41.3 Configuration de la gestion des processus malveillants

La gestion des processus malveillants est activée et configurée via le registre Windows. Les sections suivantes expliquent comment modifier manuellement le registre des postes de travail Windows 98 et Windows 2000/XP et comment créer un objet Application pour distribuer les modifications du registre via le programme de lancement d'applicatifs :

41.3.1 Modification manuelle du registre

  1. Utilisez regedit.exe pour ouvrir le registre Windows.

  2. Localisez la clé suivante :

    HKEY_CURRENT_USER\Software\NetWare\NAL\1.0

  3. Ajoutez une clé de gestion de processus sous la clé 1.0 :

    HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process Management

  4. Ajoutez une valeur Default Action (Opération par défaut) à la clé de gestion de processus à l'aide des informations suivantes :

    Type de la valeur : DWORD

    Nom de la valeur : Default Action

    Données de la valeur : Pour que le programme de lancement d'applicatifs ignore tous les processus malveillants, saisissez 0. Pour qu'il les ferme, saisissez 1.

  5. Ajoutez une valeur Report Terminated (Rapport interrompu) à la clé de gestion de processus à l'aide des informations suivantes :

    Type de la valeur : DWORD

    Nom de la valeur : Report Terminated (Rapport interrompu)

    Données de la valeur : Pour désactiver la création de rapport pour les processus malveillants fermés par le programme de lancement d'applicatifs, saisissez 0. Pour l'activer, saisissez 1.

  6. Ajoutez une valeur Report Ignored (Rapport ignoré) à la clé de gestion de processus à l'aide des informations suivantes :

    Type de la valeur : DWORD

    Nom de la valeur : Report Ignored (Rapport ignoré)

    Données de la valeur : pour désactiver la création de rapport pour les processus malveillants ignorés par le programme de lancement d'applicatifs, saisissez 0. Pour l'activer, saisissez 1.

  7. Si vous avez activé la création de rapports en ajoutant une valeur Report Terminated (rapport interrompu) ou Report Ignored (rapport ignoré), vous devez déterminer la destination des rapports. Pour ce faire :

    1. Ajoutez une clé Reporting Targets (destination des rapports) à la clé Process management (gestion de processus) :

      HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process Management\Reporting Targets

    2. Pour configurer la création de rapport dans une base de données, ajoutez une valeur Database (base de données) à la clé Reporting targets (destination des rapports), à l'aide des informations suivantes :

      Type de la valeur : DWORD

      Nom de la valeur : Base de données

      Données de la valeur : pour désactiver la création de rapports dans une base de données, saisissez 0. Pour l'activer, saisissez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs enregistre les informations dans la base de données déterminée par l'ensemble Stratégie d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous à la Activation de la stratégie Base de données ZENworks .

      Pour plus d'informations sur les requêtes permettant de générer des rapports à partir de la base de données, reportez-vous à la Section 44.6, Génération de rapports à partir d'une base de données.

    3. Pour configurer la création de rapports SNMP, ajoutez une valeur SNMP à la clé Reporting targets (destination des rapports) à l'aide des informations suivantes :

      Type de la valeur : DWORD

      Nom de la valeur : SNMP

      Données de la valeur : pour désactiver la création de rapports SNMP, saisissez 0. Pour l'activer, saisissez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs envoie le rapport aux cibles de la trappe SNMP déterminées par l'ensemble Stratégie d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous à la Activation de la stratégie Cibles de trappes SNMP.

    4. Pour configurer la création de rapports XML, ajoutez une valeur XML à la clé Reporting Targets (destination des rapports) à l'aide des informations suivantes :

      Type de la valeur : DWORD

      Nom de la valeur : XML

      Données de la valeur : pour désactiver la création de rapports XML, saisissez 0. Pour l'activer, saisissez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs envoie des rapports aux cibles XML déterminées par l'ensemble Stratégie d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous à la Activation de la stratégie Cibles de trappes SNMP.

      Si les rapports XML sont traités dans une base de données, reportez-vous à la Section 44.6, Génération de rapports à partir d'une base de données pour plus d'informations sur les requêtes permettant de générer des rapports à partir de la base de données.

    5. Pour configurer la création de rapports dans un fichier journal, ajoutez une valeur File (fichier) à la clé Reporting targets (destination des rapports) à l'aide des informations suivantes :

      Type de la valeur : String

      Nom de la valeur : File

      Données de la valeur : chemin d'accès complet du fichier journal, nom de fichier compris. Il peut s'agir d'une unité assignée ou d'un chemin UNC d'une unité locale ou réseau. Par exemple, \\server1\vol1\process\rogue.txt. Si vous ne saisissez aucune valeur, la création de rapports dans un fichier journal est désactivée.

      Pour plus d'informations sur les données consignées dans le fichier journal, reportez-vous à la Section 44.7, Présentation des rapports créés dans un fichier journal.

  8. Si vous souhaitez utiliser une liste d'exceptions, créez une clé Exception list (liste d'exceptions) sous la clé Process management (gestion de processus) : 

    HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process Management\Exception List

    Le paramètre Default Action (opération par défaut) (Étape 4) détermine le traitement des processus de la liste d'exceptions. Si Default Action (Opération par défaut) a la valeur 0 (ignorer les processus), tous les processus ajoutés à la liste des exceptions sont fermés plutôt qu'ignorés. S'il est réglé sur 1 (mettre fin aux processus), les processus de la liste d'exceptions sont ignorés (et non fermés).

  9. Ajoutez une valeur DWORD à la clé Exception list (liste d'exceptions) pour chacun des processus à ajouter à la liste.

    Type de la valeur : DWORD

    Nom de la valeur : nom de fichier du processus. Vous pouvez saisir soit le nom du fichier exécutable affiché, soit le nom de fichier d'origine. Si le processus possède un nom de fichier d'origine, celui-ci apparaît dans l'onglet Version de la boîte de dialogue Propriétés de l'exécutable (cliquez avec le bouton droit sur le fichier exécutable, cliquez sur Propriétés, puis sur Version). Ne saisissez pas le chemin d'accès au fichier, seulement le nom du fichier.

    Données de la valeur : Ne saisissez rien dans ce champ.

  10. Enregistrez les modifications apportées au registre.

41.3.2 Création d'un objet Application pour distribuer les modifications du registre

  1. Dans ConsoleOne®, créez un objet Application simple (reportez-vous au Section 28.0, Distribution : applications simples si nécessaire), à l'aide des informations suivantes :

    Nom de l'objet : Spécifiez un nom unique pour l'objet eDirectory (par exemple, Gestion des processus malveillants).

    Chemin d'accès au fichier exécutable : Ne spécifiez rien dans ce champ.

    Règles de distribution : si vous souhaitez appliquer des règles spécifiques avant de distribuer les modifications du registre sur un poste de travail, définissez les règles. Vous pouvez également le faire ultérieurement.

    Associations : sélectionnez les utilisateurs ou les postes de travail auxquels vous souhaitez distribuez les modifications. Vous pouvez également le faire ultérieurement.

  2. Après avoir créé l'objet Application, cliquez avec le bouton droit sur l'objet, puis cliquez sur Propriétés pour afficher les pages de propriétés de l'objet.

  3. Cliquez sur Options de distribution, puis sur Registre pour afficher la page Registre.

  4. Créez la clé de registre suivante :

    HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process Management

    Pour créer la clé :

    1. Sélectionnez la clé HKEY_CURRENT_USER, cliquez sur Ajouter, puis sur Clé pour ajouter une nouvelle entrée appelée New Key (Nouvelle clé).

    2. Renommez la clé en Software (Logiciel).

    3. Répétez le processus décrit à l'Étape 4.a et à l'Étape 4.b pour créer la structure de la clé.

  5. Ajoutez une valeur Default Action (opération par défaut) à la clé de gestion de processus. Pour ce faire :

    1. Sélectionnez la clé Process Management (gestion de processus), cliquez sur Ajouter, puis sur DWORD pour afficher la boîte de dialogue Édition de la valeur DWORD, et enfin rensignez les champs comme suit :

      Nom de la valeur : Default Action

      Données de la valeur : Pour que le programme de lancement d'applicatifs ignore tous les processus malveillants, saisissez 0. Pour qu'il les ferme, saisissez 1.

    2. Cliquez sur OK pour ajouter la valeur Default Action (opération par défaut) à la clé Process management (gestion de processus).

  6. Ajoutez une valeur Report Terminated (rapport interrompu) à la clé Process management (gestion de processus). Pour ce faire :

    1. Sélectionnez la clé Process management (gestion de processus), cliquez sur Ajouter, puis sur DWORD pour afficher la boîte de dialogue Édition de la valeur DWORD, et enfin renseignez les champs comme suit :

      Nom de la valeur : Report Terminated (Rapport interrompu)

      Données de la valeur : Pour désactiver la création de rapport pour les processus malveillants fermés par le programme de lancement d'applicatifs, saisissez 0. Pour l'activer, saisissez 1.

    2. Cliquez sur OK pour ajouter la valeur Report Terminated (rapport interrompu) à la clé Process management (gestion de processus).

  7. Ajoutez une valeur Report Ignored (rapport ignoré) à la clé de Process management (gestion de processus). Pour ce faire :

    1. Sélectionnez la clé Process management (gestion de processus), cliquez sur Ajouter, puis sur DWORD pour afficher la boîte de dialogue Édition de la valeur DWORD, et enfin renseignez les champs comme suit :

      Nom de la valeur : Report Ignored (Rapport ignoré)

      Données de la valeur : pour désactiver la création de rapport pour les processus malveillants ignorés par le programme de lancement d'applicatifs, saisissez 0. Pour l'activer, saisissez 1.

    2. Cliquez sur OK pour ajouter la valeur Report ignored (rapport ignoré) à la clé Process management (gestion de processus).

  8. Si vous avez activé la création de rapports en ajoutant une valeur Report Terminated (rapport interrompu) ou Report Ignored (rapport ignoré), vous devez déterminer la destination des rapports. Pour ce faire :

    1. Ajoutez une clé Reporting Targets (destination des rapports) à la clé Process management (gestion de processus) :

      HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process Management\Reporting Targets

    2. Pour configurer la création de rapport dans une base de données, ajoutez une valeur Database (base de données) à la clé Reporting targets (destination des rapports), à l'aide des informations suivantes :

      Type de la valeur : DWORD

      Nom de la valeur : Base de données

      Données de la valeur : pour désactiver la création de rapports dans une base de données, saisissez 0. Pour l'activer, saisissez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs enregistre les informations dans la base de données déterminée par l'ensemble Stratégie d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous à la Activation de la stratégie Base de données ZENworks .

      Pour plus d'informations sur les requêtes permettant de générer des rapports à partir de la base de données, reportez-vous à la Section 44.6, Génération de rapports à partir d'une base de données.

    3. Pour configurer la création de rapports SNMP, ajoutez une valeur SNMP à la clé Reporting targets (destination des rapports) à l'aide des informations suivantes :

      Type de la valeur : DWORD

      Nom de la valeur : SNMP

      Données de la valeur : pour désactiver la création de rapports SNMP, saisissez 0. Pour l'activer, saisissez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs envoie le rapport aux cibles de la trappe SNMP déterminées par l'ensemble Stratégie d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous à la Activation de la stratégie Cibles de trappes SNMP.

    4. Pour configurer la création de rapports XML, ajoutez une valeur XML à la clé de Reporting targets (destination des rapports) à l'aide des informations suivantes :

      Type de la valeur : DWORD

      Nom de la valeur : XML

      Données de la valeur : pour désactiver la création de rapports XML, saisissez 0. Pour l'activer, saisissez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs envoie des rapports aux cibles XML déterminées par l'ensemble Stratégie d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous à la Activation de la stratégie Cibles de trappes SNMP.

      Si les rapports XML sont traités dans une base de données, reportez-vous à la Section 44.6, Génération de rapports à partir d'une base de données pour plus d'informations sur les requêtes permettant de générer des rapports à partir de la base de données.

    5. Pour configurer la création de rapports dans un fichier journal, ajoutez une valeur File (fichier) à la clé Reporting targets (destination des rapports) à l'aide des informations suivantes :

      Type de la valeur : String

      Nom de la valeur : File

      Données de la valeur : chemin d'accès complet du fichier journal, nom de fichier compris. Il peut s'agir d'une unité assignée ou d'un chemin UNC d'une unité locale ou réseau. Par exemple, \\server1\vol1\process\rogue.txt. Si vous ne saisissez aucune valeur, la création de rapports dans un fichier journal est désactivée.

      Pour plus d'informations sur les données consignées dans le fichier journal, reportez-vous à la Section 44.7, Présentation des rapports créés dans un fichier journal.

  9. Si vous souhaitez utiliser une liste d'exceptions, créez une clé Exception list (liste d'exceptions) sous la clé Process management (gestion de processus) : 

    HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process Management\Exception List

    Le paramètre Default Action (opération par défaut) (Étape 4) détermine le traitement des processus de la liste d'exceptions. Si Default Action (Opération par défaut) a la valeur 0 (ignorer les processus), tous les processus ajoutés à la liste des exceptions sont fermés plutôt qu'ignorés. S'il est réglé sur 1 (mettre fin aux processus), les processus de la liste d'exceptions sont ignorés (et non fermés).

  10. Ajoutez une valeur de chaîne à la clé Exception list (liste d'exceptions) pour chaque processus à ajouter à la liste. Pour ce faire :

    1. Sélectionnez la clé Exception list (liste d'exceptions), cliquez sur Ajouter, puis sur DWORD pour afficher la boîte de dialogue Édition de la valeur DWORD, et enfin renseignez les champs comme suit :

      Nom de la valeur : nom de fichier du processus. Vous pouvez saisir soit le nom du fichier exécutable affiché, soit le nom de fichier d'origine. Si le processus possède un nom de fichier d'origine, celui-ci apparaît dans l'onglet Version de la boîte de dialogue Propriétés de l'exécutable (cliquez avec le bouton droit sur le fichier exécutable et cliquez sur Propriétés, puis sur Version). Ne saisissez pas le chemin d'accès au fichier, seulement le nom du fichier.

      Données de la valeur : ne saisissez rien dans ce champ.

    2. Cliquez sur OK pour ajouter la valeur à la clé Exception list (liste d'exceptions).

  11. Cliquez sur l'onglet Associations pour afficher la page Associations.

  12. Ajoutez les utilisateurs et les postes de travail auxquels vous souhaitez distribuer les modifications. Pour vous assurer que les modifications seront effectuées sans intervention de l'utilisateur, cochez la case Forcer l'exécution pour chaque association.

  13. Cliquez sur OK pour enregistrer les modifications apportées à l'objet Application.

Les modifications du registre sont distribuées aux utilisateurs associés lors du prochain rafraîchissement du programme de lancement d'applicatifs et aux postes de travail associés lors du prochain rafraîchissement du composant Workstation Helper du programme de lancement d'applicatifs.