Contrôle de script Passer la navigation

Contrôle de script

Le contrôle par script protège les terminaux en empêchant l'exécution de scripts malveillants.
Le contrôle de script surveille et protège contre les scripts exécutés dans votre environnement. L'agent peut détecter le script et le chemin du script avant l'exécution du script. Selon la stratégie définie pour le contrôle de script (alerte ou bloc), l'agent autorise ou bloque l'exécution du script.
Le contrôle de script s'applique uniquement aux agents Windows.
Élément
Description
Action
Pour l'agent 1370 et les versions antérieures, la définition de l'action affecte le script actif et PowerShell.
Pour l'agent 1380 et versions ultérieures, l'action peut être définie séparément pour le script actif, PowerShell et les macros.
Pour l'agent 1580 et versions ultérieures, les actions peuvent être définies pour .NET Dynamic Language Runtime (DLR) et Python.
  • Alerte :
    cette action surveille les scripts en cours d'exécution dans votre environnement. Recommandé pour le déploiement initial.
  • Bloquer :
    cette action permet aux scripts de s'exécuter uniquement à partir de dossiers spécifiques. À utiliser après le test en mode alerte
Alerte
Cette commande permet l'exécution de tous les scripts et vous avertit lorsque des scripts sont exécutés. Il est recommandé d'activer d'abord le contrôle des scripts en mode alerte pour surveiller et observer tous les scripts exécutés dans leur environnement.
L'activation du mode alerte pour le contrôle des scripts n'envoie pas d'alertes concernant l'utilisation de la console PowerShell. La possibilité de bloquer l'utilisation de la console PowerShell nécessite que PowerShell soit défini sur
Bloquer
. Bloquer l'utilisation de la console PowerShell
doit également être activé.
Bloquer
Cette commande empêche l'exécution de tous les scripts. Vous pouvez autoriser l'exécution de scripts à l'aide de l'option
Approuver les scripts dans ces dossiers (et sous-dossiers)
.
Lorsque vous avez une bonne compréhension de tous les scripts exécutés dans votre environnement, vous pouvez modifier leurs paramètres en mode Bloquer et autoriser uniquement les scripts à s'exécuter à partir de dossiers spécifiés.
Script actif
Cela permet de contrôler les alertes ou de bloquer l'exécution des scripts actifs.
PowerShell
Ce contrôle alerte ou bloque les scripts PowerShell.
Bloquer l'utilisation de la console PowerShell
Pour la version 1380 ou ultérieure de l'agent, cette focntion empêche le lancement de la console PowerShell. Le blocage de la console PowerShell fournit une sécurité supplémentaire en protégeant contre l'utilisation de systèmes de commande uniques PowerShell. Vous pouvez désactiver cette fonctionnalité et autoriser l'exécution de la console PowerShell, au niveau de la stratégie.
Si vous utilisez un script qui lance la console PowerShell et que l'utilisation de la console Block PowerShell est activée, le script échoue. Si possible, il est recommandé aux utilisateurs de modifier leurs scripts pour appeler les scripts PowerShell, et non la console PowerShell. Pour cela, vous pouvez utiliser le commutateur
-file
. Une commande de base pour exécuter un script PowerShell sans appeler la console serait :
Powershell.exe -file [nom du script]
Macros
Cette commande alerte ou bloque les macros
Microsoft Office
. Les macros utilisent Visual Basic for Applications (VBA) qui permet d'intégrer du code dans un document Microsoft Office (généralement Word,
Excel
et
PowerPoint
). L'objectif principal des macros est de simplifier les actions de routine, telles que la manipulation des données dans une feuille de calcul ou le formatage du texte dans un document. Cependant, les créateurs de programmes malveillants peuvent utiliser des macros pour exécuter des commandes et attaquer le système. On suppose qu'une macro
Microsoft Office
qui tente de manipuler le système est une action malveillante. L'agent recherche les actions malveillantes provenant d'une macro qui affecte des éléments extérieurs aux produits
Microsoft Office
.
  • La fonction de macros de contrôle de script fonctionne avec l'agent version 1578 et antérieure. Pour les agents plus récents, utilisez le type de violation
    Macros VBA dangereuses
    avec protection de la mémoire.
  • Toute exclusion de macro créée pour le contrôle de script doit être ajoutée aux exclusions de protection de la mémoire pour le type de violation
    Macros VBA dangereuses
    .
  • À partir de
    Microsoft Office
    2013, les macros sont désactivées par défaut. La plupart du temps, vous n'avez pas besoin d'activer les macros pour afficher le contenu d'un document
    Microsoft Office
    . Vous ne devez activer les macros que pour les documents que vous recevez d'utilisateurs de confiance, et vous avez une bonne raison de les activer. Sinon, les macros doivent toujours être désactivées.
Python
Ce contrôle alerte ou bloque les scripts Python version 2.7 et 3.0 - 3.8.
.NET DLR
Ce contrôle alerte ou bloque les scripts .NET DLR.
Désactivez le contrôle de script
Pour les agents 1430 et versions ultérieures, le fait de cliquer sur
Désactiver le contrôle des scripts
signifie que le type de script ne sera pas bloqué ou signalé. Pour les agents 1420 et inférieurs, les seuls paramètres sont Alerte ou Bloquer, ce qui signifie qu'une action est toujours effectuée sur le type de script.
Ajouter une exclusion
Vous pouvez spécifier des dossiers pour autoriser l'exécution de n'importe quel script de ce dossier (et de ses sous-dossiers) sans générer d'alerte ou être bloqué lorsque le contrôle des scripts est activé. Vous pouvez également ajouter une exclusion de processus pour permettre l'exécution de scripts si le processus est exclu.
Exclusion de script
Lorsque vous approuvez des scripts dans un dossier :
  • Les chemins d'accès aux dossiers peuvent correspondre à un lecteur local, à un lecteur réseau mappé ou à un chemin d'accès de type UNC (Universal Naming Convention).
  • Les exclusions de dossiers de script doivent spécifier le chemin relatif du dossier ou du sous-dossier.
  • Les exclusions de dossier ne peuvent pas contenir le nom du script ou du fichier de macro, ces entrées sont ignorées par l'agent.
  • Si vous souhaitez exclure un script spécifique, vous devez utiliser un caractère générique. Pour plus d'informations, reportez-vous à Utiliser des caractères génériques dans les exclusions du contrôle de script.
  • Si le groupe Everyone dispose d'autorisations en écriture (partage ou fichier), le dossier devient accessible en écriture et
    CylancePROTECT Desktop
    continue à émettre des alertes/blocages sur les scripts. En effet, si le groupe Everyone dispose d'autorisations en écriture, toute personne à l'intérieur ou à l'extérieur de l'organisation peut déposer un script dans un dossier ou un sous-dossier et y écrire. Les restrictions applicables aux écritures dans le monde entier s'appliquent non seulement au dossier parent direct, mais également à tous les dossiers parents, jusqu'à la racine.
Exclusion de processus
Utilisez une exclusion de processus lorsque vous souhaitez empêcher l'exécution de scripts, sauf ceux exécutés par une application spécifique. Par exemple, vous ne voulez pas que les utilisateurs finaux exécutent des scripts, mais vous voulez autoriser votre service IT à exécuter des scripts dans le cadre de leur travail. Si le service IT utilise les mêmes outils en permanence, vous pouvez ajouter le processus en tant qu'exclusion. Cela permet d'identifier le processus qui exécute l'interpréteur et, si le processus est exclu, il sera autorisé à s'exécuter.
  • Nécessite la version 1580 ou ultérieure de l'agent.
  • Si l'exécutable dans l'exclusion du processus est bloqué par le contrôle d'exécution (Stratégie > Actions liées au fichier), les scripts ne s'exécuteront pas. Dans ce cas, ajoutez l'exécutable à la liste sécurisée.
  • Cela ne limite pas l'exécution de scripts à partir d'un dossier désigné. Cela permet d'exécuter tous les scripts qui utilisent une règle avec le processus exclu.