10.4 Création de stratégies de sécurité

Les paramètres de sécurité d'un périphérique sont contrôlés par les stratégies de sécurité appliquées par Endpoint Security Agent. Les stratégies de sécurité contrôlent une série de fonctionnalités liées à la sécurité. Vous pouvez utiliser l'ensemble ou certaines de ces stratégies selon vos besoins organisationnels. Les stratégies Antimalware nécessitent un droit de mise à jour Antimalware et la configuration du serveur Antimalware. Plusieurs étapes de configuration sont également requises pour utiliser les fonctionnalités de surveillance Antimalware. Pour plus d'informations, reportez-vous au manuel ZENworks Endpoint Security Antimalware Reference (Référence de ZENworks Endpoint Security Antimalware).

Stratégie		Fonction
	Application Antimalware	Installe l'agent Antimalware et configure les analyses de base sur accès et à la demande qui protègent les périphériques gérés contre les menaces de logiciels malveillants. Étant donné qu'il s'agit de la stratégie de base et qu'elle installe l'agent, elle doit être assignée aux périphériques avant l'assignation et l'application d'éventuelles stratégies facultatives (stratégie d'analyse personnalisée, stratégie d'analyse réseau et stratégie d'exclusion d'analyse).
	Analyse personnalisée Antimalware	Définit et planifie les analyses sur les unités locales, en plus des analyses complètes et rapides déjà définies dans la stratégie d'application Antimalware. Permet de cibler des menaces spécifiques qui peuvent ne pas être couvertes par les analyses planifiées régulièrement à l'aide de la stratégie d'application Antimalware.
	Analyse réseau Antimalware	Définit et planifie les analyses sur les fichiers des unités réseau uniquement. Cette stratégie vous permet de cibler une unité réseau d'un périphérique spécifique. Par exemple, vous pouvez utiliser cette stratégie pour analyser un disque de stockage de fichiers sur une pile de disques. Les informations d'identification réseau doivent être configurées dans la stratégie pour accéder aux fichiers réseau.
	Exclusions d'analyse Antimalware	Personnalise les exclusions d'analyse au-delà de celles déjà configurées dans d'autres stratégies Antimalware. Une fois cette stratégie créée, vous pouvez ajouter l'option Stratégie des exclusions aux détails Exclusions personnalisées de l'une des trois autres stratégies Antimalware. La stratégie est ensuite appliquée en fonction de l'assignation de périphérique de la stratégie des exclusions et de la stratégie Antimalware dans laquelle cette option est configurée.
	Contrôle d'application	Bloque l'exécution des applications ou leur refuse l'accès Internet. Vous spécifiez les applications qui sont bloquées ou dont l'accès Internet est refusé.
	Matériel de communication	Désactive les matériels de communication suivants : Firewire 1394, IrDA-Infrared, Bluetooth, série/parallèle, de connexion à distance, filaire et sans fil. Chaque matériel de communication est configuré séparément, ce qui signifie que vous pouvez en désactiver certains (le Bluetooth et la connexion à distance, par exemple) tout en en laissant d'autres activés.
	Pare-feu	Contrôle la connectivité réseau en désactivant les ports, les protocoles et les adresses réseau (IP et MAC).
	Chiffrement des données Microsoft	Gère le chiffrement des unités de données amovibles et des dossiers de disque fixe à l'aide de Microsoft BitLocker et de Microsoft EFS (Encrypting File System), respectivement.
	Script	exécute un script (JScript ou VBScript) sur un périphérique. Vous pouvez spécifier les déclencheurs qui entraînent l'exécution du script. Les déclencheurs peuvent être axés sur des actions de Endpoint Security Agent, des changements d'emplacement ou des intervalles.
	Contrôle du périphérique de stockage	Contrôle l'accès aux lecteurs CD/DVD et de disquettes, ainsi qu'aux unités de stockage amovibles. Chaque type de périphérique de stockage est configuré séparément, ce qui signifie que vous pouvez en désactiver certains tout en en activant d'autres.
	Connectivité USB	Contrôle l'accès aux périphériques USB tels que les imprimantes et les périphériques de stockage amovibles ou de saisie (claviers, souris, etc.). Vous pouvez spécifier des périphériques individuels ou des groupes de périphériques. Par exemple, vous pouvez désactiver l'accès à une imprimante spécifique et activer l'accès à tous les périphériques USB Sandisk.
	Application d'un VPN	Impose une connexion VPN en fonction de l'emplacement du périphérique. Par exemple, si l'emplacement du périphérique est inconnu, vous pouvez forcer une connexion VPN via laquelle tout le trafic Internet est routé.
	Wi-Fi	Désactive les adaptateurs sans fil, bloque les connexions sans fil, contrôle les connexions aux points d'accès sans fil, etc.

Outre les stratégies de sécurité ci-dessus, les stratégies suivantes vous aident à protéger et à configurer Endpoint Security Agent. En raison de la nature de la stratégie d'assignation d'emplacement, nous vous recommandons de la créer et de l'assigner en premier.

Stratégie	Fonction
	Paramètres de sécurité	Conçue pour protéger Endpoint Security Agent contre toute tentative de modification ou de désinstallation. Toutefois, cette stratégie est conservée pour assurer la prise en charge des périphériques qui exécutent encore ZENworks 11 ou ZENworks 11 SP1 Endpoint Security Agent et n'est pas utilisée avec l'agent de sécurité du noeud d'extrémité actuel. Ces versions de l'agent continuent à utiliser la stratégie Paramètres de sécurité. Pour plus d'informations sur la configuration des paramètres de sécurité de ZENworks Agent après ZENworks 11 SP1, reportez-vous à la section Configuration de la sécurité de l'agent ZENworks.
	Assignation d'un emplacement	Fournit la liste des emplacements autorisés pour un périphérique ou un utilisateur. Endpoint Security Agent évalue son environnement réseau actuel afin de voir s'il correspond aux emplacements autorisés. Le cas échéant, l'emplacement devient l'emplacement de sécurité et l'agent applique les stratégies de sécurité associées à ce dernier. Si aucune correspondance n'est trouvée avec les emplacements de la liste, les stratégies de sécurité associées à l'emplacement Inconnu sont appliquées. Si vous prévoyez d'utiliser des stratégies basées sur l'emplacement, vous devez vous assurer qu'une stratégie d'assignation des emplacements est assignée à chaque périphérique ou utilisateur. Si un périphérique ou son utilisateur n'est pas lié à une stratégie d'assignation des emplacements, Endpoint Security Agent ne peut appliquer aucune stratégie basée sur l'emplacement au périphérique.

Stratégie

Fonction

Paramètres de sécurité

Conçue pour protéger Endpoint Security Agent contre toute tentative de modification ou de désinstallation. Toutefois, cette stratégie est conservée pour assurer la prise en charge des périphériques qui exécutent encore ZENworks 11 ou ZENworks 11 SP1 Endpoint Security Agent et n'est pas utilisée avec l'agent de sécurité du noeud d'extrémité actuel. Ces versions de l'agent continuent à utiliser la stratégie Paramètres de sécurité.

Pour plus d'informations sur la configuration des paramètres de sécurité de ZENworks Agent après ZENworks 11 SP1, reportez-vous à la section Configuration de la sécurité de l'agent ZENworks.

Assignation d'un emplacement

Fournit la liste des emplacements autorisés pour un périphérique ou un utilisateur. Endpoint Security Agent évalue son environnement réseau actuel afin de voir s'il correspond aux emplacements autorisés. Le cas échéant, l'emplacement devient l'emplacement de sécurité et l'agent applique les stratégies de sécurité associées à ce dernier. Si aucune correspondance n'est trouvée avec les emplacements de la liste, les stratégies de sécurité associées à l'emplacement Inconnu sont appliquées.

Si vous prévoyez d'utiliser des stratégies basées sur l'emplacement, vous devez vous assurer qu'une stratégie d'assignation des emplacements est assignée à chaque périphérique ou utilisateur. Si un périphérique ou son utilisateur n'est pas lié à une stratégie d'assignation des emplacements, Endpoint Security Agent ne peut appliquer aucune stratégie basée sur l'emplacement au périphérique.

Pour créer une stratégie de sécurité :

Dans le centre de contrôle ZENworks, cliquez sur Stratégies pour afficher la page Stratégies.
Dans le panneau Stratégies, cliquez sur Nouveau > Stratégie pour afficher l'assistant Créer une nouvelle stratégie.
Sur la page Sélectionner une plate-forme, sélectionnez Windows, puis cliquez sur Suivant.
Sur la page Sélectionner la catégorie de stratégie, sélectionnez Stratégies Windows Endpoint Security, puis cliquez sur Suivant.
Sur la page Sélectionner le type de stratégie, sélectionnez le type de stratégie que vous souhaitez créer, puis cliquez sur Suivant.

Si vous avez créé des emplacements et prévoyez d'utiliser des stratégies basées sur l'emplacement, vous devez créer au moins une stratégie d'assignation des emplacements et l'assigner aux périphériques ou à leurs utilisateurs. Dans le cas contraire, aucun des emplacements que vous avez créés ne sera disponible pour les périphériques, ce qui signifie qu'aucune stratégie basée sur l'emplacement ne sera appliquée.
Sur la page Définir les détails, entrez un nom pour la stratégie et sélectionnez le dossier où placer cette dernière.

Le nom doit être unique parmi toutes les stratégies situées dans le dossier sélectionné.
(Facultatif) Si la page Configurer l'héritage et les assignations d'emplacements s'affiche, configurez les paramètres suivants puis cliquez sur Suivant.
- Héritage : laissez le paramètre Hériter de la hiérarchie des stratégies actif si vous souhaitez activer cette stratégie afin d'hériter des paramètres de stratégies du même type, assignées plus haut dans la hiérarchie. Par exemple, si vous assignez cette stratégie à un périphérique et une autre stratégie (du même type) au dossier de ce dernier, l'activation de cette option permet à cette stratégie d'hériter des paramètres de la stratégie assignée au dossier du périphérique. Désélectionnez le paramètre Hériter de la hiérarchie des stratégies si vous ne souhaitez pas autoriser cette stratégie à hériter des paramètres de stratégie.
- Assignations d'emplacements : les stratégies peuvent être globales ou basées sur l'emplacement. Une stratégie globale est appliquée quel que soit l'emplacement. Une stratégie basée sur l'emplacement est appliquée uniquement lorsque le périphérique détecte qu'il se trouve dans les emplacements assignés à la stratégie.
  
  Indiquez s'il s'agit d'une stratégie globale ou basée sur l'emplacement. Si vous sélectionnez une stratégie basée sur l'emplacement, cliquez sur Ajouter, sélectionnez les emplacements auxquels assigner la stratégie, puis cliquez sur OK afin de les ajouter à la liste.
Configurez les paramètres spécifiques à la stratégie, puis cliquez sur Suivant jusqu'à atteindre la page Résumé.

Pour obtenir des informations sur les paramètres d'une stratégie, cliquez sur Aide > Page actuelle dans le centre de contrôle ZENworks.
Sur la page Résumé, passez les informations en revue afin de vous assurer de leur exactitude. En cas d'erreur, cliquez sur le bouton Précédent pour afficher la page d'assistant appropriée et effectuer les modifications. Si les informations sont correctes, sélectionnez les informations suivantes (si vous le souhaitez), puis cliquez sur Terminer.
- Créer en tant que sandbox : sélectionnez cette option afin de créer la stratégie sous forme de version en sandbox. La version de test est isolée des utilisateurs et périphériques jusqu'à ce que vous la publiiez. Vous pouvez par exemple l'assigner à des utilisateurs et à des périphériques, mais elle ne sera appliquée qu'après publication.
- Définir des propriétés supplémentaires : sélectionnez cette option pour afficher les pages de propriétés de la stratégie. Ces pages vous permettent de modifier les paramètres de stratégie et d'assigner cette dernière à des utilisateurs et à des périphériques.