Uniemożliwianie użytkownikom wyłączania ochrony na komputerach klienckich

Administrator
program Symantec Endpoint Protection Manager
może uniemożliwiać użytkownikom wyłączania ochrony na komputerach klienckich ustawiając poziom kontroli użytkownika lub blokując opcje zasady. Na przykład, zasada zapory korzysta z poziomu kontroli, natomiast zasada ochrony przed wirusami i programami typu spyware działa przy użyciu blokady.
Firma Symantec zaleca stałe uniemożliwienie użytkownikom wyłączania ochrony.
Co to są poziomy kontroli użytkownika?
Poziomów kontroli użytkowników są stosowane, aby dać kontrolę użytkownikom klientów nad określonymi funkcjami. Od poziomu kontroli użytkownika zależy również, czy interfejs użytkownika klienta jest całkowicie niewidoczny, widoczne są niektóre funkcje, czy też wyświetlany jest w całości.
Poziomy kontroli użytkownika
Poziom kontroli użytkownika
Opis
Kontrola serwera
Użytkownicy mają najmniejszą kontrolę nad klientem. Z trybie kontroli serwera można zmienić odblokowane ustawień, ale są one zastępowane podczas następnego interwału pulsu.
Kontrola klienta
Użytkownicy mają największą kontrolę nad klientem. Kontrola klienta umożliwia użytkownikom konfigurację ustawień. Ustawienia zmodyfikowane na kliencie mają pierwszeństwo przed ustawieniami z serwera. Nie są zastępowane wskutek zastosowania nowej zasady, jeśli ustawienie nie zostało zablokowane w nowej zasadzie.
Opcja kontroli klienta jest przydatna w przypadku pracowników pracujących w lokalizacji zdalnej lub w domu.
Użytkownik musi być w grupie administratorów systemu Windows, aby zmienić którekolwiek z ustawień w trybie
Kontrola klienta
lub w trybie
Kontroli mieszanej
.
Kontrola mieszana
Opcja ta zapewnia użytkownikom średni poziom kontroli nad klientem. Użytkownik decyduje, które opcje użytkownicy będą mogli konfigurować, ustawiając daną opcję na
Kontrolę serwera
lub
Kontroli klienta
. W przypadku elementów będących pod kontrolą klienta użytkownik zachowuje kontrolę nad tym ustawieniem. W przypadku elementów będących pod kontrolą serwera użytkownik zachowuje kontrolę nad tym ustawieniem.
Można skonfigurować wszystkie opcje dla klienta systemu Windows. W przypadku klienta dla systemu Mac jedynie ikona obszaru powiadomień i niektóre opcje systemu zapobiegania włamaniom są dostępne do kontroli serwera i kontroli klienta.
Klienci pracujący w trybie
Kontroli klienta
lub
Kontroli mieszanej
przełączają się na
Kontrolę serwera
po zastosowaniu zasady kwarantanny przez serwer.
Zmiana poziomu kontroli użytkownika
Niektóre zarządzane ustawienia mają zależności. Na przykład użytkownicy mogą mieć uprawnienia do konfigurowania reguł zapory, ale nie mogą uzyskiwać dostępu do interfejsu użytkownika klienta. Ponieważ użytkownicy nie mają dostępu do okna dialogowego
Konfigurowanie reguł zapory
, nie mogą tworzyć reguł.
  1. W konsoli kliknij pozycję
    Klienci
    .
  2. W obszarze
    Wyświetl Klientów
    wybierz grupę i kliknij kartę
    Zasady
    .
  3. W obszarze
    Zasady i ustawienia specyficzne dla lokalizacji
    , w obszarze lokalizacji, którą chcesz zmodyfikować, rozwiń węzeł
    Ustawienia specyficzne dla lokalizacji
    .
  4. Obok pozycji
    Ustawienia kontroli interfejsu użytkownika klienta
    kliknij pozycję
    Zadania > Edytuj ustawienia
    .
  5. W oknie
    Ustawienia kontroli interfejsu użytkownika klienta
    wykonaj jedną z następujących czynności:
    • Kliknij pozycję
      Kontrola serwera
      , a następnie kliknij pozycję
      Dostosuj
      .
      Skonfiguruj ustawienia, a następnie kliknij przycisk
      OK
      .
    • Kliknij pozycję
      Kontrola klienta
      .
    • Kliknij pozycję
      Kontrola mieszana
      , a następnie kliknij pozycję
      Dostosuj
      .
      Skonfiguruj ustawienia, a następnie kliknij przycisk
      OK
      .
  6. Kliknij przycisk
    OK
    .
Blokowanie i odblokowywanie ustawień zasady
Niektóre ustawienia zasad można zablokować lub odblokować. Użytkownicy nie mogą zmienić zablokowanych ustawień. Obok ustawienia, które można zablokować, wyświetlana jest ikona kłódki. Można zablokować lub odblokować ustawienia ochrony przed wirusami i programami typu spyware, ochrony integralności, wysyłki oraz zapobiegania włamaniom.
Uniemożliwianie użytkownikom wyłączania szczególnych technologii ochrony
Jeżeli klient ma skonfigurowaną
Kontrolę mieszaną
lub
Kontrolę serwera
, ale nie ma zablokowanych tych opcji, użytkownicy mogą zmienić te ustawienia. Zmiany te pozostają aż do następnego interwału pulsu
program Symantec Endpoint Protection Manager
. Zablokowanie opcji tej zasady w różnych zasadach zapewnia, że ​​użytkownik nie może wprowadzać żadnych zmian w ustawieniach, nawet w
Kontroli klienta
.
Użytkownicy systemu Windows, którzy nie należą do grupy administratorów, nie mogą zmieniać ustawień w interfejsie użytkownika klienta
Symantec Endpoint Protection
, niezależnie od konfiguracji
Ustawień specyficznych dla lokalizacji
. Administratorzy systemu Windows 10 mogą nadal wyłączyć produkt z użyciem ikony obszaru powiadomień, nawet po ustawieniu tych opcji. Nie mogą, jednak, wyłączać indywidualnych technologii ochrony z paska interfejsu użytkownika klienta.
Jeśli zasady dla wszystkich grup nie muszą być zmienione, wyłącz dziedzictwo zasad w grupie, w której chcesz dokonać zmian. Jeśli edytujesz wspólną zasadę, edytowana zasada stosuje się do każdej grupy, do której stosuje się wspólna zasada, nawet w przypadku wyłączenia dziedziczenia zasad.
Aby uniemożliwić użytkownikom wyłączenia zapory lub kontroli aplikacji i urządzeń
  1. W konsoli kliknij pozycję
    Klienci
    .
  2. Kliknij grupę klientów, w której chcesz wprowadzić ograniczenia, a następnie kliknij kartę
    Zasady
    .
  3. Rozwiń
    Ustawienia specyficzne dla lokalizacji
    .
  4. Obok pozycji
    Ustawienia kontroli interfejsu użytkownika klienta
    kliknij pozycję
    Zadania > Edytuj ustawienia
    .
  5. Kliknij pozycję
    Kontrola serwera
    lub
    Kontrola mieszana
    , a następnie kliknij pozycję
    Dostosuj
    .
  6. W oknie dialogowym
    Ustawienia interfejsu użytkownika klienta
    (kontrola serwera) lub w okienku (kontrola mieszana), odznacz opcję
    Zezwalaj następującym użytkownikom na włączanie i wyłączanie zapory
    i
    Zezwalaj użytkownikowi na włączanie i wyłączanie kontroli urządzeniami aplikacji
    .
  7. Kliknij przycisk
    OK
    , a następnie ponownie kliknij przycisk
    OK
    .
Aby uniemożliwić użytkownikom wyłączanie zapobiegania włamaniom
  1. W konsoli kliknij pozycję
    Klienci
    .
  2. Kliknij grupę klientów, w której chcesz wprowadzić ograniczenia, a następnie kliknij kartę
    Zasady
    .
  3. Rozwiń
    Zasady specyficzne dla lokalizacji
    .
  4. Obok
    Zasady zapobiegania włamaniom
    kliknij pozycję
    Zadania > Edytuj zasadę
    .
  5. Kliknij
    Zapobieganie włamaniom
    , a następnie kliknij kłódki, znajdujące się obok
    Włącz funkcję Zapobieganie włamaniom sieciowym
    i
    Włącz zapobieganie włamaniom do przeglądarki
    , aby zablokować te funkcje.
  6. Kliknij przycisk
    OK
    .
Aby uniemożliwić użytkownikom wyłączenia ochrony przed wirusami i programami typu spyware
  1. W konsoli kliknij pozycję
    Klienci
    .
  2. Kliknij grupę klientów, w której chcesz wprowadzić ograniczenia, a następnie kliknij kartę
    Zasady
    .
  3. Rozwiń
    Zasady specyficzne dla lokalizacji
    .
  4. Obok
    Zasady ochrony przed wirusami i programami typu spyware
    , kliknij pozycję
    Zadania > Edytuj zasadę
    .
  5. W polu
    Ustawienia systemu Windows
    zablokuj następujące funkcje:
    • Kliknij
      Automatyczna ochrona
      , a następnie kliknij kłódkę, znajdującą się obok
      Włącz funkcję automatycznej ochrony
      .
    • Kliknij karcie
      Ochrona pobierania
      , a następnie kliknij kłódkę, znajdującą się obok
      Włącz funkcję Download Insight
      , aby wykrywać potencjalne zagrożenia pobranych plików na podstawie reputacji pliku.
    • Kliknij
      SONAR
      , a następnie kliknij kłódkę, znajdującą się obok
      Włącz funkcję sonar
      .
    • Kliknij
      Wczesne włączanie ochrony przed destrukcyjnym oprogramowaniem
      , a następnie kliknij kłódkę znajdującą się obok
      Włącz funkcję ELAM firmy Symantec
      .
    • Kliknij
      Automatyczna ochrona poczty Microsoft Outlook
      , a następnie kliknij kłódkę, znajdującą się obok
      Włącz Automatyczną ochronę poczty programu Outlook
      .
    • W przypadku wersji starszych niż 14.2 RU1 kliknij opcję
      Automatyczna ochrona poczty internetowej
      , a następnie kliknij kłódkę, znajdującą się obok opcji
      Włącz Automatyczną ochronę poczty internetowej
      .
    • W przypadku wersji starszych niż 14.2 RU1 kliknij opcję
      Automatyczna ochrona poczty Lotus Notes
      , a następnie kliknij kłódkę, znajdującą się obok opcji
      Włącz Automatyczną ochronę poczty Lotus Notes
      .
    • Kliknij
      Opcje globalne skanowania
      , a następnie kliknij kłódki, znajdujące się obok
      Włącz funkcję Insight dla
      i
      Włącz funkcję heurystycznego wykrywania wirusów Bloodhound
      .
  6. Kliknij przycisk
    OK
    .
Aby uniemożliwić użytkownikom wyłączenie ograniczania ataków na pamięć (14.1 i nowsze wersje)
W wersji 14 pojawiła się funkcja
Ograniczania ataków na pamięć
w zasadzie systemu zapobiegania włamaniom i nazwano ją
Zapobieganie lukom w zabezpieczeniach
.
  1. W konsoli kliknij pozycję
    Klienci
    .
  2. Kliknij grupę klientów, w której chcesz wprowadzić ograniczenia, a następnie kliknij kartę
    Zasady
    .
  3. Rozwiń
    Ustawienia specyficzne dla lokalizacji
    .
  4. Obok
    Ograniczania ataków na pamięć
    kliknij pozycję
    Zadania > Edytuj zasadę
    .
  5. Kliknij
    Ograniczenie ataków na pamięć
    , a następnie kliknij kłódkę, znajdującą się obok
    Włącz Ograniczenie ataków na pamięć
    .
  6. Kliknij przycisk
    OK
    .
Aktualizowanie pliku zasady z
program Symantec Endpoint Protection Manager
Po wprowadzeniu tych zmian, klienci w grupie otrzymują zaktualizowane zasady w zależności od ustawień komunikacji grupowej. Jeśli grupa jest w trybie wypychania,
program Symantec Endpoint Protection Manager
wyświetli monit o zarejestrowanie się w ciągu kilku sekund. Jeśli grupa jest w trybie ściągania, klient rejestruje się podczas następnego zaplanowanego interwału pulsu.
Jeśli chcesz to uzyskać szybciej niż podczas następnego interwału pulsu, możesz spowodować, żeby klient zarejestrował się i zaktualizował swoją zasadę. Można również zaktualizować zasadę z klienta
Symantec Endpoint Protection
.
Gdy klient zaktualizuje tę zasadę, opcja
Wyłącz
Symantec Endpoint Protection
jest wyszarzona po kliknięciu prawym przyciskiem myszy ikony obszaru powiadomień
Symantec Endpoint Protection
.