Sécurité

Ces paramètres vous permettent de contrôler les activités des utilisateurs dans Workspace Environment Management.


Sécurité des applications

Important :

Pour contrôler les applications que les utilisateurs peuvent exécuter, vous pouvez utiliser l’interface Windows AppLocker ou Workspace Environment Management pour gérer les règles Windows AppLocker. Vous pouvez basculer entre ces approches à tout moment, mais nous vous recommandons de ne pas utiliser les deux approches en même temps.

Ces paramètres vous permettent de contrôler les applications que les utilisateurs sont autorisés à exécuter en définissant des règles. Cette fonctionnalité est similaire à Windows AppLocker. Lorsque vous utilisez Workspace Environment Management pour gérer les règles Windows AppLocker, l’agent traite (convertit) les règles de l’onglet Application Security en règles Windows AppLocker sur l’hôte de l’agent. Si vous arrêtez les règles de traitement de l’agent, elles sont conservées dans le jeu de configuration et AppLocker continue de s’exécuter à l’aide du dernier jeu d’instructions traité par l’agent.

Sécurité des applications

Cet onglet répertorie les règles de sécurité des applications dans le jeu de configuration Workspace Environment Management actuel. Vous pouvez utiliser Rechercher pour filtrer la liste en fonction d’une chaîne de texte.

Lorsque vous sélectionnez l’élément de niveau supérieur « Sécurité des applications » dans l’ongletSécurité, les options suivantes deviennent disponibles pour activer ou désactiver le traitement des règles :

Traiter les règles de sécurité des applications. Lorsque cette option est sélectionnée, les contrôles del’onglet Sécurité desapplications sont activés et l’agent traite les règles du jeu de configuration actuel, les convertissant en règles AppLocker sur l’hôte de l’agent. Lorsque cette option n’est pas sélectionnée, les contrôles del’onglet Sécurité desapplications sont désactivés et l’agent ne traite pas les règles dans les règles AppLocker. (Dans ce cas, les règles AppLocker ne sont pas mises à jour.)

Remarque :

Cette option n’est pas disponible si la console d’administration Workspace Environment Management est installée sur Windows 7 SP1 ou Windows Server 2008 R2 SP1 (ou versions antérieures).

Traiter les règles DLL. Lorsque cette option est sélectionnée, l’agent traite les règles DLL dans le jeu de configuration actuel dans les règles DLL AppLocker sur l’hôte de l’agent. Cette option n’est disponible que lorsque vous sélectionnez Traiter les règles de sécurité des applications.

Important :

Si vous utilisez des règles DLL, vous devez créer une règle DLL avec l’autorisation « Autoriser » pour chaque DLL utilisée par toutes les applications autorisées.

Attention :

Si vous utilisez des règles DLL, les utilisateurs peuvent rencontrer une réduction des performances. Cela se produit car AppLocker vérifie chaque DLL qu’une application charge avant d’être autorisée à exécuter.

Collections de règles

Les règles appartiennent à des collections de règles AppLocker. Chaque nom de collection indique le nombre de règles qu’il contient, par exemple (12). Cliquez sur un nom de collection pour filtrer la liste des règles dans l’une des collections suivantes :

  • Règles exécutables. Règles qui incluent des fichiers avec les extensions .exe et .com associées à une application.
  • Règles de Windows. Règles qui incluent les formats de fichiers d’installation (.msi, .msp, .mst) qui contrôlent l’installation des fichiers sur les ordinateurs clients et les serveurs.
  • Règles de script. Règles qui incluent des fichiers aux formats suivants : .ps1, .bat, .cmd, .vbs, .js.
  • Règles emballées. Règles qui incluent des applications packagées, également connues sous le nom d’applications Windows universelles. Dans les applications empaquetées, tous les fichiers du package d’application partagent la même identité. Par conséquent, une règle peut contrôler l’ensemble de l’application. Workspace Environment Management prend en charge uniquement les règles de publication pour les applications empaquetées.
  • Règles DLL. Règles qui incluent des fichiers aux formats suivants : .dll, .ocx.

Lorsque vous filtrez la liste des règles dans une collection, l’option Application desrègles est disponible pour contrôler la façon dont AppLocker applique toutes les règles de cette collection sur l’hôte de l’agent. Les valeurs d’application de règle suivantes sont possibles :

Désactivé (par défaut). Les règles sont créées et définies sur « off », ce qui signifie qu’elles ne sont pas appliquées.

On. Les règles sont créées et définies sur « appliquer », ce qui signifie qu’elles sont actives sur l’hôte de l’agent.

Audit. Les règles sont créées et définies sur’audit “, ce qui signifie qu’elles se trouvent sur l’hôte de l’agent dans un état inactif. Lorsqu’un utilisateur exécute une application qui enfreint une règle AppLocker, l’application est autorisée à s’exécuter et les informations relatives à l’application sont ajoutées au journal des événements AppLocker.

Pour importer des règles AppLocker

Vous pouvez importer des règles déjà exportées depuis AppLocker dans Workspace Environment Management. Les paramètres Windows AppLocker importés sont ajoutés à toutes les règles existantes dans l’ongletSécurité. Toutes les règles de sécurité des applications non valides sont automatiquement supprimées et répertoriées dans une boîte de dialogue de rapport que vous pouvez exporter.

1. Dans le ruban, cliquez sur Importer des règles AppLocker.

2. Accédez au fichier XML exporté depuis AppLocker contenant vos règles AppLocker.

3. Cliquez sur Importer.

Les règles sont ajoutées à la liste des règles de sécurité des applications.

Pour ajouter une règle

1. Sélectionnez un nom de collection de règles dans la barre latérale. Par exemple, pour ajouter une règle exécutable, sélectionnez la collection « Règles exécutables ».

2. Cliquez sur Ajouter une règle.

3. Dans lasectionAffichage, tapez les détails suivants :

Nom. Nom complet de la règle tel qu’il apparaît dans la liste des règles.

Description. Informations supplémentaires sur la ressource (facultatif).

4. Dans lasectionType, cliquez sur une option :

Chemin. La règle correspond à un chemin d’accès au fichier ou au dossier.

Éditeur. La règle correspond à un éditeur sélectionné.

Hash. La règle correspond à un code de hachage spécifique.

5. Dans lasectionAutorisations, cliquez sur si cette règle autorisera ou refusera l’exécution des applications.

6. Pour affecter cette règle à des utilisateurs ou à des groupes d’utilisateurs, dans levoletAffectations, choisissez des utilisateurs ou des groupes auxquels attribuer cette règle. La colonne « Affecté » affiche une icône « check » pour les utilisateurs ou les groupes affectés.

Conseil : vous pouvez utiliser les touches de modification de sélection Windows habituelles pour effectuer plusieurs sélections, ou utiliser Sélectionner tout pour sélectionner toutes les lignes.

Conseil : les utilisateurs doivent déjà figurer dans la liste Utilisateurs de Workspace Environment Management.

Conseil : Vous pouvez affecter des règles après la création de la règle.

7. Cliquez sur Suivant.

8. Spécifiez les critères auxquels la règle correspond, en fonction du type de règle que vous choisissez :

Chemin. Spécifiez un chemin d’accès de fichier ou un chemin de dossier auquel la règle doit correspondre. Lorsque vous choisissez un dossier, la règle correspond à tous les fichiers à l’intérieur et en dessous de ce dossier.

Éditeur. Spécifiez un fichier de référence signé, puis utilisez le curseur Informations sur l’éditeur pour régler le niveau de correspondance des propriétés.

Hash. Spécifiez un fichier. La règle correspond au code de hachage du fichier.

9. Cliquez sur Suivant.

10. Ajoutez toutes les exceptions dont vous avez besoin (facultatif). Dans Ajouter une exception, choisissez un type d’exception, puis cliquez sur Ajouter. (Vous pouvez modifier et supprimer des exceptions si nécessaire.)

11. Pour enregistrer la règle, cliquez sur Créer.

Pour attribuer des règles aux utilisateurs

Sélectionnez une ou plusieurs règles dans la liste, puis cliquez sur Modifier dans la barre d’outils ou le menu contextuel. Dans l’éditeur, sélectionnez les lignes contenant les utilisateurs et les groupes d’utilisateurs auxquels vous souhaitez affecter la règle, puis cliquez sur OK. Vous pouvez également annuler l’affectation des règles sélectionnées à tout le monde à l’aide de Sélectionner tout pour effacer toutes les sélections.

Remarque : si vous sélectionnez plusieurs règles et cliquez sur Modifier, toutes les modifications d’affectation de règles pour ces règles sont appliquées à tous les utilisateurs et groupes d’utilisateurs sélectionnés. En d’autres termes, les affectations de règles existantes sont fusionnées entre ces règles.

Pour ajouter des règles par défaut

Cliquez sur Ajouter des règles par défaut. Un ensemble de règles par défaut AppLocker est ajouté à la liste.

Pour modifier les règles

Sélectionnez une ou plusieurs règles dans la liste, puis cliquez sur Modifier dans la barre d’outils ou le menu contextuel. L’éditeur apparaît vous permettant d’ajuster les paramètres qui s’appliquent à la sélection que vous avez effectuée.

Pour supprimer des règles

Sélectionnez une ou plusieurs règles dans la liste, puis cliquez sur Supprimer dans la barre d’outils ou le menu contextuel.

Pour sauvegarder les règles de sécurité des applications

Vous pouvez sauvegarder toutes les règles de sécurité des applications dans votre jeu de configuration actuel. Les règles sont toutes exportées sous la forme d’un seul fichier XML. Vous pouvez utiliser Restaurer pour restaurer les règles dans n’importe quel jeu de configuration. Dans le ruban, cliquez sur Sauvegarde, puis sélectionnez Paramètres de sécurité.

Pour restaurer les règles de sécurité des applications

Vous pouvez restaurer les règles de sécurité des applications à partir de fichiers XML créés par la commande de sauvegarde Workspace Environment Management. Le processus de restauration remplace les règles de la configuration actuelle définie par celles de la sauvegarde. Lorsque vous passez à l’ongletSécurité ou que vous actualisez, les règles de sécurité des applications non valides sont détectées. Les règles non valides sont automatiquement supprimées et répertoriées dans une boîte de dialogue de rapport, que vous pouvez exporter.

Au cours du processus de restauration, vous pouvez choisir de restaurer les affectations de règles aux utilisateurs et aux groupes d’utilisateurs dans votre jeu de configuration actuel. La réaffectation ne réussit que si les utilisateurs/groupes sauvegardés sont présents dans votre jeu de configuration/répertoire actif en cours. Toutes les règles non appariées sont restaurées mais ne sont pas affectées. Après la restauration, ils sont répertoriés dans une boîte de dialogue de rapport que vous pouvez exporter au format CSV.

1. Dans le ruban, cliquez sur Restaurer pour démarrer l’assistant de restauration.

2. Sélectionnez Paramètres de sécurité, puis cliquezdeux fois surSuivant.

3. Dans Restaurer à partir du dossier, accédez au dossier contenant le fichier de sauvegarde.

4. Sélectionnez Paramètres de règle AppLocker, puis cliquez sur Suivant.

5. Confirmez si vous souhaitez restaurer ou non les affectations de règles :

Oui. Restaurez les règles et réaffectez-les aux mêmes utilisateurs et groupes d’utilisateurs dans votre jeu de configuration actuel.

Non. Restaurer les règles et les laisser non assignées.

6. Pour commencer la restauration, cliquez sur Restaurer les paramètres.


Gestion des processus

Ces paramètres vous permettent de mettre en liste blanche ou de mettre en liste noire des processus spécifiques.

Gestion des processus

Activer la gestion des processus. Cela permet de déterminer si les listes d’autorisation ou de blocage de processus sont en vigueur. Si cette option est désactivée, aucun des paramètres des ** onglets Liste noire de **processus et Traiter la liste de blocage n’est pris en compte.

Remarque :

Cette option ne fonctionne que si l’agent de session est en cours d’exécution dans la session de l’utilisateur. Pour ce faire, utilisez les paramètres de l’agent de configurationprincipal pour définir lesoptions de l’agent delancement (à l’ouverture de session/à la reconnexion/pour les administrateurs) pour qu’elles soient lancées en fonction du type utilisateur/session, et définissez Type d’agent à « UI ». Ces options sont décrites dans Paramètres avancés.

Liste noire de traitement

Ces paramètres vous permettent de mettre en liste noire des processus spécifiques.

Activez la liste noire des processus. Cela permet d’activer la liste noire de traitement. Vous devez ajouter des processus à l’aide de leur nom exécutable (par exemple, cmd.exe).

Exclure les administrateurs locaux. Exclut les comptes d’administrateur local de la liste noire de traitement.

Exclure les groupesspécifiés Permet d’exclure des groupes d’utilisateurs spécifiques de la liste noire de traitement.

Liste blanche du processus

Ces paramètres vous permettent de mettre en liste blanche des processus spécifiques. Les listes noires de traitement et les listes blanches de traitement s’excluent mutuellement.

Activez la liste blanche des processus. Cela permet la liste blanche des processus. Vous devez ajouter des processus à l’aide de leur nom exécutable (par exemple, cmd.exe). Remarque Si cette option est activée, Activer la liste blanche des processus répertorie automatiquement tous les processus qui ne figurent pas dans la liste blanche.

Exclure les administrateurs locaux. Exclut les comptes d’administrateur local de la liste blanche des processus (ils peuvent exécuter tous les processus).

Exclure les groupesspécifiés Permet d’exclure des groupes d’utilisateurs spécifiques de la liste blanche des processus (ils peuvent exécuter tous les processus).

Sécurité