Passer la navigation
  1. BlackBerry Docs
  2. Cylance Endpoint Security
  3. Configuration
  4. Guide de configuration de Cylance Endpoint Security
  5. Configurer CylancePROTECT Desktop
  6. Utiliser les stratégies de terminal pour gérer les terminaux CylancePROTECT Desktop
  7. Contrôle de script

Contrôle de script

Le contrôle de script protège les terminaux
Windows
 en empêchant l‘exécution de scripts. Si vous souhaitez autoriser l‘exécution de scripts, vous pouvez ajouter des exclusions de plusieurs façons à l‘aide de caractères génériques. Par exemple, vous pouvez configurer la règle pour empêcher l‘exécution des scripts et autoriser uniquement l‘exécution des scripts ajoutés à la liste d‘exclusion.
Élément
Description
Action
Pour chaque type de script, vous pouvez sélectionner l‘une des actions suivantes :
  • Désactivé
     : cette action permet d‘exécuter tous les scripts, mais ne les signale pas à la console. Ce paramètre est déconseillé.
  • Alerte
     : cette action permet d‘exécuter tous les scripts et les signale à la console. Utilisez ce paramètre lorsque vous souhaitez surveiller et observer tous les scripts en cours d‘exécution dans votre environnement. Ce paramètre est recommandé pour le déploiement initial lorsque vous déterminez les scripts que vous souhaitez autoriser ou bloquer.
  • Bloquer
     : cette action empêche l‘exécution de tous les scripts et les signale à la console. Seuls les fichiers ajoutés à la liste d‘exclusion sont autorisés à s‘exécuter. Utilisez ce paramètre après avoir testé et contrôlé les menaces en mode alerte.
Les réglages suivants sont disponibles pour les paramètres Script actif et Script PowerShell :
  • Bloquer les scripts dangereux
     : si le script ne figure pas déjà dans la liste d‘exclusion,
    CylancePROTECT
     reçoit un indice de menace pour le script provenant des services cloud
    Cylance
     et, s‘il s‘agit d‘un indice de menace dangereuse, l‘exécution du script est bloquée. Les fichiers dangereux ressemblent beaucoup à des logiciels malveillants. Les scripts non notés et anormaux sont signalés sur la console, mais ils ne sont pas bloqués.
  • Bloquer les scripts anormaux et dangereux
     : si le script ne figure pas dans la liste d‘exclusion,
    CylancePROTECT
     reçoit un indice de menace pour le script provenant des services cloud
    Cylance
     et, s‘il s‘agit d‘un indice de menace anormale ou dangereuse, l‘exécution du script est bloquée. Les fichiers dangereux ressemblent beaucoup à des logiciels malveillants. Les fichiers anormaux présentent des attributs semblables à ceux d‘un logiciel malveillant, mais sont moins susceptibles d‘être des logiciels malveillants qu‘un fichier dangereux. Les scripts non notés sont signalés sur la console, mais ils ne sont pas bloqués.
Vous pouvez trouver des évènements d‘alerte et de bloc de contrôle de script dans l‘écran
Protection > Contrôle de script
.
Script actif
Ce paramètre détermine si vous souhaitez autoriser l‘exécution des scripts actifs ou les bloquer. Les scripts actifs incluent VBScript et JScript
Pour renforcer le contrôle des scripts, utilisez l‘un des paramètres
Bloquer les scripts dangereux
 ou
Bloquer les scripts anormaux et dangereux
. Ces paramètres nécessitent l‘agent
CylancePROTECT Desktop
 3.2 ou version ultérieure. Si un terminal exécute un agent de version antérieure, le script est bloqué par défaut.
Script PowerShell
Ce paramètre détermine si vous souhaitez autoriser ou bloquer l‘exécution des scripts PowerShell.
Pour renforcer le contrôle des scripts, utilisez l‘un des paramètres
Bloquer les scripts dangereux
 ou
Bloquer les scripts anormaux et dangereux
. Ces paramètres nécessitent l‘agent
CylancePROTECT Desktop
 3.2 ou version ultérieure. Si un terminal exécute un agent de version antérieure, le script est bloqué par défaut.
Console PowerShell
Ce paramètre détermine si vous souhaitez autoriser l‘exécution de la console PowerShell ou bloquer son lancement. Le blocage de la console PowerShell fournit une sécurité supplémentaire en empêchant son utilisation en mode interactif.
Le mode alerte pour la console PowerShell nécessite l‘agent
CylancePROTECT Desktop
 3.2 ou version ultérieure. Il permet l‘exécution de scripts et signale l‘évènement détecté à la console de gestion. Pour les agents qui ne prennent pas en charge le mode alerte, l‘utilisation de la console PowerShell est autorisée par défaut et aucune alerte n‘est générée.
Si vous utilisez un script qui lance la console PowerShell, mais que celle-ci est bloquée, le script échoue. Si possible, il est recommandé aux utilisateurs de modifier leurs scripts pour appeler les scripts PowerShell, et non la console PowerShell. Pour cela, vous pouvez utiliser le commutateur
-file
. Une commande de base pour exécuter un script PowerShell sans appeler la console serait la suivante :
Powershell.exe -file [script name]
Macros
 (2.1.1578 et versions antérieures)
Ce paramètre détermine s‘il faut alerter ou bloquer les macros
Microsoft Office
. Les macros utilisent Visual Basic for Applications (VBA) qui permet d‘incorporer du code à l‘intérieur d‘un document
Microsoft Office
 (comme
Microsoft Office
,
Excel
 et
PowerPoint
). L‘objectif principal des macros est de simplifier les actions de routine, telles que la manipulation des données dans une feuille de calcul ou le formatage du texte dans un document. Cependant, les créateurs de programmes malveillants peuvent utiliser des macros pour exécuter des commandes et attaquer le système. On suppose qu‘une macro effectue une action malveillante lorsqu‘elle tente de manipuler le système. L‘agent recherche les actions malveillantes provenant d‘une macro qui affecte des éléments extérieurs aux produits
Microsoft Office
.
Tenex compte des remarques suivantes :
  • La fonctionnalité de macros de contrôle de script fonctionne avec l‘agent 2.1.1578 et les versions antérieures. Pour les agents plus récents, utilisez le type de violation
    Macros VBA dangereuses
     avec stratégie de protection de la mémoire.
  • Toute exclusion de macro créée pour le contrôle de script doit être ajoutée aux exclusions de protection de la mémoire pour le type de violation
    Macros VBA dangereuses
    .
  • À partir de
    Microsoft Office
     2013, les macros sont désactivées par défaut. La plupart du temps, vous n‘avez pas besoin d‘activer les macros pour afficher le contenu d‘un document
    Microsoft Office
    . Vous ne devez activer les macros que pour les documents que vous recevez d‘utilisateurs de confiance, et vous avez une bonne raison de les activer. Sinon, les macros doivent toujours être désactivées.
Python
Ce paramètre détermine si les scripts Python (versions 2.7 et 3.0 à 3.8) doivent être autorisés ou s‘ils doivent être bloqués. Ce paramètre est valide pour l‘agent 2.1.1580 ou version ultérieure.
.NET DLR
Ce paramètre détermine si les scripts DLR .NET doivent être exécutés ou s‘ils doivent être bloqués. Ce paramètre est valide pour l‘agent 2.1.1580 ou version ultérieure.
Macros XLM
 (préversion)
La fonctionnalité des macros XLM est actuellement disponible en mode Préversion, où elle peut se comporter de manière inattendue.
Ce paramètre détermine si
CylancePROTECT Desktop
 autorise les macros
Excel
 4.0 (XLM) à être exécutées ou non. Lorsque les macros sont activées et exécutées, l‘interface AMSI de
Microsoft
 communique avec l‘agent pour déterminer si la macro doit être exécutée ou si elle doit être bloquée conformément à la stratégie de terminal.
Cette fonctionnalité requiert les éléments suivants :
  • Microsoft Windows
     10 ou versions ultérieures
  • Agent de
    CylancePROTECT Desktop
    version 3.1
  • Les macros VBA doivent être désactivées dans le menu
    Excel
    Fichier > Centre de gestion de la confidentialité > Centre de gestion de la confidentialité Excel > Paramètres des macros
    .
Paramètres avancés
Les paramètres avancés suivants encouragent l‘évaluation des scripts et tirent parti du contrôle de script :
  • Noter tous les scripts
     : ce paramètre garantit que tous les scripts sont évalués, quel que soit le paramètre de contrôle de script. Par défaut, si le paramètre de contrôle de script est défini sur Alerte ou Bloquer, les scripts ne sont pas notés.
  • Charger le script dans le cloud
     : ce paramètre spécifie si une copie du script est chargée vers les services cloud
    CylancePROTECT
     à des fins d‘analyse et d‘évaluation des menaces. Si cette option n‘est pas sélectionnée,
    CylancePROTECT
     tente d‘obtenir un indice pour le script à l‘aide de ses informations de hachage.
  • Alerte en cas d‘exécution de scripts suspects uniquement
     : lorsqu‘un script est évalué et qu‘aucune menace n‘est détectée, ce paramètre spécifie que l‘exécution du script n‘est pas signalée à la console de gestion. Si cette option n‘est pas sélectionnée, l‘exécution des scripts est signalée à la console de gestion, même si une menace n‘est pas détectable.
Exclure les fichiers, scripts ou processus
Vous pouvez spécifier des dossiers pour autoriser l‘exécution de n‘importe quel script de ce dossier (et de ses sous-dossiers) sans générer d‘alerte même lorsque les contrôles de script sont réglés sur le blocage. Vous pouvez également ajouter des exclusions pour les processus afin de permettre l‘exécution correcte des scripts de certaines applications qui seraient autrement bloqués. Par exemple, si le service informatique utilise des outils spécifiques pour exécuter des scripts en permanence, vous pouvez ajouter le processus de cet outil en tant qu‘exclusion afin que des scripts puissent être exécutés via cet outil.
Spécifiez le chemin relatif du dossier ou du sous-dossier. Les chemins d‘accès aux dossiers peuvent correspondre à un lecteur local, à un lecteur réseau mappé ou à un chemin d‘accès de type UNC (Universal Naming Convention).
Exclusion de dossiers et de scripts
  • Les exclusions de dossiers ne peuvent pas contenir le nom du script ou du fichier de macro. Ces entrées ne sont pas valides et l‘agent les ignore.
  • Si vous souhaitez exclure un script spécifique, vous devez utiliser un caractère générique. Pour plus d‘informations sur la manière d‘utiliser les caractères génériques pour exclure des scripts spécifiques, consultez Caractères génériques dans les exclusions du contrôle de script.
  • Si le groupe « Tout le monde » de votre organisation a des droits d‘écriture sur un dossier, n‘importe qui à l‘intérieur ou à l‘extérieur de l‘organisation peut déposer un script dans le dossier et y écrire.
    CylancePROTECT Desktop
     continuera à envoyer des alertes sur les scripts et à les bloquer. Les autorisations écrites s‘appliquent non seulement au dossier parent direct, mais également à tous les dossiers parents, jusqu‘à la racine.
Exclusion de processus
  • Les exclusions de processus nécessitent l‘agent version 2.1.1580 ou ultérieure.
  • L‘exécutable de l‘exclusion du processus peut être mis en quarantaine par le contrôle d‘exécution et donc bloqué. Si l‘exécutable est mis en quarantaine, vous devez l‘ajouter à la
    Liste sécurisée des stratégies
     dans l‘onglet
    Actions de fichier
    .
  • Les exclusions de processus continuent d‘autoriser l‘exécution des scripts et ne les empêchent pas de s‘exécuter à partir du dossier spécifié.