Présentation du contrôle des applications
Contrôle des applications ajoute un niveau de protection (en plus de la gestion des correctifs, de l'antivirus, de l'antispyware et de la configuration du pare-feu) afin d'empêcher toute intrusion d'activités malveillantes sur vos périphériques gérés. Contrôle des applications surveille en continu les processus, fichiers, applications et clés de registre indiqués afin d'empêcher tout comportement non autorisé. Vous contrôlez les applications qui s'exécutent sur les périphériques et la manière dont elles sont autorisées à s'exécuter.
Comme il s'agit d'un système basé sur des règles, et non sur des définitions (c'est-à-dire des signatures), Contrôle des applications protège plus efficacement les systèmes contre les attaques de type « zero-day » (exploitation malveillante du code vulnérable avant la détection des failles de sécurité, de leur définition et de la mise à disposition de correctifs).
À la différence de la détection et de la correction des vulnérabilités, de la détection/suppression des spywares ou de l'analyse/mise en quarantaine antivirus, la protection Contrôle des applications ne requiert aucune mise à jour régulière de fichiers (correctifs, définitions/modèles ou base de données de signatures).
Contrôle des applications protège les serveurs et les postes de travail en plaçant des agents logiciels entre les applications et le kernel du système d'exploitation. À l'aide de règles prédéterminées basées sur le comportement typique des attaques de programmes malveillants, ces systèmes évaluent les activités telles que les demandes de connexion réseau, les tentatives de lecture ou d'écriture sur la mémoire, ou les tentatives d'accès à des applications spécifiques. Le comportement jugé bon est autorisé, le comportement jugé malveillant est bloqué, et le comportement suspect est marqué pour évaluation plus approfondie.
Vous accédez aux paramètres Contrôle des applications depuis la console principale (Outils > Sécurité et conformité > Paramètres d'agent). Les paramètres d'agent Contrôle des applications vous permettent de créer des tâches d'installation, de mise à jour et de suppression de l'agent Contrôle des applications ; vous pouvez aussi configurer les paramètres Contrôle des applications qui peuvent être déployés sur les périphériques cible à protéger, et personnaliser les paramètres d'affichage/d'interaction Contrôle des applications qui déterminent la manière dont Contrôle des applications s'affiche et fonctionne sur les périphériques gérés, ainsi que les options interactives disponibles pour les utilisateurs finaux. Vous pouvez également consulter les informations d'activité et d'état Endpoint Security (EPS, Sécurité du poste client) pour les périphériques gérés dans l'outil Activités de sécurité (Outils > Sécurité et conformité > Activités de sécurité).
Composant Endpoint Security
Contrôle d'application est l'un des composants de la solution complète Endpoint Security, avec l'outil Reconnaissance de l'emplacement (contrôle des connexions réseau), le pare-feu Ivanti Firewall et l'outil Contrôle de périphériques.
Sécurité proactive
Contrôle des applications protège vos périphériques gérés de manière proactive car :
- Il fournit une protection de niveau noyau (kernel) contre les applications qui tenteraient de modifier des fichiers binaires (ou tout fichier que vous spécifiez) sur votre ordinateur ou la mémoire d'application des processus en cours d'exécution. Il bloque également les modifications apportées à certaines zones du registre et peut détecter les processus rootkit.
- Il utilise la protection de la mémoire contre les dépassements de tampon (BOP) et les exploitations de pile.
- Il exécute des plans de protection pour empêcher un pirate de générer et d'exécuter du code dans un segment de données.
- Il surveille les accès non autorisés ou inhabituels aux fichiers.
- Il offre une protection en temps réel de votre ordinateur sans avoir besoin de bases de données de signatures.
Sécurité au niveau système
Contrôle des applications offre les fonctions de sécurité de niveau système suivantes :
- Protection du système de fichiers au niveau du noyau (kernel), sur la base de règles
- Protection du registre
- Contrôle du démarrage
- Détection des rootkits furtifs
- Filtrage réseau
- Certification de processus et de fichier/d'application
- Règles de protection des fichiers, qui restreignent les actions que les programmes exécutables peuvent réaliser sur les fichiers spécifiés
Fonctions de la console Contrôle des applications
Contrôle des applications fournit aux administrateurs la possibilité de définir et de gérer des profils séparés pour différents groupes d'utilisateurs, à l'aide d'un paramétrage Contrôle des applications. Les paramètres Endpoint Security (EPS) répondent aux besoins de tout groupe d'utilisateurs en permettant aux administrateurs de créer plusieurs configurations extrêmement flexibles pour différents profils d'utilisateurs.
Le paramétrage Contrôle des applications peut inclure protection par mot de passe personnalisé, traitement WinTrust, mode de protection, listes d'autorisations/de refus personnalisées, stratégies de contrôle d'accès aux applications et au réseau, certifications de fichier et règles de protection de fichier.
Fonctions du client Contrôle des applications
Le client Contrôle des applications (déployé sur les périphériques gérés) fournit aux administrateurs un nouvel outil puissant qui leur permet de contrôler les applications exécutées sur les ordinateurs de bureau et les serveurs de l'entreprise, ainsi que la manière dont ces applications sont autorisées à s'exécuter.
Le logiciel du client Contrôle des applications utilise des techniques heuristiques et de reconnaissance de comportement éprouvées pour identifier les modèles et actions typiques d'un code malveillant. Par exemple, un fichier qui tente d'écrire sur le registre système pourrait être bloqué et marqué comme potentiellement suspect. Le composant Contrôle des applications utilise plusieurs techniques propriétaires pour détecter avec fiabilité un programme malveillant avant même qu'une signature n'ait été identifiée.
Plateformes de périphérique et produits antivirus pris en charge
Pour consulter les informations les plus récentes concernant les plateformes client et les produits antivirus qui prennent en charge le contrôle des applications (Endpoint Security), consultez les FAQ Endpoint Security sur le site de la communauté d'utilisateurs Ivanti :
Foire aux questions sur la protection du poste client
IMPORTANT: Endpoint Security (EPS) n'est pas pris en charge sur les serveurs principaux ou les serveurs de consolidation
Vous ne devez pas installer/déployer Endpoint Security sur un serveur principal ou un serveur de consolidation. Vous pouvez toutefois déployer Endpoint Security (EPS) sur une console supplémentaire.
Ne déployez JAMAIS Contrôle des applications sur des périphériques comportant d'autres produits antivirus.
Licences Contrôle des applications
Pour utiliser Endpoint Security et Contrôle des applications, vous devez commencer par activer votre serveur principal avec une licence autorisant l'utilisation de ces produits.
Pour en savoir plus sur les licences, contactez votre revendeur ou visitez le site Web Ivanti :
Administration basée sur les rôles avec Endpoint Security (EPS)
EPS, comme Correctif et conformité, utilise l'administration basée sur les rôles pour permettre aux utilisateurs d'accéder aux diverses fonctions. L'administration basée sur les rôles est la structure de sécurité et d'accès qui permet aux administrateurs Ivanti de limiter l'accès des utilisateurs aux outils et périphériques. Chaque utilisateur se voit affecter des rôles et une étendue spécifiques qui déterminent les fonctions qu'il peut utiliser et les périphériques qu'il peut gérer.
Les administrateurs affectent ces rôles à d'autres utilisateurs à l'aide de l'outil Utilisateurs de la console. Le droit Endpoint Security (EPS) est inclus dans le droit Paramètres d'agent, qui figure dans le groupe de droits Sécurité dans la boîte de dialogue Rôles. Pour afficher et utiliser les fonctions EPS, l'utilisateur doit être doté des droits d'accès Paramètres d'agent nécessaires.
Le droit Paramètres d'agent permet aux utilisateurs d'effectuer les opérations suivantes :
- Affichage et accès aux fonctions Endpoint Security (EPS) dans le menu Outils et la boîte à outils de la console
- Configuration des périphériques gérés pour la protection Endpoint Security (EPS)
- Gestion des paramètres EPS de sécurité du poste client (protection par mot de passe, traitement de code signé, action, mode de protection, certifications de fichier, règles de protection de fichier, etc.)
- Déploiement des tâches d'installation ou de mise à jour Endpoint Security (EPS), et des tâches de modification des paramètres
- Affichage de l'activité EPS concernant les périphériques protégés
- Définition des paramètres de seuil de données EPS pour l'enregistrement et l'affichage des activités Endpoint Security (EPS)
Présentation des principales tâches Endpoint Security (EPS)
La liste suivante présente les principales tâches à réaliser pour configurer, implémenter et utiliser la protection Endpoint Security. Consultez les rubriques d'aide propres à chaque fonction pour en savoir plus sur les concepts et les procédures.
- Configuration de périphériques gérés pour la protection EPS (déploiement de l'agent sur les périphériques cible).
- Configuration des options Endpoint Security (EPS) avec un paramétrage EPS, par exemple traitement de code signé, mode de protection, listes d'autorisations/de refus (qui indiquent les applications autorisées à s'exécuter sur les périphériques), certifications de fichier, règles de protection de fichier et options interactives disponibles pour l'utilisateur final.
- Découverte des comportements de fichier et d'application sur les périphériques avec le mode d'apprentissage Endpoint Security (EPS).
- Application de la protection Endpoint Security sur les périphériques gérés avec le mode de blocage automatique EPS.
- Affichage de l'activité EPS concernant les périphériques protégés.