Справка Endpoint Security

Используйте этот диалог (Сервис > Конфигурация> Настройки агента > Endpoint Security (Tools > Configuration > Agent Settings > Endpoint Security)) для создания и изменения настроек Endpoint Security.

В этом диалоге находятся следующие страницы.

Информация о Endpoint Security: страница "Общие настройки" (General settings)

Используйте данную страницу для настройки функции информации о местоположении (доверенной сети) и задания других настроек доступа.

  • Имя (Name): Определяет уникальное имя настройки.
  • Администратор (Administrator): Определяет пароль администратора и другие параметры.
    • Использовать пароль для администратора (Use a password for Administrator): Определяет пароль, который необходимо ввести на устройствах с данными настройками Endpoint Security для выполнения определенных действий на защищенном устройстве.
    • Разрешить диспетчеру служб Windows останавливать службу Endpoint Security (Allow Windows Service Control Manager to stop the Endpoint Security service): Разрешение конечному пользователю останавливать службу Endpoint Security на клиенте.
  • Интерфейс клиента (Client interface): Указание способа отображения клиента Endpoint Security на управляемых устройствах.
    • Показать значок в области оповещений на панели задач (Show icon in the taskbar notification area): Отображение значка области уведомлений в интерфейсе клиента.
    • Показать всплывающие советы для нарушений (Show violation balloon tips): Отображение сообщения на устройстве конечного пользователя при выполнении заблокированной операции.
    • Отображать ярлык меню "Пуск" в группе "Управление Ivanti" (Show Start menu shortcut in Ivanti Management group): Отображение значка программы для клиента Endpoint Security в меню "Пуск" (щелкните Пуск > Программы > Ivanti Management (Start > Programs > Ivanti Management)).
  • Сохранить (Save): Сохраняет изменения и закрывает диалоговое окно.

Информация о Endpoint Security: Страница "Цифровые подписи"

Используйте данную страницу для просмотра и управления списками доверенных файлов и приложений поставщиков.

  • Не доверять приложениям с цифровой подписью (Do not trust digitally signed applications): Отменяет автоматическое доверие приложениям с цифровой подписью. Отключает остальные параметры в диалоге.
  • Доверять всем приложениям с цифровой подписью (Trust all digitally signed applications): Автоматически обеспечивает доверие приложениям с цифровой подписью. Используйте этот параметр с осторожностью. В то время, как цифровая подпись подразумевает определенную степень доверия, она не гарантирует, что приложение должно использоваться в вашей среде.
  • Автоматически доверять приложениям с цифровой подписью от этих поставщиков (Trust digitally signed applications from these vendors): Доверие будет оказано только приложениям с цифровой подписью указанных вами поставщиков. Базовый список надежных поставщиков по умолчанию содержится в списке Доверенные поставщики (Trusted vendors). Вы можете использовать следующие кнопки для изменения списка.
  • Обнаруженные поставщики (Discovered vendors): Это поставщики, обнаруженные сканером инвентаризации программного обеспечения на управляемых устройств.
  • Доверенные поставщики (Trusted vendors): Названия поставщиков, которым следует доверять. Используйте символы-шаблоны для обеспечения соответствия названий поставщиков вариантам имен, которые отображаются в их приложениях с цифровыми подписями.
  • Добавить, изменить и удалить (Add, Edit, and Delete): Используйте эти параметры для управления названиями в списках поставщиков.

Информация о Endpoint Security: Политика по умолчанию

Используйте эту страницу для настройки компонентов безопасности, которые вы хотели бы включить, и настроек, которые вы хотели бы использовать для каждого компонента. Некоторые параметры на этой странице будут недоступны, если вы сначала не включите определенные компоненты, например, Application control.

Компоненты (Components): Выберите компоненты, которые вы хотели бы развернуть, и настройки агента, которые вы хотели бы использовать для каждого компонента.

  • Управление приложениями (Application control): Для получения дополнительной информации см. разделе Обзор Application control.
  • Управление привилегиями (Privilege Management): Для получения дополнительной информации см. раздел Менеджер среды.
  • Брандмауэр Ivanti (Ivanti Firewall): Для получения дополнительной информации см. раздел Конфигурация настроек брандмауэра Ivanti.
  • Управление устройствами (Device control): Для получения дополнительной информации см. раздел Обзор средства управления устройствами.
  • Списки файлов приложений (Application file lists): Вы можете редактировать этот список, если вы выбрали компоненты Application Control или брандмауэра Ivanti. Список файлов приложеий гарантирует, что файлы в файловой системе устройства не подвержены атакам вредоносного ПО и никто не сможет повредить их. Для получения дополнительной информации см. раздел Использование репутации файлов для ограничения приложений.

Информация об Endpoint Security: Страница 'Отслеживаемые папки' (Monitored folders)

Используйте этот диалог для указания путей папок на управляемых устройствах, которые должны отслеживаться. Также будут контролироваться все файлы и дочерние папки в отслеживаемой папке. Используйте раздел приложения безопасности Управление приложениями (Application control) (Сервис > Безопасность и соответствие > Активность безопасности (Tools > Security and Compliance > Security activity)) для отображения оповещений об отслеживаемых папках. Если действия приложения Endpoint Security требуют вашего внимания, вы также увидите оповещение во время входа на консоль Endpoint Manager.

Нажмите Добавить (Add) и укажите путь к папке, шаблоны файлов, исключения и действия с файлами для отслеживания.

О приложении Endpoint Security: Страница "Немедленное исправление" (Intermediate Patching)

Используйте эту страницу для конфигурации того, как ПО Endpoint Security будет работать с веб-браузерами, в которых нет последних исправлений.

В некоторых случаях определенные исправления браузера приводят к тому, что важные бизнес-веб-приложения, работающие внутри браузера, перестают работать должным образом. Когда это происходит, некоторые администраторы предпочитают выполнить откат исправления, чтобы бизнес-приложение продолжило работать.

Используйте функцию промежуточного исправления для предотвращения доступа браузеров без исправлений к ненадежным сайтам в Интернете. Браузеры без исправлений являются основной целью заражения вредоносным ПО. После включения этой функции ПО Endpoint Security будет автоматически обнаруживать браузеры, которые не были полностью исправлены, и блокировать любой доступ к веб-сайтам, которые не определены как доверенные в списке Доверенные сайты (Trusted sites). Это гарантирует, что конечные пользователи смогут использовать браузер без нужного исправления только для посещения доверенных сайтов.

  • Мониторинг приложений с отсутствующими исправлениями (Applications monitored for missing patches): Выберите приложения браузеров, которые вы хотите отслеживать на предмет отсутствия исправлений.
  • Доверенные сайты (Trusted sites): Добавьте в этот список сайты, к которым ваши браузеры получат доступ, даже если эти браузеры н имеют нужных исправлений. Вы можете добавлять элементы по IP-адресам, диапазонам IP-адресов, адресам подсетей или именам хостов. Отслеживаемые браузеры без исправлений будут иметь доступ только к сайтам в этом списке.

Информация о странице автоматического исправления Endpoint Security

Начиная с Ivanti Endpoint Management версии 2017.3, компания Ivanti Software предлагает новую функцию ПО Endpoint Security, называемую, "автоматическое исправление". Она может быть запущена после обнаружения вредоносного ПО, программ-вымогателей и с помощью прикладного программного интерфейса.

На страницах в этом разделе представлены процедуры исправления вредоносного ПО и программ-вымогателей. Функция автоисправления по умолчанию выключена. Вы должны нажать Включить (Enable) на странице Автоисправление (Auto remediation), если нужно включить и сконфигурировать параметры на страницах Переключатели (Triggers) и Действия (Triggers).

Имейте в виду, что существует дополнительная защита от программ-вымогателей, а именно, настройки агента для управления приложением Безопасность > Enpoint Security > Управление приложениями (Security > Enpoint security > Application control), которые могут Ограничить доступ к физическим дискам (Restrict access to physical drives) и Авто-обнаруживать и помещать в черный список вредоносные программы (Auto detect and blacklist crypto-ransomware).

Информация о странице автоматического исправления Endpoint Security: Страница "Переключатели"

Приложение Endpoint Security отслеживает файлы журнала в реальном времени для основных антивирусных программных продуктов. Когда эти продукты обнаруживают вредоносное ПО, они делают записи в файле журнала. Однако различные поставщики могут идентифицировать вредоносные программы, используя для этого разные имена. В связи с этим вы должны определить, как ваша антивирусная программа регистрирует вредоносные программы в журнале. См. следующие ссылки для выбора ключевых слов различных поставщиков.

• Kaspersky - Классификация вредоносного ПО

• Symantec - Классификация вредоносного кода и типов угроз

• McAfee - Результаты поиска в библиотеке угроз

• Trend Micro - Вирусы/Вредоносные программы

• Sophos - Расширенный список целей систем безопасности вредоносных программ | Sophos ATP для корпоративных сетей и сетевых угроз

Вы можете ввести список ключевых слов через запятую на странице Переключатели (Triggers). Когда одно из этих ключевых слов будет обнаружено в журнале антивирусной программы, будет начато автоисправление и действия, которые вы сконфигурировали для завершения этого процесса.

В настоящее время поддерживаются следующие антивирусные продукты:

  • Ivanti Antivirus 2017.3 (Kaspersky Endpoint Security for Windows 10.0 SP1)
  • Symantec Endpoint Protection 14
  • McAfee VirusScan Enterprise 8.8
  • Trend Micro OfficeScan Client 5.0
  • Sophos Anti-Virus 5.8

После обнаружения выполняется действие автоисправления

  • Запускается после обнаружения вредоносного ПО (Triggered by malware): Установите этот параметр, если нужно, чтобы антивирус записывал ключевые слова для последующего запуска автоисправления.
  • Ключевые слова (Keywords) (через запятую): Укажите ключевые слова, используемые вашим антивирусом.
  • Активация программами-вымогателями (Triggered by ransomware): Выберите этот параметр для включения автоисправления после обнаружения программ-вымогателей.
  • Переключение API (Triggered by API): См. данный документ в Сообществе пользователей Ivanti для получения дополнительной информации.

Информация о странице автоматического исправления Endpoint Security: Страница "Действия"

Действия на этой странице выполняются после установления соответствия критериев, указанных на странице Переключатели (Triggers).

  • Изолировать устройства от сети, но разрешить удаленное управление (Isolate the device from the network but allow remote management): Для изоляции устройства от трафика, за исключением действий удаленного управления с консоли Ivanti, используется брандмауэр Ivanti. Функции удаленного управления, распространения ПО и другие продолжат работать.
  • Выключить или перезагрузить (Shutdown or restart): Используется для выключения или перезагрузки. Вы можете ввести сообщение, которое будет отображаться для пользователя во время этого процесса, но он не сможет отложить или прервать выключение или перезагрузку.
  • Выполнить сканирование безопасности (Run security scan): Выполняет проверку безопасности на основании заданных настроек распространения и исправления.
  • Развернуть пакет (Deploy a package): Используется для развертывания указанного пакета. Это может быть вторичное средство исправления, например, продукт Malwarebytes.

Страница "О приложении Endpoint Security Advanced" (About the Endpoint Security Advanced)

Используйте этот диалог для конфигурации расширенных параметров безопасности.

  • Разрешать генерацию кодов авторизации безопасности (Allow to generate security authorization codes): Этот диалог предназначен для создания кода авторизации, который позволяет конечному пользователю выполнять заблокированную операцию в течение небольшого периода времени. Для получения дополнительной информации см. раздел Генерация кодов авторизации безопасности.
  • Разрешить диспетчеру служб Windows останавливать службу Endpoint Security (Allow Windows Service Control Manager to stop Ivanti Endpoint Security service): Обычно пользователи не могут использовать Диспетчер управления службами Windows для остановки службы Ivanti Endpoint Security. Установите этот параметр, если хотите разрешить пользователям останавливать службу.
  • Использовать защиту Ivanti Endpoint в безопасном режиме (Security protection while in Safe Mode): Обычно безопасный режим Windows отключает ПО Endpoint Security. Установите этот параметр, если хотите поддерживать активность ПО Endpoint Security в безопасном режиме.
  • Глобальные сочетания клавиш (Global hotkeys): Определение сочетаний клавиш, используемых для конкретных функций Endpoint Security.
    • Сочетание клавиш для обхода управления устройствами (Device Control bypass hotkey): Используется для создания сочетаний клавиш, которые позволят временно получить доступ к заблокированному устройству. Сочетание клавиш по умолчанию: Ctrl+Shift+F1. Чтобы ввести требуемое сочетание клавиш, поместите курсор в текстовое поле и затем нажмите (и удерживайте) клавиши в требуемом порядке.
  • Предоставить больше информации конечному пользователю (Provide more notifications to end user)
  • Защитить файлы Ivanti от изменения (Protect Ivanti files from being changed)

Информация о Endpoint Security: Страница 'Доверенные папки' (Trusted folders)

Используйте этот диалог для указания путей папок на управляемых устройствах, которые должны считаться доверенными.

Нажмите Добавить (Add) и укажите путь к папке и права, которые нужно назначить для этой папки и всех ее дочерних папок.

О приложении Endpoint Security Advanced: Страница "Цифровые подписи" (Digital signatures)

Используйте данную страницу для просмотра и управления списками доверенных файлов и приложений поставщиков.

  • Не доверять приложениям с цифровой подписью (Do not trust digitally signed applications): Отменяет автоматическое доверие приложениям с цифровой подписью. Отключает остальные параметры в диалоге.
  • Доверять всем приложениям с цифровой подписью (Trust all digitally signed applications): Автоматически обеспечивает доверие приложениям с цифровой подписью. Используйте этот параметр с осторожностью. В то время, как цифровая подпись подразумевает определенную степень доверия, она не гарантирует, что приложение должно использоваться в вашей среде.
  • Автоматически доверять приложениям с цифровой подписью от этих поставщиков (Trust digitally signed applications from these vendors): Доверие будет оказано только приложениям с цифровой подписью указанных вами поставщиков. Базовый список надежных поставщиков по умолчанию содержится в списке Доверенные поставщики (Trusted vendors). Вы можете использовать следующие кнопки для изменения списка.
  • Обнаруженные поставщики (Discovered vendors): Это поставщики, обнаруженные сканером инвентаризации программного обеспечения на управляемых устройств.
  • Доверенные поставщики (Trusted vendors): Этот список отображается справа от списка "Обнаруженные поставщики" (Discovered vendors) и показывает подписи поставщиков, которыми вы можете управлять независимо от их доверия. Используйте символы-шаблоны для обеспечения соответствия названий поставщиков вариантам имен, которые отображаются в их приложениях с цифровыми подписями.
  • Добавить, изменить и удалить (Add, Edit, and Delete): Используйте эти параметры для управления названиями в списках поставщиков.

О приложении Endpoint Security Advanced: Страница "Списки доверенных файлов" (Application file lists)

Вы можете редактировать этот список, если вы выбрали компоненты Application Control или брандмауэра Ivanti. Список файлов приложеий гарантирует, что файлы в файловой системе устройства не подвержены атакам вредоносного ПО и никто не сможет повредить их. Для получения дополнительной информации см. раздел Использование репутации файлов для ограничения приложений.

  • Списки файлов приложений (Application file lists): Используйте кнопки "Добавить" (Add) и "Изменить" (Edit) для конфигурации списков доверенных файлов, которые вы хотите использовать.
  • Список обучения (Learning list): Когда компонент установлен в режим обучения, информация изучаемого файла добавляется в этот список.
  • Добавлять зарегистрированные данные только в список обучения (Add learning activity only into the learning list): Выполняет обновление только указанного вами списка для изучения.
  • Добавлять зарегистрированные данные в каждый список с таким файлом (Add learning activity into each list where the same file already exists): Обновляет все списки доверенных файлов, которые уже есть в файле для изучения.
  • Автоматически добавлять файлы, имеющие доверие цифровых подписей, в список файлов приложения (Automatically add files trusted by Digital Signatures to the application file list): Функция Application Control запрашивает каждое выполнение для определения наличия цифрового сертификата. Если файл имеет действительный цифровой сертификат, он может быть запущен. Имейте в виду, что все процессы с цифровой подписью LANDesk и Ivanti являются доверенными по умолчанию независимо от установки этого параметра. Выключен по умолчанию.
  • Включить локальный список файлов приложений (Enable local application file list): Активирует на компьютерах локальный список файлов приложений, который не будет управляться главным сервером или дополнительными консолями. Некоторые клиенты могут найти эту функцию полезной, однако для редактирования этого списка требуется физический или удаленный доступ к компьютеру. Во время отображения списка в ПО Endpoint Security в столбце Область действия (Scope) отображается значение Глобальный (Global) или Локальный (Local). Выключен по умолчанию.