Contrôle de script
Le contrôle par script protège les terminaux
Windows
en empêchant l‘exécution de scripts malveillants. L‘agent peut détecter le script et le chemin du script avant l‘exécution du script. Vous pouvez configurer la règle pour empêcher l‘exécution des scripts et autoriser uniquement l‘exécution des scripts ajoutés à la liste d‘exclusion.Élément | Description |
---|---|
Action | Pour chaque type de script, vous pouvez sélectionner l‘une des actions suivantes :
Vous pouvez trouver des évènements d‘alerte et de bloc de contrôle de script dans l‘écran Protection > Contrôle de script . |
Script actif | Ce paramètre détermine si vous souhaitez autoriser l‘exécution des scripts actifs ou les bloquer. Les scripts actifs incluent VBScript et JScript Pour la version 1.2.1370 et versions antérieures de l‘agent, il existe un paramètre d‘action pour les scripts actifs et PowerShell. Pour l‘agent 1.2.1380 et versions ultérieures, vous devez les définir individuellement. |
PowerShell | Ce paramètre détermine si vous souhaitez autoriser l‘exécution des scripts ou les bloquer. Pour la version 1.2.1370 et versions antérieures de l‘agent, il existe un paramètre d‘action pour les scripts actifs et PowerShell. Pour l‘agent version 1.2.1380 et versions ultérieures, vous devez les définir individuellement. |
Bloquer l‘utilisation de la console PowerShell | Ce paramètre détermine si vous souhaitez bloquer le lancement de la console PowerShell pour les terminaux exécutant l‘agent version 1.2.1380 ou versions ultérieures. Le blocage de la console PowerShell fournit une sécurité supplémentaire en protégeant contre l‘utilisation de systèmes de commande uniques PowerShell. Ce paramètre est disponible lorsque l‘action pour les scripts PowerShell est définie sur Bloquer .Lorsque le contrôle PowerShell est défini sur le mode alerte, l‘agent n‘envoie pas d‘alertes pour l‘utilisation de la console PowerShell. Si vous utilisez un script qui lance la console PowerShell et que l‘utilisation de la console Block PowerShell est activée, le script échoue. Si possible, il est recommandé aux utilisateurs de modifier leurs scripts pour appeler les scripts PowerShell, et non la console PowerShell. Pour cela, vous pouvez utiliser le commutateur -file . Une commande de base pour exécuter un script PowerShell sans appeler la console serait : Powershell.exe -file [nom du script] |
Macros (2.1.1578 et versions antérieures) | Ce paramètre détermine s‘il faut alerter ou bloquer les macros Microsoft
Office . Les macros utilisent Visual Basic for Applications (VBA) qui permet d‘incorporer du code à l‘intérieur d‘un document Microsoft
Office (comme Microsoft
Word , Excel et PowerPoint ). L‘objectif principal des macros est de simplifier les actions de routine, telles que la manipulation des données dans une feuille de calcul ou le formatage du texte dans un document. Cependant, les créateurs de programmes malveillants peuvent utiliser des macros pour exécuter des commandes et attaquer le système. On suppose qu‘une macro effectue une action malveillante lorsqu‘elle tente de manipuler le système. L‘agent recherche les actions malveillantes provenant d‘une macro qui affecte des éléments extérieurs aux produits Microsoft
Office .
|
Python | Ce paramètre détermine si les scripts Python (versions 2.7 et 3.0 à 3.8) doivent être autorisés ou s‘ils doivent être bloqués. Ce paramètre est valide pour l‘agent 1580 ou versions ultérieures. |
.NET DLR | Ce paramètre détermine si les scripts DLR .NET doivent être exécutés ou s‘ils doivent être bloqués. Ce paramètre est valide pour l‘agent 1580 ou versions ultérieures. |
Macros XLM (préversion) | La fonctionnalité des macros XLM est actuellement disponible en mode Préversion, où elle peut se comporter de manière inattendue. Ce paramètre détermine si CylancePROTECT Desktop autorise les macros Excel 4.0 (XLM) à être exécutées ou non. Lorsque les macros sont activées et exécutées, l‘interface AMSI de Microsoft communique avec l‘agent pour déterminer si la macro doit être exécutée ou si elle doit être bloquée conformément à la stratégie de terminal.Cette fonctionnalité requiert les éléments suivants :
|
Désactivez le contrôle de script | Vous pouvez spécifier si le contrôle de script doit être désactivé pour certains types de script. Lorsque vous désactivez le contrôle des scripts, les scripts sont autorisés à s‘exécuter et vous ne recevez pas d‘alertes. |
Exclure les fichiers, scripts ou processus | Vous pouvez spécifier des dossiers pour autoriser l‘exécution de n‘importe quel script de ce dossier (et de ses sous-dossiers) sans générer d‘alerte même lorsque les contrôles de script sont réglés sur le blocage. Vous pouvez également ajouter des exclusions pour les processus afin de permettre l‘exécution correcte des scripts de certaines applications qui seraient autrement bloqués. Par exemple, si le service informatique utilise des outils spécifiques pour exécuter des scripts en permanence, vous pouvez ajouter le processus de cet outil en tant qu‘exclusion afin que des scripts puissent être exécutés via cet outil. Spécifiez le chemin relatif du dossier ou du sous-dossier. Les chemins d‘accès aux dossiers peuvent correspondre à un lecteur local, à un lecteur réseau mappé ou à un chemin d‘accès de type UNC (Universal Naming Convention). Exclusion de dossiers et de scripts
Exclusion de processus
|