[Musique] bonjour et bienvenue dans ce guide de prise en main de notre console d'administration en mode saas kaspersky security center cloud console déjà l'épisode 4 qui sera consacré aux stratégies et plus particulièrement à celle du endpoint en version 11 et de son agent de l'administration pour éviter un côté fastidieux je ne vais pas passer par tous les réglages et toutes les fonctions sous fonctions car la vidéo nous prendrait plusieurs heures je vais surtout faire un focus sur les erreurs à ne pas commettre quand on configure une stratégie commençons tout de suite par la stratégie la plus simple à savoir la stratégie agents de l'administration que je préfère de mon côté appelé agent de communication ou network agents en effet il s'agit ici de régler l'application installée localement sur les machines application qui je le rappel va de façon périodique établir des communications avec la console d'administration en mode saas même si cela peut paraître une tâche basique il n'en est rien car le logiciel joue un rôle stratégique au niveau de la protection de vos machines commençons par la première option qui s'appelle distribuer les fichiers uniquement via les points de distribution dans les précédents épisodes j'ai déjà parlé de l'aspect stratégique du point de distribution qui va permettre d'économiser énormément de bande passante localement c'est donc normal que sept cas soit cochée par défaut ainsi les haines paint reçoivent les mises à jour uniquement via les points de distribution et non directement sur les serveurs de mise à jour sur internet cette option est désactivé les appareils clients peuvent récupérer des mises à jour de différentes sources par exemple directement à partir des serveurs de mise à jour d'un dossier local ou du réseau on trouve ensuite deux options importantes qui demandent votre attention la première consiste à protéger la jambe d'administration contre l'arrêt de celui-ci par une personne non autorisée par exemple et la seconde consiste à protéger l'application par un mot de passe de désinstallation là aussi et de se protéger contre un utilisateur ayant des droits d'administration locale ou contre un hacker qui aurait pris la main à distance ces options peuvent être mises en place par exemple immédiatement ou à la fin d'une migration vers notre solution saas la partie stockage peut être laissée par défaut au niveau de ses réglages on remarquera notamment la remontée d'informations sur les vulnérabilités microsoft et éditeurs tiers qui peut s'avérer primordial dans la sécurité du réseau informatique kaspersky security center gérant également la partie matérielle au niveau de son inventaire et de sa sécurité on remarquera également la case informations sur le registre du matériel qui est cochée par défaut la section suivante va concerner essentiellement les utilisateurs de la version advanced ou supérieur de kaspersky security center claude console en effet ici on pourra décider si les collaborateurs ont le droit d'installer des windows update ou des windows update validé par vos soins ou encore s'ils n'ont pas du tout le droit d'installer de windows update et dans ce cas ça se fera via une tâche d'administration ensuite on trouve la section où on pourra sélectionner le mode de recherche des mises à jour microsoft il s'agit ici essentiellement de décider de la fraîcheur des informations qui seront échangés entre microsoft et kaspersky concernant les vulnérabilités on reparlera de cela dans une prochaine vidéo dédiée au patch management et pour information ces options sont intéressantes quand elles sont utilisées conjointement avec la tâche appelé recherche de vulnérabilités et de mise à jour requise en attendant pour plus d'informations n'hésitez pas à vous référer aux manuels disponible sur helpe pour un kaspersky point com passons à la toute dernière ligne qui concerne la recherche de vulnérabilités lors du lancement d'une application je vous conseille de la laisser décoché sauf si vous n'avez pas l'occasion de lancer une tâche de recherche de vulnérabilités de façon planifiée et périodiques une fois par semaine par exemple pour la section suivante je vais là aussi passer assez rapidement car il s'agit vraiment d'une fonctionnalité liée au patch management et notamment sur leur bout plus ou moins impératif que l'on pourra imposer après l'installation des correctifs dans partage du bureau windows on trouvera également des options avancées liées à la gamme advanced qui permettent tout simplement d'activer un audit lors de la prise de contrôle à distance via les outils kaspersky cela peut être demandée par exemple par l'administrateur principal du security center qui souhaiterait avoir des informations sur des manipulations de fichiers réalisé par des collaborateurs du service informatique du côté de la section administration des correctifs et des mises à jour il s'agit uniquement ici des correctifs et mises à jour de l'agent d'administration qui sera ainsi auto patch et si jamais vous laisser la case cochée ça peut être intéressant si kaspersky publie une correction de bugs dans ce cas cela sera propager automatiquement la section réseau est intéressante mais finalement elle peut être laissée par défaut car elle n'aura surtout un intérêt quand on fait une installation entre maïs ce qui n'est pas le cas ici les trois sections suivantes consciente finalement le même sujet il s'agit de prérégler les futures pointent distribution par exemple imaginez que vous savez par avance que vous allez utiliser plusieurs dizaines de points de distribution sur des sites différents plutôt que d'aller dans les propriétés de chaque point de distribution vous pouvez tout à fait fixée à l'avance les réglages que vous souhaiter pour l'ensemble de ces points de distribution exemple concret avec la manipulation que je suis en train de faire dans les propriétés du serveur d'administration j'ai imposé dans la stratégie agents une découverte réseaux windows je vois que du côté points de distribution je n'ai pas à refaire la manipulation elle est déjà en place au final c'est donc quelque chose de très utile notamment dans le cadre de la gestion de clients mutualisés si vous êtes partenaires msp ou si vous avez de nombreux sites distants comme des boutiques disséminées sur le territoire national par exemple voilà c'est tout pour la jambe de communication comme vous avez pu le voir la stratégie concernant ce produit n'est pas à négliger car on y trouve de nombreuses fonctionnalités intéressantes mais passons à la phase la plus importante c'est à dire la stratégie endpoint n'oubliez pas déjà que tout simplement vous pouvez renommer la stratégie pour que ça soit beaucoup plus parlant pour vous de mon côté comme vous le voyez j'ai rajouté le mot racines comme moyen mnémotechnique pour me rappeler que cette stratégie sera placé tout en haut d'un ordinateur administrés et qu'elle sera donc hérité en dessous automatiquement avant de rentrer dans l'analyse des modules arrêtons nous quelques instants sur la configuration des événements pour ceux qui me suivent régulièrement sur la chaîne vous savez que c'est une fonctionnalité que j'utilisais apprécie tout particulièrement je la conseille donc dans le cadre d' alerte que vous allez pouvoir positionner suite à des évènements qui sont arrivés sur le parc informatique c'est une fonction extrêmement puissante où on peut recevoir par mail en temps réel énormément d'informations pratiques bien sûr l'idée est de ne pas forcément mettre énormément car il faut y consacrer du temps mais je vous conseille de recevoir des alertes sur tout ce qui concerne les détections antiviral bien sûr les problèmes de licence ou les détections de nouvelles machines pourquoi pas sans oublier les problèmes de lancement automatique due à une pompe etc etc rentrons dans le coeur de la stratégie en nous intéressant à la section intitulée protection principal il s'agit ici des moteurs historiques comme l'antithèse de fichiers la protection des flux web des flux mail de l'analyse du trafic réseau couplé au pare feu et à la protection am see d'ailleurs concernant ce dernier point je vous rappelle qu'il s'agit d'un moteur additionnel fournies par microsoft et qui va être utilisé par kaspersky notamment au niveau des analyses power shell ou vbs ensuite nous trouvons un module additionnel intitulé protection bad usb va être utilisée essentiellement dans le cadre de machines en libre service afin que les utilisateurs ne puisse pas ému les des clés usb bannissent malicieuse qui elle-même émule un clavier ou une souris sur des machines est relativement récente je n'ai pas spécialement de recommandations à faire sur ce premier groupe d'outils de protection gardez cependant à l'esprit que la protection con les menaces internet va analyser également le trafic chiffré c'est à dire https ou ftps on en reparlera un peu plus loin dans la section autres réglages côté protection des emails je vous conseille de mon côté d'utiliser au maximum les fonctionnalités c'est à dire de ne pas hésiter à supprimer des extensions même s'il n'ya pas de bioware dedans nous sommes arrivés à une telle situation de lutte contre les cyber criminels que dès qu'on peut rajouter des composants simples efficaces on n'hésite pas à le faire pour les nouveaux venus n'oubliez pas que chaque module peut être arrêté imaginons par exemple que vous souhaitez arrêter le pare-feu de kaspersky pour celui de microsoft il suffira donc de cliquer sur ce bouton et de valider passons maintenant à la deuxième section qui concerne la protection avancée c'est à dire les modules que l'on pourrait qualifier de next gen le réseau communautaire kaspersky et le choeur de protection des endpoints pour rappel à l'heure où j'enregistre cette vidéo notre base contient 1 26 milliard d'objets dangereux et 4,6 milliards d'objets st c'est donc plus qu'important que les produits kaspersky installé sur vos machines puissent accéder à cette base de connaissance en temps réel on vérifiera donc plutôt deux fois qu'une les réglages qui sont affichées ici de mon côté tout est ok le module est activé en mode étendu et en mode de cloud c'est à dire que j'utilise une version allégée des bases de signatures en local attention à la case utiliser cassen proxy cela veut dire que si l écho chez les n payne doivent d'abord passer par la console d'administration avant d'aller chercher leurs roquettes comme nous sommes ici en mode saas de mon côté je ne souhaite pas utiliser cette fonction je n'ai donc décoché passons maintenant à la détection comportementale qui est évidemment un moteur fondamental et qui ne doit jamais être désactivé les réglages par défaut sont plutôt bien et on peut les conserver ainsi la protection contre les expos étaient est également très importante et vous rappelle que son but est de bloquer les actions de malwares qui exploite des vulnérabilités de logiciels installés sur les machines pareil pour les réglages on peut laisser par défaut passons à la prévention des intrusions module plus connu sous le nom de hachis ps et qui a pour but de monitorer des logiciels inconnu empêchant ainsi l'exécution des actions dangereuses pour le système et qui assure aussi le contrôle de l'accès aux ressources du système d'exploitation et aux données personnelles cette technologie est basée sur le contrôle du fonctionnement des logiciels à l'aide des privilèges des applications ce que je veux dire par là c'est que ce module peut nécessiter une intervention de votre part notamment si vous avez de nombreux progiciel métier afin qu'il n'y ait pas d'effets de bord il sera peut être nécessaire de déclarer ceci dans la liste qui se trouve ici ou dans la partie exclusions qu'on verra un petit peu plus tard on trouve ensuite la réparation des actions malicieuse qui n'amène pas particulièrement de commentaires de ma part comme son nom l'indiqué il s'agit ici de revenir en arrière sur une action qui aurait pu faire un malware de type ran somewhere et ainsi restaurer un ou deux fichiers endommagés avant la détection on peut tous laissés par défaut la section suivante contrôles de sécurité est essentiellement composée de modules à configurer manuellement que ce soit le contrôle des applications le contrôle du matériel ou encore le filtrage url dans tous les cas vous devrez créer des règles pour que ce module fonctionne on en reparlera dans d'autres vidéos et j'en ai déjà parlé dans les précédents tutoriel dédièrent security center 12 n'hésitez pas à consulter les playlists ou à utiliser le moteur de recherche interne à la chaîne youtube le dernier module de la section intitulée contrôle évolutif des anomalies nécessite une licence advance cette technologie basée sur le machine learning permet de détecter et de bloquer les comportements inhabituels des applications sans pour autant avoir détecté la présence de malwares exemple concret quelqu un d du service finances se met à utiliser d'un coup powershell pour exécuter beaucoup de lignes de commandes évidemment c'est hautement suspect d'autant plus que celui-ci ne l'a jamais fait et que son médecin- ne nécessite pas un tel usage dans ce cas le module de machine learning va alerter l'administrateur et bloqué un tel comportement ici aussi vous trouverez une vidéo dédiée à ce module dans les playlists de la chaîne je vais passer également rapidement sur la section chiffrement des données puisque cela concerne une fois de plus la licence advance ce qui est important de comprendre ici c'est que dans sa version clad console security center ne comprend que le chiffrement via la technologie bitlocker il sera donc impossible d'utiliser le chiffrement aes 256 bits et notamment d'utiliser les fonctions de chiffrement de disque amovible c'est à dire sur les disques durs externes ou les clés usb gardez bien en tête cette limitation et si cela est indispensable pour vous vous devez dans tous les cas restez dans la version home premium voyons ce que l'on trouve sur la partie gestion des tâches ici je vous conseille tout simplement d'autoriser vos utilisateurs à gérer les tâches de groupe c'est à dire que s'ils ont le moindre doute sur un problème de sécurité ils pourront peut-être forcé la mise à jour des signatures et lancer un scan approfondie comme vous le voyez du côté de maureen paint l'administrateur a créé une tâche de la liste complète est une tâche d'analyser rapide et je peux en tant qu'utilisateur cliquez sur le bouton lancé l'analyse et forcés ainsi son démarrage ensuite nous avons l'analyse depuis le menu contextuel pas de remarque il s'agit tout simplement de régler de façon précise les options quand l'utilisateur va faire un clic droit avec la souris soit un répertoire où sur un dossier pour forcer une analyse ensuite analyse des disques amovibles vous permet de décider d'une action a réalisé à l'insertion d'un matériel attention n'oubliez pas que disque amovible pour windows est égal à disque dur plus clé usb il n'y a donc pas de différenciation possible ainsi si vous demandez l'analyse complète d'un disque a movie faites attention car cela peut durer très longtemps d'autant plus si vous avez interdit l'arrêt de la tâche des analyses je vous conseille donc de tester cela avant la mise en production enfin pour terminer cette section analyse en arrière-plan va scanner durant les phases d'inactivité la mémoire système la partition principale les secteurs et objets de démarrage cette option est cochée par défaut vous pouvez la conserver ainsi passons à la dernière partie paramètres généraux ce sont des réglages à ne pas négliger car on y trouve beaucoup d'options j'ai essentiellement de remarques à faire ici la première remarque concerne la technologie de désinfection par défaut vous voyez que cela est décochée pourquoi cela tout simplement parce que c'est une fonction interactive elle va demander à l'utilisateur de bien vouloir redémarrer sa machine pour effectuer un nettoyage complet du malware vous pouvez bien sûr décidé de laisser sa déco chez mais sachez qu'en cette période compliquée en termes de volume data que je préfère de mon côté cochez la case de manière à ce que l'infection soit complètement traité même si cela doit contraindre l'utilisateur à redémarrer sa machine et donc à perdre un petit peu de temps maintenant en effet pour des parcs très important on peut comprendre que le service informatique souhaite gérer ça de façon différente ensuite je vous invite très fortement à décocher la case reporter les tâches planifiées en cas d' alimentation par batterie cette fonction peut se comprendre sur des machines ayant peu d'autonomie mais aujourd'hui nous atteignons facilement une dizaine d'heures sur des ordinateurs portables récents et cette case peut créer des gros soucis puisque pendant cette période de temps plus aucune tâche de fonctionnera exemple la tâche de mise à jour la tâche des analyses complètes la tâche des installations etc plus aucune tâche ne fonctionnera vous aurez donc de nombreuses erreurs qui apparaîtront dans la console d'administration si vous avez des collaborateurs ou des clients qui utilisent leur ordinateur portable un peu comme des tablettes c'est à dire qu'ils sont tout le temps sur batterie et recharge quand ils ont besoin uniquement pour le reste des options pas de remarque particulière voyons maintenant les paramètres du réseau rien à signaler côté proxy ou ports contrôlés mais parlons quelques instants de l'analyse des connexions chiffrées n'oubliez pas que depuis la version 11 du mmorpg que nous analysons les connexion sécurisée ssl 3.0 et tls d'un point de vue pratique cela veut dire que votre endpoint aura accès au contenu des sites internet dont l'adresse commence par https pour les modules protection contre les fichiers malicieux et protection contre les menaces par email ainsi que contre l'internet cependant notre endpoint n'analyse pas des connexions chiffrées provenant de la liste prédéfinie de sites internet de confiance liste qui a été pré définis par des experts de kaspersky cette liste est mise à jour avec les bases de signatures de l'application au passage remarqué la fonction intitulée autorisé l'application à interagir avec les paquets internet si la case et cochez cela un plant dans le trafic un script qui permet de s'assurer que le module contrôler internet c'est-à-dire filtrage url peut fonctionner correctement le script permet l'enregistrement des événements les experts de kaspersky recommande l'utilisation de cette sanction si vous souhaitez assurer le bon fonctionnement du filtrage d'url bien sûr si vous n'avez pas besoin de filtrage d'url cette option peut rester décoché remarquer au passage la possibilité de rentrer des adresses et des applications de confiance qui vont bypass et l'analyse des connexions chiffrées allons faire un tour maintenant dans les exclusions qui est une section très intéressante et importante quand on travaille avec des progiciels spécifiques par exemple au niveau des types d'objets rien à signaler je vais donc plutôt m'arrêter sur les exclusions de l'analyse et des applications de confiance généralement dans la première partie on recherche la performance et donc il peut être utile de déclarer un répertoire de travail contenant par exemple des terrains de données spécifiques à une application exemple autocad on va ainsi dire à certains modules comme l'analyse en temps réel de ne pas analyser les fichiers ouverts attention à ce sujet au module que vous allez exclure il n'est pas utile créer des exclusions pour tous les modules ainsi on évitera de cocher la case analyse car sinon le scan programme et ne passera pas dans le répertoire exclu au niveau de la rubrique applications de confiance on aura tendance ici à mettre plutôt les exécutables que l'on souhaite exclure de tout ce qui est par exemple comportement ou trafic réseau encore une fois cela peut être le cas d'une application métier qui a été développé peut-être un interne ou localement et qui n'est pas connu de kaspersky security network attention dans tous les cas cela doit être exceptionnelle car une exclusion égale un trou de sécurité il est donc essentiel de ne pas user et abuser de cette fonctionnalité est de savoir exactement ce que l'on fait notamment au niveau des masques d'exclusion il nous est arrivé de voir des aberrations au niveau de cette fonctionnalité comme l'exclusion de lecteurs de disques des deux fichiers pst ou encore deux autres points faisait avec en plus tous les moteurs sélectionnés je vous affiche à l'écran le lien vers l'article du manuel qui traitent des masques et de la façon de les utiliser dans les deux cas remarquée de fonctions relativement nouvelle la première s'appelle regrouper les valeurs après l'héritage cela permet en fait de récupérer les exclusions qui se trouveraient dans des stratégies au dessus de celle où que vous êtes en train d'éditer est également autorisé l'utilisation des exclusions locale qui laisserait à l'utilisateur la possibilité de créer lui-même d exclusion rien à signaler dans la partie rapport est au cas je vais donc passer à tout ce qui concerne l'interface utilisateur du côté de l'interaction avec l'utilisateur vous retrouverez donc la possibilité d'avoir une interface simplifiée complète ou carrément pas du tout d'interface au niveau des postes utilisateurs attention à la section paramètres des notifications penser que par défaut la stratégie n'est pas très bavarde avec l'utilisateur cela veut dire concrètement que si une personne exécute un malware kaspersky endpoint security va faire son travail bien sûr mais ne va pas avertir la personne de son action inappropriée riez dans la situation actuelle avec une augmentation très forte des incidents de cyber sécurité mais également dans le cadre de la rgpp des je conseille fortement d'avertir l'utilisateur en cas de soucis ce qui permet au passage de l'éduquer un minimum donc de mon côté j'ai tendance à cocher la première ligne des différents modules que je vous montre à l'écran pour faire un minimum de pédagogie maintenant encore une fois dans des parcs très important je peux comprendre que le service informatique souhaite ne pas avertir l'utilisateur mais que derrière l'incident sera traitée de toute façon de façon proactive par les équipes techniques on va descendre ensuite dans la fonction probablement la plus importante à savoir la protection du mpls à la fois contre l'utilisateur qui pourrait souhaiter quitter ou modifier le logiciel de protection mais également contre les hackers qui pourrait arriver jusqu'à la machine sans avoir utilisé le moindre malwares il faudra donc impérativement activer la protection par mot de passe et configurer au minimum le comte appelée canal mines ça peut paraître évident mais malheureusement c'est un oubli qu'on constate encore régulièrement chez nos clients et partenaires voilà on en a terminé avec l'essentiel de la stratégie endpoint encore une fois l'idée n'était pas de vous faire un cours sur tous les modules mais plutôt de mettre en avant les choses essentielles à ne pas louper je n'ai pas parlé des profils de sécurité car je compte y revenir lors de la sortie de la prochaine version de security center que la console mais je vais quand même vous donner la définition de cette fonction ainsi que quelques applications concrètes déjà pourquoi cette fonction la réponse est simple on a constaté chez kaspersky que dans les sociétés avec des parcs d'ordinateurs et de serveurs très important ou dans le cadre de l'infogérance avec de nombreux clients par des partenaires revendeurs ceux ci avaient tendance à gérer énormément de stratégie en général une stratégie par groupe alors qu'il y a plus d'une centaine de groupes le problème est que le jour où il faut modifier la stratégie principale suite à une erreur par exemple il faut passer sur l'ensemble des stratégies ce qui est une activité peu intéressante et très chronophage un profil de stratégie est donc un ensemble de paramètres dans une stratégie qu'on pourrait qualifier de dormantes ou inactive et qui va justement s'activer sur un ordinateur si celui ci répond à des critères prédéfinis ce n'est évidemment pas le seul mais le critère le plus utilisé par nos clients et le tag ou étiquettes exemple concret je place une étiquette mairie sur les machines infogérés dans une mairie et quand l'étiquette se présente on va appliquer une stratégie qui va comprendre des exclusions spécifique aux progiciels utilisés dans cette administration encore une fois le tout sans avoir besoin de dupliquer la stratégie m cela vous évitera bien des erreurs de manipulation quand on a à gérer des dizaines et des dizaines de stratégie voilà j'en ai terminé avec cette longue vidéo dédiée aux stratégies agents d'administration et endpoint je vous retrouve dans une prochaine vidéo et en attendant n'hésitez pas à poser vos questions dans les commentaires à partager cette vidéo avec vos collaborateurs et à liker si vous avez aimé merci de votre fidélité et à bientôt [Musique]