Se protéger contre l'injection de code

L'injection de code permet à une application de faire exécuter du code par une autre. SES Evolution permet de protéger vos applications contre l'injection de code malveillant.

EXEMPLE
Deux approches sont possibles, illustrées par les cas d'usage suivants :
  • Cas d'usage 1 : Aucune application n'est autorisée à injecter du code, sauf certaines applications légitimes bien identifiées (e.g., antivirus, gestionnaire d'erreurs Windows). Il s'agit du cas le plus courant.
  • Cas d'usage 2 : Aucune application n'est autorisée à injecter du code dans le gestionnaire de mots de passe.

Vous devez au préalable avoir créé un identifiant d'applications pour chaque application à protéger et pour chaque application autorisée à faire de l'injection de code légitime. Pour plus d'informations, reportez-vous à la section Créer des identifiants d'applications.

  1. Choisissez le menu Sécurité > Politiques et cliquez sur votre politique.
  2. Sélectionnez un jeu de règles.
  3. Cliquez sur l'onglet Applicatif > Injection de code.
  4. Si vous êtes en lecture seule, cliquez sur le bouton Modifier dans le bandeau supérieur.
  5. Cliquez sur Ajouter une règle (Injection de code).
    Une nouvelle ligne s'affiche.
  6. Cliquez sur dans la zone des identifiants d'applications et choisissez la ou les applications concernées par le comportement par défaut.
    Pour le cas d'usage 1, n'ajoutez pas d'application car vous souhaitez toutes les protéger.
    Pour le cas d'usage 2, ajoutez le gestionnaire de mots de passe.
  7. Dans le champ Accès de la zone Comportement par défaut, choisissez pour une règle de protection :
    • Autoriser pour autoriser par défaut l'action,
    • Bloquer pour bloquer par défaut l'action,
    • Bloquer et interrompre pour bloquer par défaut l'action et arrêter le processus à l'origine de l'action.
    • Bloquer, interrompre et mettre en quarantaine pour bloquer par défaut l'action, arrêter le processus à l'origine de l'action, et mettre en quarantaine les fichiers suspects. Pour plus d'informations, reportez-vous à la section Gérer la mise en quarantaine de fichiers.
  8. Cliquez sur l'icône + Ajouter un comportement spécifique et choisissez la ou les applications que vous souhaitez exclure du comportement par défaut.
    Pour le cas d'usage 1, ajoutez ici les applications qui font de l'injection de code légitime (antivirus, gestionnaire d'erreurs Windows) et dans Accès choisissez Autoriser.Exemple de règle contre l'injection de code
    Pour le cas d'usage 2, n'ajoutez pas d'application car vous souhaitez que le gestionnaire de mots de passe soit complètement protégé.Exemple 2 de règle contre l'injection de code
  1. Dans le bandeau supérieur de la règle, vous pouvez :
    • Choisir de rendre la règle passive. Une règle passive agit comme une règle classique mais ne bloque pas véritablement les actions. L'agent émet uniquement des logs indiquant quelles actions auraient été bloquées par la règle.
      Utilisez ce mode pour tester de nouvelles règles de restriction, en connaître les impacts, et procéder à des ajustements avant de désactiver le mode Règle passive. Pour plus d'informations sur les tests de règles et de politiques, reportez-vous à la section Tester une politique de sécurité.
    • Indiquer si la règle doit générer un contexte lorsqu'elle s'applique. Par défaut, si la règle émet des logs de niveau Urgence ou Alerte, elle génère un contexte, mais vous pouvez désactiver cette fonctionnalité.
    • Sélectionner les paramètres des logs qui seront émis par cette règle.
    • Spécifier si une action doit être effectuée lors de l'émission d'un log pour cette règle. Vous pouvez demander qu'une notification soit affichée sur l'agent et/ou qu'un script soit exécuté.
    • Saisir une description pour expliquer l'objectif de la règle.
  2. Chaque règle affiche sur sa gauche son numéro de rang. Si besoin, réagencez l'ordre de vos règles en cliquant sur les flèches en dessous et au-dessus du numéro.
  3. Cliquez sur Enregistrer en haut à droite pour enregistrer vos modifications.