Guide client de Symantecâ¢ Endpoint Protection et Symantec ...

Guide client de Symantec 

Endpoint Protection et 

Symantec Network Access 

Control 

Pour Microsoft Windows

Guide client de Symantec Endpoint Protection et de 

Symantec Network Access Control 

Le logiciel décrit dans ce guide est fourni dans le cadre d'un contrat de licence et ne peut 

être utilisé qu'en conformité avec les termes de ce contrat. 

Documentation version 11.00.06.00.00 

Mentions légales 

Copyright © 2010 Symantec Corporation. Tous droits réservés. 

Symantec, le logo Symantec, Bloodhound, Confidence Online, Digital Immune System, 

LiveUpdate, Norton, Sygate et TruScan sont des marques commerciales ou des marques 

déposées de Symantec Corporation ou de ses filiales aux Etats-Unis et dans d'autres pays. 

Les autres noms sont des marques commerciales de leurs détenteurs respectifs. 

Ce produit Symantec peut contenir le logiciel tiers pour lequel Symantec est tenu de fournir 

une attribution à tierce partie ("Programmes tiers"). Certains de ces logiciels sont mis à 

disposition en licence logicielle libre ou avec des licences gratuites. Le Contrat de licence 

accompagnant le logiciel ne modifie en aucun cas vos droits et vos obligations en vertu de 

ces licences. Pour plus d'informations sur les logiciels tiers, reportez-vous à l'annexe 

consacrée aux mentions légales sur les logiciel tiers ou au fichier LisezMoi TPIP 

accompagnant ce produit. 

Le produit décrit dans ce document est distribué aux termes d'une licence limitant son 

utilisation, sa copie, sa distribution et sa décompilation/ingénierie inverse. Ce document ne 

peut, en tout ou partie, être reproduit sous aucune forme et par aucun moyen sans 

l'autorisation préalable écrite de Symantec Corporation et de ses détenteurs de licence 

éventuels. 

LA DOCUMENTATION EST FOURNIE "EN L'ETAT" ET TOUTE GARANTIE OU CONDITION 

D'AUCUNE SORTE, EXPRESSE OU IMPLICITE, Y COMPRIS, SANS QUE CELA SOIT 

LIMITATIF, LES GARANTIES OU CONDITIONS IMPLICITES DE QUALITE MARCHANDE, 

D'ADEQUATION A UN USAGE PARTICULIER OU DE RESPECT DES DROITS DE PROPRIETE 

INTELLECTUELLE EST REFUTEE, EXCEPTE DANS LA MESURE OU DE TELLES EXCLUSIONS 

SERAIENT TENUES POUR LEGALEMENT NON VALIDES. SYMANTEC CORPORATION NE 

PEUT ETRE TENUE POUR RESPONSABLE DES DOMMAGES DIRECTS OU INDIRECTS 

RELATIFS AU CONTENU OU A L'UTILISATION DE LA PRESENTE DOCUMENTATION. LES 

INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT ETRE MODIFIEES 

SANS PREAVIS. 

Le Logiciel sous licence est considéré comme logiciel informatique commercial conformément 

aux définitions de la section FAR 12.212 et soumis à des droits restreints tels que définis 

dans la section FAR 52.227.19 "Commercial Computer Licensed Software - Restricted Rights" 

et DFARS 227.7202 "Rights in Commercial Computer Licensed Software or Commercial 

Computer Licensed Software Documentation" tels qu'applicable, et à tous règlements qui 

les remplaceraient. Toute utilisation, modification, reproduction, publication, exécution, 

présentation ou communication du Logiciel sous licence et de la documentation par le

gouvernement des Etats-Unis ne peut se faire que conformément aux conditions du présent 

contrat. 

Symantec Corporation 

350 Ellis Street 

Mountain View, CA 94043 

http://www.symantec.fr

Support technique 

Contacter le support technique 

Le support technique de Symantec se compose de centres de support répartis dans 

le monde entier. Le rôle principal du support technique est de réagir à des requêtes 

spécifiques sur les caractéristiques et la fonctionnalité des produits. Le groupe 

de support technique contribue également à la création de contenu pour notre 

base de données en ligne. Il travaille en collaboration avec les autres domaines 

fonctionnels de Symantec pour répondre à vos questions aussi rapidement que 

possible, par exemple avec l'ingénierie de produit et Symantec Security Response 

pour fournir des services d'alerte et des mises à jour de définitions de virus. 

Les offres de support de Symantec englobent : 

■ 

■ 

un éventail d'options de support pour un volume flexible de services adapté 

aux sociétés de toute taille ; 

support téléphonique et/ou par le Web pour des répondes rapides et des 

informations actuelles ; 

■ garantie de mise à niveau par des mises à niveau logicielles ; 

■ prise en charge achetée sur une base des heures ouvrables régionales ou 24 

heures sur 24 et 7 jours sur 7 ; 

■ 

offres de la meilleure qualité de service qui incluent des services de gestion 

des comptes. 

Pour plus d'informations sur les programmes de maintenance de Symantec, vous 

pouvez visiter notre site Web en accédant à l'URL suivante : 

http://www.symantec.com/fr/fr/business/support/ 

Les clients avec un contrat de support en cours peuvent accéder aux informations 

de support technique sur l'URL suivante : 


Avant de contacter le support technique, vérifiez que votre système répond à la 

configuration requise indiquée dans la documentation du produit. Veuillez en 

outre vous tenir à proximité de l'ordinateur sur lequel le problème se pose, au cas 

où il serait nécessaire de répliquer le problème. 

Lorsque vous contactez le support technique, veillez à avoir sous la main les 

informations suivantes : 

■ 

■ 

Niveau de version du produit 

Informations concernant le matériel

■ 

Licence et enregistrement 

■ 

■ 

■ 

■ 

Mémoire disponible, espace disque et informations sur la carte réseau 

Système d'exploitation 

Niveau de correctif logiciel et de version 

Topologie du réseau 

Routeur, passerelle et informations sur l'adresse IP 

■ Description du problème : 

■ 

■ 

■ 

Messages d'erreur et fichiers journaux 

Tentatives de dépannage effectuées avant de contacter Symantec 

Modifications récentes apportées à la configuration logicielle et au réseau 

Si votre produit Symantec requiert un enregistrement ou une clé de licence, 

accédez à notre page Web de support technique à l'URL suivante : 


Service client 

Les informations du service client sont disponibles en accédant à l'URL suivante : 


Le service client est fournit son aide pour les questions non techniques, telles que 

les types suivants de problèmes : 

■ questions concernant l'octroi et le numéro de licence ; 

■ 

■ 

mises à jour des données fournies à l'enregistrement du produit, telles que 

l'adresse ou le nom ; 

informations générales sur le produit (fonctions, langues disponibles, 

distributeurs locaux) ; 

■ dernières informations sur les mises à jour et les mises à niveau du produit ; 

■ 

Informations sur l'assurance et les contrats de support de mise à niveau 

■ informations sur les Programmes d'achats Symantec ; 

■ conseil sur les options du support technique Symantec ; 

■ questions non techniques préalables à la vente ; 

■ 

problèmes liés aux CD-ROM ou aux manuels.

Ressources de contrat de support 

Si vous voulez entrer en contact avec Symantec concernant un contrat de support 

existant, veuillez contactez l'équipe administrative de contrat de support pour 

votre région comme suit : 

Asie Pacifique et Japon 

Europe, Moyen-Orient et Afrique 

Amérique du Nord et Amérique latine 

customercare_apac@symantec.com 

semea@symantec.com 

supportsolutions@symantec.com 

Services d'entreprise supplémentaires 

Symantec offre une gamme complète de services qui vous permettent d'optimiser 

l'investissement effectué dans les produits Symantec et de développer vos 

connaissances, expertise et compréhension globale, pour une gestion proactive 

des risques commerciaux. 

Les services aux entreprises disponibles sont les suivants : 

Services gérés 

Services de conseil 

Services de formation 

Les services gérés suppriment la charge que représente la gestion et le contrôle 

des périphériques et des événements de sécurité, assurant l'intervention rapide 

face aux menaces réelles. 

Les services de conseil Symantec fournissent une expertise technique sur site 

de Symantec et de ses partenaires approuvés. Ils offrent une série d'options 

préemballées et personnalisables comportant des fonctions d'évaluation, de 

conception, de mise en œuvre, de surveillance et de gestion. Chaque service a 

pour objectif d'établir et de maintenir l'intégrité et la disponibilité de vos 

ressources informatiques. 

Les services de formation fournissent un ensemble complet de formation 

technique, d'éducation de sécurité, de certification de sécurité et de programmes 

de communication de connaissance. 

Pour accéder à plus d'informations sur les services destinés aux entreprises, visitez 

s'il vous plaît notre site Web sur l'URL suivante : 

http://www.symantec.com/fr/fr/business/services/ 

Sélectionnez votre pays ou langue dans le sommaire du site.

Table des matières 

Support technique .............................................................................................. 4 

Section 1 Prise en main du client ............................................. 13 

Chapitre 1 Présentation du client ........................................................ 15 

A propos du client ........................................................................ 15 

A propos du client Symantec Endpoint Protection .............................. 16 

A propos de la protection antivirus et antispyware ....................... 17 

A propos de la protection proactive contre les menaces ................. 17 

A propos de la protection contre les menaces réseau ..................... 18 

A propos du client Symantec Network Access Control ......................... 19 

Chapitre 2 Réagir au client .................................................................... 21 

A propos de l'interaction avec le client ............................................. 21 

Action sur les fichiers infectés ........................................................ 22 

A propos des dommages causés par les virus ............................... 23 

A propos des notifications et des alertes ........................................... 24 

Réaction aux notifications relatives aux applications .................... 24 

Réaction aux alertes de sécurité ................................................ 27 

Réaction aux notifications de Network Access Control .................. 28 

Chapitre 3 Gestion du client ................................................................. 29 

A propos des clients gérés centralement et des clients 

autonomes ............................................................................ 30 

Conversion d'un client autogéré en client centralement géré ................ 31 

Mise à jour de la protection de l'ordinateur ....................................... 32 

Mise à jour immédiate de contenu ............................................. 33 

Mise à jour de contenu sur planification ..................................... 34 

A propos des politiques de sécurité .................................................. 35 

Mettre à jour manuellement le fichier de politique ............................. 35 

Vérifier que des politiques ont été mises à jour .................................. 36 

Analyse immédiate de l'ordinateur .................................................. 36 

Suspension et report des analyses ................................................... 37 

Activation et désactivation des technologies de protection ................... 38

8 


Activation ou désactivation de Auto-Protect ................................ 41 

Activation ou désactivation de la protection contre les menaces 

réseau ............................................................................ 42 

Activation ou désactivation de la protection proactive contre les 

menaces ......................................................................... 43 

A propos de la protection contre les interventions .............................. 43 

Activation, désactivation et configuration de la protection contre les 

interventions ........................................................................ 44 

Test du degré de sécurité de votre ordinateur .................................... 46 

A propos des emplacements ........................................................... 46 

Modification d'emplacement .......................................................... 47 

A propos de l'icône de zone de notification ........................................ 47 

Masquage et affichae de l'icône de zone de notification ....................... 49 

A propos du fait d'empêcher un administrateur de redémarrer 

l'ordinateur ........................................................................... 49 

Section 2 

Chapitre 4 

Gestion de la protection sur le client 

Symantec Endpoint Protection ..................... 51 

Gestion de la protection antivirus et 

antispyware .................................................................... 53 

A propos des virus et des risques de sécurité ..................................... 54 

Comment le client réagit aux virus et aux risques de sécurité ............... 57 

A propos des paramètres antivirus et antispyware ............................. 58 

A propos de l'analyse des fichiers .................................................... 59 

Lorsque vos applications de messagerie utilisent un seul fichier 

de boîte de réception ......................................................... 59 

A propos de l'analyse par extension ........................................... 59 

A propos de l'analyse de tous les types de fichier .......................... 60 

A propos de la protection contre les virus de macro ...................... 61 

Lorsque le client détecte un virus ou un risque de sécurité ................... 61 

A propos d'Auto-Protect ................................................................ 62 

A propos d'Auto-Protect et des risques de sécurité ....................... 62 

A propos d'Auto-Protect et de l'analyse de messagerie .................. 63 

Désactivation du traitement par Auto-Protect des connexions 

de messagerie chiffrées ..................................................... 65 

Affichage des statistiques d'analyse d'Auto-Protect ...................... 66 

Affichage de la liste des risques ................................................ 66 

Configuration d'Auto-Protect pour déterminer les types de fichier 

à analyser ....................................................................... 66


9 

Désactivation et activation de l'analyse et du blocage des risques 

de sécurité dans Auto-Protect ............................................. 67 

Configuration de paramètre d'analyse réseau .............................. 68 

Utilisation des analyses antivirus et antispyware ............................... 70 

Mode de fonctionnement des analyses antivirus et 

antispyware .................................................................... 71 

A propos des fichiers de définitions .......................................... 72 

A propos de l'analyse des fichiers compressés ............................. 73 

Planification d'une analyse définie par l'utilisateur ............................ 73 

Planification d'une analyse à exécuter sur demande ou quand 

l'ordinateur démarre ........................................................ 75 

Modification et suppression d'analyses au démarrage, définies par 

l'utilisateur et planifiées .......................................................... 77 

Interprétation des résultats des analyses .......................................... 77 

A propos de l'interaction avec les résultats d'analyse ou les 

résultats d'Auto-Protect .................................................... 78 

Configuration des actions pour les virus et les risques de 

sécurité ................................................................................ 80 

Astuces d'affectation d'actions secondaires pour les virus ............. 84 

Astuces d'affectation d'actions secondaires pour les risques de 

sécurité .......................................................................... 85 

A propos de l'évaluation de l'impact des risques ........................... 85 

Configuration des notifications pour les virus et les risques de 

sécurité ................................................................................ 86 

A propos de l'exclusion des éléments de l'analyse ............................... 89 

Exclusion des éléments de l'analyse ................................................. 90 

A propos de la prise en charge des fichiers en quarantaine ................... 92 

A propos des fichiers infectés dans la quarantaine ....................... 92 

A propos du traitement des fichiers infectés dans la 

quarantaine .................................................................... 93 

A propos du traitement des fichiers infectés par des risques de 

sécurité .......................................................................... 93 

Gestion de la quarantaine .............................................................. 93 

Affichage des fichiers et de leurs détails dans la 

quarantaine .................................................................... 94 

Réanalyse des fichiers en quarantaine à la recherche de 

virus .............................................................................. 94 

Lorsqu'un fichier réparé ne peut être replacé à son emplacement 

d'origine ......................................................................... 95 

Effacement des éléments de sauvegarde ..................................... 95 

Suppression de fichiers de la quarantaine ................................... 96 

Suppression automatique des fichiers en quarantaine ................... 96

10 


Soumission à Symantec Security Response d'un fichier suspect 

pour analyse ................................................................... 97 

Transmission d'informations sur les détections d'analyse à Symantec 

Security Response .................................................................. 98 

A propos du client et du Centre de sécurité Windows .......................... 99 

Chapitre 5 

Chapitre 6 

Gestion de la protection proactive contre les 

menaces ........................................................................ 101 

A propos des analyses proactives des menaces TruScan ..................... 101 

Processus et applications que les analyses proactives des menaces 

TruScan examinent ........................................................ 102 

A propos des exceptions des analyses proactives des menaces 

TruScan ........................................................................ 103 

A propos des détections de l'analyse proactive des menaces 

TruScan ........................................................................ 104 

A propos des actions sur des faux positifs ................................. 105 

Configuration de la fréquence d'exécution des analyses proactives 

des menaces TruScan ............................................................ 105 

Gestion des détections proactives de menaces TruScan ..................... 106 

Définition de l'action pour la détection des applications 

commerciales ................................................................ 108 

Spécification des actions et des niveaux de sensibilité pour 

détecter des chevaux de Troie, des vers et des enregistreurs 

de frappe ...................................................................... 108 

Spécification des types de processus détectés par les analyses 

proactives des menaces TruScan ....................................... 110 

Configuration des notifications des détections de l'analyse proactive 

des menaces TruScan ............................................................ 110 

Soumission à Symantec Security Response des informations sur les 

analyses proactives des menaces TruScan ................................. 111 

Exclusion d'un processus des analyses proactives des menaces 

TruScan .............................................................................. 112 

Gestion de la protection contre les menaces 

réseau ............................................................................ 115 

A propos de la gestion de la protection contre les menaces 

réseau ................................................................................ 116 

Gestion de la protection par pare-feu ............................................. 117 

Fonctionnement du pare-feu ........................................................ 118 

A propos des règles de filtrage ...................................................... 119 

A propos des éléments d'une règle de filtrage ............................ 120 

A propos de l'inspection Stateful ............................................. 122


11 

A propos de l'ordre de traitement des règles .............................. 123 

Ajout d'une règle de filtrage ......................................................... 124 

Modification de l'ordre d'une règle de filtrage .................................. 125 

Activation et désactivation des règles ............................................. 126 

Exportation et importation de règles .............................................. 126 

A propos des règles de filtrage intégrées ......................................... 127 

Activation des paramètres de trafic et des paramètres de navigation 

Web furtive ......................................................................... 128 

Activation du filtrage de trafic intelligent ....................................... 129 

Activation du partage des fichiers et des imprimantes du réseau ......... 130 

Blocage du trafic ........................................................................ 132 

Configurer des paramètres spécifiques à une application ................... 133 

Suppression des restrictions d'une application ........................... 135 

Gestion de la protection de prévention des intrusions ....................... 136 

Fonctionnement de la protection de prévention des intrusions ........... 137 

Activation ou désactivation des paramètres de prévention des 

intrusions ........................................................................... 138 

Configuration des notifications de prévention d'intrusion .................. 139 

Bloquer et débloquer un ordinateur attaquant ................................. 139 

Section 3 

Gestion de la protection sur le client 

Symantec Network Access Control ........... 143 

Chapitre 7 Gestion de Network Access Control ............................... 145 

Fonctionnement de Symantec Network Access Control ...................... 145 

Exécution d'une vérification de l'intégrité de l'hôte ........................... 147 

A propos de la mise à jour de la politique d'intégrité de l'hôte ............. 147 

Réparation de l'ordinateur ........................................................... 148 

Afficher les journaux Network Access Control ................................. 148 

Fonctionnement du client avec un module d'application 

Enforcer ............................................................................. 149 

Configuration du client pour l'authentification 802.1x ...................... 149 

Authentifier à nouveau votre ordinateur ................................... 153 

Section 4 Contrôle et consignation ....................................... 155 

Chapitre 8 Utilisation et gestion des journaux ................................ 157 

A propos des journaux ................................................................. 157 

Gestion de la taille de journal ........................................................ 160

12 


Configuration du délai de conservation pour les entrées du 

journal de la protection antivirus et antispyware .................. 160 

Configurer la taille des journaux de la protection contre les 

menaces réseau et de la gestion des clients .......................... 160 

Configurer le délai de conservation des entrées du journal de 

protection contre les menaces réseau et du journal de gestion 

des clients ..................................................................... 161 

A propos de la suppression du contenu du journal système de la 

protection antivirus et antispyware ................................... 161 

Suppression du contenu des journaux de protection contre les 

menaces réseau et des journaux de gestion des clients ........... 161 

Mise en quarantaine des risques et des menaces du journal des risques 

et du journal des menaces ...................................................... 162 

Utiliser les journaux de protection contre les menaces réseau et de 

gestion des clients ................................................................ 163 

Actualisation des journaux de protection contre les menaces 

réseau et les journaux de gestion des clients ........................ 164 

Activation du journal des paquets ............................................ 164 

Arrêt d'une intervention active ............................................... 164 

Suivi des événements consignés jusqu'à leur source .................... 164 

Utilisation des journaux de gestion des clients avec Symantec 

Network Access Control ................................................... 165 

Exportation des données de journal ............................................... 166 

Index ................................................................................................................... 169

Section 

1 

Prise en main du client 

■ 

■ 

■ 

Chapitre 1. Présentation du client 

Chapitre 2. Réagir au client 

Chapitre 3. Gestion du client

Chapitre 

1 

Présentation du client 

Ce chapitre traite des sujets suivants : 

■ 

■ 

■ 

A propos du client 

A propos du client Symantec Endpoint Protection 

A propos du client Symantec Network Access Control 

A propos du client 

Symantec fabrique les deux produits de protection de points de fin suivants qui 

peuvent être utilisés ensemble ou séparément. 

Tableau 1-1 

Type de client 

Types de clients de protection de points de fin 

Description 

Symantec Endpoint Protection 

Symantec Endpoint Protection protège votre ordinateur 

des menaces Internet et des risques de sécurité. 

Se reporter à "A propos du client Symantec Endpoint 

Protection" à la page 16. 

Symantec Network Access 

Control 

Symantec Network Access Control s'assure que les 

paramètres de sécurité de votre ordinateur se conforment 

aux politiques réseau. Les paramètres de sécurité peuvent 

inclure le logiciel, les paramètres de configuration logiciel, 

les fichiers de signature, les correctifs ou d'autres 

éléments. 

Se reporter à "A propos du client Symantec Network 

Access Control" à la page 19. 

Vous ou votre administrateur avez installé un ou les deux logiciels client Symantec 

sur votre ordinateur. Si votre administrateur a installé le client, il a déterminé les

16 



produits à activer sur le client. L'administrateur peut indiquer les tâches à effectuer 

avec le client. 

Si vous avez installé le client sur votre ordinateur, il s'agit d'une installation 

autonome. Une installation autonome signifie qu'un administrateur ne gère pas 

le logiciel client. 

Se reporter à "A propos des clients gérés centralement et des clients autonomes" 

à la page 30. 

Remarque : Si vous ou votre administrateur avez installé seulement un de ces 

produits sur votre ordinateur, ce nom de produit s'affiche dans la barre de titre. 

Quand les deux types de protection sont activés, Symantec Endpoint Protection 

s'affiche sur la barre de titre. 


Les paramètres par défaut du client offrent une protection antivirus et antispyware, 

une protection proactive contre les menaces et une protection contre les menaces 

réseau. Vous pouvez régler les paramètres par défaut de sorte à respecter les 

besoins de votre entreprise, à optimiser la performance système et à désactiver 

les options non applicables. 

Se reporter à "A propos de la protection antivirus et antispyware" à la page 17. 

Se reporter à "A propos de la protection proactive contre les menaces" à la page 17. 

Se reporter à "A propos de la protection contre les menaces réseau" à la page 18. 

Vous pouvez utiliser le client Symantec Endpoint Protection pour protéger votre 

ordinateur des manières suivantes : 

■ 

■ 

■ 

■ 

Analyser votre ordinateur pour rechercher les virus, les menaces connues et 

les risques de sécurité. 

Se reporter à "Analyse immédiate de l'ordinateur" à la page 36. 

Surveiller les ports contre les signatures d'attaque connues. 

Se reporter à "A propos des journaux" à la page 157. 

Surveiller les programmes de votre ordinateur contre les comportements 

suspects. 

Se reporter à "A propos des analyses proactives des menaces TruScan" 


Protéger l'ordinateur contre les attaques réseau. 

Se reporter à "Gestion de la protection par pare-feu" à la page 117.



17 

A propos de la protection antivirus et antispyware 

La protection antivirus et antispyware veille à ce que votre ordinateur soit protégé 

contre les virus connus et les risques de sécurité. Si les virus sont rapidement 

détectés et supprimés de l'ordinateur, ils ne peuvent pas infecter d'autres fichiers 

ni causer des dommages. Les effets des virus et des risques de sécurité peuvent 

être réparés. Lorsque le client Symantec Endpoint Protection détecte un virus ou 

un risque de sécurité, il vous en informe par défaut. Si vous ne voulez pas être 

averti, votre administrateur ou vous-même pouvez configurer le client pour traiter 

le risque automatiquement. 

La protection antivirus et antispyware fournit des analyses basées sur les 

signatures et inclut ce qui suit : 

■ 

■ 

Analyses Auto-Protect 

Auto-Protect s'exécute constamment et assure la protection en temps réel de 

votre ordinateur en surveillant les activités. Auto-Protect recherche les virus 

et les risques de sécurité quand un fichier est exécuté ou ouvert. Il recherche 

également les virus et les risques de sécurité quand vous apportez des 

modifications à un fichier. Par exemple, vous pouvez renommer, enregistrer, 

déplacer ou copier un fichier entre des dossiers. 

Se reporter à "A propos d'Auto-Protect" à la page 62. 

Se reporter à "Configuration d'Auto-Protect pour déterminer les types de 

fichier à analyser" à la page 66. 

Analyses planifiées, de démarrage et à la demande 

Vous ou votre administrateur pouvez configurer d'autres analyses pour 

s'exécuter sur votre ordinateur. Ces analyses recherchent les signatures de 

virus résiduelles dans les fichiers infectés. Ces analyses recherchent également 

les signatures des risques de sécurité dans les fichiers infectés et les 

informations système. Vous ou votre administrateur pouvez lancer des analyses 

pour rechercher systématiquement les virus et les risques de sécurité dans les 

fichiers de votre ordinateur. Les risques de sécurité peuvent inclure les logiciels 

publicitaires ou les spywares. 

Se reporter à "Planification d'une analyse définie par l'utilisateur" à la page 73. 

Se reporter à "Planification d'une analyse à exécuter sur demande ou quand 

l'ordinateur démarre" à la page 75. 

A propos de la protection proactive contre les menaces 

La protection proactive contre les menaces comprend une fonction d'analyse 

proactive des menaces TruScan qui garantit une protection immédiate de votre 

ordinateur contre les menaces inconnues. Ces analyses heuristiques examinent 

la structure, le comportement et divers autres attributs d'un programme, à la 

recherche de caractéristiques propres à un virus. Dans beaucoup de cas elle peut

18 



protéger contre des menaces telles que les vers d'envoi en masse de courrier 

électronique et les virus de macro. Vous pourriez rencontrer des vers et des virus 

de macro avant que vous ayez mis à jour vos définitions de virus et de risque de 

sécurité. Les analyses proactives des menaces recherchent des menaces émanant 

de scripts dans les fichiers HTML, VBScript et Javascript. 

Se reporter à "A propos des analyses proactives des menaces TruScan" à la page 101. 

Les analyses proactives des menaces détectent également les applications 

commerciales qui peuvent être utilisées à des fins malveillantes. Ces applications 

commerciales incluent des programmes de contrôle à distance ou des enregistreurs 

de frappe. 

Vous pouvez configurer des analyses proactives des menaces pour mettre en 

quarantaine des détections. Vous pouvez restaurer manuellement les éléments 

mis en quarantaine par des analyses proactives des menaces. Le client peut 

également restaurer automatiquement des éléments en quarantaine. 

Se reporter à "Gestion des détections proactives de menaces TruScan" à la page 106. 

A propos de la protection contre les menaces réseau 

Le client Symantec Endpoint Protection fournit un pare-feu personnalisable qui 

protège votre ordinateur contre les intrusions et les abus, malveillants ou 

involontaires. Il détecte et identifie les analyses de port connues et d'autres 

attaques communes. En réponse, le pare-feu permet ou bloque sélectivement 

divers services réseau, applications, ports et composants. Il inclut plusieurs types 

de règles de filtrage et de paramètres de sécurité pour protéger les ordinateurs 

client du trafic réseau qui peut entraîner des dommages. 

Les règles de filtrage déterminent si votre ordinateur autorise ou bloque une 

application entrante ou sortante qui tente d'accéder à votre ordinateur par votre 

connexion réseau. Les règles de filtrage permettent ou bloquent systématiquement 

les applications et le trafic entrants ou sortants en relation avec des adresses IP 

et des ports spécifiques. Les paramètres de sécurité détectent et identifient les 

attaques communes, envoient des messages après une attaque, affichent des 

messages personnalisables et effectuent d'autres tâches relatives à la sécurité. 

Se reporter à "Gestion de la protection par pare-feu" à la page 117. 

La protection contre les menaces réseau fournit également des signatures de 

prévention des intrusions pour empêcher les intrusions et le contenu malveillant. 

Le pare-feu permet ou bloque le trafic selon divers critères. 

Se reporter à "Gestion de la protection de prévention des intrusions" à la page 136.



19 


Le client Symantec Network Access Control évalue si un ordinateur est 

correctement protégé et conforme avant de lui permettre de se connecter au réseau 

d'entreprise. 

Le client s'assure que votre ordinateur est conforme à la politique de sécurité que 

votre administrateur configure. La politique de sécurité vérifie si votre ordinateur 

exécute le logiciel de sécurité le plus récent, comme des applications antivirus et 

de pare-feu. Si votre ordinateur n'exécute pas le logiciel nécessaire, vous ou le 

client devez mettre à jour le logiciel en question. Si votre logiciel de sécurité n'est 

pas à jour, votre ordinateur peut être empêché de se connecter au réseau. Le client 

exécute des contrôles périodiques pour vérifier que votre ordinateur reste conforme 

à la politique de sécurité. 

Se reporter à "Fonctionnement de Symantec Network Access Control" à la page 145.

20 


A propos du client Symantec Network Access Control

Chapitre 

2 

Réagir au client 


■ 

■ 

■ 

A propos de l'interaction avec le client 

Action sur les fichiers infectés 

A propos des notifications et des alertes 

A propos de l'interaction avec le client 

Le client travaille à l'arrière-plan pour maintenir votre ordinateur protégé contre 

les activités malveillantes. Parfois le client doit vous informer au sujet d'une 

activité ou vous demander un commentaire. 

Vous pouvez alors obtenir les types d'alertes ou de notifications suivants : 

Détection de virus ou de 

risque de sécurité 

Si Auto-Protect ou une analyse détecte un virus ou un risque de 

sécurité, la boîte de dialogue Symantec Endpoint Protection 

Résultats de détection s'affiche. La boîte de dialogue apparaît. 

Les détails sur l'infection sont inclus. La boîte de dialogue affiche 

également l'action que Symantec Endpoint Protection a effectuée 

sur le risque. Vous n'avez habituellement pas besoin de prendre 

d'autre mesure que passer en revue l'activité et refermer la boîte 

de dialogue. Vous pouvez agir au besoin, cependant. 

Se reporter à "Action sur les fichiers infectés" à la page 22. 

Notifications en 

relation avec les 

applications 

Lorsqu'un programme de votre ordinateur tente d'accéder à un 

réseau, Symantec Endpoint Protection peut vous demander votre 

accord. 

Se reporter à "Réaction aux notifications relatives aux 

applications" à la page 24.

22 



Alertes de sécurité 

Symantec Endpoint Protection vous informe lorsqu'il bloque un 

programme ou détecte une attaque contre votre ordinateur. 

Se reporter à "Réaction aux alertes de sécurité" à la page 27. 

Si Symantec Network Access Control est activé sur l'ordinateur, vous pouvez 

recevoir un message de Network Access Control. Ce message s'affiche quand vos 

paramètres de sécurité ne se conforment pas aux normes que votre administrateur 

a configurées. 

Se reporter à "Réaction aux notifications de Network Access Control" à la page 28. 


Par défaut, Auto-Protect s'exécute en continu sur votre ordinateur. Pour les clients 

non gérés, une analyse rapide générée automatiquement s'exécute au démarrage 

de l'ordinateur. Pour les clients gérés, votre administrateur configure généralement 

une analyse complète au moins une fois par semaine. Auto-Protect affiche une 

boîte de dialogue de résultats quand il détecte un problème. Lorsqu'une analyse 

s'exécute, une boîte de dialogue affiche ses résultats. Pour les clients gérés, votre 

administrateur peut désactiver ces notifications. 

Si vous recevez ces notifications, elles peuvent signaler qu'un fichier infecté 

nécessite une intervention de votre part. 

Les options par défaut pour Auto-Protect et tous les types d'analyse sont de 

nettoyer tout fichier infecté dès qu'il est détecté. Si le client ne peut pas nettoyer 

un fichier, il consigne l'échec et place le fichier infecté en quarantaine. La 

quarantaine locale est un emplacement spécial réservé aux fichiers infectés et 

aux effets secondaires système associés. Pour les risques de sécurité, le client met 

en quarantaine les fichiers infectés et supprime ou répare leurs effets secondaires. 

Le client consigne la détection s'il ne peut pas réparer le fichier. 

Remarque : Dans la quarantaine, le virus ne peut pas se propager. Quand le client 

place un fichier en quarantaine, vous n'avez plus accès au fichier. 

Quand Symantec Endpoint Protection répare un fichier infecté, vous n'avez pas 

besoin de prendre davantage de mesures pour protéger votre ordinateur. Si le 

client met en quarantaine un fichier infecté par un risque de sécurité, puis le 

supprime et le répare, vous n'avez pas besoin de prendre de mesures 

supplémentaires. 

Vous pouvez ne pas avoir à agir sur un fichier, mais vouloir exécuter une action 

supplémentaire sur le fichier. Par exemple, vous pouvez décider de supprimer un 

fichier nettoyé car vous préférez le remplacer par un fichier original.



23 

Vous pouvez utiliser les notifications pour agir sur le fichier immédiatement. 

Vous pouvez également utiliser la vue de journal ou la quarantaine pour agir sur 

le fichier plus tard. 

Se reporter à "Interprétation des résultats des analyses" à la page 77. 

Se reporter à "Mise en quarantaine des risques et des menaces du journal des 

risques et du journal des menaces" à la page 162. 

Se reporter à "A propos de la prise en charge des fichiers en quarantaine" 


Pour traiter un fichier infecté 

1 Effectuez l'une des opérations suivantes : 

■ 

■ 

■ 

Dans la boîte de dialogue d'avancement de l'analyse, sélectionnez les 

fichiers voulus lorsque l'analyse est terminée. 

Dans la boîte de dialogue de résultats d'analyse, sélectionnez les fichiers 

que vous voulez. 

Dans le client, dans la barre latérale, cliquez sur Afficher les journaux, 

puis, à côté de la protection antivirus et antispyware, cliquez sur Afficher 

les journaux. Dans la vue de journal, sélectionnez les fichiers que vous 

voulez. 

2 Cliquez sur les fichiers avec le bouton droit de la souris, puis sélectionnez 

l'une des options suivantes. Dans certains cas, le client ne peut pas exécuter 

l'action que vous avez sélectionnée. 

■ 

■ 

■ 

■ 

■ 

Annuler l'opération effectuée : Annule l'opération effectuée. 

Nettoyer (virus uniquement) : Supprime le virus du fichier. 

Supprimer définitivement : Supprime le fichier infecté et tous ses effets 

secondaires. Pour les risques de sécurité, utilisez cette action avec 

prudence. Dans certains cas, la suppression de risques de sécurité peut 

empêcher une application de fonctionner correctement. 

Mettre en quarantaine : Place les fichiers infectés en quarantaine. Pour 

les risques de sécurité, le client essaye également de supprimer ou de 

réparer les effets secondaires. 

Propriétés : Affiche des informations sur le virus ou le risque de sécurité. 

A propos des dommages causés par les virus 

Si Symantec Endpoint Protection trouve une infection peu après que l'infection 

se produise, le fichier infecté peut redevenir entièrement fonctionnel après que 

le client l'ait nettoyé. Parfois, cependant, Symantec Endpoint Protection peut

24 



nettoyer un fichier infecté qu'un virus a déjà endommagé. Par exemple, Symantec 

Endpoint Protection peut trouver un virus qui endommage un fichier de document. 

Symantec Endpoint Protection supprime le virus mais ne peut pas réparer les 

dommages à l'intérieur du fichier infecté. 


Vous pouvez obtenir plusieurs types de notifications sur votre ordinateur. Ces 

notifications décrivent habituellement une situation et indiquent comment le 

client essaye de résoudre le problème. 

Vous pouvez obtenir les types de notification suivants : 

■ 

■ 

Notifications en relation avec les applications 

Se reporter à "Réaction aux notifications relatives aux applications" 


Alertes de sécurité 

Se reporter à "Réaction aux alertes de sécurité" à la page 27. 

Réaction aux notifications relatives aux applications 

Vous pouvez obtenir une notification qui vous demande si vous voulez autoriser 

l'exécution d'une application ou d'un service. 

Ce type de notification s'affiche pour une des raisons suivantes : 

■ 

■ 

■ 

■ 

L'application demande à accéder à votre connexion réseau. 

Une application qui a accédé à votre connexion réseau a été mise à niveau. 

Le client a commuté les utilisateurs commutés client avec la fonction de 

changement rapide d'utilisateur. 

Se reporter à "Notifications de commutation de client rapide" à la page 26. 

Votre administrateur a mis à jour le logiciel client. 

Se reporter à "Réagir aux notifications automatiques de mise à jour" 


Vous pouvez obtenir le type suivant de message, qui indique quand une application 

ou un service essaye d'accéder à votre ordinateur : 

Internet Explorer (IEXPLORE.EXE) tente de se connecter à 

www.symantec.com en utilisant le port distant 80 (HTTP - World Wide Web). 

Voulez-vous permettre à ce programme d'accéder au réseau ?



25 

Pour réagir aux applications qui essayent d'accéder au réseau 

1 Dans la zone de message, cliquez sur Détail. 

Vous pouvez afficher plus d'informations sur la connexion et l'application, 

comme le nom de fichier, le numéro de version et le nom du chemin d'accès. 

2 Si vous voulez que le client se souvienne votre choix la prochaine fois que 

cette application essaye d'accéder à votre connexion réseau, cliquez sur 

Mémoriser ma réponse et ne plus me demander à l'avenir pour cette 

application.. 


■ 

■ 

Pour permettre à l'application d'accéder à la connexion réseau, cliquez 

sur Oui. 

Cliquez sur Oui seulement si vous identifiez l'application et que vous êtes 

sûr de vouloir qu'elle accède à la connexion réseau. Si vous êtes incertain, 

demandez à votre administrateur. 

Pour interdire à l'application d'accéder à la connexion réseau, cliquez sur 

Non. 

Tableau 2-1 affiche la manière dont vous pouvez réagir aux notifications vous 

demandant si vous voulez autoriser ou bloquer une application. 

Tableau 2-1 

Notifications de permission d'application 

Si vous cochez l'option 

"Mémoriser ma 

réponse..." ? 

Oui 

Non 

Oui 

Non 

Si vous 

cliquez sur 

Oui 

Oui 

Non 

Non 

Le client… 

Permet l'application et ne demande pas de 

nouveau. 

Permet l'application et vous demande chaque 

fois. 

Bloque l'application et ne vous demande pas de 

nouveau. 

Bloque l'application et vous demande chaque 

fois. 

Vous pouvez également modifier l'action de l'application dans le champ 

Applications en cours d'exécution ou dans la liste Applications. 

Se reporter à "Configurer des paramètres spécifiques à une application" 

à la page 133.

26 



Notifications d'application modifiée 

De temps en temps, vous pouvez obtenir un message indiquant qu'une application 

a été modifiée. Le message suivant en est un exemple. 

"Le programme Telnet a changé depuis sa dernière ouverture. 

Cela peut être dû à une mise à jour récente. 

Souhaitez-vous l'autoriser à accéder au réseau ?" 

L'application qui est répertoriée dans le message précédent tente d'accéder à votre 

connexion réseau. Bien que le client identifie le nom de l'application, quelque 

chose au sujet de l'application a été modifié depuis la dernière fois où le client l'a 

rencontrée. Très probablement, vous avez mis à niveau le produit récemment. 

Chaque nouvelle version de produit utilise un fichier différent de signature de 

fichier. Le client détecte que le fichier de signature de fichier a changé. 

Notifications de commutation de client rapide 

Si vous utilisez Windows Vista /XP, vous pouvez obtenir l'une des notifications 

suivantes : 

“Symantec Endpoint Protection ne peut pas afficher 

l'interface utilisateur. Si vous utilisez la fonction de changement 

rapide d'utilisateur de Windows XP, assurez-vous que tous 

les autres utilisateurs sont déconnectés de Windows et essayez 

de fermer votre session Windows puis de la rouvrir. Si vous utilisez 

les services Windows Terminal Services, l'interface utilisateur 

n'est pas pris en charge." 

ou 

“Symantec Endpoint Protection ne s'exécutait pas mais sera démarré. 

Cependant, Symantec Endpoint Protection ne peut pas afficher 

l'interface utilisateur. Si vous utilisez la fonction de changement 

rapide d'utilisateur de Windows XP, assurez-vous que tous 

les autres utilisateurs sont déconnectés de Windows et essayez 

de fermer votre session Windows puis de la rouvrir. Si vous utilisez 

les services Windows Terminal Services, l'interface utilisateur 

n'est pas pris en charge." 

La fonction de changement rapide d'utilisateur est fonctions Windows qui vous 

permet de commuter rapidement entre les utilisateurs sans devoir fermer la 

session sur l'ordinateur. Des utilisateurs multiples peuvent partager un ordinateur 

et commutent entre eux sans fermer les applications qu'ils exécutent. Une de ces 

fenêtres s'affiche si vous commutez des utilisateurs en utilisant la fonction de 

changement rapide d'utilisateur.



27 

Pour réagir à un message de changement rapide d'utilisateur, suivez les 

instructions dans la boîte de dialogue. 

Réagir aux notifications automatiques de mise à jour 

Si le logiciel client est automatiquement mis à jour, vous pouvez obtenir la 

notification suivante : 

Symantec Endpoint Protection a détecté qu'une version plus récente 

du logiciel est disponible dans Symantec Endpoint Protection Manager. 

Souhaitez-vous la télécharger maintenant ? 

Pour réagir à une notification automatique de mise à jour 


■ 

■ 

Pour télécharger le logiciel immédiatement, cliquez sur Télécharger 

maintenant. 

Pour être rappelé après le délai spécifié, cliquez sur Me le rappeler plus 

tard. 

2 Si un message s'affiche après le début de l'installation du logiciel mis à jour, 

cliquez sur OK. 

Réaction aux alertes de sécurité 

Les alertes de sécurité affichent une notification au-dessus de l'icône de zone de 

notification. Il suffit de confirmer que vous avez lu le message en cliquant sur 

OK. Les notifications apparaissent pour une des raisons suivantes : 

Messages d'application bloquée 

Une application qui a été lancée sur votre ordinateur a été bloquée selon des 

règles définies par votre administrateur. Par exemple, vous pouvez obtenir le 

message suivant : 

Le trafic a été bloqué de cette application : 

(nom de l'application) 

Ces notifications indiquent que votre client a bloqué le trafic que vous avez 

spécifié comme non fiable. Si le client est configuré pour bloquer tout le trafic, 

ces notifications apparaissent fréquemment. Si votre client est configuré pour 

permettre tout le trafic, ces notifications n'apparaissent pas.

28 



Intrusions 

Une attaque a été lancée contre votre ordinateur et une alerte vous informe de 

la situation ou vous fournit des instructions sur la façon de réagir. Par exemple, 

vous pouvez obtenir le message suivant : 

Le trafic de l'adresse IP 192.168.0.3 est bloqué 

du 10/10/2006 15:37:58 au 10/10/2006 15:47:58. 

L'attaque par analyse de port est consignée. 

Votre administrateur a pu désactiver les notifications de prévention d'intrusion 

sur l'ordinateur client. 

Pour savoir quels types d'attaques votre client détecte, vous pouvez permettre 

au client d'afficher des notifications de prévention d'intrusion. 

Se reporter à "Configuration des notifications de prévention d'intrusion" 


Réaction aux notifications de Network Access Control 

Si le client Symantec Network Access Control ne se conforme pas aux politiques 

de sécurité, il peut ne pas être en mesure d'accéder au réseau. Dans ce cas, vous 

pouvez obtenir un message indiquant que Symantec Enforcer a bloqué votre trafic 

parce que la vérification de l'intégrité de l'hôte a échoué. Votre administrateur 

réseau peut avoir ajouté un texte à ce message pour suggérer des actions de 

remédiation possibles. Après avoir fermé la zone de texte du message, ouvrez le 

client pour voir s'il affiche des procédures suggérées pour restaurer l'accès réseau. 

Pour réagir aux notifications de contrôle d'accès réseau 

1 Suivez toutes les procédures suggérées qui apparaissent dans la zone de texte 

du message. 

2 Dans la zone de texte du message, cliquez sur OK.

Chapitre 

3 

Gestion du client 


■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

A propos des clients gérés centralement et des clients autonomes 

Conversion d'un client autogéré en client centralement géré 

Mise à jour de la protection de l'ordinateur 

A propos des politiques de sécurité 

Mettre à jour manuellement le fichier de politique 

Vérifier que des politiques ont été mises à jour 

Analyse immédiate de l'ordinateur 

Suspension et report des analyses 

Activation et désactivation des technologies de protection 

A propos de la protection contre les interventions 

Activation, désactivation et configuration de la protection contre les 

interventions 

Test du degré de sécurité de votre ordinateur 

A propos des emplacements 

Modification d'emplacement 

A propos de l'icône de zone de notification 

Masquage et affichae de l'icône de zone de notification 

A propos du fait d'empêcher un administrateur de redémarrer l'ordinateur

30 


A propos des clients gérés centralement et des clients autonomes 

A propos des clients gérés centralement et des clients 

autonomes 

L'administrateur peut installer le client comme client géré centralement 

(installation gérée par l'administrateur) ou comme client autonome (installation 

autonome). 

Tableau 3-1 


Client géré 

centralement 

Différences entre un client géré centralement et un client autonome 

Description 

Un client géré centralement communique avec un serveur de gestion 

de votre réseau. L'administrateur configure la protection et les 

paramètres par défaut, et le serveur de gestion télécharge les 

paramètres vers le client. Si l'administrateur modifie la protection, 

cette modification est presque immédiatement téléchargée vers le 

client. 

Les administrateurs peuvent modifier votre niveau d'interaction avec 

le client des manières suivantes : 

■ 

■ 

■ 

L'administrateur gère complètement le client. 

Il n'est pas nécessaire de configurer le client. Tous les paramètres 

sont verrouillés ou indisponibles, mais vous pouvez afficher des 

informations sur les opérations du client sur l'ordinateur. 

L'administrateur gère le client, mais vous pouvez modifier certains 

paramètres du client et effectuer certaines tâches. Par exemple, 

vous pouvez exécuter vos propres analyses et récupérer 

manuellement des mises à jour de client et des mises à jour de 

protection. 

La disponibilité des paramètres du client, comme les valeurs des 

paramètres elles-mêmes, peut changer périodiquement. Par 

exemple, un paramètre peut changer lorsque votre administrateur 

met à jour la politique qui contrôle la protection client. 

L'administrateur gère le client, mais vous pouvez modifier tous 

les paramètres du client et effectuer toutes les tâches de protection.


Conversion d'un client autogéré en client centralement géré 

31 


Client autonome 

Description 

Un client autonome ne communique pas avec un serveur de gestion 

et un administrateur ne gère pas le client. 

Un client autonome peut être l'un des types suivants : 

■ 

■ 

Un ordinateur autonome non connecté à un réseau, tel qu'un 

ordinateur familial ou un ordinateur portable. L'ordinateur doit 

inclure une installation Symantec Endpoint Protection qui utilise 

les paramètres d'option par défaut ou des paramètres prédéfinis 

par un administrateur. 

Un ordinateur distant qui se connecte au réseau d'entreprise et 

qui doit remplir les spécifications de sécurité avant sa connexion 

Le client dispose de paramètres par défaut lors de l'installation initiale. 

Une fois le client installé, vous pouvez modifier tous les paramètres 

client et effectuer toutes les tâches de protection. 

Se reporter à "Conversion d'un client autogéré en client centralement géré" 


Tableau 3-2 décrit les différences dans l'interface utilisateur entreun client géré 

centralement et un client autonome. 

Tableau 3-2 

Différences entre un client géré centralement et un client autonome 

par zone de fonction 

Zone de fonction 

Client géré centralement 

Client autonome 

Antivirus et 

antispyware 

Le client affiche une option de 

cadenas verrouillé et l'option 

s'affiche en gris pour les options 

qu'il est impossible de configurer. 

Le client n'affiche pas un cadenas 

verrouillé ou un cadenas 

déverrouillé. 

Paramètres de 

gestion de client et 

de protection contre 

les menaces réseau 

Les paramètres que 

l'administrateur contrôle ne 

s'affichent pas. 

Tous les paramètres s'affichent. 

Se reporter à "A propos de l'interaction avec le client" à la page 21. 

Conversion d'un client autogéré en client 

centralement géré 

Si votre client est installé en tant que client autonome, vous pouvez le convertir 

en client géré. Un client géré communique avec le serveur de gestion et reçoit les

32 



mises à jour de définition de contenu et les données de configuration. Un client 

autonome ne communique pas avec un serveur de gestion. 



Pour convertir un client autonome en client géré, vous importez un fichier 

sylink.xml qui contient les paramètres de communication. Votre administrateur 

doit vous envoyer le fichier ou l'enregistrer sur un emplacement auquel vous 

pouvez accéder. Le nom par défaut pour le fichier est nom du groupe_sylink.xml. 

Après que vous ayez importé le fichier de communications, l'icône de la zone de 

notification apparaît dans le coin inférieur droit du bureau. 

Se reporter à "A propos de l'icône de zone de notification" à la page 47. 

Pour convertir un client autonome en client géré 

1 Dans le client, cliquez sur Aide et support, puis cliquez sur Dépannage. 

2 Dans la boîte de dialogue Gestion, sous Paramètres de communication, cliquez 

sur Importer. 

3 Dans la boîte de dialogue Importer les paramètres de communication, localisez 

le fichier nam du groupe_sylink.xml, puis cliquez sur Ouvrir. 

4 Cliquez sur Fermer. 


Les produits Symantec nécessitent des informations à jour pour protéger 

l'ordinateur des nouvelles menaces découvertes. Symantec met ces informations 

à votre disposition par l'intermédiaire de LiveUpdate. LiveUpdate récupère le 

programme et les mises à jour de la protection pour votre ordinateur en utilisant 

votre connexion Internet. 

Les mises à jour de protection sont les fichiers qui maintiennent les produits 

Symantec à jour avec la technologie la plus récente en matière de protection contre 

les menaces. LiveUpdate récupère les nouveaux fichiers de définitions sur un site 

Internet de Symantec, puis remplace les anciens fichiers de définitions. Les mises 

à jour de la protection que vous recevez dépendent des produits installés sur votre 

ordinateur. 

Les mises à jour de protection comprennent les fichiers suivants : 

■ 

Fichiers de définitions de virus pour la protection contre les virus et les logiciels 

espions. 

Se reporter à "Mode de fonctionnement des analyses antivirus et antispyware" 

à la page 71.



33 

■ 

■ 

Signatures heuristiques et listes d'applications commerciales pour la protection 

proactive contre les menaces. 

Fichiers de définitions d'IPS pour la protection contre les menaces réseau. 

Se reporter à "A propos de la gestion de la protection contre les menaces réseau" 


Les mises à jour de produit sont des améliorations sur le client installé. Les mises 

à jour de produit sont généralement créées pour prolonger la compatibilité du 

système d'exploitation ou du matériel, régler des problèmes de performance ou 

corriger des erreurs de produit. Les mises à jour de produit sont publiées en 

fonction des besoins. Le client reçoit des mises à jour de produit directement d'un 

serveur LiveUpdate. Un client géré centralement peut également recevoir des 

mises à jour de produit automatiquement d'un serveur de gestion de votre 

entreprise. 

Tableau 3-3 

Tâche 

Manières d'effectuer des mises à jour de contenu sur votre 

ordinateur 

Description 

Mise à jour de contenu sur 

planification 

Par défaut, LiveUpdate s'exécute automatiquement à 

intervalles planifiés. 

Sur un client autonome, vous pouvez désactiver ou 

modifier une planification LiveUpdate. 

Se reporter à "Mise à jour de contenu sur planification" 


Mise à jour immédiate de contenu 

Selon vos paramètres de sécurité, vous pouvez exécuter 

LiveUpdate immédiatement. 

Se reporter à "Mise à jour immédiate de contenu" 


Remarque : HTTP est pris en charge pour la communication LiveUpdate, mais 

HTTPS n'est pas pris en charge. 

Mise à jour immédiate de contenu 

Vous pouvez mettre à jour les fichiers de définition immédiatement à l'aide de 

LiveUpdate. Vous devez exécuter LiveUpdate manuellement pour les raisons 

suivantes : 

■ 

■ 

Le client a été récemment installé. 

La dernière analyse a été exécutée il y'a longtemps.

34 



■ 

Vous suspectez que votre ordinateur contient un virus. 

Se reporter à "Mise à jour de contenu sur planification" à la page 34. 

Se reporter à "Mise à jour de la protection de l'ordinateur" à la page 32. 

Pour mettre à jour votre protection immédiatement. 

◆ 

Dans le client, dans la barre latérale, cliquez sur LiveUpdate. 

LiveUpdate se connecte au serveur Symantec, recherche les mises à jour 

disponibles, puis les télécharge et les installe automatiquement. 

Mise à jour de contenu sur planification 

Vous pouvez créer une planification de sorte que LiveUpdate s'exécute 

automatiquement à intervalles planifiés. Il peut être nécessaire de planifier 

l'exécution de LiveUpdate lorsque vous n'utilisez pas votre ordinateur. 

Se reporter à "Mise à jour immédiate de contenu" à la page 33. 

Remarque : Vous pouvez configurer LiveUpdate pour s'exécuter uniquement sur 

planification si votre administrateur vous y a autorisé. 

Pour mettre à jour la protection sur planification 

1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 

2 En regard de Gestion des clients, cliquez sur Configurer les paramètres. 

3 Dans la boîte de dialogue Paramètresdegestiondesclients, cliquez sur Mises 

à jour planifiées. 

4 Sur l'onglet Mises à jour planifiées, cochez Activer les mises à jour 

automatiques. 

5 Dans la zone de groupe Fréquence, sélectionnez si vous voulez que les mises 

à jour s'exécutent chaque jour, chaque semaine ou chaque mois. 

6 Dans la zone de groupe Quand, sélectionnez le jour ou la semaine et l'heure 

où vous voulez que les mises à jour s'exécutent. 

Les paramètres de la zone de groupe Quand dépendent des paramètres de la 

zone de groupe Fréquence. 

7 Cochez Essayer pendant, puis spécifiez l'intervalle de temps pendant lequel 

le client tente d'exécuter LiveUpdate de nouveau.



35 

8 Cochez Randomiser l'heure de début sur + ou -, puis spécifiez le nombre 

d'heures ou de jours. 

Cette option définit un intervalle de temps avant ou après l'heure planifiée 

pour le démarrage de la mise à jour. 

9 Cliquez sur OK. 


Une politique de sécurité est un ensemble de paramètres de sécurité que 

l'administrateur d'un client réseau configure et déploie vers des clients. Les 

politiques de sécurité déterminent les paramètres de votre client, y compris les 

options que vous pouvez afficher et modifier. 



Les clients gérés sont connectés au serveur de gestion et reçoivent 

automatiquement les dernières politiques de sécurité. Si vous avez la difficulté 

avec l'accès au réseau, votre administrateur peut vous demander de mettre à jour 

manuellement votre fichier de politique. 

Se reporter à "Mettre à jour manuellement le fichier de politique" à la page 35. 

Mettre à jour manuellement le fichier de politique 

Les paramètres qui contrôlent la protection sur le client sont enregistrés sur 

l'ordinateur dans un fichier de politique. Le fichier de politique met à jour les 

paramètres pour la protection antivirus et antispyware, la protection contre les 

menaces réseau, la protection proactive contre les menaces et Network Access 

Control. Ce fichier de politique se met normalement à jour automatiquement. 

Cependant, vous pouvez également le mettre à jour manuellement si vous ne 

voulez pas attendre que le fichier de politique soit mis à jour. 

Remarque : Vous pouvez afficher le journal système pour vérifier que l'opération 

a mis à jour la politique avec succès. 

Se reporter à "A propos des politiques de sécurité" à la page 35. 

Se reporter à "Vérifier que des politiques ont été mises à jour" à la page 36.

36 



Pour mettre à jour le fichier de politique manuellement 

1 Dans la zone de notification Windows, cliquez avec le bouton droit de la souris 

sur l'icône client. 

2 Dans le menu contextuel, cliquez sur Mettre à jour la politique. 


Quand vous mettez à jour une politique sur le client, vous pouvez vérifier si le 

client a reçu la politique. 

Se reporter à "A propos des politiques de sécurité" à la page 35. 


Pour vérifier que les ordinateurs client ont obtenu des politiques mises à jour 

1 Sur l'ordinateur client, dans la fenêtre principale de Symantec Endpoint 

Protection, cliquez sur Afficher les journaux. 

2 Près de Gestion des clients, cliquez sur Afficher les journaux, puis cliquez 

sur Journal système. 

Vous voyez une entrée pour la mise à jour de la politique qui contient le 

numéro de série. 

Analyse immédiate de l'ordinateur 

Vous pouvez manuellement analyser l'ordinateur pour détecter des virus et des 

risques de sécurité à tout moment. Vous devez analyser votre ordinateur 

immédiatement si vous avez récemment installé le client ou si vous pensez avoir 

récemment reçu un virus. 

Sélectionnez l'élément à analyser : fichier, disquette ou tout l'ordinateur. Les 

analyses à la demande incluent l'analyse rapide et l'analyse complète. Vous pouvez 

également créer une analyse personnalisée pour exécution à la demande. 



Pour plus d'informations sur les options de chaque boîte de dialogue, cliquez sur 

Aide. 

Pour analyser l'ordinateur immédiatement 

◆ Effectuez l'une des opérations suivantes : 

■ 

Sur la page Etat du client, près de Protection antivirus et antispyware, 

cliquez sur Options > Exécuter l'analyse active.



37 

■ 

Dans le client, dans la barre latérale, cliquez sur Rechercherlesmenaces. 

Effectuez l'une des opérations suivantes : 

■ 

■ 

■ 

Cliquez sur Exécuter l'analyse active. 

Cliquez sur Exécuter l'analyse complète. 

Dans la liste d'analyses, cliquez avec le bouton droit de la souris sur 

n'importe quelle analyse, puis cliquez sur Analyser. 

L'analyse commence. Une fenêtre de progression s'affiche sur votre 

ordinateur pour afficher la progression de l'analyse et les résultats. 

Vous pouvez également interrompre ou annuler l'analyse. 

Se reporter à "Suspension et report des analyses" à la page 37. 

Pour analyser l'ordinateur à partir de Windows 

◆ 

Dans la fenêtre Poste de travail ou l'Explorateur Windows, cliquez avec le 

bouton droit de la souris sur un fichier, un dossier ou un lecteur. Cliquez 

ensuite sur Rechercher les virus. 

Cette fonction n'est pas prise en charge par les systèmes d'exploitation 64 

bits. 


La fonction de suspension permet d'interrompre une analyse à un stade quelconque 

et de la reprendre à un autre moment. Vous pouvez suspendre toute analyse que 

vous avez lancée. 

L'administrateur détermine si vous pouvez interrompre une analyse lancée par 

l'administrateur. Si l'option Suspendre l'analyse n'est pas disponible, 

l'administrateur a désactivé la fonction de suspension. Si votre administrateur a 

activé la fonction Différer, vous pouvez différer ses analyses planifiées d'un délai 

déterminé. 

Lorsqu'une analyse reprend, elle démarre là elle s'est arrêté. 

Remarque : Si vous tentez de suspendre une analyse pendant que le client analyse 

un fichier compressé, le client peut mettre plusieurs minutes à réagir à la demande 

de suspension de l'analyse.

38 



Pour interrompre une analyse que vous avez lancée 

1 Lorsque l'analyse s'exécute, dans la boîte de dialogue d'analyse, cliquez sur 

Suspendre l'analyse. 

L'analyse s'interrompt et la boîte de dialogue reste ouverte jusqu'à ce que 

vous relanciez l'analyse. 

2 Dans la boîte de dialogue d'analyse, cliquez sur Reprendre l'analyse pour 

continuer l'analyse. 

Pour interrompre ou retarder une analyse lancée par l'administrateur 

1 Pendant que l'analyse lancée par l'administrateur s'exécute, cliquez sur 

Suspendre l'analyse dans la boîte de dialogue d'analyse. 

2 Dans la boîte de dialogue Suspension d'analyse planifiée, effectuez l'une des 

opérations suivantess : 

■ 

■ 

■ 

Pour interrompre l'analyse temporairement, cliquez sur Suspendre. 

Pour retarder l'analyse, cliquez sur Différer d'une 1 heure ou Différer de 

3 heures. 

Votre administrateur spécifie le délai dont vous pouvez différer l'analyse. 

Lorsque la suspension atteint la limite, l'analyse redémarre là où elle a 

commencé. L'administrateur spécifie le nombre maximal de fois où vous 

pouvez différer l'analyse planifiée. 

Pour continuer l'analyse sans interruption, cliquez sur Continuer. 

Activation et désactivation des technologies de 

protection 

En général, vous souhaitez toujours maintenir les technologies de protection 

activées sur votre ordinateur. 

Si vous rencontrez un problème avec votre ordinateur client, vous pouvez vouloir 

désactiver temporairement toutes les technologies de protection ou différentes 

technologies de protection. Par exemple, si une application s'exécute pas ou ne 

s'exécute pas correctement, vous pouvez désactiver la protection contre les 

menaces réseau. 

Si des problèmes persistent après la désactivation de toutes les technologies de 

protection, alors le problème ne provient pas du client. 

Tableau 3-4 décrit les raisons pour lesquelles vous pouvez vouloir désactiver 

chaque technologie de protection.



39 

Tableau 3-4 

Motif de désactivation d'une technologie de protection 

Technologie de protection 

Protection antivirus et 

antispyware 

Motif de désactivation de la technologie de protection 

Si vous désactivez cette protection, vous désactivez 

Auto-Protect uniquement. Les analyses planifiées ou de 

démarrage s'exécutent toujours si vous ou votre 

administrateur les avez configurées de la sorte. 

Vous ou l'administrateur pouvez activer ou désactiver 

Auto-Protect pour les raisons suivantes : 

■ 

■ 

■ 

■ 

Auto-Protect peut vous empêcher d'ouvrir un document. 

Par exemple, si vous ouvrez Microsoft Word contenant 

un macro, Auto-Protect peut empêcher son ouverture. 

Si vous le document est sécurisé, vous pouvez 

désactiver Auto-Protect. 

Il peut arriver que les alertes d'Auto-Protect ne sont 

pas dues à un virus. Par exemple, vous pouvez obtenir 

un avertissement lorsque vous installez de nouveaux 

applications d'ordinateur. Si vous prévoyez d'installer 

des applications et voulez éviter l'avertissement, vous 

pouvez désactiver Auto-Protect temporairement. 

Auto-Protect peut gêner le remplacement du pilote de 

Windows. 

Auto-Protect peut ralentir l'ordinateur client. 

Se reporter à "Activation ou désactivation de Auto-Protect" 


Protection proactive contre les 

menaces 

Vous pouvez désactiver la protection proactive contre les 

menaces pour les raisons suivantes : 

■ 

■ 

Trop d'avertissements apparaissent sur des menaces 

qui ne le sont pas en fait. 

La protection proactive contre les menaces peut ralentir 

l'ordinateur client. 

Se reporter à "Activation ou désactivation de la protection 

proactive contre les menaces" à la page 43.

40 



Technologie de protection 

Protection contre les menaces 

réseau 

Motif de désactivation de la technologie de protection 

Vous pouvez désactiver la protection contre les menaces 

réseau pour les raisons suivantes : 

■ 

■ 

■ 

■ 

Vous installez une application que le pare-feu peut 

bloquer. 

Une règle de filtrage ou un paramètre de pare-feu 

bloque une application due une erreur de 

l'administrateur. 

Le pare-feu ou le système de prévention d'intrusion 

entraîne des problèmes de connectivité réseau. 

Le pare-feu peut ralentir l'ordinateur client. 

Se reporter à "Activation ou désactivation de la protection 

contre les menaces réseau" à la page 42. 

Se reporter à "Activation ou désactivation des paramètres 

de prévention des intrusions" à la page 138. 

Avertissement : Assurez-vous d'activer des protections à la fin votre tâche de 

dépannage pour que votre ordinateur reste protégé. 

Si les technologies de protection posent un problème avec une application, il est 

préférable de créer une exception au lieu de désactiver la protection de façon 

permanente 

Se reporter à "A propos de l'exclusion des éléments de l'analyse" à la page 89. 

Si l'une des protections est désactivée : 

■ 

■ 

La barre d'état en haut de la page Etat est rouge. 

L'icône du client s'affiche avec un signe de négation, un cercle rouge barré par 

une diagonale. L'icône client s'affiche sous forme de bouclier entier dans la 

barre des tâches, dans le coin inférieur droit du bureau Windows. Dans certaines 

configurations, l'icône ne s'affiche pas. 


Sur un client géré centralement, l'administrateur peut activer toute protection à 

tout moment. 

Pour activer des technologies de protection à partir de la page Etat 

◆ 

Sur le client, en haut de la page Etat, cliquez sur Corriger ou Réparer tout.



41 

Pour activer ou désactiver les technologies de protection à partir de la barre des 

tâches 

◆ 

Sur le bureau Windows, dans la zone de notification, cliquez sur l'icône client 

avec le bouton droit de la souris, puis effectuez l'une des actions suivantes : 

■ 

■ 

Cliquez sur Activer Symantec Endpoint Protection. 

Cliquez sur Désactiver Symantec Endpoint Protection. 

Se reporter à "Activation, désactivation et configuration de la protection contre 

les interventions" à la page 44. 

Activation ou désactivation de Auto-Protect 

Vous pouvez activer ou désactiver File System Auto-Protect des fichiers et 

processus, du courrier électronique et des applications de logiciels de groupes de 

courriers électroniques. Lorsqu'un type d'Auto-Protect est désactivé, l'état de 

protection antivirus et antispyware s'affiche en rouge sur la page Etat. 

Lorsque vous cliquez sur l'icône avec le bouton droit de la souris, une coche 

s'affiche à côté de la case à cocher Activer Auto-Protect lorsque Auto-Protect pour 

les fichiers et les processus est activé. 

Se reporter à "Activation et désactivation des technologies de protection" 


Remarque : Sur un client géré centralement, l'administrateur peut verrouiller 

Auto-Protect pour vous empêcher de le désactiver. L'administrateur peut également 

spécifier que vous pouvez désactiver Auto-Protect temporairement, mais que 

Auto-Protect se réactive automatiquement après un délai spécifié.. 

Si vous n'avez pas modifié les paramètres des options par défaut, Auto-Protect 

se charge au démarrage de l'ordinateur pour vous protéger contre les virus et les 

risques de sécurité. Auto-Protect recherche les virus et les risques de sécurité 

dans les programmes qui s'exécutent. Il surveille également l'ordinateur pour 

toute activité pouvant indiquer la présence d'un virus ou d'un risque de sécurité. 

Lorsqu'un virus, une activité suspecte (comportement pouvant signaler la présence 

d'un virus) ou un risque de sécurité est détecté, Auto-Protect vous alerte. 

Pour activer ou désactiver Auto-Protect pour le système de fichiers 

◆ 

Dans le client, sur la page Etat, à côté de Protection antivirus et antispyware, 

faites une des actions suivantes :

42 



Pour activer ou désactiver Auto-Protect pour le courrier électronique 

1 Dans la barre latérale du client, cliquez sur Changer les paramètres. 

2 Près de Protection antivirus et antispyware, cliquez sur Configurer les 

paramètres. 


■ 

■ 

■ 

Sur l'onglet Auto-ProtectpourlecourrierélectroniqueInternet, cochez 

ou désélectionnez la case à cocher Activer Auto-Protect pour le courrier 

électronique Internet. 

Sur l'onglet Auto-Protect pour Microsoft Outlook, cochez ou décochez 

la case à cocher Activer Auto-Protect pour le courrier électronique 

Microsoft Outlook. 

Sur l'onglet Auto-Protect pour Lotus Notes, cochez ou désélectionnez la 

case à cocher Activer Auto-Protect pour Lotus Notes. 


Activation ou désactivation de la protection contre les menaces réseau 

Vous peut s'avérer nécessaire de désactiver la protection contre les menaces 

réseau si vous ne pouvez pas ouvrir une application. Si vous n'êtes pas certain 

que la protection contre les menaces réseau est à l'origine du problème, il peut 

être judicieux de désactiver toutes les technologies de protection. 

Se reporter à "Activation et désactivation des technologies de protection" 


Si vous pouvez désactiver la protection, vous pouvez la réactiver à tout moment. 

L'administrateur peut également activer et désactiver la protection à tout moment, 

même en supplantant l'état où vous avez mis la protection. 

Votre administrateur a pu fixer les limites suivantes sur la désactivation de la 

protection : 

■ 

■ 

■ 

Si le client permet tout le trafic ou tout le trafic sortant seulement. 

La durée où la protection est désactivée. 

Combien de fois vous pouvez désactiver la protection avant de redémarrer le 

client. 


Se reporter à "Bloquer et débloquer un ordinateur attaquant" à la page 139.



43 

Pour activer ou désactiver la protection contre les menaces réseau 

◆ 

Dans le client, sur la page Etat, près de Protectioncontrelesmenacesréseau, 

effectuez l'une des opérations suivantes : 

■ 

■ 

Cliquez sur Options > Activer la protection contre les menaces réseau. 

Cliquez sur Options>Désactiverlaprotectioncontrelesmenacesréseau. 

Activation ou désactivation de la protection proactive contre les 

menaces 

Il peut être nécessaire de désactiver la protection proactive contre les menaces si 

les analyses affichent de nombreux avertissements ou des faux positifs. Les faux 

positifs se produisent lorsque l'analyse détecte une application ou un processus 

comme une menace alors qu'elle(il) n'en est pas. 

La protection proactive contre les menaces est activée lorsque les paramètres 

Rechercher les chevaux de Troie et les vers et Rechercher les enregistreurs de 

frappe sont activés. Si l'un ou l'autre des paramètres est désactivé, le client affiche 

l'état de protection proactive contre les menaces comme désactivé. 

Sur un client géré centralement, l'administrateur peut verrouiller la protection 

proactive contre les menaces pour vous empêcher de la désactiver. La protection 

proactive contre les menaces est désactivée automatiquement sur les ordinateurs 

client qui exécutent Windows XP x64 Edition ou Windows Server 2000, 2003 et 

2008. 

Se reporter à "A propos des analyses proactives des menaces TruScan" à la page 101. 

Pour activer ou désactiver la protection proactive contre les menaces 

◆ 

Dans le client, sur la page Etat, près de Protection proactive contre les 

menaces, effectuez l'une des opérations suivantes : 

■ 

■ 

Cliquez sur Options>Activerlaprotectionproactivecontrelesmenaces. 

Cliquez sur Options > Désactiver la protection proactive contre les 

menaces. 


La protection contre les interventions assure une protection en temps réel des 

applications Symantec. Elle contrecarre les attaques par le code malveillant tel 

que des vers, des chevaux de Troie, des virus et des risques de sécurité. 

Vous pouvez configurer la protection contre les interventions pour prendre les 

mesures suivantes :

44 


Activation, désactivation et configuration de la protection contre les interventions 

■ 

■ 

Bloquer les tentatives d'intervention et consigner l'événement 

Consigner l'événement d'intervention mais sans interférer avec l'événement 

La protection contre les interventions est activé pour les clients réseau et les 

clients autonomes, à moins que votre administrateur n'ait modifié les paramètres 

par défaut. Quand la protection contre les interventions détecte une tentative 

d'intervention, la mesure qu'elle prend par défaut est de consigner l'événement 

dans le journal de protection contre les interventions. Vous pouvez configurer la 

protection contre les interventions pour afficher une notification sur votre 

ordinateur quand elle détecte une tentative d'intervention. Vous pouvez 

personnaliser le message. La protection contre les interventions ne vous informe 

pas sur les tentatives d'intervention, à moins que vous n'activiez cette 

fonctionnalité. 

Si vous utilisez un client autonome, vous pouvez modifier vos paramètres 

Protection contre les interventions. Si vous utilisez un client géré, vous pouvez 

modifier ces paramètres si votre administrateur le permet. 

Lorsque vous utilisez Symantec Endpoint Protection pour la première fois, il est 

conseillé d'ignorer l'action par défaut Consigner l'événement uniquement tout 

en contrôlant les journaux une fois la semaine. Lorsque vous êtes certain qu'aucun 

faux positif n'est présent, définissez la protection contre les interventions sur 

Bloquer et consigner l'événement. 

Remarque : Si vous utilisez un analyseur de risque de sécurité tiers qui détecte et 

modifie les logiciels publicitaires et spywares indésirables, l'analyseur affecte 

typiquement les processus de Symantec. Si la protection contre les interventions 

est activée tandis que vous exécutez un analyseur tiers, la protection contre les 

interventions génère un grand nombre de notifications et d'entrées de journal. 

Une pratique d'excellence est de laisser toujours la protection contre les 

interventions activée et d'utiliser le filtrage de journal si le nombre d'événements 

généré est trop grand. 

Se reporter à "Activation, désactivation et configuration de la protection contre 

les interventions" à la page 44. 

Activation, désactivation et configuration de la 

protection contre les interventions 

Vous pouvez activer ou désactiver la protection contre les interventions. Si la 

protection contre les interventions est activée, vous pouvez choisir l'action que 

celle-ci doit effectuer lorsqu'elle détecte une tentative d'intervention sur les


Activation, désactivation et configuration de la protection contre les interventions 

45 

composants logiciels Symantec. Vous pouvez également configurer la protection 

contre les interventions pour qu'elle affiche un message pour vous informer des 

tentatives d'intervention. Pour personnaliser le message, vous pouvez utiliser les 

variables prédéfinies que la protection contre les interventions remplacera par 

les informations correspondantes. 

Remarque : Si un administrateur gère votre ordinateur et que ces options affichent 

un cadenas, vous ne pouvez pas modifier ces options car l'administrateur les a 

verrouillées. 

Pour plus d'informations sur les variables prédéfinies, cliquez sur Aide dans 

l'onglet Protection contre les interventions. 

Se reporter à "A propos de la protection contre les interventions" à la page 43. 

Pour activer ou désactiver la protection contre les interventions 

1 Dans la barre latérale de la fenêtre principale, cliquez sur Changer les 

paramètres. 

2 Près de Gestion des clients, cliquez sur Configurer les paramètres. 

3 Sur l'onglet Protection contre les interventions, cochez ou désélectionnez la 

case Protéger les logiciels de sécurité Symantec contre les interventions 

ou interruptions. 


Pour configurer Protection contre les interventions 

1 Dans la barre latérale de la fenêtre principale, cliquez sur Changer les 

paramètres. 

2 A côté de Gestion des clients, cliquez sur Configurer les paramètres. 

3 Sur l'onglet Protection contre les interventions, dans la zone de liste 

Opération à effectuer si une application tente de modifier ou d'arrêter le 

logicieldesécuritéSymantec, cliquez sur Bloqueretconsignerl'événement 

ou Consigner l'événement uniquement. 

4 Pour être informé de tout comportement suspect que la protection contre les 

interventions pourrait détecter, cochez la case Afficher un message de 

notification si une intervention est détectée. 

Si vous activez ces messages de notification, vous pouvez recevoir des 

notifications au sujet des processus Windows et des processus Symantec. 

5 Pour personnaliser le message qui s'affiche, modifiez le texte dans le champ 

du message. 

6 Cliquez sur OK.

46 




Vous pouvez tester l'efficacité de votre ordinateur face aux menaces extérieures 

et de virus en l'analysant. Cette analyse est une étape importante pour s'assurer 

que votre ordinateur est protégé des intrus possibles. Les résultats peuvent vous 

aider à définir diverses options sur le client pour protéger votre ordinateur contre 

les attaques. 

Pour tester le degré de sécurité de votre ordinateur 

1 Dans le client, dans la barre latérale, cliquez sur Etat. 

2 Près de Protection contre les menaces réseau, cliquez sur Options > Afficher 

l'activité réseau… 

3 Cliquez sur Outils > Tester la sécurité réseau. 

4 Sur le site Web de Symantec Security Check, faites l'une des opérations 

suivantes : 

■ 

■ 

Pour rechercher des menaces en ligne, cliquez sur Analyse de sécurité. 

Pour rechercher des virus, cliquez sur Détection de virus. 

5 Dans la boîte de dialogue Contrat de licence utilisateur final, cliquez sur 

J'accepte et puis cliquez sur Suivant. 

Si vous avez cliquer sur Détection de virus dans l'étape 4, cliquez sur Je suis 

d'accord, puis cliquez sur Suivant. 

Si vous voulez arrêter l'analyse à tout moment, cliquez sur Arrêter. 

6 Quand l'analyse est finie, fermez la boîte de dialogue. 

A propos des emplacements 

Un emplacement se rapporte à une politique de sécurité basée sur votre 

environnement réseau. Par exemple, si vous vous connectez au réseau de votre 

bureau en utilisant votre ordinateur portable depuis votre domicile, votre 

administrateur système peut configurer un emplacement nommé Domicile. Si 

vous utilisez l'ordinateur portable au bureau, vous pouvez utiliser un emplacement 

nommé Bureau. D'autres emplacements peuvent être un VPN, une filiale ou un 

hôtel. 

Le client commute entre ces emplacements, car les spécifications de sécurité et 

d'utilisation peuvent différer entre les environnements réseau. Par exemple, 

quand votre ordinateur portable se connecte à votre réseau de bureau, votre client 

pourrait utiliser un ensemble restrictif de politiques par votre administrateur. 

Quand il se connecte à votre réseau domestique, cependant, votre client peut



47 

utiliser une politique qui vous donne accès à plus d'options de configuration. Votre 

administrateur planifie et configure votre client en conséquence, de sorte que le 

client gère automatiquement ces différences pour vous. 

Remarque : Dans un environnement géré, vous pouvez modifier des emplacements 

seulement si votre administrateur a fourni l'accès nécessaire. 

Se reporter à "Modification d'emplacement" à la page 47. 


Vous pouvez modifier un emplacement au besoin. Par exemple, vous pourriez 

devoir passer à un emplacement qui permet à un collègue d'accéder à des fichiers 

sur votre ordinateur. La liste des emplacements disponibles est basée sur vos 

politiques de sécurité et sur le réseau actif de votre ordinateur. 

Se reporter à "A propos des emplacements" à la page 46. 

Remarque : Selon les politiques de sécurité disponibles, vous pouvez ou non avoir 

accès à plus d'un emplacement. Vous pouvez constater que quand vous cliquez 

sur un emplacement, vous ne changez pas pour cet emplacement. Cela signifie 

que votre configuration réseau n'est pas appropriée pour cet emplacement. Par 

exemple, un emplacement nommé Bureau peut être disponible seulement quand 

il détecte le réseau local du bureau. Si vous n'êtes pas actuellement sur ce réseau, 

vous ne pouvez pas changer pour cet emplacement. 

Pour modifier un emplacement 


2 Sur la page Changer les paramètres, près de Gestion des clients, cliquez sur 

Configurer les paramètres. 

3 Sur l'onglet Général, sous Options d'emplacement, sélectionnez 

l'emplacement auquel vous souhaitez passer. 



Le client utilise une icône de zone de notification pour indiquer s'il est en ligne 

ou hors ligne et si l'ordinateur client est correctement protégé. Vous pouvez cliquer

48 



avec le bouton droit de la souris sur cette icône pour afficher les commandes 

fréquemment utilisées. L'icône se trouve dans le coin inférieur droit du bureau. 

Remarque : Sur les clients gérés centralement, l'icône de zone de notification 

système ne s'affiche pas si l'administrateur l'a configurée pour être indisponible. 

Tableau 3-5 affiche les icônes d'état du client Symantec Endpoint Protection qui 

apparaissent dans la zone de notification. 

Tableau 3-5 

Icône 

Icônes d'état du client Symantec Endpoint Protection 

Description 

Le client s'exécute sans problème. Il est déconnecté ou autonome. Les clients 

autonomes ne sont pas connectés à un serveur de gestion. L'icône est un 

bouclier jaune ordinaire. 

Le client s'exécute sans problème. Il est connecté au serveur et communique 

avec lui. Tous les composants de la politique de sécurité protègent 

l'ordinateur. L'icône est un bouclier jaune avec un point vert. 

Le client rencontre un léger problème. Par exemple, les définitions de virus 

peuvent ne pas être à jour. L'icône est un bouclier jaune et un point jaune-clair 

avec un point d'exclamation noire. 

Le client ne s'exécute pas, connaît un sérieux problème ou s'est vu désactiver 

au moins une technologie de protection. Par exemple, la protection contre 

les menaces réseau peut être désactivée. L'icône est un bouclier jaune avec 

un point blanc entouré de rouge et avec une ligne rouge traversant le point. 

Tableau 3-6 affiche les icônes d'état du client Symantec Network Access Control 

qui apparaissent dans la zone de notification. 

Tableau 3-6 

Icône 

Icônes d'état du client Symantec Network Access Control 

Description 

Le client s'exécute sans problème et la vérification de l'intégrité de l'hôte 

ainsi que la mise à jour de la politique de sécurité ont réussi. Il est 

déconnecté ou autonome. Les clients autonomes ne sont pas connectés à 

un serveur de gestion. L'icône est une clé ordinaire en or. 

Le client s'exécute sans problème et la vérification de l'intégrité de l'hôte 

ainsi que la mise à jour de la politique de sécurité ont réussi. Il communique 

avec le serveur. L'icône est une clé en or avec un point vert.


Masquage et affichae de l'icône de zone de notification 

49 

Icône 

Description 

Le client a échoué à la vérification de l'intégrité de l'hôte ou n'a pas mis à 

jour la politique de sécurité. L'icône est une clé dorée avec un point rouge 

qui contient un "X" blanc. 

Se reporter à "Masquage et affichae de l'icône de zone de notification" à la page 49. 

Masquage et affichae de l'icône de zone de 

notification 

Vous pouvez masquer l'icône de zone de notification au besoin. Par exemple, vous 

pouvez la masquer pour obtenir plus d'espace sur la barre des tâches Windows. 


Remarque : Sur les clients gérés, vous ne pouvez pas masquer l'icône de zone de 

notification si votre administrateur a restreint cette fonctionnalité. 

Pour masquer ou afficher l'icône de la zone de notification 

1 Dans la fenêtre principale, dans la barre latérale, cliquez sur Changer les 

paramètres. 

2 Sur la page Changer les paramètres, de l'option Gestion des clients, cliquez 

sur Configurer les paramètres. 

3 Dans la boîte de dialogue Paramètres de gestion des clients, sur l'onglet 

Général, sous Options affichage, désélectionnez ou cochez Afficher l'icône 

de sécurité Symantec dans la zone de notification. 


A propos du fait d'empêcher un administrateur de 

redémarrer l'ordinateur 

Généralement, les administrateurs peuvent exécuter des commandes à distance 

sur l'ordinateur client. Pour des raisons de sécurité, vous pouvez devoir empêcher 

un administrateur de redémarrer l'ordinateur à distance. 

Vous devez définir une clé de registre de Windows sur l'ordinateur client, qui 

bloque toute commande de redémarrage à partir du serveur de gestion. Sur 

l'ordinateur client, vous pouvez définir la clé DisableRebootCommand sur 1. Puis,

50 


A propos du fait d'empêcher un administrateur de redémarrer l'ordinateur 

si un administrateur sélectionne la commande Redémarrerlesordinateursclient 

dans la console, l'ordinateur client ne redémarre pas.

Section 

2 

Gestion de la protection sur 

le client Symantec Endpoint 

Protection 

■ 

■ 

■ 

Chapitre 4. Gestion de la protection antivirus et antispyware 

Chapitre 5. Gestion de la protection proactive contre les menaces 

Chapitre 6. Gestion de la protection contre les menaces réseau

Chapitre 

4 

Gestion de la protection 

antivirus et antispyware 


■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

A propos des virus et des risques de sécurité 

Comment le client réagit aux virus et aux risques de sécurité 

A propos des paramètres antivirus et antispyware 

A propos de l'analyse des fichiers 

Lorsque le client détecte un virus ou un risque de sécurité 

A propos d'Auto-Protect 

Utilisation des analyses antivirus et antispyware 

Planification d'une analyse définie par l'utilisateur 

Modification et suppression d'analyses au démarrage, définies par l'utilisateur 

et planifiées 

Interprétation des résultats des analyses 

Configuration des actions pour les virus et les risques de sécurité 

Configuration des notifications pour les virus et les risques de sécurité 

A propos de l'exclusion des éléments de l'analyse 

Exclusion des éléments de l'analyse 

A propos de la prise en charge des fichiers en quarantaine 

Gestion de la quarantaine

54 

Gestion de la protection antivirus et antispyware 


■ 

■ 

Transmission d'informations sur les détections d'analyse à Symantec Security 

Response 

A propos du client et du Centre de sécurité Windows 


Le client peut effectuer l'analyse des virus et des risques de sécurité. Par défaut, 

les analyses définies par l'utilisateur et les analyses Auto-Protect recherchent les 

virus, les chevaux de Troie, les vers et toutes les catégories de risques de sécurité. 

Les analyses antivirus et antispyware détectent également les rootkits de niveau 

noyau. Les rootkits sont tous les programmes qui essayent de se masquer vis-à-vis 

du système d'exploitation d'un ordinateur et peuvent être utilisés à des fins 

malveillantes. 

Figure 4-1 

Comment les virus et les risques de sécurité attaquent un ordinateur 

Autres ordinateurs, 

partages de 

fichiers réseau 

Virus, programmes 

malveillants et 

risques de sécurité 

Internet 

Virus, 

programmes 

malveillants 

et risques de 

sécurité 

Lecteur flash 

USB 

Courrier 

électronique, 

messagerie 

instantanée 

Virus, programmes 

malveillants et 


Ordinateur client 

Tableau 4-1 décrit les types de virus et de logiciels malveillants contre lesquels 

le client se protège.



55 

Tableau 4-1 

Virus 

Virus 

Virus, chevaux de Troie et vers 

Description 

Programme ou code qui ajoutent une copie d'eux-mêmes à un autre 

programme ou document au moment de leur exécution. Toutes les 

fois que le programme infecté s'exécute ou qu'un utilisateur ouvre un 

document qui contient un virus de macro, le programme de virus joint 

s'active. Le virus peut alors s'attacher à d'autres programmes et 

documents. 

La plupart des virus produisent un effet, comme l'affichage d'un 

message à une date particulière. Certains virus sont spécifiquement 

destinés à endommager les données en détériorant des programmes, 

en supprimant des fichiers ou en reformatant des disques. 

Un virus macro est un virus enregistré dans un langage intégré dans 

une application logicielle, telle que Microsoft Word. 

chevaux de Troie 

Vers 

Programmes contenant du code malveillant déguisé ou caché dans un 

élément inoffensif, comme un jeu ou un utilitaire. 

Programmes qui se répliquent sans infecter d'autres programmes. 

Certains vers se répandent en se copiant de disque en disque, tandis 

que d'autres se reproduisent uniquement dans la mémoire afin de 

ralentir les ordinateurs. 

Tableau 4-2 décrit les types de risques de sécurité contre lesquels le client se 

protège. 

Tableau 4-2 

Risque de 

sécurité 

Robots Web 

malveillants 

Types de risques de sécurité 

Description 

Programmes qui exécutent des tâches automatisées sur Internet à des 

fins malveillantes. 

Des robots Web peuvent être utilisés pour automatiser des attaques 

sur des ordinateurs ou pour collecter des informations de sites Web. 

Menaces 

combinées 

Menaces qui combinent les caractéristiques des virus, des vers, des 

chevaux de Troie et des codes malveillants avec les vulnérabilités de 

serveur et d'Internet pour lancer, transmettre et propager une attaque. 

Les menaces combinées utilisent plusieurs méthodes et techniques 

pour se propager rapidement et causent des dommages étendus à 

travers un réseau.

56 




sécurité 

Logiciel de 

publicité 

Composeurs 

Outils de piratage 

Programmes 

plaisanterie 

Autres 

Programmes 

d'accès distant 

Spyware 

Description 

Les programmes qui collectent secrètement des informations 

personnelles par Internet et les renvoient à un autre ordinateur. Ces 

logiciels peuvent surveiller vos habitudes de navigation dans un but 

publicitaire. Ils peuvent également diffuser des contenus publicitaires. 

Programmes qui utilisent un ordinateur, sans permission ou 

connaissance de l'utilisateur, pour composer un numéro 900 ou un 

site FTP. Ces programmes augemententtypiquement les frais. 

Les programmes que le pirate utilise pour avoir l'accès non autorisé 

à l'ordinateur d'un utilisateur. Une exemple est un programme 

d'enregistrement automatique des frappes qui piste et enregistre 

chaque frappe au clavier et envoie ces informations au pirate. Le pirate 

peut ensuite effectuer des analyses de port ou de vulnérabilité. Les 

outils de piratage peuvent également servir à créer des virus. 

Programmes qui altèrent ou interrompent le fonctionnement d'un 

ordinateur d'une manière qui se veut amusante ou effrayante. Par 

exemple, un programme téléchargé depuis un site Web, dans un 

courrier électronique ou dans un programme de messagerie 

instantanée. Il peut alors éloigner la Corbeille de la souris quand 

l'utilisateur essaye de la vider. Il peut également inverser les boutons 

de la souris. 

Tous autres risques de sécurité qui ne se conforment pas aux 

définitions strictes des virus, des chevaux de Troie, des vers ou d'autres 

catégories de risque de sécurité. 

Programmes permettant d'accéder à Internet à partir d'un autre 

ordinateur afin d'obtenir des informations ou d'attaquer ou d'altérer 

votre ordinateur. Vous pourriez installer un programme légitime 

d'accès à distance. Un processus pourrait installer ce type d'application 

sans votre connaissance. Le programme peut être utilisé à des fins 

malveillantes avec ou sans modification du programme d'accès à 

distance d'origine. 

Programmes pouvant surveiller secrètement les activités du système 

et détecter des mots de passe et autres informations confidentielles 

pour les retransmettre à un autre ordinateur. 

Le logiciel espion peut être téléchargé à partir des sites Web, des 

messages électroniques, des messages instantanés et des connexions 

directes par fichier. En outre, un utilisateur peut à son insu recevoir 

le logiciel espion en acceptant un contrat de licence utilisateur final 

d'un logiciel.


Comment le client réagit aux virus et aux risques de sécurité 

57 


sécurité 

logiciel de suivi 

Description 

Applications autonomes ou ajoutées qui suivent l'itinéraire d'un 

utilisateur sur Internet et envoient les informations au système cible. 

Par exemple, l'application peut être téléchargée depuis un site Web, 

dans un courrier électronique ou dans un programme de messagerie 

instantanée. Elle peut ensuite obtenir des informations confidentielles 

concernant le comportement de l'utilisateur. 

Par défaut, les analyses effectuent les opérations suivantes : 

■ 

■ 

Détection, élimination et réparation des effets secondaires des virus, des vers, 

des chevaux de Troie et des menaces combinées. 

Détection, suppression et réparation des effets secondaires des risques de 

sécurité, tels que les logiciels publicitaires, composeurs, outils de piratage, 

programmes blague, programmes d'accès à distance, spywares, logiciels de 

suivi et autres. 

Le site Web de Symantec Security Response fournit les informations les plus 

récentes sur les menaces et les risques de sécurité. Ce site contient également des 

données de référence exhaustives, comme des documents techniques, et des 

informations détaillées concernant les virus et les risques de sécurité. 

Comment le client réagit aux virus et aux risques de 

sécurité 

Le client protège les ordinateurs contre les virus et les risques de sécurité de toutes 

origines. Les ordinateurs sont protégés contre les virus et les risques de sécurité 

qui se propagent à partir des disques durs et des disquettes, et contre les virus 

qui sont transmis sur les réseaux. Les ordinateurs sont également protégés contre 

les virus et les risques de sécurité qui se propagent à partir des pièces jointes à 

des messages électroniques ou d'autre manière. Par exemple, un risque de sécurité 

peut s'installer sur votre ordinateur à votre insu lorsque vous accédez à Internet. 

Les fichiers contenus dans des fichiers compressés sont analysés et nettoyés des 

virus et risques de sécurité. Aucun programme distinct ou changement d'option 

n'est nécessaire pour les virus se propageant sur Internet. Auto-Protect analyse 

automatiquement les programmes décompressés et les fichiers de documents lors 

de leur téléchargement. 

Quand le client détecte un virus, il essaye par défaut de nettoyer le virus à partir 

du fichier infecté. Le client essaye également de réparer les effets du virus. Si le 

client nettoie le fichier, il supprime complètement le risque de votre ordinateur.

58 



Si le client ne peut pas nettoyer le fichier, il le déplace vers la quarantaine. Le 

virus ne peut pas se propager depuis la quarantaine. 

Quand vous mettez à jour votre ordinateur avec de nouvelles définitions de virus, 

le client vérifie automatiquement la quarantaine. Vous pouvez réanalyser les 

éléments en quarantaine. Les dernières définitions peuvent peut-être nettoyer 

ou réparer les fichiers précédemment mis en quarantaine. 

Remarque : Votre administrateur peut choisir d'analyser automatiquement les 

fichiers en quarantaine. 

Par défaut, pour des risques de sécurité, le client met en quarantaine les fichiers 

infectés. Le client ramène également les informations système que le risque de 

sécurité a modifiées à leur état précédent. Certains risques de sécurité ne peuvent 

être complètement supprimés sans provoquer l'échec d'un autre programme de 

votre ordinateur, tel qu'un navigateur Web. Vos paramètres antivirus et de 

protection antispyware peuvent ne pas traiter le risque automatiquement. Dans 

ce cas, le client vous interroge avant d'arrêter un processus ou de redémarrer 

votre ordinateur. Vous pouvez également configurer vos paramètres pour utiliser 

l'action Consigner pour les risques de sécurité. 

Quand le logiciel client découvre des risques de sécurité, il inclut un lien vers 

Symantec Security Response dans la fenêtre d'analyse. Sur le site Web de Symantec 

Security Response vous pouvez en apprendre davantage sur le risque de sécurité. 

Votre administrateur système peut également vous envoyer un message 

personnalisé. 


Le client inclut par défaut les paramètres antivirus et antispyware appropriés 

pour la plupart des utilisateurs. Vous pouvez modifier les paramètres pour les 

personnaliser pour votre réseau de sécurité. Vous pouvez personnaliser des 

paramètres de politique pour les analyses Auto-Protect, planifiées, au démarrage 

et à la demande. 

Les paramètres contre les virus et les spywares incluent les paramètres suivants : 

■ 

■ 

Eléments à analyser 

Mesures à prendre si un virus ou un risque de sécurité est détecté



59 


Les analyses antivirus et antispyware analysent tous les types de fichier par défaut. 

Les analyses planifiées, au démarrage et à la demande examinent également tous 

les types de fichier par défaut. 

Vous pouvez choisir d'analyser les fichiers selon leur extension, mais vous réduisez 

votre protection contre les virus et les risques de sécurité. Si vous sélectionnez 

des extensions de fichier pour l'analyse, Auto-Protect peut déterminer le type 

d'un fichier même si un virus modifie l'extension du fichier. 

Se reporter à "Configuration d'Auto-Protect pour déterminer les types de fichier 

à analyser" à la page 66. 

Vous pouvez également choisir d'exclure de l'analyse des fichiers spécifiques. Par 

exemple, vous pourriez savoir qu'un fichier ne déclenche pas une alerte virale 

pendant une analyse. Vous pouvez exclure le fichier de vos analyses ultérieures. 

Lorsque vos applications de messagerie utilisent un seul fichier de 

boîte de réception 

Si votre application de messagerie électronique enregistre tout le courrier dans 

un unique fichier, vous devriez créer une exception centralisée pour exclure le 

fichier de boîte de réception des analyses. Les applications de messagerie qui 

enregistrent tout le courrier électronique dans un unique fichier de boîte de 

réception incluent Outlook Express, Eudora, Mozilla et Netscape. Le client pourrait 

être configuré pour mettre en quarantaine un virus qu'il détecte. Si le client détecte 

le virus dans le fichier de boîte de réception, il met en quarantaine la boîte de 

réception toute entière. Si le client met en quarantaine la boîte de réception, vous 

ne pouvez plus accéder à votre courrier électronique. 

Symantec ne recommande pas habituellement d'exclure des fichiers des analyses. 

Cependant, quand vous excluez le fichier de boîte de réception des analyses, le 

client peut toujours détecter les virus quand vous ouvrez des messages. Si le client 

trouve un virus quand vous ouvrez un message, il peut sans risque mettre en 

quarantaine ou supprimer le message. 

Vous pouvez exclure le fichier en configurant une exception centralisée. 

A propos de l'analyse par extension 

Le client peut analyser votre ordinateur selon les extensions. 

Vous pouvez choisir parmi différents types de fichier :

60 



Fichiers de 

document 

Fichiers de 

programme 

Ce type de fichier comprend les documents Microsoft Word et Excel, 

ainsi que les fichiers de modèle qui leur sont associés. Le client 

recherche les infections de virus de macro dans les documents. 

Ce type de fichier comprend les fichiers .dll (Dynamic Link 

Library - Bibliothèque de liaisons dynamiques), les fichiers batch 

(.bat), les fichiers de commandes (.com), les fichiers exécutables 

(.exe) et tout autre fichier programme. Le client recherche les 

infections de virus dans les fichiers programme. 

Pour ajouter des extensions de fichier à la liste d'analyses Auto-Protect 



paramètres. 

3 Dans la boîte de dialogue Paramètresdeprotectionantivirusetantispyware, 

sous l'onglet Auto-Protectpourlesystèmedefichiers, sous Typesdefichier, 

cliquez sur Sélection. 

4 Cliquez sur Extensions. 

5 Dans la zone de texte, tapez l'extension à ajouter, puis cliquez sur Ajouter. 

6 Répétez l'étape 5 de manière appropriée, puis cliquez sur OK. 


Pour ajouter des extensions de fichier à la liste d'analyses pour une analyse à la 

demande, planifiée ou au démarrage 

1 Dans le client, dans la barre latérale, cliquez sur Rechercher les menaces. 

2 Cliquez avec le bouton droit de la souris sur l'analyse pour laquelle vous 

voulez ajouter des extensions de fichier, puis sélectionnez Edition. 

Les modifications ne s'appliquent qu'à l'analyse sélectionnée. 

3 Dans l'onglet Options d'analyse, sous Types de fichier, sélectionnez 

Extensions sélectionnées, puis cliquez sur Extensions. 

4 Saisissez l'extension à ajouter, puis cliquez sur Ajouter. 

5 Répétez l'étape 4 de manière appropriée, puis cliquez sur OK. 


A propos de l'analyse de tous les types de fichier 

Le client peut analyser tous les fichiers de l'ordinateur, quelle que soit leur 

extension. L'analyse de tous les fichiers assure la protection la plus complète. Elle


Lorsque le client détecte un virus ou un risque de sécurité 

61 

prend davantage de temps que l'analyse par extension, mais vous assure une 

meilleure protection contre les virus et les risques de sécurité. 

A propos de la protection contre les virus de macro 

Le client détecte et supprime automatiquement la plupart des virus de macro de 

Microsoft Word et d'Excel. Quand vous exécutez régulièrement des analyses 

planifiées, vous pouvez protéger votre ordinateur des infections de virus de macro. 

Auto-Protect recherche et nettoie régulièrement tous les virus de macro qu'il 

détecte. 

Pour une protection optimale contre les virus de macro, procédez comme suit : 

■ 

■ 

■ 

Activez Auto-Protect. 

Auto-Protect analyse constamment les fichiers qui ont été accédés ou modifiés. 

Activez Auto-Protect pour votre messagerie électronique, si cette fonctionnalité 

est disponible. 

Protégez vos fichiers de modèle globaux en désactivant les macros 

automatiques. 

Lorsque le client détecte un virus ou un risque de 

sécurité 

Quand les virus et les risques de sécurité infectent des fichiers, le client réagit 

aux types de risque de différentes manières. Pour chaque type de risque, le client 

utilise une première action, puis applique une deuxième action si la première 

action échoue. 

Par défaut, quand le client détecte un virus, il essaye d'abord d'éliminer le virus 

du fichier infecté. Puis, si le client ne peut pas nettoyer le fichier, il consigne 

l'échec et déplace le fichier infecté vers la Quarantaine. 

Par défaut, quand le client détecte un risque de sécurité, il le met en quarantaine. 

Il essaye également de supprimer ou réparer toutes les modifications que le risque 

de sécurité a apportées. Si le client ne peut pas mettre en quarantaine un risque 

de sécurité, il consigne le risque et le laisse inchangé. 

Remarque : Dans la Quarantaine, le risque ne peut pas se propager. Quand un 

client déplace un fichier vers la Quarantaine, vous n'avez plus accès au fichier. 

Le client peut également inverser ses modifications pour les éléments qu'il met 

en quarantaine.

62 



Pour chaque type d'analyse, vous pouvez modifier les paramètres pour la façon 

dont le client traite les virus et les risques de sécurité. Vous pouvez définir 

différentes actions pour chaque catégorie de risque et pour des risques de sécurité 

individuels. 

Remarque : Dans certains cas, vous pouvez inconsciemment installer une 

application incluant un risque de sécurité tel qu'un logiciel publicitaire ou un 

spyware. Si Symantec a déterminé que mettre en quarantaine le risque ne nuit 

pas à l'ordinateur, alors le client met le risque en quarantaine. Si le client met le 

risque en quarantaine immédiatement, son action peut laisser l'ordinateur dans 

un état instable. Au lieu de cela, le client attend que l'installation d'application 

soit terminée avant de mettre le risque en quarantaine. Il répare ensuite les effets 

du risque. 


Auto-Protect est votre meilleure défense contre les attaques virales. Chaque fois 

que vous accédez à un fichier, que vous le copiez, l'enregistrez, le déplacez ou 

l'ouvrez, Auto-Protect l'analyse pour vérifier qu'il ne contient aucun virus. 

Auto-Protect analyse les extensions de fichier qui contiennent un code exécutable 

et tous les fichiers .exe et .doc. Auto-Protect peut déterminer le type d'un fichier 

même lorsqu'un virus en modifie l'extension. Par exemple, un virus pourrait 

modifier une extension de fichier pour une autre, différente des extensions de 

fichier que vous avez configuré Auto-Protect pour analyser. 

Vous pouvez activer ou désactiver Auto-Protect si votre administrateur ne 

verrouille pas le paramètre. 

A propos d'Auto-Protect et des risques de sécurité 

Par défaut, Auto-Protect effectue les actions suivantes : 

■ 

■ 

■ 

Il recherche les risques de sécurité tels que les logiciels publicitaires et les 

spywares. 

Met en quarantaine les fichiers infectés 

Supprime ou répare les effects secondaires des risques de sécurité 

Vous pouvez désactiver l'analyse des risques de sécurité dans Auto-Protect. 

Se reporter à "Désactivation et activation de l'analyse et du blocage des risques 

de sécurité dans Auto-Protect" à la page 67.



63 

Si Auto-Protect détecte un processus qui télécharge continuellement un risque 

de sécurité vers votre ordinateur, Auto-Protect affiche une notification et consigne 

la détection. (Auto-Protect doit être configuré pour envoyer des notifications.) Si 

le processus continue à télécharger le même risque de sécurité, des notifications 

multiples apparaissent sur l'ordinateur et Auto-Protect consigne des événements 

multiples. Pour empêcher des notifications et des événements consignés multiples, 

Auto-Protect cesse automatiquement d'envoyer des notifications au sujet du risque 

de sécurité après trois détections. Auto-Protect arrête également de consigner 

l'événement après trois détections. 

Dans quelques situations, Auto-Protect n'arrête pas d'envoyer des notifications 

et de consigner des événements pour le risque de sécurité. 

Auto-Protect continue à envoyer des notifications et à consigner des événements 

quand l'une des situations suivantes est vraie : 

■ 

■ 

Sur les ordinateurs client, l'administrateur ou vous-même avez désactivé le 

blocage de l'installation des risques de sécurité (le paramètre par défaut est 

activé). 

L'action pour le type de risque de sécurité des téléchargements de processus 

est Ignorer. 

A propos d'Auto-Protect et de l'analyse de messagerie 

Auto-Protect analyse également des clients de messagerie "groupware" pris en 

charge. 

Les clients de messagerie suivants sont protégés : 

■ Lotus Notes 4.5x, 4.6, 5.0 et 6.x 

■ 

Microsoft Outlook 98/2000/2002/2003/2007 (MAPI et Internet) 

■ Microsoft Exchange client 5.0 et 5.5 

Remarque : Auto-Protect fonctionne uniquement avec votre client de messagerie 

pris en charge. Il ne protège pas les serveurs de messagerie. 

Auto-Protect analyse également des programmes de messagerie électronique 

supplémentaires en surveillant tout le trafic qui utilise les protocoles de 

communication POP3 ou SMTP. Vous pouvez configurer le logiciel client pour 

analyser les risques dans les messages entrants et sortants. L'analyse des messages 

sortants contribue à empêcher la diffusion des menaces qui utilisent des clients 

de messagerie pour se répliquer et se distribuer à travers un réseau.

64 



Remarque : L'analyse de la messagerie Internet n'est pas prise en charge sur les 

ordinateurs 64 bits. 

Pour l'analyse des courriers électroniques Lotus Notes et Microsoft Exchange, 

Auto-Protect analyse seulement les pièces jointes associées au courrier 

électronique. 

Pour l'analyse des messages électroniques Internet utilisant les protocoles POP3 

ou SMTP, Auto-Protect analyse les éléments suivants : 

■ 

■ 

Le corps du message 

Toutes les pièces jointes au message 

Quand vous ouvrez un message avec une pièce jointe, la pièce jointe est 

immédiatement téléchargée sur votre ordinateur et analysée quand les conditions 

suivantes sont vraies : 

■ 

■ 

Vous utilisez le client Microsoft Exchange ou Microsoft Outlook au-dessus de 

MAPI. 

Auto-Protect est activé pour le courrier électronique. 

Avec une connexion lente, le téléchargement de messages avec des pièces jointes 

volumineuses peut dégrader les performances de la messagerie. Vous pouvez 

désactiver cette fonction si vous recevez souvent des pièces jointes de grande 

taille. 

Se reporter à "Désactivation et activation de l'analyse et du blocage des risques 

de sécurité dans Auto-Protect" à la page 67. 

Remarque : Si un virus est détecté lorsque vous ouvrez un message électronique, 

l'ouverture de celui-ci peut demander quelques secondes, le temps que Symantec 

AntiVirus en termine l'analyse. 

L'analyse du courrier électronique ne prend pas en charge les clients de messagerie 

suivants : 

■ 

■ 

■ 

Clients IMAP 

Clients AOL 

Courrier électronique Web tel que Hotmail, Yahoo! Mail et GMAIL



65 

Désactivation du traitement par Auto-Protect des connexions de 

messagerie chiffrées 

Vous pouvez envoyer et recevoir du courrier électronique sur un lien sécurisé. 

Par défaut, Auto-Protect pour le courrier électronique Internet prend en charge 

les mots de passe chiffrés et le courrier électronique POP3 et SMTP. Si vous utilisez 

POP3 ou SMTP avec Secure Sockets Layer (SSL), le client détecte les connexions 

sécurisées mais n'analyse pas les messages chiffrés. 

Quoiqu'Auto-Protect n'analyse pas le courrier électronique qui utilise des 

connexions sécurisées, Auto-Protect continue à protéger des ordinateurs des 

risques présents dans les pièces jointes. Auto-Protect analyse les pièces jointes 

de messagerie lorsque vous les enregistrez sur le disque dur. 

Remarque : Pour des raisons de performance, Auto-Protect pour le courrier 

électronique Internet pour POP3 n'est pas pris en charge sur les systèmes 

d'exploitation serveur. 

Si nécessaire, vous pouvez désactiver le traitement des messages électroniques 

chiffrés. Quand ces options sont désactivées, Auto-Protect analyse le courrier 

électronique non chiffré envoyé ou reçu, mais bloque les messages chiffrés. Si 

vous activez les options, puis essayez d'envoyer du courrier électronique chiffré, 

Auto-Protect bloque le courrier électronique jusqu'à ce que vous redémarriez 

votre application de messagerie. 

Remarque : Si vous désactivez les connexions chiffrées pour Auto-Protect, la 

modification n'entre en vigueur que lorsque vous avez fermé ou rouvert la session 

Windows. Si vous devez être sûr que votre modification prend effet 

immédiatement, fermez la session et rouvrez-la. 

Pour désactiver le traitement par Auto-Protect des connexions de messagerie 

chiffrées 



paramètres. 

3 Sur l'onglet Messagerie électronique Auto-Protect, cliquez sur Avancé. 

4 Sous Paramètres de connexion, supprimez la coche Autoriserlesconnexions 

POP3 chiffrées et Autoriser les connexions SMTP chiffrées. 

5 Cliquez sur OK.

66 



Affichage des statistiques d'analyse d'Auto-Protect 

Les statistiques d'analyse d'Auto-Protect affichent l'état de la dernière analyse, 

le dernier fichier analysé, ainsi que des informations propres aux infections virales 

et aux risques de sécurité. 

Pour afficher les statistiques d'analyse d'Auto-Protect 

◆ 

Affichage de la liste des risques 

Dans le client, sur la page Etat, à côté de Protection 'antivirus et antispyware, 

cliquez sur Options>Afficherlesstatistiquesd'Auto-Protectpourlesystème 

de fichiers. 

Vous pouvez afficher les risques actuels que le client détecte. La liste correspond 

à vos définitions de virus actuelles. 

Pour afficher la liste des risques 

◆ 

Dans le client, sur la page Etat, à côté de Protection antivirus et antispyware, 

cliquez sur Options > Afficher la liste des menaces. 

Configuration d'Auto-Protect pour déterminer les types de fichier à 

analyser 

Par défaut, Auto-Protect analyse tous les fichiers. Vous pouvez effectuer des 

analyses plus rapides en les limitant aux fichiers portant des extensions 

spécifiques. 

Par exemple, vous pouvez analyser seulement les extensions suivantes : 

■ 

■ 

■ 

■ 

■ 

.exe 

.com 

.dll 

.doc 

.xls 

Généralement, les virus n'affectent que certains types de fichier. Cependant, si 

vous n'analysez que les fichiers portant les extensions sélectionnées, le niveau 

de protection sera inférieure car Auto-Protect n'analysera pas tous les fichiers. 

La liste des extensions par défaut représente les fichiers les plus susceptibles 

d'être infectés par des virus. 

Auto-Protect analyse les extensions de fichier qui contiennent du code exécutable 

et tous les fichiers .exe et .doc. La fonction peut également déterminer un type de



67 

fichier, même lorsqu'un virus change l'extension du fichier. Par exemple, il analyse 

les fichiers .doc même si un virus modifie l'extension. 

Pour assurer une protection maximale contre les virus et les risques de sécurité, 

il est conseillé de configurer Auto-Protect pour qu'il analyse tous les types de 

fichier. 

Pour configurer Auto-Protect pour déterminer les types de fichier à analyser 



paramètres. 

3 Dans un onglet Auto-Protect, sous Types de fichier, effectuez l'une des 

opérations suivantes : 

■ 

■ 

Cliquez sur Tous les types pour analyser tous les fichiers. 

Cliquez sur Sélection pour analyser uniquement les fichiers dont 

l'extension se trouve dans la liste, puis cliquez sur Extensions pour 

modifier la liste par défaut des extensions de fichier. 

4 Si vous avez sélectionné l'option Sélection, cochez ou supprimez la coche 

Déterminer les types de fichier en étudiant le contenu des fichiers. 


Désactivation et activation de l'analyse et du blocage des risques de 

sécurité dans Auto-Protect 

Par défaut, Auto-Protect effectue les actions suivantes : 

■ 

■ 

■ 

Il recherche les risques de sécurité tels que les logiciels publicitaires et les 

spywares. 

Il met en quarantaine les fichiers infectés. 

Il tente de supprimer ou de réparer les effets des risques de sécurité. 

Dans le cas où le blocage de l'installation d'un risque de sécurité n'affecte pas la 

stabilité de l'ordinateur, Auto-Protect bloque également l'installation par défaut. 

Si Symantec détermine que le blocage d'un risque de sécurité peut affecter la 

stabilité d'un ordinateur, la protection automatique laisse le risque ouvert. De 

plus, Auto-Protect effectue immédiatement l'opération configurée pour le risque. 

Dans certains cas, il peut être nécessaire de désactiver la recherche des risques 

de sécurité dans les analyses Auto-Protect, puis de la réactiver. Il peut également 

être nécessaire de désactiver le blocage des risques de sécurité pour contrôler le 

moment où Auto-Protect réagit à certains risques de sécurité.

68 



Remarque : Votre administrateur peut verrouiller ces paramètres. 

Pour activer/désactiver l'analyse et le blocage des risques de sécurité dans 

Auto-Protect 



paramètres. 

3 Sur l'onglet Auto-Protect pour le système de fichiers, sous Options, effectuez 

l'une des opérations suivantes : 

■ 

■ 

■ 

Cochez ou supprimez la coche Rechercher les risques de sécurité. 

Cochez ou supprimez la coche Bloquer l'installation des risques de 

sécurité. 

Cochez ou supprimez la coche Analyserlesfichierssurleslecteursréseau. 


Configuration de paramètre d'analyse réseau 

La configuration des options d'analyse réseau couvre les points suivants : 

■ 

■ 

Déterminer si Auto-Protect doit considérer comme sûrs les fichiers se trouvant 

sur des ordinateurs distants qui exécutent Auto-Protect. 

Déterminer si votre ordinateur doit utiliser un cache pour stocker un 

enregistrement des fichiers réseau analysés par Auto-Protect. 

Par défaut, Auto-Protect analyse les fichiers pendant leur écriture depuis votre 

ordinateur vers un ordinateur distant. Auto-Protect analyse également les fichiers 

pendant leur écriture à partir d'un ordinateur distant vers votre ordinateur. 

Cependant, lorsque vous lisez des fichiers se trouvant sur un ordinateur distant, 

Auto-Protect peut ne pas les analyser. Par défaut, Auto-Protect tente de faire 

confiance aux versions d'Auto-Protect se trouvant sur les ordinateurs distants. 

Si l'option de confiance est activée sur les deux ordinateurs, la version locale 

d'Auto-Protect vérifie les paramètres de la version d'Auto-Protect sur l'ordinateur 

distant. Si les paramètres de la version d'Auto-Protect se trouvant sur l'ordinateur 

distant fournissent un niveau de sécurité au moins aussi élevé que les paramètres 

de la version locale, la version locale fait confiance à la version distante. Dans le 

cas où la version locale d'Auto-Protect fait confiance à la version distante, la 

version locale n'analyse pas les fichiers lus à partir de l'ordinateur distant. 

L'ordinateur local considère que la version distante d'Auto-Protect a déjà analysé 

les fichiers.



69 

Remarque : La version locale d'Auto-Protect analyse toujours les fichiers que vous 

copiez à partir d'un ordinateur distant. 

L'option de confiance est activée par défaut. La désactivation de l'option de 

confiance peut réduire les performances réseau. 

Pour désactiver l'option de confiance dans les versions distantes d'Auto-Protect 



paramètres. 

3 Sur l'onglet Auto-Protect pour le système de fichiers, cliquez sur Avancé. 

4 Dans la boîte de dialogue Auto-Protect - Options avancées, sous Options 

avancées supplémentaires, cliquez sur Réseau. 

5 Sous Paramètres d'analyse réseau, supprimez la coche Faire confiance aux 

fichiers sur les ordinateurs distants exécutant Auto-Protect. 

6 Cliquez sur OK jusqu'à ce que vous soyiez revenu à la fenêtre principale. 

Vous pouvez configurer votre ordinateur pour qu'il utilise un cache réseau. 

Ce cache réseau stocke un enregistrement des fichiers qu'Auto-Protect a 

analysés à partir d'un ordinateur distant. En utilisant un cache réseau, vous 

empêchez Auto-Protect d'analyser le même fichier plusieurs fois. Cela permet 

d'améliorer les performances du système. Vous pouvez définir le nombre de 

fichiers (entrées) qu'Auto-Protect doit analyser et mémoriser. Vous pouvez 

également définir le délai à observer avant que votre ordinateur supprime 

les entrées du cache. Une fois que le délai a expiré, votre ordinateur supprime 

les entrées. Auto-Protect analysera les fichiers si vous les demandez de 

nouveau à l'ordinateur distant. 

Pour configurer un cache réseau 



paramètres. 

3 Dans la boîte de dialogue Paramètres de protection antivirus et antispyware, 

dans l'onglet Auto-Protect pour le système de fichiers, cliquez sur Avancé. 

4 Dans la boîte de dialogue Auto-Protect - Options avancées, sous Options 

avancées supplémentaires, cliquez sur Réseau. 

5 Dans la boîte de dialogue Paramètres d'analyse réseau, cochez ou 

désélectionnez Cache réseau.

70 



6 Si vous avez activé le cache réseau, utilisez les paramètres par défaut ou 


■ 

■ 

Saisissez le nombre de fichiers (entrées) qu'Auto-Protect doit analyser et 

mémoriser (ou utilisez les flèches pour le définir). 

Saisissez la durée en secondes pendant laquelle les entrées doivent rester 

dans le cache avant que votre ordinateur efface le cache. 

7 Cliquez sur OK jusqu'à ce que vous reveniez à la fenêtre principale. 


Auto-Protect est votre défense la plus puissante contre les infections virales et 

les risques de sécurité. En plus d'Auto-Protect, le client comprend plusieurs autres 

types d'analyses pour une protection supplémentaire. 

Tableau 4-3 décrit les types d'analyses. 

Tableau 4-3 

Type 

Analyse 

personnalisée 

Analyse rapide 

Analyse complète 

Analyse planifiée 

Analyse de 

démarrage 

Définie par 

l'utilisateur 

Types d'analyses 

Description 

Analyse un fichier, un dossier, un lecteur ou l'intégralité de 

l'ordinateur à un moment quelconque. Vous devez sélectionner les 

parties de l'ordinateur à analyser. 

Analyse rapidement la mémoire système et les emplacements 

couramment attaqués par les virus et les risques de sécurité. 

Analyse l'ordinateur complet, y compris le secteur de démarrage et 

la mémoire système. Vous pouvez être amené à saisir un mot de 

passe pour analyser les lecteurs réseau. 

S'exécute automatiquement selon une fréquence spécifiée. 

S'exécute chaque fois que vous démarrez votre ordinateur et ouvrez 

une session. 

Analyse des ensembles de fichiers spécifiés à un moment quelconque. 

Tant que Auto-Protect est activé, une analyse rapide quotidienne et une seule 

analyse hebdomadaire planifiée de tous les fichiers assurent une protection 

suffisante. Si des virus attaquent fréquemment votre ordinateur, envisagez 

d'ajouter une analyse complète au démarrage ou une analyse planifiée quotidienne. 

Vous pouvez également configurer la fréquence des analyses qui recherchent les 

comportements suspects plutôt que des risques connus.



71 

Se reporter à "Configuration de la fréquence d'exécution des analyses proactives 

des menaces TruScan" à la page 105. 

Mode de fonctionnement des analyses antivirus et antispyware 

Les analyses de protection identifient et neutralisent ou éliminent les virus et les 

risques de sécurité sur vos ordinateurs. Une analyse élimine un virus ou un risque 

à travers le processus suivant : 

■ 

■ 

Le moteur d'analyse parcoure les fichiers et d'autres composants de l'ordinateur 

pour détecter des traces de virus dans les fichiers. Chaque virus dispose d'une 

configuration reconnaissable appelée signature. Un fichier de définitions de 

virus contenant des signatures de virus connues, sans code de virus néfaste 

est installé sur l'ordinateur client. Le moteur d'analyse compare chaque fichier 

ou composant au fichier de définitions de virus. Si le moteur d'analyse trouve 

une correspondance, le fichier est infecté. 

Les fichiers de définitions permettent au moteur d'analyse de déterminer si 

un virus ou un risque a causé l'infection. Le moteur d'analyse prend alors une 

action de correction sur le fichier infecté. Pour réparer le fichier infecté, le 

client nettoie, supprime ou met le fichier en quarantaine. 

Tableau 4-4 décrit les composants que le client analyse sur l'ordinateur. 

Tableau 4-4 

Composant 

Composants de l'ordinateur analysés par le client 

Description 

Fichiers sélectionnés 

Le client analyse des fichiers individuels. Dans la plupart des types 

d'analyse, vous pouvez sélectionner les fichiers à analyser. 

Le logiciel client utilise une analyse basée sur des modèles pour 

rechercher les traces de virus dans les fichiers. Les traces des virus 

sont appelées modèles ou signatures. Chaque fichier est comparé à 

des signatures inoffensives contenues dans un fichier de définitions 

de virus, ce qui permet de détecter des virus spécifiques. 

Si un virus est détecté, le client tente, par défaut, de le supprimer 

du fichier infecté. Si le fichier ne peut pas être nettoyé, le client le 

place en quarantaine pour éviter de contaminer les autres fichiers 

de votre ordinateur. 

Le client utilise également une analyse basée sur des modèles pour 

rechercher des symptômes de risques de sécurité dans les fichiers 

et les clés de registre de Windows. Si un risque de sécurité existe, 

le client, par défaut, met les fichiers infectés en quarantaine et répare 

les effets du risque. Si le client ne peut pas mettre en quarantaine 

les fichiers, il consigne la tentative.

72 



Composant 

Mémoire de 

l'ordinateur 

Secteur de 

démarrage 

Lecteur de disquette 

Description 

Le client analyse la mémoire de l'ordinateur. Tous les virus de fichier, 

virus de secteur de démarrage et virus de macro sont susceptibles 

de résider en mémoire. Les virus qui se trouvent en mémoire se sont 

copiés eux-mêmes dans la mémoire de l'ordinateur. Un virus peut 

se dissimuler en mémoire jusqu'à ce qu'un événement déclencheur 

se produise. Le virus peut alors infecter une disquette insérée dans 

le lecteur ou s'étendre au disque dur. Si un virus est dans la mémoire, 

il ne peut pas être nettoyé. Vous pouvez toutefois supprimer un 

virus de la mémoire en redémarrant l'ordinateur quand un message 

vous le propose. 

La client recherche les virus de secteur de démarrage dans le secteur 

de démarrage de l'ordinateur. Deux éléments sont vérifiés : les tables 

de partitions et la zone d'enregistrement de démarrage principal. 

Les disquettes constituent une source courante de propagation des 

virus. Une disquette peut se trouver dans le lecteur au moment du 

démarrage ou de l'arrêt de votre ordinateur. Au démarrage d'une 

analyse, le client analyse le secteur de démarrage et les tables de 

partitions de toute disquette se trouvant dans le lecteur. Lorsque 

vous éteignez votre ordinateur, vous êtes invité à retirer la disquette 

pour éviter tout risque d'infection. 

A propos des fichiers de définitions 

Les fichiers de virus incluent des bits de code qui présentent certaines 

configurations quand ils sont décomposés. Les configurations peuvent être tracées 

dans les fichiers infectés. Les configurations sont également appelées des 

signatures. Les risques de sécurité tels que les logiciels publicitaires et les spywares, 

possèdent également des signatures reconnaissables. 

Les fichiers de définitions de virus contiennent une liste des signatures de virus 

connues, sans le code nocif du virus et les signatures connues pour les risques de 

sécurité. Le logiciel d'analyse recherche dans les fichiers de votre ordinateur les 

signatures connues incluses dans les fichiers de définitions. S'il détecte une 

correspondance de virus, le fichier est infecté. Le client utilise le fichier de 

définitions pour déterminer le virus à l'origine de l'infection et réparer ses effets 

secondaires. Si un risque de sécurité est trouvé, le client utilise les fichiers de 

définitions pour mettre le risque en quarantaine et réparer ses effets secondaires. 

De nouveaux virus et risques de sécurité apparaissent régulièrement dans la 

communauté des ordinateurs. Assurez-vous que les fichiers de définitions sur 

votre ordinateur sont à jour. Vous devez vous assurer que le client peut détecter 

et nettoyer même les virus et les risques de sécurité les plus récents.



73 

A propos de l'analyse des fichiers compressés 

Les analyses antivirus et antispyware analysent dans les fichiers compressés. Par 

exemple, les analyses examinent les fichiers à l'intérieur des fichiers .zip. Votre 

administrateur peut spécifier une analyse jusqu'à 10 niveaux de profondeur pour 

les fichiers compressés contenant d'autres fichiers compressés. Consultez votre 

administrateur pour connaître les types d'analyses pris en charge sur les fichiers 

compressés. 

Si Auto-Protect est activé, n'importe quel fichier dans un fichier compressé est 

analysé. 


Une analyse planifiée est un élément important de la protection contre les menaces 

et les risques de sécurité. Vous devriez planifier une analyse pour exécution au 

moins une fois chaque semaine pour garantir que votre ordinateur reste exempt 

de virus et de risques de sécurité. Lorsque vous créez une nouvelle analyse, celle-ci 

s'affiche dans la liste d'analyses, dans le volet Rechercher les menaces. 

Remarque : Si votre administrateur a créé une analyse planifiée, elle s'affiche dans 

la liste d'analyses, dans le volet Rechercher les menaces. 

Votre ordinateur doit être sous tension et les services Symantec Endpoint 

Protection doivent être chargés au moment planifié pour le déroulement de 

l'analyse. Par défaut, les services de Symantec Endpoint Protection sont chargés 

au redémarrage de l'ordinateur. 

Pour les clients gérés centralement, l'administrateur peut remplacer ces 

paramètres. 

Si vous planifiez plusieurs analyses pour le même ordinateur et que les analyses 

commencent en même temps, elles s'exécutent en séquence. La fin d'une analyse 

enclenche le commencement d'une autre. Par exemple, vous pouvez planifier trois 

analyses séparées pour se produire sur l'ordinateur à 13 h 00. Chaque analyse 

porte sur un lecteur différent. L'une analyse le lecteur C. Une autre le lecteur D. 

Une autre le lecteur E. Dans cet exemple, il est préférable de créer une analyse 

planifiée analysant les lecteurs C, D et E. 



Aide.

74 



Pour planifier une analyse définie par l'utilisateur 


2 Cliquez sur Créer une analyse. 

3 Dans la boîte de dialogue Créer une analyse (éléments à analyser), 

sélectionnez l'un des types d'analyse suivants à planifier : 

Analyse active 

Analyse complète 

Analyse 

personnalisée 

Analyse les zones de l'ordinateur que les virus et les risques de 

sécurité infectent le plus généralement. 

Analyse l'ordinateur entier pour rechercher les virus et les risques 

de sécurité. 

Analyse les zones sélectionnées de l'ordinateur pour rechercher 

les virus et les risques de sécurité. 

4 Cliquez sur Suivant. 

5 Si vous avez sélectionné Analyse personnalisée, cochez les cases à cocher 

appropriées pour spécifier l'élément à analyser, puis cliquez sur Suivant. 

Les symboles ont les descriptions suivantes : 

Le fichier, lecteur ou dossier n'est pas sélectionné. S'il s'agit d'un lecteur 

ou d'un dossier, son contenu (fichiers ou dossiers) n'est pas non plus 

sélectionné. 

Le fichier ou dossier individuel est sélectionné. 

Le dossier ou le lecteur individuel est sélectionné. Tous les éléments 

contenus dans le dossier ou le lecteur sont également sélectionnés. 

Le dossier ou le lecteur n'est pas sélectionné, mais un ou plusieurs des 

éléments qu'il contient le sont.



75 

6 Dans la boîte de dialogue Créeruneanalyse(optionsd'analyse), vous pouvez 

modifier l'une des options suivantes : 

Types de fichier 

Actions 

Notifications 

Avancé 

Améliorations 

de l'analyse 

Exceptions 

centralisées 

Modifier les extensions de fichier que le client analyse. Le 

paramètre par défaut consiste à analyser tous les fichiers. 

Sélectionnez l'action principale et l'action secondaire à effectuer 

quand des virus et des risques de sécurité sont détectés. 

Construisez un message à afficher quand un virus ou un risque de 

sécurité est trouvé. Vous pouvez également définir si vous voulez 

être notifié avant que les actions de remédiation n'interviennent. 

Modifiez des fonctions d'analyse supplémentaires, telles que 

l'affichage de la boîte de dialogue des résultats de l'analyse. 

Modifier les composants d'ordinateur que le client analyse. Les 

options disponibles dépendent des éléments sélectionnés dans 

l'étape 3. 

Ajouter les éléments que le client exclut de l'analyse. 


8 Dans la boîte de dialogue Créer une analyse (moment de l'analyse), cliquez 

sur Aux heures spécifiées, puis cliquez sur Suivant. 

Vous pouvez également créer une analyse à la demande ou de démarrage. 



9 Dans la boîte de dialogue Créer une analyse (planification), spécifiez la 

fréquence et le moment de l'analyse, puis cliquez sur Suivant. 

10 Dans la boîte de dialogue Créer une analyse (nom de l'analyse), saisissez un 

nom et une description de l'analyse. 

Par exemple, désignez l'analyse : vendredi matin 

11 Cliquez sur Terminer. 

Planification d'une analyse à exécuter sur demande ou quand 

l'ordinateur démarre 

Vous pouvez compléter une analyse planifiée avec une analyse automatique à 

chaque démarrage de votre ordinateur ou de votre connexion. Généralement,

76 



l'analyse au démarrage se limite aux dossiers importants et à haut risque, comme 

le dossier Windows et les dossiers contenant les modèles Word et Excel. 

Votre client inclut également une analyse au démarrage appelée analyse rapide 

générée automatiquement. L'analyse auto-générée vérifie les points d'infection 

communs sur l'ordinateur chaque fois qu'un utilisateur ouvre une session sur 

l'ordinateur. Vous pouvez modifier cette analyse de la même manière que vous 

pouvez configurer n'importe quelle analyse à la demande. Cependant, vous ne 

pouvez pas désactiver les analyses des fichiers en mémoire et les autres points 

d'infection communs sur l'ordinateur. 

Si vous analysez régulièrement le même ensemble de fichiers ou de dossiers, vous 

pouvez créer une analyse limitée aux éléments concernés. A tout moment, vous 

pouvez rapidement vérifier que les fichiers et les dossiers indiqués sont exempts 

de virus et d'autres risques de sécurité. Vous devez exécuter manuellement les 

analyses sur demande. 

Si vous créez plusieurs analyses au démarrage, elles seront exécutées dans l'ordre 

de leur création. Votre administrateur a peut-être configuré le client de sorte que 

vous ne puissiez pas créer une analyse au démarrage. 




Pour planifier une analyse à exécuter sur demande ou au démarrage de l'ordinateur 


2 Cliquez sur Créer une analyse. 

3 Suivez les étapes 3 à 7 pour créer une analyse planifiée. 

Se reporter à "Planification d'une analyse définie par l'utilisateur" à la page 73. 

4 Dans la boîte de dialogue de Créer une nouvelle analyse (moment de 

l'exécution) pour effectuer l'une des actions suivantes : 

■ 

■ 

Cliquez sur Au démarrage. 

Cliquez sur A la demande. 


6 Dans la boîte de dialogue Créer une nouvelle analyse (nom de l'analyse), 

saisissez un nom et une description pour l'analyse. 

Par exemple, désignez l'analyse : MonAnalyse1 

7 Cliquez sur Terminer.


Modification et suppression d'analyses au démarrage, définies par l'utilisateur et planifiées 

77 

Modification et suppression d'analyses au démarrage, 

définies par l'utilisateur et planifiées 

Vous pouvez modifier et supprimer des analyses au démarrage, définies par 

l'utilisateur et planifiées. Certaines options peuvent être grisées si elles ne peuvent 

être configurées pour un type d'analyse particulier. 

Pour modifier une analyse 


2 Dans la liste d'analyses, cliquez avec le bouton droit de la souris sur l'analyse 

que vous voulez modifier et puis cliquez sur Edition. 

3 Faites les modifications appropriées sur les onglets Eléments à analyser, 

Options et Général. 

Pour les analyses planifiées, vous pouvez également modifier la planification. 


Pour supprimer une analyse 


2 Dans la liste d'analyses, cliquez avec le bouton droit de la souris sur l'analyse 

que vous voulez supprimer, puis cliquez sur Supprimer. 

3 Dans la boîte de dialogue de confirmation, cliquez sur Oui. 


Toutes les fois qu'une analyse à la demande, planifiée, au démarrage ou définie 

par l'utilisateur s'exécute, le logiciel client affiche par défaut une boîte de dialogue 

d'avancement de l'analyse pour signaler la progression. En outre, Auto-Protect 

peut afficher une boîte de dialogue de résultats toutes les fois qu'il détecte un 

virus ou un risque de sécurité. Vous pouvez désactiver ces notifications. 

Dans un réseau géré de manière centralisée, la boîte de dialogue d'avancement 

d'analyse peut ne pas apparaître pour les analyses lancées par l'administrateur. 

De même, votre administrateur peut choisir de ne pas afficher les résultats quand 

le client détecte un virus ou un risque de sécurité. 

Si le client détecte des risques pendant l'analyse, la boîte de dialogue d'avancement 

d'analyse affiche des résultats avec les informations suivantes : 

■ 

■ 

Les noms des fichiers infectés 

Les noms des virus ou des risques de sécurité

78 



■ 

Les actions que le client a exécutées sur les risques 

Par défaut, vous êtes averti chaque fois qu'un virus ou un risque de sécurité est 

détecté. 

Remarque : La langue du système d'exploitation sur lequel vous exécutez le client 

peut ne pas savoir interpréter certains caractères des noms de virus. Si le système 

d'exploitation ne peut pas interpréter les caractères, les caractères apparaissent 

comme des points d'interrogation dans les notifications. Par exemple, certains 

noms de virus Unicode peuvent contenir des caractères à deux octets. Sur les 

ordinateurs qui exécutent le client sur un système d'exploitation anglais, ces 

caractères apparaissent comme des points d'interrogation. 

Si vous configurez le logiciel client pour afficher une boîte de dialogue 

d'avancement de l'analyse, vous pouvez interrompre, redémarrer ou arrêter 

l'analyse. Lorsque l'analyse est terminée, les résultats apparaissent dans la liste. 

Si aucun virus ni risque de sécurité n'a été détecté, la liste reste vide et l'état est 

Terminé. 

Se reporter à "Suspension et report des analyses" à la page 37. 

A propos de l'interaction avec les résultats d'analyse ou les résultats 

d'Auto-Protect 

La boîte de dialogue d'avancement d'analyse et la boîte de dialogue de résultats 

d'Auto-Protect comportent des options similaires. Si le client doit mettre fin à un 

processus ou une application, ou arrêter un service, le bouton Supprimer le risque 

est actif. Vous ne pouvez pas fermer la boîte de dialogue si des risques signalés 

dans cette boîte de dialogue nécessitent une interaction de votre part. 

Tableau 4-5 décrit les options de la boîte de dialogue des résultats.



79 

Tableau 4-5 

Bouton 

Options de la boîte de dialogue des résultats d'analyse 

Description 

Supprimer les risques 

maintenant 

Affiche la boîte de dialogue Eliminer le risque. 

Dans la boîte de dialogue Eliminer le risque, vous pouvez 

sélectionner l'une des options suivantes pour chaque risque : 

■ 

■ 

Oui 

Le client supprime le risque. La suppression du risque peut 

impliquer de redémarrer l'ordinateur. Les informations de la 

boîte de dialogue indiquent si un redémarrage est requis. 

Non 

Lorsque vous fermez la boîte de dialogue des résultats, une 

boîte de dialogue s'affiche. La boîte de dialogue vous rappelle 

qu'une intervention de votre part est toujours nécessaire. 

Cependant, la boîte de dialogue Eliminer le risque ne s'affiche 

plus jusqu'à ce que vous redémarriez l'ordinateur. 

Fermer 

Ferme la boîte de dialogue des résultats si aucun des risques ne 

nécessite d'intervention. 

Si vous devez exécuter une action, l'une des notifications suivantes 

s'affiche. 

■ 

■ 

■ 

Suppression de risque requise 

S'affiche quand un risque nécessite l'arrêt de processus. Si 

vous décidez de supprimer le risque, vous revenez à la boîte 

de dialogue des résultats. Si un redémarrage est nécessaire, 

les informations dans la ligne du risque dans la boîte de 

dialogue indique qu'un redémarrage est nécessaire. 

Redémarrage requis 

S'affiche quand un risque nécessite un redémarrage. 

Suppression du risque et redémarrage requis 

S'affiche lorsqu'un risque implique d'arrêter les processus et 

un autre risque nécessite un redémarrage. 

Si un redémarrage est requis, la suppression ou la réparation n'est pas terminée 

jusqu'à ce que vous redémarriez l'ordinateur. 

Dans certains cas, une intervention sur un risque peut être nécessaire, mais vous 

préférez ne pas l'effectuer sur le moment. 

Le risque peut être supprimé ou réparé ultérieurement en procédant de l'une des 

manières suivantes : 

■ 

Ouvrir le journal des risques, cliquer avec le bouton droit de la souris sur le 

risque et choisir une action.

80 



■ 

Exécuter une analyse pour détecter de nouveau le risque et rouvrir la boîte de 

dialogue des résultats. 

Vous pouvez également déclencher une action en cliquant avec le bouton droit 

de la souris sur un risque dans la boîte de dialogue et en sélectionnant une action. 

Les actions que vous pouvez effectuer dépendent des actions qui ont été 

configurées pour le type particulier de risque que l'analyse a détecté. 


Configuration des actions pour les virus et les risques 

de sécurité 

Vous pouvez configurer les actions que vous voulez que le client Symantec 

Endpoint Protection effectue quand il détecte un virus ou un risque de sécurité. 

Vous pouvez configurer une action principale et une action secondaire à effectuer 

si la première échoue. 

Remarque : Si un administrateur gère votre ordinateur et que ces options affichent 

un cadenas, vous ne pouvez pas modifier ces options car l'administrateur les a 

verrouillées. 

Vous configurez des actions pour n'importe quel type d'analyse de la même 

manière. Chaque analyse a sa propre configuration pour des actions. Vous pouvez 

configurer différentes actions pour différentes analyses. 

Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées 

dans les procédures. 

Pour configurer des actions pour les virus et les risques de sécurité 

1 Dans la barre latérale dans le client, cliquez sur Changer les paramètres. 


paramètres. 

3 Dans l'onglet Auto-Protect pour le système de fichiers, cliquez sur Actions. 

4 Dans la boîte de dialogue Actions, sélectionnez un type de virus ou de risque 

de sécurité dans l'arborescence. 

Par défaut, chaque sous-catégorie de risque de sécurité est automatiquement 

configurée pour utiliser les actions définies pour la catégorie entière de risques 

de sécurité.



81 

5 Pour configurer l'utilisation d'actions différentes pour une catégorie ou des 

instances particulières d'une catégorie, cochez Remplacer les actions 

configurées pour les risques de sécurité, puis définissez les actions qui 

concernent uniquement cette catégorie.

82 



6 Sélectionnez une action principale et une action secondaire parmi les options 

suivantes : 

Nettoyer le risque 

Supprime le virus du fichier. Il s'agit de la première action 

par défaut pour les virus. 

Remarque : Cette action est seulement disponible comme 

première action pour des virus. Cette action ne s'applique 

pas aux risques de sécurité. 

Ce paramètre devrait toujours être la première action pour 

les virus. Si le client parvient à supprimer un virus d'un 

fichier, aucune autre action n'est nécessaire. L'ordinateur ne 

contient plus de virus et ne peut plus propager le virus dans 

d'autres zones de l'ordinateur. 

Lorsque le client nettoie un fichier, il supprime le virus du 

fichier infecté, du secteur de démarrage ou des tables de 

partition infecté(es). Il empêche également le virus de se 

propager. Le client peut généralement détecter et supprimer 

un virus avant qu'il endommage l'ordinateur. Par défaut, le 

client sauvegarde le fichier. 

Toutefois, dans certains cas, le fichier nettoyé peut être 

inutilisable. Le virus peut avoir causé trop de dommages. 

Certains fichiers infectés ne peuvent pas être nettoyés. 

Mettre le risque en 

quarantaine 

Déplace le fichier infecté de son emplacement initial vers la 

zone de quarantaine. Les fichiers infectés déplacés vers la 

quarantaine ne peuvent pas en infecter d'autres. 

Pour les virus, transfère le fichier infecté de l'emplacement 

d'origine vers la quarantaine. Ce paramètre correspond à la 

seconde action par défaut exécutée pour les virus. 

Pour les risques de sécurité, le client transfère les fichiers 

infectés de l'emplacement d'origine vers la quarantaine et 

tente de supprimer ou réparer les effets induits. Ce paramètre 

correspond à la première action par défaut exécutée pour les 

risques de sécurité. 

La Quarantaine contient un enregistrement de toutes les 

actions qui ont été exécutées. Vous pouvez restaurer l'état 

de l'ordinateur qui existait avant la suppression du risque 

par le client



83 

Supprimer le risque 

Supprime le fichier infecté du disque dur de l'ordinateur. Si 

le client ne peut pas supprimer un fichier, les informations 

sur l'action exécutée par le client apparaît dans la boîte de 

dialogue Notification. Les informations apparaissent 

également dans le journal des événements. 

Utilisez cette action uniquement si vous pouvez remplacer 

le fichier par une copie de sauvegarde ne contenant aucun 

virus ou risque de sécurité. Quand le client supprime un 

risque, il le supprime de manière permanente. Le fichier 

infecté ne peut pas être récupéré depuis la Corbeille. 

Remarque : Utilisez cette action avec précaution lorsque 

vous définissez des actions pour les risques de sécurité. Dans 

certains cas, la suppression des risques de sécurité peut 

entraîner la perte de la fonctionnalité des applications. 

Conserver (consigner) 

Laisse le fichier comme est. 

Si vous utilisez cette action pour des virus, le virus reste dans 

les fichiers infectés. Le virus peut se propager à d'autres 

parties de votre ordinateur. Une entrée est insérée dans 

l'historique des risques pour conserver une trace du fichier 

infecté. 

Vous pouvez utiliser Conserver (consignation uniquement) 

comme seconde action pour les virus de macro et n'affectant 

pas les macros. 

Ne sélectionnez pas cette action lorsque vous exécutez des 

analyses automatiques à grande échelle, telles que des 

analyses planifiées. Utilisez cette action si vous voulez 

afficher les résultats d'analyse et exécuter une action 

supplémentaire plus tard. Une action supplémentaire 

pourrait être de déplacer le fichier vers la Quarantaine. 

Pour les risques de sécurité, cette action conserve le fichier 

infecté tel quel et place une entrée dans l'historique des 

risques pour conserver un enregistrement du risque. Utilisez 

cette action pour contrôler manuellement la gestion d'un 

risque de sécurité par le client. Ce paramètre est la seconde 

action par défaut des risques de sécurité. 

L'administrateur peut envoyer un message personnalisé qui 

explique comment répondre. 

Se reporter à "Astuces d'affectation d'actions secondaires pour les virus" 


Se reporter à "Astuces d'affectation d'actions secondaires pour les risques de 

sécurité" à la page 85.

84 



7 Répétez les étapes 1 et 6 pour chaque catégorie pour laquelle vous voulez 

définir des actions spécifiques, puis cliquez sur OK. 

8 Si vous sélectionniez une catégorie de risque de sécurité, vous pouvez 

sélectionner des actions personnalisées pour un ou plusieurs instances 

spécifiques de cette catégorie de risque de sécurité. Vous pouvez exclure un 

risque de sécurité de l'analyse. Par exemple, vous pourriez vouloir exclure 

un logiciel publicitaire que vous devez utiliser dans votre travail. 


Astuces d'affectation d'actions secondaires pour les virus 

Lorsque vous sélectionnez une action secondaire pour les virus, tenez compte des 

éléments suivants : 

Comment vous gérez 

les fichiers sur votre 

ordinateur. 

Si vous stockez des fichiers importants sur votre ordinateur sans 

les sauvegarder, n'utilisez pas d'actions telles que la suppression 

de risque. Bien que vous puissiez supprimer un virus de cette 

manière, vous pouvez perdre des données importantes. 

Vous devez également prendre en compte les fichiers système. 

Généralement les virus s'attaquent aux fichiers exécutables. Vous 

pouvez utiliser l'action Conserver (consigner uniquement) ou 

Mettre le risque en quarantaine pour identifier les fichiers infectés. 

Par exemple, un virus peut attaquer le fichier Command.com. Si 

le client ne parvient pas à éliminer l'infection, vous ne pourrez 

pas restaurer le fichier. Ce fichier est essentiel au bon 

fonctionnement de votre système. Vous pouvez utiliser l'action 

Conserver pour vous assurer que le fichier reste accessible. 

Le type de virus 

détecté sur 

l'ordinateur. 

Les virus ciblent différentes zones de l'ordinateur selon leur type. 

Les virus de secteur de démarrage infectent les secteurs de 

démarrage, les tables de partition, les enregistrements de 

démarrage principaux et parfois la mémoire. Lorsque les virus de 

secteur de démarrage sont à effets multiples, ils peuvent également 

affecter les fichiers exécutables et l'infection peut être traitée de 

la même manière qu'un virus de fichier. Les virus de fichier 

infectent généralement les fichiers exécutables portant l'extension 

.exe, .com ou .dll. Les virus de macro infectent les fichiers de 

document et les macros associées à ces documents. Sélectionnez 

les actions basées sur les types de fichiers à récupérer.



85 

Le type d'analyse que 

vous exécutez sur 

votre ordinateur. 

Toutes les analyses effectuent automatiquement certaines actions 

sans vous consulter. Si vous ne modifiez pas ces actions avant 

l'analyse, le programme applique les actions par défaut. Par 

conséquent, les actions secondaires par défaut visent à vous 

permettre de contrôler une épidémie virale. Pour les analyses qui 

s'exécutent automatiquement, telles que les analyses planifiées 

et les analyses de protection automatique, n'affectez pas les actions 

secondaires qui ont des effets permanents. Par exemple, vous 

pouvez exécuter une analyse à la demande lorsque vous savez 

déjà qu'un fichier est infecté. Vous pouvez limiter les actions de 

suppression de risque et de nettoyage de risque à l'analyse à la 

demande. 

Astuces d'affectation d'actions secondaires pour les risques de sécurité 

Lorsque vous sélectionnez une action secondaire pour les risques de sécurité, 

considérez le degré de contrôle nécessaire sur les fichiers. Si vous stockez des 

fichiers importants sur votre ordinateur sans créer de copie de sauvegarde, 

n'utilisez pas l'action Supprimer la menace . Bien que vous puissiez supprimer 

un risque de sécurité de cette manière, vous risquez de provoquer l'arrêt d'une 

autre application de votre ordinateur. Utilisez plutôt l'action Mettre en quarantaine 

le risque afin de pouvoir annuler les modifications effectuées par le client, le cas 

échéant. 

A propos de l'évaluation de l'impact des risques 

Symantec évalue les risques de sécurité pour déterminer leur impact sur un 

ordinateur. 

Les facteurs suivants sont notés faible, moyen ou élevé : 

■ 

■ 

■ 

■ 

Impact sur la confidentialité 

Impact sur les performances 

Furtivité 

Difficulté de suppression 

Un facteur noté faible a un impact minimal. Un facteur noté moyen a un impact 

relatif. Un facteur noté élevé a un impact important. Si un risque de sécurité 

spécifique n'a pas encore été évalué, une évaluation par défaut est utilisée. Si un 

risque spécifique a été évalué mais que le facteur évalué ne concerne pas ce risque, 

l'évaluation Sans est utilisée pour ce facteur. 

Ces évaluations apparaissent dans la boîte de dialogue Exceptions de risque de 

sécurité quand vous configurez une exception centralisée pour des risques de

86 



sécurité connus. Vous pouvez utiliser ces évaluations pour déterminer les risques 

de sécurité à exclure des analyses et à autoriser sur l'ordinateur. 

Tableau 4-6 décrit les facteurs d'évaluation et la signification d'une évaluation 

élevée dans chaque cas. 

Tableau 4-6 

Facteurs d'impact du risque 

Facteur d'évaluation 

Impact sur la 

confidentialité 

Description 

Mesure le niveau de confidentialité perdu du fait de l'existence 

du risque de sécurité présence de risques de sécurité sur 

l'ordinateur. 

Un niveau élevé indique que des informations personnelles ou 

importantes peuvent être volées. 

Impact sur les 

performances 

Mesure le niveau de dégradation des performances résultant d'un 

risque de la performance d'un ordinateur. 

Un niveau élevé indique que les performances sont gravement 

affectées. 

Evaluation de la 

furtivité 

Indique s'il est aisé de déterminer l'existence du risque de sécurité 

sur un ordinateur. 

Un niveau élevé indique que le risque de sécurité tente de se 

dissimuler. 

Evaluation de la 

suppression 

Indique le niveau de difficulté pour supprimer un risque de sécurité 

sur un ordinateur. 

Un niveau élevé indique que le risque est difficile à supprimer. 

Evaluation globale 

Programme dépendant 

L'évaluation globale représente la moyenne des autres facteurs. 

Cette valeur indique si une autre application dépend de la présence 

du risque de sécurité pour fonctionner correctement. 

Configuration des notifications pour les virus et les 


Par défaut, vous êtes averti lorsqu'une analyse détecte un virus ou un risque de 

sécurité. Par défaut, vous êtes également averti quand le logiciel d'analyse doit 

terminer des services ou des processus. Le logiciel d'analyse peut également devoir 

supprimer ou réparer les effets du virus ou du risque de sécurité. 

Vous pouvez configurer les notifications suivantes pour les analyses :



87 

Options de détection 

Créez le message qui doit s'afficher lorsque le client détecte un 

virus ou un risque de sécurité sur l'ordinateur. 

Options de résolution 

Lorsque vous configurez Auto-Protect pour le système de fichiers, 

vous pouvez sélectionner une action supplémentaire pour afficher 

une boîte de dialogue. La boîte de dialogue contient les résultats 

quand Auto-Protect trouve des risques sur votre ordinateur. 

Configurez si vous voulez être notifié quand le client trouve un 

virus ou un risque de sécurité. Vous pouvez également être informé 

lorsque le client doit terminer un processus ou un service pour 

supprimer ou réparer un risque. 

Vous pouvez construire le message de détection que vous voulez voir s'afficher 

sur votre ordinateur. Pour construire le message, vous tapez directement dans le 

champ de message. Vous pouvez cliquer avec le bouton droit de la souris dans le 

champ de message pour sélectionner des variables à inclure dans le message. 

Tableau 4-7 décrit les champs de variables disponibles pour les messages de 

notification. 

Tableau 4-7 

Champ 

Champs variables de message 

Description 

NomRisqueSécurité 

ActionEffectuée 

Etat 

Nom du virus ou du risque de sécurité détecté. 

Action que le client effectue quand il a détecté le virus ou le risque 

de sécurité. Il peut s'agir de l'action principale ou secondaire 

configurée. 

Etat du fichier : Infecté, Non infecté ou Supprimé. 

Cette variable de message n'est pas utilisée par défaut. Pour 

afficher ces informations, ajoutez manuellement cette variable 

au message. 

Nomfichier 

CheminNomfichier 

Emplacement 

Ordinateur 

Utilisateur 

Nom du fichier infecté par le virus ou le risque de sécurité. 

Chemin d'accès complet et nom du fichier infecté par le virus ou 

le risque de sécurité. 

Lecteur de l'ordinateur sur lequel le virus ou le risque de sécurité 

a été détecté. 

Nom de l'ordinateur sur lequel le virus ou le risque de sécurité a 

été détecté. 

Nom de l'utilisateur qui était connecté lorsque le virus ou le risque 

de sécurité a été détecté.

88 



Champ 

Evénement 

ConsignéPar 

DateTrouvé 

NomStockage 

DescriptionAction 

Description 

Le type d'événement tel que "Risque détecté". 

Type d'analyse qui a détecté le virus ou le risque de sécurité. 

Date à laquelle le virus ou le risque de sécurité a été détecté. 

Zone affectée de l'application, par exemple Auto-Protect pour le 

système de fichiers ou Auto-Protect pour Lotus Notes. 

Description complète des actions effectuées en réponse à la 

détection du virus ou de le risque de sécurité. 

Vous pouvez configurer des notifications pour des analyses définies par l'utilisateur 

et pour Auto-Protect. La configuration de notification inclut des options de 

résolution. Les options de résolution sont seulement disponibles pour les analyses 

et Auto-Protect pour le système de fichiers. 

Pour obtenir plus d'informations sur les options utilisées dans cette procédure, 

cliquez sur Aide. 

Pour configurer des notifications pour les virus et les risques de sécurité 


■ 

■ 

■ 

Pour une nouvelle analyse, dans la boîte de dialogue Créer une analyse 

(options d'analyse), cliquez sur Notifications. 

Pour une analyse existante, sur l'onglet Options d'analyse, cliquez sur 

Notifications. 

Pour Auto-Protect, dans la boîte de dialogue Paramètres de la protection 

antivirus et antispyware, dans tout onglet Auto-Protect, cliquez sur 

Notifications. 

2 Dans la boîte de dialogue de Options de notification d'analyse, sous Options 

de détection, vous pouvez choisir d'être informé quand une analyse détecte 

un virus ou un risque de sécurité. Cochez cette option si vous voulez qu'un 

message apparaisse sur votre ordinateur quand l'analyse trouve un virus ou 

un risque de sécurité. 

3 Dans la zone de message, effectuez une ou plusieurs des opérations suivantes 

pour créer le message de votre choix : 

■ 

■ 

Cliquez pour saisir ou modifier un texte. 

Cliquez avec le bouton droit de la souris, puis cliquez sur Insérerunchamp 

et sélectionnez le champ de variable à insérer.



89 

■ 

Cliquez avec le bouton droit de la souris pour sélectionner Couper, Copier, 

Coller, Nettoyer ou Annuler. 

4 Pour la configuration d'Auto-Protect, cochez ou supprimez la coche Afficher 

la boîte de dialogue des résultats Auto-Protect. 

Ce paramètre active ou supprime la boîte de dialogue qui contient des résultats 

quand Auto-Protect pour le système de fichiers trouve des virus et des risques 

de sécurité. 

5 Sous Options de résolution, cochez les options que vous voulez définir pour 

l'analyse ou pour Auto-Protect pour le système de fichiers. Les options 

suivantes sont disponibles : 

Arrêt automatique 

des processus 

Interruption 

automatique des 

services 

Configure l'analyse pour terminer les processus 

automatiquement lorsque cela est nécessaire pour supprimer 

ou réparer ou un virus ou un risque de sécurité. Vous n'êtes 

pas invité à enregistrer des données avant que l'analyse ne 

termine les processus. 

Configure l'analyse pour arrêter automatiquement les 

services lorsque cela est nécessaire pour supprimer ou 

réparer un virus ou un risque de sécurité. Aucun message ne 

vous demande d'enregistrer les données avant l'arrêt des 

services par l'analyse. 



Les exceptions sont des risques de sécurité connus, des fichiers, des extensions 

de fichier et des processus à exclure d'une analyse. Si après l'analyse de 

l'ordinateur, vous découvrez que certains fichiers sont sécurisés, vous pouvez les 

exclure. Dans certains cas, les exceptions peuvent réduire le temps d'analyse et 

augmenter la performance du système. En général, vous n'avez pas besoin de 

créer des exceptions. 

Pour les clients gérés centralement, l'administrateur doit avoir créé des exceptions 

pour vos analyses. Si vous créez une exception qui entre en conflit avec une 

exception définie par l'administrateur, l'exception définie par l'administrateur a 

la priorité.

90 



Tableau 4-8 

Type 

Types d'exception 

Description 

Exceptions de risques 

de sécurité 

Vous pouvez exclure les risques de sécurité suivants : 

■ Risques de sécurité connus 

■ Fichier 

■ Dossiers 

■ Extensions 

Exceptions d'analyse 

proactive des menaces 

TruScan 

L'administrateur a dû configuré le client pour vous empêcher 

d'exclure tout élément de l'analyse. 

Se reporter à "Exclusion des éléments de l'analyse" à la page 90. 

Vous pouvez exclure des processus des Analyses proactives des 

menaces TruScan. Vous pouvez spécifier une autre action à 

prendre pour un processus connu que les analysesproactivesdes 

menacesTruScan détectent. Vous pouvez forcer la détection d'un 

processus. 

L'administrateur a pu configurer le client pour vous empêcher 

d'exclure un processus de l'analyse. 

Se reporter à "Exclusion d'un processus des analyses proactives 

des menaces TruScan" à la page 112. 

Exceptions de 

protection contre les 

interventions 

Vous pouvez exclure des fichiers de la protection contre les 

interventions. 

La Protection contre les interventions empêche les processus 

non-Symantec d'affecter des processus Symantec. 

Se reporter à "A propos de la protection contre les interventions" 


Se reporter à "Exclusion des éléments de l'analyse" à la page 90. 


Vous pouvez créer une exception dans la page Modifier les paramètres. Vous 

pouvez également configurer des exceptions lorsque vous créez ou modifiez une 

analyse définie par l'utilisateur ou lorsque vous modifiez des paramètres 

Auto-Protect. 


Les exceptions s'appliquent sur toutes les analyses. Si vous configurez une 

exception lorsque vous créez ou modifiez une analyse particulière, l'exception 

s'applique à toutes les analyses.



91 

Remarque : Sur l'installation Server Core de Windows Server 2008, les boîtes de 

dialogue peuvent s'afficher différemment de celles décrites dans ces procédures. 



Pour exclure un risque de sécurité de l'analyse 


2 Près de Exceptions centralisées, cliquez sur Configurer les paramètres. 

3 Dans la boîte de dialogue Exceptions centralisées, sur l'onglet Exceptions 

définies par l'utilisateur, cliquez sur Ajouter > Exceptions de risques de 

sécurité > Risques connus. 

4 Dans la boîte de dialogue Ajouter des exceptions de risques de sécurité 

connus, vérifiez les risques de sécurité à exclure des analyses. 

5 Pour consigner un événement lorsque le risque de sécurité est détecté et 

ignoré, cochez Consigner lorsque le risque de sécurité est détecté. 


7 Dans la boîte de dialogue Exceptions centralisées, cliquez sur Fermer. 

Pour exclure un fichier ou un dossier de l'analyse 


2 Près de l'option Exceptions centralisées, cliquez sur Configurer les 

paramètres. 

3 Dans la boîte de dialogue Exceptions centralisées, sur l'onglet Exceptions 

définies par l'utilisateur, cliquez sur Ajouter > Exceptions de risques de 

sécurité 

4 Effectuez l'une des tâches suivantes : 

■ 

■ 

Cliquez sur Fichier. Dans la boîte de dialogue Ajouter une exception de 

fichiers de risques de sécurité, sélectionnez le fichier à exclure, puis 

cliquez sur Ajouter. 

Cliquez sur Dossier. Dans la boîte de dialogue Ajouter une exception de 

dossiers de risques de sécurité, sélectionnez le dossier, cochez ou 

désélectionnez l'option Incluredessous-dossiers, puis cliquez sur Ajouter. 

5 Dans la boîte de dialogue Exceptions centralisées, cliquez sur Fermer.

92 


A propos de la prise en charge des fichiers en quarantaine 

A propos de la prise en charge des fichiers en 

quarantaine 

Parfois le client détecte un virus inconnu qui ne peut pas être éliminé avec les 

définitions de virus actuelles. Vous pouvez avoir un fichier que vous croyez infecté 

sans que les analyses ne détectent d'infection. La quarantaine isole les fichiers 

potentiellement infectés sur l'ordinateur. Quand vous mettez un virus en 

quarantaine, le virus ne peut pas se propager sur votre ordinateur ou à d'autres 

ordinateurs du réseau. 

A propos des fichiers infectés dans la quarantaine 

Vous pouvez afficher les fichiers infectés dans la quarantaine. 

Vous pouvez afficher les informations suivantes sur les fichiers : 

■ 

■ 

■ 

■ 

■ 

■ 

Risque 

Nom de fichier 

Type 

Emplacement d'origine 

Etat 

Date 

Remarque : La langue du système d'exploitation sur lequel vous exécutez le client 

peut ne pas savoir interpréter certains caractères des noms de virus. Si le système 

d'exploitation ne peut pas interpréter les caractères, les caractères apparaissent 

comme des points d'interrogation dans les notifications. Par exemple, certains 

noms de virus Unicode peuvent contenir des caractères à deux octets. Sur les 

ordinateurs qui exécutent le client sur un système d'exploitation anglais, ces 

caractères apparaissent comme des points d'interrogation. 

Quand le client déplace un fichier infecté ves la quarantaine, le risque ne peut pas 

se copier et infecter d'autres fichiers. Il s'agit de l'action secondaire recommandée 

à la fois pour les virus de macro et les virus non-macro. 

Cependant, l'action de Quarantaine ne nettoie pas le risque. Le risque reste sur 

votre ordinateur jusqu'à ce que le client nettoie le risque ou supprime le fichier. 

Les virus et les virus de macro peuvent être mis en quarantaine. Les virus de 

secteur de démarrage ne peuvent pas être mis en quarantaine. En effet, ces derniers 

résident en général dans le secteur de démarrage ou dans les tables de partitions 

de l'ordinateur, qu'il est impossible de déplacer vers la quarantaine.


Gestion de la quarantaine 

93 

Vous pouvez également afficher les propriétés du fichier infecté. 

Se reporter à "Affichage des fichiers et de leurs détails dans la quarantaine" 


A propos du traitement des fichiers infectés dans la quarantaine 

Quand un fichier a été déplacé dans la quarantaine, vous pouvez faire l'un des 

actions suivantes : 

■ 

■ 

■ 

■ 

■ 

■ 

Restaurer le fichier choisi à son emplacement initial. 

Supprimer de manière permanente le fichier sélectionné. 

Rebalayer les fichiers après avoir reçu des définitions de virus mises à jour. 

Exporter le contenu de la quarantaine vers un fichier (*.csv) délimité par des 

virgules ou un fichier de base de données Access (*.mdb). 

Ajouter manuellement un fichier à la quarantaine. Vous pouvez localiser 

l'emplacement et sélectionner le fichier à déplacer vers la quarantaine. 

Envoyer un fichier à Symantec Security Response. Suivez les instructions de 

l'assistant pour soumettre le fichier sélectionné pour analyse. 

Se reporter à "Gestion de la quarantaine" à la page 93. 

A propos du traitement des fichiers infectés par des risques de sécurité 

Vous pouvez laisser en quarantaine les fichiers qui y sont placés du fait des risques 

de sécurité, ou vous pouvez les supprimer. Laissez-les en quarantaine jusqu'à ce 

que vous soyez sûr que les applications de votre ordinateur n'ont perdu aucune 


Si vous supprimez les fichiers associés à un risque de sécurité, une application 

sur votre ordinateur peut ne plus fonctionner correctement. L'application peut 

dépendre des fichiers associés que vous avez supprimés. La mise en quarantaine 

est une option plus sûre du fait qu'elle est réversible. Vous pouvez restaurer les 

fichiers si l'une des applications de votre ordinateur perd une fonctionnalité après 

avoir placé en quarantaine les fichiers de programme dépendants. 

Remarque : Après avoir exécuté l'application avec succès, vous pouvez supprimer 

les fichiers pour gagner de l'espace disque. 


Les fichiers sont placés en quarantaine de deux manières :

94 



■ 

■ 

Le client est configuré pour déplacer vers la quarantaine les éléments infectés 

détectés pendant une analyse Auto-Protect ou autre. 

Vous sélectionnez manuellement un fichier pour l'ajouter à la quarantaine. 

Les options par défaut pour Auto-Protect et tous les types d'analyse sont de 

nettoyer un virus d'un fichier infecté dès sa détection. Le logiciel d'analyse place 

le fichier en quarantaine si le fichier ne peut pas être nettoyé. Pour les risques de 

sécurité, l'option par défaut consiste à placer en quarantaine les fichiers infectés 

et à réparer les effets secondaires du risque de sécurité. 

Se reporter à "Réanalyse des fichiers en quarantaine à la recherche de virus" 


Se reporter à "Effacement des éléments de sauvegarde" à la page 95. 

Se reporter à "Suppression de fichiers de la quarantaine" à la page 96. 

Se reporter à "Soumission à Symantec Security Response d'un fichier suspect 

pour analyse" à la page 97. 

Pour ajouter manuellement un fichier à la quarantaine 

1 Dans le client, dans la barre latérale, cliquez sur Afficher la quarantaine. 

2 Cliquez sur Ajouter. 

3 Sélectionnez le fichier que vous voulez ajouter à la quarantaine et puis cliquez 

sur Ajouter. 

Affichage des fichiers et de leurs détails dans la quarantaine 

Vous pouvez afficher les fichiers qui ont été placés dans la quarantaine. Vous 

pouvez afficher des détails au sujet des fichiers. Les détails incluent le nom du 

virus et le nom de l'ordinateur sur lequel le fichier a été trouvé. 

Pour afficher des fichiers et leurs détails dans la quarantaine 


2 Cliquez avec le bouton droit de la souris sur le fichier à afficher, puis cliquez 

sur Propriétés. 

Réanalyse des fichiers en quarantaine à la recherche de virus 

Si un fichier est placé en quarantaine, actualisez vos définitions. Quand vous 

mettez à jour des définitions, les fichiers en quarantaine peuvent être analysés, 

nettoyés et restaurés automatiquement. Vous pouvez réanalyser les fichiers en 

quarantaine si l'Assistant réparation apparaît. 

Se reporter à "Réanalyse manuelle des fichiers" à la page 95.



95 

Si le client ne peut pas supprimer le virus après réanalyse dans la quarantaine, 

vous pouvez soumettre le fichier infecté à Symantec Security Response pour 

analyse. 



Pour réanalyser des fichiers en quarantaine avec l'Assistant réparation 

1 Si l'Assistant réparation s'affiche, cliquez sur Oui. 


3 Suivez les instructions à l'écran pour réanalyser les fichiers en quarantaine. 

Réanalyse manuelle des fichiers 

Vous pouvez réanalyser manuellement un fichier mis en quarantaine à la recherche 

des virus, mais non des risques de sécurité. 

Se reporter à "Réanalyse des fichiers en quarantaine à la recherche de virus" 


Pour réanalyser manuellement un fichier en quarantaine à la recherche de virus 

1 Mettez à jour vos définitions. 


3 Sélectionnez le fichier, puis cliquez sur Réanalyser tout. 

Lorsqu'un fichier réparé ne peut être replacé à son emplacement 

d'origine 

Un fichier nettoyé ne possède parfois pas d'emplacement auquel le ramener. Par 

exemple, une pièce jointe infectée peut être détachée d'un message électronique 

et mise en quarantaine. Vous devez libérer le fichier et indiquer un emplacement. 

Pour libérer un fichier nettoyé de la quarantaine 


2 Cliquez sur le fichier avec le bouton droit de la souris, puis cliquez sur 

Restaurer. 

3 Indiquez l'emplacement du fichier nettoyé. 

Effacement des éléments de sauvegarde 

Avant d'essayer de nettoyer ou de réparer des éléments, le client réalise par défaut 

des copies de sauvegarde des éléments infectés. Après que le client ait nettoyé

96 



avec succès un virus, vous devriez manuellement supprimer l'élément de la 

quarantaine parce que la sauvegarde est encore infectée. Vous pouvez également 

définir un délai après lequel les fichiers seront supprimés automatiquement. 

Se reporter à "Suppression automatique des fichiers en quarantaine" à la page 96. 

Pour effacer manuellement les éléments sauvegardés 


2 Sélectionnez un ou plusieurs fichiers de sauvegarde. 

3 Cliquez sur Supprimer. 

Suppression de fichiers de la quarantaine 

Vous pouvez supprimer manuellement de la quarantaine les fichiers dont vous 

n'avez plus besoin. Vous pouvez également définir un délai après lequel les fichiers 

seront supprimés automatiquement. 

Remarque : Votre administrateur peut spécifier un nombre de jours maximal 

pendant lequel des éléments peuvent rester en quarantaine. Après ce délai, les 

éléments sont supprimés automatiquement. 

Se reporter à "Suppression automatique des fichiers en quarantaine" à la page 96. 

Pour supprimer manuellement des fichiers en quarantaine 


2 Sélectionnez un ou plusieurs fichiers. 

3 Cliquez sur Supprimer. 

Suppression automatique des fichiers en quarantaine 

Vous pouvez configurer votre logiciel pour supprimer automatiquement des 

éléments de la liste Quarantaine après un délai spécifié. Vous pouvez également 

spécifier que le client supprime des éléments quand le dossier où les éléments 

sont enregistrées atteint une certaine taille. Vous évitez ainsi l'accumulation de 

fichiers que vous pouvez oublier de supprimer manuellement. 

Se reporter à "Suppression de fichiers de la quarantaine" à la page 96. 

Pour supprimer automatiquement des fichiers 


2 Cliquez sur Options de purge.



97 

3 Dans la boîte de dialogue Options de purge, sélectionnez un des onglets 

suivants : 

■ 

■ 

■ 

Eléments en quarantaine 

Eléments sauvegardés 

Eléments réparés 

4 Activez ou désactivez l'option La durée de stockage est supérieure à pour 

activer ou désactiver la capacité du client à supprimer les fichiers une fois 

que le temps configuré a expiré. 

5 Si vous cochez la case Laduréedestockageestsupérieureà, tapez ou cliquez 

sur une flèche pour écrire la durée. 

6 Sélectionnez l'unité du temps dans la liste déroulante. Le paramètre par défaut 

est 30 jours. 

7 Si vous cochez la case La taille totale du dossier est supérieure à, tapez la 

taille maximale de dossier à permettre, en mégaoctets. La valeur par défaut 

est de 50 mégaoctets. 

Si vous sélectionnez les deux options, les fichiers plus anciens que l'âge 

spécifié sont purgés en premier. Si la taille du dossier dépasse toujours la 

limite que vous avez définie, le client supprime les fichiers les plus anciens 

individuellement. Le client supprime les fichiers les plus anciens jusqu'à ce 

que la taille de dossier ne dépasse plus la limite. 

8 Répétez les étapes 4 à 7 pour les autres onglets. 


Soumission à Symantec Security Response d'un fichier suspect pour 

analyse 

Parfois, le client ne peut pas nettoyer un virus à partir d'un fichier. Ou bien vous 

suspectez qu'un fichier est infecté et le client ne détecte pas l'infection. Si vous 

soumettez le fichier à Symantec Security Response, ils peuvent l'analyser pour 

vérifier qu'il n'est pas infecté. Vous devez disposer d'une connexion Internet pour 

soumettre un échantillon. 

Remarque : L'option Envoyer à Symantec Security Response n'est pas disponible 

si votre administrateur désactive ces types de soumissions. 

Se reporter à "Suppression automatique des fichiers en quarantaine" à la page 96.

98 


Transmission d'informations sur les détections d'analyse à Symantec Security Response 

Se reporter à "Transmission d'informations sur les détections d'analyse à Symantec 

Security Response" à la page 98. 

Pour envoyer un fichier à Symantec Security Response depuis la quarantaine 


2 Sélectionnez le fichier dans la liste des éléments en quarantaine. 

3 Cliquez sur Soumettre. 

4 Suivez les instructions de l'assistant pour réunir les informations nécessaires 

et envoyer le fichier pour analyse. 

Transmission d'informations sur les détections 

d'analyse à Symantec Security Response 

Vous pouvez spécifier que des informations sur Auto-Protect ou des cadences de 

détection d'analyse sont automatiquement envoyées à Symantec Security 

Response. Les informations sur les taux de détection aident potentiellement 

Symantec à affiner les mises à jour de définitions de virus. Les taux de détection 

indiquent les virus et les risques de sécurité les plus détectés par des clients. 

Symantec Security Response peut supprimer les signatures qui ne sont pas 

détectées et fournir une liste de signatures segmentée aux clients qui la demandent. 

Les listes segmentées améliorent les performances d'analyse. 

La soumission des cadences de détection est activée par défaut. 

Remarque : Votre administrateur peut verrouiller les paramètres de soumission. 

Vous pouvez également soumettre à Symantec des éléments en quarantaine. 



Pour transmettre des informations sur les détections d'analyse à Symantec Security 

Response 



paramètres. 

3 Sur l'onglet Soumissions, cochez Soumettreautomatiquementlesdétections 

de virus et de risques de sécurité. 

4 Cliquez sur OK.



99 


Si vous utilisez le Centre de sécurité Windows (WSC) sous Windows XP avec Service 

pack 2 pour superviser la sécurité de l'ordinateur, l'état de Symantec Endpoint 

Protection s'affiche dans WSC. 

Tableau 4-9 indique comment l'état de la protection s'affiche dans WSC. 

Tableau 4-9 

Comment l'état de la protection s'affiche dans WSC 

Etat du produit Symantec 

Symantec Endpoint Protection n'est pas installé 

Symantec Endpoint Protection est installé avec protection 

complète 

Symantec Endpoint Protection est installé et les définitions de 

virus et de risque de sécurité sont périmées 

Symantec Endpoint Protection est installé et Auto-Protect pour 

le système de fichiers n'est pas activé 

Symantec Endpoint Protection est installé, Auto-Protect pour le 

système de fichiers n'est pas activé et les définitions de virus et 

de risque de sécurité sont périmées 

Symantec Endpoint Protection est installé et Rtvscan est 

désactivé manuellement 

Etat de la protection 

Introuvable (rouge) 

Activé (vert) 

Périmé (rouge) 

Désactivé (rouge) 



Tableau 4-10 décrit comment l'état du pare-feu de Symantec Endpoint Protection 

est signalé dans WSC. 

Tableau 4-10 

Comment l'état du pare-feu s'affiche WSC 

Etat du produit Symantec 

Le pare-feu Symantec n'est pas installé 

Le pare-feu Symantec est installé et activé 

Le pare-feu Symantec est installé mais n'est pas activé 

Le pare-feu Symantec n'est pas installé ou n'est pas activé, mais 

un pare-feu tiers est installé et activé 

Etat du pare-feu 

Introuvable (rouge) 




Remarque : Dans Symantec Endpoint Protection, le Pare-feu Windows est désactivé 

par défaut.

100 



Si plusieurs pare-feu sont activés, WSC signale que plusieurs pare-feu sont installés 

et activés.

Chapitre 

5 


proactive contre les 

menaces 


■ 

■ 

■ 

■ 

■ 

■ 

A propos des analyses proactives des menaces TruScan 

Configuration de la fréquence d'exécution des analyses proactives des menaces 

TruScan 

Gestion des détections proactives de menaces TruScan 

Configuration des notifications des détections de l'analyse proactive des 

menaces TruScan 

Soumission à Symantec Security Response des informations sur les analyses 

proactives des menaces TruScan 

Exclusion d'un processus des analyses proactives des menaces TruScan 

A propos des analyses proactives des menaces 

TruScan 

La protection proactive contre les menaces vous assure une protection contre les 

attaques de type "zero day". La protection "Zero Day" signifie une protection 

contre des menaces ou vulnérabilités inconnues. Les analyses proactives des 

menaces TruScan recherchent les processus actifs qui ont un comportement 

pouvant être malveillant. Puisque les menaces inconnues n'ont pas de signatures

102 

Gestion de la protection proactive contre les menaces 


pour les identifier, les analyses proactives des menaces identifient des risques 

potentiels en signalant un comportement suspect. 

Les paramètres par défaut d'analyse proactive des menaces sont appropriés pour 

beaucoup d'utilisateurs. Vous pouvez modifier les paramètres en fonction du 

niveau de protection heuristique que votre ordinateur exige. 

Vous devriez vous poser les questions suivantes avant d'apporter des modifications 

aux paramètres d'analyse proactive contre les menaces : 

■ Voulez-vous être informé quand une menace se produit sur votre ordinateur ? 

■ Avec quelle fréquence et quand voulez-vous analyser des processus ? 

■ 

Quelle proportion des ressources de l'ordinateur voulez-vous consacrer à 

l'analyse proactive des menaces ? 

Remarque : Si votre administrateur ne verrouille pas les paramètres d'analyse 

proactive des menaces, vous pouvez configurer les paramètres. Les paramètres 

verrouillés incluent une icône de cadenas fermé. Les étiquettes des paramètres 

verrouillés apparaissent grisées. 


Processus et applications que les analyses proactives des menaces 

TruScan examinent 

Les analyses proactives des menaces examinent certains types de processus ou 

d'applications qui montrent un comportement suspect. Les analyses détectent les 

processus qui semblent agir comme des chevaux de Troie, des vers ou des 

enregistreurs de frappe. Vous pouvez activer ou désactiver la détection. 

En plus des chevaux de Troie, des vers et des enregistreurs de frappe, les analyses 

proactives des menaces détectent les processus qui se comportent comme des 

logiciels publicitaires et des spywares. Vous ne pouvez pas configurer la manière 

dont les analyses proactives des menaces traitent ces types de détections. Si les 

analyses proactives des menaces détectent des logiciels publicitaires ou des 

spywares que vous voulez autoriser sur vos ordinateurs client, vous ou votre 

administrateur devez créer une exception centralisée. 

Se reporter à "Exclusion d'un processus des analyses proactives des menaces 

TruScan" à la page 112. 

Les analyses proactives des menaces détectent également les applications 

commerciales bien connues qui peuvent être utilisées à des fins malveillantes. 

Symantec tient à jour une liste de ces applications commerciales et la met à jour 

périodiquement. Ces applications incluent les applications commerciales qui



103 

contrôlent ou enregistrent les frappes de clavier d'un utilisateur ou qui contrôlent 

l'ordinateur d'un utilisateur à distance. Vous pouvez définir des actions pour la 

façon dont Symantec Endpoint Protection traite ces détections. 

Tableau 5-1 décrit les processus que les analyses proactives contre les menaces 

détectent. 

Tableau 5-1 

Processus détectés par les analyses proactives des menaces TruScan 

Type de processus 

Chevaux de Troie et vers 

Description 

Processus qui montrent des caractéristiques des chevaux de 

Troie ou des vers. 

Les analyses proactives des menaces utilisent des technologies 

heuristiques pour rechercher les processus qui se comportent 

comme des chevaux de Troie ou des vers. Ces processus peuvent 

être ou ne pas être des menaces. 

Enregistreurs de frappe 

Processus qui montrent des caractéristiques des enregistreurs 

de frappe. 

Les analyses proactives des menaces détectent les enregistreurs 

de frappe commerciaux, mais elles détectent également les 

processus inconnus qui montrent un comportement 

d'enregistreur de frappe. 

Applications 

commerciales 

Applications commerciales connues qui pourraient être utilisées 

à des fins malveillantes. 

Les analyses proactives des menaces détectent plusieurs types 

différents d'applications commerciales. Vous pouvez configurer 

des actions pour deux types : enregistreurs de frappe et 

programmes de contrôle à distance. 

Logiciels publicitaires et 

spywares 

Processus qui montrent les caractéristiques des logiciels 

publicitaires et des spywares 

Les analyses proactives des menaces utilisent des technologies 

heuristiques pour détecter les processus inconnus qui se 

comportent comme des logiciels publicitaires et des spywares. 

Ces processus peuvent être ou ne pas être des risques. 

A propos des exceptions des analyses proactives des menaces TruScan 

Vous pouvez créer des exceptions pour les analyses proactives des menaces, à 

moins que votre administrateur n'ait verrouillé les paramètres d'exceptions 

centralisées.

104 



Votre administrateur pourrait également créer des exceptions centralisées pour 

les analyses proactives des menaces. Vous ne pouvez pas modifier les exceptions 

créées par votre administrateur. 



A propos des détections de l'analyse proactive des menaces TruScan 

Les analyses proactives des menaces consignent, mettent en quarantaine ou 

terminent les processus potentiellement malveillants qu'elles détectent. Vous 

pouvez afficher les détections en utilisant la boîte de dialogue de résultats 

d'analyse, les journaux de protection proactive contre les menaces ou la liste de 

quarantaine. 

Se reporter à "A propos de l'interaction avec les résultats d'analyse ou les résultats 

d'Auto-Protect" à la page 78. 

Se reporter à "Gestion de la quarantaine" à la page 93. 

Remarque : Les paramètres d'analyse proactive des menaces n'ont aucun effet sur 

les analyses antivirus et antispyware, qui utilisent des signatures pour détecter 

des risques connus. Symantec Endpoint Protection détecte d'abord les risques 

connus. 

Par défaut, le client fait les actions suivantes : 

■ 

■ 

■ 

Consigne la détection des applications commerciales bien connues 

Consigne la détection des processus qui se comportent comme des chevaux de 

Troie, des vers ou des enregistreurs de frappe 

Met en quarantaine les processus qui se comportent comme des chevaux de 

Troie, des vers ou des enregistreurs de frappe et qui requièrent une correction 

Quand une analyse proactive des menaces met une détection en quarantaine, elle 

prend en charge tous les effects secondaires du processus. Si le client rebalaye la 

détection après que des mises à jour de contenu soient téléchargées sur votre 

ordinateur, le client pourrait restaurer le processus sur votre ordinateur. Le client 

restaure le processus si le processus n'est plus considéré malveillant. Le client 

restaure également tous les effects secondaires du processus. Cependant, le client 

ne redémarre pas automatiquement le processus. 

Pour la détection d'enregistreur de frappe commercial ou d'applications de contrôle 

à distance, vous ou votre administrateur pouvez spécifier une action différente. 

Par exemple, vous pourriez vouloir ignorer la détection des applications


Configuration de la fréquence d'exécution des analyses proactives des menaces TruScan 

105 

commerciales d'enregistreur de frappe. Quand le client ignore une application, il 

l'autorise et ne consigne pas sa détection. 

Pour les détection de cheval de Troie, de ver ou d'enregistreur de frappe, vous 

pouvez spécifier une action particulière que le client utilisera toujours en cas de 

détection. 

A propos des actions sur des faux positifs 

Les analyses proactives des menaces TruScan détectent parfois des faux positifs. 

Ces analyses recherchent des applications et des processus dotées d'un 

comportement suspect plutôt que des virus ou des risques de sécurité connus. Par 

nature, ces analyses signalent typiquement les éléments que vous ne pourriez pas 

vouloir détecter. 

Si une analyse proactive des menaces détecte un processus dont vous déterminez 

qu'il n'est pas un problème, vous pouvez créer une exception de sorte que les 

futures analyses ne signalent pas le processus. S'il y a un conflit entre une 

exception définie par l'utilisateur et une exception définie par l'administrateur, 

l'exception administrateur a la priorité. 



Pour réduire les détections de faux positif, vérifiez que le contenu Symantec pour 

les analyses proactives des menaces est à jour. La version s'affiche dans la page 

État sous Protection contre les menaces proactives. Vous pouvez télécharger le 

dernier contenu en exécutant LiveUpdate. 

Remarque : Votre administrateur peut planifier des mises à jour automatiques. 

Si vous choisissez de gérer vous-même la détection des chevaux de Troie, des vers 

et des enregistreurs de frappe, vous pouvez modifier la sensibilité des analyses 

proactives des menaces. Toutefois, la modification de la sensibilité peut ne pas 

changer le nombre de faux positifs, car elle change uniquement le nombre total 

de détections. 


Configuration de la fréquence d'exécution des 

analyses proactives des menaces TruScan 

Vous pouvez configurer la fréquence d'exécution des analyses proactives des 

menaces.

106 



Remarque : Si vous augmentez la fréquence d'exécution des analyses proactives 

des menaces, vous risquez d'affecter les performances de votre ordinateur. 


dans la procédure. 

Pour configurer la fréquence d'exécution des analyses proactives des menaces 

TruScan 


2 A côté Protection proactive contre les menaces, cliquez sur Configurer les 

paramètres. 

3 Dans la boîte de dialogue Paramètres de la protection proactive contre les 

menaces, sur l'onglet Fréquence d'analyse, cochez Fréquence d'analyse 

personnalisée. 

4 Faites une ou plusieurs des actions suivantes : 

■ 

■ 

A côté de Analyser chaque, définissez la durée en nombre de jours, d'heures 

et de minutes entre les processus d'analyse. 

Cochez Analyserlesnouveauxprocessusimmédiatement pour analyser 

les nouveaux processus quand ils sont détectés. 


Gestion des détections proactives de menaces 

TruScan 

Les administrateurs pourraient verrouiller les paramètres de détection proactive 

de menaces. Si vos paramètres sont déverrouillés ou si vous exécutez un client 

non géré, vous pouvez configurer les types de processus que les détections 

proactives de menaces détectent. 

Se reporter à "Spécification des types de processus détectés par les analyses 

proactives des menaces TruScan" à la page 110.



107 

Remarque : La détection de chevaux de Troie, de vers et d'enregistreurs de frappe 

n'est actuellement pas prise en charge sur des systèmes d'exploitation de serveur 

Windows ou Windows XP Professional 64 bits. La détection des enregistreurs de 

frappe n'est pas également prise en charge sur Windows 7. Sur les clients qui 

s'exécutent sur des systèmes d'exploitation serveurs, les options d'analyse ne sont 

pas disponibles. Si votre administrateur modifie ces options dans une politique 

appliquée à votre ordinateur, les options peuvent apparaître activées et 

inaccessibles. 

Quand la détection des chevaux de Troie, des vers ou des enregistreurs de frappe 

est activée, vous pouvez choisir comment vous voulez gérer les détections. Par 

défaut, les analyses proactives des menaces utilisent les paramètres par défaut 

de Symantec. Ceci signifie que le client détermine l'action pour la détection. (Les 

paramètres par défaut indisponibles dans l'interface utilisateur ne reflètent pas 

les paramètres par défaut de Symantec. Les paramètres indisponibles reflètent 

les paramètres par défaut que vous utilisez quand vous gérez manuellement des 

détections.) 

Se reporter à "Spécification des actions et des niveaux de sensibilité pour détecter 

des chevaux de Troie, des vers et des enregistreurs de frappe" à la page 108. 

Typiquement, les paramètres par défaut de Symantec fournissent la meilleure 

manière de prendre en charge des détections. Cependant, si vous avez de 

l'expérience avec les résultats d'analyse sur votre ordinateur, vous pourriez vouloir 

configurer les actions et les niveaux de sensibilité manuellement. Pour configurer 

ces paramètres, vous désactivez l'option par défaut de Symantec. 

Pour réduire les détections faussement positives, Symantec recommande d'utiliser 

initialement les paramètres par défaut gérés par Symantec. Après un certain 

temps, vous pouvez observer le nombre de faux positifs que les clients détectent. 

Si le nombre est bas, vous pouvez ajuster progressivement les paramètres d'analyse 

proactive des menaces. Par exemple, pour la détection des chevaux de Troie et 

des vers, vous pouvez placer le curseur de sensibilité légèrement plus haut que le 

paramètre par défaut. Vous pouvez observer les résultats des analyses proactives 

des menaces exécutées avec la nouvelle configuration. 

Remarque : Pour les clients gérés, votre administrateur configure typiquement 

les paramètres d'analyse proactive des menaces appropriés pour votre ordinateur. 

Pour les applications commerciales, vous pouvez spécifier le type d'action à 

effectuer quand une analyse proactive des menaces détecte un enregistreur de 

frappe commercial ou un programme de contrôle à distance. Vous pouvez modifier 

ces paramètres indépendamment de la configuration pour les chevaux de Troie, 

les vers ou les enregistreurs de frappe.

108 



Se reporter à "Définition de l'action pour la détection des applications 

commerciales" à la page 108. 

Définition de l'action pour la détection des applications commerciales 

Vous pouvez modifier l'action que le client effectue quand une analyse proactive 

des menaces détecte certains types d'applications commerciales. 



Pour configurer l'action pour la détection d'application commerciale 



paramètres. 


menaces, dans l'onglet Détails de l'analyse, sous Applications commerciales, 


■ 

■ 

Définissez l'opération relative aux enregistreurs de frappe commerciaux 

sur Ignorer, Consigner, Arrêter ou Mettre en quarantaine. 

Définissez l'opération relative aux applications de téléintervention 

commerciales sur Ignorer, Consigner, Arrêter ou Mettre en quarantaine. 


Spécification des actions et des niveaux de sensibilité pour détecter 

des chevaux de Troie, des vers et des enregistreurs de frappe 

Si vous choisissez de gérer vous-même les chevaux de Troie, les vers ou les 

détections d'enregistreur de frappe, vous pouvez configurer l'action à effectuer 

quand ces processus sont détectés. Cette action est toujours utilisée quand les 

analyses proactives des menaces font une détection. Par exemple, vous pourriez 

définir l'action pour consigner seulement. Si une analyse proactive des menaces 

détecte un processus qu'elle classe comme positif vrai, le client consigne la 

détection. Le client ne met pas le processus en quarantaine. 

Vous pouvez également définir différents niveaux de sensibilité pour la détection 

des chevaux de Troie et des vers et la détection des enregistreurs de frappe. Le 

niveau de sensibilité détermine à quel point les analyses proactives des menaces 

doivent être sensibles quand elles analysent des processus. Une sensibilité plus 

élevée aboutit à davantage de détections. N'oubliez pas que certaines de ces 

détections peuvent être des faux positifs. Définir un niveau de sensibilité plus bas 

ou plus haut peut ne pas modifier le pourcentage des faux positifs produits par



109 

les analyses proactives des menaces. Il modifie seulement le nombre total de 

détections. 

Vous pourriez vouloir maintenir le niveau de sensibilité plus bas jusqu'à ce que 

vous consultiez les résultats des analyses proactives des menaces sur votre 

ordinateur. Si les analyses proactives des menaces ne produisent aucune détection 

à un plus bas niveau de sensibilité, vous pouvez augmenter la sensibilité. 

Vous pouvez cliquer sur Aide pour plus d'informations sur les options qui sont 

utilisées dans la procédure. 

Pour définir l'action et le niveau de sensibilité pour les chevaux de Troie et les vers 



paramètres. 


menaces, dans l'onglet Détails de l'analyse, sous Chevaux de Troie et virus, 

assurez-vous que la case Rechercher les chevaux de Troie et les vers est 

cochée, puis décochez Utiliser les paramètres par défaut définis par 

Symantec. 

4 Sous Sensibilité, déplacez le curseur vers la gauche ou la droite pour diminuer 

ou augmenter la sensibilité respectivement. 

5 Dans la liste déroulante, cliquez sur Journal, Terminer ou Quarantaine. 


Pour définir l'action et le niveau de sensibilité pour des enregistreurs de frappe 


2 A côté de Protection proactive contre les menaces, cliquez sur Configurer les 

paramètres. 


menaces, dans l'onglet Détails de l'analyse, sous Enregistreurs de frappe, 

assurez-vous que la case Rechercher les enregistreurs de frappe est cochée, 

puis décochez Utiliser les paramètres par défaut définis par Symantec. 

4 Pour le degré de sensibilité, cliquez sur Bas ou Elevé. 

5 Dans la liste déroulante, cliquez sur Journal, Terminer ou Quarantaine. 

6 Cliquez sur OK.

110 


Configuration des notifications des détections de l'analyse proactive des menaces TruScan 

Spécification des types de processus détectés par les analyses 

proactives des menaces TruScan 

Vous pouvez configurer si les analyses proactives des menaces recherchent les 

chevaux de Troie et les vers ou les enregistreurs de frappe. Votre administrateur 

peut verrouiller certains de ces paramètres. 



Pour spécifier les types de processus détectés par les analyses proactives des 




paramètres. 


menaces, dans l'onglet Détails de l'analyse, sous Chevaux de Troie et virus, 

cochez ou décochez Rechercher les chevaux de Troie et les vers. 

4 Sous Enregistreurs de frappe, cochez ou supprimez la coche de Rechercher 

les enregistreurs de frappe. 


Configuration des notifications des détections de 

l'analyse proactive des menaces TruScan 

Vous pouvez configurer des messages qui s'afficheront quand les analyses 

proactives des menaces feront des détections. Par défaut, le client affiche les 

messages quand les détections se produisent. Vous êtes également notifié quand 

une détection exige que le client mette fin à des services ou arrête des processus. 

Remarque : Votre administrateur peut verrouiller ces paramètres. 

Vous pouvez cliquer sur Aide pour obtenir des informations supplémentaires sur 

les options utilisées dans la procédure. 

Pour activer ou désactiver les notifications des détections de l'analyse proactive 

des menaces TruScan 

1 Dans le client, cliquez sur Changer les paramètres. 

2 Près de Protection proactive contre les menaces, cliquez sur Configurer les 

paramètres.


Soumission à Symantec Security Response des informations sur les analyses proactives des menaces TruScan 

111 

3 Dans la boîte de dialogue Protection proactive contre les menaces, dans 

l'onglet Notifications, cochez Afficher un message en cas de détection. 

4 Cochez ou supprimez la coche Afficher un avertissement avant la fin d'un 

processus et Afficher un avertissement avant l'arrêt d'un service. 


Soumission à Symantec Security Response des 

informations sur les analyses proactives des menaces 

TruScan 

Par défaut, les analyses proactives des menaces soumettent à Symantec Security 

Response des informations sur des processus détectés. Quand les analyses 

soumettent des informations, Symantec analyse les informations pour déterminer 

si une menace est vraie. Si Symantec détermine que la menace est vraie, Symantec 

peut générer une signature pour traiter la menace. Symantec inclut la signature 

dans les versions mises à jour des définitions. 

Quand vous soumettez des informations sur un processus, la soumission inclut 

les informations suivantes : 

■ 

■ 

■ 

■ 

■ 

Le chemin d'accès à l'exécutable 

L'exécutable 

Les informations sur le fichier et les points de registre qui se rapportent à la 

menace 

Les informations d'état interne 

La version de contenu utilisée par l'analyse proactive des menaces 

Aucune coordonnée permettant d'identifier votre ordinateur n'est soumise. 

La soumission à Symantec Security Response des détections de l'analyse proactive 

des menaces est activée par défaut. 

Remarque : Votre administrateur peut verrouiller les paramètres de soumission. 


dans la procédure.

112 



Pour soumettre à Symantec Security Response des informations sur les analyses 

proactives contre les menaces TruScan 



paramètres. 

3 Dans la boîte de dialogue Paramètres de la protection antivirus et antispyware, 

sur l'onglet Transmissions, activez ou désactivez la case Transmettre 

automatiquementlesdétectionsdel'analyseproactivedesmenacesTruScan. 


Exclusion d'un processus des analyses proactives des 


Vous pouvez créer des exceptions pour les analyses proactives des menaces à 

moins que votre administrateur n'ait verrouillé les paramètres. 


Pour créer une exception, vous sélectionnez un fichier actuellement disponible 

sur votre ordinateur. Quand une analyse proactive des menaces détecte un 

processus actif qui utilise le fichier, le client applique l'action que vous spécifiez 

dans l'exception. 

Par exemple, vous pourriez exécuter une application sur votre ordinateur qui 

utilise un fichier appelé foo.exe. Une analyse proactive des menaces s'exécute 

quand foo.exe s'exécute. Le client détermine que foo.exe pourrait être malveillant. 

La boîte de dialogue de résultats d'analyse s'affiche et indique que le client a mis 

foo.exe en quarantaine. Vous pouvez créer une exception qui spécifie que les 

analyses proactives des menaces ignorent foo.exe. Le client restaure alors foo.exe. 

Quand vous exécutez foo.exe de nouveau, le client ignore foo.exe. 

Votre administrateur pourrait également créer des exceptions centralisées pour 

vos analyses. Si vous créez une exception centralisée qui entre en conflit avec une 

exception définie par l'administrateur, l'exception de l'administrateur a la priorité. 

Pour exclure un processus des analyses proactives des menaces TruScan 


2 A côté d'Exceptions centralisées, cliquez sur Configurer les paramètres. 

3 Sur l'onglet Exceptions définies par l'utilisateur, cliquez sur Ajouter puis 

sélectionnez Exception d'analyse proactive des menaces TruScan.



113 

4 Dans la boîte de dialogue Ajouter une exception à l'analyse des menaces 

proactiveTruScan, localisez le processus ou le fichier pour lequel vous voulez 

créer une exception. 

5 Dans la liste déroulante Action, sélectionnez Ignorer, Consigneruniquement, 

Quarantaine ou Terminer. 

6 Cliquez sur Ajouter. 

7 Dans la boîte de dialogue Exceptions centralisées, cliquez sur Fermer.

114 


Exclusion d'un processus des analyses proactives des menaces TruScan

Chapitre 

6 


contre les menaces réseau 


■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

■ 

A propos de la gestion de la protection contre les menaces réseau 

Gestion de la protection par pare-feu 

Fonctionnement du pare-feu 

A propos des règles de filtrage 

Ajout d'une règle de filtrage 

Modification de l'ordre d'une règle de filtrage 

Activation et désactivation des règles 

Exportation et importation de règles 

A propos des règles de filtrage intégrées 

Activation des paramètres de trafic et des paramètres de navigation Web 

furtive 

Activation du filtrage de trafic intelligent 

Activation du partage des fichiers et des imprimantes du réseau 

Blocage du trafic 

Configurer des paramètres spécifiques à une application 

Gestion de la protection de prévention des intrusions 

Fonctionnement de la protection de prévention des intrusions

116 

Gestion de la protection contre les menaces réseau 

A propos de la gestion de la protection contre les menaces réseau 

■ 

■ 

■ 

Activation ou désactivation des paramètres de prévention des intrusions 

Configuration des notifications de prévention d'intrusion 

Bloquer et débloquer un ordinateur attaquant 

A propos de la gestion de la protection contre les 

menaces réseau 

Le client Symantec Endpoint Protection protège votre ordinateur en surveillant 

les informations entrantes et sortantes, et en bloquant toute tentative d'attaque 

du réseau. 

Tableau 6-1 affiche les méthodes que la protection contre les menaces réseau 

utilise pour bloquer les attaques réseau contre votre ordinateur. 

Tableau 6-1 

Outil 

Pare-feu 

Outils de protection contre les menaces réseau 

Description 

Le pare-feu empêche les utilisateurs non autorisés d'accéder à 

l'ordinateur et aux réseaux qui se connectent à Internet. Il détecte 

les éventuelles attaques de pirates, protège les informations 

personnelles et élimine les sources indésirables de trafic réseau. 

Le pare-feu autorise ou bloque le trafic entrant et sortant. 

Se reporter à "Fonctionnement du pare-feu" à la page 118. 


Système de prévention 

contre les intrusions 

Le système de prévention d'intrusion (IPS) détecte et bloque 

automatiquement les attaques réseau. L'IPS analyse chaque paquet 

qui entre et sort d'un ordinateur pour des signatures d'attaque. 

Pour détecter et bloquer les activités réseau douteuses, IPS 

s'appuie sur une vaste liste de signatures d'attaque. Symantec 

fournit la liste des menaces connues, que vous pouvez mettre à 

jour sur le client à l'aide de Symantec LiveUpdate. Le moteur 

Symantec IPS et le jeu de signatures IPS correspondant sont 

installés sur le client par défaut. 

Se reporter à "Gestion de la protection de prévention des 

intrusions" à la page 136. 

Se reporter à "Fonctionnement de la protection de prévention des 

intrusions" à la page 137.



117 


Par défaut, le pare-feu autorise tout le trafic réseau entrant et sortant. Vous pouvez 

configurer le pare-feu pour autoriser ou bloquer des types de trafic spécifiques. 

Sur tout client, vous pouvez temporairement désactiver la protection contre les 

menaces réseau à des fins de dépannage. Par exemple, vous pourrez ne pas ouvrir 

une application. 

Se reporter à "Activation ou désactivation de la protection contre les menaces 

réseau" à la page 42. 

Votre administrateur détermine le niveau d'interaction avec le client en vous 

donnant la capacité de configurer des règles de filtrage, des paramètres de pare-feu 

et des paramètres de prévention des intrusions. Vous pouvez interagir avec le 

client seulement quand il vous informe de nouvelles connexions réseau et de 

problèmes possibles ou vous pouvez avoir l'accès complet à l'interface utilisateur. 

Tableau 6-2 affiche les tâches du pare-feu que vous pouvez effectuer pour protéger 


Tableau 6-2 

Opération 


Description 

Prendre 

connaissance du 

fonctionnement du 

pare-feu 

Ajouter des règles de 

filtrage 

Apprenez comment le pare-feu protège l'ordinateur contre des 

attaques réseau. 

Se reporter à "Fonctionnement du pare-feu" à la page 118. 

Complétez les règles de filtrage par défaut du client avec les règles 

de filtrage que vous configurez. Par exemple, vous pourrez bloquer 

une application que vous ne voulez pas exécuter sur votre ordinateur, 

tel qu'un logiciel publicitaire. 

Se reporter à "Ajout d'une règle de filtrage" à la page 124. 

Vous pouvez activer ou désactiver les règles de filtrage intégrées 

qui autorisent certains types de trafic. 

Se reporter à "Activation des paramètres de trafic et des paramètres 

de navigation Web furtive" à la page 128. 

Se reporter à "Activation du filtrage de trafic intelligent " 

à la page 129.

118 



Opération 

Contrôle de la 

protection par 

pare-feu 

Description 

Vous pouvez régulièrement vérifier l'état de protection par pare-feu 

sur votre ordinateur afin de voir si : 

■ 

■ 

■ 

Les règles de filtrage que vous avez créées fonctionnent 

correctement. 

Le client a bloqué toutes les attaques réseau. 

Le client a bloqué toutes les applications que vous avez prévues 

d'exécuter. 

Vous pouvez utiliser le journal du trafic et le journal des paquets 

pour vérifier l'état de protection par pare-feu. 

Se reporter à "Utiliser les journaux de protection contre les menaces 

réseau et de gestion des clients" à la page 163. 


La protection par pare-feu empêche des utilisateurs non autorisés d'accéder à vos 

ordinateurs et réseaux connectés à Internet. 

Les paquets de données qui circulent via Internet contiennent des informations 

sur les éléments suivants : 

■ 

■ 

■ 

■ 

Ordinateurs à l'origine de l'envoi 

Destinataires 

Mode de traitement des données du paquet 

Ports de réception des paquets 

Un paquet est un morceau de données qui fait partie du flux d'information entre 

deux ordinateurs. Les paquets sont rassemblés à leur destination pour apparaître 

comme un flux de données ininterrompu. 

Les ports sont les canaux qui divisent le flux de données issues d'Internet. Les 

applications qui s'exécutent sur un ordinateur écoutent les ports. Les applications 

acceptent les données envoyées aux ports. 

Les attaques réseau exploitent les failles dans les applications vulnérables. Les 

attaquants utilisent ces faiblesses pour envoyer des paquets qui contiennent du 

code de programmation malveillant aux ports. Quand les applications vulnérables 

écoutent les ports, le code malveillant permet aux attaquants d'accéder à 

l'ordinateur. 

Protection par pare-feu fonctionne en arrière-plan. La protection par pare-feu 

contrôle la communication entre vos ordinateurs et d'autres ordinateurs connectés 

sur Internet. Elle crée un bouclier qui autorise ou bloque les tentatives d'accès



119 

aux informations sur vos ordinateurs. Elle vous avertit des tentatives de connexion 

à partir d'autres ordinateurs. Elle vous avertit également des tentatives de 

connexion par les applications de votre ordinateur qui se connectent à d'autres 

ordinateurs. 

Internet 

Le pare-feu 

autorise ou 

bloque le trafic 

réseau 

Le pare-feu 

surveille les 

tentatives d'accès 

depuis Internet 

Ordinateur client 

La protection par pare-feu utilise des règles de filtrage pour autoriser ou bloquer 

le trafic réseau. 

Se reporter à "A propos des règles de filtrage" à la page 119. 


Quand un ordinateur essaye de se connecter à un autre ordinateur, le pare-feu 

compare le type de connexion à sa liste des règles de filtrage. Le pare-feu vérifie 

automatiquement tous les paquets de trafic entrants et sortants en fonction de 

ces règles. Le pare-feu autorise ou bloque alors les paquets en fonctoin des 

informations spécifiées dans les règles. 

Se reporter à "A propos des éléments d'une règle de filtrage" à la page 120. 

Se reporter à "Ajout d'une règle de filtrage" à la page 124.

120 



A propos des éléments d'une règle de filtrage 

Une règle de filtrage décrit les conditions dans lesquelles une connexion réseau 

peut être permise ou bloquée. Par exemple, une règle peut autoriser le trafic réseau 

entre le port distant 80 et l'adresse IP 192.58.74.0, entre 9 h et 17 h, de manière 

quotidienne. 

Tableau 6-3 décrit les conditions utilisés pour définir une règle de filtrage. 

Tableau 6-3 

Condition 

Déclencheurs 

Conditions de règle de filtrage 

Description 

Applications, hôtes, protocoles et cartes réseau. 

Vous pouvez combiner les définitions de déclencheur pour former des 

règles plus complexes, comme d'identifier un protocole particulier par 

rapport à une adresse de destination spécifique. Lorsque le pare-feu 

évalue la règle, tous les déclencheurs doivent être vrais pour qu'une 

correspondance positive se produise. Si aucun déclencheur n'est vrai 

par rapport au paquet actuel, le pare-feu ne peut pas appliquer la règle. 

Conditions 

Planification et état d'écran de veille. 

Les paramètres conditionnels ne décrivent pas un aspect d'une connexion 

réseau. Au lieu de cela, les paramètres conditionnels déterminent l'état 

actif d'une règle. Les paramètres conditionnels sont facultatifs et non 

significatifs s'ils ne sont pas définis. Vous pouvez installer une 

planification ou identifier un état d'écran de veille qui détermine quand 

une règle est considérée active ou inactive. Le pare-feu n'évalue pas les 

règles inactives quand le pare-feu reçoit des paquets. 

Actions 

Autoriser ou bloquer et consigner ou ne pas consigner. 

Les paramètres d'action spécifient quelles mesures le pare-feu prend 

quand il trouve une correspondance avec une règle. Si la règle est 

sélectionnée en réponse à un paquet reçu, le pare-feu exécute toutes les 

actions. Le pare-feu permet ou bloque le paquet et les journaux ou ne 

consigne pas le paquet. 

Si le pare-feu permet le trafic, il laisse le trafic que la règle spécifie 

accéder à votre réseau. 

Si le pare-feu bloque le trafic, il bloque le trafic que la règle spécifie de 

sorte qu'il n'accède pas à votre réseau. 

Tableau 6-4 décrit les déclencheurs que vous pouvez définir dans une règle de 

filtrage.



121 

Tableau 6-4 

Déclencheur 

Application 

Hôte 

Protocole 

Déclencheurs de règle de filtrage 

Description 

Quand l'application est le seul déclencheur défini dans une règle 

d'autorisation de trafic, le pare-feu permet à l'application d'effectuer 

n'importe quelle opération réseau. L'application est la valeur 

significative, pas les opérations réseau que l'application effectue. Par 

exemple, supposez que vous permettiez Internet Explorer et ne 

définissiez aucun autre déclencheur. Les utilisateurs peuvent accéder 

aux sites distants qui utilisent HTTP, HTTPS, FTP, Gopher et n'importe 

quel autre protocole que le navigateur Web prend en charge. Vous pouvez 

définir des déclencheurs supplémentaires pour décrire les protocoles 

réseau et les hôtes particuliers avec lesquels on permet la 

communication. 

L'hôte local est toujours l'ordinateur client local et l'hôte distant est 

toujours un ordinateur distant placé ailleurs sur le réseau. Cette 

expression du rapport d'hôte est indépendante de la direction du trafic. 

Quand vous définissez des déclencheurs d'hôte, vous spécifiez l'hôte du 

côté distant de la connexion réseau décrite. 

Un déclencheur de protocole identifie un ou plusieurs protocoles réseau 

qui sont significatifs par rapport au trafic décrit. 

L'ordinateur d'hôte local possède toujours le port local et l'ordinateur 

distant possède toujours le port distant. Cette expression de la relation 

de ports est indépendante de la direction du trafic. 

Vous pouvez définir les types suivants de protocoles : 

■ 

■ 

■ 

■ 

■ 

Tous les protocoles IP 

Tout protocole. 

TCP 

Ports ou plages de ports. 

UDP 

Ports ou plages de ports. 

ICMP 

Type et code. 

Protocole IP spécifique 

Numéro de protocole (type d'IP). 

Exemples : Type 1 = ICMP, Type 6 = TCP, Type 17 = UDP 

Carte réseau 

Si vous définissez un déclencheur de carte réseau, la règle est appropriée 

seulement au trafic qui est transmis ou reçu en utilisant le type spécifié 

d'adaptateur. Vous pouvez spécifier n'importe quel adaptateur ou celui 

actuellement associés à l'ordinateur client. 

Se reporter à "A propos de l'inspection Stateful" à la page 122.

122 




A propos de l'inspection Stateful 

Le pare-feu utilise l'inspection "Stateful", un processus qui suit des informations 

sur des connexions actuelles telles que les adresses IP source et destination, les 

ports, les applications et ainsi de suite. Le client prend des décisions sur le trafic 

en utilisant ces informations de connexion avant d'examine des règles de filtrage. 

Par exemple, si une règle de filtrage autorise un client à se connecter à un serveur 

Web, le pare-feu consigne les informations de connexion. Lorsque le serveur 

répond, le pare-feu découvre l'attente d'une réponse du serveur Web au client et 

autorise le trafic du serveur Web vers le client ayant initié la connexion sans 

inspecter la base de règle. Une règle doit permettre le trafic sortant initial avant 

que le pare-feu ne consigne la connexion. 

L'inspection Stateful permet de simplifier les bases de règle car vous n'avez pas 

besoin de créer de règles autorisant le trafic dans les deux directions pour le trafic 

généralement initié dans une seule direction. Le trafic client typiquement lancé 

dans une direction inclut Telnet (port 23), HTTP (port 80) et HTTPS (port 443). 

Les clients initient ce trafic sortant de sorte qu'il vous suffit de créer une règle 

autorisant le trafic sortant pour ces protocoles. Le pare-feu permet le trafic de 

retour. 

En configurant seulement les règles sortantes, vous augmentez la sécurité client 

de la manière suivante : 

■ 

■ 

Réduction de la complexité de la base de règle. 

En supprimant la possibilité qu'un ver ou autre programme malveillant puisse 

établir des connexions avec un client sur des ports configurés pour le trafic 

sortant uniquement. Vous pouvez également configurer des règles de trafic 

entrant seulement, pour le trafic vers des clients qui n'en sont pas les 

initiateurs. 

L'inspection Stateful prend en charge toutes les règles qui régissent le trafic TCP. 

L'inspection Stateful ne prend pas en charge les règles qui filtrent le trafic ICMP. 

Pour ICMP, vous devez créer des règles autorisant le trafic dans les deux directions 

lorsque c'est nécessaire. Par exemple, si vous souhaitez que des clients utilisent 

la commande ping et reçoivent des réponses, vous devez créer une règle autorisant 

le trafic ICMP dans les deux directions. 

Se reporter à "A propos des connexions UDP" à la page 123.



123 

A propos des connexions UDP 

Dans le cas des communications UDP, le client analyse le premier datagramme 

UDP et applique l'action effectuée sur celui-ci à tous les datagrammes UDP suivants 

de la session en cours. Le trafic entrant ou sortant entre les mêmes ordinateurs 

est considéré comme faisant partie de la connexion UDP. 

Pour le trafic UDP à l'état activé, quand une connexion UDP est établie, la 

communication UDP entrante est autorisée, même si la règle de filtrage la bloque. 

Par exemple, si une règle bloque les communications UDP entrantes pour une 

application spécifique mais que vous choisissez d'autoriser un datagramme UDP 

sortant, toutes les communications UDP entrantes sont autorisées pour la session 

actuelle de l'application. Pour le trafic UDP sans état, vous devez créer une règle 

de filtrage pour autoriser la réponse de communication UDP entrante. 

Une session UDP expire après 60 secondes si l'application ferme le port. 

Se reporter à "A propos de l'inspection Stateful" à la page 122. 

A propos de l'ordre de traitement des règles 

Les règles de filtrage sont classées séquentiellement, de la priorité la plus élevée 

à la priorité la plus basse ou du haut vers le bas de la liste de règles. Si la première 

règle ne spécifie pas le mode de traitement d'un paquet, le pare-feu examine la 

deuxième règle. Ce processus se poursuit jusqu'à ce que le pare-feu trouve une 

correspondance. Si le pare-feu trouve une correspondance, le pare-feu prend 

l'action que la règle spécifie. Des règles de priorité ultérieures de niveau bas ne 

sont pas examinées. Par exemple, si une règle qui bloque tout le trafic est 

répertoriée en premier et est suivie d'une règle qui autorise tout le trafic, le client 

bloque tout le trafic. 


Vous pouvez commander des règles pour des fins d'exclusivité. Les règles les plus 

restrictives sont évaluées en premier et les règles les plus générales sont évaluées 

en dernier. Par exemple, vous devez placer les règles qui bloquent le trafic près 

du haut de la liste des règles. Les règles situées au bas de la liste peuvent autoriser 

le trafic. 

Les meilleures méthodes de création de base de règles incluent l'ordre des règles 

suivant : 

1. Règles qui bloquent tout le trafic. 

2. Règles qui autorisent tout le trafic. 

3. Règles qui autorisent ou bloquent des ordinateurs spécifiques.

124 



4. Règles qui autorisent ou bloquent des applications spécifiques, des services 

réseau et des ports. 

Tableau 6-5 affiche l'ordre dans lequel le pare-feu traite les règles et les paramètres. 

Tableau 6-5 

Priorité 

Premier 

Deuxième 

Troisième 

Quatrième 

Cinquième 

Sixième 

Ordre dans lequel le pare-feu traite des règles de filtrage et des 

paramètres 

Paramètre 

Signatures IPS personnalisées 

Paramètres de prévention d'intrusion, paramètres de trafic et paramètres 

de furtivité 

Filtres de trafic intelligents 

Règles de filtrage 

Vérification d'analyse de port 

Signatures IPS téléchargées via LiveUpdate 

Se reporter à "Modification de l'ordre d'une règle de filtrage" à la page 125. 


Quand vous ajoutez une règle de filtrage, vous devez décider quel effet la règle 

aura. Par exemple, vous pouvez permettre tout le trafic d'une source particulière 

ou bloquer les paquets UDP d'un site Web. 

Se reporter à "A propos des règles de filtrage" à la page 119. 

Se reporter à "A propos des éléments d'une règle de filtrage" à la page 120. 

Pour ajouter une règle de filtrage 


2 En regard de Protection contre les menaces réseau, cliquez sur Options > 

Configurer des règles de filtrage. 

3 Dans la boîte de dialogue Configurerlesrèglesdefiltrage, cliquez sur Ajouter. 

4 Sur l'onglet Général, tapez un nom pour la règle, puis cliquez sur Bloquer ce 

trafic ou Autoriser ce trafic. 

5 Pour définir les déclencheurs pour la règle, sélectionnez n'importe lequel des 

onglets suivants : 

■ 

Hôtes



125 

■ 

■ 

Ports et Protocoles 

Applications 

Pour plus d'informations sur les options de chaque onglet, cliquez sur Aide. 

6 Pour définir la période où la règle est active ou inactive, sous l'onglet de 

Planification, cliquez sur Activer la planification puis définissez une 

planification. 

7 Quand vous avez terminé d'apporter vos modifications, cliquez sur OK. 

8 Dans la boîte de dialogue Configurer les règles de filtrage, assurez-vous que 

la coche s'affiche dans la colonne Nom de règle pour activer la règle. 

Vous pouvez également modifier l'ordre dans lequel le pare-feu traite la règle. 

Se reporter à "Modification de l'ordre d'une règle de filtrage" à la page 125. 



Le pare-feu traite la liste des règles de filtrage de haut en bas. Vous pouvez 

déterminer la manière dont le pare-feu traite des règles de filtrage en modifiant 

leur ordre. Lorsque vous modifiez l'ordre, ce changement ne concerne que 

l'emplacement sélectionné. 

Remarque : Pour une meilleure protection, placez les règles les plus restrictives 

en premier, et les règles les moins restrictives en dernier. 

Se reporter à "A propos de l'ordre de traitement des règles" à la page 123. 


Pour modifier l'ordre d'une règle de filtrage 


2 En regard de Protection contre les menaces réseau, cliquez sur Options > 

Configurer des règles de filtrage. 

3 Dans la boîte de dialogue Configurer les règles de filtrage, sélectionnez la 

règle que vous voulez déplacer. 


■ 

Pour que le pare-feu traite cette règle avant la règle située au-dessus, 

cliquez sur la fléche orientée vers le haut.

126 



■ 

Pour que le pare-feu traite cette règle après la règle située au-dessous, 

cliquez sur la fléche orientée vers le bas. 

5 Quand vous avez terminé de déplacer les règles, cliquez sur OK. 


Vous devez activer des règles de sorte que le pare-feu puisse les traiter. Quand 

vous ajoutez des règles, elles sont automatiquement activées. 

Vous pouvez désactiver temporairement une règle de filtrage si vous devez 

accorder un accès spécifique à un ordinateur ou un programme. 


Pour activer et désactiver des règles 


2 Près de Protection contre les menaces réseau, cliquez sur Options > 

Configurer les règles de filtrage. 

3 Dans la boîte de dialogue Configurer les règles de filtrage, dans la colonne 

Nom de la règle, sélectionnez ou désélectionnez la case à cocher située en 

regard de la règle que vous voulez activer ou désactiver. 


Exportation et importation de règles 

Vous pouvez partager les règles avec un autre client pour éviter de les recréer. 

Vous pouvez exporter les règles d'un autre ordinateur et les importer sur votre 

ordinateur. Quand vous importez des règles, elles sont ajoutées au bas de la liste 

de règles de filtrage. Les règles importées ne remplacent pas des règles existantes, 

même si une règle importée est identique à une règle existante. 

Les règles exportées et les règles importées sont enregistrées dans un fichier .sar 


Pour exporter des règles 




3 Dans la boîte de dialogue Configurer les règles de filtrage, sélectionnez les 

règles que vous voulez exporter.



127 

4 Cliquez avec le bouton droit de la souris sur les règles et puis cliquez sur 

Exporter les règles sélectionnées. 

5 Dans la boîte de dialogue Exporter, tapez un nom de fichier et puis cliquez 

sur Enregistrer. 


Pour importer des règles 




3 Dans la boîte de dialogue Configurer les règles de filtrage, cliquez avec le 

bouton droit de la souris sur la liste des règles de filtrage puis cliquez sur 

Importer la règle… 

4 Dans la boîte de dialogue Importer, localisez le fichier .sar qui contient les 

règles que vous voulez importer. 

5 Cliquez sur Ouvrir. 



La protection contre les menaces réseau inclut des règles qui autorisent certains 

types de trafic. Vous pouvez activer ou désactiver ces règles plutôt que d'en ajouter 

vous même. 


Votre administrateur peut choisir de vous accorder ou non la permission de 

personnaliser ces paramètres. 

Par défaut, le pare-feu permet la plupart de trafic TCP/IP, excepté IPv6. 

Vous pouvez activer ou désactiver les règles de filtrage intégrées suivantes : 

Filtres intelligents de 

trafic 

Autorise certains types de trafic spécifiques requis sur la plupart 

des réseaux. Ce type de trafic comprend le trafic DHCP, DNS et 

WINS. 

Se reporter à "Activation du filtrage de trafic intelligent " 

à la page 129.

128 


Activation des paramètres de trafic et des paramètres de navigation Web furtive 

Paramètres de trafic et 

de furtivité 

Active les fonctions de trafic supplémentaires telles que la 

protection NetBIOS, la gestion du trafic Token Ring, la fonction 

de requête DNS inversée et le mode furtif. 

Se reporter à "Activation des paramètres de trafic et des 

paramètres de navigation Web furtive" à la page 128. 

Vous pouvez désactiver la protection momentanément, par exemple durant 

l'installation d'un nouveau logiciel. 



Vous pouvez également configurer les paramètres de Microsoft Windows 

Networking. 

Se reporter à "Activation du partage des fichiers et des imprimantes du réseau" 


Activation des paramètres de trafic et des paramètres 

de navigation Web furtive 

Vous pouvez permettre à divers paramètres du trafic et paramètres furtifs de 

navigation web de se protéger contre certains types d'attaques réseau sur le client. 

Vous pouvez permettre à des paramètres de trafic de détecter et de bloquer le 

trafic qui communique par les pilotes, NetBIOS et les anneaux à jeton. Vous pouvez 

également configurer des paramètres pour détecter le trafic qui utilise des attaques 

moins visibles. Vous pouvez également contrôler le comportement pour le trafic 

IP qui ne correspond à aucune règle de filtrage. Après que le pare-feu ait terminé 

certaines opérations, la commande est transmise à un certain nombre de 

composants. Chaque composant est conçu pour effectuer un type différent 

d'analyse de paquet. 

Se reporter à "Activation du filtrage de trafic intelligent " à la page 129. 

Pour activer des paramètres de trafic et des paramètres de navigation Web furtive 


2 Près de Protection contre les menaces réseau, cliquez sur Configurer les 

paramètres. 

3 Dans la boîte de dialogue Paramètres de protection contre les menaces réseau, 

cliquez sur Pare-feu.



129 

4 Sur l'onglet Pare-feu, dans les zones de grtoupe Paramètres de trafic et 

Paramètres de furtivité, cochez les cases pour activer les paramètres. 



Les filtres intelligents de trafic permettent l'échange normal de certains services 

de réseau essentiels sans définir les règles qui autorisent explicitement ces services. 

Pendant le traitement, ces filtres sont évalués avant les règles de filtrage de sorte 

que les paquets correspondant à une occurrence active d'une règle intrinsèque 

soient permis. Vous pouvez définir les règles intrinsèques des services DHCP, 

DNS et WINS. Les demandes de ces services proviennent de l'ordinateur client, 

et l'intervention du serveur se produit au bout d'un temps prédéfini de 5 secondes. 

Cette intervention est vérifiée pour s'assurer qu'elle est valide pour la demande 

du client. 

Les filtres de trafic intelligents autorise le paquet si une demande a été faite. Ils 

ne bloquent pas les paquets. Les règles de filtrage autorisent ou bloquent des 

paquets. 

Se reporter à "Activation des paramètres de trafic et des paramètres de navigation 

Web furtive" à la page 128. 

Activation du filtrage du trafic intelligent 


2 A côté de Protection contre les menaces réseau, cliquez sur Configurer les 

paramètres . 

3 Dans la boîte de dialogue Paramètres de protection contre les menaces 

réseau, cliquez sur Pare-feu. 

4 Cochez une ou plusieurs des cases suivantes : 

■ 

■ 

■ 

Activer Smart DHCP 

Activer Smart DNS 

Activer Smart WINS 

5 Cliquez sur OK.

130 



Activation du partage des fichiers et des imprimantes 

du réseau 

Vous pouvez permettre au client de partager ses fichiers ou d'accéder à des fichiers 

et des imprimantes partagés sur votre réseau local. Pour empêcher des attaques 

basées sur le réseau, vous pouvez désactiver le partage des fichiers et des 

imprimantes du réseau. 

Vous pouvez activer le partage des fichiers et des imprimantes du réseau des 

manières suivantes : 

■ 

■ 

Activation automatique des paramètres de partage des fichiers et des 

imprimantes du réseau sous l'onglet Réseau Microsoft Windows. 

Toute règle de filtrage bloquant ce trafic est prioritaire sur ces paramètres. 

Activation manuelle du partage des fichiers et des imprimantes du réseau en 

ajoutant des règles de filtrage. 

Vous pouvez ajouter des règles de filtrage afin d'avoir plus de flexibilité par 

rapport aux paramètres. Par exemple, quand vous créez une règle, vous pouvez 

spécifier un hôte particulier au lieu de l'ensemble des hôtes. Les règles de 

filtrage autorisent l'accès aux ports pour l'accès aux fichiers et aux imprimantes 

ainsi que leur partage. Vous créez un ensemble de règles de filtrage permettant 

au client de partager ses fichiers. Vous créez un second ensemble de règles de 

filtrage de sorte que le client puisse accéder à d'autres fichiers et imprimantes. 

Votre administrateur n'a peut-être pas activé cette option sur le client. Les 

utilisateurs sur le client peuvent activer ces paramètres automatiquement. 

Se reporter à "A propos des règles de filtrage intégrées" à la page 127. 

Pour activer automatiquement le partage des fichiers et des imprimantes du réseau 



paramètres. 


cliquez sur Réseau Microsoft Windows. 

4 Dans l'onglet Réseau Microsoft Windows, cliquez sur Rechercherlesfichiers 

et les imprimantes sur le réseau pour accéder aux autres ordinateurs et 

imprimantes au sein du réseau. 

5 Pour permettre à d'autres ordinateurs d'accéder aux fichiers de votre 

ordinateur, cliquez sur Partager mes fichiers et mes imprimantes sur le 

réseau. 

6 Cliquez sur OK.



131 

Pour permettre manuellement aux clients d'accéder aux fichiers et imprimantes 




3 Dans la boîte de dialogue Configurer les règles de filtrage, cliquez sur Ajouter. 

4 Sous l'onglet Général, tapez un nom pour la règle et cliquez sur Autoriser ce 

trafic. 

5 Sous l'onglet Ports et protocoles, dans la liste déroulante Protocole, cliquez 

sur TCP. 

6 Dans la liste déroulante Ports distants, tapez 88, 135, 139, 445. 



9 Sur l'onglet Général, tapez un nom pour la règle puis cliquez sur Autoriser 

ce trafic. 

10 Sous l'onglet Ports et protocoles, dans la liste déroulante Protocole, cliquez 

sur UDP. 

11 Dans la liste déroulante Ports distants, tapez 88. 

12 Dans la liste déroulante Ports locaux, tapez 137, 138. 


Pour permettre manuellement aux autres ordinateurs d'accéder aux fichiers sur le 

client 






ce trafic. 

5 Dans la liste déroulante Protocole de l'onglet Ports et protocoles, cliquez sur 

TCP. 

6 Dans la liste déroulante Ports locaux, tapez 88, 135, 139, 445. 


8 Dans la boîte de dialogue Configurer les règles de filtrage, cliquez sur Ajouter.

132 




ce trafic. 

10 Dans la liste déroulante Protocole de l'onglet Ports et protocoles, cliquez sur 

UDP. 

11 Dans la liste déroulante Ports locaux, tapez 88, 137, 138. 



Vous pouvez configurer votre ordinateur pour bloquer le trafic entrant et le trafic 

sortant dans les situations suivantes : 

■ 

■ 

■ 

Quand l'écran de veille de votre ordinateur est activé. 

Vous pouvez configurer votre ordinateur de manière à bloquer l'ensemble du 

trafic Voisinage réseau entrant et sortant lorsque l'économiseur d'écran de 

l'ordinateur est activé. Dès que l'écran de veille est désactivé, votre ordinateur 

revient au niveau de sécurité précédemment attribué. 

Quand le pare-feu ne s'exécute pas. 

L'ordinateur n'est pas protégé entre le démarrage de l'ordinateur client et 

l'activation du service de pare-feu ni entre la désactivation du service de 

pare-feu et l'arrêt de l'ordinateur. Cette période est une petite faille de sécurité 

qui peut permettre une communication non autorisée. 

Quand vous voulez bloquer tout le trafic entrant et sortant à tout moment. 

Vous pouvez vouloir bloquer tout le trafic quand un virus particulièrement 

destructeur attaque votre réseau d'entreprise ou sous-réseau. Vous ne bloquerez 

pas tout le trafic dans des circonstances normales. 

Remarque : Votre administrateur peut configurer cette option pour la rendre 

indisponible. Vous ne pouvez pas bloquer le trafic sur un client autogéré. 

Vous pouvez permettre tout le trafic en désactivant la protection contre les 

menaces réseau. 






133 

Pour bloquer le trafic quand l'écran de veille est activé 



paramètres. 


cliquez sur Réseau Microsoft Windows. 

4 Sur l'onglet Réseau Microsoft Windows, cliquez sur le Bloquerletraficréseau 

Microsoft Windows lorsque l'écran de veille est activé. 


Pour bloquer le trafic quand le pare-feu ne s'exécute pas 


2 En regard de Protection contre les menaces réseau, cliquez sur Configurer 

les paramètres. 


cliquez sur Pare-feu. 

4 Sur l'onglet Pare-feu, cliquez sur Bloquer l'ensemble du trafic jusqu'à 

l'activation du pare-feu et après sa désactivation. 

5 En option, cliquez sur Autoriser le trafic DHCP et NetBIOS initial. 


Pour bloquer tout le trafic à tout moment 

1 Dans le client, dans la barre latérale cliquez sur Etat. 


l'activité réseau… 

3 Cliquez sur Outils > Bloquer l'ensemble du trafic. 

4 Pour confirmer, cliquez sur Oui. 

5 Pour retourner aux paramètres de pare-feu utilisés précedemment par le 

client, supprimez la coche Outils > Bloquer l'ensemble du trafic. 

Configurer des paramètres spécifiques à une 

application 

Vous pouvez configurer les paramètres pour une application qui s'est exécutée 

depuis le démarrage du service de client ou a demandé la permission d'accéder 

au réseau.

134 



Vous pouvez configurer des restrictions telles que les adresses IP et les ports que 

l'application peut utiliser. Vous pouvez afficher et modifier la mesure que le client 

prend pour chaque application qui essaye d'accéder par votre connexion réseau. 

En configurant les paramètres pour une application spécifique, vous créez une 

règle de filtrage basée sur l'application. 

Remarque : S'il y a un conflit entre une règle de filtrage et un paramètre spécifique 

à d'application, la règle de filtrage a la priorité. Par exemple, une règle de filtrage 

qui bloque tout le trafic entre 1h00 et 8h00 remplace la planification pour une 

application vidéo spécifique. 


Les applications qui apparaissent dans la boîte de dialogue Activité réseau sont 

les applications et les services qui se sont exécutés depuis que le service client a 

démarré. 

Pour configurer les paramètres spécifiques à des applications 


2 A côté de Protection contre les menaces réseau, cliquez sur Options>Afficher 

les paramètres d'application. 

3 Dans la boîte de dialogue Afficher les paramètres des applications, 

sélectionnez l'application à configurer, puis cliquez sur Configurer. 

4 Dans la boîte de dialogue Configurer les paramètres de l'application, dans la 

zone de texte IPSapprouvésdel'application, saisissez une adresse IP ou une 

plage d'IP. 

5 Dans les zones de texte Ports de serveur distant ou Ports locaux, sélectionnez 

un port TCP ou UDP. 

6 Pour spécifier la direction du trafic, cliquez sur l'un des éléments suivants 

ou les deux : 

■ 

■ 

Pour permettre le trafic sortant, cliquez sur Permettre les connexions 

sortantes. 

Pour permettre le trafic entrant, cliquez sur Permettre les connexions 

entrantes. 

7 Pour appliquer la règle quand l'écran de veille s'exécute, cliquez sur le 

Permettre lorsque l'écran de veille est activé. 

8 Pour configurer une planification des périodes où les restrictions sont ou ne 

sont pas en vigueur, cliquez sur Activer la planification. 

9 Sélectionnez l'un des éléments suivants :



135 

■ 

■ 

Pour spécifier le moment où les restrictions sont en vigueur, cliquez sur 

Au cours de la période ci-dessous. 

Pour spécifier le moment où les restrictions ne sont pas en vigueur, cliquez 

sur A l'exclusion de la période ci-dessous. 

10 Configurez la planification. 


12 Dans la boîte de dialogue Afficher les paramètres d'application, pour modifier 

l'action, cliquez avec le bouton droit de la souris sur l'application puis cliquez 

sur Autoriser ou Bloquer. 


Pour arrêter une application ou un service 



l'activité réseau. 

3 Dans le champ Applications en cours, cliquez avec le bouton droit de la souris 

sur l'application, puis cliquez sur Terminer. 

4 Pour confirmer, cliquez sur Oui, puis cliquez sur Fermer. 

Suppression des restrictions d'une application 

Vous pouvez supprimer les restrictions de l'application, telles que l'heure à laquelle 

le pare-feu bloque une application. Quand vous supprimez les restrictions, l'action 

effectuée par le client sur l'application est également effacée. Quand l'application 

ou le service essaye de se connecter au réseau de nouveau, un message peut vous 

demander de nouveau s'il faut permettre ou bloquer l'application. 

Vous pouvez arrêter une application ou un service jusqu'à ce que l'application 

essaye d'accéder à votre ordinateur de nouveau, comme quand vous redémarrez 

l'ordinateur. 

Se reporter à "Configurer des paramètres spécifiques à une application" 


Pour supprimer les restrictions d'une application 



les paramètres des applications. 

3 Dans la boîte de dialogue Afficher les paramètres des applications, faites une 

des actions suivantes :

136 



■ 

■ 

Pour supprimer une application de la liste, sélectionnez-la et puis cliquez 

sur Supprimer. 

Pour supprimer toutes les applications de la liste, cliquez sur Supprimer 

tout. 

4 Cliquez sur Oui. 



Vous pouvez gérer la protection de prévention des intrusion à la page Politiques. 

La gestion de la protection de prévention des intrusions fait partie de la protection 

contre les menaces réseau. 

Tableau 6-6 affiche les tâches de prévention des intrusions que vous pouvez 

effectuer pour protéger votre ordinateur. 

Tableau 6-6 

Opération 


Description 

En savoir plus sur la prévention des 

intrusions 

Découvrez comment prévention des intrusions détecte 

et bloque les attaques réseau. 

Assurez-vous que des paramètres 

Prévention d'intrusion sont activés 

Se reporter à "Fonctionnement de la protection de 

prévention des intrusions" à la page 137. 

Vérifiez régulièrement que la prévention des 

intrusions est activée sur vos ordinateurs. 

Se reporter à "Activation ou désactivation des 

paramètres de prévention des intrusions" à la page 138. 

Télécharger les signatures IPS les 

plus récentes. 

Télécharger les signatures IPS les plus récentes. Par 

défaut, LiveUpdate télécharge les signatures IPS. 

Cependant, vous pouvez vouloir télécharger les 

signatures IPS immédiatement. 

Se reporter à "Mise à jour de la protection de 

l'ordinateur" à la page 32. 



Fonctionnement de la protection de prévention des intrusions 

137 

Fonctionnement de la protection de prévention des 

intrusions 

La protection de prévention des intrusions détecte et bloque automatiquement 

les attaques réseau. La protection de prévention des intrusions analyse chaque 

paquet qui entre et sort d'un ordinateur à la recherche de signatures d'attaque. 

Une signature d'attaque est une combinaison unique d'informations qui identifie 

la tentative d'exploitation d'une vulnérabilité connu d'un système d'exploitation 

ou programme par un attaquant. 

La protection de prévention des intrusions utilise la liste exhaustive de signatures 

d'attaque de Symantec. 

http://securityresponse.symantec.com/avcenter/attack_sigs/index.html 

La protection de prévention des intrusions peut également bloquer toute la 

communication depuis et vers un ordinateur attaquant pendant une période 

spécifiée. 

Se reporter à "Gestion de la protection de prévention des intrusions" à la page 136. 

Se reporter à "Activation ou désactivation des paramètres de prévention des 


Figure 6-1 

Protection de prévention des intrusions 

Attaquant 

Ordinateur client

138 


Activation ou désactivation des paramètres de prévention des intrusions 

Activation ou désactivation des paramètres de 

prévention des intrusions 

Par défaut, les paramètres de prévention des intrusions sont désactivés. Vous 

pouvez vouloir désactiver les paramètres IPS à des fins de dépannage ou si 

l'ordinateur client détecte des faux positifs excessifs. 

Vous pouvez activer ou désactiver les paramètres suivants : 

■ 

■ 

■ 

Les signatures du système de prévention d'intrusion qui détectent et empêchent 

les attaques réseau. 

Les paramètres de prévention d'intrusion qui empêchent les analyses de port 

et les attaques par déni de service. 

L'intervention active, qui bloque automatiquement les ordinateurs qui envoient 

des attaques. 

Typiquement, quand vous désactivez les paramètres de prévention d'intrusion 

sur votre ordinateur, votre ordinateur est moins sécurisé. Cependant, vous pouvez 

devoir désactiver ces paramètres pour éviter des faux positifs ou pour dépanner 

les ordinateurs client. 

Le client consigne les attaques et les événements de sécurité que le système de 

prévention d'intrusion détecte dans le journal de sécurité. Le client peut consigner 

les attaques et les événements dans le journal des paquets. 

Se reporter à "Fonctionnement de la protection de prévention des intrusions" 


Remarque : Votre administrateur peut configurer ces options pour les rendre 

indisponibles. 

Pour activer ou désactiver des paramètres de prévention des intrusions 



paramètres . 

3 Dans la boîte de dialogue Paramètres de protection contre les menaces 

réseau, cliquez sur Prévention d'intrusion. 

4 Pour activer un paramètre, dans l'onglet Préventiond'intrusion, cochez l'une 

des cases suivantes : 

■ 

■ 

Activer la prévention d'intrusion 

Activer la détection de déni de service


Configuration des notifications de prévention d'intrusion 

139 

■ Activer la détection d'analyse de port 

Pour plus d'informations sur les paramètres, cliquez sur Aide. 


Configuration des notifications de prévention 

d'intrusion 

Vous pouvez configurer des notifications pour apparaître quand le client détecte 

une attaque réseau sur votre ordinateur ou quand il empêche une application 

d'accéder à votre ordinateur. Vous pouvez définir la durée d'apparition de ces 

notifications et si la notification se produit avec une annonce sonore. 

Vous devez activer le système de prévention d'intrusion pour que les notifications 

de prévention d'intrusion apparaissent. 

Remarque : Votre administrateur a pu configurer ces options pour qu'elles soient 

indisponibles. 

Pour configurer des notifications de prévention d'intrusion 



paramètres. 


cliquez sur Prévention d'intrusion. 

4 Cochez Afficher les notifications de prévention d'intrusion. 

5 Pour entendre un bip quand la notification apparaît, cochez Utiliserdeseffets 

sonores pour la notification des utilisateurs. 

6 Dans le champ Durée (en secondes) d'affichage des notifications, tapez un 

laps de temps pendant lequel les notifications doivent apparaître. 



Quand le client Symantec Endpoint Protection détecte une attaque réseau, il peut 

bloquer automatiquement la connexion pour s'assurer que l'ordinateur client est 

sûr. Le client active une intervention active, qui bloque automatiquement toute 

communication depuis et vers l'adresse IP de l'ordinateur attaquant pendant un

140 



laps de temps défini. L'adresse IP de l'ordinateur attaquant est bloquée pour un 

unique emplacement. 

Les signatures IPS mises à jour, les signatures de déni de service mises à jour et 

les analyses de port déclenchent également une intervention active. 

Vous pouvez afficher l'adresse IP de l'ordinateur attaquant dans le journal de 

sécurité. Vous pouvez également débloquer une attaque en arrêtant l'intervention 

active dans le journal de sécurité. 

Se reporter à "Activation ou désactivation des paramètres de prévention des 


Se reporter à "Blocage du trafic" à la page 132. 

Pour bloquer un ordinateur attaquant 



paramètres. 


cliquez sur Prévention d'intrusion. 

4 Cochez Durée (en secondes) du blocage automatique de l'adresse IP d'un 

pirate, puis introduisez le nombre de secondes. 

Introduisez un nombre d'une seconde à 999.999 secondes. La durée par défaut 

est 600 secondes ou 10 minutes. 


Si vous ne souhaitez pas patienter pendant le délai requis pour débloquer 

l'adresse IP, vous pouvez la débloquer immédiatement. 

Pour débloquer un ordinateur attaquant 

1 Dans le client, dans la barre latérale, cliquez sur Afficher les journaux. 

2 Près de Gestion des clients, cliquez sur Afficher les journaux > Journal de 

sécurité. 

3 Dans le journal de sécurité, sélectionnez la ligne qui contient l'intervention 

active dans la colonne de type d'événement et puis cliquez sur Opération > 

Arrêter l'intervention active. 

Pour débloquer les adresses IP bloquées, cliquez sur Opération > Arrêter 

toutes les interventions actives. Si vous débloquez une intervention active, 

la colonne de type d'événement affiche l'intervention active annulée. Si le 

délai d'intervention active est dépassé, la colonne de type d'événement affiche 

Intervention active désengagée.



141 

4 Dans la zone de message qui apparaît, cliquez sur OK. 

5 Cliquez sur Fichier > Quitter.

142 


Bloquer et débloquer un ordinateur attaquant

Section 

3 

Gestion de la protection sur 

le client Symantec Network 

Access Control 

■ 

Chapitre 7. Gestion de Network Access Control

144

Chapitre 

7 

Gestion de Network Access 

Control 


■ 

■ 

■ 

■ 

■ 

■ 

Fonctionnement de Symantec Network Access Control 

Exécution d'une vérification de l'intégrité de l'hôte 

A propos de la mise à jour de la politique d'intégrité de l'hôte 

Réparation de l'ordinateur 

Afficher les journaux Network Access Control 

Fonctionnement du client avec un module d'application Enforcer 

■ Configuration du client pour l'authentification 802.1x 


Le client Symantec Network Access Control valide et impose la conformité aux 

politiques pour les ordinateurs qui essayent de se connecter au réseau. Ce processus 

de validation et d'application commence avant que l'ordinateur ne se connecte 

au réseau et continue durant toute la durée de la connexion. La politique d'intégrité 

de l'hôte est la politique de sécurité qui sert de base à toutes les évaluations et 

actions. 

Tableau 7-1 décrit le processus que Network Access Control utilise pour imposer 

la conformité des politiques sur l'ordinateur client.

146 

Gestion de Network Access Control 


Tableau 7-1 

Action 

Comment Symantec Network Access Control fonctionne 

Description 

Le client évalue 

continuellement sa 

conformité. 

Vous activez l'ordinateur client. Le client exécute une 

vérification de l'intégrité de l'hôte qui compare la 

configuration de l'ordinateur à la politique d'intégrité de 

l'hôte téléchargée depuis le serveur de gestion. 

Symantec Enforcer 

authentifie l'ordinateur 

client et lui accorde l'accès 

au réseau ou bloque et met 

en quarantaine les 

ordinateurs non conformes. 

Votre administrateur peut 

avoir installé la politique de 

sorte qu'une vérification de 

l'intégrité de l'hôte réussisse 

même si une exigence 

spécifique échoue. 

Le client résout les 

ordinateurs non conformes. 

La vérification de l'intégrité de l'hôte évalue la conformité 

de votre ordinateur à la politique d'intégrité de l'hôte pour 

le logiciel antivirus, les correctifs, les hotfixes et d'autres 

exigences de sécurité. Par exemple, la politique peut vérifier 

le moment auquel ses définitions antivirus ont été mises à 

jour et les derniers correctifs appliqués au système 

d'exploitation. 

Si l'ordinateur répond à toutes les exigences de la politique, 

le contrôle d'intégrité réussit. Enforcer accorde le plein accès 

au réseau aux ordinateurs qui passent la vérification de 

l'intégrité de l'hôte. 

Si l'ordinateur ne répond pas aux exigences de la politique, 

la vérification de l'intégrité de l'hôte échoue. Quand une 

vérification de l'intégrité de l'hôte échoue, le client ou 

Symantec Enforcer bloque votre ordinateur ou le met en 

quarantaine jusqu'à ce que vous résolviez le problème. Les 

ordinateurs en quarantaine ont un accès limité ou nul au 

réseau. 

Se reporter à "Fonctionnement du client avec un module 

d'application Enforcer" à la page 149. 

Le client peut afficher une notification chaque fois que la 

vérification de l'intégrité de l'hôte réussit. 

Se reporter à "Réaction aux notifications de Network Access 

Control" à la page 28. 

Si le client constate qu'une spécification de la politique 

d'intégrité de l'hôte n'est pas satisfaite, il installe ou vous 

demande d'installer le logiciel requis. Quand votre 

ordinateur est conforme, il essaye d'accéder au réseau de 

nouveau. Si l'ordinateur est entièrement conforme, le réseau 

accorde l'accès au réseau. 

Se reporter à "Réparation de l'ordinateur" à la page 148.



147 

Action 

Description 

Le client contrôle 

proactivement la conformité. 

Le client contrôle activement l'état de conformité pour tous 

les ordinateurs client. Si, à un moment quelconque, l'état 

de conformité de l'ordinateur change, les droits d'accès au 

réseau de l'ordinateur font de même. 

Vous pouvez afficher plus d'informations sur les résultats de vérification de 

l'intégrité de l'hôte dans Journal de sécurité. 


Votre administrateur configure la fréquence selon laquelle le client exécute une 

vérification de l'intégrité de l'hôte. Vous pouvez devoir exécuter une vérification 

de l'intégrité de l'hôte immédiatement plutôt qu'attendre le contrôle suivant. Par 

exemple, l'échec d'une vérification de l'intégrité de l'hôte peut indiquer que vous 

devez mettre à jour l'application antivirus sur votre ordinateur. Le client peut 

vous permettre de choisir de télécharger le logiciel requis immédiatement ou de 

reporter le téléchargement. Si vous téléchargez le logiciel immédiatement, vous 

devez exécuter la vérification de l'intégrité de l'hôte de nouveau pour vérifier que 

vous avez le logiciel correct. Vous pouvez attendre la vérification de l'intégrité 

de l'hôte planifiée suivante ou exécuter le contrôle immédiatement. 

Pour exécuter une vérification de l'intégrité de l'hôte 


2 en regard de Network Access Control, cliquez sur Options > Vérifier 

maintenant. 

3 Si un message apparaît pour confirmer que la vérification de l'intégrité de 

l'hôte s'est exécutée, cliquez sur OK. 

Si vous aviez été bloqué pour l'accès au réseau, vous devriez regagner l'accès 

au réseau quand votre ordinateur a été mis à jour pour être conforme à la 

politique de sécurité. 

A propos de la mise à jour de la politique d'intégrité 

de l'hôte 

Le client met à jour la politique d'intégrité de l'hôte à intervalles réguliers. Votre 

administrateur peut demander que vous mettiez à jour la politique d'intégrité de 

l'hôte avant la mise à jour planifiée suivante aux fins de test. Autrement, vous 

n'avez pas besoin de mettre à jour la politique.

148 





Si le client constate qu'une spécification de politique d'intégrité de l'hôte n'est 

pas satisfaite, il réagit de l'une des manières suivantes : 

■ 

■ 

Le client télécharge automatiquement la mise à jour du logiciel. 

Le client vous invite à télécharger la mise à jour logicielle requise. 

Pour corriger votre ordinateur 

◆ 

Dans la boîte de dialogue Symantec Endpoint Protection qui apparaît, faites 

une des actions suivantes : 

■ 

■ 

■ 

Pour vérifier les exigences de sécurité auxquelles votre ordinateur ne 

satisfait pas, cliquez sur Détails. 

Pour installer immédiatement le logiciel, cliquez sur Restaurer 

Vous pouvez ou non avoir l'option d'annuler l'installation après qu'elle 

ait commencé. 

Pour reporter l'installation du logiciel, cliquez sur Me le rappeler dans et 

sélectionnez un délai dans la liste déroulante. 

L'administrateur peut configurer le nombre de fois maximal où 

l'installation peut être reportée. 

Afficher les journaux Network Access Control 

Le client Symantec Network Access Control utilise les journaux suivants pour 

contrôler différents aspects de son fonctionnement et de la vérification de 

l'intégrité de l'hôte : 

Sécurité 

Système 

Enregistre les résultats et l'état de vérifications de l'intégrité de l'hôte. 

Enregistre toutes les modifications opérationnelles pour le client, tel 

que la connexion au serveur de gestion et les mises à jour de la 

politique de sécurité client. 

Si vous utilisez un client géré, les deux journaux peuvent être régulièrement 

envoyés au serveur. Votre administrateur peut utiliser le contenu des journaux 

pour analyser l'état global de la sécurité du réseau. 

Vous pouvez exporter les données de ces journaux.


Fonctionnement du client avec un module d'application Enforcer 

149 

Pour afficher les journaux Symantec Network Access Control 


2 Pour afficher le journal système, à côté de Network Access Control, cliquez 

sur Options > Afficher les journaux. 

3 Pour afficher le journal de sécurité, dans la boîte de dialogue Journaux de 

gestion des clients - journal système, cliquez sur Affichage > Journal de 

sécurité. 

4 Cliquez sur Fichier> Quitter. 

Se reporter à "A propos des journaux" à la page 157. 

Fonctionnement du client avec un module 

d'application Enforcer 

Le client interagit avec Symantec Enforcer. Enforcer s'assure que tous les 

ordinateurs qui se connectent au réseau qu'il protège exécutent le logiciel client 

et ont une politique de sécurité correcte. 

Se reporter à "Fonctionnement de Symantec Network Access Control" à la page 145. 

Enforcer doit authentifier l'utilisateur ou l'ordinateur client avant d'autoriser à 

l'ordinateur client à accéder au réseau. Symantec Network Access Control 

fonctionne avec plusieurs types de modules Enforcer pour authentifier l'ordinateur 

client. Symantec Enforcer est le boîtier de matériel réseau qui contrôle les résultats 

d'intégrité de l'hôte et l'identité de l'ordinateur client avant de permettre l'accès 

au réseau d'ordinateurs. 

Enforcer vérifie les informations suivantes avant de permettre aux clients d'accéder 

au réseau : 

■ 

■ 

■ 

■ 

Version du logiciel client que l'ordinateur exécute. 

Le client a un identificateur unique (UID). 

Le client a été mis à jour avec la politique d'intégrité de l'hôte la plus récente. 

L'ordinateur client réussi la vérification de l'intégrité de l'hôte. 

Se reporter à "Configuration du client pour l'authentification 802.1x" à la page 149. 

Configuration du client pour l'authentification 802.1x 

Si votre réseau d'entreprise utilise LAN Enforcer pour l'authentification, 

l'ordinateur client doit être configuré pour utiliser l'authentification 802.1x. Vous

150 



ou votre administrateur devez configurer le client. Votre administrateur peut 

vous avoir autorisé ou non à configurer l'authentification 802.1x. 

Le procédé d'authentification 802.1x inclut les étapes suivantes : 

■ 

■ 

■ 

■ 

Un client non authentifié ou un supplicant tierce partie envoie les informations 

utilisateur et les informations de conformité à un commutateur réseau 802.1x 

géré. 

Le commutateur réseau retransmet les informations à LAN Enforcer. LAN 

Enforcer envoie les informations utilisateur au serveur d'authentification pour 

l'authentification. Le serveur RADIUS est le serveur d'authentification. 

Si le client échoue à l'authentification au niveau utilisateur ou n'est pas 

conforme à la politique d'intégrité de l'hôte, Enforcer peut bloquer l'accès au 

réseau. Enforcer place l'ordinateur client non conforme dans un réseau de 

quarantaine où l'ordinateur peut être corrigé. 

Après que le client ait corrigé l'ordinateur et l'ait rendu conforme, le protocole 

802.1x authentifie à nouveau l'ordinateur et lui accorde l'accès au réseau. 

Pour travailler avec LAN Enforcer, le client peut utiliser un supplicant tiers ou 

un supplicant intégré. 

Tableau 7-2 décrit les types d'options que vous pouvez configurer pour 

l'authentification 802.1x. 

Tableau 7-2 options d'authentification 802.1x 

Option 

Supplicant tiers 

Description 

Utilise un supplicant tiers 802.1x. 

LAN Enforcer fonctionne avec un serveur RADIUS et des 

supplicants tiers 802.1x pour effectuer l'authentification 

utilisateur. Le supplicant 802.1x vous demande les 

informations utilisateur, que LAN Enforcer passe au serveur 

RADIUS pour l'authentification au niveau utilisateur. Le client 

envoie le profil client et l'état d'intégrité de l'hôte à Enforcer 

de sorte qu'Enforcer authentifie l'ordinateur. 

Remarque : Si vous voulez utiliser le client Symantec 

Network Access Control avec un supplicant tiers, le module 

Protection contre les menaces réseau du client Symantec 

Endpoint Protection doit être installé.



151 

Option 

Mode transparent 

Description 

Utilise le client pour s'exécuter en tant que supplicant 802.1x. 

Vous utilisez cette méthode si l'administrateur ne souhaite 

pas utiliser un serveur RADIUS pour effectuer 

l'authentification utilisateur. LAN Enforcer s'exécute dans 

le mode transparent et agit en tant que serveur 

pseudo-RADIUS. 

Le mode transparent signifie que le supplicant ne vous 

demande pas les données utilisateur. Dans le mode 

transparent, le client agit en tant que supplicant 802.1x. Le 

client répond à la sollicitation EAP du commutateur avec le 

profil client et l'état d'intégrité de l'hôte. Le commutateur, à 

son tour, fait suivre les informations à LAN Enforcer, qui agit 

en tant que serveur pseudo-RADIUS. LAN Enforcer valide 

l'intégrité de l'hôte et les données de profil de client du 

commutateur et peut permettre, bloquer ou attribuer 

dynamiquement un VLAN, comme approprié. 

Remarque : Pour utiliser un client en tant que supplicant 

802.1x, vous devez désinstaller ou désactiver les supplicants 

tiers 802.1x sur l'ordinateur client. 

Supplicant intégré 

Utilise le supplicant intégré 802.1x de l'ordinateur client. 

Les protocoles d'authentification intégrés incluent Smart 

Card, PEAP ou TLS. Après avoir activé l'authentification 

802.1x, vous devez spécifier le protocole d'authentification 

à l'utiliser. 

Avertissement : Contactez votre administrateur avant de configurer votre client 

pour l'authentification 802.1x. Vous devez savoir si votre réseau d'entreprise 

utilise le serveur RADIUS en tant que serveur d'authentification. Si vous configurez 

l'authentification 802.1x incorrectement, vous pouvez interrompre votre connexion 

au réseau. 

Pour configurer le client pour utiliser un supplicant tiers 


2 A côté de Network Access Control, cliquez sur Options > Changer les 

paramètres > Paramètres 802.1x.

152 



3 Dans la boîte de dialogue Paramètres de Network Access Control, cliquez sur 

Activer l'authentification 802.1x. 


Vous devez également installer une règle de filtrage qui autorise les pilotes 

de supplicant tiers 802.1x sur le réseau. 


Vous pouvez configurer le client pour utiliser le supplicant intégré. Vous 

activez le client pour l'authentification 802.1x et en tant que supplicant 

802.1x. 

Pour configurer le client pour utiliser le mode transparent ou un supplicant intégré 


2 A côté de Network Access Control, cliquez sur Options > Changer les 

paramètres > Paramètres 802.1x. 

3 Dans la boîte de dialogue Paramètres de Network Access Control, cliquez sur 

Activer l'authentification 802.1x. 

4 Cliquez sur Utiliser le client en tant que supplicant 802.1x. 


■ 

■ 

Pour sélectionner le mode transparent, cochez Utiliser le mode 

transparent Symantec. 

Pour configurer un supplicant intégré, cliquez sur Vouspermetdechoisir 

le protocole d'authentification. 

Vous devez alors choisir le protocole d'authentification pour votre 

connexion réseau. 


Pour choisir un protocole d'authentification 

1 Sur l'ordinateur client, cliquez sur Démarrer > Paramètres > Connexions 

réseau, puis cliquez sur Connexion au réseau local. 

2 Dans la boîte de dialogue Etat de la connexion au réseau local, cliquez sur 

Propriétés. 

3 Dans la boîte de dialogue Propriétés de Connexion au réseau local, cliquez 

sur l'onglet Authentification. 

4 Sur l'onglet Authentification, cliquez sur la liste déroulante Type EAP et 

sélectionnez l'un des protocoles d'authentification suivants : 

■ 

Smart Card ou autre certificat



153 

■ 

■ 

EAP protégé (PEAP) 

Mode transparent de Symantec NAC 

Assurez-vous que la case Activer l'authentification IEEE 802.1X pour ce 

réseau est cochée. 


6 Cliquez sur Fermer. 

Authentifier à nouveau votre ordinateur 

Si votre ordinateur a réussi la vérification de l'intégrité de l'hôte mais que Enforcer 

le bloque, vous devrez peut-être authentifier à nouveau votre ordinateur. Dans 

des circonstances normales, vous ne devriez jamais avoir à authentifier à nouveau 


Enforcer peut bloquer l'ordinateur lorsque l'un des événements suivants survient : 

■ 

■ 

■ 

■ 

■ 

L'ordinateur client a manqué l'authentification utilisateur parce que vous avez 

tapé incorrectement votre nom d'utilisateur ou votre mot de passe. 

Votre ordinateur client se trouve dans le mauvais VLAN. 

L'ordinateur client n'obtient pas de connexion réseau. Une connexion réseau 

interrompue se produit habituellement parce que le commutateur entre 

l'ordinateur client et LAN Enforcer n'a pas authentifié votre nom d'utilisateur 

et mot de passe. 

Vous devez ouvrir une session sur un ordinateur client qui a authentifié un 

utilisateur précédent. 

L'ordinateur client a échoué au contrôle de conformité. 

Vous pouvez authentifier à nouveau l'ordinateur seulement si vous ou votre 

administrateur avez configuré l'ordinateur avec un supplicant intégré. 

Remarque : Votre administrateur peut ne pas avoir configuré le client pour afficher 

la commande Réauthentification. 

Pour authentifier à nouveau votre ordinateur 

1 Cliquez avec le bouton droit de la souris sur l'icône de zone de notification. 

2 Cliquez sur Réauthentification. 

3 Dans la boîte de dialogue Authentifier à nouveau, tapez votre nom d'utilisateur 

et mot de passe. 

4 Cliquez sur OK.

154 


Configuration du client pour l'authentification 802.1x

Section 

4 

Contrôle et consignation 

■ 

Chapitre 8. Utilisation et gestion des journaux

156

Chapitre 

8 

Utilisation et gestion des 

journaux 


■ 

■ 

■ 

■ 

■ 

A propos des journaux 

Gestion de la taille de journal 

Mise en quarantaine des risques et des menaces du journal des risques et du 

journal des menaces 

Utiliser les journaux de protection contre les menaces réseau et de gestion des 

clients 

Exportation des données de journal 


Les journaux contiennent des informations sur les changements de configuration 

client, les activités liées à la sécurité et les erreurs. Ces enregistrements sont 

appelés événements. Les journaux affichent ces événements avec les informations 

supplémentaires appropriées. 

Les activités liées à la sécurité incluent des informations sur les détections de 

virus, l'état de l'ordinateur et le trafic entrant ou sortant de l'ordinateur. Si vous 

utilisez un client géré, ses journaux peuvent être régulièrement chargés sur le 

serveur de gestion. Un administrateur peut utiliser leurs données pour analyser 

le statut global de sécurité du réseau. 

Les journaux constituent l'une des principales méthodes pour suivre l'activité 

d'un ordinateur et ses relations avec d'autres ordinateurs et réseaux. Vous pouvez 

utiliser les informations des journaux pour suivre les tendances associées aux 

virus, aux risques de sécurité et aux attaques sur votre ordinateur. Si plusieurs

158 

Utilisation et gestion des journaux 


personnes utilisent le même ordinateur, vous pourriez identifier qui introduit des 

risques et aider cette personne à utiliser de meilleures précautions. 

Pour plus d'informations sur un journal, appuyez sur F1 pour afficher l'aide pour 

ce journal. 

Tableau 8-1 décrit les types d'événement que chaque journal affiche. 

Tableau 8-1 

Journal 

Journal d'analyse 

Journal des risques 

Journaux client 

Description 

Contient des entrées sur les analyses exécutées sur l' ordinateur, 

depuis un certain temps. 

Contient des entrées sur les virus et les risques de sécurité, tels 

que les logiciels publicitaires et les logiciels espions qui ont infecté 

l'ordinateur. Les risques de sécurité comportent un lien vers la 

page Web Symantec Security Response qui fournit d'autres 

informations. 

Journal système de la 

protection antivirus et 

antispyware 

Contient des informations sur les activités du système sur 

l'ordinateur en termes de virus et de risques de sécurité. Ces 

informations portent sur les changements de configuration, les 

erreurs et le fichier de définitions informations. 

Journal de menace 


protection proactive 

contre les menaces 

Contient des informations sur les menaces que les analyses 

proactives des menaces TruScan ont détectées sur l'ordinateur. 

Celles-ci incluent les applications commerciales qui peuvent être 

utilisées à des fins malveillantes. Des exemples sont les chevaux 

de Troie, les vers ou les enregistreurs de frappe ou les vers d'envoi 

en masse de courrier électronique et les menaces émanant de 

scripts. 

Contient des informations sur les activités du système sur 

l'ordinateur en termes d'analyses proactives des menaces TruScan.



159 

Journal 

Journal du trafic 

Description 

Contient les événements concernant des attaques du trafic et de 

prévention d'intrusion du pare-feu. Le journal contient des 

informations sur les connexions que votre ordinateur établit sur 

le réseau. 

Les journaux de protection du réseau peuvent aident à détecter 

les activités potentiellement dangereuses, telle que l'analyse de 

port. Ils peuvent également être utilisés pour retracer le trafic 

vers sa source. Vous pouvez également utiliser les journaux de 

protection réseau pour vous aider à dépanner des problèmes de 

connectivité ou des attaques réseau possibles. Les journaux 

peuvent vous indiquer quand votre ordinateur a été bloqué du 

réseau et vous aider à déterminer pourquoi votre accès a été 

bloqué. 

Journal des paquets 

Contient des informations sur les paquets de données qui entrent 

ou sortent par les ports de l'ordinateur. 

Par défaut, le journal des paquets est désactivé. Il est impossible 

d'activer le journal des paquets sur un client géré. Vous pouvez 

activer le journal des paquets sur un client autonome. 

Journal de contrôle 

Journal de sécurité 


gestion des clients 

Journal de protection 

contre les 

interventions 

Journaux de débogage 

Le journal de contrôle contient des informations sur les clés de 

registre de Windows, les fichiers et les DLL auxquels une 

application accède, ainsi que sur les applications exécutées sur 


Contient des informations sur les activités orientées vers votre 

ordinateur qui sont potentiellement dangereuses. Les activités 

telles que les attaques par déni de service, les analyses de port et 

les changements de fichier exécutable en sont des exemples. 

Contient des informations sur toutes les modifications 

opérationnelles qui se sont produites sur l'ordinateur. Les 

exemples incluent des activités comme lorsqu'un service démarre 

ou s'arrête, que l'ordinateur détecte des applications réseau, que 

le logiciel est configuré ou l'état d'un client jouant le rôle de 

fournisseur de mise à jour groupée (GUP). 

Contient des entrées sur les tentatives de modification au sein des 

applications Symantec sur votre ordinateur. Ces entrées 

contiennent des informations sur les tentatives que la protection 

contre les interventions a détectées ou contrecarrées. 

Contient des informations sur le client, les analyses et le pare-feu 

pour des fins de réparation. L'administrateur peut vous demander 

d'activer ou de configurer les journaux, puis de les exporter.

160 




Vous pouvez configurer le délai de conservation des entrées dans les journaux. 

La suppression des entrées les plus anciennes évite que les journaux n'utilisent 

trop d'espace disque. Pour les journaux de protection contre les menaces réseau 

et de gestion des clients, vous pouvez également définir la place utilisée. 

Configuration du délai de conservation pour les entrées du journal de 

la protection antivirus et antispyware 

Configurer le délai de conservation pour les entrées du journal de la protection 

antivirus et antispyware 

1 Dans le client, sur la page Etat, en regard de Protection antivirus et 

antispyware, cliquez sur Options, puis cliquez sur Modifier les paramètres. 

2 Sur l'onglet Général, définissez la durée et l'unité de conservation des entrées 

dans ces journaux. Les entrées plus anciennes que la valeur spécifiée ici sont 

supprimées. 


Configurer la taille des journaux de la protection contre les menaces 

réseau et de la gestion des clients 

Vous pouvez définir la taille de journal pour chaque journal de protection contre 

les menaces réseau et chaque journal de gestion des clients. 

Pour modifier la taille des journaux 

1 Dans le client, sur la page Etat, à droite de Protection contre les menaces 

réseau, cliquez sur Options, puis cliquez sur Changer les paramètres. 


dans l'onglet Journaux, dans la zone de texte Taille maximale du fichier 

journal, tapez le nombre maximum de Ko que la taille du fichier journal peut 

atteindre. 

Vous devez limiter la taille du fichier journal en raison de l'espace disponible 

sur l'ordinateur. La taille par défaut pour tous les journaux est de 512 Ko, 

sauf pour le journal de contrôle et le journal des paquets. La taille par défaut 

pour le journal de contrôle et le journal des paquets est de 1 024 Ko. 

3 Cliquez sur OK.



161 

Configurer le délai de conservation des entrées du journal de protection 

contre les menaces réseau et du journal de gestion des clients 

Vous pouvez spécifier combien de jours les entrées sont enregistrées dans chaque 

journal. Quand le nombre maximum de jours est atteint, les entrées les plus 

anciennes sont remplacés. Vous pouvez vouloir supprimer des entrées pour gagner 

de la place ou conserver des entrées pour passer en revue le degré de sécurité de 


Pour définir le nombre de jours de conservation des entrées de journal 


réseau, cliquez sur Options, puis sur Changer les paramètres. 


dans l'onglet Journaux, dans la zone de texte Enregistrer chaque entrée de 

journal pendant, tapez le nombre maximum de jours de conservation des 

entrées de journal. 


A propos de la suppression du contenu du journal système de la 

protection antivirus et antispyware 

Vous ne pouvez pas supprimer de manière permanente des enregistrements 

d'événement du journal système en utilisant l'interface utilisateur. 

Suppression du contenu des journaux de protection contre les menaces 

réseau et des journaux de gestion des clients 

Si votre administrateur la permet, vous pouvez effacer le contenu du journal de 

protection contre les menaces réseau et des journaux de gestion des clients. Une 

fois le journal effacé, il recommence immédiatement à enregistrer de nouvelles 

entrées. 

Remarque : Si l'option d'effacement est indisponible, vous n'avez pas la permission 

de supprimer le contenu du journal. 

Si vous avez cette permission, vous pouvez également effacer le contenu d'un 

journal depuis le menu Fichier du journal lui-même.

162 


Mise en quarantaine des risques et des menaces du journal des risques et du journal des menaces 

Pour supprimer le contenu d'un journal 


réseau, cliquez sur Options et puis cliquez sur Changer les paramètres. 

2 Dans la boîte de dialogue Configurer la protection contre les menaces réseau, 

sur l'onglet Journaux, près du journal approprié, cliquez sur Effacerlejournal. 

3 Quand vous êtes invité à confirmer, cliquez sur Oui. 


Mise en quarantaine des risques et des menaces du 

journal des risques et du journal des menaces 

Vous pouvez mettre en quarantaine les menaces qui ont été consignées dans le 

journal historique des menaces de la protection proactive contre les menaces. 

Vous pouvez mettre en quarantaine des risques du journal antivirus et antispyware. 

Vous pouvez également nettoyer et supprimer des risques dans le journal antivirus 

et antispyware.


Utiliser les journaux de protection contre les menaces réseau et de gestion des clients 

163 

Pour mettre en quarantaine un risque ou une menace 


2 Près de Protection antivirus et antispyware ou Protection proactive contre 

les menaces, cliquez sur Afficher les journaux et puis cliquez sur le nom du 

journal que vous voulez. 

3 Sélectionnez un risque ou une menace et puis cliquez sur Quarantaine. 

Selon l'action de prédéfinie pour une détection de risque, Symantec Endpoint 

Protection peut être capable ou non d'exécuter l'action sélectionnée. Si la 

menace ou le risque est placé dans la quarantaine, vous recevez un message 

de succès. Vous n'avez pas besoin de prendre d'autres mesures pour protéger 

votre ordinateur contre ce risque ou cette menace. Vous pouvez laisser en 

quarantaine les fichiers qui y sont placés du fait de risques de sécurité ou 

vous pouvez les supprimer. Laissez-les en quarantaine jusqu'à ce que vous 

soyez sûr que les applications de votre ordinateur n'ont perdu aucune 


Se reporter à "A propos des fichiers infectés dans la quarantaine" à la page 92. 

Dans les instances où Symantec Endpoint Protection ne peut pas mettre en 

quarantaine le risque ou la menace, vous recevez un message d'erreur. Dans 

ce cas, vous pouvez contacter votre administrateur. 

Vous pouvez également nettoyer et supprimer des risques et des menaces, 

ainsi qu'annuler des actions depuis journaux, si applicable. 


Utiliser les journaux de protection contre les menaces 

réseau et de gestion des clients 

Les journaux Protection contre les menaces réseau et les journaux Gestion des 

clients permettent de suivre l'activité de l'ordinateur et son interaction avec 

d'autres ordinateurs et d'autres réseaux. Ces journaux enregistrent des 

informations sur la trafic qui tente d'entrer ou de sortir sur votre ordinateur par 

votre connexion réseau. Ils enregistrent également des informations au sujet des 

résultats de la politique de pare-feu appliquée au client. 

Vous pouvez gérer les journaux client Protection contre les menaces réseau et 

Gestion des clients à partir d'un emplacement central. Les journaux Sécurité, 

Trafic et Paquet permettent de localiser certaines données jusqu'à leur source. 

Ils les tracent en utilisant ICMP pour déterminer tous les tronçons entre votre 

ordinateur et un intrus sur un autre ordinateur.

164 



Remarque : Certaines options de ces journaux peuvent être indisponibles, selon 

le type de contrôle que votre administrateur a défini pour votre client. 

Actualisation des journaux de protection contre les menaces réseau 

et les journaux de gestion des clients 

Pour actualiser un journal 


2 A droite de Protection contre les menaces réseau ou de Gestion des clients, 

cliquez sur Afficher les journaux et puis cliquez sur le nom du journal 

approprié. 

3 Dans le menu Affichage, cliquez sur Actualiser. 

Activation du journal des paquets 

Tous les journaux de protection contre les menaces réseau et de gestion des clients 

sont activés par défaut, excepté le journal des paquets. Si votre administrateur 

vous le permet, vous pouvez activer et désactiver le journal des paquets. 

Pour activer le journal des paquets 


réseau, cliquez sur Options et puis cliquez sur Changer les paramètres. 


cliquez sur Journaux. 

3 Cochez Activer le journal des paquets. 


Arrêt d'une intervention active 

Toute intrusion détectée sur le client déclenche une intervention active. Cette 

intervention active bloque automatiquement l'adresse IP d'un intrus connu pendant 

un laps de temps spécifique. Si votre administrateur l'autorise, vous pouvez arrêter 

l'intervention active immédiatement depuis le journal de sécurité. 

Se reporter à "Bloquer et débloquer un ordinateur attaquant" à la page 139. 

Suivi des événements consignés jusqu'à leur source 

Vous pouvez suivre certains événements pour identifier la source de données d'un 

événement consigné. Tout comme un détective reconstitue le cheminement d'un



165 

suspect sur les lieux du crime, un suivi indique les étapes exactes, ou tronçons, 

traversés par le trafic entrant. Un tronçon est un point de transition tel qu'un 

routeur, qu'un paquet voyage à travers pendant qu'il va de l'ordinateur à ordinateur 

sur Internet. Un suivi suit un paquet de données vers l'arrière, en découvrant les 

routeurs par lesquels les données sont passées pour atteindre votre ordinateur. 

Pour certaines entrées de journal, vous pouvez tracer un paquet de données utilisé 

dans une tentative d'attaque. Chaque routeur traversé par un paquet de données 

a une adresse IP. Vous pouvez afficher l'adresse IP et d'autres détails. Les 

informations affichées ne garantissent pas que vous avez découvert qui le pirate 

est vraiment. L'adresse IP du tronçon final indique le propriétaire du routeur 

auquel se sont connectés les pirates, et pas nécessaire les pirates eux-mêmes. 

Vous pouvez suivre certains événements consignés dans Journal de sécurité et le 

Journal du trafic. 

Pour suivre un événement consigné 


2 A la droite de Protection contre les menaces réseau ou de Gestion des clients, 

cliquez sur Afficher les journaux. Cliquez ensuite sur le journal qui contient 

l'entrée que vous voulez tracer. 

3 Dans la fenêtre de vue de journal, sélectionnez la ligne de l'entrée que vous 

voulez tracer. 

4 Cliquez sur Opération, puis cliquez sur Retour. 

5 Dans la boîte de dialogue Informations relatives au retour, cliquez sur Who 

is >> pour afficher des informations détaillées sur chaque tronçon. 

Un volet déroulant affiche des informations détaillées sur le propriétaire de 

l'adresse IP d'où est issu l'événement de trafic. Vous pouvez utiliser CTRL-C 

et CTRL-V pour couper-coller les informations du volet dans un message 

destiné à votre administrateur. 

6 Cliquez sur Who is

166 



■ 

Vérifier l'intégrité de l'hôte 

Se reporter à "Exécution d'une vérification de l'intégrité de l'hôte" à la page 147. 


Vous pouvez exporter les informations de certains journaux vers un fichier (.csv) 

délimité par des virgules ou un fichier de base de données Access (.mdb). Le format 

.csv est un format de fichier courant que la plupart des tableurs et programmes 

de base de données utilisent pour l'importation de données. En important ces 

données dans un autre programme, vous pouvez les utiliser pour créer des 

présentations, des graphiques ou pour les combiner avec d'autres informations. 

Vous pouvez exporter les informations des journaux de protection contre les 

menaces réseau et de gestion des clients vers des fichiers texte délimité par des 

tabulations. 

Remarque : Si vous exécutez le logiciel client sous Windows Server 2008 Server 

Core, vous ne pouvez pas exporter les données de journal vers un fichier .mdb. Le 

format .mdb requiert des applications Microsoft qui ne sont pas disponibles sous 

Server Core. 

Vous pouvez exporter les journaux suivants dans un fichier .csv ou .mdb : 

■ 

■ 

■ 

■ 

■ 

■ 

Journal système de la protection antivirus et antispyware 

Journal des risques de la protection antivirus et antispyware 

Journal d'analyse de la protection antivirus et antispyware 

Journal système de la protection proactive contre les menaces 

Journal des menaces de la protection proactive contre les menaces 

Journal de la protection contre les interventions 

Remarque : Si vous filtrez les données de journal d'une manière quelconque et 

que vous les exportez, seules les données filtrées sont exportées. Cela n'est pas 

valable pour les journaux que vous exportez dans un fichier texte délimité par 

des tabulations. Dans ce cas, toutes les données des journaux sont exportées. 

Vous pouvez exporter les journaux suivants dans un fichier délimité par des 

tabulations : 

■ 

■ 

Journal de contrôle de la gestion des clients 

Journal des paquets de la protection contre les menaces réseau



167 

■ 

■ 

■ 

Journal de sécurité de la gestion des clients 

Journal système de la gestion des clients 

Journal du trafic de la protection contre les menaces réseau 

Remarque : En plus d'un fichier texte délimité par des tabulations, vous pouvez 

également exporter les données du journal des paquets au format du moniteur 

réseau ou au format NetXray. 

Sur l'installation Server Core de Windows Server 2008, les boîtes de dialogue 

d'interface utilisateur pourraient différer de celles qui sont décrites dans ces 

procédures. 

Pour exporter des données dans un fichier .csv 


2 En regard de Protection antivirus et antispyware ou Protection proactive 

contre les menaces, cliquez sur Afficher les journaux. 

3 Cliquez sur le nom du journal que vous voulez. 

4 Dans la fenêtre de journal, assurez-vous que les données que vous voulez 

enregistrer apparaissent et cliquez sur Exporter. 

5 Dans la liste déroulante Enregistrer dans, accédez au répertoire dans lequel 

vous souhaitez enregistrer le fichier. 

6 Dans la zone de texte Nom de fichier, entrez le nom du fichier. 

7 Cliquez sur Enregistrer. 


Pour exporter les données du journal de protection contre les menaces réseau ou 

du journal de gestion des clients dans un fichier texte 


2 A droite de la protection contre les menaces réseau ou de la gestion des clients, 

cliquez sur Afficher les journaux. 

3 Cliquez sur le nom du journal à partir duquel vous voulez exporter des 

données. 

4 Cliquez sur Fichier, puis cliquez sur Exporter. 

Si vous avez sélectionné le journal des paquets, cliquez sur Exporter vers le 

format du moniteur réseau ou sur Exporter vers le format Netxray. 

5 Dans la liste déroulante Enregistrer dans, accédez au répertoire dans lequel 

vous souhaitez enregistrer le fichier.

168 



6 Dans la zone de texte Nom de fichier, entrez le nom du fichier. 

7 Cliquez sur Enregistrer. 

8 Cliquez sur Fichier > Quitter.

Index 

A 

actions 

affectation des actions secondaires pour les 

virus 84 

astuces d'affectation d'actions secondaires pour 

les risques de sécurité 85 

activer 

Auto-Protect 41 

Protection contre les menaces réseau 42 

Protection proactive contre les menaces 43 

adaptateurs 

définition 121 

analyse de messagerie. Se reporter à Auto-Protect 

analyse des risques de sécurité 

désactivation dans Auto-Protect 67 

analyse proactive des menaces. Se reporter à 

Analyses proactives des menaces TruScan 

analyse réseau 

paramètres Auto-Protect 68 

analyses. Se reporter à antivirus et protection 

antispyware 

analyse des fichiers par extension 59 

composants soumis à l'analyse 71 

en cours d'exécution 36 

exclusion de fichiers et de dossiers de 90 

exclusion des analyses proactives de menaces 

TruScan 112 

fichiers 59 

fichiers compressés 73 

interprétation des résultats 77 

mode de fonctionnement 71 

options de mise en sommeil 38 

planifiées 73 

report 37 

sur demande et au démarrage 76 

suspension 37 

tous les types de fichier 61 

analyses à la demande 

analyse par extension 59 

création 76 


analyses actives 


analyses au démarrage 


création 76 

modification et suppression 77 

analyses complètes 


analyses définies par l'utilisateur 


analyses manuelles. Se reporter à analyses à la 

demande 

analyses personnalisées 


analyses planifiées 


création 73 


multiples 73 

Analyses proactive de menaces TruScan 

niveau de sensibilité 108 

Analyses proactives des menaces TruScan 

à propos 102 

à propos de 102 

actions 108 

détections 104 

faux positifs 105 

fréquence 105 

notifications pour 110 

soumission d'informations 111 

analyses proactives des menaces TruScan 

applications commerciales 108 

exceptions pour 112 

gestion 106 

journaux 158 

types de processus à les détecter 110 

application 

à propos 149 

applications 

autoriser ou bloquer 124 


exclusion des analyses 90

170 


permettre ou bloquer 133 

authentification 802.1x 


configuration 151 

Auto-Protect 

activation ou désactivation 39, 41 

affichage de la liste des risques 66 

affichage des statistiques d'analyse 66 


cache réseau 69 

clients de messagerie groupware 63 

connexions de messagerie chiffrées 65 

désactivation de l'analyse des risques de 

sécurité 67 

détermination des types de fichier 67 

faire confiance aux versions distantes 69 

paramètres d'analyse réseau 68 

pour clients Microsoft Exchange 63 

pour le courrier électronique Internet 63 

pour Lotus Notes 63 

risques de sécurité 62 

utilisation 62 

Auto-Protect pour le système de fichiers 

activation ou désactivation 41 

B 

blocage d'un ordinateur de attaque 139 

blocage du trafic 132 

règles de filtrage 124 

bloquer le trafic 133 

C 

cache réseau 

paramètres Auto-Protect 69 

Centre de sécurité Windows 

affichage de l'état antivirus 99 

affichage de l'état du pare-feu 99 

Chevaux de Troie 


clients 

à propos 15 

centralement géré c. autonome 30 

désactivation de la protection sur 38 

interaction avec 21 

clients autonomes. Se reporter à clients autonomes 

à propos 30 

c. géré centralement 30 

clients gérés. Se reporter à clients gérés 

centralement 

clients gérés centralement 

c. autonome 30 

connexions UDP 

à propos 123 

Contrôle d'accès réseau 

notifications 28 

contrôle d'accès réseau 

à propos 19, 145 

application 149 

réparation de l'ordinateur 148 

courrier électronique 

connexions chiffrées 65 

exclusion du fichier de boîte de réception des 

analyses 59 

libération de pièces jointes de la quarantaine 95 

D 

déblocage d'un ordinateur attaquant 140 

Déboguez le journal 159 

définitions 


mise à jour 32–34 

définitions de virus 



désactiver 

Auto-Protect 39, 41 

Protection antivirus et antispyware 39 

Protection contre les menaces réseau 40, 42 

Protection proactive contre les menaces 39, 43 

dossier Eléments sauvegardés 

vidage 96 

E 

emplacements 

à propos 46 

changement 47 

évaluation de l'impact des risques 85 

exceptions 

à propos 89 

ajout aux analyses 90 

Analyse proactive des menaces TruScan 90, 112 

Protection contre les interventions 90 

exceptions centralisées 

à propos 89 

création 90


171 

pour les détections de l'analyse proactive des 

menaces TruScan 112 

exceptions d'analyse. Se reporter à exceptions 

centralisées 

extensions 

inclusion dans les analyses 59 

F 

fichier de définitions 72 

fichier infecté 

action 22 

fichiers 

analyse 59 

emplacement après réparation 95 

exclusion des analyses 90 

libération de fichiers de la quarantaine 95 

partage 130 

réanalyse automatique des fichiers en 

quarantaine 94 

réanalyse manuelle des fichiers en 


sauvegarde 96 

soumission à Symantec Security Response 97 

filtre de trafic intelligent 

activation 129 


H 

hôte 


I 

icône de bouclier 47 

icône de la zone de notification système 47 

icône de zone de notification 

à propos 47 

masquage et affichage 49 

icônes 

bouclier 47 

cadenas 31 

icônes de cadenas 31 

infections par virus de macro 

prévention 61 

inspection Stateful 

à propos 122 

création de règles de trafic 122 

intervention active 

à propos 139 

IPS 

à propos 116 

mise à jour des définitions 32–33 

J 

journal 

à propos 157 

exportation des entrées de journal filtrées 166 

formats d'exportation 166–167 

gestion des clients 163 

Journal d'analyse 158 

Journal de contrôle 159 

Journal de menaces 158 

Journal de paquet 159 

Journal de protection contre les interventions 159 

Journal de sécurité 159 

Journal de trafic 118, 159 

journal des paquets 

activation 164 

Journal des risques 158 

Journal système 

Gestion des clients 159 

Protection antivirus et antispyware 158 

Protection contre les menaces proactives 158 

suppression d'entrées 161 

journaux 

activation du journal des paquets 164 

actualisation 164 

configuration du délai de conservation des 

entrées 160–161 

configurer la taille 160 

contrôle d'accès réseau 148 

exportation de données 166 

limitation de la taille 160 

mise en quarantaine des risques et des 

menaces 162 

protection contre les menaces réseau 163 

suivi des entrées 164 

suppression 161 

L 

LiveUpdate 

création de planification pour 34 

exécution immédiate 33 

présentation 32 

logiciel publicitaire 56

172 


M 

messages 

prévention d'intrusion 139 

réagir 24 

mettre à jour 

définitions 32–34 

Mise en quarantaine 

soumission de fichiers à Symantec Security 

Response 97 

mise en quarantaine 

libération de fichiers 95 

N 

navigation Web en mode furtif 

activer 128 

notification 

réagir 24 

notifications 

à propos 21 

contrôle d'accès réseau 28 

interaction de l'utilisateur 78 


O 

options 

non disponible 30 

ordinateurs 

mise à jour de la protection sur 32 

ordinateurs 64 bits 37 

outils de piratage 56 

P 

paramètres 


paramètres de trafic et de furtivité 128 


paramètres verrouillés et déverrouillés 31 

pare-feu 



gestion 117 

partage d'impressions 130 

partage des fichiers et des imprimantes 130 

permettre le trafic 133 

règles de filtrage 124 

politiques 

à propos 35 

mise à jour 35 

prévention d'intrusion. Se reporter à IPS 


notifications 139 

réaction 27 

prévention des intrusions 

à propos 136–137 

protection 



types 15 

protection "Zero Day" 102 

Protection antivirus et antispyware 

à propos 17 


désactivation 39, 41 

Journal système 158 

protection au niveau pilote 

activer 128 

protection contre l'usurpation d'adresse MAC 

activer 128 

protection contre les interventions 

à propos 43 

activation et désactivation 45 

configuration 45 

Protection contre les menaces proactives 

à propos 18 


Protection contre les menaces réseau 

à propos 116 


gestion 117 

journal 159 

protection contre les menaces réseau 

à propos 18 


protection NetBIOS 

activer 128 

Protection proactive contre les menaces 


protocole 


Q 

Quarantaine 

affichage de fichiers infectés 92 

suppression de fichiers 93 


affichage des détails de fichier 94 

déplacement de fichiers 92


173 

gestion 93 

réanalyse automatique des fichiers 94 

réanalyse manuelle des fichiers 95 

suppression de fichiers 96 

suppression des fichiers de sauvegarde 96 

suppression manuelle de fichiers 96 

traitement des fichiers infectés 93 

traitement des fichiers infectés par des risques 

de sécurité 93 

R 

réauthentification 153 

règles de filtrage 

à propos 119–120 

activation et désactivation 126 

ajout 124 

consignation 120 

exportation 126 

modification de l'ordre 123, 125 

planification 120 

règles du pare-feu 

importation 127 

risques. Se reporter à risques de sécurité 



astuces d'affectation d'actions secondaires 85 

comment le client les détecte 71 

comment le client réagit 57 

configuration d'actions 80 

configuration des notifications 86 

exclusion des analyses 90 

le processus continue à se télécharger 63 

options 87 

options de résolution 87 

que faire en cas de détection 61 

T 

taux de détection 

envoi d'informations à Symantec 98 

test de votre ordinateur 46 

trafic 

blocage 132 

permettre ou bloquer 133 

trafic Token Ring 

activer 128 

V 

Vérification de l'intégrité de l'hôte 

exécution 147 

vers 55 

virus 


affectation des actions secondaires 84 

comment le client les détecte 71 

comment le client réagit 57 

configuration d'actions 80 

configuration des notifications 86 

fichier endommagé 24 

non reconnus 97 

options de détection 87 

options de résolution 87 

que faire en cas de détection 61 

S 

serveur 

clients gérés 30 

connexion à 47 

Smart DHCP 129 

Smart DNS 129 

Smart WINS 129 

Spyware 


Symantec Security Response 

soumission de fichiers 97

Guide client de Symantecâ¢ Endpoint Protection et Symantec ...

Create successful ePaper yourself

Delete template?

Save as template?

Guide client de Symantecâ¢ Endpoint Protection et Symantec ...