Passer la navigation

Actions de mémoire

Les paramètres suivants se trouvent dans l'onglet
Actions de mémoire
d'une stratégie de terminal. Vous pouvez activer
Protection de la mémoire
et spécifier la manière dont l'agent
CylancePROTECT Desktop
gère les failles de mémoire, y compris les injections de processus et les escalades. Vous pouvez également ajouter des fichiers exécutables à une liste d'exclusion, ce qui permet à ces fichiers de s'exécuter lorsque cette règle est appliquée.
Option
Description
Protection de la mémoire
Ce paramètre indique s'il faut activer les paramètres de protection de la mémoire dans cette stratégie. Lorsque cette option est activée, l'agent détecte différents types d'appels de processus qui peuvent constituer une menace et gère chaque type en fonction du paramètre que vous choisissez.
  • Ignorer
     : l'agent n'effectue aucune action.
  • Alerter
     : l'agent consigne la violation et signale l'incident à la console de gestion.
  • Bloquer
     : l'agent consigne la violation, signale l'incident à la console de gestion et bloque l'appel de traitement. L'application qui a passé l'appel est autorisée à continuer à s'exécuter.
  • Terminer
     : l'agent consigne la violation, signale l'incident à la console de gestion, bloque l'appel de traitement et met fin à l'application qui a effectué l'appel.
Exclure les fichiers exécutables
Ce paramètre spécifie le chemin relatif des fichiers que vous souhaitez ignorer. Lorsque des fichiers sont ajoutés à cette liste d'exclusion, vous les autorisez à s'exécuter ou à être installés sur les terminaux auxquels cette règle est attribuée.
Vous spécifiez le chemin relatif du fichier et les types de violation que vous souhaitez ignorer. Sous
Windows
, vous pouvez également spécifier le chemin d'accès absolu au fichier. Utilisez des chemins relatifs raccourcis avec précaution, car il peut exclure d'autres exécutables qui ont le même chemin relatif.
Après avoir appliqué l'exclusion, toutes les instances de ce processus doivent être terminées pour empêcher le pilote de s'y injecter.
Exemples sous
Windows
  • Chemin relatif :
    \Application\Subfolder\application.exe
  • Chemin absolu :
    C:\Application\Subfolder\application.exe
Exemples sous
Linux
  • Chemin relatif :
    /opt/application/executable
  • Chemin relatif des fichiers de bibliothèque dynamique :
    /executable.dylib
Exemples sous
macOS
  • Chemin relatif sans espaces :
    /Applications/SampleApplication.app/Contents/MacOS/executable
  • Chemin relatif avec espaces :
    /Applications/Sample Application.app/Contents/MacOS/executable
  • Chemin relatif des fichiers de bibliothèque dynamique :
    /executable.dylib
Vous pouvez également utiliser des caractères génériques pour les exclusions de protection de la mémoire. Pour plus d'informations, reportez-vous à Caractères génériques dans les exclusions de protection de la mémoire.
Si vous enregistrez une exclusion sans ajouter au moins un type de violation à ignorer, l'exclusion est appliquée aux événements de protection de la mémoire et de contrôle de script. L'ajout d'au moins un type de violation à ignorer signifie que l'exclusion est appliquée à la protection de la mémoire uniquement.
Ignorer des types de violation spécifiques
Lorsque vous ajoutez une exclusion, cochez cette case pour ignorer une violation de fichier basée sur un ou l'ensemble des éléments suivants :
  • Types de catégories de violation (par exemple, Exploitation, Injection de processus, Escalade)
  • Types de violations individuelles sous chaque catégorie (par exemple, Pivot de pile, Allocation à distance de mémoire, Attribution nulle, etc.)
Lorsque vous ajoutez des exclusions à une stratégie de protection de la mémoire, si vous souhaitez que la stratégie s'applique uniquement aux violations de protection de la mémoire et non aux violations de contrôle de script, spécifiez au moins un type de violation que vous souhaitez ignorer. Si vous ne sélectionnez aucun type de violation à ignorer, un message d'avertissement s'affiche et l'exclusion s'applique à la fois aux stratégies de protection de la mémoire et de contrôle des scripts.
Pour les stratégies de protection de la mémoire existantes :
  • Si le paramètre d'exclusion
    Ignorer des types de violation spécifiques
    est déjà coché mais que la stratégie de contrôle des scripts n'est pas activée, aucune action n'est requise.
  • Si le paramètre d'exclusion
    Ignorer des types de violation spécifiques
    n'est pas coché et que vous souhaitez vous assurer que la stratégie est appliquée uniquement aux violations de protection de la mémoire (et non au contrôle de script), vous devez le cocher et spécifier au moins un type de violation que vous souhaitez ignorer.
Si vous modifiez une stratégie existante et que vous ajoutez une exclusion, la case à cocher Ignorer les types de violation spécifiques ne s'affiche pas tant que vous n'avez pas modifié le type de violation (par exemple, déplacez-la de Bloquer à Terminer ou Alerte).
Pour chaque fichier dont les types de violation spécifiques sont ignorés, vous pouvez afficher des informations détaillées, modifier ou supprimer les paramètres.
Exclusion Traiter en tant que DLL
Sélectionnez ce paramètre lorsque vous souhaitez ajouter des exclusions pour les DLL tierces. Par exemple, si vous exécutez des produits de sécurité tiers outre
CylancePROTECT Desktop
pour
Windows
, vous pouvez ajouter une exclusion aux fichiers .dll appropriés afin que
CylancePROTECT
ignore les violations spécifiques de ces produits. Cette fonctionnalité prend uniquement en charge les types de violation Charge utile malveillante et Écrasement de la DLL système.
Les règles suivantes s'appliquent lorsque vous spécifiez une exclusion de la DLL :
  • Vous devez sélectionner l'option
    Exclusion Traiter en tant que DLL
    dans la stratégie de terminal.
  • Le terminal doit exécuter l'agent
    CylancePROTECT Desktop
     3.1.1001 ou une version ultérieure sur un terminal
    Windows
    .
  • Le chemin d'accès au fichier que vous spécifiez doit correspondre au chemin complet et direct vers le fichier .dll. Les caractères génériques ne sont pas autorisés.
  • Le fichier .dll doit être signé à l'aide d'un certificat approuvé sur le terminal sur lequel
    CylancePROTECT Desktop
    est installé. Dans le cas contraire, il ne sera pas exclu.
Pour en savoir plus sur la prise en charge des exclusions de DLL, rendez-vous sur support.blackberry.com pour consulter l'article 108909 de la base de connaissances.