On désigne les programmes exécutés comme des processus. On désigne les processus qui en créent un autre comme des processus parents et les nouveaux créés comme des enfants.
Le contrôle des applications classique ne concerne en général que les processus parents et, dans ce cas, couvre l’exécution des applications. Les critères d’autorisation des processus enfants appelés par ces applications restent une zone d’ombre. La création de processus enfants malveillants étant une stratégie d’infection courante pour exploiter l’application parente en vecteur, il faut surveiller de près le sort de ces processus.
Toutefois, on ne peut pas simplement décider de bloquer arbitrairement tous les processus enfants. On doit établir des exclusions selon la confiance et le besoin pour permettre le fonctionnement constant des applications métier. Mais, le choix de toutes les extensions à autoriser peut aussi s’avérer fastidieux.
Par exemple, un ingénieur logiciel utilisant un IDE comme Visual Studio a souvent besoin d’exécuter de nombreuses extensions ou processus enfants. Un administrateur système déployant des stratégies de contrôle des processus enfants peut ignorer les conditions précises de chaque employé et, même en les connaissant, il lui serait impossible de choisir manuellement chaque extension. Sinon, on peut procéder autrement : permettre le choix d’une série d’applications parentes et autoriser automatiquement tous les processus enfants appelés.
ManageEngine Application Control Plus permet à ses utilisateurs de contrôler les processus enfants des applications qu’ils autorisent. Les utilisateurs peuvent configurer globalement la stratégie de contrôle des processus enfants pour choisir toutes les applications qu’ils jugent de confiance et nécessaires. Seuls les processus enfants appelés par ces applications choisies sont autorisés à s’exécuter sur tous les appareils détectés, le reste restant bloqué.
Si on configure les applications choisies pour s’exécuter avec des privilèges élevés via la fonctionnalité de gestion des privilèges de terminal, leurs processus enfants en héritent aussi. Remarque : en mode audit, toutes les applications et leurs processus enfants sont autorisés à s’exécuter, sauf mise en liste rouge explicite.