Configurer les Paramètres des Logiciels Autorisés dans WatchGuard Endpoint Security

S'applique à : WatchGuard EPDR, WatchGuard EDR

Dans les modes Renforcement et Verrouillage d'Advanced Protection, WatchGuard EPDR et WatchGuard EDR bloquent l'exécution de programmes inconnus de WatchGuard jusqu'à ce qu'ils soient classifiés. Cette mesure peut générer des retards pour les utilisateurs, même lorsque vous connaissez la source du programme et la raison pour laquelle il a été bloqué.

À titre d'exemple, WatchGuard Endpoint Security bloque par défaut les programmes suivants :

  • Programmes de niche spécifiques présentant très peu d'utilisateurs.
  • Programmes avec mise à jour automatique à partir du site web du fournisseur sans interaction de l'utilisateur.
  • Programmes dont les fonctions sont réparties dans des centaines de bibliothèques chargées en mémoire et bloquées lorsqu'elles sont utilisées par l'utilisateur à partir des menus du programme.
  • Programmes fonctionnant selon un modèle client-serveur, où le côté client est hébergé sur une ressource réseau partagée.
  • Logiciel polymorphe générant dynamiquement des fichiers exécutables.

Logiciels Autorisés et Exclusions

Dans WatchGuard Endpoint Security, trois fonctionnalités permettent d'éviter le blocage des programmes :

Fichiers et Chemins d'Accès Exclus

Exclut des éléments ou des zones spécifiques de l'ordinateur des analyses. L'exécution des logiciels inconnus ne sera pas bloquée. Étant donné que ce paramétrage peut entraîner une faille de sécurité, nous ne vous le recommandons pas, sauf en cas de problème de performances de l'ordinateur.

Débloquer des Programmes En Cours de Classification

Autorise temporairement l'exécution des programmes bloqués avec une approche réactive. L'administrateur ne peut débloquer un programme que si celui-ci a été préalablement bloqué.

Étant donné qu'un logiciel peut comporter plusieurs éléments et que vous devez débloquer chaque élément individuellement, le processus de blocage et de déblocage peut durer un certain temps.

Configurer les Logiciel Autorisés

Déblocage proactif des programmes inconnus en cours de classification. L'administrateur peut attribuer des paramètres pour les programmes provenant d'une source connue pouvant être utilisés si aucun risque n'est détecté. Il s'agit de la méthode recommandée pour débloquer les programmes.

Paramètres des Logiciels Autorisés

Pour accéder aux paramètres :

  1. Dans la barre de navigation supérieure, sélectionnez Paramètres.
  2. Dans le volet gauche, sélectionnez Logiciels Autorisés
  3. Cliquez sur Ajouter.
    La page Ajouter des paramètres s'ouvre.
  4. Cliquez sur Autoriser des Programmes
    La boîte de dialogue Autoriser des Programmes s'ouvre.

Configurer les Paramètres des Logiciels Autorisés

Les paramètres des logiciels autorisés se composent d'une ou plusieurs règles, chacune d'entre elles faisant référence à un composant logiciel ou une famille de programmes unique dont l'exécution est autorisée par WatchGuard Endpoint Security dans l'attente de sa classification. Pour de plus amples informations concernant la création d'un profil de paramètres de sécurité visant à autoriser les logiciels, consultez la section Configurer les Paramètres des Logiciels Autorisés (ordinateurs Windows).

Champ Description
Nom Nom de la règle.
MD5 Hachages MD5 des fichiers que WatchGuard EPDR ou EDR autorise à s'exécuter.
Nom du produit Champ Nom du produit de l'en-tête du fichier à débloquer. Pour obtenir cette valeur, faites un clic droit sur le programme puis sélectionnez Propriétés > Détails.
Chemin d'accès du fichier Chemin du programme sur le serveur ou la station de travail. Les variables d'environnement sont acceptées.
Nom du fichier Nom du fichier. Les caractères génériques * et ? sont acceptés.
Version du fichier Champ de version de l'en-tête du fichier à débloquer. Pour obtenir cette valeur, faites un clic droit sur le programme puis sélectionnez Propriétés > Détails.
Signature Signature numérique du fichier.

Supprimer un Profil de Paramètres de Sécurité de Logiciel Autorisé

  1. En face de la règle de logiciel autorisé à supprimer, cliquez sur .
  2. Cliquez sur Enregistrer.
    Les paramètres des logiciels autorisés sont mis à jour.

Modifier un Profil de Paramètres de Sécurité de Logiciel Autorisé

  1. Cliquez sur le nom de la règle de logiciel autorisé.
    La boîte de dialogue Autoriser des Programmes s'ouvre.
  2. Modifiez les propriétés de la règle puis cliquez sur Autoriser.
  3. Cliquez sur Enregistrer.
    Les paramètres des logiciels autorisés sont mis à jour.

Copier un Profil de Paramètres de Sécurité de Logiciel Autorisé

  1. Cliquez sur Copier en face de la règle de logiciel autorisé à copier.
    La boîte de dialogue Autoriser des Programmes s'ouvre. Le nom contient le nom de la règle avec le préfixe Copie de.
  2. Modifiez les propriétés de la règle puis cliquez sur Autoriser.
  3. Cliquez sur Enregistrer.
    Les paramètres des logiciels autorisés sont mis à jour.

Calculer le MD5 d'Un ou Plusieurs Fichiers

Il existe de nombreux outils permettant de calculer le MD5 d'un fichier. Cette section décrit comment utiliser l'outil PowerShell de Windows 10.

  1. Dans l'Explorateur de Fichiers, ouvrez le dossier contenant les fichiers.
  2. Sélectionnez Fichier > Ouvrir Windows PowerShell.
    Une fenêtre affichant la ligne de commande s'ouvre.

Screen shot of the PowerShell window

  1. Saisissez la commande suivante et remplacez $files par le chemin du fichier. Les caractères génériques * et ? sont acceptés.

PS c:\dossier> Get-FileHash -Algorithm md5 -path $files

  1. Pour copier les hachages MD5 dans le presse-papiers, appuyez sur la touche Alt et maintenez-la enfoncée puis sélectionnez les hachages avec le pointeur de la souris. Appuyez sur Ctrl + C.
  2. Pour coller tous les hachages MD5 du presse-papiers dans la WatchGuard Endpoint Security web UI, cliquez sur le champ MD5 de la règle de logiciel autorisé puis appuyez sur Ctrl + V.
  3. Cliquez sur Autoriser.
  4. Cliquez sur Enregistrer.
    Les paramètres des logiciels autorisés sont mis à jour.

Obtenir l'Empreinte d'un Programme Signé

  1. Faites un clic droit sur le fichier puis sélectionnez Propriétés.
  2. Dans la fenêtre Propriétés, sélectionnez l'onglet Signatures numériques.
  3. Dans la liste des Signatures, sélectionnez la signature.
  4. Cliquez sur Détails.
    La fenêtre Signature numérique s'ouvre.
  5. Dans la fenêtre Détails de la signature numérique, sélectionnez l'onglet Général puis cliquez sur Afficher le certificat.
    La fenêtre certificat s'ouvre.
  6. Dans le chemin du Certificat, sélectionnez l'onglet Chemin de certification puis confirmez que le dernier nœud du chemin de certification est sélectionné.
  7. Dans la fenêtre du Certificat, sélectionnez l'onglet Détails puis sélectionnez le champ Empreinte.
  8. Sélectionnez la chaîne de caractères dans la zone de texte affichée puis appuyez sur Ctrl + C pour la copier dans le presse-papiers.
  9. Cliquez sur le champ Signature de la règle de logiciel autorisé puis appuyez sur les touches Ctrl + V pour coller l'empreinte dans la WatchGuard Endpoint Security web UI.
  10. Cliquez sur Autoriser.
  11. Cliquez sur Enregistrer.
    Les paramètres des logiciels autorisés sont mis à jour.