Guide client de Symantec⢠Endpoint Protection et Symantec ...
Guide client de Symantec⢠Endpoint Protection et Symantec ...
Guide client de Symantec⢠Endpoint Protection et Symantec ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>Gui<strong>de</strong></strong> <strong>client</strong> <strong>de</strong> <strong>Symantec</strong><br />
<strong>Endpoint</strong> <strong>Protection</strong> <strong>et</strong><br />
<strong>Symantec</strong> N<strong>et</strong>work Access<br />
Control<br />
Pour Microsoft Windows
<strong>Gui<strong>de</strong></strong> <strong>client</strong> <strong>de</strong> <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> <strong>et</strong> <strong>de</strong><br />
<strong>Symantec</strong> N<strong>et</strong>work Access Control<br />
Le logiciel décrit dans ce gui<strong>de</strong> est fourni dans le cadre d'un contrat <strong>de</strong> licence <strong>et</strong> ne peut<br />
être utilisé qu'en conformité avec les termes <strong>de</strong> ce contrat.<br />
Documentation version 11.00.06.00.00<br />
Mentions légales<br />
Copyright © 2010 <strong>Symantec</strong> Corporation. Tous droits réservés.<br />
<strong>Symantec</strong>, le logo <strong>Symantec</strong>, Bloodhound, Confi<strong>de</strong>nce Online, Digital Immune System,<br />
LiveUpdate, Norton, Sygate <strong>et</strong> TruScan sont <strong>de</strong>s marques commerciales ou <strong>de</strong>s marques<br />
déposées <strong>de</strong> <strong>Symantec</strong> Corporation ou <strong>de</strong> ses filiales aux Etats-Unis <strong>et</strong> dans d'autres pays.<br />
Les autres noms sont <strong>de</strong>s marques commerciales <strong>de</strong> leurs détenteurs respectifs.<br />
Ce produit <strong>Symantec</strong> peut contenir le logiciel tiers pour lequel <strong>Symantec</strong> est tenu <strong>de</strong> fournir<br />
une attribution à tierce partie ("Programmes tiers"). Certains <strong>de</strong> ces logiciels sont mis à<br />
disposition en licence logicielle libre ou avec <strong>de</strong>s licences gratuites. Le Contrat <strong>de</strong> licence<br />
accompagnant le logiciel ne modifie en aucun cas vos droits <strong>et</strong> vos obligations en vertu <strong>de</strong><br />
ces licences. Pour plus d'informations sur les logiciels tiers, reportez-vous à l'annexe<br />
consacrée aux mentions légales sur les logiciel tiers ou au fichier LisezMoi TPIP<br />
accompagnant ce produit.<br />
Le produit décrit dans ce document est distribué aux termes d'une licence limitant son<br />
utilisation, sa copie, sa distribution <strong>et</strong> sa décompilation/ingénierie inverse. Ce document ne<br />
peut, en tout ou partie, être reproduit sous aucune forme <strong>et</strong> par aucun moyen sans<br />
l'autorisation préalable écrite <strong>de</strong> <strong>Symantec</strong> Corporation <strong>et</strong> <strong>de</strong> ses détenteurs <strong>de</strong> licence<br />
éventuels.<br />
LA DOCUMENTATION EST FOURNIE "EN L'ETAT" ET TOUTE GARANTIE OU CONDITION<br />
D'AUCUNE SORTE, EXPRESSE OU IMPLICITE, Y COMPRIS, SANS QUE CELA SOIT<br />
LIMITATIF, LES GARANTIES OU CONDITIONS IMPLICITES DE QUALITE MARCHANDE,<br />
D'ADEQUATION A UN USAGE PARTICULIER OU DE RESPECT DES DROITS DE PROPRIETE<br />
INTELLECTUELLE EST REFUTEE, EXCEPTE DANS LA MESURE OU DE TELLES EXCLUSIONS<br />
SERAIENT TENUES POUR LEGALEMENT NON VALIDES. SYMANTEC CORPORATION NE<br />
PEUT ETRE TENUE POUR RESPONSABLE DES DOMMAGES DIRECTS OU INDIRECTS<br />
RELATIFS AU CONTENU OU A L'UTILISATION DE LA PRESENTE DOCUMENTATION. LES<br />
INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT ETRE MODIFIEES<br />
SANS PREAVIS.<br />
Le Logiciel sous licence est considéré comme logiciel informatique commercial conformément<br />
aux définitions <strong>de</strong> la section FAR 12.212 <strong>et</strong> soumis à <strong>de</strong>s droits restreints tels que définis<br />
dans la section FAR 52.227.19 "Commercial Computer Licensed Software - Restricted Rights"<br />
<strong>et</strong> DFARS 227.7202 "Rights in Commercial Computer Licensed Software or Commercial<br />
Computer Licensed Software Documentation" tels qu'applicable, <strong>et</strong> à tous règlements qui<br />
les remplaceraient. Toute utilisation, modification, reproduction, publication, exécution,<br />
présentation ou communication du Logiciel sous licence <strong>et</strong> <strong>de</strong> la documentation par le
gouvernement <strong>de</strong>s Etats-Unis ne peut se faire que conformément aux conditions du présent<br />
contrat.<br />
<strong>Symantec</strong> Corporation<br />
350 Ellis Stre<strong>et</strong><br />
Mountain View, CA 94043<br />
http://www.symantec.fr
Support technique<br />
Contacter le support technique<br />
Le support technique <strong>de</strong> <strong>Symantec</strong> se compose <strong>de</strong> centres <strong>de</strong> support répartis dans<br />
le mon<strong>de</strong> entier. Le rôle principal du support technique est <strong>de</strong> réagir à <strong>de</strong>s requêtes<br />
spécifiques sur les caractéristiques <strong>et</strong> la fonctionnalité <strong>de</strong>s produits. Le groupe<br />
<strong>de</strong> support technique contribue également à la création <strong>de</strong> contenu pour notre<br />
base <strong>de</strong> données en ligne. Il travaille en collaboration avec les autres domaines<br />
fonctionnels <strong>de</strong> <strong>Symantec</strong> pour répondre à vos questions aussi rapi<strong>de</strong>ment que<br />
possible, par exemple avec l'ingénierie <strong>de</strong> produit <strong>et</strong> <strong>Symantec</strong> Security Response<br />
pour fournir <strong>de</strong>s services d'alerte <strong>et</strong> <strong>de</strong>s mises à jour <strong>de</strong> définitions <strong>de</strong> virus.<br />
Les offres <strong>de</strong> support <strong>de</strong> <strong>Symantec</strong> englobent :<br />
■<br />
■<br />
un éventail d'options <strong>de</strong> support pour un volume flexible <strong>de</strong> services adapté<br />
aux sociétés <strong>de</strong> toute taille ;<br />
support téléphonique <strong>et</strong>/ou par le Web pour <strong>de</strong>s répon<strong>de</strong>s rapi<strong>de</strong>s <strong>et</strong> <strong>de</strong>s<br />
informations actuelles ;<br />
■ garantie <strong>de</strong> mise à niveau par <strong>de</strong>s mises à niveau logicielles ;<br />
■ prise en charge ach<strong>et</strong>ée sur une base <strong>de</strong>s heures ouvrables régionales ou 24<br />
heures sur 24 <strong>et</strong> 7 jours sur 7 ;<br />
■<br />
offres <strong>de</strong> la meilleure qualité <strong>de</strong> service qui incluent <strong>de</strong>s services <strong>de</strong> gestion<br />
<strong>de</strong>s comptes.<br />
Pour plus d'informations sur les programmes <strong>de</strong> maintenance <strong>de</strong> <strong>Symantec</strong>, vous<br />
pouvez visiter notre site Web en accédant à l'URL suivante :<br />
http://www.symantec.com/fr/fr/business/support/<br />
Les <strong>client</strong>s avec un contrat <strong>de</strong> support en cours peuvent accé<strong>de</strong>r aux informations<br />
<strong>de</strong> support technique sur l'URL suivante :<br />
http://www.symantec.com/fr/fr/business/support/<br />
Avant <strong>de</strong> contacter le support technique, vérifiez que votre système répond à la<br />
configuration requise indiquée dans la documentation du produit. Veuillez en<br />
outre vous tenir à proximité <strong>de</strong> l'ordinateur sur lequel le problème se pose, au cas<br />
où il serait nécessaire <strong>de</strong> répliquer le problème.<br />
Lorsque vous contactez le support technique, veillez à avoir sous la main les<br />
informations suivantes :<br />
■<br />
■<br />
Niveau <strong>de</strong> version du produit<br />
Informations concernant le matériel
■<br />
Licence <strong>et</strong> enregistrement<br />
■<br />
■<br />
■<br />
■<br />
Mémoire disponible, espace disque <strong>et</strong> informations sur la carte réseau<br />
Système d'exploitation<br />
Niveau <strong>de</strong> correctif logiciel <strong>et</strong> <strong>de</strong> version<br />
Topologie du réseau<br />
Routeur, passerelle <strong>et</strong> informations sur l'adresse IP<br />
■ Description du problème :<br />
■<br />
■<br />
■<br />
Messages d'erreur <strong>et</strong> fichiers journaux<br />
Tentatives <strong>de</strong> dépannage effectuées avant <strong>de</strong> contacter <strong>Symantec</strong><br />
Modifications récentes apportées à la configuration logicielle <strong>et</strong> au réseau<br />
Si votre produit <strong>Symantec</strong> requiert un enregistrement ou une clé <strong>de</strong> licence,<br />
accé<strong>de</strong>z à notre page Web <strong>de</strong> support technique à l'URL suivante :<br />
http://www.symantec.com/fr/fr/business/support/<br />
Service <strong>client</strong><br />
Les informations du service <strong>client</strong> sont disponibles en accédant à l'URL suivante :<br />
http://www.symantec.com/fr/fr/business/support/<br />
Le service <strong>client</strong> est fournit son ai<strong>de</strong> pour les questions non techniques, telles que<br />
les types suivants <strong>de</strong> problèmes :<br />
■ questions concernant l'octroi <strong>et</strong> le numéro <strong>de</strong> licence ;<br />
■<br />
■<br />
mises à jour <strong>de</strong>s données fournies à l'enregistrement du produit, telles que<br />
l'adresse ou le nom ;<br />
informations générales sur le produit (fonctions, langues disponibles,<br />
distributeurs locaux) ;<br />
■ <strong>de</strong>rnières informations sur les mises à jour <strong>et</strong> les mises à niveau du produit ;<br />
■<br />
Informations sur l'assurance <strong>et</strong> les contrats <strong>de</strong> support <strong>de</strong> mise à niveau<br />
■ informations sur les Programmes d'achats <strong>Symantec</strong> ;<br />
■ conseil sur les options du support technique <strong>Symantec</strong> ;<br />
■ questions non techniques préalables à la vente ;<br />
■<br />
problèmes liés aux CD-ROM ou aux manuels.
Ressources <strong>de</strong> contrat <strong>de</strong> support<br />
Si vous voulez entrer en contact avec <strong>Symantec</strong> concernant un contrat <strong>de</strong> support<br />
existant, veuillez contactez l'équipe administrative <strong>de</strong> contrat <strong>de</strong> support pour<br />
votre région comme suit :<br />
Asie Pacifique <strong>et</strong> Japon<br />
Europe, Moyen-Orient <strong>et</strong> Afrique<br />
Amérique du Nord <strong>et</strong> Amérique latine<br />
customercare_apac@symantec.com<br />
semea@symantec.com<br />
supportsolutions@symantec.com<br />
Services d'entreprise supplémentaires<br />
<strong>Symantec</strong> offre une gamme complète <strong>de</strong> services qui vous perm<strong>et</strong>tent d'optimiser<br />
l'investissement effectué dans les produits <strong>Symantec</strong> <strong>et</strong> <strong>de</strong> développer vos<br />
connaissances, expertise <strong>et</strong> compréhension globale, pour une gestion proactive<br />
<strong>de</strong>s risques commerciaux.<br />
Les services aux entreprises disponibles sont les suivants :<br />
Services gérés<br />
Services <strong>de</strong> conseil<br />
Services <strong>de</strong> formation<br />
Les services gérés suppriment la charge que représente la gestion <strong>et</strong> le contrôle<br />
<strong>de</strong>s périphériques <strong>et</strong> <strong>de</strong>s événements <strong>de</strong> sécurité, assurant l'intervention rapi<strong>de</strong><br />
face aux menaces réelles.<br />
Les services <strong>de</strong> conseil <strong>Symantec</strong> fournissent une expertise technique sur site<br />
<strong>de</strong> <strong>Symantec</strong> <strong>et</strong> <strong>de</strong> ses partenaires approuvés. Ils offrent une série d'options<br />
préemballées <strong>et</strong> personnalisables comportant <strong>de</strong>s fonctions d'évaluation, <strong>de</strong><br />
conception, <strong>de</strong> mise en œuvre, <strong>de</strong> surveillance <strong>et</strong> <strong>de</strong> gestion. Chaque service a<br />
pour objectif d'établir <strong>et</strong> <strong>de</strong> maintenir l'intégrité <strong>et</strong> la disponibilité <strong>de</strong> vos<br />
ressources informatiques.<br />
Les services <strong>de</strong> formation fournissent un ensemble compl<strong>et</strong> <strong>de</strong> formation<br />
technique, d'éducation <strong>de</strong> sécurité, <strong>de</strong> certification <strong>de</strong> sécurité <strong>et</strong> <strong>de</strong> programmes<br />
<strong>de</strong> communication <strong>de</strong> connaissance.<br />
Pour accé<strong>de</strong>r à plus d'informations sur les services <strong>de</strong>stinés aux entreprises, visitez<br />
s'il vous plaît notre site Web sur l'URL suivante :<br />
http://www.symantec.com/fr/fr/business/services/<br />
Sélectionnez votre pays ou langue dans le sommaire du site.
Table <strong>de</strong>s matières<br />
Support technique .............................................................................................. 4<br />
Section 1 Prise en main du <strong>client</strong> ............................................. 13<br />
Chapitre 1 Présentation du <strong>client</strong> ........................................................ 15<br />
A propos du <strong>client</strong> ........................................................................ 15<br />
A propos du <strong>client</strong> <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> .............................. 16<br />
A propos <strong>de</strong> la protection antivirus <strong>et</strong> antispyware ....................... 17<br />
A propos <strong>de</strong> la protection proactive contre les menaces ................. 17<br />
A propos <strong>de</strong> la protection contre les menaces réseau ..................... 18<br />
A propos du <strong>client</strong> <strong>Symantec</strong> N<strong>et</strong>work Access Control ......................... 19<br />
Chapitre 2 Réagir au <strong>client</strong> .................................................................... 21<br />
A propos <strong>de</strong> l'interaction avec le <strong>client</strong> ............................................. 21<br />
Action sur les fichiers infectés ........................................................ 22<br />
A propos <strong>de</strong>s dommages causés par les virus ............................... 23<br />
A propos <strong>de</strong>s notifications <strong>et</strong> <strong>de</strong>s alertes ........................................... 24<br />
Réaction aux notifications relatives aux applications .................... 24<br />
Réaction aux alertes <strong>de</strong> sécurité ................................................ 27<br />
Réaction aux notifications <strong>de</strong> N<strong>et</strong>work Access Control .................. 28<br />
Chapitre 3 Gestion du <strong>client</strong> ................................................................. 29<br />
A propos <strong>de</strong>s <strong>client</strong>s gérés centralement <strong>et</strong> <strong>de</strong>s <strong>client</strong>s<br />
autonomes ............................................................................ 30<br />
Conversion d'un <strong>client</strong> autogéré en <strong>client</strong> centralement géré ................ 31<br />
Mise à jour <strong>de</strong> la protection <strong>de</strong> l'ordinateur ....................................... 32<br />
Mise à jour immédiate <strong>de</strong> contenu ............................................. 33<br />
Mise à jour <strong>de</strong> contenu sur planification ..................................... 34<br />
A propos <strong>de</strong>s politiques <strong>de</strong> sécurité .................................................. 35<br />
M<strong>et</strong>tre à jour manuellement le fichier <strong>de</strong> politique ............................. 35<br />
Vérifier que <strong>de</strong>s politiques ont été mises à jour .................................. 36<br />
Analyse immédiate <strong>de</strong> l'ordinateur .................................................. 36<br />
Suspension <strong>et</strong> report <strong>de</strong>s analyses ................................................... 37<br />
Activation <strong>et</strong> désactivation <strong>de</strong>s technologies <strong>de</strong> protection ................... 38
8<br />
Table <strong>de</strong>s matières<br />
Activation ou désactivation <strong>de</strong> Auto-Protect ................................ 41<br />
Activation ou désactivation <strong>de</strong> la protection contre les menaces<br />
réseau ............................................................................ 42<br />
Activation ou désactivation <strong>de</strong> la protection proactive contre les<br />
menaces ......................................................................... 43<br />
A propos <strong>de</strong> la protection contre les interventions .............................. 43<br />
Activation, désactivation <strong>et</strong> configuration <strong>de</strong> la protection contre les<br />
interventions ........................................................................ 44<br />
Test du <strong>de</strong>gré <strong>de</strong> sécurité <strong>de</strong> votre ordinateur .................................... 46<br />
A propos <strong>de</strong>s emplacements ........................................................... 46<br />
Modification d'emplacement .......................................................... 47<br />
A propos <strong>de</strong> l'icône <strong>de</strong> zone <strong>de</strong> notification ........................................ 47<br />
Masquage <strong>et</strong> affichae <strong>de</strong> l'icône <strong>de</strong> zone <strong>de</strong> notification ....................... 49<br />
A propos du fait d'empêcher un administrateur <strong>de</strong> redémarrer<br />
l'ordinateur ........................................................................... 49<br />
Section 2<br />
Chapitre 4<br />
Gestion <strong>de</strong> la protection sur le <strong>client</strong><br />
<strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> ..................... 51<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong><br />
antispyware .................................................................... 53<br />
A propos <strong>de</strong>s virus <strong>et</strong> <strong>de</strong>s risques <strong>de</strong> sécurité ..................................... 54<br />
Comment le <strong>client</strong> réagit aux virus <strong>et</strong> aux risques <strong>de</strong> sécurité ............... 57<br />
A propos <strong>de</strong>s paramètres antivirus <strong>et</strong> antispyware ............................. 58<br />
A propos <strong>de</strong> l'analyse <strong>de</strong>s fichiers .................................................... 59<br />
Lorsque vos applications <strong>de</strong> messagerie utilisent un seul fichier<br />
<strong>de</strong> boîte <strong>de</strong> réception ......................................................... 59<br />
A propos <strong>de</strong> l'analyse par extension ........................................... 59<br />
A propos <strong>de</strong> l'analyse <strong>de</strong> tous les types <strong>de</strong> fichier .......................... 60<br />
A propos <strong>de</strong> la protection contre les virus <strong>de</strong> macro ...................... 61<br />
Lorsque le <strong>client</strong> détecte un virus ou un risque <strong>de</strong> sécurité ................... 61<br />
A propos d'Auto-Protect ................................................................ 62<br />
A propos d'Auto-Protect <strong>et</strong> <strong>de</strong>s risques <strong>de</strong> sécurité ....................... 62<br />
A propos d'Auto-Protect <strong>et</strong> <strong>de</strong> l'analyse <strong>de</strong> messagerie .................. 63<br />
Désactivation du traitement par Auto-Protect <strong>de</strong>s connexions<br />
<strong>de</strong> messagerie chiffrées ..................................................... 65<br />
Affichage <strong>de</strong>s statistiques d'analyse d'Auto-Protect ...................... 66<br />
Affichage <strong>de</strong> la liste <strong>de</strong>s risques ................................................ 66<br />
Configuration d'Auto-Protect pour déterminer les types <strong>de</strong> fichier<br />
à analyser ....................................................................... 66
Table <strong>de</strong>s matières<br />
9<br />
Désactivation <strong>et</strong> activation <strong>de</strong> l'analyse <strong>et</strong> du blocage <strong>de</strong>s risques<br />
<strong>de</strong> sécurité dans Auto-Protect ............................................. 67<br />
Configuration <strong>de</strong> paramètre d'analyse réseau .............................. 68<br />
Utilisation <strong>de</strong>s analyses antivirus <strong>et</strong> antispyware ............................... 70<br />
Mo<strong>de</strong> <strong>de</strong> fonctionnement <strong>de</strong>s analyses antivirus <strong>et</strong><br />
antispyware .................................................................... 71<br />
A propos <strong>de</strong>s fichiers <strong>de</strong> définitions .......................................... 72<br />
A propos <strong>de</strong> l'analyse <strong>de</strong>s fichiers compressés ............................. 73<br />
Planification d'une analyse définie par l'utilisateur ............................ 73<br />
Planification d'une analyse à exécuter sur <strong>de</strong>man<strong>de</strong> ou quand<br />
l'ordinateur démarre ........................................................ 75<br />
Modification <strong>et</strong> suppression d'analyses au démarrage, définies par<br />
l'utilisateur <strong>et</strong> planifiées .......................................................... 77<br />
Interprétation <strong>de</strong>s résultats <strong>de</strong>s analyses .......................................... 77<br />
A propos <strong>de</strong> l'interaction avec les résultats d'analyse ou les<br />
résultats d'Auto-Protect .................................................... 78<br />
Configuration <strong>de</strong>s actions pour les virus <strong>et</strong> les risques <strong>de</strong><br />
sécurité ................................................................................ 80<br />
Astuces d'affectation d'actions secondaires pour les virus ............. 84<br />
Astuces d'affectation d'actions secondaires pour les risques <strong>de</strong><br />
sécurité .......................................................................... 85<br />
A propos <strong>de</strong> l'évaluation <strong>de</strong> l'impact <strong>de</strong>s risques ........................... 85<br />
Configuration <strong>de</strong>s notifications pour les virus <strong>et</strong> les risques <strong>de</strong><br />
sécurité ................................................................................ 86<br />
A propos <strong>de</strong> l'exclusion <strong>de</strong>s éléments <strong>de</strong> l'analyse ............................... 89<br />
Exclusion <strong>de</strong>s éléments <strong>de</strong> l'analyse ................................................. 90<br />
A propos <strong>de</strong> la prise en charge <strong>de</strong>s fichiers en quarantaine ................... 92<br />
A propos <strong>de</strong>s fichiers infectés dans la quarantaine ....................... 92<br />
A propos du traitement <strong>de</strong>s fichiers infectés dans la<br />
quarantaine .................................................................... 93<br />
A propos du traitement <strong>de</strong>s fichiers infectés par <strong>de</strong>s risques <strong>de</strong><br />
sécurité .......................................................................... 93<br />
Gestion <strong>de</strong> la quarantaine .............................................................. 93<br />
Affichage <strong>de</strong>s fichiers <strong>et</strong> <strong>de</strong> leurs détails dans la<br />
quarantaine .................................................................... 94<br />
Réanalyse <strong>de</strong>s fichiers en quarantaine à la recherche <strong>de</strong><br />
virus .............................................................................. 94<br />
Lorsqu'un fichier réparé ne peut être replacé à son emplacement<br />
d'origine ......................................................................... 95<br />
Effacement <strong>de</strong>s éléments <strong>de</strong> sauvegar<strong>de</strong> ..................................... 95<br />
Suppression <strong>de</strong> fichiers <strong>de</strong> la quarantaine ................................... 96<br />
Suppression automatique <strong>de</strong>s fichiers en quarantaine ................... 96
10<br />
Table <strong>de</strong>s matières<br />
Soumission à <strong>Symantec</strong> Security Response d'un fichier suspect<br />
pour analyse ................................................................... 97<br />
Transmission d'informations sur les détections d'analyse à <strong>Symantec</strong><br />
Security Response .................................................................. 98<br />
A propos du <strong>client</strong> <strong>et</strong> du Centre <strong>de</strong> sécurité Windows .......................... 99<br />
Chapitre 5<br />
Chapitre 6<br />
Gestion <strong>de</strong> la protection proactive contre les<br />
menaces ........................................................................ 101<br />
A propos <strong>de</strong>s analyses proactives <strong>de</strong>s menaces TruScan ..................... 101<br />
Processus <strong>et</strong> applications que les analyses proactives <strong>de</strong>s menaces<br />
TruScan examinent ........................................................ 102<br />
A propos <strong>de</strong>s exceptions <strong>de</strong>s analyses proactives <strong>de</strong>s menaces<br />
TruScan ........................................................................ 103<br />
A propos <strong>de</strong>s détections <strong>de</strong> l'analyse proactive <strong>de</strong>s menaces<br />
TruScan ........................................................................ 104<br />
A propos <strong>de</strong>s actions sur <strong>de</strong>s faux positifs ................................. 105<br />
Configuration <strong>de</strong> la fréquence d'exécution <strong>de</strong>s analyses proactives<br />
<strong>de</strong>s menaces TruScan ............................................................ 105<br />
Gestion <strong>de</strong>s détections proactives <strong>de</strong> menaces TruScan ..................... 106<br />
Définition <strong>de</strong> l'action pour la détection <strong>de</strong>s applications<br />
commerciales ................................................................ 108<br />
Spécification <strong>de</strong>s actions <strong>et</strong> <strong>de</strong>s niveaux <strong>de</strong> sensibilité pour<br />
détecter <strong>de</strong>s chevaux <strong>de</strong> Troie, <strong>de</strong>s vers <strong>et</strong> <strong>de</strong>s enregistreurs<br />
<strong>de</strong> frappe ...................................................................... 108<br />
Spécification <strong>de</strong>s types <strong>de</strong> processus détectés par les analyses<br />
proactives <strong>de</strong>s menaces TruScan ....................................... 110<br />
Configuration <strong>de</strong>s notifications <strong>de</strong>s détections <strong>de</strong> l'analyse proactive<br />
<strong>de</strong>s menaces TruScan ............................................................ 110<br />
Soumission à <strong>Symantec</strong> Security Response <strong>de</strong>s informations sur les<br />
analyses proactives <strong>de</strong>s menaces TruScan ................................. 111<br />
Exclusion d'un processus <strong>de</strong>s analyses proactives <strong>de</strong>s menaces<br />
TruScan .............................................................................. 112<br />
Gestion <strong>de</strong> la protection contre les menaces<br />
réseau ............................................................................ 115<br />
A propos <strong>de</strong> la gestion <strong>de</strong> la protection contre les menaces<br />
réseau ................................................................................ 116<br />
Gestion <strong>de</strong> la protection par pare-feu ............................................. 117<br />
Fonctionnement du pare-feu ........................................................ 118<br />
A propos <strong>de</strong>s règles <strong>de</strong> filtrage ...................................................... 119<br />
A propos <strong>de</strong>s éléments d'une règle <strong>de</strong> filtrage ............................ 120<br />
A propos <strong>de</strong> l'inspection Stateful ............................................. 122
Table <strong>de</strong>s matières<br />
11<br />
A propos <strong>de</strong> l'ordre <strong>de</strong> traitement <strong>de</strong>s règles .............................. 123<br />
Ajout d'une règle <strong>de</strong> filtrage ......................................................... 124<br />
Modification <strong>de</strong> l'ordre d'une règle <strong>de</strong> filtrage .................................. 125<br />
Activation <strong>et</strong> désactivation <strong>de</strong>s règles ............................................. 126<br />
Exportation <strong>et</strong> importation <strong>de</strong> règles .............................................. 126<br />
A propos <strong>de</strong>s règles <strong>de</strong> filtrage intégrées ......................................... 127<br />
Activation <strong>de</strong>s paramètres <strong>de</strong> trafic <strong>et</strong> <strong>de</strong>s paramètres <strong>de</strong> navigation<br />
Web furtive ......................................................................... 128<br />
Activation du filtrage <strong>de</strong> trafic intelligent ....................................... 129<br />
Activation du partage <strong>de</strong>s fichiers <strong>et</strong> <strong>de</strong>s imprimantes du réseau ......... 130<br />
Blocage du trafic ........................................................................ 132<br />
Configurer <strong>de</strong>s paramètres spécifiques à une application ................... 133<br />
Suppression <strong>de</strong>s restrictions d'une application ........................... 135<br />
Gestion <strong>de</strong> la protection <strong>de</strong> prévention <strong>de</strong>s intrusions ....................... 136<br />
Fonctionnement <strong>de</strong> la protection <strong>de</strong> prévention <strong>de</strong>s intrusions ........... 137<br />
Activation ou désactivation <strong>de</strong>s paramètres <strong>de</strong> prévention <strong>de</strong>s<br />
intrusions ........................................................................... 138<br />
Configuration <strong>de</strong>s notifications <strong>de</strong> prévention d'intrusion .................. 139<br />
Bloquer <strong>et</strong> débloquer un ordinateur attaquant ................................. 139<br />
Section 3<br />
Gestion <strong>de</strong> la protection sur le <strong>client</strong><br />
<strong>Symantec</strong> N<strong>et</strong>work Access Control ........... 143<br />
Chapitre 7 Gestion <strong>de</strong> N<strong>et</strong>work Access Control ............................... 145<br />
Fonctionnement <strong>de</strong> <strong>Symantec</strong> N<strong>et</strong>work Access Control ...................... 145<br />
Exécution d'une vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte ........................... 147<br />
A propos <strong>de</strong> la mise à jour <strong>de</strong> la politique d'intégrité <strong>de</strong> l'hôte ............. 147<br />
Réparation <strong>de</strong> l'ordinateur ........................................................... 148<br />
Afficher les journaux N<strong>et</strong>work Access Control ................................. 148<br />
Fonctionnement du <strong>client</strong> avec un module d'application<br />
Enforcer ............................................................................. 149<br />
Configuration du <strong>client</strong> pour l'authentification 802.1x ...................... 149<br />
Authentifier à nouveau votre ordinateur ................................... 153<br />
Section 4 Contrôle <strong>et</strong> consignation ....................................... 155<br />
Chapitre 8 Utilisation <strong>et</strong> gestion <strong>de</strong>s journaux ................................ 157<br />
A propos <strong>de</strong>s journaux ................................................................. 157<br />
Gestion <strong>de</strong> la taille <strong>de</strong> journal ........................................................ 160
12<br />
Table <strong>de</strong>s matières<br />
Configuration du délai <strong>de</strong> conservation pour les entrées du<br />
journal <strong>de</strong> la protection antivirus <strong>et</strong> antispyware .................. 160<br />
Configurer la taille <strong>de</strong>s journaux <strong>de</strong> la protection contre les<br />
menaces réseau <strong>et</strong> <strong>de</strong> la gestion <strong>de</strong>s <strong>client</strong>s .......................... 160<br />
Configurer le délai <strong>de</strong> conservation <strong>de</strong>s entrées du journal <strong>de</strong><br />
protection contre les menaces réseau <strong>et</strong> du journal <strong>de</strong> gestion<br />
<strong>de</strong>s <strong>client</strong>s ..................................................................... 161<br />
A propos <strong>de</strong> la suppression du contenu du journal système <strong>de</strong> la<br />
protection antivirus <strong>et</strong> antispyware ................................... 161<br />
Suppression du contenu <strong>de</strong>s journaux <strong>de</strong> protection contre les<br />
menaces réseau <strong>et</strong> <strong>de</strong>s journaux <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s ........... 161<br />
Mise en quarantaine <strong>de</strong>s risques <strong>et</strong> <strong>de</strong>s menaces du journal <strong>de</strong>s risques<br />
<strong>et</strong> du journal <strong>de</strong>s menaces ...................................................... 162<br />
Utiliser les journaux <strong>de</strong> protection contre les menaces réseau <strong>et</strong> <strong>de</strong><br />
gestion <strong>de</strong>s <strong>client</strong>s ................................................................ 163<br />
Actualisation <strong>de</strong>s journaux <strong>de</strong> protection contre les menaces<br />
réseau <strong>et</strong> les journaux <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s ........................ 164<br />
Activation du journal <strong>de</strong>s paqu<strong>et</strong>s ............................................ 164<br />
Arrêt d'une intervention active ............................................... 164<br />
Suivi <strong>de</strong>s événements consignés jusqu'à leur source .................... 164<br />
Utilisation <strong>de</strong>s journaux <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s avec <strong>Symantec</strong><br />
N<strong>et</strong>work Access Control ................................................... 165<br />
Exportation <strong>de</strong>s données <strong>de</strong> journal ............................................... 166<br />
In<strong>de</strong>x ................................................................................................................... 169
Section<br />
1<br />
Prise en main du <strong>client</strong><br />
■<br />
■<br />
■<br />
Chapitre 1. Présentation du <strong>client</strong><br />
Chapitre 2. Réagir au <strong>client</strong><br />
Chapitre 3. Gestion du <strong>client</strong>
Chapitre<br />
1<br />
Présentation du <strong>client</strong><br />
Ce chapitre traite <strong>de</strong>s suj<strong>et</strong>s suivants :<br />
■<br />
■<br />
■<br />
A propos du <strong>client</strong><br />
A propos du <strong>client</strong> <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong><br />
A propos du <strong>client</strong> <strong>Symantec</strong> N<strong>et</strong>work Access Control<br />
A propos du <strong>client</strong><br />
<strong>Symantec</strong> fabrique les <strong>de</strong>ux produits <strong>de</strong> protection <strong>de</strong> points <strong>de</strong> fin suivants qui<br />
peuvent être utilisés ensemble ou séparément.<br />
Tableau 1-1<br />
Type <strong>de</strong> <strong>client</strong><br />
Types <strong>de</strong> <strong>client</strong>s <strong>de</strong> protection <strong>de</strong> points <strong>de</strong> fin<br />
Description<br />
<strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong><br />
<strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> protège votre ordinateur<br />
<strong>de</strong>s menaces Intern<strong>et</strong> <strong>et</strong> <strong>de</strong>s risques <strong>de</strong> sécurité.<br />
Se reporter à "A propos du <strong>client</strong> <strong>Symantec</strong> <strong>Endpoint</strong><br />
<strong>Protection</strong>" à la page 16.<br />
<strong>Symantec</strong> N<strong>et</strong>work Access<br />
Control<br />
<strong>Symantec</strong> N<strong>et</strong>work Access Control s'assure que les<br />
paramètres <strong>de</strong> sécurité <strong>de</strong> votre ordinateur se conforment<br />
aux politiques réseau. Les paramètres <strong>de</strong> sécurité peuvent<br />
inclure le logiciel, les paramètres <strong>de</strong> configuration logiciel,<br />
les fichiers <strong>de</strong> signature, les correctifs ou d'autres<br />
éléments.<br />
Se reporter à "A propos du <strong>client</strong> <strong>Symantec</strong> N<strong>et</strong>work<br />
Access Control" à la page 19.<br />
Vous ou votre administrateur avez installé un ou les <strong>de</strong>ux logiciels <strong>client</strong> <strong>Symantec</strong><br />
sur votre ordinateur. Si votre administrateur a installé le <strong>client</strong>, il a déterminé les
16<br />
Présentation du <strong>client</strong><br />
A propos du <strong>client</strong> <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong><br />
produits à activer sur le <strong>client</strong>. L'administrateur peut indiquer les tâches à effectuer<br />
avec le <strong>client</strong>.<br />
Si vous avez installé le <strong>client</strong> sur votre ordinateur, il s'agit d'une installation<br />
autonome. Une installation autonome signifie qu'un administrateur ne gère pas<br />
le logiciel <strong>client</strong>.<br />
Se reporter à "A propos <strong>de</strong>s <strong>client</strong>s gérés centralement <strong>et</strong> <strong>de</strong>s <strong>client</strong>s autonomes"<br />
à la page 30.<br />
Remarque : Si vous ou votre administrateur avez installé seulement un <strong>de</strong> ces<br />
produits sur votre ordinateur, ce nom <strong>de</strong> produit s'affiche dans la barre <strong>de</strong> titre.<br />
Quand les <strong>de</strong>ux types <strong>de</strong> protection sont activés, <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong><br />
s'affiche sur la barre <strong>de</strong> titre.<br />
A propos du <strong>client</strong> <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong><br />
Les paramètres par défaut du <strong>client</strong> offrent une protection antivirus <strong>et</strong> antispyware,<br />
une protection proactive contre les menaces <strong>et</strong> une protection contre les menaces<br />
réseau. Vous pouvez régler les paramètres par défaut <strong>de</strong> sorte à respecter les<br />
besoins <strong>de</strong> votre entreprise, à optimiser la performance système <strong>et</strong> à désactiver<br />
les options non applicables.<br />
Se reporter à "A propos <strong>de</strong> la protection antivirus <strong>et</strong> antispyware" à la page 17.<br />
Se reporter à "A propos <strong>de</strong> la protection proactive contre les menaces" à la page 17.<br />
Se reporter à "A propos <strong>de</strong> la protection contre les menaces réseau" à la page 18.<br />
Vous pouvez utiliser le <strong>client</strong> <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> pour protéger votre<br />
ordinateur <strong>de</strong>s manières suivantes :<br />
■<br />
■<br />
■<br />
■<br />
Analyser votre ordinateur pour rechercher les virus, les menaces connues <strong>et</strong><br />
les risques <strong>de</strong> sécurité.<br />
Se reporter à "Analyse immédiate <strong>de</strong> l'ordinateur" à la page 36.<br />
Surveiller les ports contre les signatures d'attaque connues.<br />
Se reporter à "A propos <strong>de</strong>s journaux" à la page 157.<br />
Surveiller les programmes <strong>de</strong> votre ordinateur contre les comportements<br />
suspects.<br />
Se reporter à "A propos <strong>de</strong>s analyses proactives <strong>de</strong>s menaces TruScan"<br />
à la page 101.<br />
Protéger l'ordinateur contre les attaques réseau.<br />
Se reporter à "Gestion <strong>de</strong> la protection par pare-feu" à la page 117.
Présentation du <strong>client</strong><br />
A propos du <strong>client</strong> <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong><br />
17<br />
A propos <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
La protection antivirus <strong>et</strong> antispyware veille à ce que votre ordinateur soit protégé<br />
contre les virus connus <strong>et</strong> les risques <strong>de</strong> sécurité. Si les virus sont rapi<strong>de</strong>ment<br />
détectés <strong>et</strong> supprimés <strong>de</strong> l'ordinateur, ils ne peuvent pas infecter d'autres fichiers<br />
ni causer <strong>de</strong>s dommages. Les eff<strong>et</strong>s <strong>de</strong>s virus <strong>et</strong> <strong>de</strong>s risques <strong>de</strong> sécurité peuvent<br />
être réparés. Lorsque le <strong>client</strong> <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> détecte un virus ou<br />
un risque <strong>de</strong> sécurité, il vous en informe par défaut. Si vous ne voulez pas être<br />
averti, votre administrateur ou vous-même pouvez configurer le <strong>client</strong> pour traiter<br />
le risque automatiquement.<br />
La protection antivirus <strong>et</strong> antispyware fournit <strong>de</strong>s analyses basées sur les<br />
signatures <strong>et</strong> inclut ce qui suit :<br />
■<br />
■<br />
Analyses Auto-Protect<br />
Auto-Protect s'exécute constamment <strong>et</strong> assure la protection en temps réel <strong>de</strong><br />
votre ordinateur en surveillant les activités. Auto-Protect recherche les virus<br />
<strong>et</strong> les risques <strong>de</strong> sécurité quand un fichier est exécuté ou ouvert. Il recherche<br />
également les virus <strong>et</strong> les risques <strong>de</strong> sécurité quand vous apportez <strong>de</strong>s<br />
modifications à un fichier. Par exemple, vous pouvez renommer, enregistrer,<br />
déplacer ou copier un fichier entre <strong>de</strong>s dossiers.<br />
Se reporter à "A propos d'Auto-Protect" à la page 62.<br />
Se reporter à "Configuration d'Auto-Protect pour déterminer les types <strong>de</strong><br />
fichier à analyser" à la page 66.<br />
Analyses planifiées, <strong>de</strong> démarrage <strong>et</strong> à la <strong>de</strong>man<strong>de</strong><br />
Vous ou votre administrateur pouvez configurer d'autres analyses pour<br />
s'exécuter sur votre ordinateur. Ces analyses recherchent les signatures <strong>de</strong><br />
virus résiduelles dans les fichiers infectés. Ces analyses recherchent également<br />
les signatures <strong>de</strong>s risques <strong>de</strong> sécurité dans les fichiers infectés <strong>et</strong> les<br />
informations système. Vous ou votre administrateur pouvez lancer <strong>de</strong>s analyses<br />
pour rechercher systématiquement les virus <strong>et</strong> les risques <strong>de</strong> sécurité dans les<br />
fichiers <strong>de</strong> votre ordinateur. Les risques <strong>de</strong> sécurité peuvent inclure les logiciels<br />
publicitaires ou les spywares.<br />
Se reporter à "Planification d'une analyse définie par l'utilisateur" à la page 73.<br />
Se reporter à "Planification d'une analyse à exécuter sur <strong>de</strong>man<strong>de</strong> ou quand<br />
l'ordinateur démarre" à la page 75.<br />
A propos <strong>de</strong> la protection proactive contre les menaces<br />
La protection proactive contre les menaces comprend une fonction d'analyse<br />
proactive <strong>de</strong>s menaces TruScan qui garantit une protection immédiate <strong>de</strong> votre<br />
ordinateur contre les menaces inconnues. Ces analyses heuristiques examinent<br />
la structure, le comportement <strong>et</strong> divers autres attributs d'un programme, à la<br />
recherche <strong>de</strong> caractéristiques propres à un virus. Dans beaucoup <strong>de</strong> cas elle peut
18<br />
Présentation du <strong>client</strong><br />
A propos du <strong>client</strong> <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong><br />
protéger contre <strong>de</strong>s menaces telles que les vers d'envoi en masse <strong>de</strong> courrier<br />
électronique <strong>et</strong> les virus <strong>de</strong> macro. Vous pourriez rencontrer <strong>de</strong>s vers <strong>et</strong> <strong>de</strong>s virus<br />
<strong>de</strong> macro avant que vous ayez mis à jour vos définitions <strong>de</strong> virus <strong>et</strong> <strong>de</strong> risque <strong>de</strong><br />
sécurité. Les analyses proactives <strong>de</strong>s menaces recherchent <strong>de</strong>s menaces émanant<br />
<strong>de</strong> scripts dans les fichiers HTML, VBScript <strong>et</strong> Javascript.<br />
Se reporter à "A propos <strong>de</strong>s analyses proactives <strong>de</strong>s menaces TruScan" à la page 101.<br />
Les analyses proactives <strong>de</strong>s menaces détectent également les applications<br />
commerciales qui peuvent être utilisées à <strong>de</strong>s fins malveillantes. Ces applications<br />
commerciales incluent <strong>de</strong>s programmes <strong>de</strong> contrôle à distance ou <strong>de</strong>s enregistreurs<br />
<strong>de</strong> frappe.<br />
Vous pouvez configurer <strong>de</strong>s analyses proactives <strong>de</strong>s menaces pour m<strong>et</strong>tre en<br />
quarantaine <strong>de</strong>s détections. Vous pouvez restaurer manuellement les éléments<br />
mis en quarantaine par <strong>de</strong>s analyses proactives <strong>de</strong>s menaces. Le <strong>client</strong> peut<br />
également restaurer automatiquement <strong>de</strong>s éléments en quarantaine.<br />
Se reporter à "Gestion <strong>de</strong>s détections proactives <strong>de</strong> menaces TruScan" à la page 106.<br />
A propos <strong>de</strong> la protection contre les menaces réseau<br />
Le <strong>client</strong> <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> fournit un pare-feu personnalisable qui<br />
protège votre ordinateur contre les intrusions <strong>et</strong> les abus, malveillants ou<br />
involontaires. Il détecte <strong>et</strong> i<strong>de</strong>ntifie les analyses <strong>de</strong> port connues <strong>et</strong> d'autres<br />
attaques communes. En réponse, le pare-feu perm<strong>et</strong> ou bloque sélectivement<br />
divers services réseau, applications, ports <strong>et</strong> composants. Il inclut plusieurs types<br />
<strong>de</strong> règles <strong>de</strong> filtrage <strong>et</strong> <strong>de</strong> paramètres <strong>de</strong> sécurité pour protéger les ordinateurs<br />
<strong>client</strong> du trafic réseau qui peut entraîner <strong>de</strong>s dommages.<br />
Les règles <strong>de</strong> filtrage déterminent si votre ordinateur autorise ou bloque une<br />
application entrante ou sortante qui tente d'accé<strong>de</strong>r à votre ordinateur par votre<br />
connexion réseau. Les règles <strong>de</strong> filtrage perm<strong>et</strong>tent ou bloquent systématiquement<br />
les applications <strong>et</strong> le trafic entrants ou sortants en relation avec <strong>de</strong>s adresses IP<br />
<strong>et</strong> <strong>de</strong>s ports spécifiques. Les paramètres <strong>de</strong> sécurité détectent <strong>et</strong> i<strong>de</strong>ntifient les<br />
attaques communes, envoient <strong>de</strong>s messages après une attaque, affichent <strong>de</strong>s<br />
messages personnalisables <strong>et</strong> effectuent d'autres tâches relatives à la sécurité.<br />
Se reporter à "Gestion <strong>de</strong> la protection par pare-feu" à la page 117.<br />
La protection contre les menaces réseau fournit également <strong>de</strong>s signatures <strong>de</strong><br />
prévention <strong>de</strong>s intrusions pour empêcher les intrusions <strong>et</strong> le contenu malveillant.<br />
Le pare-feu perm<strong>et</strong> ou bloque le trafic selon divers critères.<br />
Se reporter à "Gestion <strong>de</strong> la protection <strong>de</strong> prévention <strong>de</strong>s intrusions" à la page 136.
Présentation du <strong>client</strong><br />
A propos du <strong>client</strong> <strong>Symantec</strong> N<strong>et</strong>work Access Control<br />
19<br />
A propos du <strong>client</strong> <strong>Symantec</strong> N<strong>et</strong>work Access Control<br />
Le <strong>client</strong> <strong>Symantec</strong> N<strong>et</strong>work Access Control évalue si un ordinateur est<br />
correctement protégé <strong>et</strong> conforme avant <strong>de</strong> lui perm<strong>et</strong>tre <strong>de</strong> se connecter au réseau<br />
d'entreprise.<br />
Le <strong>client</strong> s'assure que votre ordinateur est conforme à la politique <strong>de</strong> sécurité que<br />
votre administrateur configure. La politique <strong>de</strong> sécurité vérifie si votre ordinateur<br />
exécute le logiciel <strong>de</strong> sécurité le plus récent, comme <strong>de</strong>s applications antivirus <strong>et</strong><br />
<strong>de</strong> pare-feu. Si votre ordinateur n'exécute pas le logiciel nécessaire, vous ou le<br />
<strong>client</strong> <strong>de</strong>vez m<strong>et</strong>tre à jour le logiciel en question. Si votre logiciel <strong>de</strong> sécurité n'est<br />
pas à jour, votre ordinateur peut être empêché <strong>de</strong> se connecter au réseau. Le <strong>client</strong><br />
exécute <strong>de</strong>s contrôles périodiques pour vérifier que votre ordinateur reste conforme<br />
à la politique <strong>de</strong> sécurité.<br />
Se reporter à "Fonctionnement <strong>de</strong> <strong>Symantec</strong> N<strong>et</strong>work Access Control" à la page 145.
20<br />
Présentation du <strong>client</strong><br />
A propos du <strong>client</strong> <strong>Symantec</strong> N<strong>et</strong>work Access Control
Chapitre<br />
2<br />
Réagir au <strong>client</strong><br />
Ce chapitre traite <strong>de</strong>s suj<strong>et</strong>s suivants :<br />
■<br />
■<br />
■<br />
A propos <strong>de</strong> l'interaction avec le <strong>client</strong><br />
Action sur les fichiers infectés<br />
A propos <strong>de</strong>s notifications <strong>et</strong> <strong>de</strong>s alertes<br />
A propos <strong>de</strong> l'interaction avec le <strong>client</strong><br />
Le <strong>client</strong> travaille à l'arrière-plan pour maintenir votre ordinateur protégé contre<br />
les activités malveillantes. Parfois le <strong>client</strong> doit vous informer au suj<strong>et</strong> d'une<br />
activité ou vous <strong>de</strong>man<strong>de</strong>r un commentaire.<br />
Vous pouvez alors obtenir les types d'alertes ou <strong>de</strong> notifications suivants :<br />
Détection <strong>de</strong> virus ou <strong>de</strong><br />
risque <strong>de</strong> sécurité<br />
Si Auto-Protect ou une analyse détecte un virus ou un risque <strong>de</strong><br />
sécurité, la boîte <strong>de</strong> dialogue <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong><br />
Résultats <strong>de</strong> détection s'affiche. La boîte <strong>de</strong> dialogue apparaît.<br />
Les détails sur l'infection sont inclus. La boîte <strong>de</strong> dialogue affiche<br />
également l'action que <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> a effectuée<br />
sur le risque. Vous n'avez habituellement pas besoin <strong>de</strong> prendre<br />
d'autre mesure que passer en revue l'activité <strong>et</strong> refermer la boîte<br />
<strong>de</strong> dialogue. Vous pouvez agir au besoin, cependant.<br />
Se reporter à "Action sur les fichiers infectés" à la page 22.<br />
Notifications en<br />
relation avec les<br />
applications<br />
Lorsqu'un programme <strong>de</strong> votre ordinateur tente d'accé<strong>de</strong>r à un<br />
réseau, <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> peut vous <strong>de</strong>man<strong>de</strong>r votre<br />
accord.<br />
Se reporter à "Réaction aux notifications relatives aux<br />
applications" à la page 24.
22<br />
Réagir au <strong>client</strong><br />
Action sur les fichiers infectés<br />
Alertes <strong>de</strong> sécurité<br />
<strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> vous informe lorsqu'il bloque un<br />
programme ou détecte une attaque contre votre ordinateur.<br />
Se reporter à "Réaction aux alertes <strong>de</strong> sécurité" à la page 27.<br />
Si <strong>Symantec</strong> N<strong>et</strong>work Access Control est activé sur l'ordinateur, vous pouvez<br />
recevoir un message <strong>de</strong> N<strong>et</strong>work Access Control. Ce message s'affiche quand vos<br />
paramètres <strong>de</strong> sécurité ne se conforment pas aux normes que votre administrateur<br />
a configurées.<br />
Se reporter à "Réaction aux notifications <strong>de</strong> N<strong>et</strong>work Access Control" à la page 28.<br />
Action sur les fichiers infectés<br />
Par défaut, Auto-Protect s'exécute en continu sur votre ordinateur. Pour les <strong>client</strong>s<br />
non gérés, une analyse rapi<strong>de</strong> générée automatiquement s'exécute au démarrage<br />
<strong>de</strong> l'ordinateur. Pour les <strong>client</strong>s gérés, votre administrateur configure généralement<br />
une analyse complète au moins une fois par semaine. Auto-Protect affiche une<br />
boîte <strong>de</strong> dialogue <strong>de</strong> résultats quand il détecte un problème. Lorsqu'une analyse<br />
s'exécute, une boîte <strong>de</strong> dialogue affiche ses résultats. Pour les <strong>client</strong>s gérés, votre<br />
administrateur peut désactiver ces notifications.<br />
Si vous recevez ces notifications, elles peuvent signaler qu'un fichier infecté<br />
nécessite une intervention <strong>de</strong> votre part.<br />
Les options par défaut pour Auto-Protect <strong>et</strong> tous les types d'analyse sont <strong>de</strong><br />
n<strong>et</strong>toyer tout fichier infecté dès qu'il est détecté. Si le <strong>client</strong> ne peut pas n<strong>et</strong>toyer<br />
un fichier, il consigne l'échec <strong>et</strong> place le fichier infecté en quarantaine. La<br />
quarantaine locale est un emplacement spécial réservé aux fichiers infectés <strong>et</strong><br />
aux eff<strong>et</strong>s secondaires système associés. Pour les risques <strong>de</strong> sécurité, le <strong>client</strong> m<strong>et</strong><br />
en quarantaine les fichiers infectés <strong>et</strong> supprime ou répare leurs eff<strong>et</strong>s secondaires.<br />
Le <strong>client</strong> consigne la détection s'il ne peut pas réparer le fichier.<br />
Remarque : Dans la quarantaine, le virus ne peut pas se propager. Quand le <strong>client</strong><br />
place un fichier en quarantaine, vous n'avez plus accès au fichier.<br />
Quand <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> répare un fichier infecté, vous n'avez pas<br />
besoin <strong>de</strong> prendre davantage <strong>de</strong> mesures pour protéger votre ordinateur. Si le<br />
<strong>client</strong> m<strong>et</strong> en quarantaine un fichier infecté par un risque <strong>de</strong> sécurité, puis le<br />
supprime <strong>et</strong> le répare, vous n'avez pas besoin <strong>de</strong> prendre <strong>de</strong> mesures<br />
supplémentaires.<br />
Vous pouvez ne pas avoir à agir sur un fichier, mais vouloir exécuter une action<br />
supplémentaire sur le fichier. Par exemple, vous pouvez déci<strong>de</strong>r <strong>de</strong> supprimer un<br />
fichier n<strong>et</strong>toyé car vous préférez le remplacer par un fichier original.
Réagir au <strong>client</strong><br />
Action sur les fichiers infectés<br />
23<br />
Vous pouvez utiliser les notifications pour agir sur le fichier immédiatement.<br />
Vous pouvez également utiliser la vue <strong>de</strong> journal ou la quarantaine pour agir sur<br />
le fichier plus tard.<br />
Se reporter à "Interprétation <strong>de</strong>s résultats <strong>de</strong>s analyses" à la page 77.<br />
Se reporter à "Mise en quarantaine <strong>de</strong>s risques <strong>et</strong> <strong>de</strong>s menaces du journal <strong>de</strong>s<br />
risques <strong>et</strong> du journal <strong>de</strong>s menaces" à la page 162.<br />
Se reporter à "A propos <strong>de</strong> la prise en charge <strong>de</strong>s fichiers en quarantaine"<br />
à la page 92.<br />
Pour traiter un fichier infecté<br />
1 Effectuez l'une <strong>de</strong>s opérations suivantes :<br />
■<br />
■<br />
■<br />
Dans la boîte <strong>de</strong> dialogue d'avancement <strong>de</strong> l'analyse, sélectionnez les<br />
fichiers voulus lorsque l'analyse est terminée.<br />
Dans la boîte <strong>de</strong> dialogue <strong>de</strong> résultats d'analyse, sélectionnez les fichiers<br />
que vous voulez.<br />
Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Afficher les journaux,<br />
puis, à côté <strong>de</strong> la protection antivirus <strong>et</strong> antispyware, cliquez sur Afficher<br />
les journaux. Dans la vue <strong>de</strong> journal, sélectionnez les fichiers que vous<br />
voulez.<br />
2 Cliquez sur les fichiers avec le bouton droit <strong>de</strong> la souris, puis sélectionnez<br />
l'une <strong>de</strong>s options suivantes. Dans certains cas, le <strong>client</strong> ne peut pas exécuter<br />
l'action que vous avez sélectionnée.<br />
■<br />
■<br />
■<br />
■<br />
■<br />
Annuler l'opération effectuée : Annule l'opération effectuée.<br />
N<strong>et</strong>toyer (virus uniquement) : Supprime le virus du fichier.<br />
Supprimer définitivement : Supprime le fichier infecté <strong>et</strong> tous ses eff<strong>et</strong>s<br />
secondaires. Pour les risques <strong>de</strong> sécurité, utilisez c<strong>et</strong>te action avec<br />
pru<strong>de</strong>nce. Dans certains cas, la suppression <strong>de</strong> risques <strong>de</strong> sécurité peut<br />
empêcher une application <strong>de</strong> fonctionner correctement.<br />
M<strong>et</strong>tre en quarantaine : Place les fichiers infectés en quarantaine. Pour<br />
les risques <strong>de</strong> sécurité, le <strong>client</strong> essaye également <strong>de</strong> supprimer ou <strong>de</strong><br />
réparer les eff<strong>et</strong>s secondaires.<br />
Propriétés : Affiche <strong>de</strong>s informations sur le virus ou le risque <strong>de</strong> sécurité.<br />
A propos <strong>de</strong>s dommages causés par les virus<br />
Si <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> trouve une infection peu après que l'infection<br />
se produise, le fichier infecté peut re<strong>de</strong>venir entièrement fonctionnel après que<br />
le <strong>client</strong> l'ait n<strong>et</strong>toyé. Parfois, cependant, <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> peut
24<br />
Réagir au <strong>client</strong><br />
A propos <strong>de</strong>s notifications <strong>et</strong> <strong>de</strong>s alertes<br />
n<strong>et</strong>toyer un fichier infecté qu'un virus a déjà endommagé. Par exemple, <strong>Symantec</strong><br />
<strong>Endpoint</strong> <strong>Protection</strong> peut trouver un virus qui endommage un fichier <strong>de</strong> document.<br />
<strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> supprime le virus mais ne peut pas réparer les<br />
dommages à l'intérieur du fichier infecté.<br />
A propos <strong>de</strong>s notifications <strong>et</strong> <strong>de</strong>s alertes<br />
Vous pouvez obtenir plusieurs types <strong>de</strong> notifications sur votre ordinateur. Ces<br />
notifications décrivent habituellement une situation <strong>et</strong> indiquent comment le<br />
<strong>client</strong> essaye <strong>de</strong> résoudre le problème.<br />
Vous pouvez obtenir les types <strong>de</strong> notification suivants :<br />
■<br />
■<br />
Notifications en relation avec les applications<br />
Se reporter à "Réaction aux notifications relatives aux applications"<br />
à la page 24.<br />
Alertes <strong>de</strong> sécurité<br />
Se reporter à "Réaction aux alertes <strong>de</strong> sécurité" à la page 27.<br />
Réaction aux notifications relatives aux applications<br />
Vous pouvez obtenir une notification qui vous <strong>de</strong>man<strong>de</strong> si vous voulez autoriser<br />
l'exécution d'une application ou d'un service.<br />
Ce type <strong>de</strong> notification s'affiche pour une <strong>de</strong>s raisons suivantes :<br />
■<br />
■<br />
■<br />
■<br />
L'application <strong>de</strong>man<strong>de</strong> à accé<strong>de</strong>r à votre connexion réseau.<br />
Une application qui a accédé à votre connexion réseau a été mise à niveau.<br />
Le <strong>client</strong> a commuté les utilisateurs commutés <strong>client</strong> avec la fonction <strong>de</strong><br />
changement rapi<strong>de</strong> d'utilisateur.<br />
Se reporter à "Notifications <strong>de</strong> commutation <strong>de</strong> <strong>client</strong> rapi<strong>de</strong>" à la page 26.<br />
Votre administrateur a mis à jour le logiciel <strong>client</strong>.<br />
Se reporter à "Réagir aux notifications automatiques <strong>de</strong> mise à jour"<br />
à la page 27.<br />
Vous pouvez obtenir le type suivant <strong>de</strong> message, qui indique quand une application<br />
ou un service essaye d'accé<strong>de</strong>r à votre ordinateur :<br />
Intern<strong>et</strong> Explorer (IEXPLORE.EXE) tente <strong>de</strong> se connecter à<br />
www.symantec.com en utilisant le port distant 80 (HTTP - World Wi<strong>de</strong> Web).<br />
Voulez-vous perm<strong>et</strong>tre à ce programme d'accé<strong>de</strong>r au réseau ?
Réagir au <strong>client</strong><br />
A propos <strong>de</strong>s notifications <strong>et</strong> <strong>de</strong>s alertes<br />
25<br />
Pour réagir aux applications qui essayent d'accé<strong>de</strong>r au réseau<br />
1 Dans la zone <strong>de</strong> message, cliquez sur Détail.<br />
Vous pouvez afficher plus d'informations sur la connexion <strong>et</strong> l'application,<br />
comme le nom <strong>de</strong> fichier, le numéro <strong>de</strong> version <strong>et</strong> le nom du chemin d'accès.<br />
2 Si vous voulez que le <strong>client</strong> se souvienne votre choix la prochaine fois que<br />
c<strong>et</strong>te application essaye d'accé<strong>de</strong>r à votre connexion réseau, cliquez sur<br />
Mémoriser ma réponse <strong>et</strong> ne plus me <strong>de</strong>man<strong>de</strong>r à l'avenir pour c<strong>et</strong>te<br />
application..<br />
3 Effectuez l'une <strong>de</strong>s opérations suivantes :<br />
■<br />
■<br />
Pour perm<strong>et</strong>tre à l'application d'accé<strong>de</strong>r à la connexion réseau, cliquez<br />
sur Oui.<br />
Cliquez sur Oui seulement si vous i<strong>de</strong>ntifiez l'application <strong>et</strong> que vous êtes<br />
sûr <strong>de</strong> vouloir qu'elle accè<strong>de</strong> à la connexion réseau. Si vous êtes incertain,<br />
<strong>de</strong>man<strong>de</strong>z à votre administrateur.<br />
Pour interdire à l'application d'accé<strong>de</strong>r à la connexion réseau, cliquez sur<br />
Non.<br />
Tableau 2-1 affiche la manière dont vous pouvez réagir aux notifications vous<br />
<strong>de</strong>mandant si vous voulez autoriser ou bloquer une application.<br />
Tableau 2-1<br />
Notifications <strong>de</strong> permission d'application<br />
Si vous cochez l'option<br />
"Mémoriser ma<br />
réponse..." ?<br />
Oui<br />
Non<br />
Oui<br />
Non<br />
Si vous<br />
cliquez sur<br />
Oui<br />
Oui<br />
Non<br />
Non<br />
Le <strong>client</strong>…<br />
Perm<strong>et</strong> l'application <strong>et</strong> ne <strong>de</strong>man<strong>de</strong> pas <strong>de</strong><br />
nouveau.<br />
Perm<strong>et</strong> l'application <strong>et</strong> vous <strong>de</strong>man<strong>de</strong> chaque<br />
fois.<br />
Bloque l'application <strong>et</strong> ne vous <strong>de</strong>man<strong>de</strong> pas <strong>de</strong><br />
nouveau.<br />
Bloque l'application <strong>et</strong> vous <strong>de</strong>man<strong>de</strong> chaque<br />
fois.<br />
Vous pouvez également modifier l'action <strong>de</strong> l'application dans le champ<br />
Applications en cours d'exécution ou dans la liste Applications.<br />
Se reporter à "Configurer <strong>de</strong>s paramètres spécifiques à une application"<br />
à la page 133.
26<br />
Réagir au <strong>client</strong><br />
A propos <strong>de</strong>s notifications <strong>et</strong> <strong>de</strong>s alertes<br />
Notifications d'application modifiée<br />
De temps en temps, vous pouvez obtenir un message indiquant qu'une application<br />
a été modifiée. Le message suivant en est un exemple.<br />
"Le programme Teln<strong>et</strong> a changé <strong>de</strong>puis sa <strong>de</strong>rnière ouverture.<br />
Cela peut être dû à une mise à jour récente.<br />
Souhaitez-vous l'autoriser à accé<strong>de</strong>r au réseau ?"<br />
L'application qui est répertoriée dans le message précé<strong>de</strong>nt tente d'accé<strong>de</strong>r à votre<br />
connexion réseau. Bien que le <strong>client</strong> i<strong>de</strong>ntifie le nom <strong>de</strong> l'application, quelque<br />
chose au suj<strong>et</strong> <strong>de</strong> l'application a été modifié <strong>de</strong>puis la <strong>de</strong>rnière fois où le <strong>client</strong> l'a<br />
rencontrée. Très probablement, vous avez mis à niveau le produit récemment.<br />
Chaque nouvelle version <strong>de</strong> produit utilise un fichier différent <strong>de</strong> signature <strong>de</strong><br />
fichier. Le <strong>client</strong> détecte que le fichier <strong>de</strong> signature <strong>de</strong> fichier a changé.<br />
Notifications <strong>de</strong> commutation <strong>de</strong> <strong>client</strong> rapi<strong>de</strong><br />
Si vous utilisez Windows Vista /XP, vous pouvez obtenir l'une <strong>de</strong>s notifications<br />
suivantes :<br />
“<strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> ne peut pas afficher<br />
l'interface utilisateur. Si vous utilisez la fonction <strong>de</strong> changement<br />
rapi<strong>de</strong> d'utilisateur <strong>de</strong> Windows XP, assurez-vous que tous<br />
les autres utilisateurs sont déconnectés <strong>de</strong> Windows <strong>et</strong> essayez<br />
<strong>de</strong> fermer votre session Windows puis <strong>de</strong> la rouvrir. Si vous utilisez<br />
les services Windows Terminal Services, l'interface utilisateur<br />
n'est pas pris en charge."<br />
ou<br />
“<strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> ne s'exécutait pas mais sera démarré.<br />
Cependant, <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> ne peut pas afficher<br />
l'interface utilisateur. Si vous utilisez la fonction <strong>de</strong> changement<br />
rapi<strong>de</strong> d'utilisateur <strong>de</strong> Windows XP, assurez-vous que tous<br />
les autres utilisateurs sont déconnectés <strong>de</strong> Windows <strong>et</strong> essayez<br />
<strong>de</strong> fermer votre session Windows puis <strong>de</strong> la rouvrir. Si vous utilisez<br />
les services Windows Terminal Services, l'interface utilisateur<br />
n'est pas pris en charge."<br />
La fonction <strong>de</strong> changement rapi<strong>de</strong> d'utilisateur est fonctions Windows qui vous<br />
perm<strong>et</strong> <strong>de</strong> commuter rapi<strong>de</strong>ment entre les utilisateurs sans <strong>de</strong>voir fermer la<br />
session sur l'ordinateur. Des utilisateurs multiples peuvent partager un ordinateur<br />
<strong>et</strong> commutent entre eux sans fermer les applications qu'ils exécutent. Une <strong>de</strong> ces<br />
fenêtres s'affiche si vous commutez <strong>de</strong>s utilisateurs en utilisant la fonction <strong>de</strong><br />
changement rapi<strong>de</strong> d'utilisateur.
Réagir au <strong>client</strong><br />
A propos <strong>de</strong>s notifications <strong>et</strong> <strong>de</strong>s alertes<br />
27<br />
Pour réagir à un message <strong>de</strong> changement rapi<strong>de</strong> d'utilisateur, suivez les<br />
instructions dans la boîte <strong>de</strong> dialogue.<br />
Réagir aux notifications automatiques <strong>de</strong> mise à jour<br />
Si le logiciel <strong>client</strong> est automatiquement mis à jour, vous pouvez obtenir la<br />
notification suivante :<br />
<strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> a détecté qu'une version plus récente<br />
du logiciel est disponible dans <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> Manager.<br />
Souhaitez-vous la télécharger maintenant ?<br />
Pour réagir à une notification automatique <strong>de</strong> mise à jour<br />
1 Effectuez l'une <strong>de</strong>s opérations suivantes :<br />
■<br />
■<br />
Pour télécharger le logiciel immédiatement, cliquez sur Télécharger<br />
maintenant.<br />
Pour être rappelé après le délai spécifié, cliquez sur Me le rappeler plus<br />
tard.<br />
2 Si un message s'affiche après le début <strong>de</strong> l'installation du logiciel mis à jour,<br />
cliquez sur OK.<br />
Réaction aux alertes <strong>de</strong> sécurité<br />
Les alertes <strong>de</strong> sécurité affichent une notification au-<strong>de</strong>ssus <strong>de</strong> l'icône <strong>de</strong> zone <strong>de</strong><br />
notification. Il suffit <strong>de</strong> confirmer que vous avez lu le message en cliquant sur<br />
OK. Les notifications apparaissent pour une <strong>de</strong>s raisons suivantes :<br />
Messages d'application bloquée<br />
Une application qui a été lancée sur votre ordinateur a été bloquée selon <strong>de</strong>s<br />
règles définies par votre administrateur. Par exemple, vous pouvez obtenir le<br />
message suivant :<br />
Le trafic a été bloqué <strong>de</strong> c<strong>et</strong>te application :<br />
(nom <strong>de</strong> l'application)<br />
Ces notifications indiquent que votre <strong>client</strong> a bloqué le trafic que vous avez<br />
spécifié comme non fiable. Si le <strong>client</strong> est configuré pour bloquer tout le trafic,<br />
ces notifications apparaissent fréquemment. Si votre <strong>client</strong> est configuré pour<br />
perm<strong>et</strong>tre tout le trafic, ces notifications n'apparaissent pas.
28<br />
Réagir au <strong>client</strong><br />
A propos <strong>de</strong>s notifications <strong>et</strong> <strong>de</strong>s alertes<br />
Intrusions<br />
Une attaque a été lancée contre votre ordinateur <strong>et</strong> une alerte vous informe <strong>de</strong><br />
la situation ou vous fournit <strong>de</strong>s instructions sur la façon <strong>de</strong> réagir. Par exemple,<br />
vous pouvez obtenir le message suivant :<br />
Le trafic <strong>de</strong> l'adresse IP 192.168.0.3 est bloqué<br />
du 10/10/2006 15:37:58 au 10/10/2006 15:47:58.<br />
L'attaque par analyse <strong>de</strong> port est consignée.<br />
Votre administrateur a pu désactiver les notifications <strong>de</strong> prévention d'intrusion<br />
sur l'ordinateur <strong>client</strong>.<br />
Pour savoir quels types d'attaques votre <strong>client</strong> détecte, vous pouvez perm<strong>et</strong>tre<br />
au <strong>client</strong> d'afficher <strong>de</strong>s notifications <strong>de</strong> prévention d'intrusion.<br />
Se reporter à "Configuration <strong>de</strong>s notifications <strong>de</strong> prévention d'intrusion"<br />
à la page 139.<br />
Réaction aux notifications <strong>de</strong> N<strong>et</strong>work Access Control<br />
Si le <strong>client</strong> <strong>Symantec</strong> N<strong>et</strong>work Access Control ne se conforme pas aux politiques<br />
<strong>de</strong> sécurité, il peut ne pas être en mesure d'accé<strong>de</strong>r au réseau. Dans ce cas, vous<br />
pouvez obtenir un message indiquant que <strong>Symantec</strong> Enforcer a bloqué votre trafic<br />
parce que la vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte a échoué. Votre administrateur<br />
réseau peut avoir ajouté un texte à ce message pour suggérer <strong>de</strong>s actions <strong>de</strong><br />
remédiation possibles. Après avoir fermé la zone <strong>de</strong> texte du message, ouvrez le<br />
<strong>client</strong> pour voir s'il affiche <strong>de</strong>s procédures suggérées pour restaurer l'accès réseau.<br />
Pour réagir aux notifications <strong>de</strong> contrôle d'accès réseau<br />
1 Suivez toutes les procédures suggérées qui apparaissent dans la zone <strong>de</strong> texte<br />
du message.<br />
2 Dans la zone <strong>de</strong> texte du message, cliquez sur OK.
Chapitre<br />
3<br />
Gestion du <strong>client</strong><br />
Ce chapitre traite <strong>de</strong>s suj<strong>et</strong>s suivants :<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
A propos <strong>de</strong>s <strong>client</strong>s gérés centralement <strong>et</strong> <strong>de</strong>s <strong>client</strong>s autonomes<br />
Conversion d'un <strong>client</strong> autogéré en <strong>client</strong> centralement géré<br />
Mise à jour <strong>de</strong> la protection <strong>de</strong> l'ordinateur<br />
A propos <strong>de</strong>s politiques <strong>de</strong> sécurité<br />
M<strong>et</strong>tre à jour manuellement le fichier <strong>de</strong> politique<br />
Vérifier que <strong>de</strong>s politiques ont été mises à jour<br />
Analyse immédiate <strong>de</strong> l'ordinateur<br />
Suspension <strong>et</strong> report <strong>de</strong>s analyses<br />
Activation <strong>et</strong> désactivation <strong>de</strong>s technologies <strong>de</strong> protection<br />
A propos <strong>de</strong> la protection contre les interventions<br />
Activation, désactivation <strong>et</strong> configuration <strong>de</strong> la protection contre les<br />
interventions<br />
Test du <strong>de</strong>gré <strong>de</strong> sécurité <strong>de</strong> votre ordinateur<br />
A propos <strong>de</strong>s emplacements<br />
Modification d'emplacement<br />
A propos <strong>de</strong> l'icône <strong>de</strong> zone <strong>de</strong> notification<br />
Masquage <strong>et</strong> affichae <strong>de</strong> l'icône <strong>de</strong> zone <strong>de</strong> notification<br />
A propos du fait d'empêcher un administrateur <strong>de</strong> redémarrer l'ordinateur
30<br />
Gestion du <strong>client</strong><br />
A propos <strong>de</strong>s <strong>client</strong>s gérés centralement <strong>et</strong> <strong>de</strong>s <strong>client</strong>s autonomes<br />
A propos <strong>de</strong>s <strong>client</strong>s gérés centralement <strong>et</strong> <strong>de</strong>s <strong>client</strong>s<br />
autonomes<br />
L'administrateur peut installer le <strong>client</strong> comme <strong>client</strong> géré centralement<br />
(installation gérée par l'administrateur) ou comme <strong>client</strong> autonome (installation<br />
autonome).<br />
Tableau 3-1<br />
Type <strong>de</strong> <strong>client</strong><br />
Client géré<br />
centralement<br />
Différences entre un <strong>client</strong> géré centralement <strong>et</strong> un <strong>client</strong> autonome<br />
Description<br />
Un <strong>client</strong> géré centralement communique avec un serveur <strong>de</strong> gestion<br />
<strong>de</strong> votre réseau. L'administrateur configure la protection <strong>et</strong> les<br />
paramètres par défaut, <strong>et</strong> le serveur <strong>de</strong> gestion télécharge les<br />
paramètres vers le <strong>client</strong>. Si l'administrateur modifie la protection,<br />
c<strong>et</strong>te modification est presque immédiatement téléchargée vers le<br />
<strong>client</strong>.<br />
Les administrateurs peuvent modifier votre niveau d'interaction avec<br />
le <strong>client</strong> <strong>de</strong>s manières suivantes :<br />
■<br />
■<br />
■<br />
L'administrateur gère complètement le <strong>client</strong>.<br />
Il n'est pas nécessaire <strong>de</strong> configurer le <strong>client</strong>. Tous les paramètres<br />
sont verrouillés ou indisponibles, mais vous pouvez afficher <strong>de</strong>s<br />
informations sur les opérations du <strong>client</strong> sur l'ordinateur.<br />
L'administrateur gère le <strong>client</strong>, mais vous pouvez modifier certains<br />
paramètres du <strong>client</strong> <strong>et</strong> effectuer certaines tâches. Par exemple,<br />
vous pouvez exécuter vos propres analyses <strong>et</strong> récupérer<br />
manuellement <strong>de</strong>s mises à jour <strong>de</strong> <strong>client</strong> <strong>et</strong> <strong>de</strong>s mises à jour <strong>de</strong><br />
protection.<br />
La disponibilité <strong>de</strong>s paramètres du <strong>client</strong>, comme les valeurs <strong>de</strong>s<br />
paramètres elles-mêmes, peut changer périodiquement. Par<br />
exemple, un paramètre peut changer lorsque votre administrateur<br />
m<strong>et</strong> à jour la politique qui contrôle la protection <strong>client</strong>.<br />
L'administrateur gère le <strong>client</strong>, mais vous pouvez modifier tous<br />
les paramètres du <strong>client</strong> <strong>et</strong> effectuer toutes les tâches <strong>de</strong> protection.
Gestion du <strong>client</strong><br />
Conversion d'un <strong>client</strong> autogéré en <strong>client</strong> centralement géré<br />
31<br />
Type <strong>de</strong> <strong>client</strong><br />
Client autonome<br />
Description<br />
Un <strong>client</strong> autonome ne communique pas avec un serveur <strong>de</strong> gestion<br />
<strong>et</strong> un administrateur ne gère pas le <strong>client</strong>.<br />
Un <strong>client</strong> autonome peut être l'un <strong>de</strong>s types suivants :<br />
■<br />
■<br />
Un ordinateur autonome non connecté à un réseau, tel qu'un<br />
ordinateur familial ou un ordinateur portable. L'ordinateur doit<br />
inclure une installation <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> qui utilise<br />
les paramètres d'option par défaut ou <strong>de</strong>s paramètres prédéfinis<br />
par un administrateur.<br />
Un ordinateur distant qui se connecte au réseau d'entreprise <strong>et</strong><br />
qui doit remplir les spécifications <strong>de</strong> sécurité avant sa connexion<br />
Le <strong>client</strong> dispose <strong>de</strong> paramètres par défaut lors <strong>de</strong> l'installation initiale.<br />
Une fois le <strong>client</strong> installé, vous pouvez modifier tous les paramètres<br />
<strong>client</strong> <strong>et</strong> effectuer toutes les tâches <strong>de</strong> protection.<br />
Se reporter à "Conversion d'un <strong>client</strong> autogéré en <strong>client</strong> centralement géré"<br />
à la page 31.<br />
Tableau 3-2 décrit les différences dans l'interface utilisateur entreun <strong>client</strong> géré<br />
centralement <strong>et</strong> un <strong>client</strong> autonome.<br />
Tableau 3-2<br />
Différences entre un <strong>client</strong> géré centralement <strong>et</strong> un <strong>client</strong> autonome<br />
par zone <strong>de</strong> fonction<br />
Zone <strong>de</strong> fonction<br />
Client géré centralement<br />
Client autonome<br />
Antivirus <strong>et</strong><br />
antispyware<br />
Le <strong>client</strong> affiche une option <strong>de</strong><br />
ca<strong>de</strong>nas verrouillé <strong>et</strong> l'option<br />
s'affiche en gris pour les options<br />
qu'il est impossible <strong>de</strong> configurer.<br />
Le <strong>client</strong> n'affiche pas un ca<strong>de</strong>nas<br />
verrouillé ou un ca<strong>de</strong>nas<br />
déverrouillé.<br />
Paramètres <strong>de</strong><br />
gestion <strong>de</strong> <strong>client</strong> <strong>et</strong><br />
<strong>de</strong> protection contre<br />
les menaces réseau<br />
Les paramètres que<br />
l'administrateur contrôle ne<br />
s'affichent pas.<br />
Tous les paramètres s'affichent.<br />
Se reporter à "A propos <strong>de</strong> l'interaction avec le <strong>client</strong>" à la page 21.<br />
Conversion d'un <strong>client</strong> autogéré en <strong>client</strong><br />
centralement géré<br />
Si votre <strong>client</strong> est installé en tant que <strong>client</strong> autonome, vous pouvez le convertir<br />
en <strong>client</strong> géré. Un <strong>client</strong> géré communique avec le serveur <strong>de</strong> gestion <strong>et</strong> reçoit les
32<br />
Gestion du <strong>client</strong><br />
Mise à jour <strong>de</strong> la protection <strong>de</strong> l'ordinateur<br />
mises à jour <strong>de</strong> définition <strong>de</strong> contenu <strong>et</strong> les données <strong>de</strong> configuration. Un <strong>client</strong><br />
autonome ne communique pas avec un serveur <strong>de</strong> gestion.<br />
Se reporter à "A propos <strong>de</strong>s <strong>client</strong>s gérés centralement <strong>et</strong> <strong>de</strong>s <strong>client</strong>s autonomes"<br />
à la page 30.<br />
Pour convertir un <strong>client</strong> autonome en <strong>client</strong> géré, vous importez un fichier<br />
sylink.xml qui contient les paramètres <strong>de</strong> communication. Votre administrateur<br />
doit vous envoyer le fichier ou l'enregistrer sur un emplacement auquel vous<br />
pouvez accé<strong>de</strong>r. Le nom par défaut pour le fichier est nom du groupe_sylink.xml.<br />
Après que vous ayez importé le fichier <strong>de</strong> communications, l'icône <strong>de</strong> la zone <strong>de</strong><br />
notification apparaît dans le coin inférieur droit du bureau.<br />
Se reporter à "A propos <strong>de</strong> l'icône <strong>de</strong> zone <strong>de</strong> notification" à la page 47.<br />
Pour convertir un <strong>client</strong> autonome en <strong>client</strong> géré<br />
1 Dans le <strong>client</strong>, cliquez sur Ai<strong>de</strong> <strong>et</strong> support, puis cliquez sur Dépannage.<br />
2 Dans la boîte <strong>de</strong> dialogue Gestion, sous Paramètres <strong>de</strong> communication, cliquez<br />
sur Importer.<br />
3 Dans la boîte <strong>de</strong> dialogue Importer les paramètres <strong>de</strong> communication, localisez<br />
le fichier nam du groupe_sylink.xml, puis cliquez sur Ouvrir.<br />
4 Cliquez sur Fermer.<br />
Mise à jour <strong>de</strong> la protection <strong>de</strong> l'ordinateur<br />
Les produits <strong>Symantec</strong> nécessitent <strong>de</strong>s informations à jour pour protéger<br />
l'ordinateur <strong>de</strong>s nouvelles menaces découvertes. <strong>Symantec</strong> m<strong>et</strong> ces informations<br />
à votre disposition par l'intermédiaire <strong>de</strong> LiveUpdate. LiveUpdate récupère le<br />
programme <strong>et</strong> les mises à jour <strong>de</strong> la protection pour votre ordinateur en utilisant<br />
votre connexion Intern<strong>et</strong>.<br />
Les mises à jour <strong>de</strong> protection sont les fichiers qui maintiennent les produits<br />
<strong>Symantec</strong> à jour avec la technologie la plus récente en matière <strong>de</strong> protection contre<br />
les menaces. LiveUpdate récupère les nouveaux fichiers <strong>de</strong> définitions sur un site<br />
Intern<strong>et</strong> <strong>de</strong> <strong>Symantec</strong>, puis remplace les anciens fichiers <strong>de</strong> définitions. Les mises<br />
à jour <strong>de</strong> la protection que vous recevez dépen<strong>de</strong>nt <strong>de</strong>s produits installés sur votre<br />
ordinateur.<br />
Les mises à jour <strong>de</strong> protection comprennent les fichiers suivants :<br />
■<br />
Fichiers <strong>de</strong> définitions <strong>de</strong> virus pour la protection contre les virus <strong>et</strong> les logiciels<br />
espions.<br />
Se reporter à "Mo<strong>de</strong> <strong>de</strong> fonctionnement <strong>de</strong>s analyses antivirus <strong>et</strong> antispyware"<br />
à la page 71.
Gestion du <strong>client</strong><br />
Mise à jour <strong>de</strong> la protection <strong>de</strong> l'ordinateur<br />
33<br />
■<br />
■<br />
Signatures heuristiques <strong>et</strong> listes d'applications commerciales pour la protection<br />
proactive contre les menaces.<br />
Fichiers <strong>de</strong> définitions d'IPS pour la protection contre les menaces réseau.<br />
Se reporter à "A propos <strong>de</strong> la gestion <strong>de</strong> la protection contre les menaces réseau"<br />
à la page 116.<br />
Les mises à jour <strong>de</strong> produit sont <strong>de</strong>s améliorations sur le <strong>client</strong> installé. Les mises<br />
à jour <strong>de</strong> produit sont généralement créées pour prolonger la compatibilité du<br />
système d'exploitation ou du matériel, régler <strong>de</strong>s problèmes <strong>de</strong> performance ou<br />
corriger <strong>de</strong>s erreurs <strong>de</strong> produit. Les mises à jour <strong>de</strong> produit sont publiées en<br />
fonction <strong>de</strong>s besoins. Le <strong>client</strong> reçoit <strong>de</strong>s mises à jour <strong>de</strong> produit directement d'un<br />
serveur LiveUpdate. Un <strong>client</strong> géré centralement peut également recevoir <strong>de</strong>s<br />
mises à jour <strong>de</strong> produit automatiquement d'un serveur <strong>de</strong> gestion <strong>de</strong> votre<br />
entreprise.<br />
Tableau 3-3<br />
Tâche<br />
Manières d'effectuer <strong>de</strong>s mises à jour <strong>de</strong> contenu sur votre<br />
ordinateur<br />
Description<br />
Mise à jour <strong>de</strong> contenu sur<br />
planification<br />
Par défaut, LiveUpdate s'exécute automatiquement à<br />
intervalles planifiés.<br />
Sur un <strong>client</strong> autonome, vous pouvez désactiver ou<br />
modifier une planification LiveUpdate.<br />
Se reporter à "Mise à jour <strong>de</strong> contenu sur planification"<br />
à la page 34.<br />
Mise à jour immédiate <strong>de</strong> contenu<br />
Selon vos paramètres <strong>de</strong> sécurité, vous pouvez exécuter<br />
LiveUpdate immédiatement.<br />
Se reporter à "Mise à jour immédiate <strong>de</strong> contenu"<br />
à la page 33.<br />
Remarque : HTTP est pris en charge pour la communication LiveUpdate, mais<br />
HTTPS n'est pas pris en charge.<br />
Mise à jour immédiate <strong>de</strong> contenu<br />
Vous pouvez m<strong>et</strong>tre à jour les fichiers <strong>de</strong> définition immédiatement à l'ai<strong>de</strong> <strong>de</strong><br />
LiveUpdate. Vous <strong>de</strong>vez exécuter LiveUpdate manuellement pour les raisons<br />
suivantes :<br />
■<br />
■<br />
Le <strong>client</strong> a été récemment installé.<br />
La <strong>de</strong>rnière analyse a été exécutée il y'a longtemps.
34<br />
Gestion du <strong>client</strong><br />
Mise à jour <strong>de</strong> la protection <strong>de</strong> l'ordinateur<br />
■<br />
Vous suspectez que votre ordinateur contient un virus.<br />
Se reporter à "Mise à jour <strong>de</strong> contenu sur planification" à la page 34.<br />
Se reporter à "Mise à jour <strong>de</strong> la protection <strong>de</strong> l'ordinateur" à la page 32.<br />
Pour m<strong>et</strong>tre à jour votre protection immédiatement.<br />
◆<br />
Dans le <strong>client</strong>, dans la barre latérale, cliquez sur LiveUpdate.<br />
LiveUpdate se connecte au serveur <strong>Symantec</strong>, recherche les mises à jour<br />
disponibles, puis les télécharge <strong>et</strong> les installe automatiquement.<br />
Mise à jour <strong>de</strong> contenu sur planification<br />
Vous pouvez créer une planification <strong>de</strong> sorte que LiveUpdate s'exécute<br />
automatiquement à intervalles planifiés. Il peut être nécessaire <strong>de</strong> planifier<br />
l'exécution <strong>de</strong> LiveUpdate lorsque vous n'utilisez pas votre ordinateur.<br />
Se reporter à "Mise à jour immédiate <strong>de</strong> contenu" à la page 33.<br />
Remarque : Vous pouvez configurer LiveUpdate pour s'exécuter uniquement sur<br />
planification si votre administrateur vous y a autorisé.<br />
Pour m<strong>et</strong>tre à jour la protection sur planification<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 En regard <strong>de</strong> Gestion <strong>de</strong>s <strong>client</strong>s, cliquez sur Configurer les paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres<strong>de</strong>gestion<strong>de</strong>s<strong>client</strong>s, cliquez sur Mises<br />
à jour planifiées.<br />
4 Sur l'ongl<strong>et</strong> Mises à jour planifiées, cochez Activer les mises à jour<br />
automatiques.<br />
5 Dans la zone <strong>de</strong> groupe Fréquence, sélectionnez si vous voulez que les mises<br />
à jour s'exécutent chaque jour, chaque semaine ou chaque mois.<br />
6 Dans la zone <strong>de</strong> groupe Quand, sélectionnez le jour ou la semaine <strong>et</strong> l'heure<br />
où vous voulez que les mises à jour s'exécutent.<br />
Les paramètres <strong>de</strong> la zone <strong>de</strong> groupe Quand dépen<strong>de</strong>nt <strong>de</strong>s paramètres <strong>de</strong> la<br />
zone <strong>de</strong> groupe Fréquence.<br />
7 Cochez Essayer pendant, puis spécifiez l'intervalle <strong>de</strong> temps pendant lequel<br />
le <strong>client</strong> tente d'exécuter LiveUpdate <strong>de</strong> nouveau.
Gestion du <strong>client</strong><br />
A propos <strong>de</strong>s politiques <strong>de</strong> sécurité<br />
35<br />
8 Cochez Randomiser l'heure <strong>de</strong> début sur + ou -, puis spécifiez le nombre<br />
d'heures ou <strong>de</strong> jours.<br />
C<strong>et</strong>te option définit un intervalle <strong>de</strong> temps avant ou après l'heure planifiée<br />
pour le démarrage <strong>de</strong> la mise à jour.<br />
9 Cliquez sur OK.<br />
A propos <strong>de</strong>s politiques <strong>de</strong> sécurité<br />
Une politique <strong>de</strong> sécurité est un ensemble <strong>de</strong> paramètres <strong>de</strong> sécurité que<br />
l'administrateur d'un <strong>client</strong> réseau configure <strong>et</strong> déploie vers <strong>de</strong>s <strong>client</strong>s. Les<br />
politiques <strong>de</strong> sécurité déterminent les paramètres <strong>de</strong> votre <strong>client</strong>, y compris les<br />
options que vous pouvez afficher <strong>et</strong> modifier.<br />
Se reporter à "A propos <strong>de</strong>s <strong>client</strong>s gérés centralement <strong>et</strong> <strong>de</strong>s <strong>client</strong>s autonomes"<br />
à la page 30.<br />
Les <strong>client</strong>s gérés sont connectés au serveur <strong>de</strong> gestion <strong>et</strong> reçoivent<br />
automatiquement les <strong>de</strong>rnières politiques <strong>de</strong> sécurité. Si vous avez la difficulté<br />
avec l'accès au réseau, votre administrateur peut vous <strong>de</strong>man<strong>de</strong>r <strong>de</strong> m<strong>et</strong>tre à jour<br />
manuellement votre fichier <strong>de</strong> politique.<br />
Se reporter à "M<strong>et</strong>tre à jour manuellement le fichier <strong>de</strong> politique" à la page 35.<br />
M<strong>et</strong>tre à jour manuellement le fichier <strong>de</strong> politique<br />
Les paramètres qui contrôlent la protection sur le <strong>client</strong> sont enregistrés sur<br />
l'ordinateur dans un fichier <strong>de</strong> politique. Le fichier <strong>de</strong> politique m<strong>et</strong> à jour les<br />
paramètres pour la protection antivirus <strong>et</strong> antispyware, la protection contre les<br />
menaces réseau, la protection proactive contre les menaces <strong>et</strong> N<strong>et</strong>work Access<br />
Control. Ce fichier <strong>de</strong> politique se m<strong>et</strong> normalement à jour automatiquement.<br />
Cependant, vous pouvez également le m<strong>et</strong>tre à jour manuellement si vous ne<br />
voulez pas attendre que le fichier <strong>de</strong> politique soit mis à jour.<br />
Remarque : Vous pouvez afficher le journal système pour vérifier que l'opération<br />
a mis à jour la politique avec succès.<br />
Se reporter à "A propos <strong>de</strong>s politiques <strong>de</strong> sécurité" à la page 35.<br />
Se reporter à "Vérifier que <strong>de</strong>s politiques ont été mises à jour" à la page 36.
36<br />
Gestion du <strong>client</strong><br />
Vérifier que <strong>de</strong>s politiques ont été mises à jour<br />
Pour m<strong>et</strong>tre à jour le fichier <strong>de</strong> politique manuellement<br />
1 Dans la zone <strong>de</strong> notification Windows, cliquez avec le bouton droit <strong>de</strong> la souris<br />
sur l'icône <strong>client</strong>.<br />
2 Dans le menu contextuel, cliquez sur M<strong>et</strong>tre à jour la politique.<br />
Vérifier que <strong>de</strong>s politiques ont été mises à jour<br />
Quand vous m<strong>et</strong>tez à jour une politique sur le <strong>client</strong>, vous pouvez vérifier si le<br />
<strong>client</strong> a reçu la politique.<br />
Se reporter à "A propos <strong>de</strong>s politiques <strong>de</strong> sécurité" à la page 35.<br />
Se reporter à "M<strong>et</strong>tre à jour manuellement le fichier <strong>de</strong> politique" à la page 35.<br />
Pour vérifier que les ordinateurs <strong>client</strong> ont obtenu <strong>de</strong>s politiques mises à jour<br />
1 Sur l'ordinateur <strong>client</strong>, dans la fenêtre principale <strong>de</strong> <strong>Symantec</strong> <strong>Endpoint</strong><br />
<strong>Protection</strong>, cliquez sur Afficher les journaux.<br />
2 Près <strong>de</strong> Gestion <strong>de</strong>s <strong>client</strong>s, cliquez sur Afficher les journaux, puis cliquez<br />
sur Journal système.<br />
Vous voyez une entrée pour la mise à jour <strong>de</strong> la politique qui contient le<br />
numéro <strong>de</strong> série.<br />
Analyse immédiate <strong>de</strong> l'ordinateur<br />
Vous pouvez manuellement analyser l'ordinateur pour détecter <strong>de</strong>s virus <strong>et</strong> <strong>de</strong>s<br />
risques <strong>de</strong> sécurité à tout moment. Vous <strong>de</strong>vez analyser votre ordinateur<br />
immédiatement si vous avez récemment installé le <strong>client</strong> ou si vous pensez avoir<br />
récemment reçu un virus.<br />
Sélectionnez l'élément à analyser : fichier, disqu<strong>et</strong>te ou tout l'ordinateur. Les<br />
analyses à la <strong>de</strong>man<strong>de</strong> incluent l'analyse rapi<strong>de</strong> <strong>et</strong> l'analyse complète. Vous pouvez<br />
également créer une analyse personnalisée pour exécution à la <strong>de</strong>man<strong>de</strong>.<br />
Se reporter à "Planification d'une analyse à exécuter sur <strong>de</strong>man<strong>de</strong> ou quand<br />
l'ordinateur démarre" à la page 75.<br />
Pour plus d'informations sur les options <strong>de</strong> chaque boîte <strong>de</strong> dialogue, cliquez sur<br />
Ai<strong>de</strong>.<br />
Pour analyser l'ordinateur immédiatement<br />
◆ Effectuez l'une <strong>de</strong>s opérations suivantes :<br />
■<br />
Sur la page Etat du <strong>client</strong>, près <strong>de</strong> <strong>Protection</strong> antivirus <strong>et</strong> antispyware,<br />
cliquez sur Options > Exécuter l'analyse active.
Gestion du <strong>client</strong><br />
Suspension <strong>et</strong> report <strong>de</strong>s analyses<br />
37<br />
■<br />
Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Rechercherlesmenaces.<br />
Effectuez l'une <strong>de</strong>s opérations suivantes :<br />
■<br />
■<br />
■<br />
Cliquez sur Exécuter l'analyse active.<br />
Cliquez sur Exécuter l'analyse complète.<br />
Dans la liste d'analyses, cliquez avec le bouton droit <strong>de</strong> la souris sur<br />
n'importe quelle analyse, puis cliquez sur Analyser.<br />
L'analyse commence. Une fenêtre <strong>de</strong> progression s'affiche sur votre<br />
ordinateur pour afficher la progression <strong>de</strong> l'analyse <strong>et</strong> les résultats.<br />
Vous pouvez également interrompre ou annuler l'analyse.<br />
Se reporter à "Suspension <strong>et</strong> report <strong>de</strong>s analyses" à la page 37.<br />
Pour analyser l'ordinateur à partir <strong>de</strong> Windows<br />
◆<br />
Dans la fenêtre Poste <strong>de</strong> travail ou l'Explorateur Windows, cliquez avec le<br />
bouton droit <strong>de</strong> la souris sur un fichier, un dossier ou un lecteur. Cliquez<br />
ensuite sur Rechercher les virus.<br />
C<strong>et</strong>te fonction n'est pas prise en charge par les systèmes d'exploitation 64<br />
bits.<br />
Suspension <strong>et</strong> report <strong>de</strong>s analyses<br />
La fonction <strong>de</strong> suspension perm<strong>et</strong> d'interrompre une analyse à un sta<strong>de</strong> quelconque<br />
<strong>et</strong> <strong>de</strong> la reprendre à un autre moment. Vous pouvez suspendre toute analyse que<br />
vous avez lancée.<br />
L'administrateur détermine si vous pouvez interrompre une analyse lancée par<br />
l'administrateur. Si l'option Suspendre l'analyse n'est pas disponible,<br />
l'administrateur a désactivé la fonction <strong>de</strong> suspension. Si votre administrateur a<br />
activé la fonction Différer, vous pouvez différer ses analyses planifiées d'un délai<br />
déterminé.<br />
Lorsqu'une analyse reprend, elle démarre là elle s'est arrêté.<br />
Remarque : Si vous tentez <strong>de</strong> suspendre une analyse pendant que le <strong>client</strong> analyse<br />
un fichier compressé, le <strong>client</strong> peut m<strong>et</strong>tre plusieurs minutes à réagir à la <strong>de</strong>man<strong>de</strong><br />
<strong>de</strong> suspension <strong>de</strong> l'analyse.
38<br />
Gestion du <strong>client</strong><br />
Activation <strong>et</strong> désactivation <strong>de</strong>s technologies <strong>de</strong> protection<br />
Pour interrompre une analyse que vous avez lancée<br />
1 Lorsque l'analyse s'exécute, dans la boîte <strong>de</strong> dialogue d'analyse, cliquez sur<br />
Suspendre l'analyse.<br />
L'analyse s'interrompt <strong>et</strong> la boîte <strong>de</strong> dialogue reste ouverte jusqu'à ce que<br />
vous relanciez l'analyse.<br />
2 Dans la boîte <strong>de</strong> dialogue d'analyse, cliquez sur Reprendre l'analyse pour<br />
continuer l'analyse.<br />
Pour interrompre ou r<strong>et</strong>ar<strong>de</strong>r une analyse lancée par l'administrateur<br />
1 Pendant que l'analyse lancée par l'administrateur s'exécute, cliquez sur<br />
Suspendre l'analyse dans la boîte <strong>de</strong> dialogue d'analyse.<br />
2 Dans la boîte <strong>de</strong> dialogue Suspension d'analyse planifiée, effectuez l'une <strong>de</strong>s<br />
opérations suivantess :<br />
■<br />
■<br />
■<br />
Pour interrompre l'analyse temporairement, cliquez sur Suspendre.<br />
Pour r<strong>et</strong>ar<strong>de</strong>r l'analyse, cliquez sur Différer d'une 1 heure ou Différer <strong>de</strong><br />
3 heures.<br />
Votre administrateur spécifie le délai dont vous pouvez différer l'analyse.<br />
Lorsque la suspension atteint la limite, l'analyse redémarre là où elle a<br />
commencé. L'administrateur spécifie le nombre maximal <strong>de</strong> fois où vous<br />
pouvez différer l'analyse planifiée.<br />
Pour continuer l'analyse sans interruption, cliquez sur Continuer.<br />
Activation <strong>et</strong> désactivation <strong>de</strong>s technologies <strong>de</strong><br />
protection<br />
En général, vous souhaitez toujours maintenir les technologies <strong>de</strong> protection<br />
activées sur votre ordinateur.<br />
Si vous rencontrez un problème avec votre ordinateur <strong>client</strong>, vous pouvez vouloir<br />
désactiver temporairement toutes les technologies <strong>de</strong> protection ou différentes<br />
technologies <strong>de</strong> protection. Par exemple, si une application s'exécute pas ou ne<br />
s'exécute pas correctement, vous pouvez désactiver la protection contre les<br />
menaces réseau.<br />
Si <strong>de</strong>s problèmes persistent après la désactivation <strong>de</strong> toutes les technologies <strong>de</strong><br />
protection, alors le problème ne provient pas du <strong>client</strong>.<br />
Tableau 3-4 décrit les raisons pour lesquelles vous pouvez vouloir désactiver<br />
chaque technologie <strong>de</strong> protection.
Gestion du <strong>client</strong><br />
Activation <strong>et</strong> désactivation <strong>de</strong>s technologies <strong>de</strong> protection<br />
39<br />
Tableau 3-4<br />
Motif <strong>de</strong> désactivation d'une technologie <strong>de</strong> protection<br />
Technologie <strong>de</strong> protection<br />
<strong>Protection</strong> antivirus <strong>et</strong><br />
antispyware<br />
Motif <strong>de</strong> désactivation <strong>de</strong> la technologie <strong>de</strong> protection<br />
Si vous désactivez c<strong>et</strong>te protection, vous désactivez<br />
Auto-Protect uniquement. Les analyses planifiées ou <strong>de</strong><br />
démarrage s'exécutent toujours si vous ou votre<br />
administrateur les avez configurées <strong>de</strong> la sorte.<br />
Vous ou l'administrateur pouvez activer ou désactiver<br />
Auto-Protect pour les raisons suivantes :<br />
■<br />
■<br />
■<br />
■<br />
Auto-Protect peut vous empêcher d'ouvrir un document.<br />
Par exemple, si vous ouvrez Microsoft Word contenant<br />
un macro, Auto-Protect peut empêcher son ouverture.<br />
Si vous le document est sécurisé, vous pouvez<br />
désactiver Auto-Protect.<br />
Il peut arriver que les alertes d'Auto-Protect ne sont<br />
pas dues à un virus. Par exemple, vous pouvez obtenir<br />
un avertissement lorsque vous installez <strong>de</strong> nouveaux<br />
applications d'ordinateur. Si vous prévoyez d'installer<br />
<strong>de</strong>s applications <strong>et</strong> voulez éviter l'avertissement, vous<br />
pouvez désactiver Auto-Protect temporairement.<br />
Auto-Protect peut gêner le remplacement du pilote <strong>de</strong><br />
Windows.<br />
Auto-Protect peut ralentir l'ordinateur <strong>client</strong>.<br />
Se reporter à "Activation ou désactivation <strong>de</strong> Auto-Protect"<br />
à la page 41.<br />
<strong>Protection</strong> proactive contre les<br />
menaces<br />
Vous pouvez désactiver la protection proactive contre les<br />
menaces pour les raisons suivantes :<br />
■<br />
■<br />
Trop d'avertissements apparaissent sur <strong>de</strong>s menaces<br />
qui ne le sont pas en fait.<br />
La protection proactive contre les menaces peut ralentir<br />
l'ordinateur <strong>client</strong>.<br />
Se reporter à "Activation ou désactivation <strong>de</strong> la protection<br />
proactive contre les menaces" à la page 43.
40<br />
Gestion du <strong>client</strong><br />
Activation <strong>et</strong> désactivation <strong>de</strong>s technologies <strong>de</strong> protection<br />
Technologie <strong>de</strong> protection<br />
<strong>Protection</strong> contre les menaces<br />
réseau<br />
Motif <strong>de</strong> désactivation <strong>de</strong> la technologie <strong>de</strong> protection<br />
Vous pouvez désactiver la protection contre les menaces<br />
réseau pour les raisons suivantes :<br />
■<br />
■<br />
■<br />
■<br />
Vous installez une application que le pare-feu peut<br />
bloquer.<br />
Une règle <strong>de</strong> filtrage ou un paramètre <strong>de</strong> pare-feu<br />
bloque une application due une erreur <strong>de</strong><br />
l'administrateur.<br />
Le pare-feu ou le système <strong>de</strong> prévention d'intrusion<br />
entraîne <strong>de</strong>s problèmes <strong>de</strong> connectivité réseau.<br />
Le pare-feu peut ralentir l'ordinateur <strong>client</strong>.<br />
Se reporter à "Activation ou désactivation <strong>de</strong> la protection<br />
contre les menaces réseau" à la page 42.<br />
Se reporter à "Activation ou désactivation <strong>de</strong>s paramètres<br />
<strong>de</strong> prévention <strong>de</strong>s intrusions" à la page 138.<br />
Avertissement : Assurez-vous d'activer <strong>de</strong>s protections à la fin votre tâche <strong>de</strong><br />
dépannage pour que votre ordinateur reste protégé.<br />
Si les technologies <strong>de</strong> protection posent un problème avec une application, il est<br />
préférable <strong>de</strong> créer une exception au lieu <strong>de</strong> désactiver la protection <strong>de</strong> façon<br />
permanente<br />
Se reporter à "A propos <strong>de</strong> l'exclusion <strong>de</strong>s éléments <strong>de</strong> l'analyse" à la page 89.<br />
Si l'une <strong>de</strong>s protections est désactivée :<br />
■<br />
■<br />
La barre d'état en haut <strong>de</strong> la page Etat est rouge.<br />
L'icône du <strong>client</strong> s'affiche avec un signe <strong>de</strong> négation, un cercle rouge barré par<br />
une diagonale. L'icône <strong>client</strong> s'affiche sous forme <strong>de</strong> bouclier entier dans la<br />
barre <strong>de</strong>s tâches, dans le coin inférieur droit du bureau Windows. Dans certaines<br />
configurations, l'icône ne s'affiche pas.<br />
Se reporter à "A propos <strong>de</strong> l'icône <strong>de</strong> zone <strong>de</strong> notification" à la page 47.<br />
Sur un <strong>client</strong> géré centralement, l'administrateur peut activer toute protection à<br />
tout moment.<br />
Pour activer <strong>de</strong>s technologies <strong>de</strong> protection à partir <strong>de</strong> la page Etat<br />
◆<br />
Sur le <strong>client</strong>, en haut <strong>de</strong> la page Etat, cliquez sur Corriger ou Réparer tout.
Gestion du <strong>client</strong><br />
Activation <strong>et</strong> désactivation <strong>de</strong>s technologies <strong>de</strong> protection<br />
41<br />
Pour activer ou désactiver les technologies <strong>de</strong> protection à partir <strong>de</strong> la barre <strong>de</strong>s<br />
tâches<br />
◆<br />
Sur le bureau Windows, dans la zone <strong>de</strong> notification, cliquez sur l'icône <strong>client</strong><br />
avec le bouton droit <strong>de</strong> la souris, puis effectuez l'une <strong>de</strong>s actions suivantes :<br />
■<br />
■<br />
Cliquez sur Activer <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong>.<br />
Cliquez sur Désactiver <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong>.<br />
Se reporter à "Activation, désactivation <strong>et</strong> configuration <strong>de</strong> la protection contre<br />
les interventions" à la page 44.<br />
Activation ou désactivation <strong>de</strong> Auto-Protect<br />
Vous pouvez activer ou désactiver File System Auto-Protect <strong>de</strong>s fichiers <strong>et</strong><br />
processus, du courrier électronique <strong>et</strong> <strong>de</strong>s applications <strong>de</strong> logiciels <strong>de</strong> groupes <strong>de</strong><br />
courriers électroniques. Lorsqu'un type d'Auto-Protect est désactivé, l'état <strong>de</strong><br />
protection antivirus <strong>et</strong> antispyware s'affiche en rouge sur la page Etat.<br />
Lorsque vous cliquez sur l'icône avec le bouton droit <strong>de</strong> la souris, une coche<br />
s'affiche à côté <strong>de</strong> la case à cocher Activer Auto-Protect lorsque Auto-Protect pour<br />
les fichiers <strong>et</strong> les processus est activé.<br />
Se reporter à "Activation <strong>et</strong> désactivation <strong>de</strong>s technologies <strong>de</strong> protection"<br />
à la page 38.<br />
Remarque : Sur un <strong>client</strong> géré centralement, l'administrateur peut verrouiller<br />
Auto-Protect pour vous empêcher <strong>de</strong> le désactiver. L'administrateur peut également<br />
spécifier que vous pouvez désactiver Auto-Protect temporairement, mais que<br />
Auto-Protect se réactive automatiquement après un délai spécifié..<br />
Si vous n'avez pas modifié les paramètres <strong>de</strong>s options par défaut, Auto-Protect<br />
se charge au démarrage <strong>de</strong> l'ordinateur pour vous protéger contre les virus <strong>et</strong> les<br />
risques <strong>de</strong> sécurité. Auto-Protect recherche les virus <strong>et</strong> les risques <strong>de</strong> sécurité<br />
dans les programmes qui s'exécutent. Il surveille également l'ordinateur pour<br />
toute activité pouvant indiquer la présence d'un virus ou d'un risque <strong>de</strong> sécurité.<br />
Lorsqu'un virus, une activité suspecte (comportement pouvant signaler la présence<br />
d'un virus) ou un risque <strong>de</strong> sécurité est détecté, Auto-Protect vous alerte.<br />
Pour activer ou désactiver Auto-Protect pour le système <strong>de</strong> fichiers<br />
◆<br />
Dans le <strong>client</strong>, sur la page Etat, à côté <strong>de</strong> <strong>Protection</strong> antivirus <strong>et</strong> antispyware,<br />
faites une <strong>de</strong>s actions suivantes :
42<br />
Gestion du <strong>client</strong><br />
Activation <strong>et</strong> désactivation <strong>de</strong>s technologies <strong>de</strong> protection<br />
Pour activer ou désactiver Auto-Protect pour le courrier électronique<br />
1 Dans la barre latérale du <strong>client</strong>, cliquez sur Changer les paramètres.<br />
2 Près <strong>de</strong> <strong>Protection</strong> antivirus <strong>et</strong> antispyware, cliquez sur Configurer les<br />
paramètres.<br />
3 Effectuez l'une <strong>de</strong>s opérations suivantes :<br />
■<br />
■<br />
■<br />
Sur l'ongl<strong>et</strong> Auto-ProtectpourlecourrierélectroniqueIntern<strong>et</strong>, cochez<br />
ou désélectionnez la case à cocher Activer Auto-Protect pour le courrier<br />
électronique Intern<strong>et</strong>.<br />
Sur l'ongl<strong>et</strong> Auto-Protect pour Microsoft Outlook, cochez ou décochez<br />
la case à cocher Activer Auto-Protect pour le courrier électronique<br />
Microsoft Outlook.<br />
Sur l'ongl<strong>et</strong> Auto-Protect pour Lotus Notes, cochez ou désélectionnez la<br />
case à cocher Activer Auto-Protect pour Lotus Notes.<br />
4 Cliquez sur OK.<br />
Activation ou désactivation <strong>de</strong> la protection contre les menaces réseau<br />
Vous peut s'avérer nécessaire <strong>de</strong> désactiver la protection contre les menaces<br />
réseau si vous ne pouvez pas ouvrir une application. Si vous n'êtes pas certain<br />
que la protection contre les menaces réseau est à l'origine du problème, il peut<br />
être judicieux <strong>de</strong> désactiver toutes les technologies <strong>de</strong> protection.<br />
Se reporter à "Activation <strong>et</strong> désactivation <strong>de</strong>s technologies <strong>de</strong> protection"<br />
à la page 38.<br />
Si vous pouvez désactiver la protection, vous pouvez la réactiver à tout moment.<br />
L'administrateur peut également activer <strong>et</strong> désactiver la protection à tout moment,<br />
même en supplantant l'état où vous avez mis la protection.<br />
Votre administrateur a pu fixer les limites suivantes sur la désactivation <strong>de</strong> la<br />
protection :<br />
■<br />
■<br />
■<br />
Si le <strong>client</strong> perm<strong>et</strong> tout le trafic ou tout le trafic sortant seulement.<br />
La durée où la protection est désactivée.<br />
Combien <strong>de</strong> fois vous pouvez désactiver la protection avant <strong>de</strong> redémarrer le<br />
<strong>client</strong>.<br />
Se reporter à "Gestion <strong>de</strong> la protection par pare-feu" à la page 117.<br />
Se reporter à "Bloquer <strong>et</strong> débloquer un ordinateur attaquant" à la page 139.
Gestion du <strong>client</strong><br />
A propos <strong>de</strong> la protection contre les interventions<br />
43<br />
Pour activer ou désactiver la protection contre les menaces réseau<br />
◆<br />
Dans le <strong>client</strong>, sur la page Etat, près <strong>de</strong> <strong>Protection</strong>contrelesmenacesréseau,<br />
effectuez l'une <strong>de</strong>s opérations suivantes :<br />
■<br />
■<br />
Cliquez sur Options > Activer la protection contre les menaces réseau.<br />
Cliquez sur Options>Désactiverlaprotectioncontrelesmenacesréseau.<br />
Activation ou désactivation <strong>de</strong> la protection proactive contre les<br />
menaces<br />
Il peut être nécessaire <strong>de</strong> désactiver la protection proactive contre les menaces si<br />
les analyses affichent <strong>de</strong> nombreux avertissements ou <strong>de</strong>s faux positifs. Les faux<br />
positifs se produisent lorsque l'analyse détecte une application ou un processus<br />
comme une menace alors qu'elle(il) n'en est pas.<br />
La protection proactive contre les menaces est activée lorsque les paramètres<br />
Rechercher les chevaux <strong>de</strong> Troie <strong>et</strong> les vers <strong>et</strong> Rechercher les enregistreurs <strong>de</strong><br />
frappe sont activés. Si l'un ou l'autre <strong>de</strong>s paramètres est désactivé, le <strong>client</strong> affiche<br />
l'état <strong>de</strong> protection proactive contre les menaces comme désactivé.<br />
Sur un <strong>client</strong> géré centralement, l'administrateur peut verrouiller la protection<br />
proactive contre les menaces pour vous empêcher <strong>de</strong> la désactiver. La protection<br />
proactive contre les menaces est désactivée automatiquement sur les ordinateurs<br />
<strong>client</strong> qui exécutent Windows XP x64 Edition ou Windows Server 2000, 2003 <strong>et</strong><br />
2008.<br />
Se reporter à "A propos <strong>de</strong>s analyses proactives <strong>de</strong>s menaces TruScan" à la page 101.<br />
Pour activer ou désactiver la protection proactive contre les menaces<br />
◆<br />
Dans le <strong>client</strong>, sur la page Etat, près <strong>de</strong> <strong>Protection</strong> proactive contre les<br />
menaces, effectuez l'une <strong>de</strong>s opérations suivantes :<br />
■<br />
■<br />
Cliquez sur Options>Activerlaprotectionproactivecontrelesmenaces.<br />
Cliquez sur Options > Désactiver la protection proactive contre les<br />
menaces.<br />
A propos <strong>de</strong> la protection contre les interventions<br />
La protection contre les interventions assure une protection en temps réel <strong>de</strong>s<br />
applications <strong>Symantec</strong>. Elle contrecarre les attaques par le co<strong>de</strong> malveillant tel<br />
que <strong>de</strong>s vers, <strong>de</strong>s chevaux <strong>de</strong> Troie, <strong>de</strong>s virus <strong>et</strong> <strong>de</strong>s risques <strong>de</strong> sécurité.<br />
Vous pouvez configurer la protection contre les interventions pour prendre les<br />
mesures suivantes :
44<br />
Gestion du <strong>client</strong><br />
Activation, désactivation <strong>et</strong> configuration <strong>de</strong> la protection contre les interventions<br />
■<br />
■<br />
Bloquer les tentatives d'intervention <strong>et</strong> consigner l'événement<br />
Consigner l'événement d'intervention mais sans interférer avec l'événement<br />
La protection contre les interventions est activé pour les <strong>client</strong>s réseau <strong>et</strong> les<br />
<strong>client</strong>s autonomes, à moins que votre administrateur n'ait modifié les paramètres<br />
par défaut. Quand la protection contre les interventions détecte une tentative<br />
d'intervention, la mesure qu'elle prend par défaut est <strong>de</strong> consigner l'événement<br />
dans le journal <strong>de</strong> protection contre les interventions. Vous pouvez configurer la<br />
protection contre les interventions pour afficher une notification sur votre<br />
ordinateur quand elle détecte une tentative d'intervention. Vous pouvez<br />
personnaliser le message. La protection contre les interventions ne vous informe<br />
pas sur les tentatives d'intervention, à moins que vous n'activiez c<strong>et</strong>te<br />
fonctionnalité.<br />
Si vous utilisez un <strong>client</strong> autonome, vous pouvez modifier vos paramètres<br />
<strong>Protection</strong> contre les interventions. Si vous utilisez un <strong>client</strong> géré, vous pouvez<br />
modifier ces paramètres si votre administrateur le perm<strong>et</strong>.<br />
Lorsque vous utilisez <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> pour la première fois, il est<br />
conseillé d'ignorer l'action par défaut Consigner l'événement uniquement tout<br />
en contrôlant les journaux une fois la semaine. Lorsque vous êtes certain qu'aucun<br />
faux positif n'est présent, définissez la protection contre les interventions sur<br />
Bloquer <strong>et</strong> consigner l'événement.<br />
Remarque : Si vous utilisez un analyseur <strong>de</strong> risque <strong>de</strong> sécurité tiers qui détecte <strong>et</strong><br />
modifie les logiciels publicitaires <strong>et</strong> spywares indésirables, l'analyseur affecte<br />
typiquement les processus <strong>de</strong> <strong>Symantec</strong>. Si la protection contre les interventions<br />
est activée tandis que vous exécutez un analyseur tiers, la protection contre les<br />
interventions génère un grand nombre <strong>de</strong> notifications <strong>et</strong> d'entrées <strong>de</strong> journal.<br />
Une pratique d'excellence est <strong>de</strong> laisser toujours la protection contre les<br />
interventions activée <strong>et</strong> d'utiliser le filtrage <strong>de</strong> journal si le nombre d'événements<br />
généré est trop grand.<br />
Se reporter à "Activation, désactivation <strong>et</strong> configuration <strong>de</strong> la protection contre<br />
les interventions" à la page 44.<br />
Activation, désactivation <strong>et</strong> configuration <strong>de</strong> la<br />
protection contre les interventions<br />
Vous pouvez activer ou désactiver la protection contre les interventions. Si la<br />
protection contre les interventions est activée, vous pouvez choisir l'action que<br />
celle-ci doit effectuer lorsqu'elle détecte une tentative d'intervention sur les
Gestion du <strong>client</strong><br />
Activation, désactivation <strong>et</strong> configuration <strong>de</strong> la protection contre les interventions<br />
45<br />
composants logiciels <strong>Symantec</strong>. Vous pouvez également configurer la protection<br />
contre les interventions pour qu'elle affiche un message pour vous informer <strong>de</strong>s<br />
tentatives d'intervention. Pour personnaliser le message, vous pouvez utiliser les<br />
variables prédéfinies que la protection contre les interventions remplacera par<br />
les informations correspondantes.<br />
Remarque : Si un administrateur gère votre ordinateur <strong>et</strong> que ces options affichent<br />
un ca<strong>de</strong>nas, vous ne pouvez pas modifier ces options car l'administrateur les a<br />
verrouillées.<br />
Pour plus d'informations sur les variables prédéfinies, cliquez sur Ai<strong>de</strong> dans<br />
l'ongl<strong>et</strong> <strong>Protection</strong> contre les interventions.<br />
Se reporter à "A propos <strong>de</strong> la protection contre les interventions" à la page 43.<br />
Pour activer ou désactiver la protection contre les interventions<br />
1 Dans la barre latérale <strong>de</strong> la fenêtre principale, cliquez sur Changer les<br />
paramètres.<br />
2 Près <strong>de</strong> Gestion <strong>de</strong>s <strong>client</strong>s, cliquez sur Configurer les paramètres.<br />
3 Sur l'ongl<strong>et</strong> <strong>Protection</strong> contre les interventions, cochez ou désélectionnez la<br />
case Protéger les logiciels <strong>de</strong> sécurité <strong>Symantec</strong> contre les interventions<br />
ou interruptions.<br />
4 Cliquez sur OK.<br />
Pour configurer <strong>Protection</strong> contre les interventions<br />
1 Dans la barre latérale <strong>de</strong> la fenêtre principale, cliquez sur Changer les<br />
paramètres.<br />
2 A côté <strong>de</strong> Gestion <strong>de</strong>s <strong>client</strong>s, cliquez sur Configurer les paramètres.<br />
3 Sur l'ongl<strong>et</strong> <strong>Protection</strong> contre les interventions, dans la zone <strong>de</strong> liste<br />
Opération à effectuer si une application tente <strong>de</strong> modifier ou d'arrêter le<br />
logiciel<strong>de</strong>sécurité<strong>Symantec</strong>, cliquez sur Bloquer<strong>et</strong>consignerl'événement<br />
ou Consigner l'événement uniquement.<br />
4 Pour être informé <strong>de</strong> tout comportement suspect que la protection contre les<br />
interventions pourrait détecter, cochez la case Afficher un message <strong>de</strong><br />
notification si une intervention est détectée.<br />
Si vous activez ces messages <strong>de</strong> notification, vous pouvez recevoir <strong>de</strong>s<br />
notifications au suj<strong>et</strong> <strong>de</strong>s processus Windows <strong>et</strong> <strong>de</strong>s processus <strong>Symantec</strong>.<br />
5 Pour personnaliser le message qui s'affiche, modifiez le texte dans le champ<br />
du message.<br />
6 Cliquez sur OK.
46<br />
Gestion du <strong>client</strong><br />
Test du <strong>de</strong>gré <strong>de</strong> sécurité <strong>de</strong> votre ordinateur<br />
Test du <strong>de</strong>gré <strong>de</strong> sécurité <strong>de</strong> votre ordinateur<br />
Vous pouvez tester l'efficacité <strong>de</strong> votre ordinateur face aux menaces extérieures<br />
<strong>et</strong> <strong>de</strong> virus en l'analysant. C<strong>et</strong>te analyse est une étape importante pour s'assurer<br />
que votre ordinateur est protégé <strong>de</strong>s intrus possibles. Les résultats peuvent vous<br />
ai<strong>de</strong>r à définir diverses options sur le <strong>client</strong> pour protéger votre ordinateur contre<br />
les attaques.<br />
Pour tester le <strong>de</strong>gré <strong>de</strong> sécurité <strong>de</strong> votre ordinateur<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Etat.<br />
2 Près <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Options > Afficher<br />
l'activité réseau…<br />
3 Cliquez sur Outils > Tester la sécurité réseau.<br />
4 Sur le site Web <strong>de</strong> <strong>Symantec</strong> Security Check, faites l'une <strong>de</strong>s opérations<br />
suivantes :<br />
■<br />
■<br />
Pour rechercher <strong>de</strong>s menaces en ligne, cliquez sur Analyse <strong>de</strong> sécurité.<br />
Pour rechercher <strong>de</strong>s virus, cliquez sur Détection <strong>de</strong> virus.<br />
5 Dans la boîte <strong>de</strong> dialogue Contrat <strong>de</strong> licence utilisateur final, cliquez sur<br />
J'accepte <strong>et</strong> puis cliquez sur Suivant.<br />
Si vous avez cliquer sur Détection <strong>de</strong> virus dans l'étape 4, cliquez sur Je suis<br />
d'accord, puis cliquez sur Suivant.<br />
Si vous voulez arrêter l'analyse à tout moment, cliquez sur Arrêter.<br />
6 Quand l'analyse est finie, fermez la boîte <strong>de</strong> dialogue.<br />
A propos <strong>de</strong>s emplacements<br />
Un emplacement se rapporte à une politique <strong>de</strong> sécurité basée sur votre<br />
environnement réseau. Par exemple, si vous vous connectez au réseau <strong>de</strong> votre<br />
bureau en utilisant votre ordinateur portable <strong>de</strong>puis votre domicile, votre<br />
administrateur système peut configurer un emplacement nommé Domicile. Si<br />
vous utilisez l'ordinateur portable au bureau, vous pouvez utiliser un emplacement<br />
nommé Bureau. D'autres emplacements peuvent être un VPN, une filiale ou un<br />
hôtel.<br />
Le <strong>client</strong> commute entre ces emplacements, car les spécifications <strong>de</strong> sécurité <strong>et</strong><br />
d'utilisation peuvent différer entre les environnements réseau. Par exemple,<br />
quand votre ordinateur portable se connecte à votre réseau <strong>de</strong> bureau, votre <strong>client</strong><br />
pourrait utiliser un ensemble restrictif <strong>de</strong> politiques par votre administrateur.<br />
Quand il se connecte à votre réseau domestique, cependant, votre <strong>client</strong> peut
Gestion du <strong>client</strong><br />
Modification d'emplacement<br />
47<br />
utiliser une politique qui vous donne accès à plus d'options <strong>de</strong> configuration. Votre<br />
administrateur planifie <strong>et</strong> configure votre <strong>client</strong> en conséquence, <strong>de</strong> sorte que le<br />
<strong>client</strong> gère automatiquement ces différences pour vous.<br />
Remarque : Dans un environnement géré, vous pouvez modifier <strong>de</strong>s emplacements<br />
seulement si votre administrateur a fourni l'accès nécessaire.<br />
Se reporter à "Modification d'emplacement" à la page 47.<br />
Modification d'emplacement<br />
Vous pouvez modifier un emplacement au besoin. Par exemple, vous pourriez<br />
<strong>de</strong>voir passer à un emplacement qui perm<strong>et</strong> à un collègue d'accé<strong>de</strong>r à <strong>de</strong>s fichiers<br />
sur votre ordinateur. La liste <strong>de</strong>s emplacements disponibles est basée sur vos<br />
politiques <strong>de</strong> sécurité <strong>et</strong> sur le réseau actif <strong>de</strong> votre ordinateur.<br />
Se reporter à "A propos <strong>de</strong>s emplacements" à la page 46.<br />
Remarque : Selon les politiques <strong>de</strong> sécurité disponibles, vous pouvez ou non avoir<br />
accès à plus d'un emplacement. Vous pouvez constater que quand vous cliquez<br />
sur un emplacement, vous ne changez pas pour c<strong>et</strong> emplacement. Cela signifie<br />
que votre configuration réseau n'est pas appropriée pour c<strong>et</strong> emplacement. Par<br />
exemple, un emplacement nommé Bureau peut être disponible seulement quand<br />
il détecte le réseau local du bureau. Si vous n'êtes pas actuellement sur ce réseau,<br />
vous ne pouvez pas changer pour c<strong>et</strong> emplacement.<br />
Pour modifier un emplacement<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 Sur la page Changer les paramètres, près <strong>de</strong> Gestion <strong>de</strong>s <strong>client</strong>s, cliquez sur<br />
Configurer les paramètres.<br />
3 Sur l'ongl<strong>et</strong> Général, sous Options d'emplacement, sélectionnez<br />
l'emplacement auquel vous souhaitez passer.<br />
4 Cliquez sur OK.<br />
A propos <strong>de</strong> l'icône <strong>de</strong> zone <strong>de</strong> notification<br />
Le <strong>client</strong> utilise une icône <strong>de</strong> zone <strong>de</strong> notification pour indiquer s'il est en ligne<br />
ou hors ligne <strong>et</strong> si l'ordinateur <strong>client</strong> est correctement protégé. Vous pouvez cliquer
48<br />
Gestion du <strong>client</strong><br />
A propos <strong>de</strong> l'icône <strong>de</strong> zone <strong>de</strong> notification<br />
avec le bouton droit <strong>de</strong> la souris sur c<strong>et</strong>te icône pour afficher les comman<strong>de</strong>s<br />
fréquemment utilisées. L'icône se trouve dans le coin inférieur droit du bureau.<br />
Remarque : Sur les <strong>client</strong>s gérés centralement, l'icône <strong>de</strong> zone <strong>de</strong> notification<br />
système ne s'affiche pas si l'administrateur l'a configurée pour être indisponible.<br />
Tableau 3-5 affiche les icônes d'état du <strong>client</strong> <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> qui<br />
apparaissent dans la zone <strong>de</strong> notification.<br />
Tableau 3-5<br />
Icône<br />
Icônes d'état du <strong>client</strong> <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong><br />
Description<br />
Le <strong>client</strong> s'exécute sans problème. Il est déconnecté ou autonome. Les <strong>client</strong>s<br />
autonomes ne sont pas connectés à un serveur <strong>de</strong> gestion. L'icône est un<br />
bouclier jaune ordinaire.<br />
Le <strong>client</strong> s'exécute sans problème. Il est connecté au serveur <strong>et</strong> communique<br />
avec lui. Tous les composants <strong>de</strong> la politique <strong>de</strong> sécurité protègent<br />
l'ordinateur. L'icône est un bouclier jaune avec un point vert.<br />
Le <strong>client</strong> rencontre un léger problème. Par exemple, les définitions <strong>de</strong> virus<br />
peuvent ne pas être à jour. L'icône est un bouclier jaune <strong>et</strong> un point jaune-clair<br />
avec un point d'exclamation noire.<br />
Le <strong>client</strong> ne s'exécute pas, connaît un sérieux problème ou s'est vu désactiver<br />
au moins une technologie <strong>de</strong> protection. Par exemple, la protection contre<br />
les menaces réseau peut être désactivée. L'icône est un bouclier jaune avec<br />
un point blanc entouré <strong>de</strong> rouge <strong>et</strong> avec une ligne rouge traversant le point.<br />
Tableau 3-6 affiche les icônes d'état du <strong>client</strong> <strong>Symantec</strong> N<strong>et</strong>work Access Control<br />
qui apparaissent dans la zone <strong>de</strong> notification.<br />
Tableau 3-6<br />
Icône<br />
Icônes d'état du <strong>client</strong> <strong>Symantec</strong> N<strong>et</strong>work Access Control<br />
Description<br />
Le <strong>client</strong> s'exécute sans problème <strong>et</strong> la vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte<br />
ainsi que la mise à jour <strong>de</strong> la politique <strong>de</strong> sécurité ont réussi. Il est<br />
déconnecté ou autonome. Les <strong>client</strong>s autonomes ne sont pas connectés à<br />
un serveur <strong>de</strong> gestion. L'icône est une clé ordinaire en or.<br />
Le <strong>client</strong> s'exécute sans problème <strong>et</strong> la vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte<br />
ainsi que la mise à jour <strong>de</strong> la politique <strong>de</strong> sécurité ont réussi. Il communique<br />
avec le serveur. L'icône est une clé en or avec un point vert.
Gestion du <strong>client</strong><br />
Masquage <strong>et</strong> affichae <strong>de</strong> l'icône <strong>de</strong> zone <strong>de</strong> notification<br />
49<br />
Icône<br />
Description<br />
Le <strong>client</strong> a échoué à la vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte ou n'a pas mis à<br />
jour la politique <strong>de</strong> sécurité. L'icône est une clé dorée avec un point rouge<br />
qui contient un "X" blanc.<br />
Se reporter à "Masquage <strong>et</strong> affichae <strong>de</strong> l'icône <strong>de</strong> zone <strong>de</strong> notification" à la page 49.<br />
Masquage <strong>et</strong> affichae <strong>de</strong> l'icône <strong>de</strong> zone <strong>de</strong><br />
notification<br />
Vous pouvez masquer l'icône <strong>de</strong> zone <strong>de</strong> notification au besoin. Par exemple, vous<br />
pouvez la masquer pour obtenir plus d'espace sur la barre <strong>de</strong>s tâches Windows.<br />
Se reporter à "A propos <strong>de</strong> l'icône <strong>de</strong> zone <strong>de</strong> notification" à la page 47.<br />
Remarque : Sur les <strong>client</strong>s gérés, vous ne pouvez pas masquer l'icône <strong>de</strong> zone <strong>de</strong><br />
notification si votre administrateur a restreint c<strong>et</strong>te fonctionnalité.<br />
Pour masquer ou afficher l'icône <strong>de</strong> la zone <strong>de</strong> notification<br />
1 Dans la fenêtre principale, dans la barre latérale, cliquez sur Changer les<br />
paramètres.<br />
2 Sur la page Changer les paramètres, <strong>de</strong> l'option Gestion <strong>de</strong>s <strong>client</strong>s, cliquez<br />
sur Configurer les paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s, sur l'ongl<strong>et</strong><br />
Général, sous Options affichage, désélectionnez ou cochez Afficher l'icône<br />
<strong>de</strong> sécurité <strong>Symantec</strong> dans la zone <strong>de</strong> notification.<br />
4 Cliquez sur OK.<br />
A propos du fait d'empêcher un administrateur <strong>de</strong><br />
redémarrer l'ordinateur<br />
Généralement, les administrateurs peuvent exécuter <strong>de</strong>s comman<strong>de</strong>s à distance<br />
sur l'ordinateur <strong>client</strong>. Pour <strong>de</strong>s raisons <strong>de</strong> sécurité, vous pouvez <strong>de</strong>voir empêcher<br />
un administrateur <strong>de</strong> redémarrer l'ordinateur à distance.<br />
Vous <strong>de</strong>vez définir une clé <strong>de</strong> registre <strong>de</strong> Windows sur l'ordinateur <strong>client</strong>, qui<br />
bloque toute comman<strong>de</strong> <strong>de</strong> redémarrage à partir du serveur <strong>de</strong> gestion. Sur<br />
l'ordinateur <strong>client</strong>, vous pouvez définir la clé DisableRebootCommand sur 1. Puis,
50<br />
Gestion du <strong>client</strong><br />
A propos du fait d'empêcher un administrateur <strong>de</strong> redémarrer l'ordinateur<br />
si un administrateur sélectionne la comman<strong>de</strong> Redémarrerlesordinateurs<strong>client</strong><br />
dans la console, l'ordinateur <strong>client</strong> ne redémarre pas.
Section<br />
2<br />
Gestion <strong>de</strong> la protection sur<br />
le <strong>client</strong> <strong>Symantec</strong> <strong>Endpoint</strong><br />
<strong>Protection</strong><br />
■<br />
■<br />
■<br />
Chapitre 4. Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Chapitre 5. Gestion <strong>de</strong> la protection proactive contre les menaces<br />
Chapitre 6. Gestion <strong>de</strong> la protection contre les menaces réseau
Chapitre<br />
4<br />
Gestion <strong>de</strong> la protection<br />
antivirus <strong>et</strong> antispyware<br />
Ce chapitre traite <strong>de</strong>s suj<strong>et</strong>s suivants :<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
A propos <strong>de</strong>s virus <strong>et</strong> <strong>de</strong>s risques <strong>de</strong> sécurité<br />
Comment le <strong>client</strong> réagit aux virus <strong>et</strong> aux risques <strong>de</strong> sécurité<br />
A propos <strong>de</strong>s paramètres antivirus <strong>et</strong> antispyware<br />
A propos <strong>de</strong> l'analyse <strong>de</strong>s fichiers<br />
Lorsque le <strong>client</strong> détecte un virus ou un risque <strong>de</strong> sécurité<br />
A propos d'Auto-Protect<br />
Utilisation <strong>de</strong>s analyses antivirus <strong>et</strong> antispyware<br />
Planification d'une analyse définie par l'utilisateur<br />
Modification <strong>et</strong> suppression d'analyses au démarrage, définies par l'utilisateur<br />
<strong>et</strong> planifiées<br />
Interprétation <strong>de</strong>s résultats <strong>de</strong>s analyses<br />
Configuration <strong>de</strong>s actions pour les virus <strong>et</strong> les risques <strong>de</strong> sécurité<br />
Configuration <strong>de</strong>s notifications pour les virus <strong>et</strong> les risques <strong>de</strong> sécurité<br />
A propos <strong>de</strong> l'exclusion <strong>de</strong>s éléments <strong>de</strong> l'analyse<br />
Exclusion <strong>de</strong>s éléments <strong>de</strong> l'analyse<br />
A propos <strong>de</strong> la prise en charge <strong>de</strong>s fichiers en quarantaine<br />
Gestion <strong>de</strong> la quarantaine
54<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos <strong>de</strong>s virus <strong>et</strong> <strong>de</strong>s risques <strong>de</strong> sécurité<br />
■<br />
■<br />
Transmission d'informations sur les détections d'analyse à <strong>Symantec</strong> Security<br />
Response<br />
A propos du <strong>client</strong> <strong>et</strong> du Centre <strong>de</strong> sécurité Windows<br />
A propos <strong>de</strong>s virus <strong>et</strong> <strong>de</strong>s risques <strong>de</strong> sécurité<br />
Le <strong>client</strong> peut effectuer l'analyse <strong>de</strong>s virus <strong>et</strong> <strong>de</strong>s risques <strong>de</strong> sécurité. Par défaut,<br />
les analyses définies par l'utilisateur <strong>et</strong> les analyses Auto-Protect recherchent les<br />
virus, les chevaux <strong>de</strong> Troie, les vers <strong>et</strong> toutes les catégories <strong>de</strong> risques <strong>de</strong> sécurité.<br />
Les analyses antivirus <strong>et</strong> antispyware détectent également les rootkits <strong>de</strong> niveau<br />
noyau. Les rootkits sont tous les programmes qui essayent <strong>de</strong> se masquer vis-à-vis<br />
du système d'exploitation d'un ordinateur <strong>et</strong> peuvent être utilisés à <strong>de</strong>s fins<br />
malveillantes.<br />
Figure 4-1<br />
Comment les virus <strong>et</strong> les risques <strong>de</strong> sécurité attaquent un ordinateur<br />
Autres ordinateurs,<br />
partages <strong>de</strong><br />
fichiers réseau<br />
Virus, programmes<br />
malveillants <strong>et</strong><br />
risques <strong>de</strong> sécurité<br />
Intern<strong>et</strong><br />
Virus,<br />
programmes<br />
malveillants<br />
<strong>et</strong> risques <strong>de</strong><br />
sécurité<br />
Lecteur flash<br />
USB<br />
Courrier<br />
électronique,<br />
messagerie<br />
instantanée<br />
Virus, programmes<br />
malveillants <strong>et</strong><br />
risques <strong>de</strong> sécurité<br />
Ordinateur <strong>client</strong><br />
Tableau 4-1 décrit les types <strong>de</strong> virus <strong>et</strong> <strong>de</strong> logiciels malveillants contre lesquels<br />
le <strong>client</strong> se protège.
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos <strong>de</strong>s virus <strong>et</strong> <strong>de</strong>s risques <strong>de</strong> sécurité<br />
55<br />
Tableau 4-1<br />
Virus<br />
Virus<br />
Virus, chevaux <strong>de</strong> Troie <strong>et</strong> vers<br />
Description<br />
Programme ou co<strong>de</strong> qui ajoutent une copie d'eux-mêmes à un autre<br />
programme ou document au moment <strong>de</strong> leur exécution. Toutes les<br />
fois que le programme infecté s'exécute ou qu'un utilisateur ouvre un<br />
document qui contient un virus <strong>de</strong> macro, le programme <strong>de</strong> virus joint<br />
s'active. Le virus peut alors s'attacher à d'autres programmes <strong>et</strong><br />
documents.<br />
La plupart <strong>de</strong>s virus produisent un eff<strong>et</strong>, comme l'affichage d'un<br />
message à une date particulière. Certains virus sont spécifiquement<br />
<strong>de</strong>stinés à endommager les données en détériorant <strong>de</strong>s programmes,<br />
en supprimant <strong>de</strong>s fichiers ou en reformatant <strong>de</strong>s disques.<br />
Un virus macro est un virus enregistré dans un langage intégré dans<br />
une application logicielle, telle que Microsoft Word.<br />
chevaux <strong>de</strong> Troie<br />
Vers<br />
Programmes contenant du co<strong>de</strong> malveillant déguisé ou caché dans un<br />
élément inoffensif, comme un jeu ou un utilitaire.<br />
Programmes qui se répliquent sans infecter d'autres programmes.<br />
Certains vers se répan<strong>de</strong>nt en se copiant <strong>de</strong> disque en disque, tandis<br />
que d'autres se reproduisent uniquement dans la mémoire afin <strong>de</strong><br />
ralentir les ordinateurs.<br />
Tableau 4-2 décrit les types <strong>de</strong> risques <strong>de</strong> sécurité contre lesquels le <strong>client</strong> se<br />
protège.<br />
Tableau 4-2<br />
Risque <strong>de</strong><br />
sécurité<br />
Robots Web<br />
malveillants<br />
Types <strong>de</strong> risques <strong>de</strong> sécurité<br />
Description<br />
Programmes qui exécutent <strong>de</strong>s tâches automatisées sur Intern<strong>et</strong> à <strong>de</strong>s<br />
fins malveillantes.<br />
Des robots Web peuvent être utilisés pour automatiser <strong>de</strong>s attaques<br />
sur <strong>de</strong>s ordinateurs ou pour collecter <strong>de</strong>s informations <strong>de</strong> sites Web.<br />
Menaces<br />
combinées<br />
Menaces qui combinent les caractéristiques <strong>de</strong>s virus, <strong>de</strong>s vers, <strong>de</strong>s<br />
chevaux <strong>de</strong> Troie <strong>et</strong> <strong>de</strong>s co<strong>de</strong>s malveillants avec les vulnérabilités <strong>de</strong><br />
serveur <strong>et</strong> d'Intern<strong>et</strong> pour lancer, transm<strong>et</strong>tre <strong>et</strong> propager une attaque.<br />
Les menaces combinées utilisent plusieurs métho<strong>de</strong>s <strong>et</strong> techniques<br />
pour se propager rapi<strong>de</strong>ment <strong>et</strong> causent <strong>de</strong>s dommages étendus à<br />
travers un réseau.
56<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos <strong>de</strong>s virus <strong>et</strong> <strong>de</strong>s risques <strong>de</strong> sécurité<br />
Risque <strong>de</strong><br />
sécurité<br />
Logiciel <strong>de</strong><br />
publicité<br />
Composeurs<br />
Outils <strong>de</strong> piratage<br />
Programmes<br />
plaisanterie<br />
Autres<br />
Programmes<br />
d'accès distant<br />
Spyware<br />
Description<br />
Les programmes qui collectent secrètement <strong>de</strong>s informations<br />
personnelles par Intern<strong>et</strong> <strong>et</strong> les renvoient à un autre ordinateur. Ces<br />
logiciels peuvent surveiller vos habitu<strong>de</strong>s <strong>de</strong> navigation dans un but<br />
publicitaire. Ils peuvent également diffuser <strong>de</strong>s contenus publicitaires.<br />
Programmes qui utilisent un ordinateur, sans permission ou<br />
connaissance <strong>de</strong> l'utilisateur, pour composer un numéro 900 ou un<br />
site FTP. Ces programmes augemententtypiquement les frais.<br />
Les programmes que le pirate utilise pour avoir l'accès non autorisé<br />
à l'ordinateur d'un utilisateur. Une exemple est un programme<br />
d'enregistrement automatique <strong>de</strong>s frappes qui piste <strong>et</strong> enregistre<br />
chaque frappe au clavier <strong>et</strong> envoie ces informations au pirate. Le pirate<br />
peut ensuite effectuer <strong>de</strong>s analyses <strong>de</strong> port ou <strong>de</strong> vulnérabilité. Les<br />
outils <strong>de</strong> piratage peuvent également servir à créer <strong>de</strong>s virus.<br />
Programmes qui altèrent ou interrompent le fonctionnement d'un<br />
ordinateur d'une manière qui se veut amusante ou effrayante. Par<br />
exemple, un programme téléchargé <strong>de</strong>puis un site Web, dans un<br />
courrier électronique ou dans un programme <strong>de</strong> messagerie<br />
instantanée. Il peut alors éloigner la Corbeille <strong>de</strong> la souris quand<br />
l'utilisateur essaye <strong>de</strong> la vi<strong>de</strong>r. Il peut également inverser les boutons<br />
<strong>de</strong> la souris.<br />
Tous autres risques <strong>de</strong> sécurité qui ne se conforment pas aux<br />
définitions strictes <strong>de</strong>s virus, <strong>de</strong>s chevaux <strong>de</strong> Troie, <strong>de</strong>s vers ou d'autres<br />
catégories <strong>de</strong> risque <strong>de</strong> sécurité.<br />
Programmes perm<strong>et</strong>tant d'accé<strong>de</strong>r à Intern<strong>et</strong> à partir d'un autre<br />
ordinateur afin d'obtenir <strong>de</strong>s informations ou d'attaquer ou d'altérer<br />
votre ordinateur. Vous pourriez installer un programme légitime<br />
d'accès à distance. Un processus pourrait installer ce type d'application<br />
sans votre connaissance. Le programme peut être utilisé à <strong>de</strong>s fins<br />
malveillantes avec ou sans modification du programme d'accès à<br />
distance d'origine.<br />
Programmes pouvant surveiller secrètement les activités du système<br />
<strong>et</strong> détecter <strong>de</strong>s mots <strong>de</strong> passe <strong>et</strong> autres informations confi<strong>de</strong>ntielles<br />
pour les r<strong>et</strong>ransm<strong>et</strong>tre à un autre ordinateur.<br />
Le logiciel espion peut être téléchargé à partir <strong>de</strong>s sites Web, <strong>de</strong>s<br />
messages électroniques, <strong>de</strong>s messages instantanés <strong>et</strong> <strong>de</strong>s connexions<br />
directes par fichier. En outre, un utilisateur peut à son insu recevoir<br />
le logiciel espion en acceptant un contrat <strong>de</strong> licence utilisateur final<br />
d'un logiciel.
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Comment le <strong>client</strong> réagit aux virus <strong>et</strong> aux risques <strong>de</strong> sécurité<br />
57<br />
Risque <strong>de</strong><br />
sécurité<br />
logiciel <strong>de</strong> suivi<br />
Description<br />
Applications autonomes ou ajoutées qui suivent l'itinéraire d'un<br />
utilisateur sur Intern<strong>et</strong> <strong>et</strong> envoient les informations au système cible.<br />
Par exemple, l'application peut être téléchargée <strong>de</strong>puis un site Web,<br />
dans un courrier électronique ou dans un programme <strong>de</strong> messagerie<br />
instantanée. Elle peut ensuite obtenir <strong>de</strong>s informations confi<strong>de</strong>ntielles<br />
concernant le comportement <strong>de</strong> l'utilisateur.<br />
Par défaut, les analyses effectuent les opérations suivantes :<br />
■<br />
■<br />
Détection, élimination <strong>et</strong> réparation <strong>de</strong>s eff<strong>et</strong>s secondaires <strong>de</strong>s virus, <strong>de</strong>s vers,<br />
<strong>de</strong>s chevaux <strong>de</strong> Troie <strong>et</strong> <strong>de</strong>s menaces combinées.<br />
Détection, suppression <strong>et</strong> réparation <strong>de</strong>s eff<strong>et</strong>s secondaires <strong>de</strong>s risques <strong>de</strong><br />
sécurité, tels que les logiciels publicitaires, composeurs, outils <strong>de</strong> piratage,<br />
programmes blague, programmes d'accès à distance, spywares, logiciels <strong>de</strong><br />
suivi <strong>et</strong> autres.<br />
Le site Web <strong>de</strong> <strong>Symantec</strong> Security Response fournit les informations les plus<br />
récentes sur les menaces <strong>et</strong> les risques <strong>de</strong> sécurité. Ce site contient également <strong>de</strong>s<br />
données <strong>de</strong> référence exhaustives, comme <strong>de</strong>s documents techniques, <strong>et</strong> <strong>de</strong>s<br />
informations détaillées concernant les virus <strong>et</strong> les risques <strong>de</strong> sécurité.<br />
Comment le <strong>client</strong> réagit aux virus <strong>et</strong> aux risques <strong>de</strong><br />
sécurité<br />
Le <strong>client</strong> protège les ordinateurs contre les virus <strong>et</strong> les risques <strong>de</strong> sécurité <strong>de</strong> toutes<br />
origines. Les ordinateurs sont protégés contre les virus <strong>et</strong> les risques <strong>de</strong> sécurité<br />
qui se propagent à partir <strong>de</strong>s disques durs <strong>et</strong> <strong>de</strong>s disqu<strong>et</strong>tes, <strong>et</strong> contre les virus<br />
qui sont transmis sur les réseaux. Les ordinateurs sont également protégés contre<br />
les virus <strong>et</strong> les risques <strong>de</strong> sécurité qui se propagent à partir <strong>de</strong>s pièces jointes à<br />
<strong>de</strong>s messages électroniques ou d'autre manière. Par exemple, un risque <strong>de</strong> sécurité<br />
peut s'installer sur votre ordinateur à votre insu lorsque vous accé<strong>de</strong>z à Intern<strong>et</strong>.<br />
Les fichiers contenus dans <strong>de</strong>s fichiers compressés sont analysés <strong>et</strong> n<strong>et</strong>toyés <strong>de</strong>s<br />
virus <strong>et</strong> risques <strong>de</strong> sécurité. Aucun programme distinct ou changement d'option<br />
n'est nécessaire pour les virus se propageant sur Intern<strong>et</strong>. Auto-Protect analyse<br />
automatiquement les programmes décompressés <strong>et</strong> les fichiers <strong>de</strong> documents lors<br />
<strong>de</strong> leur téléchargement.<br />
Quand le <strong>client</strong> détecte un virus, il essaye par défaut <strong>de</strong> n<strong>et</strong>toyer le virus à partir<br />
du fichier infecté. Le <strong>client</strong> essaye également <strong>de</strong> réparer les eff<strong>et</strong>s du virus. Si le<br />
<strong>client</strong> n<strong>et</strong>toie le fichier, il supprime complètement le risque <strong>de</strong> votre ordinateur.
58<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos <strong>de</strong>s paramètres antivirus <strong>et</strong> antispyware<br />
Si le <strong>client</strong> ne peut pas n<strong>et</strong>toyer le fichier, il le déplace vers la quarantaine. Le<br />
virus ne peut pas se propager <strong>de</strong>puis la quarantaine.<br />
Quand vous m<strong>et</strong>tez à jour votre ordinateur avec <strong>de</strong> nouvelles définitions <strong>de</strong> virus,<br />
le <strong>client</strong> vérifie automatiquement la quarantaine. Vous pouvez réanalyser les<br />
éléments en quarantaine. Les <strong>de</strong>rnières définitions peuvent peut-être n<strong>et</strong>toyer<br />
ou réparer les fichiers précé<strong>de</strong>mment mis en quarantaine.<br />
Remarque : Votre administrateur peut choisir d'analyser automatiquement les<br />
fichiers en quarantaine.<br />
Par défaut, pour <strong>de</strong>s risques <strong>de</strong> sécurité, le <strong>client</strong> m<strong>et</strong> en quarantaine les fichiers<br />
infectés. Le <strong>client</strong> ramène également les informations système que le risque <strong>de</strong><br />
sécurité a modifiées à leur état précé<strong>de</strong>nt. Certains risques <strong>de</strong> sécurité ne peuvent<br />
être complètement supprimés sans provoquer l'échec d'un autre programme <strong>de</strong><br />
votre ordinateur, tel qu'un navigateur Web. Vos paramètres antivirus <strong>et</strong> <strong>de</strong><br />
protection antispyware peuvent ne pas traiter le risque automatiquement. Dans<br />
ce cas, le <strong>client</strong> vous interroge avant d'arrêter un processus ou <strong>de</strong> redémarrer<br />
votre ordinateur. Vous pouvez également configurer vos paramètres pour utiliser<br />
l'action Consigner pour les risques <strong>de</strong> sécurité.<br />
Quand le logiciel <strong>client</strong> découvre <strong>de</strong>s risques <strong>de</strong> sécurité, il inclut un lien vers<br />
<strong>Symantec</strong> Security Response dans la fenêtre d'analyse. Sur le site Web <strong>de</strong> <strong>Symantec</strong><br />
Security Response vous pouvez en apprendre davantage sur le risque <strong>de</strong> sécurité.<br />
Votre administrateur système peut également vous envoyer un message<br />
personnalisé.<br />
A propos <strong>de</strong>s paramètres antivirus <strong>et</strong> antispyware<br />
Le <strong>client</strong> inclut par défaut les paramètres antivirus <strong>et</strong> antispyware appropriés<br />
pour la plupart <strong>de</strong>s utilisateurs. Vous pouvez modifier les paramètres pour les<br />
personnaliser pour votre réseau <strong>de</strong> sécurité. Vous pouvez personnaliser <strong>de</strong>s<br />
paramètres <strong>de</strong> politique pour les analyses Auto-Protect, planifiées, au démarrage<br />
<strong>et</strong> à la <strong>de</strong>man<strong>de</strong>.<br />
Les paramètres contre les virus <strong>et</strong> les spywares incluent les paramètres suivants :<br />
■<br />
■<br />
Eléments à analyser<br />
Mesures à prendre si un virus ou un risque <strong>de</strong> sécurité est détecté
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos <strong>de</strong> l'analyse <strong>de</strong>s fichiers<br />
59<br />
A propos <strong>de</strong> l'analyse <strong>de</strong>s fichiers<br />
Les analyses antivirus <strong>et</strong> antispyware analysent tous les types <strong>de</strong> fichier par défaut.<br />
Les analyses planifiées, au démarrage <strong>et</strong> à la <strong>de</strong>man<strong>de</strong> examinent également tous<br />
les types <strong>de</strong> fichier par défaut.<br />
Vous pouvez choisir d'analyser les fichiers selon leur extension, mais vous réduisez<br />
votre protection contre les virus <strong>et</strong> les risques <strong>de</strong> sécurité. Si vous sélectionnez<br />
<strong>de</strong>s extensions <strong>de</strong> fichier pour l'analyse, Auto-Protect peut déterminer le type<br />
d'un fichier même si un virus modifie l'extension du fichier.<br />
Se reporter à "Configuration d'Auto-Protect pour déterminer les types <strong>de</strong> fichier<br />
à analyser" à la page 66.<br />
Vous pouvez également choisir d'exclure <strong>de</strong> l'analyse <strong>de</strong>s fichiers spécifiques. Par<br />
exemple, vous pourriez savoir qu'un fichier ne déclenche pas une alerte virale<br />
pendant une analyse. Vous pouvez exclure le fichier <strong>de</strong> vos analyses ultérieures.<br />
Lorsque vos applications <strong>de</strong> messagerie utilisent un seul fichier <strong>de</strong><br />
boîte <strong>de</strong> réception<br />
Si votre application <strong>de</strong> messagerie électronique enregistre tout le courrier dans<br />
un unique fichier, vous <strong>de</strong>vriez créer une exception centralisée pour exclure le<br />
fichier <strong>de</strong> boîte <strong>de</strong> réception <strong>de</strong>s analyses. Les applications <strong>de</strong> messagerie qui<br />
enregistrent tout le courrier électronique dans un unique fichier <strong>de</strong> boîte <strong>de</strong><br />
réception incluent Outlook Express, Eudora, Mozilla <strong>et</strong> N<strong>et</strong>scape. Le <strong>client</strong> pourrait<br />
être configuré pour m<strong>et</strong>tre en quarantaine un virus qu'il détecte. Si le <strong>client</strong> détecte<br />
le virus dans le fichier <strong>de</strong> boîte <strong>de</strong> réception, il m<strong>et</strong> en quarantaine la boîte <strong>de</strong><br />
réception toute entière. Si le <strong>client</strong> m<strong>et</strong> en quarantaine la boîte <strong>de</strong> réception, vous<br />
ne pouvez plus accé<strong>de</strong>r à votre courrier électronique.<br />
<strong>Symantec</strong> ne recomman<strong>de</strong> pas habituellement d'exclure <strong>de</strong>s fichiers <strong>de</strong>s analyses.<br />
Cependant, quand vous excluez le fichier <strong>de</strong> boîte <strong>de</strong> réception <strong>de</strong>s analyses, le<br />
<strong>client</strong> peut toujours détecter les virus quand vous ouvrez <strong>de</strong>s messages. Si le <strong>client</strong><br />
trouve un virus quand vous ouvrez un message, il peut sans risque m<strong>et</strong>tre en<br />
quarantaine ou supprimer le message.<br />
Vous pouvez exclure le fichier en configurant une exception centralisée.<br />
A propos <strong>de</strong> l'analyse par extension<br />
Le <strong>client</strong> peut analyser votre ordinateur selon les extensions.<br />
Vous pouvez choisir parmi différents types <strong>de</strong> fichier :
60<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos <strong>de</strong> l'analyse <strong>de</strong>s fichiers<br />
Fichiers <strong>de</strong><br />
document<br />
Fichiers <strong>de</strong><br />
programme<br />
Ce type <strong>de</strong> fichier comprend les documents Microsoft Word <strong>et</strong> Excel,<br />
ainsi que les fichiers <strong>de</strong> modèle qui leur sont associés. Le <strong>client</strong><br />
recherche les infections <strong>de</strong> virus <strong>de</strong> macro dans les documents.<br />
Ce type <strong>de</strong> fichier comprend les fichiers .dll (Dynamic Link<br />
Library - Bibliothèque <strong>de</strong> liaisons dynamiques), les fichiers batch<br />
(.bat), les fichiers <strong>de</strong> comman<strong>de</strong>s (.com), les fichiers exécutables<br />
(.exe) <strong>et</strong> tout autre fichier programme. Le <strong>client</strong> recherche les<br />
infections <strong>de</strong> virus dans les fichiers programme.<br />
Pour ajouter <strong>de</strong>s extensions <strong>de</strong> fichier à la liste d'analyses Auto-Protect<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 Près <strong>de</strong> <strong>Protection</strong> antivirus <strong>et</strong> antispyware, cliquez sur Configurer les<br />
paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres<strong>de</strong>protectionantivirus<strong>et</strong>antispyware,<br />
sous l'ongl<strong>et</strong> Auto-Protectpourlesystème<strong>de</strong>fichiers, sous Types<strong>de</strong>fichier,<br />
cliquez sur Sélection.<br />
4 Cliquez sur Extensions.<br />
5 Dans la zone <strong>de</strong> texte, tapez l'extension à ajouter, puis cliquez sur Ajouter.<br />
6 Répétez l'étape 5 <strong>de</strong> manière appropriée, puis cliquez sur OK.<br />
7 Cliquez sur OK.<br />
Pour ajouter <strong>de</strong>s extensions <strong>de</strong> fichier à la liste d'analyses pour une analyse à la<br />
<strong>de</strong>man<strong>de</strong>, planifiée ou au démarrage<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Rechercher les menaces.<br />
2 Cliquez avec le bouton droit <strong>de</strong> la souris sur l'analyse pour laquelle vous<br />
voulez ajouter <strong>de</strong>s extensions <strong>de</strong> fichier, puis sélectionnez Edition.<br />
Les modifications ne s'appliquent qu'à l'analyse sélectionnée.<br />
3 Dans l'ongl<strong>et</strong> Options d'analyse, sous Types <strong>de</strong> fichier, sélectionnez<br />
Extensions sélectionnées, puis cliquez sur Extensions.<br />
4 Saisissez l'extension à ajouter, puis cliquez sur Ajouter.<br />
5 Répétez l'étape 4 <strong>de</strong> manière appropriée, puis cliquez sur OK.<br />
6 Cliquez sur OK.<br />
A propos <strong>de</strong> l'analyse <strong>de</strong> tous les types <strong>de</strong> fichier<br />
Le <strong>client</strong> peut analyser tous les fichiers <strong>de</strong> l'ordinateur, quelle que soit leur<br />
extension. L'analyse <strong>de</strong> tous les fichiers assure la protection la plus complète. Elle
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Lorsque le <strong>client</strong> détecte un virus ou un risque <strong>de</strong> sécurité<br />
61<br />
prend davantage <strong>de</strong> temps que l'analyse par extension, mais vous assure une<br />
meilleure protection contre les virus <strong>et</strong> les risques <strong>de</strong> sécurité.<br />
A propos <strong>de</strong> la protection contre les virus <strong>de</strong> macro<br />
Le <strong>client</strong> détecte <strong>et</strong> supprime automatiquement la plupart <strong>de</strong>s virus <strong>de</strong> macro <strong>de</strong><br />
Microsoft Word <strong>et</strong> d'Excel. Quand vous exécutez régulièrement <strong>de</strong>s analyses<br />
planifiées, vous pouvez protéger votre ordinateur <strong>de</strong>s infections <strong>de</strong> virus <strong>de</strong> macro.<br />
Auto-Protect recherche <strong>et</strong> n<strong>et</strong>toie régulièrement tous les virus <strong>de</strong> macro qu'il<br />
détecte.<br />
Pour une protection optimale contre les virus <strong>de</strong> macro, procé<strong>de</strong>z comme suit :<br />
■<br />
■<br />
■<br />
Activez Auto-Protect.<br />
Auto-Protect analyse constamment les fichiers qui ont été accédés ou modifiés.<br />
Activez Auto-Protect pour votre messagerie électronique, si c<strong>et</strong>te fonctionnalité<br />
est disponible.<br />
Protégez vos fichiers <strong>de</strong> modèle globaux en désactivant les macros<br />
automatiques.<br />
Lorsque le <strong>client</strong> détecte un virus ou un risque <strong>de</strong><br />
sécurité<br />
Quand les virus <strong>et</strong> les risques <strong>de</strong> sécurité infectent <strong>de</strong>s fichiers, le <strong>client</strong> réagit<br />
aux types <strong>de</strong> risque <strong>de</strong> différentes manières. Pour chaque type <strong>de</strong> risque, le <strong>client</strong><br />
utilise une première action, puis applique une <strong>de</strong>uxième action si la première<br />
action échoue.<br />
Par défaut, quand le <strong>client</strong> détecte un virus, il essaye d'abord d'éliminer le virus<br />
du fichier infecté. Puis, si le <strong>client</strong> ne peut pas n<strong>et</strong>toyer le fichier, il consigne<br />
l'échec <strong>et</strong> déplace le fichier infecté vers la Quarantaine.<br />
Par défaut, quand le <strong>client</strong> détecte un risque <strong>de</strong> sécurité, il le m<strong>et</strong> en quarantaine.<br />
Il essaye également <strong>de</strong> supprimer ou réparer toutes les modifications que le risque<br />
<strong>de</strong> sécurité a apportées. Si le <strong>client</strong> ne peut pas m<strong>et</strong>tre en quarantaine un risque<br />
<strong>de</strong> sécurité, il consigne le risque <strong>et</strong> le laisse inchangé.<br />
Remarque : Dans la Quarantaine, le risque ne peut pas se propager. Quand un<br />
<strong>client</strong> déplace un fichier vers la Quarantaine, vous n'avez plus accès au fichier.<br />
Le <strong>client</strong> peut également inverser ses modifications pour les éléments qu'il m<strong>et</strong><br />
en quarantaine.
62<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos d'Auto-Protect<br />
Pour chaque type d'analyse, vous pouvez modifier les paramètres pour la façon<br />
dont le <strong>client</strong> traite les virus <strong>et</strong> les risques <strong>de</strong> sécurité. Vous pouvez définir<br />
différentes actions pour chaque catégorie <strong>de</strong> risque <strong>et</strong> pour <strong>de</strong>s risques <strong>de</strong> sécurité<br />
individuels.<br />
Remarque : Dans certains cas, vous pouvez inconsciemment installer une<br />
application incluant un risque <strong>de</strong> sécurité tel qu'un logiciel publicitaire ou un<br />
spyware. Si <strong>Symantec</strong> a déterminé que m<strong>et</strong>tre en quarantaine le risque ne nuit<br />
pas à l'ordinateur, alors le <strong>client</strong> m<strong>et</strong> le risque en quarantaine. Si le <strong>client</strong> m<strong>et</strong> le<br />
risque en quarantaine immédiatement, son action peut laisser l'ordinateur dans<br />
un état instable. Au lieu <strong>de</strong> cela, le <strong>client</strong> attend que l'installation d'application<br />
soit terminée avant <strong>de</strong> m<strong>et</strong>tre le risque en quarantaine. Il répare ensuite les eff<strong>et</strong>s<br />
du risque.<br />
A propos d'Auto-Protect<br />
Auto-Protect est votre meilleure défense contre les attaques virales. Chaque fois<br />
que vous accé<strong>de</strong>z à un fichier, que vous le copiez, l'enregistrez, le déplacez ou<br />
l'ouvrez, Auto-Protect l'analyse pour vérifier qu'il ne contient aucun virus.<br />
Auto-Protect analyse les extensions <strong>de</strong> fichier qui contiennent un co<strong>de</strong> exécutable<br />
<strong>et</strong> tous les fichiers .exe <strong>et</strong> .doc. Auto-Protect peut déterminer le type d'un fichier<br />
même lorsqu'un virus en modifie l'extension. Par exemple, un virus pourrait<br />
modifier une extension <strong>de</strong> fichier pour une autre, différente <strong>de</strong>s extensions <strong>de</strong><br />
fichier que vous avez configuré Auto-Protect pour analyser.<br />
Vous pouvez activer ou désactiver Auto-Protect si votre administrateur ne<br />
verrouille pas le paramètre.<br />
A propos d'Auto-Protect <strong>et</strong> <strong>de</strong>s risques <strong>de</strong> sécurité<br />
Par défaut, Auto-Protect effectue les actions suivantes :<br />
■<br />
■<br />
■<br />
Il recherche les risques <strong>de</strong> sécurité tels que les logiciels publicitaires <strong>et</strong> les<br />
spywares.<br />
M<strong>et</strong> en quarantaine les fichiers infectés<br />
Supprime ou répare les effects secondaires <strong>de</strong>s risques <strong>de</strong> sécurité<br />
Vous pouvez désactiver l'analyse <strong>de</strong>s risques <strong>de</strong> sécurité dans Auto-Protect.<br />
Se reporter à "Désactivation <strong>et</strong> activation <strong>de</strong> l'analyse <strong>et</strong> du blocage <strong>de</strong>s risques<br />
<strong>de</strong> sécurité dans Auto-Protect" à la page 67.
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos d'Auto-Protect<br />
63<br />
Si Auto-Protect détecte un processus qui télécharge continuellement un risque<br />
<strong>de</strong> sécurité vers votre ordinateur, Auto-Protect affiche une notification <strong>et</strong> consigne<br />
la détection. (Auto-Protect doit être configuré pour envoyer <strong>de</strong>s notifications.) Si<br />
le processus continue à télécharger le même risque <strong>de</strong> sécurité, <strong>de</strong>s notifications<br />
multiples apparaissent sur l'ordinateur <strong>et</strong> Auto-Protect consigne <strong>de</strong>s événements<br />
multiples. Pour empêcher <strong>de</strong>s notifications <strong>et</strong> <strong>de</strong>s événements consignés multiples,<br />
Auto-Protect cesse automatiquement d'envoyer <strong>de</strong>s notifications au suj<strong>et</strong> du risque<br />
<strong>de</strong> sécurité après trois détections. Auto-Protect arrête également <strong>de</strong> consigner<br />
l'événement après trois détections.<br />
Dans quelques situations, Auto-Protect n'arrête pas d'envoyer <strong>de</strong>s notifications<br />
<strong>et</strong> <strong>de</strong> consigner <strong>de</strong>s événements pour le risque <strong>de</strong> sécurité.<br />
Auto-Protect continue à envoyer <strong>de</strong>s notifications <strong>et</strong> à consigner <strong>de</strong>s événements<br />
quand l'une <strong>de</strong>s situations suivantes est vraie :<br />
■<br />
■<br />
Sur les ordinateurs <strong>client</strong>, l'administrateur ou vous-même avez désactivé le<br />
blocage <strong>de</strong> l'installation <strong>de</strong>s risques <strong>de</strong> sécurité (le paramètre par défaut est<br />
activé).<br />
L'action pour le type <strong>de</strong> risque <strong>de</strong> sécurité <strong>de</strong>s téléchargements <strong>de</strong> processus<br />
est Ignorer.<br />
A propos d'Auto-Protect <strong>et</strong> <strong>de</strong> l'analyse <strong>de</strong> messagerie<br />
Auto-Protect analyse également <strong>de</strong>s <strong>client</strong>s <strong>de</strong> messagerie "groupware" pris en<br />
charge.<br />
Les <strong>client</strong>s <strong>de</strong> messagerie suivants sont protégés :<br />
■ Lotus Notes 4.5x, 4.6, 5.0 <strong>et</strong> 6.x<br />
■<br />
Microsoft Outlook 98/2000/2002/2003/2007 (MAPI <strong>et</strong> Intern<strong>et</strong>)<br />
■ Microsoft Exchange <strong>client</strong> 5.0 <strong>et</strong> 5.5<br />
Remarque : Auto-Protect fonctionne uniquement avec votre <strong>client</strong> <strong>de</strong> messagerie<br />
pris en charge. Il ne protège pas les serveurs <strong>de</strong> messagerie.<br />
Auto-Protect analyse également <strong>de</strong>s programmes <strong>de</strong> messagerie électronique<br />
supplémentaires en surveillant tout le trafic qui utilise les protocoles <strong>de</strong><br />
communication POP3 ou SMTP. Vous pouvez configurer le logiciel <strong>client</strong> pour<br />
analyser les risques dans les messages entrants <strong>et</strong> sortants. L'analyse <strong>de</strong>s messages<br />
sortants contribue à empêcher la diffusion <strong>de</strong>s menaces qui utilisent <strong>de</strong>s <strong>client</strong>s<br />
<strong>de</strong> messagerie pour se répliquer <strong>et</strong> se distribuer à travers un réseau.
64<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos d'Auto-Protect<br />
Remarque : L'analyse <strong>de</strong> la messagerie Intern<strong>et</strong> n'est pas prise en charge sur les<br />
ordinateurs 64 bits.<br />
Pour l'analyse <strong>de</strong>s courriers électroniques Lotus Notes <strong>et</strong> Microsoft Exchange,<br />
Auto-Protect analyse seulement les pièces jointes associées au courrier<br />
électronique.<br />
Pour l'analyse <strong>de</strong>s messages électroniques Intern<strong>et</strong> utilisant les protocoles POP3<br />
ou SMTP, Auto-Protect analyse les éléments suivants :<br />
■<br />
■<br />
Le corps du message<br />
Toutes les pièces jointes au message<br />
Quand vous ouvrez un message avec une pièce jointe, la pièce jointe est<br />
immédiatement téléchargée sur votre ordinateur <strong>et</strong> analysée quand les conditions<br />
suivantes sont vraies :<br />
■<br />
■<br />
Vous utilisez le <strong>client</strong> Microsoft Exchange ou Microsoft Outlook au-<strong>de</strong>ssus <strong>de</strong><br />
MAPI.<br />
Auto-Protect est activé pour le courrier électronique.<br />
Avec une connexion lente, le téléchargement <strong>de</strong> messages avec <strong>de</strong>s pièces jointes<br />
volumineuses peut dégra<strong>de</strong>r les performances <strong>de</strong> la messagerie. Vous pouvez<br />
désactiver c<strong>et</strong>te fonction si vous recevez souvent <strong>de</strong>s pièces jointes <strong>de</strong> gran<strong>de</strong><br />
taille.<br />
Se reporter à "Désactivation <strong>et</strong> activation <strong>de</strong> l'analyse <strong>et</strong> du blocage <strong>de</strong>s risques<br />
<strong>de</strong> sécurité dans Auto-Protect" à la page 67.<br />
Remarque : Si un virus est détecté lorsque vous ouvrez un message électronique,<br />
l'ouverture <strong>de</strong> celui-ci peut <strong>de</strong>man<strong>de</strong>r quelques secon<strong>de</strong>s, le temps que <strong>Symantec</strong><br />
AntiVirus en termine l'analyse.<br />
L'analyse du courrier électronique ne prend pas en charge les <strong>client</strong>s <strong>de</strong> messagerie<br />
suivants :<br />
■<br />
■<br />
■<br />
Clients IMAP<br />
Clients AOL<br />
Courrier électronique Web tel que Hotmail, Yahoo! Mail <strong>et</strong> GMAIL
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos d'Auto-Protect<br />
65<br />
Désactivation du traitement par Auto-Protect <strong>de</strong>s connexions <strong>de</strong><br />
messagerie chiffrées<br />
Vous pouvez envoyer <strong>et</strong> recevoir du courrier électronique sur un lien sécurisé.<br />
Par défaut, Auto-Protect pour le courrier électronique Intern<strong>et</strong> prend en charge<br />
les mots <strong>de</strong> passe chiffrés <strong>et</strong> le courrier électronique POP3 <strong>et</strong> SMTP. Si vous utilisez<br />
POP3 ou SMTP avec Secure Sock<strong>et</strong>s Layer (SSL), le <strong>client</strong> détecte les connexions<br />
sécurisées mais n'analyse pas les messages chiffrés.<br />
Quoiqu'Auto-Protect n'analyse pas le courrier électronique qui utilise <strong>de</strong>s<br />
connexions sécurisées, Auto-Protect continue à protéger <strong>de</strong>s ordinateurs <strong>de</strong>s<br />
risques présents dans les pièces jointes. Auto-Protect analyse les pièces jointes<br />
<strong>de</strong> messagerie lorsque vous les enregistrez sur le disque dur.<br />
Remarque : Pour <strong>de</strong>s raisons <strong>de</strong> performance, Auto-Protect pour le courrier<br />
électronique Intern<strong>et</strong> pour POP3 n'est pas pris en charge sur les systèmes<br />
d'exploitation serveur.<br />
Si nécessaire, vous pouvez désactiver le traitement <strong>de</strong>s messages électroniques<br />
chiffrés. Quand ces options sont désactivées, Auto-Protect analyse le courrier<br />
électronique non chiffré envoyé ou reçu, mais bloque les messages chiffrés. Si<br />
vous activez les options, puis essayez d'envoyer du courrier électronique chiffré,<br />
Auto-Protect bloque le courrier électronique jusqu'à ce que vous redémarriez<br />
votre application <strong>de</strong> messagerie.<br />
Remarque : Si vous désactivez les connexions chiffrées pour Auto-Protect, la<br />
modification n'entre en vigueur que lorsque vous avez fermé ou rouvert la session<br />
Windows. Si vous <strong>de</strong>vez être sûr que votre modification prend eff<strong>et</strong><br />
immédiatement, fermez la session <strong>et</strong> rouvrez-la.<br />
Pour désactiver le traitement par Auto-Protect <strong>de</strong>s connexions <strong>de</strong> messagerie<br />
chiffrées<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 Près <strong>de</strong> <strong>Protection</strong> antivirus <strong>et</strong> antispyware, cliquez sur Configurer les<br />
paramètres.<br />
3 Sur l'ongl<strong>et</strong> Messagerie électronique Auto-Protect, cliquez sur Avancé.<br />
4 Sous Paramètres <strong>de</strong> connexion, supprimez la coche Autoriserlesconnexions<br />
POP3 chiffrées <strong>et</strong> Autoriser les connexions SMTP chiffrées.<br />
5 Cliquez sur OK.
66<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos d'Auto-Protect<br />
Affichage <strong>de</strong>s statistiques d'analyse d'Auto-Protect<br />
Les statistiques d'analyse d'Auto-Protect affichent l'état <strong>de</strong> la <strong>de</strong>rnière analyse,<br />
le <strong>de</strong>rnier fichier analysé, ainsi que <strong>de</strong>s informations propres aux infections virales<br />
<strong>et</strong> aux risques <strong>de</strong> sécurité.<br />
Pour afficher les statistiques d'analyse d'Auto-Protect<br />
◆<br />
Affichage <strong>de</strong> la liste <strong>de</strong>s risques<br />
Dans le <strong>client</strong>, sur la page Etat, à côté <strong>de</strong> <strong>Protection</strong> 'antivirus <strong>et</strong> antispyware,<br />
cliquez sur Options>Afficherlesstatistiquesd'Auto-Protectpourlesystème<br />
<strong>de</strong> fichiers.<br />
Vous pouvez afficher les risques actuels que le <strong>client</strong> détecte. La liste correspond<br />
à vos définitions <strong>de</strong> virus actuelles.<br />
Pour afficher la liste <strong>de</strong>s risques<br />
◆<br />
Dans le <strong>client</strong>, sur la page Etat, à côté <strong>de</strong> <strong>Protection</strong> antivirus <strong>et</strong> antispyware,<br />
cliquez sur Options > Afficher la liste <strong>de</strong>s menaces.<br />
Configuration d'Auto-Protect pour déterminer les types <strong>de</strong> fichier à<br />
analyser<br />
Par défaut, Auto-Protect analyse tous les fichiers. Vous pouvez effectuer <strong>de</strong>s<br />
analyses plus rapi<strong>de</strong>s en les limitant aux fichiers portant <strong>de</strong>s extensions<br />
spécifiques.<br />
Par exemple, vous pouvez analyser seulement les extensions suivantes :<br />
■<br />
■<br />
■<br />
■<br />
■<br />
.exe<br />
.com<br />
.dll<br />
.doc<br />
.xls<br />
Généralement, les virus n'affectent que certains types <strong>de</strong> fichier. Cependant, si<br />
vous n'analysez que les fichiers portant les extensions sélectionnées, le niveau<br />
<strong>de</strong> protection sera inférieure car Auto-Protect n'analysera pas tous les fichiers.<br />
La liste <strong>de</strong>s extensions par défaut représente les fichiers les plus susceptibles<br />
d'être infectés par <strong>de</strong>s virus.<br />
Auto-Protect analyse les extensions <strong>de</strong> fichier qui contiennent du co<strong>de</strong> exécutable<br />
<strong>et</strong> tous les fichiers .exe <strong>et</strong> .doc. La fonction peut également déterminer un type <strong>de</strong>
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos d'Auto-Protect<br />
67<br />
fichier, même lorsqu'un virus change l'extension du fichier. Par exemple, il analyse<br />
les fichiers .doc même si un virus modifie l'extension.<br />
Pour assurer une protection maximale contre les virus <strong>et</strong> les risques <strong>de</strong> sécurité,<br />
il est conseillé <strong>de</strong> configurer Auto-Protect pour qu'il analyse tous les types <strong>de</strong><br />
fichier.<br />
Pour configurer Auto-Protect pour déterminer les types <strong>de</strong> fichier à analyser<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 Près <strong>de</strong> <strong>Protection</strong> antivirus <strong>et</strong> antispyware, cliquez sur Configurer les<br />
paramètres.<br />
3 Dans un ongl<strong>et</strong> Auto-Protect, sous Types <strong>de</strong> fichier, effectuez l'une <strong>de</strong>s<br />
opérations suivantes :<br />
■<br />
■<br />
Cliquez sur Tous les types pour analyser tous les fichiers.<br />
Cliquez sur Sélection pour analyser uniquement les fichiers dont<br />
l'extension se trouve dans la liste, puis cliquez sur Extensions pour<br />
modifier la liste par défaut <strong>de</strong>s extensions <strong>de</strong> fichier.<br />
4 Si vous avez sélectionné l'option Sélection, cochez ou supprimez la coche<br />
Déterminer les types <strong>de</strong> fichier en étudiant le contenu <strong>de</strong>s fichiers.<br />
5 Cliquez sur OK.<br />
Désactivation <strong>et</strong> activation <strong>de</strong> l'analyse <strong>et</strong> du blocage <strong>de</strong>s risques <strong>de</strong><br />
sécurité dans Auto-Protect<br />
Par défaut, Auto-Protect effectue les actions suivantes :<br />
■<br />
■<br />
■<br />
Il recherche les risques <strong>de</strong> sécurité tels que les logiciels publicitaires <strong>et</strong> les<br />
spywares.<br />
Il m<strong>et</strong> en quarantaine les fichiers infectés.<br />
Il tente <strong>de</strong> supprimer ou <strong>de</strong> réparer les eff<strong>et</strong>s <strong>de</strong>s risques <strong>de</strong> sécurité.<br />
Dans le cas où le blocage <strong>de</strong> l'installation d'un risque <strong>de</strong> sécurité n'affecte pas la<br />
stabilité <strong>de</strong> l'ordinateur, Auto-Protect bloque également l'installation par défaut.<br />
Si <strong>Symantec</strong> détermine que le blocage d'un risque <strong>de</strong> sécurité peut affecter la<br />
stabilité d'un ordinateur, la protection automatique laisse le risque ouvert. De<br />
plus, Auto-Protect effectue immédiatement l'opération configurée pour le risque.<br />
Dans certains cas, il peut être nécessaire <strong>de</strong> désactiver la recherche <strong>de</strong>s risques<br />
<strong>de</strong> sécurité dans les analyses Auto-Protect, puis <strong>de</strong> la réactiver. Il peut également<br />
être nécessaire <strong>de</strong> désactiver le blocage <strong>de</strong>s risques <strong>de</strong> sécurité pour contrôler le<br />
moment où Auto-Protect réagit à certains risques <strong>de</strong> sécurité.
68<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos d'Auto-Protect<br />
Remarque : Votre administrateur peut verrouiller ces paramètres.<br />
Pour activer/désactiver l'analyse <strong>et</strong> le blocage <strong>de</strong>s risques <strong>de</strong> sécurité dans<br />
Auto-Protect<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 Près <strong>de</strong> <strong>Protection</strong> antivirus <strong>et</strong> antispyware, cliquez sur Configurer les<br />
paramètres.<br />
3 Sur l'ongl<strong>et</strong> Auto-Protect pour le système <strong>de</strong> fichiers, sous Options, effectuez<br />
l'une <strong>de</strong>s opérations suivantes :<br />
■<br />
■<br />
■<br />
Cochez ou supprimez la coche Rechercher les risques <strong>de</strong> sécurité.<br />
Cochez ou supprimez la coche Bloquer l'installation <strong>de</strong>s risques <strong>de</strong><br />
sécurité.<br />
Cochez ou supprimez la coche Analyserlesfichierssurleslecteursréseau.<br />
4 Cliquez sur OK.<br />
Configuration <strong>de</strong> paramètre d'analyse réseau<br />
La configuration <strong>de</strong>s options d'analyse réseau couvre les points suivants :<br />
■<br />
■<br />
Déterminer si Auto-Protect doit considérer comme sûrs les fichiers se trouvant<br />
sur <strong>de</strong>s ordinateurs distants qui exécutent Auto-Protect.<br />
Déterminer si votre ordinateur doit utiliser un cache pour stocker un<br />
enregistrement <strong>de</strong>s fichiers réseau analysés par Auto-Protect.<br />
Par défaut, Auto-Protect analyse les fichiers pendant leur écriture <strong>de</strong>puis votre<br />
ordinateur vers un ordinateur distant. Auto-Protect analyse également les fichiers<br />
pendant leur écriture à partir d'un ordinateur distant vers votre ordinateur.<br />
Cependant, lorsque vous lisez <strong>de</strong>s fichiers se trouvant sur un ordinateur distant,<br />
Auto-Protect peut ne pas les analyser. Par défaut, Auto-Protect tente <strong>de</strong> faire<br />
confiance aux versions d'Auto-Protect se trouvant sur les ordinateurs distants.<br />
Si l'option <strong>de</strong> confiance est activée sur les <strong>de</strong>ux ordinateurs, la version locale<br />
d'Auto-Protect vérifie les paramètres <strong>de</strong> la version d'Auto-Protect sur l'ordinateur<br />
distant. Si les paramètres <strong>de</strong> la version d'Auto-Protect se trouvant sur l'ordinateur<br />
distant fournissent un niveau <strong>de</strong> sécurité au moins aussi élevé que les paramètres<br />
<strong>de</strong> la version locale, la version locale fait confiance à la version distante. Dans le<br />
cas où la version locale d'Auto-Protect fait confiance à la version distante, la<br />
version locale n'analyse pas les fichiers lus à partir <strong>de</strong> l'ordinateur distant.<br />
L'ordinateur local considère que la version distante d'Auto-Protect a déjà analysé<br />
les fichiers.
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos d'Auto-Protect<br />
69<br />
Remarque : La version locale d'Auto-Protect analyse toujours les fichiers que vous<br />
copiez à partir d'un ordinateur distant.<br />
L'option <strong>de</strong> confiance est activée par défaut. La désactivation <strong>de</strong> l'option <strong>de</strong><br />
confiance peut réduire les performances réseau.<br />
Pour désactiver l'option <strong>de</strong> confiance dans les versions distantes d'Auto-Protect<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 Près <strong>de</strong> <strong>Protection</strong> antivirus <strong>et</strong> antispyware, cliquez sur Configurer les<br />
paramètres.<br />
3 Sur l'ongl<strong>et</strong> Auto-Protect pour le système <strong>de</strong> fichiers, cliquez sur Avancé.<br />
4 Dans la boîte <strong>de</strong> dialogue Auto-Protect - Options avancées, sous Options<br />
avancées supplémentaires, cliquez sur Réseau.<br />
5 Sous Paramètres d'analyse réseau, supprimez la coche Faire confiance aux<br />
fichiers sur les ordinateurs distants exécutant Auto-Protect.<br />
6 Cliquez sur OK jusqu'à ce que vous soyiez revenu à la fenêtre principale.<br />
Vous pouvez configurer votre ordinateur pour qu'il utilise un cache réseau.<br />
Ce cache réseau stocke un enregistrement <strong>de</strong>s fichiers qu'Auto-Protect a<br />
analysés à partir d'un ordinateur distant. En utilisant un cache réseau, vous<br />
empêchez Auto-Protect d'analyser le même fichier plusieurs fois. Cela perm<strong>et</strong><br />
d'améliorer les performances du système. Vous pouvez définir le nombre <strong>de</strong><br />
fichiers (entrées) qu'Auto-Protect doit analyser <strong>et</strong> mémoriser. Vous pouvez<br />
également définir le délai à observer avant que votre ordinateur supprime<br />
les entrées du cache. Une fois que le délai a expiré, votre ordinateur supprime<br />
les entrées. Auto-Protect analysera les fichiers si vous les <strong>de</strong>man<strong>de</strong>z <strong>de</strong><br />
nouveau à l'ordinateur distant.<br />
Pour configurer un cache réseau<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 Près <strong>de</strong> <strong>Protection</strong> antivirus <strong>et</strong> antispyware, cliquez sur Configurer les<br />
paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> protection antivirus <strong>et</strong> antispyware,<br />
dans l'ongl<strong>et</strong> Auto-Protect pour le système <strong>de</strong> fichiers, cliquez sur Avancé.<br />
4 Dans la boîte <strong>de</strong> dialogue Auto-Protect - Options avancées, sous Options<br />
avancées supplémentaires, cliquez sur Réseau.<br />
5 Dans la boîte <strong>de</strong> dialogue Paramètres d'analyse réseau, cochez ou<br />
désélectionnez Cache réseau.
70<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Utilisation <strong>de</strong>s analyses antivirus <strong>et</strong> antispyware<br />
6 Si vous avez activé le cache réseau, utilisez les paramètres par défaut ou<br />
effectuez l'une <strong>de</strong>s opérations suivantes :<br />
■<br />
■<br />
Saisissez le nombre <strong>de</strong> fichiers (entrées) qu'Auto-Protect doit analyser <strong>et</strong><br />
mémoriser (ou utilisez les flèches pour le définir).<br />
Saisissez la durée en secon<strong>de</strong>s pendant laquelle les entrées doivent rester<br />
dans le cache avant que votre ordinateur efface le cache.<br />
7 Cliquez sur OK jusqu'à ce que vous reveniez à la fenêtre principale.<br />
Utilisation <strong>de</strong>s analyses antivirus <strong>et</strong> antispyware<br />
Auto-Protect est votre défense la plus puissante contre les infections virales <strong>et</strong><br />
les risques <strong>de</strong> sécurité. En plus d'Auto-Protect, le <strong>client</strong> comprend plusieurs autres<br />
types d'analyses pour une protection supplémentaire.<br />
Tableau 4-3 décrit les types d'analyses.<br />
Tableau 4-3<br />
Type<br />
Analyse<br />
personnalisée<br />
Analyse rapi<strong>de</strong><br />
Analyse complète<br />
Analyse planifiée<br />
Analyse <strong>de</strong><br />
démarrage<br />
Définie par<br />
l'utilisateur<br />
Types d'analyses<br />
Description<br />
Analyse un fichier, un dossier, un lecteur ou l'intégralité <strong>de</strong><br />
l'ordinateur à un moment quelconque. Vous <strong>de</strong>vez sélectionner les<br />
parties <strong>de</strong> l'ordinateur à analyser.<br />
Analyse rapi<strong>de</strong>ment la mémoire système <strong>et</strong> les emplacements<br />
couramment attaqués par les virus <strong>et</strong> les risques <strong>de</strong> sécurité.<br />
Analyse l'ordinateur compl<strong>et</strong>, y compris le secteur <strong>de</strong> démarrage <strong>et</strong><br />
la mémoire système. Vous pouvez être amené à saisir un mot <strong>de</strong><br />
passe pour analyser les lecteurs réseau.<br />
S'exécute automatiquement selon une fréquence spécifiée.<br />
S'exécute chaque fois que vous démarrez votre ordinateur <strong>et</strong> ouvrez<br />
une session.<br />
Analyse <strong>de</strong>s ensembles <strong>de</strong> fichiers spécifiés à un moment quelconque.<br />
Tant que Auto-Protect est activé, une analyse rapi<strong>de</strong> quotidienne <strong>et</strong> une seule<br />
analyse hebdomadaire planifiée <strong>de</strong> tous les fichiers assurent une protection<br />
suffisante. Si <strong>de</strong>s virus attaquent fréquemment votre ordinateur, envisagez<br />
d'ajouter une analyse complète au démarrage ou une analyse planifiée quotidienne.<br />
Vous pouvez également configurer la fréquence <strong>de</strong>s analyses qui recherchent les<br />
comportements suspects plutôt que <strong>de</strong>s risques connus.
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Utilisation <strong>de</strong>s analyses antivirus <strong>et</strong> antispyware<br />
71<br />
Se reporter à "Configuration <strong>de</strong> la fréquence d'exécution <strong>de</strong>s analyses proactives<br />
<strong>de</strong>s menaces TruScan" à la page 105.<br />
Mo<strong>de</strong> <strong>de</strong> fonctionnement <strong>de</strong>s analyses antivirus <strong>et</strong> antispyware<br />
Les analyses <strong>de</strong> protection i<strong>de</strong>ntifient <strong>et</strong> neutralisent ou éliminent les virus <strong>et</strong> les<br />
risques <strong>de</strong> sécurité sur vos ordinateurs. Une analyse élimine un virus ou un risque<br />
à travers le processus suivant :<br />
■<br />
■<br />
Le moteur d'analyse parcoure les fichiers <strong>et</strong> d'autres composants <strong>de</strong> l'ordinateur<br />
pour détecter <strong>de</strong>s traces <strong>de</strong> virus dans les fichiers. Chaque virus dispose d'une<br />
configuration reconnaissable appelée signature. Un fichier <strong>de</strong> définitions <strong>de</strong><br />
virus contenant <strong>de</strong>s signatures <strong>de</strong> virus connues, sans co<strong>de</strong> <strong>de</strong> virus néfaste<br />
est installé sur l'ordinateur <strong>client</strong>. Le moteur d'analyse compare chaque fichier<br />
ou composant au fichier <strong>de</strong> définitions <strong>de</strong> virus. Si le moteur d'analyse trouve<br />
une correspondance, le fichier est infecté.<br />
Les fichiers <strong>de</strong> définitions perm<strong>et</strong>tent au moteur d'analyse <strong>de</strong> déterminer si<br />
un virus ou un risque a causé l'infection. Le moteur d'analyse prend alors une<br />
action <strong>de</strong> correction sur le fichier infecté. Pour réparer le fichier infecté, le<br />
<strong>client</strong> n<strong>et</strong>toie, supprime ou m<strong>et</strong> le fichier en quarantaine.<br />
Tableau 4-4 décrit les composants que le <strong>client</strong> analyse sur l'ordinateur.<br />
Tableau 4-4<br />
Composant<br />
Composants <strong>de</strong> l'ordinateur analysés par le <strong>client</strong><br />
Description<br />
Fichiers sélectionnés<br />
Le <strong>client</strong> analyse <strong>de</strong>s fichiers individuels. Dans la plupart <strong>de</strong>s types<br />
d'analyse, vous pouvez sélectionner les fichiers à analyser.<br />
Le logiciel <strong>client</strong> utilise une analyse basée sur <strong>de</strong>s modèles pour<br />
rechercher les traces <strong>de</strong> virus dans les fichiers. Les traces <strong>de</strong>s virus<br />
sont appelées modèles ou signatures. Chaque fichier est comparé à<br />
<strong>de</strong>s signatures inoffensives contenues dans un fichier <strong>de</strong> définitions<br />
<strong>de</strong> virus, ce qui perm<strong>et</strong> <strong>de</strong> détecter <strong>de</strong>s virus spécifiques.<br />
Si un virus est détecté, le <strong>client</strong> tente, par défaut, <strong>de</strong> le supprimer<br />
du fichier infecté. Si le fichier ne peut pas être n<strong>et</strong>toyé, le <strong>client</strong> le<br />
place en quarantaine pour éviter <strong>de</strong> contaminer les autres fichiers<br />
<strong>de</strong> votre ordinateur.<br />
Le <strong>client</strong> utilise également une analyse basée sur <strong>de</strong>s modèles pour<br />
rechercher <strong>de</strong>s symptômes <strong>de</strong> risques <strong>de</strong> sécurité dans les fichiers<br />
<strong>et</strong> les clés <strong>de</strong> registre <strong>de</strong> Windows. Si un risque <strong>de</strong> sécurité existe,<br />
le <strong>client</strong>, par défaut, m<strong>et</strong> les fichiers infectés en quarantaine <strong>et</strong> répare<br />
les eff<strong>et</strong>s du risque. Si le <strong>client</strong> ne peut pas m<strong>et</strong>tre en quarantaine<br />
les fichiers, il consigne la tentative.
72<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Utilisation <strong>de</strong>s analyses antivirus <strong>et</strong> antispyware<br />
Composant<br />
Mémoire <strong>de</strong><br />
l'ordinateur<br />
Secteur <strong>de</strong><br />
démarrage<br />
Lecteur <strong>de</strong> disqu<strong>et</strong>te<br />
Description<br />
Le <strong>client</strong> analyse la mémoire <strong>de</strong> l'ordinateur. Tous les virus <strong>de</strong> fichier,<br />
virus <strong>de</strong> secteur <strong>de</strong> démarrage <strong>et</strong> virus <strong>de</strong> macro sont susceptibles<br />
<strong>de</strong> rési<strong>de</strong>r en mémoire. Les virus qui se trouvent en mémoire se sont<br />
copiés eux-mêmes dans la mémoire <strong>de</strong> l'ordinateur. Un virus peut<br />
se dissimuler en mémoire jusqu'à ce qu'un événement déclencheur<br />
se produise. Le virus peut alors infecter une disqu<strong>et</strong>te insérée dans<br />
le lecteur ou s'étendre au disque dur. Si un virus est dans la mémoire,<br />
il ne peut pas être n<strong>et</strong>toyé. Vous pouvez toutefois supprimer un<br />
virus <strong>de</strong> la mémoire en redémarrant l'ordinateur quand un message<br />
vous le propose.<br />
La <strong>client</strong> recherche les virus <strong>de</strong> secteur <strong>de</strong> démarrage dans le secteur<br />
<strong>de</strong> démarrage <strong>de</strong> l'ordinateur. Deux éléments sont vérifiés : les tables<br />
<strong>de</strong> partitions <strong>et</strong> la zone d'enregistrement <strong>de</strong> démarrage principal.<br />
Les disqu<strong>et</strong>tes constituent une source courante <strong>de</strong> propagation <strong>de</strong>s<br />
virus. Une disqu<strong>et</strong>te peut se trouver dans le lecteur au moment du<br />
démarrage ou <strong>de</strong> l'arrêt <strong>de</strong> votre ordinateur. Au démarrage d'une<br />
analyse, le <strong>client</strong> analyse le secteur <strong>de</strong> démarrage <strong>et</strong> les tables <strong>de</strong><br />
partitions <strong>de</strong> toute disqu<strong>et</strong>te se trouvant dans le lecteur. Lorsque<br />
vous éteignez votre ordinateur, vous êtes invité à r<strong>et</strong>irer la disqu<strong>et</strong>te<br />
pour éviter tout risque d'infection.<br />
A propos <strong>de</strong>s fichiers <strong>de</strong> définitions<br />
Les fichiers <strong>de</strong> virus incluent <strong>de</strong>s bits <strong>de</strong> co<strong>de</strong> qui présentent certaines<br />
configurations quand ils sont décomposés. Les configurations peuvent être tracées<br />
dans les fichiers infectés. Les configurations sont également appelées <strong>de</strong>s<br />
signatures. Les risques <strong>de</strong> sécurité tels que les logiciels publicitaires <strong>et</strong> les spywares,<br />
possè<strong>de</strong>nt également <strong>de</strong>s signatures reconnaissables.<br />
Les fichiers <strong>de</strong> définitions <strong>de</strong> virus contiennent une liste <strong>de</strong>s signatures <strong>de</strong> virus<br />
connues, sans le co<strong>de</strong> nocif du virus <strong>et</strong> les signatures connues pour les risques <strong>de</strong><br />
sécurité. Le logiciel d'analyse recherche dans les fichiers <strong>de</strong> votre ordinateur les<br />
signatures connues incluses dans les fichiers <strong>de</strong> définitions. S'il détecte une<br />
correspondance <strong>de</strong> virus, le fichier est infecté. Le <strong>client</strong> utilise le fichier <strong>de</strong><br />
définitions pour déterminer le virus à l'origine <strong>de</strong> l'infection <strong>et</strong> réparer ses eff<strong>et</strong>s<br />
secondaires. Si un risque <strong>de</strong> sécurité est trouvé, le <strong>client</strong> utilise les fichiers <strong>de</strong><br />
définitions pour m<strong>et</strong>tre le risque en quarantaine <strong>et</strong> réparer ses eff<strong>et</strong>s secondaires.<br />
De nouveaux virus <strong>et</strong> risques <strong>de</strong> sécurité apparaissent régulièrement dans la<br />
communauté <strong>de</strong>s ordinateurs. Assurez-vous que les fichiers <strong>de</strong> définitions sur<br />
votre ordinateur sont à jour. Vous <strong>de</strong>vez vous assurer que le <strong>client</strong> peut détecter<br />
<strong>et</strong> n<strong>et</strong>toyer même les virus <strong>et</strong> les risques <strong>de</strong> sécurité les plus récents.
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Planification d'une analyse définie par l'utilisateur<br />
73<br />
A propos <strong>de</strong> l'analyse <strong>de</strong>s fichiers compressés<br />
Les analyses antivirus <strong>et</strong> antispyware analysent dans les fichiers compressés. Par<br />
exemple, les analyses examinent les fichiers à l'intérieur <strong>de</strong>s fichiers .zip. Votre<br />
administrateur peut spécifier une analyse jusqu'à 10 niveaux <strong>de</strong> profon<strong>de</strong>ur pour<br />
les fichiers compressés contenant d'autres fichiers compressés. Consultez votre<br />
administrateur pour connaître les types d'analyses pris en charge sur les fichiers<br />
compressés.<br />
Si Auto-Protect est activé, n'importe quel fichier dans un fichier compressé est<br />
analysé.<br />
Planification d'une analyse définie par l'utilisateur<br />
Une analyse planifiée est un élément important <strong>de</strong> la protection contre les menaces<br />
<strong>et</strong> les risques <strong>de</strong> sécurité. Vous <strong>de</strong>vriez planifier une analyse pour exécution au<br />
moins une fois chaque semaine pour garantir que votre ordinateur reste exempt<br />
<strong>de</strong> virus <strong>et</strong> <strong>de</strong> risques <strong>de</strong> sécurité. Lorsque vous créez une nouvelle analyse, celle-ci<br />
s'affiche dans la liste d'analyses, dans le vol<strong>et</strong> Rechercher les menaces.<br />
Remarque : Si votre administrateur a créé une analyse planifiée, elle s'affiche dans<br />
la liste d'analyses, dans le vol<strong>et</strong> Rechercher les menaces.<br />
Votre ordinateur doit être sous tension <strong>et</strong> les services <strong>Symantec</strong> <strong>Endpoint</strong><br />
<strong>Protection</strong> doivent être chargés au moment planifié pour le déroulement <strong>de</strong><br />
l'analyse. Par défaut, les services <strong>de</strong> <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> sont chargés<br />
au redémarrage <strong>de</strong> l'ordinateur.<br />
Pour les <strong>client</strong>s gérés centralement, l'administrateur peut remplacer ces<br />
paramètres.<br />
Si vous planifiez plusieurs analyses pour le même ordinateur <strong>et</strong> que les analyses<br />
commencent en même temps, elles s'exécutent en séquence. La fin d'une analyse<br />
enclenche le commencement d'une autre. Par exemple, vous pouvez planifier trois<br />
analyses séparées pour se produire sur l'ordinateur à 13 h 00. Chaque analyse<br />
porte sur un lecteur différent. L'une analyse le lecteur C. Une autre le lecteur D.<br />
Une autre le lecteur E. Dans c<strong>et</strong> exemple, il est préférable <strong>de</strong> créer une analyse<br />
planifiée analysant les lecteurs C, D <strong>et</strong> E.<br />
Se reporter à "Analyse immédiate <strong>de</strong> l'ordinateur" à la page 36.<br />
Pour plus d'informations sur les options <strong>de</strong> chaque boîte <strong>de</strong> dialogue, cliquez sur<br />
Ai<strong>de</strong>.
74<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Planification d'une analyse définie par l'utilisateur<br />
Pour planifier une analyse définie par l'utilisateur<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Rechercher les menaces.<br />
2 Cliquez sur Créer une analyse.<br />
3 Dans la boîte <strong>de</strong> dialogue Créer une analyse (éléments à analyser),<br />
sélectionnez l'un <strong>de</strong>s types d'analyse suivants à planifier :<br />
Analyse active<br />
Analyse complète<br />
Analyse<br />
personnalisée<br />
Analyse les zones <strong>de</strong> l'ordinateur que les virus <strong>et</strong> les risques <strong>de</strong><br />
sécurité infectent le plus généralement.<br />
Analyse l'ordinateur entier pour rechercher les virus <strong>et</strong> les risques<br />
<strong>de</strong> sécurité.<br />
Analyse les zones sélectionnées <strong>de</strong> l'ordinateur pour rechercher<br />
les virus <strong>et</strong> les risques <strong>de</strong> sécurité.<br />
4 Cliquez sur Suivant.<br />
5 Si vous avez sélectionné Analyse personnalisée, cochez les cases à cocher<br />
appropriées pour spécifier l'élément à analyser, puis cliquez sur Suivant.<br />
Les symboles ont les <strong>de</strong>scriptions suivantes :<br />
Le fichier, lecteur ou dossier n'est pas sélectionné. S'il s'agit d'un lecteur<br />
ou d'un dossier, son contenu (fichiers ou dossiers) n'est pas non plus<br />
sélectionné.<br />
Le fichier ou dossier individuel est sélectionné.<br />
Le dossier ou le lecteur individuel est sélectionné. Tous les éléments<br />
contenus dans le dossier ou le lecteur sont également sélectionnés.<br />
Le dossier ou le lecteur n'est pas sélectionné, mais un ou plusieurs <strong>de</strong>s<br />
éléments qu'il contient le sont.
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Planification d'une analyse définie par l'utilisateur<br />
75<br />
6 Dans la boîte <strong>de</strong> dialogue Créeruneanalyse(optionsd'analyse), vous pouvez<br />
modifier l'une <strong>de</strong>s options suivantes :<br />
Types <strong>de</strong> fichier<br />
Actions<br />
Notifications<br />
Avancé<br />
Améliorations<br />
<strong>de</strong> l'analyse<br />
Exceptions<br />
centralisées<br />
Modifier les extensions <strong>de</strong> fichier que le <strong>client</strong> analyse. Le<br />
paramètre par défaut consiste à analyser tous les fichiers.<br />
Sélectionnez l'action principale <strong>et</strong> l'action secondaire à effectuer<br />
quand <strong>de</strong>s virus <strong>et</strong> <strong>de</strong>s risques <strong>de</strong> sécurité sont détectés.<br />
Construisez un message à afficher quand un virus ou un risque <strong>de</strong><br />
sécurité est trouvé. Vous pouvez également définir si vous voulez<br />
être notifié avant que les actions <strong>de</strong> remédiation n'interviennent.<br />
Modifiez <strong>de</strong>s fonctions d'analyse supplémentaires, telles que<br />
l'affichage <strong>de</strong> la boîte <strong>de</strong> dialogue <strong>de</strong>s résultats <strong>de</strong> l'analyse.<br />
Modifier les composants d'ordinateur que le <strong>client</strong> analyse. Les<br />
options disponibles dépen<strong>de</strong>nt <strong>de</strong>s éléments sélectionnés dans<br />
l'étape 3.<br />
Ajouter les éléments que le <strong>client</strong> exclut <strong>de</strong> l'analyse.<br />
7 Cliquez sur Suivant.<br />
8 Dans la boîte <strong>de</strong> dialogue Créer une analyse (moment <strong>de</strong> l'analyse), cliquez<br />
sur Aux heures spécifiées, puis cliquez sur Suivant.<br />
Vous pouvez également créer une analyse à la <strong>de</strong>man<strong>de</strong> ou <strong>de</strong> démarrage.<br />
Se reporter à "Planification d'une analyse à exécuter sur <strong>de</strong>man<strong>de</strong> ou quand<br />
l'ordinateur démarre" à la page 75.<br />
9 Dans la boîte <strong>de</strong> dialogue Créer une analyse (planification), spécifiez la<br />
fréquence <strong>et</strong> le moment <strong>de</strong> l'analyse, puis cliquez sur Suivant.<br />
10 Dans la boîte <strong>de</strong> dialogue Créer une analyse (nom <strong>de</strong> l'analyse), saisissez un<br />
nom <strong>et</strong> une <strong>de</strong>scription <strong>de</strong> l'analyse.<br />
Par exemple, désignez l'analyse : vendredi matin<br />
11 Cliquez sur Terminer.<br />
Planification d'une analyse à exécuter sur <strong>de</strong>man<strong>de</strong> ou quand<br />
l'ordinateur démarre<br />
Vous pouvez compléter une analyse planifiée avec une analyse automatique à<br />
chaque démarrage <strong>de</strong> votre ordinateur ou <strong>de</strong> votre connexion. Généralement,
76<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Planification d'une analyse définie par l'utilisateur<br />
l'analyse au démarrage se limite aux dossiers importants <strong>et</strong> à haut risque, comme<br />
le dossier Windows <strong>et</strong> les dossiers contenant les modèles Word <strong>et</strong> Excel.<br />
Votre <strong>client</strong> inclut également une analyse au démarrage appelée analyse rapi<strong>de</strong><br />
générée automatiquement. L'analyse auto-générée vérifie les points d'infection<br />
communs sur l'ordinateur chaque fois qu'un utilisateur ouvre une session sur<br />
l'ordinateur. Vous pouvez modifier c<strong>et</strong>te analyse <strong>de</strong> la même manière que vous<br />
pouvez configurer n'importe quelle analyse à la <strong>de</strong>man<strong>de</strong>. Cependant, vous ne<br />
pouvez pas désactiver les analyses <strong>de</strong>s fichiers en mémoire <strong>et</strong> les autres points<br />
d'infection communs sur l'ordinateur.<br />
Si vous analysez régulièrement le même ensemble <strong>de</strong> fichiers ou <strong>de</strong> dossiers, vous<br />
pouvez créer une analyse limitée aux éléments concernés. A tout moment, vous<br />
pouvez rapi<strong>de</strong>ment vérifier que les fichiers <strong>et</strong> les dossiers indiqués sont exempts<br />
<strong>de</strong> virus <strong>et</strong> d'autres risques <strong>de</strong> sécurité. Vous <strong>de</strong>vez exécuter manuellement les<br />
analyses sur <strong>de</strong>man<strong>de</strong>.<br />
Si vous créez plusieurs analyses au démarrage, elles seront exécutées dans l'ordre<br />
<strong>de</strong> leur création. Votre administrateur a peut-être configuré le <strong>client</strong> <strong>de</strong> sorte que<br />
vous ne puissiez pas créer une analyse au démarrage.<br />
Se reporter à "Analyse immédiate <strong>de</strong> l'ordinateur" à la page 36.<br />
Pour plus d'informations sur les options <strong>de</strong> chaque boîte <strong>de</strong> dialogue, cliquez sur<br />
Ai<strong>de</strong>.<br />
Pour planifier une analyse à exécuter sur <strong>de</strong>man<strong>de</strong> ou au démarrage <strong>de</strong> l'ordinateur<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Rechercher les menaces.<br />
2 Cliquez sur Créer une analyse.<br />
3 Suivez les étapes 3 à 7 pour créer une analyse planifiée.<br />
Se reporter à "Planification d'une analyse définie par l'utilisateur" à la page 73.<br />
4 Dans la boîte <strong>de</strong> dialogue <strong>de</strong> Créer une nouvelle analyse (moment <strong>de</strong><br />
l'exécution) pour effectuer l'une <strong>de</strong>s actions suivantes :<br />
■<br />
■<br />
Cliquez sur Au démarrage.<br />
Cliquez sur A la <strong>de</strong>man<strong>de</strong>.<br />
5 Cliquez sur Suivant.<br />
6 Dans la boîte <strong>de</strong> dialogue Créer une nouvelle analyse (nom <strong>de</strong> l'analyse),<br />
saisissez un nom <strong>et</strong> une <strong>de</strong>scription pour l'analyse.<br />
Par exemple, désignez l'analyse : MonAnalyse1<br />
7 Cliquez sur Terminer.
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Modification <strong>et</strong> suppression d'analyses au démarrage, définies par l'utilisateur <strong>et</strong> planifiées<br />
77<br />
Modification <strong>et</strong> suppression d'analyses au démarrage,<br />
définies par l'utilisateur <strong>et</strong> planifiées<br />
Vous pouvez modifier <strong>et</strong> supprimer <strong>de</strong>s analyses au démarrage, définies par<br />
l'utilisateur <strong>et</strong> planifiées. Certaines options peuvent être grisées si elles ne peuvent<br />
être configurées pour un type d'analyse particulier.<br />
Pour modifier une analyse<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Rechercher les menaces.<br />
2 Dans la liste d'analyses, cliquez avec le bouton droit <strong>de</strong> la souris sur l'analyse<br />
que vous voulez modifier <strong>et</strong> puis cliquez sur Edition.<br />
3 Faites les modifications appropriées sur les ongl<strong>et</strong>s Eléments à analyser,<br />
Options <strong>et</strong> Général.<br />
Pour les analyses planifiées, vous pouvez également modifier la planification.<br />
4 Cliquez sur OK.<br />
Pour supprimer une analyse<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Rechercher les menaces.<br />
2 Dans la liste d'analyses, cliquez avec le bouton droit <strong>de</strong> la souris sur l'analyse<br />
que vous voulez supprimer, puis cliquez sur Supprimer.<br />
3 Dans la boîte <strong>de</strong> dialogue <strong>de</strong> confirmation, cliquez sur Oui.<br />
Interprétation <strong>de</strong>s résultats <strong>de</strong>s analyses<br />
Toutes les fois qu'une analyse à la <strong>de</strong>man<strong>de</strong>, planifiée, au démarrage ou définie<br />
par l'utilisateur s'exécute, le logiciel <strong>client</strong> affiche par défaut une boîte <strong>de</strong> dialogue<br />
d'avancement <strong>de</strong> l'analyse pour signaler la progression. En outre, Auto-Protect<br />
peut afficher une boîte <strong>de</strong> dialogue <strong>de</strong> résultats toutes les fois qu'il détecte un<br />
virus ou un risque <strong>de</strong> sécurité. Vous pouvez désactiver ces notifications.<br />
Dans un réseau géré <strong>de</strong> manière centralisée, la boîte <strong>de</strong> dialogue d'avancement<br />
d'analyse peut ne pas apparaître pour les analyses lancées par l'administrateur.<br />
De même, votre administrateur peut choisir <strong>de</strong> ne pas afficher les résultats quand<br />
le <strong>client</strong> détecte un virus ou un risque <strong>de</strong> sécurité.<br />
Si le <strong>client</strong> détecte <strong>de</strong>s risques pendant l'analyse, la boîte <strong>de</strong> dialogue d'avancement<br />
d'analyse affiche <strong>de</strong>s résultats avec les informations suivantes :<br />
■<br />
■<br />
Les noms <strong>de</strong>s fichiers infectés<br />
Les noms <strong>de</strong>s virus ou <strong>de</strong>s risques <strong>de</strong> sécurité
78<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Interprétation <strong>de</strong>s résultats <strong>de</strong>s analyses<br />
■<br />
Les actions que le <strong>client</strong> a exécutées sur les risques<br />
Par défaut, vous êtes averti chaque fois qu'un virus ou un risque <strong>de</strong> sécurité est<br />
détecté.<br />
Remarque : La langue du système d'exploitation sur lequel vous exécutez le <strong>client</strong><br />
peut ne pas savoir interpréter certains caractères <strong>de</strong>s noms <strong>de</strong> virus. Si le système<br />
d'exploitation ne peut pas interpréter les caractères, les caractères apparaissent<br />
comme <strong>de</strong>s points d'interrogation dans les notifications. Par exemple, certains<br />
noms <strong>de</strong> virus Unico<strong>de</strong> peuvent contenir <strong>de</strong>s caractères à <strong>de</strong>ux oct<strong>et</strong>s. Sur les<br />
ordinateurs qui exécutent le <strong>client</strong> sur un système d'exploitation anglais, ces<br />
caractères apparaissent comme <strong>de</strong>s points d'interrogation.<br />
Si vous configurez le logiciel <strong>client</strong> pour afficher une boîte <strong>de</strong> dialogue<br />
d'avancement <strong>de</strong> l'analyse, vous pouvez interrompre, redémarrer ou arrêter<br />
l'analyse. Lorsque l'analyse est terminée, les résultats apparaissent dans la liste.<br />
Si aucun virus ni risque <strong>de</strong> sécurité n'a été détecté, la liste reste vi<strong>de</strong> <strong>et</strong> l'état est<br />
Terminé.<br />
Se reporter à "Suspension <strong>et</strong> report <strong>de</strong>s analyses" à la page 37.<br />
A propos <strong>de</strong> l'interaction avec les résultats d'analyse ou les résultats<br />
d'Auto-Protect<br />
La boîte <strong>de</strong> dialogue d'avancement d'analyse <strong>et</strong> la boîte <strong>de</strong> dialogue <strong>de</strong> résultats<br />
d'Auto-Protect comportent <strong>de</strong>s options similaires. Si le <strong>client</strong> doit m<strong>et</strong>tre fin à un<br />
processus ou une application, ou arrêter un service, le bouton Supprimer le risque<br />
est actif. Vous ne pouvez pas fermer la boîte <strong>de</strong> dialogue si <strong>de</strong>s risques signalés<br />
dans c<strong>et</strong>te boîte <strong>de</strong> dialogue nécessitent une interaction <strong>de</strong> votre part.<br />
Tableau 4-5 décrit les options <strong>de</strong> la boîte <strong>de</strong> dialogue <strong>de</strong>s résultats.
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Interprétation <strong>de</strong>s résultats <strong>de</strong>s analyses<br />
79<br />
Tableau 4-5<br />
Bouton<br />
Options <strong>de</strong> la boîte <strong>de</strong> dialogue <strong>de</strong>s résultats d'analyse<br />
Description<br />
Supprimer les risques<br />
maintenant<br />
Affiche la boîte <strong>de</strong> dialogue Eliminer le risque.<br />
Dans la boîte <strong>de</strong> dialogue Eliminer le risque, vous pouvez<br />
sélectionner l'une <strong>de</strong>s options suivantes pour chaque risque :<br />
■<br />
■<br />
Oui<br />
Le <strong>client</strong> supprime le risque. La suppression du risque peut<br />
impliquer <strong>de</strong> redémarrer l'ordinateur. Les informations <strong>de</strong> la<br />
boîte <strong>de</strong> dialogue indiquent si un redémarrage est requis.<br />
Non<br />
Lorsque vous fermez la boîte <strong>de</strong> dialogue <strong>de</strong>s résultats, une<br />
boîte <strong>de</strong> dialogue s'affiche. La boîte <strong>de</strong> dialogue vous rappelle<br />
qu'une intervention <strong>de</strong> votre part est toujours nécessaire.<br />
Cependant, la boîte <strong>de</strong> dialogue Eliminer le risque ne s'affiche<br />
plus jusqu'à ce que vous redémarriez l'ordinateur.<br />
Fermer<br />
Ferme la boîte <strong>de</strong> dialogue <strong>de</strong>s résultats si aucun <strong>de</strong>s risques ne<br />
nécessite d'intervention.<br />
Si vous <strong>de</strong>vez exécuter une action, l'une <strong>de</strong>s notifications suivantes<br />
s'affiche.<br />
■<br />
■<br />
■<br />
Suppression <strong>de</strong> risque requise<br />
S'affiche quand un risque nécessite l'arrêt <strong>de</strong> processus. Si<br />
vous déci<strong>de</strong>z <strong>de</strong> supprimer le risque, vous revenez à la boîte<br />
<strong>de</strong> dialogue <strong>de</strong>s résultats. Si un redémarrage est nécessaire,<br />
les informations dans la ligne du risque dans la boîte <strong>de</strong><br />
dialogue indique qu'un redémarrage est nécessaire.<br />
Redémarrage requis<br />
S'affiche quand un risque nécessite un redémarrage.<br />
Suppression du risque <strong>et</strong> redémarrage requis<br />
S'affiche lorsqu'un risque implique d'arrêter les processus <strong>et</strong><br />
un autre risque nécessite un redémarrage.<br />
Si un redémarrage est requis, la suppression ou la réparation n'est pas terminée<br />
jusqu'à ce que vous redémarriez l'ordinateur.<br />
Dans certains cas, une intervention sur un risque peut être nécessaire, mais vous<br />
préférez ne pas l'effectuer sur le moment.<br />
Le risque peut être supprimé ou réparé ultérieurement en procédant <strong>de</strong> l'une <strong>de</strong>s<br />
manières suivantes :<br />
■<br />
Ouvrir le journal <strong>de</strong>s risques, cliquer avec le bouton droit <strong>de</strong> la souris sur le<br />
risque <strong>et</strong> choisir une action.
80<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Configuration <strong>de</strong>s actions pour les virus <strong>et</strong> les risques <strong>de</strong> sécurité<br />
■<br />
Exécuter une analyse pour détecter <strong>de</strong> nouveau le risque <strong>et</strong> rouvrir la boîte <strong>de</strong><br />
dialogue <strong>de</strong>s résultats.<br />
Vous pouvez également déclencher une action en cliquant avec le bouton droit<br />
<strong>de</strong> la souris sur un risque dans la boîte <strong>de</strong> dialogue <strong>et</strong> en sélectionnant une action.<br />
Les actions que vous pouvez effectuer dépen<strong>de</strong>nt <strong>de</strong>s actions qui ont été<br />
configurées pour le type particulier <strong>de</strong> risque que l'analyse a détecté.<br />
Se reporter à "Action sur les fichiers infectés" à la page 22.<br />
Configuration <strong>de</strong>s actions pour les virus <strong>et</strong> les risques<br />
<strong>de</strong> sécurité<br />
Vous pouvez configurer les actions que vous voulez que le <strong>client</strong> <strong>Symantec</strong><br />
<strong>Endpoint</strong> <strong>Protection</strong> effectue quand il détecte un virus ou un risque <strong>de</strong> sécurité.<br />
Vous pouvez configurer une action principale <strong>et</strong> une action secondaire à effectuer<br />
si la première échoue.<br />
Remarque : Si un administrateur gère votre ordinateur <strong>et</strong> que ces options affichent<br />
un ca<strong>de</strong>nas, vous ne pouvez pas modifier ces options car l'administrateur les a<br />
verrouillées.<br />
Vous configurez <strong>de</strong>s actions pour n'importe quel type d'analyse <strong>de</strong> la même<br />
manière. Chaque analyse a sa propre configuration pour <strong>de</strong>s actions. Vous pouvez<br />
configurer différentes actions pour différentes analyses.<br />
Vous pouvez cliquer sur Ai<strong>de</strong> pour plus d'informations sur les options utilisées<br />
dans les procédures.<br />
Pour configurer <strong>de</strong>s actions pour les virus <strong>et</strong> les risques <strong>de</strong> sécurité<br />
1 Dans la barre latérale dans le <strong>client</strong>, cliquez sur Changer les paramètres.<br />
2 Près <strong>de</strong> <strong>Protection</strong> antivirus <strong>et</strong> antispyware, cliquez sur Configurer les<br />
paramètres.<br />
3 Dans l'ongl<strong>et</strong> Auto-Protect pour le système <strong>de</strong> fichiers, cliquez sur Actions.<br />
4 Dans la boîte <strong>de</strong> dialogue Actions, sélectionnez un type <strong>de</strong> virus ou <strong>de</strong> risque<br />
<strong>de</strong> sécurité dans l'arborescence.<br />
Par défaut, chaque sous-catégorie <strong>de</strong> risque <strong>de</strong> sécurité est automatiquement<br />
configurée pour utiliser les actions définies pour la catégorie entière <strong>de</strong> risques<br />
<strong>de</strong> sécurité.
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Configuration <strong>de</strong>s actions pour les virus <strong>et</strong> les risques <strong>de</strong> sécurité<br />
81<br />
5 Pour configurer l'utilisation d'actions différentes pour une catégorie ou <strong>de</strong>s<br />
instances particulières d'une catégorie, cochez Remplacer les actions<br />
configurées pour les risques <strong>de</strong> sécurité, puis définissez les actions qui<br />
concernent uniquement c<strong>et</strong>te catégorie.
82<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Configuration <strong>de</strong>s actions pour les virus <strong>et</strong> les risques <strong>de</strong> sécurité<br />
6 Sélectionnez une action principale <strong>et</strong> une action secondaire parmi les options<br />
suivantes :<br />
N<strong>et</strong>toyer le risque<br />
Supprime le virus du fichier. Il s'agit <strong>de</strong> la première action<br />
par défaut pour les virus.<br />
Remarque : C<strong>et</strong>te action est seulement disponible comme<br />
première action pour <strong>de</strong>s virus. C<strong>et</strong>te action ne s'applique<br />
pas aux risques <strong>de</strong> sécurité.<br />
Ce paramètre <strong>de</strong>vrait toujours être la première action pour<br />
les virus. Si le <strong>client</strong> parvient à supprimer un virus d'un<br />
fichier, aucune autre action n'est nécessaire. L'ordinateur ne<br />
contient plus <strong>de</strong> virus <strong>et</strong> ne peut plus propager le virus dans<br />
d'autres zones <strong>de</strong> l'ordinateur.<br />
Lorsque le <strong>client</strong> n<strong>et</strong>toie un fichier, il supprime le virus du<br />
fichier infecté, du secteur <strong>de</strong> démarrage ou <strong>de</strong>s tables <strong>de</strong><br />
partition infecté(es). Il empêche également le virus <strong>de</strong> se<br />
propager. Le <strong>client</strong> peut généralement détecter <strong>et</strong> supprimer<br />
un virus avant qu'il endommage l'ordinateur. Par défaut, le<br />
<strong>client</strong> sauvegar<strong>de</strong> le fichier.<br />
Toutefois, dans certains cas, le fichier n<strong>et</strong>toyé peut être<br />
inutilisable. Le virus peut avoir causé trop <strong>de</strong> dommages.<br />
Certains fichiers infectés ne peuvent pas être n<strong>et</strong>toyés.<br />
M<strong>et</strong>tre le risque en<br />
quarantaine<br />
Déplace le fichier infecté <strong>de</strong> son emplacement initial vers la<br />
zone <strong>de</strong> quarantaine. Les fichiers infectés déplacés vers la<br />
quarantaine ne peuvent pas en infecter d'autres.<br />
Pour les virus, transfère le fichier infecté <strong>de</strong> l'emplacement<br />
d'origine vers la quarantaine. Ce paramètre correspond à la<br />
secon<strong>de</strong> action par défaut exécutée pour les virus.<br />
Pour les risques <strong>de</strong> sécurité, le <strong>client</strong> transfère les fichiers<br />
infectés <strong>de</strong> l'emplacement d'origine vers la quarantaine <strong>et</strong><br />
tente <strong>de</strong> supprimer ou réparer les eff<strong>et</strong>s induits. Ce paramètre<br />
correspond à la première action par défaut exécutée pour les<br />
risques <strong>de</strong> sécurité.<br />
La Quarantaine contient un enregistrement <strong>de</strong> toutes les<br />
actions qui ont été exécutées. Vous pouvez restaurer l'état<br />
<strong>de</strong> l'ordinateur qui existait avant la suppression du risque<br />
par le <strong>client</strong>
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Configuration <strong>de</strong>s actions pour les virus <strong>et</strong> les risques <strong>de</strong> sécurité<br />
83<br />
Supprimer le risque<br />
Supprime le fichier infecté du disque dur <strong>de</strong> l'ordinateur. Si<br />
le <strong>client</strong> ne peut pas supprimer un fichier, les informations<br />
sur l'action exécutée par le <strong>client</strong> apparaît dans la boîte <strong>de</strong><br />
dialogue Notification. Les informations apparaissent<br />
également dans le journal <strong>de</strong>s événements.<br />
Utilisez c<strong>et</strong>te action uniquement si vous pouvez remplacer<br />
le fichier par une copie <strong>de</strong> sauvegar<strong>de</strong> ne contenant aucun<br />
virus ou risque <strong>de</strong> sécurité. Quand le <strong>client</strong> supprime un<br />
risque, il le supprime <strong>de</strong> manière permanente. Le fichier<br />
infecté ne peut pas être récupéré <strong>de</strong>puis la Corbeille.<br />
Remarque : Utilisez c<strong>et</strong>te action avec précaution lorsque<br />
vous définissez <strong>de</strong>s actions pour les risques <strong>de</strong> sécurité. Dans<br />
certains cas, la suppression <strong>de</strong>s risques <strong>de</strong> sécurité peut<br />
entraîner la perte <strong>de</strong> la fonctionnalité <strong>de</strong>s applications.<br />
Conserver (consigner)<br />
Laisse le fichier comme est.<br />
Si vous utilisez c<strong>et</strong>te action pour <strong>de</strong>s virus, le virus reste dans<br />
les fichiers infectés. Le virus peut se propager à d'autres<br />
parties <strong>de</strong> votre ordinateur. Une entrée est insérée dans<br />
l'historique <strong>de</strong>s risques pour conserver une trace du fichier<br />
infecté.<br />
Vous pouvez utiliser Conserver (consignation uniquement)<br />
comme secon<strong>de</strong> action pour les virus <strong>de</strong> macro <strong>et</strong> n'affectant<br />
pas les macros.<br />
Ne sélectionnez pas c<strong>et</strong>te action lorsque vous exécutez <strong>de</strong>s<br />
analyses automatiques à gran<strong>de</strong> échelle, telles que <strong>de</strong>s<br />
analyses planifiées. Utilisez c<strong>et</strong>te action si vous voulez<br />
afficher les résultats d'analyse <strong>et</strong> exécuter une action<br />
supplémentaire plus tard. Une action supplémentaire<br />
pourrait être <strong>de</strong> déplacer le fichier vers la Quarantaine.<br />
Pour les risques <strong>de</strong> sécurité, c<strong>et</strong>te action conserve le fichier<br />
infecté tel quel <strong>et</strong> place une entrée dans l'historique <strong>de</strong>s<br />
risques pour conserver un enregistrement du risque. Utilisez<br />
c<strong>et</strong>te action pour contrôler manuellement la gestion d'un<br />
risque <strong>de</strong> sécurité par le <strong>client</strong>. Ce paramètre est la secon<strong>de</strong><br />
action par défaut <strong>de</strong>s risques <strong>de</strong> sécurité.<br />
L'administrateur peut envoyer un message personnalisé qui<br />
explique comment répondre.<br />
Se reporter à "Astuces d'affectation d'actions secondaires pour les virus"<br />
à la page 84.<br />
Se reporter à "Astuces d'affectation d'actions secondaires pour les risques <strong>de</strong><br />
sécurité" à la page 85.
84<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Configuration <strong>de</strong>s actions pour les virus <strong>et</strong> les risques <strong>de</strong> sécurité<br />
7 Répétez les étapes 1 <strong>et</strong> 6 pour chaque catégorie pour laquelle vous voulez<br />
définir <strong>de</strong>s actions spécifiques, puis cliquez sur OK.<br />
8 Si vous sélectionniez une catégorie <strong>de</strong> risque <strong>de</strong> sécurité, vous pouvez<br />
sélectionner <strong>de</strong>s actions personnalisées pour un ou plusieurs instances<br />
spécifiques <strong>de</strong> c<strong>et</strong>te catégorie <strong>de</strong> risque <strong>de</strong> sécurité. Vous pouvez exclure un<br />
risque <strong>de</strong> sécurité <strong>de</strong> l'analyse. Par exemple, vous pourriez vouloir exclure<br />
un logiciel publicitaire que vous <strong>de</strong>vez utiliser dans votre travail.<br />
9 Cliquez sur OK.<br />
Astuces d'affectation d'actions secondaires pour les virus<br />
Lorsque vous sélectionnez une action secondaire pour les virus, tenez compte <strong>de</strong>s<br />
éléments suivants :<br />
Comment vous gérez<br />
les fichiers sur votre<br />
ordinateur.<br />
Si vous stockez <strong>de</strong>s fichiers importants sur votre ordinateur sans<br />
les sauvegar<strong>de</strong>r, n'utilisez pas d'actions telles que la suppression<br />
<strong>de</strong> risque. Bien que vous puissiez supprimer un virus <strong>de</strong> c<strong>et</strong>te<br />
manière, vous pouvez perdre <strong>de</strong>s données importantes.<br />
Vous <strong>de</strong>vez également prendre en compte les fichiers système.<br />
Généralement les virus s'attaquent aux fichiers exécutables. Vous<br />
pouvez utiliser l'action Conserver (consigner uniquement) ou<br />
M<strong>et</strong>tre le risque en quarantaine pour i<strong>de</strong>ntifier les fichiers infectés.<br />
Par exemple, un virus peut attaquer le fichier Command.com. Si<br />
le <strong>client</strong> ne parvient pas à éliminer l'infection, vous ne pourrez<br />
pas restaurer le fichier. Ce fichier est essentiel au bon<br />
fonctionnement <strong>de</strong> votre système. Vous pouvez utiliser l'action<br />
Conserver pour vous assurer que le fichier reste accessible.<br />
Le type <strong>de</strong> virus<br />
détecté sur<br />
l'ordinateur.<br />
Les virus ciblent différentes zones <strong>de</strong> l'ordinateur selon leur type.<br />
Les virus <strong>de</strong> secteur <strong>de</strong> démarrage infectent les secteurs <strong>de</strong><br />
démarrage, les tables <strong>de</strong> partition, les enregistrements <strong>de</strong><br />
démarrage principaux <strong>et</strong> parfois la mémoire. Lorsque les virus <strong>de</strong><br />
secteur <strong>de</strong> démarrage sont à eff<strong>et</strong>s multiples, ils peuvent également<br />
affecter les fichiers exécutables <strong>et</strong> l'infection peut être traitée <strong>de</strong><br />
la même manière qu'un virus <strong>de</strong> fichier. Les virus <strong>de</strong> fichier<br />
infectent généralement les fichiers exécutables portant l'extension<br />
.exe, .com ou .dll. Les virus <strong>de</strong> macro infectent les fichiers <strong>de</strong><br />
document <strong>et</strong> les macros associées à ces documents. Sélectionnez<br />
les actions basées sur les types <strong>de</strong> fichiers à récupérer.
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Configuration <strong>de</strong>s actions pour les virus <strong>et</strong> les risques <strong>de</strong> sécurité<br />
85<br />
Le type d'analyse que<br />
vous exécutez sur<br />
votre ordinateur.<br />
Toutes les analyses effectuent automatiquement certaines actions<br />
sans vous consulter. Si vous ne modifiez pas ces actions avant<br />
l'analyse, le programme applique les actions par défaut. Par<br />
conséquent, les actions secondaires par défaut visent à vous<br />
perm<strong>et</strong>tre <strong>de</strong> contrôler une épidémie virale. Pour les analyses qui<br />
s'exécutent automatiquement, telles que les analyses planifiées<br />
<strong>et</strong> les analyses <strong>de</strong> protection automatique, n'affectez pas les actions<br />
secondaires qui ont <strong>de</strong>s eff<strong>et</strong>s permanents. Par exemple, vous<br />
pouvez exécuter une analyse à la <strong>de</strong>man<strong>de</strong> lorsque vous savez<br />
déjà qu'un fichier est infecté. Vous pouvez limiter les actions <strong>de</strong><br />
suppression <strong>de</strong> risque <strong>et</strong> <strong>de</strong> n<strong>et</strong>toyage <strong>de</strong> risque à l'analyse à la<br />
<strong>de</strong>man<strong>de</strong>.<br />
Astuces d'affectation d'actions secondaires pour les risques <strong>de</strong> sécurité<br />
Lorsque vous sélectionnez une action secondaire pour les risques <strong>de</strong> sécurité,<br />
considérez le <strong>de</strong>gré <strong>de</strong> contrôle nécessaire sur les fichiers. Si vous stockez <strong>de</strong>s<br />
fichiers importants sur votre ordinateur sans créer <strong>de</strong> copie <strong>de</strong> sauvegar<strong>de</strong>,<br />
n'utilisez pas l'action Supprimer la menace . Bien que vous puissiez supprimer<br />
un risque <strong>de</strong> sécurité <strong>de</strong> c<strong>et</strong>te manière, vous risquez <strong>de</strong> provoquer l'arrêt d'une<br />
autre application <strong>de</strong> votre ordinateur. Utilisez plutôt l'action M<strong>et</strong>tre en quarantaine<br />
le risque afin <strong>de</strong> pouvoir annuler les modifications effectuées par le <strong>client</strong>, le cas<br />
échéant.<br />
A propos <strong>de</strong> l'évaluation <strong>de</strong> l'impact <strong>de</strong>s risques<br />
<strong>Symantec</strong> évalue les risques <strong>de</strong> sécurité pour déterminer leur impact sur un<br />
ordinateur.<br />
Les facteurs suivants sont notés faible, moyen ou élevé :<br />
■<br />
■<br />
■<br />
■<br />
Impact sur la confi<strong>de</strong>ntialité<br />
Impact sur les performances<br />
Furtivité<br />
Difficulté <strong>de</strong> suppression<br />
Un facteur noté faible a un impact minimal. Un facteur noté moyen a un impact<br />
relatif. Un facteur noté élevé a un impact important. Si un risque <strong>de</strong> sécurité<br />
spécifique n'a pas encore été évalué, une évaluation par défaut est utilisée. Si un<br />
risque spécifique a été évalué mais que le facteur évalué ne concerne pas ce risque,<br />
l'évaluation Sans est utilisée pour ce facteur.<br />
Ces évaluations apparaissent dans la boîte <strong>de</strong> dialogue Exceptions <strong>de</strong> risque <strong>de</strong><br />
sécurité quand vous configurez une exception centralisée pour <strong>de</strong>s risques <strong>de</strong>
86<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Configuration <strong>de</strong>s notifications pour les virus <strong>et</strong> les risques <strong>de</strong> sécurité<br />
sécurité connus. Vous pouvez utiliser ces évaluations pour déterminer les risques<br />
<strong>de</strong> sécurité à exclure <strong>de</strong>s analyses <strong>et</strong> à autoriser sur l'ordinateur.<br />
Tableau 4-6 décrit les facteurs d'évaluation <strong>et</strong> la signification d'une évaluation<br />
élevée dans chaque cas.<br />
Tableau 4-6<br />
Facteurs d'impact du risque<br />
Facteur d'évaluation<br />
Impact sur la<br />
confi<strong>de</strong>ntialité<br />
Description<br />
Mesure le niveau <strong>de</strong> confi<strong>de</strong>ntialité perdu du fait <strong>de</strong> l'existence<br />
du risque <strong>de</strong> sécurité présence <strong>de</strong> risques <strong>de</strong> sécurité sur<br />
l'ordinateur.<br />
Un niveau élevé indique que <strong>de</strong>s informations personnelles ou<br />
importantes peuvent être volées.<br />
Impact sur les<br />
performances<br />
Mesure le niveau <strong>de</strong> dégradation <strong>de</strong>s performances résultant d'un<br />
risque <strong>de</strong> la performance d'un ordinateur.<br />
Un niveau élevé indique que les performances sont gravement<br />
affectées.<br />
Evaluation <strong>de</strong> la<br />
furtivité<br />
Indique s'il est aisé <strong>de</strong> déterminer l'existence du risque <strong>de</strong> sécurité<br />
sur un ordinateur.<br />
Un niveau élevé indique que le risque <strong>de</strong> sécurité tente <strong>de</strong> se<br />
dissimuler.<br />
Evaluation <strong>de</strong> la<br />
suppression<br />
Indique le niveau <strong>de</strong> difficulté pour supprimer un risque <strong>de</strong> sécurité<br />
sur un ordinateur.<br />
Un niveau élevé indique que le risque est difficile à supprimer.<br />
Evaluation globale<br />
Programme dépendant<br />
L'évaluation globale représente la moyenne <strong>de</strong>s autres facteurs.<br />
C<strong>et</strong>te valeur indique si une autre application dépend <strong>de</strong> la présence<br />
du risque <strong>de</strong> sécurité pour fonctionner correctement.<br />
Configuration <strong>de</strong>s notifications pour les virus <strong>et</strong> les<br />
risques <strong>de</strong> sécurité<br />
Par défaut, vous êtes averti lorsqu'une analyse détecte un virus ou un risque <strong>de</strong><br />
sécurité. Par défaut, vous êtes également averti quand le logiciel d'analyse doit<br />
terminer <strong>de</strong>s services ou <strong>de</strong>s processus. Le logiciel d'analyse peut également <strong>de</strong>voir<br />
supprimer ou réparer les eff<strong>et</strong>s du virus ou du risque <strong>de</strong> sécurité.<br />
Vous pouvez configurer les notifications suivantes pour les analyses :
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Configuration <strong>de</strong>s notifications pour les virus <strong>et</strong> les risques <strong>de</strong> sécurité<br />
87<br />
Options <strong>de</strong> détection<br />
Créez le message qui doit s'afficher lorsque le <strong>client</strong> détecte un<br />
virus ou un risque <strong>de</strong> sécurité sur l'ordinateur.<br />
Options <strong>de</strong> résolution<br />
Lorsque vous configurez Auto-Protect pour le système <strong>de</strong> fichiers,<br />
vous pouvez sélectionner une action supplémentaire pour afficher<br />
une boîte <strong>de</strong> dialogue. La boîte <strong>de</strong> dialogue contient les résultats<br />
quand Auto-Protect trouve <strong>de</strong>s risques sur votre ordinateur.<br />
Configurez si vous voulez être notifié quand le <strong>client</strong> trouve un<br />
virus ou un risque <strong>de</strong> sécurité. Vous pouvez également être informé<br />
lorsque le <strong>client</strong> doit terminer un processus ou un service pour<br />
supprimer ou réparer un risque.<br />
Vous pouvez construire le message <strong>de</strong> détection que vous voulez voir s'afficher<br />
sur votre ordinateur. Pour construire le message, vous tapez directement dans le<br />
champ <strong>de</strong> message. Vous pouvez cliquer avec le bouton droit <strong>de</strong> la souris dans le<br />
champ <strong>de</strong> message pour sélectionner <strong>de</strong>s variables à inclure dans le message.<br />
Tableau 4-7 décrit les champs <strong>de</strong> variables disponibles pour les messages <strong>de</strong><br />
notification.<br />
Tableau 4-7<br />
Champ<br />
Champs variables <strong>de</strong> message<br />
Description<br />
NomRisqueSécurité<br />
ActionEffectuée<br />
Etat<br />
Nom du virus ou du risque <strong>de</strong> sécurité détecté.<br />
Action que le <strong>client</strong> effectue quand il a détecté le virus ou le risque<br />
<strong>de</strong> sécurité. Il peut s'agir <strong>de</strong> l'action principale ou secondaire<br />
configurée.<br />
Etat du fichier : Infecté, Non infecté ou Supprimé.<br />
C<strong>et</strong>te variable <strong>de</strong> message n'est pas utilisée par défaut. Pour<br />
afficher ces informations, ajoutez manuellement c<strong>et</strong>te variable<br />
au message.<br />
Nomfichier<br />
CheminNomfichier<br />
Emplacement<br />
Ordinateur<br />
Utilisateur<br />
Nom du fichier infecté par le virus ou le risque <strong>de</strong> sécurité.<br />
Chemin d'accès compl<strong>et</strong> <strong>et</strong> nom du fichier infecté par le virus ou<br />
le risque <strong>de</strong> sécurité.<br />
Lecteur <strong>de</strong> l'ordinateur sur lequel le virus ou le risque <strong>de</strong> sécurité<br />
a été détecté.<br />
Nom <strong>de</strong> l'ordinateur sur lequel le virus ou le risque <strong>de</strong> sécurité a<br />
été détecté.<br />
Nom <strong>de</strong> l'utilisateur qui était connecté lorsque le virus ou le risque<br />
<strong>de</strong> sécurité a été détecté.
88<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Configuration <strong>de</strong>s notifications pour les virus <strong>et</strong> les risques <strong>de</strong> sécurité<br />
Champ<br />
Evénement<br />
ConsignéPar<br />
DateTrouvé<br />
NomStockage<br />
DescriptionAction<br />
Description<br />
Le type d'événement tel que "Risque détecté".<br />
Type d'analyse qui a détecté le virus ou le risque <strong>de</strong> sécurité.<br />
Date à laquelle le virus ou le risque <strong>de</strong> sécurité a été détecté.<br />
Zone affectée <strong>de</strong> l'application, par exemple Auto-Protect pour le<br />
système <strong>de</strong> fichiers ou Auto-Protect pour Lotus Notes.<br />
Description complète <strong>de</strong>s actions effectuées en réponse à la<br />
détection du virus ou <strong>de</strong> le risque <strong>de</strong> sécurité.<br />
Vous pouvez configurer <strong>de</strong>s notifications pour <strong>de</strong>s analyses définies par l'utilisateur<br />
<strong>et</strong> pour Auto-Protect. La configuration <strong>de</strong> notification inclut <strong>de</strong>s options <strong>de</strong><br />
résolution. Les options <strong>de</strong> résolution sont seulement disponibles pour les analyses<br />
<strong>et</strong> Auto-Protect pour le système <strong>de</strong> fichiers.<br />
Pour obtenir plus d'informations sur les options utilisées dans c<strong>et</strong>te procédure,<br />
cliquez sur Ai<strong>de</strong>.<br />
Pour configurer <strong>de</strong>s notifications pour les virus <strong>et</strong> les risques <strong>de</strong> sécurité<br />
1 Effectuez l'une <strong>de</strong>s opérations suivantes :<br />
■<br />
■<br />
■<br />
Pour une nouvelle analyse, dans la boîte <strong>de</strong> dialogue Créer une analyse<br />
(options d'analyse), cliquez sur Notifications.<br />
Pour une analyse existante, sur l'ongl<strong>et</strong> Options d'analyse, cliquez sur<br />
Notifications.<br />
Pour Auto-Protect, dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> la protection<br />
antivirus <strong>et</strong> antispyware, dans tout ongl<strong>et</strong> Auto-Protect, cliquez sur<br />
Notifications.<br />
2 Dans la boîte <strong>de</strong> dialogue <strong>de</strong> Options <strong>de</strong> notification d'analyse, sous Options<br />
<strong>de</strong> détection, vous pouvez choisir d'être informé quand une analyse détecte<br />
un virus ou un risque <strong>de</strong> sécurité. Cochez c<strong>et</strong>te option si vous voulez qu'un<br />
message apparaisse sur votre ordinateur quand l'analyse trouve un virus ou<br />
un risque <strong>de</strong> sécurité.<br />
3 Dans la zone <strong>de</strong> message, effectuez une ou plusieurs <strong>de</strong>s opérations suivantes<br />
pour créer le message <strong>de</strong> votre choix :<br />
■<br />
■<br />
Cliquez pour saisir ou modifier un texte.<br />
Cliquez avec le bouton droit <strong>de</strong> la souris, puis cliquez sur Insérerunchamp<br />
<strong>et</strong> sélectionnez le champ <strong>de</strong> variable à insérer.
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos <strong>de</strong> l'exclusion <strong>de</strong>s éléments <strong>de</strong> l'analyse<br />
89<br />
■<br />
Cliquez avec le bouton droit <strong>de</strong> la souris pour sélectionner Couper, Copier,<br />
Coller, N<strong>et</strong>toyer ou Annuler.<br />
4 Pour la configuration d'Auto-Protect, cochez ou supprimez la coche Afficher<br />
la boîte <strong>de</strong> dialogue <strong>de</strong>s résultats Auto-Protect.<br />
Ce paramètre active ou supprime la boîte <strong>de</strong> dialogue qui contient <strong>de</strong>s résultats<br />
quand Auto-Protect pour le système <strong>de</strong> fichiers trouve <strong>de</strong>s virus <strong>et</strong> <strong>de</strong>s risques<br />
<strong>de</strong> sécurité.<br />
5 Sous Options <strong>de</strong> résolution, cochez les options que vous voulez définir pour<br />
l'analyse ou pour Auto-Protect pour le système <strong>de</strong> fichiers. Les options<br />
suivantes sont disponibles :<br />
Arrêt automatique<br />
<strong>de</strong>s processus<br />
Interruption<br />
automatique <strong>de</strong>s<br />
services<br />
Configure l'analyse pour terminer les processus<br />
automatiquement lorsque cela est nécessaire pour supprimer<br />
ou réparer ou un virus ou un risque <strong>de</strong> sécurité. Vous n'êtes<br />
pas invité à enregistrer <strong>de</strong>s données avant que l'analyse ne<br />
termine les processus.<br />
Configure l'analyse pour arrêter automatiquement les<br />
services lorsque cela est nécessaire pour supprimer ou<br />
réparer un virus ou un risque <strong>de</strong> sécurité. Aucun message ne<br />
vous <strong>de</strong>man<strong>de</strong> d'enregistrer les données avant l'arrêt <strong>de</strong>s<br />
services par l'analyse.<br />
6 Cliquez sur OK.<br />
A propos <strong>de</strong> l'exclusion <strong>de</strong>s éléments <strong>de</strong> l'analyse<br />
Les exceptions sont <strong>de</strong>s risques <strong>de</strong> sécurité connus, <strong>de</strong>s fichiers, <strong>de</strong>s extensions<br />
<strong>de</strong> fichier <strong>et</strong> <strong>de</strong>s processus à exclure d'une analyse. Si après l'analyse <strong>de</strong><br />
l'ordinateur, vous découvrez que certains fichiers sont sécurisés, vous pouvez les<br />
exclure. Dans certains cas, les exceptions peuvent réduire le temps d'analyse <strong>et</strong><br />
augmenter la performance du système. En général, vous n'avez pas besoin <strong>de</strong><br />
créer <strong>de</strong>s exceptions.<br />
Pour les <strong>client</strong>s gérés centralement, l'administrateur doit avoir créé <strong>de</strong>s exceptions<br />
pour vos analyses. Si vous créez une exception qui entre en conflit avec une<br />
exception définie par l'administrateur, l'exception définie par l'administrateur a<br />
la priorité.
90<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Exclusion <strong>de</strong>s éléments <strong>de</strong> l'analyse<br />
Tableau 4-8<br />
Type<br />
Types d'exception<br />
Description<br />
Exceptions <strong>de</strong> risques<br />
<strong>de</strong> sécurité<br />
Vous pouvez exclure les risques <strong>de</strong> sécurité suivants :<br />
■ Risques <strong>de</strong> sécurité connus<br />
■ Fichier<br />
■ Dossiers<br />
■ Extensions<br />
Exceptions d'analyse<br />
proactive <strong>de</strong>s menaces<br />
TruScan<br />
L'administrateur a dû configuré le <strong>client</strong> pour vous empêcher<br />
d'exclure tout élément <strong>de</strong> l'analyse.<br />
Se reporter à "Exclusion <strong>de</strong>s éléments <strong>de</strong> l'analyse" à la page 90.<br />
Vous pouvez exclure <strong>de</strong>s processus <strong>de</strong>s Analyses proactives <strong>de</strong>s<br />
menaces TruScan. Vous pouvez spécifier une autre action à<br />
prendre pour un processus connu que les analysesproactives<strong>de</strong>s<br />
menacesTruScan détectent. Vous pouvez forcer la détection d'un<br />
processus.<br />
L'administrateur a pu configurer le <strong>client</strong> pour vous empêcher<br />
d'exclure un processus <strong>de</strong> l'analyse.<br />
Se reporter à "Exclusion d'un processus <strong>de</strong>s analyses proactives<br />
<strong>de</strong>s menaces TruScan" à la page 112.<br />
Exceptions <strong>de</strong><br />
protection contre les<br />
interventions<br />
Vous pouvez exclure <strong>de</strong>s fichiers <strong>de</strong> la protection contre les<br />
interventions.<br />
La <strong>Protection</strong> contre les interventions empêche les processus<br />
non-<strong>Symantec</strong> d'affecter <strong>de</strong>s processus <strong>Symantec</strong>.<br />
Se reporter à "A propos <strong>de</strong> la protection contre les interventions"<br />
à la page 43.<br />
Se reporter à "Exclusion <strong>de</strong>s éléments <strong>de</strong> l'analyse" à la page 90.<br />
Exclusion <strong>de</strong>s éléments <strong>de</strong> l'analyse<br />
Vous pouvez créer une exception dans la page Modifier les paramètres. Vous<br />
pouvez également configurer <strong>de</strong>s exceptions lorsque vous créez ou modifiez une<br />
analyse définie par l'utilisateur ou lorsque vous modifiez <strong>de</strong>s paramètres<br />
Auto-Protect.<br />
Se reporter à "A propos <strong>de</strong> l'exclusion <strong>de</strong>s éléments <strong>de</strong> l'analyse" à la page 89.<br />
Les exceptions s'appliquent sur toutes les analyses. Si vous configurez une<br />
exception lorsque vous créez ou modifiez une analyse particulière, l'exception<br />
s'applique à toutes les analyses.
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Exclusion <strong>de</strong>s éléments <strong>de</strong> l'analyse<br />
91<br />
Remarque : Sur l'installation Server Core <strong>de</strong> Windows Server 2008, les boîtes <strong>de</strong><br />
dialogue peuvent s'afficher différemment <strong>de</strong> celles décrites dans ces procédures.<br />
Pour plus d'informations sur les options <strong>de</strong> chaque boîte <strong>de</strong> dialogue, cliquez sur<br />
Ai<strong>de</strong>.<br />
Pour exclure un risque <strong>de</strong> sécurité <strong>de</strong> l'analyse<br />
1 Dans la barre latérale du <strong>client</strong>, cliquez sur Changer les paramètres.<br />
2 Près <strong>de</strong> Exceptions centralisées, cliquez sur Configurer les paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Exceptions centralisées, sur l'ongl<strong>et</strong> Exceptions<br />
définies par l'utilisateur, cliquez sur Ajouter > Exceptions <strong>de</strong> risques <strong>de</strong><br />
sécurité > Risques connus.<br />
4 Dans la boîte <strong>de</strong> dialogue Ajouter <strong>de</strong>s exceptions <strong>de</strong> risques <strong>de</strong> sécurité<br />
connus, vérifiez les risques <strong>de</strong> sécurité à exclure <strong>de</strong>s analyses.<br />
5 Pour consigner un événement lorsque le risque <strong>de</strong> sécurité est détecté <strong>et</strong><br />
ignoré, cochez Consigner lorsque le risque <strong>de</strong> sécurité est détecté.<br />
6 Cliquez sur OK.<br />
7 Dans la boîte <strong>de</strong> dialogue Exceptions centralisées, cliquez sur Fermer.<br />
Pour exclure un fichier ou un dossier <strong>de</strong> l'analyse<br />
1 Dans la barre latérale du <strong>client</strong>, cliquez sur Changer les paramètres.<br />
2 Près <strong>de</strong> l'option Exceptions centralisées, cliquez sur Configurer les<br />
paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Exceptions centralisées, sur l'ongl<strong>et</strong> Exceptions<br />
définies par l'utilisateur, cliquez sur Ajouter > Exceptions <strong>de</strong> risques <strong>de</strong><br />
sécurité<br />
4 Effectuez l'une <strong>de</strong>s tâches suivantes :<br />
■<br />
■<br />
Cliquez sur Fichier. Dans la boîte <strong>de</strong> dialogue Ajouter une exception <strong>de</strong><br />
fichiers <strong>de</strong> risques <strong>de</strong> sécurité, sélectionnez le fichier à exclure, puis<br />
cliquez sur Ajouter.<br />
Cliquez sur Dossier. Dans la boîte <strong>de</strong> dialogue Ajouter une exception <strong>de</strong><br />
dossiers <strong>de</strong> risques <strong>de</strong> sécurité, sélectionnez le dossier, cochez ou<br />
désélectionnez l'option Inclure<strong>de</strong>ssous-dossiers, puis cliquez sur Ajouter.<br />
5 Dans la boîte <strong>de</strong> dialogue Exceptions centralisées, cliquez sur Fermer.
92<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos <strong>de</strong> la prise en charge <strong>de</strong>s fichiers en quarantaine<br />
A propos <strong>de</strong> la prise en charge <strong>de</strong>s fichiers en<br />
quarantaine<br />
Parfois le <strong>client</strong> détecte un virus inconnu qui ne peut pas être éliminé avec les<br />
définitions <strong>de</strong> virus actuelles. Vous pouvez avoir un fichier que vous croyez infecté<br />
sans que les analyses ne détectent d'infection. La quarantaine isole les fichiers<br />
potentiellement infectés sur l'ordinateur. Quand vous m<strong>et</strong>tez un virus en<br />
quarantaine, le virus ne peut pas se propager sur votre ordinateur ou à d'autres<br />
ordinateurs du réseau.<br />
A propos <strong>de</strong>s fichiers infectés dans la quarantaine<br />
Vous pouvez afficher les fichiers infectés dans la quarantaine.<br />
Vous pouvez afficher les informations suivantes sur les fichiers :<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
Risque<br />
Nom <strong>de</strong> fichier<br />
Type<br />
Emplacement d'origine<br />
Etat<br />
Date<br />
Remarque : La langue du système d'exploitation sur lequel vous exécutez le <strong>client</strong><br />
peut ne pas savoir interpréter certains caractères <strong>de</strong>s noms <strong>de</strong> virus. Si le système<br />
d'exploitation ne peut pas interpréter les caractères, les caractères apparaissent<br />
comme <strong>de</strong>s points d'interrogation dans les notifications. Par exemple, certains<br />
noms <strong>de</strong> virus Unico<strong>de</strong> peuvent contenir <strong>de</strong>s caractères à <strong>de</strong>ux oct<strong>et</strong>s. Sur les<br />
ordinateurs qui exécutent le <strong>client</strong> sur un système d'exploitation anglais, ces<br />
caractères apparaissent comme <strong>de</strong>s points d'interrogation.<br />
Quand le <strong>client</strong> déplace un fichier infecté ves la quarantaine, le risque ne peut pas<br />
se copier <strong>et</strong> infecter d'autres fichiers. Il s'agit <strong>de</strong> l'action secondaire recommandée<br />
à la fois pour les virus <strong>de</strong> macro <strong>et</strong> les virus non-macro.<br />
Cependant, l'action <strong>de</strong> Quarantaine ne n<strong>et</strong>toie pas le risque. Le risque reste sur<br />
votre ordinateur jusqu'à ce que le <strong>client</strong> n<strong>et</strong>toie le risque ou supprime le fichier.<br />
Les virus <strong>et</strong> les virus <strong>de</strong> macro peuvent être mis en quarantaine. Les virus <strong>de</strong><br />
secteur <strong>de</strong> démarrage ne peuvent pas être mis en quarantaine. En eff<strong>et</strong>, ces <strong>de</strong>rniers<br />
rési<strong>de</strong>nt en général dans le secteur <strong>de</strong> démarrage ou dans les tables <strong>de</strong> partitions<br />
<strong>de</strong> l'ordinateur, qu'il est impossible <strong>de</strong> déplacer vers la quarantaine.
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Gestion <strong>de</strong> la quarantaine<br />
93<br />
Vous pouvez également afficher les propriétés du fichier infecté.<br />
Se reporter à "Affichage <strong>de</strong>s fichiers <strong>et</strong> <strong>de</strong> leurs détails dans la quarantaine"<br />
à la page 94.<br />
A propos du traitement <strong>de</strong>s fichiers infectés dans la quarantaine<br />
Quand un fichier a été déplacé dans la quarantaine, vous pouvez faire l'un <strong>de</strong>s<br />
actions suivantes :<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
Restaurer le fichier choisi à son emplacement initial.<br />
Supprimer <strong>de</strong> manière permanente le fichier sélectionné.<br />
Rebalayer les fichiers après avoir reçu <strong>de</strong>s définitions <strong>de</strong> virus mises à jour.<br />
Exporter le contenu <strong>de</strong> la quarantaine vers un fichier (*.csv) délimité par <strong>de</strong>s<br />
virgules ou un fichier <strong>de</strong> base <strong>de</strong> données Access (*.mdb).<br />
Ajouter manuellement un fichier à la quarantaine. Vous pouvez localiser<br />
l'emplacement <strong>et</strong> sélectionner le fichier à déplacer vers la quarantaine.<br />
Envoyer un fichier à <strong>Symantec</strong> Security Response. Suivez les instructions <strong>de</strong><br />
l'assistant pour soum<strong>et</strong>tre le fichier sélectionné pour analyse.<br />
Se reporter à "Gestion <strong>de</strong> la quarantaine" à la page 93.<br />
A propos du traitement <strong>de</strong>s fichiers infectés par <strong>de</strong>s risques <strong>de</strong> sécurité<br />
Vous pouvez laisser en quarantaine les fichiers qui y sont placés du fait <strong>de</strong>s risques<br />
<strong>de</strong> sécurité, ou vous pouvez les supprimer. Laissez-les en quarantaine jusqu'à ce<br />
que vous soyez sûr que les applications <strong>de</strong> votre ordinateur n'ont perdu aucune<br />
fonctionnalité.<br />
Si vous supprimez les fichiers associés à un risque <strong>de</strong> sécurité, une application<br />
sur votre ordinateur peut ne plus fonctionner correctement. L'application peut<br />
dépendre <strong>de</strong>s fichiers associés que vous avez supprimés. La mise en quarantaine<br />
est une option plus sûre du fait qu'elle est réversible. Vous pouvez restaurer les<br />
fichiers si l'une <strong>de</strong>s applications <strong>de</strong> votre ordinateur perd une fonctionnalité après<br />
avoir placé en quarantaine les fichiers <strong>de</strong> programme dépendants.<br />
Remarque : Après avoir exécuté l'application avec succès, vous pouvez supprimer<br />
les fichiers pour gagner <strong>de</strong> l'espace disque.<br />
Gestion <strong>de</strong> la quarantaine<br />
Les fichiers sont placés en quarantaine <strong>de</strong> <strong>de</strong>ux manières :
94<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Gestion <strong>de</strong> la quarantaine<br />
■<br />
■<br />
Le <strong>client</strong> est configuré pour déplacer vers la quarantaine les éléments infectés<br />
détectés pendant une analyse Auto-Protect ou autre.<br />
Vous sélectionnez manuellement un fichier pour l'ajouter à la quarantaine.<br />
Les options par défaut pour Auto-Protect <strong>et</strong> tous les types d'analyse sont <strong>de</strong><br />
n<strong>et</strong>toyer un virus d'un fichier infecté dès sa détection. Le logiciel d'analyse place<br />
le fichier en quarantaine si le fichier ne peut pas être n<strong>et</strong>toyé. Pour les risques <strong>de</strong><br />
sécurité, l'option par défaut consiste à placer en quarantaine les fichiers infectés<br />
<strong>et</strong> à réparer les eff<strong>et</strong>s secondaires du risque <strong>de</strong> sécurité.<br />
Se reporter à "Réanalyse <strong>de</strong>s fichiers en quarantaine à la recherche <strong>de</strong> virus"<br />
à la page 94.<br />
Se reporter à "Effacement <strong>de</strong>s éléments <strong>de</strong> sauvegar<strong>de</strong>" à la page 95.<br />
Se reporter à "Suppression <strong>de</strong> fichiers <strong>de</strong> la quarantaine" à la page 96.<br />
Se reporter à "Soumission à <strong>Symantec</strong> Security Response d'un fichier suspect<br />
pour analyse" à la page 97.<br />
Pour ajouter manuellement un fichier à la quarantaine<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Afficher la quarantaine.<br />
2 Cliquez sur Ajouter.<br />
3 Sélectionnez le fichier que vous voulez ajouter à la quarantaine <strong>et</strong> puis cliquez<br />
sur Ajouter.<br />
Affichage <strong>de</strong>s fichiers <strong>et</strong> <strong>de</strong> leurs détails dans la quarantaine<br />
Vous pouvez afficher les fichiers qui ont été placés dans la quarantaine. Vous<br />
pouvez afficher <strong>de</strong>s détails au suj<strong>et</strong> <strong>de</strong>s fichiers. Les détails incluent le nom du<br />
virus <strong>et</strong> le nom <strong>de</strong> l'ordinateur sur lequel le fichier a été trouvé.<br />
Pour afficher <strong>de</strong>s fichiers <strong>et</strong> leurs détails dans la quarantaine<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Afficher la quarantaine.<br />
2 Cliquez avec le bouton droit <strong>de</strong> la souris sur le fichier à afficher, puis cliquez<br />
sur Propriétés.<br />
Réanalyse <strong>de</strong>s fichiers en quarantaine à la recherche <strong>de</strong> virus<br />
Si un fichier est placé en quarantaine, actualisez vos définitions. Quand vous<br />
m<strong>et</strong>tez à jour <strong>de</strong>s définitions, les fichiers en quarantaine peuvent être analysés,<br />
n<strong>et</strong>toyés <strong>et</strong> restaurés automatiquement. Vous pouvez réanalyser les fichiers en<br />
quarantaine si l'Assistant réparation apparaît.<br />
Se reporter à "Réanalyse manuelle <strong>de</strong>s fichiers" à la page 95.
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Gestion <strong>de</strong> la quarantaine<br />
95<br />
Si le <strong>client</strong> ne peut pas supprimer le virus après réanalyse dans la quarantaine,<br />
vous pouvez soum<strong>et</strong>tre le fichier infecté à <strong>Symantec</strong> Security Response pour<br />
analyse.<br />
Se reporter à "Soumission à <strong>Symantec</strong> Security Response d'un fichier suspect<br />
pour analyse" à la page 97.<br />
Pour réanalyser <strong>de</strong>s fichiers en quarantaine avec l'Assistant réparation<br />
1 Si l'Assistant réparation s'affiche, cliquez sur Oui.<br />
2 Cliquez sur Suivant.<br />
3 Suivez les instructions à l'écran pour réanalyser les fichiers en quarantaine.<br />
Réanalyse manuelle <strong>de</strong>s fichiers<br />
Vous pouvez réanalyser manuellement un fichier mis en quarantaine à la recherche<br />
<strong>de</strong>s virus, mais non <strong>de</strong>s risques <strong>de</strong> sécurité.<br />
Se reporter à "Réanalyse <strong>de</strong>s fichiers en quarantaine à la recherche <strong>de</strong> virus"<br />
à la page 94.<br />
Pour réanalyser manuellement un fichier en quarantaine à la recherche <strong>de</strong> virus<br />
1 M<strong>et</strong>tez à jour vos définitions.<br />
2 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Afficher la quarantaine.<br />
3 Sélectionnez le fichier, puis cliquez sur Réanalyser tout.<br />
Lorsqu'un fichier réparé ne peut être replacé à son emplacement<br />
d'origine<br />
Un fichier n<strong>et</strong>toyé ne possè<strong>de</strong> parfois pas d'emplacement auquel le ramener. Par<br />
exemple, une pièce jointe infectée peut être détachée d'un message électronique<br />
<strong>et</strong> mise en quarantaine. Vous <strong>de</strong>vez libérer le fichier <strong>et</strong> indiquer un emplacement.<br />
Pour libérer un fichier n<strong>et</strong>toyé <strong>de</strong> la quarantaine<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Afficher la quarantaine.<br />
2 Cliquez sur le fichier avec le bouton droit <strong>de</strong> la souris, puis cliquez sur<br />
Restaurer.<br />
3 Indiquez l'emplacement du fichier n<strong>et</strong>toyé.<br />
Effacement <strong>de</strong>s éléments <strong>de</strong> sauvegar<strong>de</strong><br />
Avant d'essayer <strong>de</strong> n<strong>et</strong>toyer ou <strong>de</strong> réparer <strong>de</strong>s éléments, le <strong>client</strong> réalise par défaut<br />
<strong>de</strong>s copies <strong>de</strong> sauvegar<strong>de</strong> <strong>de</strong>s éléments infectés. Après que le <strong>client</strong> ait n<strong>et</strong>toyé
96<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Gestion <strong>de</strong> la quarantaine<br />
avec succès un virus, vous <strong>de</strong>vriez manuellement supprimer l'élément <strong>de</strong> la<br />
quarantaine parce que la sauvegar<strong>de</strong> est encore infectée. Vous pouvez également<br />
définir un délai après lequel les fichiers seront supprimés automatiquement.<br />
Se reporter à "Suppression automatique <strong>de</strong>s fichiers en quarantaine" à la page 96.<br />
Pour effacer manuellement les éléments sauvegardés<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Afficher la quarantaine.<br />
2 Sélectionnez un ou plusieurs fichiers <strong>de</strong> sauvegar<strong>de</strong>.<br />
3 Cliquez sur Supprimer.<br />
Suppression <strong>de</strong> fichiers <strong>de</strong> la quarantaine<br />
Vous pouvez supprimer manuellement <strong>de</strong> la quarantaine les fichiers dont vous<br />
n'avez plus besoin. Vous pouvez également définir un délai après lequel les fichiers<br />
seront supprimés automatiquement.<br />
Remarque : Votre administrateur peut spécifier un nombre <strong>de</strong> jours maximal<br />
pendant lequel <strong>de</strong>s éléments peuvent rester en quarantaine. Après ce délai, les<br />
éléments sont supprimés automatiquement.<br />
Se reporter à "Suppression automatique <strong>de</strong>s fichiers en quarantaine" à la page 96.<br />
Pour supprimer manuellement <strong>de</strong>s fichiers en quarantaine<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Afficher la quarantaine.<br />
2 Sélectionnez un ou plusieurs fichiers.<br />
3 Cliquez sur Supprimer.<br />
Suppression automatique <strong>de</strong>s fichiers en quarantaine<br />
Vous pouvez configurer votre logiciel pour supprimer automatiquement <strong>de</strong>s<br />
éléments <strong>de</strong> la liste Quarantaine après un délai spécifié. Vous pouvez également<br />
spécifier que le <strong>client</strong> supprime <strong>de</strong>s éléments quand le dossier où les éléments<br />
sont enregistrées atteint une certaine taille. Vous évitez ainsi l'accumulation <strong>de</strong><br />
fichiers que vous pouvez oublier <strong>de</strong> supprimer manuellement.<br />
Se reporter à "Suppression <strong>de</strong> fichiers <strong>de</strong> la quarantaine" à la page 96.<br />
Pour supprimer automatiquement <strong>de</strong>s fichiers<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Afficher la quarantaine.<br />
2 Cliquez sur Options <strong>de</strong> purge.
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Gestion <strong>de</strong> la quarantaine<br />
97<br />
3 Dans la boîte <strong>de</strong> dialogue Options <strong>de</strong> purge, sélectionnez un <strong>de</strong>s ongl<strong>et</strong>s<br />
suivants :<br />
■<br />
■<br />
■<br />
Eléments en quarantaine<br />
Eléments sauvegardés<br />
Eléments réparés<br />
4 Activez ou désactivez l'option La durée <strong>de</strong> stockage est supérieure à pour<br />
activer ou désactiver la capacité du <strong>client</strong> à supprimer les fichiers une fois<br />
que le temps configuré a expiré.<br />
5 Si vous cochez la case Ladurée<strong>de</strong>stockageestsupérieureà, tapez ou cliquez<br />
sur une flèche pour écrire la durée.<br />
6 Sélectionnez l'unité du temps dans la liste déroulante. Le paramètre par défaut<br />
est 30 jours.<br />
7 Si vous cochez la case La taille totale du dossier est supérieure à, tapez la<br />
taille maximale <strong>de</strong> dossier à perm<strong>et</strong>tre, en mégaoct<strong>et</strong>s. La valeur par défaut<br />
est <strong>de</strong> 50 mégaoct<strong>et</strong>s.<br />
Si vous sélectionnez les <strong>de</strong>ux options, les fichiers plus anciens que l'âge<br />
spécifié sont purgés en premier. Si la taille du dossier dépasse toujours la<br />
limite que vous avez définie, le <strong>client</strong> supprime les fichiers les plus anciens<br />
individuellement. Le <strong>client</strong> supprime les fichiers les plus anciens jusqu'à ce<br />
que la taille <strong>de</strong> dossier ne dépasse plus la limite.<br />
8 Répétez les étapes 4 à 7 pour les autres ongl<strong>et</strong>s.<br />
9 Cliquez sur OK.<br />
Soumission à <strong>Symantec</strong> Security Response d'un fichier suspect pour<br />
analyse<br />
Parfois, le <strong>client</strong> ne peut pas n<strong>et</strong>toyer un virus à partir d'un fichier. Ou bien vous<br />
suspectez qu'un fichier est infecté <strong>et</strong> le <strong>client</strong> ne détecte pas l'infection. Si vous<br />
soum<strong>et</strong>tez le fichier à <strong>Symantec</strong> Security Response, ils peuvent l'analyser pour<br />
vérifier qu'il n'est pas infecté. Vous <strong>de</strong>vez disposer d'une connexion Intern<strong>et</strong> pour<br />
soum<strong>et</strong>tre un échantillon.<br />
Remarque : L'option Envoyer à <strong>Symantec</strong> Security Response n'est pas disponible<br />
si votre administrateur désactive ces types <strong>de</strong> soumissions.<br />
Se reporter à "Suppression automatique <strong>de</strong>s fichiers en quarantaine" à la page 96.
98<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Transmission d'informations sur les détections d'analyse à <strong>Symantec</strong> Security Response<br />
Se reporter à "Transmission d'informations sur les détections d'analyse à <strong>Symantec</strong><br />
Security Response" à la page 98.<br />
Pour envoyer un fichier à <strong>Symantec</strong> Security Response <strong>de</strong>puis la quarantaine<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Afficher la quarantaine.<br />
2 Sélectionnez le fichier dans la liste <strong>de</strong>s éléments en quarantaine.<br />
3 Cliquez sur Soum<strong>et</strong>tre.<br />
4 Suivez les instructions <strong>de</strong> l'assistant pour réunir les informations nécessaires<br />
<strong>et</strong> envoyer le fichier pour analyse.<br />
Transmission d'informations sur les détections<br />
d'analyse à <strong>Symantec</strong> Security Response<br />
Vous pouvez spécifier que <strong>de</strong>s informations sur Auto-Protect ou <strong>de</strong>s ca<strong>de</strong>nces <strong>de</strong><br />
détection d'analyse sont automatiquement envoyées à <strong>Symantec</strong> Security<br />
Response. Les informations sur les taux <strong>de</strong> détection ai<strong>de</strong>nt potentiellement<br />
<strong>Symantec</strong> à affiner les mises à jour <strong>de</strong> définitions <strong>de</strong> virus. Les taux <strong>de</strong> détection<br />
indiquent les virus <strong>et</strong> les risques <strong>de</strong> sécurité les plus détectés par <strong>de</strong>s <strong>client</strong>s.<br />
<strong>Symantec</strong> Security Response peut supprimer les signatures qui ne sont pas<br />
détectées <strong>et</strong> fournir une liste <strong>de</strong> signatures segmentée aux <strong>client</strong>s qui la <strong>de</strong>man<strong>de</strong>nt.<br />
Les listes segmentées améliorent les performances d'analyse.<br />
La soumission <strong>de</strong>s ca<strong>de</strong>nces <strong>de</strong> détection est activée par défaut.<br />
Remarque : Votre administrateur peut verrouiller les paramètres <strong>de</strong> soumission.<br />
Vous pouvez également soum<strong>et</strong>tre à <strong>Symantec</strong> <strong>de</strong>s éléments en quarantaine.<br />
Se reporter à "Soumission à <strong>Symantec</strong> Security Response d'un fichier suspect<br />
pour analyse" à la page 97.<br />
Pour transm<strong>et</strong>tre <strong>de</strong>s informations sur les détections d'analyse à <strong>Symantec</strong> Security<br />
Response<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 Près <strong>de</strong> <strong>Protection</strong> antivirus <strong>et</strong> antispyware, cliquez sur Configurer les<br />
paramètres.<br />
3 Sur l'ongl<strong>et</strong> Soumissions, cochez Soum<strong>et</strong>treautomatiquementlesdétections<br />
<strong>de</strong> virus <strong>et</strong> <strong>de</strong> risques <strong>de</strong> sécurité.<br />
4 Cliquez sur OK.
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos du <strong>client</strong> <strong>et</strong> du Centre <strong>de</strong> sécurité Windows<br />
99<br />
A propos du <strong>client</strong> <strong>et</strong> du Centre <strong>de</strong> sécurité Windows<br />
Si vous utilisez le Centre <strong>de</strong> sécurité Windows (WSC) sous Windows XP avec Service<br />
pack 2 pour superviser la sécurité <strong>de</strong> l'ordinateur, l'état <strong>de</strong> <strong>Symantec</strong> <strong>Endpoint</strong><br />
<strong>Protection</strong> s'affiche dans WSC.<br />
Tableau 4-9 indique comment l'état <strong>de</strong> la protection s'affiche dans WSC.<br />
Tableau 4-9<br />
Comment l'état <strong>de</strong> la protection s'affiche dans WSC<br />
Etat du produit <strong>Symantec</strong><br />
<strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> n'est pas installé<br />
<strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> est installé avec protection<br />
complète<br />
<strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> est installé <strong>et</strong> les définitions <strong>de</strong><br />
virus <strong>et</strong> <strong>de</strong> risque <strong>de</strong> sécurité sont périmées<br />
<strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> est installé <strong>et</strong> Auto-Protect pour<br />
le système <strong>de</strong> fichiers n'est pas activé<br />
<strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> est installé, Auto-Protect pour le<br />
système <strong>de</strong> fichiers n'est pas activé <strong>et</strong> les définitions <strong>de</strong> virus <strong>et</strong><br />
<strong>de</strong> risque <strong>de</strong> sécurité sont périmées<br />
<strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> est installé <strong>et</strong> Rtvscan est<br />
désactivé manuellement<br />
Etat <strong>de</strong> la protection<br />
Introuvable (rouge)<br />
Activé (vert)<br />
Périmé (rouge)<br />
Désactivé (rouge)<br />
Désactivé (rouge)<br />
Désactivé (rouge)<br />
Tableau 4-10 décrit comment l'état du pare-feu <strong>de</strong> <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong><br />
est signalé dans WSC.<br />
Tableau 4-10<br />
Comment l'état du pare-feu s'affiche WSC<br />
Etat du produit <strong>Symantec</strong><br />
Le pare-feu <strong>Symantec</strong> n'est pas installé<br />
Le pare-feu <strong>Symantec</strong> est installé <strong>et</strong> activé<br />
Le pare-feu <strong>Symantec</strong> est installé mais n'est pas activé<br />
Le pare-feu <strong>Symantec</strong> n'est pas installé ou n'est pas activé, mais<br />
un pare-feu tiers est installé <strong>et</strong> activé<br />
Etat du pare-feu<br />
Introuvable (rouge)<br />
Activé (vert)<br />
Désactivé (rouge)<br />
Activé (vert)<br />
Remarque : Dans <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong>, le Pare-feu Windows est désactivé<br />
par défaut.
100<br />
Gestion <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
A propos du <strong>client</strong> <strong>et</strong> du Centre <strong>de</strong> sécurité Windows<br />
Si plusieurs pare-feu sont activés, WSC signale que plusieurs pare-feu sont installés<br />
<strong>et</strong> activés.
Chapitre<br />
5<br />
Gestion <strong>de</strong> la protection<br />
proactive contre les<br />
menaces<br />
Ce chapitre traite <strong>de</strong>s suj<strong>et</strong>s suivants :<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
A propos <strong>de</strong>s analyses proactives <strong>de</strong>s menaces TruScan<br />
Configuration <strong>de</strong> la fréquence d'exécution <strong>de</strong>s analyses proactives <strong>de</strong>s menaces<br />
TruScan<br />
Gestion <strong>de</strong>s détections proactives <strong>de</strong> menaces TruScan<br />
Configuration <strong>de</strong>s notifications <strong>de</strong>s détections <strong>de</strong> l'analyse proactive <strong>de</strong>s<br />
menaces TruScan<br />
Soumission à <strong>Symantec</strong> Security Response <strong>de</strong>s informations sur les analyses<br />
proactives <strong>de</strong>s menaces TruScan<br />
Exclusion d'un processus <strong>de</strong>s analyses proactives <strong>de</strong>s menaces TruScan<br />
A propos <strong>de</strong>s analyses proactives <strong>de</strong>s menaces<br />
TruScan<br />
La protection proactive contre les menaces vous assure une protection contre les<br />
attaques <strong>de</strong> type "zero day". La protection "Zero Day" signifie une protection<br />
contre <strong>de</strong>s menaces ou vulnérabilités inconnues. Les analyses proactives <strong>de</strong>s<br />
menaces TruScan recherchent les processus actifs qui ont un comportement<br />
pouvant être malveillant. Puisque les menaces inconnues n'ont pas <strong>de</strong> signatures
102<br />
Gestion <strong>de</strong> la protection proactive contre les menaces<br />
A propos <strong>de</strong>s analyses proactives <strong>de</strong>s menaces TruScan<br />
pour les i<strong>de</strong>ntifier, les analyses proactives <strong>de</strong>s menaces i<strong>de</strong>ntifient <strong>de</strong>s risques<br />
potentiels en signalant un comportement suspect.<br />
Les paramètres par défaut d'analyse proactive <strong>de</strong>s menaces sont appropriés pour<br />
beaucoup d'utilisateurs. Vous pouvez modifier les paramètres en fonction du<br />
niveau <strong>de</strong> protection heuristique que votre ordinateur exige.<br />
Vous <strong>de</strong>vriez vous poser les questions suivantes avant d'apporter <strong>de</strong>s modifications<br />
aux paramètres d'analyse proactive contre les menaces :<br />
■ Voulez-vous être informé quand une menace se produit sur votre ordinateur ?<br />
■ Avec quelle fréquence <strong>et</strong> quand voulez-vous analyser <strong>de</strong>s processus ?<br />
■<br />
Quelle proportion <strong>de</strong>s ressources <strong>de</strong> l'ordinateur voulez-vous consacrer à<br />
l'analyse proactive <strong>de</strong>s menaces ?<br />
Remarque : Si votre administrateur ne verrouille pas les paramètres d'analyse<br />
proactive <strong>de</strong>s menaces, vous pouvez configurer les paramètres. Les paramètres<br />
verrouillés incluent une icône <strong>de</strong> ca<strong>de</strong>nas fermé. Les étiqu<strong>et</strong>tes <strong>de</strong>s paramètres<br />
verrouillés apparaissent grisées.<br />
Se reporter à "Gestion <strong>de</strong>s détections proactives <strong>de</strong> menaces TruScan" à la page 106.<br />
Processus <strong>et</strong> applications que les analyses proactives <strong>de</strong>s menaces<br />
TruScan examinent<br />
Les analyses proactives <strong>de</strong>s menaces examinent certains types <strong>de</strong> processus ou<br />
d'applications qui montrent un comportement suspect. Les analyses détectent les<br />
processus qui semblent agir comme <strong>de</strong>s chevaux <strong>de</strong> Troie, <strong>de</strong>s vers ou <strong>de</strong>s<br />
enregistreurs <strong>de</strong> frappe. Vous pouvez activer ou désactiver la détection.<br />
En plus <strong>de</strong>s chevaux <strong>de</strong> Troie, <strong>de</strong>s vers <strong>et</strong> <strong>de</strong>s enregistreurs <strong>de</strong> frappe, les analyses<br />
proactives <strong>de</strong>s menaces détectent les processus qui se comportent comme <strong>de</strong>s<br />
logiciels publicitaires <strong>et</strong> <strong>de</strong>s spywares. Vous ne pouvez pas configurer la manière<br />
dont les analyses proactives <strong>de</strong>s menaces traitent ces types <strong>de</strong> détections. Si les<br />
analyses proactives <strong>de</strong>s menaces détectent <strong>de</strong>s logiciels publicitaires ou <strong>de</strong>s<br />
spywares que vous voulez autoriser sur vos ordinateurs <strong>client</strong>, vous ou votre<br />
administrateur <strong>de</strong>vez créer une exception centralisée.<br />
Se reporter à "Exclusion d'un processus <strong>de</strong>s analyses proactives <strong>de</strong>s menaces<br />
TruScan" à la page 112.<br />
Les analyses proactives <strong>de</strong>s menaces détectent également les applications<br />
commerciales bien connues qui peuvent être utilisées à <strong>de</strong>s fins malveillantes.<br />
<strong>Symantec</strong> tient à jour une liste <strong>de</strong> ces applications commerciales <strong>et</strong> la m<strong>et</strong> à jour<br />
périodiquement. Ces applications incluent les applications commerciales qui
Gestion <strong>de</strong> la protection proactive contre les menaces<br />
A propos <strong>de</strong>s analyses proactives <strong>de</strong>s menaces TruScan<br />
103<br />
contrôlent ou enregistrent les frappes <strong>de</strong> clavier d'un utilisateur ou qui contrôlent<br />
l'ordinateur d'un utilisateur à distance. Vous pouvez définir <strong>de</strong>s actions pour la<br />
façon dont <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> traite ces détections.<br />
Tableau 5-1 décrit les processus que les analyses proactives contre les menaces<br />
détectent.<br />
Tableau 5-1<br />
Processus détectés par les analyses proactives <strong>de</strong>s menaces TruScan<br />
Type <strong>de</strong> processus<br />
Chevaux <strong>de</strong> Troie <strong>et</strong> vers<br />
Description<br />
Processus qui montrent <strong>de</strong>s caractéristiques <strong>de</strong>s chevaux <strong>de</strong><br />
Troie ou <strong>de</strong>s vers.<br />
Les analyses proactives <strong>de</strong>s menaces utilisent <strong>de</strong>s technologies<br />
heuristiques pour rechercher les processus qui se comportent<br />
comme <strong>de</strong>s chevaux <strong>de</strong> Troie ou <strong>de</strong>s vers. Ces processus peuvent<br />
être ou ne pas être <strong>de</strong>s menaces.<br />
Enregistreurs <strong>de</strong> frappe<br />
Processus qui montrent <strong>de</strong>s caractéristiques <strong>de</strong>s enregistreurs<br />
<strong>de</strong> frappe.<br />
Les analyses proactives <strong>de</strong>s menaces détectent les enregistreurs<br />
<strong>de</strong> frappe commerciaux, mais elles détectent également les<br />
processus inconnus qui montrent un comportement<br />
d'enregistreur <strong>de</strong> frappe.<br />
Applications<br />
commerciales<br />
Applications commerciales connues qui pourraient être utilisées<br />
à <strong>de</strong>s fins malveillantes.<br />
Les analyses proactives <strong>de</strong>s menaces détectent plusieurs types<br />
différents d'applications commerciales. Vous pouvez configurer<br />
<strong>de</strong>s actions pour <strong>de</strong>ux types : enregistreurs <strong>de</strong> frappe <strong>et</strong><br />
programmes <strong>de</strong> contrôle à distance.<br />
Logiciels publicitaires <strong>et</strong><br />
spywares<br />
Processus qui montrent les caractéristiques <strong>de</strong>s logiciels<br />
publicitaires <strong>et</strong> <strong>de</strong>s spywares<br />
Les analyses proactives <strong>de</strong>s menaces utilisent <strong>de</strong>s technologies<br />
heuristiques pour détecter les processus inconnus qui se<br />
comportent comme <strong>de</strong>s logiciels publicitaires <strong>et</strong> <strong>de</strong>s spywares.<br />
Ces processus peuvent être ou ne pas être <strong>de</strong>s risques.<br />
A propos <strong>de</strong>s exceptions <strong>de</strong>s analyses proactives <strong>de</strong>s menaces TruScan<br />
Vous pouvez créer <strong>de</strong>s exceptions pour les analyses proactives <strong>de</strong>s menaces, à<br />
moins que votre administrateur n'ait verrouillé les paramètres d'exceptions<br />
centralisées.
104<br />
Gestion <strong>de</strong> la protection proactive contre les menaces<br />
A propos <strong>de</strong>s analyses proactives <strong>de</strong>s menaces TruScan<br />
Votre administrateur pourrait également créer <strong>de</strong>s exceptions centralisées pour<br />
les analyses proactives <strong>de</strong>s menaces. Vous ne pouvez pas modifier les exceptions<br />
créées par votre administrateur.<br />
Se reporter à "Exclusion d'un processus <strong>de</strong>s analyses proactives <strong>de</strong>s menaces<br />
TruScan" à la page 112.<br />
A propos <strong>de</strong>s détections <strong>de</strong> l'analyse proactive <strong>de</strong>s menaces TruScan<br />
Les analyses proactives <strong>de</strong>s menaces consignent, m<strong>et</strong>tent en quarantaine ou<br />
terminent les processus potentiellement malveillants qu'elles détectent. Vous<br />
pouvez afficher les détections en utilisant la boîte <strong>de</strong> dialogue <strong>de</strong> résultats<br />
d'analyse, les journaux <strong>de</strong> protection proactive contre les menaces ou la liste <strong>de</strong><br />
quarantaine.<br />
Se reporter à "A propos <strong>de</strong> l'interaction avec les résultats d'analyse ou les résultats<br />
d'Auto-Protect" à la page 78.<br />
Se reporter à "Gestion <strong>de</strong> la quarantaine" à la page 93.<br />
Remarque : Les paramètres d'analyse proactive <strong>de</strong>s menaces n'ont aucun eff<strong>et</strong> sur<br />
les analyses antivirus <strong>et</strong> antispyware, qui utilisent <strong>de</strong>s signatures pour détecter<br />
<strong>de</strong>s risques connus. <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> détecte d'abord les risques<br />
connus.<br />
Par défaut, le <strong>client</strong> fait les actions suivantes :<br />
■<br />
■<br />
■<br />
Consigne la détection <strong>de</strong>s applications commerciales bien connues<br />
Consigne la détection <strong>de</strong>s processus qui se comportent comme <strong>de</strong>s chevaux <strong>de</strong><br />
Troie, <strong>de</strong>s vers ou <strong>de</strong>s enregistreurs <strong>de</strong> frappe<br />
M<strong>et</strong> en quarantaine les processus qui se comportent comme <strong>de</strong>s chevaux <strong>de</strong><br />
Troie, <strong>de</strong>s vers ou <strong>de</strong>s enregistreurs <strong>de</strong> frappe <strong>et</strong> qui requièrent une correction<br />
Quand une analyse proactive <strong>de</strong>s menaces m<strong>et</strong> une détection en quarantaine, elle<br />
prend en charge tous les effects secondaires du processus. Si le <strong>client</strong> rebalaye la<br />
détection après que <strong>de</strong>s mises à jour <strong>de</strong> contenu soient téléchargées sur votre<br />
ordinateur, le <strong>client</strong> pourrait restaurer le processus sur votre ordinateur. Le <strong>client</strong><br />
restaure le processus si le processus n'est plus considéré malveillant. Le <strong>client</strong><br />
restaure également tous les effects secondaires du processus. Cependant, le <strong>client</strong><br />
ne redémarre pas automatiquement le processus.<br />
Pour la détection d'enregistreur <strong>de</strong> frappe commercial ou d'applications <strong>de</strong> contrôle<br />
à distance, vous ou votre administrateur pouvez spécifier une action différente.<br />
Par exemple, vous pourriez vouloir ignorer la détection <strong>de</strong>s applications
Gestion <strong>de</strong> la protection proactive contre les menaces<br />
Configuration <strong>de</strong> la fréquence d'exécution <strong>de</strong>s analyses proactives <strong>de</strong>s menaces TruScan<br />
105<br />
commerciales d'enregistreur <strong>de</strong> frappe. Quand le <strong>client</strong> ignore une application, il<br />
l'autorise <strong>et</strong> ne consigne pas sa détection.<br />
Pour les détection <strong>de</strong> cheval <strong>de</strong> Troie, <strong>de</strong> ver ou d'enregistreur <strong>de</strong> frappe, vous<br />
pouvez spécifier une action particulière que le <strong>client</strong> utilisera toujours en cas <strong>de</strong><br />
détection.<br />
A propos <strong>de</strong>s actions sur <strong>de</strong>s faux positifs<br />
Les analyses proactives <strong>de</strong>s menaces TruScan détectent parfois <strong>de</strong>s faux positifs.<br />
Ces analyses recherchent <strong>de</strong>s applications <strong>et</strong> <strong>de</strong>s processus dotées d'un<br />
comportement suspect plutôt que <strong>de</strong>s virus ou <strong>de</strong>s risques <strong>de</strong> sécurité connus. Par<br />
nature, ces analyses signalent typiquement les éléments que vous ne pourriez pas<br />
vouloir détecter.<br />
Si une analyse proactive <strong>de</strong>s menaces détecte un processus dont vous déterminez<br />
qu'il n'est pas un problème, vous pouvez créer une exception <strong>de</strong> sorte que les<br />
futures analyses ne signalent pas le processus. S'il y a un conflit entre une<br />
exception définie par l'utilisateur <strong>et</strong> une exception définie par l'administrateur,<br />
l'exception administrateur a la priorité.<br />
Se reporter à "Exclusion d'un processus <strong>de</strong>s analyses proactives <strong>de</strong>s menaces<br />
TruScan" à la page 112.<br />
Pour réduire les détections <strong>de</strong> faux positif, vérifiez que le contenu <strong>Symantec</strong> pour<br />
les analyses proactives <strong>de</strong>s menaces est à jour. La version s'affiche dans la page<br />
État sous <strong>Protection</strong> contre les menaces proactives. Vous pouvez télécharger le<br />
<strong>de</strong>rnier contenu en exécutant LiveUpdate.<br />
Remarque : Votre administrateur peut planifier <strong>de</strong>s mises à jour automatiques.<br />
Si vous choisissez <strong>de</strong> gérer vous-même la détection <strong>de</strong>s chevaux <strong>de</strong> Troie, <strong>de</strong>s vers<br />
<strong>et</strong> <strong>de</strong>s enregistreurs <strong>de</strong> frappe, vous pouvez modifier la sensibilité <strong>de</strong>s analyses<br />
proactives <strong>de</strong>s menaces. Toutefois, la modification <strong>de</strong> la sensibilité peut ne pas<br />
changer le nombre <strong>de</strong> faux positifs, car elle change uniquement le nombre total<br />
<strong>de</strong> détections.<br />
Se reporter à "Gestion <strong>de</strong>s détections proactives <strong>de</strong> menaces TruScan" à la page 106.<br />
Configuration <strong>de</strong> la fréquence d'exécution <strong>de</strong>s<br />
analyses proactives <strong>de</strong>s menaces TruScan<br />
Vous pouvez configurer la fréquence d'exécution <strong>de</strong>s analyses proactives <strong>de</strong>s<br />
menaces.
106<br />
Gestion <strong>de</strong> la protection proactive contre les menaces<br />
Gestion <strong>de</strong>s détections proactives <strong>de</strong> menaces TruScan<br />
Remarque : Si vous augmentez la fréquence d'exécution <strong>de</strong>s analyses proactives<br />
<strong>de</strong>s menaces, vous risquez d'affecter les performances <strong>de</strong> votre ordinateur.<br />
Vous pouvez cliquer sur Ai<strong>de</strong> pour plus d'informations sur les options utilisées<br />
dans la procédure.<br />
Pour configurer la fréquence d'exécution <strong>de</strong>s analyses proactives <strong>de</strong>s menaces<br />
TruScan<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 A côté <strong>Protection</strong> proactive contre les menaces, cliquez sur Configurer les<br />
paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> la protection proactive contre les<br />
menaces, sur l'ongl<strong>et</strong> Fréquence d'analyse, cochez Fréquence d'analyse<br />
personnalisée.<br />
4 Faites une ou plusieurs <strong>de</strong>s actions suivantes :<br />
■<br />
■<br />
A côté <strong>de</strong> Analyser chaque, définissez la durée en nombre <strong>de</strong> jours, d'heures<br />
<strong>et</strong> <strong>de</strong> minutes entre les processus d'analyse.<br />
Cochez Analyserlesnouveauxprocessusimmédiatement pour analyser<br />
les nouveaux processus quand ils sont détectés.<br />
5 Cliquez sur OK.<br />
Gestion <strong>de</strong>s détections proactives <strong>de</strong> menaces<br />
TruScan<br />
Les administrateurs pourraient verrouiller les paramètres <strong>de</strong> détection proactive<br />
<strong>de</strong> menaces. Si vos paramètres sont déverrouillés ou si vous exécutez un <strong>client</strong><br />
non géré, vous pouvez configurer les types <strong>de</strong> processus que les détections<br />
proactives <strong>de</strong> menaces détectent.<br />
Se reporter à "Spécification <strong>de</strong>s types <strong>de</strong> processus détectés par les analyses<br />
proactives <strong>de</strong>s menaces TruScan" à la page 110.
Gestion <strong>de</strong> la protection proactive contre les menaces<br />
Gestion <strong>de</strong>s détections proactives <strong>de</strong> menaces TruScan<br />
107<br />
Remarque : La détection <strong>de</strong> chevaux <strong>de</strong> Troie, <strong>de</strong> vers <strong>et</strong> d'enregistreurs <strong>de</strong> frappe<br />
n'est actuellement pas prise en charge sur <strong>de</strong>s systèmes d'exploitation <strong>de</strong> serveur<br />
Windows ou Windows XP Professional 64 bits. La détection <strong>de</strong>s enregistreurs <strong>de</strong><br />
frappe n'est pas également prise en charge sur Windows 7. Sur les <strong>client</strong>s qui<br />
s'exécutent sur <strong>de</strong>s systèmes d'exploitation serveurs, les options d'analyse ne sont<br />
pas disponibles. Si votre administrateur modifie ces options dans une politique<br />
appliquée à votre ordinateur, les options peuvent apparaître activées <strong>et</strong><br />
inaccessibles.<br />
Quand la détection <strong>de</strong>s chevaux <strong>de</strong> Troie, <strong>de</strong>s vers ou <strong>de</strong>s enregistreurs <strong>de</strong> frappe<br />
est activée, vous pouvez choisir comment vous voulez gérer les détections. Par<br />
défaut, les analyses proactives <strong>de</strong>s menaces utilisent les paramètres par défaut<br />
<strong>de</strong> <strong>Symantec</strong>. Ceci signifie que le <strong>client</strong> détermine l'action pour la détection. (Les<br />
paramètres par défaut indisponibles dans l'interface utilisateur ne reflètent pas<br />
les paramètres par défaut <strong>de</strong> <strong>Symantec</strong>. Les paramètres indisponibles reflètent<br />
les paramètres par défaut que vous utilisez quand vous gérez manuellement <strong>de</strong>s<br />
détections.)<br />
Se reporter à "Spécification <strong>de</strong>s actions <strong>et</strong> <strong>de</strong>s niveaux <strong>de</strong> sensibilité pour détecter<br />
<strong>de</strong>s chevaux <strong>de</strong> Troie, <strong>de</strong>s vers <strong>et</strong> <strong>de</strong>s enregistreurs <strong>de</strong> frappe" à la page 108.<br />
Typiquement, les paramètres par défaut <strong>de</strong> <strong>Symantec</strong> fournissent la meilleure<br />
manière <strong>de</strong> prendre en charge <strong>de</strong>s détections. Cependant, si vous avez <strong>de</strong><br />
l'expérience avec les résultats d'analyse sur votre ordinateur, vous pourriez vouloir<br />
configurer les actions <strong>et</strong> les niveaux <strong>de</strong> sensibilité manuellement. Pour configurer<br />
ces paramètres, vous désactivez l'option par défaut <strong>de</strong> <strong>Symantec</strong>.<br />
Pour réduire les détections faussement positives, <strong>Symantec</strong> recomman<strong>de</strong> d'utiliser<br />
initialement les paramètres par défaut gérés par <strong>Symantec</strong>. Après un certain<br />
temps, vous pouvez observer le nombre <strong>de</strong> faux positifs que les <strong>client</strong>s détectent.<br />
Si le nombre est bas, vous pouvez ajuster progressivement les paramètres d'analyse<br />
proactive <strong>de</strong>s menaces. Par exemple, pour la détection <strong>de</strong>s chevaux <strong>de</strong> Troie <strong>et</strong><br />
<strong>de</strong>s vers, vous pouvez placer le curseur <strong>de</strong> sensibilité légèrement plus haut que le<br />
paramètre par défaut. Vous pouvez observer les résultats <strong>de</strong>s analyses proactives<br />
<strong>de</strong>s menaces exécutées avec la nouvelle configuration.<br />
Remarque : Pour les <strong>client</strong>s gérés, votre administrateur configure typiquement<br />
les paramètres d'analyse proactive <strong>de</strong>s menaces appropriés pour votre ordinateur.<br />
Pour les applications commerciales, vous pouvez spécifier le type d'action à<br />
effectuer quand une analyse proactive <strong>de</strong>s menaces détecte un enregistreur <strong>de</strong><br />
frappe commercial ou un programme <strong>de</strong> contrôle à distance. Vous pouvez modifier<br />
ces paramètres indépendamment <strong>de</strong> la configuration pour les chevaux <strong>de</strong> Troie,<br />
les vers ou les enregistreurs <strong>de</strong> frappe.
108<br />
Gestion <strong>de</strong> la protection proactive contre les menaces<br />
Gestion <strong>de</strong>s détections proactives <strong>de</strong> menaces TruScan<br />
Se reporter à "Définition <strong>de</strong> l'action pour la détection <strong>de</strong>s applications<br />
commerciales" à la page 108.<br />
Définition <strong>de</strong> l'action pour la détection <strong>de</strong>s applications commerciales<br />
Vous pouvez modifier l'action que le <strong>client</strong> effectue quand une analyse proactive<br />
<strong>de</strong>s menaces détecte certains types d'applications commerciales.<br />
Vous pouvez cliquer sur Ai<strong>de</strong> pour plus d'informations sur les options utilisées<br />
dans la procédure.<br />
Pour configurer l'action pour la détection d'application commerciale<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 A côté <strong>Protection</strong> proactive contre les menaces, cliquez sur Configurer les<br />
paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> la protection proactive contre les<br />
menaces, dans l'ongl<strong>et</strong> Détails <strong>de</strong> l'analyse, sous Applications commerciales,<br />
effectuez l'une <strong>de</strong>s opérations suivantes :<br />
■<br />
■<br />
Définissez l'opération relative aux enregistreurs <strong>de</strong> frappe commerciaux<br />
sur Ignorer, Consigner, Arrêter ou M<strong>et</strong>tre en quarantaine.<br />
Définissez l'opération relative aux applications <strong>de</strong> téléintervention<br />
commerciales sur Ignorer, Consigner, Arrêter ou M<strong>et</strong>tre en quarantaine.<br />
4 Cliquez sur OK.<br />
Spécification <strong>de</strong>s actions <strong>et</strong> <strong>de</strong>s niveaux <strong>de</strong> sensibilité pour détecter<br />
<strong>de</strong>s chevaux <strong>de</strong> Troie, <strong>de</strong>s vers <strong>et</strong> <strong>de</strong>s enregistreurs <strong>de</strong> frappe<br />
Si vous choisissez <strong>de</strong> gérer vous-même les chevaux <strong>de</strong> Troie, les vers ou les<br />
détections d'enregistreur <strong>de</strong> frappe, vous pouvez configurer l'action à effectuer<br />
quand ces processus sont détectés. C<strong>et</strong>te action est toujours utilisée quand les<br />
analyses proactives <strong>de</strong>s menaces font une détection. Par exemple, vous pourriez<br />
définir l'action pour consigner seulement. Si une analyse proactive <strong>de</strong>s menaces<br />
détecte un processus qu'elle classe comme positif vrai, le <strong>client</strong> consigne la<br />
détection. Le <strong>client</strong> ne m<strong>et</strong> pas le processus en quarantaine.<br />
Vous pouvez également définir différents niveaux <strong>de</strong> sensibilité pour la détection<br />
<strong>de</strong>s chevaux <strong>de</strong> Troie <strong>et</strong> <strong>de</strong>s vers <strong>et</strong> la détection <strong>de</strong>s enregistreurs <strong>de</strong> frappe. Le<br />
niveau <strong>de</strong> sensibilité détermine à quel point les analyses proactives <strong>de</strong>s menaces<br />
doivent être sensibles quand elles analysent <strong>de</strong>s processus. Une sensibilité plus<br />
élevée aboutit à davantage <strong>de</strong> détections. N'oubliez pas que certaines <strong>de</strong> ces<br />
détections peuvent être <strong>de</strong>s faux positifs. Définir un niveau <strong>de</strong> sensibilité plus bas<br />
ou plus haut peut ne pas modifier le pourcentage <strong>de</strong>s faux positifs produits par
Gestion <strong>de</strong> la protection proactive contre les menaces<br />
Gestion <strong>de</strong>s détections proactives <strong>de</strong> menaces TruScan<br />
109<br />
les analyses proactives <strong>de</strong>s menaces. Il modifie seulement le nombre total <strong>de</strong><br />
détections.<br />
Vous pourriez vouloir maintenir le niveau <strong>de</strong> sensibilité plus bas jusqu'à ce que<br />
vous consultiez les résultats <strong>de</strong>s analyses proactives <strong>de</strong>s menaces sur votre<br />
ordinateur. Si les analyses proactives <strong>de</strong>s menaces ne produisent aucune détection<br />
à un plus bas niveau <strong>de</strong> sensibilité, vous pouvez augmenter la sensibilité.<br />
Vous pouvez cliquer sur Ai<strong>de</strong> pour plus d'informations sur les options qui sont<br />
utilisées dans la procédure.<br />
Pour définir l'action <strong>et</strong> le niveau <strong>de</strong> sensibilité pour les chevaux <strong>de</strong> Troie <strong>et</strong> les vers<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 A côté <strong>Protection</strong> proactive contre les menaces, cliquez sur Configurer les<br />
paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> la protection proactive contre les<br />
menaces, dans l'ongl<strong>et</strong> Détails <strong>de</strong> l'analyse, sous Chevaux <strong>de</strong> Troie <strong>et</strong> virus,<br />
assurez-vous que la case Rechercher les chevaux <strong>de</strong> Troie <strong>et</strong> les vers est<br />
cochée, puis décochez Utiliser les paramètres par défaut définis par<br />
<strong>Symantec</strong>.<br />
4 Sous Sensibilité, déplacez le curseur vers la gauche ou la droite pour diminuer<br />
ou augmenter la sensibilité respectivement.<br />
5 Dans la liste déroulante, cliquez sur Journal, Terminer ou Quarantaine.<br />
6 Cliquez sur OK.<br />
Pour définir l'action <strong>et</strong> le niveau <strong>de</strong> sensibilité pour <strong>de</strong>s enregistreurs <strong>de</strong> frappe<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 A côté <strong>de</strong> <strong>Protection</strong> proactive contre les menaces, cliquez sur Configurer les<br />
paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> la protection proactive contre les<br />
menaces, dans l'ongl<strong>et</strong> Détails <strong>de</strong> l'analyse, sous Enregistreurs <strong>de</strong> frappe,<br />
assurez-vous que la case Rechercher les enregistreurs <strong>de</strong> frappe est cochée,<br />
puis décochez Utiliser les paramètres par défaut définis par <strong>Symantec</strong>.<br />
4 Pour le <strong>de</strong>gré <strong>de</strong> sensibilité, cliquez sur Bas ou Elevé.<br />
5 Dans la liste déroulante, cliquez sur Journal, Terminer ou Quarantaine.<br />
6 Cliquez sur OK.
110<br />
Gestion <strong>de</strong> la protection proactive contre les menaces<br />
Configuration <strong>de</strong>s notifications <strong>de</strong>s détections <strong>de</strong> l'analyse proactive <strong>de</strong>s menaces TruScan<br />
Spécification <strong>de</strong>s types <strong>de</strong> processus détectés par les analyses<br />
proactives <strong>de</strong>s menaces TruScan<br />
Vous pouvez configurer si les analyses proactives <strong>de</strong>s menaces recherchent les<br />
chevaux <strong>de</strong> Troie <strong>et</strong> les vers ou les enregistreurs <strong>de</strong> frappe. Votre administrateur<br />
peut verrouiller certains <strong>de</strong> ces paramètres.<br />
Vous pouvez cliquer sur Ai<strong>de</strong> pour plus d'informations sur les options utilisées<br />
dans la procédure.<br />
Pour spécifier les types <strong>de</strong> processus détectés par les analyses proactives <strong>de</strong>s<br />
menaces TruScan<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 A côté <strong>Protection</strong> proactive contre les menaces, cliquez sur Configurer les<br />
paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> la protection proactive contre les<br />
menaces, dans l'ongl<strong>et</strong> Détails <strong>de</strong> l'analyse, sous Chevaux <strong>de</strong> Troie <strong>et</strong> virus,<br />
cochez ou décochez Rechercher les chevaux <strong>de</strong> Troie <strong>et</strong> les vers.<br />
4 Sous Enregistreurs <strong>de</strong> frappe, cochez ou supprimez la coche <strong>de</strong> Rechercher<br />
les enregistreurs <strong>de</strong> frappe.<br />
5 Cliquez sur OK.<br />
Configuration <strong>de</strong>s notifications <strong>de</strong>s détections <strong>de</strong><br />
l'analyse proactive <strong>de</strong>s menaces TruScan<br />
Vous pouvez configurer <strong>de</strong>s messages qui s'afficheront quand les analyses<br />
proactives <strong>de</strong>s menaces feront <strong>de</strong>s détections. Par défaut, le <strong>client</strong> affiche les<br />
messages quand les détections se produisent. Vous êtes également notifié quand<br />
une détection exige que le <strong>client</strong> m<strong>et</strong>te fin à <strong>de</strong>s services ou arrête <strong>de</strong>s processus.<br />
Remarque : Votre administrateur peut verrouiller ces paramètres.<br />
Vous pouvez cliquer sur Ai<strong>de</strong> pour obtenir <strong>de</strong>s informations supplémentaires sur<br />
les options utilisées dans la procédure.<br />
Pour activer ou désactiver les notifications <strong>de</strong>s détections <strong>de</strong> l'analyse proactive<br />
<strong>de</strong>s menaces TruScan<br />
1 Dans le <strong>client</strong>, cliquez sur Changer les paramètres.<br />
2 Près <strong>de</strong> <strong>Protection</strong> proactive contre les menaces, cliquez sur Configurer les<br />
paramètres.
Gestion <strong>de</strong> la protection proactive contre les menaces<br />
Soumission à <strong>Symantec</strong> Security Response <strong>de</strong>s informations sur les analyses proactives <strong>de</strong>s menaces TruScan<br />
111<br />
3 Dans la boîte <strong>de</strong> dialogue <strong>Protection</strong> proactive contre les menaces, dans<br />
l'ongl<strong>et</strong> Notifications, cochez Afficher un message en cas <strong>de</strong> détection.<br />
4 Cochez ou supprimez la coche Afficher un avertissement avant la fin d'un<br />
processus <strong>et</strong> Afficher un avertissement avant l'arrêt d'un service.<br />
5 Cliquez sur OK.<br />
Soumission à <strong>Symantec</strong> Security Response <strong>de</strong>s<br />
informations sur les analyses proactives <strong>de</strong>s menaces<br />
TruScan<br />
Par défaut, les analyses proactives <strong>de</strong>s menaces soum<strong>et</strong>tent à <strong>Symantec</strong> Security<br />
Response <strong>de</strong>s informations sur <strong>de</strong>s processus détectés. Quand les analyses<br />
soum<strong>et</strong>tent <strong>de</strong>s informations, <strong>Symantec</strong> analyse les informations pour déterminer<br />
si une menace est vraie. Si <strong>Symantec</strong> détermine que la menace est vraie, <strong>Symantec</strong><br />
peut générer une signature pour traiter la menace. <strong>Symantec</strong> inclut la signature<br />
dans les versions mises à jour <strong>de</strong>s définitions.<br />
Quand vous soum<strong>et</strong>tez <strong>de</strong>s informations sur un processus, la soumission inclut<br />
les informations suivantes :<br />
■<br />
■<br />
■<br />
■<br />
■<br />
Le chemin d'accès à l'exécutable<br />
L'exécutable<br />
Les informations sur le fichier <strong>et</strong> les points <strong>de</strong> registre qui se rapportent à la<br />
menace<br />
Les informations d'état interne<br />
La version <strong>de</strong> contenu utilisée par l'analyse proactive <strong>de</strong>s menaces<br />
Aucune coordonnée perm<strong>et</strong>tant d'i<strong>de</strong>ntifier votre ordinateur n'est soumise.<br />
La soumission à <strong>Symantec</strong> Security Response <strong>de</strong>s détections <strong>de</strong> l'analyse proactive<br />
<strong>de</strong>s menaces est activée par défaut.<br />
Remarque : Votre administrateur peut verrouiller les paramètres <strong>de</strong> soumission.<br />
Vous pouvez cliquer sur Ai<strong>de</strong> pour plus d'informations sur les options utilisées<br />
dans la procédure.
112<br />
Gestion <strong>de</strong> la protection proactive contre les menaces<br />
Exclusion d'un processus <strong>de</strong>s analyses proactives <strong>de</strong>s menaces TruScan<br />
Pour soum<strong>et</strong>tre à <strong>Symantec</strong> Security Response <strong>de</strong>s informations sur les analyses<br />
proactives contre les menaces TruScan<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 Près <strong>de</strong> <strong>Protection</strong> antivirus <strong>et</strong> antispyware, cliquez sur Configurer les<br />
paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> la protection antivirus <strong>et</strong> antispyware,<br />
sur l'ongl<strong>et</strong> Transmissions, activez ou désactivez la case Transm<strong>et</strong>tre<br />
automatiquementlesdétections<strong>de</strong>l'analyseproactive<strong>de</strong>smenacesTruScan.<br />
4 Cliquez sur OK.<br />
Exclusion d'un processus <strong>de</strong>s analyses proactives <strong>de</strong>s<br />
menaces TruScan<br />
Vous pouvez créer <strong>de</strong>s exceptions pour les analyses proactives <strong>de</strong>s menaces à<br />
moins que votre administrateur n'ait verrouillé les paramètres.<br />
Se reporter à "A propos <strong>de</strong> l'exclusion <strong>de</strong>s éléments <strong>de</strong> l'analyse" à la page 89.<br />
Pour créer une exception, vous sélectionnez un fichier actuellement disponible<br />
sur votre ordinateur. Quand une analyse proactive <strong>de</strong>s menaces détecte un<br />
processus actif qui utilise le fichier, le <strong>client</strong> applique l'action que vous spécifiez<br />
dans l'exception.<br />
Par exemple, vous pourriez exécuter une application sur votre ordinateur qui<br />
utilise un fichier appelé foo.exe. Une analyse proactive <strong>de</strong>s menaces s'exécute<br />
quand foo.exe s'exécute. Le <strong>client</strong> détermine que foo.exe pourrait être malveillant.<br />
La boîte <strong>de</strong> dialogue <strong>de</strong> résultats d'analyse s'affiche <strong>et</strong> indique que le <strong>client</strong> a mis<br />
foo.exe en quarantaine. Vous pouvez créer une exception qui spécifie que les<br />
analyses proactives <strong>de</strong>s menaces ignorent foo.exe. Le <strong>client</strong> restaure alors foo.exe.<br />
Quand vous exécutez foo.exe <strong>de</strong> nouveau, le <strong>client</strong> ignore foo.exe.<br />
Votre administrateur pourrait également créer <strong>de</strong>s exceptions centralisées pour<br />
vos analyses. Si vous créez une exception centralisée qui entre en conflit avec une<br />
exception définie par l'administrateur, l'exception <strong>de</strong> l'administrateur a la priorité.<br />
Pour exclure un processus <strong>de</strong>s analyses proactives <strong>de</strong>s menaces TruScan<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 A côté d'Exceptions centralisées, cliquez sur Configurer les paramètres.<br />
3 Sur l'ongl<strong>et</strong> Exceptions définies par l'utilisateur, cliquez sur Ajouter puis<br />
sélectionnez Exception d'analyse proactive <strong>de</strong>s menaces TruScan.
Gestion <strong>de</strong> la protection proactive contre les menaces<br />
Exclusion d'un processus <strong>de</strong>s analyses proactives <strong>de</strong>s menaces TruScan<br />
113<br />
4 Dans la boîte <strong>de</strong> dialogue Ajouter une exception à l'analyse <strong>de</strong>s menaces<br />
proactiveTruScan, localisez le processus ou le fichier pour lequel vous voulez<br />
créer une exception.<br />
5 Dans la liste déroulante Action, sélectionnez Ignorer, Consigneruniquement,<br />
Quarantaine ou Terminer.<br />
6 Cliquez sur Ajouter.<br />
7 Dans la boîte <strong>de</strong> dialogue Exceptions centralisées, cliquez sur Fermer.
114<br />
Gestion <strong>de</strong> la protection proactive contre les menaces<br />
Exclusion d'un processus <strong>de</strong>s analyses proactives <strong>de</strong>s menaces TruScan
Chapitre<br />
6<br />
Gestion <strong>de</strong> la protection<br />
contre les menaces réseau<br />
Ce chapitre traite <strong>de</strong>s suj<strong>et</strong>s suivants :<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
A propos <strong>de</strong> la gestion <strong>de</strong> la protection contre les menaces réseau<br />
Gestion <strong>de</strong> la protection par pare-feu<br />
Fonctionnement du pare-feu<br />
A propos <strong>de</strong>s règles <strong>de</strong> filtrage<br />
Ajout d'une règle <strong>de</strong> filtrage<br />
Modification <strong>de</strong> l'ordre d'une règle <strong>de</strong> filtrage<br />
Activation <strong>et</strong> désactivation <strong>de</strong>s règles<br />
Exportation <strong>et</strong> importation <strong>de</strong> règles<br />
A propos <strong>de</strong>s règles <strong>de</strong> filtrage intégrées<br />
Activation <strong>de</strong>s paramètres <strong>de</strong> trafic <strong>et</strong> <strong>de</strong>s paramètres <strong>de</strong> navigation Web<br />
furtive<br />
Activation du filtrage <strong>de</strong> trafic intelligent<br />
Activation du partage <strong>de</strong>s fichiers <strong>et</strong> <strong>de</strong>s imprimantes du réseau<br />
Blocage du trafic<br />
Configurer <strong>de</strong>s paramètres spécifiques à une application<br />
Gestion <strong>de</strong> la protection <strong>de</strong> prévention <strong>de</strong>s intrusions<br />
Fonctionnement <strong>de</strong> la protection <strong>de</strong> prévention <strong>de</strong>s intrusions
116<br />
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
A propos <strong>de</strong> la gestion <strong>de</strong> la protection contre les menaces réseau<br />
■<br />
■<br />
■<br />
Activation ou désactivation <strong>de</strong>s paramètres <strong>de</strong> prévention <strong>de</strong>s intrusions<br />
Configuration <strong>de</strong>s notifications <strong>de</strong> prévention d'intrusion<br />
Bloquer <strong>et</strong> débloquer un ordinateur attaquant<br />
A propos <strong>de</strong> la gestion <strong>de</strong> la protection contre les<br />
menaces réseau<br />
Le <strong>client</strong> <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> protège votre ordinateur en surveillant<br />
les informations entrantes <strong>et</strong> sortantes, <strong>et</strong> en bloquant toute tentative d'attaque<br />
du réseau.<br />
Tableau 6-1 affiche les métho<strong>de</strong>s que la protection contre les menaces réseau<br />
utilise pour bloquer les attaques réseau contre votre ordinateur.<br />
Tableau 6-1<br />
Outil<br />
Pare-feu<br />
Outils <strong>de</strong> protection contre les menaces réseau<br />
Description<br />
Le pare-feu empêche les utilisateurs non autorisés d'accé<strong>de</strong>r à<br />
l'ordinateur <strong>et</strong> aux réseaux qui se connectent à Intern<strong>et</strong>. Il détecte<br />
les éventuelles attaques <strong>de</strong> pirates, protège les informations<br />
personnelles <strong>et</strong> élimine les sources indésirables <strong>de</strong> trafic réseau.<br />
Le pare-feu autorise ou bloque le trafic entrant <strong>et</strong> sortant.<br />
Se reporter à "Fonctionnement du pare-feu" à la page 118.<br />
Se reporter à "Gestion <strong>de</strong> la protection par pare-feu" à la page 117.<br />
Système <strong>de</strong> prévention<br />
contre les intrusions<br />
Le système <strong>de</strong> prévention d'intrusion (IPS) détecte <strong>et</strong> bloque<br />
automatiquement les attaques réseau. L'IPS analyse chaque paqu<strong>et</strong><br />
qui entre <strong>et</strong> sort d'un ordinateur pour <strong>de</strong>s signatures d'attaque.<br />
Pour détecter <strong>et</strong> bloquer les activités réseau douteuses, IPS<br />
s'appuie sur une vaste liste <strong>de</strong> signatures d'attaque. <strong>Symantec</strong><br />
fournit la liste <strong>de</strong>s menaces connues, que vous pouvez m<strong>et</strong>tre à<br />
jour sur le <strong>client</strong> à l'ai<strong>de</strong> <strong>de</strong> <strong>Symantec</strong> LiveUpdate. Le moteur<br />
<strong>Symantec</strong> IPS <strong>et</strong> le jeu <strong>de</strong> signatures IPS correspondant sont<br />
installés sur le <strong>client</strong> par défaut.<br />
Se reporter à "Gestion <strong>de</strong> la protection <strong>de</strong> prévention <strong>de</strong>s<br />
intrusions" à la page 136.<br />
Se reporter à "Fonctionnement <strong>de</strong> la protection <strong>de</strong> prévention <strong>de</strong>s<br />
intrusions" à la page 137.
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Gestion <strong>de</strong> la protection par pare-feu<br />
117<br />
Gestion <strong>de</strong> la protection par pare-feu<br />
Par défaut, le pare-feu autorise tout le trafic réseau entrant <strong>et</strong> sortant. Vous pouvez<br />
configurer le pare-feu pour autoriser ou bloquer <strong>de</strong>s types <strong>de</strong> trafic spécifiques.<br />
Sur tout <strong>client</strong>, vous pouvez temporairement désactiver la protection contre les<br />
menaces réseau à <strong>de</strong>s fins <strong>de</strong> dépannage. Par exemple, vous pourrez ne pas ouvrir<br />
une application.<br />
Se reporter à "Activation ou désactivation <strong>de</strong> la protection contre les menaces<br />
réseau" à la page 42.<br />
Votre administrateur détermine le niveau d'interaction avec le <strong>client</strong> en vous<br />
donnant la capacité <strong>de</strong> configurer <strong>de</strong>s règles <strong>de</strong> filtrage, <strong>de</strong>s paramètres <strong>de</strong> pare-feu<br />
<strong>et</strong> <strong>de</strong>s paramètres <strong>de</strong> prévention <strong>de</strong>s intrusions. Vous pouvez interagir avec le<br />
<strong>client</strong> seulement quand il vous informe <strong>de</strong> nouvelles connexions réseau <strong>et</strong> <strong>de</strong><br />
problèmes possibles ou vous pouvez avoir l'accès compl<strong>et</strong> à l'interface utilisateur.<br />
Tableau 6-2 affiche les tâches du pare-feu que vous pouvez effectuer pour protéger<br />
votre ordinateur.<br />
Tableau 6-2<br />
Opération<br />
Gestion <strong>de</strong> la protection par pare-feu<br />
Description<br />
Prendre<br />
connaissance du<br />
fonctionnement du<br />
pare-feu<br />
Ajouter <strong>de</strong>s règles <strong>de</strong><br />
filtrage<br />
Apprenez comment le pare-feu protège l'ordinateur contre <strong>de</strong>s<br />
attaques réseau.<br />
Se reporter à "Fonctionnement du pare-feu" à la page 118.<br />
Complétez les règles <strong>de</strong> filtrage par défaut du <strong>client</strong> avec les règles<br />
<strong>de</strong> filtrage que vous configurez. Par exemple, vous pourrez bloquer<br />
une application que vous ne voulez pas exécuter sur votre ordinateur,<br />
tel qu'un logiciel publicitaire.<br />
Se reporter à "Ajout d'une règle <strong>de</strong> filtrage" à la page 124.<br />
Vous pouvez activer ou désactiver les règles <strong>de</strong> filtrage intégrées<br />
qui autorisent certains types <strong>de</strong> trafic.<br />
Se reporter à "Activation <strong>de</strong>s paramètres <strong>de</strong> trafic <strong>et</strong> <strong>de</strong>s paramètres<br />
<strong>de</strong> navigation Web furtive" à la page 128.<br />
Se reporter à "Activation du filtrage <strong>de</strong> trafic intelligent "<br />
à la page 129.
118<br />
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Fonctionnement du pare-feu<br />
Opération<br />
Contrôle <strong>de</strong> la<br />
protection par<br />
pare-feu<br />
Description<br />
Vous pouvez régulièrement vérifier l'état <strong>de</strong> protection par pare-feu<br />
sur votre ordinateur afin <strong>de</strong> voir si :<br />
■<br />
■<br />
■<br />
Les règles <strong>de</strong> filtrage que vous avez créées fonctionnent<br />
correctement.<br />
Le <strong>client</strong> a bloqué toutes les attaques réseau.<br />
Le <strong>client</strong> a bloqué toutes les applications que vous avez prévues<br />
d'exécuter.<br />
Vous pouvez utiliser le journal du trafic <strong>et</strong> le journal <strong>de</strong>s paqu<strong>et</strong>s<br />
pour vérifier l'état <strong>de</strong> protection par pare-feu.<br />
Se reporter à "Utiliser les journaux <strong>de</strong> protection contre les menaces<br />
réseau <strong>et</strong> <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s" à la page 163.<br />
Fonctionnement du pare-feu<br />
La protection par pare-feu empêche <strong>de</strong>s utilisateurs non autorisés d'accé<strong>de</strong>r à vos<br />
ordinateurs <strong>et</strong> réseaux connectés à Intern<strong>et</strong>.<br />
Les paqu<strong>et</strong>s <strong>de</strong> données qui circulent via Intern<strong>et</strong> contiennent <strong>de</strong>s informations<br />
sur les éléments suivants :<br />
■<br />
■<br />
■<br />
■<br />
Ordinateurs à l'origine <strong>de</strong> l'envoi<br />
Destinataires<br />
Mo<strong>de</strong> <strong>de</strong> traitement <strong>de</strong>s données du paqu<strong>et</strong><br />
Ports <strong>de</strong> réception <strong>de</strong>s paqu<strong>et</strong>s<br />
Un paqu<strong>et</strong> est un morceau <strong>de</strong> données qui fait partie du flux d'information entre<br />
<strong>de</strong>ux ordinateurs. Les paqu<strong>et</strong>s sont rassemblés à leur <strong>de</strong>stination pour apparaître<br />
comme un flux <strong>de</strong> données ininterrompu.<br />
Les ports sont les canaux qui divisent le flux <strong>de</strong> données issues d'Intern<strong>et</strong>. Les<br />
applications qui s'exécutent sur un ordinateur écoutent les ports. Les applications<br />
acceptent les données envoyées aux ports.<br />
Les attaques réseau exploitent les failles dans les applications vulnérables. Les<br />
attaquants utilisent ces faiblesses pour envoyer <strong>de</strong>s paqu<strong>et</strong>s qui contiennent du<br />
co<strong>de</strong> <strong>de</strong> programmation malveillant aux ports. Quand les applications vulnérables<br />
écoutent les ports, le co<strong>de</strong> malveillant perm<strong>et</strong> aux attaquants d'accé<strong>de</strong>r à<br />
l'ordinateur.<br />
<strong>Protection</strong> par pare-feu fonctionne en arrière-plan. La protection par pare-feu<br />
contrôle la communication entre vos ordinateurs <strong>et</strong> d'autres ordinateurs connectés<br />
sur Intern<strong>et</strong>. Elle crée un bouclier qui autorise ou bloque les tentatives d'accès
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
A propos <strong>de</strong>s règles <strong>de</strong> filtrage<br />
119<br />
aux informations sur vos ordinateurs. Elle vous avertit <strong>de</strong>s tentatives <strong>de</strong> connexion<br />
à partir d'autres ordinateurs. Elle vous avertit également <strong>de</strong>s tentatives <strong>de</strong><br />
connexion par les applications <strong>de</strong> votre ordinateur qui se connectent à d'autres<br />
ordinateurs.<br />
Intern<strong>et</strong><br />
Le pare-feu<br />
autorise ou<br />
bloque le trafic<br />
réseau<br />
Le pare-feu<br />
surveille les<br />
tentatives d'accès<br />
<strong>de</strong>puis Intern<strong>et</strong><br />
Ordinateur <strong>client</strong><br />
La protection par pare-feu utilise <strong>de</strong>s règles <strong>de</strong> filtrage pour autoriser ou bloquer<br />
le trafic réseau.<br />
Se reporter à "A propos <strong>de</strong>s règles <strong>de</strong> filtrage" à la page 119.<br />
A propos <strong>de</strong>s règles <strong>de</strong> filtrage<br />
Quand un ordinateur essaye <strong>de</strong> se connecter à un autre ordinateur, le pare-feu<br />
compare le type <strong>de</strong> connexion à sa liste <strong>de</strong>s règles <strong>de</strong> filtrage. Le pare-feu vérifie<br />
automatiquement tous les paqu<strong>et</strong>s <strong>de</strong> trafic entrants <strong>et</strong> sortants en fonction <strong>de</strong><br />
ces règles. Le pare-feu autorise ou bloque alors les paqu<strong>et</strong>s en fonctoin <strong>de</strong>s<br />
informations spécifiées dans les règles.<br />
Se reporter à "A propos <strong>de</strong>s éléments d'une règle <strong>de</strong> filtrage" à la page 120.<br />
Se reporter à "Ajout d'une règle <strong>de</strong> filtrage" à la page 124.
120<br />
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
A propos <strong>de</strong>s règles <strong>de</strong> filtrage<br />
A propos <strong>de</strong>s éléments d'une règle <strong>de</strong> filtrage<br />
Une règle <strong>de</strong> filtrage décrit les conditions dans lesquelles une connexion réseau<br />
peut être permise ou bloquée. Par exemple, une règle peut autoriser le trafic réseau<br />
entre le port distant 80 <strong>et</strong> l'adresse IP 192.58.74.0, entre 9 h <strong>et</strong> 17 h, <strong>de</strong> manière<br />
quotidienne.<br />
Tableau 6-3 décrit les conditions utilisés pour définir une règle <strong>de</strong> filtrage.<br />
Tableau 6-3<br />
Condition<br />
Déclencheurs<br />
Conditions <strong>de</strong> règle <strong>de</strong> filtrage<br />
Description<br />
Applications, hôtes, protocoles <strong>et</strong> cartes réseau.<br />
Vous pouvez combiner les définitions <strong>de</strong> déclencheur pour former <strong>de</strong>s<br />
règles plus complexes, comme d'i<strong>de</strong>ntifier un protocole particulier par<br />
rapport à une adresse <strong>de</strong> <strong>de</strong>stination spécifique. Lorsque le pare-feu<br />
évalue la règle, tous les déclencheurs doivent être vrais pour qu'une<br />
correspondance positive se produise. Si aucun déclencheur n'est vrai<br />
par rapport au paqu<strong>et</strong> actuel, le pare-feu ne peut pas appliquer la règle.<br />
Conditions<br />
Planification <strong>et</strong> état d'écran <strong>de</strong> veille.<br />
Les paramètres conditionnels ne décrivent pas un aspect d'une connexion<br />
réseau. Au lieu <strong>de</strong> cela, les paramètres conditionnels déterminent l'état<br />
actif d'une règle. Les paramètres conditionnels sont facultatifs <strong>et</strong> non<br />
significatifs s'ils ne sont pas définis. Vous pouvez installer une<br />
planification ou i<strong>de</strong>ntifier un état d'écran <strong>de</strong> veille qui détermine quand<br />
une règle est considérée active ou inactive. Le pare-feu n'évalue pas les<br />
règles inactives quand le pare-feu reçoit <strong>de</strong>s paqu<strong>et</strong>s.<br />
Actions<br />
Autoriser ou bloquer <strong>et</strong> consigner ou ne pas consigner.<br />
Les paramètres d'action spécifient quelles mesures le pare-feu prend<br />
quand il trouve une correspondance avec une règle. Si la règle est<br />
sélectionnée en réponse à un paqu<strong>et</strong> reçu, le pare-feu exécute toutes les<br />
actions. Le pare-feu perm<strong>et</strong> ou bloque le paqu<strong>et</strong> <strong>et</strong> les journaux ou ne<br />
consigne pas le paqu<strong>et</strong>.<br />
Si le pare-feu perm<strong>et</strong> le trafic, il laisse le trafic que la règle spécifie<br />
accé<strong>de</strong>r à votre réseau.<br />
Si le pare-feu bloque le trafic, il bloque le trafic que la règle spécifie <strong>de</strong><br />
sorte qu'il n'accè<strong>de</strong> pas à votre réseau.<br />
Tableau 6-4 décrit les déclencheurs que vous pouvez définir dans une règle <strong>de</strong><br />
filtrage.
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
A propos <strong>de</strong>s règles <strong>de</strong> filtrage<br />
121<br />
Tableau 6-4<br />
Déclencheur<br />
Application<br />
Hôte<br />
Protocole<br />
Déclencheurs <strong>de</strong> règle <strong>de</strong> filtrage<br />
Description<br />
Quand l'application est le seul déclencheur défini dans une règle<br />
d'autorisation <strong>de</strong> trafic, le pare-feu perm<strong>et</strong> à l'application d'effectuer<br />
n'importe quelle opération réseau. L'application est la valeur<br />
significative, pas les opérations réseau que l'application effectue. Par<br />
exemple, supposez que vous perm<strong>et</strong>tiez Intern<strong>et</strong> Explorer <strong>et</strong> ne<br />
définissiez aucun autre déclencheur. Les utilisateurs peuvent accé<strong>de</strong>r<br />
aux sites distants qui utilisent HTTP, HTTPS, FTP, Gopher <strong>et</strong> n'importe<br />
quel autre protocole que le navigateur Web prend en charge. Vous pouvez<br />
définir <strong>de</strong>s déclencheurs supplémentaires pour décrire les protocoles<br />
réseau <strong>et</strong> les hôtes particuliers avec lesquels on perm<strong>et</strong> la<br />
communication.<br />
L'hôte local est toujours l'ordinateur <strong>client</strong> local <strong>et</strong> l'hôte distant est<br />
toujours un ordinateur distant placé ailleurs sur le réseau. C<strong>et</strong>te<br />
expression du rapport d'hôte est indépendante <strong>de</strong> la direction du trafic.<br />
Quand vous définissez <strong>de</strong>s déclencheurs d'hôte, vous spécifiez l'hôte du<br />
côté distant <strong>de</strong> la connexion réseau décrite.<br />
Un déclencheur <strong>de</strong> protocole i<strong>de</strong>ntifie un ou plusieurs protocoles réseau<br />
qui sont significatifs par rapport au trafic décrit.<br />
L'ordinateur d'hôte local possè<strong>de</strong> toujours le port local <strong>et</strong> l'ordinateur<br />
distant possè<strong>de</strong> toujours le port distant. C<strong>et</strong>te expression <strong>de</strong> la relation<br />
<strong>de</strong> ports est indépendante <strong>de</strong> la direction du trafic.<br />
Vous pouvez définir les types suivants <strong>de</strong> protocoles :<br />
■<br />
■<br />
■<br />
■<br />
■<br />
Tous les protocoles IP<br />
Tout protocole.<br />
TCP<br />
Ports ou plages <strong>de</strong> ports.<br />
UDP<br />
Ports ou plages <strong>de</strong> ports.<br />
ICMP<br />
Type <strong>et</strong> co<strong>de</strong>.<br />
Protocole IP spécifique<br />
Numéro <strong>de</strong> protocole (type d'IP).<br />
Exemples : Type 1 = ICMP, Type 6 = TCP, Type 17 = UDP<br />
Carte réseau<br />
Si vous définissez un déclencheur <strong>de</strong> carte réseau, la règle est appropriée<br />
seulement au trafic qui est transmis ou reçu en utilisant le type spécifié<br />
d'adaptateur. Vous pouvez spécifier n'importe quel adaptateur ou celui<br />
actuellement associés à l'ordinateur <strong>client</strong>.<br />
Se reporter à "A propos <strong>de</strong> l'inspection Stateful" à la page 122.
122<br />
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
A propos <strong>de</strong>s règles <strong>de</strong> filtrage<br />
Se reporter à "Ajout d'une règle <strong>de</strong> filtrage" à la page 124.<br />
A propos <strong>de</strong> l'inspection Stateful<br />
Le pare-feu utilise l'inspection "Stateful", un processus qui suit <strong>de</strong>s informations<br />
sur <strong>de</strong>s connexions actuelles telles que les adresses IP source <strong>et</strong> <strong>de</strong>stination, les<br />
ports, les applications <strong>et</strong> ainsi <strong>de</strong> suite. Le <strong>client</strong> prend <strong>de</strong>s décisions sur le trafic<br />
en utilisant ces informations <strong>de</strong> connexion avant d'examine <strong>de</strong>s règles <strong>de</strong> filtrage.<br />
Par exemple, si une règle <strong>de</strong> filtrage autorise un <strong>client</strong> à se connecter à un serveur<br />
Web, le pare-feu consigne les informations <strong>de</strong> connexion. Lorsque le serveur<br />
répond, le pare-feu découvre l'attente d'une réponse du serveur Web au <strong>client</strong> <strong>et</strong><br />
autorise le trafic du serveur Web vers le <strong>client</strong> ayant initié la connexion sans<br />
inspecter la base <strong>de</strong> règle. Une règle doit perm<strong>et</strong>tre le trafic sortant initial avant<br />
que le pare-feu ne consigne la connexion.<br />
L'inspection Stateful perm<strong>et</strong> <strong>de</strong> simplifier les bases <strong>de</strong> règle car vous n'avez pas<br />
besoin <strong>de</strong> créer <strong>de</strong> règles autorisant le trafic dans les <strong>de</strong>ux directions pour le trafic<br />
généralement initié dans une seule direction. Le trafic <strong>client</strong> typiquement lancé<br />
dans une direction inclut Teln<strong>et</strong> (port 23), HTTP (port 80) <strong>et</strong> HTTPS (port 443).<br />
Les <strong>client</strong>s initient ce trafic sortant <strong>de</strong> sorte qu'il vous suffit <strong>de</strong> créer une règle<br />
autorisant le trafic sortant pour ces protocoles. Le pare-feu perm<strong>et</strong> le trafic <strong>de</strong><br />
r<strong>et</strong>our.<br />
En configurant seulement les règles sortantes, vous augmentez la sécurité <strong>client</strong><br />
<strong>de</strong> la manière suivante :<br />
■<br />
■<br />
Réduction <strong>de</strong> la complexité <strong>de</strong> la base <strong>de</strong> règle.<br />
En supprimant la possibilité qu'un ver ou autre programme malveillant puisse<br />
établir <strong>de</strong>s connexions avec un <strong>client</strong> sur <strong>de</strong>s ports configurés pour le trafic<br />
sortant uniquement. Vous pouvez également configurer <strong>de</strong>s règles <strong>de</strong> trafic<br />
entrant seulement, pour le trafic vers <strong>de</strong>s <strong>client</strong>s qui n'en sont pas les<br />
initiateurs.<br />
L'inspection Stateful prend en charge toutes les règles qui régissent le trafic TCP.<br />
L'inspection Stateful ne prend pas en charge les règles qui filtrent le trafic ICMP.<br />
Pour ICMP, vous <strong>de</strong>vez créer <strong>de</strong>s règles autorisant le trafic dans les <strong>de</strong>ux directions<br />
lorsque c'est nécessaire. Par exemple, si vous souhaitez que <strong>de</strong>s <strong>client</strong>s utilisent<br />
la comman<strong>de</strong> ping <strong>et</strong> reçoivent <strong>de</strong>s réponses, vous <strong>de</strong>vez créer une règle autorisant<br />
le trafic ICMP dans les <strong>de</strong>ux directions.<br />
Se reporter à "A propos <strong>de</strong>s connexions UDP" à la page 123.
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
A propos <strong>de</strong>s règles <strong>de</strong> filtrage<br />
123<br />
A propos <strong>de</strong>s connexions UDP<br />
Dans le cas <strong>de</strong>s communications UDP, le <strong>client</strong> analyse le premier datagramme<br />
UDP <strong>et</strong> applique l'action effectuée sur celui-ci à tous les datagrammes UDP suivants<br />
<strong>de</strong> la session en cours. Le trafic entrant ou sortant entre les mêmes ordinateurs<br />
est considéré comme faisant partie <strong>de</strong> la connexion UDP.<br />
Pour le trafic UDP à l'état activé, quand une connexion UDP est établie, la<br />
communication UDP entrante est autorisée, même si la règle <strong>de</strong> filtrage la bloque.<br />
Par exemple, si une règle bloque les communications UDP entrantes pour une<br />
application spécifique mais que vous choisissez d'autoriser un datagramme UDP<br />
sortant, toutes les communications UDP entrantes sont autorisées pour la session<br />
actuelle <strong>de</strong> l'application. Pour le trafic UDP sans état, vous <strong>de</strong>vez créer une règle<br />
<strong>de</strong> filtrage pour autoriser la réponse <strong>de</strong> communication UDP entrante.<br />
Une session UDP expire après 60 secon<strong>de</strong>s si l'application ferme le port.<br />
Se reporter à "A propos <strong>de</strong> l'inspection Stateful" à la page 122.<br />
A propos <strong>de</strong> l'ordre <strong>de</strong> traitement <strong>de</strong>s règles<br />
Les règles <strong>de</strong> filtrage sont classées séquentiellement, <strong>de</strong> la priorité la plus élevée<br />
à la priorité la plus basse ou du haut vers le bas <strong>de</strong> la liste <strong>de</strong> règles. Si la première<br />
règle ne spécifie pas le mo<strong>de</strong> <strong>de</strong> traitement d'un paqu<strong>et</strong>, le pare-feu examine la<br />
<strong>de</strong>uxième règle. Ce processus se poursuit jusqu'à ce que le pare-feu trouve une<br />
correspondance. Si le pare-feu trouve une correspondance, le pare-feu prend<br />
l'action que la règle spécifie. Des règles <strong>de</strong> priorité ultérieures <strong>de</strong> niveau bas ne<br />
sont pas examinées. Par exemple, si une règle qui bloque tout le trafic est<br />
répertoriée en premier <strong>et</strong> est suivie d'une règle qui autorise tout le trafic, le <strong>client</strong><br />
bloque tout le trafic.<br />
Se reporter à "Ajout d'une règle <strong>de</strong> filtrage" à la page 124.<br />
Vous pouvez comman<strong>de</strong>r <strong>de</strong>s règles pour <strong>de</strong>s fins d'exclusivité. Les règles les plus<br />
restrictives sont évaluées en premier <strong>et</strong> les règles les plus générales sont évaluées<br />
en <strong>de</strong>rnier. Par exemple, vous <strong>de</strong>vez placer les règles qui bloquent le trafic près<br />
du haut <strong>de</strong> la liste <strong>de</strong>s règles. Les règles situées au bas <strong>de</strong> la liste peuvent autoriser<br />
le trafic.<br />
Les meilleures métho<strong>de</strong>s <strong>de</strong> création <strong>de</strong> base <strong>de</strong> règles incluent l'ordre <strong>de</strong>s règles<br />
suivant :<br />
1. Règles qui bloquent tout le trafic.<br />
2. Règles qui autorisent tout le trafic.<br />
3. Règles qui autorisent ou bloquent <strong>de</strong>s ordinateurs spécifiques.
124<br />
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Ajout d'une règle <strong>de</strong> filtrage<br />
4. Règles qui autorisent ou bloquent <strong>de</strong>s applications spécifiques, <strong>de</strong>s services<br />
réseau <strong>et</strong> <strong>de</strong>s ports.<br />
Tableau 6-5 affiche l'ordre dans lequel le pare-feu traite les règles <strong>et</strong> les paramètres.<br />
Tableau 6-5<br />
Priorité<br />
Premier<br />
Deuxième<br />
Troisième<br />
Quatrième<br />
Cinquième<br />
Sixième<br />
Ordre dans lequel le pare-feu traite <strong>de</strong>s règles <strong>de</strong> filtrage <strong>et</strong> <strong>de</strong>s<br />
paramètres<br />
Paramètre<br />
Signatures IPS personnalisées<br />
Paramètres <strong>de</strong> prévention d'intrusion, paramètres <strong>de</strong> trafic <strong>et</strong> paramètres<br />
<strong>de</strong> furtivité<br />
Filtres <strong>de</strong> trafic intelligents<br />
Règles <strong>de</strong> filtrage<br />
Vérification d'analyse <strong>de</strong> port<br />
Signatures IPS téléchargées via LiveUpdate<br />
Se reporter à "Modification <strong>de</strong> l'ordre d'une règle <strong>de</strong> filtrage" à la page 125.<br />
Ajout d'une règle <strong>de</strong> filtrage<br />
Quand vous ajoutez une règle <strong>de</strong> filtrage, vous <strong>de</strong>vez déci<strong>de</strong>r quel eff<strong>et</strong> la règle<br />
aura. Par exemple, vous pouvez perm<strong>et</strong>tre tout le trafic d'une source particulière<br />
ou bloquer les paqu<strong>et</strong>s UDP d'un site Web.<br />
Se reporter à "A propos <strong>de</strong>s règles <strong>de</strong> filtrage" à la page 119.<br />
Se reporter à "A propos <strong>de</strong>s éléments d'une règle <strong>de</strong> filtrage" à la page 120.<br />
Pour ajouter une règle <strong>de</strong> filtrage<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Etat.<br />
2 En regard <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Options ><br />
Configurer <strong>de</strong>s règles <strong>de</strong> filtrage.<br />
3 Dans la boîte <strong>de</strong> dialogue Configurerlesrègles<strong>de</strong>filtrage, cliquez sur Ajouter.<br />
4 Sur l'ongl<strong>et</strong> Général, tapez un nom pour la règle, puis cliquez sur Bloquer ce<br />
trafic ou Autoriser ce trafic.<br />
5 Pour définir les déclencheurs pour la règle, sélectionnez n'importe lequel <strong>de</strong>s<br />
ongl<strong>et</strong>s suivants :<br />
■<br />
Hôtes
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Modification <strong>de</strong> l'ordre d'une règle <strong>de</strong> filtrage<br />
125<br />
■<br />
■<br />
Ports <strong>et</strong> Protocoles<br />
Applications<br />
Pour plus d'informations sur les options <strong>de</strong> chaque ongl<strong>et</strong>, cliquez sur Ai<strong>de</strong>.<br />
6 Pour définir la pério<strong>de</strong> où la règle est active ou inactive, sous l'ongl<strong>et</strong> <strong>de</strong><br />
Planification, cliquez sur Activer la planification puis définissez une<br />
planification.<br />
7 Quand vous avez terminé d'apporter vos modifications, cliquez sur OK.<br />
8 Dans la boîte <strong>de</strong> dialogue Configurer les règles <strong>de</strong> filtrage, assurez-vous que<br />
la coche s'affiche dans la colonne Nom <strong>de</strong> règle pour activer la règle.<br />
Vous pouvez également modifier l'ordre dans lequel le pare-feu traite la règle.<br />
Se reporter à "Modification <strong>de</strong> l'ordre d'une règle <strong>de</strong> filtrage" à la page 125.<br />
9 Cliquez sur OK.<br />
Modification <strong>de</strong> l'ordre d'une règle <strong>de</strong> filtrage<br />
Le pare-feu traite la liste <strong>de</strong>s règles <strong>de</strong> filtrage <strong>de</strong> haut en bas. Vous pouvez<br />
déterminer la manière dont le pare-feu traite <strong>de</strong>s règles <strong>de</strong> filtrage en modifiant<br />
leur ordre. Lorsque vous modifiez l'ordre, ce changement ne concerne que<br />
l'emplacement sélectionné.<br />
Remarque : Pour une meilleure protection, placez les règles les plus restrictives<br />
en premier, <strong>et</strong> les règles les moins restrictives en <strong>de</strong>rnier.<br />
Se reporter à "A propos <strong>de</strong> l'ordre <strong>de</strong> traitement <strong>de</strong>s règles" à la page 123.<br />
Se reporter à "Ajout d'une règle <strong>de</strong> filtrage" à la page 124.<br />
Pour modifier l'ordre d'une règle <strong>de</strong> filtrage<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Etat.<br />
2 En regard <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Options ><br />
Configurer <strong>de</strong>s règles <strong>de</strong> filtrage.<br />
3 Dans la boîte <strong>de</strong> dialogue Configurer les règles <strong>de</strong> filtrage, sélectionnez la<br />
règle que vous voulez déplacer.<br />
4 Effectuez l'une <strong>de</strong>s opérations suivantes :<br />
■<br />
Pour que le pare-feu traite c<strong>et</strong>te règle avant la règle située au-<strong>de</strong>ssus,<br />
cliquez sur la fléche orientée vers le haut.
126<br />
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Activation <strong>et</strong> désactivation <strong>de</strong>s règles<br />
■<br />
Pour que le pare-feu traite c<strong>et</strong>te règle après la règle située au-<strong>de</strong>ssous,<br />
cliquez sur la fléche orientée vers le bas.<br />
5 Quand vous avez terminé <strong>de</strong> déplacer les règles, cliquez sur OK.<br />
Activation <strong>et</strong> désactivation <strong>de</strong>s règles<br />
Vous <strong>de</strong>vez activer <strong>de</strong>s règles <strong>de</strong> sorte que le pare-feu puisse les traiter. Quand<br />
vous ajoutez <strong>de</strong>s règles, elles sont automatiquement activées.<br />
Vous pouvez désactiver temporairement une règle <strong>de</strong> filtrage si vous <strong>de</strong>vez<br />
accor<strong>de</strong>r un accès spécifique à un ordinateur ou un programme.<br />
Se reporter à "Ajout d'une règle <strong>de</strong> filtrage" à la page 124.<br />
Pour activer <strong>et</strong> désactiver <strong>de</strong>s règles<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Etat.<br />
2 Près <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Options ><br />
Configurer les règles <strong>de</strong> filtrage.<br />
3 Dans la boîte <strong>de</strong> dialogue Configurer les règles <strong>de</strong> filtrage, dans la colonne<br />
Nom <strong>de</strong> la règle, sélectionnez ou désélectionnez la case à cocher située en<br />
regard <strong>de</strong> la règle que vous voulez activer ou désactiver.<br />
4 Cliquez sur OK.<br />
Exportation <strong>et</strong> importation <strong>de</strong> règles<br />
Vous pouvez partager les règles avec un autre <strong>client</strong> pour éviter <strong>de</strong> les recréer.<br />
Vous pouvez exporter les règles d'un autre ordinateur <strong>et</strong> les importer sur votre<br />
ordinateur. Quand vous importez <strong>de</strong>s règles, elles sont ajoutées au bas <strong>de</strong> la liste<br />
<strong>de</strong> règles <strong>de</strong> filtrage. Les règles importées ne remplacent pas <strong>de</strong>s règles existantes,<br />
même si une règle importée est i<strong>de</strong>ntique à une règle existante.<br />
Les règles exportées <strong>et</strong> les règles importées sont enregistrées dans un fichier .sar<br />
Se reporter à "Ajout d'une règle <strong>de</strong> filtrage" à la page 124.<br />
Pour exporter <strong>de</strong>s règles<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Etat.<br />
2 Près <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Options ><br />
Configurer les règles <strong>de</strong> filtrage.<br />
3 Dans la boîte <strong>de</strong> dialogue Configurer les règles <strong>de</strong> filtrage, sélectionnez les<br />
règles que vous voulez exporter.
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
A propos <strong>de</strong>s règles <strong>de</strong> filtrage intégrées<br />
127<br />
4 Cliquez avec le bouton droit <strong>de</strong> la souris sur les règles <strong>et</strong> puis cliquez sur<br />
Exporter les règles sélectionnées.<br />
5 Dans la boîte <strong>de</strong> dialogue Exporter, tapez un nom <strong>de</strong> fichier <strong>et</strong> puis cliquez<br />
sur Enregistrer.<br />
6 Cliquez sur OK.<br />
Pour importer <strong>de</strong>s règles<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Etat.<br />
2 Près <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Options ><br />
Configurer les règles <strong>de</strong> filtrage.<br />
3 Dans la boîte <strong>de</strong> dialogue Configurer les règles <strong>de</strong> filtrage, cliquez avec le<br />
bouton droit <strong>de</strong> la souris sur la liste <strong>de</strong>s règles <strong>de</strong> filtrage puis cliquez sur<br />
Importer la règle…<br />
4 Dans la boîte <strong>de</strong> dialogue Importer, localisez le fichier .sar qui contient les<br />
règles que vous voulez importer.<br />
5 Cliquez sur Ouvrir.<br />
6 Cliquez sur OK.<br />
A propos <strong>de</strong>s règles <strong>de</strong> filtrage intégrées<br />
La protection contre les menaces réseau inclut <strong>de</strong>s règles qui autorisent certains<br />
types <strong>de</strong> trafic. Vous pouvez activer ou désactiver ces règles plutôt que d'en ajouter<br />
vous même.<br />
Se reporter à "Ajout d'une règle <strong>de</strong> filtrage" à la page 124.<br />
Votre administrateur peut choisir <strong>de</strong> vous accor<strong>de</strong>r ou non la permission <strong>de</strong><br />
personnaliser ces paramètres.<br />
Par défaut, le pare-feu perm<strong>et</strong> la plupart <strong>de</strong> trafic TCP/IP, excepté IPv6.<br />
Vous pouvez activer ou désactiver les règles <strong>de</strong> filtrage intégrées suivantes :<br />
Filtres intelligents <strong>de</strong><br />
trafic<br />
Autorise certains types <strong>de</strong> trafic spécifiques requis sur la plupart<br />
<strong>de</strong>s réseaux. Ce type <strong>de</strong> trafic comprend le trafic DHCP, DNS <strong>et</strong><br />
WINS.<br />
Se reporter à "Activation du filtrage <strong>de</strong> trafic intelligent "<br />
à la page 129.
128<br />
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Activation <strong>de</strong>s paramètres <strong>de</strong> trafic <strong>et</strong> <strong>de</strong>s paramètres <strong>de</strong> navigation Web furtive<br />
Paramètres <strong>de</strong> trafic <strong>et</strong><br />
<strong>de</strong> furtivité<br />
Active les fonctions <strong>de</strong> trafic supplémentaires telles que la<br />
protection N<strong>et</strong>BIOS, la gestion du trafic Token Ring, la fonction<br />
<strong>de</strong> requête DNS inversée <strong>et</strong> le mo<strong>de</strong> furtif.<br />
Se reporter à "Activation <strong>de</strong>s paramètres <strong>de</strong> trafic <strong>et</strong> <strong>de</strong>s<br />
paramètres <strong>de</strong> navigation Web furtive" à la page 128.<br />
Vous pouvez désactiver la protection momentanément, par exemple durant<br />
l'installation d'un nouveau logiciel.<br />
Se reporter à "Activation ou désactivation <strong>de</strong> la protection contre les menaces<br />
réseau" à la page 42.<br />
Vous pouvez également configurer les paramètres <strong>de</strong> Microsoft Windows<br />
N<strong>et</strong>working.<br />
Se reporter à "Activation du partage <strong>de</strong>s fichiers <strong>et</strong> <strong>de</strong>s imprimantes du réseau"<br />
à la page 130.<br />
Activation <strong>de</strong>s paramètres <strong>de</strong> trafic <strong>et</strong> <strong>de</strong>s paramètres<br />
<strong>de</strong> navigation Web furtive<br />
Vous pouvez perm<strong>et</strong>tre à divers paramètres du trafic <strong>et</strong> paramètres furtifs <strong>de</strong><br />
navigation web <strong>de</strong> se protéger contre certains types d'attaques réseau sur le <strong>client</strong>.<br />
Vous pouvez perm<strong>et</strong>tre à <strong>de</strong>s paramètres <strong>de</strong> trafic <strong>de</strong> détecter <strong>et</strong> <strong>de</strong> bloquer le<br />
trafic qui communique par les pilotes, N<strong>et</strong>BIOS <strong>et</strong> les anneaux à j<strong>et</strong>on. Vous pouvez<br />
également configurer <strong>de</strong>s paramètres pour détecter le trafic qui utilise <strong>de</strong>s attaques<br />
moins visibles. Vous pouvez également contrôler le comportement pour le trafic<br />
IP qui ne correspond à aucune règle <strong>de</strong> filtrage. Après que le pare-feu ait terminé<br />
certaines opérations, la comman<strong>de</strong> est transmise à un certain nombre <strong>de</strong><br />
composants. Chaque composant est conçu pour effectuer un type différent<br />
d'analyse <strong>de</strong> paqu<strong>et</strong>.<br />
Se reporter à "Activation du filtrage <strong>de</strong> trafic intelligent " à la page 129.<br />
Pour activer <strong>de</strong>s paramètres <strong>de</strong> trafic <strong>et</strong> <strong>de</strong>s paramètres <strong>de</strong> navigation Web furtive<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 Près <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Configurer les<br />
paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> protection contre les menaces réseau,<br />
cliquez sur Pare-feu.
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Activation du filtrage <strong>de</strong> trafic intelligent<br />
129<br />
4 Sur l'ongl<strong>et</strong> Pare-feu, dans les zones <strong>de</strong> grtoupe Paramètres <strong>de</strong> trafic <strong>et</strong><br />
Paramètres <strong>de</strong> furtivité, cochez les cases pour activer les paramètres.<br />
5 Cliquez sur OK.<br />
Activation du filtrage <strong>de</strong> trafic intelligent<br />
Les filtres intelligents <strong>de</strong> trafic perm<strong>et</strong>tent l'échange normal <strong>de</strong> certains services<br />
<strong>de</strong> réseau essentiels sans définir les règles qui autorisent explicitement ces services.<br />
Pendant le traitement, ces filtres sont évalués avant les règles <strong>de</strong> filtrage <strong>de</strong> sorte<br />
que les paqu<strong>et</strong>s correspondant à une occurrence active d'une règle intrinsèque<br />
soient permis. Vous pouvez définir les règles intrinsèques <strong>de</strong>s services DHCP,<br />
DNS <strong>et</strong> WINS. Les <strong>de</strong>man<strong>de</strong>s <strong>de</strong> ces services proviennent <strong>de</strong> l'ordinateur <strong>client</strong>,<br />
<strong>et</strong> l'intervention du serveur se produit au bout d'un temps prédéfini <strong>de</strong> 5 secon<strong>de</strong>s.<br />
C<strong>et</strong>te intervention est vérifiée pour s'assurer qu'elle est vali<strong>de</strong> pour la <strong>de</strong>man<strong>de</strong><br />
du <strong>client</strong>.<br />
Les filtres <strong>de</strong> trafic intelligents autorise le paqu<strong>et</strong> si une <strong>de</strong>man<strong>de</strong> a été faite. Ils<br />
ne bloquent pas les paqu<strong>et</strong>s. Les règles <strong>de</strong> filtrage autorisent ou bloquent <strong>de</strong>s<br />
paqu<strong>et</strong>s.<br />
Se reporter à "Activation <strong>de</strong>s paramètres <strong>de</strong> trafic <strong>et</strong> <strong>de</strong>s paramètres <strong>de</strong> navigation<br />
Web furtive" à la page 128.<br />
Activation du filtrage du trafic intelligent<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 A côté <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Configurer les<br />
paramètres .<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> protection contre les menaces<br />
réseau, cliquez sur Pare-feu.<br />
4 Cochez une ou plusieurs <strong>de</strong>s cases suivantes :<br />
■<br />
■<br />
■<br />
Activer Smart DHCP<br />
Activer Smart DNS<br />
Activer Smart WINS<br />
5 Cliquez sur OK.
130<br />
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Activation du partage <strong>de</strong>s fichiers <strong>et</strong> <strong>de</strong>s imprimantes du réseau<br />
Activation du partage <strong>de</strong>s fichiers <strong>et</strong> <strong>de</strong>s imprimantes<br />
du réseau<br />
Vous pouvez perm<strong>et</strong>tre au <strong>client</strong> <strong>de</strong> partager ses fichiers ou d'accé<strong>de</strong>r à <strong>de</strong>s fichiers<br />
<strong>et</strong> <strong>de</strong>s imprimantes partagés sur votre réseau local. Pour empêcher <strong>de</strong>s attaques<br />
basées sur le réseau, vous pouvez désactiver le partage <strong>de</strong>s fichiers <strong>et</strong> <strong>de</strong>s<br />
imprimantes du réseau.<br />
Vous pouvez activer le partage <strong>de</strong>s fichiers <strong>et</strong> <strong>de</strong>s imprimantes du réseau <strong>de</strong>s<br />
manières suivantes :<br />
■<br />
■<br />
Activation automatique <strong>de</strong>s paramètres <strong>de</strong> partage <strong>de</strong>s fichiers <strong>et</strong> <strong>de</strong>s<br />
imprimantes du réseau sous l'ongl<strong>et</strong> Réseau Microsoft Windows.<br />
Toute règle <strong>de</strong> filtrage bloquant ce trafic est prioritaire sur ces paramètres.<br />
Activation manuelle du partage <strong>de</strong>s fichiers <strong>et</strong> <strong>de</strong>s imprimantes du réseau en<br />
ajoutant <strong>de</strong>s règles <strong>de</strong> filtrage.<br />
Vous pouvez ajouter <strong>de</strong>s règles <strong>de</strong> filtrage afin d'avoir plus <strong>de</strong> flexibilité par<br />
rapport aux paramètres. Par exemple, quand vous créez une règle, vous pouvez<br />
spécifier un hôte particulier au lieu <strong>de</strong> l'ensemble <strong>de</strong>s hôtes. Les règles <strong>de</strong><br />
filtrage autorisent l'accès aux ports pour l'accès aux fichiers <strong>et</strong> aux imprimantes<br />
ainsi que leur partage. Vous créez un ensemble <strong>de</strong> règles <strong>de</strong> filtrage perm<strong>et</strong>tant<br />
au <strong>client</strong> <strong>de</strong> partager ses fichiers. Vous créez un second ensemble <strong>de</strong> règles <strong>de</strong><br />
filtrage <strong>de</strong> sorte que le <strong>client</strong> puisse accé<strong>de</strong>r à d'autres fichiers <strong>et</strong> imprimantes.<br />
Votre administrateur n'a peut-être pas activé c<strong>et</strong>te option sur le <strong>client</strong>. Les<br />
utilisateurs sur le <strong>client</strong> peuvent activer ces paramètres automatiquement.<br />
Se reporter à "A propos <strong>de</strong>s règles <strong>de</strong> filtrage intégrées" à la page 127.<br />
Pour activer automatiquement le partage <strong>de</strong>s fichiers <strong>et</strong> <strong>de</strong>s imprimantes du réseau<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 A côté <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Configurer les<br />
paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> protection contre les menaces réseau,<br />
cliquez sur Réseau Microsoft Windows.<br />
4 Dans l'ongl<strong>et</strong> Réseau Microsoft Windows, cliquez sur Rechercherlesfichiers<br />
<strong>et</strong> les imprimantes sur le réseau pour accé<strong>de</strong>r aux autres ordinateurs <strong>et</strong><br />
imprimantes au sein du réseau.<br />
5 Pour perm<strong>et</strong>tre à d'autres ordinateurs d'accé<strong>de</strong>r aux fichiers <strong>de</strong> votre<br />
ordinateur, cliquez sur Partager mes fichiers <strong>et</strong> mes imprimantes sur le<br />
réseau.<br />
6 Cliquez sur OK.
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Activation du partage <strong>de</strong>s fichiers <strong>et</strong> <strong>de</strong>s imprimantes du réseau<br />
131<br />
Pour perm<strong>et</strong>tre manuellement aux <strong>client</strong>s d'accé<strong>de</strong>r aux fichiers <strong>et</strong> imprimantes<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Etat.<br />
2 Près <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Options ><br />
Configurer les règles <strong>de</strong> filtrage.<br />
3 Dans la boîte <strong>de</strong> dialogue Configurer les règles <strong>de</strong> filtrage, cliquez sur Ajouter.<br />
4 Sous l'ongl<strong>et</strong> Général, tapez un nom pour la règle <strong>et</strong> cliquez sur Autoriser ce<br />
trafic.<br />
5 Sous l'ongl<strong>et</strong> Ports <strong>et</strong> protocoles, dans la liste déroulante Protocole, cliquez<br />
sur TCP.<br />
6 Dans la liste déroulante Ports distants, tapez 88, 135, 139, 445.<br />
7 Cliquez sur OK.<br />
8 Dans la boîte <strong>de</strong> dialogue Configurer les règles <strong>de</strong> filtrage, cliquez sur Ajouter.<br />
9 Sur l'ongl<strong>et</strong> Général, tapez un nom pour la règle puis cliquez sur Autoriser<br />
ce trafic.<br />
10 Sous l'ongl<strong>et</strong> Ports <strong>et</strong> protocoles, dans la liste déroulante Protocole, cliquez<br />
sur UDP.<br />
11 Dans la liste déroulante Ports distants, tapez 88.<br />
12 Dans la liste déroulante Ports locaux, tapez 137, 138.<br />
13 Cliquez sur OK.<br />
Pour perm<strong>et</strong>tre manuellement aux autres ordinateurs d'accé<strong>de</strong>r aux fichiers sur le<br />
<strong>client</strong><br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Etat.<br />
2 Près <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Options ><br />
Configurer les règles <strong>de</strong> filtrage.<br />
3 Dans la boîte <strong>de</strong> dialogue Configurer les règles <strong>de</strong> filtrage, cliquez sur Ajouter.<br />
4 Sur l'ongl<strong>et</strong> Général, tapez un nom pour la règle puis cliquez sur Autoriser<br />
ce trafic.<br />
5 Dans la liste déroulante Protocole <strong>de</strong> l'ongl<strong>et</strong> Ports <strong>et</strong> protocoles, cliquez sur<br />
TCP.<br />
6 Dans la liste déroulante Ports locaux, tapez 88, 135, 139, 445.<br />
7 Cliquez sur OK.<br />
8 Dans la boîte <strong>de</strong> dialogue Configurer les règles <strong>de</strong> filtrage, cliquez sur Ajouter.
132<br />
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Blocage du trafic<br />
9 Sur l'ongl<strong>et</strong> Général, tapez un nom pour la règle puis cliquez sur Autoriser<br />
ce trafic.<br />
10 Dans la liste déroulante Protocole <strong>de</strong> l'ongl<strong>et</strong> Ports <strong>et</strong> protocoles, cliquez sur<br />
UDP.<br />
11 Dans la liste déroulante Ports locaux, tapez 88, 137, 138.<br />
12 Cliquez sur OK.<br />
Blocage du trafic<br />
Vous pouvez configurer votre ordinateur pour bloquer le trafic entrant <strong>et</strong> le trafic<br />
sortant dans les situations suivantes :<br />
■<br />
■<br />
■<br />
Quand l'écran <strong>de</strong> veille <strong>de</strong> votre ordinateur est activé.<br />
Vous pouvez configurer votre ordinateur <strong>de</strong> manière à bloquer l'ensemble du<br />
trafic Voisinage réseau entrant <strong>et</strong> sortant lorsque l'économiseur d'écran <strong>de</strong><br />
l'ordinateur est activé. Dès que l'écran <strong>de</strong> veille est désactivé, votre ordinateur<br />
revient au niveau <strong>de</strong> sécurité précé<strong>de</strong>mment attribué.<br />
Quand le pare-feu ne s'exécute pas.<br />
L'ordinateur n'est pas protégé entre le démarrage <strong>de</strong> l'ordinateur <strong>client</strong> <strong>et</strong><br />
l'activation du service <strong>de</strong> pare-feu ni entre la désactivation du service <strong>de</strong><br />
pare-feu <strong>et</strong> l'arrêt <strong>de</strong> l'ordinateur. C<strong>et</strong>te pério<strong>de</strong> est une p<strong>et</strong>ite faille <strong>de</strong> sécurité<br />
qui peut perm<strong>et</strong>tre une communication non autorisée.<br />
Quand vous voulez bloquer tout le trafic entrant <strong>et</strong> sortant à tout moment.<br />
Vous pouvez vouloir bloquer tout le trafic quand un virus particulièrement<br />
<strong>de</strong>structeur attaque votre réseau d'entreprise ou sous-réseau. Vous ne bloquerez<br />
pas tout le trafic dans <strong>de</strong>s circonstances normales.<br />
Remarque : Votre administrateur peut configurer c<strong>et</strong>te option pour la rendre<br />
indisponible. Vous ne pouvez pas bloquer le trafic sur un <strong>client</strong> autogéré.<br />
Vous pouvez perm<strong>et</strong>tre tout le trafic en désactivant la protection contre les<br />
menaces réseau.<br />
Se reporter à "Activation ou désactivation <strong>de</strong> la protection contre les menaces<br />
réseau" à la page 42.<br />
Se reporter à "Bloquer <strong>et</strong> débloquer un ordinateur attaquant" à la page 139.
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Configurer <strong>de</strong>s paramètres spécifiques à une application<br />
133<br />
Pour bloquer le trafic quand l'écran <strong>de</strong> veille est activé<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 Près <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Configurer les<br />
paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> protection contre les menaces réseau,<br />
cliquez sur Réseau Microsoft Windows.<br />
4 Sur l'ongl<strong>et</strong> Réseau Microsoft Windows, cliquez sur le Bloquerl<strong>et</strong>raficréseau<br />
Microsoft Windows lorsque l'écran <strong>de</strong> veille est activé.<br />
5 Cliquez sur OK.<br />
Pour bloquer le trafic quand le pare-feu ne s'exécute pas<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 En regard <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Configurer<br />
les paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> protection contre les menaces réseau,<br />
cliquez sur Pare-feu.<br />
4 Sur l'ongl<strong>et</strong> Pare-feu, cliquez sur Bloquer l'ensemble du trafic jusqu'à<br />
l'activation du pare-feu <strong>et</strong> après sa désactivation.<br />
5 En option, cliquez sur Autoriser le trafic DHCP <strong>et</strong> N<strong>et</strong>BIOS initial.<br />
6 Cliquez sur OK.<br />
Pour bloquer tout le trafic à tout moment<br />
1 Dans le <strong>client</strong>, dans la barre latérale cliquez sur Etat.<br />
2 Près <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Options > Afficher<br />
l'activité réseau…<br />
3 Cliquez sur Outils > Bloquer l'ensemble du trafic.<br />
4 Pour confirmer, cliquez sur Oui.<br />
5 Pour r<strong>et</strong>ourner aux paramètres <strong>de</strong> pare-feu utilisés préce<strong>de</strong>mment par le<br />
<strong>client</strong>, supprimez la coche Outils > Bloquer l'ensemble du trafic.<br />
Configurer <strong>de</strong>s paramètres spécifiques à une<br />
application<br />
Vous pouvez configurer les paramètres pour une application qui s'est exécutée<br />
<strong>de</strong>puis le démarrage du service <strong>de</strong> <strong>client</strong> ou a <strong>de</strong>mandé la permission d'accé<strong>de</strong>r<br />
au réseau.
134<br />
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Configurer <strong>de</strong>s paramètres spécifiques à une application<br />
Vous pouvez configurer <strong>de</strong>s restrictions telles que les adresses IP <strong>et</strong> les ports que<br />
l'application peut utiliser. Vous pouvez afficher <strong>et</strong> modifier la mesure que le <strong>client</strong><br />
prend pour chaque application qui essaye d'accé<strong>de</strong>r par votre connexion réseau.<br />
En configurant les paramètres pour une application spécifique, vous créez une<br />
règle <strong>de</strong> filtrage basée sur l'application.<br />
Remarque : S'il y a un conflit entre une règle <strong>de</strong> filtrage <strong>et</strong> un paramètre spécifique<br />
à d'application, la règle <strong>de</strong> filtrage a la priorité. Par exemple, une règle <strong>de</strong> filtrage<br />
qui bloque tout le trafic entre 1h00 <strong>et</strong> 8h00 remplace la planification pour une<br />
application vidéo spécifique.<br />
Se reporter à "Ajout d'une règle <strong>de</strong> filtrage" à la page 124.<br />
Les applications qui apparaissent dans la boîte <strong>de</strong> dialogue Activité réseau sont<br />
les applications <strong>et</strong> les services qui se sont exécutés <strong>de</strong>puis que le service <strong>client</strong> a<br />
démarré.<br />
Pour configurer les paramètres spécifiques à <strong>de</strong>s applications<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Etat.<br />
2 A côté <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Options>Afficher<br />
les paramètres d'application.<br />
3 Dans la boîte <strong>de</strong> dialogue Afficher les paramètres <strong>de</strong>s applications,<br />
sélectionnez l'application à configurer, puis cliquez sur Configurer.<br />
4 Dans la boîte <strong>de</strong> dialogue Configurer les paramètres <strong>de</strong> l'application, dans la<br />
zone <strong>de</strong> texte IPSapprouvés<strong>de</strong>l'application, saisissez une adresse IP ou une<br />
plage d'IP.<br />
5 Dans les zones <strong>de</strong> texte Ports <strong>de</strong> serveur distant ou Ports locaux, sélectionnez<br />
un port TCP ou UDP.<br />
6 Pour spécifier la direction du trafic, cliquez sur l'un <strong>de</strong>s éléments suivants<br />
ou les <strong>de</strong>ux :<br />
■<br />
■<br />
Pour perm<strong>et</strong>tre le trafic sortant, cliquez sur Perm<strong>et</strong>tre les connexions<br />
sortantes.<br />
Pour perm<strong>et</strong>tre le trafic entrant, cliquez sur Perm<strong>et</strong>tre les connexions<br />
entrantes.<br />
7 Pour appliquer la règle quand l'écran <strong>de</strong> veille s'exécute, cliquez sur le<br />
Perm<strong>et</strong>tre lorsque l'écran <strong>de</strong> veille est activé.<br />
8 Pour configurer une planification <strong>de</strong>s pério<strong>de</strong>s où les restrictions sont ou ne<br />
sont pas en vigueur, cliquez sur Activer la planification.<br />
9 Sélectionnez l'un <strong>de</strong>s éléments suivants :
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Configurer <strong>de</strong>s paramètres spécifiques à une application<br />
135<br />
■<br />
■<br />
Pour spécifier le moment où les restrictions sont en vigueur, cliquez sur<br />
Au cours <strong>de</strong> la pério<strong>de</strong> ci-<strong>de</strong>ssous.<br />
Pour spécifier le moment où les restrictions ne sont pas en vigueur, cliquez<br />
sur A l'exclusion <strong>de</strong> la pério<strong>de</strong> ci-<strong>de</strong>ssous.<br />
10 Configurez la planification.<br />
11 Cliquez sur OK.<br />
12 Dans la boîte <strong>de</strong> dialogue Afficher les paramètres d'application, pour modifier<br />
l'action, cliquez avec le bouton droit <strong>de</strong> la souris sur l'application puis cliquez<br />
sur Autoriser ou Bloquer.<br />
13 Cliquez sur OK.<br />
Pour arrêter une application ou un service<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Etat.<br />
2 Près <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Options > Afficher<br />
l'activité réseau.<br />
3 Dans le champ Applications en cours, cliquez avec le bouton droit <strong>de</strong> la souris<br />
sur l'application, puis cliquez sur Terminer.<br />
4 Pour confirmer, cliquez sur Oui, puis cliquez sur Fermer.<br />
Suppression <strong>de</strong>s restrictions d'une application<br />
Vous pouvez supprimer les restrictions <strong>de</strong> l'application, telles que l'heure à laquelle<br />
le pare-feu bloque une application. Quand vous supprimez les restrictions, l'action<br />
effectuée par le <strong>client</strong> sur l'application est également effacée. Quand l'application<br />
ou le service essaye <strong>de</strong> se connecter au réseau <strong>de</strong> nouveau, un message peut vous<br />
<strong>de</strong>man<strong>de</strong>r <strong>de</strong> nouveau s'il faut perm<strong>et</strong>tre ou bloquer l'application.<br />
Vous pouvez arrêter une application ou un service jusqu'à ce que l'application<br />
essaye d'accé<strong>de</strong>r à votre ordinateur <strong>de</strong> nouveau, comme quand vous redémarrez<br />
l'ordinateur.<br />
Se reporter à "Configurer <strong>de</strong>s paramètres spécifiques à une application"<br />
à la page 133.<br />
Pour supprimer les restrictions d'une application<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Etat.<br />
2 Près <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Options > Afficher<br />
les paramètres <strong>de</strong>s applications.<br />
3 Dans la boîte <strong>de</strong> dialogue Afficher les paramètres <strong>de</strong>s applications, faites une<br />
<strong>de</strong>s actions suivantes :
136<br />
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Gestion <strong>de</strong> la protection <strong>de</strong> prévention <strong>de</strong>s intrusions<br />
■<br />
■<br />
Pour supprimer une application <strong>de</strong> la liste, sélectionnez-la <strong>et</strong> puis cliquez<br />
sur Supprimer.<br />
Pour supprimer toutes les applications <strong>de</strong> la liste, cliquez sur Supprimer<br />
tout.<br />
4 Cliquez sur Oui.<br />
5 Cliquez sur OK.<br />
Gestion <strong>de</strong> la protection <strong>de</strong> prévention <strong>de</strong>s intrusions<br />
Vous pouvez gérer la protection <strong>de</strong> prévention <strong>de</strong>s intrusion à la page Politiques.<br />
La gestion <strong>de</strong> la protection <strong>de</strong> prévention <strong>de</strong>s intrusions fait partie <strong>de</strong> la protection<br />
contre les menaces réseau.<br />
Tableau 6-6 affiche les tâches <strong>de</strong> prévention <strong>de</strong>s intrusions que vous pouvez<br />
effectuer pour protéger votre ordinateur.<br />
Tableau 6-6<br />
Opération<br />
Gestion <strong>de</strong> la protection <strong>de</strong> prévention <strong>de</strong>s intrusions<br />
Description<br />
En savoir plus sur la prévention <strong>de</strong>s<br />
intrusions<br />
Découvrez comment prévention <strong>de</strong>s intrusions détecte<br />
<strong>et</strong> bloque les attaques réseau.<br />
Assurez-vous que <strong>de</strong>s paramètres<br />
Prévention d'intrusion sont activés<br />
Se reporter à "Fonctionnement <strong>de</strong> la protection <strong>de</strong><br />
prévention <strong>de</strong>s intrusions" à la page 137.<br />
Vérifiez régulièrement que la prévention <strong>de</strong>s<br />
intrusions est activée sur vos ordinateurs.<br />
Se reporter à "Activation ou désactivation <strong>de</strong>s<br />
paramètres <strong>de</strong> prévention <strong>de</strong>s intrusions" à la page 138.<br />
Télécharger les signatures IPS les<br />
plus récentes.<br />
Télécharger les signatures IPS les plus récentes. Par<br />
défaut, LiveUpdate télécharge les signatures IPS.<br />
Cependant, vous pouvez vouloir télécharger les<br />
signatures IPS immédiatement.<br />
Se reporter à "Mise à jour <strong>de</strong> la protection <strong>de</strong><br />
l'ordinateur" à la page 32.<br />
Se reporter à "Bloquer <strong>et</strong> débloquer un ordinateur attaquant" à la page 139.
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Fonctionnement <strong>de</strong> la protection <strong>de</strong> prévention <strong>de</strong>s intrusions<br />
137<br />
Fonctionnement <strong>de</strong> la protection <strong>de</strong> prévention <strong>de</strong>s<br />
intrusions<br />
La protection <strong>de</strong> prévention <strong>de</strong>s intrusions détecte <strong>et</strong> bloque automatiquement<br />
les attaques réseau. La protection <strong>de</strong> prévention <strong>de</strong>s intrusions analyse chaque<br />
paqu<strong>et</strong> qui entre <strong>et</strong> sort d'un ordinateur à la recherche <strong>de</strong> signatures d'attaque.<br />
Une signature d'attaque est une combinaison unique d'informations qui i<strong>de</strong>ntifie<br />
la tentative d'exploitation d'une vulnérabilité connu d'un système d'exploitation<br />
ou programme par un attaquant.<br />
La protection <strong>de</strong> prévention <strong>de</strong>s intrusions utilise la liste exhaustive <strong>de</strong> signatures<br />
d'attaque <strong>de</strong> <strong>Symantec</strong>.<br />
http://securityresponse.symantec.com/avcenter/attack_sigs/in<strong>de</strong>x.html<br />
La protection <strong>de</strong> prévention <strong>de</strong>s intrusions peut également bloquer toute la<br />
communication <strong>de</strong>puis <strong>et</strong> vers un ordinateur attaquant pendant une pério<strong>de</strong><br />
spécifiée.<br />
Se reporter à "Gestion <strong>de</strong> la protection <strong>de</strong> prévention <strong>de</strong>s intrusions" à la page 136.<br />
Se reporter à "Activation ou désactivation <strong>de</strong>s paramètres <strong>de</strong> prévention <strong>de</strong>s<br />
intrusions" à la page 138.<br />
Figure 6-1<br />
<strong>Protection</strong> <strong>de</strong> prévention <strong>de</strong>s intrusions<br />
Attaquant<br />
Ordinateur <strong>client</strong>
138<br />
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Activation ou désactivation <strong>de</strong>s paramètres <strong>de</strong> prévention <strong>de</strong>s intrusions<br />
Activation ou désactivation <strong>de</strong>s paramètres <strong>de</strong><br />
prévention <strong>de</strong>s intrusions<br />
Par défaut, les paramètres <strong>de</strong> prévention <strong>de</strong>s intrusions sont désactivés. Vous<br />
pouvez vouloir désactiver les paramètres IPS à <strong>de</strong>s fins <strong>de</strong> dépannage ou si<br />
l'ordinateur <strong>client</strong> détecte <strong>de</strong>s faux positifs excessifs.<br />
Vous pouvez activer ou désactiver les paramètres suivants :<br />
■<br />
■<br />
■<br />
Les signatures du système <strong>de</strong> prévention d'intrusion qui détectent <strong>et</strong> empêchent<br />
les attaques réseau.<br />
Les paramètres <strong>de</strong> prévention d'intrusion qui empêchent les analyses <strong>de</strong> port<br />
<strong>et</strong> les attaques par déni <strong>de</strong> service.<br />
L'intervention active, qui bloque automatiquement les ordinateurs qui envoient<br />
<strong>de</strong>s attaques.<br />
Typiquement, quand vous désactivez les paramètres <strong>de</strong> prévention d'intrusion<br />
sur votre ordinateur, votre ordinateur est moins sécurisé. Cependant, vous pouvez<br />
<strong>de</strong>voir désactiver ces paramètres pour éviter <strong>de</strong>s faux positifs ou pour dépanner<br />
les ordinateurs <strong>client</strong>.<br />
Le <strong>client</strong> consigne les attaques <strong>et</strong> les événements <strong>de</strong> sécurité que le système <strong>de</strong><br />
prévention d'intrusion détecte dans le journal <strong>de</strong> sécurité. Le <strong>client</strong> peut consigner<br />
les attaques <strong>et</strong> les événements dans le journal <strong>de</strong>s paqu<strong>et</strong>s.<br />
Se reporter à "Fonctionnement <strong>de</strong> la protection <strong>de</strong> prévention <strong>de</strong>s intrusions"<br />
à la page 137.<br />
Remarque : Votre administrateur peut configurer ces options pour les rendre<br />
indisponibles.<br />
Pour activer ou désactiver <strong>de</strong>s paramètres <strong>de</strong> prévention <strong>de</strong>s intrusions<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 A côté <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Configurer les<br />
paramètres .<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> protection contre les menaces<br />
réseau, cliquez sur Prévention d'intrusion.<br />
4 Pour activer un paramètre, dans l'ongl<strong>et</strong> Préventiond'intrusion, cochez l'une<br />
<strong>de</strong>s cases suivantes :<br />
■<br />
■<br />
Activer la prévention d'intrusion<br />
Activer la détection <strong>de</strong> déni <strong>de</strong> service
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Configuration <strong>de</strong>s notifications <strong>de</strong> prévention d'intrusion<br />
139<br />
■ Activer la détection d'analyse <strong>de</strong> port<br />
Pour plus d'informations sur les paramètres, cliquez sur Ai<strong>de</strong>.<br />
5 Cliquez sur OK.<br />
Configuration <strong>de</strong>s notifications <strong>de</strong> prévention<br />
d'intrusion<br />
Vous pouvez configurer <strong>de</strong>s notifications pour apparaître quand le <strong>client</strong> détecte<br />
une attaque réseau sur votre ordinateur ou quand il empêche une application<br />
d'accé<strong>de</strong>r à votre ordinateur. Vous pouvez définir la durée d'apparition <strong>de</strong> ces<br />
notifications <strong>et</strong> si la notification se produit avec une annonce sonore.<br />
Vous <strong>de</strong>vez activer le système <strong>de</strong> prévention d'intrusion pour que les notifications<br />
<strong>de</strong> prévention d'intrusion apparaissent.<br />
Remarque : Votre administrateur a pu configurer ces options pour qu'elles soient<br />
indisponibles.<br />
Pour configurer <strong>de</strong>s notifications <strong>de</strong> prévention d'intrusion<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 Près <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Configurer les<br />
paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> protection contre les menaces réseau,<br />
cliquez sur Prévention d'intrusion.<br />
4 Cochez Afficher les notifications <strong>de</strong> prévention d'intrusion.<br />
5 Pour entendre un bip quand la notification apparaît, cochez Utiliser<strong>de</strong>seff<strong>et</strong>s<br />
sonores pour la notification <strong>de</strong>s utilisateurs.<br />
6 Dans le champ Durée (en secon<strong>de</strong>s) d'affichage <strong>de</strong>s notifications, tapez un<br />
laps <strong>de</strong> temps pendant lequel les notifications doivent apparaître.<br />
7 Cliquez sur OK.<br />
Bloquer <strong>et</strong> débloquer un ordinateur attaquant<br />
Quand le <strong>client</strong> <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> détecte une attaque réseau, il peut<br />
bloquer automatiquement la connexion pour s'assurer que l'ordinateur <strong>client</strong> est<br />
sûr. Le <strong>client</strong> active une intervention active, qui bloque automatiquement toute<br />
communication <strong>de</strong>puis <strong>et</strong> vers l'adresse IP <strong>de</strong> l'ordinateur attaquant pendant un
140<br />
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Bloquer <strong>et</strong> débloquer un ordinateur attaquant<br />
laps <strong>de</strong> temps défini. L'adresse IP <strong>de</strong> l'ordinateur attaquant est bloquée pour un<br />
unique emplacement.<br />
Les signatures IPS mises à jour, les signatures <strong>de</strong> déni <strong>de</strong> service mises à jour <strong>et</strong><br />
les analyses <strong>de</strong> port déclenchent également une intervention active.<br />
Vous pouvez afficher l'adresse IP <strong>de</strong> l'ordinateur attaquant dans le journal <strong>de</strong><br />
sécurité. Vous pouvez également débloquer une attaque en arrêtant l'intervention<br />
active dans le journal <strong>de</strong> sécurité.<br />
Se reporter à "Activation ou désactivation <strong>de</strong>s paramètres <strong>de</strong> prévention <strong>de</strong>s<br />
intrusions" à la page 138.<br />
Se reporter à "Blocage du trafic" à la page 132.<br />
Pour bloquer un ordinateur attaquant<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Changer les paramètres.<br />
2 Près <strong>de</strong> <strong>Protection</strong> contre les menaces réseau, cliquez sur Configurer les<br />
paramètres.<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> protection contre les menaces réseau,<br />
cliquez sur Prévention d'intrusion.<br />
4 Cochez Durée (en secon<strong>de</strong>s) du blocage automatique <strong>de</strong> l'adresse IP d'un<br />
pirate, puis introduisez le nombre <strong>de</strong> secon<strong>de</strong>s.<br />
Introduisez un nombre d'une secon<strong>de</strong> à 999.999 secon<strong>de</strong>s. La durée par défaut<br />
est 600 secon<strong>de</strong>s ou 10 minutes.<br />
5 Cliquez sur OK.<br />
Si vous ne souhaitez pas patienter pendant le délai requis pour débloquer<br />
l'adresse IP, vous pouvez la débloquer immédiatement.<br />
Pour débloquer un ordinateur attaquant<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Afficher les journaux.<br />
2 Près <strong>de</strong> Gestion <strong>de</strong>s <strong>client</strong>s, cliquez sur Afficher les journaux > Journal <strong>de</strong><br />
sécurité.<br />
3 Dans le journal <strong>de</strong> sécurité, sélectionnez la ligne qui contient l'intervention<br />
active dans la colonne <strong>de</strong> type d'événement <strong>et</strong> puis cliquez sur Opération ><br />
Arrêter l'intervention active.<br />
Pour débloquer les adresses IP bloquées, cliquez sur Opération > Arrêter<br />
toutes les interventions actives. Si vous débloquez une intervention active,<br />
la colonne <strong>de</strong> type d'événement affiche l'intervention active annulée. Si le<br />
délai d'intervention active est dépassé, la colonne <strong>de</strong> type d'événement affiche<br />
Intervention active désengagée.
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Bloquer <strong>et</strong> débloquer un ordinateur attaquant<br />
141<br />
4 Dans la zone <strong>de</strong> message qui apparaît, cliquez sur OK.<br />
5 Cliquez sur Fichier > Quitter.
142<br />
Gestion <strong>de</strong> la protection contre les menaces réseau<br />
Bloquer <strong>et</strong> débloquer un ordinateur attaquant
Section<br />
3<br />
Gestion <strong>de</strong> la protection sur<br />
le <strong>client</strong> <strong>Symantec</strong> N<strong>et</strong>work<br />
Access Control<br />
■<br />
Chapitre 7. Gestion <strong>de</strong> N<strong>et</strong>work Access Control
144
Chapitre<br />
7<br />
Gestion <strong>de</strong> N<strong>et</strong>work Access<br />
Control<br />
Ce chapitre traite <strong>de</strong>s suj<strong>et</strong>s suivants :<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
Fonctionnement <strong>de</strong> <strong>Symantec</strong> N<strong>et</strong>work Access Control<br />
Exécution d'une vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte<br />
A propos <strong>de</strong> la mise à jour <strong>de</strong> la politique d'intégrité <strong>de</strong> l'hôte<br />
Réparation <strong>de</strong> l'ordinateur<br />
Afficher les journaux N<strong>et</strong>work Access Control<br />
Fonctionnement du <strong>client</strong> avec un module d'application Enforcer<br />
■ Configuration du <strong>client</strong> pour l'authentification 802.1x<br />
Fonctionnement <strong>de</strong> <strong>Symantec</strong> N<strong>et</strong>work Access Control<br />
Le <strong>client</strong> <strong>Symantec</strong> N<strong>et</strong>work Access Control vali<strong>de</strong> <strong>et</strong> impose la conformité aux<br />
politiques pour les ordinateurs qui essayent <strong>de</strong> se connecter au réseau. Ce processus<br />
<strong>de</strong> validation <strong>et</strong> d'application commence avant que l'ordinateur ne se connecte<br />
au réseau <strong>et</strong> continue durant toute la durée <strong>de</strong> la connexion. La politique d'intégrité<br />
<strong>de</strong> l'hôte est la politique <strong>de</strong> sécurité qui sert <strong>de</strong> base à toutes les évaluations <strong>et</strong><br />
actions.<br />
Tableau 7-1 décrit le processus que N<strong>et</strong>work Access Control utilise pour imposer<br />
la conformité <strong>de</strong>s politiques sur l'ordinateur <strong>client</strong>.
146<br />
Gestion <strong>de</strong> N<strong>et</strong>work Access Control<br />
Fonctionnement <strong>de</strong> <strong>Symantec</strong> N<strong>et</strong>work Access Control<br />
Tableau 7-1<br />
Action<br />
Comment <strong>Symantec</strong> N<strong>et</strong>work Access Control fonctionne<br />
Description<br />
Le <strong>client</strong> évalue<br />
continuellement sa<br />
conformité.<br />
Vous activez l'ordinateur <strong>client</strong>. Le <strong>client</strong> exécute une<br />
vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte qui compare la<br />
configuration <strong>de</strong> l'ordinateur à la politique d'intégrité <strong>de</strong><br />
l'hôte téléchargée <strong>de</strong>puis le serveur <strong>de</strong> gestion.<br />
<strong>Symantec</strong> Enforcer<br />
authentifie l'ordinateur<br />
<strong>client</strong> <strong>et</strong> lui accor<strong>de</strong> l'accès<br />
au réseau ou bloque <strong>et</strong> m<strong>et</strong><br />
en quarantaine les<br />
ordinateurs non conformes.<br />
Votre administrateur peut<br />
avoir installé la politique <strong>de</strong><br />
sorte qu'une vérification <strong>de</strong><br />
l'intégrité <strong>de</strong> l'hôte réussisse<br />
même si une exigence<br />
spécifique échoue.<br />
Le <strong>client</strong> résout les<br />
ordinateurs non conformes.<br />
La vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte évalue la conformité<br />
<strong>de</strong> votre ordinateur à la politique d'intégrité <strong>de</strong> l'hôte pour<br />
le logiciel antivirus, les correctifs, les hotfixes <strong>et</strong> d'autres<br />
exigences <strong>de</strong> sécurité. Par exemple, la politique peut vérifier<br />
le moment auquel ses définitions antivirus ont été mises à<br />
jour <strong>et</strong> les <strong>de</strong>rniers correctifs appliqués au système<br />
d'exploitation.<br />
Si l'ordinateur répond à toutes les exigences <strong>de</strong> la politique,<br />
le contrôle d'intégrité réussit. Enforcer accor<strong>de</strong> le plein accès<br />
au réseau aux ordinateurs qui passent la vérification <strong>de</strong><br />
l'intégrité <strong>de</strong> l'hôte.<br />
Si l'ordinateur ne répond pas aux exigences <strong>de</strong> la politique,<br />
la vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte échoue. Quand une<br />
vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte échoue, le <strong>client</strong> ou<br />
<strong>Symantec</strong> Enforcer bloque votre ordinateur ou le m<strong>et</strong> en<br />
quarantaine jusqu'à ce que vous résolviez le problème. Les<br />
ordinateurs en quarantaine ont un accès limité ou nul au<br />
réseau.<br />
Se reporter à "Fonctionnement du <strong>client</strong> avec un module<br />
d'application Enforcer" à la page 149.<br />
Le <strong>client</strong> peut afficher une notification chaque fois que la<br />
vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte réussit.<br />
Se reporter à "Réaction aux notifications <strong>de</strong> N<strong>et</strong>work Access<br />
Control" à la page 28.<br />
Si le <strong>client</strong> constate qu'une spécification <strong>de</strong> la politique<br />
d'intégrité <strong>de</strong> l'hôte n'est pas satisfaite, il installe ou vous<br />
<strong>de</strong>man<strong>de</strong> d'installer le logiciel requis. Quand votre<br />
ordinateur est conforme, il essaye d'accé<strong>de</strong>r au réseau <strong>de</strong><br />
nouveau. Si l'ordinateur est entièrement conforme, le réseau<br />
accor<strong>de</strong> l'accès au réseau.<br />
Se reporter à "Réparation <strong>de</strong> l'ordinateur" à la page 148.
Gestion <strong>de</strong> N<strong>et</strong>work Access Control<br />
Exécution d'une vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte<br />
147<br />
Action<br />
Description<br />
Le <strong>client</strong> contrôle<br />
proactivement la conformité.<br />
Le <strong>client</strong> contrôle activement l'état <strong>de</strong> conformité pour tous<br />
les ordinateurs <strong>client</strong>. Si, à un moment quelconque, l'état<br />
<strong>de</strong> conformité <strong>de</strong> l'ordinateur change, les droits d'accès au<br />
réseau <strong>de</strong> l'ordinateur font <strong>de</strong> même.<br />
Vous pouvez afficher plus d'informations sur les résultats <strong>de</strong> vérification <strong>de</strong><br />
l'intégrité <strong>de</strong> l'hôte dans Journal <strong>de</strong> sécurité.<br />
Exécution d'une vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte<br />
Votre administrateur configure la fréquence selon laquelle le <strong>client</strong> exécute une<br />
vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte. Vous pouvez <strong>de</strong>voir exécuter une vérification<br />
<strong>de</strong> l'intégrité <strong>de</strong> l'hôte immédiatement plutôt qu'attendre le contrôle suivant. Par<br />
exemple, l'échec d'une vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte peut indiquer que vous<br />
<strong>de</strong>vez m<strong>et</strong>tre à jour l'application antivirus sur votre ordinateur. Le <strong>client</strong> peut<br />
vous perm<strong>et</strong>tre <strong>de</strong> choisir <strong>de</strong> télécharger le logiciel requis immédiatement ou <strong>de</strong><br />
reporter le téléchargement. Si vous téléchargez le logiciel immédiatement, vous<br />
<strong>de</strong>vez exécuter la vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte <strong>de</strong> nouveau pour vérifier que<br />
vous avez le logiciel correct. Vous pouvez attendre la vérification <strong>de</strong> l'intégrité<br />
<strong>de</strong> l'hôte planifiée suivante ou exécuter le contrôle immédiatement.<br />
Pour exécuter une vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Etat.<br />
2 en regard <strong>de</strong> N<strong>et</strong>work Access Control, cliquez sur Options > Vérifier<br />
maintenant.<br />
3 Si un message apparaît pour confirmer que la vérification <strong>de</strong> l'intégrité <strong>de</strong><br />
l'hôte s'est exécutée, cliquez sur OK.<br />
Si vous aviez été bloqué pour l'accès au réseau, vous <strong>de</strong>vriez regagner l'accès<br />
au réseau quand votre ordinateur a été mis à jour pour être conforme à la<br />
politique <strong>de</strong> sécurité.<br />
A propos <strong>de</strong> la mise à jour <strong>de</strong> la politique d'intégrité<br />
<strong>de</strong> l'hôte<br />
Le <strong>client</strong> m<strong>et</strong> à jour la politique d'intégrité <strong>de</strong> l'hôte à intervalles réguliers. Votre<br />
administrateur peut <strong>de</strong>man<strong>de</strong>r que vous m<strong>et</strong>tiez à jour la politique d'intégrité <strong>de</strong><br />
l'hôte avant la mise à jour planifiée suivante aux fins <strong>de</strong> test. Autrement, vous<br />
n'avez pas besoin <strong>de</strong> m<strong>et</strong>tre à jour la politique.
148<br />
Gestion <strong>de</strong> N<strong>et</strong>work Access Control<br />
Réparation <strong>de</strong> l'ordinateur<br />
Se reporter à "M<strong>et</strong>tre à jour manuellement le fichier <strong>de</strong> politique" à la page 35.<br />
Réparation <strong>de</strong> l'ordinateur<br />
Si le <strong>client</strong> constate qu'une spécification <strong>de</strong> politique d'intégrité <strong>de</strong> l'hôte n'est<br />
pas satisfaite, il réagit <strong>de</strong> l'une <strong>de</strong>s manières suivantes :<br />
■<br />
■<br />
Le <strong>client</strong> télécharge automatiquement la mise à jour du logiciel.<br />
Le <strong>client</strong> vous invite à télécharger la mise à jour logicielle requise.<br />
Pour corriger votre ordinateur<br />
◆<br />
Dans la boîte <strong>de</strong> dialogue <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> qui apparaît, faites<br />
une <strong>de</strong>s actions suivantes :<br />
■<br />
■<br />
■<br />
Pour vérifier les exigences <strong>de</strong> sécurité auxquelles votre ordinateur ne<br />
satisfait pas, cliquez sur Détails.<br />
Pour installer immédiatement le logiciel, cliquez sur Restaurer<br />
Vous pouvez ou non avoir l'option d'annuler l'installation après qu'elle<br />
ait commencé.<br />
Pour reporter l'installation du logiciel, cliquez sur Me le rappeler dans <strong>et</strong><br />
sélectionnez un délai dans la liste déroulante.<br />
L'administrateur peut configurer le nombre <strong>de</strong> fois maximal où<br />
l'installation peut être reportée.<br />
Afficher les journaux N<strong>et</strong>work Access Control<br />
Le <strong>client</strong> <strong>Symantec</strong> N<strong>et</strong>work Access Control utilise les journaux suivants pour<br />
contrôler différents aspects <strong>de</strong> son fonctionnement <strong>et</strong> <strong>de</strong> la vérification <strong>de</strong><br />
l'intégrité <strong>de</strong> l'hôte :<br />
Sécurité<br />
Système<br />
Enregistre les résultats <strong>et</strong> l'état <strong>de</strong> vérifications <strong>de</strong> l'intégrité <strong>de</strong> l'hôte.<br />
Enregistre toutes les modifications opérationnelles pour le <strong>client</strong>, tel<br />
que la connexion au serveur <strong>de</strong> gestion <strong>et</strong> les mises à jour <strong>de</strong> la<br />
politique <strong>de</strong> sécurité <strong>client</strong>.<br />
Si vous utilisez un <strong>client</strong> géré, les <strong>de</strong>ux journaux peuvent être régulièrement<br />
envoyés au serveur. Votre administrateur peut utiliser le contenu <strong>de</strong>s journaux<br />
pour analyser l'état global <strong>de</strong> la sécurité du réseau.<br />
Vous pouvez exporter les données <strong>de</strong> ces journaux.
Gestion <strong>de</strong> N<strong>et</strong>work Access Control<br />
Fonctionnement du <strong>client</strong> avec un module d'application Enforcer<br />
149<br />
Pour afficher les journaux <strong>Symantec</strong> N<strong>et</strong>work Access Control<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Etat.<br />
2 Pour afficher le journal système, à côté <strong>de</strong> N<strong>et</strong>work Access Control, cliquez<br />
sur Options > Afficher les journaux.<br />
3 Pour afficher le journal <strong>de</strong> sécurité, dans la boîte <strong>de</strong> dialogue Journaux <strong>de</strong><br />
gestion <strong>de</strong>s <strong>client</strong>s - journal système, cliquez sur Affichage > Journal <strong>de</strong><br />
sécurité.<br />
4 Cliquez sur Fichier> Quitter.<br />
Se reporter à "A propos <strong>de</strong>s journaux" à la page 157.<br />
Fonctionnement du <strong>client</strong> avec un module<br />
d'application Enforcer<br />
Le <strong>client</strong> interagit avec <strong>Symantec</strong> Enforcer. Enforcer s'assure que tous les<br />
ordinateurs qui se connectent au réseau qu'il protège exécutent le logiciel <strong>client</strong><br />
<strong>et</strong> ont une politique <strong>de</strong> sécurité correcte.<br />
Se reporter à "Fonctionnement <strong>de</strong> <strong>Symantec</strong> N<strong>et</strong>work Access Control" à la page 145.<br />
Enforcer doit authentifier l'utilisateur ou l'ordinateur <strong>client</strong> avant d'autoriser à<br />
l'ordinateur <strong>client</strong> à accé<strong>de</strong>r au réseau. <strong>Symantec</strong> N<strong>et</strong>work Access Control<br />
fonctionne avec plusieurs types <strong>de</strong> modules Enforcer pour authentifier l'ordinateur<br />
<strong>client</strong>. <strong>Symantec</strong> Enforcer est le boîtier <strong>de</strong> matériel réseau qui contrôle les résultats<br />
d'intégrité <strong>de</strong> l'hôte <strong>et</strong> l'i<strong>de</strong>ntité <strong>de</strong> l'ordinateur <strong>client</strong> avant <strong>de</strong> perm<strong>et</strong>tre l'accès<br />
au réseau d'ordinateurs.<br />
Enforcer vérifie les informations suivantes avant <strong>de</strong> perm<strong>et</strong>tre aux <strong>client</strong>s d'accé<strong>de</strong>r<br />
au réseau :<br />
■<br />
■<br />
■<br />
■<br />
Version du logiciel <strong>client</strong> que l'ordinateur exécute.<br />
Le <strong>client</strong> a un i<strong>de</strong>ntificateur unique (UID).<br />
Le <strong>client</strong> a été mis à jour avec la politique d'intégrité <strong>de</strong> l'hôte la plus récente.<br />
L'ordinateur <strong>client</strong> réussi la vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte.<br />
Se reporter à "Configuration du <strong>client</strong> pour l'authentification 802.1x" à la page 149.<br />
Configuration du <strong>client</strong> pour l'authentification 802.1x<br />
Si votre réseau d'entreprise utilise LAN Enforcer pour l'authentification,<br />
l'ordinateur <strong>client</strong> doit être configuré pour utiliser l'authentification 802.1x. Vous
150<br />
Gestion <strong>de</strong> N<strong>et</strong>work Access Control<br />
Configuration du <strong>client</strong> pour l'authentification 802.1x<br />
ou votre administrateur <strong>de</strong>vez configurer le <strong>client</strong>. Votre administrateur peut<br />
vous avoir autorisé ou non à configurer l'authentification 802.1x.<br />
Le procédé d'authentification 802.1x inclut les étapes suivantes :<br />
■<br />
■<br />
■<br />
■<br />
Un <strong>client</strong> non authentifié ou un supplicant tierce partie envoie les informations<br />
utilisateur <strong>et</strong> les informations <strong>de</strong> conformité à un commutateur réseau 802.1x<br />
géré.<br />
Le commutateur réseau r<strong>et</strong>ransm<strong>et</strong> les informations à LAN Enforcer. LAN<br />
Enforcer envoie les informations utilisateur au serveur d'authentification pour<br />
l'authentification. Le serveur RADIUS est le serveur d'authentification.<br />
Si le <strong>client</strong> échoue à l'authentification au niveau utilisateur ou n'est pas<br />
conforme à la politique d'intégrité <strong>de</strong> l'hôte, Enforcer peut bloquer l'accès au<br />
réseau. Enforcer place l'ordinateur <strong>client</strong> non conforme dans un réseau <strong>de</strong><br />
quarantaine où l'ordinateur peut être corrigé.<br />
Après que le <strong>client</strong> ait corrigé l'ordinateur <strong>et</strong> l'ait rendu conforme, le protocole<br />
802.1x authentifie à nouveau l'ordinateur <strong>et</strong> lui accor<strong>de</strong> l'accès au réseau.<br />
Pour travailler avec LAN Enforcer, le <strong>client</strong> peut utiliser un supplicant tiers ou<br />
un supplicant intégré.<br />
Tableau 7-2 décrit les types d'options que vous pouvez configurer pour<br />
l'authentification 802.1x.<br />
Tableau 7-2 options d'authentification 802.1x<br />
Option<br />
Supplicant tiers<br />
Description<br />
Utilise un supplicant tiers 802.1x.<br />
LAN Enforcer fonctionne avec un serveur RADIUS <strong>et</strong> <strong>de</strong>s<br />
supplicants tiers 802.1x pour effectuer l'authentification<br />
utilisateur. Le supplicant 802.1x vous <strong>de</strong>man<strong>de</strong> les<br />
informations utilisateur, que LAN Enforcer passe au serveur<br />
RADIUS pour l'authentification au niveau utilisateur. Le <strong>client</strong><br />
envoie le profil <strong>client</strong> <strong>et</strong> l'état d'intégrité <strong>de</strong> l'hôte à Enforcer<br />
<strong>de</strong> sorte qu'Enforcer authentifie l'ordinateur.<br />
Remarque : Si vous voulez utiliser le <strong>client</strong> <strong>Symantec</strong><br />
N<strong>et</strong>work Access Control avec un supplicant tiers, le module<br />
<strong>Protection</strong> contre les menaces réseau du <strong>client</strong> <strong>Symantec</strong><br />
<strong>Endpoint</strong> <strong>Protection</strong> doit être installé.
Gestion <strong>de</strong> N<strong>et</strong>work Access Control<br />
Configuration du <strong>client</strong> pour l'authentification 802.1x<br />
151<br />
Option<br />
Mo<strong>de</strong> transparent<br />
Description<br />
Utilise le <strong>client</strong> pour s'exécuter en tant que supplicant 802.1x.<br />
Vous utilisez c<strong>et</strong>te métho<strong>de</strong> si l'administrateur ne souhaite<br />
pas utiliser un serveur RADIUS pour effectuer<br />
l'authentification utilisateur. LAN Enforcer s'exécute dans<br />
le mo<strong>de</strong> transparent <strong>et</strong> agit en tant que serveur<br />
pseudo-RADIUS.<br />
Le mo<strong>de</strong> transparent signifie que le supplicant ne vous<br />
<strong>de</strong>man<strong>de</strong> pas les données utilisateur. Dans le mo<strong>de</strong><br />
transparent, le <strong>client</strong> agit en tant que supplicant 802.1x. Le<br />
<strong>client</strong> répond à la sollicitation EAP du commutateur avec le<br />
profil <strong>client</strong> <strong>et</strong> l'état d'intégrité <strong>de</strong> l'hôte. Le commutateur, à<br />
son tour, fait suivre les informations à LAN Enforcer, qui agit<br />
en tant que serveur pseudo-RADIUS. LAN Enforcer vali<strong>de</strong><br />
l'intégrité <strong>de</strong> l'hôte <strong>et</strong> les données <strong>de</strong> profil <strong>de</strong> <strong>client</strong> du<br />
commutateur <strong>et</strong> peut perm<strong>et</strong>tre, bloquer ou attribuer<br />
dynamiquement un VLAN, comme approprié.<br />
Remarque : Pour utiliser un <strong>client</strong> en tant que supplicant<br />
802.1x, vous <strong>de</strong>vez désinstaller ou désactiver les supplicants<br />
tiers 802.1x sur l'ordinateur <strong>client</strong>.<br />
Supplicant intégré<br />
Utilise le supplicant intégré 802.1x <strong>de</strong> l'ordinateur <strong>client</strong>.<br />
Les protocoles d'authentification intégrés incluent Smart<br />
Card, PEAP ou TLS. Après avoir activé l'authentification<br />
802.1x, vous <strong>de</strong>vez spécifier le protocole d'authentification<br />
à l'utiliser.<br />
Avertissement : Contactez votre administrateur avant <strong>de</strong> configurer votre <strong>client</strong><br />
pour l'authentification 802.1x. Vous <strong>de</strong>vez savoir si votre réseau d'entreprise<br />
utilise le serveur RADIUS en tant que serveur d'authentification. Si vous configurez<br />
l'authentification 802.1x incorrectement, vous pouvez interrompre votre connexion<br />
au réseau.<br />
Pour configurer le <strong>client</strong> pour utiliser un supplicant tiers<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Etat.<br />
2 A côté <strong>de</strong> N<strong>et</strong>work Access Control, cliquez sur Options > Changer les<br />
paramètres > Paramètres 802.1x.
152<br />
Gestion <strong>de</strong> N<strong>et</strong>work Access Control<br />
Configuration du <strong>client</strong> pour l'authentification 802.1x<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> N<strong>et</strong>work Access Control, cliquez sur<br />
Activer l'authentification 802.1x.<br />
4 Cliquez sur OK.<br />
Vous <strong>de</strong>vez également installer une règle <strong>de</strong> filtrage qui autorise les pilotes<br />
<strong>de</strong> supplicant tiers 802.1x sur le réseau.<br />
Se reporter à "Ajout d'une règle <strong>de</strong> filtrage" à la page 124.<br />
Vous pouvez configurer le <strong>client</strong> pour utiliser le supplicant intégré. Vous<br />
activez le <strong>client</strong> pour l'authentification 802.1x <strong>et</strong> en tant que supplicant<br />
802.1x.<br />
Pour configurer le <strong>client</strong> pour utiliser le mo<strong>de</strong> transparent ou un supplicant intégré<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Etat.<br />
2 A côté <strong>de</strong> N<strong>et</strong>work Access Control, cliquez sur Options > Changer les<br />
paramètres > Paramètres 802.1x.<br />
3 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> N<strong>et</strong>work Access Control, cliquez sur<br />
Activer l'authentification 802.1x.<br />
4 Cliquez sur Utiliser le <strong>client</strong> en tant que supplicant 802.1x.<br />
5 Effectuez l'une <strong>de</strong>s opérations suivantes :<br />
■<br />
■<br />
Pour sélectionner le mo<strong>de</strong> transparent, cochez Utiliser le mo<strong>de</strong><br />
transparent <strong>Symantec</strong>.<br />
Pour configurer un supplicant intégré, cliquez sur Vousperm<strong>et</strong><strong>de</strong>choisir<br />
le protocole d'authentification.<br />
Vous <strong>de</strong>vez alors choisir le protocole d'authentification pour votre<br />
connexion réseau.<br />
6 Cliquez sur OK.<br />
Pour choisir un protocole d'authentification<br />
1 Sur l'ordinateur <strong>client</strong>, cliquez sur Démarrer > Paramètres > Connexions<br />
réseau, puis cliquez sur Connexion au réseau local.<br />
2 Dans la boîte <strong>de</strong> dialogue Etat <strong>de</strong> la connexion au réseau local, cliquez sur<br />
Propriétés.<br />
3 Dans la boîte <strong>de</strong> dialogue Propriétés <strong>de</strong> Connexion au réseau local, cliquez<br />
sur l'ongl<strong>et</strong> Authentification.<br />
4 Sur l'ongl<strong>et</strong> Authentification, cliquez sur la liste déroulante Type EAP <strong>et</strong><br />
sélectionnez l'un <strong>de</strong>s protocoles d'authentification suivants :<br />
■<br />
Smart Card ou autre certificat
Gestion <strong>de</strong> N<strong>et</strong>work Access Control<br />
Configuration du <strong>client</strong> pour l'authentification 802.1x<br />
153<br />
■<br />
■<br />
EAP protégé (PEAP)<br />
Mo<strong>de</strong> transparent <strong>de</strong> <strong>Symantec</strong> NAC<br />
Assurez-vous que la case Activer l'authentification IEEE 802.1X pour ce<br />
réseau est cochée.<br />
5 Cliquez sur OK.<br />
6 Cliquez sur Fermer.<br />
Authentifier à nouveau votre ordinateur<br />
Si votre ordinateur a réussi la vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte mais que Enforcer<br />
le bloque, vous <strong>de</strong>vrez peut-être authentifier à nouveau votre ordinateur. Dans<br />
<strong>de</strong>s circonstances normales, vous ne <strong>de</strong>vriez jamais avoir à authentifier à nouveau<br />
votre ordinateur.<br />
Enforcer peut bloquer l'ordinateur lorsque l'un <strong>de</strong>s événements suivants survient :<br />
■<br />
■<br />
■<br />
■<br />
■<br />
L'ordinateur <strong>client</strong> a manqué l'authentification utilisateur parce que vous avez<br />
tapé incorrectement votre nom d'utilisateur ou votre mot <strong>de</strong> passe.<br />
Votre ordinateur <strong>client</strong> se trouve dans le mauvais VLAN.<br />
L'ordinateur <strong>client</strong> n'obtient pas <strong>de</strong> connexion réseau. Une connexion réseau<br />
interrompue se produit habituellement parce que le commutateur entre<br />
l'ordinateur <strong>client</strong> <strong>et</strong> LAN Enforcer n'a pas authentifié votre nom d'utilisateur<br />
<strong>et</strong> mot <strong>de</strong> passe.<br />
Vous <strong>de</strong>vez ouvrir une session sur un ordinateur <strong>client</strong> qui a authentifié un<br />
utilisateur précé<strong>de</strong>nt.<br />
L'ordinateur <strong>client</strong> a échoué au contrôle <strong>de</strong> conformité.<br />
Vous pouvez authentifier à nouveau l'ordinateur seulement si vous ou votre<br />
administrateur avez configuré l'ordinateur avec un supplicant intégré.<br />
Remarque : Votre administrateur peut ne pas avoir configuré le <strong>client</strong> pour afficher<br />
la comman<strong>de</strong> Réauthentification.<br />
Pour authentifier à nouveau votre ordinateur<br />
1 Cliquez avec le bouton droit <strong>de</strong> la souris sur l'icône <strong>de</strong> zone <strong>de</strong> notification.<br />
2 Cliquez sur Réauthentification.<br />
3 Dans la boîte <strong>de</strong> dialogue Authentifier à nouveau, tapez votre nom d'utilisateur<br />
<strong>et</strong> mot <strong>de</strong> passe.<br />
4 Cliquez sur OK.
154<br />
Gestion <strong>de</strong> N<strong>et</strong>work Access Control<br />
Configuration du <strong>client</strong> pour l'authentification 802.1x
Section<br />
4<br />
Contrôle <strong>et</strong> consignation<br />
■<br />
Chapitre 8. Utilisation <strong>et</strong> gestion <strong>de</strong>s journaux
156
Chapitre<br />
8<br />
Utilisation <strong>et</strong> gestion <strong>de</strong>s<br />
journaux<br />
Ce chapitre traite <strong>de</strong>s suj<strong>et</strong>s suivants :<br />
■<br />
■<br />
■<br />
■<br />
■<br />
A propos <strong>de</strong>s journaux<br />
Gestion <strong>de</strong> la taille <strong>de</strong> journal<br />
Mise en quarantaine <strong>de</strong>s risques <strong>et</strong> <strong>de</strong>s menaces du journal <strong>de</strong>s risques <strong>et</strong> du<br />
journal <strong>de</strong>s menaces<br />
Utiliser les journaux <strong>de</strong> protection contre les menaces réseau <strong>et</strong> <strong>de</strong> gestion <strong>de</strong>s<br />
<strong>client</strong>s<br />
Exportation <strong>de</strong>s données <strong>de</strong> journal<br />
A propos <strong>de</strong>s journaux<br />
Les journaux contiennent <strong>de</strong>s informations sur les changements <strong>de</strong> configuration<br />
<strong>client</strong>, les activités liées à la sécurité <strong>et</strong> les erreurs. Ces enregistrements sont<br />
appelés événements. Les journaux affichent ces événements avec les informations<br />
supplémentaires appropriées.<br />
Les activités liées à la sécurité incluent <strong>de</strong>s informations sur les détections <strong>de</strong><br />
virus, l'état <strong>de</strong> l'ordinateur <strong>et</strong> le trafic entrant ou sortant <strong>de</strong> l'ordinateur. Si vous<br />
utilisez un <strong>client</strong> géré, ses journaux peuvent être régulièrement chargés sur le<br />
serveur <strong>de</strong> gestion. Un administrateur peut utiliser leurs données pour analyser<br />
le statut global <strong>de</strong> sécurité du réseau.<br />
Les journaux constituent l'une <strong>de</strong>s principales métho<strong>de</strong>s pour suivre l'activité<br />
d'un ordinateur <strong>et</strong> ses relations avec d'autres ordinateurs <strong>et</strong> réseaux. Vous pouvez<br />
utiliser les informations <strong>de</strong>s journaux pour suivre les tendances associées aux<br />
virus, aux risques <strong>de</strong> sécurité <strong>et</strong> aux attaques sur votre ordinateur. Si plusieurs
158<br />
Utilisation <strong>et</strong> gestion <strong>de</strong>s journaux<br />
A propos <strong>de</strong>s journaux<br />
personnes utilisent le même ordinateur, vous pourriez i<strong>de</strong>ntifier qui introduit <strong>de</strong>s<br />
risques <strong>et</strong> ai<strong>de</strong>r c<strong>et</strong>te personne à utiliser <strong>de</strong> meilleures précautions.<br />
Pour plus d'informations sur un journal, appuyez sur F1 pour afficher l'ai<strong>de</strong> pour<br />
ce journal.<br />
Tableau 8-1 décrit les types d'événement que chaque journal affiche.<br />
Tableau 8-1<br />
Journal<br />
Journal d'analyse<br />
Journal <strong>de</strong>s risques<br />
Journaux <strong>client</strong><br />
Description<br />
Contient <strong>de</strong>s entrées sur les analyses exécutées sur l' ordinateur,<br />
<strong>de</strong>puis un certain temps.<br />
Contient <strong>de</strong>s entrées sur les virus <strong>et</strong> les risques <strong>de</strong> sécurité, tels<br />
que les logiciels publicitaires <strong>et</strong> les logiciels espions qui ont infecté<br />
l'ordinateur. Les risques <strong>de</strong> sécurité comportent un lien vers la<br />
page Web <strong>Symantec</strong> Security Response qui fournit d'autres<br />
informations.<br />
Journal système <strong>de</strong> la<br />
protection antivirus <strong>et</strong><br />
antispyware<br />
Contient <strong>de</strong>s informations sur les activités du système sur<br />
l'ordinateur en termes <strong>de</strong> virus <strong>et</strong> <strong>de</strong> risques <strong>de</strong> sécurité. Ces<br />
informations portent sur les changements <strong>de</strong> configuration, les<br />
erreurs <strong>et</strong> le fichier <strong>de</strong> définitions informations.<br />
Journal <strong>de</strong> menace<br />
Journal système <strong>de</strong> la<br />
protection proactive<br />
contre les menaces<br />
Contient <strong>de</strong>s informations sur les menaces que les analyses<br />
proactives <strong>de</strong>s menaces TruScan ont détectées sur l'ordinateur.<br />
Celles-ci incluent les applications commerciales qui peuvent être<br />
utilisées à <strong>de</strong>s fins malveillantes. Des exemples sont les chevaux<br />
<strong>de</strong> Troie, les vers ou les enregistreurs <strong>de</strong> frappe ou les vers d'envoi<br />
en masse <strong>de</strong> courrier électronique <strong>et</strong> les menaces émanant <strong>de</strong><br />
scripts.<br />
Contient <strong>de</strong>s informations sur les activités du système sur<br />
l'ordinateur en termes d'analyses proactives <strong>de</strong>s menaces TruScan.
Utilisation <strong>et</strong> gestion <strong>de</strong>s journaux<br />
A propos <strong>de</strong>s journaux<br />
159<br />
Journal<br />
Journal du trafic<br />
Description<br />
Contient les événements concernant <strong>de</strong>s attaques du trafic <strong>et</strong> <strong>de</strong><br />
prévention d'intrusion du pare-feu. Le journal contient <strong>de</strong>s<br />
informations sur les connexions que votre ordinateur établit sur<br />
le réseau.<br />
Les journaux <strong>de</strong> protection du réseau peuvent ai<strong>de</strong>nt à détecter<br />
les activités potentiellement dangereuses, telle que l'analyse <strong>de</strong><br />
port. Ils peuvent également être utilisés pour r<strong>et</strong>racer le trafic<br />
vers sa source. Vous pouvez également utiliser les journaux <strong>de</strong><br />
protection réseau pour vous ai<strong>de</strong>r à dépanner <strong>de</strong>s problèmes <strong>de</strong><br />
connectivité ou <strong>de</strong>s attaques réseau possibles. Les journaux<br />
peuvent vous indiquer quand votre ordinateur a été bloqué du<br />
réseau <strong>et</strong> vous ai<strong>de</strong>r à déterminer pourquoi votre accès a été<br />
bloqué.<br />
Journal <strong>de</strong>s paqu<strong>et</strong>s<br />
Contient <strong>de</strong>s informations sur les paqu<strong>et</strong>s <strong>de</strong> données qui entrent<br />
ou sortent par les ports <strong>de</strong> l'ordinateur.<br />
Par défaut, le journal <strong>de</strong>s paqu<strong>et</strong>s est désactivé. Il est impossible<br />
d'activer le journal <strong>de</strong>s paqu<strong>et</strong>s sur un <strong>client</strong> géré. Vous pouvez<br />
activer le journal <strong>de</strong>s paqu<strong>et</strong>s sur un <strong>client</strong> autonome.<br />
Journal <strong>de</strong> contrôle<br />
Journal <strong>de</strong> sécurité<br />
Journal système <strong>de</strong> la<br />
gestion <strong>de</strong>s <strong>client</strong>s<br />
Journal <strong>de</strong> protection<br />
contre les<br />
interventions<br />
Journaux <strong>de</strong> débogage<br />
Le journal <strong>de</strong> contrôle contient <strong>de</strong>s informations sur les clés <strong>de</strong><br />
registre <strong>de</strong> Windows, les fichiers <strong>et</strong> les DLL auxquels une<br />
application accè<strong>de</strong>, ainsi que sur les applications exécutées sur<br />
votre ordinateur.<br />
Contient <strong>de</strong>s informations sur les activités orientées vers votre<br />
ordinateur qui sont potentiellement dangereuses. Les activités<br />
telles que les attaques par déni <strong>de</strong> service, les analyses <strong>de</strong> port <strong>et</strong><br />
les changements <strong>de</strong> fichier exécutable en sont <strong>de</strong>s exemples.<br />
Contient <strong>de</strong>s informations sur toutes les modifications<br />
opérationnelles qui se sont produites sur l'ordinateur. Les<br />
exemples incluent <strong>de</strong>s activités comme lorsqu'un service démarre<br />
ou s'arrête, que l'ordinateur détecte <strong>de</strong>s applications réseau, que<br />
le logiciel est configuré ou l'état d'un <strong>client</strong> jouant le rôle <strong>de</strong><br />
fournisseur <strong>de</strong> mise à jour groupée (GUP).<br />
Contient <strong>de</strong>s entrées sur les tentatives <strong>de</strong> modification au sein <strong>de</strong>s<br />
applications <strong>Symantec</strong> sur votre ordinateur. Ces entrées<br />
contiennent <strong>de</strong>s informations sur les tentatives que la protection<br />
contre les interventions a détectées ou contrecarrées.<br />
Contient <strong>de</strong>s informations sur le <strong>client</strong>, les analyses <strong>et</strong> le pare-feu<br />
pour <strong>de</strong>s fins <strong>de</strong> réparation. L'administrateur peut vous <strong>de</strong>man<strong>de</strong>r<br />
d'activer ou <strong>de</strong> configurer les journaux, puis <strong>de</strong> les exporter.
160<br />
Utilisation <strong>et</strong> gestion <strong>de</strong>s journaux<br />
Gestion <strong>de</strong> la taille <strong>de</strong> journal<br />
Gestion <strong>de</strong> la taille <strong>de</strong> journal<br />
Vous pouvez configurer le délai <strong>de</strong> conservation <strong>de</strong>s entrées dans les journaux.<br />
La suppression <strong>de</strong>s entrées les plus anciennes évite que les journaux n'utilisent<br />
trop d'espace disque. Pour les journaux <strong>de</strong> protection contre les menaces réseau<br />
<strong>et</strong> <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s, vous pouvez également définir la place utilisée.<br />
Configuration du délai <strong>de</strong> conservation pour les entrées du journal <strong>de</strong><br />
la protection antivirus <strong>et</strong> antispyware<br />
Configurer le délai <strong>de</strong> conservation pour les entrées du journal <strong>de</strong> la protection<br />
antivirus <strong>et</strong> antispyware<br />
1 Dans le <strong>client</strong>, sur la page Etat, en regard <strong>de</strong> <strong>Protection</strong> antivirus <strong>et</strong><br />
antispyware, cliquez sur Options, puis cliquez sur Modifier les paramètres.<br />
2 Sur l'ongl<strong>et</strong> Général, définissez la durée <strong>et</strong> l'unité <strong>de</strong> conservation <strong>de</strong>s entrées<br />
dans ces journaux. Les entrées plus anciennes que la valeur spécifiée ici sont<br />
supprimées.<br />
3 Cliquez sur OK.<br />
Configurer la taille <strong>de</strong>s journaux <strong>de</strong> la protection contre les menaces<br />
réseau <strong>et</strong> <strong>de</strong> la gestion <strong>de</strong>s <strong>client</strong>s<br />
Vous pouvez définir la taille <strong>de</strong> journal pour chaque journal <strong>de</strong> protection contre<br />
les menaces réseau <strong>et</strong> chaque journal <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s.<br />
Pour modifier la taille <strong>de</strong>s journaux<br />
1 Dans le <strong>client</strong>, sur la page Etat, à droite <strong>de</strong> <strong>Protection</strong> contre les menaces<br />
réseau, cliquez sur Options, puis cliquez sur Changer les paramètres.<br />
2 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> protection contre les menaces réseau,<br />
dans l'ongl<strong>et</strong> Journaux, dans la zone <strong>de</strong> texte Taille maximale du fichier<br />
journal, tapez le nombre maximum <strong>de</strong> Ko que la taille du fichier journal peut<br />
atteindre.<br />
Vous <strong>de</strong>vez limiter la taille du fichier journal en raison <strong>de</strong> l'espace disponible<br />
sur l'ordinateur. La taille par défaut pour tous les journaux est <strong>de</strong> 512 Ko,<br />
sauf pour le journal <strong>de</strong> contrôle <strong>et</strong> le journal <strong>de</strong>s paqu<strong>et</strong>s. La taille par défaut<br />
pour le journal <strong>de</strong> contrôle <strong>et</strong> le journal <strong>de</strong>s paqu<strong>et</strong>s est <strong>de</strong> 1 024 Ko.<br />
3 Cliquez sur OK.
Utilisation <strong>et</strong> gestion <strong>de</strong>s journaux<br />
Gestion <strong>de</strong> la taille <strong>de</strong> journal<br />
161<br />
Configurer le délai <strong>de</strong> conservation <strong>de</strong>s entrées du journal <strong>de</strong> protection<br />
contre les menaces réseau <strong>et</strong> du journal <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s<br />
Vous pouvez spécifier combien <strong>de</strong> jours les entrées sont enregistrées dans chaque<br />
journal. Quand le nombre maximum <strong>de</strong> jours est atteint, les entrées les plus<br />
anciennes sont remplacés. Vous pouvez vouloir supprimer <strong>de</strong>s entrées pour gagner<br />
<strong>de</strong> la place ou conserver <strong>de</strong>s entrées pour passer en revue le <strong>de</strong>gré <strong>de</strong> sécurité <strong>de</strong><br />
votre ordinateur.<br />
Pour définir le nombre <strong>de</strong> jours <strong>de</strong> conservation <strong>de</strong>s entrées <strong>de</strong> journal<br />
1 Dans le <strong>client</strong>, sur la page Etat, à droite <strong>de</strong> <strong>Protection</strong> contre les menaces<br />
réseau, cliquez sur Options, puis sur Changer les paramètres.<br />
2 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> protection contre les menaces réseau,<br />
dans l'ongl<strong>et</strong> Journaux, dans la zone <strong>de</strong> texte Enregistrer chaque entrée <strong>de</strong><br />
journal pendant, tapez le nombre maximum <strong>de</strong> jours <strong>de</strong> conservation <strong>de</strong>s<br />
entrées <strong>de</strong> journal.<br />
3 Cliquez sur OK.<br />
A propos <strong>de</strong> la suppression du contenu du journal système <strong>de</strong> la<br />
protection antivirus <strong>et</strong> antispyware<br />
Vous ne pouvez pas supprimer <strong>de</strong> manière permanente <strong>de</strong>s enregistrements<br />
d'événement du journal système en utilisant l'interface utilisateur.<br />
Suppression du contenu <strong>de</strong>s journaux <strong>de</strong> protection contre les menaces<br />
réseau <strong>et</strong> <strong>de</strong>s journaux <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s<br />
Si votre administrateur la perm<strong>et</strong>, vous pouvez effacer le contenu du journal <strong>de</strong><br />
protection contre les menaces réseau <strong>et</strong> <strong>de</strong>s journaux <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s. Une<br />
fois le journal effacé, il recommence immédiatement à enregistrer <strong>de</strong> nouvelles<br />
entrées.<br />
Remarque : Si l'option d'effacement est indisponible, vous n'avez pas la permission<br />
<strong>de</strong> supprimer le contenu du journal.<br />
Si vous avez c<strong>et</strong>te permission, vous pouvez également effacer le contenu d'un<br />
journal <strong>de</strong>puis le menu Fichier du journal lui-même.
162<br />
Utilisation <strong>et</strong> gestion <strong>de</strong>s journaux<br />
Mise en quarantaine <strong>de</strong>s risques <strong>et</strong> <strong>de</strong>s menaces du journal <strong>de</strong>s risques <strong>et</strong> du journal <strong>de</strong>s menaces<br />
Pour supprimer le contenu d'un journal<br />
1 Dans le <strong>client</strong>, sur la page Etat, à droite <strong>de</strong> <strong>Protection</strong> contre les menaces<br />
réseau, cliquez sur Options <strong>et</strong> puis cliquez sur Changer les paramètres.<br />
2 Dans la boîte <strong>de</strong> dialogue Configurer la protection contre les menaces réseau,<br />
sur l'ongl<strong>et</strong> Journaux, près du journal approprié, cliquez sur Effacerlejournal.<br />
3 Quand vous êtes invité à confirmer, cliquez sur Oui.<br />
4 Cliquez sur OK.<br />
Mise en quarantaine <strong>de</strong>s risques <strong>et</strong> <strong>de</strong>s menaces du<br />
journal <strong>de</strong>s risques <strong>et</strong> du journal <strong>de</strong>s menaces<br />
Vous pouvez m<strong>et</strong>tre en quarantaine les menaces qui ont été consignées dans le<br />
journal historique <strong>de</strong>s menaces <strong>de</strong> la protection proactive contre les menaces.<br />
Vous pouvez m<strong>et</strong>tre en quarantaine <strong>de</strong>s risques du journal antivirus <strong>et</strong> antispyware.<br />
Vous pouvez également n<strong>et</strong>toyer <strong>et</strong> supprimer <strong>de</strong>s risques dans le journal antivirus<br />
<strong>et</strong> antispyware.
Utilisation <strong>et</strong> gestion <strong>de</strong>s journaux<br />
Utiliser les journaux <strong>de</strong> protection contre les menaces réseau <strong>et</strong> <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s<br />
163<br />
Pour m<strong>et</strong>tre en quarantaine un risque ou une menace<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Afficher les journaux.<br />
2 Près <strong>de</strong> <strong>Protection</strong> antivirus <strong>et</strong> antispyware ou <strong>Protection</strong> proactive contre<br />
les menaces, cliquez sur Afficher les journaux <strong>et</strong> puis cliquez sur le nom du<br />
journal que vous voulez.<br />
3 Sélectionnez un risque ou une menace <strong>et</strong> puis cliquez sur Quarantaine.<br />
Selon l'action <strong>de</strong> prédéfinie pour une détection <strong>de</strong> risque, <strong>Symantec</strong> <strong>Endpoint</strong><br />
<strong>Protection</strong> peut être capable ou non d'exécuter l'action sélectionnée. Si la<br />
menace ou le risque est placé dans la quarantaine, vous recevez un message<br />
<strong>de</strong> succès. Vous n'avez pas besoin <strong>de</strong> prendre d'autres mesures pour protéger<br />
votre ordinateur contre ce risque ou c<strong>et</strong>te menace. Vous pouvez laisser en<br />
quarantaine les fichiers qui y sont placés du fait <strong>de</strong> risques <strong>de</strong> sécurité ou<br />
vous pouvez les supprimer. Laissez-les en quarantaine jusqu'à ce que vous<br />
soyez sûr que les applications <strong>de</strong> votre ordinateur n'ont perdu aucune<br />
fonctionnalité.<br />
Se reporter à "A propos <strong>de</strong>s fichiers infectés dans la quarantaine" à la page 92.<br />
Dans les instances où <strong>Symantec</strong> <strong>Endpoint</strong> <strong>Protection</strong> ne peut pas m<strong>et</strong>tre en<br />
quarantaine le risque ou la menace, vous recevez un message d'erreur. Dans<br />
ce cas, vous pouvez contacter votre administrateur.<br />
Vous pouvez également n<strong>et</strong>toyer <strong>et</strong> supprimer <strong>de</strong>s risques <strong>et</strong> <strong>de</strong>s menaces,<br />
ainsi qu'annuler <strong>de</strong>s actions <strong>de</strong>puis journaux, si applicable.<br />
Se reporter à "Action sur les fichiers infectés" à la page 22.<br />
Utiliser les journaux <strong>de</strong> protection contre les menaces<br />
réseau <strong>et</strong> <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s<br />
Les journaux <strong>Protection</strong> contre les menaces réseau <strong>et</strong> les journaux Gestion <strong>de</strong>s<br />
<strong>client</strong>s perm<strong>et</strong>tent <strong>de</strong> suivre l'activité <strong>de</strong> l'ordinateur <strong>et</strong> son interaction avec<br />
d'autres ordinateurs <strong>et</strong> d'autres réseaux. Ces journaux enregistrent <strong>de</strong>s<br />
informations sur la trafic qui tente d'entrer ou <strong>de</strong> sortir sur votre ordinateur par<br />
votre connexion réseau. Ils enregistrent également <strong>de</strong>s informations au suj<strong>et</strong> <strong>de</strong>s<br />
résultats <strong>de</strong> la politique <strong>de</strong> pare-feu appliquée au <strong>client</strong>.<br />
Vous pouvez gérer les journaux <strong>client</strong> <strong>Protection</strong> contre les menaces réseau <strong>et</strong><br />
Gestion <strong>de</strong>s <strong>client</strong>s à partir d'un emplacement central. Les journaux Sécurité,<br />
Trafic <strong>et</strong> Paqu<strong>et</strong> perm<strong>et</strong>tent <strong>de</strong> localiser certaines données jusqu'à leur source.<br />
Ils les tracent en utilisant ICMP pour déterminer tous les tronçons entre votre<br />
ordinateur <strong>et</strong> un intrus sur un autre ordinateur.
164<br />
Utilisation <strong>et</strong> gestion <strong>de</strong>s journaux<br />
Utiliser les journaux <strong>de</strong> protection contre les menaces réseau <strong>et</strong> <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s<br />
Remarque : Certaines options <strong>de</strong> ces journaux peuvent être indisponibles, selon<br />
le type <strong>de</strong> contrôle que votre administrateur a défini pour votre <strong>client</strong>.<br />
Actualisation <strong>de</strong>s journaux <strong>de</strong> protection contre les menaces réseau<br />
<strong>et</strong> les journaux <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s<br />
Pour actualiser un journal<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Afficher les journaux.<br />
2 A droite <strong>de</strong> <strong>Protection</strong> contre les menaces réseau ou <strong>de</strong> Gestion <strong>de</strong>s <strong>client</strong>s,<br />
cliquez sur Afficher les journaux <strong>et</strong> puis cliquez sur le nom du journal<br />
approprié.<br />
3 Dans le menu Affichage, cliquez sur Actualiser.<br />
Activation du journal <strong>de</strong>s paqu<strong>et</strong>s<br />
Tous les journaux <strong>de</strong> protection contre les menaces réseau <strong>et</strong> <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s<br />
sont activés par défaut, excepté le journal <strong>de</strong>s paqu<strong>et</strong>s. Si votre administrateur<br />
vous le perm<strong>et</strong>, vous pouvez activer <strong>et</strong> désactiver le journal <strong>de</strong>s paqu<strong>et</strong>s.<br />
Pour activer le journal <strong>de</strong>s paqu<strong>et</strong>s<br />
1 Dans le <strong>client</strong>, sur la page Etat, à droite <strong>de</strong> <strong>Protection</strong> contre les menaces<br />
réseau, cliquez sur Options <strong>et</strong> puis cliquez sur Changer les paramètres.<br />
2 Dans la boîte <strong>de</strong> dialogue Paramètres <strong>de</strong> protection contre les menaces réseau,<br />
cliquez sur Journaux.<br />
3 Cochez Activer le journal <strong>de</strong>s paqu<strong>et</strong>s.<br />
4 Cliquez sur OK.<br />
Arrêt d'une intervention active<br />
Toute intrusion détectée sur le <strong>client</strong> déclenche une intervention active. C<strong>et</strong>te<br />
intervention active bloque automatiquement l'adresse IP d'un intrus connu pendant<br />
un laps <strong>de</strong> temps spécifique. Si votre administrateur l'autorise, vous pouvez arrêter<br />
l'intervention active immédiatement <strong>de</strong>puis le journal <strong>de</strong> sécurité.<br />
Se reporter à "Bloquer <strong>et</strong> débloquer un ordinateur attaquant" à la page 139.<br />
Suivi <strong>de</strong>s événements consignés jusqu'à leur source<br />
Vous pouvez suivre certains événements pour i<strong>de</strong>ntifier la source <strong>de</strong> données d'un<br />
événement consigné. Tout comme un détective reconstitue le cheminement d'un
Utilisation <strong>et</strong> gestion <strong>de</strong>s journaux<br />
Utiliser les journaux <strong>de</strong> protection contre les menaces réseau <strong>et</strong> <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s<br />
165<br />
suspect sur les lieux du crime, un suivi indique les étapes exactes, ou tronçons,<br />
traversés par le trafic entrant. Un tronçon est un point <strong>de</strong> transition tel qu'un<br />
routeur, qu'un paqu<strong>et</strong> voyage à travers pendant qu'il va <strong>de</strong> l'ordinateur à ordinateur<br />
sur Intern<strong>et</strong>. Un suivi suit un paqu<strong>et</strong> <strong>de</strong> données vers l'arrière, en découvrant les<br />
routeurs par lesquels les données sont passées pour atteindre votre ordinateur.<br />
Pour certaines entrées <strong>de</strong> journal, vous pouvez tracer un paqu<strong>et</strong> <strong>de</strong> données utilisé<br />
dans une tentative d'attaque. Chaque routeur traversé par un paqu<strong>et</strong> <strong>de</strong> données<br />
a une adresse IP. Vous pouvez afficher l'adresse IP <strong>et</strong> d'autres détails. Les<br />
informations affichées ne garantissent pas que vous avez découvert qui le pirate<br />
est vraiment. L'adresse IP du tronçon final indique le propriétaire du routeur<br />
auquel se sont connectés les pirates, <strong>et</strong> pas nécessaire les pirates eux-mêmes.<br />
Vous pouvez suivre certains événements consignés dans Journal <strong>de</strong> sécurité <strong>et</strong> le<br />
Journal du trafic.<br />
Pour suivre un événement consigné<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Afficher les journaux.<br />
2 A la droite <strong>de</strong> <strong>Protection</strong> contre les menaces réseau ou <strong>de</strong> Gestion <strong>de</strong>s <strong>client</strong>s,<br />
cliquez sur Afficher les journaux. Cliquez ensuite sur le journal qui contient<br />
l'entrée que vous voulez tracer.<br />
3 Dans la fenêtre <strong>de</strong> vue <strong>de</strong> journal, sélectionnez la ligne <strong>de</strong> l'entrée que vous<br />
voulez tracer.<br />
4 Cliquez sur Opération, puis cliquez sur R<strong>et</strong>our.<br />
5 Dans la boîte <strong>de</strong> dialogue Informations relatives au r<strong>et</strong>our, cliquez sur Who<br />
is >> pour afficher <strong>de</strong>s informations détaillées sur chaque tronçon.<br />
Un vol<strong>et</strong> déroulant affiche <strong>de</strong>s informations détaillées sur le propriétaire <strong>de</strong><br />
l'adresse IP d'où est issu l'événement <strong>de</strong> trafic. Vous pouvez utiliser CTRL-C<br />
<strong>et</strong> CTRL-V pour couper-coller les informations du vol<strong>et</strong> dans un message<br />
<strong>de</strong>stiné à votre administrateur.<br />
6 Cliquez sur Who is
166<br />
Utilisation <strong>et</strong> gestion <strong>de</strong>s journaux<br />
Exportation <strong>de</strong>s données <strong>de</strong> journal<br />
■<br />
Vérifier l'intégrité <strong>de</strong> l'hôte<br />
Se reporter à "Exécution d'une vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte" à la page 147.<br />
Exportation <strong>de</strong>s données <strong>de</strong> journal<br />
Vous pouvez exporter les informations <strong>de</strong> certains journaux vers un fichier (.csv)<br />
délimité par <strong>de</strong>s virgules ou un fichier <strong>de</strong> base <strong>de</strong> données Access (.mdb). Le format<br />
.csv est un format <strong>de</strong> fichier courant que la plupart <strong>de</strong>s tableurs <strong>et</strong> programmes<br />
<strong>de</strong> base <strong>de</strong> données utilisent pour l'importation <strong>de</strong> données. En important ces<br />
données dans un autre programme, vous pouvez les utiliser pour créer <strong>de</strong>s<br />
présentations, <strong>de</strong>s graphiques ou pour les combiner avec d'autres informations.<br />
Vous pouvez exporter les informations <strong>de</strong>s journaux <strong>de</strong> protection contre les<br />
menaces réseau <strong>et</strong> <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s vers <strong>de</strong>s fichiers texte délimité par <strong>de</strong>s<br />
tabulations.<br />
Remarque : Si vous exécutez le logiciel <strong>client</strong> sous Windows Server 2008 Server<br />
Core, vous ne pouvez pas exporter les données <strong>de</strong> journal vers un fichier .mdb. Le<br />
format .mdb requiert <strong>de</strong>s applications Microsoft qui ne sont pas disponibles sous<br />
Server Core.<br />
Vous pouvez exporter les journaux suivants dans un fichier .csv ou .mdb :<br />
■<br />
■<br />
■<br />
■<br />
■<br />
■<br />
Journal système <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Journal <strong>de</strong>s risques <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Journal d'analyse <strong>de</strong> la protection antivirus <strong>et</strong> antispyware<br />
Journal système <strong>de</strong> la protection proactive contre les menaces<br />
Journal <strong>de</strong>s menaces <strong>de</strong> la protection proactive contre les menaces<br />
Journal <strong>de</strong> la protection contre les interventions<br />
Remarque : Si vous filtrez les données <strong>de</strong> journal d'une manière quelconque <strong>et</strong><br />
que vous les exportez, seules les données filtrées sont exportées. Cela n'est pas<br />
valable pour les journaux que vous exportez dans un fichier texte délimité par<br />
<strong>de</strong>s tabulations. Dans ce cas, toutes les données <strong>de</strong>s journaux sont exportées.<br />
Vous pouvez exporter les journaux suivants dans un fichier délimité par <strong>de</strong>s<br />
tabulations :<br />
■<br />
■<br />
Journal <strong>de</strong> contrôle <strong>de</strong> la gestion <strong>de</strong>s <strong>client</strong>s<br />
Journal <strong>de</strong>s paqu<strong>et</strong>s <strong>de</strong> la protection contre les menaces réseau
Utilisation <strong>et</strong> gestion <strong>de</strong>s journaux<br />
Exportation <strong>de</strong>s données <strong>de</strong> journal<br />
167<br />
■<br />
■<br />
■<br />
Journal <strong>de</strong> sécurité <strong>de</strong> la gestion <strong>de</strong>s <strong>client</strong>s<br />
Journal système <strong>de</strong> la gestion <strong>de</strong>s <strong>client</strong>s<br />
Journal du trafic <strong>de</strong> la protection contre les menaces réseau<br />
Remarque : En plus d'un fichier texte délimité par <strong>de</strong>s tabulations, vous pouvez<br />
également exporter les données du journal <strong>de</strong>s paqu<strong>et</strong>s au format du moniteur<br />
réseau ou au format N<strong>et</strong>Xray.<br />
Sur l'installation Server Core <strong>de</strong> Windows Server 2008, les boîtes <strong>de</strong> dialogue<br />
d'interface utilisateur pourraient différer <strong>de</strong> celles qui sont décrites dans ces<br />
procédures.<br />
Pour exporter <strong>de</strong>s données dans un fichier .csv<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Afficher les journaux.<br />
2 En regard <strong>de</strong> <strong>Protection</strong> antivirus <strong>et</strong> antispyware ou <strong>Protection</strong> proactive<br />
contre les menaces, cliquez sur Afficher les journaux.<br />
3 Cliquez sur le nom du journal que vous voulez.<br />
4 Dans la fenêtre <strong>de</strong> journal, assurez-vous que les données que vous voulez<br />
enregistrer apparaissent <strong>et</strong> cliquez sur Exporter.<br />
5 Dans la liste déroulante Enregistrer dans, accé<strong>de</strong>z au répertoire dans lequel<br />
vous souhaitez enregistrer le fichier.<br />
6 Dans la zone <strong>de</strong> texte Nom <strong>de</strong> fichier, entrez le nom du fichier.<br />
7 Cliquez sur Enregistrer.<br />
8 Cliquez sur OK.<br />
Pour exporter les données du journal <strong>de</strong> protection contre les menaces réseau ou<br />
du journal <strong>de</strong> gestion <strong>de</strong>s <strong>client</strong>s dans un fichier texte<br />
1 Dans le <strong>client</strong>, dans la barre latérale, cliquez sur Afficher les journaux.<br />
2 A droite <strong>de</strong> la protection contre les menaces réseau ou <strong>de</strong> la gestion <strong>de</strong>s <strong>client</strong>s,<br />
cliquez sur Afficher les journaux.<br />
3 Cliquez sur le nom du journal à partir duquel vous voulez exporter <strong>de</strong>s<br />
données.<br />
4 Cliquez sur Fichier, puis cliquez sur Exporter.<br />
Si vous avez sélectionné le journal <strong>de</strong>s paqu<strong>et</strong>s, cliquez sur Exporter vers le<br />
format du moniteur réseau ou sur Exporter vers le format N<strong>et</strong>xray.<br />
5 Dans la liste déroulante Enregistrer dans, accé<strong>de</strong>z au répertoire dans lequel<br />
vous souhaitez enregistrer le fichier.
168<br />
Utilisation <strong>et</strong> gestion <strong>de</strong>s journaux<br />
Exportation <strong>de</strong>s données <strong>de</strong> journal<br />
6 Dans la zone <strong>de</strong> texte Nom <strong>de</strong> fichier, entrez le nom du fichier.<br />
7 Cliquez sur Enregistrer.<br />
8 Cliquez sur Fichier > Quitter.
In<strong>de</strong>x<br />
A<br />
actions<br />
affectation <strong>de</strong>s actions secondaires pour les<br />
virus 84<br />
astuces d'affectation d'actions secondaires pour<br />
les risques <strong>de</strong> sécurité 85<br />
activer<br />
Auto-Protect 41<br />
<strong>Protection</strong> contre les menaces réseau 42<br />
<strong>Protection</strong> proactive contre les menaces 43<br />
adaptateurs<br />
définition 121<br />
analyse <strong>de</strong> messagerie. Se reporter à Auto-Protect<br />
analyse <strong>de</strong>s risques <strong>de</strong> sécurité<br />
désactivation dans Auto-Protect 67<br />
analyse proactive <strong>de</strong>s menaces. Se reporter à<br />
Analyses proactives <strong>de</strong>s menaces TruScan<br />
analyse réseau<br />
paramètres Auto-Protect 68<br />
analyses. Se reporter à antivirus <strong>et</strong> protection<br />
antispyware<br />
analyse <strong>de</strong>s fichiers par extension 59<br />
composants soumis à l'analyse 71<br />
en cours d'exécution 36<br />
exclusion <strong>de</strong> fichiers <strong>et</strong> <strong>de</strong> dossiers <strong>de</strong> 90<br />
exclusion <strong>de</strong>s analyses proactives <strong>de</strong> menaces<br />
TruScan 112<br />
fichiers 59<br />
fichiers compressés 73<br />
interprétation <strong>de</strong>s résultats 77<br />
mo<strong>de</strong> <strong>de</strong> fonctionnement 71<br />
options <strong>de</strong> mise en sommeil 38<br />
planifiées 73<br />
report 37<br />
sur <strong>de</strong>man<strong>de</strong> <strong>et</strong> au démarrage 76<br />
suspension 37<br />
tous les types <strong>de</strong> fichier 61<br />
analyses à la <strong>de</strong>man<strong>de</strong><br />
analyse par extension 59<br />
création 76<br />
en cours d'exécution 36<br />
analyses actives<br />
en cours d'exécution 74<br />
analyses au démarrage<br />
analyse par extension 59<br />
création 76<br />
modification <strong>et</strong> suppression 77<br />
analyses complètes<br />
en cours d'exécution 74<br />
analyses définies par l'utilisateur<br />
modification <strong>et</strong> suppression 77<br />
analyses manuelles. Se reporter à analyses à la<br />
<strong>de</strong>man<strong>de</strong><br />
analyses personnalisées<br />
en cours d'exécution 74<br />
analyses planifiées<br />
analyse par extension 59<br />
création 73<br />
modification <strong>et</strong> suppression 77<br />
multiples 73<br />
Analyses proactive <strong>de</strong> menaces TruScan<br />
niveau <strong>de</strong> sensibilité 108<br />
Analyses proactives <strong>de</strong>s menaces TruScan<br />
à propos 102<br />
à propos <strong>de</strong> 102<br />
actions 108<br />
détections 104<br />
faux positifs 105<br />
fréquence 105<br />
notifications pour 110<br />
soumission d'informations 111<br />
analyses proactives <strong>de</strong>s menaces TruScan<br />
applications commerciales 108<br />
exceptions pour 112<br />
gestion 106<br />
journaux 158<br />
types <strong>de</strong> processus à les détecter 110<br />
application<br />
à propos 149<br />
applications<br />
autoriser ou bloquer 124<br />
définition 121<br />
exclusion <strong>de</strong>s analyses 90
170<br />
In<strong>de</strong>x<br />
perm<strong>et</strong>tre ou bloquer 133<br />
authentification 802.1x<br />
à propos <strong>de</strong> 150<br />
configuration 151<br />
Auto-Protect<br />
activation ou désactivation 39, 41<br />
affichage <strong>de</strong> la liste <strong>de</strong>s risques 66<br />
affichage <strong>de</strong>s statistiques d'analyse 66<br />
analyse par extension 59<br />
cache réseau 69<br />
<strong>client</strong>s <strong>de</strong> messagerie groupware 63<br />
connexions <strong>de</strong> messagerie chiffrées 65<br />
désactivation <strong>de</strong> l'analyse <strong>de</strong>s risques <strong>de</strong><br />
sécurité 67<br />
détermination <strong>de</strong>s types <strong>de</strong> fichier 67<br />
faire confiance aux versions distantes 69<br />
paramètres d'analyse réseau 68<br />
pour <strong>client</strong>s Microsoft Exchange 63<br />
pour le courrier électronique Intern<strong>et</strong> 63<br />
pour Lotus Notes 63<br />
risques <strong>de</strong> sécurité 62<br />
utilisation 62<br />
Auto-Protect pour le système <strong>de</strong> fichiers<br />
activation ou désactivation 41<br />
B<br />
blocage d'un ordinateur <strong>de</strong> attaque 139<br />
blocage du trafic 132<br />
règles <strong>de</strong> filtrage 124<br />
bloquer le trafic 133<br />
C<br />
cache réseau<br />
paramètres Auto-Protect 69<br />
Centre <strong>de</strong> sécurité Windows<br />
affichage <strong>de</strong> l'état antivirus 99<br />
affichage <strong>de</strong> l'état du pare-feu 99<br />
Chevaux <strong>de</strong> Troie<br />
à propos <strong>de</strong> 55<br />
<strong>client</strong>s<br />
à propos 15<br />
centralement géré c. autonome 30<br />
désactivation <strong>de</strong> la protection sur 38<br />
interaction avec 21<br />
<strong>client</strong>s autonomes. Se reporter à <strong>client</strong>s autonomes<br />
à propos 30<br />
c. géré centralement 30<br />
<strong>client</strong>s gérés. Se reporter à <strong>client</strong>s gérés<br />
centralement<br />
<strong>client</strong>s gérés centralement<br />
c. autonome 30<br />
connexions UDP<br />
à propos 123<br />
Contrôle d'accès réseau<br />
notifications 28<br />
contrôle d'accès réseau<br />
à propos 19, 145<br />
application 149<br />
réparation <strong>de</strong> l'ordinateur 148<br />
courrier électronique<br />
connexions chiffrées 65<br />
exclusion du fichier <strong>de</strong> boîte <strong>de</strong> réception <strong>de</strong>s<br />
analyses 59<br />
libération <strong>de</strong> pièces jointes <strong>de</strong> la quarantaine 95<br />
D<br />
déblocage d'un ordinateur attaquant 140<br />
Déboguez le journal 159<br />
définitions<br />
à propos <strong>de</strong> 71<br />
mise à jour 32–34<br />
définitions <strong>de</strong> virus<br />
à propos <strong>de</strong> 71<br />
mise à jour 32–34<br />
désactiver<br />
Auto-Protect 39, 41<br />
<strong>Protection</strong> antivirus <strong>et</strong> antispyware 39<br />
<strong>Protection</strong> contre les menaces réseau 40, 42<br />
<strong>Protection</strong> proactive contre les menaces 39, 43<br />
dossier Eléments sauvegardés<br />
vidage 96<br />
E<br />
emplacements<br />
à propos 46<br />
changement 47<br />
évaluation <strong>de</strong> l'impact <strong>de</strong>s risques 85<br />
exceptions<br />
à propos 89<br />
ajout aux analyses 90<br />
Analyse proactive <strong>de</strong>s menaces TruScan 90, 112<br />
<strong>Protection</strong> contre les interventions 90<br />
exceptions centralisées<br />
à propos 89<br />
création 90
In<strong>de</strong>x<br />
171<br />
pour les détections <strong>de</strong> l'analyse proactive <strong>de</strong>s<br />
menaces TruScan 112<br />
exceptions d'analyse. Se reporter à exceptions<br />
centralisées<br />
extensions<br />
inclusion dans les analyses 59<br />
F<br />
fichier <strong>de</strong> définitions 72<br />
fichier infecté<br />
action 22<br />
fichiers<br />
analyse 59<br />
emplacement après réparation 95<br />
exclusion <strong>de</strong>s analyses 90<br />
libération <strong>de</strong> fichiers <strong>de</strong> la quarantaine 95<br />
partage 130<br />
réanalyse automatique <strong>de</strong>s fichiers en<br />
quarantaine 94<br />
réanalyse manuelle <strong>de</strong>s fichiers en<br />
quarantaine 95<br />
sauvegar<strong>de</strong> 96<br />
soumission à <strong>Symantec</strong> Security Response 97<br />
filtre <strong>de</strong> trafic intelligent<br />
activation 129<br />
définition 127<br />
H<br />
hôte<br />
définition 121<br />
I<br />
icône <strong>de</strong> bouclier 47<br />
icône <strong>de</strong> la zone <strong>de</strong> notification système 47<br />
icône <strong>de</strong> zone <strong>de</strong> notification<br />
à propos 47<br />
masquage <strong>et</strong> affichage 49<br />
icônes<br />
bouclier 47<br />
ca<strong>de</strong>nas 31<br />
icônes <strong>de</strong> ca<strong>de</strong>nas 31<br />
infections par virus <strong>de</strong> macro<br />
prévention 61<br />
inspection Stateful<br />
à propos 122<br />
création <strong>de</strong> règles <strong>de</strong> trafic 122<br />
intervention active<br />
à propos 139<br />
IPS<br />
à propos 116<br />
mise à jour <strong>de</strong>s définitions 32–33<br />
J<br />
journal<br />
à propos 157<br />
exportation <strong>de</strong>s entrées <strong>de</strong> journal filtrées 166<br />
formats d'exportation 166–167<br />
gestion <strong>de</strong>s <strong>client</strong>s 163<br />
Journal d'analyse 158<br />
Journal <strong>de</strong> contrôle 159<br />
Journal <strong>de</strong> menaces 158<br />
Journal <strong>de</strong> paqu<strong>et</strong> 159<br />
Journal <strong>de</strong> protection contre les interventions 159<br />
Journal <strong>de</strong> sécurité 159<br />
Journal <strong>de</strong> trafic 118, 159<br />
journal <strong>de</strong>s paqu<strong>et</strong>s<br />
activation 164<br />
Journal <strong>de</strong>s risques 158<br />
Journal système<br />
Gestion <strong>de</strong>s <strong>client</strong>s 159<br />
<strong>Protection</strong> antivirus <strong>et</strong> antispyware 158<br />
<strong>Protection</strong> contre les menaces proactives 158<br />
suppression d'entrées 161<br />
journaux<br />
activation du journal <strong>de</strong>s paqu<strong>et</strong>s 164<br />
actualisation 164<br />
configuration du délai <strong>de</strong> conservation <strong>de</strong>s<br />
entrées 160–161<br />
configurer la taille 160<br />
contrôle d'accès réseau 148<br />
exportation <strong>de</strong> données 166<br />
limitation <strong>de</strong> la taille 160<br />
mise en quarantaine <strong>de</strong>s risques <strong>et</strong> <strong>de</strong>s<br />
menaces 162<br />
protection contre les menaces réseau 163<br />
suivi <strong>de</strong>s entrées 164<br />
suppression 161<br />
L<br />
LiveUpdate<br />
création <strong>de</strong> planification pour 34<br />
exécution immédiate 33<br />
présentation 32<br />
logiciel publicitaire 56
172<br />
In<strong>de</strong>x<br />
M<br />
messages<br />
prévention d'intrusion 139<br />
réagir 24<br />
m<strong>et</strong>tre à jour<br />
définitions 32–34<br />
Mise en quarantaine<br />
soumission <strong>de</strong> fichiers à <strong>Symantec</strong> Security<br />
Response 97<br />
mise en quarantaine<br />
libération <strong>de</strong> fichiers 95<br />
N<br />
navigation Web en mo<strong>de</strong> furtif<br />
activer 128<br />
notification<br />
réagir 24<br />
notifications<br />
à propos 21<br />
contrôle d'accès réseau 28<br />
interaction <strong>de</strong> l'utilisateur 78<br />
prévention d'intrusion 139<br />
O<br />
options<br />
non disponible 30<br />
ordinateurs<br />
mise à jour <strong>de</strong> la protection sur 32<br />
ordinateurs 64 bits 37<br />
outils <strong>de</strong> piratage 56<br />
P<br />
paramètres<br />
prévention d'intrusion 138<br />
paramètres <strong>de</strong> trafic <strong>et</strong> <strong>de</strong> furtivité 128<br />
définition 127<br />
paramètres verrouillés <strong>et</strong> déverrouillés 31<br />
pare-feu<br />
activation ou désactivation 42<br />
définition 116<br />
gestion 117<br />
partage d'impressions 130<br />
partage <strong>de</strong>s fichiers <strong>et</strong> <strong>de</strong>s imprimantes 130<br />
perm<strong>et</strong>tre le trafic 133<br />
règles <strong>de</strong> filtrage 124<br />
politiques<br />
à propos 35<br />
mise à jour 35<br />
prévention d'intrusion. Se reporter à IPS<br />
activation ou désactivation 138<br />
notifications 139<br />
réaction 27<br />
prévention <strong>de</strong>s intrusions<br />
à propos 136–137<br />
protection<br />
activation ou désactivation 38<br />
mise à jour 32–34<br />
types 15<br />
protection "Zero Day" 102<br />
<strong>Protection</strong> antivirus <strong>et</strong> antispyware<br />
à propos 17<br />
à propos <strong>de</strong> 58<br />
désactivation 39, 41<br />
Journal système 158<br />
protection au niveau pilote<br />
activer 128<br />
protection contre l'usurpation d'adresse MAC<br />
activer 128<br />
protection contre les interventions<br />
à propos 43<br />
activation <strong>et</strong> désactivation 45<br />
configuration 45<br />
<strong>Protection</strong> contre les menaces proactives<br />
à propos 18<br />
activation ou désactivation 43<br />
<strong>Protection</strong> contre les menaces réseau<br />
à propos 116<br />
activation ou désactivation 40<br />
gestion 117<br />
journal 159<br />
protection contre les menaces réseau<br />
à propos 18<br />
activation ou désactivation 42<br />
protection N<strong>et</strong>BIOS<br />
activer 128<br />
<strong>Protection</strong> proactive contre les menaces<br />
activation ou désactivation 39<br />
protocole<br />
définition 121<br />
Q<br />
Quarantaine<br />
affichage <strong>de</strong> fichiers infectés 92<br />
suppression <strong>de</strong> fichiers 93<br />
quarantaine 92<br />
affichage <strong>de</strong>s détails <strong>de</strong> fichier 94<br />
déplacement <strong>de</strong> fichiers 92
In<strong>de</strong>x<br />
173<br />
gestion 93<br />
réanalyse automatique <strong>de</strong>s fichiers 94<br />
réanalyse manuelle <strong>de</strong>s fichiers 95<br />
suppression <strong>de</strong> fichiers 96<br />
suppression <strong>de</strong>s fichiers <strong>de</strong> sauvegar<strong>de</strong> 96<br />
suppression manuelle <strong>de</strong> fichiers 96<br />
traitement <strong>de</strong>s fichiers infectés 93<br />
traitement <strong>de</strong>s fichiers infectés par <strong>de</strong>s risques<br />
<strong>de</strong> sécurité 93<br />
R<br />
réauthentification 153<br />
règles <strong>de</strong> filtrage<br />
à propos 119–120<br />
activation <strong>et</strong> désactivation 126<br />
ajout 124<br />
consignation 120<br />
exportation 126<br />
modification <strong>de</strong> l'ordre 123, 125<br />
planification 120<br />
règles du pare-feu<br />
importation 127<br />
risques. Se reporter à risques <strong>de</strong> sécurité<br />
risques <strong>de</strong> sécurité<br />
à propos <strong>de</strong> 55<br />
astuces d'affectation d'actions secondaires 85<br />
comment le <strong>client</strong> les détecte 71<br />
comment le <strong>client</strong> réagit 57<br />
configuration d'actions 80<br />
configuration <strong>de</strong>s notifications 86<br />
exclusion <strong>de</strong>s analyses 90<br />
le processus continue à se télécharger 63<br />
options 87<br />
options <strong>de</strong> résolution 87<br />
que faire en cas <strong>de</strong> détection 61<br />
T<br />
taux <strong>de</strong> détection<br />
envoi d'informations à <strong>Symantec</strong> 98<br />
test <strong>de</strong> votre ordinateur 46<br />
trafic<br />
blocage 132<br />
perm<strong>et</strong>tre ou bloquer 133<br />
trafic Token Ring<br />
activer 128<br />
V<br />
Vérification <strong>de</strong> l'intégrité <strong>de</strong> l'hôte<br />
exécution 147<br />
vers 55<br />
virus<br />
à propos <strong>de</strong> 54<br />
affectation <strong>de</strong>s actions secondaires 84<br />
comment le <strong>client</strong> les détecte 71<br />
comment le <strong>client</strong> réagit 57<br />
configuration d'actions 80<br />
configuration <strong>de</strong>s notifications 86<br />
fichier endommagé 24<br />
non reconnus 97<br />
options <strong>de</strong> détection 87<br />
options <strong>de</strong> résolution 87<br />
que faire en cas <strong>de</strong> détection 61<br />
S<br />
serveur<br />
<strong>client</strong>s gérés 30<br />
connexion à 47<br />
Smart DHCP 129<br />
Smart DNS 129<br />
Smart WINS 129<br />
Spyware<br />
à propos <strong>de</strong> 56<br />
<strong>Symantec</strong> Security Response<br />
soumission <strong>de</strong> fichiers 97