Appliquer des politiques de sécurité aux agents

Vous devez obligatoirement appliquer au moins une politique de sécurité à chaque groupe d'agents. Il est possible d'ajouter aussi plusieurs politiques secondaires qui s'appliquent lorsque certaines conditions sont remplies.

EXEMPLE
Vous pouvez ajouter une politique conditionnelle de mobilité qui s'applique lorsque le poste de travail ne se trouve plus sur le réseau interne de la société. Ou bien une politique de quarantaine qui s'applique si les indicateurs de santé d'un agent ne sont pas satisfaisants.

Pour appliquer une ou plusieurs politiques de sécurité à un groupe d'agents :

  1. Rendez-vous dans l'onglet Politiques d'un groupe d'agents.
  2. Dans la liste déroulante Politiques, choisissez la politique de sécurité principale que vous souhaitez appliquer à tous les agents du groupe.

    ASTUCE
    Une "politique vide" est proposée dans la liste déroulante. Elle permet de désactiver ponctuellement la protection d'un groupe d'agents (excepté l'autoprotection), par exemple en phase de test ou de dépannage.

  3. Si nécessaire, cliquez sur Ajouter une politique conditionnelle. Pour plus d'informations, reportez-vous à la section ci-dessous Ajouter une politique conditionnelle.
  4. Activez l'option Passer les politiques en mode Détectionsi vous souhaitez que les règles de la politique génèrent uniquement un log sans effectuer de blocage.

  1. Dans la fenêtre de la nouvelle politique conditionnelle, choisissez la politique qui s'appliquera sous certaines conditions dans la liste déroulante Politique.

  2. Cliquez sur Ajouter une condition et attribuez un nom à la condition.

  3. Cliquez sur Ajouter un test et choisissez l'un des tests suivants :

    Indiquez une adresse IP, une plage d'adresses ou un sous-réseau et choisissez s'ils doivent se trouver dans l'intervalle ou hors de l'intervalle pour valider le test.

    Vous pouvez indiquer plusieurs intervalles séparés par des virgules. Par exemple 172.16.16.0/24,10.10.0.0/16.

    Activez l'option pour indiquer que l'agent doit pouvoir joindre le gestionnaire d'agents pour valider le test.

    Indiquez l'adresse IP ou le nom réseau de la machine que vous souhaitez atteindre par un ping, si l'agent doit pouvoir la joindre ou non pour valider le test, le nombre de tentatives, et la fréquence des tentatives.

    Cliquez sur pour ajouter un script en précisant son chemin, les arguments, et le contexte d'exécution. Indiquez obligatoirement quel doit être son Résultat pour valider le test. Ce résultat doit correspondre à un code de sortie du script.
    Utilisez de préférence Service local car c'est un compte disposant de privilèges limités. Ne choisissez les comptes Session interactive et Système que si cela est strictement indispensable.

    Notez que même si vous avez bloqué l'exécution de scripts dans les politiques de sécurité, SES Evolution considère que vos scripts personnalisés internes sont fiables et autorise leur exécution.

    Indiquez le nom du domaine et si l'agent doit ou ne doit pas y être connecté pour valider le test. La valeur Non connecté indique :

    • Que l'agent n'est pas lié au domaine en question,
    • Si l'agent est lié au domaine, qu'il n'est pas connecté au réseau de domaine.

    Cliquez sur pour ajouter une interface réseau en précisant son nom, son identifiant unique (GUID) ou sa description. Indiquez aussi quel doit être son statut pour valider le test : Connectée ou Déconnectée ou inactive.
    Le Nom et la Description d'une interface sont visibles dans le panneau des connexions réseau de Windows.
    interface réseau
    Sous Windows 10, pour obtenir toutes les informations sur une interface, dont son GUID, exécutez la commande PowerShell suivante :
    Get-NetAdapter | Select Name, InterfaceName, InterfaceGUID, InterfaceDescription, Status

  4. Si nécessaire, ajoutez d'autres tests puis cliquez sur OK. L'ordre des tests est indifférent puisque TOUS les tests doivent être validés pour que la condition soit remplie.

  5. Si nécessaire, ajoutez d'autres conditions. Il suffit que l'une des conditions soit remplie pour que la politique correspondante s'applique.
    Les conditions s'appliquent dans l'ordre où elles sont affichées.

  6. Si vous souhaitez exécuter un script personnalisé à chaque application de la politique conditionnée, cliquez sur Ajouter une tâche. À l'ajout du script, vous précisez son chemin, les arguments, et le contexte d'exécution.
    Utilisez de préférence Service local car c'est un compte disposant de privilèges limités. Ne choisissez les comptes Session interactive et Système que si cela est strictement indispensable.

  7. Dans la zone Déclencheurs, choisissez un ou plusieurs événements qui déclencheront la vérification des conditions :

    • Activez l'option Toutes les pour vérifier les conditions à un intervalle régulier que vous spécifiez.
    • Activez l'option Événement réseau pour vérifier les conditions quand le poste de travail change d'interface réseau, par exemple s'il se connecte à un réseau Wi-Fi, si un portable est branché sur une station d'accueil, etc.

  8. Cliquez sur Valider. Le résumé des conditions s'affiche dans l'onglet Politiques des groupes d'agents.

  9. Ordonnez les conditions à votre convenance à l'aide des flèches situées à gauche. L'ordre des politiques conditionnelles est important.

EXEMPLE 1
Mise en quarantaine d'un poste de travail si ses indicateurs de santé ne sont pas satisfaisants.

Ici, toutes les 10 minutes, un script s'exécute sur les agents qui vérifie leur état de santé. Si le résultat n'est pas satisfaisant sur un agent, la politique Quarantine lui est appliquée et un deuxième script de réparation s'exécute. Une politique de quarantaine isole un agent en bloquant par exemple ses communications sur le réseau ainsi que tous les périphériques amovibles, sauf ceux des administrateurs.
Exemple de politique conditionnelle Mobility

EXEMPLE 2
Application d'une politique spécifique pour les ordinateurs portables en mobilité.

Ici, à chaque événement réseau se produisant sur un poste de travail, SES Evolution lance tous les tests prévus par la condition :
  • Le poste de travail n'est pas connecté à son réseau de domaine,
  • Le gestionnaire d'agents n'est pas joignable.

Si les tests sont positifs, alors la politique Mobility est appliquée.
Exemple de politique conditionnelle Quarantine