Configuration de la gestion des processus malveillants

La gestion des processus malveillants est activée et configurée via le registre Windows. Les sections suivantes expliquent comment modifier manuellement le registre sur les postes de travail Windows 98 et Windows 2000/XP et comment créer un objet Application pour distribuer les modifications du registre via le programme de lancement d'applicatifs :


Modification manuelle du registre

  1. Utilisez regedit.exe pour ouvrir le registre Windows.

  2. Localisez la clé suivante :

    HKEY_CURRENT_USER\Software\NetWare\NAL\1.0

  3. Ajoutez une clé de gestion de processus sous la clé 1.0 :

    HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process Management

  4. Ajoutez une valeur Default Action (Opération par défaut) à la clé de gestion de processus à l'aide des informations suivantes :

    Type de la valeur : DWORD

    Nom de la valeur : Default Action (Opération par défaut)

    Données de la valeur : Pour que le programme de lancement d'applicatifs ignore tous les processus malveillants, tapez 0. Pour qu'il les ferme, tapez 1.

  5. Ajoutez une valeur Report Terminated (Rapport interrompu) à la clé de gestion de processus à l'aide des informations suivantes :

    Type de la valeur : DWORD

    Nom de la valeur : Report Terminated (Rapport interrompu)

    Données de la valeur : Pour désactiver la création de rapport pour les processus malveillants fermés par le programme de lancement d'applicatifs, tapez 0. Pour l'activer, tapez 1.

  6. Ajoutez une valeur Report Ignored (Rapport ignoré) à la clé de gestion de processus à l'aide des informations suivantes :

    Type de la valeur : DWORD

    Nom de la valeur : Report Ignored (Rapport ignoré)

    Données de la valeur : Pour désactiver la création de rapport pour les processus malveillants ignorés par le programme de lancement d'applicatifs, tapez 0. Pour l'activer, tapez 1.

  7. Si vous avez activé la création de rapport en ajoutant une valeur Report Terminated ou Report Ignored, vous devez déterminer à quel emplacement les rapports doivent être envoyés. Pour ce faire :

    1. Ajoutez une clé Reporting Targets (Destination des rapports) à la clé de gestion de processus :

      HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process Management\Reporting Targets

    2. Pour configurer la création de rapport dans une base de données, ajoutez une valeur Database (Base de données) à la clé de destination des rapports à l'aide des informations suivantes :

      Type de la valeur : DWORD

      Nom de la valeur : Base de données

      Données de la valeur : Pour désactiver la création de rapport dans une base de données, entrez 0. Pour l'activer, entrez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs écrit dans la base de données déterminée par l'ensemble Règle d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous à Activation de la règle Base de données ZENworks .

      Pour plus d'informations sur les requêtes que vous pouvez utiliser pour générer des rapports à partir de la base de données, reportez-vous à Génération de rapports à partir d'une base de données.

    3. Pour configurer la création de rapport SNMP, ajoutez une valeur SNMP à la clé de destination des rapports à l'aide des informations suivantes :

      Type de la valeur : DWORD

      Nom de la valeur : SNMP

      Données de la valeur : Pour désactiver la création de rapport SNMP, entrez 0. Pour l'activer, entrez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs envoie aux cibles de la trappe SNMP déterminées par l'ensemble Règle d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous à Activation de la règle Cibles de trappes SNMP.

    4. Pour configurer la création de rapport XML, ajoutez une valeur XML à la clé de destination des rapports à l'aide des informations suivantes :

      Type de la valeur : DWORD

      Nom de la valeur : XML

      Données de la valeur : Pour désactiver la création de rapport XML, entrez 0. Pour l'activer, entrez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs envoie aux cibles XML déterminées par l'ensemble Règle d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous à Activation de la règle Cibles de trappes SNMP.

      Si les rapports XML sont traités dans une base de données, reportez-vous à Génération de rapports à partir d'une base de données pour plus d'informations sur les requêtes que vous pouvez utiliser pour générer des rapports à partir de la base de données.

    5. Pour configurer la création de rapport dans un fichier journal, ajoutez une valeur File (Fichier) à la clé de destination des rapports à l'aide des informations suivantes :

      Type de la valeur : String (Chaîne)

      Nom de la valeur : Fichier

      Données de la valeur : Spécifiez le chemin d'accès complet avec le nom de fichier à utiliser pour le fichier journal. Il peut s'agir d'une unité assignée ou d'un chemin UNC d'une unité locale ou réseau. Par exemple, \\server1\vol1\process\rogue.txt. Si vous n'entrez aucune valeur, la création de rapport dans un fichier journal est désactivée.

      Pour plus d'informations sur la présentation des informations écrites dans le fichier journal, reportez-vous à Présentation des rapports créés dans un fichier journal.

  8. Si vous souhaitez utiliser une liste des exceptions, créez une clé de liste des exceptions sous la clé de gestion de processus : 

    HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process Management\Exception List

    Le paramètre Default Action (Opération par défaut) (Etape 4) détermine le type de traitement des processus ajoutés à la liste des exceptions. Si Default Action (Opération par défaut) a la valeur 0 (ignorer les processus), tous les processus ajoutés à la liste des exceptions sont fermés plutôt qu'ignorés. Si Default Action (Opération par défaut) a la valeur 1 (mettre fin aux processus), tous les processus ajoutés à la liste des exceptions sont ignorés plutôt que fermés.

  9. Ajoutez une valeur de chaîne à la clé de liste des exceptions pour chaque processus à ajouter à la liste.

    Type de la valeur : DWORD

    Nom de la valeur : Entrez le nom de fichier du processus. Vous pouvez entrer soit le nom du fichier exécutable affiché, soit le nom de fichier d'origine. Si le processus possède un nom de fichier d'origine, il s'affiche sous l'onglet Version de la boîte de dialogue Propriétés de l'exécutable (cliquez avec le bouton droit sur le fichier exécutable > cliquez sur Propriétés > cliquez sur Version). N'entrez pas le chemin d'accès au fichier, seulement le nom du fichier.

    Données de la valeur : N'entrez rien dans ce champ.

  10. Enregistrez les modifications apportées au registre.


Création d'un objet Application pour distribuer les modifications du registre

  1. Dans ConsoleOne®, créez un objet Application simple (reportez-vous au Distribution : applications simples si nécessaire), à l'aide des informations suivantes :

    Nom de l'objet : Spécifiez un nom unique pour l'objet eDirectory (par exemple, Gestion des processus malveillants).

    Chemin d'accès au fichier exécutable : Ne spécifiez rien dans ce champ.

    Règles de distribution : Si vous souhaitez appliquer des règles spécifiques avant de distribuer les modifications du registre sur un poste de travail, définissez les règles. Vous pouvez également le faire ultérieurement.

    Associations : Sélectionnez les utilisateurs ou les postes de travail auxquels vous souhaitez distribuez les modifications. Vous pouvez également le faire ultérieurement.

  2. Après la création de l'objet Application, cliquez avec le bouton droit sur l'objet, puis cliquez sur Propriétés pour afficher les pages de propriétés de l'objet.

  3. Cliquez sur Options de distribution, puis sur Registre pour afficher la page Registre.

  4. Créez la clé de registre suivante :

    HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process Management

    Pour créer la clé :

    1. Sélectionnez la clé HKEY_CURRENT_USER, cliquez sur Ajouter, puis sur Clé pour ajouter une nouvelle entrée appelée Nouvelle clé.

    2. Renommez la clé en Software (Logiciel).

    3. Répétez le processus décrit aux Etape 4.a et Etape 4.b pour créer la structure complète de la clé.

  5. Ajoutez une valeur Default Action (Opération par défaut) à la clé de gestion de processus. Pour ce faire :

    1. Sélectionnez la clé de gestion de processus, cliquez sur Ajouter, puis sur DWORD pour afficher la boîte de dialogue Éditer une valeur DWORD, et enfin remplissez les champs comme suit :

      Nom de la valeur : Default Action (Opération par défaut)

      Données de la valeur : Pour que le programme de lancement d'applicatifs ignore tous les processus malveillants, tapez 0. Pour qu'il les ferme, tapez 1.

    2. Cliquez sur OK pour ajouter la valeur Default Action (Opération par défaut) à la clé de gestion de processus.

  6. Ajoutez une valeur Report Terminated (Rapport interrompu) à la clé de gestion de processus. Pour ce faire :

    1. Sélectionnez la clé de gestion de processus, cliquez sur Ajouter, puis sur DWORD pour afficher la boîte de dialogue Éditer une valeur DWORD, et enfin remplissez les champs comme suit :

      Nom de la valeur : Report Terminated (Rapport interrompu)

      Données de la valeur : Pour désactiver la création de rapport pour les processus malveillants fermés par le programme de lancement d'applicatifs, tapez 0. Pour l'activer, tapez 1.

    2. Cliquez sur OK pour ajouter la valeur Report Terminated (Rapport interrompu) à la clé de gestion de processus.

  7. Ajoutez une valeur Report Ignored (Rapport ignoré) à la clé de gestion de processus. Pour ce faire :

    1. Sélectionnez la clé de gestion de processus, cliquez sur Ajouter, puis sur DWORD pour afficher la boîte de dialogue Éditer une valeur DWORD, et enfin remplissez les champs comme suit :

      Nom de la valeur : Report Ignored (Rapport ignoré)

      Données de la valeur : Pour désactiver la création de rapport pour les processus malveillants ignorés par le programme de lancement d'applicatifs, tapez 0. Pour l'activer, tapez 1.

    2. Cliquez sur OK pour ajouter la valeur Report Ignored (Rapport ignoré) à la clé de gestion de processus.

  8. Si vous avez activé la création de rapport en ajoutant une valeur Report Terminated ou Report Ignored, vous devez déterminer à quel emplacement les rapports doivent être envoyés. Pour ce faire :

    1. Ajoutez une clé Reporting Targets (Destination des rapports) à la clé de gestion de processus :

      HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process Management\Reporting Targets

    2. Pour configurer la création de rapport dans une base de données, ajoutez une valeur Database (Base de données) à la clé de destination des rapports à l'aide des informations suivantes :

      Type de la valeur : DWORD

      Nom de la valeur : Base de données

      Données de la valeur : Pour désactiver la création de rapport dans une base de données, entrez 0. Pour l'activer, entrez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs écrit dans la base de données déterminée par l'ensemble Règle d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous à Activation de la règle Base de données ZENworks .

      Pour plus d'informations sur les requêtes que vous pouvez utiliser pour générer des rapports à partir de la base de données, reportez-vous à Génération de rapports à partir d'une base de données.

    3. Pour configurer la création de rapport SNMP, ajoutez une valeur SNMP à la clé de destination des rapports à l'aide des informations suivantes :

      Type de la valeur : DWORD

      Nom de la valeur : SNMP

      Données de la valeur : Pour désactiver la création de rapport SNMP, entrez 0. Pour l'activer, entrez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs envoie aux cibles de la trappe SNMP déterminées par l'ensemble Règle d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous à Activation de la règle Cibles de trappes SNMP.

    4. Pour configurer la création de rapport XML, ajoutez une valeur XML à la clé de destination des rapports à l'aide des informations suivantes :

      Type de la valeur : DWORD

      Nom de la valeur : XML

      Données de la valeur : Pour désactiver la création de rapport XML, entrez 0. Pour l'activer, entrez 1. Lorsque cette option est activée, le programme de lancement d'applicatifs envoie aux cibles XML déterminées par l'ensemble Règle d'emplacement du service associé à l'utilisateur. Pour plus d'informations, reportez-vous à Activation de la règle Cibles de trappes SNMP.

      Si les rapports XML sont traités dans une base de données, reportez-vous à Génération de rapports à partir d'une base de données pour plus d'informations sur les requêtes que vous pouvez utiliser pour générer des rapports à partir de la base de données.

    5. Pour configurer la création de rapport dans un fichier journal, ajoutez une valeur File (Fichier) à la clé de destination des rapports à l'aide des informations suivantes :

      Type de la valeur : String (Chaîne)

      Nom de la valeur : Fichier

      Données de la valeur : Spécifiez le chemin d'accès complet avec le nom de fichier à utiliser pour le fichier journal. Il peut s'agir d'une unité assignée ou d'un chemin UNC d'une unité locale ou réseau. Par exemple, \\server1\vol1\process\rogue.txt. Si vous n'entrez aucune valeur, la création de rapport dans un fichier journal est désactivée.

      Pour plus d'informations sur la présentation des informations écrites dans le fichier journal, reportez-vous à Présentation des rapports créés dans un fichier journal.

  9. Si vous souhaitez utiliser une liste des exceptions, créez une clé de liste des exceptions sous la clé de gestion de processus : 

    HKEY_CURRENT_USER\Software\NetWare\NAL\1.0\Process Management\Exception List

    Le paramètre Default Action (Opération par défaut) (Etape 4) détermine le type de traitement des processus ajoutés à la liste des exceptions. Si Default Action (Opération par défaut) a la valeur 0 (ignorer les processus), tous les processus ajoutés à la liste des exceptions sont fermés plutôt qu'ignorés. Si Default Action (Opération par défaut) a la valeur 1 (mettre fin aux processus), tous les processus ajoutés à la liste des exceptions sont ignorés plutôt que fermés.

  10. Ajoutez une valeur de chaîne à la clé de liste des exceptions pour chaque processus à ajouter à la liste. Pour ce faire :

    1. Sélectionnez la clé de liste des exceptions, cliquez sur Ajouter, puis sur DWORD pour afficher la boîte de dialogue Éditer une valeur DWORD, et enfin remplissez les champs comme suit :

      Nom de la valeur : Entrez le nom de fichier du processus. Vous pouvez entrer soit le nom du fichier exécutable affiché, soit le nom de fichier d'origine. Si le processus possède un nom de fichier d'origine, il s'affiche sous l'onglet Version de la boîte de dialogue Propriétés de l'exécutable (cliquez avec le bouton droit sur le fichier exécutable, cliquez sur Propriétés, puis sur Version). N'entrez pas le chemin d'accès au fichier, seulement le nom du fichier.

      Données de la valeur : N'entrez rien dans ce champ.

    2. Cliquez sur OK pour ajouter la valeur à la clé de liste des exceptions.

  11. Cliquez sur l'onglet Associations pour afficher la page Associations.

  12. Ajoutez les utilisateurs et les postes de travail auxquels vous souhaitez distribuer les modifications. Pour s'assurer que les modifications sont effectuées sans faire intervenir l'utilisateur, cochez l'option Forcer l'exécution pour chaque association.

  13. Cliquez sur OK pour enregistrer les modifications apportées à l'objet Application.

Les modifications du registre sont distribuées aux utilisateurs associés lors du prochain rafraîchissement du programme de lancement d'applicatifs et aux postes de travail associés lors du prochain rafraîchissement du composant Workstation Helper du programme de lancement d'applicatifs.