A propos du contrôle de la distribution des logiciels
La création de règles du Contrôle du lancement des applications peut s'avérer complexe s'il faut contrôler également la distribution de logiciels sur un appareil protégé, par exemple sur les ordinateurs où le logiciel installé est automatiquement mis à jour à intervalles réguliers. Dans ce cas, la liste de règles d'autorisation doit être mise à jour après chaque mise à jour de logiciel afin que les fichiers juste créés soient pris en compte dans les paramètres de la tâche Contrôle du lancement des applications. Pour simplifier le contrôle du lancement dans les scénarios de distribution des logiciels, vous pouvez utiliser le sous-système Contrôle de la distribution des logiciels.
Un paquet de distribution des logiciels (ci-après appelé « paquet ») représente une application logicielle à installer sur un périphérique protégé. Chaque paquet contient au moins une application et peut également contenir des fichiers séparés, des mises à jour, voire une commande séparée en plus des applications, notamment lorsque vous installée une application ou une mise à jour logicielle.
Le sous-système Contrôle de la distribution des logiciels est mis en œuvre en tant que liste supplémentaire d'exclusions. Quand vous ajoutez un paquet de distribution de logiciels à cette liste, l'application autorise la décompression de ces paquets de confiance ainsi que le lancement automatique de l'installation ou la modification par un paquet de confiance. Les fichiers extraits peuvent hériter de l'attribut de confiance du paquet de distribution principal. Un paquet de distribution principal est un paquet qui a été ajouté à la liste d'exclusions du Contrôle de la distribution des logiciels par l'utilisateur et qui est devenu un paquet de confiance.
Kaspersky Security for Windows Server contrôle uniquement les cycles de distribution de logiciels complets. L'application ne peut pas traiter correctement le lancement des fichiers qui sont modifiés par un paquet de confiance si, lors du premier lancement du paquet, le Contrôle de la distribution des logiciels est désactivé ou si le composant Contrôle du lancement des applications n'est pas installé.
Le Contrôle de la distribution des logiciels n'est pas disponible si la case Utiliser les règles pour les fichiers exécutables est décochée dans les paramètres de la tâche Contrôle du lancement des applications.
Cache de la distribution des logiciels
Kaspersky Security for Windows Server établit le rapport entre les paquets de confiance et les fichiers créés lors de la distribution des logiciels à l'aide d'un cache de la distribution des logiciels généré automatiquement ("cache de distribution"). Au premier lancement d'un paquet, Kaspersky Security for Windows Server détecte tous les fichiers créés par ce paquet lors de du processus de distribution de logiciels et stocke les sommes de contrôles et les chemins d'accès des fichiers dans le cache de distribution. Ensuite, le lancement de tous les fichiers repris dans le cache de distribution est autorisé par défaut.
Vous ne pouvez pas réviser, effacer ou modifier manuellement le cache de distribution via l'interface utilisateur. Le cache est rempli et contrôlé par Kaspersky Security for Windows Server.
Vous pouvez exporter le cache de distribution dans un fichier de configuration (au format XML) et aussi effacer le cache à l'aide des options de ligne de commande.
Pour exporter le cache de distribution dans un fichier de configuration, exécutez la commande suivante :
kavshell appcontrol /config /savetofile:<chemin complet> /sdc
Pour effacer le cache de distribution, exécutez la commande suivante :
kavshell appcontrol /config /clearsdc
Kaspersky Security for Windows Server met à jour le cache de distribution toutes les 24 heures. En cas de modification de la somme de contrôle d'un fichier qui était autorisé, l'application supprime l'enregistrement de ce fichier dans le cache de distribution. Si la tâche Contrôle du lancement des applications est lancée en mode actif, les tentatives de lancement ultérieures de ce fichier sont bloquées. Si le chemin complet d'accès au fichier précédemment autorisé est modifié, les tentatives ultérieures de démarrer ce fichier ne seront pas bloquées car la somme de contrôle est stockée dans le cache de distribution.
Traitement des fichiers extraits
Tous les fichiers extraits d'un paquet de confiance hérite de l'attribut de confiance au premier lancement du paquet. Si vous décochez la case après le premier lancement, tous les fichiers extraits du paquet conservent l'attribut hérité. Pour réinitialiser l'attribut hérité sur tous les fichiers extraits, vous devez effacer le cache de distribution et décocher la case Autoriser la distribution supplémentaire d'applications créées à partir de ce paquet de distribution avant de redémarrer le paquet de distribution de confiance.
Les fichiers extraits et les paquets, créés par un paquet de distribution principal de confiance, acquièrent l'attribut de confiance quand leurs sommes de contrôle sont ajoutées au cache de distribution lorsque le paquet de distribution de logiciels de la liste d'exclusions est ouvert pour la première fois. Par conséquent, le paquet de distribution proprement dit et tous les fichiers inclus sont également de confiance. Par défaut, le nombre de niveaux d'héritage d'attribut de confiance est illimité.
Les fichiers extraits conservent l'attribut de confiance après le redémarrage du système d'exploitation.
Pour configurer le traitement des fichiers dans les paramètres de contrôle de la distribution des logiciels, vous devez cocher ou décocher la case Autoriser la distribution supplémentaire d'applications créées à partir de ce paquet de distribution.
Par exemple, supposons que vous ajoutez un paquet test.msi contenant plusieurs autres paquets et applications à la liste d'exclusions et cochez la case. Dans ce cas, tous les paquets et applications contenus dans le paquet test.msi peuvent être exécutés ou extraits s'ils contiennent d'autres fichiers. Ce scénario est valable pour les fichiers extraits sur tous les niveaux imbriqués.
Si vous ajoutez un paquet test.msi à la liste d'exclusions et décochez la case Autoriser la distribution supplémentaire d'applications créées à partir de ce paquet de distribution, l'application affecte l'attribut de confiance uniquement aux paquets et aux fichiers exécutables extraits directement d'un paquet de confiance principal (imbriqué au premier niveau). Les sommes de contrôle de ces fichiers sont stockées dans le cache de distribution. Tous les fichiers imbriqués au second niveau et plus sont bloqués par le principe Interdire par défaut.
Utilisation de la liste des règles du Contrôle du lancement des applications
La liste des paquets de confiance du sous-système de contrôle de la distribution des logiciels est une liste d'exclusions, ce qui amplifie, mais ne remplace pas la liste générale de règles de contrôle du lancement des applications.
Les règles d'interdiction de contrôle du lancement des applications a la priorité la plus élevé : la décompression des paquets de confiance et le démarrage de fichiers nouveaux ou modifiés sont bloqués si ces paquets est fichiers sont affectés par les règles d'interdiction du contrôle du lancement des applications.
Les exclusions de contrôle de la distribution des logiciels sont appliquées à la fois pour les paquets de confiance et les fichiers créés ou modifiés par ces paquets si aucune règle d'interdiction dans la liste de contrôle du lancement des applications n'est appliquée pour ces paquets et fichiers.
Utilisation des conclusions KSN
Les conclusions de KSN sur le caractère douteux d'un fichier ont priorité sur les exclusions du Contrôle de la distribution des logiciels : la décompression des paquets de confiance et le lancement des fichiers créés ou modifiés par ces paquets sont interdits si KSN signale que ces fichiers sont douteux.
Ensuite, après le décompactage à partir d'un programme de confiance, tous les fichiers enfants pourront s'exécuter, quelle que soit l'utilisation du KSN dans la zone Contrôle du lancement des applications. Dans ce cas, les états des cases Interdire les applications douteuses selon le KSN et Autoriser les applications de confiance selon le KSN n'affectent pas le fonctionnement de la case Autoriser la distribution supplémentaire d'applications créées à partir de ce paquet de distribution.