Pratiques d'excellence pour l'ajout de règles de contrôle des applications

Vous devez planifier soigneusement vos règles personnalisées de contrôle des applications. Quand vous ajoutez des règles de contrôle des applications, gardez à l'esprit les pratiques d'excellence suivantes.
Pratiques d'excellence pour les règles de contrôle des applications
Pratique d'excellence
Description
Exemple
Prendre en compte l'ordre des règles
Les règles de contrôle des applications fonctionnent comme la plupart des règles de filtrage réseau, dans le sens où elles font toutes les deux appel à la fonction de première correspondance de règle. Quand plusieurs conditions sont vraies, la première règle est la seule qui est appliquée à moins que l'action qui est configurée pour la règle soit
Continuer le traitement des autres règles
.
Vous voulez empêcher tous les utilisateurs de déplacer, copier et créer des fichiers sur les lecteurs USB.
Vous avez une règle existante avec une condition qui autorise l'accès en écriture à un fichier nommé Test.doc. Vous ajoutez une seconde condition à cet ensemble de règles existant pour bloquer tous les lecteurs USB. Dans ce scénario, les utilisateurs sont toujours en mesure de créer et de modifier un fichier Test.doc sur les lecteurs USB. La condition
Autoriser l'accès
à Test.doc est placée avant la condition
Bloquer l'accès
aux lecteurs USB dans l'ensemble de règles. La condition
Bloquer l'accès
aux lecteurs USB n'est pas traitée quand la condition qui la précède dans la liste est vraie.
Utilisez l'action appropriée
La condition
Tentatives d'arrêt du processus
autorise ou bloque la capacité d'une application à arrêter un processus sur un ordinateur client.
La condition ne permet pas ou n'empêche pas les utilisateurs d'arrêter une application par les méthodes habituelles, comme par exemple en cliquant sur Quitter dans le menu Fichier.
L'explorateur de processus est un outil qui affiche les processus DLL qui se sont ouverts ou chargés, ainsi que les ressources que les processus utilisent.
Vous pouvez arrêter l'explorateur de processus quand il essaye d'arrêter une application particulière.
Utilisez la condition
Tentatives d'arrêt du processus
et l'action
Arrêter le processus
pour créer ce type de règle. Vous appliquez la condition à l'application d'explorateur de processus. Vous appliquez la règle à l'application ou aux applications que vous ne voulez pas que l'explorateur de processus arrête.
Utiliser un ensemble de règles par objectif
Créer un ensemble de règles qui inclut toutes les actions qui autorisent, bloquent ou surveillent une tâche donnée.
Vous voulez bloquer les tentatives d'écriture sur tous les lecteurs amovibles et vous voulez empêcher les applications d'intervenir avec une application particulière.
Pour atteindre ces objectifs, vous devez créer deux ensembles de règles différents.
Utiliser avec parcimonie l'action
Arrêter le processus
L'action
Terminer le processus
arrête un processus quand il satisfait la condition configurée.
Seuls les administrateurs avancés doivent utiliser l'action
Arrêter le processus
. En général, vous devriez utiliser l'action
Bloquer l'accès
à la place.
Vous voulez arrêter Winword.exe chaque fois qu'un processus lance Winword.exe.
Vous devez créer une règle et la configurer avec la condition
Tentatives de lancement de processus
et l'action
Arrêter le processus
. Vous appliquez la condition à Winword.exe et vous appliquez la règle à tous les processus.
Vous pouviez vous attendre à ce que cette règle arrête Winword.exe, mais ce n'est pas ce que fait la règle. Si vous essayez de lancer Winword.exe depuis Windows Explorer, une règle avec cette configuration arrête Explorer.exe, pas Winword.exe. Les utilisateurs peuvent encore exécuter Winword.exe s'ils le lancent directement. A la place, utilisez l'action
Bloquer l'accès
, qui bloque le processus cible ou Winword.exe.
Tester les règles avant de les mettre en production
L'option
Tester (consigner uniquement)
pour les ensembles de règles consigne uniquement les actions et ne s'applique pas aux actions de l'ordinateur client. Exécutez les règles en mode test pendant un laps de temps acceptable avant de les repasser en mode de production. Au cours de cette période, passez en revue les journaux du Contrôle applications et vérifiez que les règles fonctionnent comme prévu.
L'option de test limite les erreurs que vous pourriez faire en ne prenant pas en compte toutes les possibilités de la règle.Voir :
Autres informations