Test des règles de contrôle des applications

Après avoir ajouté des règles de contrôle des applications, vous devez les tester dans votre réseau. Les erreurs de configuration dans les ensembles de règles utilisés dans une politique de contrôle des applications peuvent désactiver un ordinateur ou un serveur. L'ordinateur client peut tomber en panne ou sa communication avec
 instance de Symantec Endpoint Protection Manager
peut être bloquée. Après avoir testé les règles, vous pouvez les appliquer à votre réseau de production.
Étape 1 : définir les règles sur le mode test
Vous pouvez tester des règles en définissant le mode test. Le mode de test crée une entrée de journal pour indiquer quand les règles de l'ensemble de règles seraient appliquées sans appliquer réellement la règle.
Les règles par défaut utilisent le mode de production par défaut. Les règles personnalisées utilisent le mode de test par défaut. Vous devez tester les règles par défaut et les règles personnalisées.
Vous pouvez tester des règles individuelles dans l'ensemble de règles. Vous pouvez tester des règles individuelles en les activant ou désactivant dans l'ensemble de règles.
  1. Changement d'une règle sur le mode test
  2. Dans la console, ouvrez une politique de contrôle des applications et des périphériques.
  3. Sous
    Politique de contrôle des applications
    , cliquez sur
    Contrôle applications
    .
  4. Dans la liste
    Ensembles de règles de contrôle des applications
    , cliquez sur la flèche déroulante dans la colonne
    Test/Production
    correspondant aux règles, puis cliquez sur
    Test (journal uniquement)
    .
Étape 2 : appliquer la politique de contrôle des applications et des périphériques aux ordinateurs dans votre réseau de test
Si vous avez créé une nouvelle politique de contrôle des applications et des périphériques, vous devez appliquer la politique aux clients dans votre réseau de test.
Étape 3 : surveiller le journal de contrôle des applications
Une fois que vous avez exécuté vos règles en mode de test pendant un certain temps, vous pouvez examiner les journaux pour déceler toutes les erreurs. Dans les modes test et production, les événements du contrôle des applications sont dans le journal de contrôle des applications de
 instance de Symantec Endpoint Protection Manager
. Sur l'ordinateur client, les événements de contrôle des applications et de contrôle des périphériques apparaissent dans le journal de contrôle.
Vous pouvez voir des entrées de journal en double ou multiples pour une action unique de contrôle des applications. Par exemple, si explorer.exe essaie de copier un fichier, il définit les bits d'écriture et de suppression du masque d'accès du fichier.
Symantec Endpoint Protection
consigne l'événement. Si la copie échoue parce qu'une règle de contrôle des applications bloque l'action, explorer.exe essaie de copier le fichier en utilisant uniquement le bit de suppression dans le masque d'accès.
Symantec Endpoint Protection
consigne un autre événement pour la tentative de copie.
Étape 4 : redéfinir les règles sur le mode de production
Quand les règles fonctionnent comme vous l'avez prévu, vous pouvez basculer en mode de production.