Gerätenetzwerkisolation und Reparatur (neu in 2017.1)

Wenn Sie vermuten, dass auf einem Endpunkt Schadsoftware ausgeführt wird, ist die beste Vorgehensweise, den Endpunkt vom Netzwerk zu isolieren, um sicherzustellen, dass die Malware nicht auf andere Endpunkte verteilt wird.

Die Endpoint Security für Endpoint Manager Isolationsmöglichkeit bietet Ihnen eine End-to-End-Lösung, mit der Sie schnell auf Sicherheitsbedrohungen reagieren und sie so schnell wie möglich beheben können. Mit Endpoint Security für Endpoint Manager können Sie:

  1. Ein Gerät direkt von der Managementkonsole aus isolieren, indem Sie in der Netzwerkansicht mit der rechten Maustaste auf das Gerät und dann auf Isolation klicken. Es ist nicht nötig, physisch zum Endpunkt zu "gehen".
  2. Eine Remotesteuerungssitzung zum isolierten Gerät öffnen, um den Schaden einschätzen zu können.
  3. Beliebige Arten von Software oder Skripten auf dem Endpunkt bereitstellen. Das ist besonders nützlich bei der Bereitstellung eines einmaligen Virenscanners, bei dem Sie dessen aktuellsten Virusdefinitionen aus dem Internet herunterladen müssen. Endpoint Security für Endpoint Manager ermöglicht es Ihnen, den Zugriff auf das Internet für bestimmte Programme zu ermöglichen, während der Rest des Gerätes isoliert bleibt.

Alle oben genannten Möglichkeiten stehen in einer einfachen Ansicht zur Verfügung, wodurch eine kurze Zeit für die Reparatur sichergestellt wird.

Für jedes isolierte Gerät wird in der Konsole ein bestimmtes Sysmbol angezeigt. Das Symbol stellt den EPS Client dar und bestätigt, dass der Endpunkt isoliert werden konnte.

Funktionsweise der Netzwerkisolation

Wenn Sie für ein Gerät in der Netzwerkansicht die Option "Isolation" wählen, wird ein neues Fenster geöffnet, in dem Sie sofort eine Remotesteuerungssitzung starten und ein bereitzustellendes Softwarepaket auswählen können (eine Liste von Softwarepaketen wird aus den Softwareverteilungseinstellungen importiert).

Nachdem Sie die gewünschten Optionen ausgewählt und auf OK geklickt haben, versucht der Core sofort, den Endpunkt mit dem Standard-Push-Mechanismus zu benachrichtigen. Wenn der Endpunkt nicht direkt vom Core aus angesprochen werden kann, z. B. wenn der Endpunkt über eine CSA verbunden ist, wird der Core eine andere Push-Technik verwenden, die die Remotesteuerungssitzungs-Push-Funktionen nutzt, um den Endpunkt zu benachrichtigen.

Sobald der EPS Agent benachrichtigt wurde, blockiert der EPS Agent den gesasmten Netzwerkverkehr zum/vom Gerät auf allen Ports außer den Kommunikationsports für Endpoint Security für Endpoint Manager und die Remotesteuerung. Dadurch kann der Core den Endpunkt weiter verwalten, nachdem das Gerät isoliert wurde. EPS lässt auch DNS-Datenverkehr zu, sodass der Ivanti Agent weiterhin arbeiten kann. Der EPS Agent erlaubt nur Datenverkehr zum/vom Core/CSA auf den ausdrücklich geöffneten Ports, die ausschließlich zum Senden/Empfangen von Datenverkehr von der Managementkonsole verwendet werden können.

Wenn Sie ein Softwarepaket bereitgestellen oder eine Remotesteuerungssitzung starten müssen, werden die relevanten Agentenkomponenten benachrichtigt, damit diese Prozesse gestartet werden können.

Wenn Sie möchten, dass ein bestimmter Prozess eine Verbindung zum Internet herstellt, während das Gerät vom Netzwerk isoliert ist, öffnen Sie die Benutzeroberfläche des EPS Agente und suchen nach dem Prozess. Klicken Sie mit der rechten Maustaste und wählen Sie die gewünschte Option aus.

IMPORTANT: Der Remotesteuerungsagent muss auf dem Endpunkt installiert sein, damit der Core den Isolationsbefehl per Push an Endpunkte senden kann, die über eine CSA verbunden sind.

Zusätzlich zum oben Genannten können Sie die anderen Reparaturmöglichkeiten des Produkts nutzen, sobald der Endpunkt isoliert ist. Die Merkmale umfassen Folgendes:

  • Remotedateiansicht und -verwaltung (Remotedateien löschen ).
  • Prozessansicht und Prozessbeendigung.
  • Vollständige Inventaranalyse - Erkennen, welche Anwendungen auf dem Endpunkt wann installiert und zuletzt ausgeführt wurden.
  • Vollständiger Remotezugriff auf Windows-Protokolle.
  • Abschaltung oder Neustart des Endpunkts.

Wenn die schädliche Software vom Endpunkt entfernt wurde, können Sie den Endpunkt aus der Isolation "entlassen". Andernfalls benutzen Sie die Bereitstellung, um auf dem Endpunkt ein neues Abbild aufzuspielen.