Actions de mémoire Passer la navigation

Actions de mémoire

Les paramètres suivants se trouvent dans l‘onglet
Actions de mémoire
d‘une stratégie de terminal. Vous pouvez activer
Protection de la mémoire
et spécifier la manière dont l‘agent
CylancePROTECT Desktop
gère les failles de mémoire, y compris les injections de processus et les escalades. Vous pouvez également ajouter des fichiers exécutables à une liste d‘exclusion, ce qui permet à ces fichiers de s‘exécuter lorsque cette règle est appliquée.
Option
Description
Protection de la mémoire
Ce paramètre indique s‘il faut activer les paramètres de protection de la mémoire dans cette stratégie. Lorsque cette option est activée, l‘agent détecte différents types d‘appels de processus qui peuvent constituer une menace et gère chaque type en fonction du paramètre que vous choisissez.
  • Ignorer
     : l‘agent n‘effectue aucune action.
  • Alerter
     : l‘agent consigne la violation et signale l‘incident à la console de gestion.
  • Bloquer
     : l‘agent consigne la violation, signale l‘incident à la console de gestion et bloque l‘appel de traitement. L‘application qui a passé l‘appel est autorisée à continuer à s‘exécuter.
  • Terminer
     : l‘agent consigne la violation, signale l‘incident à la console de gestion, bloque l‘appel de traitement et met fin à l‘application qui a effectué l‘appel.
Exclure les fichiers exécutables
Ce paramètre spécifie le chemin relatif des fichiers que vous souhaitez ignorer. Lorsque des fichiers sont ajoutés à cette liste d‘exclusion, vous les autorisez à s‘exécuter ou à être installés sur les terminaux auxquels cette règle est attribuée.
Vous spécifiez le chemin relatif du fichier et les types de violation que vous souhaitez ignorer. Sous
Windows
, vous pouvez également spécifier le chemin d‘accès absolu au fichier. Utilisez des chemins relatifs raccourcis avec précaution, car il peut exclure d‘autres exécutables qui ont le même chemin relatif.
Après avoir appliqué l‘exclusion, toutes les instances de ce processus doivent être terminées pour empêcher le pilote de s‘y injecter.
Exemples sous
Windows
  • Chemin relatif :
    \Application\Subfolder\application.exe
  • Chemin absolu :
    c:\Application\Subfolder\application.exe
Exemples sous
Linux
  • Chemin relatif :
    /opt/application/executable
  • Chemin relatif des fichiers de bibliothèque dynamique :
    /executable.dylib
Exemples sous
macOS
  • Chemin relatif sans espace :
    /Applications/SampleApplication.app/Contents/MacOS/executable
  • Chemin relatif avec espaces :
    /Applications/Sample application.app/Contents/MacOS/executable
  • Chemin relatif des fichiers de bibliothèque dynamique :
    /executable.dylib
Vous pouvez également utiliser des caractères génériques pour les exclusions de protection de la mémoire. Pour plus d‘informations, reportez-vous à Caractères génériques dans les exclusions de protection de la mémoire.
Si vous enregistrez une exclusion sans ajouter au moins un type de violation à ignorer, l‘exclusion est appliquée aux événements de protection de la mémoire et de contrôle de script. L‘ajout d‘au moins un type de violation à ignorer signifie que l‘exclusion est appliquée à la protection de la mémoire uniquement.
Ignorer des types de violation spécifiques
Lorsque vous ajoutez une exclusion, cochez cette case pour ignorer une violation de fichier basée sur un ou l‘ensemble des éléments suivants :
  • Types de catégories de violation (par exemple, Exploitation, Injection de processus, Escalade)
  • Types de violations individuelles sous chaque catégorie (par exemple, Pivot de pile, Allocation à distance de mémoire, Attribution nulle, etc.)
Lorsque vous ajoutez des exclusions à une stratégie de protection de la mémoire, si vous souhaitez que la stratégie s‘applique uniquement aux violations de protection de la mémoire et non aux violations de contrôle de script, spécifiez au moins un type de violation que vous souhaitez ignorer. Si vous ne sélectionnez aucun type de violation à ignorer, un message d‘avertissement s‘affiche et l‘exclusion s‘applique à la fois aux stratégies de protection de la mémoire et de contrôle des scripts.
Pour les stratégies de protection de la mémoire existantes :
  • Si le paramètre d‘exclusion
    Ignorer des types de violation spécifiques
    est déjà coché mais que la stratégie de contrôle des scripts n‘est pas activée, aucune action n‘est requise.
  • Si le paramètre d‘exclusion
    Ignorer des types de violation spécifiques
    n‘est pas coché et que vous souhaitez vous assurer que la stratégie est appliquée uniquement aux violations de protection de la mémoire (et non au contrôle de script), vous devez le cocher et spécifier au moins un type de violation que vous souhaitez ignorer.
Si vous modifiez une stratégie existante et que vous ajoutez une exclusion, la case à cocher Ignorer les types de violation spécifiques ne s‘affiche pas tant que vous n‘avez pas modifié le type de violation (par exemple, déplacez-la de Bloquer à Terminer ou Alerte).
Pour chaque fichier dont les types de violation spécifiques sont ignorés, vous pouvez afficher des informations détaillées, modifier ou supprimer les paramètres.