Aide d'Endpoint Security

Utilisez cette boîte de dialogue (Outils > Configuration > Paramètres d'agent > Endpoint Security) pour créer et modifier des profils de paramètres Endpoint Security.

Cette boîte de dialogue contient les pages suivantes :

À propos de la page Endpoint Security : Page Paramètres généraux

Utilisez cette page pour configurer la reconnaissance de l'emplacement (réseaux de confiance) et autres paramètres d'accès.

  • Nom : Identifie le paramétrage par un nom unique.
  • Administrateur : Spécifie le mot de passe administrateur et les options voulues.
    • Utiliser un mot de passe pour l'administrateur : Spécifie le mot de passe requis sur les périphériques configurés avec ce paramétrage Endpoint Security afin d'exécuter certaines actions sur le périphérique protégé.
    • Permettre au Gestionnaire de services Windows d'interrompre le service Endpoint Security : Permet à l'utilisateur final d'arrêter le service Endpoint Security sur le client.
  • Interface du client : Spécifie le mode d'affichage du client Endpoint Security sur les périphériques gérés.
    • Afficher l'icône dans la zone de notification de la barre des tâches : Affiche l'icône de zone de notification dans l'interface du client.
    • Afficher les bulles d'astuces des violations : Affiche un message sur le périphérique de l'utilisateur final si une opération bloquée est tentée.
    • Afficher le raccourci du menu de démarrage dans le groupe Ivanti Management : Affiche l'icône de programme du client Endpoint Security dans le menu Démarrer (cliquez sur Démarrer > Programmes > Ivanti Management).
  • Enregistrer : Enregistre les changements et ferme la boîte de dialogue.

À propos de la page Endpoint Security : Signatures numériques

Utilisez cette page pour afficher et gérer les applications et fournisseurs de confiance dotés d'une signature numérique.

  • Ne pas faire confiance aux applications signées numériquement : Ne pas faire automatiquement confiance aux applications signées numériquement. Désactive le reste des options de la boîte de dialogue.
  • Faire confiance à toutes les applications signées numériquement : Automatiquement faire confiance aux applications signées numériquement. Soyez prudent lorsque vous utilisez cette option. Bien que la signature numérique soit un gage de crédibilité, cela ne garantit pas que l'application doit être autorisée dans votre environnement.
  • Faire confiance aux applications signées numériquement par ces fournisseurs : Faire uniquement confiance aux applications signées par les fournisseurs que vous spécifiez. Par défaut, la liste des fournisseurs de bonne réputation se trouve dans Fournisseurs approuvés. Vous pouvez utiliser les boutons situés sous cette liste pour la modifier.
  • Fournisseurs découverts : Fournisseurs détectés par l'analyseur d'inventaire des logiciels sur les périphériques gérés.
  • Fournisseurs approuvés : Noms des fournisseurs de confiance. Utilisez des caractères génériques pour vous assurer que le nom de fournisseur corresponde aux différentes variantes de ce nom qui figurent dans les applications à signature numérique.
  • Ajouter, Modifier et Supprimer : Utiliser ces options pour gérer les noms figurant dans la liste des fournisseurs.

À propos de la page Endpoint Security : Stratégie par défaut

Utilisez cette page pour configurer les composants de sécurité à activer et les paramètres à utiliser pour chaque composant. Certaines options de cette page ne sont pas disponibles, sauf si vous activez d'abord certains composants, comme Application Control.

Composants : Sélectionnez les composants à déployer et les paramètres à utiliser pour chaque composant.

À propos de la page Endpoint Security : Dossiers surveillés

Utilisez cette boîte de dialogue pour spécifier les chemins de dossiers à surveiller sur les périphériques gérés. Tous les fichiers et dossier enfant d'un dossier surveillé sont également surveillés. Utilisez la section Contrôle des applications de l'outil Activités de sécurité (Outils > Sécurité et conformité > Activités de sécurité) pour afficher les notifications concernant les dossiers surveillés. Si des actions de sécurité du poste client (Endpoint Security) nécessitent votre attention, vous verrez également une notification lors de votre connexion à la console Endpoint Manager.

Cliquez sur Ajouter, puis spécifiez le chemin du dossier, les motifs de fichier, les exclusions et les activités de fichier à surveiller.

À propos de la page Endpoint Security : Correctifs intermédiaires

Utilisez cette page pour configurer la manière dont Endpoint Security gère les navigateurs Web qui ne comportent pas les correctifs les plus récents.

Parfois, certains correctifs de navigateur peuvent empêcher le fonctionnement correct d'applications Wed d'entreprise exécutées dans le navigateur en question. Dans ce cas, certains administrateurs choisissent d'annuler (rollback) le correctif pour que l'application Web d'entreprise continue de fonctionner.

Utilisez la fonction de correctifs intermédiaires pour empêcher les navigateurs sans correctif d'accéder à des sites Internet non marqués De confiance. Les navigateurs sans correctif constituent une cible de choix pour une infection par malware. Une fois cette fonction activée, Endpoint Security détecte automatiquement les navigateurs où il manque des correctifs et bloque l'accès aux sites Web qui ne figurent pas dans la liste Sites de confiance. Cela garantit que les utilisateurs finaux ne peuvent utiliser le navigateur sans correctif que pour visiter des sites de confiance.

  • Applications surveillées pour correctifs manquants : Sélectionnez les applications de navigateur où surveiller les correctifs manquants.
  • Sites de confiance : Ajoutez à cette liste les sites auxquels le navigateur doit être autorisé à accéder même s'il lui manque des correctifs. Vous pouvez ajouter des éléments en indiquant une adresse IP, une plage d'adresses IP, une adresse de sous-réseau ou un nom d'hôte. Les navigateurs sans correctif surveillés ne peuvent accéder qu'aux sites de cette liste.

À propos de la page Correction auto dans Endpoint Security

Depuis Ivanti Endpoint Management version 2017.3, Ivanti Software propose une nouvelle fonction de sécurité du poste client (Endpoint Security) appelée « Correction auto ». Cette action peut être déclenchée par un malware, un ransomware et via l'API.

Les pages de cette section configurent la correction auto des malwares et des ransomwares. Par défaut, la correction auto est désactivée par défaut. Vous devez cliquer sur Activer dans la page Correction auto pour activer la correction auto, et configurer les pages Déclencheurs et Actions.

Attention, pour une protection supplémentaire contre les ransomwares, vous pouvez utiliser les paramètres d'agent Contrôle des applications (Application Control) sous Sécurité > Enpoint Security > Contrôle des applications afin de restreindre l'accès aux lecteurs physiques ou de détecter automatiquement les cryptoransomwares et les mettre sur liste noire.

À propos de la page Endpoint Security - Correction auto : Déclencheurs

Endpoint Security surveille les fichiers journaux en temps réel créés par les principaux logiciels antivirus. Lorsque ces produits détectent un malware, ils écrivent des entrées dans leur fichier journal. Cependant, les noms de malware utilisés par les divers fournisseurs sont différents. C'est pourquoi vous devez savoir comment votre fournisseur d'antivirus consigne les malwares qui vous inquiètent. Pour connaître les mots-clés des différents fournisseurs, utilisez les liens suivants.

• Kaspersky - Classification des programmes malveillants

• Symantec - Classification des codes malveillants et types de menace

• McAfee - Résultats de la recherche dans la bibliothèque de menaces

• Trend Micro - Virus/Malware

• Sophos - Protection avancée contre les malwares ciblés | Sophos ATP pour réseau d'entreprise et menaces réseau

Vous pouvez ensuite entrer une liste de mots-clés séparés par des virgules, dans la page Déclencheurs. Lorsque le système détecte l'un de ces mots-clés dans le journal de l'antivirus, la correction auto est déclenchée et les actions configurées sont exécutées.

À ce jour, les logiciels antivirus suivants sont pris en charge :

  • Ivanti Antivirus 2017.3 (Kaspersky Endpoint Security pour Windows 10.0 SP1)
  • Symantec Endpoint Protection 14
  • McAfee VirusScan Enterprise 8.8
  • Trend Micro OfficeScan Client 5.0
  • Sophos Anti-Virus 5.8

Lorsqu'elle se déclenche, la correction auto envoie automatiquement des infos

  • Déclenché par un malware : Sélectionnez cette option pour que des mots-clés dans les journaux d'antivirus déclenchent la correction auto.
  • Mots-clés (séparés par une virgule) : Spécifiez les mots-clés utilisés par votre logiciel antivirus.
  • Déclenché par un ransomware : Sélectionnez cette option pour qu'un ransomware déclenche la correction auto.
  • Déclenché par une API : Pour en savoir plus, consultez ce document sur le site de la communauté Ivanti.

À propos de la page Endpoint Security - Correction auto : Actions

Les actions de cette page sont exécutées lorsque les critères spécifiés dans la page Déclencheurs sont satisfaits.

  • Isoler le périphérique du réseau mais autoriser la gestion à distance : Utilise le pare-feu Ivanti pour isoler le périphérique de tout le trafic, à l'exception du trafic de gestion provenant de la console Ivanti. Le contrôle à distance, la distribution de logiciels, etc. fonctionnent toujours.
  • Arrêter ou Redémarrer : Force l'arrêt ou le redémarrage du système. Vous pouvez définir un message, qui sera affiché pour l'utilisateur pendant l'événement, mais qui ne lui permettra ni de retarder ni d'interrompre l'arrêt ou le redémarrage.
  • Exécuter l'analyse de sécurité : Exécute une analyse de sécurité en fonction des paramètres Distribution et correctifs spécifiés.
  • Déployer un paquet : Déploie le paquet spécifié. Il peut s'agir d'un outil de correction secondaire, comme un produit Malwarebytes.

À propos de la page Endpoint Security - Avancé

Utilisez cette boîte de dialogue pour configurer les options de sécurité avancée.

  • Autoriser la génération de codes d'autorisation de sécurité : Créez un code d'autorisation qui permettra à l'utilisateur final, pendant une brève période, d'exécuter une opération habituellement bloquée. Pour en savoir plus, reportez-vous à « Génération de codes d'autorisation de sécurité ».
  • Permettre au gestionnaire de contrôle des services Windows d'arrêter le service Ivanti Endpoint Security : En temps normal, les utilisateurs ne peuvent pas utiliser Gestionnaire de contrôle des services Windows pour arrêter le service Ivanti Endpoint Security. Sélectionnez cette option pour autoriser les utilisateurs à arrêter ce service.
  • Appliquer la protection Ivanti Endpoint Security en mode sans échec : Normalement, le mode Sans échec Windows désactive Endpoint Security. Sélectionnez cette option pour qu'Endpoint Security soit actif en mode Sans échec.
  • Touches d'accès rapide globales : Spécifie les raccourcis clavier utilisés pour accéder à des fonctions Endpoint Security spécifiques.
    • Accès rapide de contournement contrôle de périphériques : Permet de définir une séquence de touches d'accès rapide, que les administrateurs système utilisent pour accéder temporairement à un périphérique bloqué. La combinaison de touches par défaut est Ctrl+Maj+F1. Pour saisir la combinaison de touches voulues, placez le curseur dans le champ, puis appuyez sur les touches (ou maintenez-les) dans l'ordre souhaité.
  • Fournir plus de notifications à l'utilisateur final
  • Protéger les fichiers Ivanti contre les changements

À propos de la page Endpoint Security : Dossiers de confiance

Utilisez cette boîte de dialogue pour spécifier les chemins de dossiers à considérer comme emplacements de confiance sur les périphériques gérés.

Cliquez sur Ajouter, puis spécifiez un chemin de dossier et les droits à lui attribuer, ainsi qu'à tous ses dossiers enfant.

À propos de la page Endpoint Security - Avancé : Signatures numériques

Utilisez cette page pour afficher et gérer les applications et fournisseurs de confiance dotés d'une signature numérique.

  • Ne pas faire confiance aux applications signées numériquement : Ne pas faire automatiquement confiance aux applications signées numériquement. Désactive le reste des options de la boîte de dialogue.
  • Faire confiance à toutes les applications signées numériquement : Automatiquement faire confiance aux applications signées numériquement. Soyez prudent lorsque vous utilisez cette option. Bien que la signature numérique soit un gage de crédibilité, cela ne garantit pas que l'application doit être autorisée dans votre environnement.
  • Faire confiance aux applications signées numériquement par ces fournisseurs : Faire uniquement confiance aux applications signées par les fournisseurs que vous spécifiez. Par défaut, la liste des fournisseurs de bonne réputation se trouve dans Fournisseurs approuvés. Vous pouvez utiliser les boutons situés sous cette liste pour la modifier.
  • Fournisseurs découverts : Fournisseurs détectés par l'analyseur d'inventaire des logiciels sur les périphériques gérés.
  • Fournisseurs de confiance : Cette liste s'affiche à droite de la liste des fournisseurs découverts et contient les signatures de fournisseur que vous pouvez gérer, en indiquant si ces fournisseurs sont marqués De confiance ou pas. Utilisez des caractères génériques pour vous assurer que le nom de fournisseur corresponde aux différentes variantes de ce nom qui figurent dans les applications à signature numérique.
  • Ajouter, Modifier et Supprimer : Utiliser ces options pour gérer les noms figurant dans la liste des fournisseurs.

À propos de la page Endpoint Security - Avancé : Listes de fichiers d'application

Vous pouvez modifier cette liste si vous avez choisi les composants Application Control ou Ivanti Firewall. La liste des fichiers d'applications garantit que les fichiers du système de fichiers d'un périphérique ne sont pas des malwares et que personne ne les a manipulés. Pour en savoir plus, reportez-vous à « Utilisation de la réputation des fichiers pour bloquer des applications ».

  • Listes de fichiers d'application : Utilisez les boutons Ajouter et Modifier pour configurer les listes de fichiers de confiance à utiliser.
  • Liste d'apprentissage : Lorsqu'un composant est défini en mode d'apprentissage, les informations de fichier apprises sont ajoutées à cette liste.
  • Ajouter l'activité d'apprentissage uniquement dans la liste d'apprentissage : Met uniquement à jour la liste d'apprentissage que vous spécifiez.
  • Ajouter l'activité d'apprentissage à toutes les listes où le même fichier existe déjà : Met à jour toutes les listes de fichiers de confiance qui comportent déjà une entrée pour le fichier appris.
  • Ajouter automatiquement à la liste des fichiers d'application les fichiers sécurisés par signature numérique : Application Control interroge l'exécution de chaque fichier pour détecter la présence d'un certificat numérique. Si le fichier possède un certificat numérique valide, le fichier est autorisé à s'exécuter. Notez que tous les processus signés numériquement par LANDesk et Ivanti sont marqué De confiance par défaut, quel que soit la valeur de ce paramètre. Désactivé par défaut.
  • Activer la liste locale des fichiers d'application : Active la liste locale des fichiers d'application sur les ordinateurs non gérables depuis le serveur principal ou les consoles supplémentaires. Certains clients peuvent trouver cette fonction utile, mais la modification de cette liste nécessite un accès physique ou par contrôle à distance à l'ordinateur. Lorsque vous affichez une liste de fichiers dans Endpoint Security, la colonne Étendue indique Global ou Local. Désactivé par défaut.