Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=endpoint-dns-protection-policy-configure

Configurer la stratégie Endpoint DNS Protection

Pour configurer la stratégie Endpoint DNS Protection, vous devez ajouter les appareils que vous souhaitez protéger, activer DNS Protection et spécifier des paramètres supplémentaires, tels que les exclusions de domaine et les pages de blocage.

Conditions requises

Vous devez répondre aux exigences suivantes pour configurer cette stratégie :

  1. Mise à niveau vers le package Sophos Endpoint pour DNS Protection comme suit :

    Remarque

    Il s’agit d’une exigence temporaire. DNS Protection exige actuellement que vous utilisiez le package logiciel mentionné ci-dessous. Vous pourrez utiliser le package Recommandé dès que cette condition ne s’appliquera plus.

    1. Allez dans Mes produits > Endpoint > Stratégies.
    2. Sous Gestion des mises à jour, cliquez sur Stratégie de base - Gestion des mises à jour.
    3. Sur l'onglet Paramètres, allez dans Sélectionner un package logiciel .

    4. Sous Windows, sélectionnez FTS 2025.2.3.31.2 Obligatoire pour la mise à jour DNS Protection.

      Package Sophos Endpoint pour DNS Protection.

  2. Assurez-vous d'avoir installé l'agent Sophos Endpoint sur tous les appareils que vous souhaitez protéger. Voir Endpoint.

Activer DNS Protection dans l’agent Endpoint

Pour activer la protection DNS dans l'agent Endpoint, procédez de la manière suivante :

  1. Allez dans Mes produits > Endpoint > Ordinateurs.

  2. Sélectionnez les ordinateurs que vous souhaitez protéger et cliquez sur Gérer le logiciel Endpoint.

    Remarque

    Vous ne pouvez ajouter que des points de terminaison Windows. Les terminaux Windows Server et macOS ne sont pas pris en charge actuellement.

  3. Sous DNS, sélectionnez Installer.

    Remarque

    Vous verrez DNS et ZTNA au lieu de DNS si vous avez une licence ZTNA.

  4. Cliquez sur Enregistrer.

Créer une stratégie Endpoint DNS Protection

Pour créer une stratégie Endpoint DNS Protection, comme suit :

  1. Allez dans Mes produits > Endpoint > Stratégies et cliquez sur Ajouter une stratégie.
  2. Sous Type, sélectionnez Appareil.
  3. Dans Fonction, sélectionnez Endpoint DNS Protection et cliquez sur Continuer.

  4. Ajoutez les ordinateurs ou groupes d'ordinateurs que vous souhaitez protéger.

    Remarque

    Vous ne pouvez ajouter que des points de terminaison Windows. Les terminaux Windows Server et macOS ne sont pas pris en charge actuellement.

  5. Cliquez sur Stratégie activée et assurez-vous que Stratégie activée est active. Elle est activée par défaut.

  6. Cliquez sur Paramètres pour configurer la protection DNS.

Réglages

Vous pouvez activer la protection DNS, ajouter des exclusions de domaines et spécifier des paramètres pour afficher les pages de blocage.

Activer DNS Protection

Pour activer DNS Protection, procédez de la manière suivante :

  1. Activez Utiliser Sophos DNS Protection.

  2. Sélectionnez l’emplacement auquel vous souhaitez assigner les appareils. Vous pouvez sélectionner l'emplacement Par défaut, ou configurer un nouvel emplacement dans DNS Protection, puis le sélectionner dans cette liste. Voir Ajouter un emplacement.

    Remarque

    Si vous créez un nouvel emplacement dans DNS Protection, assurez-vous de sélectionner DNS sécurisé comme méthode de connexion.

Exclusions de domaine

Vous pouvez spécifier les domaines que vous ne souhaitez pas que Sophos Endpoint redirige, afin qu’ils soient résolus par votre serveur DNS local ou réseau.

  • Domaines : Ajoutez les domaines que vous souhaitez exclure de la protection DNS. Tous les sous-domaines de ces domaines seront automatiquement exclus.
  • Réessayer avec les services DNS configurés par le système ou l’application lorsque DNS Protection renvoie NXDOMAIN : DNS Protection renvoie une réponse NXDOMAIN si le nom de domaine interrogé ne peut pas être résolu à partir des enregistrements DNS publics. Par exemple, si votre organisation utilise des zones DNS privées hébergées par un serveur DNS interne pour les ressources du réseau local. Sélectionnez cette option pour retenter ces requêtes sans les rediriger vers la protection DNS.

Conseil

Pour des performances optimales, nous vous recommandons d'ajouter les noms de domaine des zones internes à la liste d'exclusion de domaine, au lieu de compter sur l'option de « nouvelle tentative ».

Afficher les pages bloquées

Activez Déployer automatiquement le certificat de signature DNS Protection sur l’appareil pour afficher les pages bloquées.

DNS Protection affiche des pages de blocage pour les domaines que vous avez bloqués. Les pages de blocage affichent un message expliquant pourquoi ces domaines sont bloqués. Installez le certificat racine DNS Protection sur les appareils de vos utilisateurs afin qu’ils voient les messages d’explication.

Activez cette option pour installer automatiquement le certificat racine sur les appareils des utilisateurs.