Créer des identifiants de pilotes

Les identifiants de pilotes permettent de définir les pilotes légitimes que vous souhaitez exclure de la détection de rootkit.

Les identifiants de pilote sont nécessaires lors de la création des règles d'audit de détection de rootkit et vous devez donc les créer au préalable.

Pour plus d'informations, reportez-vous à la section Connaître les différentes menaces et leur protection.

Les identifiants sont propres aux jeux de règles. Vous devez créer des identifiants dans chaque jeu. Vous pouvez néanmoins exporter tous les identifiants d'un jeu de règles pour les importer et les utiliser dans un autre. Pour plus d'informations, reportez-vous à la section Exporter et importer des identifiants

  1. Dans le menu Sécurité > Politiques, sélectionnez une politique puis un jeu de règles.
  2. Cliquez sur l'onglet Identifiants en haut à droite, puis sur l'onglet Identifiants de pilotes.
  3. Cliquez sur Modifier dans le bandeau supérieur puis sur Ajouter un identifiant.
    Un identifiant vide s'affiche en dessous des identifiants existants.
  4. Cliquez sur Modifier en bas à droite de l'entrée.
  5. Dans le champ Nouvel identifiant de pilotes, entrez un nom d'identifiant, puis une description si nécessaire.
  6. Cliquez sur Icône + et sélectionnez tous les critères d'identifiants que vous souhaitez utiliser. Par exemple Chemin et Hashes.
  7. Cliquez à l'extérieur de la fenêtre des critères et définissez chaque critère d'identification sélectionné :

    1. Cliquez sur Modifier puis dans le champ bleu en bas saisissez le chemin partiel ou complet du fichier du pilote. Il peut s'agir du chemin dans le système de fichiers ou d'un lien.

      Les caractères * et ? sont autorisés. Par exemple, entrez *\drivers\Stormshield Endpoint Security Agent\es*.sys pour désigner les pilotes Stormshield.

      Les chemins complets commençant par une lettre (i.e., E:\Data\Backup) ne sont pas supportés si le Type de volume est distant ou amovible.

      Stormshield recommande fortement l'utilisation des racines de chemins EsaRoots fournies par SES Evolution à la place des lettres de lecteurs (i.e., C:\...). En effet, ces lettres peuvent différer d'un poste de travail à l'autre.

    2. Vous pouvez aussi préciser un flux de données alternatif (Alternate Data Stream). L'ADS d'un fichier contient des métadonnées et peut permettre entre autres de connaître la provenance du fichier. Reportez-vous à la documentation Microsoft Windows pour en savoir plus.

    3. Cliquez sur Ajouter.

    4. Saisissez d'autres chemin dans le champ bleu si nécessaire, puis cliquez sur Ajouter.

    5. Cliquez sur Valider pour confirmer la liste de chemins.

    8. Un hash permet d'identifier très précisément un pilote de confiance : toute modification changera le hash qui ne sera donc plus reconnu. Vous pouvez utiliser l'identification par hash dans les cas suivants :
    • Pour s'assurer qu'un pilote légitime n'est ni remplacé ni modifié. Cependant, cela nécessite une maintenance assez lourde car vous devrez modifier les identifiants à chaque mise à jour logicielle. Elle est donc à réserver pour les systèmes qui subissent très peu changements.
    • Pour identifier les malwares qui changent souvent de nom mais peuvent conserver leur hash. Importez la liste des hashes des malwares les plus courants et bloquez ainsi leur exécution.

    Pour ajouter des hashes :

    1. Cliquez sur Modifier puis sur l'icône crayon.

    2. Dans le champ bleu en bas, saisissez le hash MD5, SHA1, ou SHA256 du pilote ainsi qu'une description, puis cliquez sur Ajouter.

      Pour obtenir le hash d'un binaire, vous pouvez utiliser la commande Powershell suivante. Dans cet exemple, on obtient le hash SHA256 de tous les fichiers .sys :

      Get-ChildItem -Recurse -Filter '*.sys' | get-filehash -Algorithm SHA256 | select path, Hash

    3. Saisissez d'autres hashes dans le champ bleu si nécessaire, puis cliquez sur Ajouter.

    4. Cliquez sur Valider.

    5. Vous pouvez aussi importer une liste de hashes à partir d'un fichier CSV ou txt. Le fichier doit contenir une ligne par hash avec deux informations par ligne, séparées par une virgule, une tabulation ou un point-virgule :

      • Le hash (MD5, SHA1 ou SHA2),

      • La description

      En cas d'erreur ou de doublon de hash, SES Evolution le signale et seuls les hashes valides et uniques sont importés.

      Une fois les hashes saisis ou importés, la fenêtre affiche le nombre de hashes pour chaque algorithme.

    6. Cliquez sur Valider pour confirmer la liste des hashes.
    1. Cliquez sur Modifier.

    2. Dans la liste déroulante en bas, choisissez le type de compte qui lance le pilote identifié (e.g., NT_AUTHORITY\System), puis cliquez sur Ajouter.

      Pour obtenir un SID, lancez une fenêtre de commandes avec les droits d'administration et exécutez la commande suivante :

      WMIC useraccount get name,sid

    3. Choisissez d'autres comptes si nécessaire et cliquez sur Ajouter.

    4. Cliquez sur Valider pour confirmer la liste des comptes.

    Plus vous spécifiez de critères, plus l'identification du pilote est précise car tous les critères doivent correspondre.

  8. Cliquez sur Ajouter une entrée si vous souhaitez ajouter une autre liste de critères pour le même identifiant. Avoir plusieurs entrées permet de regrouper sous un même identifiant diverses ressources qui sont utilisées par les mêmes règles de sécurité. Par exemple, vous pouvez regrouper tous les pilotes légitimes afin d'établir une liste blanche.
  9. Cliquez sur Valider.
  10. Si vous avez terminé la création des identifiants de pilotes, cliquez sur Enregistrer dans le bandeau supérieur.
  11. Pour afficher le contenu d'un identifiant de pilotes sans l'éditer, cliquez sur le bouton Voir.