Utiliser le comportement par défaut et les comportements spécifiques des règles
Dans les règles de contrôle d'accès, vous pouvez appliquer un comportement par défaut et un ou plusieurs comportements spécifiques.
Définissez des comportements spécifiques si l'accès à la ressource visée par la règle doit être autorisé ou bloqué uniquement pour un certain nombre d'applications identifiées.
Vous pouvez ajouter plusieurs comportements spécifiques dans une même règle. Un premier par exemple pour autoriser certaines applications, et un deuxième pour en bloquer d'autres. Dans ce cas, l'ordre des comportements spécifiques est important : si une application dans le premier comportement spécifique accède à la ressource, la règle s'applique et le deuxième comportement spécifique n'est pas lu.
Dans un jeu de règles de protection, activez un comportement par défaut lorsque vous voulez être certain que l'accès à la ressource sera bien bloqué ou autorisé, quelles que soient les règles qui suivent.
EXEMPLE 1
Dans les règles d'exécution de code :
- Pour bloquer l'exécution de la DLL *\lxssmanager.dll pour toutes les applications, activez le comportement par défaut avec Exécution = Bloquer.
- Pour bloquer l'exécution de la DLL *\system.management.automation.dll pour toutes les applications sauf celles qui sont reconnues légitimes, activez le comportement par défaut avec Exécution = Bloquer et ajoutez un comportement spécifique Applications légitimes = Autoriser.
EXEMPLE 2
Dans les règles d'accès aux fichiers :
Pour autoriser systématiquement l'exécution de scripts powershell (*.ps) au compte NT SERVICE\TrustedInstaller, activez le comportement par défaut avec Lecture = Autoriser.
Dans les exemples ci-dessus, le blocage ou l'autorisation sera TOUJOURS effectif. En effet, l'activation du comportement par défaut arrête la lecture des règles pour la ressource concernée. Les règles suivantes ne s'appliquent donc pas.
Dans les règles d'audit, le comportement par défaut est ignoré ; toutes les règles sont systématiquement lues.
Dans un jeu de règles de protection, désactivez le comportement par défaut lorsque vous voulez que la règle suivante qui concerne la même ressource soit évaluée.
- Dans les règles d'accès aux fichiers, pour que l'accès à une même ressource génère des niveaux de logs différents selon qu'elle est exécutée par une application ou une autre, désactivez le comportement par défaut d'une première règle, ajoutez un comportement spécifique pour bloquer certaines applications, et appliquez un niveau de log particulier.
Créez ensuite une deuxième règle avec un comportement spécifique différent et un niveau de log différent. - Dans les règles d'accès aux processus, créez une première règle pour donner toutes les autorisations au gestionnaire de tâches Windows sur tous les processus et désactivez le comportement par défaut. Ainsi le gestionnaire de tâches ne sera jamais bloqué par les règles suivantes qui pourraient interdire certaines applications d'accéder à certains processus et qui pourrait inclure le gestionnaire.