Configurer les Paramètres de Logiciels Autorisés (Ordinateurs Windows)

S'applique À : WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR

Les paramètres de logiciels autorisés peuvent être attribués uniquement aux serveurs ou aux stations de travail Windows. Les exclusions de logiciels autorisés n'excluent aucun sous-répertoire dans un répertoire exclu.

Dans WatchGuard Endpoint Security, trois fonctionnalités permettent d'éviter le blocage des programmes :

Fichiers et Chemins d'Accès Exclus

Exclut des éléments ou des zones spécifiques de l'ordinateur des analyses. L'exécution des logiciels inconnus ne sera pas bloquée. Étant donné que ce paramétrage peut entraîner une faille de sécurité, nous ne vous le recommandons pas, sauf en cas de problème de performances de l'ordinateur.

Débloquer des Programmes En Cours de Classification

Autorise temporairement l'exécution des programmes bloqués avec une approche réactive. L'administrateur ne peut débloquer un programme que si celui-ci a été préalablement bloqué.

Étant donné qu'un logiciel peut comporter plusieurs éléments et que vous devez débloquer chaque élément individuellement, le processus de blocage et de déblocage peut durer un certain temps.

Configurer les Logiciels Autorisés

Déblocage proactif des programmes inconnus en cours de classification. L'administrateur peut attribuer des paramètres pour les programmes provenant d'une source connue pouvant être utilisés si aucun risque n'est détecté. Il s'agit de la méthode recommandée pour débloquer les programmes.

Dans un profil de paramètres logiciel autorisé, vous pouvez configurer les paramètres permettant d'autoriser un logiciel ou une famille de logiciels dont vous souhaitez autoriser l'exécution avant qu'il ne soit classifié. À titre d'exemple, lorsque vous connaissez la source du programme et la raison pour laquelle il a été bloqué, vous pouvez débloquer le programme. Voici quelques exemples de programmes que vous pourriez être amené à débloquer :

  • Programmes de niche spécifiques présentant très peu d'utilisateurs
  • Programmes avec mise à jour automatique à partir du site web du fournisseur sans interaction de l'utilisateur
  • Programmes dont les fonctions sont réparties dans des centaines de bibliothèques chargées en mémoire et bloquées lorsqu'elles sont utilisées par l'utilisateur à partir des menus du programme
  • Programmes fonctionnant selon un modèle client-serveur, où le côté client est hébergé sur une ressource réseau partagée
  • Logiciel polymorphe générant dynamiquement des fichiers exécutables

Les paramètres de Logiciels Autorisés vous permettent d'approuver l'exécution de fichiers binaires exécutables, de fichiers de script d'exclusion, de DLL autonomes et d'autres fichiers. Si WatchGuard Endpoint Security bloque un programme parce qu'il télécharge une DLL inconnue, autorisez le fichier exécutable spécifié dans le message contextuel affiché sur l'ordinateur de l'utilisateur. Une fois le programme autorisé, tous les fichiers DLL et les ressources qu'il utilise sont également autorisés.

Lorsqu'il analyse un programme, WatchGuard Endpoint Security le classifie comme goodware ou malware. Si le programme représente une menace, il est bloqué, quel que soit son état d'autorisation dans ces paramètres.

Logiciel Autorisé Hérité

Par défaut, vous ne pouvez pas modifier ou supprimer les paramètres logiciel autorisé hérités de votre Service Provider. Le Service Provider peut configurer la liste de logiciel autorisé pour qu'elle soit modifiable. Le profil de paramètres affiche une étiquette, Paramètres Modifiables. Dans ce cas, vous pouvez ajouter des logiciels autorisés mais vous ne pouvez pas supprimer ou modifier la liste de logiciels définis par le Service Provider.

Si votre Service Provider modifie l'état des paramètres de modifiable à non modifiable, le logiciel autorisé que vous avez ajouté ne s'appliquera plus. Seul le logiciel du Service Provider s'applique. Si le Service Provider modifie à nouveau la configuration pour qu'elle soit modifiable, le logiciel autorisé que vous avez ajouté est restauré et appliqué.

Configurer les Paramètres de Logiciels Autorisés

Pour configurer les paramètres de logiciels autorisés :

  1. Dans WatchGuard Cloud, sélectionnez Configurer > Endpoints.
  2. Sélectionnez Configuration.
  3. Dans le volet gauche, sélectionnez Logiciels Autorisés.
  4. Sélectionnez le profil de paramètres de sécurité existant à modifier, copiez un profil existant ou, en haut à droite de la fenêtre, cliquez sur Ajouter pour créer un nouveau profil.
    La page Ajouter des Paramètres ou Modifier la Configuration s'ouvre.

Screen shot of WatchGuard Endpoint Security, Authorized Software settings

  1. Saisissez si nécessaire le Nom et la Description du profil.
  2. Pour créer une nouvelle règle, cliquez sur Autoriser des Programmes.
    La boîte de dialogue Autoriser des Programmes s'ouvre.

Screen shot of WatchGuard Endpoint Security, Authorize Programs dialog box

  1. Pour spécifier l'exécutable du programme avec un code de hachage MD5, sélectionnez MD5.
  2. Dans la zone de texte, saisissez les hachages MD5 du programme que vous souhaitez ajouter.
    Pour plus d'informations, consultez Calculer le MD5 d'Un ou Plusieurs Fichiers.
  3. Pour spécifier le programme que vous souhaitez ajouter via ses propriétés, sélectionnez Propriétés du Programme.
    • Signature — Signature numérique SHA-1 du fichier. Pour de plus amples informations, accédez à Obtenir l'Empreinte d'un Programme Signé.
    • Nom du Produit — Valeur du nom du produit figurant dans l'en-tête du fichier que vous souhaitez débloquer. Pour consulter le nom du produit, faites un clic droit sur le fichier du programme puis sélectionnez Propriétés > Détails.
    • Chemin de Fichier — Chemin d'accès du programme sur le serveur ou la station de travail. Les variables d'environnement système sont acceptées. Les exclusions de logiciel autorisé n'excluent aucun sous-répertoire dans un répertoire exclu. Vous devez spécifier chaque chemin de fichier.
    • Nom du Fichier — Nom du fichier que vous souhaitez débloquer. Les caractères génériques * et ? sont acceptés.
    • Version de Fichier — Version de l'en-tête du fichier que vous souhaitez débloquer. Pour consulter la version, faites un clic droit sur le fichier du programme puis sélectionnez Propriétés > Détails.
  4. Cliquez sur Autoriser.
  5. Cliquez sur Enregistrer.
  6. Sélectionnez le profil puis attribuez si nécessaire des destinataires.
    Pour de plus amples informations, accédez à Assigner un Profil de Paramètres.

Calculer le MD5 d'Un ou Plusieurs Fichiers

Il existe de nombreux outils permettant de calculer le MD5 d'un fichier. Cette section décrit comment utiliser l'outil PowerShell de Windows 10.

  1. Dans l'Explorateur de Fichiers, ouvrez le dossier contenant les fichiers.
  2. Sélectionnez Fichier > Ouvrir Windows PowerShell.
    Une fenêtre affichant la ligne de commande s'ouvre.

Screen shot of the PowerShell window

  1. Saisissez la commande suivante et remplacez $files par le chemin du fichier. Les caractères génériques * et ? sont acceptés.

PS c:\dossier> Get-FileHash -Algorithm md5 -path $files

  1. Pour copier les hachages MD5 dans le presse-papiers, appuyez sur la touche Alt et maintenez-la enfoncée puis sélectionnez les hachages avec le pointeur de la souris. Appuyez sur Ctrl + C.
  2. Pour coller tous les hachages MD5 du presse-papiers dans l'interface de gestion d'Endpoint Security, cliquez sur le champ MD5 de la règle de logiciel autorisé puis appuyez sur Ctrl + V.
  3. Cliquez sur Autoriser.
  4. Cliquez sur Enregistrer.
    Les paramètres de logiciels autorisés sont mis à jour.

Obtenir l'Empreinte d'un Programme Signé

  1. Faites un clic droit sur le fichier puis sélectionnez Propriétés.
  2. Dans la fenêtre Propriétés, sélectionnez l'onglet Signatures numériques.
  3. Dans la liste des Signatures, sélectionnez la signature.
  4. Cliquez sur Détails.
    La fenêtre Signature numérique s'ouvre.
  5. Dans la fenêtre Détails de la signature numérique, sélectionnez l'onglet Général puis cliquez sur Voir le certificat.
    La fenêtre certificat s'ouvre.
  6. Dans le chemin du Certificat, sélectionnez l'onglet Chemin de certification puis confirmez que le dernier nœud du chemin de certification est sélectionné.
  7. Dans la fenêtre du Certificat, sélectionnez l'onglet Détails puis sélectionnez le champ Empreinte.
  8. Sélectionnez la chaîne de caractères dans la zone de texte affichée puis appuyez sur Ctrl + C pour la copier dans le presse-papiers.
  9. Cliquez sur le champ Signature de la règle de logiciels autorisés puis appuyez sur les touches Ctrl + V pour coller l'empreinte dans l'interface de gestion.
  10. Cliquez sur Autoriser.
  11. Cliquez sur Enregistrer.
    Les paramètres de logiciels autorisés sont mis à jour.

Rubriques Connexes

Gérer les Profils de Paramètres

Exclure des Fichiers et des Chemins d'Accès de Fichiers des Analyses

Protection Avancée – Modes de Fonctionnement (Ordinateurs Windows)