Guide client de Symantec Endpoint Protection et Symantec Network Access Control. Pour Microsoft Windows

Transcription

1 Guide client de Symantec Endpoint Protection et Symantec Network Access Control Pour Microsoft Windows

2 Guide client de Symantec Endpoint Protection et de Symantec Network Access Control Le logiciel décrit dans ce guide est fourni dans le cadre d'un contrat de licence et ne peut être utilisé qu'en conformité avec les termes de ce contrat. Documentation version Mentions légales Copyright 2010 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec, Bloodhound, Confidence Online, Digital Immune System, LiveUpdate, Norton, Sygate et TruScan sont des marques commerciales ou des marques déposées de Symantec Corporation ou de ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms sont des marques commerciales de leurs détenteurs respectifs. Ce produit Symantec peut contenir le logiciel tiers pour lequel Symantec est tenu de fournir une attribution à tierce partie ("Programmes tiers"). Certains de ces logiciels sont mis à disposition en licence logicielle libre ou avec des licences gratuites. Le Contrat de licence accompagnant le logiciel ne modifie en aucun cas vos droits et vos obligations en vertu de ces licences. Pour plus d'informations sur les logiciels tiers, reportez-vous à l'annexe consacrée aux mentions légales sur les logiciel tiers ou au fichier LisezMoi TPIP accompagnant ce produit. Le produit décrit dans ce document est distribué aux termes d'une licence limitant son utilisation, sa copie, sa distribution et sa décompilation/ingénierie inverse. Ce document ne peut, en tout ou partie, être reproduit sous aucune forme et par aucun moyen sans l'autorisation préalable écrite de Symantec Corporation et de ses détenteurs de licence éventuels. LA DOCUMENTATION EST FOURNIE "EN L'ETAT" ET TOUTE GARANTIE OU CONDITION D'AUCUNE SORTE, EXPRESSE OU IMPLICITE, Y COMPRIS, SANS QUE CELA SOIT LIMITATIF, LES GARANTIES OU CONDITIONS IMPLICITES DE QUALITE MARCHANDE, D'ADEQUATION A UN USAGE PARTICULIER OU DE RESPECT DES DROITS DE PROPRIETE INTELLECTUELLE EST REFUTEE, EXCEPTE DANS LA MESURE OU DE TELLES EXCLUSIONS SERAIENT TENUES POUR LEGALEMENT NON VALIDES. SYMANTEC CORPORATION NE PEUT ETRE TENUE POUR RESPONSABLE DES DOMMAGES DIRECTS OU INDIRECTS RELATIFS AU CONTENU OU A L'UTILISATION DE LA PRESENTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT ETRE MODIFIEES SANS PREAVIS. Le Logiciel sous licence est considéré comme logiciel informatique commercial conformément aux définitions de la section FAR et soumis à des droits restreints tels que définis dans la section FAR "Commercial Computer Licensed Software - Restricted Rights" et DFARS "Rights in Commercial Computer Licensed Software or Commercial Computer Licensed Software Documentation" tels qu'applicable, et à tous règlements qui les remplaceraient. Toute utilisation, modification, reproduction, publication, exécution, présentation ou communication du Logiciel sous licence et de la documentation par le

3 gouvernement des Etats-Unis ne peut se faire que conformément aux conditions du présent contrat. Symantec Corporation 350 Ellis Street Mountain View, CA

4 Support technique Contacter le support technique Le support technique de Symantec se compose de centres de support répartis dans le monde entier. Le rôle principal du support technique est de réagir à des requêtes spécifiques sur les caractéristiques et la fonctionnalité des produits. Le groupe de support technique contribue également à la création de contenu pour notre base de données en ligne. Il travaille en collaboration avec les autres domaines fonctionnels de Symantec pour répondre à vos questions aussi rapidement que possible, par exemple avec l'ingénierie de produit et Symantec Security Response pour fournir des services d'alerte et des mises à jour de définitions de virus. Les offres de support de Symantec englobent : un éventail d'options de support pour un volume flexible de services adapté aux sociétés de toute taille ; support téléphonique et/ou par le Web pour des répondes rapides et des informations actuelles ; garantie de mise à niveau par des mises à niveau logicielles ; prise en charge achetée sur une base des heures ouvrables régionales ou 24 heures sur 24 et 7 jours sur 7 ; offres de la meilleure qualité de service qui incluent des services de gestion des comptes. Pour plus d'informations sur les programmes de maintenance de Symantec, vous pouvez visiter notre site Web en accédant à l'url suivante : Les clients avec un contrat de support en cours peuvent accéder aux informations de support technique sur l'url suivante : Avant de contacter le support technique, vérifiez que votre système répond à la configuration requise indiquée dans la documentation du produit. Veuillez en outre vous tenir à proximité de l'ordinateur sur lequel le problème se pose, au cas où il serait nécessaire de répliquer le problème. Lorsque vous contactez le support technique, veillez à avoir sous la main les informations suivantes : Niveau de version du produit Informations concernant le matériel

5 Licence et enregistrement Mémoire disponible, espace disque et informations sur la carte réseau Système d'exploitation Niveau de correctif logiciel et de version Topologie du réseau Routeur, passerelle et informations sur l'adresse IP Description du problème : Messages d'erreur et fichiers journaux Tentatives de dépannage effectuées avant de contacter Symantec Modifications récentes apportées à la configuration logicielle et au réseau Si votre produit Symantec requiert un enregistrement ou une clé de licence, accédez à notre page Web de support technique à l'url suivante : Service client Les informations du service client sont disponibles en accédant à l'url suivante : Le service client est fournit son aide pour les questions non techniques, telles que les types suivants de problèmes : questions concernant l'octroi et le numéro de licence ; mises à jour des données fournies à l'enregistrement du produit, telles que l'adresse ou le nom ; informations générales sur le produit (fonctions, langues disponibles, distributeurs locaux) ; dernières informations sur les mises à jour et les mises à niveau du produit ; Informations sur l'assurance et les contrats de support de mise à niveau informations sur les Programmes d'achats Symantec ; conseil sur les options du support technique Symantec ; questions non techniques préalables à la vente ; problèmes liés aux CD-ROM ou aux manuels.

6 Ressources de contrat de support Si vous voulez entrer en contact avec Symantec concernant un contrat de support existant, veuillez contactez l'équipe administrative de contrat de support pour votre région comme suit : Asie Pacifique et Japon Europe, Moyen-Orient et Afrique Amérique du Nord et Amérique latine [email protected] [email protected] [email protected] Services d'entreprise supplémentaires Symantec offre une gamme complète de services qui vous permettent d'optimiser l'investissement effectué dans les produits Symantec et de développer vos connaissances, expertise et compréhension globale, pour une gestion proactive des risques commerciaux. Les services aux entreprises disponibles sont les suivants : Services gérés Services de conseil Services de formation Les services gérés suppriment la charge que représente la gestion et le contrôle des périphériques et des événements de sécurité, assurant l'intervention rapide face aux menaces réelles. Les services de conseil Symantec fournissent une expertise technique sur site de Symantec et de ses partenaires approuvés. Ils offrent une série d'options préemballées et personnalisables comportant des fonctions d'évaluation, de conception, de mise en œuvre, de surveillance et de gestion. Chaque service a pour objectif d'établir et de maintenir l'intégrité et la disponibilité de vos ressources informatiques. Les services de formation fournissent un ensemble complet de formation technique, d'éducation de sécurité, de certification de sécurité et de programmes de communication de connaissance. Pour accéder à plus d'informations sur les services destinés aux entreprises, visitez s'il vous plaît notre site Web sur l'url suivante : Sélectionnez votre pays ou langue dans le sommaire du site.

7 Table des matières Support technique... 4 Section 1 Prise en main du client Chapitre 1 Présentation du client A propos du client A propos du client Symantec Endpoint Protection A propos de la protection antivirus et antispyware A propos de la protection proactive contre les menaces A propos de la protection contre les menaces réseau A propos du client Symantec Network Access Control Chapitre 2 Réagir au client A propos de l'interaction avec le client Action sur les fichiers infectés A propos des dommages causés par les virus A propos des notifications et des alertes Réaction aux notifications relatives aux applications Réaction aux alertes de sécurité Réaction aux notifications de Network Access Control Chapitre 3 Gestion du client A propos des clients gérés centralement et des clients autonomes Conversion d'un client autogéré en client centralement géré Mise à jour de la protection de l'ordinateur Mise à jour immédiate de contenu Mise à jour de contenu sur planification A propos des politiques de sécurité Mettre à jour manuellement le fichier de politique Vérifier que des politiques ont été mises à jour Analyse immédiate de l'ordinateur Suspension et report des analyses Activation et désactivation des technologies de protection... 38

8 8 Table des matières Activation ou désactivation de Auto-Protect Activation ou désactivation de la protection contre les menaces réseau Activation ou désactivation de la protection proactive contre les menaces A propos de la protection contre les interventions Activation, désactivation et configuration de la protection contre les interventions Test du degré de sécurité de votre ordinateur A propos des emplacements Modification d'emplacement A propos de l'icône de zone de notification Masquage et affichae de l'icône de zone de notification A propos du fait d'empêcher un administrateur de redémarrer l'ordinateur Section 2 Chapitre 4 Gestion de la protection sur le client Symantec Endpoint Protection Gestion de la protection antivirus et antispyware A propos des virus et des risques de sécurité Comment le client réagit aux virus et aux risques de sécurité A propos des paramètres antivirus et antispyware A propos de l'analyse des fichiers Lorsque vos applications de messagerie utilisent un seul fichier de boîte de réception A propos de l'analyse par extension A propos de l'analyse de tous les types de fichier A propos de la protection contre les virus de macro Lorsque le client détecte un virus ou un risque de sécurité A propos d'auto-protect A propos d'auto-protect et des risques de sécurité A propos d'auto-protect et de l'analyse de messagerie Désactivation du traitement par Auto-Protect des connexions de messagerie chiffrées Affichage des statistiques d'analyse d'auto-protect Affichage de la liste des risques Configuration d'auto-protect pour déterminer les types de fichier à analyser... 66

9 Table des matières 9 Désactivation et activation de l'analyse et du blocage des risques de sécurité dans Auto-Protect Configuration de paramètre d'analyse réseau Utilisation des analyses antivirus et antispyware Mode de fonctionnement des analyses antivirus et antispyware A propos des fichiers de définitions A propos de l'analyse des fichiers compressés Planification d'une analyse définie par l'utilisateur Planification d'une analyse à exécuter sur demande ou quand l'ordinateur démarre Modification et suppression d'analyses au démarrage, définies par l'utilisateur et planifiées Interprétation des résultats des analyses A propos de l'interaction avec les résultats d'analyse ou les résultats d'auto-protect Configuration des actions pour les virus et les risques de sécurité Astuces d'affectation d'actions secondaires pour les virus Astuces d'affectation d'actions secondaires pour les risques de sécurité A propos de l'évaluation de l'impact des risques Configuration des notifications pour les virus et les risques de sécurité A propos de l'exclusion des éléments de l'analyse Exclusion des éléments de l'analyse A propos de la prise en charge des fichiers en quarantaine A propos des fichiers infectés dans la quarantaine A propos du traitement des fichiers infectés dans la quarantaine A propos du traitement des fichiers infectés par des risques de sécurité Gestion de la quarantaine Affichage des fichiers et de leurs détails dans la quarantaine Réanalyse des fichiers en quarantaine à la recherche de virus Lorsqu'un fichier réparé ne peut être replacé à son emplacement d'origine Effacement des éléments de sauvegarde Suppression de fichiers de la quarantaine Suppression automatique des fichiers en quarantaine... 96

10 10 Table des matières Soumission à Symantec Security Response d'un fichier suspect pour analyse Transmission d'informations sur les détections d'analyse à Symantec Security Response A propos du client et du Centre de sécurité Windows Chapitre 5 Chapitre 6 Gestion de la protection proactive contre les menaces A propos des analyses proactives des menaces TruScan Processus et applications que les analyses proactives des menaces TruScan examinent A propos des exceptions des analyses proactives des menaces TruScan A propos des détections de l'analyse proactive des menaces TruScan A propos des actions sur des faux positifs Configuration de la fréquence d'exécution des analyses proactives des menaces TruScan Gestion des détections proactives de menaces TruScan Définition de l'action pour la détection des applications commerciales Spécification des actions et des niveaux de sensibilité pour détecter des chevaux de Troie, des vers et des enregistreurs de frappe Spécification des types de processus détectés par les analyses proactives des menaces TruScan Configuration des notifications des détections de l'analyse proactive des menaces TruScan Soumission à Symantec Security Response des informations sur les analyses proactives des menaces TruScan Exclusion d'un processus des analyses proactives des menaces TruScan Gestion de la protection contre les menaces réseau A propos de la gestion de la protection contre les menaces réseau Gestion de la protection par pare-feu Fonctionnement du pare-feu A propos des règles de filtrage A propos des éléments d'une règle de filtrage A propos de l'inspection Stateful

11 Table des matières 11 A propos de l'ordre de traitement des règles Ajout d'une règle de filtrage Modification de l'ordre d'une règle de filtrage Activation et désactivation des règles Exportation et importation de règles A propos des règles de filtrage intégrées Activation des paramètres de trafic et des paramètres de navigation Web furtive Activation du filtrage de trafic intelligent Activation du partage des fichiers et des imprimantes du réseau Blocage du trafic Configurer des paramètres spécifiques à une application Suppression des restrictions d'une application Gestion de la protection de prévention des intrusions Fonctionnement de la protection de prévention des intrusions Activation ou désactivation des paramètres de prévention des intrusions Configuration des notifications de prévention d'intrusion Bloquer et débloquer un ordinateur attaquant Section 3 Gestion de la protection sur le client Symantec Network Access Control Chapitre 7 Gestion de Network Access Control Fonctionnement de Symantec Network Access Control Exécution d'une vérification de l'intégrité de l'hôte A propos de la mise à jour de la politique d'intégrité de l'hôte Réparation de l'ordinateur Afficher les journaux Network Access Control Fonctionnement du client avec un module d'application Enforcer Configuration du client pour l'authentification 802.1x Authentifier à nouveau votre ordinateur Section 4 Contrôle et consignation Chapitre 8 Utilisation et gestion des journaux A propos des journaux Gestion de la taille de journal

12 12 Table des matières Configuration du délai de conservation pour les entrées du journal de la protection antivirus et antispyware Configurer la taille des journaux de la protection contre les menaces réseau et de la gestion des clients Configurer le délai de conservation des entrées du journal de protection contre les menaces réseau et du journal de gestion des clients A propos de la suppression du contenu du journal système de la protection antivirus et antispyware Suppression du contenu des journaux de protection contre les menaces réseau et des journaux de gestion des clients Mise en quarantaine des risques et des menaces du journal des risques et du journal des menaces Utiliser les journaux de protection contre les menaces réseau et de gestion des clients Actualisation des journaux de protection contre les menaces réseau et les journaux de gestion des clients Activation du journal des paquets Arrêt d'une intervention active Suivi des événements consignés jusqu'à leur source Utilisation des journaux de gestion des clients avec Symantec Network Access Control Exportation des données de journal Index

13 Section 1 Prise en main du client Chapitre 1. Présentation du client Chapitre 2. Réagir au client Chapitre 3. Gestion du client

14 14

15 Chapitre 1 Présentation du client Ce chapitre traite des sujets suivants : A propos du client A propos du client Symantec Endpoint Protection A propos du client Symantec Network Access Control A propos du client Symantec fabrique les deux produits de protection de points de fin suivants qui peuvent être utilisés ensemble ou séparément. Tableau 1-1 Type de client Types de clients de protection de points de fin Description Symantec Endpoint Protection Symantec Endpoint Protection protège votre ordinateur des menaces Internet et des risques de sécurité. Se reporter à "A propos du client Symantec Endpoint Protection" à la page 16. Symantec Network Access Control Symantec Network Access Control s'assure que les paramètres de sécurité de votre ordinateur se conforment aux politiques réseau. Les paramètres de sécurité peuvent inclure le logiciel, les paramètres de configuration logiciel, les fichiers de signature, les correctifs ou d'autres éléments. Se reporter à "A propos du client Symantec Network Access Control" à la page 19. Vous ou votre administrateur avez installé un ou les deux logiciels client Symantec sur votre ordinateur. Si votre administrateur a installé le client, il a déterminé les

16 16 Présentation du client A propos du client Symantec Endpoint Protection produits à activer sur le client. L'administrateur peut indiquer les tâches à effectuer avec le client. Si vous avez installé le client sur votre ordinateur, il s'agit d'une installation autonome. Une installation autonome signifie qu'un administrateur ne gère pas le logiciel client. Se reporter à "A propos des clients gérés centralement et des clients autonomes" à la page 30. Remarque : Si vous ou votre administrateur avez installé seulement un de ces produits sur votre ordinateur, ce nom de produit s'affiche dans la barre de titre. Quand les deux types de protection sont activés, Symantec Endpoint Protection s'affiche sur la barre de titre. A propos du client Symantec Endpoint Protection Les paramètres par défaut du client offrent une protection antivirus et antispyware, une protection proactive contre les menaces et une protection contre les menaces réseau. Vous pouvez régler les paramètres par défaut de sorte à respecter les besoins de votre entreprise, à optimiser la performance système et à désactiver les options non applicables. Se reporter à "A propos de la protection antivirus et antispyware" à la page 17. Se reporter à "A propos de la protection proactive contre les menaces" à la page 17. Se reporter à "A propos de la protection contre les menaces réseau" à la page 18. Vous pouvez utiliser le client Symantec Endpoint Protection pour protéger votre ordinateur des manières suivantes : Analyser votre ordinateur pour rechercher les virus, les menaces connues et les risques de sécurité. Se reporter à "Analyse immédiate de l'ordinateur" à la page 36. Surveiller les ports contre les signatures d'attaque connues. Se reporter à "A propos des journaux" à la page 157. Surveiller les programmes de votre ordinateur contre les comportements suspects. Se reporter à "A propos des analyses proactives des menaces TruScan" à la page 101. Protéger l'ordinateur contre les attaques réseau. Se reporter à "Gestion de la protection par pare-feu" à la page 117.

17 Présentation du client A propos du client Symantec Endpoint Protection 17 A propos de la protection antivirus et antispyware La protection antivirus et antispyware veille à ce que votre ordinateur soit protégé contre les virus connus et les risques de sécurité. Si les virus sont rapidement détectés et supprimés de l'ordinateur, ils ne peuvent pas infecter d'autres fichiers ni causer des dommages. Les effets des virus et des risques de sécurité peuvent être réparés. Lorsque le client Symantec Endpoint Protection détecte un virus ou un risque de sécurité, il vous en informe par défaut. Si vous ne voulez pas être averti, votre administrateur ou vous-même pouvez configurer le client pour traiter le risque automatiquement. La protection antivirus et antispyware fournit des analyses basées sur les signatures et inclut ce qui suit : Analyses Auto-Protect Auto-Protect s'exécute constamment et assure la protection en temps réel de votre ordinateur en surveillant les activités. Auto-Protect recherche les virus et les risques de sécurité quand un fichier est exécuté ou ouvert. Il recherche également les virus et les risques de sécurité quand vous apportez des modifications à un fichier. Par exemple, vous pouvez renommer, enregistrer, déplacer ou copier un fichier entre des dossiers. Se reporter à "A propos d'auto-protect" à la page 62. Se reporter à "Configuration d'auto-protect pour déterminer les types de fichier à analyser" à la page 66. Analyses planifiées, de démarrage et à la demande Vous ou votre administrateur pouvez configurer d'autres analyses pour s'exécuter sur votre ordinateur. Ces analyses recherchent les signatures de virus résiduelles dans les fichiers infectés. Ces analyses recherchent également les signatures des risques de sécurité dans les fichiers infectés et les informations système. Vous ou votre administrateur pouvez lancer des analyses pour rechercher systématiquement les virus et les risques de sécurité dans les fichiers de votre ordinateur. Les risques de sécurité peuvent inclure les logiciels publicitaires ou les spywares. Se reporter à "Planification d'une analyse définie par l'utilisateur" à la page 73. Se reporter à "Planification d'une analyse à exécuter sur demande ou quand l'ordinateur démarre" à la page 75. A propos de la protection proactive contre les menaces La protection proactive contre les menaces comprend une fonction d'analyse proactive des menaces TruScan qui garantit une protection immédiate de votre ordinateur contre les menaces inconnues. Ces analyses heuristiques examinent la structure, le comportement et divers autres attributs d'un programme, à la recherche de caractéristiques propres à un virus. Dans beaucoup de cas elle peut

18 18 Présentation du client A propos du client Symantec Endpoint Protection protéger contre des menaces telles que les vers d'envoi en masse de courrier électronique et les virus de macro. Vous pourriez rencontrer des vers et des virus de macro avant que vous ayez mis à jour vos définitions de virus et de risque de sécurité. Les analyses proactives des menaces recherchent des menaces émanant de scripts dans les fichiers HTML, VBScript et Javascript. Se reporter à "A propos des analyses proactives des menaces TruScan" à la page 101. Les analyses proactives des menaces détectent également les applications commerciales qui peuvent être utilisées à des fins malveillantes. Ces applications commerciales incluent des programmes de contrôle à distance ou des enregistreurs de frappe. Vous pouvez configurer des analyses proactives des menaces pour mettre en quarantaine des détections. Vous pouvez restaurer manuellement les éléments mis en quarantaine par des analyses proactives des menaces. Le client peut également restaurer automatiquement des éléments en quarantaine. Se reporter à "Gestion des détections proactives de menaces TruScan" à la page 106. A propos de la protection contre les menaces réseau Le client Symantec Endpoint Protection fournit un pare-feu personnalisable qui protège votre ordinateur contre les intrusions et les abus, malveillants ou involontaires. Il détecte et identifie les analyses de port connues et d'autres attaques communes. En réponse, le pare-feu permet ou bloque sélectivement divers services réseau, applications, ports et composants. Il inclut plusieurs types de règles de filtrage et de paramètres de sécurité pour protéger les ordinateurs client du trafic réseau qui peut entraîner des dommages. Les règles de filtrage déterminent si votre ordinateur autorise ou bloque une application entrante ou sortante qui tente d'accéder à votre ordinateur par votre connexion réseau. Les règles de filtrage permettent ou bloquent systématiquement les applications et le trafic entrants ou sortants en relation avec des adresses IP et des ports spécifiques. Les paramètres de sécurité détectent et identifient les attaques communes, envoient des messages après une attaque, affichent des messages personnalisables et effectuent d'autres tâches relatives à la sécurité. Se reporter à "Gestion de la protection par pare-feu" à la page 117. La protection contre les menaces réseau fournit également des signatures de prévention des intrusions pour empêcher les intrusions et le contenu malveillant. Le pare-feu permet ou bloque le trafic selon divers critères. Se reporter à "Gestion de la protection de prévention des intrusions" à la page 136.

19 Présentation du client A propos du client Symantec Network Access Control 19 A propos du client Symantec Network Access Control Le client Symantec Network Access Control évalue si un ordinateur est correctement protégé et conforme avant de lui permettre de se connecter au réseau d'entreprise. Le client s'assure que votre ordinateur est conforme à la politique de sécurité que votre administrateur configure. La politique de sécurité vérifie si votre ordinateur exécute le logiciel de sécurité le plus récent, comme des applications antivirus et de pare-feu. Si votre ordinateur n'exécute pas le logiciel nécessaire, vous ou le client devez mettre à jour le logiciel en question. Si votre logiciel de sécurité n'est pas à jour, votre ordinateur peut être empêché de se connecter au réseau. Le client exécute des contrôles périodiques pour vérifier que votre ordinateur reste conforme à la politique de sécurité. Se reporter à "Fonctionnement de Symantec Network Access Control" à la page 145.

20 20 Présentation du client A propos du client Symantec Network Access Control

21 Chapitre 2 Réagir au client Ce chapitre traite des sujets suivants : A propos de l'interaction avec le client Action sur les fichiers infectés A propos des notifications et des alertes A propos de l'interaction avec le client Le client travaille à l'arrière-plan pour maintenir votre ordinateur protégé contre les activités malveillantes. Parfois le client doit vous informer au sujet d'une activité ou vous demander un commentaire. Vous pouvez alors obtenir les types d'alertes ou de notifications suivants : Détection de virus ou de risque de sécurité Si Auto-Protect ou une analyse détecte un virus ou un risque de sécurité, la boîte de dialogue Symantec Endpoint Protection Résultats de détection s'affiche. La boîte de dialogue apparaît. Les détails sur l'infection sont inclus. La boîte de dialogue affiche également l'action que Symantec Endpoint Protection a effectuée sur le risque. Vous n'avez habituellement pas besoin de prendre d'autre mesure que passer en revue l'activité et refermer la boîte de dialogue. Vous pouvez agir au besoin, cependant. Se reporter à "Action sur les fichiers infectés" à la page 22. Notifications en relation avec les applications Lorsqu'un programme de votre ordinateur tente d'accéder à un réseau, Symantec Endpoint Protection peut vous demander votre accord. Se reporter à "Réaction aux notifications relatives aux applications" à la page 24.

22 22 Réagir au client Action sur les fichiers infectés Alertes de sécurité Symantec Endpoint Protection vous informe lorsqu'il bloque un programme ou détecte une attaque contre votre ordinateur. Se reporter à "Réaction aux alertes de sécurité" à la page 27. Si Symantec Network Access Control est activé sur l'ordinateur, vous pouvez recevoir un message de Network Access Control. Ce message s'affiche quand vos paramètres de sécurité ne se conforment pas aux normes que votre administrateur a configurées. Se reporter à "Réaction aux notifications de Network Access Control" à la page 28. Action sur les fichiers infectés Par défaut, Auto-Protect s'exécute en continu sur votre ordinateur. Pour les clients non gérés, une analyse rapide générée automatiquement s'exécute au démarrage de l'ordinateur. Pour les clients gérés, votre administrateur configure généralement une analyse complète au moins une fois par semaine. Auto-Protect affiche une boîte de dialogue de résultats quand il détecte un problème. Lorsqu'une analyse s'exécute, une boîte de dialogue affiche ses résultats. Pour les clients gérés, votre administrateur peut désactiver ces notifications. Si vous recevez ces notifications, elles peuvent signaler qu'un fichier infecté nécessite une intervention de votre part. Les options par défaut pour Auto-Protect et tous les types d'analyse sont de nettoyer tout fichier infecté dès qu'il est détecté. Si le client ne peut pas nettoyer un fichier, il consigne l'échec et place le fichier infecté en quarantaine. La quarantaine locale est un emplacement spécial réservé aux fichiers infectés et aux effets secondaires système associés. Pour les risques de sécurité, le client met en quarantaine les fichiers infectés et supprime ou répare leurs effets secondaires. Le client consigne la détection s'il ne peut pas réparer le fichier. Remarque : Dans la quarantaine, le virus ne peut pas se propager. Quand le client place un fichier en quarantaine, vous n'avez plus accès au fichier. Quand Symantec Endpoint Protection répare un fichier infecté, vous n'avez pas besoin de prendre davantage de mesures pour protéger votre ordinateur. Si le client met en quarantaine un fichier infecté par un risque de sécurité, puis le supprime et le répare, vous n'avez pas besoin de prendre de mesures supplémentaires. Vous pouvez ne pas avoir à agir sur un fichier, mais vouloir exécuter une action supplémentaire sur le fichier. Par exemple, vous pouvez décider de supprimer un fichier nettoyé car vous préférez le remplacer par un fichier original.

23 Réagir au client Action sur les fichiers infectés 23 Vous pouvez utiliser les notifications pour agir sur le fichier immédiatement. Vous pouvez également utiliser la vue de journal ou la quarantaine pour agir sur le fichier plus tard. Se reporter à "Interprétation des résultats des analyses" à la page 77. Se reporter à "Mise en quarantaine des risques et des menaces du journal des risques et du journal des menaces" à la page 162. Se reporter à "A propos de la prise en charge des fichiers en quarantaine" à la page 92. Pour traiter un fichier infecté 1 Effectuez l'une des opérations suivantes : Dans la boîte de dialogue d'avancement de l'analyse, sélectionnez les fichiers voulus lorsque l'analyse est terminée. Dans la boîte de dialogue de résultats d'analyse, sélectionnez les fichiers que vous voulez. Dans le client, dans la barre latérale, cliquez sur Afficher les journaux, puis, à côté de la protection antivirus et antispyware, cliquez sur Afficher les journaux. Dans la vue de journal, sélectionnez les fichiers que vous voulez. 2 Cliquez sur les fichiers avec le bouton droit de la souris, puis sélectionnez l'une des options suivantes. Dans certains cas, le client ne peut pas exécuter l'action que vous avez sélectionnée. Annuler l'opération effectuée : Annule l'opération effectuée. Nettoyer (virus uniquement) : Supprime le virus du fichier. Supprimer définitivement : Supprime le fichier infecté et tous ses effets secondaires. Pour les risques de sécurité, utilisez cette action avec prudence. Dans certains cas, la suppression de risques de sécurité peut empêcher une application de fonctionner correctement. Mettre en quarantaine : Place les fichiers infectés en quarantaine. Pour les risques de sécurité, le client essaye également de supprimer ou de réparer les effets secondaires. Propriétés : Affiche des informations sur le virus ou le risque de sécurité. A propos des dommages causés par les virus Si Symantec Endpoint Protection trouve une infection peu après que l'infection se produise, le fichier infecté peut redevenir entièrement fonctionnel après que le client l'ait nettoyé. Parfois, cependant, Symantec Endpoint Protection peut

24 24 Réagir au client A propos des notifications et des alertes nettoyer un fichier infecté qu'un virus a déjà endommagé. Par exemple, Symantec Endpoint Protection peut trouver un virus qui endommage un fichier de document. Symantec Endpoint Protection supprime le virus mais ne peut pas réparer les dommages à l'intérieur du fichier infecté. A propos des notifications et des alertes Vous pouvez obtenir plusieurs types de notifications sur votre ordinateur. Ces notifications décrivent habituellement une situation et indiquent comment le client essaye de résoudre le problème. Vous pouvez obtenir les types de notification suivants : Notifications en relation avec les applications Se reporter à "Réaction aux notifications relatives aux applications" à la page 24. Alertes de sécurité Se reporter à "Réaction aux alertes de sécurité" à la page 27. Réaction aux notifications relatives aux applications Vous pouvez obtenir une notification qui vous demande si vous voulez autoriser l'exécution d'une application ou d'un service. Ce type de notification s'affiche pour une des raisons suivantes : L'application demande à accéder à votre connexion réseau. Une application qui a accédé à votre connexion réseau a été mise à niveau. Le client a commuté les utilisateurs commutés client avec la fonction de changement rapide d'utilisateur. Se reporter à "Notifications de commutation de client rapide" à la page 26. Votre administrateur a mis à jour le logiciel client. Se reporter à "Réagir aux notifications automatiques de mise à jour" à la page 27. Vous pouvez obtenir le type suivant de message, qui indique quand une application ou un service essaye d'accéder à votre ordinateur : Internet Explorer (IEXPLORE.EXE) tente de se connecter à en utilisant le port distant 80 (HTTP - World Wide Web). Voulez-vous permettre à ce programme d'accéder au réseau?

25 Réagir au client A propos des notifications et des alertes 25 Pour réagir aux applications qui essayent d'accéder au réseau 1 Dans la zone de message, cliquez sur Détail. Vous pouvez afficher plus d'informations sur la connexion et l'application, comme le nom de fichier, le numéro de version et le nom du chemin d'accès. 2 Si vous voulez que le client se souvienne votre choix la prochaine fois que cette application essaye d'accéder à votre connexion réseau, cliquez sur Mémoriser ma réponse et ne plus me demander à l'avenir pour cette application.. 3 Effectuez l'une des opérations suivantes : Pour permettre à l'application d'accéder à la connexion réseau, cliquez sur Oui. Cliquez sur Oui seulement si vous identifiez l'application et que vous êtes sûr de vouloir qu'elle accède à la connexion réseau. Si vous êtes incertain, demandez à votre administrateur. Pour interdire à l'application d'accéder à la connexion réseau, cliquez sur Non. Tableau 2-1 affiche la manière dont vous pouvez réagir aux notifications vous demandant si vous voulez autoriser ou bloquer une application. Tableau 2-1 Notifications de permission d'application Si vous cochez l'option "Mémoriser ma réponse..."? Oui Non Oui Non Si vous cliquez sur Oui Oui Non Non Le client Permet l'application et ne demande pas de nouveau. Permet l'application et vous demande chaque fois. Bloque l'application et ne vous demande pas de nouveau. Bloque l'application et vous demande chaque fois. Vous pouvez également modifier l'action de l'application dans le champ Applications en cours d'exécution ou dans la liste Applications. Se reporter à "Configurer des paramètres spécifiques à une application" à la page 133.

26 26 Réagir au client A propos des notifications et des alertes Notifications d'application modifiée De temps en temps, vous pouvez obtenir un message indiquant qu'une application a été modifiée. Le message suivant en est un exemple. "Le programme Telnet a changé depuis sa dernière ouverture. Cela peut être dû à une mise à jour récente. Souhaitez-vous l'autoriser à accéder au réseau?" L'application qui est répertoriée dans le message précédent tente d'accéder à votre connexion réseau. Bien que le client identifie le nom de l'application, quelque chose au sujet de l'application a été modifié depuis la dernière fois où le client l'a rencontrée. Très probablement, vous avez mis à niveau le produit récemment. Chaque nouvelle version de produit utilise un fichier différent de signature de fichier. Le client détecte que le fichier de signature de fichier a changé. Notifications de commutation de client rapide Si vous utilisez Windows Vista /XP, vous pouvez obtenir l'une des notifications suivantes : Symantec Endpoint Protection ne peut pas afficher l'interface utilisateur. Si vous utilisez la fonction de changement rapide d'utilisateur de Windows XP, assurez-vous que tous les autres utilisateurs sont déconnectés de Windows et essayez de fermer votre session Windows puis de la rouvrir. Si vous utilisez les services Windows Terminal Services, l'interface utilisateur n'est pas pris en charge." ou Symantec Endpoint Protection ne s'exécutait pas mais sera démarré. Cependant, Symantec Endpoint Protection ne peut pas afficher l'interface utilisateur. Si vous utilisez la fonction de changement rapide d'utilisateur de Windows XP, assurez-vous que tous les autres utilisateurs sont déconnectés de Windows et essayez de fermer votre session Windows puis de la rouvrir. Si vous utilisez les services Windows Terminal Services, l'interface utilisateur n'est pas pris en charge." La fonction de changement rapide d'utilisateur est fonctions Windows qui vous permet de commuter rapidement entre les utilisateurs sans devoir fermer la session sur l'ordinateur. Des utilisateurs multiples peuvent partager un ordinateur et commutent entre eux sans fermer les applications qu'ils exécutent. Une de ces fenêtres s'affiche si vous commutez des utilisateurs en utilisant la fonction de changement rapide d'utilisateur.

27 Réagir au client A propos des notifications et des alertes 27 Pour réagir à un message de changement rapide d'utilisateur, suivez les instructions dans la boîte de dialogue. Réagir aux notifications automatiques de mise à jour Si le logiciel client est automatiquement mis à jour, vous pouvez obtenir la notification suivante : Symantec Endpoint Protection a détecté qu'une version plus récente du logiciel est disponible dans Symantec Endpoint Protection Manager. Souhaitez-vous la télécharger maintenant? Pour réagir à une notification automatique de mise à jour 1 Effectuez l'une des opérations suivantes : Pour télécharger le logiciel immédiatement, cliquez sur Télécharger maintenant. Pour être rappelé après le délai spécifié, cliquez sur Me le rappeler plus tard. 2 Si un message s'affiche après le début de l'installation du logiciel mis à jour, cliquez sur OK. Réaction aux alertes de sécurité Les alertes de sécurité affichent une notification au-dessus de l'icône de zone de notification. Il suffit de confirmer que vous avez lu le message en cliquant sur OK. Les notifications apparaissent pour une des raisons suivantes : Messages d'application bloquée Une application qui a été lancée sur votre ordinateur a été bloquée selon des règles définies par votre administrateur. Par exemple, vous pouvez obtenir le message suivant : Le trafic a été bloqué de cette application : (nom de l'application) Ces notifications indiquent que votre client a bloqué le trafic que vous avez spécifié comme non fiable. Si le client est configuré pour bloquer tout le trafic, ces notifications apparaissent fréquemment. Si votre client est configuré pour permettre tout le trafic, ces notifications n'apparaissent pas.

28 28 Réagir au client A propos des notifications et des alertes Intrusions Une attaque a été lancée contre votre ordinateur et une alerte vous informe de la situation ou vous fournit des instructions sur la façon de réagir. Par exemple, vous pouvez obtenir le message suivant : Le trafic de l'adresse IP est bloqué du 10/10/ :37:58 au 10/10/ :47:58. L'attaque par analyse de port est consignée. Votre administrateur a pu désactiver les notifications de prévention d'intrusion sur l'ordinateur client. Pour savoir quels types d'attaques votre client détecte, vous pouvez permettre au client d'afficher des notifications de prévention d'intrusion. Se reporter à "Configuration des notifications de prévention d'intrusion" à la page 139. Réaction aux notifications de Network Access Control Si le client Symantec Network Access Control ne se conforme pas aux politiques de sécurité, il peut ne pas être en mesure d'accéder au réseau. Dans ce cas, vous pouvez obtenir un message indiquant que Symantec Enforcer a bloqué votre trafic parce que la vérification de l'intégrité de l'hôte a échoué. Votre administrateur réseau peut avoir ajouté un texte à ce message pour suggérer des actions de remédiation possibles. Après avoir fermé la zone de texte du message, ouvrez le client pour voir s'il affiche des procédures suggérées pour restaurer l'accès réseau. Pour réagir aux notifications de contrôle d'accès réseau 1 Suivez toutes les procédures suggérées qui apparaissent dans la zone de texte du message. 2 Dans la zone de texte du message, cliquez sur OK.

29 Chapitre 3 Gestion du client Ce chapitre traite des sujets suivants : A propos des clients gérés centralement et des clients autonomes Conversion d'un client autogéré en client centralement géré Mise à jour de la protection de l'ordinateur A propos des politiques de sécurité Mettre à jour manuellement le fichier de politique Vérifier que des politiques ont été mises à jour Analyse immédiate de l'ordinateur Suspension et report des analyses Activation et désactivation des technologies de protection A propos de la protection contre les interventions Activation, désactivation et configuration de la protection contre les interventions Test du degré de sécurité de votre ordinateur A propos des emplacements Modification d'emplacement A propos de l'icône de zone de notification Masquage et affichae de l'icône de zone de notification A propos du fait d'empêcher un administrateur de redémarrer l'ordinateur

30 30 Gestion du client A propos des clients gérés centralement et des clients autonomes A propos des clients gérés centralement et des clients autonomes L'administrateur peut installer le client comme client géré centralement (installation gérée par l'administrateur) ou comme client autonome (installation autonome). Tableau 3-1 Type de client Client géré centralement Différences entre un client géré centralement et un client autonome Description Un client géré centralement communique avec un serveur de gestion de votre réseau. L'administrateur configure la protection et les paramètres par défaut, et le serveur de gestion télécharge les paramètres vers le client. Si l'administrateur modifie la protection, cette modification est presque immédiatement téléchargée vers le client. Les administrateurs peuvent modifier votre niveau d'interaction avec le client des manières suivantes : L'administrateur gère complètement le client. Il n'est pas nécessaire de configurer le client. Tous les paramètres sont verrouillés ou indisponibles, mais vous pouvez afficher des informations sur les opérations du client sur l'ordinateur. L'administrateur gère le client, mais vous pouvez modifier certains paramètres du client et effectuer certaines tâches. Par exemple, vous pouvez exécuter vos propres analyses et récupérer manuellement des mises à jour de client et des mises à jour de protection. La disponibilité des paramètres du client, comme les valeurs des paramètres elles-mêmes, peut changer périodiquement. Par exemple, un paramètre peut changer lorsque votre administrateur met à jour la politique qui contrôle la protection client. L'administrateur gère le client, mais vous pouvez modifier tous les paramètres du client et effectuer toutes les tâches de protection.

31 Gestion du client Conversion d'un client autogéré en client centralement géré 31 Type de client Client autonome Description Un client autonome ne communique pas avec un serveur de gestion et un administrateur ne gère pas le client. Un client autonome peut être l'un des types suivants : Un ordinateur autonome non connecté à un réseau, tel qu'un ordinateur familial ou un ordinateur portable. L'ordinateur doit inclure une installation Symantec Endpoint Protection qui utilise les paramètres d'option par défaut ou des paramètres prédéfinis par un administrateur. Un ordinateur distant qui se connecte au réseau d'entreprise et qui doit remplir les spécifications de sécurité avant sa connexion Le client dispose de paramètres par défaut lors de l'installation initiale. Une fois le client installé, vous pouvez modifier tous les paramètres client et effectuer toutes les tâches de protection. Se reporter à "Conversion d'un client autogéré en client centralement géré" à la page 31. Tableau 3-2 décrit les différences dans l'interface utilisateur entreun client géré centralement et un client autonome. Tableau 3-2 Différences entre un client géré centralement et un client autonome par zone de fonction Zone de fonction Client géré centralement Client autonome Antivirus et antispyware Le client affiche une option de cadenas verrouillé et l'option s'affiche en gris pour les options qu'il est impossible de configurer. Le client n'affiche pas un cadenas verrouillé ou un cadenas déverrouillé. Paramètres de gestion de client et de protection contre les menaces réseau Les paramètres que l'administrateur contrôle ne s'affichent pas. Tous les paramètres s'affichent. Se reporter à "A propos de l'interaction avec le client" à la page 21. Conversion d'un client autogéré en client centralement géré Si votre client est installé en tant que client autonome, vous pouvez le convertir en client géré. Un client géré communique avec le serveur de gestion et reçoit les

32 32 Gestion du client Mise à jour de la protection de l'ordinateur mises à jour de définition de contenu et les données de configuration. Un client autonome ne communique pas avec un serveur de gestion. Se reporter à "A propos des clients gérés centralement et des clients autonomes" à la page 30. Pour convertir un client autonome en client géré, vous importez un fichier sylink.xml qui contient les paramètres de communication. Votre administrateur doit vous envoyer le fichier ou l'enregistrer sur un emplacement auquel vous pouvez accéder. Le nom par défaut pour le fichier est nom du groupe_sylink.xml. Après que vous ayez importé le fichier de communications, l'icône de la zone de notification apparaît dans le coin inférieur droit du bureau. Se reporter à "A propos de l'icône de zone de notification" à la page 47. Pour convertir un client autonome en client géré 1 Dans le client, cliquez sur Aide et support, puis cliquez sur Dépannage. 2 Dans la boîte de dialogue Gestion, sous Paramètres de communication, cliquez sur Importer. 3 Dans la boîte de dialogue Importer les paramètres de communication, localisez le fichier nam du groupe_sylink.xml, puis cliquez sur Ouvrir. 4 Cliquez sur Fermer. Mise à jour de la protection de l'ordinateur Les produits Symantec nécessitent des informations à jour pour protéger l'ordinateur des nouvelles menaces découvertes. Symantec met ces informations à votre disposition par l'intermédiaire de LiveUpdate. LiveUpdate récupère le programme et les mises à jour de la protection pour votre ordinateur en utilisant votre connexion Internet. Les mises à jour de protection sont les fichiers qui maintiennent les produits Symantec à jour avec la technologie la plus récente en matière de protection contre les menaces. LiveUpdate récupère les nouveaux fichiers de définitions sur un site Internet de Symantec, puis remplace les anciens fichiers de définitions. Les mises à jour de la protection que vous recevez dépendent des produits installés sur votre ordinateur. Les mises à jour de protection comprennent les fichiers suivants : Fichiers de définitions de virus pour la protection contre les virus et les logiciels espions. Se reporter à "Mode de fonctionnement des analyses antivirus et antispyware" à la page 71.

33 Gestion du client Mise à jour de la protection de l'ordinateur 33 Signatures heuristiques et listes d'applications commerciales pour la protection proactive contre les menaces. Fichiers de définitions d'ips pour la protection contre les menaces réseau. Se reporter à "A propos de la gestion de la protection contre les menaces réseau" à la page 116. Les mises à jour de produit sont des améliorations sur le client installé. Les mises à jour de produit sont généralement créées pour prolonger la compatibilité du système d'exploitation ou du matériel, régler des problèmes de performance ou corriger des erreurs de produit. Les mises à jour de produit sont publiées en fonction des besoins. Le client reçoit des mises à jour de produit directement d'un serveur LiveUpdate. Un client géré centralement peut également recevoir des mises à jour de produit automatiquement d'un serveur de gestion de votre entreprise. Tableau 3-3 Tâche Manières d'effectuer des mises à jour de contenu sur votre ordinateur Description Mise à jour de contenu sur planification Par défaut, LiveUpdate s'exécute automatiquement à intervalles planifiés. Sur un client autonome, vous pouvez désactiver ou modifier une planification LiveUpdate. Se reporter à "Mise à jour de contenu sur planification" à la page 34. Mise à jour immédiate de contenu Selon vos paramètres de sécurité, vous pouvez exécuter LiveUpdate immédiatement. Se reporter à "Mise à jour immédiate de contenu" à la page 33. Remarque : HTTP est pris en charge pour la communication LiveUpdate, mais HTTPS n'est pas pris en charge. Mise à jour immédiate de contenu Vous pouvez mettre à jour les fichiers de définition immédiatement à l'aide de LiveUpdate. Vous devez exécuter LiveUpdate manuellement pour les raisons suivantes : Le client a été récemment installé. La dernière analyse a été exécutée il y'a longtemps.

34 34 Gestion du client Mise à jour de la protection de l'ordinateur Vous suspectez que votre ordinateur contient un virus. Se reporter à "Mise à jour de contenu sur planification" à la page 34. Se reporter à "Mise à jour de la protection de l'ordinateur" à la page 32. Pour mettre à jour votre protection immédiatement. Dans le client, dans la barre latérale, cliquez sur LiveUpdate. LiveUpdate se connecte au serveur Symantec, recherche les mises à jour disponibles, puis les télécharge et les installe automatiquement. Mise à jour de contenu sur planification Vous pouvez créer une planification de sorte que LiveUpdate s'exécute automatiquement à intervalles planifiés. Il peut être nécessaire de planifier l'exécution de LiveUpdate lorsque vous n'utilisez pas votre ordinateur. Se reporter à "Mise à jour immédiate de contenu" à la page 33. Remarque : Vous pouvez configurer LiveUpdate pour s'exécuter uniquement sur planification si votre administrateur vous y a autorisé. Pour mettre à jour la protection sur planification 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 En regard de Gestion des clients, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de gestion des clients, cliquez sur Mises à jour planifiées. 4 Sur l'onglet Mises à jour planifiées, cochez Activer les mises à jour automatiques. 5 Dans la zone de groupe Fréquence, sélectionnez si vous voulez que les mises à jour s'exécutent chaque jour, chaque semaine ou chaque mois. 6 Dans la zone de groupe Quand, sélectionnez le jour ou la semaine et l'heure où vous voulez que les mises à jour s'exécutent. Les paramètres de la zone de groupe Quand dépendent des paramètres de la zone de groupe Fréquence. 7 Cochez Essayer pendant, puis spécifiez l'intervalle de temps pendant lequel le client tente d'exécuter LiveUpdate de nouveau.

35 Gestion du client A propos des politiques de sécurité 35 8 Cochez Randomiser l'heure de début sur + ou -, puis spécifiez le nombre d'heures ou de jours. Cette option définit un intervalle de temps avant ou après l'heure planifiée pour le démarrage de la mise à jour. 9 Cliquez sur OK. A propos des politiques de sécurité Une politique de sécurité est un ensemble de paramètres de sécurité que l'administrateur d'un client réseau configure et déploie vers des clients. Les politiques de sécurité déterminent les paramètres de votre client, y compris les options que vous pouvez afficher et modifier. Se reporter à "A propos des clients gérés centralement et des clients autonomes" à la page 30. Les clients gérés sont connectés au serveur de gestion et reçoivent automatiquement les dernières politiques de sécurité. Si vous avez la difficulté avec l'accès au réseau, votre administrateur peut vous demander de mettre à jour manuellement votre fichier de politique. Se reporter à "Mettre à jour manuellement le fichier de politique" à la page 35. Mettre à jour manuellement le fichier de politique Les paramètres qui contrôlent la protection sur le client sont enregistrés sur l'ordinateur dans un fichier de politique. Le fichier de politique met à jour les paramètres pour la protection antivirus et antispyware, la protection contre les menaces réseau, la protection proactive contre les menaces et Network Access Control. Ce fichier de politique se met normalement à jour automatiquement. Cependant, vous pouvez également le mettre à jour manuellement si vous ne voulez pas attendre que le fichier de politique soit mis à jour. Remarque : Vous pouvez afficher le journal système pour vérifier que l'opération a mis à jour la politique avec succès. Se reporter à "A propos des politiques de sécurité" à la page 35. Se reporter à "Vérifier que des politiques ont été mises à jour" à la page 36.

36 36 Gestion du client Vérifier que des politiques ont été mises à jour Pour mettre à jour le fichier de politique manuellement 1 Dans la zone de notification Windows, cliquez avec le bouton droit de la souris sur l'icône client. 2 Dans le menu contextuel, cliquez sur Mettre à jour la politique. Vérifier que des politiques ont été mises à jour Quand vous mettez à jour une politique sur le client, vous pouvez vérifier si le client a reçu la politique. Se reporter à "A propos des politiques de sécurité" à la page 35. Se reporter à "Mettre à jour manuellement le fichier de politique" à la page 35. Pour vérifier que les ordinateurs client ont obtenu des politiques mises à jour 1 Sur l'ordinateur client, dans la fenêtre principale de Symantec Endpoint Protection, cliquez sur Afficher les journaux. 2 Près de Gestion des clients, cliquez sur Afficher les journaux, puis cliquez sur Journal système. Vous voyez une entrée pour la mise à jour de la politique qui contient le numéro de série. Analyse immédiate de l'ordinateur Vous pouvez manuellement analyser l'ordinateur pour détecter des virus et des risques de sécurité à tout moment. Vous devez analyser votre ordinateur immédiatement si vous avez récemment installé le client ou si vous pensez avoir récemment reçu un virus. Sélectionnez l'élément à analyser : fichier, disquette ou tout l'ordinateur. Les analyses à la demande incluent l'analyse rapide et l'analyse complète. Vous pouvez également créer une analyse personnalisée pour exécution à la demande. Se reporter à "Planification d'une analyse à exécuter sur demande ou quand l'ordinateur démarre" à la page 75. Pour plus d'informations sur les options de chaque boîte de dialogue, cliquez sur Aide. Pour analyser l'ordinateur immédiatement Effectuez l'une des opérations suivantes : Sur la page Etat du client, près de Protection antivirus et antispyware, cliquez sur Options > Exécuter l'analyse active.

37 Gestion du client Suspension et report des analyses 37 Dans le client, dans la barre latérale, cliquez sur Rechercher les menaces. Effectuez l'une des opérations suivantes : Cliquez sur Exécuter l'analyse active. Cliquez sur Exécuter l'analyse complète. Dans la liste d'analyses, cliquez avec le bouton droit de la souris sur n'importe quelle analyse, puis cliquez sur Analyser. L'analyse commence. Une fenêtre de progression s'affiche sur votre ordinateur pour afficher la progression de l'analyse et les résultats. Vous pouvez également interrompre ou annuler l'analyse. Se reporter à "Suspension et report des analyses" à la page 37. Pour analyser l'ordinateur à partir de Windows Dans la fenêtre Poste de travail ou l'explorateur Windows, cliquez avec le bouton droit de la souris sur un fichier, un dossier ou un lecteur. Cliquez ensuite sur Rechercher les virus. Cette fonction n'est pas prise en charge par les systèmes d'exploitation 64 bits. Suspension et report des analyses La fonction de suspension permet d'interrompre une analyse à un stade quelconque et de la reprendre à un autre moment. Vous pouvez suspendre toute analyse que vous avez lancée. L'administrateur détermine si vous pouvez interrompre une analyse lancée par l'administrateur. Si l'option Suspendre l'analyse n'est pas disponible, l'administrateur a désactivé la fonction de suspension. Si votre administrateur a activé la fonction Différer, vous pouvez différer ses analyses planifiées d'un délai déterminé. Lorsqu'une analyse reprend, elle démarre là elle s'est arrêté. Remarque : Si vous tentez de suspendre une analyse pendant que le client analyse un fichier compressé, le client peut mettre plusieurs minutes à réagir à la demande de suspension de l'analyse.

38 38 Gestion du client Activation et désactivation des technologies de protection Pour interrompre une analyse que vous avez lancée 1 Lorsque l'analyse s'exécute, dans la boîte de dialogue d'analyse, cliquez sur Suspendre l'analyse. L'analyse s'interrompt et la boîte de dialogue reste ouverte jusqu'à ce que vous relanciez l'analyse. 2 Dans la boîte de dialogue d'analyse, cliquez sur Reprendre l'analyse pour continuer l'analyse. Pour interrompre ou retarder une analyse lancée par l'administrateur 1 Pendant que l'analyse lancée par l'administrateur s'exécute, cliquez sur Suspendre l'analyse dans la boîte de dialogue d'analyse. 2 Dans la boîte de dialogue Suspension d'analyse planifiée, effectuez l'une des opérations suivantess : Pour interrompre l'analyse temporairement, cliquez sur Suspendre. Pour retarder l'analyse, cliquez sur Différer d'une 1 heure ou Différer de 3 heures. Votre administrateur spécifie le délai dont vous pouvez différer l'analyse. Lorsque la suspension atteint la limite, l'analyse redémarre là où elle a commencé. L'administrateur spécifie le nombre maximal de fois où vous pouvez différer l'analyse planifiée. Pour continuer l'analyse sans interruption, cliquez sur Continuer. Activation et désactivation des technologies de protection En général, vous souhaitez toujours maintenir les technologies de protection activées sur votre ordinateur. Si vous rencontrez un problème avec votre ordinateur client, vous pouvez vouloir désactiver temporairement toutes les technologies de protection ou différentes technologies de protection. Par exemple, si une application s'exécute pas ou ne s'exécute pas correctement, vous pouvez désactiver la protection contre les menaces réseau. Si des problèmes persistent après la désactivation de toutes les technologies de protection, alors le problème ne provient pas du client. Tableau 3-4 décrit les raisons pour lesquelles vous pouvez vouloir désactiver chaque technologie de protection.

39 Gestion du client Activation et désactivation des technologies de protection 39 Tableau 3-4 Motif de désactivation d'une technologie de protection Technologie de protection Protection antivirus et antispyware Motif de désactivation de la technologie de protection Si vous désactivez cette protection, vous désactivez Auto-Protect uniquement. Les analyses planifiées ou de démarrage s'exécutent toujours si vous ou votre administrateur les avez configurées de la sorte. Vous ou l'administrateur pouvez activer ou désactiver Auto-Protect pour les raisons suivantes : Auto-Protect peut vous empêcher d'ouvrir un document. Par exemple, si vous ouvrez Microsoft Word contenant un macro, Auto-Protect peut empêcher son ouverture. Si vous le document est sécurisé, vous pouvez désactiver Auto-Protect. Il peut arriver que les alertes d'auto-protect ne sont pas dues à un virus. Par exemple, vous pouvez obtenir un avertissement lorsque vous installez de nouveaux applications d'ordinateur. Si vous prévoyez d'installer des applications et voulez éviter l'avertissement, vous pouvez désactiver Auto-Protect temporairement. Auto-Protect peut gêner le remplacement du pilote de Windows. Auto-Protect peut ralentir l'ordinateur client. Se reporter à "Activation ou désactivation de Auto-Protect" à la page 41. Protection proactive contre les menaces Vous pouvez désactiver la protection proactive contre les menaces pour les raisons suivantes : Trop d'avertissements apparaissent sur des menaces qui ne le sont pas en fait. La protection proactive contre les menaces peut ralentir l'ordinateur client. Se reporter à "Activation ou désactivation de la protection proactive contre les menaces" à la page 43.

40 40 Gestion du client Activation et désactivation des technologies de protection Technologie de protection Protection contre les menaces réseau Motif de désactivation de la technologie de protection Vous pouvez désactiver la protection contre les menaces réseau pour les raisons suivantes : Vous installez une application que le pare-feu peut bloquer. Une règle de filtrage ou un paramètre de pare-feu bloque une application due une erreur de l'administrateur. Le pare-feu ou le système de prévention d'intrusion entraîne des problèmes de connectivité réseau. Le pare-feu peut ralentir l'ordinateur client. Se reporter à "Activation ou désactivation de la protection contre les menaces réseau" à la page 42. Se reporter à "Activation ou désactivation des paramètres de prévention des intrusions" à la page 138. Avertissement : Assurez-vous d'activer des protections à la fin votre tâche de dépannage pour que votre ordinateur reste protégé. Si les technologies de protection posent un problème avec une application, il est préférable de créer une exception au lieu de désactiver la protection de façon permanente Se reporter à "A propos de l'exclusion des éléments de l'analyse" à la page 89. Si l'une des protections est désactivée : La barre d'état en haut de la page Etat est rouge. L'icône du client s'affiche avec un signe de négation, un cercle rouge barré par une diagonale. L'icône client s'affiche sous forme de bouclier entier dans la barre des tâches, dans le coin inférieur droit du bureau Windows. Dans certaines configurations, l'icône ne s'affiche pas. Se reporter à "A propos de l'icône de zone de notification" à la page 47. Sur un client géré centralement, l'administrateur peut activer toute protection à tout moment. Pour activer des technologies de protection à partir de la page Etat Sur le client, en haut de la page Etat, cliquez sur Corriger ou Réparer tout.

41 Gestion du client Activation et désactivation des technologies de protection 41 Pour activer ou désactiver les technologies de protection à partir de la barre des tâches Sur le bureau Windows, dans la zone de notification, cliquez sur l'icône client avec le bouton droit de la souris, puis effectuez l'une des actions suivantes : Cliquez sur Activer Symantec Endpoint Protection. Cliquez sur Désactiver Symantec Endpoint Protection. Se reporter à "Activation, désactivation et configuration de la protection contre les interventions" à la page 44. Activation ou désactivation de Auto-Protect Vous pouvez activer ou désactiver File System Auto-Protect des fichiers et processus, du courrier électronique et des applications de logiciels de groupes de courriers électroniques. Lorsqu'un type d'auto-protect est désactivé, l'état de protection antivirus et antispyware s'affiche en rouge sur la page Etat. Lorsque vous cliquez sur l'icône avec le bouton droit de la souris, une coche s'affiche à côté de la case à cocher Activer Auto-Protect lorsque Auto-Protect pour les fichiers et les processus est activé. Se reporter à "Activation et désactivation des technologies de protection" à la page 38. Remarque : Sur un client géré centralement, l'administrateur peut verrouiller Auto-Protect pour vous empêcher de le désactiver. L'administrateur peut également spécifier que vous pouvez désactiver Auto-Protect temporairement, mais que Auto-Protect se réactive automatiquement après un délai spécifié.. Si vous n'avez pas modifié les paramètres des options par défaut, Auto-Protect se charge au démarrage de l'ordinateur pour vous protéger contre les virus et les risques de sécurité. Auto-Protect recherche les virus et les risques de sécurité dans les programmes qui s'exécutent. Il surveille également l'ordinateur pour toute activité pouvant indiquer la présence d'un virus ou d'un risque de sécurité. Lorsqu'un virus, une activité suspecte (comportement pouvant signaler la présence d'un virus) ou un risque de sécurité est détecté, Auto-Protect vous alerte. Pour activer ou désactiver Auto-Protect pour le système de fichiers Dans le client, sur la page Etat, à côté de Protection antivirus et antispyware, faites une des actions suivantes :

42 42 Gestion du client Activation et désactivation des technologies de protection Pour activer ou désactiver Auto-Protect pour le courrier électronique 1 Dans la barre latérale du client, cliquez sur Changer les paramètres. 2 Près de Protection antivirus et antispyware, cliquez sur Configurer les paramètres. 3 Effectuez l'une des opérations suivantes : Sur l'onglet Auto-Protect pour le courrier électronique Internet, cochez ou désélectionnez la case à cocher Activer Auto-Protect pour le courrier électronique Internet. Sur l'onglet Auto-Protect pour Microsoft Outlook, cochez ou décochez la case à cocher Activer Auto-Protect pour le courrier électronique Microsoft Outlook. Sur l'onglet Auto-Protect pour Lotus Notes, cochez ou désélectionnez la case à cocher Activer Auto-Protect pour Lotus Notes. 4 Cliquez sur OK. Activation ou désactivation de la protection contre les menaces réseau Vous peut s'avérer nécessaire de désactiver la protection contre les menaces réseau si vous ne pouvez pas ouvrir une application. Si vous n'êtes pas certain que la protection contre les menaces réseau est à l'origine du problème, il peut être judicieux de désactiver toutes les technologies de protection. Se reporter à "Activation et désactivation des technologies de protection" à la page 38. Si vous pouvez désactiver la protection, vous pouvez la réactiver à tout moment. L'administrateur peut également activer et désactiver la protection à tout moment, même en supplantant l'état où vous avez mis la protection. Votre administrateur a pu fixer les limites suivantes sur la désactivation de la protection : Si le client permet tout le trafic ou tout le trafic sortant seulement. La durée où la protection est désactivée. Combien de fois vous pouvez désactiver la protection avant de redémarrer le client. Se reporter à "Gestion de la protection par pare-feu" à la page 117. Se reporter à "Bloquer et débloquer un ordinateur attaquant" à la page 139.

43 Gestion du client A propos de la protection contre les interventions 43 Pour activer ou désactiver la protection contre les menaces réseau Dans le client, sur la page Etat, près de Protection contre les menaces réseau, effectuez l'une des opérations suivantes : Cliquez sur Options > Activer la protection contre les menaces réseau. Cliquez sur Options>Désactiverlaprotectioncontrelesmenacesréseau. Activation ou désactivation de la protection proactive contre les menaces Il peut être nécessaire de désactiver la protection proactive contre les menaces si les analyses affichent de nombreux avertissements ou des faux positifs. Les faux positifs se produisent lorsque l'analyse détecte une application ou un processus comme une menace alors qu'elle(il) n'en est pas. La protection proactive contre les menaces est activée lorsque les paramètres Rechercher les chevaux de Troie et les vers et Rechercher les enregistreurs de frappe sont activés. Si l'un ou l'autre des paramètres est désactivé, le client affiche l'état de protection proactive contre les menaces comme désactivé. Sur un client géré centralement, l'administrateur peut verrouiller la protection proactive contre les menaces pour vous empêcher de la désactiver. La protection proactive contre les menaces est désactivée automatiquement sur les ordinateurs client qui exécutent Windows XP x64 Edition ou Windows Server 2000, 2003 et Se reporter à "A propos des analyses proactives des menaces TruScan" à la page 101. Pour activer ou désactiver la protection proactive contre les menaces Dans le client, sur la page Etat, près de Protection proactive contre les menaces, effectuez l'une des opérations suivantes : Cliquez sur Options > Activer la protection proactive contre les menaces. Cliquez sur Options > Désactiver la protection proactive contre les menaces. A propos de la protection contre les interventions La protection contre les interventions assure une protection en temps réel des applications Symantec. Elle contrecarre les attaques par le code malveillant tel que des vers, des chevaux de Troie, des virus et des risques de sécurité. Vous pouvez configurer la protection contre les interventions pour prendre les mesures suivantes :

44 44 Gestion du client Activation, désactivation et configuration de la protection contre les interventions Bloquer les tentatives d'intervention et consigner l'événement Consigner l'événement d'intervention mais sans interférer avec l'événement La protection contre les interventions est activé pour les clients réseau et les clients autonomes, à moins que votre administrateur n'ait modifié les paramètres par défaut. Quand la protection contre les interventions détecte une tentative d'intervention, la mesure qu'elle prend par défaut est de consigner l'événement dans le journal de protection contre les interventions. Vous pouvez configurer la protection contre les interventions pour afficher une notification sur votre ordinateur quand elle détecte une tentative d'intervention. Vous pouvez personnaliser le message. La protection contre les interventions ne vous informe pas sur les tentatives d'intervention, à moins que vous n'activiez cette fonctionnalité. Si vous utilisez un client autonome, vous pouvez modifier vos paramètres Protection contre les interventions. Si vous utilisez un client géré, vous pouvez modifier ces paramètres si votre administrateur le permet. Lorsque vous utilisez Symantec Endpoint Protection pour la première fois, il est conseillé d'ignorer l'action par défaut Consigner l'événement uniquement tout en contrôlant les journaux une fois la semaine. Lorsque vous êtes certain qu'aucun faux positif n'est présent, définissez la protection contre les interventions sur Bloquer et consigner l'événement. Remarque : Si vous utilisez un analyseur de risque de sécurité tiers qui détecte et modifie les logiciels publicitaires et spywares indésirables, l'analyseur affecte typiquement les processus de Symantec. Si la protection contre les interventions est activée tandis que vous exécutez un analyseur tiers, la protection contre les interventions génère un grand nombre de notifications et d'entrées de journal. Une pratique d'excellence est de laisser toujours la protection contre les interventions activée et d'utiliser le filtrage de journal si le nombre d'événements généré est trop grand. Se reporter à "Activation, désactivation et configuration de la protection contre les interventions" à la page 44. Activation, désactivation et configuration de la protection contre les interventions Vous pouvez activer ou désactiver la protection contre les interventions. Si la protection contre les interventions est activée, vous pouvez choisir l'action que celle-ci doit effectuer lorsqu'elle détecte une tentative d'intervention sur les

45 Gestion du client Activation, désactivation et configuration de la protection contre les interventions 45 composants logiciels Symantec. Vous pouvez également configurer la protection contre les interventions pour qu'elle affiche un message pour vous informer des tentatives d'intervention. Pour personnaliser le message, vous pouvez utiliser les variables prédéfinies que la protection contre les interventions remplacera par les informations correspondantes. Remarque : Si un administrateur gère votre ordinateur et que ces options affichent un cadenas, vous ne pouvez pas modifier ces options car l'administrateur les a verrouillées. Pour plus d'informations sur les variables prédéfinies, cliquez sur Aide dans l'onglet Protection contre les interventions. Se reporter à "A propos de la protection contre les interventions" à la page 43. Pour activer ou désactiver la protection contre les interventions 1 Dans la barre latérale de la fenêtre principale, cliquez sur Changer les paramètres. 2 Près de Gestion des clients, cliquez sur Configurer les paramètres. 3 Sur l'onglet Protection contre les interventions, cochez ou désélectionnez la case Protéger les logiciels de sécurité Symantec contre les interventions ou interruptions. 4 Cliquez sur OK. Pour configurer Protection contre les interventions 1 Dans la barre latérale de la fenêtre principale, cliquez sur Changer les paramètres. 2 A côté de Gestion des clients, cliquez sur Configurer les paramètres. 3 Sur l'onglet Protection contre les interventions, dans la zone de liste Opération à effectuer si une application tente de modifier ou d'arrêter le logiciel de sécurité Symantec, cliquez sur Bloquer et consigner l'événement ou Consigner l'événement uniquement. 4 Pour être informé de tout comportement suspect que la protection contre les interventions pourrait détecter, cochez la case Afficher un message de notification si une intervention est détectée. Si vous activez ces messages de notification, vous pouvez recevoir des notifications au sujet des processus Windows et des processus Symantec. 5 Pour personnaliser le message qui s'affiche, modifiez le texte dans le champ du message. 6 Cliquez sur OK.

46 46 Gestion du client Test du degré de sécurité de votre ordinateur Test du degré de sécurité de votre ordinateur Vous pouvez tester l'efficacité de votre ordinateur face aux menaces extérieures et de virus en l'analysant. Cette analyse est une étape importante pour s'assurer que votre ordinateur est protégé des intrus possibles. Les résultats peuvent vous aider à définir diverses options sur le client pour protéger votre ordinateur contre les attaques. Pour tester le degré de sécurité de votre ordinateur 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 Près de Protection contre les menaces réseau, cliquez sur Options > Afficher l'activité réseau 3 Cliquez sur Outils > Tester la sécurité réseau. 4 Sur le site Web de Symantec Security Check, faites l'une des opérations suivantes : Pour rechercher des menaces en ligne, cliquez sur Analyse de sécurité. Pour rechercher des virus, cliquez sur Détection de virus. 5 Dans la boîte de dialogue Contrat de licence utilisateur final, cliquez sur J'accepte et puis cliquez sur Suivant. Si vous avez cliquer sur Détection de virus dans l'étape 4, cliquez sur Je suis d'accord, puis cliquez sur Suivant. Si vous voulez arrêter l'analyse à tout moment, cliquez sur Arrêter. 6 Quand l'analyse est finie, fermez la boîte de dialogue. A propos des emplacements Un emplacement se rapporte à une politique de sécurité basée sur votre environnement réseau. Par exemple, si vous vous connectez au réseau de votre bureau en utilisant votre ordinateur portable depuis votre domicile, votre administrateur système peut configurer un emplacement nommé Domicile. Si vous utilisez l'ordinateur portable au bureau, vous pouvez utiliser un emplacement nommé Bureau. D'autres emplacements peuvent être un VPN, une filiale ou un hôtel. Le client commute entre ces emplacements, car les spécifications de sécurité et d'utilisation peuvent différer entre les environnements réseau. Par exemple, quand votre ordinateur portable se connecte à votre réseau de bureau, votre client pourrait utiliser un ensemble restrictif de politiques par votre administrateur. Quand il se connecte à votre réseau domestique, cependant, votre client peut

47 Gestion du client Modification d'emplacement 47 utiliser une politique qui vous donne accès à plus d'options de configuration. Votre administrateur planifie et configure votre client en conséquence, de sorte que le client gère automatiquement ces différences pour vous. Remarque : Dans un environnement géré, vous pouvez modifier des emplacements seulement si votre administrateur a fourni l'accès nécessaire. Se reporter à "Modification d'emplacement" à la page 47. Modification d'emplacement Vous pouvez modifier un emplacement au besoin. Par exemple, vous pourriez devoir passer à un emplacement qui permet à un collègue d'accéder à des fichiers sur votre ordinateur. La liste des emplacements disponibles est basée sur vos politiques de sécurité et sur le réseau actif de votre ordinateur. Se reporter à "A propos des emplacements" à la page 46. Remarque : Selon les politiques de sécurité disponibles, vous pouvez ou non avoir accès à plus d'un emplacement. Vous pouvez constater que quand vous cliquez sur un emplacement, vous ne changez pas pour cet emplacement. Cela signifie que votre configuration réseau n'est pas appropriée pour cet emplacement. Par exemple, un emplacement nommé Bureau peut être disponible seulement quand il détecte le réseau local du bureau. Si vous n'êtes pas actuellement sur ce réseau, vous ne pouvez pas changer pour cet emplacement. Pour modifier un emplacement 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 Sur la page Changer les paramètres, près de Gestion des clients, cliquez sur Configurer les paramètres. 3 Sur l'onglet Général, sous Options d'emplacement, sélectionnez l'emplacement auquel vous souhaitez passer. 4 Cliquez sur OK. A propos de l'icône de zone de notification Le client utilise une icône de zone de notification pour indiquer s'il est en ligne ou hors ligne et si l'ordinateur client est correctement protégé. Vous pouvez cliquer

48 48 Gestion du client A propos de l'icône de zone de notification avec le bouton droit de la souris sur cette icône pour afficher les commandes fréquemment utilisées. L'icône se trouve dans le coin inférieur droit du bureau. Remarque : Sur les clients gérés centralement, l'icône de zone de notification système ne s'affiche pas si l'administrateur l'a configurée pour être indisponible. Tableau 3-5 affiche les icônes d'état du client Symantec Endpoint Protection qui apparaissent dans la zone de notification. Tableau 3-5 Icône Icônes d'état du client Symantec Endpoint Protection Description Le client s'exécute sans problème. Il est déconnecté ou autonome. Les clients autonomes ne sont pas connectés à un serveur de gestion. L'icône est un bouclier jaune ordinaire. Le client s'exécute sans problème. Il est connecté au serveur et communique avec lui. Tous les composants de la politique de sécurité protègent l'ordinateur. L'icône est un bouclier jaune avec un point vert. Le client rencontre un léger problème. Par exemple, les définitions de virus peuvent ne pas être à jour. L'icône est un bouclier jaune et un point jaune-clair avec un point d'exclamation noire. Le client ne s'exécute pas, connaît un sérieux problème ou s'est vu désactiver au moins une technologie de protection. Par exemple, la protection contre les menaces réseau peut être désactivée. L'icône est un bouclier jaune avec un point blanc entouré de rouge et avec une ligne rouge traversant le point. Tableau 3-6 affiche les icônes d'état du client Symantec Network Access Control qui apparaissent dans la zone de notification. Tableau 3-6 Icône Icônes d'état du client Symantec Network Access Control Description Le client s'exécute sans problème et la vérification de l'intégrité de l'hôte ainsi que la mise à jour de la politique de sécurité ont réussi. Il est déconnecté ou autonome. Les clients autonomes ne sont pas connectés à un serveur de gestion. L'icône est une clé ordinaire en or. Le client s'exécute sans problème et la vérification de l'intégrité de l'hôte ainsi que la mise à jour de la politique de sécurité ont réussi. Il communique avec le serveur. L'icône est une clé en or avec un point vert.

49 Gestion du client Masquage et affichae de l'icône de zone de notification 49 Icône Description Le client a échoué à la vérification de l'intégrité de l'hôte ou n'a pas mis à jour la politique de sécurité. L'icône est une clé dorée avec un point rouge qui contient un "X" blanc. Se reporter à "Masquage et affichae de l'icône de zone de notification" à la page 49. Masquage et affichae de l'icône de zone de notification Vous pouvez masquer l'icône de zone de notification au besoin. Par exemple, vous pouvez la masquer pour obtenir plus d'espace sur la barre des tâches Windows. Se reporter à "A propos de l'icône de zone de notification" à la page 47. Remarque : Sur les clients gérés, vous ne pouvez pas masquer l'icône de zone de notification si votre administrateur a restreint cette fonctionnalité. Pour masquer ou afficher l'icône de la zone de notification 1 Dans la fenêtre principale, dans la barre latérale, cliquez sur Changer les paramètres. 2 Sur la page Changer les paramètres, de l'option Gestion des clients, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de gestion des clients, sur l'onglet Général, sous Options affichage, désélectionnez ou cochez Afficher l'icône de sécurité Symantec dans la zone de notification. 4 Cliquez sur OK. A propos du fait d'empêcher un administrateur de redémarrer l'ordinateur Généralement, les administrateurs peuvent exécuter des commandes à distance sur l'ordinateur client. Pour des raisons de sécurité, vous pouvez devoir empêcher un administrateur de redémarrer l'ordinateur à distance. Vous devez définir une clé de registre de Windows sur l'ordinateur client, qui bloque toute commande de redémarrage à partir du serveur de gestion. Sur l'ordinateur client, vous pouvez définir la clé DisableRebootCommand sur 1. Puis,

50 50 Gestion du client A propos du fait d'empêcher un administrateur de redémarrer l'ordinateur si un administrateur sélectionne la commande Redémarrer les ordinateurs client dans la console, l'ordinateur client ne redémarre pas.

51 Section 2 Gestion de la protection sur le client Symantec Endpoint Protection Chapitre 4. Gestion de la protection antivirus et antispyware Chapitre 5. Gestion de la protection proactive contre les menaces Chapitre 6. Gestion de la protection contre les menaces réseau

52 52

53 Chapitre 4 Gestion de la protection antivirus et antispyware Ce chapitre traite des sujets suivants : A propos des virus et des risques de sécurité Comment le client réagit aux virus et aux risques de sécurité A propos des paramètres antivirus et antispyware A propos de l'analyse des fichiers Lorsque le client détecte un virus ou un risque de sécurité A propos d'auto-protect Utilisation des analyses antivirus et antispyware Planification d'une analyse définie par l'utilisateur Modification et suppression d'analyses au démarrage, définies par l'utilisateur et planifiées Interprétation des résultats des analyses Configuration des actions pour les virus et les risques de sécurité Configuration des notifications pour les virus et les risques de sécurité A propos de l'exclusion des éléments de l'analyse Exclusion des éléments de l'analyse A propos de la prise en charge des fichiers en quarantaine Gestion de la quarantaine

54 54 Gestion de la protection antivirus et antispyware A propos des virus et des risques de sécurité Transmission d'informations sur les détections d'analyse à Symantec Security Response A propos du client et du Centre de sécurité Windows A propos des virus et des risques de sécurité Le client peut effectuer l'analyse des virus et des risques de sécurité. Par défaut, les analyses définies par l'utilisateur et les analyses Auto-Protect recherchent les virus, les chevaux de Troie, les vers et toutes les catégories de risques de sécurité. Les analyses antivirus et antispyware détectent également les rootkits de niveau noyau. Les rootkits sont tous les programmes qui essayent de se masquer vis-à-vis du système d'exploitation d'un ordinateur et peuvent être utilisés à des fins malveillantes. Figure 4-1 Comment les virus et les risques de sécurité attaquent un ordinateur Autres ordinateurs, partages de fichiers réseau Virus, programmes malveillants et risques de sécurité Internet Virus, programmes malveillants et risques de sécurité Lecteur flash USB Courrier électronique, messagerie instantanée Virus, programmes malveillants et risques de sécurité Ordinateur client Tableau 4-1 décrit les types de virus et de logiciels malveillants contre lesquels le client se protège.

55 Gestion de la protection antivirus et antispyware A propos des virus et des risques de sécurité 55 Tableau 4-1 Virus Virus Virus, chevaux de Troie et vers Description Programme ou code qui ajoutent une copie d'eux-mêmes à un autre programme ou document au moment de leur exécution. Toutes les fois que le programme infecté s'exécute ou qu'un utilisateur ouvre un document qui contient un virus de macro, le programme de virus joint s'active. Le virus peut alors s'attacher à d'autres programmes et documents. La plupart des virus produisent un effet, comme l'affichage d'un message à une date particulière. Certains virus sont spécifiquement destinés à endommager les données en détériorant des programmes, en supprimant des fichiers ou en reformatant des disques. Un virus macro est un virus enregistré dans un langage intégré dans une application logicielle, telle que Microsoft Word. chevaux de Troie Vers Programmes contenant du code malveillant déguisé ou caché dans un élément inoffensif, comme un jeu ou un utilitaire. Programmes qui se répliquent sans infecter d'autres programmes. Certains vers se répandent en se copiant de disque en disque, tandis que d'autres se reproduisent uniquement dans la mémoire afin de ralentir les ordinateurs. Tableau 4-2 décrit les types de risques de sécurité contre lesquels le client se protège. Tableau 4-2 Risque de sécurité Robots Web malveillants Types de risques de sécurité Description Programmes qui exécutent des tâches automatisées sur Internet à des fins malveillantes. Des robots Web peuvent être utilisés pour automatiser des attaques sur des ordinateurs ou pour collecter des informations de sites Web. Menaces combinées Menaces qui combinent les caractéristiques des virus, des vers, des chevaux de Troie et des codes malveillants avec les vulnérabilités de serveur et d'internet pour lancer, transmettre et propager une attaque. Les menaces combinées utilisent plusieurs méthodes et techniques pour se propager rapidement et causent des dommages étendus à travers un réseau.

56 56 Gestion de la protection antivirus et antispyware A propos des virus et des risques de sécurité Risque de sécurité Logiciel de publicité Composeurs Outils de piratage Programmes plaisanterie Autres Programmes d'accès distant Spyware Description Les programmes qui collectent secrètement des informations personnelles par Internet et les renvoient à un autre ordinateur. Ces logiciels peuvent surveiller vos habitudes de navigation dans un but publicitaire. Ils peuvent également diffuser des contenus publicitaires. Programmes qui utilisent un ordinateur, sans permission ou connaissance de l'utilisateur, pour composer un numéro 900 ou un site FTP. Ces programmes augemententtypiquement les frais. Les programmes que le pirate utilise pour avoir l'accès non autorisé à l'ordinateur d'un utilisateur. Une exemple est un programme d'enregistrement automatique des frappes qui piste et enregistre chaque frappe au clavier et envoie ces informations au pirate. Le pirate peut ensuite effectuer des analyses de port ou de vulnérabilité. Les outils de piratage peuvent également servir à créer des virus. Programmes qui altèrent ou interrompent le fonctionnement d'un ordinateur d'une manière qui se veut amusante ou effrayante. Par exemple, un programme téléchargé depuis un site Web, dans un courrier électronique ou dans un programme de messagerie instantanée. Il peut alors éloigner la Corbeille de la souris quand l'utilisateur essaye de la vider. Il peut également inverser les boutons de la souris. Tous autres risques de sécurité qui ne se conforment pas aux définitions strictes des virus, des chevaux de Troie, des vers ou d'autres catégories de risque de sécurité. Programmes permettant d'accéder à Internet à partir d'un autre ordinateur afin d'obtenir des informations ou d'attaquer ou d'altérer votre ordinateur. Vous pourriez installer un programme légitime d'accès à distance. Un processus pourrait installer ce type d'application sans votre connaissance. Le programme peut être utilisé à des fins malveillantes avec ou sans modification du programme d'accès à distance d'origine. Programmes pouvant surveiller secrètement les activités du système et détecter des mots de passe et autres informations confidentielles pour les retransmettre à un autre ordinateur. Le logiciel espion peut être téléchargé à partir des sites Web, des messages électroniques, des messages instantanés et des connexions directes par fichier. En outre, un utilisateur peut à son insu recevoir le logiciel espion en acceptant un contrat de licence utilisateur final d'un logiciel.

57 Gestion de la protection antivirus et antispyware Comment le client réagit aux virus et aux risques de sécurité 57 Risque de sécurité logiciel de suivi Description Applications autonomes ou ajoutées qui suivent l'itinéraire d'un utilisateur sur Internet et envoient les informations au système cible. Par exemple, l'application peut être téléchargée depuis un site Web, dans un courrier électronique ou dans un programme de messagerie instantanée. Elle peut ensuite obtenir des informations confidentielles concernant le comportement de l'utilisateur. Par défaut, les analyses effectuent les opérations suivantes : Détection, élimination et réparation des effets secondaires des virus, des vers, des chevaux de Troie et des menaces combinées. Détection, suppression et réparation des effets secondaires des risques de sécurité, tels que les logiciels publicitaires, composeurs, outils de piratage, programmes blague, programmes d'accès à distance, spywares, logiciels de suivi et autres. Le site Web de Symantec Security Response fournit les informations les plus récentes sur les menaces et les risques de sécurité. Ce site contient également des données de référence exhaustives, comme des documents techniques, et des informations détaillées concernant les virus et les risques de sécurité. Comment le client réagit aux virus et aux risques de sécurité Le client protège les ordinateurs contre les virus et les risques de sécurité de toutes origines. Les ordinateurs sont protégés contre les virus et les risques de sécurité qui se propagent à partir des disques durs et des disquettes, et contre les virus qui sont transmis sur les réseaux. Les ordinateurs sont également protégés contre les virus et les risques de sécurité qui se propagent à partir des pièces jointes à des messages électroniques ou d'autre manière. Par exemple, un risque de sécurité peut s'installer sur votre ordinateur à votre insu lorsque vous accédez à Internet. Les fichiers contenus dans des fichiers compressés sont analysés et nettoyés des virus et risques de sécurité. Aucun programme distinct ou changement d'option n'est nécessaire pour les virus se propageant sur Internet. Auto-Protect analyse automatiquement les programmes décompressés et les fichiers de documents lors de leur téléchargement. Quand le client détecte un virus, il essaye par défaut de nettoyer le virus à partir du fichier infecté. Le client essaye également de réparer les effets du virus. Si le client nettoie le fichier, il supprime complètement le risque de votre ordinateur.

58 58 Gestion de la protection antivirus et antispyware A propos des paramètres antivirus et antispyware Si le client ne peut pas nettoyer le fichier, il le déplace vers la quarantaine. Le virus ne peut pas se propager depuis la quarantaine. Quand vous mettez à jour votre ordinateur avec de nouvelles définitions de virus, le client vérifie automatiquement la quarantaine. Vous pouvez réanalyser les éléments en quarantaine. Les dernières définitions peuvent peut-être nettoyer ou réparer les fichiers précédemment mis en quarantaine. Remarque : Votre administrateur peut choisir d'analyser automatiquement les fichiers en quarantaine. Par défaut, pour des risques de sécurité, le client met en quarantaine les fichiers infectés. Le client ramène également les informations système que le risque de sécurité a modifiées à leur état précédent. Certains risques de sécurité ne peuvent être complètement supprimés sans provoquer l'échec d'un autre programme de votre ordinateur, tel qu'un navigateur Web. Vos paramètres antivirus et de protection antispyware peuvent ne pas traiter le risque automatiquement. Dans ce cas, le client vous interroge avant d'arrêter un processus ou de redémarrer votre ordinateur. Vous pouvez également configurer vos paramètres pour utiliser l'action Consigner pour les risques de sécurité. Quand le logiciel client découvre des risques de sécurité, il inclut un lien vers Symantec Security Response dans la fenêtre d'analyse. Sur le site Web de Symantec Security Response vous pouvez en apprendre davantage sur le risque de sécurité. Votre administrateur système peut également vous envoyer un message personnalisé. A propos des paramètres antivirus et antispyware Le client inclut par défaut les paramètres antivirus et antispyware appropriés pour la plupart des utilisateurs. Vous pouvez modifier les paramètres pour les personnaliser pour votre réseau de sécurité. Vous pouvez personnaliser des paramètres de politique pour les analyses Auto-Protect, planifiées, au démarrage et à la demande. Les paramètres contre les virus et les spywares incluent les paramètres suivants : Eléments à analyser Mesures à prendre si un virus ou un risque de sécurité est détecté

59 Gestion de la protection antivirus et antispyware A propos de l'analyse des fichiers 59 A propos de l'analyse des fichiers Les analyses antivirus et antispyware analysent tous les types de fichier par défaut. Les analyses planifiées, au démarrage et à la demande examinent également tous les types de fichier par défaut. Vous pouvez choisir d'analyser les fichiers selon leur extension, mais vous réduisez votre protection contre les virus et les risques de sécurité. Si vous sélectionnez des extensions de fichier pour l'analyse, Auto-Protect peut déterminer le type d'un fichier même si un virus modifie l'extension du fichier. Se reporter à "Configuration d'auto-protect pour déterminer les types de fichier à analyser" à la page 66. Vous pouvez également choisir d'exclure de l'analyse des fichiers spécifiques. Par exemple, vous pourriez savoir qu'un fichier ne déclenche pas une alerte virale pendant une analyse. Vous pouvez exclure le fichier de vos analyses ultérieures. Lorsque vos applications de messagerie utilisent un seul fichier de boîte de réception Si votre application de messagerie électronique enregistre tout le courrier dans un unique fichier, vous devriez créer une exception centralisée pour exclure le fichier de boîte de réception des analyses. Les applications de messagerie qui enregistrent tout le courrier électronique dans un unique fichier de boîte de réception incluent Outlook Express, Eudora, Mozilla et Netscape. Le client pourrait être configuré pour mettre en quarantaine un virus qu'il détecte. Si le client détecte le virus dans le fichier de boîte de réception, il met en quarantaine la boîte de réception toute entière. Si le client met en quarantaine la boîte de réception, vous ne pouvez plus accéder à votre courrier électronique. Symantec ne recommande pas habituellement d'exclure des fichiers des analyses. Cependant, quand vous excluez le fichier de boîte de réception des analyses, le client peut toujours détecter les virus quand vous ouvrez des messages. Si le client trouve un virus quand vous ouvrez un message, il peut sans risque mettre en quarantaine ou supprimer le message. Vous pouvez exclure le fichier en configurant une exception centralisée. A propos de l'analyse par extension Le client peut analyser votre ordinateur selon les extensions. Vous pouvez choisir parmi différents types de fichier :

60 60 Gestion de la protection antivirus et antispyware A propos de l'analyse des fichiers Fichiers de document Fichiers de programme Ce type de fichier comprend les documents Microsoft Word et Excel, ainsi que les fichiers de modèle qui leur sont associés. Le client recherche les infections de virus de macro dans les documents. Ce type de fichier comprend les fichiers.dll (Dynamic Link Library - Bibliothèque de liaisons dynamiques), les fichiers batch (.bat), les fichiers de commandes (.com), les fichiers exécutables (.exe) et tout autre fichier programme. Le client recherche les infections de virus dans les fichiers programme. Pour ajouter des extensions de fichier à la liste d'analyses Auto-Protect 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 Près de Protection antivirus et antispyware, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de protection antivirus et antispyware, sous l'onglet Auto-Protect pour le système de fichiers, sous Types de fichier, cliquez sur Sélection. 4 Cliquez sur Extensions. 5 Dans la zone de texte, tapez l'extension à ajouter, puis cliquez sur Ajouter. 6 Répétez l'étape 5 de manière appropriée, puis cliquez sur OK. 7 Cliquez sur OK. Pour ajouter des extensions de fichier à la liste d'analyses pour une analyse à la demande, planifiée ou au démarrage 1 Dans le client, dans la barre latérale, cliquez sur Rechercher les menaces. 2 Cliquez avec le bouton droit de la souris sur l'analyse pour laquelle vous voulez ajouter des extensions de fichier, puis sélectionnez Edition. Les modifications ne s'appliquent qu'à l'analyse sélectionnée. 3 Dans l'onglet Options d'analyse, sous Types de fichier, sélectionnez Extensions sélectionnées, puis cliquez sur Extensions. 4 Saisissez l'extension à ajouter, puis cliquez sur Ajouter. 5 Répétez l'étape 4 de manière appropriée, puis cliquez sur OK. 6 Cliquez sur OK. A propos de l'analyse de tous les types de fichier Le client peut analyser tous les fichiers de l'ordinateur, quelle que soit leur extension. L'analyse de tous les fichiers assure la protection la plus complète. Elle

61 Gestion de la protection antivirus et antispyware Lorsque le client détecte un virus ou un risque de sécurité 61 prend davantage de temps que l'analyse par extension, mais vous assure une meilleure protection contre les virus et les risques de sécurité. A propos de la protection contre les virus de macro Le client détecte et supprime automatiquement la plupart des virus de macro de Microsoft Word et d'excel. Quand vous exécutez régulièrement des analyses planifiées, vous pouvez protéger votre ordinateur des infections de virus de macro. Auto-Protect recherche et nettoie régulièrement tous les virus de macro qu'il détecte. Pour une protection optimale contre les virus de macro, procédez comme suit : Activez Auto-Protect. Auto-Protect analyse constamment les fichiers qui ont été accédés ou modifiés. Activez Auto-Protect pour votre messagerie électronique, si cette fonctionnalité est disponible. Protégez vos fichiers de modèle globaux en désactivant les macros automatiques. Lorsque le client détecte un virus ou un risque de sécurité Quand les virus et les risques de sécurité infectent des fichiers, le client réagit aux types de risque de différentes manières. Pour chaque type de risque, le client utilise une première action, puis applique une deuxième action si la première action échoue. Par défaut, quand le client détecte un virus, il essaye d'abord d'éliminer le virus du fichier infecté. Puis, si le client ne peut pas nettoyer le fichier, il consigne l'échec et déplace le fichier infecté vers la Quarantaine. Par défaut, quand le client détecte un risque de sécurité, il le met en quarantaine. Il essaye également de supprimer ou réparer toutes les modifications que le risque de sécurité a apportées. Si le client ne peut pas mettre en quarantaine un risque de sécurité, il consigne le risque et le laisse inchangé. Remarque : Dans la Quarantaine, le risque ne peut pas se propager. Quand un client déplace un fichier vers la Quarantaine, vous n'avez plus accès au fichier. Le client peut également inverser ses modifications pour les éléments qu'il met en quarantaine.

62 62 Gestion de la protection antivirus et antispyware A propos d'auto-protect Pour chaque type d'analyse, vous pouvez modifier les paramètres pour la façon dont le client traite les virus et les risques de sécurité. Vous pouvez définir différentes actions pour chaque catégorie de risque et pour des risques de sécurité individuels. Remarque : Dans certains cas, vous pouvez inconsciemment installer une application incluant un risque de sécurité tel qu'un logiciel publicitaire ou un spyware. Si Symantec a déterminé que mettre en quarantaine le risque ne nuit pas à l'ordinateur, alors le client met le risque en quarantaine. Si le client met le risque en quarantaine immédiatement, son action peut laisser l'ordinateur dans un état instable. Au lieu de cela, le client attend que l'installation d'application soit terminée avant de mettre le risque en quarantaine. Il répare ensuite les effets du risque. A propos d'auto-protect Auto-Protect est votre meilleure défense contre les attaques virales. Chaque fois que vous accédez à un fichier, que vous le copiez, l'enregistrez, le déplacez ou l'ouvrez, Auto-Protect l'analyse pour vérifier qu'il ne contient aucun virus. Auto-Protect analyse les extensions de fichier qui contiennent un code exécutable et tous les fichiers.exe et.doc. Auto-Protect peut déterminer le type d'un fichier même lorsqu'un virus en modifie l'extension. Par exemple, un virus pourrait modifier une extension de fichier pour une autre, différente des extensions de fichier que vous avez configuré Auto-Protect pour analyser. Vous pouvez activer ou désactiver Auto-Protect si votre administrateur ne verrouille pas le paramètre. A propos d'auto-protect et des risques de sécurité Par défaut, Auto-Protect effectue les actions suivantes : Il recherche les risques de sécurité tels que les logiciels publicitaires et les spywares. Met en quarantaine les fichiers infectés Supprime ou répare les effects secondaires des risques de sécurité Vous pouvez désactiver l'analyse des risques de sécurité dans Auto-Protect. Se reporter à "Désactivation et activation de l'analyse et du blocage des risques de sécurité dans Auto-Protect" à la page 67.

63 Gestion de la protection antivirus et antispyware A propos d'auto-protect 63 Si Auto-Protect détecte un processus qui télécharge continuellement un risque de sécurité vers votre ordinateur, Auto-Protect affiche une notification et consigne la détection. (Auto-Protect doit être configuré pour envoyer des notifications.) Si le processus continue à télécharger le même risque de sécurité, des notifications multiples apparaissent sur l'ordinateur et Auto-Protect consigne des événements multiples. Pour empêcher des notifications et des événements consignés multiples, Auto-Protect cesse automatiquement d'envoyer des notifications au sujet du risque de sécurité après trois détections. Auto-Protect arrête également de consigner l'événement après trois détections. Dans quelques situations, Auto-Protect n'arrête pas d'envoyer des notifications et de consigner des événements pour le risque de sécurité. Auto-Protect continue à envoyer des notifications et à consigner des événements quand l'une des situations suivantes est vraie : Sur les ordinateurs client, l'administrateur ou vous-même avez désactivé le blocage de l'installation des risques de sécurité (le paramètre par défaut est activé). L'action pour le type de risque de sécurité des téléchargements de processus est Ignorer. A propos d'auto-protect et de l'analyse de messagerie Auto-Protect analyse également des clients de messagerie "groupware" pris en charge. Les clients de messagerie suivants sont protégés : Lotus Notes 4.5x, 4.6, 5.0 et 6.x Microsoft Outlook 98/2000/2002/2003/2007 (MAPI et Internet) Microsoft Exchange client 5.0 et 5.5 Remarque : Auto-Protect fonctionne uniquement avec votre client de messagerie pris en charge. Il ne protège pas les serveurs de messagerie. Auto-Protect analyse également des programmes de messagerie électronique supplémentaires en surveillant tout le trafic qui utilise les protocoles de communication POP3 ou SMTP. Vous pouvez configurer le logiciel client pour analyser les risques dans les messages entrants et sortants. L'analyse des messages sortants contribue à empêcher la diffusion des menaces qui utilisent des clients de messagerie pour se répliquer et se distribuer à travers un réseau.

64 64 Gestion de la protection antivirus et antispyware A propos d'auto-protect Remarque : L'analyse de la messagerie Internet n'est pas prise en charge sur les ordinateurs 64 bits. Pour l'analyse des courriers électroniques Lotus Notes et Microsoft Exchange, Auto-Protect analyse seulement les pièces jointes associées au courrier électronique. Pour l'analyse des messages électroniques Internet utilisant les protocoles POP3 ou SMTP, Auto-Protect analyse les éléments suivants : Le corps du message Toutes les pièces jointes au message Quand vous ouvrez un message avec une pièce jointe, la pièce jointe est immédiatement téléchargée sur votre ordinateur et analysée quand les conditions suivantes sont vraies : Vous utilisez le client Microsoft Exchange ou Microsoft Outlook au-dessus de MAPI. Auto-Protect est activé pour le courrier électronique. Avec une connexion lente, le téléchargement de messages avec des pièces jointes volumineuses peut dégrader les performances de la messagerie. Vous pouvez désactiver cette fonction si vous recevez souvent des pièces jointes de grande taille. Se reporter à "Désactivation et activation de l'analyse et du blocage des risques de sécurité dans Auto-Protect" à la page 67. Remarque : Si un virus est détecté lorsque vous ouvrez un message électronique, l'ouverture de celui-ci peut demander quelques secondes, le temps que Symantec AntiVirus en termine l'analyse. L'analyse du courrier électronique ne prend pas en charge les clients de messagerie suivants : Clients IMAP Clients AOL Courrier électronique Web tel que Hotmail, Yahoo! Mail et GMAIL

65 Gestion de la protection antivirus et antispyware A propos d'auto-protect 65 Désactivation du traitement par Auto-Protect des connexions de messagerie chiffrées Vous pouvez envoyer et recevoir du courrier électronique sur un lien sécurisé. Par défaut, Auto-Protect pour le courrier électronique Internet prend en charge les mots de passe chiffrés et le courrier électronique POP3 et SMTP. Si vous utilisez POP3 ou SMTP avec Secure Sockets Layer (SSL), le client détecte les connexions sécurisées mais n'analyse pas les messages chiffrés. Quoiqu'Auto-Protect n'analyse pas le courrier électronique qui utilise des connexions sécurisées, Auto-Protect continue à protéger des ordinateurs des risques présents dans les pièces jointes. Auto-Protect analyse les pièces jointes de messagerie lorsque vous les enregistrez sur le disque dur. Remarque : Pour des raisons de performance, Auto-Protect pour le courrier électronique Internet pour POP3 n'est pas pris en charge sur les systèmes d'exploitation serveur. Si nécessaire, vous pouvez désactiver le traitement des messages électroniques chiffrés. Quand ces options sont désactivées, Auto-Protect analyse le courrier électronique non chiffré envoyé ou reçu, mais bloque les messages chiffrés. Si vous activez les options, puis essayez d'envoyer du courrier électronique chiffré, Auto-Protect bloque le courrier électronique jusqu'à ce que vous redémarriez votre application de messagerie. Remarque : Si vous désactivez les connexions chiffrées pour Auto-Protect, la modification n'entre en vigueur que lorsque vous avez fermé ou rouvert la session Windows. Si vous devez être sûr que votre modification prend effet immédiatement, fermez la session et rouvrez-la. Pour désactiver le traitement par Auto-Protect des connexions de messagerie chiffrées 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 Près de Protection antivirus et antispyware, cliquez sur Configurer les paramètres. 3 Sur l'onglet Messagerie électronique Auto-Protect, cliquez sur Avancé. 4 Sous Paramètres de connexion, supprimez la coche Autoriser les connexions POP3 chiffrées et Autoriser les connexions SMTP chiffrées. 5 Cliquez sur OK.

66 66 Gestion de la protection antivirus et antispyware A propos d'auto-protect Affichage des statistiques d'analyse d'auto-protect Les statistiques d'analyse d'auto-protect affichent l'état de la dernière analyse, le dernier fichier analysé, ainsi que des informations propres aux infections virales et aux risques de sécurité. Pour afficher les statistiques d'analyse d'auto-protect Affichage de la liste des risques Dans le client, sur la page Etat, à côté de Protection 'antivirus et antispyware, cliquez sur Options>Afficherlesstatistiquesd'Auto-Protectpourlesystème de fichiers. Vous pouvez afficher les risques actuels que le client détecte. La liste correspond à vos définitions de virus actuelles. Pour afficher la liste des risques Dans le client, sur la page Etat, à côté de Protection antivirus et antispyware, cliquez sur Options > Afficher la liste des menaces. Configuration d'auto-protect pour déterminer les types de fichier à analyser Par défaut, Auto-Protect analyse tous les fichiers. Vous pouvez effectuer des analyses plus rapides en les limitant aux fichiers portant des extensions spécifiques. Par exemple, vous pouvez analyser seulement les extensions suivantes :.exe.com.dll.doc.xls Généralement, les virus n'affectent que certains types de fichier. Cependant, si vous n'analysez que les fichiers portant les extensions sélectionnées, le niveau de protection sera inférieure car Auto-Protect n'analysera pas tous les fichiers. La liste des extensions par défaut représente les fichiers les plus susceptibles d'être infectés par des virus. Auto-Protect analyse les extensions de fichier qui contiennent du code exécutable et tous les fichiers.exe et.doc. La fonction peut également déterminer un type de

67 Gestion de la protection antivirus et antispyware A propos d'auto-protect 67 fichier, même lorsqu'un virus change l'extension du fichier. Par exemple, il analyse les fichiers.doc même si un virus modifie l'extension. Pour assurer une protection maximale contre les virus et les risques de sécurité, il est conseillé de configurer Auto-Protect pour qu'il analyse tous les types de fichier. Pour configurer Auto-Protect pour déterminer les types de fichier à analyser 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 Près de Protection antivirus et antispyware, cliquez sur Configurer les paramètres. 3 Dans un onglet Auto-Protect, sous Types de fichier, effectuez l'une des opérations suivantes : Cliquez sur Tous les types pour analyser tous les fichiers. Cliquez sur Sélection pour analyser uniquement les fichiers dont l'extension se trouve dans la liste, puis cliquez sur Extensions pour modifier la liste par défaut des extensions de fichier. 4 Si vous avez sélectionné l'option Sélection, cochez ou supprimez la coche Déterminer les types de fichier en étudiant le contenu des fichiers. 5 Cliquez sur OK. Désactivation et activation de l'analyse et du blocage des risques de sécurité dans Auto-Protect Par défaut, Auto-Protect effectue les actions suivantes : Il recherche les risques de sécurité tels que les logiciels publicitaires et les spywares. Il met en quarantaine les fichiers infectés. Il tente de supprimer ou de réparer les effets des risques de sécurité. Dans le cas où le blocage de l'installation d'un risque de sécurité n'affecte pas la stabilité de l'ordinateur, Auto-Protect bloque également l'installation par défaut. Si Symantec détermine que le blocage d'un risque de sécurité peut affecter la stabilité d'un ordinateur, la protection automatique laisse le risque ouvert. De plus, Auto-Protect effectue immédiatement l'opération configurée pour le risque. Dans certains cas, il peut être nécessaire de désactiver la recherche des risques de sécurité dans les analyses Auto-Protect, puis de la réactiver. Il peut également être nécessaire de désactiver le blocage des risques de sécurité pour contrôler le moment où Auto-Protect réagit à certains risques de sécurité.

68 68 Gestion de la protection antivirus et antispyware A propos d'auto-protect Remarque : Votre administrateur peut verrouiller ces paramètres. Pour activer/désactiver l'analyse et le blocage des risques de sécurité dans Auto-Protect 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 Près de Protection antivirus et antispyware, cliquez sur Configurer les paramètres. 3 Sur l'onglet Auto-Protect pour le système de fichiers, sous Options, effectuez l'une des opérations suivantes : Cochez ou supprimez la coche Rechercher les risques de sécurité. Cochez ou supprimez la coche Bloquer l'installation des risques de sécurité. Cochez ou supprimez la coche Analyserlesfichierssurleslecteursréseau. 4 Cliquez sur OK. Configuration de paramètre d'analyse réseau La configuration des options d'analyse réseau couvre les points suivants : Déterminer si Auto-Protect doit considérer comme sûrs les fichiers se trouvant sur des ordinateurs distants qui exécutent Auto-Protect. Déterminer si votre ordinateur doit utiliser un cache pour stocker un enregistrement des fichiers réseau analysés par Auto-Protect. Par défaut, Auto-Protect analyse les fichiers pendant leur écriture depuis votre ordinateur vers un ordinateur distant. Auto-Protect analyse également les fichiers pendant leur écriture à partir d'un ordinateur distant vers votre ordinateur. Cependant, lorsque vous lisez des fichiers se trouvant sur un ordinateur distant, Auto-Protect peut ne pas les analyser. Par défaut, Auto-Protect tente de faire confiance aux versions d'auto-protect se trouvant sur les ordinateurs distants. Si l'option de confiance est activée sur les deux ordinateurs, la version locale d'auto-protect vérifie les paramètres de la version d'auto-protect sur l'ordinateur distant. Si les paramètres de la version d'auto-protect se trouvant sur l'ordinateur distant fournissent un niveau de sécurité au moins aussi élevé que les paramètres de la version locale, la version locale fait confiance à la version distante. Dans le cas où la version locale d'auto-protect fait confiance à la version distante, la version locale n'analyse pas les fichiers lus à partir de l'ordinateur distant. L'ordinateur local considère que la version distante d'auto-protect a déjà analysé les fichiers.

69 Gestion de la protection antivirus et antispyware A propos d'auto-protect 69 Remarque : La version locale d'auto-protect analyse toujours les fichiers que vous copiez à partir d'un ordinateur distant. L'option de confiance est activée par défaut. La désactivation de l'option de confiance peut réduire les performances réseau. Pour désactiver l'option de confiance dans les versions distantes d'auto-protect 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 Près de Protection antivirus et antispyware, cliquez sur Configurer les paramètres. 3 Sur l'onglet Auto-Protect pour le système de fichiers, cliquez sur Avancé. 4 Dans la boîte de dialogue Auto-Protect - Options avancées, sous Options avancées supplémentaires, cliquez sur Réseau. 5 Sous Paramètres d'analyse réseau, supprimez la coche Faire confiance aux fichiers sur les ordinateurs distants exécutant Auto-Protect. 6 Cliquez sur OK jusqu'à ce que vous soyiez revenu à la fenêtre principale. Vous pouvez configurer votre ordinateur pour qu'il utilise un cache réseau. Ce cache réseau stocke un enregistrement des fichiers qu'auto-protect a analysés à partir d'un ordinateur distant. En utilisant un cache réseau, vous empêchez Auto-Protect d'analyser le même fichier plusieurs fois. Cela permet d'améliorer les performances du système. Vous pouvez définir le nombre de fichiers (entrées) qu'auto-protect doit analyser et mémoriser. Vous pouvez également définir le délai à observer avant que votre ordinateur supprime les entrées du cache. Une fois que le délai a expiré, votre ordinateur supprime les entrées. Auto-Protect analysera les fichiers si vous les demandez de nouveau à l'ordinateur distant. Pour configurer un cache réseau 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 Près de Protection antivirus et antispyware, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de protection antivirus et antispyware, dans l'onglet Auto-Protect pour le système de fichiers, cliquez sur Avancé. 4 Dans la boîte de dialogue Auto-Protect - Options avancées, sous Options avancées supplémentaires, cliquez sur Réseau. 5 Dans la boîte de dialogue Paramètres d'analyse réseau, cochez ou désélectionnez Cache réseau.

70 70 Gestion de la protection antivirus et antispyware Utilisation des analyses antivirus et antispyware 6 Si vous avez activé le cache réseau, utilisez les paramètres par défaut ou effectuez l'une des opérations suivantes : Saisissez le nombre de fichiers (entrées) qu'auto-protect doit analyser et mémoriser (ou utilisez les flèches pour le définir). Saisissez la durée en secondes pendant laquelle les entrées doivent rester dans le cache avant que votre ordinateur efface le cache. 7 Cliquez sur OK jusqu'à ce que vous reveniez à la fenêtre principale. Utilisation des analyses antivirus et antispyware Auto-Protect est votre défense la plus puissante contre les infections virales et les risques de sécurité. En plus d'auto-protect, le client comprend plusieurs autres types d'analyses pour une protection supplémentaire. Tableau 4-3 décrit les types d'analyses. Tableau 4-3 Type Analyse personnalisée Analyse rapide Analyse complète Analyse planifiée Analyse de démarrage Définie par l'utilisateur Types d'analyses Description Analyse un fichier, un dossier, un lecteur ou l'intégralité de l'ordinateur à un moment quelconque. Vous devez sélectionner les parties de l'ordinateur à analyser. Analyse rapidement la mémoire système et les emplacements couramment attaqués par les virus et les risques de sécurité. Analyse l'ordinateur complet, y compris le secteur de démarrage et la mémoire système. Vous pouvez être amené à saisir un mot de passe pour analyser les lecteurs réseau. S'exécute automatiquement selon une fréquence spécifiée. S'exécute chaque fois que vous démarrez votre ordinateur et ouvrez une session. Analyse des ensembles de fichiers spécifiés à un moment quelconque. Tant que Auto-Protect est activé, une analyse rapide quotidienne et une seule analyse hebdomadaire planifiée de tous les fichiers assurent une protection suffisante. Si des virus attaquent fréquemment votre ordinateur, envisagez d'ajouter une analyse complète au démarrage ou une analyse planifiée quotidienne. Vous pouvez également configurer la fréquence des analyses qui recherchent les comportements suspects plutôt que des risques connus.

71 Gestion de la protection antivirus et antispyware Utilisation des analyses antivirus et antispyware 71 Se reporter à "Configuration de la fréquence d'exécution des analyses proactives des menaces TruScan" à la page 105. Mode de fonctionnement des analyses antivirus et antispyware Les analyses de protection identifient et neutralisent ou éliminent les virus et les risques de sécurité sur vos ordinateurs. Une analyse élimine un virus ou un risque à travers le processus suivant : Le moteur d'analyse parcoure les fichiers et d'autres composants de l'ordinateur pour détecter des traces de virus dans les fichiers. Chaque virus dispose d'une configuration reconnaissable appelée signature. Un fichier de définitions de virus contenant des signatures de virus connues, sans code de virus néfaste est installé sur l'ordinateur client. Le moteur d'analyse compare chaque fichier ou composant au fichier de définitions de virus. Si le moteur d'analyse trouve une correspondance, le fichier est infecté. Les fichiers de définitions permettent au moteur d'analyse de déterminer si un virus ou un risque a causé l'infection. Le moteur d'analyse prend alors une action de correction sur le fichier infecté. Pour réparer le fichier infecté, le client nettoie, supprime ou met le fichier en quarantaine. Tableau 4-4 décrit les composants que le client analyse sur l'ordinateur. Tableau 4-4 Composant Composants de l'ordinateur analysés par le client Description Fichiers sélectionnés Le client analyse des fichiers individuels. Dans la plupart des types d'analyse, vous pouvez sélectionner les fichiers à analyser. Le logiciel client utilise une analyse basée sur des modèles pour rechercher les traces de virus dans les fichiers. Les traces des virus sont appelées modèles ou signatures. Chaque fichier est comparé à des signatures inoffensives contenues dans un fichier de définitions de virus, ce qui permet de détecter des virus spécifiques. Si un virus est détecté, le client tente, par défaut, de le supprimer du fichier infecté. Si le fichier ne peut pas être nettoyé, le client le place en quarantaine pour éviter de contaminer les autres fichiers de votre ordinateur. Le client utilise également une analyse basée sur des modèles pour rechercher des symptômes de risques de sécurité dans les fichiers et les clés de registre de Windows. Si un risque de sécurité existe, le client, par défaut, met les fichiers infectés en quarantaine et répare les effets du risque. Si le client ne peut pas mettre en quarantaine les fichiers, il consigne la tentative.

72 72 Gestion de la protection antivirus et antispyware Utilisation des analyses antivirus et antispyware Composant Mémoire de l'ordinateur Secteur de démarrage Lecteur de disquette Description Le client analyse la mémoire de l'ordinateur. Tous les virus de fichier, virus de secteur de démarrage et virus de macro sont susceptibles de résider en mémoire. Les virus qui se trouvent en mémoire se sont copiés eux-mêmes dans la mémoire de l'ordinateur. Un virus peut se dissimuler en mémoire jusqu'à ce qu'un événement déclencheur se produise. Le virus peut alors infecter une disquette insérée dans le lecteur ou s'étendre au disque dur. Si un virus est dans la mémoire, il ne peut pas être nettoyé. Vous pouvez toutefois supprimer un virus de la mémoire en redémarrant l'ordinateur quand un message vous le propose. La client recherche les virus de secteur de démarrage dans le secteur de démarrage de l'ordinateur. Deux éléments sont vérifiés : les tables de partitions et la zone d'enregistrement de démarrage principal. Les disquettes constituent une source courante de propagation des virus. Une disquette peut se trouver dans le lecteur au moment du démarrage ou de l'arrêt de votre ordinateur. Au démarrage d'une analyse, le client analyse le secteur de démarrage et les tables de partitions de toute disquette se trouvant dans le lecteur. Lorsque vous éteignez votre ordinateur, vous êtes invité à retirer la disquette pour éviter tout risque d'infection. A propos des fichiers de définitions Les fichiers de virus incluent des bits de code qui présentent certaines configurations quand ils sont décomposés. Les configurations peuvent être tracées dans les fichiers infectés. Les configurations sont également appelées des signatures. Les risques de sécurité tels que les logiciels publicitaires et les spywares, possèdent également des signatures reconnaissables. Les fichiers de définitions de virus contiennent une liste des signatures de virus connues, sans le code nocif du virus et les signatures connues pour les risques de sécurité. Le logiciel d'analyse recherche dans les fichiers de votre ordinateur les signatures connues incluses dans les fichiers de définitions. S'il détecte une correspondance de virus, le fichier est infecté. Le client utilise le fichier de définitions pour déterminer le virus à l'origine de l'infection et réparer ses effets secondaires. Si un risque de sécurité est trouvé, le client utilise les fichiers de définitions pour mettre le risque en quarantaine et réparer ses effets secondaires. De nouveaux virus et risques de sécurité apparaissent régulièrement dans la communauté des ordinateurs. Assurez-vous que les fichiers de définitions sur votre ordinateur sont à jour. Vous devez vous assurer que le client peut détecter et nettoyer même les virus et les risques de sécurité les plus récents.

73 Gestion de la protection antivirus et antispyware Planification d'une analyse définie par l'utilisateur 73 A propos de l'analyse des fichiers compressés Les analyses antivirus et antispyware analysent dans les fichiers compressés. Par exemple, les analyses examinent les fichiers à l'intérieur des fichiers.zip. Votre administrateur peut spécifier une analyse jusqu'à 10 niveaux de profondeur pour les fichiers compressés contenant d'autres fichiers compressés. Consultez votre administrateur pour connaître les types d'analyses pris en charge sur les fichiers compressés. Si Auto-Protect est activé, n'importe quel fichier dans un fichier compressé est analysé. Planification d'une analyse définie par l'utilisateur Une analyse planifiée est un élément important de la protection contre les menaces et les risques de sécurité. Vous devriez planifier une analyse pour exécution au moins une fois chaque semaine pour garantir que votre ordinateur reste exempt de virus et de risques de sécurité. Lorsque vous créez une nouvelle analyse, celle-ci s'affiche dans la liste d'analyses, dans le volet Rechercher les menaces. Remarque : Si votre administrateur a créé une analyse planifiée, elle s'affiche dans la liste d'analyses, dans le volet Rechercher les menaces. Votre ordinateur doit être sous tension et les services Symantec Endpoint Protection doivent être chargés au moment planifié pour le déroulement de l'analyse. Par défaut, les services de Symantec Endpoint Protection sont chargés au redémarrage de l'ordinateur. Pour les clients gérés centralement, l'administrateur peut remplacer ces paramètres. Si vous planifiez plusieurs analyses pour le même ordinateur et que les analyses commencent en même temps, elles s'exécutent en séquence. La fin d'une analyse enclenche le commencement d'une autre. Par exemple, vous pouvez planifier trois analyses séparées pour se produire sur l'ordinateur à 13 h 00. Chaque analyse porte sur un lecteur différent. L'une analyse le lecteur C. Une autre le lecteur D. Une autre le lecteur E. Dans cet exemple, il est préférable de créer une analyse planifiée analysant les lecteurs C, D et E. Se reporter à "Analyse immédiate de l'ordinateur" à la page 36. Pour plus d'informations sur les options de chaque boîte de dialogue, cliquez sur Aide.

74 74 Gestion de la protection antivirus et antispyware Planification d'une analyse définie par l'utilisateur Pour planifier une analyse définie par l'utilisateur 1 Dans le client, dans la barre latérale, cliquez sur Rechercher les menaces. 2 Cliquez sur Créer une analyse. 3 Dans la boîte de dialogue Créer une analyse (éléments à analyser), sélectionnez l'un des types d'analyse suivants à planifier : Analyse active Analyse complète Analyse personnalisée Analyse les zones de l'ordinateur que les virus et les risques de sécurité infectent le plus généralement. Analyse l'ordinateur entier pour rechercher les virus et les risques de sécurité. Analyse les zones sélectionnées de l'ordinateur pour rechercher les virus et les risques de sécurité. 4 Cliquez sur Suivant. 5 Si vous avez sélectionné Analyse personnalisée, cochez les cases à cocher appropriées pour spécifier l'élément à analyser, puis cliquez sur Suivant. Les symboles ont les descriptions suivantes : Le fichier, lecteur ou dossier n'est pas sélectionné. S'il s'agit d'un lecteur ou d'un dossier, son contenu (fichiers ou dossiers) n'est pas non plus sélectionné. Le fichier ou dossier individuel est sélectionné. Le dossier ou le lecteur individuel est sélectionné. Tous les éléments contenus dans le dossier ou le lecteur sont également sélectionnés. Le dossier ou le lecteur n'est pas sélectionné, mais un ou plusieurs des éléments qu'il contient le sont.

75 Gestion de la protection antivirus et antispyware Planification d'une analyse définie par l'utilisateur 75 6 Dans la boîte de dialogue Créer une analyse(options d'analyse), vous pouvez modifier l'une des options suivantes : Types de fichier Actions Notifications Avancé Améliorations de l'analyse Exceptions centralisées Modifier les extensions de fichier que le client analyse. Le paramètre par défaut consiste à analyser tous les fichiers. Sélectionnez l'action principale et l'action secondaire à effectuer quand des virus et des risques de sécurité sont détectés. Construisez un message à afficher quand un virus ou un risque de sécurité est trouvé. Vous pouvez également définir si vous voulez être notifié avant que les actions de remédiation n'interviennent. Modifiez des fonctions d'analyse supplémentaires, telles que l'affichage de la boîte de dialogue des résultats de l'analyse. Modifier les composants d'ordinateur que le client analyse. Les options disponibles dépendent des éléments sélectionnés dans l'étape 3. Ajouter les éléments que le client exclut de l'analyse. 7 Cliquez sur Suivant. 8 Dans la boîte de dialogue Créer une analyse (moment de l'analyse), cliquez sur Aux heures spécifiées, puis cliquez sur Suivant. Vous pouvez également créer une analyse à la demande ou de démarrage. Se reporter à "Planification d'une analyse à exécuter sur demande ou quand l'ordinateur démarre" à la page Dans la boîte de dialogue Créer une analyse (planification), spécifiez la fréquence et le moment de l'analyse, puis cliquez sur Suivant. 10 Dans la boîte de dialogue Créer une analyse (nom de l'analyse), saisissez un nom et une description de l'analyse. Par exemple, désignez l'analyse : vendredi matin 11 Cliquez sur Terminer. Planification d'une analyse à exécuter sur demande ou quand l'ordinateur démarre Vous pouvez compléter une analyse planifiée avec une analyse automatique à chaque démarrage de votre ordinateur ou de votre connexion. Généralement,

76 76 Gestion de la protection antivirus et antispyware Planification d'une analyse définie par l'utilisateur l'analyse au démarrage se limite aux dossiers importants et à haut risque, comme le dossier Windows et les dossiers contenant les modèles Word et Excel. Votre client inclut également une analyse au démarrage appelée analyse rapide générée automatiquement. L'analyse auto-générée vérifie les points d'infection communs sur l'ordinateur chaque fois qu'un utilisateur ouvre une session sur l'ordinateur. Vous pouvez modifier cette analyse de la même manière que vous pouvez configurer n'importe quelle analyse à la demande. Cependant, vous ne pouvez pas désactiver les analyses des fichiers en mémoire et les autres points d'infection communs sur l'ordinateur. Si vous analysez régulièrement le même ensemble de fichiers ou de dossiers, vous pouvez créer une analyse limitée aux éléments concernés. A tout moment, vous pouvez rapidement vérifier que les fichiers et les dossiers indiqués sont exempts de virus et d'autres risques de sécurité. Vous devez exécuter manuellement les analyses sur demande. Si vous créez plusieurs analyses au démarrage, elles seront exécutées dans l'ordre de leur création. Votre administrateur a peut-être configuré le client de sorte que vous ne puissiez pas créer une analyse au démarrage. Se reporter à "Analyse immédiate de l'ordinateur" à la page 36. Pour plus d'informations sur les options de chaque boîte de dialogue, cliquez sur Aide. Pour planifier une analyse à exécuter sur demande ou au démarrage de l'ordinateur 1 Dans le client, dans la barre latérale, cliquez sur Rechercher les menaces. 2 Cliquez sur Créer une analyse. 3 Suivez les étapes 3 à 7 pour créer une analyse planifiée. Se reporter à "Planification d'une analyse définie par l'utilisateur" à la page Dans la boîte de dialogue de Créer une nouvelle analyse (moment de l'exécution) pour effectuer l'une des actions suivantes : Cliquez sur Au démarrage. Cliquez sur A la demande. 5 Cliquez sur Suivant. 6 Dans la boîte de dialogue Créer une nouvelle analyse (nom de l'analyse), saisissez un nom et une description pour l'analyse. Par exemple, désignez l'analyse : MonAnalyse1 7 Cliquez sur Terminer.

77 Gestion de la protection antivirus et antispyware Modification et suppression d'analyses au démarrage, définies par l'utilisateur et planifiées 77 Modification et suppression d'analyses au démarrage, définies par l'utilisateur et planifiées Vous pouvez modifier et supprimer des analyses au démarrage, définies par l'utilisateur et planifiées. Certaines options peuvent être grisées si elles ne peuvent être configurées pour un type d'analyse particulier. Pour modifier une analyse 1 Dans le client, dans la barre latérale, cliquez sur Rechercher les menaces. 2 Dans la liste d'analyses, cliquez avec le bouton droit de la souris sur l'analyse que vous voulez modifier et puis cliquez sur Edition. 3 Faites les modifications appropriées sur les onglets Eléments à analyser, Options et Général. Pour les analyses planifiées, vous pouvez également modifier la planification. 4 Cliquez sur OK. Pour supprimer une analyse 1 Dans le client, dans la barre latérale, cliquez sur Rechercher les menaces. 2 Dans la liste d'analyses, cliquez avec le bouton droit de la souris sur l'analyse que vous voulez supprimer, puis cliquez sur Supprimer. 3 Dans la boîte de dialogue de confirmation, cliquez sur Oui. Interprétation des résultats des analyses Toutes les fois qu'une analyse à la demande, planifiée, au démarrage ou définie par l'utilisateur s'exécute, le logiciel client affiche par défaut une boîte de dialogue d'avancement de l'analyse pour signaler la progression. En outre, Auto-Protect peut afficher une boîte de dialogue de résultats toutes les fois qu'il détecte un virus ou un risque de sécurité. Vous pouvez désactiver ces notifications. Dans un réseau géré de manière centralisée, la boîte de dialogue d'avancement d'analyse peut ne pas apparaître pour les analyses lancées par l'administrateur. De même, votre administrateur peut choisir de ne pas afficher les résultats quand le client détecte un virus ou un risque de sécurité. Si le client détecte des risques pendant l'analyse, la boîte de dialogue d'avancement d'analyse affiche des résultats avec les informations suivantes : Les noms des fichiers infectés Les noms des virus ou des risques de sécurité

78 78 Gestion de la protection antivirus et antispyware Interprétation des résultats des analyses Les actions que le client a exécutées sur les risques Par défaut, vous êtes averti chaque fois qu'un virus ou un risque de sécurité est détecté. Remarque : La langue du système d'exploitation sur lequel vous exécutez le client peut ne pas savoir interpréter certains caractères des noms de virus. Si le système d'exploitation ne peut pas interpréter les caractères, les caractères apparaissent comme des points d'interrogation dans les notifications. Par exemple, certains noms de virus Unicode peuvent contenir des caractères à deux octets. Sur les ordinateurs qui exécutent le client sur un système d'exploitation anglais, ces caractères apparaissent comme des points d'interrogation. Si vous configurez le logiciel client pour afficher une boîte de dialogue d'avancement de l'analyse, vous pouvez interrompre, redémarrer ou arrêter l'analyse. Lorsque l'analyse est terminée, les résultats apparaissent dans la liste. Si aucun virus ni risque de sécurité n'a été détecté, la liste reste vide et l'état est Terminé. Se reporter à "Suspension et report des analyses" à la page 37. A propos de l'interaction avec les résultats d'analyse ou les résultats d'auto-protect La boîte de dialogue d'avancement d'analyse et la boîte de dialogue de résultats d'auto-protect comportent des options similaires. Si le client doit mettre fin à un processus ou une application, ou arrêter un service, le bouton Supprimer le risque est actif. Vous ne pouvez pas fermer la boîte de dialogue si des risques signalés dans cette boîte de dialogue nécessitent une interaction de votre part. Tableau 4-5 décrit les options de la boîte de dialogue des résultats.

79 Gestion de la protection antivirus et antispyware Interprétation des résultats des analyses 79 Tableau 4-5 Bouton Options de la boîte de dialogue des résultats d'analyse Description Supprimer les risques maintenant Affiche la boîte de dialogue Eliminer le risque. Dans la boîte de dialogue Eliminer le risque, vous pouvez sélectionner l'une des options suivantes pour chaque risque : Oui Le client supprime le risque. La suppression du risque peut impliquer de redémarrer l'ordinateur. Les informations de la boîte de dialogue indiquent si un redémarrage est requis. Non Lorsque vous fermez la boîte de dialogue des résultats, une boîte de dialogue s'affiche. La boîte de dialogue vous rappelle qu'une intervention de votre part est toujours nécessaire. Cependant, la boîte de dialogue Eliminer le risque ne s'affiche plus jusqu'à ce que vous redémarriez l'ordinateur. Fermer Ferme la boîte de dialogue des résultats si aucun des risques ne nécessite d'intervention. Si vous devez exécuter une action, l'une des notifications suivantes s'affiche. Suppression de risque requise S'affiche quand un risque nécessite l'arrêt de processus. Si vous décidez de supprimer le risque, vous revenez à la boîte de dialogue des résultats. Si un redémarrage est nécessaire, les informations dans la ligne du risque dans la boîte de dialogue indique qu'un redémarrage est nécessaire. Redémarrage requis S'affiche quand un risque nécessite un redémarrage. Suppression du risque et redémarrage requis S'affiche lorsqu'un risque implique d'arrêter les processus et un autre risque nécessite un redémarrage. Si un redémarrage est requis, la suppression ou la réparation n'est pas terminée jusqu'à ce que vous redémarriez l'ordinateur. Dans certains cas, une intervention sur un risque peut être nécessaire, mais vous préférez ne pas l'effectuer sur le moment. Le risque peut être supprimé ou réparé ultérieurement en procédant de l'une des manières suivantes : Ouvrir le journal des risques, cliquer avec le bouton droit de la souris sur le risque et choisir une action.

80 80 Gestion de la protection antivirus et antispyware Configuration des actions pour les virus et les risques de sécurité Exécuter une analyse pour détecter de nouveau le risque et rouvrir la boîte de dialogue des résultats. Vous pouvez également déclencher une action en cliquant avec le bouton droit de la souris sur un risque dans la boîte de dialogue et en sélectionnant une action. Les actions que vous pouvez effectuer dépendent des actions qui ont été configurées pour le type particulier de risque que l'analyse a détecté. Se reporter à "Action sur les fichiers infectés" à la page 22. Configuration des actions pour les virus et les risques de sécurité Vous pouvez configurer les actions que vous voulez que le client Symantec Endpoint Protection effectue quand il détecte un virus ou un risque de sécurité. Vous pouvez configurer une action principale et une action secondaire à effectuer si la première échoue. Remarque : Si un administrateur gère votre ordinateur et que ces options affichent un cadenas, vous ne pouvez pas modifier ces options car l'administrateur les a verrouillées. Vous configurez des actions pour n'importe quel type d'analyse de la même manière. Chaque analyse a sa propre configuration pour des actions. Vous pouvez configurer différentes actions pour différentes analyses. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans les procédures. Pour configurer des actions pour les virus et les risques de sécurité 1 Dans la barre latérale dans le client, cliquez sur Changer les paramètres. 2 Près de Protection antivirus et antispyware, cliquez sur Configurer les paramètres. 3 Dans l'onglet Auto-Protect pour le système de fichiers, cliquez sur Actions. 4 Dans la boîte de dialogue Actions, sélectionnez un type de virus ou de risque de sécurité dans l'arborescence. Par défaut, chaque sous-catégorie de risque de sécurité est automatiquement configurée pour utiliser les actions définies pour la catégorie entière de risques de sécurité.

81 Gestion de la protection antivirus et antispyware Configuration des actions pour les virus et les risques de sécurité 81 5 Pour configurer l'utilisation d'actions différentes pour une catégorie ou des instances particulières d'une catégorie, cochez Remplacer les actions configurées pour les risques de sécurité, puis définissez les actions qui concernent uniquement cette catégorie.

82 82 Gestion de la protection antivirus et antispyware Configuration des actions pour les virus et les risques de sécurité 6 Sélectionnez une action principale et une action secondaire parmi les options suivantes : Nettoyer le risque Supprime le virus du fichier. Il s'agit de la première action par défaut pour les virus. Remarque : Cette action est seulement disponible comme première action pour des virus. Cette action ne s'applique pas aux risques de sécurité. Ce paramètre devrait toujours être la première action pour les virus. Si le client parvient à supprimer un virus d'un fichier, aucune autre action n'est nécessaire. L'ordinateur ne contient plus de virus et ne peut plus propager le virus dans d'autres zones de l'ordinateur. Lorsque le client nettoie un fichier, il supprime le virus du fichier infecté, du secteur de démarrage ou des tables de partition infecté(es). Il empêche également le virus de se propager. Le client peut généralement détecter et supprimer un virus avant qu'il endommage l'ordinateur. Par défaut, le client sauvegarde le fichier. Toutefois, dans certains cas, le fichier nettoyé peut être inutilisable. Le virus peut avoir causé trop de dommages. Certains fichiers infectés ne peuvent pas être nettoyés. Mettre le risque en quarantaine Déplace le fichier infecté de son emplacement initial vers la zone de quarantaine. Les fichiers infectés déplacés vers la quarantaine ne peuvent pas en infecter d'autres. Pour les virus, transfère le fichier infecté de l'emplacement d'origine vers la quarantaine. Ce paramètre correspond à la seconde action par défaut exécutée pour les virus. Pour les risques de sécurité, le client transfère les fichiers infectés de l'emplacement d'origine vers la quarantaine et tente de supprimer ou réparer les effets induits. Ce paramètre correspond à la première action par défaut exécutée pour les risques de sécurité. La Quarantaine contient un enregistrement de toutes les actions qui ont été exécutées. Vous pouvez restaurer l'état de l'ordinateur qui existait avant la suppression du risque par le client

83 Gestion de la protection antivirus et antispyware Configuration des actions pour les virus et les risques de sécurité 83 Supprimer le risque Supprime le fichier infecté du disque dur de l'ordinateur. Si le client ne peut pas supprimer un fichier, les informations sur l'action exécutée par le client apparaît dans la boîte de dialogue Notification. Les informations apparaissent également dans le journal des événements. Utilisez cette action uniquement si vous pouvez remplacer le fichier par une copie de sauvegarde ne contenant aucun virus ou risque de sécurité. Quand le client supprime un risque, il le supprime de manière permanente. Le fichier infecté ne peut pas être récupéré depuis la Corbeille. Remarque : Utilisez cette action avec précaution lorsque vous définissez des actions pour les risques de sécurité. Dans certains cas, la suppression des risques de sécurité peut entraîner la perte de la fonctionnalité des applications. Conserver (consigner) Laisse le fichier comme est. Si vous utilisez cette action pour des virus, le virus reste dans les fichiers infectés. Le virus peut se propager à d'autres parties de votre ordinateur. Une entrée est insérée dans l'historique des risques pour conserver une trace du fichier infecté. Vous pouvez utiliser Conserver (consignation uniquement) comme seconde action pour les virus de macro et n'affectant pas les macros. Ne sélectionnez pas cette action lorsque vous exécutez des analyses automatiques à grande échelle, telles que des analyses planifiées. Utilisez cette action si vous voulez afficher les résultats d'analyse et exécuter une action supplémentaire plus tard. Une action supplémentaire pourrait être de déplacer le fichier vers la Quarantaine. Pour les risques de sécurité, cette action conserve le fichier infecté tel quel et place une entrée dans l'historique des risques pour conserver un enregistrement du risque. Utilisez cette action pour contrôler manuellement la gestion d'un risque de sécurité par le client. Ce paramètre est la seconde action par défaut des risques de sécurité. L'administrateur peut envoyer un message personnalisé qui explique comment répondre. Se reporter à "Astuces d'affectation d'actions secondaires pour les virus" à la page 84. Se reporter à "Astuces d'affectation d'actions secondaires pour les risques de sécurité" à la page 85.

84 84 Gestion de la protection antivirus et antispyware Configuration des actions pour les virus et les risques de sécurité 7 Répétez les étapes 1 et 6 pour chaque catégorie pour laquelle vous voulez définir des actions spécifiques, puis cliquez sur OK. 8 Si vous sélectionniez une catégorie de risque de sécurité, vous pouvez sélectionner des actions personnalisées pour un ou plusieurs instances spécifiques de cette catégorie de risque de sécurité. Vous pouvez exclure un risque de sécurité de l'analyse. Par exemple, vous pourriez vouloir exclure un logiciel publicitaire que vous devez utiliser dans votre travail. 9 Cliquez sur OK. Astuces d'affectation d'actions secondaires pour les virus Lorsque vous sélectionnez une action secondaire pour les virus, tenez compte des éléments suivants : Comment vous gérez les fichiers sur votre ordinateur. Si vous stockez des fichiers importants sur votre ordinateur sans les sauvegarder, n'utilisez pas d'actions telles que la suppression de risque. Bien que vous puissiez supprimer un virus de cette manière, vous pouvez perdre des données importantes. Vous devez également prendre en compte les fichiers système. Généralement les virus s'attaquent aux fichiers exécutables. Vous pouvez utiliser l'action Conserver (consigner uniquement) ou Mettre le risque en quarantaine pour identifier les fichiers infectés. Par exemple, un virus peut attaquer le fichier Command.com. Si le client ne parvient pas à éliminer l'infection, vous ne pourrez pas restaurer le fichier. Ce fichier est essentiel au bon fonctionnement de votre système. Vous pouvez utiliser l'action Conserver pour vous assurer que le fichier reste accessible. Le type de virus détecté sur l'ordinateur. Les virus ciblent différentes zones de l'ordinateur selon leur type. Les virus de secteur de démarrage infectent les secteurs de démarrage, les tables de partition, les enregistrements de démarrage principaux et parfois la mémoire. Lorsque les virus de secteur de démarrage sont à effets multiples, ils peuvent également affecter les fichiers exécutables et l'infection peut être traitée de la même manière qu'un virus de fichier. Les virus de fichier infectent généralement les fichiers exécutables portant l'extension.exe,.com ou.dll. Les virus de macro infectent les fichiers de document et les macros associées à ces documents. Sélectionnez les actions basées sur les types de fichiers à récupérer.

85 Gestion de la protection antivirus et antispyware Configuration des actions pour les virus et les risques de sécurité 85 Le type d'analyse que vous exécutez sur votre ordinateur. Toutes les analyses effectuent automatiquement certaines actions sans vous consulter. Si vous ne modifiez pas ces actions avant l'analyse, le programme applique les actions par défaut. Par conséquent, les actions secondaires par défaut visent à vous permettre de contrôler une épidémie virale. Pour les analyses qui s'exécutent automatiquement, telles que les analyses planifiées et les analyses de protection automatique, n'affectez pas les actions secondaires qui ont des effets permanents. Par exemple, vous pouvez exécuter une analyse à la demande lorsque vous savez déjà qu'un fichier est infecté. Vous pouvez limiter les actions de suppression de risque et de nettoyage de risque à l'analyse à la demande. Astuces d'affectation d'actions secondaires pour les risques de sécurité Lorsque vous sélectionnez une action secondaire pour les risques de sécurité, considérez le degré de contrôle nécessaire sur les fichiers. Si vous stockez des fichiers importants sur votre ordinateur sans créer de copie de sauvegarde, n'utilisez pas l'action Supprimer la menace. Bien que vous puissiez supprimer un risque de sécurité de cette manière, vous risquez de provoquer l'arrêt d'une autre application de votre ordinateur. Utilisez plutôt l'action Mettre en quarantaine le risque afin de pouvoir annuler les modifications effectuées par le client, le cas échéant. A propos de l'évaluation de l'impact des risques Symantec évalue les risques de sécurité pour déterminer leur impact sur un ordinateur. Les facteurs suivants sont notés faible, moyen ou élevé : Impact sur la confidentialité Impact sur les performances Furtivité Difficulté de suppression Un facteur noté faible a un impact minimal. Un facteur noté moyen a un impact relatif. Un facteur noté élevé a un impact important. Si un risque de sécurité spécifique n'a pas encore été évalué, une évaluation par défaut est utilisée. Si un risque spécifique a été évalué mais que le facteur évalué ne concerne pas ce risque, l'évaluation Sans est utilisée pour ce facteur. Ces évaluations apparaissent dans la boîte de dialogue Exceptions de risque de sécurité quand vous configurez une exception centralisée pour des risques de

86 86 Gestion de la protection antivirus et antispyware Configuration des notifications pour les virus et les risques de sécurité sécurité connus. Vous pouvez utiliser ces évaluations pour déterminer les risques de sécurité à exclure des analyses et à autoriser sur l'ordinateur. Tableau 4-6 décrit les facteurs d'évaluation et la signification d'une évaluation élevée dans chaque cas. Tableau 4-6 Facteurs d'impact du risque Facteur d'évaluation Impact sur la confidentialité Description Mesure le niveau de confidentialité perdu du fait de l'existence du risque de sécurité présence de risques de sécurité sur l'ordinateur. Un niveau élevé indique que des informations personnelles ou importantes peuvent être volées. Impact sur les performances Mesure le niveau de dégradation des performances résultant d'un risque de la performance d'un ordinateur. Un niveau élevé indique que les performances sont gravement affectées. Evaluation de la furtivité Indique s'il est aisé de déterminer l'existence du risque de sécurité sur un ordinateur. Un niveau élevé indique que le risque de sécurité tente de se dissimuler. Evaluation de la suppression Indique le niveau de difficulté pour supprimer un risque de sécurité sur un ordinateur. Un niveau élevé indique que le risque est difficile à supprimer. Evaluation globale Programme dépendant L'évaluation globale représente la moyenne des autres facteurs. Cette valeur indique si une autre application dépend de la présence du risque de sécurité pour fonctionner correctement. Configuration des notifications pour les virus et les risques de sécurité Par défaut, vous êtes averti lorsqu'une analyse détecte un virus ou un risque de sécurité. Par défaut, vous êtes également averti quand le logiciel d'analyse doit terminer des services ou des processus. Le logiciel d'analyse peut également devoir supprimer ou réparer les effets du virus ou du risque de sécurité. Vous pouvez configurer les notifications suivantes pour les analyses :

87 Gestion de la protection antivirus et antispyware Configuration des notifications pour les virus et les risques de sécurité 87 Options de détection Créez le message qui doit s'afficher lorsque le client détecte un virus ou un risque de sécurité sur l'ordinateur. Options de résolution Lorsque vous configurez Auto-Protect pour le système de fichiers, vous pouvez sélectionner une action supplémentaire pour afficher une boîte de dialogue. La boîte de dialogue contient les résultats quand Auto-Protect trouve des risques sur votre ordinateur. Configurez si vous voulez être notifié quand le client trouve un virus ou un risque de sécurité. Vous pouvez également être informé lorsque le client doit terminer un processus ou un service pour supprimer ou réparer un risque. Vous pouvez construire le message de détection que vous voulez voir s'afficher sur votre ordinateur. Pour construire le message, vous tapez directement dans le champ de message. Vous pouvez cliquer avec le bouton droit de la souris dans le champ de message pour sélectionner des variables à inclure dans le message. Tableau 4-7 décrit les champs de variables disponibles pour les messages de notification. Tableau 4-7 Champ Champs variables de message Description NomRisqueSécurité ActionEffectuée Etat Nom du virus ou du risque de sécurité détecté. Action que le client effectue quand il a détecté le virus ou le risque de sécurité. Il peut s'agir de l'action principale ou secondaire configurée. Etat du fichier : Infecté, Non infecté ou Supprimé. Cette variable de message n'est pas utilisée par défaut. Pour afficher ces informations, ajoutez manuellement cette variable au message. Nomfichier CheminNomfichier Emplacement Ordinateur Utilisateur Nom du fichier infecté par le virus ou le risque de sécurité. Chemin d'accès complet et nom du fichier infecté par le virus ou le risque de sécurité. Lecteur de l'ordinateur sur lequel le virus ou le risque de sécurité a été détecté. Nom de l'ordinateur sur lequel le virus ou le risque de sécurité a été détecté. Nom de l'utilisateur qui était connecté lorsque le virus ou le risque de sécurité a été détecté.

88 88 Gestion de la protection antivirus et antispyware Configuration des notifications pour les virus et les risques de sécurité Champ Evénement ConsignéPar DateTrouvé NomStockage DescriptionAction Description Le type d'événement tel que "Risque détecté". Type d'analyse qui a détecté le virus ou le risque de sécurité. Date à laquelle le virus ou le risque de sécurité a été détecté. Zone affectée de l'application, par exemple Auto-Protect pour le système de fichiers ou Auto-Protect pour Lotus Notes. Description complète des actions effectuées en réponse à la détection du virus ou de le risque de sécurité. Vous pouvez configurer des notifications pour des analyses définies par l'utilisateur et pour Auto-Protect. La configuration de notification inclut des options de résolution. Les options de résolution sont seulement disponibles pour les analyses et Auto-Protect pour le système de fichiers. Pour obtenir plus d'informations sur les options utilisées dans cette procédure, cliquez sur Aide. Pour configurer des notifications pour les virus et les risques de sécurité 1 Effectuez l'une des opérations suivantes : Pour une nouvelle analyse, dans la boîte de dialogue Créer une analyse (options d'analyse), cliquez sur Notifications. Pour une analyse existante, sur l'onglet Options d'analyse, cliquez sur Notifications. Pour Auto-Protect, dans la boîte de dialogue Paramètres de la protection antivirus et antispyware, dans tout onglet Auto-Protect, cliquez sur Notifications. 2 Dans la boîte de dialogue de Options de notification d'analyse, sous Options de détection, vous pouvez choisir d'être informé quand une analyse détecte un virus ou un risque de sécurité. Cochez cette option si vous voulez qu'un message apparaisse sur votre ordinateur quand l'analyse trouve un virus ou un risque de sécurité. 3 Dans la zone de message, effectuez une ou plusieurs des opérations suivantes pour créer le message de votre choix : Cliquez pour saisir ou modifier un texte. Cliquez avec le bouton droit de la souris, puis cliquez sur Insérerunchamp et sélectionnez le champ de variable à insérer.

89 Gestion de la protection antivirus et antispyware A propos de l'exclusion des éléments de l'analyse 89 Cliquez avec le bouton droit de la souris pour sélectionner Couper, Copier, Coller, Nettoyer ou Annuler. 4 Pour la configuration d'auto-protect, cochez ou supprimez la coche Afficher la boîte de dialogue des résultats Auto-Protect. Ce paramètre active ou supprime la boîte de dialogue qui contient des résultats quand Auto-Protect pour le système de fichiers trouve des virus et des risques de sécurité. 5 Sous Options de résolution, cochez les options que vous voulez définir pour l'analyse ou pour Auto-Protect pour le système de fichiers. Les options suivantes sont disponibles : Arrêt automatique des processus Interruption automatique des services Configure l'analyse pour terminer les processus automatiquement lorsque cela est nécessaire pour supprimer ou réparer ou un virus ou un risque de sécurité. Vous n'êtes pas invité à enregistrer des données avant que l'analyse ne termine les processus. Configure l'analyse pour arrêter automatiquement les services lorsque cela est nécessaire pour supprimer ou réparer un virus ou un risque de sécurité. Aucun message ne vous demande d'enregistrer les données avant l'arrêt des services par l'analyse. 6 Cliquez sur OK. A propos de l'exclusion des éléments de l'analyse Les exceptions sont des risques de sécurité connus, des fichiers, des extensions de fichier et des processus à exclure d'une analyse. Si après l'analyse de l'ordinateur, vous découvrez que certains fichiers sont sécurisés, vous pouvez les exclure. Dans certains cas, les exceptions peuvent réduire le temps d'analyse et augmenter la performance du système. En général, vous n'avez pas besoin de créer des exceptions. Pour les clients gérés centralement, l'administrateur doit avoir créé des exceptions pour vos analyses. Si vous créez une exception qui entre en conflit avec une exception définie par l'administrateur, l'exception définie par l'administrateur a la priorité.

90 90 Gestion de la protection antivirus et antispyware Exclusion des éléments de l'analyse Tableau 4-8 Type Types d'exception Description Exceptions de risques de sécurité Vous pouvez exclure les risques de sécurité suivants : Risques de sécurité connus Fichier Dossiers Extensions Exceptions d'analyse proactive des menaces TruScan L'administrateur a dû configuré le client pour vous empêcher d'exclure tout élément de l'analyse. Se reporter à "Exclusion des éléments de l'analyse" à la page 90. Vous pouvez exclure des processus des Analyses proactives des menaces TruScan. Vous pouvez spécifier une autre action à prendre pour un processus connu que les analysesproactivesdes menacestruscan détectent. Vous pouvez forcer la détection d'un processus. L'administrateur a pu configurer le client pour vous empêcher d'exclure un processus de l'analyse. Se reporter à "Exclusion d'un processus des analyses proactives des menaces TruScan" à la page 112. Exceptions de protection contre les interventions Vous pouvez exclure des fichiers de la protection contre les interventions. La Protection contre les interventions empêche les processus non-symantec d'affecter des processus Symantec. Se reporter à "A propos de la protection contre les interventions" à la page 43. Se reporter à "Exclusion des éléments de l'analyse" à la page 90. Exclusion des éléments de l'analyse Vous pouvez créer une exception dans la page Modifier les paramètres. Vous pouvez également configurer des exceptions lorsque vous créez ou modifiez une analyse définie par l'utilisateur ou lorsque vous modifiez des paramètres Auto-Protect. Se reporter à "A propos de l'exclusion des éléments de l'analyse" à la page 89. Les exceptions s'appliquent sur toutes les analyses. Si vous configurez une exception lorsque vous créez ou modifiez une analyse particulière, l'exception s'applique à toutes les analyses.

91 Gestion de la protection antivirus et antispyware Exclusion des éléments de l'analyse 91 Remarque : Sur l'installation Server Core de Windows Server 2008, les boîtes de dialogue peuvent s'afficher différemment de celles décrites dans ces procédures. Pour plus d'informations sur les options de chaque boîte de dialogue, cliquez sur Aide. Pour exclure un risque de sécurité de l'analyse 1 Dans la barre latérale du client, cliquez sur Changer les paramètres. 2 Près de Exceptions centralisées, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Exceptions centralisées, sur l'onglet Exceptions définies par l'utilisateur, cliquez sur Ajouter > Exceptions de risques de sécurité > Risques connus. 4 Dans la boîte de dialogue Ajouter des exceptions de risques de sécurité connus, vérifiez les risques de sécurité à exclure des analyses. 5 Pour consigner un événement lorsque le risque de sécurité est détecté et ignoré, cochez Consigner lorsque le risque de sécurité est détecté. 6 Cliquez sur OK. 7 Dans la boîte de dialogue Exceptions centralisées, cliquez sur Fermer. Pour exclure un fichier ou un dossier de l'analyse 1 Dans la barre latérale du client, cliquez sur Changer les paramètres. 2 Près de l'option Exceptions centralisées, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Exceptions centralisées, sur l'onglet Exceptions définies par l'utilisateur, cliquez sur Ajouter > Exceptions de risques de sécurité 4 Effectuez l'une des tâches suivantes : Cliquez sur Fichier. Dans la boîte de dialogue Ajouter une exception de fichiers de risques de sécurité, sélectionnez le fichier à exclure, puis cliquez sur Ajouter. Cliquez sur Dossier. Dans la boîte de dialogue Ajouter une exception de dossiers de risques de sécurité, sélectionnez le dossier, cochez ou désélectionnez l'option Incluredessous-dossiers, puis cliquez sur Ajouter. 5 Dans la boîte de dialogue Exceptions centralisées, cliquez sur Fermer.

92 92 Gestion de la protection antivirus et antispyware A propos de la prise en charge des fichiers en quarantaine A propos de la prise en charge des fichiers en quarantaine Parfois le client détecte un virus inconnu qui ne peut pas être éliminé avec les définitions de virus actuelles. Vous pouvez avoir un fichier que vous croyez infecté sans que les analyses ne détectent d'infection. La quarantaine isole les fichiers potentiellement infectés sur l'ordinateur. Quand vous mettez un virus en quarantaine, le virus ne peut pas se propager sur votre ordinateur ou à d'autres ordinateurs du réseau. A propos des fichiers infectés dans la quarantaine Vous pouvez afficher les fichiers infectés dans la quarantaine. Vous pouvez afficher les informations suivantes sur les fichiers : Risque Nom de fichier Type Emplacement d'origine Etat Date Remarque : La langue du système d'exploitation sur lequel vous exécutez le client peut ne pas savoir interpréter certains caractères des noms de virus. Si le système d'exploitation ne peut pas interpréter les caractères, les caractères apparaissent comme des points d'interrogation dans les notifications. Par exemple, certains noms de virus Unicode peuvent contenir des caractères à deux octets. Sur les ordinateurs qui exécutent le client sur un système d'exploitation anglais, ces caractères apparaissent comme des points d'interrogation. Quand le client déplace un fichier infecté ves la quarantaine, le risque ne peut pas se copier et infecter d'autres fichiers. Il s'agit de l'action secondaire recommandée à la fois pour les virus de macro et les virus non-macro. Cependant, l'action de Quarantaine ne nettoie pas le risque. Le risque reste sur votre ordinateur jusqu'à ce que le client nettoie le risque ou supprime le fichier. Les virus et les virus de macro peuvent être mis en quarantaine. Les virus de secteur de démarrage ne peuvent pas être mis en quarantaine. En effet, ces derniers résident en général dans le secteur de démarrage ou dans les tables de partitions de l'ordinateur, qu'il est impossible de déplacer vers la quarantaine.

93 Gestion de la protection antivirus et antispyware Gestion de la quarantaine 93 Vous pouvez également afficher les propriétés du fichier infecté. Se reporter à "Affichage des fichiers et de leurs détails dans la quarantaine" à la page 94. A propos du traitement des fichiers infectés dans la quarantaine Quand un fichier a été déplacé dans la quarantaine, vous pouvez faire l'un des actions suivantes : Restaurer le fichier choisi à son emplacement initial. Supprimer de manière permanente le fichier sélectionné. Rebalayer les fichiers après avoir reçu des définitions de virus mises à jour. Exporter le contenu de la quarantaine vers un fichier (*.csv) délimité par des virgules ou un fichier de base de données Access (*.mdb). Ajouter manuellement un fichier à la quarantaine. Vous pouvez localiser l'emplacement et sélectionner le fichier à déplacer vers la quarantaine. Envoyer un fichier à Symantec Security Response. Suivez les instructions de l'assistant pour soumettre le fichier sélectionné pour analyse. Se reporter à "Gestion de la quarantaine" à la page 93. A propos du traitement des fichiers infectés par des risques de sécurité Vous pouvez laisser en quarantaine les fichiers qui y sont placés du fait des risques de sécurité, ou vous pouvez les supprimer. Laissez-les en quarantaine jusqu'à ce que vous soyez sûr que les applications de votre ordinateur n'ont perdu aucune fonctionnalité. Si vous supprimez les fichiers associés à un risque de sécurité, une application sur votre ordinateur peut ne plus fonctionner correctement. L'application peut dépendre des fichiers associés que vous avez supprimés. La mise en quarantaine est une option plus sûre du fait qu'elle est réversible. Vous pouvez restaurer les fichiers si l'une des applications de votre ordinateur perd une fonctionnalité après avoir placé en quarantaine les fichiers de programme dépendants. Remarque : Après avoir exécuté l'application avec succès, vous pouvez supprimer les fichiers pour gagner de l'espace disque. Gestion de la quarantaine Les fichiers sont placés en quarantaine de deux manières :

94 94 Gestion de la protection antivirus et antispyware Gestion de la quarantaine Le client est configuré pour déplacer vers la quarantaine les éléments infectés détectés pendant une analyse Auto-Protect ou autre. Vous sélectionnez manuellement un fichier pour l'ajouter à la quarantaine. Les options par défaut pour Auto-Protect et tous les types d'analyse sont de nettoyer un virus d'un fichier infecté dès sa détection. Le logiciel d'analyse place le fichier en quarantaine si le fichier ne peut pas être nettoyé. Pour les risques de sécurité, l'option par défaut consiste à placer en quarantaine les fichiers infectés et à réparer les effets secondaires du risque de sécurité. Se reporter à "Réanalyse des fichiers en quarantaine à la recherche de virus" à la page 94. Se reporter à "Effacement des éléments de sauvegarde" à la page 95. Se reporter à "Suppression de fichiers de la quarantaine" à la page 96. Se reporter à "Soumission à Symantec Security Response d'un fichier suspect pour analyse" à la page 97. Pour ajouter manuellement un fichier à la quarantaine 1 Dans le client, dans la barre latérale, cliquez sur Afficher la quarantaine. 2 Cliquez sur Ajouter. 3 Sélectionnez le fichier que vous voulez ajouter à la quarantaine et puis cliquez sur Ajouter. Affichage des fichiers et de leurs détails dans la quarantaine Vous pouvez afficher les fichiers qui ont été placés dans la quarantaine. Vous pouvez afficher des détails au sujet des fichiers. Les détails incluent le nom du virus et le nom de l'ordinateur sur lequel le fichier a été trouvé. Pour afficher des fichiers et leurs détails dans la quarantaine 1 Dans le client, dans la barre latérale, cliquez sur Afficher la quarantaine. 2 Cliquez avec le bouton droit de la souris sur le fichier à afficher, puis cliquez sur Propriétés. Réanalyse des fichiers en quarantaine à la recherche de virus Si un fichier est placé en quarantaine, actualisez vos définitions. Quand vous mettez à jour des définitions, les fichiers en quarantaine peuvent être analysés, nettoyés et restaurés automatiquement. Vous pouvez réanalyser les fichiers en quarantaine si l'assistant réparation apparaît. Se reporter à "Réanalyse manuelle des fichiers" à la page 95.

95 Gestion de la protection antivirus et antispyware Gestion de la quarantaine 95 Si le client ne peut pas supprimer le virus après réanalyse dans la quarantaine, vous pouvez soumettre le fichier infecté à Symantec Security Response pour analyse. Se reporter à "Soumission à Symantec Security Response d'un fichier suspect pour analyse" à la page 97. Pour réanalyser des fichiers en quarantaine avec l'assistant réparation 1 Si l'assistant réparation s'affiche, cliquez sur Oui. 2 Cliquez sur Suivant. 3 Suivez les instructions à l'écran pour réanalyser les fichiers en quarantaine. Réanalyse manuelle des fichiers Vous pouvez réanalyser manuellement un fichier mis en quarantaine à la recherche des virus, mais non des risques de sécurité. Se reporter à "Réanalyse des fichiers en quarantaine à la recherche de virus" à la page 94. Pour réanalyser manuellement un fichier en quarantaine à la recherche de virus 1 Mettez à jour vos définitions. 2 Dans le client, dans la barre latérale, cliquez sur Afficher la quarantaine. 3 Sélectionnez le fichier, puis cliquez sur Réanalyser tout. Lorsqu'un fichier réparé ne peut être replacé à son emplacement d'origine Un fichier nettoyé ne possède parfois pas d'emplacement auquel le ramener. Par exemple, une pièce jointe infectée peut être détachée d'un message électronique et mise en quarantaine. Vous devez libérer le fichier et indiquer un emplacement. Pour libérer un fichier nettoyé de la quarantaine 1 Dans le client, dans la barre latérale, cliquez sur Afficher la quarantaine. 2 Cliquez sur le fichier avec le bouton droit de la souris, puis cliquez sur Restaurer. 3 Indiquez l'emplacement du fichier nettoyé. Effacement des éléments de sauvegarde Avant d'essayer de nettoyer ou de réparer des éléments, le client réalise par défaut des copies de sauvegarde des éléments infectés. Après que le client ait nettoyé

96 96 Gestion de la protection antivirus et antispyware Gestion de la quarantaine avec succès un virus, vous devriez manuellement supprimer l'élément de la quarantaine parce que la sauvegarde est encore infectée. Vous pouvez également définir un délai après lequel les fichiers seront supprimés automatiquement. Se reporter à "Suppression automatique des fichiers en quarantaine" à la page 96. Pour effacer manuellement les éléments sauvegardés 1 Dans le client, dans la barre latérale, cliquez sur Afficher la quarantaine. 2 Sélectionnez un ou plusieurs fichiers de sauvegarde. 3 Cliquez sur Supprimer. Suppression de fichiers de la quarantaine Vous pouvez supprimer manuellement de la quarantaine les fichiers dont vous n'avez plus besoin. Vous pouvez également définir un délai après lequel les fichiers seront supprimés automatiquement. Remarque : Votre administrateur peut spécifier un nombre de jours maximal pendant lequel des éléments peuvent rester en quarantaine. Après ce délai, les éléments sont supprimés automatiquement. Se reporter à "Suppression automatique des fichiers en quarantaine" à la page 96. Pour supprimer manuellement des fichiers en quarantaine 1 Dans le client, dans la barre latérale, cliquez sur Afficher la quarantaine. 2 Sélectionnez un ou plusieurs fichiers. 3 Cliquez sur Supprimer. Suppression automatique des fichiers en quarantaine Vous pouvez configurer votre logiciel pour supprimer automatiquement des éléments de la liste Quarantaine après un délai spécifié. Vous pouvez également spécifier que le client supprime des éléments quand le dossier où les éléments sont enregistrées atteint une certaine taille. Vous évitez ainsi l'accumulation de fichiers que vous pouvez oublier de supprimer manuellement. Se reporter à "Suppression de fichiers de la quarantaine" à la page 96. Pour supprimer automatiquement des fichiers 1 Dans le client, dans la barre latérale, cliquez sur Afficher la quarantaine. 2 Cliquez sur Options de purge.

97 Gestion de la protection antivirus et antispyware Gestion de la quarantaine 97 3 Dans la boîte de dialogue Options de purge, sélectionnez un des onglets suivants : Eléments en quarantaine Eléments sauvegardés Eléments réparés 4 Activez ou désactivez l'option La durée de stockage est supérieure à pour activer ou désactiver la capacité du client à supprimer les fichiers une fois que le temps configuré a expiré. 5 Si vous cochez la case Laduréedestockageestsupérieureà, tapez ou cliquez sur une flèche pour écrire la durée. 6 Sélectionnez l'unité du temps dans la liste déroulante. Le paramètre par défaut est 30 jours. 7 Si vous cochez la case La taille totale du dossier est supérieure à, tapez la taille maximale de dossier à permettre, en mégaoctets. La valeur par défaut est de 50 mégaoctets. Si vous sélectionnez les deux options, les fichiers plus anciens que l'âge spécifié sont purgés en premier. Si la taille du dossier dépasse toujours la limite que vous avez définie, le client supprime les fichiers les plus anciens individuellement. Le client supprime les fichiers les plus anciens jusqu'à ce que la taille de dossier ne dépasse plus la limite. 8 Répétez les étapes 4 à 7 pour les autres onglets. 9 Cliquez sur OK. Soumission à Symantec Security Response d'un fichier suspect pour analyse Parfois, le client ne peut pas nettoyer un virus à partir d'un fichier. Ou bien vous suspectez qu'un fichier est infecté et le client ne détecte pas l'infection. Si vous soumettez le fichier à Symantec Security Response, ils peuvent l'analyser pour vérifier qu'il n'est pas infecté. Vous devez disposer d'une connexion Internet pour soumettre un échantillon. Remarque : L'option Envoyer à Symantec Security Response n'est pas disponible si votre administrateur désactive ces types de soumissions. Se reporter à "Suppression automatique des fichiers en quarantaine" à la page 96.

98 98 Gestion de la protection antivirus et antispyware Transmission d'informations sur les détections d'analyse à Symantec Security Response Se reporter à "Transmission d'informations sur les détections d'analyse à Symantec Security Response" à la page 98. Pour envoyer un fichier à Symantec Security Response depuis la quarantaine 1 Dans le client, dans la barre latérale, cliquez sur Afficher la quarantaine. 2 Sélectionnez le fichier dans la liste des éléments en quarantaine. 3 Cliquez sur Soumettre. 4 Suivez les instructions de l'assistant pour réunir les informations nécessaires et envoyer le fichier pour analyse. Transmission d'informations sur les détections d'analyse à Symantec Security Response Vous pouvez spécifier que des informations sur Auto-Protect ou des cadences de détection d'analyse sont automatiquement envoyées à Symantec Security Response. Les informations sur les taux de détection aident potentiellement Symantec à affiner les mises à jour de définitions de virus. Les taux de détection indiquent les virus et les risques de sécurité les plus détectés par des clients. Symantec Security Response peut supprimer les signatures qui ne sont pas détectées et fournir une liste de signatures segmentée aux clients qui la demandent. Les listes segmentées améliorent les performances d'analyse. La soumission des cadences de détection est activée par défaut. Remarque : Votre administrateur peut verrouiller les paramètres de soumission. Vous pouvez également soumettre à Symantec des éléments en quarantaine. Se reporter à "Soumission à Symantec Security Response d'un fichier suspect pour analyse" à la page 97. Pour transmettre des informations sur les détections d'analyse à Symantec Security Response 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 Près de Protection antivirus et antispyware, cliquez sur Configurer les paramètres. 3 Sur l'onglet Soumissions, cochez Soumettreautomatiquementlesdétections de virus et de risques de sécurité. 4 Cliquez sur OK.

99 Gestion de la protection antivirus et antispyware A propos du client et du Centre de sécurité Windows 99 A propos du client et du Centre de sécurité Windows Si vous utilisez le Centre de sécurité Windows (WSC) sous Windows XP avec Service pack 2 pour superviser la sécurité de l'ordinateur, l'état de Symantec Endpoint Protection s'affiche dans WSC. Tableau 4-9 indique comment l'état de la protection s'affiche dans WSC. Tableau 4-9 Comment l'état de la protection s'affiche dans WSC Etat du produit Symantec Symantec Endpoint Protection n'est pas installé Symantec Endpoint Protection est installé avec protection complète Symantec Endpoint Protection est installé et les définitions de virus et de risque de sécurité sont périmées Symantec Endpoint Protection est installé et Auto-Protect pour le système de fichiers n'est pas activé Symantec Endpoint Protection est installé, Auto-Protect pour le système de fichiers n'est pas activé et les définitions de virus et de risque de sécurité sont périmées Symantec Endpoint Protection est installé et Rtvscan est désactivé manuellement Etat de la protection Introuvable (rouge) Activé (vert) Périmé (rouge) Désactivé (rouge) Désactivé (rouge) Désactivé (rouge) Tableau 4-10 décrit comment l'état du pare-feu de Symantec Endpoint Protection est signalé dans WSC. Tableau 4-10 Comment l'état du pare-feu s'affiche WSC Etat du produit Symantec Le pare-feu Symantec n'est pas installé Le pare-feu Symantec est installé et activé Le pare-feu Symantec est installé mais n'est pas activé Le pare-feu Symantec n'est pas installé ou n'est pas activé, mais un pare-feu tiers est installé et activé Etat du pare-feu Introuvable (rouge) Activé (vert) Désactivé (rouge) Activé (vert) Remarque : Dans Symantec Endpoint Protection, le Pare-feu Windows est désactivé par défaut.

100 100 Gestion de la protection antivirus et antispyware A propos du client et du Centre de sécurité Windows Si plusieurs pare-feu sont activés, WSC signale que plusieurs pare-feu sont installés et activés.

101 Chapitre 5 Gestion de la protection proactive contre les menaces Ce chapitre traite des sujets suivants : A propos des analyses proactives des menaces TruScan Configuration de la fréquence d'exécution des analyses proactives des menaces TruScan Gestion des détections proactives de menaces TruScan Configuration des notifications des détections de l'analyse proactive des menaces TruScan Soumission à Symantec Security Response des informations sur les analyses proactives des menaces TruScan Exclusion d'un processus des analyses proactives des menaces TruScan A propos des analyses proactives des menaces TruScan La protection proactive contre les menaces vous assure une protection contre les attaques de type "zero day". La protection "Zero Day" signifie une protection contre des menaces ou vulnérabilités inconnues. Les analyses proactives des menaces TruScan recherchent les processus actifs qui ont un comportement pouvant être malveillant. Puisque les menaces inconnues n'ont pas de signatures

102 102 Gestion de la protection proactive contre les menaces A propos des analyses proactives des menaces TruScan pour les identifier, les analyses proactives des menaces identifient des risques potentiels en signalant un comportement suspect. Les paramètres par défaut d'analyse proactive des menaces sont appropriés pour beaucoup d'utilisateurs. Vous pouvez modifier les paramètres en fonction du niveau de protection heuristique que votre ordinateur exige. Vous devriez vous poser les questions suivantes avant d'apporter des modifications aux paramètres d'analyse proactive contre les menaces : Voulez-vous être informé quand une menace se produit sur votre ordinateur? Avec quelle fréquence et quand voulez-vous analyser des processus? Quelle proportion des ressources de l'ordinateur voulez-vous consacrer à l'analyse proactive des menaces? Remarque : Si votre administrateur ne verrouille pas les paramètres d'analyse proactive des menaces, vous pouvez configurer les paramètres. Les paramètres verrouillés incluent une icône de cadenas fermé. Les étiquettes des paramètres verrouillés apparaissent grisées. Se reporter à "Gestion des détections proactives de menaces TruScan" à la page 106. Processus et applications que les analyses proactives des menaces TruScan examinent Les analyses proactives des menaces examinent certains types de processus ou d'applications qui montrent un comportement suspect. Les analyses détectent les processus qui semblent agir comme des chevaux de Troie, des vers ou des enregistreurs de frappe. Vous pouvez activer ou désactiver la détection. En plus des chevaux de Troie, des vers et des enregistreurs de frappe, les analyses proactives des menaces détectent les processus qui se comportent comme des logiciels publicitaires et des spywares. Vous ne pouvez pas configurer la manière dont les analyses proactives des menaces traitent ces types de détections. Si les analyses proactives des menaces détectent des logiciels publicitaires ou des spywares que vous voulez autoriser sur vos ordinateurs client, vous ou votre administrateur devez créer une exception centralisée. Se reporter à "Exclusion d'un processus des analyses proactives des menaces TruScan" à la page 112. Les analyses proactives des menaces détectent également les applications commerciales bien connues qui peuvent être utilisées à des fins malveillantes. Symantec tient à jour une liste de ces applications commerciales et la met à jour périodiquement. Ces applications incluent les applications commerciales qui

103 Gestion de la protection proactive contre les menaces A propos des analyses proactives des menaces TruScan 103 contrôlent ou enregistrent les frappes de clavier d'un utilisateur ou qui contrôlent l'ordinateur d'un utilisateur à distance. Vous pouvez définir des actions pour la façon dont Symantec Endpoint Protection traite ces détections. Tableau 5-1 décrit les processus que les analyses proactives contre les menaces détectent. Tableau 5-1 Processus détectés par les analyses proactives des menaces TruScan Type de processus Chevaux de Troie et vers Description Processus qui montrent des caractéristiques des chevaux de Troie ou des vers. Les analyses proactives des menaces utilisent des technologies heuristiques pour rechercher les processus qui se comportent comme des chevaux de Troie ou des vers. Ces processus peuvent être ou ne pas être des menaces. Enregistreurs de frappe Processus qui montrent des caractéristiques des enregistreurs de frappe. Les analyses proactives des menaces détectent les enregistreurs de frappe commerciaux, mais elles détectent également les processus inconnus qui montrent un comportement d'enregistreur de frappe. Applications commerciales Applications commerciales connues qui pourraient être utilisées à des fins malveillantes. Les analyses proactives des menaces détectent plusieurs types différents d'applications commerciales. Vous pouvez configurer des actions pour deux types : enregistreurs de frappe et programmes de contrôle à distance. Logiciels publicitaires et spywares Processus qui montrent les caractéristiques des logiciels publicitaires et des spywares Les analyses proactives des menaces utilisent des technologies heuristiques pour détecter les processus inconnus qui se comportent comme des logiciels publicitaires et des spywares. Ces processus peuvent être ou ne pas être des risques. A propos des exceptions des analyses proactives des menaces TruScan Vous pouvez créer des exceptions pour les analyses proactives des menaces, à moins que votre administrateur n'ait verrouillé les paramètres d'exceptions centralisées.

104 104 Gestion de la protection proactive contre les menaces A propos des analyses proactives des menaces TruScan Votre administrateur pourrait également créer des exceptions centralisées pour les analyses proactives des menaces. Vous ne pouvez pas modifier les exceptions créées par votre administrateur. Se reporter à "Exclusion d'un processus des analyses proactives des menaces TruScan" à la page 112. A propos des détections de l'analyse proactive des menaces TruScan Les analyses proactives des menaces consignent, mettent en quarantaine ou terminent les processus potentiellement malveillants qu'elles détectent. Vous pouvez afficher les détections en utilisant la boîte de dialogue de résultats d'analyse, les journaux de protection proactive contre les menaces ou la liste de quarantaine. Se reporter à "A propos de l'interaction avec les résultats d'analyse ou les résultats d'auto-protect" à la page 78. Se reporter à "Gestion de la quarantaine" à la page 93. Remarque : Les paramètres d'analyse proactive des menaces n'ont aucun effet sur les analyses antivirus et antispyware, qui utilisent des signatures pour détecter des risques connus. Symantec Endpoint Protection détecte d'abord les risques connus. Par défaut, le client fait les actions suivantes : Consigne la détection des applications commerciales bien connues Consigne la détection des processus qui se comportent comme des chevaux de Troie, des vers ou des enregistreurs de frappe Met en quarantaine les processus qui se comportent comme des chevaux de Troie, des vers ou des enregistreurs de frappe et qui requièrent une correction Quand une analyse proactive des menaces met une détection en quarantaine, elle prend en charge tous les effects secondaires du processus. Si le client rebalaye la détection après que des mises à jour de contenu soient téléchargées sur votre ordinateur, le client pourrait restaurer le processus sur votre ordinateur. Le client restaure le processus si le processus n'est plus considéré malveillant. Le client restaure également tous les effects secondaires du processus. Cependant, le client ne redémarre pas automatiquement le processus. Pour la détection d'enregistreur de frappe commercial ou d'applications de contrôle à distance, vous ou votre administrateur pouvez spécifier une action différente. Par exemple, vous pourriez vouloir ignorer la détection des applications

105 Gestion de la protection proactive contre les menaces Configuration de la fréquence d'exécution des analyses proactives des menaces TruScan 105 commerciales d'enregistreur de frappe. Quand le client ignore une application, il l'autorise et ne consigne pas sa détection. Pour les détection de cheval de Troie, de ver ou d'enregistreur de frappe, vous pouvez spécifier une action particulière que le client utilisera toujours en cas de détection. A propos des actions sur des faux positifs Les analyses proactives des menaces TruScan détectent parfois des faux positifs. Ces analyses recherchent des applications et des processus dotées d'un comportement suspect plutôt que des virus ou des risques de sécurité connus. Par nature, ces analyses signalent typiquement les éléments que vous ne pourriez pas vouloir détecter. Si une analyse proactive des menaces détecte un processus dont vous déterminez qu'il n'est pas un problème, vous pouvez créer une exception de sorte que les futures analyses ne signalent pas le processus. S'il y a un conflit entre une exception définie par l'utilisateur et une exception définie par l'administrateur, l'exception administrateur a la priorité. Se reporter à "Exclusion d'un processus des analyses proactives des menaces TruScan" à la page 112. Pour réduire les détections de faux positif, vérifiez que le contenu Symantec pour les analyses proactives des menaces est à jour. La version s'affiche dans la page État sous Protection contre les menaces proactives. Vous pouvez télécharger le dernier contenu en exécutant LiveUpdate. Remarque : Votre administrateur peut planifier des mises à jour automatiques. Si vous choisissez de gérer vous-même la détection des chevaux de Troie, des vers et des enregistreurs de frappe, vous pouvez modifier la sensibilité des analyses proactives des menaces. Toutefois, la modification de la sensibilité peut ne pas changer le nombre de faux positifs, car elle change uniquement le nombre total de détections. Se reporter à "Gestion des détections proactives de menaces TruScan" à la page 106. Configuration de la fréquence d'exécution des analyses proactives des menaces TruScan Vous pouvez configurer la fréquence d'exécution des analyses proactives des menaces.

106 106 Gestion de la protection proactive contre les menaces Gestion des détections proactives de menaces TruScan Remarque : Si vous augmentez la fréquence d'exécution des analyses proactives des menaces, vous risquez d'affecter les performances de votre ordinateur. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans la procédure. Pour configurer la fréquence d'exécution des analyses proactives des menaces TruScan 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 A côté Protection proactive contre les menaces, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de la protection proactive contre les menaces, sur l'onglet Fréquence d'analyse, cochez Fréquence d'analyse personnalisée. 4 Faites une ou plusieurs des actions suivantes : A côté de Analyser chaque, définissez la durée en nombre de jours, d'heures et de minutes entre les processus d'analyse. Cochez Analyser les nouveaux processus immédiatement pour analyser les nouveaux processus quand ils sont détectés. 5 Cliquez sur OK. Gestion des détections proactives de menaces TruScan Les administrateurs pourraient verrouiller les paramètres de détection proactive de menaces. Si vos paramètres sont déverrouillés ou si vous exécutez un client non géré, vous pouvez configurer les types de processus que les détections proactives de menaces détectent. Se reporter à "Spécification des types de processus détectés par les analyses proactives des menaces TruScan" à la page 110.

107 Gestion de la protection proactive contre les menaces Gestion des détections proactives de menaces TruScan 107 Remarque : La détection de chevaux de Troie, de vers et d'enregistreurs de frappe n'est actuellement pas prise en charge sur des systèmes d'exploitation de serveur Windows ou Windows XP Professional 64 bits. La détection des enregistreurs de frappe n'est pas également prise en charge sur Windows 7. Sur les clients qui s'exécutent sur des systèmes d'exploitation serveurs, les options d'analyse ne sont pas disponibles. Si votre administrateur modifie ces options dans une politique appliquée à votre ordinateur, les options peuvent apparaître activées et inaccessibles. Quand la détection des chevaux de Troie, des vers ou des enregistreurs de frappe est activée, vous pouvez choisir comment vous voulez gérer les détections. Par défaut, les analyses proactives des menaces utilisent les paramètres par défaut de Symantec. Ceci signifie que le client détermine l'action pour la détection. (Les paramètres par défaut indisponibles dans l'interface utilisateur ne reflètent pas les paramètres par défaut de Symantec. Les paramètres indisponibles reflètent les paramètres par défaut que vous utilisez quand vous gérez manuellement des détections.) Se reporter à "Spécification des actions et des niveaux de sensibilité pour détecter des chevaux de Troie, des vers et des enregistreurs de frappe" à la page 108. Typiquement, les paramètres par défaut de Symantec fournissent la meilleure manière de prendre en charge des détections. Cependant, si vous avez de l'expérience avec les résultats d'analyse sur votre ordinateur, vous pourriez vouloir configurer les actions et les niveaux de sensibilité manuellement. Pour configurer ces paramètres, vous désactivez l'option par défaut de Symantec. Pour réduire les détections faussement positives, Symantec recommande d'utiliser initialement les paramètres par défaut gérés par Symantec. Après un certain temps, vous pouvez observer le nombre de faux positifs que les clients détectent. Si le nombre est bas, vous pouvez ajuster progressivement les paramètres d'analyse proactive des menaces. Par exemple, pour la détection des chevaux de Troie et des vers, vous pouvez placer le curseur de sensibilité légèrement plus haut que le paramètre par défaut. Vous pouvez observer les résultats des analyses proactives des menaces exécutées avec la nouvelle configuration. Remarque : Pour les clients gérés, votre administrateur configure typiquement les paramètres d'analyse proactive des menaces appropriés pour votre ordinateur. Pour les applications commerciales, vous pouvez spécifier le type d'action à effectuer quand une analyse proactive des menaces détecte un enregistreur de frappe commercial ou un programme de contrôle à distance. Vous pouvez modifier ces paramètres indépendamment de la configuration pour les chevaux de Troie, les vers ou les enregistreurs de frappe.

108 108 Gestion de la protection proactive contre les menaces Gestion des détections proactives de menaces TruScan Se reporter à "Définition de l'action pour la détection des applications commerciales" à la page 108. Définition de l'action pour la détection des applications commerciales Vous pouvez modifier l'action que le client effectue quand une analyse proactive des menaces détecte certains types d'applications commerciales. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans la procédure. Pour configurer l'action pour la détection d'application commerciale 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 A côté Protection proactive contre les menaces, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de la protection proactive contre les menaces, dans l'onglet Détails de l'analyse, sous Applications commerciales, effectuez l'une des opérations suivantes : Définissez l'opération relative aux enregistreurs de frappe commerciaux sur Ignorer, Consigner, Arrêter ou Mettre en quarantaine. Définissez l'opération relative aux applications de téléintervention commerciales sur Ignorer, Consigner, Arrêter ou Mettre en quarantaine. 4 Cliquez sur OK. Spécification des actions et des niveaux de sensibilité pour détecter des chevaux de Troie, des vers et des enregistreurs de frappe Si vous choisissez de gérer vous-même les chevaux de Troie, les vers ou les détections d'enregistreur de frappe, vous pouvez configurer l'action à effectuer quand ces processus sont détectés. Cette action est toujours utilisée quand les analyses proactives des menaces font une détection. Par exemple, vous pourriez définir l'action pour consigner seulement. Si une analyse proactive des menaces détecte un processus qu'elle classe comme positif vrai, le client consigne la détection. Le client ne met pas le processus en quarantaine. Vous pouvez également définir différents niveaux de sensibilité pour la détection des chevaux de Troie et des vers et la détection des enregistreurs de frappe. Le niveau de sensibilité détermine à quel point les analyses proactives des menaces doivent être sensibles quand elles analysent des processus. Une sensibilité plus élevée aboutit à davantage de détections. N'oubliez pas que certaines de ces détections peuvent être des faux positifs. Définir un niveau de sensibilité plus bas ou plus haut peut ne pas modifier le pourcentage des faux positifs produits par

109 Gestion de la protection proactive contre les menaces Gestion des détections proactives de menaces TruScan 109 les analyses proactives des menaces. Il modifie seulement le nombre total de détections. Vous pourriez vouloir maintenir le niveau de sensibilité plus bas jusqu'à ce que vous consultiez les résultats des analyses proactives des menaces sur votre ordinateur. Si les analyses proactives des menaces ne produisent aucune détection à un plus bas niveau de sensibilité, vous pouvez augmenter la sensibilité. Vous pouvez cliquer sur Aide pour plus d'informations sur les options qui sont utilisées dans la procédure. Pour définir l'action et le niveau de sensibilité pour les chevaux de Troie et les vers 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 A côté Protection proactive contre les menaces, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de la protection proactive contre les menaces, dans l'onglet Détails de l'analyse, sous Chevaux de Troie et virus, assurez-vous que la case Rechercher les chevaux de Troie et les vers est cochée, puis décochez Utiliser les paramètres par défaut définis par Symantec. 4 Sous Sensibilité, déplacez le curseur vers la gauche ou la droite pour diminuer ou augmenter la sensibilité respectivement. 5 Dans la liste déroulante, cliquez sur Journal, Terminer ou Quarantaine. 6 Cliquez sur OK. Pour définir l'action et le niveau de sensibilité pour des enregistreurs de frappe 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 A côté de Protection proactive contre les menaces, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de la protection proactive contre les menaces, dans l'onglet Détails de l'analyse, sous Enregistreurs de frappe, assurez-vous que la case Rechercher les enregistreurs de frappe est cochée, puis décochez Utiliser les paramètres par défaut définis par Symantec. 4 Pour le degré de sensibilité, cliquez sur Bas ou Elevé. 5 Dans la liste déroulante, cliquez sur Journal, Terminer ou Quarantaine. 6 Cliquez sur OK.

110 110 Gestion de la protection proactive contre les menaces Configuration des notifications des détections de l'analyse proactive des menaces TruScan Spécification des types de processus détectés par les analyses proactives des menaces TruScan Vous pouvez configurer si les analyses proactives des menaces recherchent les chevaux de Troie et les vers ou les enregistreurs de frappe. Votre administrateur peut verrouiller certains de ces paramètres. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans la procédure. Pour spécifier les types de processus détectés par les analyses proactives des menaces TruScan 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 A côté Protection proactive contre les menaces, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de la protection proactive contre les menaces, dans l'onglet Détails de l'analyse, sous Chevaux de Troie et virus, cochez ou décochez Rechercher les chevaux de Troie et les vers. 4 Sous Enregistreurs de frappe, cochez ou supprimez la coche de Rechercher les enregistreurs de frappe. 5 Cliquez sur OK. Configuration des notifications des détections de l'analyse proactive des menaces TruScan Vous pouvez configurer des messages qui s'afficheront quand les analyses proactives des menaces feront des détections. Par défaut, le client affiche les messages quand les détections se produisent. Vous êtes également notifié quand une détection exige que le client mette fin à des services ou arrête des processus. Remarque : Votre administrateur peut verrouiller ces paramètres. Vous pouvez cliquer sur Aide pour obtenir des informations supplémentaires sur les options utilisées dans la procédure. Pour activer ou désactiver les notifications des détections de l'analyse proactive des menaces TruScan 1 Dans le client, cliquez sur Changer les paramètres. 2 Près de Protection proactive contre les menaces, cliquez sur Configurer les paramètres.

111 Gestion de la protection proactive contre les menaces Soumission à Symantec Security Response des informations sur les analyses proactives des menaces TruScan Dans la boîte de dialogue Protection proactive contre les menaces, dans l'onglet Notifications, cochez Afficher un message en cas de détection. 4 Cochez ou supprimez la coche Afficher un avertissement avant la fin d'un processus et Afficher un avertissement avant l'arrêt d'un service. 5 Cliquez sur OK. Soumission à Symantec Security Response des informations sur les analyses proactives des menaces TruScan Par défaut, les analyses proactives des menaces soumettent à Symantec Security Response des informations sur des processus détectés. Quand les analyses soumettent des informations, Symantec analyse les informations pour déterminer si une menace est vraie. Si Symantec détermine que la menace est vraie, Symantec peut générer une signature pour traiter la menace. Symantec inclut la signature dans les versions mises à jour des définitions. Quand vous soumettez des informations sur un processus, la soumission inclut les informations suivantes : Le chemin d'accès à l'exécutable L'exécutable Les informations sur le fichier et les points de registre qui se rapportent à la menace Les informations d'état interne La version de contenu utilisée par l'analyse proactive des menaces Aucune coordonnée permettant d'identifier votre ordinateur n'est soumise. La soumission à Symantec Security Response des détections de l'analyse proactive des menaces est activée par défaut. Remarque : Votre administrateur peut verrouiller les paramètres de soumission. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans la procédure.

112 112 Gestion de la protection proactive contre les menaces Exclusion d'un processus des analyses proactives des menaces TruScan Pour soumettre à Symantec Security Response des informations sur les analyses proactives contre les menaces TruScan 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 Près de Protection antivirus et antispyware, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de la protection antivirus et antispyware, sur l'onglet Transmissions, activez ou désactivez la case Transmettre automatiquementlesdétectionsdel'analyseproactivedesmenacestruscan. 4 Cliquez sur OK. Exclusion d'un processus des analyses proactives des menaces TruScan Vous pouvez créer des exceptions pour les analyses proactives des menaces à moins que votre administrateur n'ait verrouillé les paramètres. Se reporter à "A propos de l'exclusion des éléments de l'analyse" à la page 89. Pour créer une exception, vous sélectionnez un fichier actuellement disponible sur votre ordinateur. Quand une analyse proactive des menaces détecte un processus actif qui utilise le fichier, le client applique l'action que vous spécifiez dans l'exception. Par exemple, vous pourriez exécuter une application sur votre ordinateur qui utilise un fichier appelé foo.exe. Une analyse proactive des menaces s'exécute quand foo.exe s'exécute. Le client détermine que foo.exe pourrait être malveillant. La boîte de dialogue de résultats d'analyse s'affiche et indique que le client a mis foo.exe en quarantaine. Vous pouvez créer une exception qui spécifie que les analyses proactives des menaces ignorent foo.exe. Le client restaure alors foo.exe. Quand vous exécutez foo.exe de nouveau, le client ignore foo.exe. Votre administrateur pourrait également créer des exceptions centralisées pour vos analyses. Si vous créez une exception centralisée qui entre en conflit avec une exception définie par l'administrateur, l'exception de l'administrateur a la priorité. Pour exclure un processus des analyses proactives des menaces TruScan 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 A côté d'exceptions centralisées, cliquez sur Configurer les paramètres. 3 Sur l'onglet Exceptions définies par l'utilisateur, cliquez sur Ajouter puis sélectionnez Exception d'analyse proactive des menaces TruScan.

113 Gestion de la protection proactive contre les menaces Exclusion d'un processus des analyses proactives des menaces TruScan Dans la boîte de dialogue Ajouter une exception à l'analyse des menaces proactive TruScan, localisez le processus ou le fichier pour lequel vous voulez créer une exception. 5 Dans la liste déroulante Action, sélectionnez Ignorer, Consigneruniquement, Quarantaine ou Terminer. 6 Cliquez sur Ajouter. 7 Dans la boîte de dialogue Exceptions centralisées, cliquez sur Fermer.

114 114 Gestion de la protection proactive contre les menaces Exclusion d'un processus des analyses proactives des menaces TruScan

115 Chapitre 6 Gestion de la protection contre les menaces réseau Ce chapitre traite des sujets suivants : A propos de la gestion de la protection contre les menaces réseau Gestion de la protection par pare-feu Fonctionnement du pare-feu A propos des règles de filtrage Ajout d'une règle de filtrage Modification de l'ordre d'une règle de filtrage Activation et désactivation des règles Exportation et importation de règles A propos des règles de filtrage intégrées Activation des paramètres de trafic et des paramètres de navigation Web furtive Activation du filtrage de trafic intelligent Activation du partage des fichiers et des imprimantes du réseau Blocage du trafic Configurer des paramètres spécifiques à une application Gestion de la protection de prévention des intrusions Fonctionnement de la protection de prévention des intrusions

116 116 Gestion de la protection contre les menaces réseau A propos de la gestion de la protection contre les menaces réseau Activation ou désactivation des paramètres de prévention des intrusions Configuration des notifications de prévention d'intrusion Bloquer et débloquer un ordinateur attaquant A propos de la gestion de la protection contre les menaces réseau Le client Symantec Endpoint Protection protège votre ordinateur en surveillant les informations entrantes et sortantes, et en bloquant toute tentative d'attaque du réseau. Tableau 6-1 affiche les méthodes que la protection contre les menaces réseau utilise pour bloquer les attaques réseau contre votre ordinateur. Tableau 6-1 Outil Pare-feu Outils de protection contre les menaces réseau Description Le pare-feu empêche les utilisateurs non autorisés d'accéder à l'ordinateur et aux réseaux qui se connectent à Internet. Il détecte les éventuelles attaques de pirates, protège les informations personnelles et élimine les sources indésirables de trafic réseau. Le pare-feu autorise ou bloque le trafic entrant et sortant. Se reporter à "Fonctionnement du pare-feu" à la page 118. Se reporter à "Gestion de la protection par pare-feu" à la page 117. Système de prévention contre les intrusions Le système de prévention d'intrusion (IPS) détecte et bloque automatiquement les attaques réseau. L'IPS analyse chaque paquet qui entre et sort d'un ordinateur pour des signatures d'attaque. Pour détecter et bloquer les activités réseau douteuses, IPS s'appuie sur une vaste liste de signatures d'attaque. Symantec fournit la liste des menaces connues, que vous pouvez mettre à jour sur le client à l'aide de Symantec LiveUpdate. Le moteur Symantec IPS et le jeu de signatures IPS correspondant sont installés sur le client par défaut. Se reporter à "Gestion de la protection de prévention des intrusions" à la page 136. Se reporter à "Fonctionnement de la protection de prévention des intrusions" à la page 137.

117 Gestion de la protection contre les menaces réseau Gestion de la protection par pare-feu 117 Gestion de la protection par pare-feu Par défaut, le pare-feu autorise tout le trafic réseau entrant et sortant. Vous pouvez configurer le pare-feu pour autoriser ou bloquer des types de trafic spécifiques. Sur tout client, vous pouvez temporairement désactiver la protection contre les menaces réseau à des fins de dépannage. Par exemple, vous pourrez ne pas ouvrir une application. Se reporter à "Activation ou désactivation de la protection contre les menaces réseau" à la page 42. Votre administrateur détermine le niveau d'interaction avec le client en vous donnant la capacité de configurer des règles de filtrage, des paramètres de pare-feu et des paramètres de prévention des intrusions. Vous pouvez interagir avec le client seulement quand il vous informe de nouvelles connexions réseau et de problèmes possibles ou vous pouvez avoir l'accès complet à l'interface utilisateur. Tableau 6-2 affiche les tâches du pare-feu que vous pouvez effectuer pour protéger votre ordinateur. Tableau 6-2 Opération Gestion de la protection par pare-feu Description Prendre connaissance du fonctionnement du pare-feu Ajouter des règles de filtrage Apprenez comment le pare-feu protège l'ordinateur contre des attaques réseau. Se reporter à "Fonctionnement du pare-feu" à la page 118. Complétez les règles de filtrage par défaut du client avec les règles de filtrage que vous configurez. Par exemple, vous pourrez bloquer une application que vous ne voulez pas exécuter sur votre ordinateur, tel qu'un logiciel publicitaire. Se reporter à "Ajout d'une règle de filtrage" à la page 124. Vous pouvez activer ou désactiver les règles de filtrage intégrées qui autorisent certains types de trafic. Se reporter à "Activation des paramètres de trafic et des paramètres de navigation Web furtive" à la page 128. Se reporter à "Activation du filtrage de trafic intelligent " à la page 129.

118 118 Gestion de la protection contre les menaces réseau Fonctionnement du pare-feu Opération Contrôle de la protection par pare-feu Description Vous pouvez régulièrement vérifier l'état de protection par pare-feu sur votre ordinateur afin de voir si : Les règles de filtrage que vous avez créées fonctionnent correctement. Le client a bloqué toutes les attaques réseau. Le client a bloqué toutes les applications que vous avez prévues d'exécuter. Vous pouvez utiliser le journal du trafic et le journal des paquets pour vérifier l'état de protection par pare-feu. Se reporter à "Utiliser les journaux de protection contre les menaces réseau et de gestion des clients" à la page 163. Fonctionnement du pare-feu La protection par pare-feu empêche des utilisateurs non autorisés d'accéder à vos ordinateurs et réseaux connectés à Internet. Les paquets de données qui circulent via Internet contiennent des informations sur les éléments suivants : Ordinateurs à l'origine de l'envoi Destinataires Mode de traitement des données du paquet Ports de réception des paquets Un paquet est un morceau de données qui fait partie du flux d'information entre deux ordinateurs. Les paquets sont rassemblés à leur destination pour apparaître comme un flux de données ininterrompu. Les ports sont les canaux qui divisent le flux de données issues d'internet. Les applications qui s'exécutent sur un ordinateur écoutent les ports. Les applications acceptent les données envoyées aux ports. Les attaques réseau exploitent les failles dans les applications vulnérables. Les attaquants utilisent ces faiblesses pour envoyer des paquets qui contiennent du code de programmation malveillant aux ports. Quand les applications vulnérables écoutent les ports, le code malveillant permet aux attaquants d'accéder à l'ordinateur. Protection par pare-feu fonctionne en arrière-plan. La protection par pare-feu contrôle la communication entre vos ordinateurs et d'autres ordinateurs connectés sur Internet. Elle crée un bouclier qui autorise ou bloque les tentatives d'accès

119 Gestion de la protection contre les menaces réseau A propos des règles de filtrage 119 aux informations sur vos ordinateurs. Elle vous avertit des tentatives de connexion à partir d'autres ordinateurs. Elle vous avertit également des tentatives de connexion par les applications de votre ordinateur qui se connectent à d'autres ordinateurs. Internet Le pare-feu autorise ou bloque le trafic réseau Le pare-feu surveille les tentatives d'accès depuis Internet Ordinateur client La protection par pare-feu utilise des règles de filtrage pour autoriser ou bloquer le trafic réseau. Se reporter à "A propos des règles de filtrage" à la page 119. A propos des règles de filtrage Quand un ordinateur essaye de se connecter à un autre ordinateur, le pare-feu compare le type de connexion à sa liste des règles de filtrage. Le pare-feu vérifie automatiquement tous les paquets de trafic entrants et sortants en fonction de ces règles. Le pare-feu autorise ou bloque alors les paquets en fonctoin des informations spécifiées dans les règles. Se reporter à "A propos des éléments d'une règle de filtrage" à la page 120. Se reporter à "Ajout d'une règle de filtrage" à la page 124.

120 120 Gestion de la protection contre les menaces réseau A propos des règles de filtrage A propos des éléments d'une règle de filtrage Une règle de filtrage décrit les conditions dans lesquelles une connexion réseau peut être permise ou bloquée. Par exemple, une règle peut autoriser le trafic réseau entre le port distant 80 et l'adresse IP , entre 9 h et 17 h, de manière quotidienne. Tableau 6-3 décrit les conditions utilisés pour définir une règle de filtrage. Tableau 6-3 Condition Déclencheurs Conditions de règle de filtrage Description Applications, hôtes, protocoles et cartes réseau. Vous pouvez combiner les définitions de déclencheur pour former des règles plus complexes, comme d'identifier un protocole particulier par rapport à une adresse de destination spécifique. Lorsque le pare-feu évalue la règle, tous les déclencheurs doivent être vrais pour qu'une correspondance positive se produise. Si aucun déclencheur n'est vrai par rapport au paquet actuel, le pare-feu ne peut pas appliquer la règle. Conditions Planification et état d'écran de veille. Les paramètres conditionnels ne décrivent pas un aspect d'une connexion réseau. Au lieu de cela, les paramètres conditionnels déterminent l'état actif d'une règle. Les paramètres conditionnels sont facultatifs et non significatifs s'ils ne sont pas définis. Vous pouvez installer une planification ou identifier un état d'écran de veille qui détermine quand une règle est considérée active ou inactive. Le pare-feu n'évalue pas les règles inactives quand le pare-feu reçoit des paquets. Actions Autoriser ou bloquer et consigner ou ne pas consigner. Les paramètres d'action spécifient quelles mesures le pare-feu prend quand il trouve une correspondance avec une règle. Si la règle est sélectionnée en réponse à un paquet reçu, le pare-feu exécute toutes les actions. Le pare-feu permet ou bloque le paquet et les journaux ou ne consigne pas le paquet. Si le pare-feu permet le trafic, il laisse le trafic que la règle spécifie accéder à votre réseau. Si le pare-feu bloque le trafic, il bloque le trafic que la règle spécifie de sorte qu'il n'accède pas à votre réseau. Tableau 6-4 décrit les déclencheurs que vous pouvez définir dans une règle de filtrage.

121 Gestion de la protection contre les menaces réseau A propos des règles de filtrage 121 Tableau 6-4 Déclencheur Application Hôte Protocole Déclencheurs de règle de filtrage Description Quand l'application est le seul déclencheur défini dans une règle d'autorisation de trafic, le pare-feu permet à l'application d'effectuer n'importe quelle opération réseau. L'application est la valeur significative, pas les opérations réseau que l'application effectue. Par exemple, supposez que vous permettiez Internet Explorer et ne définissiez aucun autre déclencheur. Les utilisateurs peuvent accéder aux sites distants qui utilisent HTTP, HTTPS, FTP, Gopher et n'importe quel autre protocole que le navigateur Web prend en charge. Vous pouvez définir des déclencheurs supplémentaires pour décrire les protocoles réseau et les hôtes particuliers avec lesquels on permet la communication. L'hôte local est toujours l'ordinateur client local et l'hôte distant est toujours un ordinateur distant placé ailleurs sur le réseau. Cette expression du rapport d'hôte est indépendante de la direction du trafic. Quand vous définissez des déclencheurs d'hôte, vous spécifiez l'hôte du côté distant de la connexion réseau décrite. Un déclencheur de protocole identifie un ou plusieurs protocoles réseau qui sont significatifs par rapport au trafic décrit. L'ordinateur d'hôte local possède toujours le port local et l'ordinateur distant possède toujours le port distant. Cette expression de la relation de ports est indépendante de la direction du trafic. Vous pouvez définir les types suivants de protocoles : Tous les protocoles IP Tout protocole. TCP Ports ou plages de ports. UDP Ports ou plages de ports. ICMP Type et code. Protocole IP spécifique Numéro de protocole (type d'ip). Exemples : Type 1 = ICMP, Type 6 = TCP, Type 17 = UDP Carte réseau Si vous définissez un déclencheur de carte réseau, la règle est appropriée seulement au trafic qui est transmis ou reçu en utilisant le type spécifié d'adaptateur. Vous pouvez spécifier n'importe quel adaptateur ou celui actuellement associés à l'ordinateur client. Se reporter à "A propos de l'inspection Stateful" à la page 122.

122 122 Gestion de la protection contre les menaces réseau A propos des règles de filtrage Se reporter à "Ajout d'une règle de filtrage" à la page 124. A propos de l'inspection Stateful Le pare-feu utilise l'inspection "Stateful", un processus qui suit des informations sur des connexions actuelles telles que les adresses IP source et destination, les ports, les applications et ainsi de suite. Le client prend des décisions sur le trafic en utilisant ces informations de connexion avant d'examine des règles de filtrage. Par exemple, si une règle de filtrage autorise un client à se connecter à un serveur Web, le pare-feu consigne les informations de connexion. Lorsque le serveur répond, le pare-feu découvre l'attente d'une réponse du serveur Web au client et autorise le trafic du serveur Web vers le client ayant initié la connexion sans inspecter la base de règle. Une règle doit permettre le trafic sortant initial avant que le pare-feu ne consigne la connexion. L'inspection Stateful permet de simplifier les bases de règle car vous n'avez pas besoin de créer de règles autorisant le trafic dans les deux directions pour le trafic généralement initié dans une seule direction. Le trafic client typiquement lancé dans une direction inclut Telnet (port 23), HTTP (port 80) et HTTPS (port 443). Les clients initient ce trafic sortant de sorte qu'il vous suffit de créer une règle autorisant le trafic sortant pour ces protocoles. Le pare-feu permet le trafic de retour. En configurant seulement les règles sortantes, vous augmentez la sécurité client de la manière suivante : Réduction de la complexité de la base de règle. En supprimant la possibilité qu'un ver ou autre programme malveillant puisse établir des connexions avec un client sur des ports configurés pour le trafic sortant uniquement. Vous pouvez également configurer des règles de trafic entrant seulement, pour le trafic vers des clients qui n'en sont pas les initiateurs. L'inspection Stateful prend en charge toutes les règles qui régissent le trafic TCP. L'inspection Stateful ne prend pas en charge les règles qui filtrent le trafic ICMP. Pour ICMP, vous devez créer des règles autorisant le trafic dans les deux directions lorsque c'est nécessaire. Par exemple, si vous souhaitez que des clients utilisent la commande ping et reçoivent des réponses, vous devez créer une règle autorisant le trafic ICMP dans les deux directions. Se reporter à "A propos des connexions UDP" à la page 123.

123 Gestion de la protection contre les menaces réseau A propos des règles de filtrage 123 A propos des connexions UDP Dans le cas des communications UDP, le client analyse le premier datagramme UDP et applique l'action effectuée sur celui-ci à tous les datagrammes UDP suivants de la session en cours. Le trafic entrant ou sortant entre les mêmes ordinateurs est considéré comme faisant partie de la connexion UDP. Pour le trafic UDP à l'état activé, quand une connexion UDP est établie, la communication UDP entrante est autorisée, même si la règle de filtrage la bloque. Par exemple, si une règle bloque les communications UDP entrantes pour une application spécifique mais que vous choisissez d'autoriser un datagramme UDP sortant, toutes les communications UDP entrantes sont autorisées pour la session actuelle de l'application. Pour le trafic UDP sans état, vous devez créer une règle de filtrage pour autoriser la réponse de communication UDP entrante. Une session UDP expire après 60 secondes si l'application ferme le port. Se reporter à "A propos de l'inspection Stateful" à la page 122. A propos de l'ordre de traitement des règles Les règles de filtrage sont classées séquentiellement, de la priorité la plus élevée à la priorité la plus basse ou du haut vers le bas de la liste de règles. Si la première règle ne spécifie pas le mode de traitement d'un paquet, le pare-feu examine la deuxième règle. Ce processus se poursuit jusqu'à ce que le pare-feu trouve une correspondance. Si le pare-feu trouve une correspondance, le pare-feu prend l'action que la règle spécifie. Des règles de priorité ultérieures de niveau bas ne sont pas examinées. Par exemple, si une règle qui bloque tout le trafic est répertoriée en premier et est suivie d'une règle qui autorise tout le trafic, le client bloque tout le trafic. Se reporter à "Ajout d'une règle de filtrage" à la page 124. Vous pouvez commander des règles pour des fins d'exclusivité. Les règles les plus restrictives sont évaluées en premier et les règles les plus générales sont évaluées en dernier. Par exemple, vous devez placer les règles qui bloquent le trafic près du haut de la liste des règles. Les règles situées au bas de la liste peuvent autoriser le trafic. Les meilleures méthodes de création de base de règles incluent l'ordre des règles suivant : 1. Règles qui bloquent tout le trafic. 2. Règles qui autorisent tout le trafic. 3. Règles qui autorisent ou bloquent des ordinateurs spécifiques.

124 124 Gestion de la protection contre les menaces réseau Ajout d'une règle de filtrage 4. Règles qui autorisent ou bloquent des applications spécifiques, des services réseau et des ports. Tableau 6-5 affiche l'ordre dans lequel le pare-feu traite les règles et les paramètres. Tableau 6-5 Priorité Premier Deuxième Troisième Quatrième Cinquième Sixième Ordre dans lequel le pare-feu traite des règles de filtrage et des paramètres Paramètre Signatures IPS personnalisées Paramètres de prévention d'intrusion, paramètres de trafic et paramètres de furtivité Filtres de trafic intelligents Règles de filtrage Vérification d'analyse de port Signatures IPS téléchargées via LiveUpdate Se reporter à "Modification de l'ordre d'une règle de filtrage" à la page 125. Ajout d'une règle de filtrage Quand vous ajoutez une règle de filtrage, vous devez décider quel effet la règle aura. Par exemple, vous pouvez permettre tout le trafic d'une source particulière ou bloquer les paquets UDP d'un site Web. Se reporter à "A propos des règles de filtrage" à la page 119. Se reporter à "A propos des éléments d'une règle de filtrage" à la page 120. Pour ajouter une règle de filtrage 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 En regard de Protection contre les menaces réseau, cliquez sur Options > Configurer des règles de filtrage. 3 Dans la boîte de dialogue Configurerlesrèglesdefiltrage, cliquez sur Ajouter. 4 Sur l'onglet Général, tapez un nom pour la règle, puis cliquez sur Bloquer ce trafic ou Autoriser ce trafic. 5 Pour définir les déclencheurs pour la règle, sélectionnez n'importe lequel des onglets suivants : Hôtes

125 Gestion de la protection contre les menaces réseau Modification de l'ordre d'une règle de filtrage 125 Ports et Protocoles Applications Pour plus d'informations sur les options de chaque onglet, cliquez sur Aide. 6 Pour définir la période où la règle est active ou inactive, sous l'onglet de Planification, cliquez sur Activer la planification puis définissez une planification. 7 Quand vous avez terminé d'apporter vos modifications, cliquez sur OK. 8 Dans la boîte de dialogue Configurer les règles de filtrage, assurez-vous que la coche s'affiche dans la colonne Nom de règle pour activer la règle. Vous pouvez également modifier l'ordre dans lequel le pare-feu traite la règle. Se reporter à "Modification de l'ordre d'une règle de filtrage" à la page Cliquez sur OK. Modification de l'ordre d'une règle de filtrage Le pare-feu traite la liste des règles de filtrage de haut en bas. Vous pouvez déterminer la manière dont le pare-feu traite des règles de filtrage en modifiant leur ordre. Lorsque vous modifiez l'ordre, ce changement ne concerne que l'emplacement sélectionné. Remarque : Pour une meilleure protection, placez les règles les plus restrictives en premier, et les règles les moins restrictives en dernier. Se reporter à "A propos de l'ordre de traitement des règles" à la page 123. Se reporter à "Ajout d'une règle de filtrage" à la page 124. Pour modifier l'ordre d'une règle de filtrage 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 En regard de Protection contre les menaces réseau, cliquez sur Options > Configurer des règles de filtrage. 3 Dans la boîte de dialogue Configurer les règles de filtrage, sélectionnez la règle que vous voulez déplacer. 4 Effectuez l'une des opérations suivantes : Pour que le pare-feu traite cette règle avant la règle située au-dessus, cliquez sur la fléche orientée vers le haut.

126 126 Gestion de la protection contre les menaces réseau Activation et désactivation des règles Pour que le pare-feu traite cette règle après la règle située au-dessous, cliquez sur la fléche orientée vers le bas. 5 Quand vous avez terminé de déplacer les règles, cliquez sur OK. Activation et désactivation des règles Vous devez activer des règles de sorte que le pare-feu puisse les traiter. Quand vous ajoutez des règles, elles sont automatiquement activées. Vous pouvez désactiver temporairement une règle de filtrage si vous devez accorder un accès spécifique à un ordinateur ou un programme. Se reporter à "Ajout d'une règle de filtrage" à la page 124. Pour activer et désactiver des règles 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 Près de Protection contre les menaces réseau, cliquez sur Options > Configurer les règles de filtrage. 3 Dans la boîte de dialogue Configurer les règles de filtrage, dans la colonne Nom de la règle, sélectionnez ou désélectionnez la case à cocher située en regard de la règle que vous voulez activer ou désactiver. 4 Cliquez sur OK. Exportation et importation de règles Vous pouvez partager les règles avec un autre client pour éviter de les recréer. Vous pouvez exporter les règles d'un autre ordinateur et les importer sur votre ordinateur. Quand vous importez des règles, elles sont ajoutées au bas de la liste de règles de filtrage. Les règles importées ne remplacent pas des règles existantes, même si une règle importée est identique à une règle existante. Les règles exportées et les règles importées sont enregistrées dans un fichier.sar Se reporter à "Ajout d'une règle de filtrage" à la page 124. Pour exporter des règles 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 Près de Protection contre les menaces réseau, cliquez sur Options > Configurer les règles de filtrage. 3 Dans la boîte de dialogue Configurer les règles de filtrage, sélectionnez les règles que vous voulez exporter.

127 Gestion de la protection contre les menaces réseau A propos des règles de filtrage intégrées Cliquez avec le bouton droit de la souris sur les règles et puis cliquez sur Exporter les règles sélectionnées. 5 Dans la boîte de dialogue Exporter, tapez un nom de fichier et puis cliquez sur Enregistrer. 6 Cliquez sur OK. Pour importer des règles 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 Près de Protection contre les menaces réseau, cliquez sur Options > Configurer les règles de filtrage. 3 Dans la boîte de dialogue Configurer les règles de filtrage, cliquez avec le bouton droit de la souris sur la liste des règles de filtrage puis cliquez sur Importer la règle 4 Dans la boîte de dialogue Importer, localisez le fichier.sar qui contient les règles que vous voulez importer. 5 Cliquez sur Ouvrir. 6 Cliquez sur OK. A propos des règles de filtrage intégrées La protection contre les menaces réseau inclut des règles qui autorisent certains types de trafic. Vous pouvez activer ou désactiver ces règles plutôt que d'en ajouter vous même. Se reporter à "Ajout d'une règle de filtrage" à la page 124. Votre administrateur peut choisir de vous accorder ou non la permission de personnaliser ces paramètres. Par défaut, le pare-feu permet la plupart de trafic TCP/IP, excepté IPv6. Vous pouvez activer ou désactiver les règles de filtrage intégrées suivantes : Filtres intelligents de trafic Autorise certains types de trafic spécifiques requis sur la plupart des réseaux. Ce type de trafic comprend le trafic DHCP, DNS et WINS. Se reporter à "Activation du filtrage de trafic intelligent " à la page 129.

128 128 Gestion de la protection contre les menaces réseau Activation des paramètres de trafic et des paramètres de navigation Web furtive Paramètres de trafic et de furtivité Active les fonctions de trafic supplémentaires telles que la protection NetBIOS, la gestion du trafic Token Ring, la fonction de requête DNS inversée et le mode furtif. Se reporter à "Activation des paramètres de trafic et des paramètres de navigation Web furtive" à la page 128. Vous pouvez désactiver la protection momentanément, par exemple durant l'installation d'un nouveau logiciel. Se reporter à "Activation ou désactivation de la protection contre les menaces réseau" à la page 42. Vous pouvez également configurer les paramètres de Microsoft Windows Networking. Se reporter à "Activation du partage des fichiers et des imprimantes du réseau" à la page 130. Activation des paramètres de trafic et des paramètres de navigation Web furtive Vous pouvez permettre à divers paramètres du trafic et paramètres furtifs de navigation web de se protéger contre certains types d'attaques réseau sur le client. Vous pouvez permettre à des paramètres de trafic de détecter et de bloquer le trafic qui communique par les pilotes, NetBIOS et les anneaux à jeton. Vous pouvez également configurer des paramètres pour détecter le trafic qui utilise des attaques moins visibles. Vous pouvez également contrôler le comportement pour le trafic IP qui ne correspond à aucune règle de filtrage. Après que le pare-feu ait terminé certaines opérations, la commande est transmise à un certain nombre de composants. Chaque composant est conçu pour effectuer un type différent d'analyse de paquet. Se reporter à "Activation du filtrage de trafic intelligent " à la page 129. Pour activer des paramètres de trafic et des paramètres de navigation Web furtive 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 Près de Protection contre les menaces réseau, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de protection contre les menaces réseau, cliquez sur Pare-feu.

129 Gestion de la protection contre les menaces réseau Activation du filtrage de trafic intelligent Sur l'onglet Pare-feu, dans les zones de grtoupe Paramètres de trafic et Paramètres de furtivité, cochez les cases pour activer les paramètres. 5 Cliquez sur OK. Activation du filtrage de trafic intelligent Les filtres intelligents de trafic permettent l'échange normal de certains services de réseau essentiels sans définir les règles qui autorisent explicitement ces services. Pendant le traitement, ces filtres sont évalués avant les règles de filtrage de sorte que les paquets correspondant à une occurrence active d'une règle intrinsèque soient permis. Vous pouvez définir les règles intrinsèques des services DHCP, DNS et WINS. Les demandes de ces services proviennent de l'ordinateur client, et l'intervention du serveur se produit au bout d'un temps prédéfini de 5 secondes. Cette intervention est vérifiée pour s'assurer qu'elle est valide pour la demande du client. Les filtres de trafic intelligents autorise le paquet si une demande a été faite. Ils ne bloquent pas les paquets. Les règles de filtrage autorisent ou bloquent des paquets. Se reporter à "Activation des paramètres de trafic et des paramètres de navigation Web furtive" à la page 128. Activation du filtrage du trafic intelligent 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 A côté de Protection contre les menaces réseau, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de protection contre les menaces réseau, cliquez sur Pare-feu. 4 Cochez une ou plusieurs des cases suivantes : Activer Smart DHCP Activer Smart DNS Activer Smart WINS 5 Cliquez sur OK.

130 130 Gestion de la protection contre les menaces réseau Activation du partage des fichiers et des imprimantes du réseau Activation du partage des fichiers et des imprimantes du réseau Vous pouvez permettre au client de partager ses fichiers ou d'accéder à des fichiers et des imprimantes partagés sur votre réseau local. Pour empêcher des attaques basées sur le réseau, vous pouvez désactiver le partage des fichiers et des imprimantes du réseau. Vous pouvez activer le partage des fichiers et des imprimantes du réseau des manières suivantes : Activation automatique des paramètres de partage des fichiers et des imprimantes du réseau sous l'onglet Réseau Microsoft Windows. Toute règle de filtrage bloquant ce trafic est prioritaire sur ces paramètres. Activation manuelle du partage des fichiers et des imprimantes du réseau en ajoutant des règles de filtrage. Vous pouvez ajouter des règles de filtrage afin d'avoir plus de flexibilité par rapport aux paramètres. Par exemple, quand vous créez une règle, vous pouvez spécifier un hôte particulier au lieu de l'ensemble des hôtes. Les règles de filtrage autorisent l'accès aux ports pour l'accès aux fichiers et aux imprimantes ainsi que leur partage. Vous créez un ensemble de règles de filtrage permettant au client de partager ses fichiers. Vous créez un second ensemble de règles de filtrage de sorte que le client puisse accéder à d'autres fichiers et imprimantes. Votre administrateur n'a peut-être pas activé cette option sur le client. Les utilisateurs sur le client peuvent activer ces paramètres automatiquement. Se reporter à "A propos des règles de filtrage intégrées" à la page 127. Pour activer automatiquement le partage des fichiers et des imprimantes du réseau 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 A côté de Protection contre les menaces réseau, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de protection contre les menaces réseau, cliquez sur Réseau Microsoft Windows. 4 Dans l'onglet Réseau Microsoft Windows, cliquez sur Rechercher les fichiers et les imprimantes sur le réseau pour accéder aux autres ordinateurs et imprimantes au sein du réseau. 5 Pour permettre à d'autres ordinateurs d'accéder aux fichiers de votre ordinateur, cliquez sur Partager mes fichiers et mes imprimantes sur le réseau. 6 Cliquez sur OK.

131 Gestion de la protection contre les menaces réseau Activation du partage des fichiers et des imprimantes du réseau 131 Pour permettre manuellement aux clients d'accéder aux fichiers et imprimantes 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 Près de Protection contre les menaces réseau, cliquez sur Options > Configurer les règles de filtrage. 3 Dans la boîte de dialogue Configurer les règles de filtrage, cliquez sur Ajouter. 4 Sous l'onglet Général, tapez un nom pour la règle et cliquez sur Autoriser ce trafic. 5 Sous l'onglet Ports et protocoles, dans la liste déroulante Protocole, cliquez sur TCP. 6 Dans la liste déroulante Ports distants, tapez 88, 135, 139, Cliquez sur OK. 8 Dans la boîte de dialogue Configurer les règles de filtrage, cliquez sur Ajouter. 9 Sur l'onglet Général, tapez un nom pour la règle puis cliquez sur Autoriser ce trafic. 10 Sous l'onglet Ports et protocoles, dans la liste déroulante Protocole, cliquez sur UDP. 11 Dans la liste déroulante Ports distants, tapez Dans la liste déroulante Ports locaux, tapez 137, Cliquez sur OK. Pour permettre manuellement aux autres ordinateurs d'accéder aux fichiers sur le client 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 Près de Protection contre les menaces réseau, cliquez sur Options > Configurer les règles de filtrage. 3 Dans la boîte de dialogue Configurer les règles de filtrage, cliquez sur Ajouter. 4 Sur l'onglet Général, tapez un nom pour la règle puis cliquez sur Autoriser ce trafic. 5 Dans la liste déroulante Protocole de l'onglet Ports et protocoles, cliquez sur TCP. 6 Dans la liste déroulante Ports locaux, tapez 88, 135, 139, Cliquez sur OK. 8 Dans la boîte de dialogue Configurer les règles de filtrage, cliquez sur Ajouter.

132 132 Gestion de la protection contre les menaces réseau Blocage du trafic 9 Sur l'onglet Général, tapez un nom pour la règle puis cliquez sur Autoriser ce trafic. 10 Dans la liste déroulante Protocole de l'onglet Ports et protocoles, cliquez sur UDP. 11 Dans la liste déroulante Ports locaux, tapez 88, 137, Cliquez sur OK. Blocage du trafic Vous pouvez configurer votre ordinateur pour bloquer le trafic entrant et le trafic sortant dans les situations suivantes : Quand l'écran de veille de votre ordinateur est activé. Vous pouvez configurer votre ordinateur de manière à bloquer l'ensemble du trafic Voisinage réseau entrant et sortant lorsque l'économiseur d'écran de l'ordinateur est activé. Dès que l'écran de veille est désactivé, votre ordinateur revient au niveau de sécurité précédemment attribué. Quand le pare-feu ne s'exécute pas. L'ordinateur n'est pas protégé entre le démarrage de l'ordinateur client et l'activation du service de pare-feu ni entre la désactivation du service de pare-feu et l'arrêt de l'ordinateur. Cette période est une petite faille de sécurité qui peut permettre une communication non autorisée. Quand vous voulez bloquer tout le trafic entrant et sortant à tout moment. Vous pouvez vouloir bloquer tout le trafic quand un virus particulièrement destructeur attaque votre réseau d'entreprise ou sous-réseau. Vous ne bloquerez pas tout le trafic dans des circonstances normales. Remarque : Votre administrateur peut configurer cette option pour la rendre indisponible. Vous ne pouvez pas bloquer le trafic sur un client autogéré. Vous pouvez permettre tout le trafic en désactivant la protection contre les menaces réseau. Se reporter à "Activation ou désactivation de la protection contre les menaces réseau" à la page 42. Se reporter à "Bloquer et débloquer un ordinateur attaquant" à la page 139.

133 Gestion de la protection contre les menaces réseau Configurer des paramètres spécifiques à une application 133 Pour bloquer le trafic quand l'écran de veille est activé 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 Près de Protection contre les menaces réseau, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de protection contre les menaces réseau, cliquez sur Réseau Microsoft Windows. 4 Sur l'onglet Réseau Microsoft Windows, cliquez sur le Bloquer le trafic réseau Microsoft Windows lorsque l'écran de veille est activé. 5 Cliquez sur OK. Pour bloquer le trafic quand le pare-feu ne s'exécute pas 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 En regard de Protection contre les menaces réseau, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de protection contre les menaces réseau, cliquez sur Pare-feu. 4 Sur l'onglet Pare-feu, cliquez sur Bloquer l'ensemble du trafic jusqu'à l'activation du pare-feu et après sa désactivation. 5 En option, cliquez sur Autoriser le trafic DHCP et NetBIOS initial. 6 Cliquez sur OK. Pour bloquer tout le trafic à tout moment 1 Dans le client, dans la barre latérale cliquez sur Etat. 2 Près de Protection contre les menaces réseau, cliquez sur Options > Afficher l'activité réseau 3 Cliquez sur Outils > Bloquer l'ensemble du trafic. 4 Pour confirmer, cliquez sur Oui. 5 Pour retourner aux paramètres de pare-feu utilisés précedemment par le client, supprimez la coche Outils > Bloquer l'ensemble du trafic. Configurer des paramètres spécifiques à une application Vous pouvez configurer les paramètres pour une application qui s'est exécutée depuis le démarrage du service de client ou a demandé la permission d'accéder au réseau.

134 134 Gestion de la protection contre les menaces réseau Configurer des paramètres spécifiques à une application Vous pouvez configurer des restrictions telles que les adresses IP et les ports que l'application peut utiliser. Vous pouvez afficher et modifier la mesure que le client prend pour chaque application qui essaye d'accéder par votre connexion réseau. En configurant les paramètres pour une application spécifique, vous créez une règle de filtrage basée sur l'application. Remarque : S'il y a un conflit entre une règle de filtrage et un paramètre spécifique à d'application, la règle de filtrage a la priorité. Par exemple, une règle de filtrage qui bloque tout le trafic entre 1h00 et 8h00 remplace la planification pour une application vidéo spécifique. Se reporter à "Ajout d'une règle de filtrage" à la page 124. Les applications qui apparaissent dans la boîte de dialogue Activité réseau sont les applications et les services qui se sont exécutés depuis que le service client a démarré. Pour configurer les paramètres spécifiques à des applications 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 A côté de Protection contre les menaces réseau, cliquez sur Options > Afficher les paramètres d'application. 3 Dans la boîte de dialogue Afficher les paramètres des applications, sélectionnez l'application à configurer, puis cliquez sur Configurer. 4 Dans la boîte de dialogue Configurer les paramètres de l'application, dans la zone de texte IPS approuvés de l'application, saisissez une adresse IP ou une plage d'ip. 5 Dans les zones de texte Ports de serveur distant ou Ports locaux, sélectionnez un port TCP ou UDP. 6 Pour spécifier la direction du trafic, cliquez sur l'un des éléments suivants ou les deux : Pour permettre le trafic sortant, cliquez sur Permettre les connexions sortantes. Pour permettre le trafic entrant, cliquez sur Permettre les connexions entrantes. 7 Pour appliquer la règle quand l'écran de veille s'exécute, cliquez sur le Permettre lorsque l'écran de veille est activé. 8 Pour configurer une planification des périodes où les restrictions sont ou ne sont pas en vigueur, cliquez sur Activer la planification. 9 Sélectionnez l'un des éléments suivants :

135 Gestion de la protection contre les menaces réseau Configurer des paramètres spécifiques à une application 135 Pour spécifier le moment où les restrictions sont en vigueur, cliquez sur Au cours de la période ci-dessous. Pour spécifier le moment où les restrictions ne sont pas en vigueur, cliquez sur A l'exclusion de la période ci-dessous. 10 Configurez la planification. 11 Cliquez sur OK. 12 Dans la boîte de dialogue Afficher les paramètres d'application, pour modifier l'action, cliquez avec le bouton droit de la souris sur l'application puis cliquez sur Autoriser ou Bloquer. 13 Cliquez sur OK. Pour arrêter une application ou un service 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 Près de Protection contre les menaces réseau, cliquez sur Options > Afficher l'activité réseau. 3 Dans le champ Applications en cours, cliquez avec le bouton droit de la souris sur l'application, puis cliquez sur Terminer. 4 Pour confirmer, cliquez sur Oui, puis cliquez sur Fermer. Suppression des restrictions d'une application Vous pouvez supprimer les restrictions de l'application, telles que l'heure à laquelle le pare-feu bloque une application. Quand vous supprimez les restrictions, l'action effectuée par le client sur l'application est également effacée. Quand l'application ou le service essaye de se connecter au réseau de nouveau, un message peut vous demander de nouveau s'il faut permettre ou bloquer l'application. Vous pouvez arrêter une application ou un service jusqu'à ce que l'application essaye d'accéder à votre ordinateur de nouveau, comme quand vous redémarrez l'ordinateur. Se reporter à "Configurer des paramètres spécifiques à une application" à la page 133. Pour supprimer les restrictions d'une application 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 Près de Protection contre les menaces réseau, cliquez sur Options > Afficher les paramètres des applications. 3 Dans la boîte de dialogue Afficher les paramètres des applications, faites une des actions suivantes :

136 136 Gestion de la protection contre les menaces réseau Gestion de la protection de prévention des intrusions Pour supprimer une application de la liste, sélectionnez-la et puis cliquez sur Supprimer. Pour supprimer toutes les applications de la liste, cliquez sur Supprimer tout. 4 Cliquez sur Oui. 5 Cliquez sur OK. Gestion de la protection de prévention des intrusions Vous pouvez gérer la protection de prévention des intrusion à la page Politiques. La gestion de la protection de prévention des intrusions fait partie de la protection contre les menaces réseau. Tableau 6-6 affiche les tâches de prévention des intrusions que vous pouvez effectuer pour protéger votre ordinateur. Tableau 6-6 Opération Gestion de la protection de prévention des intrusions Description En savoir plus sur la prévention des intrusions Découvrez comment prévention des intrusions détecte et bloque les attaques réseau. Assurez-vous que des paramètres Prévention d'intrusion sont activés Se reporter à "Fonctionnement de la protection de prévention des intrusions" à la page 137. Vérifiez régulièrement que la prévention des intrusions est activée sur vos ordinateurs. Se reporter à "Activation ou désactivation des paramètres de prévention des intrusions" à la page 138. Télécharger les signatures IPS les plus récentes. Télécharger les signatures IPS les plus récentes. Par défaut, LiveUpdate télécharge les signatures IPS. Cependant, vous pouvez vouloir télécharger les signatures IPS immédiatement. Se reporter à "Mise à jour de la protection de l'ordinateur" à la page 32. Se reporter à "Bloquer et débloquer un ordinateur attaquant" à la page 139.

137 Gestion de la protection contre les menaces réseau Fonctionnement de la protection de prévention des intrusions 137 Fonctionnement de la protection de prévention des intrusions La protection de prévention des intrusions détecte et bloque automatiquement les attaques réseau. La protection de prévention des intrusions analyse chaque paquet qui entre et sort d'un ordinateur à la recherche de signatures d'attaque. Une signature d'attaque est une combinaison unique d'informations qui identifie la tentative d'exploitation d'une vulnérabilité connu d'un système d'exploitation ou programme par un attaquant. La protection de prévention des intrusions utilise la liste exhaustive de signatures d'attaque de Symantec. La protection de prévention des intrusions peut également bloquer toute la communication depuis et vers un ordinateur attaquant pendant une période spécifiée. Se reporter à "Gestion de la protection de prévention des intrusions" à la page 136. Se reporter à "Activation ou désactivation des paramètres de prévention des intrusions" à la page 138. Figure 6-1 Protection de prévention des intrusions Attaquant Ordinateur client

138 138 Gestion de la protection contre les menaces réseau Activation ou désactivation des paramètres de prévention des intrusions Activation ou désactivation des paramètres de prévention des intrusions Par défaut, les paramètres de prévention des intrusions sont désactivés. Vous pouvez vouloir désactiver les paramètres IPS à des fins de dépannage ou si l'ordinateur client détecte des faux positifs excessifs. Vous pouvez activer ou désactiver les paramètres suivants : Les signatures du système de prévention d'intrusion qui détectent et empêchent les attaques réseau. Les paramètres de prévention d'intrusion qui empêchent les analyses de port et les attaques par déni de service. L'intervention active, qui bloque automatiquement les ordinateurs qui envoient des attaques. Typiquement, quand vous désactivez les paramètres de prévention d'intrusion sur votre ordinateur, votre ordinateur est moins sécurisé. Cependant, vous pouvez devoir désactiver ces paramètres pour éviter des faux positifs ou pour dépanner les ordinateurs client. Le client consigne les attaques et les événements de sécurité que le système de prévention d'intrusion détecte dans le journal de sécurité. Le client peut consigner les attaques et les événements dans le journal des paquets. Se reporter à "Fonctionnement de la protection de prévention des intrusions" à la page 137. Remarque : Votre administrateur peut configurer ces options pour les rendre indisponibles. Pour activer ou désactiver des paramètres de prévention des intrusions 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 A côté de Protection contre les menaces réseau, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de protection contre les menaces réseau, cliquez sur Prévention d'intrusion. 4 Pour activer un paramètre, dans l'onglet Prévention d'intrusion, cochez l'une des cases suivantes : Activer la prévention d'intrusion Activer la détection de déni de service

139 Gestion de la protection contre les menaces réseau Configuration des notifications de prévention d'intrusion 139 Activer la détection d'analyse de port Pour plus d'informations sur les paramètres, cliquez sur Aide. 5 Cliquez sur OK. Configuration des notifications de prévention d'intrusion Vous pouvez configurer des notifications pour apparaître quand le client détecte une attaque réseau sur votre ordinateur ou quand il empêche une application d'accéder à votre ordinateur. Vous pouvez définir la durée d'apparition de ces notifications et si la notification se produit avec une annonce sonore. Vous devez activer le système de prévention d'intrusion pour que les notifications de prévention d'intrusion apparaissent. Remarque : Votre administrateur a pu configurer ces options pour qu'elles soient indisponibles. Pour configurer des notifications de prévention d'intrusion 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 Près de Protection contre les menaces réseau, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de protection contre les menaces réseau, cliquez sur Prévention d'intrusion. 4 Cochez Afficher les notifications de prévention d'intrusion. 5 Pour entendre un bip quand la notification apparaît, cochez Utiliser des effets sonores pour la notification des utilisateurs. 6 Dans le champ Durée (en secondes) d'affichage des notifications, tapez un laps de temps pendant lequel les notifications doivent apparaître. 7 Cliquez sur OK. Bloquer et débloquer un ordinateur attaquant Quand le client Symantec Endpoint Protection détecte une attaque réseau, il peut bloquer automatiquement la connexion pour s'assurer que l'ordinateur client est sûr. Le client active une intervention active, qui bloque automatiquement toute communication depuis et vers l'adresse IP de l'ordinateur attaquant pendant un

140 140 Gestion de la protection contre les menaces réseau Bloquer et débloquer un ordinateur attaquant laps de temps défini. L'adresse IP de l'ordinateur attaquant est bloquée pour un unique emplacement. Les signatures IPS mises à jour, les signatures de déni de service mises à jour et les analyses de port déclenchent également une intervention active. Vous pouvez afficher l'adresse IP de l'ordinateur attaquant dans le journal de sécurité. Vous pouvez également débloquer une attaque en arrêtant l'intervention active dans le journal de sécurité. Se reporter à "Activation ou désactivation des paramètres de prévention des intrusions" à la page 138. Se reporter à "Blocage du trafic" à la page 132. Pour bloquer un ordinateur attaquant 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 Près de Protection contre les menaces réseau, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de protection contre les menaces réseau, cliquez sur Prévention d'intrusion. 4 Cochez Durée (en secondes) du blocage automatique de l'adresse IP d'un pirate, puis introduisez le nombre de secondes. Introduisez un nombre d'une seconde à secondes. La durée par défaut est 600 secondes ou 10 minutes. 5 Cliquez sur OK. Si vous ne souhaitez pas patienter pendant le délai requis pour débloquer l'adresse IP, vous pouvez la débloquer immédiatement. Pour débloquer un ordinateur attaquant 1 Dans le client, dans la barre latérale, cliquez sur Afficher les journaux. 2 Près de Gestion des clients, cliquez sur Afficher les journaux > Journal de sécurité. 3 Dans le journal de sécurité, sélectionnez la ligne qui contient l'intervention active dans la colonne de type d'événement et puis cliquez sur Opération > Arrêter l'intervention active. Pour débloquer les adresses IP bloquées, cliquez sur Opération > Arrêter toutes les interventions actives. Si vous débloquez une intervention active, la colonne de type d'événement affiche l'intervention active annulée. Si le délai d'intervention active est dépassé, la colonne de type d'événement affiche Intervention active désengagée.

141 Gestion de la protection contre les menaces réseau Bloquer et débloquer un ordinateur attaquant Dans la zone de message qui apparaît, cliquez sur OK. 5 Cliquez sur Fichier > Quitter.

142 142 Gestion de la protection contre les menaces réseau Bloquer et débloquer un ordinateur attaquant

143 Section 3 Gestion de la protection sur le client Symantec Network Access Control Chapitre 7. Gestion de Network Access Control

144 144

145 Chapitre 7 Gestion de Network Access Control Ce chapitre traite des sujets suivants : Fonctionnement de Symantec Network Access Control Exécution d'une vérification de l'intégrité de l'hôte A propos de la mise à jour de la politique d'intégrité de l'hôte Réparation de l'ordinateur Afficher les journaux Network Access Control Fonctionnement du client avec un module d'application Enforcer Configuration du client pour l'authentification 802.1x Fonctionnement de Symantec Network Access Control Le client Symantec Network Access Control valide et impose la conformité aux politiques pour les ordinateurs qui essayent de se connecter au réseau. Ce processus de validation et d'application commence avant que l'ordinateur ne se connecte au réseau et continue durant toute la durée de la connexion. La politique d'intégrité de l'hôte est la politique de sécurité qui sert de base à toutes les évaluations et actions. Tableau 7-1 décrit le processus que Network Access Control utilise pour imposer la conformité des politiques sur l'ordinateur client.

146 146 Gestion de Network Access Control Fonctionnement de Symantec Network Access Control Tableau 7-1 Action Comment Symantec Network Access Control fonctionne Description Le client évalue continuellement sa conformité. Vous activez l'ordinateur client. Le client exécute une vérification de l'intégrité de l'hôte qui compare la configuration de l'ordinateur à la politique d'intégrité de l'hôte téléchargée depuis le serveur de gestion. Symantec Enforcer authentifie l'ordinateur client et lui accorde l'accès au réseau ou bloque et met en quarantaine les ordinateurs non conformes. Votre administrateur peut avoir installé la politique de sorte qu'une vérification de l'intégrité de l'hôte réussisse même si une exigence spécifique échoue. Le client résout les ordinateurs non conformes. La vérification de l'intégrité de l'hôte évalue la conformité de votre ordinateur à la politique d'intégrité de l'hôte pour le logiciel antivirus, les correctifs, les hotfixes et d'autres exigences de sécurité. Par exemple, la politique peut vérifier le moment auquel ses définitions antivirus ont été mises à jour et les derniers correctifs appliqués au système d'exploitation. Si l'ordinateur répond à toutes les exigences de la politique, le contrôle d'intégrité réussit. Enforcer accorde le plein accès au réseau aux ordinateurs qui passent la vérification de l'intégrité de l'hôte. Si l'ordinateur ne répond pas aux exigences de la politique, la vérification de l'intégrité de l'hôte échoue. Quand une vérification de l'intégrité de l'hôte échoue, le client ou Symantec Enforcer bloque votre ordinateur ou le met en quarantaine jusqu'à ce que vous résolviez le problème. Les ordinateurs en quarantaine ont un accès limité ou nul au réseau. Se reporter à "Fonctionnement du client avec un module d'application Enforcer" à la page 149. Le client peut afficher une notification chaque fois que la vérification de l'intégrité de l'hôte réussit. Se reporter à "Réaction aux notifications de Network Access Control" à la page 28. Si le client constate qu'une spécification de la politique d'intégrité de l'hôte n'est pas satisfaite, il installe ou vous demande d'installer le logiciel requis. Quand votre ordinateur est conforme, il essaye d'accéder au réseau de nouveau. Si l'ordinateur est entièrement conforme, le réseau accorde l'accès au réseau. Se reporter à "Réparation de l'ordinateur" à la page 148.

147 Gestion de Network Access Control Exécution d'une vérification de l'intégrité de l'hôte 147 Action Description Le client contrôle proactivement la conformité. Le client contrôle activement l'état de conformité pour tous les ordinateurs client. Si, à un moment quelconque, l'état de conformité de l'ordinateur change, les droits d'accès au réseau de l'ordinateur font de même. Vous pouvez afficher plus d'informations sur les résultats de vérification de l'intégrité de l'hôte dans Journal de sécurité. Exécution d'une vérification de l'intégrité de l'hôte Votre administrateur configure la fréquence selon laquelle le client exécute une vérification de l'intégrité de l'hôte. Vous pouvez devoir exécuter une vérification de l'intégrité de l'hôte immédiatement plutôt qu'attendre le contrôle suivant. Par exemple, l'échec d'une vérification de l'intégrité de l'hôte peut indiquer que vous devez mettre à jour l'application antivirus sur votre ordinateur. Le client peut vous permettre de choisir de télécharger le logiciel requis immédiatement ou de reporter le téléchargement. Si vous téléchargez le logiciel immédiatement, vous devez exécuter la vérification de l'intégrité de l'hôte de nouveau pour vérifier que vous avez le logiciel correct. Vous pouvez attendre la vérification de l'intégrité de l'hôte planifiée suivante ou exécuter le contrôle immédiatement. Pour exécuter une vérification de l'intégrité de l'hôte 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 en regard de Network Access Control, cliquez sur Options > Vérifier maintenant. 3 Si un message apparaît pour confirmer que la vérification de l'intégrité de l'hôte s'est exécutée, cliquez sur OK. Si vous aviez été bloqué pour l'accès au réseau, vous devriez regagner l'accès au réseau quand votre ordinateur a été mis à jour pour être conforme à la politique de sécurité. A propos de la mise à jour de la politique d'intégrité de l'hôte Le client met à jour la politique d'intégrité de l'hôte à intervalles réguliers. Votre administrateur peut demander que vous mettiez à jour la politique d'intégrité de l'hôte avant la mise à jour planifiée suivante aux fins de test. Autrement, vous n'avez pas besoin de mettre à jour la politique.

148 148 Gestion de Network Access Control Réparation de l'ordinateur Se reporter à "Mettre à jour manuellement le fichier de politique" à la page 35. Réparation de l'ordinateur Si le client constate qu'une spécification de politique d'intégrité de l'hôte n'est pas satisfaite, il réagit de l'une des manières suivantes : Le client télécharge automatiquement la mise à jour du logiciel. Le client vous invite à télécharger la mise à jour logicielle requise. Pour corriger votre ordinateur Dans la boîte de dialogue Symantec Endpoint Protection qui apparaît, faites une des actions suivantes : Pour vérifier les exigences de sécurité auxquelles votre ordinateur ne satisfait pas, cliquez sur Détails. Pour installer immédiatement le logiciel, cliquez sur Restaurer Vous pouvez ou non avoir l'option d'annuler l'installation après qu'elle ait commencé. Pour reporter l'installation du logiciel, cliquez sur Me le rappeler dans et sélectionnez un délai dans la liste déroulante. L'administrateur peut configurer le nombre de fois maximal où l'installation peut être reportée. Afficher les journaux Network Access Control Le client Symantec Network Access Control utilise les journaux suivants pour contrôler différents aspects de son fonctionnement et de la vérification de l'intégrité de l'hôte : Sécurité Système Enregistre les résultats et l'état de vérifications de l'intégrité de l'hôte. Enregistre toutes les modifications opérationnelles pour le client, tel que la connexion au serveur de gestion et les mises à jour de la politique de sécurité client. Si vous utilisez un client géré, les deux journaux peuvent être régulièrement envoyés au serveur. Votre administrateur peut utiliser le contenu des journaux pour analyser l'état global de la sécurité du réseau. Vous pouvez exporter les données de ces journaux.

149 Gestion de Network Access Control Fonctionnement du client avec un module d'application Enforcer 149 Pour afficher les journaux Symantec Network Access Control 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 Pour afficher le journal système, à côté de Network Access Control, cliquez sur Options > Afficher les journaux. 3 Pour afficher le journal de sécurité, dans la boîte de dialogue Journaux de gestion des clients - journal système, cliquez sur Affichage > Journal de sécurité. 4 Cliquez sur Fichier> Quitter. Se reporter à "A propos des journaux" à la page 157. Fonctionnement du client avec un module d'application Enforcer Le client interagit avec Symantec Enforcer. Enforcer s'assure que tous les ordinateurs qui se connectent au réseau qu'il protège exécutent le logiciel client et ont une politique de sécurité correcte. Se reporter à "Fonctionnement de Symantec Network Access Control" à la page 145. Enforcer doit authentifier l'utilisateur ou l'ordinateur client avant d'autoriser à l'ordinateur client à accéder au réseau. Symantec Network Access Control fonctionne avec plusieurs types de modules Enforcer pour authentifier l'ordinateur client. Symantec Enforcer est le boîtier de matériel réseau qui contrôle les résultats d'intégrité de l'hôte et l'identité de l'ordinateur client avant de permettre l'accès au réseau d'ordinateurs. Enforcer vérifie les informations suivantes avant de permettre aux clients d'accéder au réseau : Version du logiciel client que l'ordinateur exécute. Le client a un identificateur unique (UID). Le client a été mis à jour avec la politique d'intégrité de l'hôte la plus récente. L'ordinateur client réussi la vérification de l'intégrité de l'hôte. Se reporter à "Configuration du client pour l'authentification 802.1x" à la page 149. Configuration du client pour l'authentification 802.1x Si votre réseau d'entreprise utilise LAN Enforcer pour l'authentification, l'ordinateur client doit être configuré pour utiliser l'authentification 802.1x. Vous

150 150 Gestion de Network Access Control Configuration du client pour l'authentification 802.1x ou votre administrateur devez configurer le client. Votre administrateur peut vous avoir autorisé ou non à configurer l'authentification 802.1x. Le procédé d'authentification 802.1x inclut les étapes suivantes : Un client non authentifié ou un supplicant tierce partie envoie les informations utilisateur et les informations de conformité à un commutateur réseau 802.1x géré. Le commutateur réseau retransmet les informations à LAN Enforcer. LAN Enforcer envoie les informations utilisateur au serveur d'authentification pour l'authentification. Le serveur RADIUS est le serveur d'authentification. Si le client échoue à l'authentification au niveau utilisateur ou n'est pas conforme à la politique d'intégrité de l'hôte, Enforcer peut bloquer l'accès au réseau. Enforcer place l'ordinateur client non conforme dans un réseau de quarantaine où l'ordinateur peut être corrigé. Après que le client ait corrigé l'ordinateur et l'ait rendu conforme, le protocole 802.1x authentifie à nouveau l'ordinateur et lui accorde l'accès au réseau. Pour travailler avec LAN Enforcer, le client peut utiliser un supplicant tiers ou un supplicant intégré. Tableau 7-2 décrit les types d'options que vous pouvez configurer pour l'authentification 802.1x. Tableau 7-2 options d'authentification 802.1x Option Supplicant tiers Description Utilise un supplicant tiers 802.1x. LAN Enforcer fonctionne avec un serveur RADIUS et des supplicants tiers 802.1x pour effectuer l'authentification utilisateur. Le supplicant 802.1x vous demande les informations utilisateur, que LAN Enforcer passe au serveur RADIUS pour l'authentification au niveau utilisateur. Le client envoie le profil client et l'état d'intégrité de l'hôte à Enforcer de sorte qu'enforcer authentifie l'ordinateur. Remarque : Si vous voulez utiliser le client Symantec Network Access Control avec un supplicant tiers, le module Protection contre les menaces réseau du client Symantec Endpoint Protection doit être installé.

151 Gestion de Network Access Control Configuration du client pour l'authentification 802.1x 151 Option Mode transparent Description Utilise le client pour s'exécuter en tant que supplicant 802.1x. Vous utilisez cette méthode si l'administrateur ne souhaite pas utiliser un serveur RADIUS pour effectuer l'authentification utilisateur. LAN Enforcer s'exécute dans le mode transparent et agit en tant que serveur pseudo-radius. Le mode transparent signifie que le supplicant ne vous demande pas les données utilisateur. Dans le mode transparent, le client agit en tant que supplicant 802.1x. Le client répond à la sollicitation EAP du commutateur avec le profil client et l'état d'intégrité de l'hôte. Le commutateur, à son tour, fait suivre les informations à LAN Enforcer, qui agit en tant que serveur pseudo-radius. LAN Enforcer valide l'intégrité de l'hôte et les données de profil de client du commutateur et peut permettre, bloquer ou attribuer dynamiquement un VLAN, comme approprié. Remarque : Pour utiliser un client en tant que supplicant 802.1x, vous devez désinstaller ou désactiver les supplicants tiers 802.1x sur l'ordinateur client. Supplicant intégré Utilise le supplicant intégré 802.1x de l'ordinateur client. Les protocoles d'authentification intégrés incluent Smart Card, PEAP ou TLS. Après avoir activé l'authentification 802.1x, vous devez spécifier le protocole d'authentification à l'utiliser. Avertissement : Contactez votre administrateur avant de configurer votre client pour l'authentification 802.1x. Vous devez savoir si votre réseau d'entreprise utilise le serveur RADIUS en tant que serveur d'authentification. Si vous configurez l'authentification 802.1x incorrectement, vous pouvez interrompre votre connexion au réseau. Pour configurer le client pour utiliser un supplicant tiers 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 A côté de Network Access Control, cliquez sur Options > Changer les paramètres > Paramètres 802.1x.

152 152 Gestion de Network Access Control Configuration du client pour l'authentification 802.1x 3 Dans la boîte de dialogue Paramètres de Network Access Control, cliquez sur Activer l'authentification 802.1x. 4 Cliquez sur OK. Vous devez également installer une règle de filtrage qui autorise les pilotes de supplicant tiers 802.1x sur le réseau. Se reporter à "Ajout d'une règle de filtrage" à la page 124. Vous pouvez configurer le client pour utiliser le supplicant intégré. Vous activez le client pour l'authentification 802.1x et en tant que supplicant 802.1x. Pour configurer le client pour utiliser le mode transparent ou un supplicant intégré 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 A côté de Network Access Control, cliquez sur Options > Changer les paramètres > Paramètres 802.1x. 3 Dans la boîte de dialogue Paramètres de Network Access Control, cliquez sur Activer l'authentification 802.1x. 4 Cliquez sur Utiliser le client en tant que supplicant 802.1x. 5 Effectuez l'une des opérations suivantes : Pour sélectionner le mode transparent, cochez Utiliser le mode transparent Symantec. Pour configurer un supplicant intégré, cliquez sur Vous permet de choisir le protocole d'authentification. Vous devez alors choisir le protocole d'authentification pour votre connexion réseau. 6 Cliquez sur OK. Pour choisir un protocole d'authentification 1 Sur l'ordinateur client, cliquez sur Démarrer > Paramètres > Connexions réseau, puis cliquez sur Connexion au réseau local. 2 Dans la boîte de dialogue Etat de la connexion au réseau local, cliquez sur Propriétés. 3 Dans la boîte de dialogue Propriétés de Connexion au réseau local, cliquez sur l'onglet Authentification. 4 Sur l'onglet Authentification, cliquez sur la liste déroulante Type EAP et sélectionnez l'un des protocoles d'authentification suivants : Smart Card ou autre certificat

153 Gestion de Network Access Control Configuration du client pour l'authentification 802.1x 153 EAP protégé (PEAP) Mode transparent de Symantec NAC Assurez-vous que la case Activer l'authentification IEEE 802.1X pour ce réseau est cochée. 5 Cliquez sur OK. 6 Cliquez sur Fermer. Authentifier à nouveau votre ordinateur Si votre ordinateur a réussi la vérification de l'intégrité de l'hôte mais que Enforcer le bloque, vous devrez peut-être authentifier à nouveau votre ordinateur. Dans des circonstances normales, vous ne devriez jamais avoir à authentifier à nouveau votre ordinateur. Enforcer peut bloquer l'ordinateur lorsque l'un des événements suivants survient : L'ordinateur client a manqué l'authentification utilisateur parce que vous avez tapé incorrectement votre nom d'utilisateur ou votre mot de passe. Votre ordinateur client se trouve dans le mauvais VLAN. L'ordinateur client n'obtient pas de connexion réseau. Une connexion réseau interrompue se produit habituellement parce que le commutateur entre l'ordinateur client et LAN Enforcer n'a pas authentifié votre nom d'utilisateur et mot de passe. Vous devez ouvrir une session sur un ordinateur client qui a authentifié un utilisateur précédent. L'ordinateur client a échoué au contrôle de conformité. Vous pouvez authentifier à nouveau l'ordinateur seulement si vous ou votre administrateur avez configuré l'ordinateur avec un supplicant intégré. Remarque : Votre administrateur peut ne pas avoir configuré le client pour afficher la commande Réauthentification. Pour authentifier à nouveau votre ordinateur 1 Cliquez avec le bouton droit de la souris sur l'icône de zone de notification. 2 Cliquez sur Réauthentification. 3 Dans la boîte de dialogue Authentifier à nouveau, tapez votre nom d'utilisateur et mot de passe. 4 Cliquez sur OK.

154 154 Gestion de Network Access Control Configuration du client pour l'authentification 802.1x

155 Section 4 Contrôle et consignation Chapitre 8. Utilisation et gestion des journaux

156 156

157 Chapitre 8 Utilisation et gestion des journaux Ce chapitre traite des sujets suivants : A propos des journaux Gestion de la taille de journal Mise en quarantaine des risques et des menaces du journal des risques et du journal des menaces Utiliser les journaux de protection contre les menaces réseau et de gestion des clients Exportation des données de journal A propos des journaux Les journaux contiennent des informations sur les changements de configuration client, les activités liées à la sécurité et les erreurs. Ces enregistrements sont appelés événements. Les journaux affichent ces événements avec les informations supplémentaires appropriées. Les activités liées à la sécurité incluent des informations sur les détections de virus, l'état de l'ordinateur et le trafic entrant ou sortant de l'ordinateur. Si vous utilisez un client géré, ses journaux peuvent être régulièrement chargés sur le serveur de gestion. Un administrateur peut utiliser leurs données pour analyser le statut global de sécurité du réseau. Les journaux constituent l'une des principales méthodes pour suivre l'activité d'un ordinateur et ses relations avec d'autres ordinateurs et réseaux. Vous pouvez utiliser les informations des journaux pour suivre les tendances associées aux virus, aux risques de sécurité et aux attaques sur votre ordinateur. Si plusieurs

158 158 Utilisation et gestion des journaux A propos des journaux personnes utilisent le même ordinateur, vous pourriez identifier qui introduit des risques et aider cette personne à utiliser de meilleures précautions. Pour plus d'informations sur un journal, appuyez sur F1 pour afficher l'aide pour ce journal. Tableau 8-1 décrit les types d'événement que chaque journal affiche. Tableau 8-1 Journal Journal d'analyse Journal des risques Journaux client Description Contient des entrées sur les analyses exécutées sur l' ordinateur, depuis un certain temps. Contient des entrées sur les virus et les risques de sécurité, tels que les logiciels publicitaires et les logiciels espions qui ont infecté l'ordinateur. Les risques de sécurité comportent un lien vers la page Web Symantec Security Response qui fournit d'autres informations. Journal système de la protection antivirus et antispyware Contient des informations sur les activités du système sur l'ordinateur en termes de virus et de risques de sécurité. Ces informations portent sur les changements de configuration, les erreurs et le fichier de définitions informations. Journal de menace Journal système de la protection proactive contre les menaces Contient des informations sur les menaces que les analyses proactives des menaces TruScan ont détectées sur l'ordinateur. Celles-ci incluent les applications commerciales qui peuvent être utilisées à des fins malveillantes. Des exemples sont les chevaux de Troie, les vers ou les enregistreurs de frappe ou les vers d'envoi en masse de courrier électronique et les menaces émanant de scripts. Contient des informations sur les activités du système sur l'ordinateur en termes d'analyses proactives des menaces TruScan.

159 Utilisation et gestion des journaux A propos des journaux 159 Journal Journal du trafic Description Contient les événements concernant des attaques du trafic et de prévention d'intrusion du pare-feu. Le journal contient des informations sur les connexions que votre ordinateur établit sur le réseau. Les journaux de protection du réseau peuvent aident à détecter les activités potentiellement dangereuses, telle que l'analyse de port. Ils peuvent également être utilisés pour retracer le trafic vers sa source. Vous pouvez également utiliser les journaux de protection réseau pour vous aider à dépanner des problèmes de connectivité ou des attaques réseau possibles. Les journaux peuvent vous indiquer quand votre ordinateur a été bloqué du réseau et vous aider à déterminer pourquoi votre accès a été bloqué. Journal des paquets Contient des informations sur les paquets de données qui entrent ou sortent par les ports de l'ordinateur. Par défaut, le journal des paquets est désactivé. Il est impossible d'activer le journal des paquets sur un client géré. Vous pouvez activer le journal des paquets sur un client autonome. Journal de contrôle Journal de sécurité Journal système de la gestion des clients Journal de protection contre les interventions Journaux de débogage Le journal de contrôle contient des informations sur les clés de registre de Windows, les fichiers et les DLL auxquels une application accède, ainsi que sur les applications exécutées sur votre ordinateur. Contient des informations sur les activités orientées vers votre ordinateur qui sont potentiellement dangereuses. Les activités telles que les attaques par déni de service, les analyses de port et les changements de fichier exécutable en sont des exemples. Contient des informations sur toutes les modifications opérationnelles qui se sont produites sur l'ordinateur. Les exemples incluent des activités comme lorsqu'un service démarre ou s'arrête, que l'ordinateur détecte des applications réseau, que le logiciel est configuré ou l'état d'un client jouant le rôle de fournisseur de mise à jour groupée (GUP). Contient des entrées sur les tentatives de modification au sein des applications Symantec sur votre ordinateur. Ces entrées contiennent des informations sur les tentatives que la protection contre les interventions a détectées ou contrecarrées. Contient des informations sur le client, les analyses et le pare-feu pour des fins de réparation. L'administrateur peut vous demander d'activer ou de configurer les journaux, puis de les exporter.

160 160 Utilisation et gestion des journaux Gestion de la taille de journal Gestion de la taille de journal Vous pouvez configurer le délai de conservation des entrées dans les journaux. La suppression des entrées les plus anciennes évite que les journaux n'utilisent trop d'espace disque. Pour les journaux de protection contre les menaces réseau et de gestion des clients, vous pouvez également définir la place utilisée. Configuration du délai de conservation pour les entrées du journal de la protection antivirus et antispyware Configurer le délai de conservation pour les entrées du journal de la protection antivirus et antispyware 1 Dans le client, sur la page Etat, en regard de Protection antivirus et antispyware, cliquez sur Options, puis cliquez sur Modifier les paramètres. 2 Sur l'onglet Général, définissez la durée et l'unité de conservation des entrées dans ces journaux. Les entrées plus anciennes que la valeur spécifiée ici sont supprimées. 3 Cliquez sur OK. Configurer la taille des journaux de la protection contre les menaces réseau et de la gestion des clients Vous pouvez définir la taille de journal pour chaque journal de protection contre les menaces réseau et chaque journal de gestion des clients. Pour modifier la taille des journaux 1 Dans le client, sur la page Etat, à droite de Protection contre les menaces réseau, cliquez sur Options, puis cliquez sur Changer les paramètres. 2 Dans la boîte de dialogue Paramètres de protection contre les menaces réseau, dans l'onglet Journaux, dans la zone de texte Taille maximale du fichier journal, tapez le nombre maximum de Ko que la taille du fichier journal peut atteindre. Vous devez limiter la taille du fichier journal en raison de l'espace disponible sur l'ordinateur. La taille par défaut pour tous les journaux est de 512 Ko, sauf pour le journal de contrôle et le journal des paquets. La taille par défaut pour le journal de contrôle et le journal des paquets est de Ko. 3 Cliquez sur OK.

161 Utilisation et gestion des journaux Gestion de la taille de journal 161 Configurer le délai de conservation des entrées du journal de protection contre les menaces réseau et du journal de gestion des clients Vous pouvez spécifier combien de jours les entrées sont enregistrées dans chaque journal. Quand le nombre maximum de jours est atteint, les entrées les plus anciennes sont remplacés. Vous pouvez vouloir supprimer des entrées pour gagner de la place ou conserver des entrées pour passer en revue le degré de sécurité de votre ordinateur. Pour définir le nombre de jours de conservation des entrées de journal 1 Dans le client, sur la page Etat, à droite de Protection contre les menaces réseau, cliquez sur Options, puis sur Changer les paramètres. 2 Dans la boîte de dialogue Paramètres de protection contre les menaces réseau, dans l'onglet Journaux, dans la zone de texte Enregistrer chaque entrée de journal pendant, tapez le nombre maximum de jours de conservation des entrées de journal. 3 Cliquez sur OK. A propos de la suppression du contenu du journal système de la protection antivirus et antispyware Vous ne pouvez pas supprimer de manière permanente des enregistrements d'événement du journal système en utilisant l'interface utilisateur. Suppression du contenu des journaux de protection contre les menaces réseau et des journaux de gestion des clients Si votre administrateur la permet, vous pouvez effacer le contenu du journal de protection contre les menaces réseau et des journaux de gestion des clients. Une fois le journal effacé, il recommence immédiatement à enregistrer de nouvelles entrées. Remarque : Si l'option d'effacement est indisponible, vous n'avez pas la permission de supprimer le contenu du journal. Si vous avez cette permission, vous pouvez également effacer le contenu d'un journal depuis le menu Fichier du journal lui-même.

162 162 Utilisation et gestion des journaux Mise en quarantaine des risques et des menaces du journal des risques et du journal des menaces Pour supprimer le contenu d'un journal 1 Dans le client, sur la page Etat, à droite de Protection contre les menaces réseau, cliquez sur Options et puis cliquez sur Changer les paramètres. 2 Dans la boîte de dialogue Configurer la protection contre les menaces réseau, sur l'onglet Journaux, près du journal approprié, cliquez sur Effacerlejournal. 3 Quand vous êtes invité à confirmer, cliquez sur Oui. 4 Cliquez sur OK. Mise en quarantaine des risques et des menaces du journal des risques et du journal des menaces Vous pouvez mettre en quarantaine les menaces qui ont été consignées dans le journal historique des menaces de la protection proactive contre les menaces. Vous pouvez mettre en quarantaine des risques du journal antivirus et antispyware. Vous pouvez également nettoyer et supprimer des risques dans le journal antivirus et antispyware.

163 Utilisation et gestion des journaux Utiliser les journaux de protection contre les menaces réseau et de gestion des clients 163 Pour mettre en quarantaine un risque ou une menace 1 Dans le client, dans la barre latérale, cliquez sur Afficher les journaux. 2 Près de Protection antivirus et antispyware ou Protection proactive contre les menaces, cliquez sur Afficher les journaux et puis cliquez sur le nom du journal que vous voulez. 3 Sélectionnez un risque ou une menace et puis cliquez sur Quarantaine. Selon l'action de prédéfinie pour une détection de risque, Symantec Endpoint Protection peut être capable ou non d'exécuter l'action sélectionnée. Si la menace ou le risque est placé dans la quarantaine, vous recevez un message de succès. Vous n'avez pas besoin de prendre d'autres mesures pour protéger votre ordinateur contre ce risque ou cette menace. Vous pouvez laisser en quarantaine les fichiers qui y sont placés du fait de risques de sécurité ou vous pouvez les supprimer. Laissez-les en quarantaine jusqu'à ce que vous soyez sûr que les applications de votre ordinateur n'ont perdu aucune fonctionnalité. Se reporter à "A propos des fichiers infectés dans la quarantaine" à la page 92. Dans les instances où Symantec Endpoint Protection ne peut pas mettre en quarantaine le risque ou la menace, vous recevez un message d'erreur. Dans ce cas, vous pouvez contacter votre administrateur. Vous pouvez également nettoyer et supprimer des risques et des menaces, ainsi qu'annuler des actions depuis journaux, si applicable. Se reporter à "Action sur les fichiers infectés" à la page 22. Utiliser les journaux de protection contre les menaces réseau et de gestion des clients Les journaux Protection contre les menaces réseau et les journaux Gestion des clients permettent de suivre l'activité de l'ordinateur et son interaction avec d'autres ordinateurs et d'autres réseaux. Ces journaux enregistrent des informations sur la trafic qui tente d'entrer ou de sortir sur votre ordinateur par votre connexion réseau. Ils enregistrent également des informations au sujet des résultats de la politique de pare-feu appliquée au client. Vous pouvez gérer les journaux client Protection contre les menaces réseau et Gestion des clients à partir d'un emplacement central. Les journaux Sécurité, Trafic et Paquet permettent de localiser certaines données jusqu'à leur source. Ils les tracent en utilisant ICMP pour déterminer tous les tronçons entre votre ordinateur et un intrus sur un autre ordinateur.

164 164 Utilisation et gestion des journaux Utiliser les journaux de protection contre les menaces réseau et de gestion des clients Remarque : Certaines options de ces journaux peuvent être indisponibles, selon le type de contrôle que votre administrateur a défini pour votre client. Actualisation des journaux de protection contre les menaces réseau et les journaux de gestion des clients Pour actualiser un journal 1 Dans le client, dans la barre latérale, cliquez sur Afficher les journaux. 2 A droite de Protection contre les menaces réseau ou de Gestion des clients, cliquez sur Afficher les journaux et puis cliquez sur le nom du journal approprié. 3 Dans le menu Affichage, cliquez sur Actualiser. Activation du journal des paquets Tous les journaux de protection contre les menaces réseau et de gestion des clients sont activés par défaut, excepté le journal des paquets. Si votre administrateur vous le permet, vous pouvez activer et désactiver le journal des paquets. Pour activer le journal des paquets 1 Dans le client, sur la page Etat, à droite de Protection contre les menaces réseau, cliquez sur Options et puis cliquez sur Changer les paramètres. 2 Dans la boîte de dialogue Paramètres de protection contre les menaces réseau, cliquez sur Journaux. 3 Cochez Activer le journal des paquets. 4 Cliquez sur OK. Arrêt d'une intervention active Toute intrusion détectée sur le client déclenche une intervention active. Cette intervention active bloque automatiquement l'adresse IP d'un intrus connu pendant un laps de temps spécifique. Si votre administrateur l'autorise, vous pouvez arrêter l'intervention active immédiatement depuis le journal de sécurité. Se reporter à "Bloquer et débloquer un ordinateur attaquant" à la page 139. Suivi des événements consignés jusqu'à leur source Vous pouvez suivre certains événements pour identifier la source de données d'un événement consigné. Tout comme un détective reconstitue le cheminement d'un

165 Utilisation et gestion des journaux Utiliser les journaux de protection contre les menaces réseau et de gestion des clients 165 suspect sur les lieux du crime, un suivi indique les étapes exactes, ou tronçons, traversés par le trafic entrant. Un tronçon est un point de transition tel qu'un routeur, qu'un paquet voyage à travers pendant qu'il va de l'ordinateur à ordinateur sur Internet. Un suivi suit un paquet de données vers l'arrière, en découvrant les routeurs par lesquels les données sont passées pour atteindre votre ordinateur. Pour certaines entrées de journal, vous pouvez tracer un paquet de données utilisé dans une tentative d'attaque. Chaque routeur traversé par un paquet de données a une adresse IP. Vous pouvez afficher l'adresse IP et d'autres détails. Les informations affichées ne garantissent pas que vous avez découvert qui le pirate est vraiment. L'adresse IP du tronçon final indique le propriétaire du routeur auquel se sont connectés les pirates, et pas nécessaire les pirates eux-mêmes. Vous pouvez suivre certains événements consignés dans Journal de sécurité et le Journal du trafic. Pour suivre un événement consigné 1 Dans le client, dans la barre latérale, cliquez sur Afficher les journaux. 2 A la droite de Protection contre les menaces réseau ou de Gestion des clients, cliquez sur Afficher les journaux. Cliquez ensuite sur le journal qui contient l'entrée que vous voulez tracer. 3 Dans la fenêtre de vue de journal, sélectionnez la ligne de l'entrée que vous voulez tracer. 4 Cliquez sur Opération, puis cliquez sur Retour. 5 Dans la boîte de dialogue Informations relatives au retour, cliquez sur Who is >> pour afficher des informations détaillées sur chaque tronçon. Un volet déroulant affiche des informations détaillées sur le propriétaire de l'adresse IP d'où est issu l'événement de trafic. Vous pouvez utiliser CTRL-C et CTRL-V pour couper-coller les informations du volet dans un message destiné à votre administrateur. 6 Cliquez sur Who is << de nouveau pour masquer les informations. 7 Quand vous avez fini, cliquez sur OK. Utilisation des journaux de gestion des clients avec Symantec Network Access Control Si Symantec Network Access Control est installé, vous pouvez effectuer les tâches suivantes du menu Opération dans le journal de sécurité et le journal système : Mettre à jour une politique Se reporter à "Mettre à jour manuellement le fichier de politique" à la page 35.

166 166 Utilisation et gestion des journaux Exportation des données de journal Vérifier l'intégrité de l'hôte Se reporter à "Exécution d'une vérification de l'intégrité de l'hôte" à la page 147. Exportation des données de journal Vous pouvez exporter les informations de certains journaux vers un fichier (.csv) délimité par des virgules ou un fichier de base de données Access (.mdb). Le format.csv est un format de fichier courant que la plupart des tableurs et programmes de base de données utilisent pour l'importation de données. En important ces données dans un autre programme, vous pouvez les utiliser pour créer des présentations, des graphiques ou pour les combiner avec d'autres informations. Vous pouvez exporter les informations des journaux de protection contre les menaces réseau et de gestion des clients vers des fichiers texte délimité par des tabulations. Remarque : Si vous exécutez le logiciel client sous Windows Server 2008 Server Core, vous ne pouvez pas exporter les données de journal vers un fichier.mdb. Le format.mdb requiert des applications Microsoft qui ne sont pas disponibles sous Server Core. Vous pouvez exporter les journaux suivants dans un fichier.csv ou.mdb : Journal système de la protection antivirus et antispyware Journal des risques de la protection antivirus et antispyware Journal d'analyse de la protection antivirus et antispyware Journal système de la protection proactive contre les menaces Journal des menaces de la protection proactive contre les menaces Journal de la protection contre les interventions Remarque : Si vous filtrez les données de journal d'une manière quelconque et que vous les exportez, seules les données filtrées sont exportées. Cela n'est pas valable pour les journaux que vous exportez dans un fichier texte délimité par des tabulations. Dans ce cas, toutes les données des journaux sont exportées. Vous pouvez exporter les journaux suivants dans un fichier délimité par des tabulations : Journal de contrôle de la gestion des clients Journal des paquets de la protection contre les menaces réseau

167 Utilisation et gestion des journaux Exportation des données de journal 167 Journal de sécurité de la gestion des clients Journal système de la gestion des clients Journal du trafic de la protection contre les menaces réseau Remarque : En plus d'un fichier texte délimité par des tabulations, vous pouvez également exporter les données du journal des paquets au format du moniteur réseau ou au format NetXray. Sur l'installation Server Core de Windows Server 2008, les boîtes de dialogue d'interface utilisateur pourraient différer de celles qui sont décrites dans ces procédures. Pour exporter des données dans un fichier.csv 1 Dans le client, dans la barre latérale, cliquez sur Afficher les journaux. 2 En regard de Protection antivirus et antispyware ou Protection proactive contre les menaces, cliquez sur Afficher les journaux. 3 Cliquez sur le nom du journal que vous voulez. 4 Dans la fenêtre de journal, assurez-vous que les données que vous voulez enregistrer apparaissent et cliquez sur Exporter. 5 Dans la liste déroulante Enregistrer dans, accédez au répertoire dans lequel vous souhaitez enregistrer le fichier. 6 Dans la zone de texte Nom de fichier, entrez le nom du fichier. 7 Cliquez sur Enregistrer. 8 Cliquez sur OK. Pour exporter les données du journal de protection contre les menaces réseau ou du journal de gestion des clients dans un fichier texte 1 Dans le client, dans la barre latérale, cliquez sur Afficher les journaux. 2 A droite de la protection contre les menaces réseau ou de la gestion des clients, cliquez sur Afficher les journaux. 3 Cliquez sur le nom du journal à partir duquel vous voulez exporter des données. 4 Cliquez sur Fichier, puis cliquez sur Exporter. Si vous avez sélectionné le journal des paquets, cliquez sur Exporter vers le format du moniteur réseau ou sur Exporter vers le format Netxray. 5 Dans la liste déroulante Enregistrer dans, accédez au répertoire dans lequel vous souhaitez enregistrer le fichier.

168 168 Utilisation et gestion des journaux Exportation des données de journal 6 Dans la zone de texte Nom de fichier, entrez le nom du fichier. 7 Cliquez sur Enregistrer. 8 Cliquez sur Fichier > Quitter.

169 Index A actions affectation des actions secondaires pour les virus 84 astuces d'affectation d'actions secondaires pour les risques de sécurité 85 activer Auto-Protect 41 Protection contre les menaces réseau 42 Protection proactive contre les menaces 43 adaptateurs définition 121 analyse de messagerie. Se reporter à Auto-Protect analyse des risques de sécurité désactivation dans Auto-Protect 67 analyse proactive des menaces. Se reporter à Analyses proactives des menaces TruScan analyse réseau paramètres Auto-Protect 68 analyses. Se reporter à antivirus et protection antispyware analyse des fichiers par extension 59 composants soumis à l'analyse 71 en cours d'exécution 36 exclusion de fichiers et de dossiers de 90 exclusion des analyses proactives de menaces TruScan 112 fichiers 59 fichiers compressés 73 interprétation des résultats 77 mode de fonctionnement 71 options de mise en sommeil 38 planifiées 73 report 37 sur demande et au démarrage 76 suspension 37 tous les types de fichier 61 analyses à la demande analyse par extension 59 création 76 en cours d'exécution 36 analyses actives en cours d'exécution 74 analyses au démarrage analyse par extension 59 création 76 modification et suppression 77 analyses complètes en cours d'exécution 74 analyses définies par l'utilisateur modification et suppression 77 analyses manuelles. Se reporter à analyses à la demande analyses personnalisées en cours d'exécution 74 analyses planifiées analyse par extension 59 création 73 modification et suppression 77 multiples 73 Analyses proactive de menaces TruScan niveau de sensibilité 108 Analyses proactives des menaces TruScan à propos 102 à propos de 102 actions 108 détections 104 faux positifs 105 fréquence 105 notifications pour 110 soumission d'informations 111 analyses proactives des menaces TruScan applications commerciales 108 exceptions pour 112 gestion 106 journaux 158 types de processus à les détecter 110 application à propos 149 applications autoriser ou bloquer 124 définition 121 exclusion des analyses 90

170 170 Index permettre ou bloquer 133 authentification 802.1x à propos de 150 configuration 151 Auto-Protect activation ou désactivation 39, 41 affichage de la liste des risques 66 affichage des statistiques d'analyse 66 analyse par extension 59 cache réseau 69 clients de messagerie groupware 63 connexions de messagerie chiffrées 65 désactivation de l'analyse des risques de sécurité 67 détermination des types de fichier 67 faire confiance aux versions distantes 69 paramètres d'analyse réseau 68 pour clients Microsoft Exchange 63 pour le courrier électronique Internet 63 pour Lotus Notes 63 risques de sécurité 62 utilisation 62 Auto-Protect pour le système de fichiers activation ou désactivation 41 B blocage d'un ordinateur de attaque 139 blocage du trafic 132 règles de filtrage 124 bloquer le trafic 133 C cache réseau paramètres Auto-Protect 69 Centre de sécurité Windows affichage de l'état antivirus 99 affichage de l'état du pare-feu 99 Chevaux de Troie à propos de 55 clients à propos 15 centralement géré c. autonome 30 désactivation de la protection sur 38 interaction avec 21 clients autonomes. Se reporter à clients autonomes à propos 30 c. géré centralement 30 clients gérés. Se reporter à clients gérés centralement clients gérés centralement c. autonome 30 connexions UDP à propos 123 Contrôle d'accès réseau notifications 28 contrôle d'accès réseau à propos 19, 145 application 149 réparation de l'ordinateur 148 courrier électronique connexions chiffrées 65 exclusion du fichier de boîte de réception des analyses 59 libération de pièces jointes de la quarantaine 95 D déblocage d'un ordinateur attaquant 140 Déboguez le journal 159 définitions à propos de 71 mise à jour définitions de virus à propos de 71 mise à jour désactiver Auto-Protect 39, 41 Protection antivirus et antispyware 39 Protection contre les menaces réseau 40, 42 Protection proactive contre les menaces 39, 43 dossier Eléments sauvegardés vidage 96 E emplacements à propos 46 changement 47 évaluation de l'impact des risques 85 exceptions à propos 89 ajout aux analyses 90 Analyse proactive des menaces TruScan 90, 112 Protection contre les interventions 90 exceptions centralisées à propos 89 création 90

171 Index 171 pour les détections de l'analyse proactive des menaces TruScan 112 exceptions d'analyse. Se reporter à exceptions centralisées extensions inclusion dans les analyses 59 F fichier de définitions 72 fichier infecté action 22 fichiers analyse 59 emplacement après réparation 95 exclusion des analyses 90 libération de fichiers de la quarantaine 95 partage 130 réanalyse automatique des fichiers en quarantaine 94 réanalyse manuelle des fichiers en quarantaine 95 sauvegarde 96 soumission à Symantec Security Response 97 filtre de trafic intelligent activation 129 définition 127 H hôte définition 121 I icône de bouclier 47 icône de la zone de notification système 47 icône de zone de notification à propos 47 masquage et affichage 49 icônes bouclier 47 cadenas 31 icônes de cadenas 31 infections par virus de macro prévention 61 inspection Stateful à propos 122 création de règles de trafic 122 intervention active à propos 139 IPS à propos 116 mise à jour des définitions J journal à propos 157 exportation des entrées de journal filtrées 166 formats d'exportation gestion des clients 163 Journal d'analyse 158 Journal de contrôle 159 Journal de menaces 158 Journal de paquet 159 Journal de protection contre les interventions 159 Journal de sécurité 159 Journal de trafic 118, 159 journal des paquets activation 164 Journal des risques 158 Journal système Gestion des clients 159 Protection antivirus et antispyware 158 Protection contre les menaces proactives 158 suppression d'entrées 161 journaux activation du journal des paquets 164 actualisation 164 configuration du délai de conservation des entrées configurer la taille 160 contrôle d'accès réseau 148 exportation de données 166 limitation de la taille 160 mise en quarantaine des risques et des menaces 162 protection contre les menaces réseau 163 suivi des entrées 164 suppression 161 L LiveUpdate création de planification pour 34 exécution immédiate 33 présentation 32 logiciel publicitaire 56

172 172 Index M messages prévention d'intrusion 139 réagir 24 mettre à jour définitions Mise en quarantaine soumission de fichiers à Symantec Security Response 97 mise en quarantaine libération de fichiers 95 N navigation Web en mode furtif activer 128 notification réagir 24 notifications à propos 21 contrôle d'accès réseau 28 interaction de l'utilisateur 78 prévention d'intrusion 139 O options non disponible 30 ordinateurs mise à jour de la protection sur 32 ordinateurs 64 bits 37 outils de piratage 56 P paramètres prévention d'intrusion 138 paramètres de trafic et de furtivité 128 définition 127 paramètres verrouillés et déverrouillés 31 pare-feu activation ou désactivation 42 définition 116 gestion 117 partage d'impressions 130 partage des fichiers et des imprimantes 130 permettre le trafic 133 règles de filtrage 124 politiques à propos 35 mise à jour 35 prévention d'intrusion. Se reporter à IPS activation ou désactivation 138 notifications 139 réaction 27 prévention des intrusions à propos protection activation ou désactivation 38 mise à jour types 15 protection "Zero Day" 102 Protection antivirus et antispyware à propos 17 à propos de 58 désactivation 39, 41 Journal système 158 protection au niveau pilote activer 128 protection contre l'usurpation d'adresse MAC activer 128 protection contre les interventions à propos 43 activation et désactivation 45 configuration 45 Protection contre les menaces proactives à propos 18 activation ou désactivation 43 Protection contre les menaces réseau à propos 116 activation ou désactivation 40 gestion 117 journal 159 protection contre les menaces réseau à propos 18 activation ou désactivation 42 protection NetBIOS activer 128 Protection proactive contre les menaces activation ou désactivation 39 protocole définition 121 Q Quarantaine affichage de fichiers infectés 92 suppression de fichiers 93 quarantaine 92 affichage des détails de fichier 94 déplacement de fichiers 92

173 Index 173 gestion 93 réanalyse automatique des fichiers 94 réanalyse manuelle des fichiers 95 suppression de fichiers 96 suppression des fichiers de sauvegarde 96 suppression manuelle de fichiers 96 traitement des fichiers infectés 93 traitement des fichiers infectés par des risques de sécurité 93 R réauthentification 153 règles de filtrage à propos activation et désactivation 126 ajout 124 consignation 120 exportation 126 modification de l'ordre 123, 125 planification 120 règles du pare-feu importation 127 risques. Se reporter à risques de sécurité risques de sécurité à propos de 55 astuces d'affectation d'actions secondaires 85 comment le client les détecte 71 comment le client réagit 57 configuration d'actions 80 configuration des notifications 86 exclusion des analyses 90 le processus continue à se télécharger 63 options 87 options de résolution 87 que faire en cas de détection 61 T taux de détection envoi d'informations à Symantec 98 test de votre ordinateur 46 trafic blocage 132 permettre ou bloquer 133 trafic Token Ring activer 128 V Vérification de l'intégrité de l'hôte exécution 147 vers 55 virus à propos de 54 affectation des actions secondaires 84 comment le client les détecte 71 comment le client réagit 57 configuration d'actions 80 configuration des notifications 86 fichier endommagé 24 non reconnus 97 options de détection 87 options de résolution 87 que faire en cas de détection 61 S serveur clients gérés 30 connexion à 47 Smart DHCP 129 Smart DNS 129 Smart WINS 129 Spyware à propos de 56 Symantec Security Response soumission de fichiers 97