GUIDE PRODUIT DE MCAFEE MVISION ENDPOINT 1811
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Guide Produit de McAfee MVISION Endpoint 1811
COPYRIGHT Copyright © 2018 McAfee LLC ATTRIBUTIONS DE MARQUES COMMERCIALES McAfee et le logo McAfee, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan sont des marques commerciales de McAfee LLC ou de ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. INFORMATIONS DE LICENCE Accord de licence AVIS À TOUS LES UTILISATEURS : LISEZ ATTENTIVEMENT L'ACCORD JURIDIQUE CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE. IL DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS IGNOREZ LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, REPORTEZ-VOUS AUX DOCUMENTS COMMERCIAUX ET AUTRES DOCUMENTS D'OCTROI DE LICENCE, OU AU BON DE COMMANDE, QUI ACCOMPAGNENT VOTRE PACKAGE LOGICIEL OU QUI VOUS ONT ÉTÉ TRANSMIS SÉPARÉMENT DANS LE CADRE DE VOTRE ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER INCLUS SUR LE CD DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ÊTES PAS D'ACCORD AVEC CERTAINS TERMES DE CET ACCORD, N'INSTALLEZ PAS LE LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL. 2 Guide Produit de McAfee MVISION Endpoint 1811
Sommaire
1 Présentation du produit 5
Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Fonctionnalités clés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2 Mise en route de MVISION Endpoint 11
A propos de l'interface utilisateur de MVISION Endpoint . . . . . . . . . . . . . . . . . . . . 11
Stratégies MVISION Endpoint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Stratégies générales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Stratégie Exclusions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Règles de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3 Utilisation de l'Espace de travail Protection pour identifier et corriger les menaces 19
Utilisation de l'Espace de travail Protection avec MVISION Endpoint . . . . . . . . . . . . . . . . 19
Mise en route de l'Espace de travail Protection . . . . . . . . . . . . . . . . . . . . . . . . 20
Exemple de workflow d'événement de menace . . . . . . . . . . . . . . . . . . . . . . . 22
Appliquer des marqueurs de l'Espace de travail Protection aux systèmes . . . . . . . . . . . . . . 22
4 Gestion du contenu mis en quarantaine 23
Utilisation de la zone Contenu mis en quarantaine . . . . . . . . . . . . . . . . . . . . . . 23
Affichage et gestion du contenu mis en quarantaine . . . . . . . . . . . . . . . . . . . . . 24
A Paramètres managés 25
Paramètres Antivirus Microsoft Windows Defender gérés par MVISION Endpoint . . . . . . . . . . . 25
Paramètres de MVISION Endpoint . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Guide Produit de McAfee MVISION Endpoint 1811 3Sommaire 4 Guide Produit de McAfee MVISION Endpoint 1811
1 Présentation du produit
Sommaire
Présentation
Fonctionnalités clés
Fonctionnement
Présentation
®
McAfee MVISION Endpoint améliore l'Antivirus Microsoft Windows Defender grâce à des technologies de
sécurité basées sur l'apprentissage automatique et vous permet de surveiller les menaces potentielles sur les
terminaux gérés par Microsoft Windows 10 (Fall Creators Update et versions ultérieures). Il utilise une gamme
de fonctionnalités de détection de menaces de type « jour zéro » à partir de McAfee, à la fois en ligne et hors
ligne, pour fournir une protection améliorée pour vos utilisateurs. MVISION Endpoint fournit également une
gestion centralisée des règles du Pare-feu Microsoft Windows Defender.
® ® ® ™
MVISION Endpoint offre une gestion partagée à partir de McAfee ePolicy Orchestrator (McAfee ePO ) , vous
permettant d'utiliser une stratégie de protection unifiée pour les technologies McAfee et l'Antivirus Windows
Defender.
Le logiciel affiche l'état de conformité des menaces et de la sécurité de vos terminaux pour McAfee et les
technologies Microsoft, avec une fonctionnalité de filtrage sur les équipements et les menaces.
MVISION Endpoint fournit également une gestion centralisée du Pare-feu Microsoft Windows Defender à partir
de McAfee ePO.
Le tableau de bord de l'Espace de travail Protection vous permet de surveiller les détections non résolues, les
équipements transférés et les menaces résolues sur les terminaux managés. Des résumés des déclenchements
de règle de pare-feu et de conformité des terminaux sont également affichés.
Fonctionnalités clés
MVISION Endpoint fournit une protection améliorée pour vos terminaux Microsoft Windows 10.
Détection améliorée pour l'Antivirus Windows Defender
• L'Antivirus Windows Defender assure la détection de virus et de logiciels malveillants de base.
• Si l'Antivirus Windows Defender permet à un fichier de s'exécuter, MVISION Endpoint fournit alors une
analyse améliorée du fichier.
• MVISION Endpoint utilise les technologies locales et dans le cloud pour détecter et fournir une protection
contre les menaces qui contourne l'Antivirus Windows Defender.
Guide Produit de McAfee MVISION Endpoint 1811 51 Présentation du produit
Fonctionnalités clés
• MVISION Endpoint inclut une protection contre la collecte d'informations d'identification et offre une
protection statique et comportementale.
• Les technologies de cloud McAfee utilisent des recherches à la fois humaines et basées sur l'apprentissage
automatique pour analyser les dernières menaces de type « jour zéro ».
Gestion de l'Antivirus Windows Defender
• McAfee ePO gère MVISION Endpoint.
• Avec MVISION Endpoint installé sur vos terminaux Windows 10, McAfee ePO gère également certaines
fonctionnalités de l'Antivirus Windows Defender.
• McAfee ePO génère des rapports sur tous les terminaux Windows 10 ayant l'Antivirus Windows Defender
d'activé, ainsi que MVISION Endpoint d'installé.
Gestion des règles de Pare-feu Windows Defender
• MVISION Endpoint active la gestion centralisée du Pare-feu Windows Defender et des règles à partir de
McAfee ePO.
• MVISION Endpoint signale le nombre d'événements bloqués dans les dernières 24 heures par les règles de
Pare-feu Windows Defender et les données de conformité de pare-feu de chaque terminal managé, et
envoie ces informations à McAfee ePO.
La gestion du Pare-feu Windows Defender et des règles de pare-feu est désactivée par défaut. Pour gérer le
Pare-feu Windows Defender et les règles à partir de MVISION Endpoint, activez d'abord le Pare-feu dans la
stratégie Général MVISION Endpoint actuellement sélectionnée. Ensuite, utilisez la stratégie Règles de pare-feu pour
gérer les règles.
Espace de travail Protection
• Le tableau de bord de l'Espace de travail Protection vous permet de surveiller les menaces dans votre
réseau, de consulter les informations de conformité sur les produits McAfee et de gérer les équipements.
• Les workflows de l'Espace de travail Protection vous permettent de facilement surveiller l'activité et de gérer
vos équipements.
• Afficher des informations sur :
• Le nombre total d'équipements gérés par MVISION Endpoint
• Les équipements marqués en tant que Transférés
• Menaces résolues et non résolues
• Les workflows de l'Espace de travail Protection incluent plusieurs étapes pour corriger les menaces sur les
terminaux.
Modèle de stratégies unifiées
• Définissez des stratégies pour l'Antivirus Windows Defender et MVISION Endpoint, ce qui réduit le
traitement lors de l'application de différentes stratégies.
• Evitez les chevauchements entre l'Antivirus Windows Defender et MVISION Endpoint, ce qui simplifie la
gestion de la protection pour vos terminaux Windows 10.
6 Guide Produit de McAfee MVISION Endpoint 1811Présentation du produit
Fonctionnement 1
Fonctionnement
MVISION Endpoint utilise du contenu dans le cloud et local pour analyser les données et présente les
informations contenues dans le tableau de bord Espace de travail Protection dans McAfee ePO.
Chaque terminal Windows 10 protégé doit avoir le composant client de MVISION Endpoint d'installé. Le client
MVISION Endpoint ne possède pas d'interface propre et n'est pas configurable par l'utilisateur. Le client
MVISION Endpoint accepte les stratégies du serveur McAfee ePO et génère des rapports qu'il envoie à celui-ci.
1 Terminaux Windows 10 avec Antivirus Windows Defender, Pare-feu Windows Defender et logiciel client
MVISION Endpoint installé.
2 Serveur McAfee ePO (en local, dans un service hébergé ou McAfee MVISION ePO).
®
3 MVISION Endpoint envoie des métadonnées de fichier à l'infrastructure cloud McAfee pour analyse.
4 Lorsque les fichiers sont mis en quarantaine (par l'Antivirus Windows Defender ou MVISION Endpoint), ils
sont stockés dans la base de données de quarantaine sur le terminal en question. Le gestionnaire de
quarantaine McAfee ePO lit ensuite les données des emplacements de quarantaine de ces terminaux pour
activer la gestion de la quarantaine centralisée sur tous vos terminaux Windows 10.
5 Une fois activées, les règles de pare-feu sont envoyées en mode Push vers le pare-feu Windows Defender
sur les terminaux Windows 10 managés.
6 Des synthèses des événements de pare-feu Windows Defender bloqués et des données de conformité de
pare-feu sont envoyées à McAfee ePO.
Figure 1-1 Fonctionnement de MVISION Endpoint
MVISION Endpoint offre un niveau de protection supplémentaire, en s'appuyant sur les fonctionnalités de
détection de l'Antivirus Windows Defender.
Guide Produit de McAfee MVISION Endpoint 1811 71 Présentation du produit
Fonctionnement
Figure 1-2 Comment MVISION Endpoint interagit avec l'Antivirus Windows Defender
En tant que produit antivirus/antimalware de base, l'Antivirus Windows Defender protège vos terminaux
Windows 10 contre les virus et logiciels malveillants connus.
L'Antivirus Windows Defender transmet un fichier exécutable à MVISION Endpoint pour analyse
complémentaire uniquement s'il juge que le fichier exécutable est sûr. MVISION Endpoint utilise ensuite
l'infrastructure de détection McAfee locale et basée sur le cloud pour cette analyse plus détaillée.
Les détections de menace par l'Antivirus Windows Defender et MVISION Endpoint sont affichées dans l'Espace
de travail Protection dans McAfee ePO. A partir de là, résolvez les menaces et modifiez vos stratégies pour affiner
vos niveaux de protection. Gérez tous les fichiers mis en quarantaine par l'Antivirus Windows Defender ou
MVISION Endpoint à partir de la zone Gestion de la quarantaine dans McAfee ePO.
8 Guide Produit de McAfee MVISION Endpoint 1811Présentation du produit
Fonctionnement 1
Gestion des règles de Pare-feu Windows Defender
MVISION Endpoint vous permet de gérer les règles du Pare-feu Windows Defender utilisées sur tous vos
terminaux Windows 10.
Figure 1-3 Comment MVISION Endpoint interagit avec le Pare-feu Windows Defender
Avec un jeu de règles de pare-feu par défaut prêtes à l'emploi, MVISION Endpoint vous permet de rapidement
mettre en œuvre des règles et de les envoyer en mode Push à vos terminaux protégés. Vous pouvez créer des
règles ou modifier les existantes, créer des règles qui répondent aux besoins de votre entreprise, et les envoyer
en mode Push à tous vos terminaux Windows 10.
Pensez à créer à nouveau de précédentes règles de pare-feu afin de vous assurer que vos niveaux de protection
sont conservés.
En tant qu'administrateur, vous pouvez autoriser les règles de pare-feu locales à s'exécuter sur les terminaux.
Lorsque vous utilisez MVISION Endpoint pour gérer l'antivirus Windows Defender ou le pare-feu Windows
Defender, il est important de ne pas également utiliser de stratégie de groupe de contrôleur de domaine ni de
stratégie Microsoft System Center Configuration Manager (SCCM). Les stratégies de contrôleur de domaine et
SCCM ont une priorité plus élevée que les stratégies MVISION Endpoint et, dans ce cas, les stratégies MVISION
Endpoint sont alors écrasées. En cas de conflit, les stratégies de contrôleur de domaine ou SCCM ont la priorité,
et il en résulte un comportement indésirable.
Guide Produit de McAfee MVISION Endpoint 1811 91 Présentation du produit
Fonctionnement
10 Guide Produit de McAfee MVISION Endpoint 18112 Mise en route de MVISION Endpoint
Sommaire
A propos de l'interface utilisateur de MVISION Endpoint
Stratégies MVISION Endpoint
A propos de l'interface utilisateur de MVISION Endpoint
Recherchez l'interface de MVISION Endpoint et voyez comment certains de ces composants d'interface sont
utilisés par différents produits McAfee.
Le logiciel client MVISION Endpoint installé sur vos terminaux Windows 10 ne comprend aucune interface ni
contrôles auxquels les utilisateurs peuvent accéder. Les administrateurs de la sécurité définissent les stratégies
dans McAfee ePO qui sont ensuite envoyés en mode Push à MVISION Endpoint sur les terminaux. Ces
stratégies incluent les paramètres Antivirus Windows Defender gérés par MVISION Endpoint.
Espace de travail Protection
L'Espace de travail Protection a été introduit dans MVISION ePO et est également disponible en tant
qu'extension pour les versions antérieures de McAfee ePO. Il fournit la page d'accueil et le tableau de bord pour
MVISION Endpoint, ce qui vous donne un tableau de bord unique pour afficher les incidents de menace et la
conformité des équipements.
Figure 2-1 Interface de l'Espace de travail Protection affichant des données MVISION Endpoint
Guide Produit de McAfee MVISION Endpoint 1811 112 Mise en route de MVISION Endpoint
Stratégies MVISION Endpoint
Gestion de la quarantaine
En installant l'extension Gestion de la quarantaine, vous pouvez gérer les fichiers mis en quarantaine à partir de
n'importe lequel de vos terminaux Windows 10 protégés par MVISION Endpoint. Les fichiers mis en
quarantaine par l'Antivirus Windows Defender et par MVISION Endpoint sont gérés à partir de l'extension
Gestion de la quarantaine.
L'interface Gestion de la quarantaine se trouve sous l'Arborescence des systèmes, ajoutant un onglet Contenu mis en
quarantaine aux options disponibles sous les informations de l'équipement.
Mise à jour automatique des composants de client
L'extension Programme de mise à jour MVISION Endpoint vous permet de conserver automatiquement tous vos
terminaux à jour avec les tout derniers logiciels client et technologies MVISION Endpoint.
L'extension ajoute une tâche serveur, Tâche de mise à jour MVISION Endpoint, afin de récupérer le logiciel MVISION
Endpoint le plus récent du Catalogue de logiciels McAfee ePO. Par défaut, cette tâche s'exécute tous les jours.
Stratégies MVISION Endpoint
MVISION Endpoint est livré avec des stratégies par défaut. Ces stratégies, disponibles dans le Catalogue de
stratégies McAfee ePO, fournissent des modèles vous permettant de créer des stratégies qui correspondent à
vos priorités d'organisation.
MVISION Endpoint utilise les types de stratégies suivants : stratégies Général, stratégies Exclusions et stratégies
Pare-feu. Suivez le workflow standard McAfee ePO pour dupliquer et modifier ces stratégies selon vos besoins.
Activation de la gestion des modules Protection contre les menaces et Pare-feu
Par défaut, la Protection contre les menaces est activée lorsque vous installez MVISION Endpoint. Il est conseillé de
ne pas désactiver la Protection contre les menaces, car cela désactive également les fonctionnalités de détection
avancée de logiciels malveillants de MVISION Endpoint.
12 Guide Produit de McAfee MVISION Endpoint 1811Mise en route de MVISION Endpoint
Stratégies MVISION Endpoint 2
Pour activer la gestion des règles Pare-feu Microsoft Defender, activez le Pare-feu dans la stratégie Gestion de
MVISION Endpoint | Général | dans le Catalogue de stratégies McAfee ePO.
Si Pare-feu est désactivé dans la stratégie, l'Espace de travail Protection signale l'état du pare-feu comme étant
conforme, que les terminaux Windows 10 aient un pare-feu activé ou non.
Stratégies générales
Le logiciel inclut des stratégies pour la configuration des paramètres généraux de MVISION Endpoint, y compris
la Protection contre les menaces, le Pare-feu et les Paramètres de journalisation. Pour les stratégies Général, deux modèles
sont fournis : un modèle destiné à un usage général et un modèle pour les situations où un niveau de sécurité
supérieur est nécessaire. Les options disponibles sont les mêmes pour les deux, mais des paramètres plus
prudents sont utilisés pour un niveau de sécurité supérieur.
Comme avec toutes les stratégies McAfee ePO, vous pouvez dupliquer et personnaliser les paramètres de ces
stratégies par défaut à l'aide du workflow standard de stratégies McAfee ePO. Consultez la documentation
correspondant à votre version de McAfee ePO à l'adresse https://docs.mcafee.com.
Protection contre les menaces
Tableau 2-1 Protection contre les menaces : options standards
Option Définition
Niveau de protection Utilisez les curseurs pour définir le niveau de confiance lorsque McAfee exécute les
actions Bloquer ou Signaler pour les logiciels malveillants potentiels.
Plus le niveau de confiance est bas, plus la stratégie est stricte et plus le risque de générer
des résultats faux positifs est élevé.
Paramètres d'analyse Définissez le type d'analyse, la planification de l'analyse et les actions requises pour les
menaces de différents niveaux de gravité pour l'Antivirus Windows Defender.
Activez la Protection contre le vol d'informations d'identification pour empêcher les processus de
lire la mémoire Isass.exe (Isass.exe stocke les informations d'identification de
l'utilisateur).
Planificateur des Définissez les options du Planificateur des mises à jour.
mises à jour
• Rechercher les mises à jour MVISION Endpoint et les définitions Antivirus Windows
Defender après avoir choisi le nombre d'heures.
• Rechercher les mises à jour MVISION Endpoint et les définitions Antivirus Windows
Defender à l'heure que vous avez choisie de façon récurrente (tous les jours ou un jour
spécifique toutes les semaines).
• Rechercher uniquement les définitions Antivirus Windows Defender.
Notifications En tant qu'administrateur, vous pouvez décider si les utilisateurs voient les notifications
lorsque MVISION Endpoint ou Antivirus Windows Defender détecte les menaces sur les
équipements des terminaux.
Guide Produit de McAfee MVISION Endpoint 1811 132 Mise en route de MVISION Endpoint
Stratégies MVISION Endpoint
Tableau 2-2 Protection contre les menaces : options avancées
Option Définition
Paramètres de mise à jour des L'Antivirus Windows Defender peut utiliser plusieurs méthodes pour
signatures rechercher et télécharger les mises à jour de signatures. Sélectionnez les
méthodes à utiliser et faites les glisser dans l'ordre que vous préférez.
Pour rechercher les mises à jour de signatures à partir de partages de fichiers
UNC, entrez les chemins d'accès UNC concernés.
Exclusions Gérer l'accès aux dossiers sélectionnés. Sélectionnez Désactivé, Bloquer ou Audit
dans la liste déroulante.
Les listes des dossiers protégés sont définies dans la stratégie Exclusions.
Paramètres de protection en temps Sélectionnez la configuration de la protection en temps réel à appliquer à
réel l'Antivirus Windows Defender et MVISION Endpoint.
Eléments à analyser Sélectionnez les éléments à analyser par l'Antivirus Windows Defender et
MVISION Endpoint.
Paramètres d'analyse Sélectionnez les paramètres en fonction de vos besoins.
supplémentaires
Pare-feu
Tableau 2-3 Pare-feu : options standards
Option Définition
De base Choisissez les profils pour lesquels vous activez la gestion de pare-feu.
Déterminez si les utilisateurs de chaque profil voient les notifications concernant les événements de
pare-feu.
Tableau 2-4 Pare-feu : options avancées
Option Définition
Avancées Pour utiliser les règles locales de pare-feu existantes, sélectionnez les profils auxquels s'appliquent
ces règles.
Si vous utilisez la gestion de pare-feu MVISION Endpoint et la désactivez ultérieurement, les règles locales de
pare-feu sur vos terminaux Windows 10 managés sont automatiquement réactivées.
Paramètres de journalisation
Tableau 2-5 Paramètres de journalisation (toutes les options)
Option Définition
Paramètres de journalisation Sélectionnez les informations à inclure dans les fichiers journaux.
dans MVISION Endpoint (Option avancée) Définissez la Taille limite du fichier journal, ainsi que le Niveau de
journalisation. Les paramètres par défaut conviennent à la plupart des clients. Vous
pouvez les modifier si vous avez des exigences spécifiques. Par exemple, si vous
résolvez un problème, sélectionnez un Niveau de journalisation plus détaillé et
augmentez la Taille limite du fichier journal. Ces paramètres du journal fournissent des
informations plus détaillées pour vous aider à diagnostiquer le problème.
14 Guide Produit de McAfee MVISION Endpoint 1811Mise en route de MVISION Endpoint
Stratégies MVISION Endpoint 2
Stratégie Exclusions
La stratégie Exclusions contient un modèle de stratégie unique. Dupliquez cette stratégie pour configurer les
fichiers, les dossiers et les processus à exclure des analyses MVISION Endpoint et Antivirus Microsoft Windows
Defender.
Tableau 2-6 Définition des options
Option Définition
Exclusions de fichiers et de Entrez les chemins d'accès au dossier pour exclure les dossiers et les fichiers qu'ils
dossiers contiennent des analyses planifiées et en temps réel.
Exclusions de processus Pour exclure les fichiers ouverts par les processus de l'analyse, spécifiez les chemins
d'accès à ces processus. Tous les fichiers ouverts par le processus spécifié sont
exclus des analyses.
Exclusions de types de Pour empêcher l'analyse de types de fichiers spécifiques par les analyses planifiées,
fichiers personnalisées ou en temps réel, ajoutez les types de fichiers à la liste Exclusions de
types de fichiers.
Dossiers protégés Définissez les dossiers où les applications non approuvées ne peuvent pas modifier
ni supprimer des fichiers ou des dossiers. Par exemple, empêchez les applications
non approuvées de modifier des fichiers dans le dossier Documents.
Applications autorisées Spécifiez les applications à considérer comme approuvées et qui peuvent modifier
ou supprimer des fichiers ou des dossiers dans la liste Dossiers protégés.
Les exclusions pour Dossiers protégés et Applications autorisées sont appliquées uniquement si les paramètres de
stratégie Général | Options avancées | Exclusions sont définis sur Bloquer ou Audit.
Règles de pare-feu
MVISION Endpoint inclut la possibilité de gérer les règles de Pare-feu Microsoft Windows Defender sur vos
terminaux Microsoft Windows 10.
Comme avec toutes les stratégies McAfee ePO, vous pouvez dupliquer et personnaliser les paramètres de ces
stratégies par défaut à l'aide du workflow standard de stratégies McAfee ePO. Consultez la documentation
correspondant à votre version de McAfee ePO à l'adresse https://docs.mcafee.com.
Le Pare-feu Microsoft Windows Defender, par défaut, contient deux règles de « niveau supérieur » : une qui
bloque toutes les connexions entrantes et l'autre qui autorise toutes les connexions sortantes.
Pour qu'un système fonctionne, vous devez configurer des règles pour autoriser les connexions entrantes
nécessaires à votre connectivité normale du réseau.
Par défaut, MVISION Endpoint inclut plusieurs règles de pare-feu pour autoriser les connexions entrantes les
plus fréquemment utilisées.
Créez d'autres règles pour répondre à vos besoins spécifiques concernant les connexions entrantes vers vos
terminaux, et également pour le trafic sortant (à la fois de type Autoriser et Bloquer) pour répondre à vos
objectifs de sécurité.
Vous pouvez trier les règles par défaut en cliquant sur l'en-tête de n'importe quelle colonne.
Tableau 2-7 Définitions des options : règles d'autorisation entrantes prêtes à l'emploi
Règle Définition
Autoriser le trafic Network Time Protocol Règle pour les communications Network Time Protocol.
Autoriser le trafic SNMP Règle du trafic SNMP.
Autoriser les connexions entrantes Règle de connexions RDP entrantes.
Connexions Bureau à distance (RDP)
Guide Produit de McAfee MVISION Endpoint 1811 152 Mise en route de MVISION Endpoint
Stratégies MVISION Endpoint
Tableau 2-7 Définitions des options : règles d'autorisation entrantes prêtes à l'emploi (suite)
Règle Définition
Programme d'installation d'application Règle pour le programme d'installation d'application Microsoft,
permettant l'installation et la maintenance des applications.
Connecter Règle pour la Projection Microsoft PPI.
Réseau de base Règles concernées par l'autorisation de fonctions réseau.
Cortana Règle pour les communications Microsoft Cortana.
Optimisation de la livraison Inclut des règles pour les connexions entrantes TCP et UDP.
ICMP Règles pour les communications Internet Control Message
Protocol.
Messagerie et calendrier Règle pour les applications de communication Microsoft Windows.
Microsoft Edge Règle pour Microsoft Edge
Mon abonnement Office Communications avec le concentrateur Microsoft Office.
NetBIOS Inclut des règles pour les sessions RCP et NetBIOS.
Découverte du réseau Inclut plusieurs règles à des fins de découverte du réseau.
OneNote Règle pour les communications Microsoft OneNote.
Assistance à distance Règles pour les canaux de l'Assistance à distance.
Skype Règle pour les communications Skype.
VPN Règles utilisées pour activer les communications VPN.
Win32WebViewHost Règle pour les applications d'hôte Webview Microsoft Windows
32 bits.
Authentification Windows AD Règles Active Directory.
Affichage sans fil Règles qui s'appliquent aux connexions avec les écrans sans fil.
Compte professionnel ou scolaire Règle pour le plug-in autorisant l'intégration d'un compte
professionnel ou personnel.
Votre compte Règle pour les communications avec la connexion au compte
cloud Microsoft Windows.
Les options en gras contiennent des groupes de règles similaires.
Ajouter une règle de pare-feu
Lors de la définition de votre stratégie de pare-feu pour vos terminaux Windows 10, vous devrez peut-être
ajouter de nouvelles règles de pare-feu.
Vous pouvez créer des règles de pare-feu qui autorisent les communications ou les bloquent. Ces
communications peuvent être entrantes ou sortantes, et peuvent s'appliquer aux programmes, aux services,
aux adresses IP ou à des protocoles ou ports spécifiques. Utilisez les options disponibles pour créer une règle
qui répond à vos besoins spécifiques.
L'exemple suivant crée une règle qui bloque l'accès à Skype à partir du terminal.
Procédure
1 À partir de votre interface McAfee ePO, accédez à Catalogue de stratégies | MVISION Endpoint 1811 | Règles de
pare-feu.
Si vous ne voyez que la stratégie Règles de pare-feu standards par défaut, dupliquez-la pour créer une stratégie
modifiable.
16 Guide Produit de McAfee MVISION Endpoint 1811Mise en route de MVISION Endpoint
Stratégies MVISION Endpoint 2
2 Cliquez sur Modifier.
La stratégie s'ouvre et affiche les règles existantes.
3 À partir de la liste déroulante Exécuter une action, sélectionnez Nouvelle règle.
L'onglet Détails de la règle s'affiche.
4 Saisissez Bloquer Skype dans la zone de texte Nom de la règle.
5 Sélectionnez les options de la règle :
• Action : comme cet exemple de règle est une règle de blocage, sélectionnez Bloquer.
• Direction : dans cet exemple, sélectionnez Sortant.
• Profil : dans cet exemple, sélectionnez les profils Privé et Public.
• Programme : sélectionnez Chemin d'accès spécifié et saisissez le chemin d'accès au programme, par exemple
C:\Program files (x86)\Microsoft\Skype pour Desktop\Skype.exe.
• IP locale/IP distante : définissez les adresses IP sur Toute adresse IP.
• Protocole : définissez la valeur sur Tout.
6 Cliquez sur Ajouter.
La nouvelle règle pour bloquer les connexions sortantes du terminal vers Skype est ajoutée aux règles de la
stratégie sélectionnée.
Afin que la nouvelle règle entre en vigueur, assurez-vous que la stratégie avec la nouvelle règle est actuellement
affectée aux terminaux que vous avez choisis, et utilisez Réactiver les agents pour envoyer les stratégies en mode
Push vers ces terminaux.
Modifier une règle de pare-feu
Lors de la définition de votre stratégie de pare-feu pour vos terminaux Windows 10, vous devrez peut-être
modifier des règles de pare-feu existantes.
Vous pouvez modifier les règles de pare-feu existantes pour mieux répondre à vos besoins.
Procédure
1 À partir de votre interface McAfee ePO, accédez à Catalogue de stratégies | MVISION Endpoint 1811 | Règles de
pare-feu.
Si vous ne voyez que la stratégie Règles de pare-feu standards par défaut, dupliquez-la pour créer une stratégie
modifiable.
2 Cliquez sur Modifier.
La stratégie s'ouvre et affiche les règles existantes.
3 Sélectionnez la règle à modifier.
L'onglet de règle Détails s'affiche, indiquant les paramètres actuels de cette règle.
4 Apportez les modifications.
Guide Produit de McAfee MVISION Endpoint 1811 172 Mise en route de MVISION Endpoint
Stratégies MVISION Endpoint
5 Cliquez sur Mettre à jour.
L'onglet Détails se ferme.
6 Cliquez sur Enregistrer.
Afin que la règle modifiée entre en vigueur, assurez-vous que la stratégie avec la règle modifiée est actuellement
affectée aux terminaux que vous avez choisis, et utilisez Réactiver les agents pour envoyer les stratégies en mode
Push vers ces terminaux.
Supprimer une règle de pare-feu
Lors de la définition de votre stratégie de pare-feu pour vos terminaux Windows 10, vous devrez peut-être
supprimer des règles de pare-feu existantes.
Supprimez toute règle que vous ne voulez pas dans votre stratégie.
Vous ne pouvez pas supprimer des règles dans les stratégies par défaut (en lecture seule).
Procédure
1 À partir de votre interface McAfee ePO, accédez à Catalogue de stratégies | MVISION Endpoint 1811 | Règles de
pare-feu.
Si vous ne voyez que la stratégie Règles de pare-feu standards par défaut, dupliquez-la pour créer une stratégie
modifiable.
2 Cliquez sur Modifier.
La stratégie s'ouvre et affiche les règles existantes.
3 Sélectionnez la règle à supprimer.
L'onglet de règle Détails s'affiche, indiquant les paramètres actuels de cette règle.
4 À partir de la liste déroulante Exécuter une action, sélectionnez Supprimer la règle.
5 Confirmez que vous souhaitez supprimer la règle sélectionnée.
6 Cliquez sur Enregistrer.
La règle sélectionnée est supprimée de la stratégie.
Utilisez Réactiver les agents pour envoyer en mode Push les stratégies vers vos terminaux Windows 10.
18 Guide Produit de McAfee MVISION Endpoint 18113 Utilisation de l'Espace de travail Protection
pour identifier et corriger les menaces
L'Espace de travail Protection offre des données sur la conformité des équipements ainsi qu'une représentation
visuelle des incidents de menace dans votre environnement, le tout dans le même tableau de bord.
Il permet d'identifier rapidement les menaces détectées dans votre environnement et d'accéder directement
aux équipements concernés afin de corriger la menace.
L'Espace de travail Protection se compose de plusieurs parties dans lesquelles vous pouvez afficher et réagir à
des menaces :
Présentation des menaces : affichez les informations des menaces sur plusieurs catégories. Affichez le
nombre d'équipements transférés pour effectuer le suivi des équipements qui ont rencontré des menaces
multiples et peuvent nécessiter votre attention. Les équipements sont transférés automatiquement en fonction
de la gravité de l'impact des menaces sur le système. Sélectionnez une valeur pour afficher une vue plus
détaillée des catégories.
Présentation de la conformité : affichez l'état du contenu de sécurité et les produits individuels déployés dans
l'environnement. Les équipements utilisent des codes de couleur pour indiquer l'état de sécurité (intégrité) de
l'équipement. Vous pouvez identifier facilement les systèmes qui sont à jour ou qui nécessitent une mise à jour
ou un déploiement de produit.
Vue Equipements : affichez vos équipements en fonction de marqueurs (par défaut), sous la forme de
l'Arborescence des systèmes ou d'une liste. Utilisez la fonctionnalité de recherche pour trouver rapidement un
équipement. La vue Equipements varie en fonction de la synthèse de l'équipement sélectionné. Si vous avez
sélectionné Transferts, le volet affiche tous les équipements transférés.
Sommaire
Utilisation de l'Espace de travail Protection avec MVISION Endpoint
Mise en route de l'Espace de travail Protection
Exemple de workflow d'événement de menace
Appliquer des marqueurs de l'Espace de travail Protection aux systèmes
Utilisation de l'Espace de travail Protection avec MVISION Endpoint
L'Espace de travail Protection est un composant McAfee ePO utilisé par plusieurs produits McAfee.
L'Espace de travail Protection est installé par défaut lorsque vous utilisez le produit MVISION ePO basé sur le
cloud et multilocataire. Pour les versions en local de McAfee ePO (versions 5.3, 5.9 et 5.10), vous devez installer
manuellement les extensions de l'Espace de travail Protection sur votre serveur McAfee ePO avant de pouvoir
utiliser l'Espace de travail Protection.
Etant donné que l'Espace de travail Protection est un composant partagé utilisé par plusieurs produits McAfee,
certaines options et données incluses peuvent ne pas s'appliquer à MVISION Endpoint. Par exemple, MVISION
Endpoint n'effectue pas de mises à jour quotidiennes de fichiers DAT, mais il s'appuie sur l'Antivirus Windows
Guide Produit de McAfee MVISION Endpoint 1811 193 Utilisation de l'Espace de travail Protection pour identifier et corriger les menaces
Mise en route de l'Espace de travail Protection
Defender pour les détections de base de virus basées sur des définitions. C'est pourquoi, dans le contexte de
MVISION Endpoint, l'Espace de travail Protection | Présentation de la conformité | Contenu de sécurité affiche uniquement
l'état de vos installations Antivirus Windows Defender, mais ne liste pas MVISION Endpoint, car ce produit
n'utilise pas ses propres fichiers DAT.
Mise en route de l'Espace de travail Protection
L'Espace de travail Protection est l'endroit où vous pouvez voir toutes les menaces potentielles sur les
équipements managés et réagir à celles-ci.
L'Espace de travail Protection est divisé en plusieurs catégories, ce qui vous permet d'afficher les informations
de conformité et de gérer les principales menaces dans un seul endroit. Lorsque vous interagissez avec l'Espace
de travail Protection, démarrez sur le côté gauche et progressez vers la droite.
Nom Catégorie Description
Barre de l'Espace Equipements Nombre total d'équipements suivis par le serveur McAfee ePO.
de travail
Protection Transferts Nombre total d'équipements qui sont marqués comme
transférés. Sélectionnez un équipement pour afficher Equipements
transférés. Le système est transféré si 5 menaces ou plus sont
détectées en 24 heures.
Mise à jour Les mises à jour sont effectuées automatiquement toutes les
5 minutes. Cliquez sur l'icône Actualiser pour réafficher
manuellement l'Espace de travail Protection.
Paramètres Utilisez les paramètres de l'Espace de travail Protection pour :
• Modifier l'interface en Mode de contraste élevé.
• Ajuster les Seuils de couleur de contenu de sécurité et les Seuils de
couleur d'échec d'archivage pour personnaliser les niveaux de
sécurité pour votre environnement.
Présentation des Equipements transférés Nombre total d'équipements ayant reçu une menace au cours
menaces des 7 derniers jours. Le système est transféré si 5 menaces ou
plus sont détectées en 24 heures.
Menaces résolues Nombre total de menaces qui ont été résolues au cours des
7 derniers jours.
De base : détectées par les produits comme McAfee VirusScan
Enterprise, Prévention contre les menaces McAfee Endpoint
®
Security et Microsoft Windows Defender.
Avancées : détectées par des techniques de détection avancées
comme McAfee MVISION Endpoint, Real Protect et McAfee
® ®
Endpoint Security Protection adaptive contre les menaces (ATP).
Menaces non résolues Nombre total et nombre par jour de menaces détectées qui ne
sont pas résolues. La flèche indique la tendance au cours des
7 derniers jours.
Protection des données Génère un rapport uniquement sur le nombre total d'événements
McAfee Data Loss Prevention (McAfee DLP) et McAfee
® ®
Management of Native Encryption (MNE) au cours des 7 derniers
jours.
20 Guide Produit de McAfee MVISION Endpoint 1811Utilisation de l'Espace de travail Protection pour identifier et corriger les menaces
Mise en route de l'Espace de travail Protection 3
Nom Catégorie Description
Présentation de la Contenu de sécurité Pourcentage de systèmes qui sont situés dans un nombre
conformité spécifique de jours en utilisant un fichier DAT actuel. Par exemple,
Les extensions si le fichier DAT a moins de 3 jours par rapport à sa date de
du produit publication, il est considéré comme conforme, s'il a plus de
doivent être 3 jours, il est non conforme.
installées pour
pouvoir
afficher les
catégories.
Etat des logiciels Etat du contenu de sécurité et des produits individuels déployés
dans l'environnement. Par exemple, McAfee Agent, McAfee
MVISION Endpoint et Microsoft Windows Defender.
Les équipements utilisent des codes de couleur pour indiquer
l'état de santé de l'état de sécurité (intégrité) de l'équipement :
Vert : version la plus récente.
Orange : une ou plusieurs versions antérieures.
Gris clair : aucune donnée disponible. L'extension est archivée
dans McAfee ePO, mais le produit n'a pas été déployé.
Gris foncé : indique que l'extension est archivée, mais le produit
n'est pas installé sur le terminal.
Etat de la gestion des Echec d'archivage indique le nombre d'équipements qui n'ont pas
équipements été archivés sur le serveur McAfee ePO depuis plus de 15 jours.
Equipements managés sans protection indique le nombre
d'équipements qui n'ont pas ces produits antimalware d'installés :
Prévention contre les menaces, MVISION Endpoint ou VirusScan
Enterprise.
Equipements managés indique le nombre total d'équipements
managés au cours des 7 derniers jours.
Equipements Afficher vos équipements en fonction de marqueurs (par défaut),
dans l'Arborescence des systèmes ou sous forme de liste.
Utilisez la fonctionnalité de recherche pour trouver rapidement
un équipement.
Les informations qui s'affichent sur le volet Equipements change en
fonction de la catégorie que vous sélectionnez :
Equipements
Equipements transférés
Accédez pour afficher les détails de l'équipement et les
5 principales menaces. Sélectionnez une menace pour ouvrir le
volet Détails de la menace et afficher des détails spécifiques sur une
menace spécifique.
Guide Produit de McAfee MVISION Endpoint 1811 213 Utilisation de l'Espace de travail Protection pour identifier et corriger les menaces
Exemple de workflow d'événement de menace
Exemple de workflow d'événement de menace
L'Espace de travail Protection fournit une capture instantanée de l'état de sécurité de votre réseau, ce qui vous
permet d'afficher les principales menaces afin de pouvoir examiner et déterminer une réponse.
1 L'Espace de travail Protection affiche les principaux événements de menace et la conformité sur les produits
McAfee.
2 L'administrateur de sécurité évalue rapidement les événements urgents et les équipements transférés.
3 L'équipe de sécurité examine les équipements transférés pour déterminer une réponse.
Appliquer des marqueurs de l'Espace de travail Protection aux systèmes
Marquez les équipements (systèmes) pour les transférer ou les exclure de la vérification de conformité.
Procédure
1 Dans l'Espace de travail Protection, sélectionnez un équipement depuis la vue marqueur, arborescence ou
liste.
Le volet Détails de l'équipement s'ouvre.
2 Sélectionnez un marqueur dans la liste déroulante Etat de sécurité.
3 Cliquez sur Confirmer.
22 Guide Produit de McAfee MVISION Endpoint 18114 Gestion du contenu mis en quarantaine
Vous pouvez gérer le contenu mis en quarantaine à partir de l'Arborescence des systèmes McAfee ePO. L'onglet
Contenu mis en quarantaine, situé dans l'Arborescence des systèmes pour chacun de vos systèmes configurés,
fournit des informations sur le contenu qui a été mis en quarantaine par les produits compatibles.
Utilisez l'onglet Contenu mis en quarantaine pour afficher des informations sur les fichiers qui ont été mis en
quarantaine. Vous pouvez également libérer des fichiers de la quarantaine, les restaurer, ainsi que les entrées
de Registre relatives, à leur emplacement précédent sur le système sur lequel ils ont été mis en quarantaine.
Les fichiers mis en quarantaine sont susceptibles d'être malveillants. Restaurez uniquement le contenu mis en
quarantaine si vous êtes sûr qu'il est sans danger.
Sommaire
Utilisation de la zone Contenu mis en quarantaine
Affichage et gestion du contenu mis en quarantaine
Utilisation de la zone Contenu mis en quarantaine
La zone Contenu mis en quarantaine pour chaque système managé affiche des informations sur les éléments mis
en quarantaine à partir de ce système.
Nom Description
Nom de détection Le nom McAfee a été donné à l'élément qui a été détecté et mis en quarantaine par
l'Antivirus Windows Defender ou MVISION Endpoint.
Utilisez l'option Rechercher dans la bibliothèque des menaces (https://www.mcafee.com/
enterprise/en-us/threat-center.html) pour en savoir plus sur l'élément détecté.
Type Le type d'élément mis en quarantaine. Options disponibles :
• Fichier
• Entrées du Registre : les informations indiquent si la détection est une entrée de
Registre 32 bits ou 64 bits, ou s'il s'agit d'une valeur de Registre ou d'une clé de Registre.
Pour les détections effectuées par l'Antivirus Windows Defender, la page du contenu mis
en quarantaine affiche les informations renvoyées par l'Antivirus Windows Defender.
Microsoft définit les informations qui sont affichées et celles-ci peuvent être amenées à
changer lors des mises à jour de l'Antivirus Windows Defender.
Elément mis en Chemin d'accès et nom de l'élément qui a été mis en quarantaine.
quarantaine
Hachage Si elle est disponible, la valeur de hachage pour le contenu mis en quarantaine.
Cliquez sur la valeur de hachage pour rechercher la description de la menace sur la page
d'informations VirusTotal.
Guide Produit de McAfee MVISION Endpoint 1811 234 Gestion du contenu mis en quarantaine
Affichage et gestion du contenu mis en quarantaine
Nom Description
Méthode de La façon dont l'élément mis en quarantaine a été détecté. Les options varient en fonction
détection du logiciel qui utilise la Gestion de la quarantaine :
• MVISION Endpoint
• Antivirus Windows Defender
Evénement Les options Evénement possibles sont les suivantes :
• Exécution de la section : la détection et la mise en quarantaine se sont produites au
moment où le fichier était en train d'être mappé en mémoire.
• Création de processus : la détection et la mise en quarantaine se sont produites après
que le processus a été chargé dans la mémoire et au moment de son exécution.
Date/heure de Horodatage de l'événement de mise en quarantaine.
mise en
quarantaine
Action (affichée Sélectionnez les éléments mis en quarantaine à traiter et sélectionnez l'Action requise.
au-dessus du
• Supprimer : supprime le contenu sélectionné de la quarantaine.
tableau)
• Restaurer : restaure le contenu sélectionné sur le terminal et à l'emplacement d'où il a été
mis en quarantaine.
Affichage et gestion du contenu mis en quarantaine
Utilisez l'Arborescence des systèmes McAfee ePO pour afficher des informations sur le contenu mis en quarantaine
et effectuer les actions appropriées sur ce contenu.
Vous pouvez configurer votre stratégie pour supprimer automatiquement le contenu mis en quarantaine après
un nombre de jours spécifié.
Procédure
1 Identifiez le terminal dont le contenu a été mis en quarantaine. Dans l'Espace de travail Protection, développez
Menaces résolues et recherchez les terminaux dont l'Action effectuée est définie sur déplacé.
2 Connectez-vous à McAfee ePO.
3 Dans l'Arborescence des systèmes, sélectionnez le terminal dont le contenu a été mis en quarantaine.
4 Cliquez sur l'onglet Contenu mis en quarantaine.
Les informations sur le contenu mis en quarantaine pour les terminaux sélectionnés sont affichées.
5 Sélectionnez les éléments mis en quarantaine à traiter et sélectionnez l'Action requise.
• Supprimer : supprime le contenu sélectionné de la quarantaine.
• Restaurer : restaure le contenu sélectionné sur le terminal et à l'emplacement d'où il a été mis en
quarantaine.
24 Guide Produit de McAfee MVISION Endpoint 1811A Paramètres managés
Sommaire
Paramètres Antivirus Microsoft Windows Defender gérés par MVISION Endpoint
Paramètres de MVISION Endpoint
Paramètres Antivirus Microsoft Windows Defender gérés par MVISION
Endpoint
Lorsque MVISION Endpoint est installé sur des terminaux Microsoft Windows 10, MVISION Endpoint gère une
partie des paramètres de l'Antivirus Microsoft Windows Defender.
Tableau A-1 Paramètres Antivirus Microsoft Windows Defender dans la stratégie Général
Paramètre de stratégie MVISION Description
Endpoint
AllowFastServiceStartup Ce paramètre de stratégie contrôle la priorité de charge du service
antimalware. L'augmentation de la priorité de charge permet un
démarrage plus rapide du service, mais peut affecter les
performances. Si vous activez ce paramètre, le service antimalware
se charge comme une tâche de priorité normale. Si vous désactivez
ce paramètre, le service antimalware se charge comme une tâche
de priorité faible.
AllowPause Ce paramètre de stratégie vous permet de définir si les utilisateurs
finaux peuvent mettre en pause une analyse en cours. Si vous
activez ce paramètre, un nouveau menu contextuel est ajouté à
l'icône de la barre d'état système pour autoriser l'utilisateur à
mettre en pause une analyse.
CheckForSignaturesBeforeRunningScan Ce paramètre de stratégie vous permet de définir si une recherche
de nouvelles définitions de virus et de logiciels espions est
effectuée avant l'exécution d'une analyse. Ce paramètre s'applique
aux analyses planifiées et à la ligne de commande
« MpCmdRun -SigUpdate », mais il n'a aucun effet sur les analyses
initiées manuellement à partir de l'interface utilisateur. Si la valeur
est définie sur 1, une recherche de nouvelles définitions est
effectuée avant l'exécution d'une analyse planifiée.
DisableArchiveScanning Ce paramètre de stratégie vous permet de configurer des analyses
de détection de logiciels malveillants et de logiciels indésirables
dans des fichiers d'archive tels que les fichiers .zip ou .cab. Si la
valeur est définie sur 1, les fichiers d'archive ne sont pas analysés
pendant une analyse à la demande ou planifiée.
DisableBehaviorMonitoring Vous permet de désactiver la surveillance des processus de
comportement (runtime) pour l'Antivirus Windows Defender et
MVISION Endpoint. Si la valeur est définie sur 1, la surveillance du
comportement ne surveille pas les processus.
Guide Produit de McAfee MVISION Endpoint 1811 25Vous pouvez aussi lire
