US English (US)
FR French
DE German
ES Spanish
IT Italian
NL Dutch
JP Japanese

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

  • Contact Us
French
US English (US)
FR French
DE German
ES Spanish
IT Italian
NL Dutch
JP Japanese
  • Home
  • Base de connaissances AutoElevate
  • Gestion des règles

Gestion des règles de blocage

Apprenez à gérer et à naviguer efficacement dans Blocker, en garantissant un fonctionnement fluide avec une sécurité améliorée.

Written by Daniel Rivera

Updated at June 9th, 2025

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

  • Base de connaissances AutoElevate
    Nouveau sur AutoElevate ? COMMENCEZ ICI Généralités et dépannage Gestion des règles Intégrations Annonces FAQ Vidéos explicatives
  • Base de connaissances de Password Boss
    Utilisation Password Boss Administration des affaires Documents des partenaires Password Boss
  • Boîte à outils marketing
    Boîte à outils de marketing et de formation MSP
  • Journaux des modifications pour Autoelevate et Password Boss
  • Statut actuel
+ More

La fonction de blocage d' AutoElevate vous permet de bloquer plus de 200 applications Windows natives, binaires et fichiers .dll, généralement utilisés comme vecteurs d'attaque Living Off The Land (LOTL). Les termes « malware sans fichier », « sans malware » ou « Living Off The Land » désignent des techniques de cyberattaque. lorsque le cybercriminel utilise des outils natifs et légitimes au sein du système de la victime pour soutenir et faire progresser une attaque .

Comment AutoElevate choisit-il les processus à inclure dans notre liste de blocage ?

Nous nous appuyons principalement sur des sources telles que Microsoft , des projets communautaires (tels que le projet LOLBAS ) et nos propres recherches pour maintenir le produit à jour.

Blocker se concentre sur les attaques « sans malware », autrement dit les attaques « vivant de la terre ». Celles-ci exploitent généralement des applications et outils connus, présents depuis très longtemps dans Windows, dont une partie est obsolète et n'est conservée que pour des raisons de rétrocompatibilité.

Cette fonctionnalité est conçue et prise en charge pour les postes de travail Windows 64 bits, y compris les versions 10 et 11. Vos agents doivent être sur la version 2.8+ pour que cette fonctionnalité soit disponible.

Démarrage rapide

  • Depuis l'écran Ordinateurs , sélectionnez le ou les ordinateurs que vous souhaitez activer en cliquant sur le carré à côté du nom de l'ordinateur répertorié.
  • Cliquez sur le menu Actions en haut de l’écran, puis sur Définir sur Audit dans la section Mode Bloqueur .
  • Une fois activé, nous vous recommandons de le conserver en mode Audit pendant environ 1 mois ou plus pour permettre à l'agent de collecter et d'analyser les données et de fournir des règles recommandées.
  • Les règles de blocage recommandées en temps réel sont disponibles sur l'écran « Recommandations de blocage » du portail. Vous pouvez consulter les applications pour plus d'informations et ajouter des règles de blocage pour ajouter automatiquement les règles recommandées.
  • Une fois que suffisamment de temps s'est écoulé et que les règles de blocage souhaitées ont été créées, revenez à l'écran Ordinateurs , sélectionnez le(s) ordinateur(s), cliquez sur le menu Actions , puis sur Définir sur Live dans la section Mode Bloqueur .

Activer avec le déploiement de script

Le bloqueur peut être activé dans un mode spécifique lors du déploiement du script en modifiant l'argument ci-dessous. Nous recommandons de le configurer en mode Audit pour une collecte et une analyse immédiates des données.

BLOCKER_MODE="audit" (facultatif) – Ce paramètre peut être défini sur live, audit ou désactivé afin que le programme d'installation de l'agent puisse remplacer le mode actuel ou être configuré pour s'installer automatiquement dans le mode de votre choix. Le mode désactivé est le mode par défaut si cet argument n'est pas spécifié. Si le script effectue une mise à niveau sur un agent déjà installé, l'absence de cet argument conservera le mode d'agent actuellement défini.

Ces options de mode sont sensibles à la casse et doivent être en minuscules ; sinon, cette partie de commande échouera et l'agent passera par défaut en mode désactivé.

Déploiement RMM générique à l'aide de commandes PowerShell

Modes de blocage définis

  • Désactivé : le pilote de filtre de l'agent n'est pas installé ou est désinstallé s'il l'était déjà. Par conséquent, aucun processus Windows n'est surveillé dans cet état et aucune règle de blocage existante n'est appliquée. La désactivation du blocage n'entraîne aucune modification de l'expérience utilisateur.
  • Audit : Le pilote de filtre de l'agent est installé. Les processus Windows des binaires utilisés dans les attaques LOTL sont surveillés et leur utilisation est analysée afin de générer des recommandations de blocage. L'agent AE n'applique aucune règle de blocage définie ; par conséquent, l'expérience utilisateur reste inchangée.
  • En direct : le pilote de filtre de l'agent est installé. Les processus Windows des binaires utilisés dans les attaques LOTL sont surveillés et leur utilisation est analysée afin de générer des recommandations de blocage. L'agent AE bloque ou autorise les processus Windows en fonction des règles de blocage définies.

Création manuelle de règles de blocage

  • Sélectionnez l'icône « + » dans l'écran Règles de blocage en haut de la page.
  • Cochez la case à côté du nom du processus pour lequel vous souhaitez ajouter une règle. Pour plus d'informations, cliquez sur le lien source à côté du nom du processus contenant la recommandation expliquant pourquoi vous devez bloquer ce processus.
  • Dans le menu Actions en haut, sélectionnez Ajouter une règle , choisissez Niveau , Emplacement et Ordinateur si nécessaire, puis OK pour confirmer.
Votre navigateur ne prend pas en charge la vidéo HTML5.

Création de règles d'autorisation

  • Depuis l'écran Événements du bloqueur , sélectionnez l'événement que vous souhaitez convertir en règle d'autorisation en cochant la case à côté de son nom.
  • Cliquez sur le menu Actions en haut de l'écran et sélectionnez Convertir en règle .

Votre navigateur ne prend pas en charge la vidéo HTML5.

Utilisation des combinaisons de critères d'identification de processus et de processus parent

Les règles d'autorisation peuvent être configurées pour correspondre à autant de combinaisons de critères d'identification de fichier et/ou de certificat d'éditeur que vous le souhaitez. Pour cela, cochez les cases correspondant aux éléments de l'événement auxquels la règle doit correspondre. Si une correspondance est trouvée lors d'un événement, l'agent AutoElevate exécute l'action définie « Autorisé » . Pour que la règle soit appliquée à un événement, elle doit correspondre à TOUS les critères d'identification sélectionnés .

Critères d'identification du processus

Les critères d'identification de processus peuvent être sélectionnés parmi quatre options : nom de fichier, chemin d'accès, nom de fichier parent et hachages MD5/SHA256 . Les valeurs par défaut de ces critères correspondent aux données lues dans le fichier sur l'ordinateur local où l'événement d'origine s'est produit. Les caractères génériques permettent de spécifier des éléments dynamiques (* ? [az]).

  • Nom du fichier : le nom du fichier extrait du chemin.
  • Chemin d'accès au fichier : chemin d'accès complet du fichier sur la machine locale, y compris son nom. L'agent étend les variables d'environnement Windows lors du traitement du chemin d'accès. Cliquez ICI pour plus d'informations sur les variables d'environnement Windows.
    • Actuellement, l'agent ne peut pas traiter les variables d'environnement contenant des informations utilisateur locales (par exemple, %LOCALAPPDATA%). Ce problème sera corrigé lors d'une prochaine mise à jour.
  • Nom du fichier parent : le nom du fichier parent extrait du chemin.
  • Hachages MD5/SHA256 : les hachages MD5/SHA256 du fichier parent.

Critères d'identification de l'éditeur

Les critères d'identification de l'éditeur peuvent être définis sur l'une des 2 options suivantes : Éléments du sujet ou Hachage du certificat .

  • Éléments de sujet : Il s'agit des différentes parties du nom distinctif du sujet figurant dans le certificat de l'éditeur. Vous pouvez sélectionner n'importe quelle combinaison d'éléments. Cependant, il est important de noter que chaque éditeur de logiciel peut utiliser plusieurs certificats. Cibler moins d'éléments de sujet permettra d'obtenir un plus large éventail de logiciels correspondant aux critères d'identification sélectionnés.
  • Hachage du certificat : il s'agit de l'empreinte numérique du certificat utilisé pour signer le fichier. Elle est spécifique à ce certificat. En général, les certificats d'éditeur expirent après un an ou deux. Cela signifie que les éditeurs doivent obtenir fréquemment de nouveaux certificats avec de nouvelles empreintes numériques. Cibler le hachage du certificat peut nécessiter la création de nouvelles règles pour prendre en compte ces nouveaux certificats lors de leur émission.

Où pouvons-nous obtenir les informations d'identification de l'éditeur ?

Vous verrez une section extensible contenant des informations sur le certificat de l'éditeur, ainsi que ses options. Ces données sont générées à partir du fichier examiné sur la machine locale d'origine de l'événement.

Le marquage du fichier comme Vérifié ou non dépend de la vérification de la chaîne de certificats sur la machine locale . Les certificats vérifiés indiquent l'emplacement du certificat et/ou de son émetteur dans l'autorité de certification locale (AC) sur la machine locale, et si l'heure de signature se situe entre les horodatages « Valide du » et « Valide jusqu'au ».

Les règles définies sont cryptées et stockées dans une zone de registre sécurisée à chaque enregistrement et continueront de fonctionner avec ou sans connectivité à Internet et/ou à nos services.

Note

  • Une règle définie au niveau le plus bas, c'est-à-dire les ordinateurs, aura la priorité sur le reste, où il existe une hiérarchie.
  • Une approbation d'élévation autorisera une exception à une règle bloquée via le fichier parent. L'exécution directe d'un processus bloqué restera bloquée même avec une approbation d'élévation.
  • Le bloqueur est temporairement désactivé lorsque le mode technicien est utilisé.
  • Les règles peuvent être modifiées à partir de l'icône en forme de crayon ou supprimées à partir de l'icône de la corbeille .
  • Les règles peuvent également être déplacées ou copiées vers un autre niveau ainsi que supprimées du menu Actions .
  • L'écran « Événements de blocage » enregistre uniquement les événements déclenchés par une règle. Tous les événements bloqués sont enregistrés, tandis qu'un seul événement autorisé par règle est enregistré chaque jour. Pour afficher tous les événements sur la machine locale, vous devez activer la journalisation des événements .

Note de sécurité

La vérification du certificat de l'éditeur a été intégrée à l'agent v2.4+ pour garantir la sécurité de la création de règles basées sur les critères du certificat de l'éditeur.

Le moteur de règles AutoElevate effectue cette vérification, comme la plupart des outils de sécurité, en utilisant les informations du magasin d'autorités de certification (CA) local de chaque machine. Microsoft met à jour ces magasins. La sécurité et la réduction des menaces pesant sur le magasin de certificats local de chaque machine dépendent fortement du fait que les utilisateurs disposent uniquement des privilèges standard.

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • SSO avec Entra ID (Azure AD) pour AutoElevate
  • Niveaux UAC et paramètres de contrôle de compte d'utilisateur Windows
  • Liste blanche du pare-feu
  • Améliorations de l'intégration de VirusTotal
  • Products
    • Privileged Access Management
    • Password Management
  • Solutions
    • For MSPs
    • For IT Pros
    • By Industry
  • Resources
    • Weekly Demos
    • Events
    • Blog
    • FAQ
  • Company
    • Leadership
    • Culture + Values
    • Careers
    • Awards
    • News & Press
    • Trust Center
    • Distributors
  • Get Pricing
  • Free Trial
  • Request a Demo
  • Support
  • Login
  • Contact
4925 Independence Parkway
Suite 400
Tampa, FL 33634
CALL US (813) 578-8200
  • Link to Facebook
  • Link to Linkedin
  • Link to Twitter
  • Link to Youtube
© 2023 CYBERFOX LLC ALL RIGHTS RESERVED  |  Privacy Policy

Knowledge Base Software powered by Helpjuice

Expand