Utilisation de la réputation des fichiers pour bloquer des applications
La fonction de réputation des fichiers (File Reputation) de Sécurité et conformité vous permet de vous assurer que les fichiers figurant dans le système de fichiers d'un périphérique ne sont pas du malware et qu'ils n'ont pas été altérés. La protection basée sur le contrôle des applications vous aide à sécuriser les périphériques gérés, mais de faux positifs peuvent quand même se déclencher pour des applications légitimes, selon les opérations que ces applications tentent de réaliser. Si vous utilisez la réputation des fichiers, vous pouvez choisir de créer un profil de contrôle des applications distinct pour les fichiers dont la « bonne » réputation est connue, afin de contourner le comportement normal du contrôle des applications.
Par défaut, la fonction de réputation des fichiers est désactivée. Si vous activez la réputation des fichiers, des informations anonymes de réputation concernant les fichiers des périphériques gérés sont envoyées au serveur Cloud de réputation Ivanti File Reputation, ce qui améliore la précision des données de réputation et le champ d'action de cette fonction pour toutes les personnes qui l'utilisent.
Si vous activez la réputation des fichiers, chaque fois que le périphérique exécute une application, l'agent vérifie d'abord dans la base de données locale si les fichiers de cette application correspondent aux hachages connus comme « bons ». Si aucune correspondance n'est trouvée, l'agent envoie une demande contenant des données sur les fichiers au serveur principal. Le serveur principal consulte sa base de données pour voir s'il existe déjà des informations sur la réputation de ces fichiers. Si tel n'est pas le cas, le serveur principal envoie une demande au serveur de réputation Ivanti File Reputation dans le Cloud. Si les hachages de fichiers correspondent à des données dans le Cloud, le serveur en Cloud renvoie les informations de réputation de ces fichiers au serveur principal et au client.
Le système de réputation des fichiers utilise une base de données Ivanti hébergée dans le Cloud contenant des informations sur les fichiers, notamment leur nom, leur taille, des métadonnées et des hachages SHA1. La base de données de réputation des fichiers contient principalement des données provenant de la National Software Reference Library (NSRL, Bibliothèque nationale de référence des logiciels des États-Unis). Pour en savoir plus, visitez leur site Web : http://www.nsrl.nist.gov/new.html.
Un fichier peut avoir trois valeurs de réputation :
•Positif : Le fichier correspond à une entrée dans la base de données de la NSRL ou Ivanti a collecté suffisamment d'informations pour considérer que ce fichier est sûr.
•Négatif : Le fichier ne correspond à aucune entrée dans la base de données de la NSRL ou Ivanti a collecté suffisamment d'informations pour considérer que ce fichier n'est pas sûr.
•Indéterminé : Il n'existe aucune correspondance pour ce fichier, ou le nombre de correspondances est insuffisant pour décider s'il le fichier est « bon » ou « mauvais ».
Entre autres facteurs, l'algorithme de réputation des fichiers prend en compte la fréquence des fichiers concordants, l'ancienneté des correspondances, le nom du signataire de ces fichiers, et la fréquence à laquelle ces occurrences sont autorisées ou bloquées dans Endpoint Manager.
Pour utiliser la surveillance de réputation des fichiers sur les périphériques gérés, vous devez réaliser les opérations suivantes :
1.Téléchargez les mises à jour Ivanti File Reputation.
2.Créez un paramètre d'agent de contrôle des applications qui utilise la réputation des fichiers.
-Ou-
Incluez les définitions de réputation dans la liste des fichiers d'application.
3.Déployez les paramètres sur les périphériques gérés.
1.Cliquez sur Outils > Sécurité et conformité > Correctif et conformité.
2.Cliquez sur le bouton Télécharger les mises à jour de la barre d'outils.
3.Dans la liste Types de définition, cliquez sur Mises à jour Ivanti File Reputation.
4.Dans la boîte de dialogue de confirmation, lisez attentivement les conditions d'utilisation de la réputation des fichiers. Si vous acceptez ces conditions, cliquez sur J'accepte. Si vous cliquez sur Je refuse, la case à cocher Mises à jour Ivanti File Reputation est désélectionnée.
5.Cliquez sur le bouton Télécharger maintenant ou Appliquer.
1.Cliquez sur Outils > Sécurité et conformité > Paramètres d'agent.
2.Dans l'arborescence, sous Paramètres d'agent > Mes paramètres d'agent > Sécurité > Endpoint Security, cliquez avec le bouton droit sur Contrôle des applications et sélectionnez Nouveau, ou bien double-cliquez sur un paramètre existant.
3.Dans la page Paramètres généraux, sélectionnez Traiter les fichiers de "bonne réputation" comme s'ils figuraient dans la liste des fichiers de confiance.
4.Cliquez sur le bouton Comportement d'une application de "bonne réputation".
5.Configurez les comportements Contrôle d'application et Ivanti Firewall (Pare-feu Ivanti) de votre choix pour les fichiers de bonne réputation.
6.Cliquez sur OK, puis sur Enregistrer.
1.Cliquez sur Outils > Sécurité et conformité > Paramètres d'agent.
2.Dans l'arborescence, sous Paramètres d'agent > Mes paramètres d'agent > Sécurité > Endpoint Security, cliquez avec le bouton droit sur Listes de fichiers d'application et sélectionnez Nouveau, ou bien double-cliquez sur un paramètre existant.
3.Activez les options en haut de la boîte de dialogue, notamment Inclure automatiquement les fichiers de "bonne réputation" lors de l'envoi aux clients ou Inclure automatiquement les fichiers de "mauvaise réputation" lors de l'envoi aux clients.
4.Si vous incluez les fichiers de bonne réputation, cliquez sur le bouton Comportement d'application autorisé pour configurer les comportements Contrôle d'application et Ivanti Firewall (Pare-feu Ivanti) de votre choix pour les fichiers de bonne réputation.
5.Cliquez sur OK.
1.Cliquez sur Outils > Sécurité et conformité > Paramètres d'agent.
2.Cliquez sur le bouton Configurer les paramètres dans la barre d'outils, puis sur Réputations de fichier.
3.Double-cliquez sur la liste de fichiers d'application à modifier ou créez-en une nouvelle.
4.Dans la barre d'outils Liste de fichiers d'application, cliquez sur , puis sélectionnez Ajouter un fichier avec Parcourir ou Ajouter un fichier bloqué en entrant son nom.
5.Selon l'option choisie, naviguez jusqu'au fichier voulu et cliquez sur Enregistrer, ou entrez manuellement les détails du fichier et cliquez sur OK.
1.Dans la fenêtre Paramètres d'agent, cliquez sur le bouton Créer une tâche dans la barre d'outils, puis cliquez sur Modifier les paramètres.
2.Selon vos préférences, sélectionnez une tâche planifiée ou une stratégie comme type de tâche de changement de paramètres.
3.En face de Endpoint Security dans la liste des paramètres, sélectionnez le paramètre Endpoint Security (Sécurité des postes client) qui utilise le paramètre de contrôle des applications que vous avez configuré.
4.Cliquez sur OK et finissez de configurer la tâche dans la fenêtre Tâches planifiées.
1.Cliquez sur Outils > Sécurité et conformité > Paramètres d'agent.
2.Cliquez sur le bouton Configurer les paramètres dans la barre d'outils, puis sur Réputations de fichier. Pour trier la liste des fichiers, utilisez les cases à cocher en haut de la page et cliquez sur Appliquer le filtre.
3.Sélectionnez les fichiers dont vous voulez changer la réputation, puis cliquez sur le bouton Ignorer la réputation.
4.Veillez à bien sélectionner Écraser le paramètre Ivanti Reputation et sélectionnez une valeur Réputation souhaitée.
5.Cliquez sur OK.
1.Cliquez sur Outils > Sécurité et conformité > Paramètres d'agent.
2.Dans l'arborescence, sous Paramètres d'agent > Mes paramètres d'agent > Sécurité > Endpoint Security, cliquez avec le bouton droit sur Listes de fichiers d'application et sélectionnez Nouveau, ou bien double-cliquez sur un paramètre existant.
3.Dans la barre d'outils Liste de fichiers d'application, cliquez sur , puis sélectionnez Importer d'autres listes de fichiers d'application.
4.Appliquez des filtres si nécessaire et sélectionnez le fichiers à importer. Cliquez sur Suivant.
5.Configurez les comportements d'application voulus pour les fichiers sélectionnés, puis cliquez sur OK.
6.Cliquez de nouveau sur OK pour enregistrer les changements apportés à la liste de fichiers d'application.
1.Cliquez sur Outils > Sécurité et conformité > Paramètres d'agent.
2.Dans l'arborescence, sous Paramètres d'agent > Mes paramètres d'agent > Sécurité > Endpoint Security, cliquez avec le bouton droit sur Listes de fichiers d'application et sélectionnez Nouveau, ou bien double-cliquez sur un paramètre existant.
3.Dans la barre d'outils Liste de fichiers d'application, cliquez sur , puis sélectionnez Importer d'un fichier .csv.
4.Naviguez jusqu'au fichier .csv contenant la liste de fichiers d'application, puis sélectionnez Ouvrir.
5.Configurez les fichiers importés si nécessaire et cliquez sur OK.
Le format du fichier .csv est le suivant :
"Nom de fichier" "Taille de fichier", "Version", "Nom du fabricant", "Nom de produit", "Chaîne de hachage MD5 base64", "Chaîne SHA1", "Chaîne SHA256", "Permissions"
Voici un exemple d'entrée CSV :
"abc.exe","4032","1.1.0.0","Company-1.","Product1","CWhlIHF1aWNrIGJyb3duIA==","a94a8fe5ccb19ba61c4c0873d391e987982fbbd3", "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08","AuthorizedInstaller AllowExecution BypassBufferOverflow"
Les chaînes de permission autorisées sont les suivantes :
- AuthorizedInstaller : Autoriser l'installation du fichier
- AllowExecution : Autoriser l'exécution du fichier
- BypassBufferOverflow : Contourner la protection de débordement de tampon (buffer)
- ModifyProtRegKeys : Modifier les clés de registre protégées
- ProtAppInMem : Protéger l'application en mémoire
- ModifyExeFiles : Modifier les fichiers exécutables
- ModifyProtFiles : Modifier les fichiers protégés
- BypassAllProtection : Contourner toutes les protections
- AddToSysStartup : Ajouter au démarrage du système
- InheritToChildProc : Les processus enfant héritent des droits
- AllowSmtpOut : Autoriser l'envoi d'e-mails
- AllowNetConnect : Autoriser l'application à se connecter hors de l'étendue de confiance (Internet)
- AllowNetListen : Autoriser l'application à recevoir une connexion hors de l'étendue de confiance (Internet)
- AllowTrustedNetConnect : Autoriser l'application à se connecter dans l'étendue de confiance
- AllowTrustedNetListen : Autoriser l'application à recevoir une connexion dans l'étendue de confiance
1.Cliquez sur Outils > Sécurité et conformité > Paramètres d'agent.
2.Dans l'arborescence, sous Paramètres d'agent > Mes paramètres d'agent > Sécurité > Endpoint Security, cliquez avec le bouton droit sur Listes de fichiers d'application et sélectionnez Nouveau, ou bien double-cliquez sur un paramètre existant.
3.Dans la barre d'outils Liste de fichiers d'application, cliquez sur , puis sélectionnez Importer de périphériques de confiance.
4.Sélectionnez les périphériques appropriés, puis cliquez sur Importer des fichiers depuis les périphériques spécifiés.
5.Pour effectuer une recherche exhaustive des fichiers .exe sur ces périphériques, cliquez sur Oui.
6.Configurez les fichiers importés si nécessaire et cliquez sur OK.
1.Cliquez sur Outils > Sécurité et conformité > Paramètres d'agent.
2.Dans l'arborescence, sous Paramètres d'agent > Mes paramètres d'agent > Sécurité > Endpoint Security, cliquez avec le bouton droit sur Listes de fichiers d'application et sélectionnez Fusionner les fichiers d'application.
3.Sélectionnez la liste de fichiers d'application qui doit servir de liste source.
4.Indiquez si vous souhaitez fusionner les différences ou simplement remplacer les fichiers d'application.
5.Sélectionnez les listes cible pour l'opération de fusion.
6.Cliquez sur OK.