Configurer les Paramètres des Logiciels Autorisés (Ordinateurs Windows)

S'applique À : WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR

Les paramètres de logiciels autorisés peuvent être attribués uniquement aux serveurs ou aux stations de travail Windows. Les exclusions de logiciel autorisé n'excluent aucun sous-répertoire dans un répertoire exclu.

Dans WatchGuard Endpoint Security, trois fonctionnalités permettent d'éviter le blocage des programmes :

Fichiers et Chemins Exclus

Exclut des éléments ou des zones spécifiques de l'ordinateur des analyses. L'exécution des logiciels inconnus ne sera pas bloquée. Étant donné que ce paramétrage peut entraîner une faille de sécurité, nous ne vous le recommandons pas, sauf en cas de problème de performances de l'ordinateur. Seul le dossier dans le chemin spécifié est exclu. Les sous-dossiers ne sont pas exclus.

Débloquer des Programmes En Cours de Classification

Autorise temporairement l'exécution des programmes bloqués avec une approche réactive. L'administrateur ne peut débloquer un programme que si celui-ci a été préalablement bloqué.

Étant donné qu'un logiciel peut comporter plusieurs éléments et que vous devez débloquer chaque élément individuellement, le processus de blocage et de déblocage peut durer un certain temps.

Configurer les Logiciels Autorisés

Déblocage proactif des programmes inconnus en cours de classification. L'administrateur peut attribuer des paramètres pour les programmes provenant d'une source connue pouvant être utilisés si aucun risque n'est détecté. Il s'agit de la méthode recommandée pour débloquer les programmes.

Dans un profil de paramètres logiciel autorisé, vous pouvez configurer les paramètres permettant d'autoriser un logiciel ou une famille de logiciels dont vous souhaitez autoriser l'exécution avant qu'il ne soit classifié. À titre d'exemple, lorsque vous connaissez la source du programme et la raison pour laquelle il a été bloqué, vous pouvez débloquer le programme. Voici quelques exemples de programmes que vous pourriez être amené à débloquer :

  • Programmes de niche spécifiques présentant très peu d'utilisateurs
  • Programmes avec mise à jour automatique à partir du site web du fournisseur sans interaction de l'utilisateur
  • Programmes dont les fonctions sont réparties dans des centaines de bibliothèques chargées en mémoire et bloquées lorsqu'elles sont utilisées par l'utilisateur à partir des menus du programme
  • Programmes fonctionnant selon un modèle client-serveur, où le côté client est hébergé sur une ressource réseau partagée
  • Logiciel polymorphe générant dynamiquement des fichiers exécutables

Caution: Les paramètres de logiciels autorisés vous permettent d'approuver l'exécution de fichiers binaires exécutables, de fichiers de script d'exclusion, de .DLL autonomes et d'autres fichiers. Si Endpoint Security bloque un programme parce qu'il télécharge une .DLL inconnue, vous pouvez autoriser le fichier exécutable spécifié dans le message contextuel affiché sur l'ordinateur de l'utilisateur. Une fois le programme autorisé, tous les fichiers .DLL et les ressources qu'il utilise sont également autorisés. Ce même comportement s'applique aux fichiers provenant d'un programme d'installation .MSI autorisé ou d'un fichier .EXE auto-extractible. Les processus créés par le .MSI ou le .EXE sont également autorisés.

Après avoir analysé un programme, Endpoint Security le classifie comme goodware ou logiciel malveillant. Si le programme représente une menace, il est bloqué, quel que soit son état d'autorisation dans ces paramètres.

Paramètres de Logiciels Autorisés Hérités

Par défaut, vous ne pouvez pas modifier ou supprimer les paramètres de logiciel autorisé hérités de votre Service Provider. Lorsque le Service Provider configure la liste des logiciels autorisés comme étant modifiable, le profil de paramètres affiche une étiquette Paramètres Modifiables. Dans ce cas, vous pouvez ajouter des logiciels autorisés mais vous ne pouvez pas supprimer ou modifier la liste de logiciels définis par le Service Provider.

Si votre Service Provider modifie l'état des paramètres de modifiable à non modifiable, le logiciel autorisé que vous avez ajouté ne s'applique plus. Seul le logiciel du Service Provider s'applique. Si le Service Provider modifie à nouveau la configuration pour qu'elle soit modifiable, le logiciel autorisé que vous avez ajouté est restauré et appliqué.

Configurer les Paramètres de Logiciels Autorisés

Votre rôle d'opérateur détermine ce que vous pouvez afficher et faire dans WatchGuard Cloud. Votre rôle doit disposer de la permission Configurer les Logiciels Autorisés pour afficher ou configurer cette fonctionnalité. Pour de plus amples informations, accédez à Gérer les Opérateurs et Rôles de WatchGuard Cloud.

Pour configurer les paramètres de logiciels autorisés :

  1. Dans WatchGuard Cloud, sélectionnez Configurer > Endpoints.
  2. Sélectionnez Configuration.
  3. Dans le volet gauche, sélectionnez Logiciels Autorisés.
  4. Sélectionnez le profil de paramètres de sécurité existant à modifier, copiez un profil existant ou, en haut à droite de la fenêtre, cliquez sur Ajouter pour créer un nouveau profil.
    La page Ajouter des Paramètres ou Modifier la Configuration s'ouvre.

Screen shot of WatchGuard Endpoint Security, Authorized Software settings

  1. Saisissez si nécessaire le Nom et la Description du profil.
    Nous vous recommandons de saisir un nom descriptif tel que Exclure MD5, Exclure la version du programme ou Chemin exclu.
  2. Pour créer une nouvelle règle, cliquez sur Autoriser des Programmes.
    La boîte de dialogue Autoriser des Programmes s'ouvre.

Screen shot of Endpoint Security Authorize Programs dialog box

  1. Pour spécifier l'exécutable du programme avec un code de hachage MD5, sélectionnez MD5 ou SHA-256.
  2. Dans la zone de texte, saisissez les hachages MD5 ou SHA-256 du programme que vous souhaitez ajouter.
    Par exemple, pour MD5, vous pouvez saisir 938c2cc0dcc05f2b68c4287040cfcf71. Pour de plus amples informations, accédez à Calculer le MD5 ou SHA-256 d'Un ou Plusieurs Fichiers.
  3. Pour spécifier le programme que vous souhaitez ajouter via ses propriétés, sélectionnez Propriétés du Programme.
    • Signature — Signature numérique SHA-1 du fichier. Pour de plus amples informations, accédez à Obtenir l'Empreinte d'un Programme Signé.
    • Nom du Produit — Valeur du nom du produit figurant dans l'en-tête du fichier que vous souhaitez débloquer. Pour consulter le nom du produit, faites un clic droit sur le fichier du programme puis sélectionnez Propriétés > Détails.
    • Chemin de Fichier — Chemin d'accès du programme sur le serveur ou la station de travail. Les variables d'environnement système sont acceptées. Les exclusions de logiciel autorisé n'excluent aucun sous-répertoire dans un répertoire exclu. Vous devez spécifier chaque chemin de fichier. Par exemple, C:\panda inclut uniquement les fichiers à ce niveau du répertoire.
    • Nom de Fichier — Nom du fichier que vous souhaitez débloquer. Les caractères génériques * et ? sont acceptés.
    • Version de Fichier — Version de l'en-tête du fichier que vous souhaitez débloquer. Pour consulter la version, faites un clic droit sur le fichier du programme puis sélectionnez Propriétés> Détails.. Par exemple, vous pouvez saisir la version exacte 0.1.777.0.
  4. Cliquez sur Autoriser.
  5. Cliquez sur Enregistrer.
  6. Sélectionnez le profil puis attribuez si nécessaire des destinataires.
    Pour de plus amples informations, accédez à Attribuer un Profil de Paramètres.

Calculer le MD5 ou SHA-256 d'Un ou Plusieurs Fichiers

Il existe de nombreux outils permettant de calculer le MD5 ou SHA-256 d'un fichier. Cette section décrit comment utiliser l'outil PowerShell de Windows 10.

  1. Dans l'Explorateur de Fichiers, ouvrez le dossier contenant les fichiers.
  2. Sélectionnez Fichier > Ouvrir Windows PowerShell.
    Une fenêtre affichant la ligne de commande s'ouvre.

Screen shot of the PowerShell window

  1. Saisissez la commande suivante et remplacez $files par le chemin du fichier. Les caractères génériques * et ? sont acceptés.
    1. Pour md5 : PS c:\folder> Get-FileHash -Algorithm md5 -path $files
    2. Pour SHA-256 : PS c:\folder> Get-FileHash -Algorithm SHA256 -path $files
  1. Pour copier les hachages dans le presse-papiers, appuyez sur la touche Alt et maintenez-la enfoncée puis sélectionnez les hachages avec le pointeur de la souris. Appuyez sur Ctrl + C.
  2. Pour coller tous les hachages du presse-papiers dans l'UI de gestion d'Endpoint Security, cliquez sur le champ MD5 ou SHA-256 de la règle de logiciel autorisé puis appuyez sur Ctrl + V.
  3. Cliquez sur Autoriser.
  4. Cliquez sur Enregistrer.
    Les paramètres de logiciels autorisés sont mis à jour.

Obtenir l'Empreinte d'un Programme Signé

  1. Ouvrez Windows PowerShell.
  2. Accédez au répertoire où se trouve le programme signé.
  3. Exécutez la commande Get-AuthenticodeSignature -FilePath ApplicationName.exe, où ApplicationName est le nom du programme signé.
  4. Sélectionnez la chaîne de caractères et copiez-la dans le presse-papiers Windows.
  5. Ouvrez un document texte et collez la chaîne dans le document.
  6. Supprimez les espaces supplémentaires entre les caractères.
  7. Copiez la chaîne sans espaces.
  8. Dans la boîte de dialogue Autoriser des Programmes, sélectionnez Propriétés du Programme.
  9. Dans la zone de texte Signature, collez la chaîne sans espaces supplémentaires.

Screenshot of Authorize Programs, Signature text box

  1. Cliquez sur Autoriser.
  2. Cliquez sur Enregistrer.
    Les paramètres de logiciels autorisés sont mis à jour.

Rubriques Connexes

Gérer les Profils de Paramètres

Exclure des Fichiers et des Chemins d'Accès de Fichiers des Analyses

Créer des Exclusions dans WatchGuard Endpoint Security

Protection Avancée – Modes de Fonctionnement (Ordinateurs Windows)