Contrôler l'exécution de code

Cette protection permet d'autoriser ou d'interdire le chargement de code exécutable provenant de fichiers exécutables ou de librairies (DLL).

Les fichiers ou librairies en question sont identifiés dans les règles par un chemin, un flux de données alternatif, un propriétaire et/ou un type de volume.

EXEMPLE
Ces règles permettent par exemple d'autoriser seulement l'exécution de binaires installés par le système d'exploitation ou par les administrateurs du parc, ou bien d'empêcher des applications dangereuses d'exécuter certaines DLL.

Vous devez au préalable avoir créé un identifiant d'applications pour les applications autorisées ou non à exécuter un fichier ou une librairie. Pour plus d'informations, reportez-vous à la section Créer des identifiants d'applications.

  1. Choisissez le menu Sécurité > Politiques et cliquez sur votre politique.
  2. Sélectionnez un jeu de règles.
  3. Cliquez sur l'onglet Applicatif > Exécution de code.

  4. Si vous êtes en lecture seule, cliquez sur le bouton Modifier dans le bandeau supérieur.

  5. Cliquez sur Ajouter une règle (Exécution de code). Une nouvelle ligne s'affiche.
  6. Dans la zone de gauche, cliquez sur l'icône pour afficher la fenêtre de création de l'identifiant du ou des fichiers exécutables ou DLL pour lesquels vous souhaitez contrôler l'accès.
  7. Saisissez le nom de l'identifiant.
  8. Saisissez un chemin, une extension ou bien un nom de fichier exécutable ou DLL. Ce champ peut contenir les caractères génériques "?" et "*".
  9. Choisissez le type de volume sur lequel se trouve le fichier ou la DLL.
  10. Dans les paramètres avancés, vous avez la possibilité de préciser le compte Windows propriétaire des fichiers, à condition que ceux-ci soient situés sur un volume local. Vous pouvez également entrer directement un identifiant de sécurité (SID) pour indiquer un compte Windows personnel. Cette option permet d'autoriser ou de bloquer l'exécution de fichiers ou DLL détenus par certains comptes.
  11. Vous avez également la possibilité de spécifier un flux de données alternatif. Le flux de données alternatif (Alternate Data Stream) d'un fichier contient des métadonnées et permet entre autres de connaître la provenance du fichier. Par exemple, spécifier le flux de données alternatif "zone.identifier" permet d'établir des règles pour les fichiers provenant d'Internet. Le flux de données alternatif pourrait également être un vecteur d'attaque en abritant du code malveillant. Ce champ peut contenir les caractères génériques "?" et "*".
  12. Cliquez sur Valider pour fermer la fenêtre de création de l'identifiant. Vous pouvez survoler le nom de l'identifiant pour afficher le récapitulatif des paramètres.
    EXEMPLES
    • Bloquez l'exécution de la DLL *\lxssmanager.dll pour toutes les applications.
    • Bloquez l'exécution de la DLL *\system.management.automation.dll pour toutes les applications sauf celles qui sont reconnues légitimes.
    Exemple de comportement par défaut
  13. Dans le champ Exécution de la zone Comportement par défaut, choisissez pour une règle de protection :
    • Autoriser pour autoriser par défaut l'action,
    • Bloquer pour bloquer par défaut l'action,
    • Bloquer et interrompre pour bloquer par défaut l'action et arrêter le processus à l'origine de l'action.
    • Bloquer, interrompre et mettre en quarantaine pour bloquer par défaut l'action, arrêter le processus à l'origine de l'action, et mettre en quarantaine les fichiers suspects. Pour plus d'informations, reportez-vous à la section Gérer la mise en quarantaine de fichiers.
  14. Cliquez sur l'icône + Ajouter un comportement spécifique et choisissez la ou les ressources à exclure du comportement par défaut. Dans le champ Exécution associé, choisissez si vous souhaitez que l'exécution de code soit autorisée ou bloquée. Vous pouvez aussi choisir de la bloquer et d'arrêter le processus à l'origine de l'action.
  1. Dans le bandeau supérieur de la règle, vous pouvez :
    • Choisir de rendre la règle passive. Une règle passive agit comme une règle classique mais ne bloque pas véritablement les actions. L'agent émet uniquement des logs indiquant quelles actions auraient été bloquées par la règle.
      Utilisez ce mode pour tester de nouvelles règles de restriction, en connaître les impacts, et procéder à des ajustements avant de désactiver le mode Règle passive. Pour plus d'informations sur les tests de règles et de politiques, reportez-vous à la section Tester une politique de sécurité.
    • Indiquer si la règle doit générer un contexte lorsqu'elle s'applique. Par défaut, si la règle émet des logs de niveau Urgence ou Alerte, elle génère un contexte, mais vous pouvez désactiver cette fonctionnalité. En cas de génération massive de logs similaires, le contexte n'est pas généré. Pour plus d'informations sur la génération massive de logs, reportez-vous à la section Surveiller l'activité des agents SES Evolution .
    • Sélectionner les paramètres des logs qui seront émis par cette règle.
    • Spécifier si une action doit être effectuée lors de l'émission d'un log pour cette règle. Vous pouvez demander qu'une notification soit affichée sur l'agent et/ou qu'un script soit exécuté.
    • Saisir une description pour expliquer l'objectif de la règle.
  2. Chaque règle affiche sur sa gauche son numéro de rang. Si besoin, réagencez l'ordre de vos règles en cliquant sur les flèches en dessous et au-dessus du numéro.
  3. Cliquez sur Enregistrer en haut à droite pour enregistrer vos modifications.