Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=unauthorized-file-protection

Stratégie Unauthorized File Protection

Lockdown est renommé Sophos Unauthorized File Protection (SUFP). De nouveaux contrôles ont également été ajoutés pour gérer SUFP. Cette modification n’affecte pas les fichiers et dossiers autorisés ou bloqués que vous avez créés dans les stratégies de verrouillage existantes. Nous encourageons les clients utilisant actuellement Server Lockdown à planifier leur transition vers Unauthorized File Protection afin de bénéficier des fonctionnalités améliorées.

Remarque

Les serveurs verrouillés doivent être déverrouillés avant d'utiliser la stratégie Unauthorized File Protection. Pour obtenir plus d’informations concernant le déverrouillage d'un serveur, voir Résumé du serveur.

Sophos Unauthorized File Protection (SUFP) surveille les opérations sur les fichiers effectuées par des processus non privilégiés qui créent, modifient ou déplacent des fichiers exécutables portables (PE). Il surveille également la création de liens physiques vers des fichiers ainsi que le renommage de dossiers.  

Vérification de la réputation

SUFP s’appuie sur la réputation que SophosLabs attribue aux fichiers. Un score de réputation indique le niveau de confiance que l’on peut accorder à un fichier. SUFP utilise les scores de réputation comme suit :

  • Les fichiers locaux ayant une réputation élevée sont autorisés à s’exécuter, sauf s’ils correspondent à des éléments figurant sur la liste de blocage de la stratégie.

    Les administrateurs peuvent utiliser la stratégie de Contrôle des applications pour bloquer l’exécution de fichiers provenant d’applications légitimes et largement utilisées. Voir Stratégie de contrôle des applications serveur.

  • Les fichiers locaux ayant une réputation faible à moyenne sont surveillés pour détecter les modifications. SUFP bloque l'exécution du fichier si un processus non autorisé a modifié le fichier.

  • Les fichiers locaux, quelle que soit leur réputation — à l’exception des fichiers Sophos et des fichiers système — sont bloqués s’ils correspondent à des éléments de la liste de blocage de la stratégie SUFP.

    Remarque

    Vous pouvez vérifier le score de réputation d'un fichier à l'aide de l'outil Sophos Endpoint Self Help (ESH). Retrouvez plus de renseignements sur Informations sur les fichiers.

Retrouvez plus de renseignements sur les scores de réputation sur Demande de renseignements les plus récents.

Configurer la stratégie Unauthorized File Protection

Allez dans Mes produits > Server > Stratégies.

Pour configurer une stratégie, procédez comme suit :

  1. Allez dans Mes produits > Server > Stratégies.
  2. Créez une stratégie Unauthorized File Protection. Voir Création ou modification d’une stratégie.
  3. Ouvrez l’onglet Paramètres de la stratégie et configurez-la selon vos besoins.

Activer le suivi des modifications de fichiers non autorisés

Activez l’option Activer le suivi des modifications non autorisées apportées aux fichiers.

Vous pouvez sélectionner l’un des paramètres suivants :

  • Surveiller l’exécution des fichiers non autorisés sans blocage : Lorsqu’elle est activée, la protection Sophos Endpoint signale à Sophos Central l’exécution d’un fichier non autorisé, sans le bloquer.

    Vous pouvez utiliser ces informations pour ajouter les fichiers nécessaires à la liste d’autorisation avant d’activer l’option Bloquer l’exécution des fichiers non autorisés.

  • Bloquer l’exécution des fichiers non autorisés : Lorsqu'il est activé, Sophos Endpoint bloque l'exécution des fichiers non autorisés.

    Lorsqu’une exécution est bloquée, une fenêtre contextuelle du Sophos Endpoint Agent informe l’utilisateur qu’un fichier a été bloqué. Les administrateurs peuvent consulter les détails dans l'onglet Événements de la section Serveurs. Voir Événements de serveurs.

Les événements les plus récents de fichiers bloqués sont affichés dans l'onglet Résumé ou Événements du serveur. Pour consulter les rapports d'événements recueillis sur un intervalle de temps spécifique, allez dans Rapports > Journaux généraux > Événements.

Les clients Sophos EDR ou XDR peuvent également utiliser des requêtes Live Discover personnalisées pour récupérer tous les détails d’événements disponibles depuis le tableau sophos_unauthorized_actions_journal.

Pour créer ou modifier une requête personnalisée, consultez Modifier ou créer des demandes.

Pour exécuter une requête personnalisée, consultez Live Discover.

Fichiers/dossiers autorisés

Vous pouvez autoriser l’exécution de fichiers spécifiques ou de tous les fichiers provenant de dossiers particuliers ou de leurs sous-dossiers. Les fichiers qui correspondent aux entrées de cette liste sont privilégiés.

Conseil

Nous vous recommandons d'indiquer les chemins d'accès complets aux fichiers.

Pour autoriser un fichier ou un dossier, procédez comme suit :

  1. Cliquez sur Ajouter le fichier/dossier autorisé.
  2. Sélectionnez Fichier ou Dossier.
  3. Saisissez le chemin du fichier ou du dossier. Vous pouvez utiliser les caractères de remplacement et les variables. Voir Exclusions du contrôle Windows.
  4. Cliquez sur Enregistrer.

Fichiers/dossiers bloqués

Vous pouvez bloquer l'exécution de fichiers spécifiques ou de tous les fichiers provenant de dossiers spécifiques ou de leurs sous-dossiers.

Pour bloquer un fichier ou un dossier, procédez comme suit :

  1. Cliquez sur Ajouter le fichier/dossier bloqué.
  2. Sélectionnez Fichier ou Dossier.
  3. Saisissez le chemin du fichier ou du dossier. Vous pouvez utiliser les caractères de remplacement et les variables. Voir Exclusions du contrôle Windows.
  4. Cliquez sur Enregistrer.

Installation du fichier MSI

Les fichiers MSI sont des packages d’installation couramment utilisés pour installer des logiciels sur les appareils Windows. Ce ne sont pas des fichiers PE, et SUFP applique une logique spécifique pour les gérer.

Les fichiers MSI ne sont pas bloqués, mais ils peuvent contenir des fichiers PE qui sont extraits et exécutés lors de l’installation. Si ces fichiers PE n'ont pas un score de réputation élevé, SUFP les bloque et l’installation échoue. Même si l’installation se termine, SUFP bloque les fichiers PE installés s’ils n’ont pas de scores de réputation élevés et ne correspondent pas à la liste d’autorisation de la stratégie.

Les chemins des fichiers MSI ou les dossiers contenant des fichiers MSI peuvent être ajoutés à la liste d’autorisation ou à la liste de blocage de la stratégie. SUFP vérifie si les fichiers MSI correspondent à ces listes pour décider de bloquer l’installation ou d’autoriser l’exécution des fichiers PE installés, ou des fichiers PE extraits lors de l’installation.