Critères de l’analyse fonctionnelle

Les critères de l’analyse fonctionnelle permettent de construire la protection maximale, c’est pourquoi il est nécessaire de les spécifier lors de la configuration de l’analyse fonctionnelle.

La section Critères de l’analyse fonctionnelle contient les catégories que vous pouvez utiliser pour la protection du profil. La sélection du profil dépend du niveau nécessaire et des particularités du système.

Catégories de critères de l’analyse fonctionnelle

1.Lancement d’applications :

Bloquer le lancement des applications signées par des certificats connus dans Doctor Web comme des certificats pour les adwares.
Bloque le lancement des applications pouvant diffuser de la publicité.

Bloquer le lancement des applications signées par des certificats connus dans Doctor Web comme gris.
Bloque le lancement des applications signées par des certificats « gris ». Ce type de certificats est souvent utilisé pour signer des applications non sécurisées.

Bloquer le lancement des applications signées par des certificats connus dans Doctor Web comme des certificats pour les hacktools.
Bloque le lancement des applications signées par les certificats qui sont utilisés pour le piratage de logiciels. Il est recommandé d’utiliser ce critère.

Bloquer le lancement des applications signées par des certificats falsifiés/corrompus.
Bloque le lancement des applications malveillantes signées par des certificats invalides. Il est recommandé d’utiliser ce critère.

Bloquer le lancement des applications signées par des certificats connus dans Doctor Web, comme des certificats pour les programmes malveillants.
Bloque le lancement des applications signées par des certificats compromis. Il est recommandé d’utiliser ce critère.

Bloquer le lancement des applications signées par des certificats annulés.
Bloque le lancement des applications signées par des certificats volés ou compromis. Il est recommandé d’utiliser ce critère car cela permet de prévenir le lancement des applications malveillantes.

Bloquer le lancement des applications signées par des certificats autosignés.
Bloque des logiciels contrefaits qui peuvent être malveillants.

Bloquer le lancement des applications non signées.
Bloque le lancement des applications malveillantes ou non fiables dont la source n’est pas connue.

Bloquer le lancement d’utilitaires de Sysinternals.
Protège le système contre la compromission via les utilitaires Sysinternals.

Si la case Autoriser le lancement des applications système et des applications de Microsoft est cochée dans l’onglet Autorisations, les utilitaires Sysinternals seront lancés même si le lancement est bloqué.

Bloquer le lancement des applications depuis les flux alternatifs NTFS (ADS).
Les applications des flux alternatifs NTFS (ADS) sont souvent malveillantes c’est pourquoi l’utilisation de ce critère est obligatoire.

Bloquer le lancement des applications depuis le réseau et les ressources partagées.
Le lancement des applications depuis le réseau et les ressources partagées est un scénario inhabituel et peut compromettre la sécurité du système. Il est recommandé d’utiliser ce critère.

Bloquer le lancement des applications depuis les supports amovibles.
Le lancement des applications depuis les supports amovibles est un scénario inhabituel et peut compromettre la sécurité du système. Il est recommandé d’utiliser ce critère.

Bloquer le lancement des applications depuis les répertoires temporaires.
Bloque le lancement des applications depuis les répertoires temporaires.

Bloquer le lancement des applications Windows/Microsoft Store (uniquement sous Windows 8 ou une version supérieure).
Bloque le lancement des applications téléchargées depuis Windows/Microsoft Store.

Bloquer le lancement des applications avec une extension double/inhabituelle.
Bloque le lancement des applications suspectes avec une extension inhabituelle (par exemple, *.jpg.exe).

Bloquer le lancement des shells Bash et des applications WSL (uniquement sous Windows 10 ou une version supérieure).
Bloque le lancement des shells Bash et des applications WSL.

2.Téléchargement et exécution des modules. Les critères peuvent fonctionner en deux modes :

Téléchargement de tous les modules.
Ce mode nécessite des ressources considérables c’est pourquoi il est recommandé de l’utiliser uniquement si vous avez besoin d’un contrôle élevé.

Contrôler le chargement et l’exécution des modules dans les applications hôtes.
Ce mode nécessite moins de ressources. Il contrôle le fonctionnement des modules uniquement dans les processus qui sont utilisés pour compromettre le système ou pour insérer un programme malveillant sous forme d’un fichier système ou un fichier fiable. Si vous n’avez pas besoin de contrôle élevé, utilisez ce mode.

Les recommandations d’utilisation des critères Téléchargement et exécution des modules sont similaires aux recommandations d’utilisation des critères Lancement d’applications.

3.Lancement d’interpréteurs de scripts :

Bloquer le lancement des scripts CMD/BAT.
Bloque le lancement des fichiers avec les extensions cmd et bat.

Bloquer le lancement des scripts HTA.
Bloque le lancement des scripts HTA. Ces scripts peuvent traiter des scripts malveillants et télécharger des fichiers exécutables qui peuvent nuire au système.

Bloquer le lancement de VBScript/JavaScript.
Bloque le lancement des applications écrites en langages de script VBScript et JavaScript. Ces applications peuvent traiter des scripts malveillants et télécharger des fichiers exécutables qui peuvent nuire au système.

Bloquer le lancement des scripts PowerShell.
Bloque le lancement des scripts écrits en langage de script PowerShell. Ces scripts peuvent traiter des scripts malveillants et télécharger des fichiers exécutables qui peuvent nuire au système.

Bloquer le lancement des scripts REG.
Bloque le lancement des scripts de registre (fichiers avec l’extension reg). Ces fichiers peuvent être utilisés pour ajouter ou modifier les valeurs dans le registre.

Bloquer le lancement des scripts depuis les flux alternatifs NTFS (ADS).
Bloque le lancement des scripts depuis les flux alternatifs NTFS (ADS). Ces scripts sont souvent malveillants c’est pourquoi il est recommandé d’utiliser ce critère.

Bloquer le lancement des scripts depuis le réseau et les ressources partagées.
Le lancement des scripts depuis le réseau et les ressources partagées est un scénario inhabituel et peut compromettre la sécurité du système. Il est recommandé d’utiliser ce critère.

Bloquer le lancement des scripts depuis les supports amovibles.
Le lancement des scripts depuis les supports amovibles est un scénario inhabituel et peut compromettre la sécurité du système. Il est recommandé d’utiliser ce critère.

Démarrer le lancement des scripts depuis les répertoires temporaires.
Le lancement des scripts depuis les répertoires temporaires est un scénario inhabituel et peut compromettre la sécurité du système. Il est recommandé d’utiliser ce critère.

4.Téléchargement de pilotes.

Bloquer le téléchargement des pilotes non signés.
Bloque le téléchargement de rootkits et de bootkits. Bloque l’utilisation des vulnérabilités des logiciels et du système d’exploitation.
Il est recommandé d’utiliser ce mode sous les systèmes d’exploitation 64-bits. L’utilisation de ce mode est possible sous les versions 32-bits en cas d’absence de pilotes non signés dans le système d’exploitation.

Bloquer le téléchargement des versions de pilotes vulnérables d’un logiciel populaire.
Bloque le téléchargement des versions de pilotes non sécurisées d’un logiciel populaire.

L’interdiction de télécharger des versions de pilotes vulnérables d’un logiciel populaire ne peut pas être remplacée par les exclusions.

Les autres recommandations d’utilisation des critères Téléchargement de pilotes sont similaires aux recommandations d’utilisation des critères Lancement d’applications.

5.Installation des paquets MSI.

Les recommandations d’utilisation des critères Installation des paquets MSI sont similaires aux recommandations d’utilisation des critères Lancement d’applications.

6.Intégrité de fichiers exécutables.

Bloquer la création de nouveaux fichiers exécutables.
Bloque les tentatives de création de nouveaux fichiers exécutables.

Bloquer la modification de fichiers exécutables.
Bloque les tentatives de modification de fichiers exécutables.

Les critères Intégrité de fichiers exécutables sont utilisés uniquement dans des systèmes fonctionnant en mode d’exécution approuvée. Dans tels systèmes, tous les processus sont contrôlés par l’administrateur (par exemple, les distributeurs automatiques et d’autres systèmes).

L’utilisation des critères Intégrité de fichiers exécutables dans d’autres systèmes peut entraîner des conséquences imprévisibles, jusqu’à la panne du poste.

Les critères Intégrité de fichiers exécutables ne peuvent pas être remplacés par les règles.