Stratégie de protection antialtération

La protection antialtération vous permet d’interdire aux utilisateurs non autorisés (administrateurs locaux et utilisateurs ayant peu d’expérience technique) et aux programmes malveillants connus de désinstaller les logiciels de sécurité de Sophos ou de les désactiver par le biais de l’interface Sophos Endpoint Security and Control.

Remarque : La protection antialtération n’est pas conçue pour assurer une protection contre les utilisateurs expérimentés techniquement. Elle n’assure pas non plus la protection contre les programmes malveillants spécifiquement conçus pour corrompre le système d’exploitation afin d’éviter d’être détecté. Ce type de programmes malveillants est uniquement détecté en effectuant un contrôle à la recherche de menaces et de comportements suspects. Retrouvez plus de renseignements à la section Stratégie antivirus et HIPS.

Après avoir activé la protection antialtération et créé un mot de passe, un membre du groupe SophosAdministrator sur le terminal qui ne connaît pas le mot de passe ne pourra pas :

  • Reconfigurer les paramètres du contrôle sur accès ou de la détection des comportements suspects dans Sophos Endpoint Security and Control.
  • Désactiver la protection antialtération.
  • Désinstaller les composants de Sophos Endpoint Security and Control (Sophos Anti-Virus, Sophos Client Firewall, Sophos AutoUpdate ou Sophos Remote Management System).

Si vous voulez permettre aux SophosAdministrators d’exécuter ces tâches, vous devez leur fournir le mot de passe de la protection antialtération afin qu’ils puissent s’authentifier.

La protection antialtération n’affecte pas les membres des groupes SophosUser et SophosPowerUser. Lorsque la protection antialtération est activée, ils peuvent effectuer toutes les tâches qu’ils sont habituellement autorisés à effectuer sans avoir à saisir de mot de passe pour la protection antialtération.

Remarque : Si vous utilisez l’administration déléguée :
  • Vous devez disposer du droit Paramétrage de la stratégie - protection antialtération pour modifier une stratégie de protection antialtération.
  • Vous ne pouvez pas modifier une stratégie si elle est appliquée hors de votre sous-parc actif.

Retrouvez plus de renseignements à la section Gestion des rôles et des sous-parcs.

Événements de protection antialtération

En cas d’événement de protection antialtération, (lorsque, par exemple, une tentative non autorisée de désinstaller Sophos Anti-Virus depuis un terminal a été bloquée), l’événement est consigné dans le journal des événements et peut être consulté depuis l’Enterprise Console. Retrouvez plus de renseignements à la section Affichage des événements de protection antialtération.

Il y a deux types d’événements de protection antialtération :

  • Les événements réussis d’authentification de la protection antialtération affichant le nom de l’utilisateur authentifié et l’heure d’authentification.
  • Les tentatives ratées de modifications affichant le nom du produit ou du composant Sophos pris pour cible, l’heure de la tentative et des informations détaillées sur l’utilisateur responsable de cette tentative.