Configurer les Stratégies de Sécurité Avancées (Ordinateurs Windows)

S'applique À : WatchGuard Advanced EPDR Cette rubrique s'applique au produit de sécurité des endpoints WatchGuard Advanced EPDR.

Dans les paramètres de la Protection Avancée d'un profil de paramètres de stations de travail et serveurs, vous activez les Stratégies de Sécurité Avancées pour détecter et bloquer les scripts suspects et les programmes inconnus qui utilisent des techniques d'infection avancées.

Les Stratégies de Sécurité Avancées comprennent :

• PowerShell avec Paramètres Suspects — Détecte le nombre de fois où l'interpréteur PowerShell a reçu des paramètres suspects pouvant entraîner l'exécution d'opérations dangereuses sur l'ordinateur protégé. Cette option nécessite que vous activiez la protection anti-exploitation.
• PowerShell Exécuté par l'Utilisateur — Détecte le nombre de tentatives d'exécution d'un script PowerShell surveillé par un compte interactif capable d'exécuter des opérations dangereuses sur l'ordinateur protégé. Cette option nécessite que vous activiez la protection anti-exploitation.
• Scripts Inconnus — Détecte les tentatives d'exécution d'un script que l'équipe de renseignement de sécurité de WatchGuard n'a pas classifié. Cette stratégie permet de fournir une visibilité sur les scripts exécutés sur le réseau, de sécuriser les serveurs où l'exécution du programme est restreinte et d'empêcher la propagation de logiciels malveillants sur le réseau si une infection est suspectée. Si un script inconnu doit être autorisé, vous pouvez exclure le fichier des analyses. Pour de plus amples informations, accédez à Exclure des Fichiers et des Chemins d'Accès de Fichiers des Analyses.
• Programmes Compilés Localement — Détecte le nombre de tentatives d'exécution d'un programme inconnu de l'équipe de renseignement de sécurité de WatchGuard car il a été compilé sur l'ordinateur de l'utilisateur.
• Document avec Macros — Détecte le nombre de tentatives d'ouverture d'un document Microsoft Office avec des macros.
• Modification du Registre pour une Exécution au Démarrage de Windows — Détecte le nombre de fois qu'un programme a tenté d'ajouter une clé de registre Windows pour obtenir de la persistance sur l'ordinateur et se charger avec le système d'exploitation à chaque démarrage du système.
• Blocage des Programmes par Nom — Détecte le nombre de fois où Endpoint Security a bloqué un programme inclus dans la liste de blocage par nom.
• Blocage des Programmes par Valeur MD5 ou SHA-256 — Détecte le nombre de fois où Endpoint Security a bloqué un programme inclus dans la liste de blocage MD5 ou SHA-256.

Votre rôle d'opérateur détermine ce que vous pouvez afficher et faire dans WatchGuard Cloud. Votre rôle doit disposer de la permission Configurer la Sécurité pour les Stations de Travail et les Serveurs pour afficher ou configurer cette fonctionnalité. Pour de plus amples informations, accédez à Gérer les Opérateurs et Rôles de WatchGuard Cloud.

Pour configurer les paramètres des Stratégies de Sécurité Avancées :

1. Dans WatchGuard Cloud, sélectionnez Configurer > Endpoints.
2. Sélectionnez Configuration.
3. Dans le volet gauche, sélectionnez Stations de Travail et Serveurs.
4. Sélectionnez le profil de paramètres de sécurité existant à modifier, copiez un profil existant ou, en haut à droite de la fenêtre, cliquez sur Ajouter pour créer un nouveau profil.
   La page Ajouter des Paramètres ou Modifier la Configuration s'ouvre.
5. Saisissez si nécessaire le Nom et la Description du profil.
6. Sélectionnez Protection Avancée.
7. Sélectionnez l'option Protection Avancée pour l'activer.
8. Sélectionnez l'option Activer les Stratégies Avancées pour l'activer.
9. Pour chaque stratégie, sélectionnez Audit, Bloquer ou Ne Pas Détecter la menace :
   • Audit — Détecte la stratégie et génère des commentaires pour l'administrateur dans les listes et les mosaïques du tableau de bord.
   • Bloquer — Empêche le programme de s'exécuter.
   • Ne pas détecter — Ne détecte pas la stratégie et ne génère aucun commentaire pour les utilisateurs ou les administrateurs.
10. Configurez le blocage des programmes.
    Pour de plus amples informations, accédez à Bloquer les Programmes Suspects.
11. Cliquez sur Enregistrer.
12. Sélectionnez le profil puis attribuez si nécessaire des destinataires.
    Pour de plus amples informations, accédez à Attribuer un Profil de Paramètres.

Bloquer les Programmes Suspects

Pour augmenter la sécurité des ordinateurs Windows sur le réseau, vous pouvez empêcher l'utilisation de programmes que vous considérez comme dangereux ou suspects. Ces programmes comportent :

• Programmes qui, en raison de leur mode d'exécution, utilisent trop de bande passante ou établissent trop de connexions, ce qui a un impact négatif sur la connectivité de l'entreprise s'ils sont exécutés simultanément par plusieurs utilisateurs.
• Programmes qui permettent aux utilisateurs d'accéder à des contenus susceptibles de contenir des menaces de sécurité.
• Programmes qui permettent aux utilisateurs d'accéder à des contenus non liés à l'activité de l'entreprise et susceptibles d'affecter les performances des utilisateurs.

Pour bloquer les logiciels indésirables pour des raisons de productivité ou de conformité, vous pouvez configurer le blocage des programmes dans un profil de paramètres de blocage de programmes. Pour de plus amples informations, accédez à Configurer les Paramètres de Sécurité du Blocage des Programmes (Ordinateurs Windows).

Votre rôle d'opérateur détermine ce que vous pouvez afficher et faire dans WatchGuard Cloud. Votre rôle doit disposer de la permission Configurer la Sécurité pour les Stations de Travail et les Serveurs pour afficher ou configurer cette fonctionnalité. Pour de plus amples informations, accédez à Gérer les Opérateurs et Rôles de WatchGuard Cloud.

Pour configurer le blocage des programmes :

1. Dans WatchGuard Cloud, sélectionnez Configurer > Endpoints.
2. Sélectionnez Configuration.
3. Dans le volet gauche, sélectionnez Stations de Travail et Serveurs.
4. Sélectionnez le profil de paramètres de sécurité existant à modifier, copiez un profil existant ou, en haut à droite de la fenêtre, cliquez sur Ajouter pour créer un nouveau profil.
   La page Ajouter des Paramètres ou Modifier la Configuration s'ouvre.
5. Saisissez si nécessaire le Nom et la Description du profil.
6. Sélectionnez Protection Avancée.
7. Sélectionnez l'option Protection Avancée pour l'activer.
8. Sélectionnez l'option Activer les Stratégies Avancées pour l'activer.
9. Dans la section Bloquer des Programmes, saisissez les noms de fichiers ou les codes MD5 ou SHA-256 des programmes que vous souhaitez bloquer. Vous pouvez coller une liste de noms de fichiers ou de codes séparés par des sauts de ligne.
10. Pour Informer les utilisateurs de l'ordinateur des applications bloquées, activez cette option.
    Un message contextuel s'affiche sur les ordinateurs des utilisateurs lorsqu'ils tentent d'exécuter une application bloquée.
11. (Facultatif) Dans la zone de texte, saisissez un message personnalisé pour afficher les utilisateurs lorsqu'Advanced EPDR bloque un programme.
12. Cliquez sur Enregistrer.
13. Sélectionnez le profil puis attribuez si nécessaire des destinataires.
    Pour de plus amples informations, accédez à Attribuer un Profil de Paramètres.

Lorsqu'Endpoint Security bloque un programme, il est inclus dans la mosaïque Détections par Stratégies de Sécurité Avancées du tableau de bord Sécurité. Sélectionnez la mosaïque pour afficher la liste Détections par Stratégies de Sécurité Avancées. Dans la liste, sélectionnez un élément pour ouvrir la page de détails Bloquer par Stratégie de Sécurité Avancée. Pour de plus amples informations concernant les détails de la page, accédez à Détections par Stratégies de Sécurité Avancées — Détails de Bloquer.

Rubriques Connexes

Gérer les Profils de Paramètres

Copier un Profil de Paramètres

Modifier un Profil de Paramètres

Attribuer un Profil de Paramètres

Configurer les Paramètres de Sécurité pour les Stations de Travail et Serveurs