Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=unauthorized-file-protection

Stratégie Unauthorized File Protection

Server Lockdown s’appelle désormais Unauthorized File Protection. De nouveaux contrôles pour gérer la fonctionnalité Unauthorized File Protection ont été ajoutés. Ces modifications n’affectent pas les fichiers et dossiers autorisés ou bloqués que vous avez créés dans vos stratégies Server Lockdown existantes. Nous encourageons les clients utilisant actuellement Server Lockdown à planifier leur transition vers Unauthorized File Protection afin de bénéficier des fonctionnalités améliorées.

Remarque

Les serveurs verrouillés doivent être déverrouillés avant d'utiliser la stratégie Unauthorized File Protection. Pour obtenir plus d’informations concernant le déverrouillage d'un serveur, voir Résumé du serveur.

Unauthorized File Protection suit les opérations effectuées par des processus non privilégiés qui créent, modifient ou déplacent des fichiers PE (Portable Executable). Il surveille également la création de liens physiques vers des fichiers ainsi que le renommage de dossiers.  

Vérification de la réputation

Unauthorized File Protection s’appuie sur la réputation attribuée par SophosLabs. Un score de réputation indique le niveau de confiance que l’on peut accorder à un fichier. Unauthorized File Protection utilise les scores de réputation comme suit :

  • Les fichiers locaux ayant une réputation élevée sont autorisés à s’exécuter, sauf s’ils correspondent à des éléments figurant sur la liste de blocage de la stratégie.

    Les administrateurs peuvent utiliser la stratégie de Contrôle des applications pour bloquer l’exécution de fichiers provenant d’applications légitimes et largement utilisées. Voir Stratégie de contrôle des applications serveur.

  • Les fichiers locaux ayant une réputation faible à moyenne sont surveillés pour détecter les modifications. Unauthorized File Protection bloque l’exécution d’un fichier si un processus non autorisé l’a modifié.

  • Les fichiers locaux, quelle que soit leur réputation — à l’exception des fichiers Sophos et des fichiers système — sont bloqués s’ils correspondent à la liste de blocage définie dans la stratégie Unauthorized File Protection.

    Remarque

    Vous pouvez vérifier le score de réputation d'un fichier à l'aide de l'outil Sophos Endpoint Self Help (ESH). Retrouvez plus de renseignements sur Informations sur les fichiers.

Retrouvez plus de renseignements sur les scores de réputation sur Demande de renseignements les plus récents.

Configurer la stratégie Unauthorized File Protection

Allez dans Mes produits > Server > Stratégies.

Pour configurer une stratégie, procédez comme suit :

  1. Allez dans Mes produits > Server > Stratégies.
  2. Créez une stratégie Unauthorized File Protection. Voir Création ou modification d’une stratégie.
  3. Ouvrez l’onglet Paramètres de la stratégie et configurez-la selon vos besoins.

Activer le suivi des modifications de fichiers non autorisés

Activez l’option Activer le suivi des modifications non autorisées apportées aux fichiers.

Vous pouvez sélectionner l’un des paramètres suivants :

  • Surveiller l’exécution des fichiers non autorisés sans blocage : Lorsqu’elle est activée, la protection Sophos Endpoint signale à Sophos Central l’exécution d’un fichier non autorisé, sans le bloquer.

    Vous pouvez utiliser ces informations pour ajouter les fichiers nécessaires à la liste d’autorisation avant d’activer l’option Bloquer l’exécution des fichiers non autorisés.

  • Bloquer l’exécution des fichiers non autorisés : Lorsqu'il est activé, Sophos Endpoint bloque l'exécution des fichiers non autorisés.

    Lorsqu’une exécution est bloquée, une fenêtre contextuelle du Sophos Endpoint Agent informe l’utilisateur qu’un fichier a été bloqué. Les administrateurs peuvent consulter les détails dans l'onglet Événements de la section Serveurs. Voir Événements de serveurs.

Les événements les plus récents de fichiers bloqués sont affichés dans l'onglet Résumé ou Événements du serveur. Pour consulter les rapports d'événements recueillis sur un intervalle de temps spécifique, allez dans Rapports > Journaux généraux > Événements.

Les clients Sophos EDR ou XDR peuvent également utiliser des requêtes Live Discover personnalisées pour récupérer tous les détails d’événements disponibles depuis le tableau sophos_unauthorized_actions_journal.

Pour créer ou modifier une requête personnalisée, consultez Modifier ou créer des demandes.

Pour exécuter une requête personnalisée, consultez Live Discover.

Éléments autorisés

Vous pouvez autoriser l’exécution de fichiers spécifiques ou de tous les fichiers provenant de dossiers particuliers ou de leurs sous-dossiers. Les éléments qui correspondent aux entrées de cette liste sont considérés comme privilégiés.

Conseil

Nous vous recommandons d'indiquer les chemins d'accès complets aux fichiers.

Pour autoriser un élément, procédez comme suit :

  1. Cliquez sur Ajouter un élément autorisé.

  2. Dans la boîte de dialogue Ajouter un nouvel élément autorisé, procédez comme suit :

    1. Sélectionnez Fichier, Dossier ou SHA256.

    2. Saisissez le chemin du fichier ou du dossier ou la valeur SHA-256.

      Vous pouvez utiliser des caractères génériques et des variables uniquement pour les fichiers et les dossiers. Voir Exclusions du contrôle Windows.

    3. Cliquez sur Enregistrer.

  3. Sur la page Server Protection, cliquez sur Enregistrer.

Éléments bloqués

Vous pouvez bloquer l'exécution de fichiers spécifiques ou de tous les fichiers provenant de dossiers spécifiques ou de leurs sous-dossiers.

Pour bloquer un fichier ou un dossier, procédez comme suit :

  1. Cliquez sur Ajouter un élément bloqué.

  2. Dans la boîte de dialogue Ajouter un nouvel élément bloqué, procédez comme suit :

    1. Sélectionnez Fichier, Dossier ou SHA256.

    2. Saisissez le chemin du fichier ou du dossier ou la valeur SHA-256.

      Vous pouvez utiliser des caractères génériques et des variables uniquement pour les fichiers et les dossiers. Voir Exclusions du contrôle Windows.

    3. Cliquez sur Enregistrer.

  3. Sur la page Server Protection, cliquez sur Enregistrer.

Installation du fichier MSI

Les fichiers MSI sont des packages d’installation couramment utilisés pour installer des logiciels sur les appareils Windows. Ce ne sont pas des fichiers PE, et Unauthorized File Protection applique une logique spécifique pour les gérer.

Les fichiers MSI ne sont pas bloqués, mais ils peuvent contenir des fichiers PE qui sont extraits et exécutés lors de l’installation. Si ces fichiers PE n'ont pas un score de réputation élevé, Unauthorized File Protection les bloque et l'installation échoue. Même si l’installation se termine correctement, Unauthorized File Protection bloque les fichiers PE installés s’ils n’ont pas une réputation élevée et ne correspondent pas à la liste d’autorisation définie dans la stratégie.

Les chemins des fichiers MSI ou les dossiers contenant des fichiers MSI peuvent être ajoutés à la liste d’autorisation ou à la liste de blocage de la stratégie. Unauthorized File Protection vérifie si les fichiers MSI correspondent à ces listes pour décider de bloquer l’installation ou d’autoriser l’exécution des fichiers PE installés, ou des fichiers PE extraits lors de l’installation.