Contrôle de script
Le contrôle par script protège les terminaux en empêchant l'exécution de scripts malveillants.
Le contrôle de script surveille et protège contre les scripts exécutés dans votre environnement. L'agent peut détecter le script et le chemin du script avant l'exécution du script. Selon la stratégie définie pour le contrôle de script (alerte ou bloc), l'agent autorise ou bloque l'exécution du script.
Le contrôle de script s'applique uniquement aux agents Windows.
Élément | Description |
---|---|
Action | Pour l'agent 1370 et les versions antérieures, la définition de l'action affecte le script actif et PowerShell. Pour l'agent 1380 et versions ultérieures, l'action peut être définie séparément pour le script actif, PowerShell et les macros. Pour l'agent 1580 et versions ultérieures, les actions peuvent être définies pour .NET Dynamic Language Runtime (DLR) et Python.
|
Alerte | Cette commande permet l'exécution de tous les scripts et vous avertit lorsque des scripts sont exécutés. Il est recommandé d'activer d'abord le contrôle des scripts en mode alerte pour surveiller et observer tous les scripts exécutés dans leur environnement. L'activation du mode alerte pour le contrôle des scripts n'envoie pas d'alertes concernant l'utilisation de la console PowerShell. La possibilité de bloquer l'utilisation de la console PowerShell nécessite que PowerShell soit défini sur Bloquer . Bloquer l'utilisation de la console PowerShell doit également être activé. |
Bloquer | Cette commande empêche l'exécution de tous les scripts. Vous pouvez autoriser l'exécution de scripts à l'aide de l'option Approuver les scripts dans ces dossiers (et sous-dossiers) .Lorsque vous avez une bonne compréhension de tous les scripts exécutés dans votre environnement, vous pouvez modifier leurs paramètres en mode Bloquer et autoriser uniquement les scripts à s'exécuter à partir de dossiers spécifiés. |
Script actif | Cela permet de contrôler les alertes ou de bloquer l'exécution des scripts actifs. |
PowerShell | Ce contrôle alerte ou bloque les scripts PowerShell. |
Bloquer l'utilisation de la console PowerShell | Pour la version 1380 ou ultérieure de l'agent, cette focntion empêche le lancement de la console PowerShell. Le blocage de la console PowerShell fournit une sécurité supplémentaire en protégeant contre l'utilisation de systèmes de commande uniques PowerShell. Vous pouvez désactiver cette fonctionnalité et autoriser l'exécution de la console PowerShell, au niveau de la stratégie. Si vous utilisez un script qui lance la console PowerShell et que l'utilisation de la console Block PowerShell est activée, le script échoue. Si possible, il est recommandé aux utilisateurs de modifier leurs scripts pour appeler les scripts PowerShell, et non la console PowerShell. Pour cela, vous pouvez utiliser le commutateur -file . Une commande de base pour exécuter un script PowerShell sans appeler la console serait : Powershell.exe -file [nom du script] |
Macros | Cette commande alerte ou bloque les macros Microsoft
Office . Les macros utilisent Visual Basic for Applications (VBA) qui permet d'intégrer du code dans un document Microsoft Office (généralement Word, Excel et PowerPoint ). L'objectif principal des macros est de simplifier les actions de routine, telles que la manipulation des données dans une feuille de calcul ou le formatage du texte dans un document. Cependant, les créateurs de programmes malveillants peuvent utiliser des macros pour exécuter des commandes et attaquer le système. On suppose qu'une macro Microsoft
Office qui tente de manipuler le système est une action malveillante. L'agent recherche les actions malveillantes provenant d'une macro qui affecte des éléments extérieurs aux produits Microsoft
Office .
|
Python | Ce contrôle alerte ou bloque les scripts Python version 2.7 et 3.0 - 3.8. |
.NET DLR | Ce contrôle alerte ou bloque les scripts .NET DLR. |
Désactivez le contrôle de script | Pour les agents 1430 et versions ultérieures, le fait de cliquer sur Désactiver le contrôle des scripts signifie que le type de script ne sera pas bloqué ou signalé. Pour les agents 1420 et inférieurs, les seuls paramètres sont Alerte ou Bloquer, ce qui signifie qu'une action est toujours effectuée sur le type de script. |
Ajouter une exclusion | Vous pouvez spécifier des dossiers pour autoriser l'exécution de n'importe quel script de ce dossier (et de ses sous-dossiers) sans générer d'alerte ou être bloqué lorsque le contrôle des scripts est activé. Vous pouvez également ajouter une exclusion de processus pour permettre l'exécution de scripts si le processus est exclu. Exclusion de script Lorsque vous approuvez des scripts dans un dossier :
Exclusion de processus Utilisez une exclusion de processus lorsque vous souhaitez empêcher l'exécution de scripts, sauf ceux exécutés par une application spécifique. Par exemple, vous ne voulez pas que les utilisateurs finaux exécutent des scripts, mais vous voulez autoriser votre service IT à exécuter des scripts dans le cadre de leur travail. Si le service IT utilise les mêmes outils en permanence, vous pouvez ajouter le processus en tant qu'exclusion. Cela permet d'identifier le processus qui exécute l'interpréteur et, si le processus est exclu, il sera autorisé à s'exécuter.
|