Stratégie de terminal : paramètres de contrôle de script

Les paramètres de contrôle de script spécifient la manière dont l'agent Aurora Protect Desktop gère l'exécution des scripts sur les terminaux Windows.

Paramètre

Description

Contrôle de script

Vous devez activer cette option pour configurer les paramètres de contrôle de script.

Vous pouvez sélectionner l'une des actions de mode de contrôle suivantes pour chaque type de script :
  • Désactivé : permet d'exécuter tous les scripts et ne les signale pas à la console de gestion. Ce paramètre est déconseillé.
  • Alerter : permet d'exécuter tous les scripts et les signale à la console de gestion. Utilisez ce paramètre lorsque vous souhaitez surveiller et observer tous les scripts en cours d'exécution dans votre environnement. Recommandé pour le déploiement initial lorsque vous déterminez les scripts que vous souhaitez autoriser ou bloquer.
  • Bloquer : empêche l'exécution de tous les scripts et les signale à la console de gestion. Seuls les fichiers ajoutés à la liste d'exclusion sont autorisés à s'exécuter. Utilisez ce paramètre après avoir testé et contrôlé les menaces en mode alerte.

Les paramètres de script actif et PowerShell incluent des options de contrôle de script améliorées supplémentaires. Pour plus d'informations, reportez-vous aux lignes appropriées ci-dessous.

Vous pouvez trouver des évènements d'alerte et de bloc de contrôle de script dans Protection > Contrôle de script.

Script actif

Contrôle la manière dont l'agent gère les scripts actifs, notamment VBScript et JScript.

Les modes de contrôle suivants sont disponibles pour les scripts actifs en plus des modes Désactivé, Alerte et Bloquer. Ces paramètres nécessitent l'agent 3.2 ou version ultérieure (si le terminal exécute un agent antérieur, le script sera bloqué par défaut) :
  • Bloquer les scripts dangereux : si le script ne figure pas déjà dans la liste d'exclusion, l'agent reçoit un indice de menace des services cloud Aurora Protect. S'il s'agit d'un indice de menace dangereuse, l'exécution du script est bloquée. Les fichiers dangereux ressemblent beaucoup à des logiciels malveillants. Les scripts non notés et anormaux sont signalés à la console de gestion, mais ils ne sont pas bloqués.
  • Bloquer les scripts anormaux et dangereux : si le script ne figure pas dans la liste d'exclusion, l'agent reçoit un indice de menace des services cloud Aurora Protect et, s'il s'agit d'un indice de menace anormale ou dangereuse, l'exécution du script est bloquée. Les fichiers anormaux présentent des attributs semblables à ceux d'un logiciel malveillant, mais sont moins susceptibles d'être des logiciels malveillants qu'un fichier dangereux. Les scripts non notés sont signalés sur la console, mais ils ne sont pas bloqués.

PowerShell

Contrôle la manière dont l'agent gère les scripts PowerShell.

Les modes de contrôle suivants sont disponibles pour les scripts PowerShell en plus des modes Désactivé, Alerte et Bloquer. Ces paramètres nécessitent l'agent 3.2 ou version ultérieure (si le terminal exécute un agent antérieur, le script sera bloqué par défaut) :
  • Bloquer les scripts dangereux : si le script ne figure pas déjà dans la liste d'exclusion, l'agent reçoit un indice de menace des services cloud Aurora Protect. S'il s'agit d'un indice de menace dangereuse, l'exécution du script est bloquée. Les fichiers dangereux ressemblent beaucoup à des logiciels malveillants. Les scripts non notés et anormaux sont signalés à la console de gestion, mais ils ne sont pas bloqués.
  • Bloquer les scripts anormaux et dangereux : si le script ne figure pas dans la liste d'exclusion, l'agent reçoit un indice de menace des services cloud Aurora Protect et, s'il s'agit d'un indice de menace anormale ou dangereuse, l'exécution du script est bloquée. Les fichiers anormaux présentent des attributs semblables à ceux d'un logiciel malveillant, mais sont moins susceptibles d'être des logiciels malveillants qu'un fichier dangereux. Les scripts non notés sont signalés sur la console, mais ils ne sont pas bloqués.

Console PowerShell

Contrôle la manière dont l'agent gère la console PowerShell. Le blocage de la console PowerShell fournit une sécurité supplémentaire en empêchant son utilisation en mode interactif.

Le mode de contrôle Alerte nécessite l'agent Aurora Protect Desktop version 3.2 ou ultérieure. Pour les agents qui ne prennent pas en charge le mode Alerte, l'utilisation de la console PowerShell est autorisée par défaut et aucune alerte n'est générée.

Si le mode de contrôle est défini sur Bloquer et qu'un script lance la console PowerShell, le script échoue. La meilleure pratique pour les scripts est d'invoquer les scripts PowerShell plutôt que la console PowerShell (une commande de base pour exécuter un script PowerShell sans appeler la console est Powershell.exe -file [nom du script]).

Macros

Contrôle la manière dont l'agent gère les macros Microsoft Office. Les macros utilisent Visual Basic for Applications (VBA) qui permet d'incorporer du code à l'intérieur d'un document Microsoft Office. Les créateurs de programmes malveillants peuvent utiliser des macros pour exécuter des commandes et attaquer le système.

Ce paramètre s'applique uniquement à l'agent version 2.1.1578 et versions antérieures. Pour les agents plus récents, utilisez le type de violation de macro VBA dangereuse dans l'onglet Protection de la mémoire. Toute exclusion de macro que vous avez créée précédemment pour le contrôle de script doit être ajoutée aux exclusions de protection de la mémoire pour le type de violation de macro VBA dangereuse.

À partir de Microsoft Office 2013, les macros sont désactivées par défaut. Généralement, vous n'avez pas besoin d'activer les macros pour que les utilisateurs puissent afficher le contenu d'un document Microsoft Office. Activez les macros uniquement pour les documents provenant d'utilisateurs de confiance. Il est recommandé de désactiver les macros.

Python

Contrôle la manière dont l'agent gère les scripts Python versions 2.7 et 3.0 à 3.8.

.NET DLR

Contrôle la manière dont l'agent gère les scripts DLR .NET.

Macros XLM (préversion)
Remarque : La fonctionnalité des macros XLM est actuellement disponible en mode Préversion, où elle peut se comporter de manière inattendue.

Contrôle la manière dont l'agent gère les macros Excel 4.0 (XLM).

Cette fonctionnalité nécessite :
  • Microsoft Windows 10 ou versions ultérieures
  • Agent Aurora Protect Desktop 3.1 ou versions ultérieures
  • Les macros VBA doivent être désactivées dans Excel.

Noter tous les scripts

Lorsque cette option est activée, tous les scripts actifs et les scripts PowerShell sont évalués, même si le mode de contrôle est défini sur Alerte ou Bloquer. Si cette option n'est pas activée, le script actif et les scripts PowerShell ne sont évalués que si le mode de contrôle est défini sur « Bloquer les scripts dangereux » ou « Bloquer les scripts anormaux et dangereux ».

Télécharger le script sur le cloud

Lorsque cette option est activée, une copie du script actif et des scripts PowerShell est chargée vers les services cloud Aurora Protect pour l'analyse et l'évaluation des menaces. Si cette option n'est pas activée, Aurora Protect tente d'obtenir un indice pour le script actif et les scripts PowerShell à l'aide des informations de hachage.

Alerte uniquement en cas d'exécution de scripts suspects

Lorsque cette option est activée, seules les exécutions de script actif ou de script PowerShell qui sont déterminées comme étant dangereuses ou anormales sont signalées à la console de gestion. Si cette option n'est pas activée, l'exécution d'un script actif ou d'un script PowerShell est signalée à la console, qu'une menace soit détectée ou non.

Actions pour les scripts volumineux

Lorsque cette option est activée, l'agent effectue l'action spécifiée lorsqu'une menace est détectée à partir d'un script plus volumineux (par exemple, des scripts PowerShell de plus de 5 Mo) :

  • Ignorer les scripts volumineux : l'agent ne signale pas l'alerte à la console de gestion.
  • Alerter uniquement sur les scripts volumineux : lorsque l'agent détecte un script volumineux, il le signale uniquement à la console et n'effectue aucune autre action.
  • Appliquer les paramètres de stratégie propres à la langue : lorsque l'agent détecte un script volumineux, il signale l'alerte à la console et exécute l'action sélectionnée (mode de contrôle) que vous avez configurée pour chaque type de script.

Exclure les fichiers, scripts ou processus : Ajouter une exclusion

Vous pouvez spécifier des dossiers qui sont exclus du contrôle de script. Tout script exécuté à partir d'un dossier (ou sous-dossier) spécifié n'est pas soumis au mode de contrôle que vous avez configuré et ne génère pas d'alerte.

Vous pouvez ajouter des exclusions pour les processus afin d'autoriser des scripts provenant de certaines applications qui seraient autrement bloqués. Par exemple, si votre service informatique utilise des outils spécifiques pour exécuter des scripts, vous pouvez ajouter le processus de cet outil en tant qu'exclusion afin que des scripts puissent être exécutés.

Spécifiez le chemin relatif du dossier ou du sous-dossier. Le chemin d'accès peut correspondre à un lecteur local, à un lecteur réseau mappé ou à un chemin d'accès de type UNC (Universal Naming Convention).

Exclusion de dossiers et de scripts :
  • Les exclusions de dossiers ne peuvent pas contenir le nom du script ou du fichier de macro. Ces entrées ne sont pas valides et l'agent les ignore.
  • Si le groupe « Tout le monde » de votre organisation a des droits d'écriture sur un dossier, n'importe qui à l'intérieur ou à l'extérieur de l'organisation peut déposer un script dans le dossier et y écrire. Aurora Protect Desktop continuera à envoyer des alertes sur les scripts et à les bloquer. Les autorisations écrites s'appliquent non seulement au dossier parent direct, mais également à tous les dossiers parents, jusqu'à la racine.
  • Si vous souhaitez exclure un script spécifique, vous devez utiliser un caractère générique.
Exclusion de processus :
  • L'exécutable de l'exclusion du processus peut être mis en quarantaine par le contrôle d'exécution et bloqué. Si l'exécutable est mis en quarantaine, vous devez l'ajouter à la liste sécurisée des stratégies.
  • Les exclusions de processus autorisent l'exécution des scripts et ne les empêchent pas de s'exécuter à partir du dossier spécifié.

Reportez-vous aux détails ci-dessous pour savoir comment utiliser des caractères génériques pour les exclusions de fichiers, de scripts ou de processus.

Utilisation de caractères génériques pour les exclusions de fichiers, de scripts ou de processus

Tenez compte des éléments suivants concernant l'utilisation de caractères génériques (*) dans les exclusions de contrôle de script :
  • Seul l'astérisque (*) est pris en charge comme caractère générique pour les exclusions de contrôle de script. Le caractère générique représente un ou plusieurs caractères.
  • Les exclusions doivent utiliser des barres obliques de type Unix (même pour les systèmes Windows), par exemple, /windows/system*/*.
  • Pour exclure un dossier, l'exclusion doit avoir un caractère générique à la fin du chemin pour distinguer l'exclusion en tant que dossier et non en tant que fichier. Par exemple : /windows/system32/test*/*.
  • Lorsque vous souhaitez exclure un fichier, l'exclusion doit se terminer par une extension de fichier pour distinguer l'exclusion en tant que fichier et non en tant que dossier. Par exemple : /windows/system32/script*.vbs.
    • Chaque caractère générique représente un seul niveau de dossier. Le nombre de niveaux de dossiers représentés dans l'exclusion doit correspondre au niveau du fichier que vous essayez d'exclure. Par exemple, /folder/*/script.vbs correspond à \folder\test\script.vbs, mais pas à \folder\test\001\script.vbs. Cela nécessite /folder/*/001/script.vbs ou /folder/*/*/script.vbs.
    • Le caractère générique doit être conservé à chaque niveau jusqu'à l'emplacement du script.
    • Deux caractères génériques ou plus par niveau ne sont pas autorisés. Par exemple, /folder/*file*.ext n'est pas autorisé.
  • Les exclusions de processus avec un caractère générique doivent avoir une extension de fichier pour la distinguer comme une exclusion de processus et non un dossier. Par exemple, /my*.exe (lecteur local),/directory/child/my*.exe (lecteur local), //my*.exe (lecteur réseau),//directory/child/my*.exe (lecteur réseau)
  • Les caractères génériques peuvent réduire votre position de sécurité si vos exclusions sont trop larges. Par exemple, évitez d'exclure des dossiers entiers tels que /windows/temp. Utilisez plutôt un caractère générique lorsque vous spécifiez le nom de fichier complet ou partiel du script que vous souhaitez exclure (par exemple, /windows/temp/myscript*.vbs).
  • Les chemins absolus ne sont pas pris en charge dans les exclusions de contrôle de script.
  • Si vous pouvez identifier un chemin relatif commun, vous pouvez exclure les chemins UNC (Universal Naming Convention) avec un caractère générique. Par exemple, si vous utilisez des noms de terminal dans un chemin tel que « DC01 » à « DC24 » : /dc*/path/to/script/*
  • Les chemins réseau peuvent être exclus. Par exemple, //host*/application/*.
  • Pour des exemples détaillés, consultez la section Exemples d'exclusions du contrôle de script.