Изоляция и исправление устройств в сети (новая функция в версии 2017.1)

Если вы подозреваете, что на конечной системе работает вредоносная программа, лучше всего изолировать эту систему в сети, чтобы не допустить распространение вредоносной программы на другие устройства.

Функция изоляции Endpoint Security для Endpoint Manager обеспечивает полнофункциональное решение для быстрого реагирования на угрозы и их устранения. С помощью Endpoint Security для Endpoint Manager вы можете:

1. Изолировать устройство прямо на консоли управления, нажав его правой кнопкой мыши в виде сети и выбрав Изоляция (Isolation). Нет необходимости посещать место установки конечной системы.
2. Откройте сеанс удаленного управления с изолированным устройством для оценки ущерб.
3. Разверните программное обеспечение любого типа или сценарии на конечные системы. В частности, это полезно для единовременного развертывания сканера антивируса, для которого требуется загрузить из Интернета новейшие определения вирусов. Endpoint Security для Endpoint Manager позволяет вам разрешить доступ в Интернет для конкретного программного обеспечения в то время, как остальная часть устройства останется изолированной.

Все перечисленные выше возможности могут быть настроены в одном простом представлении, обеспечивая более быстрое исправление неполадок.

Для каждого изолированного устройства на консоли отображается специальный значок. Значок представляет клиент EPS, подтверждая возможность изоляции конечной системы.

Как работает сетевая изоляция

Когда вы выберете вариант изоляции для устройства в виде сети, будет открыто новое окно, где вы можете немедленно начать сеанс удаленного управления и выбрать пакет программного обеспечения для развертывания (список программных пакетов импортируется из местоположения, указанного в настройках распространения программного обеспечения).

После выбора нужных параметров и нажатия OK главный сервер сразу попытается известить конечную систему с помощью стандартного механизма отправки сообщений. Если конечная система не может быть подключена непосредственно к главному серверу, например, когда она подключается к сети через CSA, главный сервер будет использовать другую технологию отправки, которая использует возможности удаленной пересылки сообщений.

После извещения агента EPS последний будет блокировать любой сетевой трафик в/из устройства через все порты, за исключением Endpoint Security для Endpoint Manager и портов, используемых для удаленного управления. Это позволяет главному серверу продолжать управление конечной системой после ее изоляции. Агент EPS также разрешает трафик DNS, обеспечивая поддержку работы агента Ivanti. Агент EPS разрешает только трафик в/из главного сервера или CSA через специальные порты, которые могут использоваться только для отправки и приема трафика из консоли управления.

Если вам необходимо установить пакет программного обеспечения или начать сеанс удаленного управления, выполняется извещение соответствующих компонентов агента для дальнейшего выполнения процессов.

Если вы хотите разрешить конкретному процессу подключаться к Интернету, пока устройство находится в сетевой изоляции, откройте пользовательский интерфейс агента EPS и рассмотрите процесс. Нажмите правой кнопкой мыши и выберите соответствующий параметр.

В дополнение к вышеизложенному после изоляции конечной системы вы можете использовать и другие возможности восстановления. К этим возможностям относится:

• Удаленный просмотр и управление файлами (удаленное удаление файлов).
• Отображение и прекращение работы активных процессов.
• Анализ всей инвентаризации, а именно, определение того, какие приложения были установлены на конечную систему и время их последнего запуска.
• Полный удаленный доступ к журналам Windows.
• Выключение или перезагрузка конечных систем.

Если вредоносное программное обеспечение было удалено из конечной системы, вы можете завершить ее изоляцию. Иначе используйте процесс подготовки для восстановления образа конечной системы.