Isolation du réseau pour l'ordinateur
L'isolation de l'ordinateur du réseau permet d'isoler l'ordinateur du réseau automatiquement à la suite d'une détection d'un indicateur de compromission (IOC) – il s'agit du mode automatique. Vous pouvez activer l'isolation du réseau manuellement pendant que vous enquêtez sur la menace détectée – il s'agit du mode manuel.
Lorsque l'isolation du réseau est activée, l'application coupe toutes les connexions actives et bloque toutes les nouvelles connexions réseau TCP/IP sur l'ordinateur, à l'exception des connexions suivantes :
- Les connexions indiquées dans Exclusions de l'isolation du réseau.
- Les connexions amorcées par les services de Kaspersky Endpoint Security.
- Les connexions amorcées par l'Agent d'administration de Kaspersky Security Center.
Vous pouvez configurer les paramètres du module uniquement dans Web Console.
Mode d'isolation automatique du réseau
Vous pouvez configurer l'activation automatique de l'isolation du réseau suite à une détection IOC. Vous pouvez configurer le mode d'isolation automatique du réseau avec une stratégie de groupe.
Comment configurer l'activation automatique de l'isolation du réseau suite à une détection IOC
- Dans la fenêtre principale de Web Console, sélectionnez Appareils → Tâches.
La liste des tâches s'ouvre.
- Cliquez sur la tâche Analyse IOC pour Kaspersky Endpoint Security.
La fenêtre des propriétés de la tâche s'ouvre.
Si nécessaire, créez la tâche Analyse IOC.
- Sélectionnez l'onglet Paramètres des applications.
- Dans le groupe Action en cas de détection IOC, cochez les cases Prendre des mesures de réaction après qu'un IOC a été trouvé et Isoler l'ordinateur du réseau.
- Enregistrez vos modifications.
Ainsi, suite à une détection IOC, l'application isole l'ordinateur du réseau afin d'éviter la propagation de la menace.
Vous pouvez configurer la désactivation automatique de l'isolation du réseau à l'issue d'une période déterminée. Par défaut, l'application désactiver l'isolation du réseau 8 heures après son activation. Vous pouvez également désactiver l'isolation du réseau manuellement (consultez les instructions ci-dessous). Quand l'isolation du réseau est désactivée, l'ordinateur peut utiliser le réseau sans restriction.
Comment configurer le délai de désactivation de l'isolation du réseau d'un ordinateur en mode automatique
- Dans la fenêtre principale de Web Console, sélectionnez Appareils → Stratégies et profils.
- Cliquez sur le nom de la stratégie de Kaspersky Endpoint Security.
La fenêtre des propriétés de la stratégie s'ouvre.
- Sélectionnez l'onglet Paramètres des applications.
- Passez à la section Detection and Response → Endpoint Detection and Response.
- Dans le groupe Isolation du réseau, cliquez sur Configurer les paramètres de déverrouillage de l'ordinateur.
- Cela ouvre une fenêtre dans laquelle vous devrez cochez la case Déverrouiller automatiquement l'ordinateur isolé dans X heures et saisissez le nombre d'heures à l'issue desquelles l'isolation du réseau sera automatiquement désactivée.
- Enregistrez vos modifications.
Mode d'isolation manuelle du réseau
Vous pouvez activer ou désactiver manuellement l'isolation du réseau. Vous pouvez configurer le mode d'isolation manuelle du réseau à l'aide des propriétés de l'ordinateur dans la console de Kaspersky Security Center.
Vous pouvez activer l'isolation du réseau :
Comment activer manuellement l'isolation du réseau d'un ordinateur
- Dans la fenêtre principale de Web Console, sélectionnez Appareils → Appareils administrés.
- Cliquez sur le nom de l'ordinateur sur lequel vous voulez configurer les paramètres locaux de l'application.
Les propriétés de l'ordinateur s'ouvrent.
- Choisissez l'onglet Applications.
- Cliquez sur Kaspersky Endpoint Security for Windows.
La fenêtre des paramètres locaux de l'application s'ouvre.
- Choisissez l'onglet Paramètres des applications.
- Passez à la section Detection and Response → Endpoint Detection and Response.
- Dans le groupe Isolation du réseau, cliquez sur Isoler l'ordinateur du réseau.
Vous pouvez configurer la désactivation automatique de l'isolation du réseau à l'issue d'une période déterminée. Par défaut, l'application désactiver l'isolation du réseau 8 heures après son activation. Quand l'isolation du réseau est désactivée, l'ordinateur peut utiliser le réseau sans restriction.
Comment configurer le délai de désactivation de l'isolation du réseau d'un ordinateur en mode manuel
- Dans la fenêtre principale de Web Console, sélectionnez Appareils → Appareils administrés.
- Cliquez sur le nom de l'ordinateur sur lequel vous voulez configurer les paramètres locaux de l'application.
Les propriétés de l'ordinateur s'ouvrent.
- Sélectionnez l'onglet Tâches.
La liste des tâches disponibles sur l'ordinateur s'affiche.
- Sélectionnez la tâche Isolation du réseau.
- Choisissez l'onglet Paramètres des applications.
- Cette opération ouvre une fenêtre ; dans cette fenêtre, sélectionnez le délai de désactivation de l'isolation du réseau.
- Enregistrez vos modifications.
Comment désactiver l'isolation du réseau d'un ordinateur manuellement
- Dans la fenêtre principale de Web Console, sélectionnez Appareils → Appareils administrés.
- Cliquez sur le nom de l'ordinateur sur lequel vous voulez configurer les paramètres locaux de l'application.
Les propriétés de l'ordinateur s'ouvrent.
- Choisissez l'onglet Applications.
- Cliquez sur Kaspersky Endpoint Security for Windows.
La fenêtre des paramètres locaux de l'application s'ouvre.
- Choisissez l'onglet Paramètres des applications.
- Passez à la section Detection and Response → Endpoint Detection and Response.
- Dans le groupe Isolation du réseau, cliquez sur Débloquer l'ordinateur isolé du réseau.
Vous pouvez également activer ou désactiver l'isolation du réseau localement en utilisant la ligne de commande.
Exclusions d'isolation du réseau
Vous pouvez configurer des exclusions d'isolation du réseau. Les connexions réseau qui correspondent aux règles ne sont pas bloquées sur l'ordinateur lorsque l'isolation du réseau est activée.
Pour configurer les exclusions d'isolation du réseau, vous pouvez utiliser une liste de profils réseau standard. Par défaut, les exclusions comprennent les profils réseau contenant des règles qui assurent le fonctionnement ininterrompu des appareils avec les rôles de serveur DNS/DHCP et de client DNS/DHCP. Vous pouvez également modifier les paramètres des profils réseau standard ou définir des exclusions manuellement (cf. Instructions ci-dessous).
Les exclusions définies dans les propriétés de la stratégie sont appliquées uniquement si l'isolation du réseau est activée automatiquement en réponse à une menace détectée. Les exclusions définies dans les propriétés de l'ordinateur sont appliquées uniquement si l'isolation du réseau est activée manuellement dans les propriétés de l'ordinateur dans la console Kaspersky Security Center ou dans les détails de l'alerte.
Une stratégie active n'empêche pas l'application d'exclusions de l'isolation du réseau configurées dans les propriétés de l'ordinateur, car ces paramètres s'utilisent dans des scénarios différents.
Comment ajouter une exclusion d'isolation du réseau en mode automatique
- Dans la fenêtre principale de Web Console, sélectionnez Appareils → Stratégies et profils.
- Cliquez sur le nom de la stratégie de Kaspersky Endpoint Security.
La fenêtre des propriétés de la stratégie s'ouvre.
- Sélectionnez l'onglet Paramètres des applications.
- Passez à la section Detection and Response → Endpoint Detection and Response.
- Dans le groupe Exclusions d'isolation du réseau, cliquez sur Exclusions.
- Dans la fenêtre qui s'ouvre, cliquez sur Ajouter à partir du profil et sélectionnez des profils réseau standard pour configurer les exclusions.
Les exclusions d'isolation du réseau du profil sont ajoutées à la liste Exclusions d'isolation du réseau. Vous pouvez consulter les propriétés des connexions réseau. Le cas échéant, vous pouvez modifier les paramètres de connexion réseau.
- Au besoin, ajoutez manuellement une exclusion d'isolation du réseau. Pour ce faire, dans la fenêtre reprenant la liste des exclusions, cliquez sur Ajouter et modifiez manuellement les paramètres de connexion réseau.
- Enregistrez vos modifications.
Comment ajouter une exclusion d'isolation du réseau en mode manuel
- Dans la fenêtre principale de Web Console, sélectionnez Appareils → Appareils administrés.
- Cliquez sur le nom de l'ordinateur sur lequel vous voulez configurer les paramètres locaux de l'application.
Les propriétés de l'ordinateur s'ouvrent.
- Sélectionnez l'onglet Tâches.
La liste des tâches disponibles sur l'ordinateur s'affiche.
- Sélectionnez la tâche Isolation du réseau.
- Choisissez l'onglet Paramètres des applications.
- Une fenêtre s'ouvre. Dans cette fenêtre, cliquez sur Exclusions.
- Dans la fenêtre qui s'ouvre, cliquez sur Ajouter à partir du profil et sélectionnez des profils réseau standard pour configurer les exclusions.
Les exclusions d'isolation du réseau du profil sont ajoutées à la liste Exclusions d'isolation du réseau. Vous pouvez consulter les propriétés des connexions réseau. Le cas échéant, vous pouvez modifier les paramètres de connexion réseau.
- Au besoin, ajoutez manuellement une exclusion d'isolation du réseau. Pour ce faire, dans la fenêtre reprenant la liste des exclusions, cliquez sur Ajouter et modifiez manuellement les paramètres de connexion réseau.
- Enregistrez vos modifications.
Vous pouvez également consulter la liste des exclusions d'isolation du réseau localement en utilisant la ligne de commande. Dans ce cas, l'ordinateur doit être isolé.
Haut de page