Isolation réseau et correction des périphériques (nouveauté 2017.1)

Lorsque vous suspectez un poste client d'exécuter un malware, la meilleure pratique consiste à isoler ce poste client du réseau pour éviter que le malware ne se propage à d'autres postes client.

La fonction d'isolement Endpoint Security pour Endpoint Manager offre une solution de bout en bout qui vous permet de réagir rapidement aux menaces de sécurité et de les éliminer le plus vite possible. Endpoint Security pour Endpoint Manager vous permet d'effectuer les opérations suivantes :

  1. Isoler un périphérique directement depuis la console de gestion en cliquant dessus avec le bouton droit dans la vue réseau et en sélectionnant Isolement. Vous n'avez pas besoin d'accéder physiquement au poste client.
  2. Ouvrir une session de contrôle à distance sur le périphérique isolé pour estimer les dommages.
  3. Déployer les logiciels ou les scripts voulus sur le poste client. Cette fonction s'avère particulièrement utile pour déployer un analyseur antivirus à utilisation unique, qui nécessite le téléchargement de ses dernières définitions de virus depuis Internet. Endpoint Security pour Endpoint Manager vous permet d'autoriser l'accès Internet de logiciels spécifiques alors que le reste du périphérique est isolé.

Toutes les opérations suivantes peuvent être réalisées depuis une vue unique très simple, ce qui accélère la correction.

Une icône spécifique s'affiche dans la console pour chaque périphérique isolé. Cette icône représente le client EPS et signale qu'il a été possible d'isoler le poste client.

Fonctionnement de l'isolement réseau

Lorsque vous choisissez l'option d'isolement réseau pour un périphérique dans la vue réseau, une nouvelle fenêtre s'ouvre et vous permet de démarrer immédiatement une session de contrôle à distance. Vous pouvez également choisir le paquet Logiciel à déployer (la liste des logiciels est importée depuis les paramètres Distribution de logiciels).

Une fois que vous avez sélectionné les options voulues, cliquez sur OK. Le serveur principal essaie immédiatement de prévenir le poste client à l'aide du mécanisme Push standard. Si le poste client ne peut pas être connecté directement depuis le serveur principal, par exemple s'il est connecté via un CSA, le serveur principal utilise une autre technique Push qui exploite les fonctions Push de contrôle à distance pour avertir le poste client.

Une fois l'agent EPS averti, il bloque tout le trafic réseau vers et depuis le périphérique sur tous les ports, sauf les ports de communication Endpoint Security pour Endpoint Manager et de contrôle à distance. Ainsi, le serveur principal peut continuer à gérer le poste client même une fois le périphérique isolé. EPS autorise également le trafic DNS, ce qui garantit que l'agent Ivanti continue à fonctionner. L'agent EPS autorise uniquement le trafic vers/depuis le serveur principal ou le CSA sur les ports ouverts spécifiés, qui peuvent uniquement servir à la réception/transmission du trafic avec la console de gestion.

Si vous avez besoin de déployer un paquet Logiciel ou d'ouvrir une session de contrôle à distance, les composants d'agent appropriés reçoivent une notification pour que ces processus puissent démarrer.

Pour autoriser un processus spécifique à se connecter à Internet alors que le périphérique est isolé du réseau, ouvrez l'interface utilisateur de l'agent EPS et recherchez le processus voulu. Cliquez avec le bouton droit et sélectionnez l'option appropriée.

IMPORTANT: L'agent de contrôle à distance doit être installé sur le périphérique pour que le serveur principal puisse transmettre en mode Push les commandes d'isolement aux postes client qui se connectent via un CSA.

Outre les fonctions ci-dessus, vous pouvez utiliser les autres fonctions de correction du produit une fois que le poste client est isolé. Il s'agit des fonctions suivantes :

  • Affichage et gestion à distance des fichiers (suppression de fichiers à distance).
  • Affichage des processus et arrêt d'un processus.
  • Analyse d'inventaire complète, permettant de connaître les applications installées sur le poste client, leur date d'installation et leur date de dernière exécution.
  • Accès à distance complète aux journaux Windows.
  • Arrêt ou redémarrage du poste client.

Si le logiciel malveillant a été supprimé du poste client, vous pouvez « libérer » ce poste client pour le sortir de son isolement. Sinon, utilisez le provisioning pour appliquer une nouvelle image au poste client.