Documentation produit
Workspace Environment Management
Service Current Release 2402 2311 2308 2305 2303 2212 2209 2206 2203
Voir PDF

Sécurité

October 15, 2024
Contributeur: 
C

Sécurité des applications

La fonctionnalité de sécurité des applications vous permet de définir des règles pour contrôler les applications et les fichiers que les utilisateurs peuvent exécuter. Vous pouvez configurer les règles de sécurité des applications dans la console Web et fournir un outil permettant de récupérer les informations nécessaires à la configuration des règles. Vous pouvez également utiliser cette fonctionnalité pour créer des groupes d’affectation dotés de règles de sécurité. Lorsque les options Traiter les règles d’application et Traiter les règles de DLL sont activées, le mode Remplacer est activé par défaut. En mode Remplacer, les règles traitées à la fin remplacent les règles qui ont été traitées précédemment. Nous vous recommandons d’appliquer ce mode uniquement aux machines à session unique. Cette fonctionnalité vous permet également de créer les règles suivantes :

  • Règles exécutables
  • Règles du programme d’installation de Windows
  • Règles de script
  • Règles des applications packagées
  • Règles de DLL

Remarque :

Avant de créer des règles, nous vous recommandons d’ajouter les règles par défaut pour vous assurer que les fichiers système importants peuvent s’exécuter.

Créer une règle d’installation pour Windows

Cela inclut deux éléments de menu, Informations de base et Exceptions. Pour créer une règle d’installation Windows, procédez comme suit sous Informations de base et Exceptions :

  • Si vous sélectionnez Créer une règle, vous êtes redirigé vers la page Créer une règle pour le programme d’installation de Windows.
  • Entrez le nom et une description facultative.
  • Choisissez l’action souhaitée.
  • Sélectionnez le type de critère tel que Path, Publisherou File hash dans la liste déroulante.
  • La sélection de l’afficheur d’informations sur les fichiers ouverts vous dirige vers WEM Tool Hub. Utilisez WEM Tool Hub** pour obtenir rapidement les informations requises. Pour plus d’informations, consultez la section Visionneuse d’informations sur les fichiers.
  • Vous pouvez éventuellement ajouter des exceptions pour inclure les fichiers qui sont normalement inclus dans la règle en fonctionnalité des critères principaux. Pour effectuer cette tâche, sélectionnez Ajouter une exception.
  • Accédez à WEM Tool Hub pour copier les données à partir de l’un des critères spécifiés sous File Info Viewer, puis cliquez sur Coller depuis File Info Viewer.
  • Cliquez sur Terminé.
  • Sélectionnez Continuer vers l’attribution pour mettre à jour les tâches selon les besoins sur la page Gérer les tâches.
  • Sélectionnez Objectifs d’affectation (utilisateurs et groupes) auxquels attribuer cet élément. Utilisez des filtres pour contextualiser le devoir. Les filtres que vous spécifiez ne sont efficaces qu’en mode Remplacer et ne sont pris en charge que sur les versions d’agent 2406 ou ultérieures.
  • Entrez un astérisque si vous souhaitez qu’une règle spécifique soit appliquée à tous les fichiers.

Élévation des privilèges

Cette fonctionnalité définit des règles pour exécuter certains programmes avec des privilèges d’administrateur. Vous pouvez élever les privilèges des utilisateurs non administrateurs au niveau d’administrateur nécessaire pour certains exécutables. Par conséquent, les utilisateurs peuvent démarrer ces exécutables comme s’ils étaient membres du groupe d’administrateurs.

Options d’élévation de privilèges

  • Traiter les règles d’élévation de privilèges : lorsque cette option est sélectionnée, les agents peuvent traiter les paramètres d’élévation de privilèges et d’autres options de l’onglet Élévation de privilèges deviennent disponibles.

  • Appliquer aux systèmes d’exploitation Windows Server : contrôle s’il faut appliquer des paramètres d’élévation de privilèges aux systèmes d’exploitation Windows Server. Si cette option est sélectionnée, les règles attribuées aux utilisateurs fonctionnent sur les ordinateurs Windows Server. Par défaut, cette option est désactivée.

  • Appliquer RunAsInvoker : Contrôle s’il faut forcer tous les exécutables à s’exécuter sous le compte Windows actuel. Si cette option est sélectionnée, les utilisateurs ne sont pas invités à exécuter des exécutables en tant qu’administrateurs.

Ce volet affiche également la liste complète des règles que vous avez configurées. Cliquer Règles exécutables, Règles Windows Installerou Auto-élévation pour filtrer la liste des règles sur un type de règle spécifique. Vous pouvez utiliserRechercherpour filtrer la liste. La colonne attribuée affiche une icône de coche pour les utilisateurs ou les groupes d’utilisateurs affectés.

Règles prises en charge

Vous pouvez configurer l’élévation de privilèges à l’aide de deux types de règles : les règles exécutables et les règles d’installation Windows.

  • Règles exécutables: règles qui incluent des fichiers avec des extensions .exe et .com associées à une application.

  • Règles Windows Installer: règles qui incluent des fichiers d’installation avec .Msi et .Msp extensions associées à une application. Lorsque vous ajoutez des règles d’installation Windows, envisagez le scénario suivant :

    • L’élévation des privilèges s’applique uniquement au fichier msiexec.exe de Microsoft. Assurez-vous que l’outil que vous utilisez pour déployer .msi et les fichiers .msp Windows Installer est msiexec.exe.
    • Supposons qu’un processus corresponde à une règle Windows Installer spécifiée et que son processus parent corresponde à une règle exécutable spécifiée. Le processus ne peut pas obtenir de privilèges élevés à moins que le paramètre Appliquer aux processus enfants soit activé dans la règle exécutable spécifiée.

  • Auto-élévation: Lorsqu’il est activé, le Exécuter avec des privilèges d’administrateur est disponible dans le menu contextuel lorsque vous cliquez avec le bouton droit de la souris sur un fichier. Après avoir sélectionné cette option, vous êtes invité à fournir une raison pour l’altitude. L’altitude est alors autorisée ou refusée, en fonction des critères que vous spécifiez. Pour configurer la règle, vous pouvez utiliser l’icône Centre d’outils WEM > Visionneuse d’informations sur les fichiers pour obtenir rapidement les informations requises telles que le chemin d’accès, l’éditeur et les valeurs de hachage. Vous pouvez également spécifier la période, choisir le jour de la semaine et, éventuellement, définir les critères permettant de déterminer les machines sur lesquelles la règle est effective. Lorsque le Auto-élévation Toggle est activé pour la première fois dans un jeu de configuration, la règle d’auto-élévation est créée et se trouve dans la liste des règles lors de la gestion des affectations pour une cible d’assignation. La règle n’est jamais supprimée après sa création.

Après avoir sélectionné l’icône Règles exécutablesle Règles Windows Installer, ou le Auto-élévation règles, le Actions affiche les actions suivantes à votre disposition :

  • Modifier. Permet de modifier une règle exécutable existante.

  • Supprimer. Permet de supprimer une règle exécutable existante.

  • Créer une règle. Permet de créer une règle exécutable. Pour créer une règle exécutable, suivez les instructions de l’assistant.

Sécurité
October 15, 2024
Contributeur: 
C
October 15, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.