Configuration du verrouillage du système

Le verrouillage du système contrôle les applications de groupes d'ordinateurs client en bloquant les applications désapprouvées. Vous pouvez configurer le verrouillage du système afin qu'il autorise uniquement les applications d'une liste spécifiée. La liste verte (liste blanche) comporte toutes les applications approuvées ; les autres applications sont bloquées sur les ordinateurs clients. Vous pouvez également configurer le verrouillage du système afin qu'il bloque uniquement les applications d'une liste spécifiée. La liste d'exclusion comporte toutes les applications non approuvées ; les autres applications sont autorisées sur les ordinateurs clients.
Les applications autorisées par le verrouillage du système sont soumises à d'autres fonctions de protection dans
Symantec Endpoint Protection
.
Une liste verte ou la liste d'exclusion peut inclure des listes d'empreintes de fichiers et des noms d'applications spécifiques. Une liste d'empreintes de fichier est une liste d'emplacements de chemins d'accès d'ordinateur et de sommes de contrôle de fichiers.
Vous pouvez utiliser la politique de contrôle des applications et des périphériques à la place ou en plus du verrouillage du système pour contrôler des applications spécifiques.
Vous configurez le verrouillage du système pour chaque groupe ou emplacement de votre réseau.
Etapes du verrouillage du système
Action
Description
Étape 1 : Créer des listes d'empreintes de fichier
Vous pouvez créer une liste d'empreintes de fichier qui inclut les applications dont l'exécution est autorisée ou non autorisée sur vos ordinateurs client. Vous ajoutez la liste des empreintes de fichiers à la liste verte et à la liste d'exclusion dans le verrouillage du système.
Lorsque vous exécutez le verrouillage du système, vous avez besoin d'une liste d'empreintes de fichiers qui inclut les applications de tous les clients que vous souhaitez autoriser ou bloquer. Par exemple, votre réseau peut inclure des clients Windows 8.1 32 bits et 64 bits, et des clients Windows 10 64 bits. Vous pouvez créer une liste d'empreintes de fichiers pour chaque image de client.
Vous pouvez créer une liste d'empreintes de fichier selon les procédures suivantes :
  • Symantec Endpoint Protection
    fournit un utilitaire de somme de contrôle pour créer une liste d'empreintes de fichier. Cet utilitaire est installé avec
    Symantec Endpoint Protection
    sur l'ordinateur client.
    Vous pouvez utiliser l'utilitaire pour créer une somme de contrôle pour une application spécifique ou pour toutes les applications d'un chemin d'accès spécifié. Utilisez cette méthode pour générer des empreintes de fichiers à utiliser quand vous exécutez le verrouillage du système en mode exclusion.
  • Créez une listes d'empreintes de fichier sur un ordinateur unique ou un petit groupe d'ordinateurs à l'aide de la commande Collecter la liste des empreintes de fichier.
    Vous pouvez exécuter la commande
    Collect File Fingerprint List
    (Collecter la liste des empreintes de fichiers) à partir de la console. La commande collecte une liste d'empreintes de fichier qui inclut chaque application sur les ordinateurs ciblés. Par exemple, vous pourriez exécuter la commande sur un ordinateur qui exécute une image d'or. Vous pouvez utiliser cette méthode quand vous exécutez le verrouillage du système en mode vert. Notez que la liste d'empreintes de fichier que vous générez avec la commande ne peut pas être modifiée. Quand vous réexécutez la commande, la liste d'empreintes de fichier est automatiquement mise à jour.
  • Créez une liste d'empreintes de fichier avec un utilitaire de somme de contrôle tiers.
Si vous exécutez
Symantec EDR
dans votre réseau, les listes d'empreinte de fichier de
Symantec EDR
peuvent s'afficher.
Étape 2 : Importer les listes de signatures de fichier dans
 instance de Symantec Endpoint Protection Manager
Avant que vous puissiez utiliser une liste d'empreintes de fichier dans la configuration du verrouillage du système, la liste doit être disponible dans
 instance de Symantec Endpoint Protection Manager
.
Quand vous créez des listes d'empreintes de fichier avec un outil de somme de contrôle, vous devez manuellement importer les listes dans
 instance de Symantec Endpoint Protection Manager
.
Quand vous créez une liste d'empreintes de fichiers avec la commande
Collect File Fingerprint List
(Collecter les listes d'empreintes de fichiers), la liste résultante est automatiquement disponible dans la console
 instance de Symantec Endpoint Protection Manager
.
Vous pouvez également exporter des listes d'empreintes de fichier existantes depuis
 instance de Symantec Endpoint Protection Manager
.
Étape 3 : Créer des listes de noms d'application pour des applications approuvées ou désapprouvées
Vous pouvez utiliser tout éditeur de texte pour créer un fichier texte qui inclut les noms de fichier des applications à autoriser ou interdire. A la différence des listes d'empreintes de fichier, vous importez ces fichiers directement dans la configuration du verrouillage du système. Une fois les fichiers importés, les applications apparaissent sous forme d'entrées individuelles dans la configuration de verrouillage du système.
Vous pouvez également entrer manuellement des noms d'applications individuelles dans la configuration du verrouillage du système.
Un grand nombre d'applications nommées peuvent affecter les performances de l'ordinateur client quand le verrouillage du système est activé en mode exclusion.
Étape 4 : Configuration et test de la configuration du verrouillage du système
En mode de test, le verrouillage du système est désactivé et ne bloque aucune application. Toutes les applications désapprouvées sont consignées mais ne sont pas bloquées. L'option
Consigner les applications désapprouvées
de la boîte de dialogue
Verrouillage du système
permet de tester l'intégralité de la configuration du verrouillage du système.
Pour configurer et exécuter le test, procédez comme suit :
  • Ajoutez les listes d'empreintes de fichier à la configuration du verrouillage du système.
    En mode vert, les empreintes de fichiers sont des applications approuvées. En mode exclusion, les empreintes de fichier sont des applications non approuvées.
  • Ajoutez des noms d'applications individuelles ou importez les listes de noms d'application dans la configuration du verrouillage du système.
    Vous pouvez importer une liste de noms d'application au lieu d'entrer les noms un par un dans la configuration du verrouillage du système. En mode vert, les applications sont des applications approuvées. En mode exclusion, les applications sont des applications non approuvées.
  • Exécutez le test pendant un certain temps.
    Exécutez le verrouillage du système en mode de test assez longtemps pour que les clients exécutent leurs applications habituelles. Une période standard pourrait être d'une semaine.
Étape 5 : Affichage des applications désapprouvées et modification de la configuration du verrouillage du système s'il y a lieu
Après avoir exécuté le test pendant un certain temps, vous pouvez vérifier la liste des applications désapprouvées. Vous pouvez afficher la liste des applications désapprouvées en consultant l'état affiché dans la boîte de dialogue
Verrouillage du système
.
Les événements consignés apparaissent également dans le journal de contrôle des applications.
Vous pouvez ajouter des applications supplémentaires à la liste d'empreintes de fichier ou à la liste d'applications. Vous pouvez également ajouter ou supprimer des listes d'empreintes de fichier ou des applications, s'il y a lieu, avant d'activer le verrouillage du système.
Etape 6 : Activation du verrouillage du système
Par défaut, le verrouillage du système s'exécute en mode vert. Vous pouvez configurer le verrouillage du système pour activer le mode exclusion.
Si vous activez le verrouillage du système en mode vert, vous bloquez les applications qui ne figurent pas dans la liste des applications approuvées. Si vous activez le verrouillage du système en mode exclusion, vous bloquez les applications qui figurent dans la liste des applications non approuvées.
Veillez à tester votre configuration avant d'activer le verrouillage du système. Si vous bloquez une application nécessaire, vos ordinateurs client risquent de ne pas pouvoir redémarrer.
Étape 7 : Mise à jour des listes d'empreintes de fichier pour le verrouillage du système
Au fil du temps, vous pouvez modifier les applications qui s'exécutent dans votre réseau. Vous pouvez mettre à jour vos listes d'empreintes de fichier ou les supprimer en fonction de vos besoins.
Vous pouvez mettre à jour des listes d'empreintes de fichier de plusieurs façons :
Il est recommandé de tester à nouveau la configuration du verrouillage du système en intégralité si vous ajoutez des ordinateurs client à votre réseau. Vous pouvez déplacer les nouveaux clients dans un groupe distinct ou tester le réseau et désactiver le verrouillage du système. Ou vous pouvez maintenir le verrouillage du système activé et exécuter la configuration en mode de consignation uniquement. Vous pouvez également tester des empreintes de fichier ou des applications individuelles, comme décrit à la prochaine étape.
Étape 8 : Test des éléments sélectionnés avant de les ajouter ou de les supprimer lorsque le verrouillage du système est activé
Une fois le verrouillage du système activé, vous pouvez tester des empreintes de fichier individuelles, des listes de noms d'application ou des applications spécifiques avant de les ajouter à la configuration du verrouillage du système ou de les supprimer de cette liste.
Il est utile de supprimer des listes d'empreintes de fichier si vous disposez de nombreuses listes et que vous n'utilisez plus certaines d'entre elles.
Les listes d'empreintes de fichier et les applications doivent être ajoutées au verrouillage du système ou supprimées de ce dernier avec précaution. L'ajout ou la suppression d'éléments au verrouillage du système peut être risqué. Vous pouvez bloquer des applications importantes sur vos ordinateurs client.
  • Testez les éléments sélectionnés.
    Utilisez l'option
    Tester avant la suppression
    pour consigner des listes d'empreintes de fichier ou des applications spécifiques comme non approuvées.
    Quand vous exécutez ce test, le verrouillage du système est activé mais ne bloque aucune application sélectionnée ni aucune application des listes d'empreintes de fichier sélectionnées. Au lieu de cela, le verrouillage du système consigne les applications désapprouvées.
  • Consultez le journal de contrôle des applications.
    Les entrées de journal apparaissent dans le journal de contrôle des applications. Si aucune entrée ne figure dans le journal pour les applications testées, cela signifie que vos clients n'utilisent pas ces applications.