Ajout de règles personnalisées au contrôle des applications

Si les règles de paramètre par défaut ne répondent pas à vos exigences, ajoutez de nouveaux ensembles de règles et règles. Vous pouvez également modifier les règles prédéfinies qui sont installées avec la politique.
  • L'ensemble de règles est le conteneur qui contient une ou plusieurs règles autorisant ou bloquant une action.
  • Les règles dans les ensembles de règles définissent un ou plusieurs processus ou applications. Vous pouvez également exclure la surveillance d'un processus.
  • Chaque règle inclut les conditions et actions qui s'appliquent à un ou plusieurs processus donnés. Pour chaque condition, vous pouvez configurer des mesures à prendre lorsque les conditions sont réunies. Configurez les règles à appliquer à certaines applications uniquement ; vous pouvez éventuellement les configurer de façon à exclure l'application de ces mesures.
Utilisez les étapes suivantes pour ajouter vos propres règles d'application :
Étape 1 : ajouter des règles personnalisées et des règles standard
Une pratique d'excellence consiste à créer un ensemble de règles qui inclut toutes les actions qui autorisent, bloquent et surveillent une tâche donnée. D'autre part, vous devriez créer plusieurs règles si vous lancez de multiples tâches. Par exemple, si vous voulez bloquer les tentatives d'écriture sur tous les lecteurs amovibles et empêcher également les applications d'intervenir avec une application spécifique, vous devez créer deux ensembles de règles. Ajoutez et activez autant d'ensembles de règles et règles que vous souhaitez.
Par exemple, BitTorrent est un protocole de communication qui est utilisé pour le partage de fichiers point à point et n'est pas sécurisé. BitTorrent distribue des films, des jeux, de la musique et d'autres fichiers. BitTorrent est l'une des méthodes les plus simples pour distribuer des menaces. Le malware est masqué à l'intérieur des fichiers qui sont partagés sur des réseaux p2p. Vous pouvez utiliser le contrôle des applications pour bloquer l'accès au protocole de BitTorrent. Vous pouvez également utiliser l'authentification point à point et la prévention d'intrusion. Blocage d'un ordinateur distant via la configuration de l'authentification point à point
Vous devez prendre en compte l'ordre des règles et leurs conditions lorsque vous les configurez afin d'éviter toute conséquence inattendue. En général, seuls les administrateurs avancés doivent effectuer cette tâche.
Pour ajouter des règles personnalisées et des règles standard
  1. Ouvrez une politique de Contrôle d'application.
  2. Dans le volet
    Contrôle des applications
    , dans la liste d'ensembles de règles par défaut, cliquez sur
    Ajouter
    .
    Pour modifier un ensemble de règles prédéfinies, sélectionnez-le puis cliquez sur
    Modifier
    . Par exemple, pour surveiller les applications qui accèdent au protocole de BitTorrent, sélectionnez
    Bloquer l’exécution de programmes à partir de lecteurs amovibles [AC2]
    .
  3. Dans la boîte de dialogue
    Ajouter un ensemble de règles de contrôle des applications
    , saisissez un nom et une description pour les règles.
  4. Dans Règles, sélectionnez
    Règle 1
    et dans l'onglet
    Propriétés
    , saisissez un nom et une description significatifs pour la règle.
    Pour ajouter une règle supplémentaire, cliquez sur
    Ajouter
    >
    Ajouter une règle
    .
Étape 2 : Définissez l'application ou le processus pour la règle
Chaque règle doit avoir au moins une application ou un processus à surveiller sur l'ordinateur client. Vous pouvez également exclure certaines applications de la règle.
Pour définir l'application ou le processus de la règle
  1. Après avoir sélectionné la règle, dans l'onglet
    Propriétés
    , en regard de
    Appliquer cette règle aux processus suivants
    , cliquez sur
    Ajouter
    .
  2. Dans la boîte de dialogue
    Ajouter une définition de processus
    , saisissez le nom d'application ou de processus, tel que
    bittorrent.exe
    .
    Si vous vous appliquez la règle à toutes les applications excepté à un ensemble d'applications donné, alors définissez un caractère générique pour tous (*) dans cette étape. Répertoriez ensuite les applications qui doivent être des exceptions en regard de
    Ne pas appliquer cette règle aux processus suivants
    .
  3. Cliquez sur
    OK
    .
    La case à cocher
    Activer cette règle
    est activée par défaut. Si vous désélectionnez cette option, la règle ne s'applique pas.
Étape 3 : Ajoutez les conditions et les actions à une règle
Les conditions contrôlent le comportement de l'application ou du processus qui essaye de s'exécuter sur l'ordinateur client. Chaque type de condition a ses propres propriétés pour spécifier ce que la condition recherche.
Chaque condition a ses propres actions spécifiques à appliquer au processus quand la condition est avérée. Excepté l'action Arrêter le processus, les actions s'appliquent toujours au processus que vous définissez en règle et pas en condition.
Avertissement
: l'action
Arrêter
le processus arrête le processus appelant ou l'application qui a fait la demande. Le processus appelant est le processus que vous définissez dans la règle et pas la condition. Les autres actions agissent sur le processus cible, défini dans la condition.
Condition
Description
Tentatives d'accès au registre
Autorise ou bloque l'accès aux paramètres du registre d'un ordinateur client.
File and Folder Access Attempts (Tentatives d'accès au fichier et dossier)
Autorise ou bloque l'accès aux fichiers ou aux dossiers définis sur un ordinateur client.
Lancer les tentatives de processus
Autorise ou bloque la possibilité de lancer un processus sur un ordinateur client.
Arrêter les tentatives de processus
Autorise ou bloque la possibilité d'arrêter un processus sur un ordinateur client. Vous pouvez par exemple vouloir bloquer l'arrêt d'une application particulière.
Avertissement
: la condition Tentative d'
arrêt
d'un processus se rapporte au processus cible. Si vous utilisez la condition
Arrêter les tentatives de processus
dans Symantec Endpoint Protection ou dans un autre processus important, utilisez l'action Arrêter le processus pour arrêter le processus qui tente d'arrêter Symantec Endpoint Protection.
Tentatives de chargement de DLL
Autorise ou bloque la possibilité de charger une DLL sur un ordinateur client.
  1. Sous
    Règles
    , sélectionnez la règle que vous avez ajoutée, cliquez sur
    Ajouter
    >
    Ajouter une condition
    et choisissez une condition.
    Par exemple, cliquez sur
    Tentatives de lancement de processus
    pour ajouter une condition quand l'ordinateur client accède au protocole de BitTorrent.
  2. Dans l'onglet
    Propriétés
    , sélectionnez le processus qui devrait ou ne devrait pas être lancé :
    • Pour spécifier un processus à lancer :
      En regard de
      Appliquer aux
      entités
      suivantes
      , cliquez sur
      Ajouter
      .
    • Pour exclure le lancement d'un processus :
      En regard de
      Ne pas appliquer aux processus suivants
      , cliquez sur
      Ajouter
      .
  3. Dans la boîte de dialogue
    Ajouter une définition d'
    entité
    , saisissez le nom du processus, la DLL ou la clé de registre.
    Par exemple, pour ajouter BitTorrent, saisissez son chemin d'accès au fichier et exécutable :
    C:\Users\UserName\AppData\Roaming\BitTorrent
    Lorsque vous appliquez une condition à toutes les entités d'un dossier spécifique, une pratique d'excellence consiste à utiliser
    nom_dossier
    \* ou
    nom_dossier
    \*\*. Un astéristique inclut tous les fichiers et dossiers dans le dossier nommé. Utilisez
    nom_dossier
    \*\* pour inclure chaque fichier et dossier dans le dossier nommé, ainsi que chaque fichier et dossier dans chaque sous-dossier.
  4. Cliquez sur
    OK
    .
  5. Dans l'onglet
    Actions
    pour la condition, sélectionnez une action à entreprendre.
    Par exemple, pour bloquer Textpad s'il essaie de lancer Firefox, cliquez sur
    Bloquer l’accès
    .
  6. Cochez
    Activer la journalisation
    et
    Informer l’utilisateur
    , et ajoutez le message que vous souhaitez faire lire à l'utilisateur de l'ordinateur client.
    Par exemple, saisissez
    Textpad a tenté de lancer Firefox
    .
  7. Cliquez sur
    OK
    .
    Le nouveau groupe de règles s'affiche et est configuré en mode de test. Vous devriez tester de nouveaux groupes de règles avant de les appliquer à vos ordinateurs client.