Contrôle de script Passer la navigation

Contrôle de script

Le contrôle par script protège les terminaux
Windows
en empêchant l‘exécution de scripts malveillants. L‘agent peut détecter le script et le chemin du script avant l‘exécution du script. Vous pouvez configurer la règle pour empêcher l‘exécution des scripts et autoriser uniquement l‘exécution des scripts ajoutés à la liste d‘exclusion.
Élément
Description
Action
Pour chaque type de script, vous pouvez sélectionner l‘une des actions suivantes :
  • Alerte
     : cette action permet l‘exécution de tous les scripts. Utilisez ce paramètre lorsque vous souhaitez surveiller et observer tous les scripts en cours d‘exécution dans votre environnement. Ce paramètre est recommandé pour le déploiement initial lorsque vous déterminez les scripts que vous souhaitez autoriser ou bloquer.
  • Bloquer
     : cette action empêche l‘exécution de tous les scripts. Seuls les fichiers ajoutés à la liste d‘exclusion sont autorisés à s‘exécuter. Utilisez ce paramètre après avoir testé et contrôlé les menaces en mode alerte.
Vous pouvez trouver des évènements d‘alerte et de bloc de contrôle de script dans l‘écran
Protection > Contrôle de script
.
Script actif
Ce paramètre détermine si vous souhaitez autoriser l‘exécution des scripts actifs ou les bloquer. Les scripts actifs incluent VBScript et JScript
Pour la version 1.2.1370 et versions antérieures de l‘agent, il existe un paramètre d‘action pour les scripts actifs et PowerShell. Pour l‘agent 1.2.1380 et versions ultérieures, vous devez les définir individuellement.
PowerShell
Ce paramètre détermine si vous souhaitez autoriser l‘exécution des scripts ou les bloquer.
Pour la version 1.2.1370 et versions antérieures de l‘agent, il existe un paramètre d‘action pour les scripts actifs et PowerShell. Pour l‘agent version 1.2.1380 et versions ultérieures, vous devez les définir individuellement.
Bloquer l‘utilisation de la console PowerShell
Ce paramètre détermine si vous souhaitez bloquer le lancement de la console PowerShell pour les terminaux exécutant l‘agent version 1.2.1380 ou versions ultérieures. Le blocage de la console PowerShell fournit une sécurité supplémentaire en protégeant contre l‘utilisation de systèmes de commande uniques PowerShell.
Ce paramètre est disponible lorsque l‘action pour les scripts PowerShell est définie sur
Bloquer
.
Lorsque le contrôle PowerShell est défini sur le mode alerte, l‘agent n‘envoie pas d‘alertes pour l‘utilisation de la console PowerShell.
Si vous utilisez un script qui lance la console PowerShell et que l‘utilisation de la console Block PowerShell est activée, le script échoue. Si possible, il est recommandé aux utilisateurs de modifier leurs scripts pour appeler les scripts PowerShell, et non la console PowerShell. Pour cela, vous pouvez utiliser le commutateur
-file
. Une commande de base pour exécuter un script PowerShell sans appeler la console serait :
Powershell.exe -file [nom du script]
Macros (2.1.1578 et versions antérieures)
Ce paramètre détermine s‘il faut alerter ou bloquer les macros
Microsoft Office
. Les macros utilisent Visual Basic for Applications (VBA) qui permet d‘incorporer du code à l‘intérieur d‘un document
Microsoft Office
(comme
Microsoft Word
,
Excel
et
PowerPoint
). L‘objectif principal des macros est de simplifier les actions de routine, telles que la manipulation des données dans une feuille de calcul ou le formatage du texte dans un document. Cependant, les créateurs de programmes malveillants peuvent utiliser des macros pour exécuter des commandes et attaquer le système. On suppose qu‘une macro effectue une action malveillante lorsqu‘elle tente de manipuler le système. L‘agent recherche les actions malveillantes provenant d‘une macro qui affecte des éléments extérieurs aux produits
Microsoft Office
.
  • La fonctionnalité de macros de contrôle de script fonctionne avec l‘agent version 1578 et versions antérieures. Pour les agents plus récents, utilisez le type de violation
    Macros VBA dangereuses
    avec stratégie de protection de la mémoire.
  • Toute exclusion de macro créée pour le contrôle de script doit être ajoutée aux exclusions de protection de la mémoire pour le type de violation
    Macros VBA dangereuses
    .
  • À partir de
    Microsoft Office
    2013, les macros sont désactivées par défaut. La plupart du temps, vous n‘avez pas besoin d‘activer les macros pour afficher le contenu d‘un document
    Microsoft Office
    . Vous ne devez activer les macros que pour les documents que vous recevez d‘utilisateurs de confiance, et vous avez une bonne raison de les activer. Sinon, les macros doivent toujours être désactivées.
Python
Ce paramètre détermine si les scripts Python (versions 2.7 et 3.0 à 3.8) doivent être autorisés ou s‘ils doivent être bloqués. Ce paramètre est valide pour l‘agent 1580 ou versions ultérieures.
.NET DLR
Ce paramètre détermine si les scripts DLR .NET doivent être exécutés ou s‘ils doivent être bloqués. Ce paramètre est valide pour l‘agent 1580 ou versions ultérieures.
Macros XLM (préversion)
La fonctionnalité des macros XLM est actuellement disponible en mode Préversion, où elle peut se comporter de manière inattendue.
Ce paramètre détermine si
CylancePROTECT Desktop
autorise les macros
Excel
4.0 (XLM) à être exécutées ou non. Lorsque les macros sont activées et exécutées, l‘interface AMSI de
Microsoft
communique avec l‘agent pour déterminer si la macro doit être exécutée ou si elle doit être bloquée conformément à la stratégie de terminal.
Cette fonctionnalité requiert les éléments suivants :
  • Microsoft Windows
    10 ou versions ultérieures
  • Agent de
    CylancePROTECT Desktop
    version 3.1
  • Les macros VBA doivent être désactivées dans le menu
    Excel
    Fichier > Centre de gestion de la confidentialité > Centre de gestion de la confidentialité Excel > Paramètres des macros
    .
Désactivez le contrôle de script
Vous pouvez spécifier si le contrôle de script doit être désactivé pour certains types de script. Lorsque vous désactivez le contrôle des scripts, les scripts sont autorisés à s‘exécuter et vous ne recevez pas d‘alertes.
Exclure les fichiers, scripts ou processus
Vous pouvez spécifier des dossiers pour autoriser l‘exécution de n‘importe quel script de ce dossier (et de ses sous-dossiers) sans générer d‘alerte même lorsque les contrôles de script sont réglés sur le blocage. Vous pouvez également ajouter des exclusions pour les processus afin de permettre l‘exécution correcte des scripts de certaines applications qui seraient autrement bloqués. Par exemple, si le service informatique utilise des outils spécifiques pour exécuter des scripts en permanence, vous pouvez ajouter le processus de cet outil en tant qu‘exclusion afin que des scripts puissent être exécutés via cet outil.
Spécifiez le chemin relatif du dossier ou du sous-dossier. Les chemins d‘accès aux dossiers peuvent correspondre à un lecteur local, à un lecteur réseau mappé ou à un chemin d‘accès de type UNC (Universal Naming Convention).
Exclusion de dossiers et de scripts
  • Les exclusions de dossiers ne peuvent pas contenir le nom du script ou du fichier de macro. Ces entrées ne sont pas valides et l‘agent les ignore.
  • Si vous souhaitez exclure un script spécifique, vous devez utiliser un caractère générique. Pour plus d‘informations sur la manière d‘utiliser les caractères génériques pour exclure des scripts spécifiques, consultez Caractères génériques dans les exclusions du contrôle de script.
  • Si le groupe « Tout le monde » de votre organisation a des droits d‘écriture sur un dossier, n‘importe qui à l‘intérieur ou à l‘extérieur de l‘organisation peut déposer un script dans le dossier et y écrire.
    CylancePROTECT Desktop
    continuera à envoyer des alertes sur les scripts et à les bloquer. Les autorisations écrites s‘appliquent non seulement au dossier parent direct, mais également à tous les dossiers parents, jusqu‘à la racine.
Exclusion de processus
  • Les exclusions de processus nécessitent l‘agent version 2.1.1580 ou ultérieure.
  • L‘exécutable de l‘exclusion du processus peut être mis en quarantaine par le contrôle d‘exécution et donc bloqué. Si l‘exécutable est mis en quarantaine, vous devez l‘ajouter à la
    Liste sécurisée des stratégies
    dans l‘onglet
    Actions de fichier
    .
  • Les exclusions de processus continuent d‘autoriser l‘exécution des scripts et ne les empêchent pas de s‘exécuter à partir du dossier spécifié.