Предотвращение действий пользователей по отключению защиты на клиентских компьютерах

Администратор
Symantec Endpoint Protection Manager
может запретить пользователям отключать защиту на клиентских компьютерах, настроив уровень управления пользователем или заблокировав параметры политики. Например, для политики брандмауэра применяется настройка уровня управления, а для политики защиты от вирусов и программ-шпионов — блокировка.
Компания Symantec рекомендует полностью запретить пользователям отключать защиту.
Что представляют собой уровни управления пользователем?
Уровни управления пользователем дают возможность предоставить пользователям клиентского компьютера контроль за определенными компонентами. Уровень управления пользователем также определяет, будет ли пользовательский интерфейс клиента скрыт, показан в ограниченном виде или с полным набором функций.
Уровни управления пользователем
Уровень управления
Описание
Управление с сервера
Предоставляет минимальные возможности управления клиентом. Если применяется управление сервером, то пользователь может изменять заблокированные параметры, но эти изменения переопределяются значениями с сервера при следующем контрольном сигнале.
Управление клиентом
Предоставляет максимальные возможности управления клиентом. Если применяется управление клиентом, то пользователи имеют возможность настраивать параметры. Измененные клиентом параметры имеют приоритет над параметрами сервера. Они не перезаписываются при применении новой политики, если в новой политике не задана их блокировка.
Управление клиентом удобно для пользователей, которые работают удаленно или дома.
Пользователь должен входить в группу администраторов Windows, чтобы иметь возможность изменять какие-либо параметры в режиме
Управление клиент
ом или в режиме
Смешанное управление
.
Смешанное управление
Предоставляет смешанные возможности управления клиентом. От выбранного варианта (
Управление сервером
или
Управление клиентом
) зависит, какие параметры доступны пользователям для настройки. Пользователь сохраняет контроль за элементами, для которых задано управление клиентом. Контроль за элементами, для которых задано управление сервером, остается за вами.
Для клиента Windows можно настроить все параметры. Для клиента Mac в системе управления сервером и в системе управления клиентом доступны только параметры значка в области уведомлений и некоторые параметры IPS.
Когда сервер применяет политику карантина, клиенты, работающие в режиме
управления клиентом
или
смешанного управления
, переключаются в режим
управления сервером
.
Изменение уровня управления пользователем
Управляемые параметры могут зависеть друг от друга. Например, пользователи могут обладать права настройки правил брандмауэра, не обладая при этом доступом к пользовательскому интерфейсу клиента. Поскольку у пользователей нет доступа к диалоговому окну
Настроить правила брандмауэра
, они не могут создавать правила.
  1. В консоли выберите пункт
    Клиенты
    .
  2. В разделе
    Показать список клиентов
    выберите группу и откройте вкладку
    Политики
    .
  3. В разделе
    Политики и параметры, относящиеся к расположению
    разверните
    Параметры расположения
    .
  4. Рядом с областью
    Параметры управления интерфейсом клиента
    выберите
    Задачи > Изменить параметры
    .
  5. В диалоговом окне
    Параметры управления пользовательским интерфейсом клиента
    выполните одно из следующих действий:
    • Выберите
      Управление сервером
      и нажмите кнопку
      Настроить
      .
      Настройте нужные параметры и нажмите кнопку
      ОК
      .
    • Выберите
      Управление клиентом
      .
    • Выберите
      Смешанное управление
      и нажмите кнопку
      Настроить
      .
      Настройте нужные параметры и нажмите кнопку
      ОК
      .
  6. Нажмите кнопку
    ОК
    .
Блокирование и разблокирование параметров политики
Некоторые параметры политики можно блокировать и разблокировать. Пользователи не могут изменять заблокированные параметры. Рядом с доступным для блокировки параметром отображается значок замка. Можно заблокировать или разблокировать параметры защиты от вирусов и программ-шпионов, защиты от изменений, параметры отправки и параметры предотвращения вторжений.
Предотвращение действий пользователей по отключению отдельных технологий защиты
Если клиент работает в режиме
смешанного управления
или
управления сервером
, но вы не заблокировали параметры, то пользователь сможет изменять их значения. Изменения остаются в силе до тех пор, пока не будет получен следующий контрольный сигнал с
Symantec Endpoint Protection Manager
. Блокировка параметров политики для различных политик позволяет гарантировать, что пользователи не смогут изменить значения даже в режиме
управления клиентом
.
Пользователи Windows, не входящие в группу администраторов, не могут изменять значения в интерфейсе
Symantec Endpoint Protection
вне зависимости от настройки
Параметров для конкретных расположений
. Администраторы Windows 10 имеют возможность отключить продукт с помощью значка в области уведомлений даже после настройки описанных здесь параметров. Тем не менее, они не могут отключать отдельные технологии защиты из пользовательского интерфейса клиента.
Если изменять политики для всех групп не требуется, то отключите наследование политик для группы, в которую необходимо внести изменения. Изменения, внесенные в общую политику, применяются ко всем группам, к которым применяется общая политика, даже если наследование политик отключено.
Как запретить пользователям отключать брандмауэр или функцию управления приложениями и устройствами
  1. В консоли выберите пункт
    Клиенты
    .
  2. Выберите группу клиентов, для которой необходимо установить ограничение, и перейдите на вкладку
    Политики
    .
  3. Разверните
    Параметры для конкретных расположений
    .
  4. Рядом с областью
    Параметры управления интерфейсом клиента
    выберите
    Задачи > Изменить параметры
    .
  5. Выберите
    Управление сервером
    или
    Смешанное управление
    , затем нажмите
    Настроить
    .
  6. В диалоговом окне (при управлении сервером) или на панели (при смешанном управлении)
    Параметры польз. интерфейса клиента
    снимите флажки с параметров
    Разрешить следующим пользователям включать и выключать брандмауэр
    и
    Позволяет включать и отключать управление приложениями и устройствами
    .
  7. Нажмите кнопку
    ОК
    , затем нажмите
    ОК
    еще раз.
Как запретить пользователям отключать функцию предотвращения вторжений
  1. В консоли выберите пункт
    Клиенты
    .
  2. Выберите группу клиентов, для которой необходимо установить ограничение, и перейдите на вкладку
    Политики
    .
  3. Разверните
    Политики для конкретных расположений
    .
  4. Рядом с пунктом
    Политика предотвращения вторжений
    выберите
    Задачи > Изменить политику
    .
  5. Нажмите
    Предотвращение вторжений
    , затем нажмите на значки рядом с пунктами
    Включить систему предотвращения вторжений для сети
    и
    Включить систему предотвращения вторжений для браузера
    , чтобы заблокировать соответствующие функции.
  6. Нажмите кнопку
    ОК
    .
Как запретить пользователям отключать функцию защиты от вирусов и программ-шпионов
  1. В консоли выберите пункт
    Клиенты
    .
  2. Выберите группу клиентов, для которой необходимо установить ограничение, и перейдите на вкладку
    Политики
    .
  3. Разверните
    Политики для конкретных расположений
    .
  4. Рядом с пунктом
    Политика защиты от вирусов и программ-шпионов
    выберите
    Задачи > Изменить политику
    .
  5. В разделе
    Параметры Windows
    заблокируйте следующие функции:
    • Нажмите
      Автоматическая защита
      , затем нажмите на значок замка рядом с пунктом
      Включить автоматическую защиту
      .
    • Нажмите
      Защита загрузк
      и, затем нажмите на значок замка рядом с пунктом
      Включить Download Insight для обнаружения потенциальных угроз в загружаемых файлах на основе репутации файлов
      .
    • Нажмите
      SONAR
      , затем нажмите на значок замка рядом с пунктом
      Включить SONAR
      .
    • Нажмит
      е Драйвер раннего запуска защиты от вредоносных программ
      , затем нажмите на значок замка рядом с пунктом
      Включить ранний запуск защиты
      .
    • Нажмите
      Автоматическая защита Microsoft Outlook
      , затем нажмите на значок замка рядом с пунктом
      Включить автоматическую защиту Microsoft Outlook
      .
    • Для версий, предшествующих 14.2 RU1: нажмите
      Автоматическая защита интернет-почты
      , затем нажмите на значок замка рядом с пунктом
      Включить автоматическую защиту интернет-почты
      .
    • Для версий, предшествующих 14.2 RU1: нажмите
      Автоматическая защита Lotus Notes
      , затем нажмите на значок замка рядом с пунктом
      Включить автоматическую защиту Lotus Notes
      .
    • Нажмите
      Глобальные параметры сканирования
      , затем нажмите на значки замка рядом с пунктами
      Включить Insight
      для и
      Разрешить эвристический поиск вирусов с помощью Bloodhound
      .
  6. Нажмите кнопку
    ОК
    .
Как запретить пользователям отключать функцию предупреждения последствий использования эксплойтов памяти (14.1 или более поздние версии)
В версии 14 функция
Предупреждение последствий использования эксплойтов памяти
находилась в политике Предотвращение вторжений и называлась
Универсальное предупреждение последствий использования эксплойтов
.
  1. В консоли выберите пункт
    Клиенты
    .
  2. Выберите группу клиентов, для которой необходимо установить ограничение, и перейдите на вкладку
    Политики
    .
  3. Разверните
    Параметры для конкретных расположений
    .
  4. Рядом с пунктом
    Предупреждение последствий использования эксплойтов памят
    и выберите
    Задачи > Изменить политику
    .
  5. Нажмит
    е Предупреждение последствий использования эксплойтов памят
    и, затем нажмите на значок замка рядом с пунктом
    Включить предупреждение последствий использования эксплойтов памяти
    .
  6. Нажмите кнопку
    ОК
    .
Обновление политики клиента с
Symantec Endpoint Protection Manager
После внесения изменений обновленные политики отправляются клиентам в группе в соответствии с параметрами связи, заданными для данной группы. Если для группы применяется режим принудительной отправки,
Symantec Endpoint Protection Manager
установит связь с клиентом в течение нескольких секунд. Если для группы применяется режим получения данных, то связь между клиентом и сервером будет установлена при следующем контрольном сигнале.
Если изменения необходимо передать на клиент раньше, чем пройдет следующий контрольный сигнал, то можно запросить связь с клиентом и обновить его политику. Политику также можно обновить из клиента
Symantec Endpoint Protection
.
После того как политика на клиенте обновится, пункт
Отключить
Symantec Endpoint Protection
станет неактивным при нажатии правой кнопкой на значке
Symantec Endpoint Protection
в области уведомлений.