_Behavior.ZIP

À propos des pages Protection des applications : Avancé et Listes blanches : Avancé

Utilisez cette page pour configurer le mode de fonctionnement de la protection Endpoint Security (EPS).

  • Mode de comportement des applications : Spécifie le comportement de protection appliqué lorsque vous activez la protection EPS. Choisissez l'une des méthodes de fonctionnement suivantes :
    • Blocage : Les violations de la sécurité sont bloquées ET enregistrées dans le fichier d'historique des actions sur le serveur principal.
    • Apprentissage : Toutes les violations de sécurité d'application sont autorisées, mais le comportement des applications est observé (appris) et ces informations sont renvoyées à la base de données principale sous forme de liste des fichiers de confiance. Utilisez ce mode pour découvrir le comportement des applications sur un périphérique ou un ensemble de périphériques spécifique. Utilisez ensuite ces informations afin de personnaliser vos stratégies EPS avant leur déploiement et l'application de la protection EPS à l'ensemble du réseau.
    • Journaliser uniquement : Les violations de la sécurité sont autorisées ET enregistrées dans le fichier d'historique des actions sur le serveur principal.
    • Silencieux : Les violations de la sécurité sont bloquées et ne sont PAS enregistrées dans le fichier d'historique des actions sur le serveur principal.

À propos de la page Listes blanches

  • Activer la protection par liste blanche : Lorsque vous sélectionnez cette option, les seules applications autorisées à s'exécuter sont celles mentionnées dans une liste des fichiers de confiance et pour lesquelles vous avez activé l'option Autoriser l'exécution dans la certification de fichier.
  • Empêcher Windows Explorer de modifier ou supprimer les fichiers exécutables : Activez cette option si vous ne voulez pas que Windows puisse modifier ou supprimer des fichiers exécutables.
  • Traiter les fichiers de "bonne réputation" comme s'ils figuraient dans la liste des fichiers de confiance : Lorsque vous sélectionnez cette option, le système fait automatiquement confiance aux fichiers qui figurent dans la base de données de fichiers connus comme sains hébergée par Ivanti. Pour en savoir plus, reportez-vous à « Utilisation de la réputation des fichiers pour bloquer des applications ».
  • Traiter les fichiers de "mauvaise réputation" comme s'ils étaient sur liste noire : Refuse l'accès des fichiers qui figurent dans la base de données de fichiers connus comme non sains hébergée par Ivanti.

À propos de la boîte de dialogue Configurer la règle de protection de fichier

Utilisez cette page pour configurer les règles de protection de fichier.

  • Nom de règle : Identifie la règle de protection de fichiers par un nom descriptif.
  • Programmes surveillés
    • Tous les programmes : Spécifie que tous les programmes exécutables sont restreints en ce qui concerne la réalisation des actions sélectionnées dessous sur les fichiers spécifiés dessous.
    • Programmes nommés : Spécifie que seuls les programmes exécutables figurant dans la liste sont soumis aux restrictions sélectionnées ci-dessous.
    • Appliquer si le processus est dans la chaîne d'exécution : Les programmes peuvent en lancer d'autres. Si le programme surveillé se trouve dans la chaîne d'exécution, appliquer la règle même si ce programme surveillé n'est pas celui qui accède aux fichiers protégés.
    • Autoriser les fichiers de confiance à contourner la règle : Autorise tous les programmes exécutables figurant dans votre liste de fichiers certifiés à outrepasser les restrictions associées à cette règle de protection des fichiers.
    • Ajouter : Vous permet de choisir les programmes qui sont restreints par la règle de protection de fichier. Vous pouvez utiliser des noms de fichiers et des caractères de substitution.
    • Modifier : Vous permet de modifier le nom du programme.
    • Supprimer : Retire le programme de la liste.
  • Fichiers protégés
    • N'importe quel fichier : Spécifie que tous les fichiers sont protégés des programmes certifiés au-dessus selon leurs restrictions.
    • Fichiers nommés : Spécifie qu'uniquement les fichiers dans la liste sont protégés.
    • Ajouter : Vous permet de choisir le ou les fichiers protégés par la règle. Vous pouvez utiliser les noms de fichiers ou des caractères de substitution.
    • Modifier : Vous permet de modifier le nom du fichier.
    • Supprimer : Supprime le fichier de la liste.
    • Appliquer également aux sous-répertoires : Renforce la protection du fichier et des sous-répertoires d'un répertoire spécifique.
    • Appliquer uniquement aux fichiers téléchargés sur Internet : Seuls les fichiers téléchargés depuis Internet sont protégés des programmes de surveillance.
  • Actions restreintes sur les fichiers protégés
    • Accès en lecture : Empêche les programmes spécifiés ci-dessus d'accéder aux fichiers protégés.
    • Modification : Empêche les programmes spécifiés plus haut d'apporter des changements aux fichiers protégés.
    • Création : Interdit aux programmes susmentionnés de créer les fichiers.
    • Exécution : Interdit aux programmes susmentionnés d'activer les fichiers protégés.