Contrôler l'accès à la base de registre

Cette protection permet de contrôler l'accès aux clés et valeurs en base de registre réalisé par des applications données. Elle permet ainsi de protéger l'accès à certaines clés particulièrement sensibles, qui pourraient être ciblées par des programmes malveillants.

EXEMPLE
Pour éviter qu'un malware ne désactive les outils de sécurité Windows via la base de registre, vous pouvez protéger leurs clés de registre afin qu'elles ne puissent être modifiées que par des applications légitimes de Windows.

Chaque chemin de registre peut être un chemin complet ou bien contenir les caractères génériques "?" et "*".

Vous devez au préalable avoir créé les identifiants d'applications pour les applications autorisées à accéder au registre et pour celles que vous souhaitez bloquer. Pour plus d'informations, reportez-vous à la section Créer des identifiants d'applications.

  1. Choisissez le menu Sécurité > Politiques et cliquez sur votre politique.
  2. Sélectionnez un jeu de règles.
  3. Cliquez sur l'onglet Ressources ACL > Registre.
  4. Si vous êtes en lecture seule, cliquez sur le bouton Modifier dans le bandeau supérieur.
  5. Dans la zone de gauche, cliquez sur l'icône pour afficher la fenêtre de création de l'identifiant de la ou des clés de registre.
  6. Saisissez le nom de l'identifiant.
  7. Indiquez le chemin vers la clé.

    ASTUCE
    Vous pouvez copier le chemin de la clé depuis la base de registre et le coller dans le champ Clé.


  8. Choisissez le champ d'application :
    • Clé et Valeurs. Ces règles répondent au besoin de protection les plus courants. Si vous n'indiquez pas de valeur, toutes les valeurs de la clé sont protégées, ainsi que la clé elle-même. Si vous n'indiquez qu'une seule valeur, les autres valeurs de la clé ne sont pas protégées.
    • Clé : Ces règles relèvent d'une protection plus avancée. Seule la clé est protégée. Ses valeurs ne le sont pas.
    • Valeurs : Ces règles relèvent également d'une protection plus avancée. Seules les valeurs sont protégées. La clé elle-même n'est pas protégée par la règle. Par exemple, même si les valeurs d'une clé sont protégées contre la suppression, si la suppression de la clé elle-même est autorisée, les valeurs pourraient être supprimées avec la clé.
  9. Cliquez sur Valider pour fermer la fenêtre de création de l'identifiant. Vous pouvez survoler le nom de l'identifiant pour afficher le récapitulatif des paramètres.
  10. Dans la zone Comportement par défaut, choisissez le comportement pour chaque action pour une règle de protection :
    • Autoriser pour autoriser par défaut l'action,
    • Bloquer pour bloquer par défaut l'action,
    • Bloquer et interrompre pour bloquer par défaut l'action et arrêter le processus à l'origine de l'action.
    • Bloquer, interrompre et mettre en quarantaine pour bloquer par défaut l'action, arrêter le processus à l'origine de l'action, et mettre en quarantaine les fichiers suspects. Pour plus d'informations, reportez-vous à la section Gérer la mise en quarantaine de fichiers.
  11. Cliquez sur l'icône + Ajouter un comportement spécifique et choisissez la ou les ressources à exclure du comportement par défaut. Pour chaque cas, sélectionnez le comportement.

EXEMPLE
Bloquez par défaut l'accès aux clés de registre des outils de sécurité de Windows, tels que Windows Defender, Windows Firewall, etc. Autorisez ces actions seulement pour les processus légitimes (e.g., Installeur des logiciels et mises à jour Windows, solutions de sécurité).
Cas d'usage de protection de la base de registre

  1. Dans le bandeau supérieur de la règle, vous pouvez :
    • Choisir de rendre la règle passive. Une règle passive agit comme une règle classique mais ne bloque pas véritablement les actions. L'agent émet uniquement des logs indiquant quelles actions auraient été bloquées par la règle.
      Utilisez ce mode pour tester de nouvelles règles de restriction, en connaître les impacts, et procéder à des ajustements avant de désactiver le mode Règle passive. Pour plus d'informations sur les tests de règles et de politiques, reportez-vous à la section Tester une politique de sécurité.
    • Indiquer si la règle doit générer un contexte lorsqu'elle s'applique. Par défaut, si la règle émet des logs de niveau Urgence ou Alerte, elle génère un contexte, mais vous pouvez désactiver cette fonctionnalité.
    • Sélectionner les paramètres des logs qui seront émis par cette règle.
    • Spécifier si une action doit être effectuée lors de l'émission d'un log pour cette règle. Vous pouvez demander qu'une notification soit affichée sur l'agent et/ou qu'un script soit exécuté.
    • Saisir une description pour expliquer l'objectif de la règle.
  2. Chaque règle affiche sur sa gauche son numéro de rang. Si besoin, réagencez l'ordre de vos règles en cliquant sur les flèches en dessous et au-dessus du numéro.
  3. Cliquez sur Enregistrer en haut à droite pour enregistrer vos modifications.