Règles de protection d'applications

Les règles de protection d'applications permettent de réduire les problèmes de compatibilité et de stabilité impliquant l’accrochage de processus. Cela autorise ou bloque le raccordement API au niveau de l’utilisateur pour des listes de processus définies et générées. L’accrochage de registres et de fichiers au niveau du noyau n’est pas affecté.

Host Intrusion Prevention fournit une liste statique de processus autorisés ou bloqués. La liste est mise à jour avec les versions de mise à jour du contenu. De plus, les processus autorisés ou bloqués peuvent être ajoutés de façon dynamique à la liste lorsque l’analyse des processus est activée. Cette analyse est effectuée :

Cette analyse implique de vérifier au préalable si le processus est dans la liste bloquée. Si ce n'est pas le cas, la liste autorisée est vérifiée. S'il ne se trouve pas dans cette liste, le processus est analysé pour définir s’il écoute sur un port réseau ou s’il s’exécute comme un service. Si ce n’est pas le cas, il est bloqué ; s’il écoute sur un port ou s’il s’exécute comme un service, il est autorisé à se lancer.

Le composant IPS garde en mémoire cache les informations concernant les processus en cours d’exécution, permettant ainsi de suivre les informations d’accrochage. Le composant pare-feu détermine si un processus écoute sur un port réseau, appelle une API exportée par le composant IPS et passe les informations à l’API pour les ajouter à la liste surveillée. Lorsqu’il appelle l’API, le composant IPS localise l’entrée correspondante dans sa liste des processus en cours d’exécution. Un processus qui n’est pas déjà lancé et qui ne fait pas partie de la liste bloquée statique est alors lancé. Le pare-feu fournit le PID (ID de processus), essentiel pour rechercher un processus dans la mémoire cache.

L’API exportée par le composant IPS permet également à l’Interface utilisateur du client de récupérer la liste des processus actuellement lancés, mise à jour dès qu’un processus est lancé ou décroché. Un processus lancé sera décroché si la console envoie une liste de processus mise à jour, qui spécifie que le processus lancé ne doit pas le rester. Lorsque la liste d’accrochage des processus est mise à jour, chaque processus répertorié dans la mémoire cache des processus en cours d’exécution est comparé avec la nouvelle liste. Si la liste indique qu’un processus doit être lancé et qu’il ne l’est pas encore, ce processus est alors lancé. Si la liste indique qu’un processus ne doit pas être lancé et qu’il l’est déjà, ce processus est alors décroché.

Les listes d’accrochage des processus peuvent être affichées et modifiées dans l'onglet Règles de protection d'applications. L’interface utilisateur du client, contrairement à l'affichage dans la stratégie Règles IPS, affiche une liste de tous les processus d’application lancés.

Pour créer une règle de protection d'applications :

  1. Effectuez l’une des actions suivantes :
    • Dans l’onglet Règles de protection d'applications, cliquez sur Créer dans la barre d’outils ou le menu raccourci. La boîte de dialogue Nouvelles règles de protection d'applications s’affiche.
    • Dans l’onglet Règles de protection d'applications, sélectionnez une application et cliquez sur Dupliquer dans la barre d’outils ou le menu raccourci. Une boîte de dialogue Dupliquer Règles de protection d'applications IPS préremplie s’affiche.
  2. Dans l’onglet Général, entrez le nom, l’état et si l’application est inclue ou non. Pour plus de détails, cliquez sur Aide.
  3. Dans l’onglet Processus, indiquez les processus auxquels vous souhaitez appliquer la règle. Pour plus de détails, cliquez sur Aide.
  4. Cliquez sur OK.

Copyright © 2005 McAfee, Inc. Tous droits réservés.