Exemple de scénario : Utiliser Endpoint Protection pour protéger les ordinateurs contre les programmes malveillants
S’applique à : Gestionnaire de Configuration (branche actuelle)
Cet article fournit un exemple de scénario pour la façon dont vous pouvez implémenter Endpoint Protection dans Configuration Manager pour protéger les ordinateurs de votre organisation contre les attaques de programmes malveillants.
Vue d’ensemble du scénario
Configuration Manager est installé et utilisé à Woodgrove Bank. La banque utilise actuellement Endpoint Protection pour protéger les ordinateurs contre les attaques de programmes malveillants. En outre, la banque utilise Windows stratégie de groupe pour s’assurer que le Pare-feu Windows est activé sur tous les ordinateurs de l’entreprise et que les utilisateurs sont avertis lorsque le Pare-feu Windows bloque un nouveau programme.
Les administrateurs Configuration Manager ont été invités à mettre à niveau le logiciel anti-programme malveillant Woodgrove Bank vers Endpoint Protection afin que la banque puisse tirer parti des dernières fonctionnalités anti-programme malveillant et être en mesure de gérer de manière centralisée la solution anti-programme malveillant à partir de la console Configuration Manager.
Exigences de l’entreprise
Cette implémentation présente les exigences suivantes :
Utilisez Configuration Manager pour gérer les paramètres du Pare-feu Windows actuellement gérés par stratégie de groupe.
Utilisez Configuration Manager mises à jour logicielles pour télécharger des définitions de programmes malveillants sur des ordinateurs. Si les mises à jour logicielles ne sont pas disponibles, par exemple si l’ordinateur n’est pas connecté au réseau d’entreprise, les ordinateurs doivent télécharger les mises à jour de définition à partir de Microsoft Mise à jour.
Les ordinateurs des utilisateurs doivent effectuer une analyse rapide des programmes malveillants chaque jour. Toutefois, les serveurs doivent exécuter une analyse complète tous les samedis, en dehors des heures d’ouverture, à 1 h du matin.
Envoyez une alerte par e-mail chaque fois que l’un des événements suivants se produit :
Un programme malveillant est détecté sur n’importe quel ordinateur
La même menace de programme malveillant est détectée sur plus de 5 % des ordinateurs
La même menace de programme malveillant est détectée plus de 5 fois sur une période de 24 heures
Plus de 3 types de programmes malveillants différents sont détectés sur une période de 24 heures
Les administrateurs effectuent ensuite les étapes suivantes pour implémenter Endpoint Protection :
Étapes d’implémentation d’Endpoint Protection
Processus | Référence |
---|---|
Les administrateurs passent en revue les informations disponibles sur les concepts de base d’Endpoint Protection dans Configuration Manager. | Pour obtenir des informations générales sur Endpoint Protection, consultez Endpoint Protection. |
Les administrateurs installent le rôle de système de site Endpoint Protection sur un seul serveur de système de site, en haut de la hiérarchie Woodgrove Bank. | Pour plus d’informations sur l’installation du rôle de système de site Endpoint Protection, consultez « Prérequis » dans Configurer Endpoint Protection. |
Les administrateurs configurent Configuration Manager pour utiliser un serveur SMTP pour envoyer les alertes par e-mail. Note: Vous devez configurer un serveur SMTP uniquement si vous souhaitez être averti par e-mail lorsqu’une alerte Endpoint Protection est générée. |
Pour plus d’informations, consultez Configurer des alertes dans Endpoint Protection. |
Les administrateurs créent un regroupement d’appareils qui contient tous les ordinateurs et serveurs pour installer le client Endpoint Protection. Ils nomment ce regroupement Tous les ordinateurs protégés par Endpoint Protection. Pointe: Vous ne pouvez pas configurer les alertes pour les regroupements d’utilisateurs. |
Pour plus d’informations sur la création de collections, consultez Guide pratique pour créer des collections |
Les administrateurs configurent les alertes suivantes pour le regroupement : 1) Un programme malveillant est détecté : les administrateurs configurent une gravité d’alerte critique. 2) Le même type de programme malveillant est détecté sur un certain nombre d’ordinateurs : les administrateurs configurent une gravité d’alerte critique et spécifient que l’alerte est générée lorsque plus de 5 % des ordinateurs ont détecté des programmes malveillants. 3) Le même type de programme malveillant est détecté à plusieurs reprises dans l’intervalle spécifié sur un ordinateur : les administrateurs configurent une gravité d’alerte critique et spécifient que l’alerte sera générée lorsque le programme malveillant est détecté plus de 5 fois sur une période de 24 heures. 4) Plusieurs types de programmes malveillants sont détectés sur le même ordinateur dans l’intervalle spécifié : les administrateurs configurent une gravité d’alerte critique et spécifient que l’alerte sera générée lorsque plus de 3 types de programmes malveillants sont générés dans une période de 24 heures. La valeur de Gravité de l’alerte indique le niveau d’alerte qui sera affiché dans la console Configuration Manager et dans les alertes qu’ils recevront dans un e-mail. Ils sélectionnent également l’option Afficher cette collection dans le tableau de bord Endpoint Protection afin de pouvoir surveiller les alertes dans la console Configuration Manager. |
Consultez « Configurer des alertes pour Endpoint Protection » dans Configuration d’Endpoint Protection. |
Les administrateurs configurent Configuration Manager mises à jour logicielles pour télécharger et déployer des mises à jour de définition trois fois par jour à l’aide d’une règle de déploiement automatique. | Pour plus d’informations, consultez la section « Using Configuration Manager Software Mises à jour to Deliver Definition Mises à jour » dans Utiliser Configuration Manager mises à jour logicielles pour fournir des mises à jour de définition. |
Les administrateurs examinent les paramètres de la stratégie anti-programme malveillant par défaut, qui contient les paramètres de sécurité recommandés de Microsoft. Pour que les ordinateurs effectuent une analyse rapide chaque jour, ils modifient les paramètres suivants : 1) Exécuter une analyse rapide quotidienne sur les ordinateurs clients : Oui. 2) Heure de planification de l’analyse rapide quotidienne : 9:00 AM. Les administrateurs notent que Mises à jour distribuée à partir de Microsoft Update est sélectionné par défaut comme source de mise à jour de définition. Cela répond à la condition que les ordinateurs téléchargent des définitions à partir de Microsoft Update lorsqu’ils ne peuvent pas recevoir Configuration Manager mises à jour logicielles. |
Consultez Comment créer et déployer des stratégies anti-programme malveillant pour Endpoint Protection. |
Les administrateurs créent une collection qui contient uniquement les serveurs Woodgrove Bank nommés Woodgrove Bank Servers. | Consultez Guide pratique pour créer des collections |
Les administrateurs créent une stratégie de logiciel anti-programme malveillant personnalisée nommée Woodgrove Bank Server Policy. Ils ajoutent uniquement les paramètres des analyses planifiées et apportent les modifications suivantes : Type d’analyse : Complet Jour de l’analyse : samedi Heure de l’analyse : 01:00 Exécuter une analyse rapide quotidienne sur les ordinateurs clients : Non. |
Consultez Comment créer et déployer des stratégies anti-programme malveillant pour Endpoint Protection. |
Les administrateurs déploient la stratégie de logiciel anti-programme malveillant personnalisée Stratégie de serveur Woodgrove Bank sur la collection Woodgrove Bank Servers . | Consultez l’article « Pour déployer une stratégie anti-programme malveillant sur des ordinateurs clients ». Comment créer et déployer des stratégies anti-programme malveillant pour Endpoint Protection . |
Les administrateurs créent un nouvel ensemble de paramètres d’appareil client personnalisés pour Endpoint Protection et nomment ces paramètres Endpoint Protection Woodgrove Bank. Note: Si vous ne souhaitez pas installer et activer Endpoint Protection sur tous les clients de votre hiérarchie, assurez-vous que les options Gérer le client Endpoint Protection sur les ordinateurs clients et Installer le client Endpoint Protection sur les ordinateurs clients sont toutes deux configurées sur Non dans les paramètres client par défaut. |
Pour plus d’informations, consultez Configurer les paramètres client personnalisés pour Endpoint Protection. |
Ils configurent les paramètres suivants pour Endpoint Protection : Gérer le client Endpoint Protection sur les ordinateurs clients : Oui Ce paramètre et cette valeur garantissent que tout client Endpoint Protection existant installé est géré par Configuration Manager. Installer le client Endpoint Protection sur les ordinateurs clients : Oui. |
|
Les administrateurs déploient les paramètres client Paramètres Endpoint Protection de Woodgrove Bank dans le regroupement Tous les ordinateurs protégés par Endpoint Protection . | Consultez « Configurer les paramètres client personnalisés pour Endpoint Protection » dans Configuration d’Endpoint Protection dans Configuration Manager. |
Les administrateurs utilisent l’Assistant Création d’une stratégie de pare-feu Windows pour créer une stratégie en configurant les paramètres suivants pour le profil de domaine : 1) Activer le Pare-feu Windows : Oui 2) Avertir l’utilisateur quand le Pare-feu Windows bloque un nouveau programme : Oui |
Consultez Comment créer et déployer des stratégies de pare-feu Windows pour Endpoint Protection |
Les administrateurs déploient la nouvelle stratégie de pare-feu sur le regroupement Tous les ordinateurs protégés par Endpoint Protection qu’ils ont créé précédemment. | Consultez « Pour déployer une stratégie de pare-feu Windows » dans Comment créer et déployer des stratégies de pare-feu Windows pour Endpoint Protection |
Les administrateurs utilisent les tâches de gestion disponibles pour Endpoint Protection pour gérer les stratégies anti-programme malveillant et pare-feu Windows, effectuer des analyses à la demande des ordinateurs si nécessaire, forcer les ordinateurs à télécharger les définitions les plus récentes et spécifier les actions supplémentaires à effectuer lorsque des programmes malveillants sont détectés. | Consultez Guide pratique pour gérer les stratégies anti-programme malveillant et les paramètres de pare-feu pour Endpoint Protection |
Les administrateurs utilisent les méthodes suivantes pour surveiller l’état d’Endpoint Protection et les actions effectuées par Endpoint Protection : 1) En utilisant le nœud État Endpoint Protection sous Sécurité dans l’espace de travail Surveillance . 2) En utilisant le nœud Endpoint Protection dans l’espace de travail Ressources et conformité . 3) En utilisant les rapports de Configuration Manager intégrés. |
Consultez Guide pratique pour surveiller Endpoint Protection |
Les administrateurs signalent une implémentation réussie d’Endpoint Protection à leur responsable et confirment que les ordinateurs de Woodgrove Bank sont désormais protégés contre les logiciels anti-programme malveillant, en fonction des exigences métier qui leur ont été données.
Prochaines étapes
Pour plus d’informations, consultez Guide pratique pour configurer Endpoint Protection