Exemple de scénario : utilisation de System Center Endpoint Protection pour protéger des ordinateurs contre les programmes malveillants dans System Center Configuration Manager

 

S'applique à: System Center Configuration Manager (current branch)

Cette rubrique fournit un exemple de scénario sur la manière d’implémenter Endpoint Protection dans Configuration Manager pour protéger les ordinateurs d’une organisation contre les attaques de programmes malveillants.

John est l’administrateur Configuration Manager de la Woodgrove Bank. La banque utilise actuellement Microsoft Forefront Endpoint Protection 2010 pour protéger les ordinateurs contre les attaques de programmes malveillants. Elle utilise également la stratégie de groupe Windows pour s’assurer que le Pare-feu Windows est activé sur tous les ordinateurs de l’entreprise et que les utilisateurs sont avertis quand il bloque un nouveau programme.

John est chargé de mettre à niveau le logiciel anti-programme malveillant de Woodgrove Bank vers System Center Endpoint Protection pour que la banque puisse tirer parti des fonctionnalités les plus récentes contre les programmes malveillants et qu’elle puisse gérer de manière centralisée la solution anti-programme malveillant à partir de la console Configuration Manager. Les impératifs de cette implémentation sont les suivants :

  • Utiliser Configuration Manager pour gérer les paramètres du Pare-feu Windows qui sont gérés actuellement par la stratégie de groupe.

  • Utiliser les mises à jour logicielles Configuration Manager pour télécharger les définitions de programmes malveillants sur les ordinateurs. Si les mises à jour logicielles ne sont pas disponibles, par exemple si l’ordinateur n’est pas connecté au réseau d’entreprise, les ordinateurs doivent télécharger les mises à jour de définitions à partir de Microsoft Update.

  • Les ordinateurs des utilisateurs doivent effectuer une analyse rapide des programmes malveillants tous les jours. Les serveurs, quant à eux, doivent exécuter une analyse complète tous les samedis en dehors des heures de travail, à une heure du matin.

  • Envoyer une alerte par courrier électronique chaque fois que l’un des événements suivants se produit :

    • Un programme malveillant est détecté sur un ordinateur.

    • La même menace de programme malveillant est détectée sur plus de 5 % des ordinateurs.

    • La même menace de programme malveillant est détectée plus de cinq fois durant une période de 24 heures.

    • Plus de trois différents types de programmes malveillants sont détectés durant une période de 24 heures.

  • Désinstaller la solution anti-programme malveillant existante.

John effectue ensuite les étapes suivantes pour implémenter Endpoint Protection :

ProcessusRéférence
John passe en revue les informations disponibles sur les concepts de base de Endpoint Protection dans Configuration Manager.Pour plus d’informations sur Endpoint Protection, consultez Endpoint Protection dans System Center Configuration Manager.
John passe en revue et implémente la configuration requise pour utiliser Endpoint Protection.Pour plus d’informations sur la configuration requise pour Endpoint Protection, consultez Planification de Endpoint Protection dans System Center Configuration Manager.
John installe le rôle de système de site Endpoint Protection sur un seul serveur de système de site, tout en haut de la hiérarchie Woodgrove Bank.Pour plus d’informations sur la façon d’installer le rôle de système de site Endpoint Protection, consultez « Configuration requise » dans Configuration d’Endpoint Protection dans System Center Configuration Manager.
John configure Configuration Manager pour utiliser un serveur SMTP pour envoyer les alertes par courrier électronique. Note: Vous devez configurer un serveur SMTP uniquement si vous souhaitez être averti par courrier électronique quand une alerte Endpoint Protection est générée.Pour plus d'informations, voir Configuration d’Endpoint Protection dans System Center Configuration Manager.
John crée un regroupement d’appareils qui contient tous les ordinateurs et serveurs pour installer le client Endpoint Protection. Il nomme ce regroupement Tous les ordinateurs protégés par Endpoint Protection. Tip: Vous ne pouvez pas configurer d'alertes pour les regroupements d'utilisateurs.Pour plus d’informations sur la façon de créer des regroupements, consultez Comment créer des regroupements dans System Center Configuration Manager.
Il configure les alertes suivantes pour le regroupement :

- Un programme malveillant est détecté : John configure une gravité d’alerte Critique.
- Le même type de programme malveillant est détecté sur un nombre d’ordinateurs : John configure une gravité d’alerte Critique et spécifie que l’alerte est générée quand des programmes malveillants sont détectés sur plus de 5 % des ordinateurs.
- Le même type de programme malveillant est fréquemment détecté sur un ordinateur dans l’intervalle spécifié : John configure une gravité d’alerte Critique et spécifie que l’alerte est générée quand un programme malveillant est détecté plus de cinq fois durant une période de 24 heures.
- Plusieurs types de programmes malveillants sont détectés sur le même ordinateur dans l’intervalle spécifié : John configure une gravité d’alerte Critique et spécifie que l’alerte est générée quand plus de trois types de programmes malveillants sont détectés durant une période de 24 heures. Note: La valeur de Gravité d’alerte indique le niveau d’alerte affiché dans la console Configuration Manager et dans les alertes que John reçoit dans un message électronique.

Il sélectionne également l’option Afficher ce regroupement dans le tableau de bord de Endpoint Protection pour pouvoir surveiller les alertes dans la console Configuration Manager.
Consultez la rubrique « Configurer des alertes pour Endpoint Protection » dans Configuration d’Endpoint Protection dans System Center Configuration Manager.
John configure les mises à jour logicielles Configuration Manager pour télécharger et déployer les mises à jour de définitions trois fois par jour à l’aide d’une règle de déploiement automatique.Pour plus d’informations, consultez la section « Utilisation des mises à jour logicielles Configuration Manager pour remettre des mises à jour de définitions » dans Configuring Endpoint Protection in Configuration Manager.
John examine les paramètres de la stratégie de logiciel anti-programme malveillant par défaut, qui contient les paramètres de sécurité recommandés par Microsoft. Pour que les ordinateurs effectuent une analyse rapide quotidienne, il modifie les paramètres suivants :

- Exécuter une analyse rapide quotidienne sur les ordinateurs clients : Oui.
- Heure programmée d’analyse rapide quotidienne : 09:00.

John remarque que l’option Mises à jour distribuées par Microsoft Update est sélectionné par défaut comme source des mises à jour de définitions. Ceci est conforme à l’exigence selon laquelle les ordinateurs doivent télécharger les définitions à partir de Microsoft Update quand ils ne peuvent pas recevoir de mises à jour logicielles Configuration Manager.
Consultez Comment créer et déployer des stratégies anti-programme malveillant pour Endpoint Protection dans System Center Configuration Manager.
John crée un regroupement nommé Serveurs Woodgrove Bank qui contient uniquement les serveurs de Woodgrove Bank.Consultez Comment créer des regroupements dans System Center Configuration Manager.
John crée une stratégie de logiciel anti-programme malveillant personnalisée nommée Stratégie de serveur Woodgrove Bank. Il ajoute uniquement les paramètres pour Analyses planifiées et apporte les modifications suivantes :

- Type d’analyse : Complète
- Jour d’analyse : Samedi
- Heure de l’analyse : 01h00
- Exécuter une analyse rapide quotidienne sur les ordinateurs clients : Non.
Consultez Comment créer et déployer des stratégies anti-programme malveillant pour Endpoint Protection dans System Center Configuration Manager.
John déploie la stratégie de logiciel anti-programme malveillant personnalisée Stratégie de serveur Woodgrove Bank dans le regroupement Serveurs Woodgrove Bank.Consultez « Pour déployer une stratégie de logiciel anti-programme malveillant sur les ordinateurs clients » dans la rubrique Comment créer et déployer des stratégies anti-programme malveillant pour Endpoint Protection dans System Center Configuration Manager.
John crée un ensemble de paramètres d’appareils clients personnalisé pour Endpoint Protection et le nomme Paramètres Endpoint Protection Woodgrove Bank. Warning: Si vous ne souhaitez pas installer et activer Endpoint Protection sur tous les clients de votre hiérarchie, assurez-vous que les options Gérer le client Endpoint Protection sur les ordinateurs clients et Installer le client Endpoint Protection sur les ordinateurs clients ont toutes les deux la valeur Non dans les paramètres client par défaut.Pour plus d’informations, consultez « Configurer des paramètres client personnalisés pour Endpoint Protection » dans Configuring Endpoint Protection in Configuration Manager.
Il configure les paramètres suivants pour Endpoint Protection :

- Gérer le client Endpoint Protection sur les ordinateurs clients : Oui.
Ce paramètre et cette valeur garantissent que tout client Endpoint Protection existant qui est installé est géré par Configuration Manager.
- Installer le client Endpoint Protection sur les ordinateurs clients : Oui.
- Supprimer automatiquement le logiciel anti-programmes malveillants installé avant Endpoint Protection : Oui.
Ce paramètre et cette valeur sont conformes à l’exigence d’entreprise selon laquelle le logiciel anti-programme malveillant doit être supprimé avant que Endpoint Protection soit installé et activé.
Pour plus d’informations, consultez « Configurer des paramètres client personnalisés pour Endpoint Protection » dans Configuring Endpoint Protection in Configuration Manager.
John déploie les paramètres client Paramètres Endpoint Protection Woodgrove Bank dans le regroupement Tous les ordinateurs protégés par Endpoint Protection.Consultez « Configurer des paramètres client personnalisés pour Endpoint Protection » dans Configuring Endpoint Protection in Configuration Manager.
John utilise l’Assistant Création d’une stratégie de Pare-feu Windows pour créer une stratégie en configurant les paramètres suivants pour le profil de domaine :

- Activer le pare-feu Windows : Oui.
- Informer l’utilisateur lorsque le Pare-feu Windows bloque un nouveau programme : Oui.
Consultez Comment créer et déployer des stratégies de pare-feu Windows pour Endpoint Protection dans System Center Configuration Manager.
John déploie la nouvelle stratégie de pare-feu dans le regroupement Tous les ordinateurs protégés par Endpoint Protection qu’il a créé précédemment.Consultez « Pour déployer une stratégie de Pare-feu Windows » dans Comment créer et déployer des stratégies de pare-feu Windows pour Endpoint Protection dans System Center Configuration Manager.
John utilise les tâches de gestion disponibles pour Endpoint Protection pour gérer les stratégies anti-programme malveillant et de Pare-feu Windows, effectuer des analyses à la demande des ordinateurs en cas de nécessité, forcer les ordinateurs à télécharger les dernières définitions, et spécifier les actions supplémentaires à effectuer quand un programme malveillant est détecté.Consultez Comment gérer les stratégies anti-programme malveillant et les paramètres de pare-feu pour Endpoint Protection dans System Center Configuration Manager.
John utilise les méthodes suivantes pour surveiller l’état de Endpoint Protection et les actions exécutées par Endpoint Protection :

- Utilisation du nœud État System Center 2012 Endpoint Protection dans l’espace de travail Surveillance.
- Utilisation du nœud Endpoint Protection dans l’espace de travail Ressources et Conformité.
- Utilisation des rapports intégrés à Configuration Manager.
Consultez Comment surveiller Endpoint Protection dans System Center Configuration Manager.

John signale à son responsable que l’implémentation de Endpoint Protection a réussi, et il confirme que les ordinateurs de la Woodgrove Bank sont maintenant protégés contre les programmes malveillants conformément aux exigences spécifiées.

Afficher: