Empêcher des utilisateurs de désactiver la protection sur des ordinateurs client

En tant qu'administrateur
 instance de Symantec Endpoint Protection Manager
, vous pouvez empêcher des utilisateurs de désactiver la protection sur l'ordinateur client en définissant le niveau de contrôle de l'utilisateur ou en verrouillant les options de politique. Par exemple, la politique de pare-feu utilise un niveau de contrôle, alors que la politique Protection antivirus et antispywares utilise un verrou.
Symantec vous recommande d'empêcher les utilisateurs de désactiver la protection à tout moment.
Consultez les rubriques suivantes :
Quels sont les niveaux de contrôle de l'utilisateur ?
Vous utilisez les niveaux de contrôle utilisateur afin de donner au client un contrôle utilisateur des fonctions spécifiques. Le niveau de contrôle de l'utilisateur détermine si l'interface utilisateur du client peut être complètement invisible, afficher un ensemble de fonctions partiel ou s'afficher en entier.
niveaux de contrôle de l'utilisateur
Niveau de contrôle de l'utilisateur
Description
Contrôle du serveur
Donne aux utilisateurs le contrôle minimal sur le client. A l'aide du contrôle serveur, l'utilisateur peut apporter des modifications aux paramètres déverrouillés, mais ils sont remplacés lors de la pulsation suivante.
Contrôle client
Donne aux utilisateurs le contrôle maximal sur le client. Le contrôle client permet aux utilisateurs de configurer les paramètres. Les paramètres modifiés par le client ont la priorité sur les paramètres de serveur. Ils ne sont pas remplacés lorsque la nouvelle politique est appliquée, à moins que le paramètre ait été verrouillé dans la nouvelle politique.
La commande client est utile pour les employés qui travaillent dans un site éloigné ou un emplacement à la maison.
L'utilisateur doit être dans un groupe d'administrateurs de Windows pour modifier l'un des paramètres dans le mode
Contrôle client
ou le mode
Contrôle mixte
.
Contrôle mixte
Donne à l'utilisateur un contrôle mixte sur le client. Vous déterminez les options que vous permettez aux utilisateurs de configurer en définissant l'option sur
Contrôle serveur
ou sur
Contrôle client
. Pour les éléments sous le contrôle du client, l'utilisateur conserve le contrôle sur le paramètre. Pour les éléments sous le contrôle du serveur, vous conservez le contrôle sur le paramètre.
Pour le client Windows, vous pouvez configurer toutes les options. Pour le client Mac, seules l'icône de zone de notification et certaines options IPS sont disponibles dans le contrôle des serveurs et le contrôle client.
Les clients qui s'exécutent en mode
Contrôle client
ou
Contrôle mixte
basculent en mode
Contrôle serveur
quand le serveur applique une politique de quarantaine.
Pour plus d'informations, consultez l'article :
Modification du niveau de contrôle de l'utilisateur
Certains paramètres gérés ont des dépendances. Par exemple, les utilisateurs peuvent avoir la permission de configurer des règles de pare-feu, mais ne peuvent pas accéder à l'interface utilisateur client. Puisque les utilisateurs n'ont pas accès à la boîte de dialogue
Configurer les règles de pare-feu
, ils ne peuvent pas créer des règles.
Pour modifier le niveau de contrôle de l'utilisateur :
  1. Dans la console, cliquez sur
    Clients
    .
  2. Sous
    Afficher les clients
    , sélectionnez le groupe et cliquez sur l'onglet
    Politiques
    .
  3. Sous
    Politiques et paramètres dépendants de l'emplacement
    , sous l'emplacement que vous voulez modifier, développez
    Paramètres spécifiques aux emplacements
    .
  4. En regard de
    Paramètres de contrôle de l'interface utilisateur du client
    , cliquez sur
    Tâches > Modifier les paramètres
    .
  5. Dans la boîte de dialogue
    Paramètres de contrôle de l'interface utilisateur du client
    , choisissez l'une des options suivantes :
    • Cliquez sur
      Contrôle du serveur
      , puis cliquez sur
      Personnaliser
      .
      Configurez l'un des paramètres et cliquez sur
      OK
      .
    • Cliquez sur
      Contrôle client
      .
    • Cliquez sur
      Contrôle mixte
      , puis cliquez sur
      Personnaliser
      .
      Configurez l'un des paramètres et cliquez sur
      OK
      .
  6. Cliquez sur
    OK
    .
Pour plus d'informations, consultez l'article :
Verrouiller et déverrouiller des paramètres de politique
Vous pouvez verrouiller et déverrouiller certains paramètres de politique. Les utilisateurs ne peuvent pas modifier les paramètres verrouillés. Une icône de cadenas s'affiche en regard d'un paramètre verrouillable. Vous pouvez également verrouiller et déverrouiller des paramètres de protection antivirus et antispywares, contre les falsifications, de transmissions et de prévention d'intrusion.
Empêcher les utilisateurs de désactiver les technologies de protection spécifiques
Si vous définissez le client sur
Contrôle mixte
ou
Contrôle serveur
sans verrouiller les options, l'utilisateur peut modifier les options. Ces modifications restent en place jusqu'à la pulsation suivante avec
 instance de Symantec Endpoint Protection Manager
. Le verrouillage des options de politique dans diverses politiques garantit qu'il est impossible pour l'utilisateur d'apporter des modifications aux paramètres, même dans le
contrôle client
.
Les utilisateurs de Windows qui ne font pas partie du groupe Administrateurs ne peuvent pas modifier les paramètres dans l'interface utilisateur client de
Symantec Endpoint Protection
, indépendamment de la configuration
Paramètres dépendants de l'emplacement
. Les administrateurs de Windows 10 peuvent toujours désactiver le produit via l'icône de zone de notification même après avoir défini ces options. Cependant, ils ne peuvent pas désactiver les technologies de protection individuelle via l'interface utilisateur client.
Si vous ne souhaitez pas modifier les politiques pour tous les groupes, désactivez l'héritage des politiques sur le groupe auquel vous souhaitez apporter des modifications. Si vous modifiez une politique partagée, elle s'applique à chaque groupe, même si l'héritage des politiques est désactivé.
Pour empêcher les utilisateurs de désactiver le pare-feu ou le Contrôle des applications et des périphériques
  1. Dans la console, cliquez sur
    Clients
    .
  2. Cliquez sur le groupe de clients que vous voulez restreindre, puis cliquez sur l'onglet
    Politiques
    .
  3. Développez les
    Paramètres dépendants de l'emplacement
    .
  4. En regard de
    Paramètres de contrôle de l'interface utilisateur du client
    , cliquez sur
    Tâches > Modifier les paramètres
    .
  5. Cliquez sur
    Contrôle serveur
    ou
    Contrôle mixte
    , puis cliquez sur
    Personnaliser
    .
  6. Dans la boîte de dialogue (contrôle serveur) ou le panneau (contrôle mixte)
    Paramètres de l'interface utilisateur du client
    , décochez l'option
    Autoriser les utilisateurs suivants à activer et désactiver le pare-feu
    et
    Permettre aux utilisateurs d'activer et de désactiver le contrôle des applications et des périphériques
    .
  7. Cliquez sur
    OK
    , puis sur
    OK
    à nouveau.
Pour empêcher les utilisateurs de désactiver la prévention d'intrusion
  1. Dans la console, cliquez sur
    Clients
    .
  2. Cliquez sur le groupe de clients que vous voulez restreindre, puis cliquez sur l'onglet
    Politiques
    de la politique.
  3. Développez les
    Politiques dépendants de l'emplacement
    .
  4. En regard de
    Politique de prévention d'intrusion
    , cliquez sur
    Tâches > Modifier la politique
    .
  5. Cliquer sur
    Prévention d'intrusion
    , puis cliquez sur les verrous en regard de
    Activer la prévention d'intrusion réseau
    et
    Activer la prévention d'intrusion du navigateur
    pour verrouiller ces fonctions.
  6. Cliquez sur
    OK
    .
Pour empêcher des utilisateurs de désactiver la protection contre les virus et les spywares
  1. Dans la console, cliquez sur
    Clients
    .
  2. Cliquez sur le groupe de clients que vous voulez restreindre, puis cliquez sur l'onglet
    Politiques
    .
  3. Développez les
    Politiques dépendants de l'emplacement
    .
  4. En regard de
    Politique de protection antivirus et antispywares
    , cliquez sur
    Tâches > Modifier la politique
    .
  5. Sous
    Paramètres de Windows
    , verrouillez les fonctions suivantes :
    • Cliquer sur
      Auto-Protect
      puis cliquez sur le verrou en regard de
      Activer Auto-Protect
      .
    • Cliquez sur
      Protection contre le téléchargement
      , puis cliquez sur le verrou en regard de l'option
      Activer Diagnostic des téléchargements pour détecter les risques potentiels dans les fichiers téléchargés en fonction de la réputation du fichier
      .
    • Cliquer sur
      SONAR
      puis cliquez sur le verrou en regard de
      Activer SONAR
      .
    • Cliquez sur
      Pilote de protection antimalware au démarrage
      , puis cliquez sur le verrou en regard de
      Activer la protection antimalware au démarrage de Symantec
      .
    • Cliquez sur
      Auto-Protect pour Microsoft Outlook
      , puis sur le verrou en regard de l'option
      Activer Auto-Protect pour Microsoft Outlook
      .
    • Pour les versions antérieures à 14.2 RU1, cliquez sur
      Auto-Protect pour messagerie Internet
      , puis sur le verrou en regard de l'option
      Activer Auto-Protect pour messagerie Internet
      .
    • Pour les versions antérieures à 14.2 RU1, cliquez sur
      Auto-Protect pour Lotus Notes
      , puis sur le verrou en regard de l'option
      Activer Auto-Protect pour Lotus Notes
      .
    • Cliquez sur
      Options d'analyse générales
      , puis cliquez sur les verrous en regard de
      Activer Insight pour
      et
      Activer la détection de virus heuristique Bloodhound
      .
  6. Cliquez sur
    OK
    .
Pour empêcher les utilisateurs de désactiver la prévention contre les exploits en mémoire (version 14.1 ou ultérieure)
Dans la version 14,
Prévention contre les exploits en mémoire
s'affichait dans la politique de prévention d'intrusion et était appelé
Prévention contre les exploits génériques
.
  1. Dans la console, cliquez sur
    Clients
    .
  2. Cliquez sur le groupe de clients que vous voulez restreindre, puis cliquez sur l'onglet
    Politiques
    de la politique.
  3. Développez les
    Paramètres dépendants de l'emplacement
    .
  4. En regard de
    Prévention contre les exploits en mémoire
    , cliquez sur
    Tâches > Modifier la politique
    .
  5. Cliquez sur
    Prévention contre les exploits en mémoire
    puis cliquez sur le verrou en regard de
    Activer la prévention contre les exploits en mémoire
    .
  6. Cliquez sur
    OK
    .
Mise à jour de la politique client à partir de
 instance de Symantec Endpoint Protection Manager
Après avoir apporté ces modifications, les clients du groupe reçoivent les politiques mises à jour en fonction des paramètres de communication du groupe. Si le groupe est en mode Push,
 instance de Symantec Endpoint Protection Manager
invite le client à s'authentifier dans quelques secondes. Si le groupe est en mode Pull, le client sélectionné s'authentifie lors de la pulsation planifiée suivante.
Si vous souhaitez en disposer avant la prochaine pulsation, vous pouvez inviter le client à s'authentifier et à mettre à jour sa politique. Vous pouvez aussi mettre à jour la politique à partir du client
Symantec Endpoint Protection
. Voir :
Une fois que le client met à jour la politique,
Désactiver
Symantec Endpoint Protection
est grisé lorsque vous cliquez avec le bouton droit de la souris sur l'icône de la zone de notification de
Symantec Endpoint Protection
.