Novell Confidential Manual (FRA) 6 October 2004
40
Contrôle des processus malveillants
Vous pouvez configurer Novell
®
Application Launcher
TM
(programme de lancement d'applicatifs) pour qu'il gère les processus malveillants. Les processus malveillants sont des processus qui ne sont démarrés ni par le programme de lancement d'applicatifs ni par l'utilisateur LocalSystem.
Les sections suivantes fournissent des informations pour vous aider à comprendre et à implémenter la gestion des processus malveillants :
« Présentation de la gestion des processus malveillants », page 367
« Fonctionnement de la gestion des processus malveillants », page 368
« Configuration de la gestion des processus malveillants », page 368
Présentation de la gestion des processus malveillants
Pour vous aider à gérer les processus malveillants, le programme de lancement d'applicatifs peut effectuer les opérations suivantes :
Suivre et consigner l'utilisation des processus malveillants.
Ignorer tous les processus malveillants (autoriser leur exécution).
Mettre fin à tous les processus malveillants.
Appliquer une liste des exceptions. Si les processus malveillants sont ignorés, les processus inclus dans la liste des exceptions sont fermés. Si les processus malveillants sont fermés, les processus inclus dans la liste des exceptions sont ignorés.
Par exemple, si vous souhaitez seulement suivre les processus malveillants, vous pouvez configurer le programme de lancement d'applicatifs de sorte qu'il consigne les informations de processus malveillants dans un fichier texte sur un serveur réseau tout en autorisant néanmoins l'exécution de ces processus. Si, cependant, vous souhaitez arrêter l'utilisation des processus malveillants, vous pouvez configurer le programme de lancement d'applicatifs afin qu'il consigne les informations de processus et qu'il mette également fin aux processus.
Lorsque vous activez la gestion des processus malveillants, en fonction des paramètres de configuration que vous utilisez, le programme de lancement d'applicatifs ignore ou ferme tous les processus malveillants. Cependant, si vous souhaitez que le programme de lancement d'applicatifs ignore ou ferme uniquement certains processus malveillants, vous pouvez créer une liste des exceptions.
Par exemple, si vous souhaitez autoriser tous les processus malveillants à l'exception des jeux
Windows standard (Solitaire, Démineur, Freecell et Pinball), vous pouvez configurer le programme de lancement d'applicatifs afin qu'il ignore tous les processus malveillants et qu'il crée une liste des exceptions qui inclut les quatre jeux Windows. Le programme de lancement d'applicatifs autorise alors tous les processus malveillants à l'exception des quatre jeux.
Contrôle des processus malveillants
367
Novell Confidential Manual (FRA) 6 October 2004
Pour être certain que l'utilisateur ne peut pas outrepasser la liste des exceptions en renommant les fichiers exécutables des jeux, le programme de lancement d'applicatifs compare le nom de l'exécutable actuel des processus lancés et le nom de fichier d'origine (nom de fichier interne) avec la liste des exceptions.
Fonctionnement de la gestion des processus malveillants
Le système d'exploitation Windows suit tous les processus en cours d'exécution. Vous pouvez en visualiser la liste en affichant l'onglet Processus dans le Gestionnaire des tâches de Windows
(cliquez avec le bouton droit sur la Barre des tâches, puis cliquez sur Gestionnaire des tâches >
Processus).
Chaque processus possède un identificateur de processus (PID, process identifier) et un identificateur du processus parent (PID parent ou PPID, parent process identifier). Le PID parent identifie le processus qui le lance. Le programme de lancement d'applicatifs utilise une API
Windows pour récupérer la liste des processus, comprenant les PID et les PID parents, toutes les trois secondes. À l'aide des PID parents, le programme de lancement d'applicatifs peut savoir si les processus sont malveillants ou non. Si le PID parent n'est pas le PID du programme de lancement d'applicatifs ou si le processus n'est pas exécuté en tant qu'utilisateur LocalSystem, il s'agit alors d'un processus malveillant.
Une fois que le programme de lancement d'applicatifs a vérifié les processus malveillants, il effectue les opérations de gestion appropriées : soit il ignore les processus, soit il les ferme, tout en tenant compte des processus identifiés dans la liste des exceptions. Si l'option de consignation est activée, le programme écrit également les informations de processus malveillants dans le fichier journal.
Configuration de la gestion des processus malveillants
La gestion des processus malveillants est activée et configurée via le registre Windows.
Les sections suivantes expliquent comment modifier manuellement le registre sur les postes de travail Windows 98 et Windows 2000/XP et comment créer un objet Application pour distribuer les modifications du registre via le programme de lancement d'applicatifs :
« Modification manuelle du registre », page 368
« Création d'un objet Application pour distribuer les modifications du registre », page 370
Modification manuelle du registre
1
2
Utilisez regedit.exe pour ouvrir le registre Windows.
Localisez la clé suivante :
3
HKEY_CURRENT_USER\Software\NetWare\NAL\1.0
Ajoutez une clé de gestion de processus sous la clé 1.0 :
4
HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process Management
Ajoutez une valeur Default Action (Opération par défaut) à la clé de gestion de processus à l'aide des informations suivantes :
Type de la valeur : DWORD
Nom de la valeur : Default Action (Opération par défaut)
Données de la valeur : Pour que le programme de lancement d'applicatifs ignore tous les processus malveillants, tapez 0. Pour qu'il les ferme, tapez 1.
368 Guide d’administration de ZENworks 6.5 Desktop Management
Novell Confidential Manual (FRA) 6 October 2004
5
Ajoutez une valeur Report Terminated (Rapport interrompu) à la clé de gestion de processus
à l'aide des informations suivantes :
Type de la valeur : DWORD
Nom de la valeur : Report Terminated (Rapport interrompu)
Données de la valeur : Pour désactiver la création de rapport pour les processus malveillants fermés par le programme de lancement d'applicatifs, tapez 0. Pour l'activer, tapez 1.
6
Ajoutez une valeur Report Ignored (Rapport ignoré) à la clé de gestion de processus à l'aide des informations suivantes :
Type de la valeur : DWORD
Nom de la valeur : Report Ignored (Rapport ignoré)
Données de la valeur : Pour désactiver la création de rapport pour les processus malveillants ignorés par le programme de lancement d'applicatifs, tapez 0. Pour l'activer, tapez 1.
7
Si vous avez activé la création de rapport en ajoutant une valeur Report Terminated ou Report
Ignored, vous devez déterminer à quel emplacement les rapports doivent être envoyés. Pour ce faire :
7a
Ajoutez une clé Reporting Targets (Destination des rapports) à la clé de gestion de processus :
7b
HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process
Management\Reporting Targets
Pour configurer la création de rapport dans une base de données, ajoutez une valeur
Database (Base de données) à la clé de destination des rapports à l'aide des informations suivantes :
Type de la valeur : DWORD
Nom de la valeur : Base de données
Données de la valeur : Pour désactiver la création de rapport dans une base de données, entrez 0. Pour l'activer, entrez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs écrit dans la base de données déterminée par l'ensemble Règle d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous
à « Activation de la règle Base de données ZENworks », page 388
.
Pour plus d'informations sur les requêtes que vous pouvez utiliser pour générer des rapports à partir de la base de données, reportez-vous à
« Génération de rapports à partir d'une base de données », page 403
.
7c
Pour configurer la création de rapport SNMP, ajoutez une valeur SNMP à la clé de destination des rapports à l'aide des informations suivantes :
Type de la valeur : DWORD
Nom de la valeur : SNMP
Données de la valeur : Pour désactiver la création de rapport SNMP, entrez 0. Pour l'activer, entrez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs envoie aux cibles de la trappe SNMP déterminées par l'ensemble Règle d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous
à « Activation de la règle Cibles de trappes SNMP », page 391
.
7d
Pour configurer la création de rapport XML, ajoutez une valeur XML à la clé de destination des rapports à l'aide des informations suivantes :
Type de la valeur : DWORD
Nom de la valeur : XML
Contrôle des processus malveillants
369
Novell Confidential Manual (FRA) 6 October 2004
Données de la valeur : Pour désactiver la création de rapport XML, entrez 0. Pour l'activer, entrez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs envoie aux cibles XML déterminées par l'ensemble Règle d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous à
« Activation de la règle Cibles de trappes SNMP », page 391 .
requêtes que vous pouvez utiliser pour générer des rapports à partir de la base de données.
7e
Pour configurer la création de rapport dans un fichier journal, ajoutez une valeur File
(Fichier) à la clé de destination des rapports à l'aide des informations suivantes :
Type de la valeur : String (Chaîne)
Nom de la valeur : Fichier
Données de la valeur : Spécifiez le chemin d'accès complet avec le nom de fichier à utiliser pour le fichier journal. Il peut s'agir d'une unité assignée ou d'un chemin UNC d'une unité locale ou réseau. Par exemple, \\server1\vol1\process\rogue.txt. Si vous n'entrez aucune valeur, la création de rapport dans un fichier journal est désactivée.
Pour plus d'informations sur la présentation des informations écrites dans le fichier journal, reportez-vous à
« Présentation des rapports créés dans un fichier journal », page 407 .
8
Si vous souhaitez utiliser une liste des exceptions, créez une clé de liste des exceptions sous la clé de gestion de processus :
HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process Management\Exception
List
Le paramètre Default Action (Opération par défaut) (
) détermine le type de traitement des processus ajoutés à la liste des exceptions. Si Default Action (Opération par défaut) a la valeur 0 (ignorer les processus), tous les processus ajoutés à la liste des exceptions sont fermés plutôt qu'ignorés. Si Default Action (Opération par défaut) a la valeur 1 (mettre fin aux processus), tous les processus ajoutés à la liste des exceptions sont ignorés plutôt que fermés.
9
Ajoutez une valeur de chaîne à la clé de liste des exceptions pour chaque processus à ajouter
à la liste.
Type de la valeur : DWORD
Nom de la valeur : Entrez le nom de fichier du processus. Vous pouvez entrer soit le nom du fichier exécutable affiché, soit le nom de fichier d'origine. Si le processus possède un nom de fichier d'origine, il s'affiche sous l'onglet Version de la boîte de dialogue Propriétés de l'exécutable (cliquez avec le bouton droit sur le fichier exécutable > cliquez sur Propriétés > cliquez sur Version). N'entrez pas le chemin d'accès au fichier, seulement le nom du fichier.
Données de la valeur : N'entrez rien dans ce champ.
10
Enregistrez les modifications apportées au registre.
Création d'un objet Application pour distribuer les modifications du registre
1
Dans ConsoleOne
®
, créez un objet Application simple (reportez-vous au Chapitre 27,
« Distribution : applications simples », page 271 si nécessaire), à l'aide des
informations suivantes :
Nom de l'objet : Spécifiez un nom unique pour l'objet eDirectory (par exemple, Gestion des processus malveillants).
Chemin d'accès au fichier exécutable : Ne spécifiez rien dans ce champ.
370 Guide d’administration de ZENworks 6.5 Desktop Management
Novell Confidential Manual (FRA) 6 October 2004
Règles de distribution : Si vous souhaitez appliquer des règles spécifiques avant de distribuer les modifications du registre sur un poste de travail, définissez les règles. Vous pouvez également le faire ultérieurement.
Associations : Sélectionnez les utilisateurs ou les postes de travail auxquels vous souhaitez distribuez les modifications. Vous pouvez également le faire ultérieurement.
2
Après la création de l'objet Application, cliquez avec le bouton droit sur l'objet, puis cliquez sur Propriétés pour afficher les pages de propriétés de l'objet.
3
4
Cliquez sur Options de distribution, puis sur Registre pour afficher la page Registre.
Créez la clé de registre suivante :
HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process Management
Pour créer la clé :
4a
Sélectionnez la clé HKEY_CURRENT_USER, cliquez sur Ajouter, puis sur Clé pour ajouter une nouvelle entrée appelée Nouvelle clé.
4b
4c
Renommez la clé en Software (Logiciel).
Répétez le processus décrit aux etape 4a
et
pour créer la structure complète de la clé.
5
Ajoutez une valeur Default Action (Opération par défaut) à la clé de gestion de processus.
Pour ce faire :
5a
Sélectionnez la clé de gestion de processus, cliquez sur Ajouter, puis sur DWORD pour afficher la boîte de dialogue Éditer une valeur DWORD, et enfin remplissez les champs comme suit :
Nom de la valeur : Default Action (Opération par défaut)
6b
Données de la valeur : Pour que le programme de lancement d'applicatifs ignore tous les processus malveillants, tapez 0. Pour qu'il les ferme, tapez 1.
5b
Cliquez sur OK pour ajouter la valeur Default Action (Opération par défaut) à la clé de gestion de processus.
6
Ajoutez une valeur Report Terminated (Rapport interrompu) à la clé de gestion de processus.
Pour ce faire :
6a
Sélectionnez la clé de gestion de processus, cliquez sur Ajouter, puis sur DWORD pour afficher la boîte de dialogue Éditer une valeur DWORD, et enfin remplissez les champs comme suit :
Nom de la valeur : Report Terminated (Rapport interrompu)
Données de la valeur : Pour désactiver la création de rapport pour les processus malveillants fermés par le programme de lancement d'applicatifs, tapez 0. Pour l'activer, tapez 1.
Cliquez sur OK pour ajouter la valeur Report Terminated (Rapport interrompu) à la clé de gestion de processus.
7
Ajoutez une valeur Report Ignored (Rapport ignoré) à la clé de gestion de processus. Pour ce faire :
7a
Sélectionnez la clé de gestion de processus, cliquez sur Ajouter, puis sur DWORD pour afficher la boîte de dialogue Éditer une valeur DWORD, et enfin remplissez les champs comme suit :
Nom de la valeur : Report Ignored (Rapport ignoré)
Données de la valeur : Pour désactiver la création de rapport pour les processus malveillants ignorés par le programme de lancement d'applicatifs, tapez 0. Pour l'activer, tapez 1.
Contrôle des processus malveillants
371
Novell Confidential Manual (FRA) 6 October 2004
7b
Cliquez sur OK pour ajouter la valeur Report Ignored (Rapport ignoré) à la clé de gestion de processus.
8
Si vous avez activé la création de rapport en ajoutant une valeur Report Terminated ou Report
Ignored, vous devez déterminer à quel emplacement les rapports doivent être envoyés. Pour ce faire :
8a
Ajoutez une clé Reporting Targets (Destination des rapports) à la clé de gestion de processus :
HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process
Management\Reporting Targets
8b
Pour configurer la création de rapport dans une base de données, ajoutez une valeur
Database (Base de données) à la clé de destination des rapports à l'aide des informations suivantes :
Type de la valeur : DWORD
Nom de la valeur : Base de données
Données de la valeur : Pour désactiver la création de rapport dans une base de données, entrez 0. Pour l'activer, entrez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs écrit dans la base de données déterminée par l'ensemble Règle d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous
à « Activation de la règle Base de données ZENworks », page 388
.
Pour plus d'informations sur les requêtes que vous pouvez utiliser pour générer des rapports à partir de la base de données, reportez-vous à
« Génération de rapports à partir d'une base de données », page 403
.
8c
Pour configurer la création de rapport SNMP, ajoutez une valeur SNMP à la clé de destination des rapports à l'aide des informations suivantes :
Type de la valeur : DWORD
Nom de la valeur : SNMP
Données de la valeur : Pour désactiver la création de rapport SNMP, entrez 0. Pour l'activer, entrez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs envoie aux cibles de la trappe SNMP déterminées par l'ensemble Règle d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous
à « Activation de la règle Cibles de trappes SNMP », page 391
.
8d
Pour configurer la création de rapport XML, ajoutez une valeur XML à la clé de destination des rapports à l'aide des informations suivantes :
Type de la valeur : DWORD
Nom de la valeur : XML
Données de la valeur : Pour désactiver la création de rapport XML, entrez 0. Pour l'activer, entrez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs envoie aux cibles XML déterminées par l'ensemble Règle d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous à
« Activation de la règle Cibles de trappes SNMP », page 391 .
requêtes que vous pouvez utiliser pour générer des rapports à partir de la base de données.
372 Guide d’administration de ZENworks 6.5 Desktop Management
Novell Confidential Manual (FRA) 6 October 2004
8e
Pour configurer la création de rapport dans un fichier journal, ajoutez une valeur File
(Fichier) à la clé de destination des rapports à l'aide des informations suivantes :
Type de la valeur : String (Chaîne)
Nom de la valeur : Fichier
Données de la valeur : Spécifiez le chemin d'accès complet avec le nom de fichier à utiliser pour le fichier journal. Il peut s'agir d'une unité assignée ou d'un chemin UNC d'une unité locale ou réseau. Par exemple, \\server1\vol1\process\rogue.txt. Si vous n'entrez aucune valeur, la création de rapport dans un fichier journal est désactivée.
Pour plus d'informations sur la présentation des informations écrites dans le fichier journal, reportez-vous à
« Présentation des rapports créés dans un fichier journal », page 407 .
9
Si vous souhaitez utiliser une liste des exceptions, créez une clé de liste des exceptions sous la clé de gestion de processus :
HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process Management\Exception
List
Le paramètre Default Action (Opération par défaut) (
) détermine le type de traitement des processus ajoutés à la liste des exceptions. Si Default Action (Opération par défaut) a la valeur 0 (ignorer les processus), tous les processus ajoutés à la liste des exceptions sont fermés plutôt qu'ignorés. Si Default Action (Opération par défaut) a la valeur 1 (mettre fin aux processus), tous les processus ajoutés à la liste des exceptions sont ignorés plutôt que fermés.
10
Ajoutez une valeur de chaîne à la clé de liste des exceptions pour chaque processus à ajouter
à la liste. Pour ce faire :
10a
Sélectionnez la clé de liste des exceptions, cliquez sur Ajouter, puis sur DWORD pour afficher la boîte de dialogue Éditer une valeur DWORD, et enfin remplissez les champs comme suit :
Nom de la valeur : Entrez le nom de fichier du processus. Vous pouvez entrer soit le nom du fichier exécutable affiché, soit le nom de fichier d'origine. Si le processus possède un nom de fichier d'origine, il s'affiche sous l'onglet Version de la boîte de dialogue
Propriétés de l'exécutable (cliquez avec le bouton droit sur le fichier exécutable, cliquez sur Propriétés, puis sur Version). N'entrez pas le chemin d'accès au fichier, seulement le nom du fichier.
Données de la valeur : N'entrez rien dans ce champ.
11
10b
Cliquez sur OK pour ajouter la valeur à la clé de liste des exceptions.
Cliquez sur l'onglet Associations pour afficher la page Associations.
12
Ajoutez les utilisateurs et les postes de travail auxquels vous souhaitez distribuer les modifications. Pour s'assurer que les modifications sont effectuées sans faire intervenir l'utilisateur, cochez l'option Forcer l'exécution pour chaque association.
13
Cliquez sur OK pour enregistrer les modifications apportées à l'objet Application.
Les modifications du registre sont distribuées aux utilisateurs associés lors du prochain rafraîchissement du programme de lancement d'applicatifs et aux postes de travail associés lors du prochain rafraîchissement du composant Workstation Helper du programme de lancement d'applicatifs.
Contrôle des processus malveillants
373
Novell Confidential Manual (FRA) 6 October 2004
374 Guide d’administration de ZENworks 6.5 Desktop Management
Публичная ссылка обновлена
Публичная ссылка на ваш чат обновлена.