Guide Produit. McAfee Endpoint Security 10.1

Dimension: px
Commencer à balayer dès la page:

Download "Guide Produit. McAfee Endpoint Security 10.1"

Transcription

1 Guide Produit McAfee Endpoint Security 10.1

2 COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, , DROITS DE MARQUES Intel et le logo Intel sont des marques commerciales déposées d'intel Corporation aux États-Unis et/ou dans d'autres pays. McAfee et le logo McAfee, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource, VirusScan sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. INFORMATIONS DE LICENCE Accord de licence À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LE CD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL 2 McAfee Endpoint Security 10.1 Guide Produit

3 Sommaire McAfee Endpoint Security 5 1 Introduction 7 Modules Endpoint Security Comment Endpoint Security protège votre ordinateur Mise à jour de la protection Interaction avec Endpoint Security A propos de l'icône de la barre d'état système McAfee A propos des messages de notification A propos d'client Endpoint Security Utilisation de Client Endpoint Security 17 Ouvrez Client Endpoint Security Obtention d'aide Réponse aux invites Réponse à une invite de détection de menace Répondre à une invite d'analyse Réponse à une invite de réputation de fichier Obtention d'informations relatives à votre protection Types de gestion Mise à jour manuelle de la protection et du logiciel Eléments mis à jour Affichage du Journal des événements A propos des fichiers journaux Gestion de Endpoint Security Connexion en tant qu'administrateur Déverrouillage de l'interface client Désactiver et activer des fonctions Modification de la version d'amcore Content Utilisation des fichiers Extra.DAT Configuration des paramètres communs Configuration du comportement de mise à jour Utilisation de Prévention contre les menaces 41 Analyse de l'ordinateur à la recherche de logiciels malveillants (malwares) Types d'analyses Exécution d'une analyse rapide ou d'une analyse complète Analyse d'un fichier ou dossier Gestion des détections de menaces Gérer les éléments mis en quarantaine Noms de détection Nouvelle analyse des éléments mis en quarantaine Gestion de Prévention contre les menaces Configuration d'exclusions Protection des points d'accès à votre système McAfee Endpoint Security 10.1 Guide Produit 3

4 Sommaire Blocage des exploits par débordement de mémoire tampon Détection des programmes potentiellement indésirables Configuration de paramètres d'analyse courants Configuration des paramètres de Analyse à l accès Configuration des paramètres de Analyse à la demande Configurer, planifier et exécuter des tâches d'analyse Utilisation de Pare-feu 77 Principes de fonctionnement du Pare-feu Activer ou afficher les groupes Pare-feu limités Gestion de Pare-feu Modification des options Pare-feu Configuration des règles et groupes Pare-feu Utilisation de Contrôle Web 91 A propos des fonctionnalités de Contrôle Web Comment Contrôle Web bloque ou émet un avertissement pour un site ou un téléchargement Menaces identifiées par le bouton Contrôle Web lors de la navigation Identification des menaces dans des icônes de sécurité lors des recherches Détails fournis par les rapports sur les sites Compilation des évaluations de sécurité Accès aux fonctionnalités du service Contrôle Web Activation du plug-in Contrôle Web du navigateur Afficher les informations relatives au site lors de la navigation Afficher le rapport de site lors d'une recherche Gestion de Contrôle Web Configuration des options de Contrôle Web Spécification des actions liées à l'évaluation et blocage de l'accès à un site selon la catégorie web Utilisation de Décisionnel face aux menaces 103 Fonctionnement de Décisionnel face aux menaces Gestion de Décisionnel face aux menaces A propos du Décisionnel face aux menaces Configuration des options Décisionnel face aux menaces Index McAfee Endpoint Security 10.1 Guide Produit

5 McAfee Endpoint Security McAfee Endpoint Security est une solution de gestion de sécurité complète qui s'exécute sur les ordinateurs du réseau afin d'identifier et de bloquer les menaces automatiquement. Cette aide explique comment utiliser les fonctionnalités de sécurité de base et résoudre les problèmes. Mise en route Modules Endpoint Security, page 7 Comment Endpoint Security protège votre ordinateur, page 8 Interaction avec Endpoint Security, page 9 Tâches exécutées fréquemment Ouvrez Client Endpoint Security, page 17 Mise à jour manuelle de la protection et du logiciel, page 21 Analyse de l'ordinateur à la recherche de logiciels malveillants (malwares), page 41 Déverrouillage de l'interface client, page 27 Informations complémentaires Pour accéder à des informations complémentaires sur ce produit, consultez : Guide d'installation de McAfee Endpoint Security Guide de migration de McAfee Endpoint Security Notes de publication de McAfee Endpoint Security Aide de Prévention contre les menaces Endpoint Security Aide de Pare-feu Endpoint Security Aide de Contrôle Web Endpoint Security Aide de Décisionnel face aux menaces Endpoint Security Support technique McAfee McAfee Endpoint Security 10.1 Guide Produit 5

6 McAfee Endpoint Security 6 McAfee Endpoint Security 10.1 Guide Produit

7 1 Introduction 1 Endpoint Security est une solution de gestion de sécurité complète qui s'exécute sur les ordinateurs du réseau afin d'identifier et de bloquer les menaces automatiquement. Cette aide explique comment utiliser les fonctionnalités de sécurité de base et résoudre les problèmes. Si votre ordinateur est managé, un administrateur installe et configure Endpoint Security à l'aide de l'un des serveurs de gestion suivants : McAfee epolicy Orchestrator (McAfee epo ) McAfee epolicy Orchestrator Cloud (McAfee epo Cloud) Si votre ordinateur est managé automatiquement, vous (ou votre administrateur) configurez le logiciel à l'aide de Client Endpoint Security. Décisionnel face aux menaces n'est pris en charge que sur les systèmes managés par McAfee epo. Sommaire Modules Endpoint Security Comment Endpoint Security protège votre ordinateur Interaction avec Endpoint Security Modules Endpoint Security L'administrateur configure et installe un ou plusieurs modules Endpoint Security sur les ordinateurs clients. Prévention contre les menaces : recherche les virus, logiciels espions, programmes indésirables et toute autre menace en analysant les éléments automatiquement lorsque les utilisateurs y accèdent ou à leur demande à tout moment. Pare-feu : surveille les communications entre l'ordinateur et les ressources présentes sur le réseau et sur Internet. Intercepte les communications suspectes. Contrôle Web : affiche les évaluations de sécurité et les rapports des sites web lors de la navigation et des recherches en ligne. Contrôle Web permet à l'administrateur de site de bloquer l'accès aux sites web en fonction de l'évaluation de sécurité et du contenu. Décisionnel face aux menaces : procure une sécurité adaptative contextuelle à votre environnement réseau. Décisionnel face aux menaces analyse le contenu de votre entreprise et prend des décisions selon la réputation d'un fichier et les critères de votre administrateur. Décisionnel face aux menaces n'est pris en charge que sur les systèmes managés par McAfee epo. En outre, le module Partagés offre des paramètres pour les fonctions communes, telles que la sécurité de l'interface et la journalisation. Ce module est automatiquement installé lors de l'installation d'autres modules. McAfee Endpoint Security 10.1 Guide Produit 7

8 1 Introduction Comment Endpoint Security protège votre ordinateur Comment Endpoint Security protège votre ordinateur En règle générale, un administrateur configure Endpoint Security, installe le logiciel sur les ordinateurs clients, contrôle l'état de sécurité et configure les règles de sécurité nommées stratégies. En tant qu'utilisateur de l'ordinateur client, vous pouvez interagir avec Endpoint Security via le logiciel client installé sur votre ordinateur. Les stratégies configurées par votre administrateur déterminent la manière dont les modules et fonctionnalités vont être exécutées sur votre ordinateur et indiquent si vous êtes autorisé ou non à les modifier. Si Endpoint Security est managé automatiquement, vous pouvez spécifier le fonctionnement des modules et fonctionnalités. Pour déterminer votre type de gestion, affichez la page A propos. Le logiciel client installé sur votre ordinateur se connecte à intervalles réguliers à un site sur Internet afin de mettre à jour ses composants. Parallèlement, il envoie les données relatives aux détections sur votre ordinateur au serveur de gestion. Ces données permettent de générer des rapports sur les détections et les problèmes de sécurité sur votre ordinateur pour votre administrateur. En règle générale, le logiciel client s'exécute en arrière-plan sans que vous ayez à intervenir. Il se peut cependant que vous deviez interagir de temps en temps avec le logiciel. Par exemple, vous pouvez être amené à vérifier les mises à jour logicielles ou à lancer manuellement des analyses pour rechercher les logiciels malveillants. Selon les stratégies définies par votre administrateur, vous pouvez ou non personnaliser les paramètres de sécurité. Si vous avez un rôle d'administrateur, vous pouvez configurer et gérer de façon centralisée le logiciel client à l'aide de McAfee epo ou de McAfee epo Cloud. Voir aussi Obtention d'informations relatives à votre protection, page 20 Mise à jour de la protection Des mises à jour régulières d'endpoint Security permettent d'assurer la protection de votre ordinateur contre les dernières menaces. Pour effectuer les mises à jour, le logiciel client se connecte à un serveur McAfee epo local ou distant ou directement à un site Internet. Endpoint Security recherche : Mises à jour des fichiers de contenu qui permettent de détecter les menaces. Les fichiers de contenu contiennent les définitions de menaces telles que des virus et logiciels espions, et ces définitions sont mises à jour à mesure que de nouvelles menaces sont découvertes. Mises à niveau des composants logiciels, patchs et HotFix par exemple. Pour simplifier la terminologie, cette Aide fait référence aux mises à jour et mises à niveau en tant que mises à jour. Les mises à jour sont généralement effectuées en arrière-plan de manière automatique. Cette mise à jour peut nécessiter une recherche manuelle. Selon les paramètres, vous pouvez mettre à jour manuellement la protection depuis Client Endpoint Security en cliquant sur Voir aussi Mise à jour manuelle de la protection et du logiciel, page 21 Utilisation des fichiers de contenu. Lors de la recherche de menaces dans les fichiers, le moteur d'analyse compare le contenu des fichiers analysés aux informations sur les menaces connues enregistrées dans les fichiers AMCore Content. La 8 McAfee Endpoint Security 10.1 Guide Produit

9 Introduction Interaction avec Endpoint Security 1 prévention contre les exploits utilise ses propres fichiers de contenu pour la protection contre les exploits. AMCore Content McAfee Labs recherche et ajoute des informations sur les menaces connues (signatures) aux fichiers de contenu. Avec les signatures, les fichiers de contenu incluent des informations sur le nettoyage et la neutralisation des dommages que le virus détecté peut causer. Si la signature d'un virus ne se trouve dans aucun des fichiers de contenu installés, le moteur d'analyse ne peut détecter ni nettoyer ce virus. De nouvelles menaces apparaissent régulièrement. McAfee Labs publie des mises à jour de moteur et de nouveaux fichiers de contenu qui incluent les résultats des recherches continues sur les menaces, tous les jours, vers 18 h 00. Endpoint Security enregistre le fichier de contenu chargé actuel et les deux versions précédentes dans le dossier Program Files\Common Files\McAfee\Engine\content. Le cas échéant, vous pouvez rétablir une version précédente. Lors de la détection d'un nouveau logiciel malveillant, si des informations de détection supplémentaires sont requises (non incluses dans les mises à jour régulières du contenu), McAfee Labs publie un fichier Extra.DAT. Contenu de prévention contre les exploits Le contenu de prévention contre les exploits inclut : Signatures de protection de la mémoire : protection générique contre les attaques par débordement de mémoire tampon (GBOP) et la surveillance ciblée d'api. Liste de protection des applications : processus protégés par la prévention contre les exploits. McAfee publie de nouveaux fichiers de contenu de prévention contre les exploits une fois par mois. Interaction avec Endpoint Security Endpoint Security fournit des composants visuels pour l'interaction avec Client Endpoint Security. Icône McAfee dans la barre d'état système Windows : permet de lancer Client Endpoint Security et d'afficher l'état de sécurité. Messages de notification : vous avertit de l'analyse et la détection d'intrusions de pare-feu et des fichiers présentant des réputations inconnues et vous invite à saisir des informations. Page Analyse à l'accès : affiche la liste des détections de menaces lorsque l'analyseur à l'accès détecte une menace. Client Endpoint Security : affiche l'état de protection en cours et permet d'accéder à des fonctionnalités. Pour les systèmes managés, l'administrateur configure et affecte des stratégies pour indiquer les composants qui apparaissent. Voir aussi A propos de l'icône de la barre d'état système McAfee, page 10 A propos des messages de notification, page 11 Gestion des détections de menaces, page 45 A propos d'client Endpoint Security, page 12 McAfee Endpoint Security 10.1 Guide Produit 9

10 1 Introduction Interaction avec Endpoint Security A propos de l'icône de la barre d'état système McAfee L'icône McAfee dans la barre d'état système Windows permet d'accéder à Client Endpoint Security et à certaines tâches de base. La disponibilité de l'icône McAfee dépend de la façon dont les paramètres sont configurés. Utilisez l'icône de la barre d'état système McAfee pour : Vérifier l'état de sécurité. Ouvrir Client Endpoint Security. Mettre la protection et le logiciel à jour manuellement. Activer ou afficher les groupes Pare-feu limités. Cliquez avec le bouton droit de la souris sur l'icône, puis sélectionnez Voir l'état de sécurité pour afficher la page Etat de sécurité McAfee. Cliquez sur l'icône avec le bouton droit de la souris et sélectionnez McAfee Endpoint Security. Cliquez sur l'icône avec le bouton droit de la souris et sélectionnez Mise à jour de sécurité. Voir Eléments mis à jour, page 22. Cliquez sur l'icône avec le bouton droit de la souris et sélectionnez une option à partir du menu Paramètres rapides : Activer les groupes Pare-feu limités : active les groupes limités pour une durée déterminée afin d'autoriser l'accès à Internet non lié au réseau avant la mise en œuvre des règles limitant cet accès. Chaque fois que vous sélectionnez cette option, la limite de durée est réinitialisée pour les groupes. Afficher les groupes Pare-feu limités : affiche les noms des groupes limités et la durée d'activité restante pour chacun d'entre eux. La disponibilité de ces options dépend de la façon dont les paramètres sont configurés. Manière dont l'icône indique l'état d'endpoint Security L'apparence de l'icône change pour indiquer l'état d'endpoint Security. Maintenez le curseur sur l'icône pour afficher un message décrivant l'état. 10 McAfee Endpoint Security 10.1 Guide Produit

11 Introduction Interaction avec Endpoint Security 1 Icône Indique... Endpoint Security protège votre système et il n'y a aucun problème. Endpoint Security détecte un problème de sécurité, par exemple un module ou une technologie désactivée. Pare-feu est désactivé. Prévention contre les menaces : la prévention contre les exploits, l'analyse à l'accès ou ScriptScan est désactivé. Endpoint Security signale les problèmes différemment, selon le type de gestion. Managé automatiquement : Une ou plusieurs technologies sont désactivées. Une ou plusieurs technologies ne répondent pas. Managé : Une ou plusieurs technologies ont été désactivées, et ce non suite à la mise en œuvre de stratégie à partir du serveur de gestion ou d'client Endpoint Security. Une ou plusieurs technologies ne répondent pas. Lorsqu'un problème est détecté, la page Etat de sécurité McAfee indique le module ou la technologie désactivé(e). Voir aussi Eléments mis à jour, page 22 A propos des messages de notification Endpoint Security utilise les deux types de messages pour vous signaler des problèmes concernant votre protection ou pour demander une saisie d'informations. Certains messages peuvent ne pas s'afficher en fonction de la configuration des paramètres. Le processus McTray.exe doit être en cours d'exécution pour qu'endpoint Security affiche les messages de notification. Endpoint Security envoie deux types de notifications : Les alertes s'affichent à partir de l'icône McAfee pendant cinq secondes avant de disparaître. Les alertes vous informent de la détection de menaces, par exemple des événements d'intrusion Pare-feu ou lorsqu'une analyse à la demande est interrompue ou relancée. Elles ne nécessitent aucune action de votre part. Les invites ouvrent une page au bas de l'écran et restent visibles jusqu'à ce que vous ayez sélectionné une option. McAfee Endpoint Security 10.1 Guide Produit 11

12 1 Introduction Interaction avec Endpoint Security Par exemple : Lorsqu'une analyse à la demande planifiée est sur le point de démarrer, Endpoint Security peut vous inviter à reporter l'analyse. Lorsque l'analyseur à l'accès détecte une menace, Endpoint Security peut vous inviter à répondre à la détection. Lorsque Décisionnel face aux menaces détecte un fichier présentant une réputation inconnue, Endpoint Security peut vous inviter à autoriser ou à bloquer le fichier. Windows 8 et 10 utilisent des notifications toast, qui sont des messages apparaissant pour vous informer des alertes et invites. Cliquez sur la notification de toast pour afficher la notification en mode Bureau. Voir aussi Réponse à une invite de détection de menace, page 18 Répondre à une invite d'analyse, page 19 Réponse à une invite de réputation de fichier, page 19 A propos d'client Endpoint Security Client Endpoint Security permet de vérifier le statut de protection et d'accéder aux fonctions. Les options du menu Action donnent accès aux fonctions. Paramètres Charger un fichier Extra.DAT Restaurer le contenu AMCore Aide Liens vers le support Connexion administrateur A propos Quitter Permet de configurer les paramètres de fonction. Cette option de menu n'est disponible que dans les cas suivants : Le Mode d'interface client est défini sur Accès total. Vous êtes connecté en tant qu'administrateur. Permet d'installer un fichier Extra.DAT téléchargé. Restaure le contenu AMCore à une version précédente. Cette option de menu n'est disponible que si une version antérieure du contenu AMCore existe et dans les cas suivants : Le Mode d'interface client est défini sur Accès total. Vous êtes connecté en tant qu'administrateur. Affiche l'aide. Affiche une page avec des liens vers des pages utiles, telles que McAfee ServicePortal et la base de connaissances. Permet de se connecter en tant qu'administrateur de site. (Informations d'identification administrateur requises.) Le mot de passe par défaut est mcafee. Ce menu d'options est disponible si le Mode d'interface client n'est pas défini sur Accès total. Si vous êtes déjà connecté en tant qu'administrateur, cette option est Déconnexion administrateur. Affiche des informations sur Endpoint Security. Permet de quitter Client Endpoint Security. 12 McAfee Endpoint Security 10.1 Guide Produit

13 Introduction Interaction avec Endpoint Security 1 Les boutons disponibles dans la partie supérieure droite de la page permettent d'accéder rapidement aux tâches fréquentes. Permet de rechercher les logiciels malveillants en procédant à une analyse complète ou une analyse rapide de votre système. Ce bouton est disponible uniquement si le module Prévention contre les menaces est installé. Permet de mettre à jour les fichiers de contenu et les composants logiciels sur votre ordinateur. Ce bouton peut ne pas s'afficher en fonction de la configuration des paramètres. Les boutons disponibles dans le volet gauche de la page permettent d'accéder à des informations sur la protection. Statut Journal des événements Quarantaine Permet de revenir à la page Statut principale. Affiche le journal de tous les événements de protection et de menace de cet ordinateur. Ouvre le Gestionnaire de quarantaine. Ce bouton est disponible uniquement si le module Prévention contre les menaces est installé. Le Résumé des menaces affiche des informations sur les menaces détectées par Endpoint Security sur votre système au cours des 30 derniers jours. Voir aussi Chargement d'un fichier Extra.DAT, page 29 Connexion en tant qu'administrateur, page 26 Analyse de l'ordinateur à la recherche de logiciels malveillants (malwares), page 41 Mise à jour manuelle de la protection et du logiciel, page 21 Affichage du Journal des événements, page 22 Gérer les éléments mis en quarantaine, page 46 Gestion de Endpoint Security, page 26 A propos du Résumé des menaces, page 13 A propos du Résumé des menaces La page Statut d'client Endpoint Security affiche un résumé en temps réel de toutes les menaces détectées sur votre système au cours des 30 derniers jours. En cas de détection de nouvelles menaces, la page Statut met à jour de manière dynamique les données dans la section Résumé des menaces du volet inférieur. McAfee Endpoint Security 10.1 Guide Produit 13

14 1 Introduction Interaction avec Endpoint Security Le Résumé des menaces comprend les informations suivantes : Date de la dernière menace éliminée Deux principaux vecteurs de menaces, par catégorie : Web Appareil ou support externe Réseau Système local Partage de fichiers Message instantané Inconnu Menaces provenant de pages web et de téléchargements. Menaces provenant d'équipements externes (par exemple, un dispositif USB, 1394 Firewire, une bande, un CD, un DVD ou un disque). Menaces provenant du réseau (hors partage de fichiers réseau). Menaces provenant du lecteur système de fichiers d'amorçage local (généralement C:) ou de lecteurs autres que ceux classés en tant que Appareil ou support externe. Menaces provenant d'un partage de fichiers réseau. Menaces provenant d' s. Menaces provenant de messages instantanés. Menaces dont le vecteur d'attaque n'est pas déterminé (en raison d'une condition d'erreur ou d'une défaillance). Nombre de menaces par vecteur de menace Si Client Endpoint Security ne peut accéder au Gestionnaire des événements, Client Endpoint Security affiche un message d'erreur de communication. Dans ce cas, redémarrez votre système pour afficher la page Résumé des menaces. Incidence des paramètres sur l'accès au client Les fonctionnalités et modules auxquels vous pouvez accéder dépendent des paramètres de Mode d'interface client affectés à votre ordinateur. Modifiez le Mode d'interface client dans les paramètres Partagés. Pour les systèmes managés, les modifications de stratégie de McAfee epo peuvent remplacer les modifications de la page Paramètres. Les options Mode d'interface client pour le client sont les suivantes : 14 McAfee Endpoint Security 10.1 Guide Produit

15 Introduction Interaction avec Endpoint Security 1 Accès total Autorise l'accès à toutes les fonctions, y compris : Activation et désactivation de modules et fonctions individuels. Accès à la page Paramètres pour afficher ou modifier tous les paramètres de Client Endpoint Security. Ce mode est le paramètre par défaut pour les systèmes managés automatiquement. Accès standard Affiche l'état de protection et autorise l'accès à la plupart des fonctions : Mise à jour des fichiers de contenu et des composants logiciels sur votre ordinateur (si l'administrateur a activé cette fonction). Vérification minutieuse de toutes les zones de votre système (recommandé si vous pensez que votre ordinateur est peut-être infecté). Vérification rapide (deux minutes) des zones de votre système les plus exposées aux infections. Accès au journal des événements. Gestion des éléments dans la quarantaine. Ce mode est le paramètre par défaut pour les systèmes managés par McAfee epo et par McAfee epo Cloud. En mode d'interface Accès standard, vous pouvez vous connecter en tant qu'administrateur afin d'accéder à toutes les fonctions, y compris tous les paramètres. Verrouiller l'interface client Exige un mot de passe pour accéder au client. Le mot de passe par défaut est mcafee. Une fois l'interface client déverrouillée, vous pouvez accéder à toutes les fonctions. Si vous ne pouvez pas accéder à Client Endpoint Security ou à des tâches ou fonctions spécifiques dont vous avez besoin, adressez-vous à votre administrateur. Voir aussi Configuration des paramètres pour la sécurité de l'interface client, page 32 Incidence des modules installés sur le client En fonction des modules installés sur l'ordinateur, certains éléments du client peuvent ne pas être disponibles. Ces fonctionnalités sont disponibles uniquement si Prévention contre les menaces est installé : Bouton Bouton Quarantaine McAfee Endpoint Security 10.1 Guide Produit 15

16 1 Introduction Interaction avec Endpoint Security Les fonctions installées sur le système déterminent les fonctions qui apparaissent : Dans la liste déroulante Filtrer par module du Journal des événements. Sur la page Paramètres. Partagés Prévention contre les menaces Pare-feu Contrôle Web Décisionnel face aux menaces S'affiche si un module est installé. S'affiche uniquement si Prévention contre les menaces est installé. S'affiche uniquement si Pare-feu est installé. S'affiche uniquement si Contrôle Web est installé. S'affiche uniquement si Décisionnel face aux menaces et Prévention contre les menaces sont installés. Décisionnel face aux menaces n'est pris en charge que sur les systèmes managés par McAfee epo. Décisionnel face aux menaces nécessite que Prévention contre les menaces soit installé. En fonction du Mode d'interface client et de la façon dont l'administrateur a configuré votre accès, certaines ou l'ensemble des fonctions peuvent ne pas être disponibles. Voir aussi Incidence des paramètres sur l'accès au client, page McAfee Endpoint Security 10.1 Guide Produit

17 2 Utilisation 2 de Client Endpoint Security Utilisez le client en mode Accès standard pour utiliser la plupart des fonctions, y compris les analyses système et la gestion des éléments mis en quarantaine. Sommaire Ouvrez Client Endpoint Security Obtention d'aide Réponse aux invites Obtention d'informations relatives à votre protection Mise à jour manuelle de la protection et du logiciel Affichage du Journal des événements Gestion de Endpoint Security Ouvrez Client Endpoint Security Ouvrez Client Endpoint Security pour afficher l'état de protection et les fonctions de protection installées sur l'ordinateur. Si le mode d'interface est défini sur Verrouiller l'interface client, vous devez saisir le mot de passe administrateur pour ouvrir Client Endpoint Security. Procédure 1 Utilisez l'une des méthodes suivantes pour afficher Client Endpoint Security : Cliquez avec le bouton droit de la souris sur l'icône de la barre d'état système, puis sélectionnez McAfee Endpoint Security. Sélectionnez Démarrer Tous les programmes McAfee McAfee Endpoint Security. Sous Windows 8 et 10, lancez l'application McAfee Endpoint Security. 1 Appuyez sur la touche Windows. 2 Saisissez McAfee Endpoint Security dans la zone de recherche, puis double-cliquez ou touchez l'application McAfee Endpoint Security. 2 Si vous y êtes invité, saisissez le mot de passe administrateur dans la page Connexion administrateur, puis cliquez sur Connexion. Client Endpoint Security s'ouvre dans le mode d'interface configuré par l'administrateur. Voir aussi Déverrouillage de l'interface client, page 27 McAfee Endpoint Security 10.1 Guide Produit 17

18 2 Utilisation de Client Endpoint Security Obtention d'aide Obtention d'aide Les deux méthodes permettant d'obtenir de l'aide lorsque vous utilisez le client sont l'option de menu Aide et l'icône?. Procédure 1 Ouvrez Client Endpoint Security. 2 Selon la page où vous vous trouvez : Pages Statut, Journal des événements et Quarantaine : dans le menu Action, sélectionnez Aide. Pages Paramètres, Mettre à jour, Analyser le système, Restaurer le contenu AMCore et Charger un fichier Extra.DAT : cliquez sur? dans l'interface. Réponse aux invites Selon la configuration des paramètres, Endpoint Security peut vous inviter à saisir des informations lorsqu'une analyse à la demande est sur le point de commencer. Procédures Réponse à une invite de détection de menace, page 18 Lorsque l'analyseur détecte une menace, Endpoint Security vous invite à confirmer la poursuite du processus, en fonction des paramètres configurés. Répondre à une invite d'analyse, page 19 Lorsqu'une analyse à la demande planifiée est sur le point de démarrer, Endpoint Security peut vous inviter à saisir des informations pour continuer. L'invite s'affiche uniquement si l'analyse est configurée pour vous autoriser à reporter, interrompre, relancer ou annuler l'analyse. Réponse à une invite de réputation de fichier, page 19 Lorsqu'un fichier présentant une réputation spécifique tente de s'exécuter sur votre système, Endpoint Security peut vous inviter à saisir des informations pour continuer. L'invite n'apparaît que si Décisionnel face aux menaces est configuré pour afficher une invite. Réponse à une invite de détection de menace Lorsque l'analyseur détecte une menace, Endpoint Security vous invite à confirmer la poursuite du processus, en fonction des paramètres configurés. Windows 8 et 10 utilisent des notifications toast, qui sont des messages apparaissant pour vous informer des alertes et invites. Cliquez sur la notification de toast pour afficher la notification en mode Bureau. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. Sur la page Analyse à l'accès, sélectionnez les options de gestion des détections de menaces. Vous pouvez rouvrir la page d'analyse pour gérer les détections à tout moment. La liste de détections de l'analyse à l'accès est vidée lors du redémarrage du service Endpoint Security ou de la réinitialisation du système. Voir aussi Gestion des détections de menaces, page McAfee Endpoint Security 10.1 Guide Produit

19 Utilisation de Client Endpoint Security Réponse aux invites 2 Répondre à une invite d'analyse Lorsqu'une analyse à la demande planifiée est sur le point de démarrer, Endpoint Security peut vous inviter à saisir des informations pour continuer. L'invite s'affiche uniquement si l'analyse est configurée pour vous autoriser à reporter, interrompre, relancer ou annuler l'analyse. Si vous ne sélectionnez aucune option, l'analyse démarre automatiquement. Pour les systèmes managés uniquement, si l'analyse est configurée pour s'exécuter seulement lorsque l'ordinateur est inactif, Endpoint Security affiche une boîte de dialogue lorsque l'analyse est interrompue. Si cela est configuré, vous pouvez également relancer ces analyses interrompues ou les réinitialiser afin qu'elles s'exécutent seulement lorsque vous êtes inactif. Windows 8 et 10 utilisent des notifications toast, qui sont des messages apparaissant pour vous informer des alertes et invites. Cliquez sur la notification de toast pour afficher la notification en mode Bureau. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. Lorsque l'invite s'affiche, sélectionnez l'une des options suivantes. Les options disponibles dépendent de la configuration de l'analyse. Analyser maintenant Afficher l'analyse Interrompre l'analyse Reprendre l'analyse Annuler l'analyse Reporter l'analyse Démarre l'analyse immédiatement. Affiche les menaces détectées d'une analyse en cours. Interrompt l'analyse. Selon la configuration, cliquer sur Interrompre l'analyse peut réinitialiser l'analyse afin qu'elle s'exécute uniquement lorsque vous êtes inactif. Cliquez sur Reprendre l'analyse pour reprendre l'analyse là où elle s'était arrêtée. Relance une analyse interrompue. Annule l'analyse. Reporte l'analyse du nombre d'heures spécifié. Les options d'analyse planifiée déterminent le nombre de reports possibles de l'analyse en une heure. Il peut être possible de reporter l'analyse plusieurs fois. Fermer Ferme la page d'analyse. Lorsque l'analyseur détecte une menace, Endpoint Security vous invite à confirmer la poursuite du processus, en fonction des paramètres configurés. Réponse à une invite de réputation de fichier Lorsqu'un fichier présentant une réputation spécifique tente de s'exécuter sur votre système, Endpoint Security peut vous inviter à saisir des informations pour continuer. L'invite n'apparaît que si Décisionnel face aux menaces est configuré pour afficher une invite. Décisionnel face aux menaces n'est pris en charge que sur les systèmes managés par McAfee epo. L'administrateur configure le seuil de réputation, stade auquel une invite s'affiche. Par exemple, si le seuil de réputation est Inconnu, Endpoint Security vous demande tous les fichiers présentant une réputation inconnue et en dessous. McAfee Endpoint Security 10.1 Guide Produit 19

20 2 Utilisation de Client Endpoint Security Obtention d'informations relatives à votre protection Si vous ne sélectionnez aucune option, Décisionnel face aux menaces utilise l'action par défaut configurée par l'administrateur. L'invite, le délai d'expiration et l'action par défaut dépendent de la manière dont Décisionnel face aux menaces est configuré. Windows 8 et 10 utilisent des notifications toast, qui sont des messages apparaissant pour vous informer des alertes et invites. Cliquez sur la notification de toast pour afficher la notification en mode Bureau. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 (Facultatif) A l'invite, entrez un message à envoyer à l'administrateur. Par exemple, utilisez le message pour décrire le fichier ou expliquer votre décision d'autoriser ou de bloquer le fichier sur votre système. 2 Cliquez sur Autoriser ou Bloquer. Autoriser Bloquer Autorise le fichier. Bloque le fichier sur votre système. Pour indiquer à Décisionnel face aux menaces de ne pas demander à nouveau le fichier, sélectionnez Mémoriser cette décision. Décisionnel face aux menaces agit, en fonction de votre choix ou de l'action par défaut, et ferme la fenêtre d'invite. Obtention d'informations relatives à votre protection Vous pouvez obtenir des informations relatives à votre protection Endpoint Security, y compris le type de gestion, les modules de protection, les fonctionnalités, le statut, les numéros de version et les licences. Procédure 1 Ouvrez Client Endpoint Security. 2 Dans le menu Action, sélectionnez A propos. 3 Cliquez sur un nom de module ou de fonctionnalité à gauche pour accéder à des informations sur cet élément. 4 Cliquez sur le bouton Fermer pour fermer la page A propos. Voir aussi Types de gestion, page 20 Ouvrez Client Endpoint Security, page 17 Types de gestion Le type de gestion indique comment Endpoint Security est géré. Pour les systèmes managés, les modifications de stratégie de McAfee epo peuvent remplacer les modifications de la page Paramètres. 20 McAfee Endpoint Security 10.1 Guide Produit

21 Utilisation de Client Endpoint Security Mise à jour manuelle de la protection et du logiciel 2 Type de gestion McAfee epolicy Orchestrator McAfee epolicy Orchestrator Cloud Managé automatiquement Description Un administrateur gère Endpoint Security à l'aide de McAfee epo (en local). Un administrateur gère Endpoint Security à l'aide de McAfee epo Cloud. Endpoint Security est géré localement à l'aide de Client Endpoint Security. Ce mode est également appelé non managé ou autonome. Mise à jour manuelle de la protection et du logiciel En fonction de la configuration des paramètres, vous pouvez rechercher et télécharger manuellement les mises à jour des fichiers de contenu et des composants logiciels declient Endpoint Security. Les mises à jour manuelles sont appelées des mises à jour à la demande. Vous pouvez exécuter des mises à jour manuelles à partir de l'icône de la barre d'état système McAfee. Voir A propos de l'icône de la barre d'état système McAfee, page 10 pour plus d'informations. Endpoint Security ne prend pas en charge la récupération et la copie manuelles de fichiers de contenu mis à jour sur le système. Si vous avez besoin d'aide pour effectuer une mise à jour vers une version de contenu spécifique, contactez le Support technique McAfee. Procédure 1 Ouvrez Client Endpoint Security. 2 Cliquez sur. Si ne s'affiche pas dans le client, vous pouvez l'activer dans les paramètres. Voir Configurer le comportement par défaut des mises à jour, page 36 pour plus d'informations. Client Endpoint Security recherche des mises à jour. Pour annuler la mise à jour, cliquez sur Annuler. Cette option est disponible uniquement sur les systèmes managés automatiquement et managés par McAfee epo. Si c'est le cas, la page affiche Aucune mise à jour disponible et la date et l'heure de la dernière mise à jour. Si la mise à jour s'est terminée avec succès, la page indique la date et l'heure actuelles pour la dernière mise à jour. Tous les messages ou erreurs s'affichent dans la zone Messages. Pour plus d'informations, consultez le journal PackageManager_Activity.log ou PackageManager_Debug.log. 3 Cliquez sur Fermer pour fermer la page Mise à jour. McAfee Endpoint Security 10.1 Guide Produit 21

22 2 Utilisation de Client Endpoint Security Affichage du Journal des événements Voir aussi Mise à jour de la protection, page 8 A propos des fichiers journaux, page 24 Eléments mis à jour, page 22 Ouvrez Client Endpoint Security, page 17 Eléments mis à jour Endpoint Security met à jour le contenu de sécurité, le logiciel (HotFix et patchs) et les paramètres de stratégie différemment, selon le type de gestion. Sur les systèmes managés automatiquement et managés par McAfee epo, il est possible de configurer la visibilité et le comportement du bouton et exécuter des tâches de mise à jour, page 38 pour plus d'informations.. Voir Configurer, planifier Type de gestion Méthode de mise à jour Mises à jour McAfee epo McAfee epo Cloud Managé automatiquement Option Mise à jour de la sécurité sur le menu de l'icône McAfee de la barre d'état système Le bouton Client Endpoint Security dans Option Mise à jour de la sécurité sur le menu de l'icône McAfee de la barre d'état système Le bouton Client Endpoint Security dans Option Mise à jour de la sécurité sur le menu de l'icône McAfee de la barre d'état système Le bouton Client Endpoint Security dans Contenu et logiciel uniquement (pas de mise à jour des paramètres de stratégie). Contenu, logiciel et paramètres de stratégie, en fonction de la configuration. Contenu, logiciel et paramètres de stratégie. Contenu, logiciel et paramètres de stratégie, en fonction de la configuration. Contenu et logiciel uniquement. Contenu, logiciel et paramètres de stratégie, en fonction de la configuration. Affichage du Journal des événements Les journaux d'activité et de débogage stockent un enregistrement des événements qui se produisent sur le système protégé par McAfee. Vous pouvez afficher le Journal des événements à partir de Client Endpoint Security. 22 McAfee Endpoint Security 10.1 Guide Produit

23 Utilisation de Client Endpoint Security Affichage du Journal des événements 2 Procédure Pour obtenir de l'aide, dans le menu Action, sélectionnez Aide. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Journal des événements dans le volet gauche de la page. La page affiche tous les événements que la plate-forme Endpoint Security a consignés sur le système au cours des 30 derniers jours. Si Client Endpoint Security ne peut pas atteindre le Gestionnaire des événements, il affiche un message d'erreur de communication. Le cas échéant, redémarrez le système pour afficher le journal des événements. 3 Sélectionnez un événement dans le volet supérieur pour afficher les détails correspondants dans le volet inférieur. Pour modifier les tailles relatives des volets, cliquez sur le widget du châssis entre les volets et faites-le glisser. McAfee Endpoint Security 10.1 Guide Produit 23

24 2 Utilisation de Client Endpoint Security Affichage du Journal des événements 4 Dans la page Journal des événements, triez, recherchez, filtrez ou rechargez les événements. Les options disponibles dépendent de la configuration de l'analyse. Pour... Trier les événements par date, fonctionnalité, action entreprise et gravité. Effectuer une recherche dans le journal des événements. Filtrer les événements par gravité ou module. Actualiser l'affichage du journal des événements avec tout nouvel événement. Ouvrir le dossier contenant les fichiers journaux. Etapes Cliquez sur l'en-tête de colonne du tableau. Saisissez le texte de recherche dans le champ Rechercher et appuyez sur la touche Entrée ou cliquez sur Rechercher. La recherche ne respecte pas la casse. Le texte est recherché dans tous les champs du journal des événements. La liste des événements affiche tous les éléments comportant le texte correspondant. Pour annuler la recherche et afficher l'ensemble des événements, cliquez sur x dans le champ Rechercher. Dans la liste déroulante du filtre, sélectionnez une option. Pour supprimer le filtre et afficher tous les événements, sélectionnez Afficher tous les événements dans la liste déroulante. Cliquez sur. Cliquez sur Afficher le dossier des journaux. 5 Naviguer dans le journal des événements. Pour... Afficher la page précédente du journal des événements. Afficher la page suivante du journal des événements. Afficher une page spécifique du journal. Etapes Cliquez sur Page précédente. Cliquez sur Page suivante. Saisissez un numéro de page et appuyez sur la touche Entrée ou cliquez sur Exécuter. Par défaut, le Journal des événements affiche 20 événements par page. Pour afficher davantage d'événements par page, sélectionnez une option dans la liste déroulante Evénements par page. Voir aussi A propos des fichiers journaux, page 24 Ouvrez Client Endpoint Security, page 17 A propos des fichiers journaux Les fichiers journaux des activités, des erreurs et de débogage enregistrent les événements qui se produisent sur les systèmes sur lesquels Endpoint Security est activé. Configurez la journalisation dans les paramètres Partagés. Les fichiers journaux d'activités correspondent toujours à la langue qui est indiquée dans les paramètres régionaux par défaut du système. Tous les fichiers journaux d'activité et de débogage sont stockés à l'un des emplacements suivants par défaut, en fonction de votre système d'exploitation. 24 McAfee Endpoint Security 10.1 Guide Produit

25 Utilisation de Client Endpoint Security Affichage du Journal des événements 2 Système d'exploitation Microsoft Windows 10 Microsoft Windows 8 et 8.1 Microsoft Windows 7 Microsoft Vista Emplacement par défaut %ProgramData%\McAfee\Endpoint Security\Logs C:\Documents and Settings\All Users\Application Data\McAfee\Endpoint Security\Logs Chaque module, fonction ou technologie place les journaux d'activité ou de débogage dans un fichier distinct. Tous les modules placent le journal des erreurs dans un seul fichier EndpointSecurityPlatform_Errors.log. L'activation de la journalisation de débogage pour un module active également la journalisation de débogage pour les fonctions du module Partagés, telles que l'autoprotection. Tableau 2-1 Fichiers journaux Module Fonction ou technologie Nom de fichier Partagés Prévention contre les menaces Autoprotection Mises à jour Erreurs L'activation de la journalisation de débogage pour n'importe quelle technologie Prévention contre les menaces active également la journalisation de débogage pour Client Endpoint Security. EndpointSecurityPlatform_Activity.log EndpointSecurityPlatform_Debug.log SelfProtection_Activity.log SelfProtection_Debug.log PackageManager_Activity.log PackageManager_Debug.log EndpointSecurityPlatform_Errors.log ThreatPrevention_Activity.log ThreatPrevention_Debug.log Pare-feu Protection de l'accès Prévention contre les exploits Analyseur à l'accès Analyseur à la demande Analyse rapide Analyse complète Analyse contextuelle Client Endpoint Security AccessProtection_Activity.log AccessProtection_Debug.log ExploitPrevention_Activity.log ExploitPrevention_Debug.log OnAccessScan_Activity.log OnAccessScan_Debug.log OnDemandScan_Activity.log OnDemandScan_Debug.log MFEConsole_Debug.log Firewall_Activity.log Firewall_Debug.log McAfee Endpoint Security 10.1 Guide Produit 25

26 2 Utilisation de Client Endpoint Security Gestion de Endpoint Security Tableau 2-1 Fichiers journaux (suite) Module Fonction ou technologie Nom de fichier FirewallEventMonitor.log Consigne les événements de trafic bloqués et autorisés, en fonction de la configuration. Contrôle Web Décisionnel face aux menaces L'activation de la journalisation de débogage pour n'importe quelle technologie Prévention contre les menaces active également la journalisation de débogage pour Décisionnel face aux menaces. WebControl_Activity.log WebControl_Debug.log ThreatIntelligence_Activity.log ThreatIntelligence_Debug.log Par défaut, les fichiers journaux d'installation sont stockés aux emplacements suivants : Managé automatiquement Managé %TEMP%\McAfeeLogs (Dossier TEMP utilisateur Windows) TEMP\McAfeeLogs (dossier TEMP du système Windows) Gestion de Endpoint Security En tant qu'administrateur, vous pouvez gérer Endpoint Security depuis Client Endpoint Security. Cela inclut l'activation et la désactivation des fonctionnalités, la gestion des fichiers de contenu, la spécification du fonctionnement de l'interface client, la planification de tâches et la configuration des paramètres partagés. Pour les systèmes managés, les modifications de stratégie de McAfee epo peuvent remplacer les modifications de la page Paramètres. Voir aussi Connexion en tant qu'administrateur, page 26 Déverrouillage de l'interface client, page 27 Désactiver et activer des fonctions, page 27 Modification de la version d'amcore Content, page 28 Utilisation des fichiers Extra.DAT, page 29 Configuration des paramètres communs, page 30 Connexion en tant qu'administrateur Si le mode d'interface du produit Client Endpoint Security est défini sur Accès standard, vous pouvez vous connecter en tant qu'administrateur pour accéder à l'ensemble des paramètres. Avant de commencer Le mode d'interface de Client Endpoint Security doit être défini sur Accès standard. 26 McAfee Endpoint Security 10.1 Guide Produit

27 Utilisation de Client Endpoint Security Gestion de Endpoint Security 2 Procédure Pour obtenir de l'aide, dans le menu Action, sélectionnez Aide. 1 Ouvrez Client Endpoint Security. 2 Dans le menu Action, sélectionnez Connexion administrateur. 3 Dans le champ Mot de passe, entrez le mot de passe Administrateur, puis cliquez sur Connexion. Vous pouvez désormais accéder à toutes les fonctionnalités de Client Endpoint Security. Pour vous déconnecter, sélectionnez Action Déconnexion administrateur. Le client retourne au mode d'interface Accès standard. Déverrouillage de l'interface client Si l'interface d'client Endpoint Security est verrouillée, déverrouillez-la avec le mot de passe administrateur pour accéder à tous les paramètres. Avant de commencer Le mode d'interface de Client Endpoint Security doit être défini sur Verrouiller l'interface client. Procédure 1 Ouvrez Client Endpoint Security. 2 Dans la page Connexion administrateur, saisissez le mot de passe administrateur dans le champ Mot de passe, puis cliquez sur Connexion. Client Endpoint Security s'ouvre, vous donnant accès à toutes les fonctions du client. Pour vous déconnecter et fermer le client, dans le menu Action, sélectionnez Déconnexion administrateur. Désactiver et activer des fonctions En tant qu'administrateur, vous pouvez désactiver et activer des fonctions Endpoint Security depuis Client Endpoint Security. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. La page Statut affiche le statut activé du module de la fonction, qui peut ne pas refléter l'état réel de la fonction. Vous pouvez voir le statut de chaque fonction dans la page Paramètres. Par exemple, si le paramètre Activer ScriptScan n'est pas appliqué correctement, l'état peut être (Etat : Désactivé). McAfee Endpoint Security 10.1 Guide Produit 27

28 2 Utilisation de Client Endpoint Security Gestion de Endpoint Security Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur le nom du module (par exemple, Threat Prevention ou Firewall) sur la page Statut principale. Ou, dans le menu Action Paramètres., sélectionnez Paramètres, puis cliquez sur le nom du module sur la page 3 Sélectionnez ou désélectionnez le module Activer ou l'option de fonction. L'activation des fonctions Prévention contre les menaces active le module Prévention contre les menaces. Voir aussi Connexion en tant qu'administrateur, page 26 Modification de la version d'amcore Content Utilisez Client Endpoint Security pour modifier la version d'amcore Content sur votre système. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Endpoint Security enregistre le fichier de contenu chargé actuel et les deux versions précédentes dans le dossier Program Files\Common Files\McAfee\Engine\content. Le cas échéant, vous pouvez rétablir une version précédente. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Dans le menu Action, sélectionnez Restaurer AMCore Content. 3 Dans la liste déroulante, sélectionnez la version à charger. 4 Cliquez sur Appliquer. Les détections du fichier AMCore Content chargé prennent effet immédiatement. Voir aussi Utilisation des fichiers de contenu, page 8 Connexion en tant qu'administrateur, page McAfee Endpoint Security 10.1 Guide Produit

29 Utilisation de Client Endpoint Security Gestion de Endpoint Security 2 Utilisation des fichiers Extra.DAT Vous pouvez installer un fichier Extra.DAT pour protéger votre système en cas d'attaque majeure d'un logiciel malveillant jusqu'à la publication de la prochaine mise à jour d'amcore Content planifiée. Procédures Téléchargement de fichiers Extra.DAT, page 29 Pour télécharger un fichier Extra.DAT, cliquez sur le lien de téléchargement fourni par McAfee Labs. Chargement d'un fichier Extra.DAT, page 29 Pour installer le fichier Extra.DAT téléchargé, utilisez Client Endpoint Security. Voir aussi A propos des fichiers Extra.DAT, page 29 A propos des fichiers Extra.DAT Lors de la détection d'un nouveau logiciel malveillant, si des informations de détection supplémentaires sont requises, McAfee Labs publie un fichier Extra.DAT. Les fichiers Extra.DAT contiennent des informations que Prévention contre les menaces utilise pour gérer le nouveau logiciel malveillant. Vous pouvez télécharger des fichiers Extra.DAT pour des menaces spécifiques à partir de la page de demande de fichiers Extra.DAT de McAfee Labs. Prévention contre les menaces prend en charge l'utilisation d'un seul fichier Extra.DAT. Chaque fichier Extra.DAT contient une date d'expiration. Lorsque le fichier Extra.DAT est chargé, cette date d'expiration est comparée à la date de version d'amcore Content installé sur le système. Si la date de version d'amcore Content est plus récente que la date d'expiration du fichier Extra.DAT, ce dernier est considéré comme expiré et n'est plus chargé ni utilisé par le moteur. Lors de la mise à jour suivante, le fichier Extra.DAT est supprimé du système. Si la mise à jour suivante d'amcore Content inclut la signature Extra.DAT, le fichier Extra.DAT est supprimé. Endpoint Security enregistre les fichiers Extra.DAT dans le dossier c:\program Files\Common Files \McAfee\Engine\content\avengine\extradat. Téléchargement de fichiers Extra.DAT Pour télécharger un fichier Extra.DAT, cliquez sur le lien de téléchargement fourni par McAfee Labs. Procédure 1 Cliquez sur le lien de téléchargement, spécifiez un emplacement d'enregistrement pour le fichier Extra.DAT, puis cliquez sur Enregistrer. 2 Si nécessaire, décompressez le fichier EXTRA.ZIP. 3 Chargez le fichier Extra.DAT avec Client Endpoint Security. Chargement d'un fichier Extra.DAT Pour installer le fichier Extra.DAT téléchargé, utilisez Client Endpoint Security. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. McAfee Endpoint Security 10.1 Guide Produit 29

30 2 Utilisation de Client Endpoint Security Gestion de Endpoint Security Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 A partir du menu Action, sélectionnez Load Extra.DAT. 3 Cliquez sur Parcourir, accédez à l'emplacement de téléchargement du fichier Extra.DAT, puis cliquez sur Ouvrir. 4 Cliquez sur Appliquer. Les nouvelles détections du fichier Extra.DAT prennent effet immédiatement. Voir aussi Connexion en tant qu'administrateur, page 26 Configuration des paramètres communs Configurez les paramètres qui s'appliquent à tous les modules et fonctions d'endpoint Security dans le module Partagés. Ces paramètres comprennent des paramètres de langue et de sécurité de l'interface Client Endpoint Security, de connexion et de serveur proxy pour McAfee GTI, ainsi que de configuration des mises à jour. Procédures Protection des ressources Endpoint Security, page 30 Au cours d'une attaque, l'une des premières tentatives des logiciels malveillants consiste à désactiver le logiciel de sécurité de votre système. Configurez l'autoprotection pour Endpoint Security dans les paramètres du Partagés afin d'empêcher l'arrêt ou la modification des services et fichiers Endpoint Security. Configuration des paramètres de journalisation, page 31 Configurez la journalisation Endpoint Security dans les paramètres du Partagés. Autoriser l'authentification par certificat, page 31 Les certificats permettent à un fournisseur d'exécuter du code au sein des processus McAfee. Configuration des paramètres pour la sécurité de l'interface client, page 32 Configurez le mot de passe de l'interface et les options d'affichage pour Client Endpoint Security dans les paramètres du Partagés. Configuration des paramètres de serveur proxy de McAfee GTI, page 33 Spécifiez les options de serveur proxy pour l'extraction de la réputation McAfee GTI dans les paramètres du Partagés. Protection des ressources Endpoint Security Au cours d'une attaque, l'une des premières tentatives des logiciels malveillants consiste à désactiver le logiciel de sécurité de votre système. Configurez l'autoprotection pour Endpoint Security dans les paramètres du Partagés afin d'empêcher l'arrêt ou la modification des services et fichiers Endpoint Security. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Les utilisateurs, administrateurs, développeurs ou professionnels de la sécurité ne devraient jamais avoir besoin de désactiver la protection Endpoint Security sur leurs systèmes. 30 McAfee Endpoint Security 10.1 Guide Produit

31 Utilisation de Client Endpoint Security Gestion de Endpoint Security 2 Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Dans le menu Action, sélectionnez Paramètres. 3 Cliquez sur Afficher les paramètres avancés. 4 Sous Autoprotection, vérifiez que Autoprotection est activé. 5 Spécifiez une action pour chacune des ressources Endpoint Security suivantes : Fichiers et dossiers : empêche les utilisateurs de modifier la base de données, les fichiers binaires, les fichiers de recherche sécurisée et les fichiers de configuration McAfee. Registre : empêche les utilisateurs de modifier la ruche du registre McAfee et les composants COM, et d'effectuer une désinstallation à l'aide de la valeur de registre. Processus : empêche l'arrêt des processus McAfee. 6 Cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Voir aussi Connexion en tant qu'administrateur, page 26 Configuration des paramètres de journalisation Configurez la journalisation Endpoint Security dans les paramètres du Partagés. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Dans le menu Action, sélectionnez Paramètres. 3 Cliquez sur Afficher les paramètres avancés. 4 Configurez les paramètres Journalisation du client sur la page. 5 Cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Voir aussi A propos des fichiers journaux, page 24 Connexion en tant qu'administrateur, page 26 Autoriser l'authentification par certificat Les certificats permettent à un fournisseur d'exécuter du code au sein des processus McAfee. Lorsqu'un processus est détecté, la table des certificats est renseignée avec le fournisseur, l'objet et la clé publique SHA-1. Ce paramètre peut entraîner des problèmes de compatibilité et réduire la sécurité. McAfee Endpoint Security 10.1 Guide Produit 31

32 2 Utilisation de Client Endpoint Security Gestion de Endpoint Security Pour consulter la définition des options, cliquez sur? dans l'interface. Procédure 1 Ouvrez Client Endpoint Security. 2 Dans le menu Action, sélectionnez Paramètres. 3 Cliquez sur Afficher les paramètres avancés. 4 Dans la section Certificats, sélectionnez Autoriser. 5 Cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Les informations de certificat apparaissent dans la table. Configuration des paramètres pour la sécurité de l'interface client Configurez le mot de passe de l'interface et les options d'affichage pour Client Endpoint Security dans les paramètres du Partagés. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Modifiez ces paramètres avec précaution, car ils peuvent permettre aux utilisateurs de modifier leur configuration de sécurité, au risque de ne pas assurer la protection des systèmes contre les attaques de logiciels malveillants. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Dans le menu Action, sélectionnez Paramètres. 3 Configurez les paramètres Mode d'interface client sur la page. 4 Cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Voir aussi Effets de la définition d'un mot de passe d'administrateur, page 32 Connexion en tant qu'administrateur, page 26 Effets de la définition d'un mot de passe d'administrateur Lorsque vous définissez le mode d'interface sur Accès standard, vous devez également définir un mot de passe administrateur. La définition d'un mot de passe administrateur sur Client Endpoint Security a une incidence pour les utilisateurs suivants : 32 McAfee Endpoint Security 10.1 Guide Produit

33 Utilisation de Client Endpoint Security Gestion de Endpoint Security 2 Non-administrateurs (utilisateurs sans droits d'administrateur) Les non-administrateurs peuvent : Afficher certains paramètres de configuration ; Exécuter des analyses ; Rechercher des mises à jour (si l'option est activée). Afficher la quarantaine ; Afficher le journal des événements ; Accéder à la page Paramètres pour afficher ou modifier les règles Pare-feu (si l'option est activée). Les non-administrateurs ne peuvent pas : Modifier les paramètres de configuration ; Afficher, créer, supprimer ou modifier des paramètres de. La possibilité d'afficher ou modifier les règles Pare-feu constitue une exception (si l'option est activée). Administrateurs (utilisateurs disposant de droits d'administrateur) Les administrateurs doivent saisir le mot de passe pour accéder aux zones protégées et modifier les paramètres. Configuration des paramètres de serveur proxy de McAfee GTI Spécifiez les options de serveur proxy pour l'extraction de la réputation McAfee GTI dans les paramètres du Partagés. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Dans le menu Action, sélectionnez Paramètres. 3 Cliquez sur Afficher les paramètres avancés. 4 Configurez les paramètres Serveur proxy pour McAfee GTI sur la page. 5 Cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Voir aussi Principes de fonctionnement de McAfee GTI, page 33 Connexion en tant qu'administrateur, page 26 Principes de fonctionnement de McAfee GTI Si vous activez McAfee GTI pour l'analyseur à l'accès ou à la demande, l'analyseur utilise l'analyse heuristique pour rechercher les fichiers suspects. Le serveur McAfee GTI enregistre les évaluations de sites et les rapports pour Contrôle Web. Si vous configurez Contrôle Web pour analyser les fichiers McAfee Endpoint Security 10.1 Guide Produit 33

34 2 Utilisation de Client Endpoint Security Gestion de Endpoint Security téléchargés, l'analyseur utilise la réputation des fichiers fournie par McAfee GTI pour rechercher les fichiers suspects. L'analyseur envoie des empreintes d'échantillons, ou hachages, à un serveur de base de données central hébergé par McAfee Labs pour déterminer s'il s'agit de logiciels malveillants. Grâce à l'envoi des hachages, la détection peut être disponible avant la prochaine mise à jour du fichier de contenu, lorsque McAfee Labs publie la mise à jour. Vous pouvez configurer le niveau de sensibilité que McAfee GTI utilise pour déterminer si un échantillon détecté est un logiciel malveillant. Plus le niveau de sensibilité est élevé, plus les détections de logiciels malveillants sont nombreuses. Dans ce cas, toutefois, les détections contiennent davantage de faux positifs. Pour Prévention contre les menaces, le niveau de sensibilité de McAfee GTI est défini sur Moyen par défaut. Configurez le niveau de sensibilité de chaque analyseur dans les paramètres du module Prévention contre les menaces. Pour Contrôle Web, le niveau de sensibilité de McAfee GTI est défini sur Très élevé par défaut. Configurez le niveau de sensibilité de l'analyse de téléchargements de fichiers dans les paramètres des Contrôle Web de Contrôle Web. Vous pouvez configurer Endpoint Security pour utiliser un serveur proxy pour l'extraction des informations de réputation McAfee GTI dans les paramètres du Partagés. Configuration du comportement de mise à jour Spécifiez le comportement des mises à jour lancées à partir d'client Endpoint Security dans les paramètres du module Partagés. Procédures Configurer les sites sources pour les mises à jour, page 34 Pour les systèmes managés automatiquement et managés par McAfee epo, vous pouvez configurer les sites à partir desquels Client Endpoint Security obtient les fichiers de sécurité à jour dans les paramètres du Partagés. Configurer le comportement par défaut des mises à jour, page 36 Pour les systèmes managés automatiquement et managés par McAfee epo, vous pouvez spécifier le comportement par défaut des mises à jour lancées à partir de Client Endpoint Security dans les paramètres du module Partagés. Configurer, planifier et exécuter des tâches de mise à jour, page 38 Pour les systèmes managés automatiquement et managés par McAfee epo, vous pouvez configurer des tâches de mise à jour personnalisées ou modifier la planification de la tâche Mise à jour client par défaut à partir de Client Endpoint Security dans les paramètres du module Partagés. Configurer, planifier et exécuter des tâches de mise en miroir, page 39 Vous pouvez modifier ou planifier les tâches de mise en miroir à partir de Client Endpoint Security dans les paramètres du Partagés. Configurer les sites sources pour les mises à jour Pour les systèmes managés automatiquement et managés par McAfee epo, vous pouvez configurer les sites à partir desquels Client Endpoint Security obtient les fichiers de sécurité à jour dans les paramètres du Partagés. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Vous pouvez uniquement configurer ces paramètres sur les systèmes managés automatiquement et managés par McAfee epo. 34 McAfee Endpoint Security 10.1 Guide Produit

35 Utilisation de Client Endpoint Security Gestion de Endpoint Security 2 Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Dans le menu Action, sélectionnez Paramètres. 3 Cliquez sur Afficher les paramètres avancés. 4 Depuis Partagés, cliquez sur Options. 5 Configurez les paramètres Sites sources pour les mises à jour sur la page. Vous pouvez activer et désactiver le site de source de sauvegarde par défaut, McAfeeHttp, et le serveur de gestion (pour les systèmes managés), mais vous ne pouvez pas les modifier ou les supprimer. L'ordre des sites détermine l'ordre utilisé par Endpoint Security pour rechercher le site de mise à jour. Pour... Ajouter un site à la liste. Procédez comme suit 1 Cliquez sur Ajouter. 2 Spécifiez les paramètres du site, puis cliquez sur OK. Le site apparaît au début de la liste. Modifier un site existant. 1 Double-cliquez sur le nom du site. 2 Modifiez les paramètres, puis cliquez sur OK. Supprimer un site. Importer des sites à partir d'un fichier de liste de sites sources. Sélectionnez le site et cliquez sur Supprimer. 1 Cliquez sur Importer. 2 Sélectionnez le fichier à importer, puis cliquez sur OK. Le fichier de liste de sites remplace la liste de sites sources existante. Exporter la liste de sites sources vers un fichier SiteList.xml. Réorganiser les sites dans la liste. 1 Cliquez sur Tout exporter. 2 Sélectionnez l'emplacement d'enregistrement du fichier de liste de sites sources, puis cliquez sur OK. Pour déplacer des éléments : 1 Sélectionnez les éléments à déplacer. La poignée apparaît à gauche des éléments déplaçables. 2 Faites glisser les éléments, puis déposez-les dans le nouvel emplacement. Une ligne bleue apparaît entre les éléments où vous pouvez déposer les éléments déplacés. 6 Cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. McAfee Endpoint Security 10.1 Guide Produit 35

36 2 Utilisation de Client Endpoint Security Gestion de Endpoint Security Voir aussi Contenu de la liste de référentiels, page 36 Fonctionnement de la tâche de mise à jour client par défaut, page 37 Connexion en tant qu'administrateur, page 26 Configurer, planifier et exécuter des tâches de mise à jour, page 38 Contenu de la liste de référentiels La liste de référentiels spécifie les informations relatives aux référentiels utilisés par McAfee Agent pour mettre à jour les produits McAfee, y compris les fichiers DAT et de moteur. La liste de référentiels inclut : Informations et emplacement du référentiel Préférence dans l'ordre des référentiels Paramètres du serveur proxy, si nécessaire Informations d'identification chiffrées requises pour accéder à chaque référentiel La tâche client Mise à jour de produit McAfee Agent se connecte au premier référentiel activé (site de mise à jour) dans la liste de référentiels. Si ce référentiel n'est pas disponible, la tâche contacte le site suivant dans la liste jusqu'à ce qu'elle se connecte ou atteigne la fin de la liste. Si votre réseau utilise un serveur proxy, vous pouvez spécifier les paramètres de proxy à utiliser, l'adresse du serveur proxy et l'utilisation ou non de l'authentification. Les informations relatives au proxy sont stockées dans la liste de référentiels. Les paramètres de proxy que vous configurez s'appliquent à tous les référentiels de la liste. L'emplacement de la liste de référentiels dépend de votre système d'exploitation : Système d'exploitation Emplacement de la liste de référentiels Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml Microsoft Windows 7 Version antérieures C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\SiteList.xml Configurer le comportement par défaut des mises à jour Pour les systèmes managés automatiquement et managés par McAfee epo, vous pouvez spécifier le comportement par défaut des mises à jour lancées à partir de Client Endpoint Security dans les paramètres du module Partagés. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Vous pouvez uniquement configurer ces paramètres sur les systèmes managés automatiquement et managés par McAfee epo. Utilisez ces paramètres pour : Afficher ou cacher le bouton sur le client. Spécifier ce qui doit être mis à jour lorsque l'utilisateur clique sur le bouton ou lors de l'exécution de la tâche Mise à jour client par défaut. 36 McAfee Endpoint Security 10.1 Guide Produit

37 Utilisation de Client Endpoint Security Gestion de Endpoint Security 2 Par défaut, la tâche de mise à jour client par défaut s'exécute chaque jour à 1 h 00 et est répétée toutes les quatre heures jusqu'à 23 h 59. Pour modifier la planification, consultez Configurer, planifier et exécuter des tâches de mise à jour, page 38. Sur les systèmes managés automatiquement, la tâche de mise à jour client par défaut met à jour l'ensemble du contenu et des logiciels. Sur les systèmes managés, cette tâche met à jour le contenu uniquement. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Dans le menu Action, sélectionnez Paramètres. 3 Cliquez sur Afficher les paramètres avancés. 4 Configurez les paramètres Mise à jour client par défaut sur la page. 5 Cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Voir aussi Connexion en tant qu'administrateur, page 26 Configurer les sites sources pour les mises à jour, page 34 Configurer, planifier et exécuter des tâches de mise à jour, page 38 Fonctionnement de la tâche de mise à jour client par défaut La tâche de mise à jour client par défaut télécharge la protection la plus récente sur le Client Endpoint Security. Endpoint Security inclut la tâche de mise à jour client par défaut qui s'exécute chaque jour à 1 h 00 et est répétée toutes les quatre heures jusqu'à 23 h 59. Tâche de mise à jour client par défaut : 1 Se connecte au premier site source activé de la liste. Si ce site n'est pas disponible, la tâche contacte le site suivant jusqu'à ce qu'elle se connecte ou atteigne la fin de la liste. 2 Télécharge un fichier CATALOG.Z chiffré depuis le site. Le fichier contient les informations requises pour effectuer la mise à jour, y compris les fichiers et mises à jour disponibles. 3 Vérifie les versions logicielles indiquées dans le fichier par rapport aux versions présentes sur l'ordinateur et télécharge les nouvelles mises à jour logicielles disponibles, le cas échéant. Si la tâche de mise à jour client par défaut est interrompue au cours de la mise à jour : Mises à jour depuis... HTTP, UNC ou site local Site FTP (téléchargement d'un seul fichier) Site FTP (téléchargement de plusieurs fichiers) En cas d'interruption... Relancé au stade où il a été arrêté lors du prochain démarrage de la tâche de mise à jour. Pas relancé en cas d'interruption. Relancé avant le fichier qui était téléchargé lors de l'interruption. McAfee Endpoint Security 10.1 Guide Produit 37

38 2 Utilisation de Client Endpoint Security Gestion de Endpoint Security Voir aussi Configurer les sites sources pour les mises à jour, page 34 Configurer, planifier et exécuter des tâches de mise à jour, page 38 Contenu de la liste de référentiels, page 36 Configurer, planifier et exécuter des tâches de mise à jour Pour les systèmes managés automatiquement et managés par McAfee epo, vous pouvez configurer des tâches de mise à jour personnalisées ou modifier la planification de la tâche Mise à jour client par défaut à partir de Client Endpoint Security dans les paramètres du module Partagés. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Vous pouvez uniquement configurer ces paramètres sur les systèmes managés automatiquement et managés par McAfee epo. Utilisez ces paramètres pour effectuer la configuration à partir du client lors de l'exécution de la tâche de Mise à jour client par défaut. Consultez Configurer le comportement par défaut des mises à jour, page 36 pour configurer le comportement par défaut des mises à jour client lancées depuis Client Endpoint Security. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Dans le menu Action, sélectionnez Paramètres. 3 Cliquez sur Afficher les paramètres avancés. 4 Depuis Partagés, cliquez sur Tâches. 5 Configurez les paramètres de la tâche de mise à jour sur la page. Pour... Créer une tâche de mise à jour personnalisée. Procédez comme suit 1 Cliquez sur Ajouter. 2 Entrez le nom, puis dans la liste déroulante Sélectionnez un type de tâche, sélectionnez Mise à jour. 3 Configurez les paramètres, puis cliquez sur OK pour enregistrer la tâche. Modifier une tâche de mise à jour. Supprimer une tâche de mise à jour personnalisée. Créer une copie de la tâche de mise à jour. Cliquez deux fois sur la tâche, effectuez les modifications, puis cliquez sur OK pour enregistrer la tâche. Sélectionnez la tâche, puis cliquez sur Supprimer. 1 Sélectionnez la tâche, puis cliquez sur Dupliquer. 2 Entrez le nom, configurez les paramètres, puis cliquez sur OK pour enregistrer la tâche. 38 McAfee Endpoint Security 10.1 Guide Produit

39 Utilisation de Client Endpoint Security Gestion de Endpoint Security 2 Pour... Modifier la planification d'une tâche Mise à jour de client par défaut. Procédez comme suit 1 Cliquez deux fois sur Mise à jour client par défaut. 2 Cliquez sur l'onglet Planifier, modifiez la planification, puis cliquez sur OK pour enregistrer la tâche. Consultez Configurer le comportement par défaut des mises à jour, page 36 pour configurer le comportement par défaut des mises à jour client lancées depuis Client Endpoint Security. Exécuter une tâche de mise à jour. Sélectionnez la tâche, puis cliquez sur Exécuter maintenant. Si la tâche est déjà en cours d'exécution, ou si elle est interrompue ou reportée, le bouton est remplacé par Afficher. Si vous exécutez une tâche avant d'appliquer les modifications, Client Endpoint Security vous invite à enregistrer les paramètres. 6 Cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Voir aussi Fonctionnement de la tâche de mise à jour client par défaut, page 37 Configurer les sites sources pour les mises à jour, page 34 Configurer, planifier et exécuter des tâches de mise en miroir Vous pouvez modifier ou planifier les tâches de mise en miroir à partir de Client Endpoint Security dans les paramètres du Partagés. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Dans le menu Action, sélectionnez Paramètres. 3 Cliquez sur Afficher les paramètres avancés. 4 Depuis Partagés, cliquez sur Tâches. 5 Configurez les paramètres de la tâche de mise en miroir sur la page. Pour... Créer une tâche de mise en miroir. Procédez comme suit 1 Cliquez sur Ajouter. 2 Entrez le nom, puis dans la liste déroulante Sélectionnez un type de tâche, sélectionnez Mise en miroir. 3 Configurez les paramètres, puis cliquez sur OK. Modifier une tâche de mise en miroir. Double-cliquez sur la tâche de mise en miroir, effectuez les modifications puis cliquez sur OK. McAfee Endpoint Security 10.1 Guide Produit 39

40 2 Utilisation de Client Endpoint Security Gestion de Endpoint Security Pour... Supprimer une tâche de mise en miroir. Créer une copie d'une tâche de mise en miroir. Planifier une tâche de mise en miroir. Exécuter une tâche de mise en miroir. Procédez comme suit Sélectionnez la tâche, puis cliquez sur Supprimer. 1 Sélectionnez la tâche, puis cliquez sur Dupliquer. 2 Entrez le nom, configurez les paramètres, puis cliquez sur OK. 1 Double-cliquez sur la tâche. 2 Cliquez sur l'onglet Planifier, modifiez la planification, puis cliquez sur OK pour enregistrer la tâche. Sélectionnez la tâche, puis cliquez sur Exécuter maintenant. Si la tâche est déjà en cours d'exécution, ou si elle est interrompue ou reportée, le bouton est remplacé par Afficher. Si vous exécutez une tâche avant d'appliquer les modifications, Client Endpoint Security vous invite à enregistrer les paramètres. 6 Cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Fonctionnement des tâches de mise en miroir Les tâches de mise en miroir répliquent les fichiers de mise à jour à partir du premier référentiel accessible (défini dans la liste de référentiels) vers un site miroir du réseau. L'utilisation la plus courante de cette tâche consiste à mettre en miroir le contenu du site de téléchargement de McAfee sur un serveur local. Une fois que le site McAfee contenant les fichiers de mise à jour est répliqué, les ordinateurs de votre réseau peuvent télécharger les fichiers depuis le site miroir. Cette approche vous permet de mettre à jour n'importe quel ordinateur sur votre réseau, que ce dernier dispose d'un accès à Internet ou non. L'utilisation d'un site répliqué est plus efficace, car vos systèmes communiquent avec un serveur qui est plus proche qu'un site Internet McAfee, ce qui vous permet d'économiser du temps au niveau de l'accès et du téléchargement. La Prévention contre les menaces a besoin d'un répertoire pour se mettre à jour. Ainsi, lorsque vous mettez un site en miroir, assurez-vous de répliquer la totalité de la structure du répertoire. 40 McAfee Endpoint Security 10.1 Guide Produit

41 3 Utilisation 3 de Prévention contre les menaces Prévention contre les menaces recherche la présence de virus, de logiciels espions, de programmes indésirables et de toute autre menace en analysant les éléments de votre ordinateur. Sommaire Analyse de l'ordinateur à la recherche de logiciels malveillants (malwares) Gestion des détections de menaces Gérer les éléments mis en quarantaine Gestion de Prévention contre les menaces Analyse de l'ordinateur à la recherche de logiciels malveillants (malwares) Recherchez les logiciels malveillants sur votre ordinateur dans Client Endpoint Security ou l'explorateur Windows. Procédures Exécution d'une analyse rapide ou d'une analyse complète, page 42 Utilisez Client Endpoint Security pour exécuter une analyse complète ou une analyse rapide manuellement sur votre ordinateur. Analyse d'un fichier ou dossier, page 44 Cliquez avec le bouton droit de la souris dans l'explorateur Windows pour analyser immédiatement un fichier ou dossier si vous pensez qu'il est infecté. Voir aussi Types d'analyses, page 41 Types d'analyses Endpoint Security fournit deux types d'analyses : les analyses à l'accès et les analyses à la demande. Analyse à l'accès : l'administrateur configure des analyses à l'accès qui s'exécutent sur les ordinateurs managés. Pour les ordinateurs managés automatiquement, configurez l'analyseur à l'accès dans la page Paramètres. A chaque accès aux fichiers, dossiers et programmes, l'analyseur à l'accès intercepte l'opération et analyse l'élément, en fonction des critères définis dans les paramètres. Analyse à la demande McAfee Endpoint Security 10.1 Guide Produit 41

42 3 Utilisation de Prévention contre les menaces Analyse de l'ordinateur à la recherche de logiciels malveillants (malwares) Manuel L'administrateur (ou utilisateur, pour les systèmes managés automatiquement) configure des analyses à la demande prédéfinies ou personnalisées que les utilisateurs peuvent exécuter sur les ordinateurs managés. Exécutez une analyse à la demande prédéfinie à tout moment à partir de Client Endpoint Security en cliquant sur d'analyse : et en sélectionnant un type L'analyse rapide effectue une vérification rapide des zones du système qui sont les plus exposées aux infections. L'analyse complète vérifie minutieusement toutes les zones du système. (Recommandé si vous soupçonnez que l'ordinateur contient un fichier infecté.) Dans l'explorateur Windows, analysez un fichier ou dossier individuel en cliquant avec le bouton droit de la souris sur le fichier ou dossier et en sélectionnant Rechercher les menaces dans le menu contextuel. Configurez et exécutez une analyse à la demande personnalisée en tant qu'administrateur à partir de Client Endpoint Security : 1 Sélectionnez Paramètres Partagés Tâches. 2 Sélectionnez la tâche à exécuter. 3 Cliquez sur Exécuter maintenant. Planifié L'administrateur (ou utilisateur, pour les systèmes managés automatiquement) configure et planifie des analyses à la demande à exécuter sur les ordinateurs. Lorsqu'une analyse à la demande planifiée est sur le point de démarrer, Endpoint Security affiche une invite d'analyse au bas de l'écran. Vous pouvez démarrer l'analyse immédiatement ou la reporter, en fonction de la configuration. Pour configurer et planifier les analyses à la demande prédéfinies, Analyse rapide et Analyse complète : 1 Paramètres Analyse à la demande Onglet Analyse complète ou Analyse rapide : configure les analyses à la demande. 2 Paramètres Common Tâches : permet de planifier les analyses à la demande. Voir aussi Configurer, planifier et exécuter des tâches d'analyse, page 74 Répondre à une invite d'analyse, page 19 Exécution d'une analyse rapide ou d'une analyse complète Utilisez Client Endpoint Security pour exécuter une analyse complète ou une analyse rapide manuellement sur votre ordinateur. Avant de commencer Le module Prévention contre les menaces doit être installé. Le comportement des options Analyse complète et Analyse rapide dépend de la configuration des paramètres. Avec des informations d'identification d'administrateur, vous pouvez modifier et planifier ces analyses dans les paramètres Analyse à la demande. 42 McAfee Endpoint Security 10.1 Guide Produit

43 Utilisation de Prévention contre les menaces Analyse de l'ordinateur à la recherche de logiciels malveillants (malwares) 3 Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur. 3 Sur la page Analyser le système, cliquez sur Analyser maintenant pour l'analyse que vous souhaitez exécuter. Analyse complète Analyse rapide Effectue une vérification minutieuse de toutes les zones de votre système (recommandé si vous pensez que votre ordinateur est peut-être infecté). Effectue une vérification rapide des zones de votre système les plus exposées aux infections. Si une analyse est déjà en cours, le bouton Analyser maintenant change en Afficher l'analyse. Le bouton Afficher les menaces détectées peut également s'afficher pour l'analyseur à l'accès, selon la configuration des paramètres et si des menaces ont été détectées. Cliquez sur ce bouton pour ouvrir la page Analyse à l'accès et gérer les détections à tout moment. Voir Gestion des détections de menaces, page 45. Client Endpoint Security affiche le statut de l'analyse sur une nouvelle page. La date de création du contenu AMCore indique l'heure à laquelle le contenu a été mis à jour pour la dernière fois. Si le contenu est vieux de plus de deux jours, McAfee recommande de mettre à jour votre protection avant d'exécuter l'analyse. 4 Cliquez sur les boutons dans la partie supérieure de la page d'état pour contrôler l'analyse. Interrompre l'analyse Reprendre l'analyse Annuler l'analyse Interrompt l'analyse avant son achèvement. Relance une analyse interrompue. Annule une analyse en cours d'exécution. 5 Une fois l'analyse terminée, la page affiche le nombre de fichiers analysés, le temps écoulé et les détections. Nom de détection Type Fichier Identifie le nom du logiciel malveillant détecté. Affiche le type de menace. Identifie le fichier infecté. Action Décrit la dernière action entreprise sur le fichier infecté : Accès refusé Nettoyé Supprimé Aucun La liste de détections de l'analyse à la demande est vidée au démarrage de l'analyse à la demande suivante. McAfee Endpoint Security 10.1 Guide Produit 43

44 3 Utilisation de Prévention contre les menaces Analyse de l'ordinateur à la recherche de logiciels malveillants (malwares) 6 Sélectionnez une détection dans le tableau, puis cliquez sur Nettoyer ou Supprimer pour nettoyer ou supprimer le fichier infecté. En fonction des paramètres de type de menace et d'analyse, ces actions peuvent ne pas être disponibles. 7 Cliquez sur Fermer pour fermer la page. Voir aussi Types d'analyses, page 41 Noms de détection, page 48 Mise à jour manuelle de la protection et du logiciel, page 21 Gestion des détections de menaces, page 45 Configuration des paramètres de Analyse à la demande, page 70 Configurer, planifier et exécuter des tâches d'analyse, page 74 Analyse d'un fichier ou dossier Cliquez avec le bouton droit de la souris dans l'explorateur Windows pour analyser immédiatement un fichier ou dossier si vous pensez qu'il est infecté. Avant de commencer Le module Prévention contre les menaces doit être installé. Le comportement de l'analyse contextuelle dépend de la configuration des paramètres. Avec des informations d'identification d'administrateur, vous pouvez modifier ces analyses dans les paramètres Analyse à la demande. Procédure 1 Dans l'explorateur Windows, cliquez avec le bouton droit de la souris sur un fichier ou un dossier à analyser et sélectionnez Rechercher les menaces dans le menu contextuel. Client Endpoint Security affiche le statut de l'analyse sur la page Rechercher les menaces. 2 Cliquez sur les boutons dans la partie supérieure de la page pour contrôler l'analyse. Interrompre l'analyse Reprendre l'analyse Annuler l'analyse Interrompt l'analyse avant son achèvement. Relance une analyse interrompue. Annule une analyse en cours d'exécution. 3 Une fois l'analyse terminée, la page affiche le nombre de fichiers analysés, le temps écoulé et les détections. Nom de détection Type Fichier Identifie le nom du logiciel malveillant détecté. Affiche le type de menace. Identifie le fichier infecté. Action Décrit la dernière action entreprise sur le fichier infecté : Accès refusé Nettoyé Supprimé Aucun La liste de détections de l'analyse à la demande est vidée au démarrage de l'analyse à la demande suivante. 44 McAfee Endpoint Security 10.1 Guide Produit

45 Utilisation de Prévention contre les menaces Gestion des détections de menaces 3 4 Sélectionnez une détection dans le tableau, puis cliquez sur Nettoyer ou Supprimer pour nettoyer ou supprimer le fichier infecté. En fonction des paramètres de type de menace et d'analyse, ces actions peuvent ne pas être disponibles. 5 Cliquez sur Fermer pour fermer la page. Voir aussi Types d'analyses, page 41 Configuration des paramètres de Analyse à la demande, page 70 Noms de détection, page 48 Gestion des détections de menaces Selon les paramètres configurés, vous pouvez gérer les détections de menaces à partir d'client Endpoint Security. Avant de commencer Le module Prévention contre les menaces doit être installé. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Analyser maintenant pour ouvrir la page Analyser le système. 3 Sous Analyse à l'accès, cliquez sur Afficher les menaces détectées. Cette option n'est pas disponible si la liste ne contient aucune détection ou si l'option d'envoi de messages à l'utilisateur est désactivée. La liste de détections de l'analyse à l'accès est vidée lors du redémarrage du service Endpoint Security ou de la réinitialisation du système. 4 Sur la page Analyse à l'accès, sélectionnez l'une des options suivantes. Nettoyer Tente de nettoyer l'élément (fichier, entrée de Registre) et le place en quarantaine. Endpoint Security utilise les informations disponibles dans les fichiers de contenu pour nettoyer les fichiers. Si le fichier de contenu ne dispose pas de nettoyeur ou si le fichier est trop endommagé pour être réparé, l'analyseur en refuse l'accès. Dans ce cas, McAfee recommande de supprimer le fichier de la quarantaine et de le restaurer à partir d'une sauvegarde non infectée. Supprimer Supprimer l'entrée Fermer Supprime l'élément contenant la menace. Supprime l'entrée de la liste des menaces détectées. Ferme la page d'analyse. Si une action n'est pas disponible pour la menace, l'option correspondante est désactivée. Par exemple, l'option Nettoyer n'est pas disponible si le fichier a déjà été supprimé. La liste de détections de l'analyse à l'accès est vidée lors du redémarrage du service Endpoint Security ou de la réinitialisation du système. McAfee Endpoint Security 10.1 Guide Produit 45

46 3 Utilisation de Prévention contre les menaces Gérer les éléments mis en quarantaine Gérer les éléments mis en quarantaine Endpoint Security enregistre les éléments détectés représentant une menace dans la quarantaine. Vous pouvez effectuer des actions sur les éléments en quarantaine. Avant de commencer Le module Prévention contre les menaces doit être installé. Par exemple, vous pouvez éventuellement restaurer un élément après le téléchargement d'une version plus récente du contenu pouvant contenir les informations qui permettent de nettoyer la menace. Les éléments mis en quarantaine peuvent contenir plusieurs types d'objets analysés, tels que des fichiers, des registres ou tout élément que Endpoint Security analyse à la recherche de logiciels malveillants. Procédure Pour obtenir de l'aide, dans le menu Action, sélectionnez Aide. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Quarantaine dans le volet gauche de la page. La page affiche tous les éléments mis en quarantaine. Si Client Endpoint Security ne peut accéder au Gestionnaire de quarantaine, il affiche un message d'erreur de communication. Dans ce cas, redémarrez le système pour voir la page Quarantaine. 46 McAfee Endpoint Security 10.1 Guide Produit

47 Utilisation de Prévention contre les menaces Gérer les éléments mis en quarantaine 3 3 Sélectionnez un élément dans le volet supérieur pour afficher ses détails dans le volet inférieur. Pour... Modifier les tailles relatives des volets. Organiser les éléments dans le tableau par nom ou type de menace. Effectuez les opérations suivantes Cliquez sur le widget de châssis entre les volets et faites-le glisser. Cliquez sur l'en-tête de colonne du tableau. 4 Dans la page Quarantaine, effectuez des actions sur les éléments sélectionnés. Pour... Supprimer des éléments de la quarantaine. Procédez comme suit Sélectionnez les éléments, cliquez sur Supprimer, puis cliquez à nouveau sur Supprimer pour confirmer. Les éléments supprimés ne peuvent pas être restaurés. Restaurer les éléments mis en quarantaine. Sélectionnez les éléments, cliquez sur Restaurer, puis cliquez à nouveau sur Restaurer pour confirmer. Endpoint Security restaure les éléments à leur emplacement d'origine et les supprime de la quarantaine. Si un élément reste une menace valide, Endpoint Security le replace dans la quarantaine lors du prochain accès à cet élément. Analyser à nouveau les éléments. Afficher un élément dans le journal des événements. Obtenir des informations supplémentaires sur une menace. Sélectionnez des éléments, puis cliquez sur Analyser à nouveau. Par exemple, vous pouvez analyser de nouveau un élément après la mise à jour de la protection. Si l'élément ne constitue plus une menace, vous pouvez le restaurer à son emplacement d'origine et le supprimer de la quarantaine. Sélectionnez un élément, puis cliquez sur le lien Afficher dans le journal des événements dans le volet des détails. La page Journal des événements s'ouvre, avec l'événement relatif à l'élément sélectionné mis en surbrillance. Sélectionnez un élément, puis cliquez sur le lien En savoir plus sur cette menace dans le volet des détails. Le site web McAfee Labs s'ouvre dans une nouvelle fenêtre du navigateur, avec plus d'informations sur le motif de la mise en quarantaine de l'élément. Voir aussi Noms de détection, page 48 Nouvelle analyse des éléments mis en quarantaine, page 49 Ouvrez Client Endpoint Security, page 17 Mise à jour manuelle de la protection et du logiciel, page 21 McAfee Endpoint Security 10.1 Guide Produit 47

48 3 Utilisation de Prévention contre les menaces Gérer les éléments mis en quarantaine Noms de détection La quarantaine signale les menaces par nom de détection. Nom de détection Logiciel publicitaire Numéroteur Canular Enregistreur de frappe Craqueur de mot de passe Programme potentiellement indésirable Outil d'administration à distance Logiciel espion Furtif Description Génère du revenu en affichant des publicités ciblant l'utilisateur. Ce revenu provient soit du fournisseur ou des partenaires du fournisseur. Certains types de logiciels publicitaires peuvent capturer et transmettre des informations personnelles. Redirige les connexions Internet vers une partie autre que le fournisseur d'accès Internet par défaut de l'utilisateur. Les numéroteurs sont conçus pour ajouter des frais de connexion pour un fournisseur de contenu, un fournisseur ou un tiers. Conçu pour endommager un ordinateur, sans charge ou utilisation malveillante. Les canulars n'ont pas d'incidence sur la sécurité ou la confidentialité, mais peuvent inquiéter ou perturber un utilisateur. Intercepte les données entre l'utilisateur qui les saisit et l'application de destination prévue. Les enregistreurs de frappe de chevaux de Troie et de programme potentiellement indésirable peuvent fonctionner de la même manière. Le logiciel McAfee détecte les deux types afin d'empêcher l'intrusion dans la vie privée. Permet à un utilisateur ou administrateur de récupérer des mots de passe perdus ou oubliés à partir de comptes ou fichiers de données. Il permet à un pirate d'accéder à des informations confidentielles et constitue une menace pour la sécurité et la confidentialité. Inclut souvent un logiciel légitime (non malveillant) susceptible de modifier l'état de sécurité ou de confidentialité du système. Ce logiciel peut être téléchargé avec un programme que l'utilisateur installe volontairement. Il peut inclure un logiciel espion, un logiciel publicitaire, un enregistreur de frappe, un craqueur de mot de passe, des outils de pirate et un numéroteur. Octroie à un administrateur le contrôle à distance d'un système. Ces outils peuvent représenter une menace de sécurité considérable s'ils sont contrôlés par un pirate. Transmet des informations personnelles à un tiers à l'insu de l'utilisateur ou sans son consentement. Les logiciels espions exploitent les ordinateurs infectés à des fins commerciales de la manière suivante : Affichage de publicités contextuelles indésirables Vol d'informations personnelles, y compris des informations financières, telles que les numéros de carte de crédit Surveillance de l'activité de navigation web à des fins marketing Acheminement des requêtes HTTP vers des sites publicitaires Voir également Programme potentiellement indésirable. Type de virus qui tente d'éviter la détection par un logiciel antivirus. Egalement intercepteur d'interruption. De nombreux virus furtifs interceptent des requêtes d'accès au disque. Lorsqu'une application antivirus tente de lire des fichiers ou d'initialiser des secteurs pour rechercher le virus, ce dernier présente une image «propre» de l'élément recherché. D'autres virus dissimulent la taille réelle d'un fichier infecté et affiche la taille du fichier avant infection. 48 McAfee Endpoint Security 10.1 Guide Produit

49 Utilisation de Prévention contre les menaces Gérer les éléments mis en quarantaine 3 Nom de détection Cheval de Troie Description Programme malveillant se faisant passer pour une application inoffensive. Un cheval de Troie ne se multiplie pas mais cause des dommages ou compromet la sécurité de votre ordinateur. Généralement, un ordinateur peut être infecté de plusieurs manières : Lorsqu'un utilisateur ouvre une pièce jointe contenant un cheval de Troie à partir d'un . Lorsqu'un utilisateur télécharge un cheval de Troie à partir d'un site Web. Mise en réseau pair à pair. Les chevaux de Troie ne sont pas considérés comme des virus, car ils ne se multiplient pas. Virus Se fixe sur des disques ou dans des fichiers et se multiplie de manière répétée, généralement à l'insu de l'utilisateur ou sans son autorisation. Certains virus se joignent à des fichiers, de sorte que l'exécution d'un fichier infecté entraîne celle du virus. D'autres virus résident dans la mémoire de l'ordinateur et infectent les fichiers que l'ordinateur ouvre, modifie ou crée. Certains virus présentent des symptômes, tandis que d'autres endommagent les fichiers et les systèmes de l'ordinateur. Nouvelle analyse des éléments mis en quarantaine Lorsqu'il analyse à nouveau des éléments mis en quarantaine, Endpoint Security utilise les paramètres d'analyse prévus pour assurer une protection maximale. Il est recommandé de toujours analyser à nouveau les éléments mis en quarantaine avant de les restaurer. Par exemple, vous pouvez analyser de nouveau un élément après la mise à jour de la protection. Si l'élément ne constitue plus une menace, vous pouvez le restaurer à son emplacement d'origine et le supprimer de la quarantaine. Entre le moment où une menace a initialement été détectée et celui où la nouvelle analyse est effectuée, les conditions d'analyse peuvent changer, ce qui peut affecter la détection des éléments mis en quarantaine. Lorsqu'il analyse à nouveau des éléments mis en quarantaine, Endpoint Security effectue toujours les tâches suivantes : Il analyse les fichiers codés MIME. Il analyse les fichiers d'archive compressés. Il force une recherche des éléments par McAfee GTI. Il définit le niveau de sensibilité de McAfee GTI sur Très élevé. Même avec ces paramètres d'analyse, la nouvelle analyse des éléments mis en quarantaine peut ne pas détecter une menace. Par exemple, si les métadonnées de l'élément (chemin d'accès ou emplacement de registre) changent, une nouvelle analyse peut générer un faux positif même si l'élément est toujours infecté. McAfee Endpoint Security 10.1 Guide Produit 49

50 3 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces Gestion de Prévention contre les menaces En tant qu'administrateur, vous pouvez spécifier des paramètres Prévention contre les menaces pour empêcher l'accès des menaces et configurer des analyses. Pour les systèmes managés, les modifications de stratégie de McAfee epo peuvent remplacer les modifications de la page Paramètres. Configuration d'exclusions Prévention contre les menaces vous permet d'affiner votre protection en spécifiant les éléments à exclure. Par exemple, vous pourriez avoir besoin d'exclure certains types de fichiers pour empêcher un analyseur de verrouiller un fichier utilisé par une base de données ou un serveur. (Un fichier verrouillé peut entraîner une défaillance ou des erreurs au niveau de la base de données ou du serveur.) Pour exclure un dossier sur les systèmes Windows, ajoutez une barre oblique inverse (\) au chemin d'accès. Pour exclure un dossier sur les systèmes Mac, ajoutez une barre oblique (/) au chemin d'accès. Pour cette fonction... Spécifier les éléments à exclure Configurer dans Exclure les éléments par Utiliser des caractères génériques? Protection de l'accès Processus (pour toutes les règles ou une règle spécifique) Paramètres Protection de l'accès Nom ou chemin d'accès au fichier exécutable, hachage MD5 ou signataire. Oui : nom et chemin d'accès au fichier Non : hachage MD5 et signataire Prévention contre les exploits Processus Paramètres Prévention contre les exploits Nom du processus, module appelant ou API. Toutes les analyses Noms de détection paramètres d'options Nom de détection (sensible à la casse) Analyse à l'accès Par défaut Risque élevé Risque faible Programmes potentiellement indésirables Fichiers, types de fichiers et dossiers Paramètres Analyse à l'accès Nom Nom de fichier ou de dossier, type de fichier ou âge de fichier Non Oui Oui Oui URL ScriptScan Nom de l'url Non Analyse à la demande Analyse rapide Analyse complète Fichiers, dossiers et lecteurs Paramètres Analyse à la demande Nom de fichier ou de dossier, type de fichier ou âge de fichier Oui Analyse contextuelle Analyse à la demande personnalisée Fichiers, dossiers et lecteurs Tâche clientpartagés Tâches Ajouter une tâche Analyse personnalisée Nom de fichier ou de dossier, type de fichier ou âge de fichier Oui Voir aussi Caractères génériques dans les exclusions, page McAfee Endpoint Security 10.1 Guide Produit

51 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces 3 Caractères génériques dans les exclusions Vous pouvez utiliser des caractères génériques afin de représenter des caractères dans les exclusions pour les fichiers, les dossiers, les noms de détection et les programmes potentiellement indésirables. Tableau 3-1 Caractères génériques valides Caractère générique Nom Représente? Point d'interrogation Caractère unique. Ce caractère générique s'applique uniquement si le nombre de caractères correspond à la longueur du nom de fichier ou de dossier. Par exemple, l'exclusion W?? exclut WWW, mais pas WW ou WWWW. * Astérisque Caractères multiples, sauf barre oblique inverse (\). ** Astérisque double Zéro, un ou plusieurs caractères de tout type, y compris la barre oblique inverse (\). Ce caractère générique correspond à zéro caractère ou plus. Par exemple : C:\ABC\**\XYZ correspond à C:\ABC \DEF\XYZ et C:\ABC\XYZ. Les caractères génériques peuvent apparaître avant une barre oblique inverse (\) dans un chemin d'accès. Par exemple, C:\ABC\*\XYZ correspond à C:\ABC\DEF\XYZ. Exclusions au niveau racine Prévention contre les menaces nécessite un chemin d'accès absolu pour les exclusions au niveau racine. Ceci signifie que vous ne pouvez pas utiliser de caractères génériques \ ou?:\ placés au début pour établir une correspondance avec les noms de lecteur au niveau racine. Ce comportement diffère de VirusScan Enterprise. Consultez l'article KB85746 de la base de connaissances et le Guide de migration de McAfee Endpoint Security. Avec Prévention contre les menaces, vous pouvez utiliser des caractères génériques **\ placés au début dans des exclusions au niveau racine pour établir une correspondance avec les lecteurs et les sous-dossiers. Par exemple, **\test correspond à ce qui suit : C:\test D:\test C:\temp\test D:\foo\test Protection des points d'accès à votre système La première ligne de défense contre les logiciels malveillants est la protection des points d'accès du système client contre les menaces. La protection de l'accès empêche des modifications indésirables sur votre ordinateur managé en limitant l'accès à des fichiers, partages, clés de Registre et valeurs spécifiés. La Protection de l'accès utilise des règles définies par McAfee et par l'utilisateur (également appelées règles personnalisées) pour signaler ou bloquer l'accès aux éléments. La Protection de l'accès compare une action demandée par rapport à la liste des règles configurées et agit en fonction de la règle. McAfee Endpoint Security 10.1 Guide Produit 51

52 3 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces La Protection de l'accès doit être activée pour détecter les tentatives d'accès aux fichiers, éléments partagés, et les clés et valeurs de Registre. L'option Protection de l'accès est activée par défaut. Méthodes d'accès des menaces au système Les menaces accèdent à votre système à l'aide de différents points d'accès. Points d'accès Macros Fichiers exécutables Scripts Messages IRC (Internet Relay Chat) Fichiers d'aide de navigateur et d'application Combinaison de tous ces points d'accès Description Dans les applications de traitement de texte et de feuilles de calcul. Outre le programme attendu, certains logiciels apparemment inoffensifs peuvent contenir des virus. Voici quelques extensions de fichier courantes : EXE,.COM,.VBS,.BAT,.HLP et.dll. Associés aux pages web et aux s, les scripts, tels que ActiveX et JavaScript, s'ils sont autorisés à s'exécuter, peuvent inclure des virus. Les fichiers accompagnant ces messages peuvent facilement contenir des logiciels malveillants. Les processus de démarrage automatique par exemple peuvent contenir des menaces de type ver et cheval de Troie. Le téléchargement de ces fichiers d'aide expose le système à des virus et fichiers exécutables imbriqués. Blagues, jeux et images des s avec pièces jointes. Les créateurs de logiciels malveillants sophistiqués combinent tous ces modes de distribution et imbriquent même des portions de logiciel malveillant dans d'autres pour tenter d'accéder à votre ordinateur. Blocage des menaces par la protection d'accès La fonctionnalité Protection de l'accès arrête les menaces potentielles en gérant les actions basées sur les règles de protection définies par McAfee et par l'utilisateur. Prévention contre les menaces suit le processus de base ci-après pour fournir la protection de l'accès. En cas de menace Lorsqu'un utilisateur ou un processus entreprend une action : 1 La protection de l'accès examine cette action en fonction des règles définies. 2 Si l'action enfreint une règle, la protection de l'accès gère l'action en fonction des informations fournies dans les règles configurées. 3 La protection de l'accès met à jour le fichier journal et génère et envoie un événement au serveur de gestion, le cas échéant. Exemple de menace d'accès 1 Un utilisateur télécharge un programme légitime (qui n'est pas un logiciel malveillant) Monprogramme.exe à partir d'internet. 2 L'utilisateur exécute Monprogramme.exe et le programme semble se lancer comme prévu. 3 Monprogramme.exe lance un processus enfant appelé ContrariezMoi.exe. 4 ContrariezMoi.exe tente de modifier le système d'exploitation afin de s'assurer que le programme se charge toujours au démarrage. 52 McAfee Endpoint Security 10.1 Guide Produit

53 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces 3 5 La fonction de protection de l'accès traite la requête et la compare à une règle existante configurée pour bloquer les menaces et les signaler. 6 La protection de l'accès empêche AnnoyMe.exe de modifier le système d'exploitation et consigne les détails de la tentative. En outre, la protection de l'accès génère et envoie une alerte au serveur de gestion. A propos des règles de protection de l'accès Utilisez les règles de protection de l'accès pour protéger les points d'accès de votre système. Type de règle Règles définies par McAfee Règles définies par l'utilisateur Paramètres Ces règles empêchent la modification des fichiers et des paramètres fréquemment utilisés. Vous pouvez activer, désactiver et modifier la configuration des règles définies par McAfee, mais vous ne pouvez pas les supprimer. Ces règles complètent la protection fournie par les règles définies par McAfee. Un tableau ne contenant aucun fichier exécutable indique que vous incluez tous les fichiers exécutables. Vous pouvez ajouter, supprimer, activer, désactiver et modifier la configuration de ces règles. Exclusions Au niveau de la règle, les exclusions et inclusions s'appliquent à la règle spécifiée. Au niveau de la stratégie, les exclusions s'appliquent à toutes les règles. Les exclusions sont facultatives. Configuration de règles de protection de l'accès définies par McAfee Les règles définies par McAfee empêchent la modification des fichiers et des paramètres fréquemment utilisés. Vous pouvez changer les paramètres de blocage et de rapport et ajouter des exécutables exclus et inclus, mais vous ne pouvez pas supprimer ces règles ni modifier les fichiers et les paramètres qu'elles protègent. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Les sous-règles ne peuvent pas être ajoutées à une règle définie par McAfee. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Threat Prevention sur la page Statut principale. Ou, dans le menu Action Paramètres., sélectionnez Paramètres, puis cliquez sur Threat Prevention sur la page 3 Cliquez sur Afficher les paramètres avancés. 4 Cliquez sur Protection de l'accès. McAfee Endpoint Security 10.1 Guide Produit 53

54 3 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces 5 Assurez-vous que l'option Protection de l'accès est activée. L'option Protection de l'accès est activée par défaut. 6 Modifiez la règle : a Dans la section Règles, sélectionnez Bloquer, Rapport ou les deux. Pour bloquer ou signaler tout, sélectionnez Bloquer ou Rapport dans la première ligne. Si ni l'option Bloquer ni l'option Rapport ne sont sélectionnées, la règle est désactivée. b c d Cliquez deux fois sur une règle définie par McAfee pour la modifier. Sur la page Modifier la règle définie par McAfee, configurez les paramètres. Dans la section Fichiers exécutables, cliquez sur Ajouter, configurez les paramètres, puis cliquez deux fois sur Enregistrer pour enregistrer la règle. Voir aussi Règles définies par McAfee, page 54 Connexion en tant qu'administrateur, page 26 Règles définies par McAfee Utilisez les règles définies par McAfee pour protéger votre ordinateur contre les modifications indésirables. Tableau 3-2 Règle définie par McAfee Description Altération de tous les enregistrements d'extension de fichier Protège les clés de Registre présentes sous HKEY_CLASSES_ROOT, où les extensions de fichiers sont enregistrées. Cette règle empêche les logiciels malveillants de modifier les enregistrements d'extension de fichier dans le but de permettre au logiciel malveillant de s'exécuter en arrière-plan. Désactivez cette règle lors de l'installation d'applications valides qui modifient les enregistrements d'extensions de fichiers dans le Registre. Cette règle constitue une alternative plus restrictive à Détournement des fichiers.exe et des autres extensions exécutables. Altération des stratégies de droits utilisateur Création de nouveaux fichiers exécutables dans le dossier Program Files Protège les valeurs de registre contenant des informations de sécurité Windows. Cette règle empêche les vers d'apporter des modifications aux comptes qui disposent de droits d'administrateur. Empêche la création de nouveaux fichiers exécutables dans le dossier Program Files. Cette règle empêche la création de nouveaux fichiers.exe et.dll et l'installation de nouveaux fichiers exécutables dans le dossier Program Files par des logiciels publicitaires et logiciels espions. Nous vous recommandons d'installer les applications après avoir activé cette règle ou de placer les processus bloqués dans la liste d'exclusion. 54 McAfee Endpoint Security 10.1 Guide Produit

55 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces 3 Tableau 3-2 (suite) Règle définie par McAfee Création de nouveaux fichiers exécutables dans le dossier Windows Description Empêche la création de fichiers à partir du réseau mais aussi à partir de tout processus. Cette règle empêche la création de fichiers.exe et.dll dans le dossier Windows. Ajoutez les processus qui doivent placer les fichiers du dossier Windows dans la liste d'exclusion. Désactivation de l'éditeur de Registre et du gestionnaire des tâches Protège les entrées du registre Windows, ce qui empêche la désactivation de l'éditeur de Registre et du gestionnaire des tâches. En cas d'attaque, désactivez cette règle afin de pouvoir modifier le registre, ou ouvrez le Gestionnaire des tâches pour arrêter les processus. Exécution de scripts par l'hôte de scripts Windows (CScript.exe ou Wscript.exe) à partir d'un dossier Temp Détournement des fichiers.exe ou autres extensions exécutables Empêche l'hôte de script Windows d'exécuter les scripts VBScript et JavaScript depuis n'importe quel dossier dont le nom contient «temp». Cette règle protège contre un grand nombre de chevaux de Troie et de mécanismes d'installation web douteux utilisés par les logiciels publicitaires et logiciels espions. Cette règle peut bloquer l'installation ou l'exécution des scripts légitimes et applications tierces. Protège.EXE,.BAT et d'autres clés de Registre exécutables sous HKEY_CLASSES_ROOT. Cette règle empêche les logiciels malveillants de modifier les clés de Registre dans le but d'exécuter le virus lorsqu'un autre fichier exécutable s'exécute. Cette règle constitue une alternative moins restrictive à Altération de tous les enregistrements d'extension de fichier. Installation des objets d'aide à la navigation et des extensions shell Empêche les logiciels publicitaires, les logiciels espions et les chevaux de Troie s'installant en tant qu'objets d'aide à la navigation de s'installer sur l'ordinateur. Cette règle empêche l'installation des logiciels publicitaires et des logiciels espions sur les systèmes. Pour autoriser les applications personnalisées ou tierces légitimes à installer ces objets, ajoutez-les à la liste d'exclusion. Une fois l'installation terminée, vous pouvez réactiver la règle, car elle n'empêche pas les objets d'aide à la navigation installés de fonctionner. Installation de nouveaux CLSID, APPID et TYPELIB Empêche l'installation ou l'enregistrement de nouveaux serveurs COM. Cette règle protège contre les logiciels publicitaires et les logiciels espions qui s'installent en tant qu'applications Internet Explorer ou Microsoft Office de module complémentaire COM. Pour éviter de bloquer des applications légitimes qui enregistrent des modules complémentaires COM, y compris des applications courantes telles que Macromedia Flash, ajoutez-les à la liste d'exclusion. McAfee Endpoint Security 10.1 Guide Produit 55

56 3 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces Tableau 3-2 (suite) Règle définie par McAfee Lancement par Internet Explorer des fichiers du dossier Downloaded Program Files Description Empêche les logiciels de s'installer via le navigateur web. Cette règle est spécifique à Microsoft Internet Explorer. Cette règle peut également bloquer l'installation de logiciels légitimes. Installez donc l'application avant d'activer la règle ou ajoutez le processus d'installation en tant qu'exclusion. Cette règle est définie sur Rapport par défaut. Cette règle empêche l'installation des logiciels publicitaires et les logiciels espions et l'exécution de fichiers exécutables dans ce dossier. Modification des processus Windows de base Modification des paramètres d'internet Explorer Modification des paramètres réseau Empêche la création ou l'exécution des fichiers dont les noms sont le plus souvent usurpés. Cette règle empêche les virus et chevaux de Troie de s'exécuter avec le nom d'un processus Windows. Cette règle exclut les fichiers Windows authentiques. Empêche les processus de modifier les paramètres dans Internet Explorer. Cette règle empêche la modification des paramètres de navigateur par les chevaux de Troie, logiciels publicitaires et logiciels espions de page d'accueil (par exemple, modification de la page d'accueil ou installation de favoris). Empêche la modification des paramètres réseau d'un système par les processus non répertoriés dans la liste d'exclusion. Cette règle protège contre les fournisseurs de service en couche qui transmettent des données, concernant par exemple le comportement de votre navigateur, en interceptant votre trafic réseau et en l'envoyant vers des sites tiers. Pour les processus pouvant modifier les paramètres réseau, ajoutez-les à la liste d'exclusion ou désactivez la règle lorsque vous effectuez des modifications. Enregistrement des programmes pour l'exécution automatique Bloque les tentatives d'enregistrement de logiciels publicitaires, logiciels espions, chevaux de Troie et virus et leur chargement à chaque redémarrage du système. Cette règle empêche l'enregistrement de processus s'exécutant à chaque redémarrage de système par les processus ne figurant pas dans la liste d'exclusion. Ajoutez des applications légitimes à la liste d'exclusion ou installez-les avant que cette règle ne soit activée. Accès à distance aux fichiers ou dossiers locaux Empêche l'accès en écriture et lecture sur l'ordinateur depuis des ordinateurs distants. Cette règle empêche la diffusion de vers entre plusieurs partages. Dans un environnement typique, cette règle convient aux stations de travail, mais pas aux serveurs, et elle est utile uniquement lorsque les ordinateurs sont attaqués activement. Si un ordinateur est managé via l'envoi de fichiers en mode Push, cette règle empêche l'installation de mises à jour ou patchs. Cette règle n'a pas d'incidence sur les fonctions de gestion de McAfee epo. 56 McAfee Endpoint Security 10.1 Guide Produit

57 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces 3 Tableau 3-2 (suite) Règle définie par McAfee Création à distance de fichiers d'exécution automatique Création ou modification à distance de fichiers ou dossiers Description Empêche d'autres ordinateurs d'établir une connexion et de créer ou modifier les fichiers d'exécution automatique (autorun.inf). Les fichiers d'exécution automatique sont utilisés pour lancer automatiquement les fichiers programme, et généralement des fichiers d'installation sur CD. Cette règle empêche les logiciels espions et les logiciels publicitaires distribués sur CD de s'exécuter. Par défaut, cette règle est sélectionnée pour bloquer et signaler (Bloquer et Rapport). Bloque l'accès en écriture pour tous les éléments partagés. Cette règle est utile en cas d'attaque, car elle bloque l'accès en écriture pour limiter la diffusion de l'infection. Elle bloque les logiciels malveillants qui pourraient altérer gravement l'utilisation de l'ordinateur ou du réseau. Dans un environnement typique, cette règle convient aux stations de travail, mais pas aux serveurs, et elle est utile uniquement lorsque les ordinateurs sont attaqués activement. Si un ordinateur est managé via l'envoi de fichiers en mode Push, cette règle empêche l'installation de mises à jour ou patchs. Cette règle n'a pas d'incidence sur les fonctions de gestion de McAfee epo. Création ou modification à distance des types de fichiers Portable Executable,.INI,.PIF et des principaux emplacements système Empêche d'autres ordinateurs d'établir une connexion et de modifier les fichiers exécutables, tels que les fichiers du dossier Windows. Cette règle s'applique uniquement aux types de fichier généralement infectés par les virus. Cette règle protège contre les vers ou virus à diffusion rapide qui parcourent un réseau via des partages administratifs ou ouverts. Cette règle est une alternative moins fiable à Passer tous les éléments partagés en lecture seule. Exécution de fichiers d'un dossier Temp Exécution des fichiers depuis le dossier Temp par les programmes partagés Empêche l'exécution et le démarrage de tous les fichiers exécutables à partir de n'importe quel dossier dont le nom contient «temp». Cette règle assure la protection contre les logiciels malveillants qui sont enregistrés et exécutés depuis le répertoire temporaire de l'utilisateur ou du système. Ces logiciels malveillants peuvent inclure les fichiers exécutables joints aux s et les programmes téléchargés. Bien que cette règle soit celle qui offre la protection la plus élevée, elle peut empêcher l'installation d'applications légitimes. Empêche les applications d'installer des logiciels à partir du navigateur ou du client de messagerie. Cette règle bloque l'exécution des pièces jointes et des fichiers exécutables sur les pages web. Pour installer une application qui utilise le dossier Temp, ajoutez le processus à la liste d'exclusion. Voir aussi Configuration de règles de protection de l'accès définies par McAfee, page 53 McAfee Endpoint Security 10.1 Guide Produit 57

58 3 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces Configurer les règles de protection de l'accès définies par l'utilisateur Les règles définies par l'utilisateur complètent la protection fournie par les règles définies par McAfee. Vous pouvez ajouter, supprimer, activer, désactiver et modifier la configuration de ces règles. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Threat Prevention sur la page Statut principale. Ou, dans le menu Action Paramètres., sélectionnez Paramètres, puis cliquez sur Threat Prevention sur la page 3 Cliquez sur Afficher les paramètres avancés. 4 Cliquez sur Protection de l'accès. 5 Assurez-vous que l'option Protection de l'accès est activée. L'option Protection de l'accès est activée par défaut. 6 Créez la règle : a Dans la section Règles, cliquez sur Ajouter. b c Sur la page Ajouter une règle, configurez les paramètres. Dans la section Fichiers exécutables, cliquez sur Ajouter, configurez les propriétés de fichiers exécutables, puis cliquez sur Enregistrer. Un tableau ne contenant aucun fichier exécutable indique que vous incluez tous les fichiers exécutables. d Dans la section Sous-règles, cliquez sur Ajouter, puis configurez les propriétés de sous-règle. La sélection de l'option Lecture peut avoir un impact sur les performances. e f Dans la section Paramètres, cliquez sur Ajouter, configurez les informations du paramètre, puis cliquez deux fois sur Enregistrer. Dans la section Règles, sélectionnez Bloquer, Rapport ou les deux. Pour bloquer ou signaler tout, sélectionnez Bloquer ou Rapport dans la première ligne. Procédures Evaluation des paramètres dans les sous-règles de protection de l'accès, page 58 Chaque paramètre est ajouté avec une directive Inclure ou Exclure. Evaluation des paramètres dans les sous-règles de protection de l'accès Chaque paramètre est ajouté avec une directive Inclure ou Exclure. 58 McAfee Endpoint Security 10.1 Guide Produit

59 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces 3 Lors de l'évaluation d'un événement système par rapport à une sous-règle, la sous-règle évalue comme vrai si : Au moins une règle d'inclusion est évaluée comme vraie. et Toutes les règles d'exclusion sont évaluées comme fausses. «Exclure» est prioritaire par rapport à «Inclure». Voici des exemples : Si une sous-règle inclut un fichier C:\marketing\jjohns et exclut le même fichier, la sous-règle n'est pas déclenchée quand le fichier est C:\marketing\jjohns. Si une sous-règle inclut tous les fichiers mais exclut le fichier C:\marketing\jjohns, la sous-règle se déclenche si le fichier n'est pas C:\marketing\jjohns. Si une sous-règle inclut le fichier C:\marketing\* mais exclut C:\marketing\jjohns, la sous-règle se déclenche lorsque le fichier est C:\marketing\tous, mais pas lorsqu'il est C:\marketing\jjohns. Exclure des processus de la protection de l'accès Si un programme approuvé est bloqué, excluez le processus en créant une exclusion basée sur la stratégie ou sur la règle. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Threat Prevention sur la page Statut principale. Ou, dans le menu Action Paramètres., sélectionnez Paramètres, puis cliquez sur Threat Prevention sur la page 3 Cliquez sur Afficher les paramètres avancés. McAfee Endpoint Security 10.1 Guide Produit 59

60 3 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces 4 Cliquez sur Protection de l'accès. 5 Assurez-vous que l'option Protection de l'accès est activée. L'option Protection de l'accès est activée par défaut. 6 Effectuez l'une des actions suivantes : Pour... Créer une exclusion basée sur la stratégie. Effectuez les opérations suivantes... 1 Dans la section Exclusions, cliquez sur Ajouter pour ajouter des processus à exclure de toutes les règles. 2 Sur la page Ajouter un fichier exécutable, configurez les propriétés du fichier exécutable. 3 Cliquez sur Enregistrer, puis sur Appliquer pour enregistrer les paramètres. Créer une exclusion basée sur une règle. 1 Modifiez une règle existante ou ajoutez une nouvelle règle. 2 Sur la page Ajouter une règle ou Modifier la règle, cliquez sur Ajouter pour ajouter un fichier exécutable à exclure. 3 Sur la page Ajouter un fichier exécutable, configurez les propriétés du fichier exécutable. 4 Cliquez sur Enregistrer pour enregistrer les exclusions. Blocage des exploits par débordement de mémoire tampon Prévention contre les exploits empêche un exploit par débordement de mémoire tampon d'exécuter un code arbitraire. Cette fonction contrôle les appels API du mode utilisateur et identifie les appels dus à un débordement de mémoire tampon. En cas de détection, les informations sont enregistrées dans le journal d'activité, affichées sur le système client et envoyées au serveur de gestion, en fonction de la configuration. Prévention contre les menaces utilise le fichier de contenu de Prévention contre les exploits pour protéger les applications telles qu'internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word et MSN Messenger. Host Intrusion Prevention 8.0 peut être installé sur le même système que Endpoint Security Si McAfee Host IPS est activé, la Prévention contre les exploits est désactivée même si elle est activée dans les paramètres de stratégie. Fonctionnement des exploits par débordement de mémoire tampon Les agresseurs se servent des exploits par débordement de mémoire tampon pour lancer un code exécutable en faisant déborder la mémoire tampon fixe réservée à un processus d'entrée. Ce code leur permet ensuite de prendre le contrôle de l'ordinateur cible ou d'en compromettre les données. Plus de 25 % des attaques de logiciels malveillants sont des attaques par débordement de mémoire tampon qui tentent d'écraser la mémoire adjacente dans le frame de pile. Il existe deux types d'exploit par débordement de mémoire tampon : Attaques basées sur les piles : elles utilisent les objets de la mémoire de la pile pour stocker les entrées de l'utilisateur ; ce sont les plus courantes. Attaques basées sur les tas : elles inondent l'espace mémoire réservé à un programme, mais elles sont rares. 60 McAfee Endpoint Security 10.1 Guide Produit

61 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces 3 L'objet de la mémoire de pile de taille fixe est vide et en attente d'une entrée de l'utilisateur. Lorsqu'un programme reçoit des entrées de l'utilisateur, ces données sont stockées sur le dessus de la pile et une adresse mémoire de retour leur est attribuée. Lors du traitement de la pile, les entrées de l'utilisateur sont envoyées à l'adresse de retour définie par le programme. Le processus suivant décrit une attaque par débordement de mémoire tampon basée sur des piles : 1 Dépassement de la pile Lors de l'écriture d'un programme, une quantité spécifique de mémoire est réservée aux données. La pile déborde si les données écrites sont plus volumineuses que l'espace qui leur est réservé dans la mémoire. Cette situation constitue un problème uniquement lorsqu'il est combiné à des entrées malveillantes. 2 Exploitation du dépassement Le programme attend une entrée de l'utilisateur. Si l'agresseur entre une commande exécutable dépassant la taille de la pile, cette commande est enregistrée en dehors de l'espace réservé. 3 Exécution du logiciel malveillant La commande n'est pas exécutée automatiquement lorsqu'elle déborde de la mémoire tampon d'une pile. Le programme commence d'abord par se bloquer à cause du débordement de mémoire tampon. Si l'agresseur a fourni une adresse mémoire de retour qui fait référence à une commande malveillante, le programme tente de corriger le problème en utilisant l'adresse de retour. S'il s'agit d'une adresse valide, la commande malveillante est exécutée. 4 Exploitation des autorisations Le logiciel malveillant s'exécute donc à présent avec les mêmes autorisations que l'application compromise. Les programmes s'exécutent généralement en mode noyau ou avec des autorisations héritées d'un compte de service. Par conséquent, l'agresseur peut obtenir le contrôle total du système d'exploitation. Configuration des paramètres de Prévention contre les exploits Pour empêcher les applications d'exécuter du code arbitraire sur votre ordinateur, configurez la Prévention contre les exploits. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Threat Prevention sur la page Statut principale. Ou, dans le menu Action Paramètres., sélectionnez Paramètres, puis cliquez sur Threat Prevention sur la page 3 Cliquez sur Afficher les paramètres avancés. 4 Cliquez sur Prévention contre les exploits. 5 Configurez les paramètres sur la page, puis cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Voir aussi Connexion en tant qu'administrateur, page 26 McAfee Endpoint Security 10.1 Guide Produit 61

62 3 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces Exclusion des processus de prévention contre les exploits Lorsqu'un événement de violation de prévention contre les exploits se produit, il existe un processus associé et un possible module appelant ou une API. Si vous pensez que l'événement de violation est un faux positif, vous pouvez ajouter une exclusion qui spécifie le nom du fichier de processus. Vous pouvez également spécifier le module appelant ou l'api. Au sein d'une exclusion, le processus, le module et l'api sont connectés par un AND logique. Tous les éléments correspondent au processus, au module et à l'api associés à l'événement de violation pour empêcher que cette violation ne se produise à nouveau. Chaque exclusion est indépendante : plusieurs exclusions sont connectées par un OR logique de sorte que si une exclusion correspond, l'événement de violation ne se produit pas. Détection des programmes potentiellement indésirables Pour protéger l'ordinateur managé des programmes potentiellement indésirables, définissez les fichiers et programmes à détecter dans votre environnement, puis activez la détection. Les programmes potentiellement indésirables sont des programmes logiciels gênants ou qui peuvent modifier l'état de la sécurité ou la politique de confidentialité du système. Les programmes potentiellement indésirables peuvent être intégrés à des programmes que les utilisateurs téléchargent volontairement. Les programmes indésirables peuvent être des logiciels espions (spyware), des modules complémentaires et des numéroteurs. 1 Spécifiez les programmes potentiellement indésirables à détecter lors des analyses à l'accès et à la demande dans les paramètres de Options. 2 Activez la détection des programmes indésirables et spécifiez les actions à entreprendre en cas de détection dans les paramètres suivants : Paramètres de Analyse à l accès Paramètres de Analyse à la demande Voir aussi Spécification des programmes potentiellement indésirables personnalisés à détecter, page 62 Activation et configuration de la détection et des réponses de programmes potentiellement indésirables, page 63 Configuration des paramètres de Analyse à l accès, page 65 Configuration des paramètres de Analyse à la demande, page 70 Spécification des programmes potentiellement indésirables personnalisés à détecter Spécifiez les programmes supplémentaires à traiter en tant que programmes indésirables lors des analyses à l'accès et à la demande dans les paramètres de Options. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Les analyseurs détectent les programmes que vous spécifiez ainsi que les programmes spécifiés dans les fichiers AMCore Content. 62 McAfee Endpoint Security 10.1 Guide Produit

63 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces 3 Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Threat Prevention sur la page Statut principale. Ou, dans le menu Action Paramètres., sélectionnez Paramètres, puis cliquez sur Threat Prevention sur la page 3 Cliquez sur Afficher les paramètres avancés. 4 Cliquez sur Options. 5 Dans Détection des programmes potentiellement indésirables : Cliquez sur Ajouter pour spécifier le nom et la description facultative d'un fichier ou programme à traiter comme un programme indésirable potentiel. En cas de détection, la description s'affiche en tant que nom de détection. Double-cliquez sur le nom ou la description d'un programme potentiellement indésirable pour le modifier. Sélectionnez un programme potentiellement indésirable, puis cliquez sur Supprimer pour le supprimer de la liste. Voir aussi Connexion en tant qu'administrateur, page 26 Activation et configuration de la détection et des réponses de programmes potentiellement indésirables Activez les analyses à l'accès et à la demande pour détecter des programmes potentiellement indésirables, et définissez les réponses à appliquer en cas de détection. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Configurez les paramètres de Analyse à l accès. a Ouvrez Client Endpoint Security. b Cliquez sur Threat Prevention sur la page Statut principale. Ou, dans le menu Action Paramètres., sélectionnez Paramètres, puis cliquez sur Threat Prevention sur la page c d Cliquez sur Afficher les paramètres avancés. Cliquez sur Analyse à l'accès. McAfee Endpoint Security 10.1 Guide Produit 63

64 3 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces e f Sous Paramètres des processus, pour chaque type d'analyse à l'accès, sélectionnez Détecter les programmes indésirables. Sous Actions, configurez les réponses aux programmes indésirables. 2 Configurez les paramètres de Analyse à la demande. a Ouvrez Client Endpoint Security. b Cliquez sur Threat Prevention sur la page Statut principale. Ou, dans le menu Action Paramètres., sélectionnez Paramètres, puis cliquez sur Threat Prevention sur la page c d Cliquez sur Afficher les paramètres avancés. Cliquez sur Analyse à la demande. e Pour chaque type d'analyse (Analyse complète, Analyse rapide et Analyse contextuelle) : Sélectionnez Détecter les programmes indésirables. Sous Actions, configurez les réponses aux programmes indésirables. Voir aussi Configuration des paramètres de Analyse à l accès, page 65 Configuration des paramètres de Analyse à la demande, page 70 Connexion en tant qu'administrateur, page 26 Configuration de paramètres d'analyse courants Pour spécifier les paramètres qui s'appliquent à la fois aux analyses à l'accès et aux analyses à la demande, configurez les paramètres de Prévention contre les menaces Options de. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Ces paramètres s'appliquent à toutes les analyses : Emplacement de la quarantaine et nombre de jours pendant lequel les éléments mis en quarantaine doivent être conservés avant suppression automatique Noms des détections à exclure des analyses Programmes potentiellement indésirables (par exemple, les logiciels espions ou publicitaires) à détecter Commentaires télémétriques McAfee GTI Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Prévention contre les menaces sur la page Etat principale. Ou, dans le menu Action page Paramètres., sélectionnez Paramètres, puis cliquez sur Prévention contre les menaces sur la 3 Cliquez sur Afficher les paramètres avancés. 64 McAfee Endpoint Security 10.1 Guide Produit

65 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces 3 4 Cliquez sur Options. 5 Configurez les paramètres sur la page, puis cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Voir aussi Connexion en tant qu'administrateur, page 26 Configuration des paramètres de Analyse à l accès, page 65 Configuration des paramètres de Analyse à la demande, page 70 Configuration des paramètres de Analyse à l accès Ces paramètres activent et configurent l'analyse à l'accès, ce qui inclut la spécification des messages à envoyer en cas de détection d'une menace et des différents paramètres en fonction du type de processus. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Reportez-vous à l'aide des paramètres des Prévention contre les menaces Prévention contre les menaces pour plus d'options de configuration d'analyse. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Threat Prevention sur la page Statut principale. Ou, dans le menu Action Paramètres., sélectionnez Paramètres, puis cliquez sur Threat Prevention sur la page 3 Cliquez sur Afficher les paramètres avancés. 4 Cliquez sur Analyse à l'accès. 5 Sélectionnez Activer l'analyse à l'accès pour activer l'analyseur à l'accès et modifier les options. 6 Spécifiez si les paramètres standard doivent être utilisés pour tous les processus, ou si les processus à risque élevé et à risque faible requièrent des paramètres distincts. Paramètres standard : configurez les paramètres d'analyse dans l'onglet Par défaut. Paramètres différents en fonction du type de processus : sélectionnez l'onglet (Standard, Risque élevé ou Risque faible) et configurez les paramètres d'analyse pour chaque type de processus. 7 Cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Voir aussi Connexion en tant qu'administrateur, page 26 Configuration de paramètres d'analyse courants, page 64 Fonctionnement des analyses à l'accès L'analyseur à l'accès est intégré au système au niveau inférieur (pilote de filtre du système de fichiers) et analyse les fichiers lorsqu'ils pénètrent dans le système pour la première fois. L'analyseur à l'accès envoie des notifications à l'interface de service en cas de détection. McAfee Endpoint Security 10.1 Guide Produit 65

66 3 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces Lors d'une tentative d'ouverture ou de fermeture d'un fichier, l'analyseur intercepte l'opération, puis : 1 L'analyseur détermine si l'élément doit être analysé à l'aide des critères suivants : L'extension de fichier correspond à la configuration. Le fichier n'a pas été mis en cache, exclu ni analysé précédemment. Si vous configurez McAfee GTI, l'analyseur utilise l'heuristique pour rechercher les fichiers suspects. 2 Si le fichier répond aux critères d'analyse, l'analyseur le compare aux signatures du fichier AMCore Content actuellement chargé. Si le fichier est propre, le résultat est mis en cache et l'opération de lecture ou écriture est autorisée. Si le fichier contient une menace, l'opération est refusée et l'analyseur effectue l'action configurée. Par exemple, si l'action est de nettoyer le fichier, l'analyseur : 1 Utilise les informations disponibles dans le fichier AMCore Content actuellement chargé pour nettoyer le fichier. 2 Enregistre les résultats dans le journal d'activité. 3 Notifie à l'utilisateur qu'il a détecté une menace dans le fichier, puis l'invite à effectuer l'action (nettoyer ou supprimer le fichier). Windows 8 et 10 : si l'analyseur détecte une menace dans le chemin d'accès d'une application installée du Windows Store, il la marque comme altérée. Windows ajoute l'indicateur d'altération à la vignette de l'application. Lorsque vous tentez de l'exécuter, Windows vous signale le problème et vous redirige vers le Windows Store afin de la réinstaller. 66 McAfee Endpoint Security 10.1 Guide Produit

67 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces 3 3 Si le fichier ne répond pas aux exigences d'analyse, l'analyseur le met en cache et accepte l'opération. La liste de détections de l'analyse à l'accès est vidée lors du redémarrage du service Endpoint Security ou de la réinitialisation du système. Prévention contre les menaces vide le cache de l'analyse globale et analyse de nouveau tous les fichiers si : La configuration Analyse à l accès est modifiée. Un fichier Extra.DAT est ajouté. Analyse lors de l'écriture sur un disque ou de la lecture à partir d'un disque, ou décision de McAfee Vous pouvez spécifier quand l'analyseur à l'accès analyse les fichiers : lors de l'écriture sur un disque ou de la lecture à partir d'un disque. Vous pouvez également laisser McAfee décider. Lorsque les fichiers sont écrits sur un disque, l'analyseur à l'accès analyse les fichiers suivants : Fichiers entrants écrits sur le disque dur local. Fichiers (nouveaux, modifiés ou fichiers copiés ou déplacés d'un disque sur un autre) créés sur le disque dur local ou un disque réseau mappé (le cas échéant). L'analyse étant susceptible d'échouer lorsque le fichier est écrit sur le disque, nous vous recommandons vivement d'activer Lors de la lecture à partir d'un disque. McAfee Endpoint Security 10.1 Guide Produit 67

68 3 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces Lorsque les fichiers sont lus à partir d'un disque, l'analyseur analyse les fichiers suivants : Fichiers lus à partir d'un disque dur local ou de lecteurs réseau connectés (si activé) ; Fichiers tentant d'exécuter un processus sur le disque dur local ; Fichiers ouverts sur le disque dur local. Lorsque vous laissez McAfee décider si un fichier doit être analysé, l'analyseur à l'accès utilise la logique de confiance pour optimiser l'analyse. La logique de confiance améliore votre sécurité et optimise les performances en évitant les analyses inutiles. Par exemple, McAfee analyse des programmes et les considère dignes de confiance. Si McAfee confirme que ces programmes n'ont pas été falsifiés, l'analyseur peut procéder à une analyse réduite ou optimisée. A propos de ScriptScan L'analyseur de script Prévention contre les menaces fonctionne comme un composant proxy pour l'environnement d'exécution de scripts WSH (Windows Script Host) natif, en interceptant et en analysant les scripts avant leur exécution. Si le script n'est pas infecté, l'analyseur de script le transmet à l'environnement d'exécution de scripts WSH natif. Si le script contient une menace potentielle, l'analyseur de script empêche ce script de s'exécuter. Exclusions ScriptScan Les performances des sites Web utilisant de nombreux scripts et celles des applications basées sur le Web peuvent être réduites lorsque ScriptScan est activé. Plutôt que de désactiver ScriptScan, nous vous recommandons de spécifier des exclusions d'url pour les sites approuvés, tels que les sites consultés dans l'intranet ou les applications web sûres. 68 McAfee Endpoint Security 10.1 Guide Produit

69 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces 3 Lorsque vous créez des exclusions d'url : N'utilisez pas de caractères génériques. N'incluez pas de numéros de port. Nous vous recommandons d'utiliser uniquement des noms de domaines complets (FQDN) et noms NetBIOS. Sur les systèmes Windows Server 2008, les exclusions d'url ScriptScan ne fonctionnent pas avec Internet Explorer, sauf si vous autorisez les extensions de navigateurs tiers et redémarrez le système. Consultez l'article KB69526 de la base de connaissances. ScriptScan et Internet Explorer Lorsque Prévention contre les menaces est installé, la première fois qu'internet Explorer est démarré, une invite s'affiche proposant d'activer un ou plusieurs modules complémentaires McAfee. Pour que ScriptScan analyse les scripts : Le paramètre Activer ScriptScan doit être sélectionné. Le module complémentaire doit être activé dans le navigateur. Si ScriptScan est désactivé lors du lancement d'internet Explorer, puis est activé, il ne détecte pas les scripts malveillants dans cette instance d'internet Explorer. Vous devez redémarrer Internet Explorer après l'activation de ScriptScan afin que celui-ci puisse détecter les scripts malveillants. Identification des paramètres d'analyse pour les processus Suivez ce processus pour déterminer si vous devez configurer différents paramètres en fonction du type de processus. McAfee Endpoint Security 10.1 Guide Produit 69

70 3 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces Configuration des paramètres de Analyse à la demande Ces paramètres configurent le comportement de trois analyses à la demande prédéfinies : Analyse complète, Analyse rapide et Analyse contextuelle. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Reportez-vous à l'aide des paramètres des Prévention contre les menaces Prévention contre les menaces pour plus d'options de configuration d'analyse. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Prévention contre les menaces sur la page Etat principale. Ou, dans le menu Action page Paramètres., sélectionnez Paramètres, puis cliquez sur Prévention contre les menaces sur la 3 Cliquez sur Afficher les paramètres avancés. 4 Cliquez sur Analyse à la demande. 5 Cliquez sur un onglet pour configurer les paramètres pour l'analyse spécifiée. Analyse complète Analyse rapide Analyse contextuelle 6 Configurez les paramètres sur la page, puis cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Voir aussi Connexion en tant qu'administrateur, page 26 Configuration de paramètres d'analyse courants, page 64 Configurer, planifier et exécuter des tâches d'analyse, page 74 Fonctionnement de l'analyse à la demande L'analyseur à la demande examine les fichiers, les dossiers, la mémoire et le Registre à la recherche de logiciels malveillants pouvant avoir infecté ce dernier. Vous décidez des conditions d'exécution de l'analyse à la demande. Vous pouvez analyser vos systèmes manuellement, à une heure planifiée ou au démarrage des systèmes. 1 L'analyseur à la demande utilise les critères suivants pour déterminer si l'élément doit être analysé : L'extension du fichier correspond à la configuration. Le fichier n'a pas été mis en cache, exclu ni analysé (si l'analyseur utilise le cache de l'analyse). Si vous configurez McAfee GTI, l'analyseur utilise l'heuristique pour rechercher les fichiers suspects. 70 McAfee Endpoint Security 10.1 Guide Produit

71 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces 3 2 Si le fichier répond aux critères d'analyse, l'analyseur compare les informations de l'élément aux signatures de logiciels malveillants connus des fichiers AMCore Content actuellement chargés. Si le fichier ne contient pas de virus, le résultat est mis en cache et l'analyseur vérifie l'élément suivant. Si le fichier contient une menace, l'analyseur entreprend l'action configurée. Par exemple, si l'action est le nettoyage du fichier, l'analyseur : 1 Utilise les informations disponibles dans le fichier AMCore Content actuellement chargé pour nettoyer le fichier. 2 Enregistre les résultats dans le journal d'activité. 3 Envoie une notification à l'utilisateur indiquant qu'il a détecte une menace dans le fichier, et ajoute également le nom de l'élément et l'action prise. Windows 8 et 10 : si l'analyseur détecte une menace dans le chemin d'accès d'une application installée du Windows Store, il la marque comme altérée. Windows ajoute l'indicateur d'altération à la vignette de l'application. Lorsque vous tentez de l'exécuter, Windows vous signale le problème et vous redirige vers le Windows Store afin de la réinstaller. 3 Si l'élément ne répond pas aux conditions d'analyse, l'analyseur ne le vérifie pas. L'analyse se poursuit jusqu'à ce que toutes les données aient été analysées. La liste de détections de l'analyse à la demande est vidée au démarrage de l'analyse à la demande suivante. Prévention contre les menaces vide le cache de l'analyse globale et analyse de nouveau tous les fichiers si un fichier Extra.DAT est chargé. McAfee Endpoint Security 10.1 Guide Produit 71

72 3 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces Réduction de l'impact des analyses sur les utilisateurs Pour minimiser l'impact des analyses à la demande sur un système, spécifiez les options de performance lors de la configuration de ces analyses. Analyser uniquement lorsque le système est inactif Le moyen le plus facile de vous assurer que les analyses n'auront aucun impact sur les utilisateurs est d'exécuter les analyses à la demande lorsque l'ordinateur est inactif. Si cette option est sélectionnée, Prévention contre les menaces met l'analyse en pause en cas de détection d'une activité du disque ou de l'utilisateur, telle qu'un accès à l'aide du clavier ou de la souris. Prévention contre les menaces relance l'analyse lorsque l'utilisateur n'a pas accédé au système pendant trois minutes. Vous pouvez effectuer les actions suivantes (facultatif) : Autoriser les utilisateurs à relancer les analyses qui ont été mises en pause en raison de l'activité utilisateur. Relancer l'analyse uniquement lorsque le système est inactif. McAfee recommande de désactiver cette option sur les systèmes serveur et les systèmes auxquels l'utilisateur accède à l'aide de la Connexion Bureau à distance (RDP) uniquement. Prévention contre les menaces dépend de McTray pour déterminer si le système est inactif. Si l'utilisateur accède au système par le biais de RDP, McTray ne démarre pas et l'analyseur à la demande ne s'exécute pas. Pour résoudre ce problème, les utilisateurs peuvent démarrer McTray (dans C:\Program Files \McAfee\Agent\mctray.exe, par défaut) manuellement lorsqu'ils se connectent à l'aide de RDP. Sélectionnez Analyser uniquement lorsque le système est inactif dans la section Performances de l'onglet Paramètres de la tâche d'analyse. Mise en pause automatique des analyses Pour améliorer les performances, vous pouvez mettre en pause les analyses à la demande lorsque le système est alimenté par la batterie. Vous pouvez également mettre en pause les analyses lorsqu'une application, telle qu'un navigateur, un lecteur média ou une présentation s'exécute en mode plein écran. L'analyse est relancée immédiatement lorsque le système est branché sur secteur ou n'est plus en mode plein écran. Sélectionnez les options suivantes dans la section Performances de l'onglet Paramètres de la tâche d'analyse : Ne pas analyser lorsque le système est alimenté par batterie Ne pas analyser lorsque le système est en mode présentation (disponible lorsque l'option Analyser à tout moment est sélectionnée) Autoriser les utilisateurs à différer les analyses Si vous choisissez Analyser à tout moment, vous pouvez autoriser l'utilisateur à reporter les analyses planifiées par incréments d'une heure, jusqu'à 24 heures ou indéfiniment. Chaque report utilisateur peut durer une heure. Par exemple, si l'option Nombre maximum d'heures que l'utilisateur peut reporter est définie sur 2, l'utilisateur peut reporter la tâche d'analyse deux fois (deux heures). Lorsque ce délai maximal est écoulé, l'analyse continue. Si vous autorisez un nombre illimité de reports en mettant l'option à zéro, l'utilisateur peut continuer de reporter l'analyse indéfiniment. 72 McAfee Endpoint Security 10.1 Guide Produit

73 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces 3 Sélectionnez L'utilisateur peut reporter les analyses dans la section Performance de l'onglet Paramètres de la tâche d'analyse : Limiter l'activité d'analyse avec des analyses incrémentielles Utilisez des analyses incrémentielles ou avec reprise pour restreindre les occurrences d'analyses à la demande tout en analysant l'intégralité du système sur plusieurs sessions. Pour utiliser l'analyse incrémentielle, ajoutez une limite temporelle à l'analyse planifiée. L'analyse s'arrête lorsque la limite est atteinte. A la prochaine analyse, cette dernière reprend à l'endroit de la structure de fichiers et de dossiers où l'analyse précédente s'est arrêtée. Sélectionnez Arrêter cette tâche si elle s'exécute plus de dans la section Options de l'onglet Planification de la tâche d'analyse. Voir Configurer, planifier et exécuter des tâches d'analyse, page 74. Configurer l'utilisation du système Le paramètre Utilisation du système spécifie le temps processeur dont bénéficie l'analyseur pendant une analyse. Pour les systèmes avec une activité utilisateur final, définissez l'utilisation du système sur Faible. Sélectionnez Utilisation du système dans la section Performances de l'onglet Paramètres de la tâche d'analyse. Voir aussi Configuration des paramètres de Analyse à la demande, page 70 Configurer, planifier et exécuter des tâches d'analyse, page 74 Fonctionnement de l'utilisation du système L'analyseur à la demande utilise le paramètre de définition de priorité Windows pour les processus d'analyse et la priorité des threads. L'utilisation du système (limitation) permet au système d'exploitation de définir le temps processeur que l'analyseur à la demande reçoit lors du processus d'analyse. La définition de l'utilisation du système pour l'analyse sur Faible améliore les performances des autres applications en cours d'exécution. Cela s'avère utile pour les systèmes ayant une activité utilisateur final. A l'inverse, une utilisation du système définie sur Normal permet d'accélérer l'analyse. Cela s'avère utile pour les systèmes contenant de grands volumes et sur lesquels peu d'activité utilisateur final est observée. Chaque tâche s'exécute de manière indépendante, sans connaître les limites des autres tâches. Tableau 3-3 Paramètres par défaut des processus Paramètre de processus Prévention contre les menaces Faible : Sous la normale Normal (par défaut) Cette option... permet d'améliorer les performances pour les autres applications en cours d'exécution. Sélectionnez cette option pour les systèmes sur lesquels une activité utilisateur final est observée. Définit l'utilisation du système pour l'analyse sur la valeur par défaut McAfee epo. Permet d'accélérer l'analyse. Sélectionnez cette option pour les systèmes contenant de grands volumes et sur lesquels peu d'activité utilisateur final est observée. paramètre de définition de priorité Windows Faible Sous la normale Normale McAfee Endpoint Security 10.1 Guide Produit 73

74 3 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces Fonctionnement de l'analyse du stockage étendu Vous pouvez configurer l'analyseur à la demande de sorte qu'il analyse le contenu des fichiers gérés par le stockage étendu. Le stockage étendu surveille la quantité d'espace disponible sur le système local. Lorsque nécessaire, le stockage étendu migre automatiquement le contenu (données) des fichiers définis du système client vers un équipement de stockage tel qu'un lecteur de bibliothèque sur bande. Lorsqu'un utilisateur ouvre un fichier dont les données ont été migrées, le stockage étendu rappelle automatiquement les données de l'équipement de stockage. Sélectionnez l'option Fichiers migrés vers une zone de stockage pour configurer l'analyseur à la demande afin d'analyser les fichiers gérés par le stockage étendu. Lorsque l'analyseur détecte un fichier avec du contenu migré, il le restaure sur le système local avant l'analyse. Pour plus d'informations, voir Qu'est-ce que le stockage étendu. Configurer, planifier et exécuter des tâches d'analyse Vous pouvez planifier les tâches Analyse complète et Analyse rapide par défaut ou créer des tâches d'analyse personnalisées à partir de Client Endpoint Security dans le module Partagés. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Dans le menu Action, sélectionnez Paramètres. 3 Cliquez sur Afficher les paramètres avancés. 4 Depuis Partagés, cliquez sur Tâches. 5 Configurez les paramètres de tâche d'analyse sur la page. Pour... Créer une tâche d'analyse personnalisée. Procédez comme suit 1 Cliquez sur Ajouter. 2 Entrez le nom, sélectionnez Analyse personnalisée dans la liste déroulante, puis cliquez sur Suivant. 3 Configurez les paramètres et la planification de tâche d'analyse, puis cliquez sur OK pour enregistrer la tâche. Modifier une tâche d'analyse. Supprimer une tâche d'analyse personnalisée. Créer une copie d'une tâche d'analyse. Cliquez deux fois sur la tâche, effectuez les modifications, puis cliquez sur OK pour enregistrer la tâche. Sélectionnez la tâche, puis cliquez sur Supprimer. 1 Sélectionnez la tâche, puis cliquez sur Dupliquer. 2 Entrez le nom, configurez les paramètres, puis cliquez sur OK pour enregistrer la tâche. 74 McAfee Endpoint Security 10.1 Guide Produit

75 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces 3 Pour... Modifier la planification pour une tâche Analyse complète ou Analyse rapide. Procédez comme suit 1 Cliquez deux fois sur Analyse complète ou Analyse rapide. 2 Cliquez sur l'onglet Planifier, modifiez la planification, puis cliquez sur OK pour enregistrer la tâche. Vous pouvez configurer les paramètres des tâches Analyse complète et Analyse rapide uniquement sur les systèmes managés automatiquement. Consultez Configuration des paramètres de Analyse à la demande, page 70 pour plus d'informations sur la configuration du comportement par défaut des taches Analyse complètes et Analyse rapide lancées à partir de Client Endpoint Security. Par défaut, l'analyse complète est planifiée pour s'exécuter tous les mercredis à minuit. L'analyse rapide est planifiée pour s'exécuter tous les jours à 19 h. Les planifications sont désactivées. Exécuter une tâche d'analyse. Sélectionnez la tâche, puis cliquez sur Exécuter maintenant. Si la tâche est déjà en cours d'exécution, ou si elle est interrompue ou reportée, le bouton est remplacé par Afficher. Si vous exécutez une tâche avant d'appliquer les modifications, Client Endpoint Security vous invite à enregistrer les paramètres. 6 Cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Voir aussi Connexion en tant qu'administrateur, page 26 Configuration des paramètres de Analyse à la demande, page 70 Exécution d'une analyse rapide ou d'une analyse complète, page 42 McAfee Endpoint Security 10.1 Guide Produit 75

76 3 Utilisation de Prévention contre les menaces Gestion de Prévention contre les menaces 76 McAfee Endpoint Security 10.1 Guide Produit

77 4 Utilisation de Pare-feu Pare-feu agit comme un filtre entre votre ordinateur et le réseau ou Internet. Sommaire Principes de fonctionnement du Pare-feu Activer ou afficher les groupes Pare-feu limités Gestion de Pare-feu Principes de fonctionnement du Pare-feu Pare-feu analyse la totalité du trafic entrant et sortant. Parallèlement à l'examen du trafic entrant et sortant, Pare-feu vérifie sa liste de règles : un ensemble de critères auxquels sont associées des actions. Si le trafic correspond à tous les critères d'une règle, Pare-feu applique la règle en bloquant ou autorisant le trafic par le biais de Pare-feu. Les informations relatives aux menaces détectées sont enregistrées dans des rapports qui alertent l'administrateur des éventuels problèmes de sécurité présents sur votre ordinateur. Les options et règles Pare-feu déterminent le fonctionnement de Pare-feu. Les groupes de règles permettent d'organiser les règles Firewall afin de faciliter la gestion. Si le mode d'interface client est défini sur Accès total ou si vous êtes connecté en tant qu'administrateur, vous pouvez configurer les règles et groupes à l'aide d'client Endpoint Security. Pour les systèmes managés, les règles et groupes que vous créez peuvent être remplacés lorsque l'administrateur déploie une stratégie mise à jour. Voir aussi Configurer les optionspare-feu, page 78 Fonctionnement des règles Firewall, page 81 Fonctionnement des groupes de règles de pare-feu, page 83 Activer ou afficher les groupes Pare-feu limités Activez ou affichez les groupes Pare-feu limités à partir de l'icône de la barre d'état système McAfee. La disponibilité de ces options dépend de la façon dont les paramètres sont configurés. McAfee Endpoint Security 10.1 Guide Produit 77

78 4 Utilisation de Pare-feu Gestion de Pare-feu Procédure Cliquez sur l'icône de la barre d'état système McAfee avec le bouton droit de la souris et sélectionnez une option à partir du menu Paramètres rapides. Activer les groupes Pare-feu limités : active les groupes limités pour une durée déterminée afin d'autoriser l'accès à Internet non lié au réseau avant la mise en œuvre des règles limitant cet accès. Chaque fois que vous sélectionnez cette option, la limite de durée est réinitialisée pour les groupes. Afficher les groupes Pare-feu limités : affiche les noms des groupes limités et la durée d'activité restante pour chacun d'entre eux. Gestion de Pare-feu En tant qu'administrateur, vous pouvez configurer les options Pare-feu et créer des règles et des groupes sur Client Endpoint Security. Pour les systèmes managés, les modifications de stratégie de McAfee epo peuvent remplacer les modifications de la page Paramètres. Modification des options Pare-feu En tant qu'administrateur, vous pouvez modifier les options Pare-feu à partir d'client Endpoint Security. Procédures Configurer les optionspare-feu, page 78 Configurer les paramètres dans Options pour activer et désactiver la protection par pare-feu, activer le mode adaptatif et configurer d'autres options Pare-feu. Blocage du trafic DNS, page 79 Pour affiner la protection Firewall, créez une liste de FQDN à bloquer. Pare-feu bloque les connexions aux adresses IP résolvant les noms de domaine. Voir aussi FAQ : McAfee GTI et Pare-feu, page 79 Configurer les optionspare-feu Configurer les paramètres dans Options pour activer et désactiver la protection par pare-feu, activer le mode adaptatif et configurer d'autres options Pare-feu. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. 78 McAfee Endpoint Security 10.1 Guide Produit

79 Utilisation de Pare-feu Gestion de Pare-feu 4 Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Pare-feu sur la page Etat principale. Ou, dans le menu Action, sélectionnez Paramètres, puis cliquez sur Pare-feu sur la page Paramètres. 3 Sélectionnez Activer le pare-feu pour activer le pare-feu, puis modifiez ses options. Host Intrusion Prevention 8.0 peut être installé sur le même système que Endpoint Security Si McAfee Host IPS est installé et activé, le Pare-feu Endpoint Security est désactivé même s'il est activé dans les paramètres de stratégie. 4 Cliquez sur Afficher les paramètres avancés. 5 Configurez les paramètres sur la page, puis cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Voir aussi Connexion en tant qu'administrateur, page 26 Blocage du trafic DNS Pour affiner la protection Firewall, créez une liste de FQDN à bloquer. Pare-feu bloque les connexions aux adresses IP résolvant les noms de domaine. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Firewall sur la page Statut principale. Ou, dans le menu Action, sélectionnez Paramètres, puis cliquez sur Firewall sur la page Paramètres. 3 Sous Blocage DNS, cliquez sur Ajouter. 4 Entrez les FQDN des domaines à bloquer,. Vous pouvez utiliser les caractères génériques * et?. Par exemple : *domaine.com. Toutes les entrées en double sont automatiquement supprimées. 5 Cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. FAQ : McAfee GTI et Pare-feu Vous trouverez ci-dessous une liste de questions fréquemment posées (FAQ) accompagnées des réponses correspondantes. Les paramètres Options Pare-feu vous permettent de bloquer le trafic entrant et sortant d'une connexion réseau que McAfee GTI juge à haut risque. Ce document FAQ explique le fonctionnement de McAfee GTI et son incidence sur Firewall. McAfee Endpoint Security 10.1 Guide Produit 79

80 4 Utilisation de Pare-feu Gestion de Pare-feu Qu'est-ce que McAfee GTI? McAfee GTI est un système de renseignement mondial axé sur la réputation Internet qui distingue les bons des mauvais comportements sur Internet. McAfee GTI utilise une analyse en temps réel des tendances mondiales en termes de messagerie, activité web, logiciels malveillants et comportement de système à système. D'après les données obtenues de l'analyse, McAfee GTI calcule dynamiquement les scores de réputation qui représentent le niveau de risque auquel est exposé votre réseau lorsque vous accédez à une page web. Il en résulte une base de données de scores de réputation pour des adresses IP, des domaines, des messages spécifiques, des URL et des images. Fonctionnement Lorsque les options McAfee GTI sont sélectionnées, deux règles Firewall sont créées : McAfee GTI Autoriser le service Endpoint Security Firewall et McAfee GTI Obtenir l'évaluation. La première règle autorise une connexion à McAfee GTI et la seconde bloque ou autorise le trafic en fonction de la réputation de la connexion et du seuil de blocage défini. Qu'entendez-vous par «réputation»? Pour chaque adresse IP sur Internet, McAfee GTI calcule une valeur de réputation. McAfee GTI base cette valeur sur les comportements d'envoi ou d'hébergement et diverses données d'environnement relatives à l'état du paysage des cybermenaces qu'il collecte auprès de clients et partenaires. La réputation s'exprime en quatre classes, en fonction de notre analyse : Ne pas bloquer (risque minimal) : il s'agit d'une source ou d'une destination de contenu/trafic légitime. Non vérifié : il semble s'agir d'une source ou destination de contenu/trafic légitime. Toutefois, ce site contient également des propriétés suggérant la nécessité d'une inspection plus poussée. Risque moyen : cette source/destination présente un comportement que nous jugeons suspect et que son contenu/trafic requiert un examen spécial. Risque élevé : cette source/destination est connue ou susceptible d'envoyer/héberger du contenu/trafic potentiellement malveillant. Nous pensons qu'elle présente un risque sérieux. McAfee GTI entraîne-t-il des temps de latence? Cette latence sera-t-elle importante? Lorsque McAfee GTI est contacté pour une recherche de réputation, il est inévitable qu'une certaine latence se produise. McAfee a fait son possible pour la réduire au maximum. McAfee GTI : Contrôle les réputations uniquement lorsque les options sont sélectionnées. Utilise une architecture de mémoire cache intelligente. Dans les profils normaux d'utilisation du réseau, la plupart des connexions souhaitées sont résolues par le cache sans requête de réputation active. Que se passe-t-il lorsque Firewall ne parvient pas à atteindre les serveurs McAfee GTI? Si Firewall ne parvient à atteindre aucun des serveurs McAfee GTI, il affecte automatiquement à toutes les connexions applicables une réputation par défaut autorisée. Ensuite, Firewall poursuit l'analyse des règles suivantes. 80 McAfee Endpoint Security 10.1 Guide Produit

81 Utilisation de Pare-feu Gestion de Pare-feu 4 Configuration des règles et groupes Pare-feu En tant qu'administrateur, vous pouvez configurer les règles et groupes Pare-feu à partir d'client Endpoint Security. Procédures Création et gestion de règles et groupes Pare-feu, page 87 Pour les systèmes managés, les règles et groupes configurés à partir d'client Endpoint Security peuvent être remplacés lorsque l'administrateur déploie une stratégie mise à jour. Création de groupes d'isolement de la connexion, page 89 Créez un groupe de règles de pare-feu d'isolement de la connexion pour établir un ensemble de règles s'appliquant uniquement lors de la connexion à un réseau avec des paramètres particuliers. Créer des groupes limités, page 90 Créez des groupes Pare-feu limités pour restreindre l'accès à Internet jusqu'à ce qu'un système client se connecte via VPN. Fonctionnement des règles Firewall Les règles Pare-feu déterminent la gestion du trafic réseau. Chaque règle fournit un ensemble de conditions que le trafic doit satisfaire ainsi qu'une action pour autoriser ou bloquer le trafic. Si Pare-feu détecte un trafic correspondant aux conditions d'une règle, il exécute l'action associée. Vous pouvez définir les règles largement (par exemple, tout le trafic IP) ou de manière plus étroite (par exemple, en identifiant une application ou un service spécifique), et spécifier des options. Vous pouvez regrouper les règles d'après une fonction de travail, un service ou une application, pour une gestion simplifiée. A l'instar des règles, les groupes de règles peuvent être définis grâce à des options réseau, de transport, d'applications, de planification et d'emplacement. Pare-feu utilise un ordre de priorité pour appliquer les règles : 1 Le Pare-feu applique la règle figurant en tête de la liste des règles de pare-feu. Si le trafic répond aux conditions de cette règle, Pare-feu l'autorise ou le bloque. Il n'essaye pas d'appliquer d'autres règles de la liste. 2 Si le trafic ne répond pas aux conditions de la première règle, Pare-feu passe à la règle suivante dans la liste jusqu'à ce qu'il trouve une règle applicable. 3 S'il n'en trouve aucune, Firewall bloque automatiquement le trafic. McAfee Endpoint Security 10.1 Guide Produit 81

82 4 Utilisation de Pare-feu Gestion de Pare-feu Si le mode adaptatif est activé, une règle Autoriser est créée pour le trafic. Parfois, le trafic intercepté correspond à plusieurs règles de la liste. Dans ce cas, la priorité implique que Pare-feu applique uniquement la première règle correspondante de la liste. Meilleures pratiques Placez les règles les plus spécifiques en tête de liste et les règles plus générales à la fin. Ainsi, Pare-feu filtre correctement le trafic. Par exemple, pour autoriser toutes les requêtes HTTP sauf celles provenant d'une adresse spécifique (par exemple, l'adresse IP ), créez deux règles : Règle Bloquer : bloquer le trafic HTTP de l'adresse IP Cette règle est spécifique. Règle Autoriser : autoriser la totalité du trafic qui utilise le service HTTP. Cette règle est spécifique. Dans la liste de règles Firewall, placez la règle Bloquer avant la règle Autoriser. Lorsque Firewall intercepte la requête HTTP provenant de l'adresse , la première règle applicable est celle qui bloque le passage de ce trafic par Firewall. Si la règle Autoriser, plus générale, est placée plus haut dans la liste que la règle Bloquer, plus spécifique, Pare-feu associe les requêtes à la règle Autoriser avant de trouver la règle Bloquer. Il autorise le trafic, même si vous vouliez bloquer la requête HTTP d'une adresse spécifique. 82 McAfee Endpoint Security 10.1 Guide Produit

83 Utilisation de Pare-feu Gestion de Pare-feu 4 Fonctionnement des groupes de règles de pare-feu Utilisez les groupes de règles Pare-feu pour organiser les règles de pare-feu afin de faciliter la gestion. Les groupes de règles Pare-feu n'ont pas d'incidence sur la façon dont Pare-feu y traite les règles ; Pare-feu traite encore les règles du haut vers le bas. Pare-feu traite les paramètres du groupe avant les paramètres des règles qu'il contient. En cas conflit entre les paramètres, les paramètres du groupe sont prioritaires. Création de groupes selon l'emplacement Pare-feu permet de créer un groupe et les règles qu'il contient selon l'emplacement et de créer un isolement de la connexion. L'Emplacement et les Options de réseau du groupe permettent de créer des groupes selon l'adaptateur réseau. Utilisez les groupes d'adaptateurs réseau afin d'appliquer des règles spécifiques aux adaptateurs pour les ordinateurs disposant de plusieurs interfaces réseau. Après avoir activé l'état de l'emplacement et attribué un nom à l'emplacement, les paramètres des connexions autorisées peuvent inclure les éléments suivants pour chaque carte réseau : Emplacement : Exige l'accessibilité de McAfee epo Suffixe DNS propre à la connexion Adresse IP de la passerelle par défaut Adresse IP du serveur DHCP Serveur DNS recevant les requêtes pour résoudre les URL Adresse IP du serveur WINS principal Adresse IP du serveur WINS secondaire Accessibilité du domaine (HTTPS) Clé de Registre Réseaux : Adresses IP du réseau local Types de connexion Si deux groupes selon l'emplacement s'appliquent à une même connexion, Pare-feu utilise la priorité normale et traite le premier groupe applicable dans sa liste de règles. Si aucune règle ne correspond dans le premier groupe, le traitement de règles continue. Si Pare-feu trouve une connexion active correspondant aux paramètres d'un groupe selon l'emplacement, il applique les règles du groupe. Il traite les règles comme un petit jeu de règles et utilise la priorité normale. Si certaines règles ne correspondent pas au trafic intercepté, le pare-feu les ignore. Si cette option est sélectionnée... Activer la prise en compte de l'emplacement Exige l'accessibilité de McAfee epo Réseau local Procédure Un nom d'emplacement est requis. McAfee epo est accessible et le FQDN du serveur a été résolu. L'adresse IP de l'adaptateur doit correspondre à l'une des entrées de la liste. McAfee Endpoint Security 10.1 Guide Produit 83

84 4 Utilisation de Pare-feu Gestion de Pare-feu Si cette option est sélectionnée... Suffixe DNS propre à la connexion Passerelle par défaut Serveur DHCP Serveur DNS Serveur WINS principal Serveur WINS secondaire Accessibilité du domaine (HTTPS) Procédure Le suffixe DNS de l'adaptateur doit correspondre à l'une des entrées de la liste. L'adresse IP de la passerelle de l'adaptateur par défaut doit correspondre à au moins l'une des entrées de la liste. L'adresse IP du serveur DHCP de l'adaptateur doit correspondre à au moins l'une des entrées de la liste. L'adresse IP du serveur DNS de l'adaptateur doit correspondre à n'importe quelle entrée de la liste. L'adresse IP du serveur WINS principal de l'adaptateur doit correspondre à au moins l'une des entrées de la liste. L'adresse IP du serveur WINS secondaire de l'adaptateur doit correspondre à au moins l'une des entrées de la liste. Le domaine spécifié doit être accessible via HTTPS. Groupes de règles Pare-feu et isolement de la connexion Utilisez l'isolement de la connexion pour les groupes afin de bloquer l'accès d'un trafic indésirable à un réseau spécifié. Une fois l'isolement de la connexion activé pour un groupe, si une carte d'interface réseau correspond aux critères du groupe, Pare-feu ne traite que le trafic correspondant : aux règles d'autorisation situées au-dessus du groupe dans la liste de règles Pare-feu aux critères du groupe Tout autre trafic est bloqué. Tout groupe pour lequel l'isolement de la connexion est activé ne peut pas être associé à des options ou fichiers exécutables. 84 McAfee Endpoint Security 10.1 Guide Produit

85 Utilisation de Pare-feu Gestion de Pare-feu 4 Voici deux exemples d'utilisation de l'isolement de la connexion : un environnement d'entreprise et un hôtel. La liste des règles de pare-feu actives contient des règles et des groupes dans l'ordre suivant : 1 règles se rapportant à la connexion de base 2 règles de connexion VPN 3 groupe avec règles de connexion LAN d'entreprise 4 groupe avec règles de connexion VPN McAfee Endpoint Security 10.1 Guide Produit 85

86 4 Utilisation de Pare-feu Gestion de Pare-feu Exemple : isolement de la connexion sur le réseau de l'entreprise Les règles de connexion sont traitées jusqu'à ce que le groupe contenant des règles de connexion LAN pour l'entreprise soit détecté. Ce groupe présente les paramètres suivants : Type de connexion = Câblé Suffixe DNS spécifique à la connexion = mycompany.com Passerelle par défaut Isolement de la connexion = Activé L'ordinateur dispose d'adaptateurs réseau LAN et sans fil. L'ordinateur est connecté au réseau de l'entreprise par le biais d'une connexion filaire. Toutefois, l'interface sans fil restant active, il se connecte à un point d'accès sans fil se trouvant en dehors du bureau. L'ordinateur se connecte aux deux réseaux car les règles concernant l'accès de base figurent en tête de la liste des règles de pare-feu. La connexion LAN filaire est active et remplit les critères du groupe LAN de l'entreprise. Le pare-feu traite le trafic passant par le LAN, mais du fait de l'activation de l'isolement de la connexion, tous les autres trafics ne passant pas par le LAN sont bloqués. Exemple : isolement de la connexion à un hôtel Les règles de connexion sont traitées jusqu'à ce que le groupe contenant des règles de connexion VPN soit détecté. Ce groupe présente les paramètres suivants : Type de connexion = Virtuel Suffixe DNS spécifique à la connexion = vpn.mycompany.com Adresse IP = adresse dans un intervalle spécifique au concentrateur VPN Isolement de la connexion = Activé Les règles de connexion générales autorisent la configuration d'un compte temporaire à l'hôtel pour avoir accès à Internet. Les règles de connexion VPN autorisent la connexion au tunnel VPN et son utilisation. Une fois le tunnel établi, le client VPN crée un adaptateur virtuel correspondant aux critères du groupe VPN. Le trafic dans le tunnel VPN et le trafic de base sur l'adaptateur réel sont les seuls autorisés par le pare-feu. Si d'autres clients de l'hôtel tentent d'accéder à l'ordinateur via le réseau, avec une connexion filaire ou sans fil, ils sont bloqués. Groupes de règles de pare-feu prédéfinis Pare-feu inclut plusieurs groupes de pare-feu prédéfinis. Groupe de pare-feu Mise en réseau de base McAfee Description Contient les règles de réseau de base fournies par McAfee et inclut des règles pour autoriser les applications McAfee et DNS. Il est impossible de modifier ou de supprimer ces règles. Vous pouvez désactiver le groupe dans les Pare-feu Pare-feu, mais vous risquez de perturber les communications réseau sur le client. Ajouté par l'administrateur Contient des règles définies par l'administrateur sur le serveur de gestion. Ces règles ne peuvent être modifiées ou supprimées sur Client Endpoint Security. 86 McAfee Endpoint Security 10.1 Guide Produit

87 Utilisation de Pare-feu Gestion de Pare-feu 4 Groupe de pare-feu Ajouté par l'utilisateur Description Contient des règles définies sur Client Endpoint Security. Selon les paramètres de stratégie, ces règles peuvent être remplacées lorsque la stratégie est mise en œuvre. Dynamique Adaptatif Contient des règles créées dynamiquement par d'autres modules Endpoint Security installés sur le système. Par exemple, le module Prévention contre les menaces peut envoyer un événement au module Client Endpoint Security afin de créer une règle pour bloquer l'accès à un système sur le réseau. Contient des règles d'exception client qui sont créées automatiquement lorsque le système est en mode adaptatif. Selon les paramètres de stratégie, ces règles peuvent être remplacées lorsque la stratégie est mise en œuvre. Par défaut Contient des règles par défaut fournies par McAfee. Il est impossible de modifier ou de supprimer ces règles. Création et gestion de règles et groupes Pare-feu Pour les systèmes managés, les règles et groupes configurés à partir d'client Endpoint Security peuvent être remplacés lorsque l'administrateur déploie une stratégie mise à jour. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Les groupes et règles s'affichent par ordre de priorité dans le tableau Règles Firewall. Vous ne pouvez pas trier les règles par colonne. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Firewall sur la page Statut principale. Ou, dans le menu Action, sélectionnez Paramètres, puis cliquez sur Firewall sur la page Paramètres. 3 Utilisez ces tâches pour gérer les règles et les groupes de pare-feu. Pour... Afficher les règles dans un groupe Firewall. Procédez comme suit... Cliquez sur. Réduire un groupe Firewall. Cliquez sur. McAfee Endpoint Security 10.1 Guide Produit 87

88 4 Utilisation de Pare-feu Gestion de Pare-feu Pour... Modifier une règle existante. Vous pouvez uniquement modifier les règles du groupe Ajouté par l'utilisateur. Afficher une règle existante dans un groupe. Créer une règle. Procédez comme suit... 1 Développez le groupe Ajouté par l'utilisateur. 2 Double-cliquez sur la règle. 3 Modifiez les paramètres de règles. 4 Cliquez sur OK pour enregistrer vos modifications. 1 Développez le groupe. 2 Sélectionnez la règle pour afficher ses détails dans le volet inférieur. 1 Cliquez sur Ajouter une règle. 2 Définissez les paramètres de règle. 3 Cliquez sur OK pour enregistrer vos modifications. La règle apparaît à la fin du groupe Ajouté par l'utilisateur. Créer des copies de règles. Supprimer les règles. Vous pouvez supprimer des règles des groupes Ajouté par l'utilisateur et Adaptatif uniquement. 1 Sélectionnez la règle ou les règles et cliquez sur Dupliquer. Les règles copiées apparaissent avec le même nom à la fin du groupe Ajouté par l'utilisateur. 2 Modifiez les règles pour modifier le nom et les paramètres. 1 Développez le groupe. 2 Sélectionnez la règle ou les règles et cliquez sur Supprimer. Créer un groupe. 1 Cliquez sur Ajouter un groupe. 2 Spécifiez les paramètres du groupe. 3 Cliquez sur OK pour enregistrer vos modifications. Le groupe apparaît dans le groupe Ajouté par l'utilisateur. Déplacer des règles et des groupes au sein et entre des groupes. Vous pouvez déplacer les règles et groupes du groupe Ajouté par l'utilisateur uniquement. Pour déplacer des éléments : 1 Sélectionnez les éléments à déplacer. La poignée déplaçables. apparaît à gauche des éléments 2 Faites glisser les éléments puis déposez-les au nouvel emplacement. Une ligne bleue apparaît entre les éléments où vous pouvez déposer les éléments déplacés. 4 Cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Voir aussi Utilisation des caractères génériques dans les règles Firewall, page 89 Connexion en tant qu'administrateur, page 26 Création de groupes d'isolement de la connexion, page McAfee Endpoint Security 10.1 Guide Produit

89 Utilisation de Pare-feu Gestion de Pare-feu 4 Utilisation des caractères génériques dans les règles Firewall Vous pouvez utiliser les caractères génériques pour représenter les caractères de certaines valeurs dans les règles Firewall. Caractères génériques dans les valeurs de chemin et d'adresse Pour les chemins de fichiers, clés de Registre, fichiers exécutables et URL, utilisez les caractères génériques suivants. Les chemins de clés de Registre ne reconnaissent pas les caractères génériques pour les emplacements de groupes Firewall.? Point d'interrogation Caractère unique. * Astérisque Plusieurs caractères, à l'exception de la barre oblique (/) et de la barre oblique inverse (\). Utilisez ce caractère pour représenter le contenu au niveau racine d'un dossier, sans sous-dossier. ** Astérisque double Plusieurs caractères, y compris la barre oblique (/) et la barre oblique inverse (\). Barre verticale Caractère générique d'échappement. L'échappement correspondant au double astérisque (**) est * *. Caractères génériques dans toutes les autres valeurs Pour les valeurs ne contenant habituellement aucune information de chemin avec barres obliques, utilisez les caractères génériques suivants.? Point d'interrogation Caractère unique. * Astérisque Plusieurs caractères, y compris la barre oblique (/) et la barre oblique inverse (\). Barre verticale Caractère générique d'échappement. Création de groupes d'isolement de la connexion Créez un groupe de règles de pare-feu d'isolement de la connexion pour établir un ensemble de règles s'appliquant uniquement lors de la connexion à un réseau avec des paramètres particuliers. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Firewall sur la page Statut principale. Ou, dans le menu Action, sélectionnez Paramètres, puis cliquez sur Firewall sur la page Paramètres. 3 Sous Règles, cliquez sur Ajouter un groupe. 4 Sous Description, spécifiez les options du groupe. 5 Sous Emplacement, sélectionnez Activer la prise en compte de l'emplacement et Activer l'isolement de la connexion. Ensuite, sélectionnez les critères d'emplacement pour la correspondance. McAfee Endpoint Security 10.1 Guide Produit 89

90 4 Utilisation de Pare-feu Gestion de Pare-feu 6 Sous Réseaux, pour Types de connexion, sélectionnez le type de connexion (Câblé, Sans fil ou Virtuel) à appliquer aux règles de ce groupe. Les paramètres de Transport et de Fichiers exécutables ne sont pas disponibles pour les groupes d'isolement de la connexion. 7 Cliquez sur OK. 8 Créez de nouvelles règles dans ce groupe, ou déplacez-y des règles existantes de la liste des règles Pare-feu. 9 Cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Voir aussi Groupes de règles Pare-feu et isolement de la connexion, page 84 Fonctionnement des groupes de règles de pare-feu, page 83 Créer des groupes limités Créez des groupes Pare-feu limités pour restreindre l'accès à Internet jusqu'à ce qu'un système client se connecte via VPN. Lorsqu'un utilisateur doit se connecter à des sites web internes à partir de réseaux publiques, vous pouvez créer un groupe limité pour permettre qu'une connexion VPN soit établie. Pour activer ce groupe limité, sur le système client, cliquez avec le bouton droit de la souris sur l'icône de la barre d'état système McAfee et sélectionnez Paramètres rapides Activer les groupes Pare-feu limités. Ce groupe est alors actif pour le nombre de minutes spécifié et le système client peut se connecter à un réseau public et établir une connexion VPN. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Firewall sur la page Statut principale. Ou, dans le menu Action, sélectionnez Paramètres, puis cliquez sur Firewall sur la page Paramètres. 3 Créez un groupe Pare-feu avec les paramètres par défaut qui permettent la connexion à Internet. Par exemple, autorisez le trafic HTTP via le port Dans Planifier, sélectionnez Désactiver la planification et activer le groupe depuis la barre d'état système McAfee et entrez le nombre de minutes durant lesquelles le groupe est activé. 5 Cliquez sur OK pour enregistrer vos modifications. 6 Créez un groupe d'isolement de la connexion qui correspond aux réseaux VPN pour autoriser le trafic nécessaire. Voir Création de groupes d'isolement de la connexion, page 89. Pour empêcher le trafic sortant à partir du système client à l'exception du groupe d'isolement de la connexion, ne placez aucune règle de Pare-feu en-dessous de ce groupe. 7 Cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. 90 McAfee Endpoint Security 10.1 Guide Produit

91 5 Utilisation 5 de Contrôle Web Les fonctionnalités de protection de Contrôle Web apparaissent dans votre navigateur lors de la navigation ou de la recherche. Sommaire A propos des fonctionnalités de Contrôle Web Accès aux fonctionnalités du service Contrôle Web Gestion de Contrôle Web A propos des fonctionnalités de Contrôle Web Lors de l'exécution de Contrôle Web sur chaque système managé, il vous envoie des notifications relatives aux menaces lorsque vous effectuez des recherches ou que vous naviguez sur le Web. Une équipe McAfee analyse chaque site web et lui attribue une évaluation de sécurité en fonction des résultats obtenus en se basant sur un code de couleur. La couleur indique le niveau de sécurité du site. Le logiciel utilise les résultats des tests pour vous envoyer des notifications concernant les menaces web que vous pouvez rencontrer. Sur les pages de résultats de la recherche : une icône apparaît en regard de chaque site. La couleur de l'icône indique l'évaluation de sécurité du site. Vous pouvez utiliser les icônes pour accéder à davantage d'informations. Dans la fenêtre du navigateur : un bouton s'affiche dans le navigateur. Sa couleur indique l'évaluation de sécurité du site. Vous pouvez accéder à davantage d'informations en cliquant sur ce bouton. Le bouton vous informe également en cas de problèmes de communication et offre un accès rapide aux tests qui permettent d'identifier les problèmes courants. Les rapports de sécurité expliquent comment l'évaluation de sécurité a été estimée selon les types de menaces détectés, les résultats des tests et d'autres données. Sur les systèmes managés, les administrateurs créent des stratégies pour effectuer les actions suivantes : Activer et désactiver Contrôle Web sur votre système et empêcher ou autoriser la désactivation du plug-in de navigateur. Contrôler l'accès aux sites web, pages et téléchargements en fonction de leur évaluation de sécurité ou de leur type de contenu. Par exemple, bloquer les sites classés rouges et avertir les utilisateurs essayant d'accéder à des sites classés jaunes. McAfee Endpoint Security 10.1 Guide Produit 91

92 5 Utilisation de Contrôle Web A propos des fonctionnalités de Contrôle Web Identifier les sites comme bloqués ou autorisés en fonction des URL et des domaines. Vous empêcher de désinstaller ou modifier les fichiers, clés de Registre, valeurs de Registre, services et processus Contrôle Web. Personnaliser la notification qui s'affiche quand vous essayez d'accéder à un site web bloqué. Surveiller et réguler l'activité du navigateur sur les ordinateurs du réseau, et créer des rapports détaillés sur les sites web. Sur les systèmes managés automatiquement, vous pouvez configurer les paramètres pour : Activer et désactiver Contrôle Web sur votre système. Contrôler l'accès aux sites web, pages et téléchargements en fonction de leur évaluation de sécurité ou de leur type de contenu. Par exemple, bloquer les sites classés rouges et avertir les utilisateurs essayant d'accéder à des sites classés jaunes. Le logiciel prend en charge les navigateurs Microsoft Internet Explorer, Mozilla Firefox et Google Chrome. Sur les systèmes managés automatiquement, tous les navigateurs sont autorisés par défaut, qu'ils soient pris en charge ou non. Chrome ne prend pas en charge la mise en œuvre des téléchargements de fichiers ni l'option Afficher la bulle. Voir aussi Menaces identifiées par le bouton Contrôle Web lors de la navigation, page 93 Identification des menaces dans des icônes de sécurité lors des recherches, page 94 Détails fournis par les rapports sur les sites, page 94 Compilation des évaluations de sécurité, page 95 Comment Contrôle Web bloque ou émet un avertissement pour un site ou un téléchargement Lorsqu'un utilisateur visite un site ayant été bloqué ou pour lequel un avertissement a été émis, Contrôle Web affiche une page ou un message contextuel indiquant le motif. Si les actions liées à l'évaluation pour un site sont définies sur : Avertir : Contrôle Web affiche un avertissement informant les utilisateurs des potentiels dangers associés au site. Annuler retourne au site précédemment consulté. Si l'onglet du navigateur ne comporte pas de site consulté précédemment, le bouton Annuler n'est pas disponible. Continuer dirige vers le site. Bloquer : Contrôle Web affiche un message indiquant que le site est bloqué et empêche les utilisateurs d'accéder au site. OK retourne au site précédemment consulté. Si l'onglet du navigateur ne comporte pas de site consulté précédemment, le bouton OK n'est pas disponible. 92 McAfee Endpoint Security 10.1 Guide Produit

93 Utilisation de Contrôle Web A propos des fonctionnalités de Contrôle Web 5 Si les actions d'évaluation pour les téléchargements sont définies sur : Avertir : Contrôle Web affiche un avertissement informant les utilisateurs des dangers potentiels associés au fichier de téléchargement. Bloquer empêche le téléchargement et retourne au site. Continuer poursuit le téléchargement. Bloquer : Contrôle Web affiche un message indiquant que le site est bloqué et empêche le téléchargement. OK retourne au site. Menaces identifiées par le bouton Contrôle Web lors de la navigation Lorsque les utilisateurs accèdent à un site web, un bouton avec code de couleur s'affiche dans le navigateur. Sa couleur correspond à l'évaluation de sécurité du site. L'évaluation de sécurité s'applique aux URL HTTP et HTTPS uniquement. Internet Explorer et Safari (Macintosh) Firefox et Chrome Description Ce site fait l'objet d'un test quotidien et McAfee SECURE certifie qu'il est sûr. (Windows uniquement) Ce site est sécurisé. Ce site peut présenter certains problèmes. Ce site présente des problèmes graves. Aucune évaluation n'est disponible pour ce site. Ce bouton s'affiche pour les URL de protocole FILE (file://). Une erreur de communication s'est produite avec le serveur McAfee GTI qui contient les informations d'évaluation. Contrôle Web n'a pas interrogé McAfee GTI à propos de ce site, ce qui indique qu'il s'agit d'un site interne ou dont l'adresse IP est comprise dans un intervalle d'adresses IP privées. Ce site est un site de phishing. Le phishing se définit par la tentative d'acquérir des informations confidentielles telles que les noms d'utilisateur, les mots de passe et les informations détaillées de carte de crédit. Ces sites de phishing se présentent comme des entités dignes de confiance dans les communications électroniques. Un paramètre autorise ce site. Un paramètre a désactivé Contrôle Web. McAfee Endpoint Security 10.1 Guide Produit 93

94 5 Utilisation de Contrôle Web A propos des fonctionnalités de Contrôle Web L'emplacement du bouton dépend du navigateur : Internet Explorer : barre d'outils Contrôle Web Firefox : coin droit de la barre d'outils Firefox Chrome : barre d'adresse Voir aussi Afficher les informations relatives au site lors de la navigation, page 97 Identification des menaces dans des icônes de sécurité lors des recherches Lorsque vous saisissez des mots clés dans un moteur de recherche, par exemple Google, Yahoo, Bing ou Ask, des icônes de sécurité s'affichent en regard des sites répertoriés dans les résultats de la recherche. La couleur du bouton correspond à l'évaluation de sécurité du site. Les tests n'ont révélé aucun problème significatif. Les tests ont révélé des problèmes que vous devez connaître. Par exemple, le site a essayé de changer les paramètres par défaut du navigateur des testeurs, a affiché des fenêtres pop-up ou a envoyé aux testeurs une quantité importante d' s non-spam. Les tests ont révélé des problèmes graves dont vous devez tenir compte avant d'accéder à ce site. Par exemple, le site a envoyé du spam aux testeurs ou a inclus un logiciel publicitaire dans un téléchargement. Un paramètre de a bloqué ce site. Ce site n'est pas classé. Voir aussi Afficher le rapport de site lors d'une recherche, page 98 Détails fournis par les rapports sur les sites Vous pouvez afficher un rapport portant sur un site web pour en savoir plus sur les menaces spécifiques. Les rapports de sites sont fournis par un serveur d'évaluations McAfee GTI et contiennent les informations suivantes. 94 McAfee Endpoint Security 10.1 Guide Produit

95 Utilisation de Contrôle Web A propos des fonctionnalités de Contrôle Web 5 Cet élément... Indique... Présentation L'évaluation globale du site web, déterminée en fonction des tests suivants : Evaluation des pratiques de messagerie et de téléchargement du site web grâce à nos techniques propriétaires d'analyse et de collecte de données. Examen du site web lui-même afin de rechercher des pratiques gênantes telles que l'ouverture de nombreuses fenêtres pop-up ou des demandes de changement de page d'accueil. Analyse des affiliations en ligne du site web pour vérifier que les sites qui lui sont associés ne sont pas suspects. Combinaison de l'étude McAfee des sites suspects et des commentaires de nos services Threat Intelligence. Affiliations en ligne Tests relatifs au spam web Tests relatifs aux téléchargements Indication du niveau d'agressivité d'un site dans la stratégie mise en œuvre pour vous inciter à consulter d'autres sites classés rouges par McAfee. Les sites suspects sont souvent associés à d'autres sites suspects. Le principal objectif d'un site de distribution est de vous pousser à consulter le site suspect en question. Un site peut être classé rouge s'il vous incite de manière trop agressive à consulter d'autres sites classés rouge. Dans ce cas, Contrôle Web classe le site comme rouge par association. Evaluation globale des pratiques d'un site web concernant l'envoi de messages, basée sur les résultats des tests. McAfee classe les sites d'après le nombre d' s reçus après avoir saisi une adresse sur le site et d'après leur ressemblance au spam. Si l'une de ces mesures est supérieure à ce que nous jugeons acceptable, McAfee classe ce site jaune. Si ces deux mesures sont élevées ou si l'une d'entre elles est extrême, McAfee classe le site rouge. Evaluation globale de l'impact sur notre ordinateur de test d'un logiciel téléchargeable sur un site, basée sur les résultats des tests. McAfee attribue des bannières rouges aux sites dont les téléchargements sont infectés par un virus ou qui ajoutent des logiciels sans rapport, pouvant être considérés comme des logiciels publicitaires ou espions. La classification tient également compte des serveurs réseau contactés par un programme téléchargé au cours de son fonctionnement, ainsi que de toute modification apportée aux paramètres du navigateur ou aux fichiers de registre d'un ordinateur. Voir aussi Afficher le rapport de site lors d'une recherche, page 98 Afficher les informations relatives au site lors de la navigation, page 97 Compilation des évaluations de sécurité Une équipe McAfee définit les évaluations de sécurité en testant différents critères pour chaque site et en analysant les résultats pour détecter les menaces courantes. Lors des tests automatisés, les opérations suivantes permettent de produire l'évaluation de sécurité d'un site web : Téléchargement de fichiers afin d'y vérifier l'éventuelle présence de virus et de programmes potentiellement indésirables Saisie de coordonnées dans des formulaires d'inscription, puis contrôle du spam en résultant ou surveillance du volume élevé d' s non-spam envoyés par le site ou ses affiliés. Contrôle des fenêtres pop-up excessives. McAfee Endpoint Security 10.1 Guide Produit 95

96 5 Utilisation de Contrôle Web Accès aux fonctionnalités du service Contrôle Web Détection de tentatives d'exploitation des failles du navigateur par le site Détection de pratiques web trompeuses ou frauduleuses L'équipe compile les résultats des tests dans un rapport de sécurité qui peut également contenir : des commentaires de propriétaires de pages web (par exemple, des descriptions sur les mesures de sécurité mises en place ou des réponses aux réactions des utilisateurs du site) ; Des commentaires d'internautes (notamment pour signaler des arnaques de type phishing ou des mauvaises expériences d'achat). Davantage d'analyses réalisées par des experts McAfee. Le serveur McAfee GTI enregistre les évaluations de sites et les rapports. Accès aux fonctionnalités du service Contrôle Web Accédez aux fonctionnalités du service Contrôle Web à partir du navigateur. Procédures Activation du plug-in Contrôle Web du navigateur, page 96 Sur certains navigateurs, vous devez activer manuellement le plug-in Contrôle Web pour recevoir des notifications relatives aux menaces web lorsque vous naviguez ou que vous effectuez des recherches. Afficher les informations relatives au site lors de la navigation, page 97 Utilisez le bouton Contrôle Web sur le navigateur pour afficher les informations relatives à un site. Le fonctionnement de ce bouton varie en fonction du navigateur. Afficher le rapport de site lors d'une recherche, page 98 Utilisez l'icône de sécurité d'une page de résultats de recherche pour afficher des informations sur le site. Activation du plug-in Contrôle Web du navigateur Sur certains navigateurs, vous devez activer manuellement le plug-in Contrôle Web pour recevoir des notifications relatives aux menaces web lorsque vous naviguez ou que vous effectuez des recherches. Avant de commencer Le module Contrôle Web doit être activé. Lorsque vous démarrez Internet Explorer ou Chrome pour la première fois, une invite s'affiche pour l'activation des plug-ins. Le plug-in Contrôle Web est activé par défaut dans Firefox. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. Dans l'invite, cliquez sur le bouton pour activer le plug-in. 96 McAfee Endpoint Security 10.1 Guide Produit

97 Utilisation de Contrôle Web Accès aux fonctionnalités du service Contrôle Web 5 Internet Explorer Cliquez sur Activer. Si plus d'un plug-in est disponible, cliquez sur Sélectionner les modules complémentaires, puis cliquez sur Activer pour la barre d'outils Contrôle Web. Chrome Cliquez sur Activer l'extension. Dans Internet Explorer, si vous désactivez la barre d'outils Contrôle Web, vous êtes également invité à désactiver le plug-in Contrôle Web. Pour les systèmes managés, si les paramètres de stratégie empêchent la désinstallation ou la désactivation du plug-in, le plug-in Contrôle Web reste activé même si la barre d'outils n'est pas visible. Afficher les informations relatives au site lors de la navigation Utilisez le bouton Contrôle Web sur le navigateur pour afficher les informations relatives à un site. Le fonctionnement de ce bouton varie en fonction du navigateur. Avant de commencer Le module Contrôle Web doit être activé. Le plug-in Contrôle Web doit être activé dans le navigateur. L'option Masquer la barre d'outils dans le navigateur client dans les paramètres Options doit être activée. Lorsqu'Internet Explorer est en mode plein écran, la barre d'outils Contrôle Web ne s'affiche pas. Pour afficher le menu Contrôle Web : Internet Explorer et Firefox Chrome Cliquez sur le bouton Cliquez sur le bouton dans la barre d'outils. dans la barre d'adresses. Procédure 1 Maintenez le curseur sur ce bouton dans la barre d'outils Contrôle Web pour afficher une bulle résumant l'évaluation de la sécurité du site. (Internet Explorer et Firefox uniquement) 2 Affichez le rapport de site détaillé, notamment davantage d'informations relatives à l'évaluation de sécurité du site : Cliquez sur le bouton Contrôle Web. Sélectionnez Afficher le rapport de site dans le menu Contrôle Web. Cliquez sur le lien Lire le rapport de site dans la bulle du site. (Internet Explorer et Firefox uniquement) Voir aussi Menaces identifiées par le bouton Contrôle Web lors de la navigation, page 93 Détails fournis par les rapports sur les sites, page 94 McAfee Endpoint Security 10.1 Guide Produit 97

98 5 Utilisation de Contrôle Web Gestion de Contrôle Web Afficher le rapport de site lors d'une recherche Utilisez l'icône de sécurité d'une page de résultats de recherche pour afficher des informations sur le site. Procédure 1 Placez le curseur sur l'icône de sécurité. La bulle contient un résumé détaillé du rapport de sécurité du site. 2 Cliquez sur Lire le rapport de site (dans la bulle) pour ouvrir un rapport détaillé sur la sécurité du site dans une fenêtre du navigateur. Voir aussi Identification des menaces dans des icônes de sécurité lors des recherches, page 94 Détails fournis par les rapports sur les sites, page 94 Gestion de Contrôle Web En tant qu'administrateur, vous pouvez spécifier des paramètres Contrôle Web pour activer et personnaliser la protection, bloquer des éléments en fonction de catégories web et configurer la journalisation. Pour les systèmes managés, les modifications de stratégie de McAfee epo peuvent remplacer les modifications de la page Paramètres. Configuration des options de Contrôle Web Vous pouvez activer Contrôle Web et configurer des options via Client Endpoint Security. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Web Control sur la page Statut principale. Ou, dans le menu Action, sélectionnez Paramètres, puis cliquez sur Web Control sur la page Paramètres. 3 Cliquez sur Afficher les paramètres avancés. 4 Cliquez sur Options. 98 McAfee Endpoint Security 10.1 Guide Produit

99 Utilisation de Contrôle Web Gestion de Contrôle Web 5 5 Sélectionnez Activer le Contrôle Web pour activer Contrôle Web, puis modifiez ses options. Pour... Masquez la barre d'outils de Contrôle Web dans le navigateur sans désactiver la protection. Suivre les événements de navigateur à des fins de création de rapports. Bloquer les URL inconnues ou avertir des risques qu'elles comportent. Analyser les fichiers avant leur téléchargement. Empêcher les sites dangereux d'apparaître dans les résultats de recherche. Effectuez les opérations suivantes... Sélectionnez Masquer la barre d'outils dans le navigateur client. Configurez les paramètres à la section Journalisation des événements. Dans Mise en œuvre des actions, sélectionnez l'action (Bloquer, Autoriser ou Avertir) pour les sites que McAfee GTI n'a pas encore vérifiés. Sélectionnez Activer l'analyse des fichiers lors du téléchargement de fichiers, puis sélectionnez le niveau de risque McAfee GTI à bloquer. Sous Recherche sécurisée, sélectionnez Activer la recherche sécurisée, sélectionnez le moteur de recherche et spécifiez si vous souhaitez bloquer les liens vers les sites dangereux. Remarques Configurez les événements Contrôle Web envoyés depuis les systèmes client au serveur de gestion afin de les utiliser pour les requêtes et rapports. La recherche sécurisée filtre automatiquement les sites malveillants dans les résultats de recherche, en fonction de leur évaluation de sécurité. Contrôle Web utilise le moteur de recherche par défaut Yahoo. Si vous changez le moteur de recherche par défaut, redémarrez le navigateur afin que les modifications prennent effet. 6 Configurez les autres options selon vos besoins. 7 Cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Voir aussi Analyse des téléchargements de fichiers, page 100 Connexion en tant qu'administrateur, page 26 McAfee Endpoint Security 10.1 Guide Produit 99

100 5 Utilisation de Contrôle Web Gestion de Contrôle Web Analyse des téléchargements de fichiers Contrôle Web envoie des demandes de téléchargement de fichiers à Prévention contre les menaces pour effectuer une analyse avant le téléchargement. 100 McAfee Endpoint Security 10.1 Guide Produit

101 Utilisation de Contrôle Web Gestion de Contrôle Web 5 Spécification des actions liées à l'évaluation et blocage de l'accès à un site selon la catégorie web Configurez les paramètres de la stratégie pour spécifier les actions à appliquer aux sites et téléchargements de fichiers selon l'évaluation de sécurité. Si vous le souhaitez, spécifiez le blocage ou l'autorisation des sites dans chaque catégorie web. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Utilisez les paramètres de Message de mise en œuvre afin de personnaliser le message qui s'affiche pour les sites et téléchargements de fichiers bloqués ou notifiés et les pages de phishing bloquées. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Web Control sur la page Statut principale. Ou, dans le menu Action, sélectionnez Paramètres, puis cliquez sur Web Control sur la page Paramètres. 3 Cliquez sur Afficher les paramètres avancés. 4 Cliquez sur Actions liées au contenu. 5 Dans la section Blocage de catégorie web, pour chaque catégorie web, activez ou désactivez l'option Bloquer. Pour les sites des catégories non bloquées, Contrôle Web applique également les actions liées à l'évaluation. 6 Dans la section Actions liées à l'évaluation, spécifiez les actions à appliquer aux téléchargements de fichiers et sites non bloqués selon l'évaluation de sécurité définie par McAfee. Ces actions s'appliquent également aux sites qui ne sont pas bloqués par le blocage de catégorie web. 7 Cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. Voir aussi Utilisation des catégories web pour contrôler l'accès, page 101 Utilisation des évaluations de sécurité pour contrôler l'accès, page 102 Connexion en tant qu'administrateur, page 26 Utilisation des catégories web pour contrôler l'accès Les catégories web permettent de contrôler l'accès aux sites en fonction des catégories définies par McAfee. Vous pouvez spécifier des options pour autoriser ou bloquer l'accès aux sites selon la catégorie de contenu qu'ils renferment. Lorsque vous activez le blocage des catégories web dans les paramètres de la Actions liées au contenu, le logiciel bloque ou autorise les catégories des sites web. Ces catégories web incluent Jeux d'argent, Jeux et Messagerie instantanée. McAfee définit et gère une liste contenant environ 105 catégories web. McAfee Endpoint Security 10.1 Guide Produit 101

102 5 Utilisation de Contrôle Web Gestion de Contrôle Web Lorsqu'un utilisateur client accède à un site, le logiciel vérifie la catégorie web du site. Si le site appartient à une catégorie définie, l'accès est bloqué ou autorisé, en fonction des paramètres définis dans les paramètres de la Actions liées au contenu. Pour les sites et les téléchargements de fichiers des catégories non bloquées, le logiciel applique les actions liées à l'évaluation spécifiées. Utilisation des évaluations de sécurité pour contrôler l'accès Configurez les actions en fonction des évaluations de sécurité pour déterminer l'accès des utilisateurs à un site ou à des ressources sur un site. Pour chaque site ou téléchargement de fichier, spécifiez s'il convient d'autoriser le site, d'avertir l'utilisateur ou de bloquer le site en fonction de l'évaluation. Ce paramètre augmente le degré de granularité dans la protection des utilisateurs contre les fichiers pouvant constituer une menace sur des sites dont l'évaluation globale est verte. 102 McAfee Endpoint Security 10.1 Guide Produit

103 6 Utilisation 6 de Décisionnel face aux menaces Décisionnel face aux menaces procure une sécurité adaptative contextuelle à votre environnement réseau. Décisionnel face aux menaces analyse le contenu de votre entreprise et prend des décisions selon la réputation d'un fichier et les critères de votre administrateur. Sommaire Fonctionnement de Décisionnel face aux menaces Gestion de Décisionnel face aux menaces Fonctionnement de Décisionnel face aux menaces Décisionnel face aux menaces utilise la structure de Data Exchange Layer pour partager instantanément les informations relatives aux fichiers et aux menaces à l'échelle du réseau. Par le passé, vous envoyiez les fichiers ou certificats inconnus à McAfee pour analyse, avant d'actualiser les informations associées au fichier dans tout le réseau quelques jours plus tard. Décisionnel face aux menaces permet de contrôler la réputation des fichiers à un niveau local : votre environnement. C'est vous qui décidez quels fichiers peuvent s'exécuter et quels fichiers sont bloqués, tandis que Data Exchange Layer communiquent immédiatement ces informations dans tout l'environnement. Scénarios d'utilisation de Décisionnel face aux menaces Blocage immédiat d'un fichier : Décisionnel face aux menaces signale la détection d'un fichier inconnu dans l'environnement à l'administrateur réseau. Au lieu d'envoyer les informations du fichier à McAfee pour analyse, l'administrateur bloque immédiatement le fichier. L'administrateur peut alors utiliser Décisionnel face aux menaces pour savoir si le fichier est une menace et voir sur combien de systèmes il s'est exécuté. Exécution autorisée d'un fichier personnalisé : une entreprise utilise régulièrement un fichier que sa réputation par défaut désigne comme suspect ou malveillant, par exemple un fichier personnalisé que l'entreprise a elle-même créé. Ce fichier étant autorisé, au lieu d'envoyer les informations qui s'y rapportent à McAfee et d'obtenir un fichier DAT mis à jour, l'administrateur peut modifier la réputation du fichier et la définir sur Approuvé pour autoriser son exécution sans que des avertissements ou invites ne s'affichent. McAfee Endpoint Security 10.1 Guide Produit 103

104 6 Utilisation de Décisionnel face aux menaces Gestion de Décisionnel face aux menaces Gestion de Décisionnel face aux menaces En tant qu'administrateur, vous pouvez spécifier des paramètres Décisionnel face aux menaces (par exemple, sélectionner des groupes de règles et définir des seuils de réputation). Les modifications de stratégie de McAfee epo remplacent celles de la page Paramètres. Décisionnel face aux menaces n'est pris en charge que sur les systèmes managés par McAfee epo. A propos du Décisionnel face aux menaces Décisionnel face aux menaces autorise une communication instantanée entre les systèmes et périphériques de votre environnement. Cette communication est possible grâce à la structure de Data Exchange Layer. Vous pouvez voir le système spécifique sur lequel la menace a été détectée pour la première fois et la provenance de cette menace, et l'arrêter immédiatement. Décisionnel face aux menaces offre les avantages suivants : Détection et protection rapides contre les menaces de sécurité et les logiciels malveillants. Identification potentielle des systèmes et périphériques compromis, de même que du mode de propagation de la menace au sein de votre environnement. Possibilité de bloquer ou d'autoriser immédiatement des fichiers et certificats spécifiques sur la base de leurs réputations et de vos propres critères de risque. Intégration en temps réel à McAfee Advanced Threat Defense et McAfee GTI assurant l'évaluation et des données détaillées sur la classification des logiciels malveillants. Cette intégration vous permet de répondre aux menaces et de partager les informations à l'échelle de votre environnement. Décisionnel face aux menaces n'est pris en charge que sur les systèmes managés par McAfee epo. Composants de Décisionnel face aux menaces Décisionnel face aux menaces comprend les composants suivants. Un module pour Endpoint Security qui vous permet de créer des stratégies bloquant ou autorisant un fichier ou un certificat en fonction de sa réputation. Un serveur qui stocke les informations sur les réputations des fichiers et des certificats, puis les transmet aux autres systèmes. Des instances de Data Exchange Layer Broker qui autorisent une communication bidirectionnelle entre les terminaux d'un réseau. Ces composants sont installés sous forme d'extensions McAfee epolicy Orchestrator (McAfee epo ) et apportent d'autres fonctionnalités et rapports. 104 McAfee Endpoint Security 10.1 Guide Produit

105 Utilisation de Décisionnel face aux menaces Gestion de Décisionnel face aux menaces 6 Le module et le serveur communiquent les informations de réputation des fichiers. La structure de Data Exchange Layer transmet immédiatement ces informations aux terminaux managés. Elle échange également ces informations avec les autres produits McAfee qui accèdent à Data Exchange Layer, par exemple McAfee Enterprise Security Manager (McAfee ESM) et McAfee Network Security Platform. Module Décisionnel face aux menaces Le module pour Décisionnel face aux menaces vous permet de comprendre ce qu'il se passe lorsqu'un fichier de réputation malveillante ou inconnue est détecté dans votre environnement. Il vous permet également de consulter les informations relatives à l'historique des menaces et les actions entreprises. Le module Décisionnel face aux menaces vous permet d'exécuter les tâches suivantes. Créer des stratégies pour : Autoriser ou bloquer des fichiers ou des certificats selon leur réputation. Obtenir une invite dès qu'un fichier ou certificat associé à une certaine réputation tente de s'exécuter. Envoyer automatiquement des informations à Advanced Threat Defense pour analyse complémentaire. Afficher des événements dans les tableaux de bord Décisionnel face aux menaces. Vous pouvez afficher les événements nettoyés, bloqués et autorisés au cours des 30 derniers jours ou par type d'événement. McAfee Endpoint Security 10.1 Guide Produit 105

106 6 Utilisation de Décisionnel face aux menaces Gestion de Décisionnel face aux menaces serveur Décisionnel face aux menaces Exchange Le serveur stocke les informations sur les réputations des fichiers et certificats, puis les transmet aux autres systèmes de votre environnement. Pour plus d'informations sur le serveur, reportez-vous au Décisionnel face aux menaces Exchange. Etablissement d'un pont entre les bases de données et les serveurs TIE Si vos serveurs et vos bases de données TIE sont gérés par des systèmes McAfee epo distincts, vous pouvez les relier par un pont afin de partager les informations de réputation. Pour plus d'informations sur l'établissement d'un pont entre les bases de données et les serveurs TIE, reportez-vous au Guide Produit de Data Exchange Layer et à l'article de la base de connaissances Knowledge Base : KB Data Exchange Layer Data Exchange Layer comprend un logiciel client et des services Broker qui autorisent une communication bidirectionnelle entre les terminaux d'un réseau. Data Exchange Layer fonctionne en arrière-plan et communique avec les services, les bases de données, les terminaux et les applications. Le client Data Exchange Layer étant installé sur chaque terminal managé, les informations sur les menaces qui proviennent des produits de sécurité utilisant DXL peuvent être aussitôt partagées avec tous les autres services et périphériques. Le partage immédiat des informations de réputation dès leur réception limite les hypothèses de sécurité envisagées par les différents services et applications lorsqu'ils échangent des informations. Le partage de ces informations réduit donc la propagation des menaces. Pour plus d'informations sur l'installation et l'utilisation de Data Exchange Layer, reportez-vous au Guide Produit de Data Exchange Layer. Détermination d'une réputation La réputation des fichiers et certificats est déterminée lorsqu'un fichier tente de s'exécuter sur un système managé. La détermination de la réputation d'un fichier ou certificat suit la procédure suivante. 1 Un utilisateur ou un système tente d'exécuter un fichier. 2 Endpoint Security examine le fichier, mais ne peut pas déterminer sa validité et sa réputation. 3 Le module Décisionnel face aux menaces examine le fichier et collecte des propriétés appropriées du fichier et du système local. 4 Le module recherche le hachage du fichier dans le cache de réputation local. S'il détecte le hachage du fichier, le module récupère les données de réputation et de prévalence de l'entreprise du fichier dans le cache. 5 Si le hachage du fichier est introuvable dans le cache de réputation local, le module interroge le serveur TIE. Si le hachage est détecté, le module récupère les données de prévalence de l'entreprise (et les éventuelles réputations disponibles) pour ce hachage de fichier. 6 Si le hachage du fichier est introuvable dans la base de données ou le cache du serveur TIE, le serveur demande la réputation du hachage de fichier à McAfee GTI. McAfee GTI envoie les informations dont il dispose, par exemple «réputation inconnue», qui sont alors stockées par le serveur. Le serveur envoie le fichier pour analyse si l'une des conditions suivantes est vraies : Advanced Threat Defense est présent et le hachage du fichier est introuvable dans McAfee GTI. La stratégie du terminal client est configurée pour envoyer le fichier à Advanced Threat Defense. 106 McAfee Endpoint Security 10.1 Guide Produit

107 Utilisation de Décisionnel face aux menaces Gestion de Décisionnel face aux menaces 6 Consultez la procédure supplémentaire dans la section En présence de Advanced Threat Defense. 7 Le serveur renvoie au module l'ancienneté de l'entreprise, les données de prévalence et la réputation du hachage du fichier, sur la base des données détectées. Si le fichier est nouveau dans l'environnement, le serveur envoie également un premier indicateur d'instance au module Décisionnel face aux menaces. Si McAfee Web Gateway est présent et envoie un score de réputation, Décisionnel face aux menaces renvoie la réputation du fichier. 8 Pour déterminer la réputation du fichier, le module examine les métadonnées suivantes : Propriétés du fichier et du système Ancienneté de l'entreprise et données de prévalence Réputation 9 Le module agit en fonction de la stratégie affectée au système qui exécute le fichier. 10 Le module utilise les informations de réputation pour mettre à jour le serveur et indique si le fichier est autorisé ou bloqué. Il envoie également les événements de menace à McAfee epo via McAfee Agent. 11 Le serveur publie l'événement de modification de réputation pour le hachage du fichier. En présence de Advanced Threat Defense Lorsque Advanced Threat Defense est présent, la procédure est la suivante. 1 Si le système est configuré pour envoyer des fichiers à Advanced Threat Defense et que le fichier est nouveau dans l'environnement, le système envoie le fichier au serveur TIE. Le serveur TIE l'envoie alors à Advanced Threat Defense à des fins d'analyse. 2 Advanced Threat Defense analyse le fichier et envoie les résultats de réputation des fichiers au serveur TIE à l'aide de Data Exchange Layer. Le serveur actualise également la base de données et envoie les informations de réputation mises à jour à tous les systèmes sur lesquels Décisionnel face aux menaces est activé pour protéger aussitôt votre environnement. Décisionnel face aux menaces ou tout autre produit McAfee peut initier ce processus. Dans tous les cas, Décisionnel face aux menaces traite la réputation et l'enregistre dans la base de données. Pour obtenir des informations sur la manière dont Advanced Threat Defense est intégré à Décisionnel face aux menaces, reportez-vous au chapitre Détection des logiciels malveillants et Advanced Threat Defense du Guide Produit McAfee Advanced Threat Defense. En présence de McAfee Web Gateway Lorsque McAfee Web Gateway est présent, la procédure est la suivante. Lors du téléchargement des fichiers, McAfee Web Gateway envoie un rapport au serveur TIE qui enregistre le score de réputation dans la base de données. Lorsque le serveur reçoit une demande de réputation des fichiers depuis le module, il renvoie la réputation reçue de McAfee Web Gateway et d'autres fournisseurs de réputations. Pour obtenir des informations sur la manière dont McAfee Web Gateway échange des informations à l'aide d'un serveur TIE, reportez-vous au chapitre traitant des proxies dans le Guide Produit McAfee Web Gateway. Mise en route Que faire après l'installation de Décisionnel face aux menaces? Pour commencer à utiliser Décisionnel face aux menaces, procédez comme suit : McAfee Endpoint Security 10.1 Guide Produit 107

108 6 Utilisation de Décisionnel face aux menaces Gestion de Décisionnel face aux menaces 1 Créez des stratégies Décisionnel face aux menaces afin de déterminer ce qui est autorisé et bloqué. Exécutez ensuite Décisionnel face aux menaces en mode d'observation afin d'établir la prévalence des fichiers et observez ce que Décisionnel face aux menaces détecte au sein de votre environnement. La prévalence d'un fichier désigne la fréquence de détection d'un fichier dans votre environnement. 2 Pour contrôler ce qui est autorisé au sein de votre environnement, surveillez et affinez les stratégies, ou encore les réputations de fichiers ou de certificats individuels. Etablissement de la prévalence des fichiers et observation Une fois l'installation et le déploiement terminés, commencez à définir les informations relatives à la prévalence des fichiers et aux menaces actuelles. Vous pouvez voir ce qui s'exécute dans votre environnement et ajouter des informations de réputation aux fichiers et aux certificats de la base de données TIE. Ces informations renseignent également les graphiques et tableaux de bord disponibles dans le module dans lequel vous consultez les informations de réputation détaillées des fichiers et certificats. Pour commencer, créez une ou plusieurs stratégies Décisionnel face aux menaces à exécuter sur quelques systèmes de votre environnement. Les stratégies déterminent : Quand l'exécution d'un fichier ou d'un certificat associé à une réputation donnée est autorisée sur le système Quand un fichier ou un certificat est bloqué Quand l'utilisateur doit être invité à choisir une action Quand le fichier est envoyé à Advanced Threat Defense pour analyse complémentaire Lors de l'établissement de la prévalence des fichiers, vous pouvez exécuter les stratégies en mode d'observation. Les réputations des fichiers et certificats sont ajoutées à la base de données, mais aucune action n'est effectuée. Vous pouvez ainsi voir ce que Décisionnel face aux menaces bloque ou autorise lorsque la stratégie est appliquée. Pour plus d'informations, reportez-vous à Configuration des options de Décisionnel face aux menaces. Surveillance et ajustements A mesure que les stratégies s'exécutent dans votre environnement, des données de réputation sont ajoutées dans la base de données. Pour afficher les fichiers et certificats autorisés ou bloqués par ces stratégies, utilisez les tableaux de bord McAfee epo. Vous pouvez afficher des informations détaillées par système (ordinateur), fichier, règle ou certificat, puis voir rapidement le nombre d'éléments identifiés et les actions entreprises. Vous pouvez cliquer sur un élément pour accéder aux détails, et ajuster les paramètres de réputation de fichiers ou certificats spécifiques de sorte que l'action appropriée soit effectuée. 108 McAfee Endpoint Security 10.1 Guide Produit

109 Utilisation de Décisionnel face aux menaces Gestion de Décisionnel face aux menaces 6 Par exemple, lorsque la réputation par défaut d'un fichier le désigne comme suspect ou inconnu alors que vous savez qu'il est approuvé, vous pouvez définir sa réputation sur Approuvé pour qu'il s'exécute dans votre environnement sans blocage ou sans que l'utilisateur ne soit invité à choisir une action. Cette opération se révèle particulièrement utile pour les fichiers internes ou personnalisés utilisés dans votre environnement. Utilisez la fonctionnalité Réputations TIE pour rechercher un nom de fichier ou de certificat spécifique. Vous pouvez afficher les détails du fichier ou du certificat, notamment le nom de la société, le Hachage SHA-1, la description et les informations McAfee GTI. Dans le cas des fichiers, vous pouvez aussi accéder à VirusTotal directement depuis la page de détails Réputations TIE pour obtenir des informations complémentaires. Utilisez la page Rapports Tableaux de bord pour afficher simultanément plusieurs types d'informations de réputation. Vous pouvez afficher le nombre de nouveaux fichiers détectés dans votre environnement au cours de la semaine passée, les fichiers par réputation, les fichiers dont la réputation a été récemment modifiée, les systèmes qui ont récemment exécuté de nouveaux fichiers, etc. Cliquer sur un élément dans le tableau de bord permet d'afficher des informations détaillées. Si vous avez identifié un fichier dangereux ou suspect, vous pouvez rapidement voir quels systèmes ont exécuté le fichier et sont éventuellement compromis. Modifiez la réputation d'un fichier ou certificat en fonction des besoins de votre environnement. Les informations sont immédiatement mises à jour dans la base de données et transmises à tous les périphériques de votre environnement. Les fichiers et certificats sont bloqués ou autorisés en fonction de leur réputation. Lorsque vous avez des doutes sur un fichier ou un certificat donné, vous pouvez bloquer son exécution en attendant d'en savoir plus. Contrairement à l'action Nettoyage de Prévention contre les menaces, qui peut éventuellement supprimer le fichier, le blocage permet de conserver le fichier sans autoriser son exécution. En attendant le résultat de votre évaluation et votre décision, le fichier demeure intact. Importez les réputations de fichier ou de certificat dans la base de données pour autoriser ou bloquer des fichiers ou des certificats spécifiques sur la base d'autres sources de réputation. Vous pourrez ainsi utiliser les paramètres importés pour des fichiers et certificats spécifiques sans avoir à les définir individuellement sur le serveur. Envoi de fichiers pour analyse complémentaire Lorsque la réputation d'un fichier est inconnue ou incertaine, vous pouvez l'envoyer à Advanced Threat Defense pour analyse complémentaire. Vous spécifiez si les fichiers sont envoyés ou non à Advanced Threat Defense dans la stratégie Décisionnel face aux menaces. Advanced Threat Defense détecte les logiciels malveillants de type «jour zéro» et combine les protections par signatures antivirus, analyse de la réputation et émulation en temps réel. Les fichiers peuvent être envoyés automatiquement de Décisionnel face aux menaces à Advanced Threat Defense en fonction de leur niveau de réputation et de la taille du fichier. Les informations de réputation des fichiers transmises par Advanced Threat Defense sont ajoutées à la base de données du serveur TIE. Les informations sur les fichiers et certificats sont directement envoyées à McAfee pour analyse. Ces informations permettent de mieux comprendre les informations de réputation et de les affiner. McAfee ne collecte pas d'informations d'identification personnelle et ne communique pas d'informations en dehors de McAfee. McAfee Endpoint Security 10.1 Guide Produit 109

110 6 Utilisation de Décisionnel face aux menaces Gestion de Décisionnel face aux menaces Informations sur les fichiers et certificats Versions du serveur et du module TIE Paramètres de remplacement des réputations définis via le serveur TIE Informations de réputation externes, par exemple issues de Advanced Threat Defense Informations propres aux fichiers Nom du fichier, chemin d'accès, taille, produit, éditeur et prévalence Informations relatives aux hachages SHA1, SHA256 et MD5 Version du système d'exploitation de l'ordinateur à l'origine du rapport Réputation maximale, minimale et moyenne définie pour le fichier Si le module est ou non en mode d'observation Si l'exécution du fichier a été autorisée ou bloquée, ou si le fichier a été nettoyé Le produit à l'origine de la détection du fichier, par exemple Advanced Threat Defense ou Prévention contre les menaces Informations propres aux certificats Informations de hachage SHA Nom de l'émetteur du certificat et son objet Dates de validité et d'expiration du certificat Configuration des options Décisionnel face aux menaces Utilisez les paramètres de pour déterminer si un fichier ou un certificat est autorisé à s'exécuter, bloqué ou nettoyé ou si les utilisateurs sont invités à choisir une action. Avant de commencer Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Les modifications de stratégie de McAfee epo remplacent celles de la page Paramètres. Procédure Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Ouvrez Client Endpoint Security. 2 Cliquez sur Threat Intelligence Exchange sur la page Etat principale. Ou, dans le menu Action page Paramètres., sélectionnez Paramètres, puis cliquez sur Threat Intelligence Exchange sur la 3 Cliquez sur Afficher les paramètres avancés. 4 Cliquez sur Options. 5 Configurez les paramètres sur la page, puis cliquez sur Appliquer pour enregistrer vos modifications ou cliquez sur Annuler. 110 McAfee Endpoint Security 10.1 Guide Produit

111 Utilisation de Décisionnel face aux menaces Gestion de Décisionnel face aux menaces 6 Blocage ou autorisation de fichiers et certificats La réputation des fichiers et des certificats est basée sur leur contenu et leurs propriétés. Les stratégies Décisionnel face aux menaces décident de bloquer ou d'autoriser les fichiers et certificats dans les systèmes de votre environnement en fonction de leur niveau de réputation. Selon l'équilibre voulu entre les règles qui régissent les types de systèmes donnés, il existe trois niveaux de sécurité. Chaque niveau est associé à des règles spécifiques qui identifient les fichiers et les certificats malveillants et suspects. Productivité : systèmes qui changent souvent, avec des installations/désinstallations de logiciels fréquentes et des mises à jour régulières. Il s'agit par exemple, des ordinateurs utilisés dans les environnements de développement. Les stratégies associées à ce paramètre utilisent peu de règles. Les utilisateurs voient un minimum de blocages et d'invites lorsque de nouveaux fichiers sont détectés. Equilibré : systèmes professionnels génériques, sur lesquels l'installation de nouveaux logiciels et les modifications sont peu fréquentes. Les stratégies associées à ce paramètre utilisent davantage de règles. Les utilisateurs constatent davantage de blocage et d'invites. Sécurité : systèmes managés avec contrôle étroit et peu de changements. Les systèmes qui accèdent à des informations critiques ou confidentielles dans un environnement financier ou administratif en sont des exemples. Ce paramètre est également utilisé pour les serveurs. Les stratégies associées à ce paramètre utilisent un nombre maximal de règles. Les utilisateurs constatent encore plus de blocages et d'invites. Pour afficher les règles spécifiques associées à chaque niveau de sécurité, sélectionnez Menu Paramètres serveur. Dans la liste Catégories de paramètres, sélectionnez Décisionnel face aux menaces. Lorsque vous essayez de déterminer le niveau de sécurité à appliquer à une stratégie, tenez compte du type de système sur lequel cette stratégie est utilisée et de la fréquence des blocages et des affichages d'invite souhaitée pour vos utilisateurs. Après avoir créé la stratégie, affectez-la à des ordinateurs ou à des périphériques afin de déterminer la fréquence des blocages et des invites. McAfee Endpoint Security 10.1 Guide Produit 111

112 6 Utilisation de Décisionnel face aux menaces Gestion de Décisionnel face aux menaces 112 McAfee Endpoint Security 10.1 Guide Produit

113 7 Référence de l'interface client Les rubriques d'aide sur les références de l'interface fournissent une aide contextuelle relative aux pages de l'interface client. Sommaire Page Journal des événements Quarantaine, page Partagés Options Common Tâches Page Prévention contre les menaces : protection de l'accès Prévention contre les menaces - Prévention contre les exploits Page Prévention contre les menaces : analyse à l'accès Prévention contre les menaces : analyse à la demande Emplacements à analyser McAfee GTI Actions Ajouter une exclusion ou Modifier une exclusion Prévention contre les menaces Options Restauration d'amcore Content Pare-feu Options Pare-feu Règles Contrôle Web Options Page Contrôle Web : actions liées au contenu Décisionnel face aux menaces : options Page Journal des événements Permet d'afficher les événements d'activité et de débogage dans le journal des événements. Option Nombre d'événements Afficher le dossier des journaux Afficher tous les événements Définition Indique le nombre d'événements que Endpoint Security a consignés sur le système au cours des 30 derniers jours. Actualise l'écran du Journal des événements avec les nouvelles données d'événements. Ouvre le dossier contenant les fichiers journaux dans l'explorateur Windows. Supprime tous les filtres. McAfee Endpoint Security 10.1 Guide Produit 113

114 7 Référence de l'interface client Page Journal des événements Option Définition Filtrer par gravité Filtre les événements par niveau de gravité : Critique Affiche uniquement les événements de gravité 1. Majeur et supérieur Affiche uniquement les événements de gravité 1 et 2. Mineur et supérieur Affiche uniquement les événements de gravité 1, 2 et 3. Avertissement et supérieur Affiche les niveaux de gravité 1, 2, 3 et 4. Filtrer par module Filtrer les événements par module : Common Threat Prevention Firewall Web Control Affiche uniquement les événements Partagés. Affiche uniquement les événements Prévention contre les menaces. Affiche uniquement les événements Pare-feu. Affiche uniquement les événements Contrôle Web. Les fonctions disponibles dans la liste déroulante dépendent des fonctions installées sur le système au moment de l'ouverture du journal des événements. Rechercher Evénements par page Page précédente Page suivante Page x sur x En-tête de colonne Date Fonctionnalité Recherche une chaîne dans le journal des événements. Sélectionne le nombre d'événements à afficher sur une page. (Par défaut, 20 événements par page) Affiche la page précédente du journal des événements. Affiche la page suivante du journal des événements. Sélectionne une page du journal des événements à atteindre. Entrez un numéro dans le champ Page et appuyez sur la touche Entrée ou cliquez sur Exécuter pour accéder à la page. Permet de trier la liste des événements par... Date à laquelle l'événement s'est produit. Fonctionnalité qui a consigné l'événement. 114 McAfee Endpoint Security 10.1 Guide Produit

115 Référence de l'interface client Quarantaine, page 7 En-tête de colonne Action Permet de trier la liste des événements par... Action entreprise par Endpoint Security, le cas échéant, en réponse à l'événement. L'action est configurée dans les paramètres. Autorisé Accès refusé Supprimé Continuer Nettoyé Déplacé Bloqué Bloquerait L'accès au fichier est autorisé. L'accès au fichier est refusé. Le fichier a été supprimé automatiquement. La menace du fichier a été supprimée automatiquement du fichier. Le fichier a été déplacé dans la quarantaine. L'accès au fichier a été bloqué. Une règle de protection de l'accès aurait bloqué l'accès au fichier si elle avait été mise en œuvre. Gravité Niveau de gravité de l'événement. Critique 1 Majeur 2 Mineur 3 Avertissement 4 Informationnel 5 Voir aussi Affichage du Journal des événements, page 22 Quarantaine, page Gestion des éléments dans la quarantaine. Tableau 7-1 Options Option Supprimer Définition Supprime les éléments sélectionnés mis en quarantaine. Les éléments supprimés ne peuvent pas être restaurés. Restaurer Restaure des élément mis en quarantaine. Endpoint Security restaure les éléments à leur emplacement d'origine et les supprime de la quarantaine. Si un élément reste une menace valide, Endpoint Security le replace immédiatement dans la quarantaine. Analyser à nouveau Analyse à nouveau les éléments mis en quarantaine. Si l'élément ne constitue plus une menace, Endpoint Security le restaure à son emplacement d'origine et le supprime de la quarantaine. McAfee Endpoint Security 10.1 Guide Produit 115

116 7 Référence de l'interface client Partagés Options En-tête de colonne Nom de détection Type Durée de la quarantaine Nombre d'objets Version du contenu AMCore Liste de quarantaine triée par... Nom de détection. Type de menace, par exemple cheval de Troie ou logiciel publicitaire. Durée depuis laquelle l'élément est en quarantaine. Nombre d'objets dans la détection. Numéro de version du contenu AMCore qui a identifié la menace. Etat de réanalyse L'état de la nouvelle analyse, si l'élément a été réanalysé : Nettoyer : la nouvelle analyse s'est traduite par la détection d'aucune menace. Infecté : Endpoint Security a détecté une menace pendant la nouvelle analyse. Voir aussi Gérer les éléments mis en quarantaine, page 46 Noms de détection, page 48 Nouvelle analyse des éléments mis en quarantaine, page 49 Partagés Options Configurez les paramètres pour l'interface Client Endpoint Security, l'autoprotection, la journalisation de débogage et d'activité et le serveur proxy. Tableau 7-2 Options Section Option Définition Mode d'interface client Accès total Autorise l'accès à toutes les fonctions. (Par défaut pour les systèmes managés automatiquement) Accès standard Affiche l'état de protection et autorise l'accès à la plupart des fonctions telles que les mises à jour et les analyses. Le mode Accès standard exige un mot de passe pour afficher et modifier les paramètres sur la page Paramètres du Client Endpoint Security. Le mot de passe par défaut est mcafee. (Par défaut pour les systèmes managés par McAfee epo) Verrouiller l'interface client Exige un mot de passe pour accéder au Client Endpoint Security. 116 McAfee Endpoint Security 10.1 Guide Produit

117 Référence de l'interface client Partagés Options 7 Tableau 7-2 Options (suite) Section Option Définition Définir le mot de passe administrateur Pour les modes Accès standard et Verrouiller l'interface client, spécifie le mot de passe administrateur autorisant l'accès à toutes les fonctions de l'interface Client Endpoint Security. Mot de passe Confirmer le mot de passe Spécifie le mot de passe. Confirme le mot de passe. Désinstallation Demander le mot de passe pour désinstaller le client Demande un mot de passe pour désinstaller le Client Endpoint Security et spécifie le mot de passe. (Désactivé par défaut pour les systèmes managés automatiquement) Le mot de passe par défaut est mcafee. Mot de passe Confirmer le mot de passe Spécifie le mot de passe. Confirme le mot de passe. Tableau 7-3 Options avancées Section Option Définition Langue de l'interface client Automatique Langue Sélectionne automatiquement la langue à utiliser pour le texte de l'interface Client Endpoint Security en fonction de la langue du système client. Spécifie la langue à utiliser pour le texte de l'interface Client Endpoint Security. Pour les systèmes managés, les changements de langue apportés à partir du Client Endpoint Security remplacent les changements de stratégie du serveur de gestion. Le changement de langue s'applique au redémarrage du Client Endpoint Security. La langue du client n'affecte pas les fichiers journaux. La langue des fichiers journaux correspond toujours à celle qui est indiquée dans les paramètres régionaux par défaut du système. Autoprotection Activer l'autoprotection Protège les ressources système Endpoint Security des activités malveillantes. Action Précise la mesure à prendre en cas d'activité malveillante : Blocage et rapport : bloque l'activité et la signale à McAfee epo. (par défaut) Blocage uniquement : bloque l'activité mais ne le signale pas à McAfee epo. Rapport uniquement : signale l'activité à McAfee epo, mais ne la bloque pas. Fichiers et dossiers Registre Processus Empêche la modification ou la suppression des fichiers et dossiers système de McAfee. Empêche la modification ou la suppression des valeurs et clés de Registre de McAfee. Empêche l'arrêt des processus McAfee. McAfee Endpoint Security 10.1 Guide Produit 117

118 7 Référence de l'interface client Partagés Options Tableau 7-3 Options avancées (suite) Section Option Définition Exclure les processus suivants Autorise l'accès pour les processus spécifiés. Les caractères génériques sont pris en charge. Ajouter : ajoute un processus à la liste d'exclusion. Cliquez sur Ajouter et saisissez le nom exact de la ressource, avtask.exe par exemple. Cliquer deux fois sur un élément : Modifie l'élément sélectionné. Supprimer : Supprime l'élément sélectionné. Sélectionnez la ressource et cliquez sur Supprimer. Certificats Spécifie les options de certificat. Autoriser Autorise un fournisseur à exécuter du code au sein des processus McAfee. Ce paramètre peut entraîner des problèmes de compatibilité et réduire la sécurité. Journalisation du client Fournisseur Objet Clé publique SHA-1 Emplacement des fichiers journaux Spécifie le nom commun (CN) de l'autorité ayant signé et émis le certificat. Spécifie le nom unique de signataire (SDN) qui défini l'entité associée au certificat. Ces informations peuvent inclure : CN : nom commun OU : unité organisationnelle O : organisation L : localité ST : Etat ou province C : code pays Spécifie le hachage SHA-1 de la clé publique associée. Spécifie l'emplacement des fichiers journaux. L'emplacement par défaut est le suivant : <SYSTEM_DRIVE>:\ProgramData\McAfee\Endpoint\Logs Enregistrement de l'activité Activer l'enregistrement de l'activité Taille limite du fichier journal d'activité (Mo) Saisissez-le ou cliquez sur Parcourir pour accéder à un emplacement. Active la journalisation de toutes les activités Endpoint Security. Limite chaque fichier journal d'activité à la taille maximale spécifiée (entre 1 et 999 Mo). La valeur par défaut est 10 Mo. Désactivez cette option pour autoriser n'importe quelle taille de fichiers journaux. Si le fichier journal dépasse cette taille, les nouvelles données remplacent les entrées les plus anciennes (25 %) dans le fichier. 118 McAfee Endpoint Security 10.1 Guide Produit

119 Référence de l'interface client Partagés Options 7 Tableau 7-3 Options avancées (suite) Section Option Définition Journalisation de débogage L'activation de la journalisation de débogage pour un module active également la journalisation de débogage pour les fonctions du module Partagés, telles que l'autoprotection. Nous vous recommandons d'activer la journalisation de débogage pour au moins les 24 premières heures pendant les phases de test et pilotes. Si aucun problème ne se produit pendant ce laps de temps, désactivez la journalisation de débogage pour éviter d'affecter les performances du système client. Activer pour la Prévention contre les menaces Active la journalisation détaillée pour Prévention contre les menaces et d'autres technologies : Activer pour la protection de l'accès : journalisation dans AccessProtection_Debug.log. Activer pour la prévention contre les exploits : journalisation dans ExploitPrevention_Debug.log. Activer pour l'analyse à l'accès : journalisation dans OnAccessScan_Debug.log. Activer pour l'analyseur à la demande : journalisation dans OnDemandScan_Debug.log. L'activation de la journalisation de débogage pour n'importe quelle technologie Prévention contre les menaces active également la journalisation de débogage pour Client Endpoint Security. L'activation de la journalisation de débogage pour n'importe quelle technologie Prévention contre les menaces active également la journalisation de débogage pour Décisionnel face aux menaces. Activer pour Pare-feu Activer pour Contrôle Web Limiter la taille de chaque fichier journal de débogage (Mo) Active la journalisation détaillée de l'activité Pare-feu. Active la journalisation détaillée de l'activité Contrôle Web. Limite chaque fichier journal de débogage à la taille maximale spécifiée (entre 1 et 999 Mo). La valeur par défaut est 50 Mo. Désactivez cette option pour autoriser n'importe quelle taille de fichiers journaux. Si le fichier journal dépasse cette taille, les nouvelles données remplacent les entrées les plus anciennes (25 %) dans le fichier. Journalisation des événements Envoyer les événements à McAfee epo Envoie tous les événements consignés dans le Journal des événements sur le Client Endpoint Security vers McAfee epo. Cette option est disponible uniquement sur les systèmes managés par McAfee epo. McAfee Endpoint Security 10.1 Guide Produit 119

120 7 Référence de l'interface client Partagés Options Tableau 7-3 Options avancées (suite) Section Option Définition Consigner les événements dans le journal des applications Windows Envoie tous les événements consignés dans le Journal des événements sur le Client Endpoint Security vers le journal des applications Windows. Le journal des applications Windows est accessible à partir de Windows Observateur d'événements Journaux Windows Application. Niveaux de gravité Evénements de Prévention contre les menaces à consigner dans le journal Spécifie le niveau de gravité des événements à consigner dans le journal des événements sur le Client Endpoint Security : Aucune : n'envoie aucune alerte Critique uniquement : envoie des alertes de niveau 1 uniquement. Majeur et critique : envoie des alertes de niveaux 1 et 2. Mineur, majeur et critique : envoie des alertes de niveaux 1 à 3. Tout sauf informationnel : envoie des alertes de niveaux 1 à 4. Toutes : envoie des alertes de niveaux 1 à 5. 1 : critique 2 : majeur 3 : mineur 4 : avertissement 5 : informationnel Spécifie le niveau de gravité des événements pour chaque fonction Prévention contre les menaces à consigner : Protection de l'accès L'activation de la journalisation des événements pour la protection de l'accès active également la journalisation des événements de l'autoprotection. Serveur proxy pour McAfee GTI Evénements Pare-feu à consigner Evénements Contrôle Web à consigner Aucun serveur proxy Utiliser les paramètres de proxy système Prévention contre les exploits Analyseur à l'accès Analyseur à la demande Spécifie le niveau de gravité des événements Pare-feu à consigner. Spécifie le niveau de gravité des événements Contrôle Web à consigner. Indique que les systèmes managés récupèrent les informations de réputation McAfee GTI directement d'internet, et non via le serveur proxy. (par défaut) Indique d'utiliser les paramètres de proxy du système client et éventuellement d'activer l'authentification de proxy HTTP. 120 McAfee Endpoint Security 10.1 Guide Produit

121 Référence de l'interface client Partagés Options 7 Tableau 7-3 Options avancées (suite) Section Option Définition Configurer le serveur proxy Personnalise les paramètres proxy. Adresse : spécifie l'adresse IP ou le nom de domaine complet du serveur proxy HTTP. Port : limite l'accès via le port spécifié. Exclure les adresses suivantes : indique de ne pas utiliser le serveur proxy HTTP pour les sites web ou adresses IP qui commencent par les entrées spécifiées. Cliquez sur Ajouter, puis saisissez le nom de l'adresse à exclure. Mise à jour client par défaut Sites sources pour les mises à jour Activer l'authentification de proxy HTTP Activer le bouton Mettre à jour maintenant dans le client Eléments à mettre à jour Indique que le serveur proxy HTTP nécessite une authentification. (Cette option n'est disponible que lorsque vous avez sélectionné un serveur proxy HTTP.) Saisissez les informations d'identification du proxy HTTP : Nom d'utilisateur : spécifie le compte d'utilisateur disposant des autorisations d'accès au serveur proxy HTTP. Mot de passe : spécifie le mot de passe pour le nom d'utilisateur. Confirmer le mot de passe : confirme le mot de passe spécifié. Affiche ou cache le page principale du Client Endpoint Security. bouton sur la Cliquez sur ce bouton pour rechercher et télécharger manuellement les mises à jour des fichiers de contenu et des composants logiciels sur le système client. Spécifie les éléments à mettre à jour lorsque vous cliquez sur le bouton. Contenu de sécurité, HotFix et patchs : met à jour tout le contenu de sécurité (y compris le moteur et le contenu AMCore et de prévention contre les exploits), ainsi que les HotFix et les patchs, à leur version la plus récente. Contenu de sécurité : met à jour le contenu de sécurité uniquement (option par défaut). HotFix et patchs : met à jour les HotFix et les patchs uniquement. Configure les sites à partir desquels obtenir les mises à jour des fichiers de contenu et des composants logiciels. Vous pouvez activer et désactiver le site de source de sauvegarde par défaut, McAfeeHttp, et le serveur de gestion (pour les systèmes managés), mais vous ne pouvez pas les modifier ou les supprimer. Ajouter Indique les éléments qui peuvent être déplacés dans la liste. Sélectionnez des éléments et faites-les glisser vers le nouvel emplacement. Une ligne bleue apparaît entre les éléments où vous pouvez déposer les éléments déplacés. Ajoute un site à la liste des sites sources. Voir Ajout de site ou modification du site, page 123 pour plus d'informations. McAfee Endpoint Security 10.1 Guide Produit 121

122 7 Référence de l'interface client Partagés Options Tableau 7-3 Options avancées (suite) Section Option Définition Cliquer deux fois sur un élément Supprimer Importer Modifie l'élément sélectionné. Supprime le site sélectionné de la liste des sites sources. Importe les sites à partir d'un fichier de liste de sites sources. Sélectionnez le fichier à importer, puis cliquez sur OK. Le fichier de liste de sites remplace la liste de sites sources existante. Serveur proxy pour les sites sources Tout exporter Aucun serveur proxy Utiliser les paramètres de proxy système Configurer le serveur proxy Activer l'authentification de proxy HTTP/FTP Exporte la liste de sites sources vers un fichier SiteList.xml. Sélectionnez l'emplacement d'enregistrement du fichier de liste de sites sources, puis cliquez sur OK. Indique que les systèmes managés récupèrent les informations de réputation McAfee GTI directement d'internet, et non via le serveur proxy. (par défaut) Indique d'utiliser les paramètres de proxy du système client et éventuellement d'activer l'authentification de proxy HTTP ou FTP. Personnalise les paramètres proxy. Adresse HTTP/FTP : indique les adresses DNS, IPv4 ou IPv6 du serveur proxy HTTP ou FTP. Port : limite l'accès via le port spécifié. Exclure les adresses suivantes : indique les adresses des systèmes Client Endpoint Security que vous ne souhaitez pas que le serveur proxy utilise pour obtenir les évaluations McAfee GTI. Cliquez sur Ajouter, puis saisissez le nom de l'adresse à exclure. Indique que le serveur proxy HTTP ou FTP nécessite une authentification. (Cette option n'est disponible que lorsque vous avez sélectionné un serveur proxy HTTP ou FTP.) Saisissez les informations d'identification du proxy : Nom d'utilisateur : spécifie le compte d'utilisateur disposant de droits d'accès au serveur proxy. Mot de passe : spécifie le mot de passe pour le nom d'utilisateur spécifié. Confirmer le mot de passe : confirme le mot de passe spécifié. Voir aussi Protection des ressources Endpoint Security, page 30 Configuration des paramètres de journalisation, page 31 Configuration des paramètres pour la sécurité de l'interface client, page 32 Configuration des paramètres de serveur proxy de McAfee GTI, page 33 Configurer le comportement par défaut des mises à jour, page 36 Configurer les sites sources pour les mises à jour, page 34 Ajout de site ou modification du site, page McAfee Endpoint Security 10.1 Guide Produit

123 Référence de l'interface client Partagés Options 7 Ajout de site ou modification du site Permet d'ajouter ou de modifier un site dans la liste de sites sources. Tableau 7-4 Définition des options Option Nom Activer Récupérer les fichiers à partir de Référentiel HTTP Définition Indique le nom du site source contenant les fichiers de mise à jour. Active ou désactive l'utilisation des sites sources pour le téléchargement des fichiers de mise à jour. Spécifie où récupérer les fichiers. Récupère les fichiers à partir de l'emplacement du référentiel HTTP désigné. HTTP permet la mise à jour indépendamment de la sécurité du réseau, mais prend en charge un plus grand niveau de connexions simultanées que FTP. URL Utiliser l'authentification Nom DNS : indique que l'url est un nom de domaine. IPv4 : indique que l'url est une adresse IPv4. IPv6 : indique que l'url est une adresse IPv6. : indique l'adresse du serveur HTTP et du dossier où se trouvent les fichiers de mise à jour. Port : indique le numéro de port du serveur HTTP. Choisit d'utiliser l'authentification et indique les informations d'identification permettant l'accès au dossier du fichier de mise à jour. Nom d'utilisateur : spécifie le compte d'utilisateur disposant d'autorisations de lecture sur le dossier du fichier de mise à jour. Mot de passe : spécifie le mot de passe pour le nom d'utilisateur spécifié. Confirmer le mot de passe : confirme le mot de passe spécifié. McAfee Endpoint Security 10.1 Guide Produit 123

124 7 Référence de l'interface client Partagés Options Tableau 7-4 Définition des options (suite) Option Référentiel FTP Définition Récupère les fichiers à partir de l'emplacement du référentiel FTP désigné. Un site FTP offre la flexibilité d'effectuer une mise à jour sans avoir à adhérer aux autorisations de sécurité du réseau. Le FTP étant moins sujet aux attaques de code indésirable que le HTTP, il peut offrir une meilleure tolérance. URL Utiliser une connexion anonyme Nom DNS : indique que l'url est un nom de domaine. IPv4 : indique que l'url est une adresse IPv4. IPv6 : indique que l'url est une adresse IPv6. ftp:// : indique l'adresse du serveur FTP et le dossier dans lequel se trouvent les fichiers de mise à jour. Port : indique le numéro de port du serveur FTP. Choisit d'utiliser un FTP anonyme pour accéder au dossier du fichier de mise à jour. Désélectionnez cette option pour spécifier des informations d'identification d'accès. Nom d'utilisateur : spécifie le compte d'utilisateur disposant d'autorisations de lecture sur le dossier du fichier de mise à jour. Mot de passe : spécifie le mot de passe pour le nom d'utilisateur spécifié. Confirmer le mot de passe : confirme le mot de passe spécifié. Chemin UNC ou Chemin d'accès local Récupère les fichiers à partir de l'emplacement du chemin d'accès local ou UNC. Un site UNC constitue la manière la plus simple et rapide de procéder à la configuration. Une mise à jour UNC interdomaine requiert des autorisations de sécurité pour chaque domaine, ce qui rend la configuration de la mise à jour plus impliquée. Chemin d accès Utiliser le compte connecté Chemin UNC : indique le chemin d'accès à l'aide de la notation UNC (\ \servername\path\). Chemin d'accès local : indique le chemin d'accès d'un dossier sur un lecteur réseau ou local. Accède aux fichiers de mise à jour à l'aide du compte connecté. Ce compte doit disposer d'autorisations de lecture sur les dossiers contenant les fichiers de mise à jour. Désélectionnez cette option pour spécifier des informations d'identification d'accès. Domaine : spécifie le domaine pour le compte d'utilisateur. Nom d'utilisateur : spécifie le compte d'utilisateur disposant d'autorisations de lecture sur le dossier du fichier de mise à jour. Mot de passe : spécifie le mot de passe pour le nom d'utilisateur spécifié. Confirmer le mot de passe : confirme le mot de passe spécifié. 124 McAfee Endpoint Security 10.1 Guide Produit

125 Référence de l'interface client Common Tâches 7 Common Tâches Permet de configurer et de planifier les tâches Client Endpoint Security. Sur les systèmes managés, il est impossible de démarrer, d'arrêter ou de supprimer les tâches d'administration. Tableau 7-5 Options Section Option Tâches Cliquer deux fois sur un élément Ajouter Supprimer Définition Indique les tâches actuellement définies et planifiées. Nom : nom de la tâche planifiée. Fonctionnalité : module ou fonctionnalité auquel/à laquelle la tâche est associée. Planification : moment d'exécution planifié de la tâche et si elle est désactivée. Par exemple, sur les systèmes managés, la planification de la tâche Mise à jour client par défaut peut être désactivée par l'administrateur. Etat : état de la dernière exécution de la tâche : (pas de statut) : aucune exécution En cours d'exécution : actuellement en cours d'exécution ou exécution reprise Interrompue : interrompue par l'utilisateur (analyse par exemple) Reportée : reportée par l'utilisateur (analyse par exemple) Terminée : exécution terminée sans erreur Terminée (erreurs) : exécution terminée avec des erreurs Echec : la tâche ne s'est pas terminée Dernière exécution : date et heure de la dernière exécution de la tâche. Origine : origine de la tâche : McAfee : fourni par McAfee. Admin : (systèmes managés uniquement) défini par l'administrateur. Utilisateur : défini sur le Client Endpoint Security. Selon l'origine, certaines tâches ne peuvent pas être changées ou supprimées. Par exemple, la tâche Mise à jour client par défaut ne peut être changée que sur les systèmes managés automatiquement. Tâches Admin, définies par l'administrateur sur les systèmes managés. Ces règles ne peuvent pas être modifiées ou supprimées sur le Client Endpoint Security. Modifie l'élément sélectionné. Crée une tâche d'analyse, de mise à jour ou de mise en miroir. Supprime la tâche sélectionnée. McAfee Endpoint Security 10.1 Guide Produit 125

126 7 Référence de l'interface client Common Tâches Tableau 7-5 Options (suite) Section Option Dupliquer Exécuter maintenant Définition Crée une copie de la tâche sélectionnée. Exécute la tâche sélectionnée. Si la tâche est déjà en cours d'exécution, ou si elle est interrompue ou reportée, le bouton est remplacé par Afficher. Analyse rapide : ouvre la boîte de dialogue Analyse rapide et lance l'analyse. Analyse complète : ouvre la boîte de dialogue Analyse complète et lance l'analyse. Analyse personnalisée : ouvre la boîte de dialogue Analyse personnalisée et démarre l'analyse. Mise à jour client par défaut : ouvre la boîte de dialogue Mise à jour et démarre la mise à jour. Mise à jour : ouvre la boîte de dialogue Mise à jour personnalisée et démarre la mise à jour. Mise en miroir : ouvre la boîte de dialogue Mise en miroir et démarre la réplication de référentiel. Si vous exécutez une tâche avant d'appliquer les modifications, Client Endpoint Security vous invite à enregistrer les paramètres. Voir aussi Exécution d'une analyse rapide ou d'une analyse complète, page 42 Mise à jour manuelle de la protection et du logiciel, page 21 Configurer, planifier et exécuter des tâches de mise en miroir, page 39 Ajouter une tâche, page 126 Ajouter une tâche Ajoute des tâches d'analyse personnalisée, de mise en miroir ou de mise à jour. Option Nom Sélectionnez un type de tâche Définition Spécifie le nom de la tâche. Spécifie le type de tâche : Analyse personnalisée : configure et planifie les analyses personnalisées, telles que les analyses de mémoire quotidiennes. Mise en miroir : réplique les fichiers de contenu et de moteur mis à jour à partir du premier référentiel accessible sur un site en miroir de votre réseau. Mise à jour : configure et planifie la mise à jour des fichiers de contenu, du moteur d'analyse ou du produit. Voir aussi Ajouter une tâche d'analyse ou Modifier une tâche d'analyse, page 127 Ajouter une tâche de mise en miroir ou Modifier une tâche de mise en miroir, page 128 Ajout d'une tâche de mise à jour ou modification d'une tâche de mise à jour, page McAfee Endpoint Security 10.1 Guide Produit

127 Référence de l'interface client Common Tâches 7 Ajouter une tâche d'analyse ou Modifier une tâche d'analyse Planifie la tâche Analyse complète ou Analyse rapide ou configure et planifie les tâches d'analyse personnalisée s'exécutant sur le système client. Tableau 7-6 Options Onglet Option Définition Paramètres Nom Configure les paramètres de tâche d'analyse. Indique le nom de la tâche. Options Reportez-vous à la section Prévention contre les menaces : analyse à la demande, page 142 pour plus d'informations. Vous pouvez configurer les paramètres des tâches Analyse complète et Analyse rapide uniquement sur les systèmes managés automatiquement. Planification Active et planifie la tâche pour qu'elle s'exécute à une heure spécifique. Reportez-vous à la section Planification, page 128 pour plus d'informations. Voir aussi Configurer, planifier et exécuter des tâches d'analyse, page 74 Configuration des paramètres de Analyse à la demande, page 70 Exécution d'une analyse rapide ou d'une analyse complète, page 42 Prévention contre les menaces : analyse à la demande, page 142 Planification, page 128 Ajout d'une tâche de mise à jour ou modification d'une tâche de mise à jour Planifie la tâche Mise à jour client par défaut ou configure et planifie les tâches de mise à jour personnalisées s'exécutant sur le système client. Onglet Option Définition Paramètres Nom Eléments à mettre à jour Configure les paramètres de tâche de mise à jour. Indique le nom de la tâche. Spécifie les éléments à mettre à jour : Contenu de sécurité, HotFix et patchs Contenu de sécurité HotFix et patchs Pour modifier les paramètres de la tâche Mise à jour client par défaut, reportez-vous à la section Mise à jour client par défaut dans Partagés Options, page 116. Vous pouvez uniquement configurer ces paramètres sur les systèmes managés automatiquement. Planification Active et planifie la tâche pour qu'elle s'exécute à une heure spécifique. Reportez-vous à la section Planification, page 128 pour plus d'informations. Par défaut, la tâche Mise à jour client par défaut s'exécute chaque jour à 0h00 (minuit) et est répétée toutes les quatre heures jusqu'à 23h59. Voir aussi Configurer, planifier et exécuter des tâches de mise à jour, page 38 Planification, page 128 McAfee Endpoint Security 10.1 Guide Produit 127

128 7 Référence de l'interface client Common Tâches Ajouter une tâche de mise en miroir ou Modifier une tâche de mise en miroir Configure et planifie les tâches de mise en miroir. Onglet Option Définition Paramètres Nom Indique le nom de la tâche. Planification Emplacement de mise en miroir Spécifie le dossier de stockage de la réplique de référentiel. Active et planifie la tâche pour qu'elle s'exécute à une heure spécifique. Reportez-vous à la section Planification, page 128 pour plus d'informations. Voir aussi Configurer, planifier et exécuter des tâches de mise en miroir, page 39 Planification, page 128 Planification Planifie les tâches d'analyse, de mise à jour et de mise en miroir. Tableau 7-7 Options Catégorie Option Définition Planification Activer la planification Planifie la tâche pour qu'elle s'exécute à une heure spécifique. (Activée par défaut) Cette option doit être sélectionnée pour pouvoir planifier la tâche. Type de planification Fréquence Exécuter le Spécifie l'intervalle d'exécution de la tâche. Tous les jours : la tâche est exécutée chaque jour, à une heure spécifique, de façon récurrente entre deux heures précises ou suivant une combinaison des deux. Toutes les semaines : exécute la tâche toutes les semaines : Un jour spécifique de la semaine, tous les jours de la semaine, le week-end ou suivant une combinaison de jours particulière A une heure définie les jours sélectionnés ou de façon récurrente entre deux heures définies les jours sélectionnés Tous les mois : exécute la tâche tous les mois : Le jour spécifié du mois Les jours spécifiés de la semaine (premier, deuxième, troisième, quatrième ou dernier) Une fois : démarre la tâche à l'heure et au jour spécifiés. Au démarrage du système : exécute la tâche lorsque le système démarre. A la connexion : démarre la tâche la prochaine fois que l'utilisateur se connecte au système. Exécuter immédiatement : la tâche est lancée immédiatement. Spécifie la fréquence des tâches Tous les jours et Toutes les semaines. Spécifie les jours de la semaine pour l'exécution des tâches Toutes les semaines et Tous les mois. 128 McAfee Endpoint Security 10.1 Guide Produit

129 Référence de l'interface client Common Tâches 7 Tableau 7-7 Options (suite) Catégorie Option Exécuter en N'exécuter cette tâche qu'une fois par jour Reporter la tâche de Date de début Date de fin Début Définition Spécifie les mois de l'année pour l'exécution des tâches Tous les mois. Exécute la tâche une fois par jour pour les tâches Au démarrage du système et A la connexion. Spécifie le nombre de minutes à reporter avant l'exécution des tâches Au démarrage du système et A la connexion. Spécifie la date de début pour les tâches Tous les jours, Toutes les semaines, Tous les mois et Une fois. Spécifie la date de fin pour les tâches Tous les jours, Toutes les semaines et Tous les mois. Indique l'heure à laquelle lancer la tâche. Exécuter une seule fois au moment défini : exécute la tâche une fois à l'heure de début spécifiée. Exécuter au moment défini, puis répéter jusqu'à : exécute la tâche à l'heure de début spécifiée. Ensuite, la tâche est de nouveau démarrée après le nombre d'heures/minutes spécifié par Démarrer la tâche toutes les jusqu'à l'heure de fin spécifiée. Exécuter au moment défini, puis répéter pendant : exécute la tâche à l'heure de début spécifiée. Ensuite, la tâche est de nouveau démarrée après le nombre d'heures/minutes spécifié par Démarrer la tâche toutes les jusqu'à ce qu'elle ait été exécutée pour la durée spécifiée. Options Compte Exécuter cette tâche en fonction de l'heure UTC (Universal Coordinated Time) Arrêter cette tâche si elle s'exécute plus de Définir l'heure de début de la tâche de façon aléatoire par Exécuter la tâche omise Indique si la planification de la tâche est exécutée en fonction de l'heure locale sur le système managé ou de l'heure UTC. Arrête la tâche après le nombre d'heures et de minutes spécifié. Si la tâche est interrompue avant son achèvement, lors de sa prochaine exécution, elle reprend là où elle s'était arrêtée. Cette tâche est exécutée aléatoirement durant le délai défini. Sinon, la tâche démarre à l'heure planifiée, même si l'exécution d'autres tâches client est planifiée à la même heure. Exécute la tâche après la durée spécifiée par Reporter le début de une fois le système managé redémarré. Spécifie les informations d'identification à utiliser pour l'exécution de la tâche. Si aucune information d'identification n'est spécifiée, la tâche s'exécute dans le cadre du compte Administrateur système local. Nom d'utilisateur Mot de passe Confirmer le mot de passe Domaine Spécifie le compte d'utilisateur. Spécifie le mot de passe pour le compte utilisateur spécifié. Confirme le mot de passe pour le compte utilisateur spécifié. Spécifie le domaine pour le compte utilisateur spécifié. Voir aussi Ajouter une tâche d'analyse ou Modifier une tâche d'analyse, page 127 Ajout d'une tâche de mise à jour ou modification d'une tâche de mise à jour, page 127 Ajouter une tâche de mise en miroir ou Modifier une tâche de mise en miroir, page 128 McAfee Endpoint Security 10.1 Guide Produit 129

130 7 Référence de l'interface client Page Prévention contre les menaces : protection de l'accès Page Prévention contre les menaces : protection de l'accès Protège les points d'accès à votre système en fonction de règles configurées. Reportez-vous aux paramètres Partagés Options, page 116 pour la configuration de la journalisation. Access Protection compare une action demandée par rapport à la liste des règles configurées et agit en fonction de la règle. Tableau 7-8 Options Section Option Définition PROTECTION DE L'ACCES Activer la protection de l'accès Active la fonction Protection de l'accès. Tableau 7-9 Options avancées Section Exclusions Règles Option Description Autorise l'accès aux processus spécifiés, également appelés fichiers exécutables, pour toutes les règles. Ajouter : ajoute un processus à la liste d'exclusion. Reportez-vous à la section Ajouter un fichier exécutable ou Modifier un fichier exécutable, page 135 pour plus d'informations. Cliquer deux fois sur un élément : Modifie l'élément sélectionné. Supprimer :Supprime l'élément sélectionné. Dupliquer : Crée une copie de l'élément sélectionné. Configure les règles de protection de l'accès. Reportez-vous à la section Règles définies par McAfee, page 54 pour plus d'informations. Vous pouvez activer, désactiver et modifier la configuration des règles définies par McAfee, mais vous ne pouvez pas les supprimer. Ajouter : crée une règle personnalisée et l'ajoute à la liste. Reportez-vous à la section Ajouter une règle ou Modifier la règle, page 131 pour plus d'informations. Cliquer deux fois sur un élément : Modifie l'élément sélectionné. Reportez-vous à la section Ajouter une règle ou Modifier la règle, page 131 pour plus d'informations. Supprimer :Supprime l'élément sélectionné. Dupliquer : Crée une copie de l'élément sélectionné. Bloquer (uniquement) : bloque les tentatives d'accès sans les consigner. Rapport (uniquement) : signale les tentatives d'accès mais ne les bloque pas. Ce paramètre est utile lorsque l'impact complet d'une règle n'est pas connu. Consultez les journaux et rapports afin de déterminer si le blocage de l'accès est nécessaire. Blocage et rapport : bloque et consigne les tentatives d'accès. Pour bloquer ou signaler tout, sélectionnez Bloquer ou Rapport dans la première ligne. Pour désactiver la règle, désélectionnez les deux options Bloquer et Rapport. 130 McAfee Endpoint Security 10.1 Guide Produit

131 Référence de l'interface client Page Prévention contre les menaces : protection de l'accès 7 Voir aussi Configuration de règles de protection de l'accès définies par McAfee, page 53 Ajouter une règle ou Modifier la règle, page 131 Règles définies par McAfee, page 54 Ajouter une règle ou Modifier la règle Ajoute ou modifie des règles de protection de l'accès définies par l'utilisateur. Tableau 7-10 Section Option Définition Options Nom Spécifie ou indique le nom de la règle. (Requis) Réaction Spécifie les actions à appliquer pour la règle. Bloquer (uniquement) : bloque les tentatives d'accès sans les consigner. Rapport (uniquement) : signale les tentatives d'accès mais ne les bloque pas. Ce paramètre est utile lorsque l'impact complet d'une règle n'est pas connu. Consultez les journaux et rapports afin de déterminer si le blocage de l'accès est nécessaire. Blocage et rapport : bloque et consigne les tentatives d'accès. Pour bloquer ou signaler tout, sélectionnez Bloquer ou Rapport dans la première ligne. Pour désactiver la règle, désélectionnez les deux options Bloquer et Rapport. Fichiers exécutables Sous-règles Spécifie les fichiers exécutables pour la règle. Ajouter : crée un fichier exécutable et l'ajoute à la liste. Voir Ajouter un fichier exécutable ou Modifier un fichier exécutable, page 135 pour plus d'informations. Cliquer deux fois sur un élément : Modifie l'élément sélectionné. Voir Ajouter un fichier exécutable ou Modifier un fichier exécutable, page 135 pour plus d'informations. Supprimer : Supprime l'élément sélectionné. Dupliquer : Crée une copie de l'élément sélectionné. Faire apparaître le statut d'inclusion : fait passer le statut d'inclusion du fichier exécutable de Inclure à Exclure. Configure les sous-règles. Les sous-règles s'affichent uniquement pour les règles définies par l'utilisateur. Voir Ajouter une sous-règle ou Modifier la sous-règle, page 132 pour plus d'informations. Ajouter : crée une sous-règle et l'ajoute à la liste. Cliquer deux fois sur un élément : Modifie l'élément sélectionné. Supprimer : Supprime l'élément sélectionné. Dupliquer : Crée une copie de l'élément sélectionné. Remarques Fournit des informations supplémentaires sur l'élément. McAfee Endpoint Security 10.1 Guide Produit 131

132 7 Référence de l'interface client Page Prévention contre les menaces : protection de l'accès Voir aussi Ajouter un fichier exécutable ou Modifier un fichier exécutable, page 135 Ajouter une sous-règle ou Modifier la sous-règle, page 132 Ajouter une sous-règle ou Modifier la sous-règle Ajoute ou modifie une sous-règle standard. Tableau 7-11 Options Section Option Définition Description Nom Spécifie le nom de la sous-règle. Propriétés Type de règle Spécifie le type de règle. Fichiers : protège un fichier ou un répertoire. Par exemple, créez une règle personnalisée pour bloquer ou signaler des tentatives de suppression d'une feuille de calcul Excel contenant des informations confidentielles. Clé de Registre : protège la clé spécifiée. La clé de Registre est le conteneur de la valeur de Registre. Par exemple, HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run. Valeur de Registre : protège la valeur spécifiée. Les valeurs de Registre sont stockées dans les clés de Registre et sont référencées séparément des clés de Registre. Par exemple, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run\Autorun. La modification du type de sous-règle supprime toute entrée précédemment définie dans le tableau des paramètres. 132 McAfee Endpoint Security 10.1 Guide Produit

133 Référence de l'interface client Page Prévention contre les menaces : protection de l'accès 7 Tableau 7-11 Options (suite) Section Option Définition Opérations Indique les opérations autorisées avec le type de sous-règle. Fichiers : La sélection de l'option Lecture peut avoir un impact sur les performances. Modifier les attributs cachés ou de lecture seule Créer : bloque la création de fichiers dans le dossier spécifié. Effacer : bloque la suppression de fichiers dans le dossier spécifié. Exécuter : bloque l'exécution de fichiers dans le dossier spécifié. Lire : bloque l'accès en lecture aux fichiers spécifiés. Ecrire : bloque l'accès en écriture aux fichiers spécifiés. Clé de registre : Ecrire : bloque l'accès en écriture à la clé spécifiée. Créer : bloque la création de la clé spécifiée. Effacer : bloque la suppression de la clé spécifiée. Lire : bloque l'accès en lecture à la clé spécifiée. Enumérer : bloque l'énumération des sous-clés pour la clé de Registre spécifiée. Charger : bloque la capacité à décharger la clé de Registre spécifiée et ses sous-clés du registre. Remplacer : bloque le remplacement de la clé de Registre spécifiée et de ses sous-clés par celles d'un autre fichier. Restaurer : bloque la capacité à enregistrer les informations du registre dans un fichier spécifié et copie sur la clé spécifiée. Valeur de Registre : Ecrire : bloque l'accès en écriture à la valeur spécifiée. Créer : bloque la création de la valeur spécifiée. Effacer : bloque la suppression de la valeur spécifiée. Lire : bloque l'accès en lecture à la valeur spécifiée. Paramètres Ajouter : spécifie les paramètres de la règle. Les paramètres dépendent fortement de la sélection du type de règle. Vous devez spécifier au moins un paramètre. Cliquez sur Ajouter, sélectionnez le statut d'inclusion, puis entrez ou sélectionnez le paramètre pour inclure ou exclure. Voir Paramètres, page 134. Cliquer deux fois sur un élément : Modifie l'élément sélectionné. Voir Paramètres, page 134. Supprimer :Supprime l'élément sélectionné. Voir aussi Paramètres, page 134 McAfee Endpoint Security 10.1 Guide Produit 133

134 7 Référence de l'interface client Page Prévention contre les menaces : protection de l'accès Paramètres Spécifie le statut d'inclusion et la définition d'un paramètre. Tableau 7-12 Section Option Définition Paramètres Détermine si le paramètre correspond à la sous-règle. Spécifie également le statut de l'inclusion du paramètre. Inclure : indique que la sous-règle peut correspondre au paramètre spécifié. Exclure : indique que la sous-règle ne doit pas correspondre au paramètre spécifié. Si vous avez sélectionné le type de règle Fichiers... Parcourez pour sélectionner le fichier. Les variables d'environnement de système sont prises en charge. Les variables d'environnement peuvent être spécifiées dans l'un des formats suivants : $(EnvVar) - $(SystemDrive), $(SystemRoot) %EnvVar% - %SystemRoot%, %SystemDriver% Toutes les variables d'environnement définies par le système ne sont pas forcément accessibles à l'aide de la syntaxe $(var), plus particulièrement celles qui contiennent les caractères ou. Vous pouvez utiliser la syntaxe %var% pour éviter ce problème. Si vous avez sélectionné le type de règle Clé de Registre ou Valeur de Registre... Les variables d'environnement utilisateur ne sont pas prises en charge. Vous pouvez utiliser?, * et ** en tant que caractères génériques. Utilisez les clés racines pour définir les clés de Registre et les valeurs de Registre. Ces clés racines sont prises en charge : HKLM ou HKEY_LOCAL_MACHINE HKCU ou HKEY_CURRENT_USER HKCR ou HKEY_CLASSES_ROOT HKCCS correspond à HKLM/SYSTEM/CurrentControlSet et HKLM/ SYSTEM/ControlSet00X HKLMS correspond à HKLM/Software sur les systèmes 32 et 64 bits, et HKLM/Software/Wow6432Node sur les systèmes 64 bits uniquement HKCUS correspond à HKCU/Software sur les systèmes 32 et 64 bits, et HKCU/Software/Wow6432Node sur les systèmes 64 bits uniquement HKULM traitée en tant que HKLM et HKCU HKULM traitée en tant que HKLMS et HKCUS HKALL traitée en tant que HKLM et HKU Vous pouvez utiliser?, * et ** en tant que caractères génériques et (barre verticale) en tant que caractère d'échappement. 134 McAfee Endpoint Security 10.1 Guide Produit

135 Référence de l'interface client Page Prévention contre les menaces : protection de l'accès 7 Ajouter un fichier exécutable ou Modifier un fichier exécutable Ajoute ou modifie un fichier exécutable. Tableau 7-13 Option Nom Statut d'inclusion Définition Indique le nom à attribuer au fichier exécutable. Ce champ est requis avec au moins un autre champ : Nom ou chemin d'accès au fichier, Hachage MD5, ou Signataire. Détermine le statut d'inclusion du fichier exécutable. Statut d'inclusion apparaît uniquement lorsque vous ajoutez un fichier exécutable à une règle. Inclure : indique que le fichier exécutable peut correspondre au paramètre spécifié. Exclure : indique que le fichier exécutable ne doit pas correspondre au paramètre spécifié. Nom ou chemin d'accès au fichier Spécifie le nom ou le chemin d'accès du fichier exécutable à ajouter ou modifier. Cliquez sur Parcourir pour sélectionner le fichier exécutable. Le chemin d'accès peut inclure des caractères génériques. Hachage MD5 Signataire Indique le hachage MD5 (numéro hexadécimal à 32 chiffres) du processus. Activer la vérification de signature numérique : Garantit que le code n'a pas été altéré ou corrompu puisqu'il est signé via un hachage cryptographique. Si la vérification est activée, spécifiez ce qui suit : Autoriser toute signature : autorise les fichiers signés par n'importe quel signataire du processus. Signé par : autorise uniquement les fichiers signés par le signataire du processus spécifié. Un nom unique de signataire (SDN) est requis pour le fichier exécutable et doit correspondre exactement aux entrées du champ associé, y compris les virgules et espaces. Pour obtenir le nom unique du signataire (SDN) d'un fichier exécutable : 1 Cliquez sur un fichier exécutable avec le bouton droit de la souris et sélectionnez Propriétés. 2 Dans l'onglet Signatures numériques, sélectionnez un signataire et cliquez sur Détails. 3 Dans l'onglet Général, cliquez sur Afficher le certificat. 4 Dans l'onglet Détails, sélectionnez le champ Objet. Le nom unique du signataire apparaît. Par exemple, Firefox possède ce nom unique de signataire : CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = California C = US Remarques Fournit des informations supplémentaires sur l'élément. Voir aussi Ajouter une règle ou Modifier la règle, page 131 McAfee Endpoint Security 10.1 Guide Produit 135

136 7 Référence de l'interface client Prévention contre les menaces - Prévention contre les exploits Prévention contre les menaces - Prévention contre les exploits Active et configure la prévention contre les exploits pour empêcher les exploits par débordement de mémoire tampon d'exécuter un code arbitraire sur votre ordinateur. Voir les paramètres Partagés Options, page 116 pour la configuration de la journalisation. Tableau 7-14 Host Intrusion Prevention 8.0 peut être installé sur le même système que Endpoint Security Si McAfee Host IPS est activé, la Prévention contre les exploits est désactivée même si elle est activée dans les paramètres de stratégie. Section Option Définition PREVENTION CONTRE LES EXPLOITS Activer la prévention contre les exploits Active la fonctionnalité Prévention contre les exploits. Si vous n'activez pas cette fonctionnalité, votre système n'est pas protégé contre les attaques de logiciels malveillants. Tableau 7-15 Options avancées Section Option Définition Niveau de protection Standard Spécifie le niveau de protection de la Prévention contre les exploits. Détecte et bloque uniquement les exploits de débordement de mémoire tampon de gravité élevée qui sont identifiés dans le fichier de contenu Prévention contre les exploits et arrête la menace détectée. Utilisez la fonctionnalité en mode Standard sur une courte durée. Examinez le fichier journal de cette période pour déterminer s'il est nécessaire de passer à la protection maximum. Maximum Détecte et bloque les exploits de débordement de mémoire tampon de gravité élevée et moyenne qui sont identifiés dans le fichier de contenu Prévention contre les exploits et arrête la menace détectée. Ce paramètre peut générer des faux positifs. Prévention de l'exécution des données de Windows Action Activer la prévention de l'exécution des données de Windows Active la prévention de l'exécution des données de Windows (DEP). (Désactivée par défaut) La désactivation de cette option n'a pas d'incidence sur les processus sur lesquels DEP est activée dans le cadre de la stratégie DEP de Windows. Spécifie les actions Bloquer ou Rapport pour la Prévention contre les exploits. Le paramètre Rapport n'est pas applicable lorsque la prévention de l'exécution des données de Windows est activée. Bloquer Bloque le processus spécifié. Sélectionnez Bloquer pour activer la fonctionnalité de prévention contre les exploits ou désélectionnez pour la désactiver. Pour bloquer les tentatives d'accès sans enregistrement dans le journal, sélectionnez Bloquer et non Rapport. 136 McAfee Endpoint Security 10.1 Guide Produit

137 Référence de l'interface client Page Prévention contre les menaces : analyse à l'accès 7 Tableau 7-15 Options avancées (suite) Section Option Définition Rapport Active la consignation dans des rapports de tentatives de violation de la prévention contre les exploits. Lorsqu'une détection a lieu, les informations sont enregistrées dans le journal d'activité. Pour recevoir un avertissement sans bloquer les tentatives d'accès, sélectionnez Rapport et non Bloquer. Cela peut se révéler très pratique lorsque l'impact total d'une règle n'est pas connu. Contrôlez les journaux d'activité et les rapports sur une courte période afin d'opter ou non pour un blocage d'accès. Exclusions Spécifie le nom du processus qui possède la mémoire disponible en écriture qui effectue l'appel. Les exclusions avec le module appelant ou l'api ne s'appliquent pas à DEP. Ajouter Ajoute un processus à la liste d'exclusion. Saisissez le nom du processus ou le nom du processus accompagné de son chemin d'accès. Les exclusions sont sensibles à la casse et les caractères génériques ne sont pas autorisés. Cliquer deux fois sur un élément Supprimer Modifie l'élément sélectionné. Supprime l'élément sélectionné. Processus Module appelant API Saisissez le nom du processus à exclure. La prévention contre les exploits exclut le processus, où qu'il se trouve. Spécifie le nom du module qui possède la mémoire disponible en écriture qui effectue l'appel. Spécifie l'api (interface de programmation d'applications) appelée. Voir aussi Configuration des paramètres de Prévention contre les exploits, page 61 Page Prévention contre les menaces : analyse à l'accès Activez ou configurez les paramètres d'analyse à l'accès. Reportez-vous aux paramètres Partagés Options, page 116 pour la configuration de la journalisation. Tableau 7-17 Options Section Option Définition ANALYSE A L'ACCES Activer l'analyse à l'accès Activer l'analyse à l'accès au démarrage du système Active la fonction Analyse à l'accès. Activée par défaut. Active la fonction Analyse à l'accès à chaque démarrage de l'ordinateur. Activée par défaut. McAfee Endpoint Security 10.1 Guide Produit 137

138 7 Référence de l'interface client Page Prévention contre les menaces : analyse à l'accès Tableau 7-17 Options (suite) Section Option Définition Spécifier le nombre maximum de secondes pour chaque fichier analysé Limite chaque analyse de fichier à un nombre spécifique de secondes. Activée par défaut. Si une analyse dépasse le délai, l'analyse s'arrête correctement et consigne un message. Analyser les secteurs d'amorçage Examine le secteur d'amorçage du disque. Activée par défaut. Vous pouvez choisir de désactiver l'analyse du secteur d'amorçage lorsqu'un disque contient un secteur d'amorçage unique ou atypique ne pouvant pas être analysé. Analyser les processus lors du démarrage du service et de la mise à jour du contenu Analyse de nouveau tous les processus actuellement en mémoire à chaque fois : Vous réactivez les analyses à l'accès. Les fichiers de contenu sont mis à jour. Le système démarre. Le processus McShield.exe démarre. Parce que certains programmes ou exécutables démarrent automatiquement lorsque vous lancez votre système, activez cette option peut ralentir votre système et augmenter son temps de démarrage. Désactivée par défaut. Lorsque l'analyseur à l'accès est activé, il analyse toujours tous les processus au moment de leur exécution. Analyser les programmes d'installation approuvés Analyse les fichiers MSI (installés par msiexec.exe et signés par McAfee ou Microsoft) ou les fichiers du service Windows Trusted Installer. Désactivée par défaut. Désactivez cette option pour améliorer les performances des programmes d'installation volumineux d'applications Microsoft. Analyser lors de la copie entre les dossiers locaux Analyse les fichiers à chaque fois que l'utilisateur effectue une copie d'un dossier local à un autre. Si cette option est : Désactivée : seuls les éléments du dossier de destination sont analysés. Activée : les éléments des dossiers source (lecture) et de destination (écriture) sont analysés. Désactivée par défaut. 138 McAfee Endpoint Security 10.1 Guide Produit

139 Référence de l'interface client Page Prévention contre les menaces : analyse à l'accès 7 Tableau 7-17 Options (suite) Section Option Définition McAfee GTI Reportez-vous à la section McAfee GTI, page 147 pour plus d'informations. ScriptScan Activer ScriptScan Active l'analyse des scripts JavaScript et VBScript afin d'empêcher l'exécution des scripts indésirables. Activée par défaut. Si ScriptScan est désactivé lors du lancement d'internet Explorer, puis est activé, il ne détecte pas les scripts malveillants dans cette instance d'internet Explorer. Vous devez redémarrer Internet Explorer après l'activation de ScriptScan afin que celui-ci puisse détecter les scripts malveillants. Tableau 7-18 Options avancées Section Option Définition Message utilisateur en cas de détection de menaces Afficher la fenêtre Analyse à l accès en cas de détection d'une menace En cas de détection, affiche la page Analyse à l accès avec le message spécifié aux utilisateurs client. Activée par défaut. Lorsque cette option est sélectionnée, les utilisateurs peuvent ouvrir cette page depuis la page Analyser maintenant à chaque fois que la liste de détections inclut au moins une menace. La liste de détections de l'analyse à l'accès est vidée lors du redémarrage du service Endpoint Security ou de la réinitialisation du système. Message En cas de détection, spécifie le message à afficher aux utilisateurs clients. Le message par défaut est : McAfee Endpoint Security a détecté une menace. Paramètres des processus Analyse Utiliser les paramètres Standard pour tous les processus Configurer différents paramètres pour les processus à haut risque et à faible risque Standard Risque élevé Risque faible Ajouter Supprimer Moment d'exécution de l'analyse Applique les mêmes paramètres configurés à tous les processus lors d'une analyse à l'accès. Permet de configurer différents paramètres d'analyse pour chaque type de processus que vous identifiez. Configure les paramètres des processus n'étant pas identifiés comme présentant un risque élevé ou faible. Activée par défaut. Configure les paramètres des processus présentant un risque élevé. Configure les paramètres des processus présentant un risque faible. Ajoute un processus à la liste Risque élevé ou Risque faible. Supprime un processus de la liste Risque élevé ou Risque faible. McAfee Endpoint Security 10.1 Guide Produit 139

140 7 Référence de l'interface client Page Prévention contre les menaces : analyse à l'accès Tableau 7-18 Options avancées (suite) Section Option Définition Lors de l'écriture sur un disque Tente d'analyser tous les fichiers qui sont en cours d'écriture ou de modification sur l'ordinateur ou un autre équipement de stockage de données. L'analyse étant susceptible d'échouer lorsque le fichier est écrit sur le disque, nous vous recommandons vivement d'activer Lors de la lecture à partir d'un disque. Lors de la lecture à partir d'un disque Analyse tous les fichiers qui sont en cours de lecture depuis l'ordinateur ou un autre équipement de stockage de données. Il est fortement recommandé d'activer cette option. Laisser McAfee décider Ne pas analyser lors de la lecture ou de l'écriture à partir du disque Eléments à analyser Tous les fichiers Permet à McAfee de décider si un fichier doit être analysé, en utilisant la logique de confiance afin d'optimiser l'analyse. La logique de confiance améliore votre sécurité et optimise les performances en évitant les analyses inutiles. Indique de ne pas analyser les processus à Risque faible uniquement. Analyse tous les fichiers, quelle que soit l'extension. Nous vous recommandons vivement d'activer l'option Tous les fichiers. Si vous n'activez pas cette option, votre système n'est pas protégé contre les attaques de logiciels malveillants. Types de fichiers spécifiés et par défaut Types de fichiers spécifiés uniquement Sur les lecteurs réseau Analyse : Liste par défaut des extensions de fichier définies dans le fichier de contenu AMCore actuel, y compris les fichiers sans extension Toutes les extensions de fichier supplémentaires que vous spécifiez Séparez les extensions à l'aide d'une virgule. (Facultatif) Menaces de macros connues dans la liste des extensions par défaut et spécifiées Pour obtenir la liste des types de fichiers par défaut pour les systèmes Macintosh, reportez-vous à l'article de la base de connaissances KB Analyse : Uniquement les fichiers possédant les extensions (séparées par une virgule) que vous avez spécifiées Tous les fichiers sans extension Analysez les ressources sur les lecteurs réseau mappés. L'analyse des ressources réseau peut affecter les performances. Ouvert pour sauvegarde Analyse les fichiers en cas d'accès par le logiciel de sauvegarde. Pour la plupart des environnements, il n'est pas recommandé d'activer ce paramètre. 140 McAfee Endpoint Security 10.1 Guide Produit

141 Référence de l'interface client Page Prévention contre les menaces : analyse à l'accès 7 Tableau 7-18 Options avancées (suite) Section Option Définition Fichiers d'archive compressés Examine le contenu des fichiers d'archive (compressés), y compris les fichiers.jar. Dans la mesure où l'analyse des fichiers compressés peut réduire les performances système, nous recommandons l'utilisation de cette option dans les analyses pendant les heures d'inactivité lorsque le système n'est pas utilisé. Fichiers MIME compressés Options d'analyse supplémentaires Détecter les programmes indésirables Détecte, décode et analyse les fichiers codés MIME (Multipurpose Internet Mail Extensions) ( s Apple sur les systèmes Macintosh). Active l'analyseur pour détecter les programmes potentiellement indésirables. L'analyseur utilise les informations configurées dans les paramètres Prévention contre les menaces Options afin de détecter les programmes potentiellement indésirables. Actions Exclusions ScriptScan Détecter les menaces de programme inconnues Détecter les menaces de macro inconnues Ajouter Supprimer Exclure les URL suivantes Utilise McAfee GTI pour détecter les fichiers exécutables ayant un code proche de celui de programmes malveillants. Utilise McAfee GTI pour détecter les virus de macro inconnus. Reportez-vous à la section Actions, page 148 pour plus d'informations. Spécifie les fichiers, les dossiers et les lecteurs à exclure de l'analyse. Reportez-vous à la section Ajouter une exclusion ou Modifier une exclusion, page 150 pour plus d'informations. Ajoute un élément à la liste d'exclusion. Supprime un élément de la liste d'exclusion. Spécifie les exclusions ScriptScan par URL. Ajouter : ajoute une URL à la liste d'exclusion. Supprimer : supprime une URL de la liste d'exclusion. Les URL ne peuvent pas inclure de caractères génériques. Toutefois, toutes les URL contenant une chaîne issue d'une URL exclue sont également exclues. Par exemple, si l'url msn.com est exclue, les URL suivantes sont également exclues : Sur les systèmes Windows Server 2008, les exclusions d'url ScriptScan ne fonctionnent pas avec Internet Explorer, sauf si vous autorisez les extensions de navigateurs tiers et redémarrez le système. Consultez l'article KB69526 de la base de connaissances. Voir aussi Configuration des paramètres de Analyse à l accès, page 65 McAfee GTI, page 147 Actions, page 148 Ajouter une exclusion ou Modifier une exclusion, page 150 McAfee Endpoint Security 10.1 Guide Produit 141

142 7 Référence de l'interface client Prévention contre les menaces : analyse à la demande Prévention contre les menaces : analyse à la demande Permet de configurer les paramètres Analyse à la demande pour les analyses préconfigurées et personnalisées qui s'exécutent sur votre système. Reportez-vous aux paramètres Partagés Options, page 116 pour la configuration de la journalisation. Ces paramètres spécifient le fonctionnement de l'analyseur lorsque vous effectuez les actions suivantes : Sélectionnez Analyse complète ou Analyse rapide depuis la page Analyser maintenant du Client Endpoint Security. En tant qu'administrateur, exécutez une tâche d'analyse à la demande personnalisée viaparamètres Partagés Tâches dans le Client Endpoint Security. Cliquez avec le bouton droit de la souris sur un fichier ou un dossier et sélectionnez Rechercher les menaces dans le menu contextuel. Tableau 7-19 Options Section Option Définition Eléments à analyser Secteurs d'amorçage Examine le secteur d'amorçage du disque. Vous pouvez choisir de désactiver l'analyse du secteur d'amorçage lorsqu'un disque contient un secteur d'amorçage unique ou atypique ne pouvant pas être analysé. Fichiers migrés vers une zone de stockage Fichiers MIME compressés Fichiers d'archive compressés Analyse les fichiers gérés par le stockage étendu. Certaines solutions de stockage de données hors ligne remplacent les fichiers par un fichier stub. Lorsque l'analyseur rencontre un fichier stub, ce qui indique que le fichier a été migré, il le restaure sur le système local avant l'analyse. Nous vous recommandons de désactiver cette option. Détecte, décode et analyse les fichiers codés MIME (Multipurpose Internet Mail Extensions) ( s Apple sur les systèmes Macintosh). Examine le contenu des fichiers d'archive (compressés), y compris les fichiers.jar. Dans la mesure où l'analyse des fichiers compressés peut réduire les performances système, nous recommandons l'utilisation de cette option dans les analyses pendant les heures d'inactivité lorsque le système n'est pas utilisé. Options d'analyse supplémentaires Sous-dossiers (Analyse par clic droit uniquement) Détecter les programmes indésirables Détecter les menaces de programme inconnues Détecter les menaces de macro inconnues Examine tous les sous-dossiers du dossier spécifié. Active l'analyseur pour détecter les programmes potentiellement indésirables. L'analyseur utilise les informations configurées dans les paramètres Prévention contre les menaces Options afin de détecter les programmes potentiellement indésirables. Utilise McAfee GTI pour détecter les fichiers exécutables ayant un code proche de celui de programmes malveillants. Utilise McAfee GTI pour détecter les virus de macro inconnus. 142 McAfee Endpoint Security 10.1 Guide Produit

143 Référence de l'interface client Prévention contre les menaces : analyse à la demande 7 Tableau 7-19 Options (suite) Section Option Définition Emplacements à analyser (Analyse complète et Analyse rapide uniquement) Reportez-vous à la section Emplacements à analyser, page 145 pour plus d'informations. Ces options s'appliquent uniquement auxanalyses complètes, aux analyses rapides et aux analyses personnalisées. Types de fichiers à analyser Tous les fichiers Analyse tous les fichiers, quelle que soit l'extension. McAfee recommande vivement d'activer l'option Tous les fichiers. Nous vous recommandons vivement d'activer l'option Tous les fichiers. Si vous n'activez pas cette option, votre système n'est pas protégé contre les attaques de logiciels malveillants. McAfee GTI Exclusions Actions Performances Types de fichiers spécifiés et par défaut Types de fichiers spécifiés uniquement Ajouter Supprimer Utiliser le cache de l'analyse Analyse : Liste par défaut des extensions de fichier définies dans le fichier de contenu AMCore actuel, y compris les fichiers sans extension Toutes les extensions de fichier supplémentaires que vous spécifiez Séparez les extensions à l'aide d'une virgule. (Facultatif) Menaces de macros connues dans la liste des extensions par défaut et spécifiées Pour obtenir la liste des types de fichiers par défaut pour les systèmes Macintosh, reportez-vous à l'article de la base de connaissances KB Analyse : Uniquement les fichiers possédant les extensions (séparées par une virgule) que vous avez spécifiées Tous les fichiers sans extension Reportez-vous à la section McAfee GTI, page 147 pour plus d'informations. Spécifie les fichiers, les dossiers et les lecteurs à exclure de l'analyse. Reportez-vous à la section Ajouter une exclusion ou Modifier une exclusion, page 150 pour plus d'informations. Ajoute un élément à la liste d'exclusion. Supprime un élément de la liste d'exclusion. Reportez-vous à la section Actions, page 148 pour plus d'informations. Permet à l'analyseur d'utiliser les résultats d'analyse des éléments sains existants. Sélectionnez cette option pour réduire les analyses redondantes et améliorer les performances. McAfee Endpoint Security 10.1 Guide Produit 143

144 7 Référence de l'interface client Prévention contre les menaces : analyse à la demande Tableau 7-19 Options (suite) Section Option Définition Utilisation du système Permet au système d'exploitation de spécifier le temps processeur que l'analyseur reçoit lors de l'analyse. Chaque tâche s'exécute de manière indépendante, sans connaître les limites des autres tâches. Faible : améliore les performances des autres applications en cours d'exécution. Sélectionnez cette option pour les systèmes sur lesquels une activité utilisateur final est observée. Sous la normale : définit l'utilisation du système pour l'analyse sur la valeur par défaut de McAfee epo. Normal (par défaut) : permet à l'analyse de se terminer plus rapidement. Sélectionnez cette option pour les systèmes contenant de grands volumes et sur lesquels peu d'activité utilisateur final est observée. Options d'analyse planifiée Ces options s'appliquent uniquement auxanalyses complètes, aux analyses rapides et aux analyses personnalisées. Analyser uniquement lorsque le système est inactif Exécute l'analyse uniquement lorsque l'utilisateur est inactif. Prévention contre les menaces met l'analyse en pause lorsque l'utilisateur accède au système à l'aide du clavier ou de la souris. Prévention contre les menaces relance l'analyse lorsque l'utilisateur (et le processeur) est inactif pendant cinq minutes. McAfee recommande de désactiver cette option sur les systèmes serveur et les systèmes auxquels l'utilisateur accède à l'aide de la Connexion Bureau à distance (RDP) uniquement. Prévention contre les menaces dépend de McTray pour déterminer si le système est inactif. Si l'utilisateur accède au système par le biais de RDP, McTray ne démarre pas et l'analyseur à la demande ne s'exécute pas. Pour résoudre ce problème, les utilisateurs peuvent démarrer McTray (dans C:\Program Files\McAfee\Agent \mctray.exe, par défaut) manuellement lorsqu'ils se connectent à l'aide de RDP. Analyser à tout moment Exécute l'analyse même si l'utilisateur est actif et spécifie les options pour l'analyse. 144 McAfee Endpoint Security 10.1 Guide Produit

145 Référence de l'interface client Emplacements à analyser 7 Tableau 7-19 Options (suite) Section Option Définition L'utilisateur peut reporter les analyses : autorise l'utilisateur à reporter des analyses planifiées et permet de définir les options de report. Nombre maximum de reports de l'analyse en une heure : spécifie le nombre de fois (1-23) où l'utilisateur peut reporter l'analyse en une heure. Message utilisateur : spécifie le message à afficher lorsqu'une analyse est sur le point de démarrer. Le message par défaut est le suivant : McAfee Endpoint Security va analyser votre système. Durée du message (en secondes) : spécifie la durée d'affichage (en secondes) du message utilisateur qui s'affiche lorsqu'une analyse est sur le point de démarrer. La plage de durée valide s'étend de 30 à 300 (valeur par défaut : 45 secondes). Ne pas analyser lorsque le système est alimenté par batterie Ne pas analyser lorsque le système est en mode présentation : reporte l'analyse lorsque le système est en mode de présentation. Reporte l'analyse lorsque le système fonctionne sur batterie. Voir aussi Configuration des paramètres de Analyse à la demande, page 70 Configurer, planifier et exécuter des tâches d'analyse, page 74 Exécution d'une analyse rapide ou d'une analyse complète, page 42 Analyse d'un fichier ou dossier, page 44 Emplacements à analyser, page 145 McAfee GTI, page 147 Actions, page 148 Ajouter une exclusion ou Modifier une exclusion, page 150 Emplacements à analyser Spécifiez les emplacements à analyser. Ces options s'appliquent uniquement auxanalyses complètes, aux analyses rapides et aux analyses personnalisées. McAfee Endpoint Security 10.1 Guide Produit 145

146 7 Référence de l'interface client Emplacements à analyser Tableau 7-20 Options Section Option Définition Emplacements à analyser Analyser les sous-dossiers Examine tous les sous-dossiers dans les volumes spécifiés lorsqu'une des options suivantes est activée : Dossier personnel Dossier de profil utilisateur Dossier Program files Dossier Temp Lecteur ou dossier Désactivez cette option pour analyser uniquement le niveau racine des volumes. Spécifier les emplacements Spécifie les emplacements à analyser. Ajouter Ajoute un emplacement à l'analyse. Cliquez sur Ajouter, puis sélectionnez l'emplacement dans la liste déroulante. Cliquer deux fois sur un élément Supprimer Modifie l'élément sélectionné. Supprime un emplacement de l'analyse. Sélectionnez l'emplacement et cliquez sur Supprimer. Mémoire des rootkits Analyse la mémoire système à la recherche de rootkits (kits racine) installés, processus masqués et autres comportements suggérant qu'un logiciel malveillant tente de se dissimuler. Cette analyse est exécutée avant toutes les autres. Si vous n'activez pas cette option, votre système n'est pas protégé contre les attaques de logiciels malveillants. Processus en cours d'exécution Analyse la mémoire de tous les processus actifs. Les actions autres que Nettoyer les fichiers sont traitées avec l'option Poursuivre l'analyse. Si vous n'activez pas cette option, votre système n'est pas protégé contre les attaques de logiciels malveillants. Fichiers enregistrés Poste de travail Tous les lecteurs locaux Tous les lecteurs fixes Tous les lecteurs amovibles Analyse les fichiers référencés par le registre Windows. L'analyseur recherche les noms de fichiers dans le Registre, détermine si les fichiers existent, crée une liste de fichiers à analyser, puis analyse les fichiers. Analyse tous les lecteurs physiquement connectés sur votre ordinateur ou mappés de manière logique à une lettre de lecteur sur votre poste. Analyse tous les lecteurs et leurs sous-dossiers sur l'ordinateur. Analyse tous les lecteurs physiquement connectés à l'ordinateur. Analyse tous les lecteurs ou autres périphériques de stockage amovibles connectés à l'ordinateur. 146 McAfee Endpoint Security 10.1 Guide Produit

147 Référence de l'interface client McAfee GTI 7 Tableau 7-20 Options (suite) Section Option Définition Tous les lecteurs mappés Dossier personnel Dossier de profil utilisateur Dossier Windows Dossier Program Files Dossier Temp Corbeille Fichier ou dossier Analyse les lecteurs réseau mappés de manière logique à un lecteur réseau sur l'ordinateur. Analyse le dossier de travail de l'utilisateur ayant lancé l'analyse. Analyse le profil de l'utilisateur qui lance l'analyse, y compris le dossier Mes documents de l'utilisateur. Analyse le contenu du dossier Windows. Analyse le contenu du dossier Program Files. Analyse le contenu du dossier Temp. Analyse le contenu de la corbeille. Analyse le fichier ou dossier spécifié. Voir aussi Prévention contre les menaces : analyse à la demande, page 142 McAfee GTI Active et configure les paramètres de McAfee GTI. Tableau 7-21 Section Option Définition Activer McAfee GTI Active et désactive les vérifications heuristiques. Si cette option est activée, les empreintes d'échantillons, ou hachages, sont envoyées à McAfee Labs afin de déterminer s'il s'agit de logiciels malveillants. Grâce à l'envoi des hachages, la détection peut être disponible avant la prochaine version du fichier AMCore Content, lorsque McAfee Labs publie la mise à jour. Si cette option est désactivée, aucune empreinte ou donnée n'est envoyée à McAfee Labs. Niveau de sensibilité Configure le niveau de sensibilité à utiliser pour déterminer si un échantillon détecté est un logiciel malveillant. Plus le niveau de sensibilité est élevé, plus les détections de logiciels malveillants sont nombreuses. Dans ce cas, toutefois, les détections peuvent contenir davantage de faux positifs. Très faible Faible Les détections et le risque de faux positifs sont les mêmes que dans le cas des fichiers AMCore Content habituels. Une détection est transmise à Prévention contre les menaces lorsque McAfee Labs la publie. Il n'est donc pas nécessaire d'attendre la prochaine mise à jour du fichier AMCore Content. Utilisez ce paramètre pour les PC et les serveurs associés à des droits d'utilisateur limités et une empreinte de sécurité forte. Ce paramètre génère en moyenne 10 à 15 requêtes par jour, par ordinateur. Ce paramètre constitue la recommandation minimale pour les ordinateurs portables ou les PC et les serveurs associés à une empreinte de sécurité forte. Ce paramètre génère en moyenne 10 à 15 requêtes par jour, par ordinateur. McAfee Endpoint Security 10.1 Guide Produit 147

148 7 Référence de l'interface client Actions Tableau 7-21 (suite) Section Option Définition Moyen Utilisez ce niveau lorsque le risque habituel d'exposition à un logiciel malveillant est supérieur à celui d'un faux positif. Les vérifications heuristiques propriétaires de McAfee Labs entraînent des détections qui sont susceptibles de correspondre à des logiciels malveillants. Toutefois, certaines détections peuvent être des faux positifs. Avec ce paramètre, McAfee Labs vérifie que les applications populaires et les fichiers de système d'exploitation ne deviennent pas des faux positifs. Ce paramètre constitue la recommandation minimale pour les ordinateurs portables ou PC et les serveurs. Ce paramètre génère en moyenne 20 à 25 requêtes par jour, par ordinateur. Elevé Très élevé Utilisez ce paramètre lors du déploiement sur des systèmes et des zones qui sont régulièrement infectés. Ce paramètre génère en moyenne 20 à 25 requêtes par jour, par ordinateur. McAfee recommande d'utiliser ce niveau uniquement pour l'analyse des volumes et des répertoires qui ne prennent pas en charge l'exécution de programmes et de systèmes d'exploitation. Les détections correspondant à ce niveau sont considérées comme malveillantes, mais n'ont pas fait l'objet d'un test complet pour déterminer s'il s'agit de faux positifs. Utilisez ce paramètre pour les analyses à la demande effectuées sur les volumes dénués de système d'exploitation. Utilisez ce paramètre pour les volumes dénués de système d'exploitation. Ce paramètre génère en moyenne 20 à 25 requêtes par jour, par ordinateur. Voir aussi Page Prévention contre les menaces : analyse à l'accès, page 137 Prévention contre les menaces : analyse à la demande, page 142 Contrôle Web Options, page 165 Actions Spécifie la manière dont l'analyseur répond en cas de détection d'une menace. Tableau 7-22 Options Section Option Définition Type d'analyse Première réponse à la détection de menaces Refuser l'accès aux fichiers Poursuivre l'analyse Nettoyer les fichiers Analyse à l'accès Analyse à la demande Spécifie la première action que doit effectuer l'analyseur en cas de détection d'une menace. Empêche les utilisateurs d'accéder à tous les fichiers contenant des menaces potentielles. Poursuit l'analyse des fichiers en cas de détection d'une menace. L'analyseur ne place pas les éléments en quarantaine. Supprime la menace du fichier détecté, si possible. 148 McAfee Endpoint Security 10.1 Guide Produit

149 Référence de l'interface client Actions 7 Tableau 7-22 Options (suite) Section Option Définition Type d'analyse En cas d'échec de la première réponse Première réponse à un programme indésirable Supprimer les fichiers Refuser l'accès aux fichiers Poursuivre l'analyse Supprimer les fichiers Supprime les fichiers contenant des menaces potentielles. Analyse à l'accès Analyse à la demande Spécifie l'action que doit effectuer l'analyseur en cas de détection d'une menace et d'échec de la première action. Empêche les utilisateurs d'accéder aux fichiers contenant des menaces potentielles. Poursuit l'analyse des fichiers en cas de détection d'une menace. L'analyseur ne place pas les éléments en quarantaine. Supprime les fichiers contenant des menaces potentielles. Spécifie la première action que doit effectuer l'analyseur en cas de détection d'un programme potentiellement indésirable. Cette option est disponible uniquement si l'option Détecter les programmes indésirables est sélectionnée. En cas d'échec de la première réponse Refuser l'accès aux fichiers Autoriser l'accès aux fichiers Poursuivre l'analyse Nettoyer les fichiers Supprimer les fichiers Empêche les utilisateurs d'accéder aux fichiers contenant des menaces potentielles. Autorise les utilisateurs à accéder aux fichiers contenant des menaces potentielles. Poursuit l'analyse des fichiers en cas de détection d'une menace. L'analyseur ne place pas les éléments en quarantaine. Supprime la menace du fichier de programme potentiellement indésirable, si possible. Supprime les fichiers de programmes potentiellement indésirables. Spécifie l'action que doit effectuer l'analyseur en cas de détection d'un programme indésirable et d'échec de la première action. Cette option est disponible uniquement si l'option Détecter les programmes indésirables est sélectionnée. Refuser l'accès aux fichiers Autoriser l'accès aux fichiers Empêche les utilisateurs d'accéder aux fichiers contenant des menaces potentielles. Autorise les utilisateurs à accéder aux fichiers contenant des menaces potentielles. McAfee Endpoint Security 10.1 Guide Produit 149

150 7 Référence de l'interface client Ajouter une exclusion ou Modifier une exclusion Tableau 7-22 Options (suite) Section Option Définition Type d'analyse Poursuivre l'analyse Supprimer les fichiers Poursuit l'analyse des fichiers en cas de détection d'une menace. L'analyseur ne place pas les éléments en quarantaine. Supprime automatiquement les fichiers de programmes potentiellement indésirables. Voir aussi Page Prévention contre les menaces : analyse à l'accès, page 137 Prévention contre les menaces : analyse à la demande, page 142 Analyse à l'accès Analyse à la demande Ajouter une exclusion ou Modifier une exclusion Ajoute ou modifie une définition d'exclusion. Tableau 7-23 Options Section Option Définition Type d'analyse Eléments à exclure Nom ou chemin d'accès au fichier Spécifie le type d'exclusion et les détails de l'exclusion. Spécifie le nom de fichier ou le chemin d'accès à exclure. Le chemin d'accès peut inclure des caractères génériques. A l'accès A la demande Pour exclure un dossier sur les systèmes Windows, ajoutez une barre oblique inverse (\) au chemin d'accès. Pour exclure un dossier sur les systèmes Mac, ajoutez une barre oblique (/) au chemin d'accès. Sélectionnez Exclure également les sous-dossiers si nécessaire. Moment d'exécution de l'exclusion Type de fichier Age de fichier Lors de l'écriture sur un disque ou de la lecture à partir d'un disque Spécifie les types de fichiers (extensions de fichiers) à exclure. Spécifie le type d'accès (Modifié, Dernier accès (analyse à la demande uniquement) ou Créé) des fichiers à exclure et l'age minimal (en jours). Spécifie le moment d'exécution de l'exclusion de l'élément sélectionné. Exclut de l'analyse les fichiers qui sont en cours d'écriture ou de lecture depuis un disque ou un autre équipement de stockage de données. 150 McAfee Endpoint Security 10.1 Guide Produit

151 Référence de l'interface client Prévention contre les menaces Options 7 Tableau 7-23 Options (suite) Section Option Définition Type d'analyse Lors de la lecture à partir d'un disque Lors de l'écriture sur un disque Exclut de l'analyse les fichiers qui sont en cours de lecture depuis un ordinateur ou un autre équipement de stockage de données. Exclut de l'analyse les fichiers qui sont en cours d'écriture ou modification depuis le disque ou un autre équipement de stockage de données. Voir aussi Page Prévention contre les menaces : analyse à l'accès, page 137 Prévention contre les menaces : analyse à la demande, page 142 Caractères génériques dans les exclusions, page 51 Configuration d'exclusions, page 50 A l'accès A la demande Prévention contre les menaces Options Configurez les paramètres s'appliquant à la fonction Prévention contre les menaces, y compris la quarantaine, les programmes potentiellement indésirables et les exclusions. Reportez-vous aux paramètres Partagés Options, page 116 pour la configuration de la journalisation. Cette section inclut uniquement les options avancées. Tableau 7-24 Options avancées Section Option Définition Gestionnaire de quarantaine Dossier de quarantaine Spécifie l'emplacement pour le dossier de quarantaine ou accepte l'emplacement par défaut : c:\quarantine Le dossier de quarantaine est limité à 190 caractères. Exclusion par nom de détection Spécifier le nombre maximum de jours de conservation des données mises en quarantaine Exclure les noms de détection suivants Spécifie le nombre de jours (1 999) de conservation des éléments mis en quarantaine avant la suppression automatique. La valeur par défaut est 30 jours. Spécifie les exclusions de détection par nom de détection. Par exemple, pour spécifier que l'analyseur à l'accès et l'analyseur à la demande ne détectent pas les menaces de vérification d'installation, entrez Vérification d'installation. Ajouter : ajoute un nom de détection à la liste d'exclusion. Cliquez sur Ajouter, puis entrez le nom de détection. Cliquer deux fois sur un élément : Modifie l'élément sélectionné. Supprimer : supprime un nom de détection de la liste d'exclusion. Sélectionnez le nom, puis cliquez sur Supprimer. McAfee Endpoint Security 10.1 Guide Produit 151

152 7 Référence de l'interface client Prévention contre les menaces Options Tableau 7-24 Options avancées (suite) Section Option Définition Détection des programmes potentiellement indésirables Exclure les programmes indésirables de votre choix Spécifie les fichiers ou programmes individuels à traiter en tant que programmes potentiellement indésirables. Les analyseurs détectent les programmes que vous spécifiez ainsi que les programmes spécifiés dans les fichiers AMCore Content. L'analyseur ne détecte pas les programmes indésirables utilisateur de zéro octet. Ajouter : définit un programme indésirable de votre choix. Cliquez sur Ajouter, saisissez le nom, appuyez sur la touche Tab pour saisir la description. Nom : spécifie le nom du fichier du programme potentiellement indésirable. Description : en cas de détection, spécifie les informations à afficher en tant que nom de détection. Cliquer deux fois sur un élément : Modifie l'élément sélectionné. Supprimer : supprime un programme potentiellement indésirable de la liste. Sélectionnez le programme dans le tableau, puis cliquez sur Supprimer. Analyse des données proactive Commentaires McAfee GTI Vérification de l'état d'intégrité Réputation du contenu AMCore Envoie des données de diagnostic et d'utilisation anonymes à McAfee. Permet aux commentaires télémétriques basés sur McAfee GTI de collecter des données anonymes sur les fichiers et les processus s'exécutant sur le système client. Vérifie l'intégrité du système avant et après les mises à jour des fichiers de contenu AMCore, à intervalles réguliers, et envoie les résultats à McAfee. Les résultats sont chiffrés et envoyés à McAfee via SSL. McAfee agrège et analyse alors les données de ces rapports pour identifier les anomalies pouvant indiquer des problèmes de contenu potentiels. Une identification rapide de ces problèmes est essentielle pour les contenir et les résoudre au plus vite. Vérification de l'état d'intégrité collecte les types de données suivants : Version et langue du système d'exploitation Version du produit McAfee Version de moteur et contenu AMCore Informations sur les processus McAfee et Microsoft en cours d'exécution Procède à une recherche de réputation McAfee GTI sur le fichier de contenu AMCore avant de mettre à jour le système client. Si McAfee GTI autorise le fichier, Endpoint Security met à jour le contenu AMCore. Si McAfee GTI n'autorise pas le fichier, Endpoint Security ne met pas à jour le contenu AMCore. 152 McAfee Endpoint Security 10.1 Guide Produit

153 Référence de l'interface client Restauration d'amcore Content 7 Voir aussi Configuration de paramètres d'analyse courants, page 64 Restauration d'amcore Content Permet de restaurer AMCore Content à une version précédente. Option Sélectionner la version à charger Définition Spécifie le numéro de version d'un fichier AMCore Content précédent à charger. Endpoint Security conserve les deux versions précédentes sur le système client. Lorsque vous restaurez une version précédente, Endpoint Security supprime la version en cours d'amcore Content du système. Voir aussi Modification de la version d'amcore Content, page 28 Pare-feu Options Permet d'activer et de désactiver le module Pare-feu et de définir des options de protection. Reportez-vous aux paramètres Partagés Options, page 116 pour la configuration de la journalisation. Le mode d'interface de Client Endpoint Security est défini sur Accès total ou vous êtes connecté en tant qu'administrateur. Host Intrusion Prevention 8.0 peut être installé sur le même système que Endpoint Security Si McAfee Host IPS est installé et activé, le Pare-feu Endpoint Security est désactivé même s'il est activé dans les paramètres de stratégie. Tableau 7-25 Options Section Option Définition Options de protection Activer Pare-feu Autoriser le trafic associé à des protocoles non pris en charge Autoriser le trafic sortant uniquement jusqu'au démarrage des services de pare-feu Autoriser le trafic relié par un pont Permet d'activer et de désactiver le module Pare-feu. Autorise l'ensemble du trafic utilisant des protocoles non pris en charge. Lorsque cette option est désactivée, tout le trafic utilisant des protocoles non pris en charge est bloqué. Autorise le trafic sortant mais bloque le trafic entrant jusqu'au démarrage du service Pare-feu. Lorsque cette option est désactivée, Pare-feu autorise tout le trafic avant le démarrage des services. Autorise le trafic avec une adresse MAC de la gamme de logiciels de machine virtuelle prise en charge qui n'est pas l'adresse MAC du système local. Autorise : Les paquets entrants avec l'adresse MAC de destination. Les paquets sortants avec l'adresse MAC source. McAfee Endpoint Security 10.1 Guide Produit 153

154 7 Référence de l'interface client Pare-feu Options Tableau 7-25 Options (suite) Section Option Définition Activer la protection contre l'usurpation d'adresse IP Activer les règles de blocage dynamique Activer les alertes d'intrusion du pare-feu Bloque le trafic réseau provenant d'adresses IP hôtes non locales ou de processus locaux tentant d'usurper leur adresse IP. Autorise les autres modules Endpoint Security à créer et ajouter des règles bloquées de manière dynamique dans le groupe Règles dynamiques de Client Endpoint Security. (Désactivée par défaut) Affiche des alertes automatiquement lorsque Pare-feu détecte une attaque potentielle. Blocage DNS Nom de domaine Définit les noms de domaines à bloquer. Lorsqu'il est appliqué, ce paramètre ajoute une règle vers le haut de la liste de règles de pare-feu qui bloque les connexions aux adresses IP résolvant les noms de domaine. Ajouter : ajoute un nom de domaine à la liste de blocage. Séparez les différents domaines par une virgule (,) ou un retour chariot. Vous pouvez utiliser les caractères génériques * et?. Par exemple : *domaine.com. Toutes les entrées en double sont automatiquement supprimées. Cliquer deux fois sur un élément : Modifie l'élément sélectionné. Supprimer : supprime le nom du domaine sélectionné de la liste de blocage. Tableau 7-26 Options avancées Section Option Définition Options de réglage Activer le mode adaptatif Crée des règles automatiquement pour autoriser le trafic. Activez temporairement le mode adaptatif sur certains systèmes uniquement lors du paramétrage de Pare-feu. L'activation de ce mode peut générer de nombreuses règles client, que le serveur McAfee epo doit traiter. Les performances peuvent donc être affectées. Désactiver les règles de réseau de base McAfee Désactive les règles réseau McAfee intégrées (dans le groupe de règles Mise en réseau de base McAfee). (Désactivée par défaut) L'activation de cette option peut perturber les communications réseau sur le client. Consigner l'ensemble du trafic bloqué Consigne l'ensemble du trafic bloqué dans le journal des événements Pare-feu (FirewallEventMonitor.log) sur Client Endpoint Security. (Activée par défaut) 154 McAfee Endpoint Security 10.1 Guide Produit

155 Référence de l'interface client Pare-feu Options 7 Tableau 7-26 Options avancées (suite) Section Option Définition Consigner l'ensemble du trafic autorisé Consigne l'ensemble du trafic autorisé dans le journal des événements Pare-feu (FirewallEventMonitor.log) sur Client Endpoint Security. (Désactivée par défaut) L'activation de cette option risque d'avoir une incidence négative sur les performances. Réputation du réseau McAfee GTI Considérer les correspondances McAfee GTI comme des intrusions Traite le trafic correspondant au paramètre du seuil de blocage McAfee GTI comme une intrusion. L'activation de cette option affiche une alerte, envoie un événement au serveur de gestion et l'ajoute au fichier journal Client Endpoint Security. (Activée par défaut) Toutes les adresses IP d'un réseau approuvé sont exclues de la recherche McAfee GTI. Consigner le trafic de correspondance Traite le trafic correspondant au paramètre du seuil de blocage McAfee GTI comme une détection. L'activation de cette option envoie un événement au serveur de gestion et l'ajoute au fichier journal Client Endpoint Security. (Activée par défaut) Toutes les adresses IP d'un réseau approuvé sont exclues de la recherche McAfee GTI. Pare-feu avec état Seuil entrant/sortant de réputation du réseau Utiliser la fonction d'inspection du protocole FTP Permet de spécifier le seuil d'évaluation McAfee GTI pour le blocage du trafic entrant ou sortant d'une connexion réseau. Ne pas bloquer : ce site est une source ou destination de contenu/ trafic légitime. Risque élevé : cette source/destination envoie ou héberge du contenu/trafic potentiellement malveillant que McAfee considère comme étant risqué. Risque moyen : cette source/destination présente un comportement que McAfee considère comme étant suspect. L'ensemble du contenu/trafic provenant de ce site nécessite une attention toute particulière. Non vérifié : ce site est une source ou destination de contenu/ trafic légitime, mais il contient également des propriétés suggérant la nécessité d'une inspection plus poussée. Autorise le suivi des connexions FTP afin qu'elles ne nécessitent qu'une seule règle de pare-feu pour le trafic sortant et le trafic entrant du serveur FTP. Si cette option n'est pas sélectionnée, les connexions FTP ont besoin d'une règle distincte pour le trafic entrant du client FTP et le trafic sortant du serveur FTP. McAfee Endpoint Security 10.1 Guide Produit 155

156 7 Référence de l'interface client Pare-feu Règles Tableau 7-26 Options avancées (suite) Section Option Définition Nombre de secondes (1 à 240) avant expiration des connexions TCP Nombre de secondes (1-300) avant expiration des connexions d'écho virtuel UDP et ICMP Voir aussi Configurer les optionspare-feu, page 78 Indique la durée, en secondes, pendant laquelle une connexion TCP non établie reste active si aucun autre paquet correspondant à la connexion n'est envoyé ou reçu. L'intervalle valide est Indique la durée, en secondes, pendant laquelle une connexion d'écho virtuel UDP ou ICMP reste active si aucun autre paquet correspondant à la connexion n'est envoyé ou reçu. Cette option est réinitialisée à sa valeur configurée chaque fois qu'un paquet correspondant à la connexion virtuelle est envoyé ou reçu. L'intervalle valide est Pare-feu Règles Gestion des règles et groupes de pare-feu. Vous pouvez ajouter et supprimer des règles et des groupes dans le groupe Ajouté par l'utilisateur uniquement. Pare-feu déplace automatiquement les règles nouvellement ajoutées à ce groupe. Tableau 7-27 Options Section Option Définition Règle Groupe REGLES Ajouter une règle Crée une règle de pare-feu. Reportez-vous à la section Ajouter une règle ou Modifier la règle, Ajouter un groupe ou Modifier le groupe, page 157 pour plus d'informations. Ajouter un groupe Cliquer deux fois sur un élément Dupliquer Supprimer Crée un groupe de pare-feu. Modifie l'élément sélectionné. Crée une copie de l'élément sélectionné. Supprime un élément de pare-feu sélectionné. Indique les éléments qui peuvent être déplacés dans la liste. Sélectionnez des éléments et faites-les glisser vers le nouvel emplacement. Une ligne bleue apparaît entre les éléments où vous pouvez déposer les éléments déplacés. Voir aussi Création et gestion de règles et groupes Pare-feu, page 87 Ajouter une règle ou Modifier la règle, Ajouter un groupe ou Modifier le groupe, page McAfee Endpoint Security 10.1 Guide Produit

157 Référence de l'interface client Pare-feu Règles 7 Ajouter une règle ou Modifier la règle, Ajouter un groupe ou Modifier le groupe Ajoute ou modifie des groupes et règles de pare-feu. Tableau 7-28 Options Section Option Définition Règle Groupe Description Nom Spécifie le nom descriptif de l'élément (requis). Etat Spécifier les actions Permet d'activer ou de désactiver l'élément. Autoriser : autorise le trafic via Pare-feu en cas de correspondance de l'élément. Bloquer : empêche le trafic de passer par Pare-feu en cas de correspondance de l'élément. Considérer les correspondances comme des intrusions : traite le trafic correspondant à la règle comme une intrusion. L'activation de cette option affiche une alerte, envoie un événement au serveur de gestion et l'ajoute au fichier journal Client Endpoint Security. Il n'est pas recommandé d'activer cette option pour une règle Autoriser car cela a pour résultat de nombreux événements. Consigner le trafic de correspondance : traite le trafic correspondant à la règle comme une détection. L'activation de cette option envoie un événement au serveur de gestion et l'ajoute au fichier journal Client Endpoint Security. Direction Indique la direction : Les deux : surveille le trafic entrant et sortant. Entrant : surveille le trafic entrant. Sortant : surveille le trafic sortant. Emplacement Remarques Activer la prise en compte de l'emplacement Nom Fournit des informations supplémentaires sur l'élément. Permet d'activer ou de désactiver les informations d'emplacement du groupe. Spécifie le nom de l'emplacement (obligatoire). McAfee Endpoint Security 10.1 Guide Produit 157

158 7 Référence de l'interface client Pare-feu Règles Tableau 7-28 Options (suite) Section Option Définition Règle Groupe Activer l'isolement de la connexion Bloque le trafic sur des cartes réseau ne correspondant pas au groupe lorsqu'un adaptateur correspondant au groupe est présent. Les paramètres de Transport et de Fichiers exécutables ne sont pas disponibles pour les groupes d'isolement de la connexion. L'une des fonctions de cette option consiste à empêcher le trafic généré par des sources potentiellement indésirables en dehors du réseau de l'entreprise de pénétrer dans ce réseau. Un tel blocage du trafic est possible uniquement si une règle précédant le groupe dans Pare-feu ne l'a pas déjà autorisé. Si l'isolement de la connexion est activé et qu'une carte d'interface réseau correspond au groupe, le trafic est autorisé uniquement lorsqu'une des conditions suivantes est vérifiée : Le trafic correspond à une règle Autoriser avant le groupe. Le trafic passe par une carte d'interface réseau correspondant au groupe et il existe une règle dans ou sous le groupe qui autorise le trafic. Si aucune carte d'interface réseau ne correspond au groupe, ce dernier est ignoré et la correspondance de règle se poursuit. Exige l'accessibilité de McAfee epo Autorise la correspondance du groupe uniquement s'il existe une communication avec le serveur McAfee epo et si le FQDN du serveur a été résolu. 158 McAfee Endpoint Security 10.1 Guide Produit

159 Référence de l'interface client Pare-feu Règles 7 Tableau 7-28 Options (suite) Section Option Définition Règle Groupe Critères de l'emplacement Suffixe DNS propre à la connexion : spécifie un suffixe DNS propre à la connexion au format exemple.com. Passerelle par défaut : spécifie une adresse IP unique pour une passerelle par défaut au format IPv4 ou IPv6. Serveur DHCP : spécifie une adresse IP unique pour un serveur DHCP au format IPv4 ou IPv6. Serveur DNS : spécifie une adresse IP unique pour un serveur de nom de domaine au format IPv4 ou IPv6. Serveur WINS principal : spécifie une adresse IP unique pour un serveur WINS principal au format IPv4 ou IPv6. Serveur WINS secondaire : spécifie une adresse IP unique pour un serveur WINS secondaire au format IPv4 ou IPv6. Accessibilité du domaine (HTTPS) : nécessite que le domaine spécifié soit accessible à l'aide de HTTPS. Clé de Registre : spécifie la clé de Registre et la valeur de clé. 1 Cliquez sur Ajouter. 2 Dans la colonne Valeur, spécifiez la clé de Registre au format : <ROOT>\<KEY>\[NOM_VALEUR] <ROOT> doit comprendre le nom de racine complet, tel que HKEY_LOCAL_MACHINE et non la version abrégée HKLM. <KEY> contient le nom de la clé sous la racine. [NOM_VALEUR] est le nom de la valeur de clé. Si aucun nom de valeur n'est inclus, la valeur par défaut est prise en compte. Exemples de formats : IPv4 : IPv6 : 2001:db8:c0fa:f340:9219: bd20:9832:0ac7 Les adresses IPv6 ne sont pas prises en charge sur les systèmes d'exploitation Macintosh. Réseaux Protocole réseau Tout protocole Spécifie les options d'hôte de réseau qui s'appliquent à l'élément. Spécifie le protocole réseau qui s'applique à l'élément. Autorise les protocoles IP et non IP. Si une application ou un protocole de transport est spécifié(e), seuls les protocoles IP sont autorisés. McAfee Endpoint Security 10.1 Guide Produit 159

160 7 Référence de l'interface client Pare-feu Règles Tableau 7-28 Options (suite) Section Option Définition Règle Groupe Protocole IP Exclut les protocoles non IP. Protocole IPv4 Protocole IPv6 Si aucune case n'est activée, tous les protocoles IP s'appliquent. Ipv4 et IPv6 peuvent être sélectionnés simultanément. Protocole non IP Types de connexion Inclut uniquement les protocoles non IP. Sélectionner un champ EtherType dans la liste : spécifie une valeur EtherType. Indiquer un champ EtherType personnalisé : spécifie les quatre caractères de la valeur hexadécimale EtherType du protocole non IP. Voir Numéros Ethernet pour connaître les valeurs EtherType. Par exemple, saisissez 809B pour AppleTalk, 8191 pour NetBEUI ou 8037 pour IPX. Indique si un ou tous les types de connexion s'appliquent : Câblé Sans fil Virtuel Un type de connexion virtuel est un adaptateur présenté par une application de machine virtuelle ou VPN, comme VMware, plutôt qu'un adaptateur physique. Spécifier les réseaux Spécifie les réseaux qui s'appliquent à l'élément. Ajouter : permet de créer et d'ajouter un réseau. Reportez-vous à la section Ajouter un réseau ou Modifier le réseau, page 164 pour plus d'informations. Cliquer deux fois sur un élément : Modifie l'élément sélectionné. Supprimer : supprime le réseau de la liste. Transport Spécifie les options de transport qui s'appliquent à l'élément. 160 McAfee Endpoint Security 10.1 Guide Produit

161 Référence de l'interface client Pare-feu Règles 7 Tableau 7-28 Options (suite) Section Option Définition Règle Groupe Protocole de transport Permet de spécifier le protocole de transport associé à l'élément. Sélectionnez le protocole, puis cliquez sur Ajouter pour ajouter des ports. Tous les protocoles : autorise les protocoles IP, non IP et non pris en charge. TCP et UDPSélectionnez une option dans la liste déroulante : Port local : permet de spécifier le service de trafic ou port local auquel l'élément s'applique. Port distant : permet de spécifier le service de trafic ou port d'un autre ordinateur auquel l'élément s'applique. Le Port local et le Port distant peuvent être : Un seul service. Par exemple : 23. Un intervalle. Par exemple : Une liste séparée par des virgules des intervalles et ports individuels. Par exemple, 80, 8080, 1 10, 8443 (jusqu'à 4 éléments). Par défaut, les règles s'appliquent à tous les services et à tous les ports. ICMP : à l'aide de la liste déroulante Type de message, spécifiez un type de message ICMP. Voir ICMP. ICMPv6 : à l'aide de la liste déroulante Type de message, spécifiez un type de message ICMP. Voir ICMPv6. Autre : permet de sélectionner un protocole dans une liste de protocoles moins répandus. Fichiers exécutables Planification Spécifie les fichiers exécutables qui s'appliquent à la règle. Ajouter : crée et ajoute un fichier exécutable. Reportez-vous à la section Ajouter un fichier exécutable ou Modifier un fichier exécutable, page 163 pour plus d'informations. Cliquer deux fois sur un élément : Modifie l'élément sélectionné. Supprimer : supprime un fichier exécutable de la liste. Spécifie les paramètres de planification pour la règle ou le groupe. McAfee Endpoint Security 10.1 Guide Produit 161

162 7 Référence de l'interface client Pare-feu Règles Tableau 7-28 Options (suite) Section Option Définition Règle Groupe Activer la planification Active la planification pour la règle ou le groupe limité. Lorsque la planification est désactivée, la ou les règles du groupe ne s'appliquent pas. Heure de début : spécifie l'heure de début à laquelle activer la planification. Heure de fin : spécifie l'heure à laquelle désactiver la planification. Jours de la semaine : indique les jours de la semaine pour l'activation de la planification. Pour les heures de début et de fin, indiquez l'heure au format 24 heures. Par exemple, 13 h = 1 h de l'après-midi. Vous pouvez planifier des groupes Pare-feu limités ou autoriser l'utilisateur à les activer depuis l'icône McAfee de la barre d'état système. Désactiver la planification et activer le groupe depuis l'icône de la barre d'état système McAfee Indique que l'utilisateur peut activer le groupe limité pour un nombre défini de minutes depuis l'icône de la barre d'état système McAfee au lieu d'utiliser la planification. Utilisez cette option pour autoriser un accès réseau étendu, par exemple dans un hôtel, avant l'établissement de la connexion VPN. La sélection de cette option permet d'afficher davantage d'options de menu sous Paramètres rapides dans l'icône de la barre d'état système McAfee : Activer les groupes Pare-feu limités : active les groupes limités pour une durée déterminée afin d'autoriser l'accès à Internet non lié au réseau avant la mise en œuvre des règles limitant cet accès. Chaque fois que vous sélectionnez cette option, la limite de durée est réinitialisée pour les groupes. Afficher les groupes Pare-feu limités : affiche les noms des groupes limités et la durée d'activité restante pour chacun d'entre eux. Vous pouvez planifier des groupes Pare-feu limités ou autoriser l'utilisateur à les activer depuis l'icône McAfee de la barre d'état système. Nombre de minutes (1-60) d'activation du groupe Spécifie le nombre de minutes (1 à 60) durant lesquelles le groupe limité est activé après la sélection de l'option Activer les groupes Pare-feu limités à partir de l'icône McAfee de la barre d'état système. 162 McAfee Endpoint Security 10.1 Guide Produit

163 Référence de l'interface client Pare-feu Règles 7 Voir aussi Création et gestion de règles et groupes Pare-feu, page 87 Créer des groupes limités, page 90 Activer ou afficher les groupes Pare-feu limités, page 77 Ajouter un réseau ou Modifier le réseau, page 164 Ajouter un fichier exécutable ou Modifier un fichier exécutable, page 163 Ajouter un fichier exécutable ou Modifier un fichier exécutable Ajoute ou modifie un fichier exécutable associé à une règle ou un groupe. Tableau 7-29 Options Option Nom Nom ou chemin d'accès au fichier Définition Indique le nom à attribuer au fichier exécutable. Ce champ est requis avec au moins un autre champ : Nom ou chemin d'accès au fichier, Description du fichier, Hachage MD5 ou signataire. Spécifie le nom ou le chemin d'accès du fichier exécutable à ajouter ou modifier. Cliquez sur Parcourir pour sélectionner le fichier exécutable. Le chemin d'accès peut inclure des caractères génériques. Description du fichier Hachage MD5 Signataire Permet d'indiquer la description du fichier. Indique le hachage MD5 (numéro hexadécimal à 32 chiffres) du processus. Activer la vérification de signature numérique : Garantit que le code n'a pas été altéré ou corrompu puisqu'il est signé via un hachage cryptographique. Si la vérification est activée, spécifiez ce qui suit : Autoriser toute signature : autorise les fichiers signés par n'importe quel signataire du processus. Signé par : autorise uniquement les fichiers signés par le signataire du processus spécifié. Un nom unique de signataire (SDN) est requis pour le fichier exécutable et doit correspondre exactement aux entrées du champ associé, y compris les virgules et espaces. Pour obtenir le nom unique du signataire (SDN) d'un fichier exécutable : 1 Cliquez sur un fichier exécutable avec le bouton droit de la souris et sélectionnez Propriétés. 2 Dans l'onglet Signatures numériques, sélectionnez un signataire et cliquez sur Détails. 3 Dans l'onglet Général, cliquez sur Afficher le certificat. 4 Dans l'onglet Détails, sélectionnez le champ Objet. Le nom unique du signataire apparaît. Par exemple, Firefox possède ce nom unique de signataire : CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = California C = US Remarques Fournit des informations supplémentaires sur l'élément. McAfee Endpoint Security 10.1 Guide Produit 163

164 7 Référence de l'interface client Pare-feu Règles Ajouter un réseau ou Modifier le réseau Permet d'ajouter et de modifier un réseau associé à une règle ou un groupe. Tableau 7-30 Option Définition Règle Groupe Nom Spécifie le nom de l'adresse réseau (requis). Type Sélectionnez l'une des deux options suivantes : Réseau local : permet de créer et d'ajouter un réseau local. Réseau distant : permet de créer et d'ajouter un réseau distant. Ajouter Cliquer deux fois sur un élément Supprimer Type d'adresse Adresse Permet d'ajouter un type de réseau à la liste des réseaux. Modifie l'élément sélectionné. Supprime l'élément sélectionné. Permet d'indiquer l'origine ou la destination du trafic. Sélectionnez un type dans la liste déroulante Type d'adresse. Reportez-vous à Type d'adresse, page 164 pour la liste des types d'adresse. Spécifie l'adresse IP à ajouter au réseau. Les caractères génériques sont acceptés. Voir aussi Type d'adresse, page 164 Type d'adresse Spécifie le type d'adresse pour un réseau défini. Les adresses IPv6 ne sont pas prises en charge sur les systèmes d'exploitation Macintosh. Tableau 7-31 Options Option Définition IP unique Permet d'indiquer une adresse IP particulière. Par exemple : IPv4 : IPv6 : 2001:db8::c0fa:f340:9219:bd20:9832:0ac7* Sous-réseau Permet de spécifier une adresse de sous-réseau de tout adaptateur du réseau. Par exemple : IPv4 : /24 IPv6 : 2001:db8::0/32 Sous-réseau local Plage Permet de spécifier l'adresse de sous-réseau de l'adaptateur local. Permet de spécifier une plage d'adresses IP. Saisissez le début et la fin de la plage. Par exemple : IPv4 : IPv6 : 2001:db8::0000:0000:0000: :db8::ffff:ffff:ffff:ffff 164 McAfee Endpoint Security 10.1 Guide Produit

165 Référence de l'interface client Contrôle Web Options 7 Tableau 7-31 Options (suite) Option Nom de domaine complet Toute adresse IP locale Toute adresse IPv4 Toute adresse IPv6 Définition Permet de spécifier le nom de domaine complet (FQDN). Par exemple, Spécifie toute adresse IP locale. Spécifie toute adresse IPv4. Spécifie toute adresse IPv6. Contrôle Web Options Configure les paramètres Contrôle Web généraux, dont l'activation, la spécification de la mise en œuvre des actions, la recherche sécurisée et les annotations d' s. Reportez-vous aux paramètres Partagés Options, page 116 pour la configuration de la journalisation. Tableau 7-32 Options Section Option Définition OPTIONS Activer le Contrôle Web Désactive ou active Contrôle Web. (Activée par défaut) Journalisation des événements Masquer la barre d'outils dans le navigateur client Consigner les catégories web pour les sites classés verts Masque la barre d'outils de Contrôle Web dans le navigateur sans désactiver cette fonctionnalité. (Désactivée par défaut) Consigne les catégories de contenu pour tous les sites classés verts. L'activation de cette fonction risque d'avoir une incidence négative sur les performances du serveur McAfee epo. Mise en œuvre des actions Consigner les événements de Contrôle Web iframe Appliquer cette action aux sites non encore vérifiés par McAfee GTI Activer la prise en charge des cadres iframe HTML Bloquer les sites par défaut si le serveur d'évaluation McAfee GTI n'est pas accessible Bloquer les pages de phishing pour tous les sites Consigne le blocage des sites malveillants (rouges) et générant un avertissement (jaunes) qui apparaissent dans un cadre iframe HTML. Spécifie l'action par défaut à appliquer aux sites que McAfee GTI n'a pas encore évalués. Autoriser (par défaut) : permet aux utilisateurs d'accéder au site. Avertir : affiche un avertissement informant les utilisateurs des potentiels dangers associés au site. Les utilisateurs doivent ignorer l'avertissement pour pouvoir continuer. Bloquer : empêche les utilisateurs d'accéder au site et affiche un message indiquant que le téléchargement du site est bloqué. Bloque l'accès aux sites malveillants (Rouge) et générant un avertissement (Jaune) qui apparaissent dans un cadre iframe HTML. (Activée par défaut) Bloque l'accès aux sites web par défaut si Contrôle Web ne peut pas accéder au serveur McAfee GTI. Bloque toutes les pages de phishing, passant outre les actions d'évaluation de contenu. (Activée par défaut) McAfee Endpoint Security 10.1 Guide Produit 165

166 7 Référence de l'interface client Contrôle Web Options Tableau 7-32 Options (suite) Section Option Définition Activer l'analyse des fichiers lors du téléchargement de fichiers Analyse tous les fichiers (.zip,.exe,.ecx,.cab,.msi,.rar,.scr et.com) avant de procéder au téléchargement. (Activée par défaut) Cette option empêche les utilisateurs d'accéder à un fichier téléchargé tant que Contrôle Web et Prévention contre les menaces n'ont pas marqué le fichier comme n'étant pas infecté. Contrôle Web effectue une recherche McAfee GTI sur le fichier. Si McAfee GTI autorise le fichier, Contrôle Web envoie le fichier à Prévention contre les menaces en vue de l'analyse. Si un fichier téléchargé est détecté en tant que menace, Endpoint Security entreprend une action sur le fichier et informe l'utilisateur. Recherche sécurisée Niveau de sensibilité du système McAfee GTI Intervalle IP privé Activer la recherche sécurisée Définir le moteur de recherche par défaut dans les navigateurs pris en charge Bloquer les liens vers des sites dangereux dans les résultats de recherche Spécifie le niveau de sensibilité de McAfee GTI à utiliser lorsque Contrôle Web utilise pour les analyses de téléchargement de fichier. Reportez-vous à la section McAfee GTI, page 147 pour plus d'informations. Configure Contrôle Web pour ne pas évaluer ou entreprendre d'action sur l'intervalle d'adresses IP privées spécifié. Ajouter : permet d'ajouter une adresse IP privée à la liste des adresses à exclure de l'évaluation ou du blocage. Cliquer deux fois sur un élément : Modifie l'élément sélectionné. Supprimer : permet de supprimer une adresse IP de la liste des adresses à exclure de l'évaluation ou du blocage. Active la recherche sécurisée, qui bloque automatiquement les sites malveillants dans les résultats de la recherche selon l'évaluation de sécurité. Spécifie le moteur de recherche par défaut à utiliser dans les navigateurs pris en charge : Yahoo Google Bing Ask Empêche les utilisateurs de cliquer sur les liens vers des sites dangereux dans les résultats de recherche. Tableau 7-33 Options avancées Section Option Définition Annotations d' s Activer les annotations dans les clients de messagerie basés sur un navigateur Activer les annotations dans les clients de messagerie non basés sur un navigateur Annote les URL dans les clients de messagerie basés sur un navigateur, tels que Yahoo Mail et Gmail. Annote les URL dans les outils de gestion des s 32 bits, tels que Microsoft Outlook ou Outlook Express. 166 McAfee Endpoint Security 10.1 Guide Produit

167 Référence de l'interface client Page Contrôle Web : actions liées au contenu 7 Voir aussi Configuration des options de Contrôle Web, page 98 Analyse des téléchargements de fichiers, page 100 McAfee GTI, page 147 Page Contrôle Web : actions liées au contenu Définit les actions à entreprendre pour les sites évalués et les catégories de contenu web. Pour les sites et les téléchargements de fichiers des catégories non bloquées, Contrôle Web applique les actions liées à l'évaluation. McAfee Endpoint Security 10.1 Guide Produit 167

168 7 Référence de l'interface client Page Contrôle Web : actions liées au contenu Tableau 7-35 Options Section Option Définition Actions liées à l'évaluation Actions liées à l'évaluation de sites Spécifie les actions à appliquer aux sites classés rouges, jaunes ou non classés. Les sites et téléchargements classés verts sont autorisés automatiquement. Autoriser : permet aux utilisateurs d'accéder au site. (Valeur par défaut pour les sites non classés) Avertir : affiche un avertissement informant les utilisateurs des potentiels dangers associés au site. L'utilisateur doit cliquer sur Annuler pour retourner au site web consulté précédemment ou sur Continuer pour accéder au site. Si l'onglet du navigateur ne comporte pas de site consulté précédemment, le bouton Annuler n'est pas disponible. (Valeur par défaut pour les sites classés Jaune Bloquer : empêche les utilisateurs d'accéder au site et affiche un message indiquant que le site est bloqué. L'utilisateur doit cliquer sur OK pour retourner au site web consulté précédemment. Si l'onglet du navigateur ne comporte pas de site consulté précédemment, le bouton OK n'est pas disponible. (Valeur par défaut pour les sites classés Rouge) Actions liées à l'évaluation de téléchargements de fichiers Spécifie les actions à appliquer pour les téléchargements de fichiers classés rouges, jaunes ou non classés. Ces Actions liées à l'évaluation s'appliquent uniquement lorsque l'option Activer l'analyse des fichiers lors du téléchargement de fichiers est activée dans les paramètresoptions. Autoriser : permet aux utilisateurs de poursuivre le téléchargement. (Valeur par défaut pour les sites non classés) Avertir : affiche un avertissement informant les utilisateurs des potentiels dangers associés au fichier à télécharger. Les utilisateurs doivent ignorer l'avertissement pour pouvoir terminer ou poursuivre le téléchargement. (Valeur par défaut pour les sites classés Jaune Bloquer : affiche un message indiquant que le téléchargement est bloqué et empêche les utilisateurs de télécharger le fichier. (Valeur par défaut pour les sites classés Rouge) Utilisez les paramètres de la stratégie Message de mise en œuvre pour personnaliser le message. 168 McAfee Endpoint Security 10.1 Guide Produit

169 Référence de l'interface client Décisionnel face aux menaces : options 7 Tableau 7-36 Options avancées Section Option Définition Blocage de catégorie Web Activer le blocage de catégorie web Bloquer Catégorie web Active le blocage des sites en fonction de la catégorie de contenu. Empêche les utilisateurs d'accéder à n'importe quel site de cette catégorie et affiche un message indiquant que le site est bloqué. Répertorie les catégories web. Voir aussi Spécification des actions liées à l'évaluation et blocage de l'accès à un site selon la catégorie web, page 101 Utilisation des évaluations de sécurité pour contrôler l'accès, page 102 Utilisation des catégories web pour contrôler l'accès, page 101 Décisionnel face aux menaces : options Configure les paramètres de Décisionnel face aux menaces. Décisionnel face aux menaces n'est pris en charge que sur les systèmes managés par McAfee epo. Tableau 7-37 Options Section Option Définition Options Affectation de règle Activer Décisionnel face aux menaces Autoriser le serveur Décisionnel face aux menaces à collecter des données anonymes d'utilisation et de diagnostic Utiliser la réputation des fichiers McAfee GTI si le serveur Décisionnel face aux menaces n'est pas accessible Empêcher les utilisateurs de modifier les paramètres (clients Décisionnel face aux menaces 1.0 uniquement) Productivité Active le module Décisionnel face aux menaces. Autorise le serveur Décisionnel face aux menaces à envoyer des informations de fichier anonymes à McAfee. Permet d'obtenir des informations sur la réputation des fichiers depuis le proxy Global Threat Intelligence si le serveur Décisionnel face aux menaces est indisponible. Empêche les utilisateurs de modifier les paramètres de Décisionnel face aux menaces sur des terminaux managés. Affecte le groupe de règles Productivité à la stratégie. Utilisez ce groupe pour les systèmes à changements élevés avec des installations et des mises à jour de logiciels fréquentes. Ce groupe utilise le nombre minimum de règles. Les utilisateurs reçoivent moins d'invites et de blocages lorsque de nouveaux fichiers sont détectés. McAfee Endpoint Security 10.1 Guide Produit 169

170 7 Référence de l'interface client Décisionnel face aux menaces : options Tableau 7-37 Options (suite) Section Option Définition Equilibré Affecte le groupe de règles Equilibré à la stratégie. Utilisez ce groupe pour les systèmes professionnels types avec installations de nouveaux logiciels et modifications peu fréquentes. Ce groupe utilise plus de règles et les utilisateurs reçoivent plus d'invites et de blocages que le groupe Productivité. Sécurité Affecte le groupe de règles Sécurité à la stratégie. Utilisez ce groupe pour les systèmes à faibles changements, tels que les serveurs et les systèmes managés par le département informatique avec un contrôle ferme. Les utilisateurs reçoivent plus d'invites et de blocages qu'avec le groupe Equilibré. Mise en œuvre des actions Activer le mode d'observation Bloquer lorsque le seuil de réputation atteint Nettoyer lorsque le seuil de réputation atteint Collecte des données et les envoie au serveur, mais sans mettre la stratégie en œuvre. Cette option vous permet de voir l'effet produit par la stratégie sans l'exécuter. Bloque les fichiers lorsque la réputation des fichiers atteint un seuil spécifique et spécifie le seuil : Malveillant connu Très probablement malveillant Peut-être malveillant (par défaut) Inconnu Peut-être approuvé Très probablement approuvé Lorsqu'un fichier ayant cette réputation tente de s'exécuter dans votre environnement, il ne parvient pas à s'exécuter, mais reste en place. Si un fichier est sûr et que vous souhaitez l'exécuter, définissez sa réputation sur un niveau lui permettant de s'exécuter, comme Très probablement approuvé. Nettoie les fichiers lorsque la réputation des fichiers atteint un seuil spécifique et spécifie le seuil : Malveillant connu (par défaut) Très probablement malveillant Peut-être malveillant Inconnu Utilisez cette option avec une réputation des fichiers Malveillant connu, car un fichier peut être supprimé lors du nettoyage. 170 McAfee Endpoint Security 10.1 Guide Produit

Guide pas à pas. McAfee Virtual Technician 6.0.0

Guide pas à pas. McAfee Virtual Technician 6.0.0 Guide pas à pas McAfee Virtual Technician 6.0.0 COPYRIGHT Copyright 2010 McAfee, Inc. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, transmise, transcrite, stockée dans

Plus en détail

Extension McAfee Security-as-a-Service

Extension McAfee Security-as-a-Service Guide de l'utilisateur Extension McAfee Security-as-a-Service A utiliser avec le logiciel epolicy Orchestrator 4.6.0 COPYRIGHT Copyright 2011 McAfee, Inc. Tous droits réservés. Aucune partie de cette publication

Plus en détail

Guide produit. McAfee SaaS Endpoint Protection (version d'octobre 2012)

Guide produit. McAfee SaaS Endpoint Protection (version d'octobre 2012) Guide produit McAfee SaaS Endpoint Protection (version d'octobre 2012) COPYRIGHT Copyright 2012 McAfee, Inc. Copie sans autorisation interdite. DROITS DE MARQUES McAfee, le logo McAfee, McAfee Active Protection,

Plus en détail

Guide Produit Révision A. McAfee Web Reporter 5.2.1

Guide Produit Révision A. McAfee Web Reporter 5.2.1 Guide Produit Révision A McAfee Web Reporter 5.2.1 COPYRIGHT Copyright 2012 McAfee, Inc. Copie sans autorisation interdite. DROITS DE MARQUES McAfee, le logo McAfee, McAfee Active Protection, McAfee AppPrism,

Plus en détail

McAfee Data Loss Prevention Discover 9.4.0

McAfee Data Loss Prevention Discover 9.4.0 Notes de version Révision B McAfee Data Loss Prevention Discover 9.4.0 Pour une utilisation avec McAfee epolicy Orchestrator Sommaire A propos de cette version Fonctionnalités Produits compatibles Instructions

Plus en détail

Guide d'administration Révision E. Gestion des comptes. For SaaS Email and Web Security

Guide d'administration Révision E. Gestion des comptes. For SaaS Email and Web Security Guide d'administration Révision E Gestion des comptes COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com DROITS DE MARQUES

Plus en détail

Guide de l'utilisateur

Guide de l'utilisateur Guide de l'utilisateur i Table des matières McAfee VirusScan USB 3 Fonctionnalités...4 Installation et mise à jour de VirusScan USB 5 Installation de VirusScan USB... 6 Mise à jour de VirusScan USB...

Plus en détail

McAfee Security-as-a-Service

McAfee Security-as-a-Service Guide Solutions de dépannage McAfee Security-as-a-Service Pour epolicy Orchestrator 4.6.0 Ce guide fournit des informations supplémentaires concernant l'installation et l'utilisation de l'extension McAfee

Plus en détail

McAfee Data Loss Prevention Endpoint 9.4.0

McAfee Data Loss Prevention Endpoint 9.4.0 Notes de version Révision A McAfee Data Loss Prevention Endpoint 9.4.0 Pour une utilisation avec McAfee epolicy Orchestrator Sommaire A propos de cette version Nouvelles fonctionnalités Améliorations Instructions

Plus en détail

Guide produit Révision A. McAfee Quarantine Manager 7.1.0

Guide produit Révision A. McAfee Quarantine Manager 7.1.0 Guide produit Révision A McAfee Quarantine Manager 7.1.0 COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com DROITS DE MARQUES

Plus en détail

Service Protection Internet de Bell Une technologie McAfee Guide Produit

Service Protection Internet de Bell Une technologie McAfee Guide Produit Service Protection Internet de Bell Une technologie McAfee Guide Produit COPYRIGHT Copyright 2010 McAfee, Inc. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, transmise,

Plus en détail

Guide d'installation. McAfee epolicy Orchestrator 5.0.0 Logiciel

Guide d'installation. McAfee epolicy Orchestrator 5.0.0 Logiciel Guide d'installation McAfee epolicy Orchestrator 5.0.0 Logiciel COPYRIGHT Copyright 2013 McAfee, Inc. Copie sans autorisation interdite. DROITS DE MARQUES McAfee, le logo McAfee, McAfee Active Protection,

Plus en détail

Symantec Backup Exec 12.5 for Windows Servers. Guide d'installation rapide

Symantec Backup Exec 12.5 for Windows Servers. Guide d'installation rapide Symantec Backup Exec 12.5 for Windows Servers Guide d'installation rapide 13897290 Installation de Backup Exec Ce document traite des sujets suivants: Configuration requise Conditions préalables à l'installation

Plus en détail

Sophos Endpoint Security and Control Guide de mise à niveau

Sophos Endpoint Security and Control Guide de mise à niveau Sophos Endpoint Security and Control Guide de mise à niveau Pour les utilisateurs de Sophos Enterprise Console Version du produit : 10.3 Date du document : janvier 2015 Table des matières 1 À propos de

Plus en détail

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team Annexe 5 Kaspersky Security For SharePoint Servers Consulting Team 2015 K A S P E R S K Y L A B Immeuble l Européen 2, rue 1 Joseph Monier 92859 Rueil Malmaison Cedex Table des matières Table des matières...

Plus en détail

Aide d'active System Console

Aide d'active System Console Aide d'active System Console Présentation... 1 Installation... 2 Affichage des informations système... 4 Seuils de surveillance système... 5 Paramètres de notification par courrier électronique... 5 Paramètres

Plus en détail

Guide d'installation Révision B. McAfee epolicy Orchestrator 5.1.0 Logiciel

Guide d'installation Révision B. McAfee epolicy Orchestrator 5.1.0 Logiciel Guide d'installation Révision B McAfee epolicy Orchestrator 5.1.0 Logiciel COPYRIGHT Copyright 2014 McAfee, Inc. Copie sans autorisation interdite. DROITS DE MARQUES McAfee, le logo McAfee, McAfee Active

Plus en détail

IBM SPSS Statistics Version 22. Instructions d'installation sous Windows (licence nominative)

IBM SPSS Statistics Version 22. Instructions d'installation sous Windows (licence nominative) IBM SPSS Statistics Version 22 Instructions d'installation sous Windows (licence nominative) Table des matières Instructions d'installation....... 1 Configuration requise........... 1 Code d'autorisation...........

Plus en détail

Guide d installation de Windows Vista /Windows 7

Guide d installation de Windows Vista /Windows 7 Guide d installation de Windows Vista / 7 Avant d utiliser l appareil, vous devez configurer le matériel et installer le pilote de périphérique. Pour obtenir les directives de configuration et d installation,

Plus en détail

POUR MAC Guide de démarrage rapide. Cliquez ici pour télécharger la version la plus récente de ce document

POUR MAC Guide de démarrage rapide. Cliquez ici pour télécharger la version la plus récente de ce document POUR MAC Guide de démarrage rapide Cliquez ici pour télécharger la version la plus récente de ce document ESET Cyber Security apporte à votre ordinateur une excellente protection contre les codes malveillants.

Plus en détail

Boîte à outils OfficeScan

Boîte à outils OfficeScan Boîte à outils OfficeScan Manuel de l'administrateur Sécurité des points finaux Protection ti en ligne Sécurité Web Trend Micro Incorporated se réserve le droit de modifier sans préavis ce document et

Plus en détail

Guide Produit Révision B. McAfee epolicy Orchestrator 5.1.0 Logiciel

Guide Produit Révision B. McAfee epolicy Orchestrator 5.1.0 Logiciel Guide Produit Révision B McAfee epolicy Orchestrator 5.1.0 Logiciel COPYRIGHT Copyright 2014 McAfee, Inc. Copie sans autorisation interdite. DROITS DE MARQUES McAfee, le logo McAfee, McAfee Active Protection,

Plus en détail

Solutions McAfee pour la sécurité des serveurs

Solutions McAfee pour la sécurité des serveurs Solutions pour la sécurité des serveurs Sécurisez les charges de travail des serveurs avec une incidence minime sur les performances et toute l'efficacité d'une gestion intégrée. Imaginez que vous ayez

Plus en détail

Guide de démarrage rapide

Guide de démarrage rapide Guide de démarrage rapide Microsoft Windows Seven/Vista / XP / 2000 ESET Smart Security offre la vitesse et la précision d ESET NOD32 Antivirus et de son puissant moteur ThreatSense, allié à un pare-feu

Plus en détail

Guide produit. McAfee epolicy Orchestrator 5.0.0 Logiciel

Guide produit. McAfee epolicy Orchestrator 5.0.0 Logiciel Guide produit McAfee epolicy Orchestrator 5.0.0 Logiciel COPYRIGHT Copyright 2013 McAfee, Inc. Copie sans autorisation interdite. DROITS DE MARQUES McAfee, le logo McAfee, McAfee Active Protection, McAfee

Plus en détail

HP Data Protector Express Software - Tutoriel 3. Réalisation de votre première sauvegarde et restauration de disque

HP Data Protector Express Software - Tutoriel 3. Réalisation de votre première sauvegarde et restauration de disque HP Data Protector Express Software - Tutoriel 3 Réalisation de votre première sauvegarde et restauration de disque Que contient ce tutoriel? Après avoir lu ce tutoriel, vous pourrez : utiliser les fonctions

Plus en détail

1 Gestionnaire de Données WORD A4 F - USB / 2014-04-05 / 6020 Alco-Connect

1 Gestionnaire de Données WORD A4 F - USB / 2014-04-05 / 6020 Alco-Connect 1 Gestionnaire de Données WORD A4 F - USB / 2014-04-05 / 6020 Alco-Connect Introduction... 4 Comment décrire le logiciel Cosmos?... 4 Quelles sont les fonctions de ce logiciel PC?... 4 Est-il possible

Plus en détail

Acronis Backup & Recovery 10 Advanced Server Virtual Edition. Guide de démarrage rapide

Acronis Backup & Recovery 10 Advanced Server Virtual Edition. Guide de démarrage rapide Acronis Backup & Recovery 10 Advanced Server Virtual Edition Guide de démarrage rapide Ce document explique comment installer et utiliser Acronis Backup & Recovery 10 Advanced Server Virtual Edition. Copyright

Plus en détail

Guide client de Symantec Endpoint Protection et Symantec Network Access Control. Pour Microsoft Windows

Guide client de Symantec Endpoint Protection et Symantec Network Access Control. Pour Microsoft Windows Guide client de Symantec Endpoint Protection et Symantec Network Access Control Pour Microsoft Windows Guide client de Symantec Endpoint Protection et de Symantec Network Access Control Le logiciel décrit

Plus en détail

Pour une installation rapide, voir au verso.

Pour une installation rapide, voir au verso. Guide de l'utilisateur Pour une installation rapide, voir au verso. Prenons soin de notre environnement. Nous avons décidé de supprimer la couverture de ce manuel afin de réduire l'empreinte écologique

Plus en détail

2010 Ing. Punzenberger COPA-DATA GmbH. Tous droits réservés.

2010 Ing. Punzenberger COPA-DATA GmbH. Tous droits réservés. 2010 Ing. Punzenberger COPA-DATA GmbH Tous droits réservés. La distribution et/ou reproduction de ce document ou partie de ce document sous n'importe quelle forme n'est autorisée qu'avec la permission

Plus en détail

Guide d installation pour tablettes. McAfee All Access

Guide d installation pour tablettes. McAfee All Access Guide d installation pour tablettes McAfee All Access COPYRIGHT Copyright 2010 McAfee, Inc. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, transmise, transcrite, stockée

Plus en détail

Netissime. [Sous-titre du document] Charles

Netissime. [Sous-titre du document] Charles [Sous-titre du document] Charles Sommaire I. Commandez votre sauvegarde en ligne 2 II. Installation 3-7 III. Utilisation du logiciel de sauvegarde en ligne 8-19 A. Fonctionnement de l application de protection

Plus en détail

Guide Produit. McAfee Security for Microsoft Exchange 8.0.0

Guide Produit. McAfee Security for Microsoft Exchange 8.0.0 Guide Produit McAfee Security for Microsoft Exchange 8.0.0 COPYRIGHT Copyright 2013 McAfee, Inc. Copie sans autorisation interdite. DROITS DE MARQUES McAfee, le logo McAfee, McAfee Active Protection, McAfee

Plus en détail

Guide d installation pour PC. McAfee All Access

Guide d installation pour PC. McAfee All Access Guide d installation pour PC McAfee All Access COPYRIGHT Copyright 2010 McAfee, Inc. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, transmise, transcrite, stockée dans

Plus en détail

Manuel de l'application SMS

Manuel de l'application SMS Manuel de l'application SMS Copyright 1998-2002 Palm, Inc. Tous droits réservés. Graffiti, HotSync, le logo Palm et Palm OS sont des marques déposées de Palm, Inc.. Le logo HotSync et Palm sont des marques

Plus en détail

Guide de l'utilisateur du composant d'intégration de Symantec Endpoint Protection. Version 7.0

Guide de l'utilisateur du composant d'intégration de Symantec Endpoint Protection. Version 7.0 Guide de l'utilisateur du composant d'intégration de Symantec Endpoint Protection Version 7.0 Le logiciel décrit dans ce guide est fourni dans le cadre d'un contrat de licence et ne peut être utilisé qu'en

Plus en détail

Interface PC Vivago Ultra. Pro. Guide d'utilisation

Interface PC Vivago Ultra. Pro. Guide d'utilisation Interface PC Vivago Ultra Pro Guide d'utilisation Version 1.03 Configuration de l'interface PC Vivago Ultra Configuration requise Avant d'installer Vivago Ultra sur votre ordinateur assurez-vous que celui-ci

Plus en détail

Capture Pro Software. Démarrage. A-61640_fr

Capture Pro Software. Démarrage. A-61640_fr Capture Pro Software Démarrage A-61640_fr Prise en main de Kodak Capture Pro Software et de Capture Pro Limited Edition Installation du logiciel : Kodak Capture Pro Software et Network Edition... 1 Installation

Plus en détail

Manuel de l'utilisateur d'intego VirusBarrier Express et VirusBarrier Plus

Manuel de l'utilisateur d'intego VirusBarrier Express et VirusBarrier Plus Manuel de l'utilisateur d'intego VirusBarrier Express et VirusBarrier Plus Bienvenue dans le manuel de l'utilisateur d'intego VirusBarrier Express et VirusBarrier Plus. VirusBarrier Express est un outil

Plus en détail

Kaspersky Security Center Web-Console

Kaspersky Security Center Web-Console Kaspersky Security Center Web-Console MANUEL DE L UTILISATEUR CONTENU A PROPOS DE CE MANUEL... 5 Dans ce document... 5 Conventions... 7 KASPERSKY SECURITY CENTER WEB-CONSOLE... 8 CONFIGURATION LOGICIELLE...

Plus en détail

Sophos Enterprise Console Aide. Version du produit : 5.1

Sophos Enterprise Console Aide. Version du produit : 5.1 Sophos Enterprise Console Aide Version du produit : 5.1 Date du document : juin 2012 Table des matières 1 À propos de Enterprise Console...3 2 Guide de l'interface de l'enterprise Console...4 3 Démarrage

Plus en détail

Guide de démarrage rapide. Microsoft Windows 7 / Vista / XP / 2000 / 2003 / 2008

Guide de démarrage rapide. Microsoft Windows 7 / Vista / XP / 2000 / 2003 / 2008 Guide de démarrage rapide Microsoft Windows 7 / Vista / XP / 2000 / 2003 / 2008 ESET Smart Security offre à votre ordinateur une protection de pointe contre les logiciels malveillants. Basé sur le moteur

Plus en détail

Extension WebEx pour la téléphonie IP Cisco Unified

Extension WebEx pour la téléphonie IP Cisco Unified Extension WebEx pour la téléphonie IP Cisco Unified Guide d utilisation Version 2.7 Copyright 1997 2010 Cisco et/ou ses affiliés. Tous droits réservés. Cisco, WebEx et Cisco WebEx sont des marques déposées

Plus en détail

Kaspersky Endpoint Security 10 for Windows Manuel de l'administrateur

Kaspersky Endpoint Security 10 for Windows Manuel de l'administrateur Kaspersky Endpoint Security 10 for Windows Manuel de l'administrateur V E R S I O N D E L ' A P P L I C A T I O N : 1 0. 0 M A I N T E N A N C E R E L E A S E 1 Cher utilisateur, Merci d'avoir choisi notre

Plus en détail

IBM SPSS Statistics Version 22. Instructions d'installation sous Windows (licence simultanée)

IBM SPSS Statistics Version 22. Instructions d'installation sous Windows (licence simultanée) IBM SPSS Statistics Version 22 Instructions d'installation sous Windows (licence simultanée) Table des matières Instructions d'installation....... 1 Configuration requise........... 1 Installation...............

Plus en détail

Guide d'administration Révision A. McAfee Logon Collector 2.1

Guide d'administration Révision A. McAfee Logon Collector 2.1 Guide d'administration Révision A McAfee Logon Collector 2.1 COPYRIGHT Copyright 2013 McAfee, Inc. Copie sans autorisation interdite. DROITS DE MARQUES McAfee, le logo McAfee, McAfee Active Protection,

Plus en détail

McAfee Data Loss Prevention Endpoint 9.3.300

McAfee Data Loss Prevention Endpoint 9.3.300 Sommaire A propos de cette version Améliorations Problèmes résolus Instructions d'installation Problèmes connus Accès à la documentation sur le produit Notes de distribution Révision A McAfee Data Loss

Plus en détail

Guide Produit. McAfee Enterprise Security Manager 9.5.0

Guide Produit. McAfee Enterprise Security Manager 9.5.0 Guide Produit McAfee Enterprise Security Manager 9.5.0 COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com DROITS DE MARQUES

Plus en détail

Guide d installation

Guide d installation Free Android Security Guide d installation Marques et copyright Marques commerciales Windows est une marque déposée de Microsoft Corporation aux États-Unis et dans d'autres pays. Tous les autres noms de

Plus en détail

Guide client de Symantec Endpoint Protection et Symantec Network Access Control

Guide client de Symantec Endpoint Protection et Symantec Network Access Control Guide client de Symantec Endpoint Protection et Symantec Network Access Control Guide client de Symantec Endpoint Protection et Symantec Network Access Control Le logiciel décrit dans ce guide est fourni

Plus en détail

BITDEFENDER GRAVITYZONE

BITDEFENDER GRAVITYZONE BITDEFENDER GRAVITYZONE Guide du rapporteur Bitdefender GravityZone Guide du rapporteur Date de publication 2014.11.21 Copyright 2014 Bitdefender Mentions Légales Tous droits réservés. Aucune partie de

Plus en détail

Guide d'intégration à ConnectWise

Guide d'intégration à ConnectWise Guide d'intégration à ConnectWise INTÉGRATION DE CONNECTWISE À BITDEFENDER CONTROL CENTER Guide d'intégration à ConnectWise Intégration de ConnectWise à Bitdefender Control Center Date de publication 2015.05.14

Plus en détail

Sécurité Manuel de l'utilisateur

Sécurité Manuel de l'utilisateur Sécurité Manuel de l'utilisateur Copyright 2008 Hewlett-Packard Development Company, L.P. Windows est une marque déposée de Microsoft Corporation aux États-Unis. Les informations contenues dans ce document

Plus en détail

CA ARCserve D2D pour Linux

CA ARCserve D2D pour Linux CA ARCserve D2D pour Linux Manuel de l'utilisateur r16.5 SP1 La présente documentation, qui inclut des systèmes d'aide et du matériel distribués électroniquement (ci-après nommés "Documentation"), vous

Plus en détail

Symantec Backup Exec TM 11d for Windows Servers. Guide d'installation rapide

Symantec Backup Exec TM 11d for Windows Servers. Guide d'installation rapide Symantec Backup Exec TM 11d for Windows Servers Guide d'installation rapide Juillet 2006 Avis légal Symantec Copyright 2006 Symantec Corporation. Tous droits réservés. Symantec, Backup Exec et le logo

Plus en détail

VM Card. Manuel des paramètres des fonctions étendues pour le Web. Manuel utilisateur

VM Card. Manuel des paramètres des fonctions étendues pour le Web. Manuel utilisateur VM Card Manuel utilisateur Manuel des paramètres des fonctions étendues pour le Web 1 Introduction 2 Écrans 3 Paramètres de démarrage 4 Info fonctions avancées 5 Installer 6 Désinstaller 7 Outils administrateur

Plus en détail

HP Data Protector Express Software - Tutoriel 4. Utilisation de Quick Access Control (Windows uniquement)

HP Data Protector Express Software - Tutoriel 4. Utilisation de Quick Access Control (Windows uniquement) HP Data Protector Express Software - Tutoriel 4 Utilisation de Quick Access Control (Windows uniquement) Que contient ce tutoriel? Quick Access Control est une application qui s'exécute indépendamment

Plus en détail

Acronis Backup & Recovery 10 Server for Windows Acronis Backup & Recovery 10 Workstation. Guide de démarrage rapide

Acronis Backup & Recovery 10 Server for Windows Acronis Backup & Recovery 10 Workstation. Guide de démarrage rapide Acronis Backup & Recovery 10 Server for Windows Acronis Backup & Recovery 10 Workstation Guide de démarrage rapide 1 À propos de ce document Ce document explique comment installer et utiliser ces versions

Plus en détail

Qlik Sense Cloud. Qlik Sense 2.0.2 Copyright 1993-2015 QlikTech International AB. Tous droits réservés.

Qlik Sense Cloud. Qlik Sense 2.0.2 Copyright 1993-2015 QlikTech International AB. Tous droits réservés. Qlik Sense Cloud Qlik Sense 2.0.2 Copyright 1993-2015 QlikTech International AB. Tous droits réservés. Copyright 1993-2015 QlikTech International AB. Tous droits réservés. Qlik, QlikTech, Qlik Sense, QlikView,

Plus en détail

MANUEL D UTILISATION

MANUEL D UTILISATION MANUEL D UTILISATION Bitdefender Internet Security 2015 Manuel d utilisation Date de publication 17/10/2014 Copyright 2014 Bitdefender Mentions légales Tous droits réservés. Aucune partie de ce manuel

Plus en détail

À propos du Guide de l'utilisateur final de VMware Workspace Portal

À propos du Guide de l'utilisateur final de VMware Workspace Portal À propos du Guide de l'utilisateur final de VMware Workspace Portal Workspace Portal 2.1 Ce document prend en charge la version de chacun des produits répertoriés, ainsi que toutes les versions publiées

Plus en détail

Sage CRM. 7.2 Guide de Portail Client

Sage CRM. 7.2 Guide de Portail Client Sage CRM 7.2 Guide de Portail Client Copyright 2013 Sage Technologies Limited, éditeur de ce produit. Tous droits réservés. Il est interdit de copier, photocopier, reproduire, traduire, copier sur microfilm,

Plus en détail

Guide d installation

Guide d installation Secure Backup Guide d installation Marques et copyright Marques commerciales Windows est une marque déposée de Microsoft Corporation aux États-Unis et dans d'autres pays. Tous les autres noms de marques

Plus en détail

VRM Monitor. Aide en ligne

VRM Monitor. Aide en ligne VRM Monitor fr Aide en ligne VRM Monitor Table des matières fr 3 Table des matières 1 Introduction 3 2 Vue d'ensemble du système 3 3 Getting started 4 3.1 Démarrage de VRM Monitor 4 3.2 Démarrage de Configuration

Plus en détail

FANTEC HDD-Sneaker MANUEL D'UTILISATION. Comprend: Guide d'installation de materiel Disque dur Formatage manuel PCClone EX Guide d'installation

FANTEC HDD-Sneaker MANUEL D'UTILISATION. Comprend: Guide d'installation de materiel Disque dur Formatage manuel PCClone EX Guide d'installation FANTEC HDD-Sneaker MANUEL D'UTILISATION Comprend: Guide d'installation de materiel Disque dur Formatage manuel PCClone EX Guide d'installation Connexion de l'alimentation et le port USB 3.0: Bouton de

Plus en détail

FANTEC DB-229US Manuel de l'utilisateur

FANTEC DB-229US Manuel de l'utilisateur Manuel de l'utilisateur Contenu: - Installation du disque dur - Guide de Formatage du disque dur - Utilisation du logiciel de sauvegarde INSTALLATION DU DISQUE DUR 1. Retirer le couvercle [A] du boîtier.

Plus en détail

Stellar Phoenix Outlook PST Repair - Technical 5.0 Guide d'installation

Stellar Phoenix Outlook PST Repair - Technical 5.0 Guide d'installation Stellar Phoenix Outlook PST Repair - Technical 5.0 Guide d'installation 1 Présentation Stellar Phoenix Outlook PST Repair - Technical offre une solution complète pour la récupération de données à partir

Plus en détail

Guide de l'utilisateur de Symantec Backup Exec System Recovery Granular Restore Option

Guide de l'utilisateur de Symantec Backup Exec System Recovery Granular Restore Option Guide de l'utilisateur de Symantec Backup Exec System Recovery Granular Restore Option Guide de l'utilisateur de Symantec Backup Exec System Recovery Granular Restore Option Le logiciel décrit dans le

Plus en détail

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé

Plus en détail

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

ENDPOINT SECURITY FOR MAC BY BITDEFENDER ENDPOINT SECURITY FOR MAC BY BITDEFENDER Notes de mise à jour Endpoint Security for Mac by Bitdefender Notes de mise à jour Date de publication 2015.03.13 Copyright 2015 Bitdefender Mentions Légales Tous

Plus en détail

Guide Google Cloud Print

Guide Google Cloud Print Guide Google Cloud Print Version A CAN-FRE Conventions typographiques Ce guide de l'utilisateur met en exergue les remarques comme suit : Les remarques indiquent la marche à suivre dans une situation donnée

Plus en détail

Protéger les données et le poste informatique

Protéger les données et le poste informatique Protéger les données et le poste informatique Sommaire 1.Introduction 2.Sauvegarde de fichiers et de dossiers 2.1. Sélectionner des fichiers, des dossiers et des lecteurs en vue d'une sauvegarde 2.2. Sélectionner

Plus en détail

Managed VirusScan et renforce ses services

Managed VirusScan et renforce ses services VirusScan ASaP devient Managed VirusScan et renforce ses services Protection antivirus administrée, automatique et permanente pour les postes de travail, les nomades et les serveurs de fichiers. Avec la

Plus en détail

Module SMS pour Microsoft Outlook MD et Outlook MD Express. Guide d'aide. Guide d'aide du module SMS de Rogers Page 1 sur 40 Tous droits réservés

Module SMS pour Microsoft Outlook MD et Outlook MD Express. Guide d'aide. Guide d'aide du module SMS de Rogers Page 1 sur 40 Tous droits réservés Module SMS pour Microsoft Outlook MD et Outlook MD Express Guide d'aide Guide d'aide du module SMS de Rogers Page 1 sur 40 Table des matières 1. Exigences minimales :...3 2. Installation...4 1. Téléchargement

Plus en détail

BITDEFENDER SMALL OFFICE SECURITY

BITDEFENDER SMALL OFFICE SECURITY BITDEFENDER SMALL OFFICE SECURITY Guide de l'administrateur Bitdefender Small Office Security Guide de l'administrateur Date de publication 2014.04.08 Copyright 2014 Bitdefender Mentions Légales Tous droits

Plus en détail

Printer Administration Utility 4.2

Printer Administration Utility 4.2 Printer Administration Utility 4.2 PRINTER ADMINISTRATION UTILITY (PAU) MANUEL D'INSTALLATION Version 2.2 Garantie Bien que l'entreprise se soit efforcée au maximum de rendre ce document aussi précis et

Plus en détail

Manuel d utilisation. Copyright 2012 Bitdefender

Manuel d utilisation. Copyright 2012 Bitdefender Manuel d utilisation Copyright 2012 Bitdefender Contrôle Parental de Bitdefender Manuel d utilisation Date de publication 2012.11.20 Copyright 2012 Bitdefender Notice Légale Tous droits réservés. Aucune

Plus en détail

Sophos Enterprise Manager Aide. Version du produit : 4.7

Sophos Enterprise Manager Aide. Version du produit : 4.7 Sophos Enterprise Manager Aide Version du produit : 4.7 Date du document : juillet 2011 Table des matières 1 À propos de Sophos Enterprise Manager...3 2 Guide de l'interface d'enterprise Manager...4 3

Plus en détail

Kaspersky Tablet Security pour Android

Kaspersky Tablet Security pour Android Kaspersky Tablet Security pour Android Guide de l'utilisateur VERSION DE L'APPLICATION: 9.0 Cher utilisateur, Merci d'avoir choisi notre produit. Nous espérons que cette documentation vous sera utile dans

Plus en détail

Mises à jour des logiciels Manuel de l'utilisateur

Mises à jour des logiciels Manuel de l'utilisateur Mises à jour des logiciels Manuel de l'utilisateur Copyright 2008, 2009 Hewlett-Packard Development Company, L.P. Windows est une marque déposée de Microsoft Corporation aux États-Unis. Les informations

Plus en détail

Norton Internet Security

Norton Internet Security TM Norton Internet Security Guide de l'utilisateur Pour une installation rapide, voir au verso. Prenons soin de notre environnement. Nous avons décidé de supprimer la couverture de ce manuel afin de réduire

Plus en détail

Guide de migration de politique Symantec Client Firewall

Guide de migration de politique Symantec Client Firewall Guide de migration de politique Symantec Client Firewall Guide de migration de politique de Symantec Client Firewall Le logiciel décrit dans ce guide est fourni dans le cadre d'un contrat de licence et

Plus en détail

FileMaker Server 13. Guide de démarrage

FileMaker Server 13. Guide de démarrage FileMaker Server 13 Guide de démarrage 2007-2013 FileMaker, Inc. Tous droits réservés. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, Californie 95054 FileMaker et Bento sont des marques commerciales

Plus en détail

CA ARCserve Backup Patch Manager pour Windows

CA ARCserve Backup Patch Manager pour Windows CA ARCserve Backup Patch Manager pour Windows Manuel de l'utilisateur r16 La présente documentation, qui inclut des systèmes d'aide et du matériel distribués électroniquement (ci-après nommés "Documentation"),

Plus en détail

Monitor Wall 4.0. Manuel d'installation et d'utilisation

Monitor Wall 4.0. Manuel d'installation et d'utilisation Monitor Wall 4.0 fr Manuel d'installation et d'utilisation Monitor Wall 4.0 Table des matières fr 3 Table des matières 1 Introduction 4 1.1 À propos de ce manuel 4 1.2 Conventions adoptées dans ce manuel

Plus en détail

INSTALLER LA DERNIERE VERSION DE SECURITOO PC

INSTALLER LA DERNIERE VERSION DE SECURITOO PC INSTALLER LA DERNIERE VERSION DE SECURITOO PC Ref : FP. P1269 V 5.0 Résumé Securitoo PC est l Antivirus Firewall dédié aux PC de la suite Securitoo Intégral. La clé obtenue, lors de la souscription d un

Plus en détail

Manuel d'utilisation de Mémo vocal

Manuel d'utilisation de Mémo vocal Manuel d'utilisation de Mémo vocal Copyright 2002 Palm, Inc. Tous droits réservés. HotSync, le logo Palm et Palm OS sont des marques déposées de Palm, Inc. Le logo HotSync et Palm sont des marques commerciales

Plus en détail

Manuel de l utilisateur

Manuel de l utilisateur Free Antivirus Manuel de l utilisateur Introduction Marques et copyright Marques Windows est une marque déposée de Microsoft Corporation aux États-Unis et dans d'autres pays. Tous les autres noms de marques

Plus en détail

Symantec Backup Exec 2010. Guide d'installation rapide

Symantec Backup Exec 2010. Guide d'installation rapide Symantec Backup Exec 2010 Guide d'installation rapide 20047221 Installation de Backup Exec Ce document traite des sujets suivants: Configuration système requise Conditions préalables à l'installation

Plus en détail

Pour une installation rapide, voir au verso.

Pour une installation rapide, voir au verso. Norton TM AntiVirus Guide de l'utilisateur Pour une installation rapide, voir au verso. Prenons soin de notre environnement. Nous avons décidé de supprimer la couverture de ce manuel afin de réduire l'empreinte

Plus en détail

Mise à jour, sauvegarde et restauration de logiciels

Mise à jour, sauvegarde et restauration de logiciels Mise à jour, sauvegarde et restauration de logiciels Manuel de l utilisateur Copyright 2007 Hewlett-Packard Development Company, L.P. Windows est une marque déposée aux États-Unis de Microsoft Corporation.

Plus en détail

Qlik Sense Desktop. Qlik Sense 2.0.2 Copyright 1993-2015 QlikTech International AB. Tous droits réservés.

Qlik Sense Desktop. Qlik Sense 2.0.2 Copyright 1993-2015 QlikTech International AB. Tous droits réservés. Qlik Sense Desktop Qlik Sense 2.0.2 Copyright 1993-2015 QlikTech International AB. Tous droits réservés. Copyright 1993-2015 QlikTech International AB. Tous droits réservés. Qlik, QlikTech, Qlik Sense,

Plus en détail

Novell. NetWare 6. www.novell.com GUIDE D'ADMINISTRATION DE NETDRIVE

Novell. NetWare 6. www.novell.com GUIDE D'ADMINISTRATION DE NETDRIVE Novell NetWare 6 www.novell.com GUIDE D'ADMINISTRATION DE NETDRIVE Notices légales Novell exclut toute garantie relative au contenu ou à l'utilisation de cette documentation. En particulier, Novell ne

Plus en détail

Pour une installation rapide, voir au verso.

Pour une installation rapide, voir au verso. Norton 360TM Guide de l'utilisateur Pour une installation rapide, voir au verso. Prenons soin de notre environnement. Nous avons décidé de supprimer la couverture de ce manuel afin de réduire l'empreinte

Plus en détail

F-Secure Internet Security 2013

F-Secure Internet Security 2013 F-Secure Internet Security 2013 F-Secure Internet Security 2013 Table des matières 3 Sommaire Chapitre 1: Installation...5 Avant la première installation...6 Première installation du produit...6 Installation

Plus en détail