Exclusions et quand les utiliser
Le tableau suivant fournit une description de chaque type d'exclusion et des conseils généraux sur la manière et le moment de les utiliser de manière appropriée.
Type d'exclusion | Description et exemple |
|---|---|
Liste sécurisée des stratégies (actions de fichier) | La liste de sécurité de la stratégie est spécifiée dans l'onglet Actions de fichier d'une stratégie de terminal.Lorsqu'une stratégie de terminal est attribuée à un terminal, celui-ci est autorisé à exécuter les fichiers spécifiés dans la liste de sécurité des stratégies. La liste de sécurité de la stratégie est appliquée au niveau de la stratégie pour des terminaux spécifiques, tandis que la liste de sécurité globale ou la liste de quarantaine est appliquée au niveau global pour tous les terminaux. La liste sécurisée des stratégies est prioritaire sur la liste de quarantaine globale. Un fichier ajouté à la liste de sécurité des règles peut s'exécuter sur n'importe quel terminal auquel la règle est attribuée, même si ce fichier figure dans la liste de quarantaine globale, ce qui empêche l'exécution des fichiers sur tous les terminaux. Exemple : si vous utilisez fréquemment des outils d'escalade des privilèges tels que PSEXEC pour effectuer vos tâches quotidiennes. Vous ne voulez pas que les autres utilisateurs aient la même capacité et vous voulez les empêcher d'utiliser ces outils sans affecter vos tâches quotidiennes. Pour ce faire, vous pouvez ajouter PSEXEC à la liste de quarantaine globale et ajouter le même hachage de fichier à votre liste sécurisée des stratégies. Vous devez ensuite vous assurer que seuls vous et les autres utilisateurs autorisés êtes affectés à la stratégie de terminal spécifique dans laquelle vous avez ajouté PSEXEC à la liste sécurisée. Ainsi, PSEXEC sera mis en quarantaine pour tous les utilisateurs qui ne sont pas affectés à la stratégie de terminal, mais les utilisateurs affectés à la stratégie de terminal pourront l'utiliser. |
Exclure les fichiers exécutables ou les macros (protection de la mémoire) | Les exclusions de la stratégie de protection de la mémoire sont spécifiées dans l'onglet Actions de mémoire d'une stratégie de terminal lorsque la Protection de la mémoire est activée.Lorsque vous spécifiez des exclusions pour la protection de la mémoire, l'agent ignore les violations de types spécifiques de chaque application spécifique. En d'autres termes, vous évitez de bloquer ou de fermer une application lorsqu'elle exécute une action qui entraine une violation d'un certain type. Lorsque la protection de la mémoire est activée, l'agent surveille les processus d'application pour détecter les actions spécifiques qu'il effectue. Si un processus exécute une action particulière que l'agent surveille, telle qu'une lecture LSASS, l'agent réagit à cette action en fonction de la stratégie de terminal. Il arrive parfois que des faux positifs se produisent et que la protection de la mémoire bloque une action qu'une application a tenté d'exécuter ou arrête complètement l'application. Dans ce cas, vous pouvez spécifier des exclusions pour la protection de la mémoire afin que certaines applications soient exemptes de types de violation spécifiques et puissent s'exécuter comme prévu sans être bloquées ou interrompues. Exemple : par défaut, votre organisation bloque toutes les violations de protection de la mémoire de toutes les applications. Vous utilisez fréquemment Test.exe et vous comprenez qu'il a des raisons légitimes de violations de lecture LSASS uniquement. Vous pouvez ajouter une exclusion afin que l'agent ignore uniquement les violations de lecture LSASS du fichier Test.exe. L'agent bloque toujours Test.exe lorsqu'une violation de tout autre type se produit. Les exclusions de protection de la mémoire utilisent des chemins relatifs (les lettres de lecteur ne sont pas requises) et peuvent être spécifiées jusqu'au niveau exécutable. Par exemple :
Il n'est pas recommandé de spécifier une exclusion au niveau de l'exécutable sans chemin relatif. Par exemple, si une exclusion est définie pour \Test.exe , un fichier malveillant portant le même nom est autorisé à s'exécuter à partir de n'importe quel dossier du terminal. |
Exclure des dossiers spécifiques (Paramètres de protection) | Les exclusions pour la détection des menaces en arrière-plan sont spécifiées dans l'onglet Paramètres de protection d'une stratégie de terminal lorsque la Détection des menaces en arrière-plan est activée. Cette exclusion peut également être appelée « liste sécurisée de répertoires ». Lorsqu'un répertoire est exclu, l'agent ignore tous les fichiers de ce répertoire lors d'une analyse, y compris les sous-dossiers.Si vous sélectionnez Autoriser l'exécution , l'agent ignore tous les exécutables lancés à partir des répertoires exclus.Exemple : un développeur d'applications de votre organisation utilise un répertoire (par exemple, C:\DevFiles\Temp ) pour stocker les fichiers temporaires générés lors de la compilation. L'agent analyse ces fichiers, les considère comme dangereux en raison des différentes caractéristiques qu'ils contiennent, puis les met en quarantaine. Le développeur soumet une demande pour autoriser le répertoire temporaire. Vous pouvez ajouter le répertoire C:\DevFiles\Temp afin que les fichiers temporaires soient ignorés et que le développeur puisse effectuer son travail. |
Exclusions de dossiers (Contrôle de script) | Les exclusions de la stratégie de contrôle des scripts sont spécifiées dans l'onglet Contrôle de script d'une stratégie de terminal lorsque le contrôle de script est activé. Vous pouvez ajouter des exclusions lorsque vous souhaitez autoriser l'exécution de scripts dans un répertoire spécifié. Lors de l'ajout d'exclusions de contrôle de script, spécifiez les chemins relatifs. Les sous-dossiers sont également inclus dans l'exclusion.Exemple : un administrateur informatique tente d'exécuter un script situé dans C:\Scripts\Subfolder\Test . Le script est bloqué par le contrôle de script chaque fois que l'administrateur informatique tente d'exécuter le script. Pour permettre l'exécution du script, vous pouvez ajouter l'un des chemins relatifs suivants en tant qu'exclusion de la stratégie de contrôle du script :
|