Guide client de Symantec Endpoint Protection et Symantec Network Access Control

Guide client de Symantec Endpoint Protection et Symantec Network Access Control

Guide client de Symantec Endpoint Protection et Symantec Network Access Control Le logiciel décrit dans ce guide est fourni dans le cadre d'un contrat de licence et seule une utilisation conforme aux conditions du contrat est autorisée. Version du produit : 12.1.2 Version de documentation : 12.1.2, version 1 Mentions légales Copyright 2012 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec, Bloodhound, Confidence Online, Digital Immune System, LiveUpdate, Norton, Sygate et TruScan sont des marques commerciales ou des marques déposées de Symantec Corporation ou de ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms peuvent être des marques de leurs détenteurs respectifs. Ce produit de Symantec peut contenir le logiciel tiers pour lequel Symantec est tenu de fournir une attribution à tierce partie ("Programmes tiers"). Certains de ces logiciels sont mis à disposition en open source ou avec des licences gratuites. Ce Contrat de licence n'altère aucun des droits ou obligations que vous pouvez avoir dans le cadre de telles licences open source ou de logiciels libres. Reportez-vous à l'annexe consacrée à l'avis légal sur les logiciels tiers ou au fichier LisezMoi TPIP accompagnant ce produit pour en savoir plus sur les logiciels tiers. Le produit décrit dans ce document est distribué aux termes d'une licence limitant son utilisation, sa copie, sa distribution et sa décompilation/ingénierie inverse. Ce document ne peut, en tout ou partie, être reproduit sous aucune forme et par aucun moyen sans l'autorisation préalable écrite de Symantec Corporation et de ses détenteurs de licence éventuels. LA DOCUMENTATION EST FOURNIE "EN L'ETAT" ET TOUTE GARANTIE OU CONDITION D'AUCUNE SORTE, EXPRESSE OU IMPLICITE, Y COMPRIS, SANS QUE CELA SOIT LIMITATIF, LES GARANTIES OU CONDITIONS IMPLICITES DE QUALITE MARCHANDE, D'ADEQUATION A UN USAGE PARTICULIER OU DE RESPECT DES DROITS DE PROPRIETE INTELLECTUELLE EST REFUTEE, EXCEPTE DANS LA MESURE OU DE TELLES EXCLUSIONS SERAIENT TENUES POUR LEGALEMENT NON VALIDES. SYMANTEC CORPORATION NE PEUT ETRE TENUE POUR RESPONSABLE DES DOMMAGES DIRECTS OU INDIRECTS RELATIFS AU CONTENU OU A L'UTILISATION DE LA PRESENTE DOCUMENTATION. LES INFORMATIONS PRESENTEES DANS CETTE DOCUMENTATION SONT SUJETTES A MODIFICATION SANS PREAVIS. Le Logiciel sous licence et sa documentation sont considérés comme un logiciel informatique commercial conformément aux définitions de la section FAR 12.212 et soumis à des droits restreints tels que définis dans la section FAR 52.227.19 "Commercial Computer Licensed Software - Restricted Rights" et DFARS 227.7202 "Rights in Commercial Computer Licensed Software or Commercial Computer Licensed Software Documentation" tels qu'applicables, et à tous règlements qui les remplaceraient. Toute utilisation, modification, reproduction,

publication, exécution, présentation ou communication du Logiciel sous licence et de la documentation par le gouvernement des Etats-Unis ne peut se faire que conformément aux conditions du présent contrat. Symantec Corporation 350 Ellis Street Mountain View, CA 94043 - ETATS-UNIS http://www.symantec.fr

Support technique Contacter le support technique Le support technique de Symantec met à jour des centres de support globalement. Le rôle primaire du support technique est de réagir aux requêtes spécifiques au sujet des fonctions et de la fonctionnalité d'un produit. Le groupe de support technique crée également le contenu pour notre base de données en ligne. Le groupe de support technique travaille en collaboration avec les autres domaines fonctionnels de Symantec pour répondre à vos questions en temps utile. Par exemple, le groupe de support technique travaille avec l'ingénierie de produit et Symantec Security Response pour fournir des services d'alerte et des mises à jour de définitions de virus. Les offres de support de Symantec englobent : Un intervalle des options de support qui vous donnent la flexibilité de sélectionner la bonne quantité de service pour les sociétés de toutes tailles Support téléphonique et/ou par le Web pour des répondes rapides et des informations actuelles ; garantie de mise à niveau par des mises à niveau logicielles ; prise en charge achetée sur une base des heures ouvrables régionales ou 24 heures sur 24 et 7 jours sur 7 ; offres de la meilleure qualité de service qui incluent des services de gestion des comptes. Pour plus d'informations au sujet des solutions d'assistance de Symantec, vous pouvez visiter notre site Web sur l'url suivante : http://www.symantec.com/fr/fr/business/support/ Des services d'assistance vous seront fournis selon votre contrat de support et la politique de support technique d'entreprise en cours. Les clients avec un contrat de support en cours peuvent accéder aux informations de support technique sur l'url suivante : http://www.symantec.com/fr/fr/business/support/ Avant de contacter le support technique, vérifiez que votre système répond à la configuration requise indiquée dans la documentation du produit. Veuillez en outre vous tenir à proximité de l'ordinateur sur lequel le problème se pose, au cas où il serait nécessaire de répliquer le problème. Lorsque vous contactez le support technique, veillez à avoir sous la main les informations suivantes :

Niveau de version du produit Informations concernant le matériel Mémoire disponible, espace disque et informations sur la carte réseau Système d'exploitation Niveau de correctif logiciel et de version Topologie du réseau Routeur, passerelle et informations sur l'adresse IP Description du problème : Messages d'erreur et fichiers journaux Programme de licences et d'enregistrement Tentatives de dépannage effectuées avant de contacter Symantec Modifications récentes apportées à la configuration logicielle et au réseau Si votre produit Symantec requiert un enregistrement ou une clé de licence, accédez à notre page Web de support technique à l'url suivante : http://www.symantec.com/fr/fr/business/support/ Service client Les informations du service client sont disponibles sur l'url suivante : http://www.symantec.com/fr/fr/business/support/ Le service client est fournit son aide pour les questions non techniques, telles que les types suivants de problèmes : Questions concernant le programme de licences ou la numérotation de produit Mises à jour d'enregistrement de produit, telles que l'adresse ou les changements de nom Les informations générales sur le produit (fonctions, disponibilité de langue, distributeurs locaux) Les dernières informations sur les mises à jour et les mises à niveau du produit Informations sur l'assurance et les contrats de support de mise à niveau Informations sur les Programmes d'achats Symantec Conseil sur les options du support technique Symantec Questions non techniques d'avant-vente Problèmes liés aux CD-ROM, DVD ou manuels

Ressources de contrat de support Si vous voulez entrer en contact avec Symantec concernant un contrat de support existant, veuillez contactez l'équipe administrative de contrat de support pour votre région comme suit : Asie Pacifique et Japon Europe, Moyen-Orient et Afrique Amérique du Nord et Amérique latine customercare_apac@symantec.com semea@symantec.com supportsolutions@symantec.com

Table des matières Support technique... 4 Chapitre 1 Prise en main du client... 11 A propos du client Symantec Endpoint Protection... 11 A propos du client Symantec Network Access Control... 12 Démarrage sur la page d'état... 13 A propos des clients gérés et des clients non gérés... 15 Vérification du caractère géré ou non géré du client... 16 A propos des icônes d'alerte de la page d'état... 17 Comment puis-je protéger mon ordinateur avec Symantec Endpoint Protection?... 18 Analyse immédiate de l'ordinateur... 23 Suspension et report des analyses... 24 Résolution des problèmes de l'ordinateur avec l'outil de support de Symantec Endpoint Protection... 25 Chapitre 2 Réaction aux alertes et aux notifications... 27 Types d'alertes et de notifications... 27 A propos des résultats d'analyse... 29 Réagir à une détection de virus ou de risque... 30 Réagir aux messages de Download Insight qui vous demandent d'autoriser ou de bloquer un fichier que vous essayez de télécharger... 33 Réagir aux notifications contextuelles de Symantec Endpoint Protection qui apparaissent sur des ordinateurs Windows 8... 34 Réponse aux messages vous invitant à autoriser ou à bloquer une application... 35 Réponse aux messages de licence expirée... 36 Réponse aux messages pour mettre à jour le logiciel client... 37 Chapitre 3 Vérifier que votre ordinateur est protégé... 39 Gestion de la protection de votre ordinateur... 39 Mise à jour de la protection de l'ordinateur... 41 Mise à jour immédiate de contenu... 42

8 Table des matières Mise à jour de contenu sur planification... 43 Mise à jour manuelle des politiques sur le client... 44 Comment déterminer si le client est connecté et protégé... 44 Masquage et affichae de l'icône de zone de notification... 46 A propos des journaux... 46 Affichage des journaux... 48 Activation du journal des paquets... 49 A propos de l'activation et de la désactivation de la protection lors de la résolution de problèmes... 49 Activation ou désactivation de la protection sur l'ordinateur client... 52 Activation ou désactivation d'auto-protect... 53 Activation, désactivation et configuration de la protection contre les falsifications... 54 Chapitre 4 Gestion des analyses... 57 Gérer des analyses sur votre ordinateur... 58 Fonctionnement des analyses antivirus et antispyware... 62 A propos des virus et des risques de sécurité... 64 A propos des types d'analyse... 66 Types d'auto-protect... 68 Comment les analyses réagissent à la détection d'un virus ou d'un risque... 71 Utilisation par Symantec Endpoint Protection des données de réputation pour prendre des décisions au sujet de fichiers... 72 Planification d'une analyse définie par l'utilisateur... 73 Planification d'une analyse à exécuter sur demande ou quand l'ordinateur démarre... 77 Gérer des détections de Download Insight sur votre ordinateur... 78 Personnaliser des paramètres de Download Insight... 81 Personnalisation des paramètres d'analyse antivirus et antispyware... 82 Configurer des actions pour la détection des logiciels malveillants et des risques de sécurité... 85 A propos de l'exclusion d'éléments des analyses... 89 Exclusion d'éléments des analyses... 91 Gestion des fichiers en quarantaine sur votre ordinateur client... 93 A propos de la mise en quarantaine de fichiers... 95 Mise en quarantaine d'un fichier du journal des risques ou du journal d'analyse... 96

Table des matières 9 Soumettre manuellement à Symantec Security Response un fichier suspect pour analyse... 96 Suppression automatique des fichiers en quarantaine... 97 Activation ou désactivation de la détection des logiciels malveillants au démarrage (ELAM)... 98 Comment gérer les notifications contextuelles de Symantec Endpoint Protection qui apparaissent sur des ordinateurs Windows 8... 99 A propos de la transmission d'informations sur les détections à Symantec Security Response... 100 Envoi des informations concernant les détections à Symantec Security Response... 101 A propos du client et du Centre de sécurité Windows... 102 A propos de SONAR... 103 Gestion de SONAR sur votre ordinateur client... 104 Modification des paramètres SONAR... 106 Chapitre 5 Gérer le pare-feu et la prévention d'intrusion... 109 Gestion de la protection pare-feu... 109 Fonctionnement d'un pare-feu... 111 Gestion des règles de pare-feu... 112 Eléments d'une règle de pare-feu... 113 A propos de l'ordre de traitement des règles et des paramètres du pare-feu et de la prévention d'intrusion... 116 Utilisation de l'inspection avec état par le pare-feu... 117 Ajout d'une règle de pare-feu... 118 Modification de l'ordre des règles de pare-feu... 119 Activation et désactivation des règles de pare-feu... 119 Exportation et importation des règles de pare-feu... 120 Activation ou désactivation des paramètres du pare-feu... 121 Activation du partage des fichiers et des imprimantes du réseau... 122 Autorisation ou blocage des applications à accéder au réseau... 125 Création d'une règle de pare-feu pour une application quand elle accède au réseau de votre ordinateur... 126 Configurer le client pour bloquer le trafic quand l'économiseur d'écran est activé ou quand le pare-feu ne s'exécute pas... 127 Gérer la prévention d'intrusion... 129 Fonctionnement de la prévention d'intrusion... 130 Activation ou désactivation de la prévention d'intrusion... 131 Configuration des notifications de prévention d'intrusion... 132

10 Table des matières Chapitre 6 Gérer Symantec Network Access Control... 135 Fonctionnement de Symantec Network Access Control... 135 Fonctionnement du client avec un module d'application Enforcer... 137 Exécution d'une vérification de l'intégrité de l'hôte... 138 Réparation de l'ordinateur... 138 Configuration du client pour l'authentification 802.1x... 139 Authentifier à nouveau votre ordinateur... 142 Affichage des journaux Symantec Network Access Control... 143 Index... 145

Chapitre 1 Prise en main du client Ce chapitre traite des sujets suivants : A propos du client Symantec Endpoint Protection A propos du client Symantec Network Access Control Démarrage sur la page d'état A propos des clients gérés et des clients non gérés Vérification du caractère géré ou non géré du client A propos des icônes d'alerte de la page d'état Comment puis-je protéger mon ordinateur avec Symantec Endpoint Protection? Analyse immédiate de l'ordinateur Suspension et report des analyses Résolution des problèmes de l'ordinateur avec l'outil de support de Symantec Endpoint Protection A propos du client Symantec Endpoint Protection Le client Symantec Endpoint Protection combine plusieurs couches de protection pour sécuriser proactivement votre ordinateur contre les menaces connues ou inconnues et les attaques de réseau. Tableau 1-1 décrit chaque couche de protection.

12 Prise en main du client A propos du client Symantec Network Access Control Tableau 1-1 Types de protection Couche Protection contre les virus et les spywares Description La protection contre les virus et les spywares lutte contre un large éventail de menaces, notamment les spywares, vers, chevaux de Troie, rootkits et logiciels publicitaires. Auto-Protect pour le système de fichiers inspecte en permanence tous les fichiers informatiques pour y rechercher les virus et les risques de sécurité. Auto-Protect pour le courrier électronique Internet analyse les messages de courrier électronique entrants et sortants qui utilisent le protocole de communication POP3 ou SMTP. Auto-Protect pour Microsoft Outlook analyse les messages électroniques Outlook entrants et sortants. Se reporter à "Gérer des analyses sur votre ordinateur" à la page 58. Protection contre les menaces proactives La technologie de menace proactive inclut SONAR, qui offre la protection en temps réel contre les attaques le jour J. SONAR peut arrêter les attaques même avant que les définitions basées sur les signatures traditionnelles détectent une menace. SONAR utilise des technologies heuristiques ainsi que des données de réputation de fichier pour prendre des décisions concernant les applications ou les fichiers. Se reporter à "Gestion de SONAR sur votre ordinateur client" à la page 104. Protection contre les menaces réseau Protection contre les menaces réseau inclut un pare-feu et un système de prévention d'intrusion. Le pare-feu basé sur les règles empêche les utilisateurs non autorisés d'accéder à votre ordinateur. Le système de prévention d'intrusion détecte et bloque automatiquement des attaques réseau. Se reporter à "Gestion de la protection pare-feu" à la page 109. Votre administrateur gère quels types de protection le serveur de gestion devrait télécharger sur votre ordinateur client. Le client télécharge automatiquement les définitions de virus, les définitions d'ips et les mises à jour de produit sur votre ordinateur. Les utilisateurs qui voyagent avec des ordinateurs portables peuvent obtenir des définitions de virus et des mises à jour de produit directement depuis LiveUpdate. Se reporter à "Mise à jour de la protection de l'ordinateur" à la page 41. A propos du client Symantec Network Access Control Le client Symantec Network Access Control évalue si un ordinateur est correctement protégé et conforme avec la politique de sécurité avant de lui permettre de se connecter au réseau d'entreprise. Le client s'assure que votre ordinateur est conforme à la politique de sécurité que votre administrateur configure. La politique de sécurité vérifie si votre ordinateur exécute le logiciel de sécurité le plus récent, comme des applications de protection

Prise en main du client Démarrage sur la page d'état 13 antivirus et de pare-feu. Si votre ordinateur n'exécute pas le logiciel requis, vous devez mettre à jour le logiciel manuellement ou votre client peut mettre à jour le logiciel automatiquement. Si votre logiciel de sécurité est à jour, votre ordinateur peut être empêché de se connecter au réseau. Le client exécute des contrôles périodiques pour vérifier que votre ordinateur reste conforme à la politique de sécurité. Se reporter à "Fonctionnement de Symantec Network Access Control" à la page 135. Démarrage sur la page d'état Quand vous ouvrez le client, la fenêtre principale et la page Etat apparaissent. Tableau 1-2 affiche les tâches que vous pouvez effectuer depuis la barre de menu du côté gauche. Tableau 1-2 Cliquez sur cette option Etat Fenêtre principale du client Pour effectuer ces tâches Voir si l'ordinateur est protégé et si sa licence est à jour. Les couleurs et les icônes d'alerte de la page d'état indiquent quelles technologies sont activées et protègent le client. Se reporter à "A propos des icônes d'alerte de la page d'état" à la page 17. Vous pouvez : Activer ou désactiver une ou plusieurs technologies de protection si votre administrateur le permet. Se reporter à "A propos de l'activation et de la désactivation de la protection lors de la résolution de problèmes" à la page 49. Voir si vous disposez des derniers fichiers de définitions pour la protection contre les virus et les spywares, la protection proactive contre les menaces et la protection contre les menaces réseau. Exécuter une analyse Active Scan. Se reporter à "Analyse immédiate de l'ordinateur" à la page 23. Afficher la liste des menaces et les résultats de la dernière analyse contre les virus et les spywares.

14 Prise en main du client Démarrage sur la page d'état Cliquez sur cette option Pour effectuer ces tâches Rechercher les menaces Exécuter immédiatement une analyse active ou une analyse complète. Se reporter à "Analyse immédiate de l'ordinateur" à la page 23. Créer une nouvelle analyse qui fonctionne à une heure spécifiée, au démarrage ou à la demande. Se reporter à "Planification d'une analyse définie par l'utilisateur" à la page 73. Se reporter à "Planification d'une analyse à exécuter sur demande ou quand l'ordinateur démarre" à la page 77. Exécuter une vérification de l'intégrité de l'hôte si Symantec Network Access Control est installé. Se reporter à "Exécution d'une vérification de l'intégrité de l'hôte" à la page 138. Changer les paramètres Permet de configurer des paramètres pour les technologies et fonctions de protection suivantes : Activer et configurer les paramètres Auto-Protect. Se reporter à "Personnalisation des paramètres d'analyse antivirus et antispyware" à la page 82. Configurer les paramètres de pare-feu et les paramètres système de la prévention d'intrusion. Se reporter à "Gestion de la protection pare-feu" à la page 109. Afficher et ajouter des exceptions aux analyses. Se reporter à "Exclusion d'éléments des analyses" à la page 91. Afficher l'icône de la zone de notification. Se reporter à "Comment déterminer si le client est connecté et protégé" à la page 44. Configurer les paramètres de protection contre les falsifications. Se reporter à "Activation, désactivation et configuration de la protection contre les falsifications" à la page 54. Créer une planification pour télécharger des mises à jour de contenu et de produit vers le client. Se reporter à "Mise à jour de contenu sur planification" à la page 43. Se reporter à "Gestion de la protection de votre ordinateur" à la page 39. Afficher la quarantaine Afficher les virus et les risques de sécurité que le client a détectés et mis en quarantaine. Vous pouvez restaurer, supprimer, nettoyer, exporter et ajouter des fichiers dans la quarantaine. Se reporter à "A propos de la mise en quarantaine de fichiers" à la page 95. Afficher les journaux Affichez n'importe quel journal du client. Se reporter à "Affichage des journaux" à la page 48.

Prise en main du client A propos des clients gérés et des clients non gérés 15 Cliquez sur cette option LiveUpdate Pour effectuer ces tâches Exécuter LiveUpdate immédiatement. LiveUpdate télécharge les dernières définitions de contenu et mises à jour de produit à partir d'un serveur de gestion situé sur le réseau de votre entreprise. Se reporter à "Mise à jour immédiate de contenu" à la page 42. A propos des clients gérés et des clients non gérés Votre administrateur peut installer le client en tant que client géré (installation gérée par l'administrateur) ou client non gérés (installation autonome). Tableau 1-3 Différences entre un client géré et un client non géré Type de client Client géré Description Un client géré communique avec un serveur de gestion de votre réseau. L'administrateur configure la protection et les paramètres par défaut, et le serveur de gestion télécharge les paramètres vers le client. Si l'administrateur modifie la protection, la modification est presque immédiatement téléchargée vers le client. Les administrateurs peuvent changer le niveau auquel vous interagissez avec le client comme suit : L'administrateur gère le client entièrement. Vous n'avez pas besoin de configurer le client. Tous les paramètres sont verrouillés ou indisponibles, mais vous pouvez afficher des informations sur les opérations du client sur l'ordinateur. L'administrateur gère le client, mais vous pouvez modifier certains paramètres du client et effectuer certaines tâches. Par exemple, vous pouvez exécuter vos propres analyses et récupérer manuellement des mises à jour de client et des mises à jour de protection. La disponibilité des paramètres du client, comme les valeurs des paramètres elles-mêmes, peut changer périodiquement. Par exemple, un paramètre peut changer lorsque votre administrateur met à jour la politique qui contrôle la protection client. L'administrateur gère le client, mais vous pouvez modifier tous les paramètres du client et effectuer toutes les tâches de protection.

16 Prise en main du client Vérification du caractère géré ou non géré du client Type de client Client non géré Description Un client non géré ne communique pas avec un serveur de gestion et un administrateur ne gère pas le client. Un client non géré peut être l'un des types suivants : Un ordinateur autonome non connecté à un réseau, tel qu'un ordinateur familial ou un ordinateur portable. L'ordinateur doit inclure une installation Symantec Endpoint Protection qui utilise les paramètres d'option par défaut ou des paramètres prédéfinis par un administrateur. Un ordinateur distant qui se connecte au réseau d'entreprise et qui doit remplir les spécifications de sécurité avant sa connexion. Le client dispose de paramètres par défaut lors de l'installation initiale. Une fois le client installé, vous pouvez modifier tous les paramètres client et effectuer toutes les tâches de protection. Tableau 1-4 décrit les différences dans l'interface utilisateur entre un client géré et un client non géré. Tableau 1-4 Différences entre un client géré et un client non géré par zone de fonction Zone de fonction Client géré centralement Client autonome Protection contre les virus et les spywares Le client affiche une option de cadenas verrouillé et l'option s'affiche en gris pour les options qu'il est impossible de configurer. Le client n'affiche pas un cadenas verrouillé ou un cadenas déverrouillé. Protection contre les menaces proactives Le client affiche une option de cadenas verrouillé et l'option s'affiche en gris pour les options qu'il est impossible de configurer. Le client n'affiche pas un cadenas verrouillé ou un cadenas déverrouillé. Paramètres de gestion de client et de protection contre les menaces réseau Les paramètres que l'administrateur contrôle ne s'affichent pas. Tous les paramètres s'affichent. Se reporter à "Vérification du caractère géré ou non géré du client" à la page 16. Vérification du caractère géré ou non géré du client Pour connaître le degré de contrôle dont vous disposez pour configurer la protection sur votre client, vérifiez d'abord si votre client est géré ou non. Vous pouvez configurer davantage de paramètres sur un client non géré que sur un client géré.

Prise en main du client A propos des icônes d'alerte de la page d'état 17 Se reporter à "A propos des clients gérés et des clients non gérés" à la page 15. Pour vérifier si le client est géré ou non géré 1 Sur la page d' état, cliquez sur Aide > Dépannage. 2 Dans la boîte de dialogue Dépannage, cliquez sur Gestion. 3 Dans le volet Gestion, sous Informations générales, à côté de Serveur, recherchez les informations suivantes : Si le client est géré, le champ Serveur affiche l'adresse du serveur de gestion ou le message Hors ligne. L'adresse peut être une adresse IP, un nom DNS ou un nom NetBIOS. Par exemple, un nom DNS peut être SEPMServer1. Si le client est géré mais n'est pas actuellement connecté à un serveur de gestion, ce champ est Hors ligne. Si le client est non géré, le champ Serveur indique Gestion automatique. 4 Cliquez sur Fermer. A propos des icônes d'alerte de la page d'état Le haut de la page d'état affiche diverses icônes d'alerte pour indiquer l'état de protection de l'ordinateur. Tableau 1-5 Icônes d'alerte de la page d'état Icône Description Indique que chaque protection est activée. Vous avertit que les définitions de virus de l'ordinateur client sont obsolètes. Pour recevoir les dernières définitions de virus, vous pouvez exécuter LiveUpdate immédiatement, si votre administrateur vous le permet. L'ordinateur client Symantec Network Access Control peut avoir les problèmes suivants : L'ordinateur client a échoué à la vérification de conformité de la sécurité d'intégrité de l'hôte. Pour savoir ce qu'il faut faire afin de réussir la vérification, vérifiez le journal de sécurité de la gestion des clients. L'intégrité de l'hôte n'est pas connectée. Se reporter à "Mise à jour de la protection de l'ordinateur" à la page 41.

18 Prise en main du client Comment puis-je protéger mon ordinateur avec Symantec Endpoint Protection? Icône Description Indique qu'une ou plusieurs protections sont désactivées ou que le client comporte une licence expirée. Pour activer une protection, vous cliquez sur Réparer ou Réparer tout. Se reporter à "A propos de l'activation et de la désactivation de la protection lors de la résolution de problèmes" à la page 49. Se reporter à "Activation ou désactivation de la protection sur l'ordinateur client" à la page 52. Comment puis-je protéger mon ordinateur avec Symantec Endpoint Protection? Les paramètres par défaut du client Symantec Endpoint Protection protègent votre ordinateur d'un grand nombre de logiciels malveillants. Le client prend en charge automatiquement le logiciel malveillant ou vous permet de choisir comment prendre en charge le logiciel malveillant. Vous pouvez vérifier si votre ordinateur est infecté et effectuer quelques tâches supplémentaires pour renforcer la sécurité et obtenir de meilleures performances. Remarque : Sur les clients gérés, certaines options n'apparaissent pas si votre administrateur les a configurés pour être indisponibles. La plupart des options sont disponibles sur les clients non gérés. Tableau 1-6 Questions fréquemment posées sur la façon dont protéger votre ordinateur Question Comment savoir que mon ordinateur est protégé? Description Dans la console client, regardez en haut de la page Etat. Le type et la couleur de l'icône d'alerte indiquent l'état de protection de votre ordinateur. Pour plus d'informations, consultez le volet Etat ou cliquez sur Détails. Se reporter à "A propos des icônes d'alerte de la page d'état" à la page 17. Se reporter à "Comment déterminer si le client est connecté et protégé" à la page 44.

Prise en main du client Comment puis-je protéger mon ordinateur avec Symantec Endpoint Protection? 19 Question Comment savoir que mon ordinateur est infecté? Description Si votre ordinateur est infecté, l'un des messages suivants risque de s'afficher : Détection Auto-Protect ou détection d'analyse manuelle. Ces messages décrivent la menace et l'action qui a été appliquée à la menace. Vous disposez de plusieurs options pour traiter la menace. Vous pouvez éliminer, nettoyer, exclure, supprimer ou annuler l'action que vous avez sélectionnée. Si votre administrateur l'a autorisée, vous pouvez également mettre en pause une analyse. Se reporter à "Réagir à une détection de virus ou de risque" à la page 30. Se reporter à "A propos des résultats d'analyse" à la page 29. Se reporter à "Suspension et report des analyses" à la page 24. Une détection de Download Insight. Cette fenêtre affiche les informations relatives aux fichiers malveillants et non prouvés que Download Insight détecte lorsque vous essayez de les télécharger. Se reporter à "Réagir aux messages de Download Insight qui vous demandent d'autoriser ou de bloquer un fichier que vous essayez de télécharger" à la page 33. Se reporter à "Types d'alertes et de notifications" à la page 27. Comment nettoyer mon ordinateur s'il est infecté? Si une fenêtre d'analyse s'affiche, votre administrateur a déjà défini la mesure que votre ordinateur prend à l'encontre de l'infection. Vous pouvez pouvoir choisir une action. Si vous savez qu'un fichier est infecté, cliquez sur Nettoyer ou Quarantaine. Pour les analyses planifiées et Auto-Protect, assurez-vous que l'action principale est définie sur Nettoyer le risque et l'action secondaire sur Mettre le risque en quarant ou Supprimer. Se reporter à "Réagir à une détection de virus ou de risque" à la page 30. Se reporter à "Fonctionnement des analyses antivirus et antispyware" à la page 62. Se reporter à "Configurer des actions pour la détection des logiciels malveillants et des risques de sécurité" à la page 85.

20 Prise en main du client Comment puis-je protéger mon ordinateur avec Symantec Endpoint Protection? Question Comment augmenter le degré de sécurité de mon ordinateur? Description Par défaut, votre ordinateur client est protégé avec la quantité maximale de protection. Votre administrateur a peut-être modifié certains paramètres de sécurité du client pour améliorer ses performances. Votre administrateur vous a également peut-être autorisé à modifier la protection de votre ordinateur. Si vous êtes autorisé à modifier ces paramètres, vous pouvez effectuer les tâches suivantes : Planifiez les analyses complètes régulières, en général quotidiennes ou hebdomadaires. Se reporter à "Planification d'une analyse définie par l'utilisateur" à la page 73. Veillez à ce que les analyses antivirus et antispyware, Auto-Protect, SONAR, la prévention d'intrusion et Insight soient installés, activés et mis à jour à tout moment. Se reporter à "A propos de l'activation et de la désactivation de la protection lors de la résolution de problèmes" à la page 49. Se reporter à "Activation ou désactivation de la protection sur l'ordinateur client" à la page 52. Se reporter à "Activation ou désactivation d'auto-protect" à la page 53. Sur un client non géré, vous pouvez effectuer les tâches suivantes : Téléchargez et installez les définitions de virus correctes à l'aide de LiveUpdate. Par défaut, votre ordinateur client reçoit les dernières définitions de virus deux fois par jour. Cependant, vous pouvez télécharger les dernières définitions vous-même. Se reporter à "Mise à jour immédiate de contenu" à la page 42. Exécutez une analyse complète de votre ordinateur avec toutes les améliorations d'analyse activées. Par défaut, une analyse complète s'exécute sur votre d'ordinateur une fois par semaine. Cependant, vous êtes libre d'exécuter une analyse à tout moment. Se reporter à "Planification d'une analyse définie par l'utilisateur" à la page 73. Se reporter à "Analyse immédiate de l'ordinateur" à la page 23.

Prise en main du client Comment puis-je protéger mon ordinateur avec Symantec Endpoint Protection? 21 Question Comment modifier mes paramètres d'analyse si l'analyse ralentit mon travail? Description Si les analyses ralentissent votre ordinateur, réglez les paramètres suivants : Planifiez LiveUpdate de sorte à télécharger les dernières définitions de virus moins fréquemment ou aux moments où vous n'utilisez pas votre ordinateur. Se reporter à "Mise à jour de contenu sur planification" à la page 43. Créez une analyse complète planifiée après les heures de bureau ou aux moments où vous n'utilisez pas votre ordinateur. Se reporter à "Planification d'une analyse définie par l'utilisateur" à la page 73. Excluez de l'analyse les fichiers et applications dont la sécurité ne fait aucun doute pour vous. Se reporter à "Exclusion d'éléments des analyses" à la page 91. Limitez les analyses planifiées, Auto-Protect et Download Insight aux types de fichiers généralement porteurs d'infections. Par exemple, configurez l'analyse pour une recherche des fichiers exécutables, tels qu'exe, COM, BAT et VBS. Dans Auto-Protect, désactivez Analyser les risques de sécurité. Se reporter à "Personnalisation des paramètres d'analyse antivirus et antispyware" à la page 82. Avertissement : Vous pouvez désactiver Auto-Protect pour améliorer les performances de l'ordinateur client ou pour dépanner le client. Cependant, Symantec vous recommande de maintenir Auto-Protect activé à tout moment. Se reporter à "Activation ou désactivation d'auto-protect" à la page 53. Désactivez les options d'amélioration d'analyse dans une analyse active, une analyse complète ou une analyse personnalisée. Se reporter à "Planification d'une analyse définie par l'utilisateur" à la page 73. Désactivez Download Insight et la consultation Insight. Se reporter à "Personnaliser des paramètres de Download Insight" à la page 81. Se reporter à "Envoi des informations concernant les détections à Symantec Security Response" à la page 101. Remarque : Vous pouvez ne pas être en mesure de modifier ces paramètres si votre administrateur les a rendus indisponibles.

22 Prise en main du client Comment puis-je protéger mon ordinateur avec Symantec Endpoint Protection? Question Description Que faire si le pare-feu bloque ma capacité à naviguer sur Internet? Par défaut, le pare-feu ne bloque pas l'accès à Internet. Si vous ne pouvez pas accéder à Internet, contactez votre administrateur. Votre administrateur peut-être bloqué l'accès à certains sites Web ou n'autorise pas votre ordinateur d'accéder à un certain navigateur. Vous pouvez avoir ou ne pas avoir les droits de modifier les règles de pare-feu. Sur un client non géré, vous pouvez modifier les règles de pare-feu. Cependant, vous ne devez pas modifier ou ajouter une règle de pare-feu tant que vous ne savez pas si le trafic que la règle de pare-feu bloque est malveillant. Avant de modifier la règle de pare-feu, posez-vous les questions suivantes : L'application Web d'accès à Internet est-elle légitime? Les ports distants auxquels l'application Web accède sont-ils corrects? Le trafic HTTP est le trafic légitime pour les applications Web et il utilise les ports TCP 80 et 443. Le trafic en provenance d'autres ports risque de ne pas être digne de confiance. L'adresse IP du site Web auquel l'application accède est-elle correcte ou légitime? Quelles actions entreprendre lorsqu'un message s'affiche dans la zone de notification? Lisez le message dans la zone de notification située sur la barre d'outils. Les notifications vous indiquent l'une des choses suivantes : Votre ordinateur a peut-être été attaqué et le client a traité la menace. Votre ordinateur a reçu une nouvelle politique de sécurité. La politique de sécurité est mise à jour automatiquement. Vous pouvez aussi mettre à jour votre politique de sécurité quand bon vous semble. Se reporter à "Mise à jour manuelle des politiques sur le client" à la page 44. Se reporter à "Réagir à une détection de virus ou de risque" à la page 30. Se reporter à "Réponse aux messages vous invitant à autoriser ou à bloquer une application" à la page 35. Vous pouvez également consulter un des journaux pour plus d'informations, selon le type de menace. Se reporter à "Affichage des journaux" à la page 48. Se reporter à "A propos des clients gérés et des clients non gérés" à la page 15. Se reporter à "Vérification du caractère géré ou non géré du client" à la page 16. Se reporter à "Gestion de la protection de votre ordinateur" à la page 39.

Prise en main du client Analyse immédiate de l'ordinateur 23 Analyse immédiate de l'ordinateur Vous pouvez manuellement analyser l'ordinateur pour détecter des virus et des risques de sécurité à tout moment. Vous devez analyser votre ordinateur immédiatement si vous avez récemment installé le client ou si vous pensez avoir récemment reçu un virus ou un risque de sécurité. Sélectionnez l'élément à analyser : fichier, disquette ou ensemble de l'ordinateur. Les analyses à la demande incluent l'analyse Active Scan et l'analyse complète. Vous pouvez également créer une analyse personnalisée pour exécution à la demande. Se reporter à "Planification d'une analyse à exécuter sur demande ou quand l'ordinateur démarre" à la page 77. Se reporter à "Mise à jour de la protection de l'ordinateur" à la page 41. Pour plus d'informations sur les options de chaque boîte de dialogue, cliquez sur Aide. Pour analyser l'ordinateur immédiatement Effectuez l'une des opérations suivantes : Sur la page Etat du client, en regard de Protection contre les virus et les spywares, cliquez sur Options > Exécuter Active Scan. Dans le client, dans la barre latérale, cliquez sur Rechercher les menaces. Effectuez l'une des opérations suivantes : Cliquez sur Exécuter l'analyse active. Cliquez sur Exécuter l'analyse complète. Dans la liste d'analyses, cliquez avec le bouton droit de la souris sur n'importe quelle analyse, puis cliquez sur Analyser maintenant. L'analyse commence. Vous pouvez afficher la progression de l'analyse à moins que votre administrateur ne désactive l'option. Pour afficher la progression de l'analyse, cliquez sur le lien qui apparaît pour l'analyse actuelle : analyse en cours. Se reporter à "A propos des résultats d'analyse" à la page 29. Vous pouvez également interrompre ou annuler l'analyse. Se reporter à "Suspension et report des analyses" à la page 24.

24 Prise en main du client Suspension et report des analyses Pour analyser l'ordinateur à partir de Windows Dans la fenêtre Poste de travail ou l'explorateur Windows, cliquez avec le bouton droit de la souris sur un fichier, un dossier ou un lecteur. Cliquez ensuite sur Rechercher les virus. Cette fonction est prise en charge sur les systèmes d'exploitation 32 et 64 bits. Remarque : Consultation Insight n'analyse pas un dossier ou un lecteur lorsque vous effectuez ce type d'analyse. Consultation Insight s'exécute si vous sélectionnez un fichier ou un groupe de fichiers à analyser. Suspension et report des analyses La fonction de suspension permet d'interrompre une analyse à un stade quelconque et de la reprendre à un autre moment. Vous pouvez suspendre toute analyse que vous avez lancée. Votre administrateur détermine si vous pouvez suspendre une analyse lancée par l'administrateur. Si l'option Suspendre l'analyse n'est pas disponible, votre administrateur a désactivé la fonction de pause. Si votre administrateur a activé la fonction Différer, vous pouvez différer ses analyses planifiées d'un délai déterminé. Quand une analyse reprend, elle démarre à l'endroit où elle s'est arrêtée. Remarque : Si vous tentez de suspendre une analyse pendant que le client analyse un fichier compressé, le client peut mettre plusieurs minutes à réagir à la demande de suspension de l'analyse. Se reporter à "Gérer des analyses sur votre ordinateur" à la page 58. Pour suspendre une analyse que vous avez lancée 1 Quand l'analyse s'exécute, dans la boîte de dialogue d'analyse, cliquez sur Suspendre l'analyse. L'analyse s'interrompt et la boîte de dialogue reste ouverte jusqu'à ce que vous relanciez l'analyse. 2 Dans la boîte de dialogue d'analyse, cliquez sur Reprendre l'analyse pour continuer l'analyse.

Prise en main du client Résolution des problèmes de l'ordinateur avec l'outil de support de Symantec Endpoint Protection 25 Pour suspendre ou retarder une analyse lancée par l'administrateur 1 Pendant que l'analyse lancée par l'administrateur s'exécute, cliquez sur Suspendre l'analyse dans la boîte de dialogue d'analyse. 2 Dans la boîte de dialogue Suspension d'analyse planifiée, effectuez l'une des opérations suivantes : Pour suspendre l'analyse temporairement, cliquez sur Suspendre. Pour retarder l'analyse, cliquez sur Différer 1 heure ou Différer 3 heures. Votre administrateur spécifie le délai selon lequel vous pouvez différer l'analyse. Quand la pause se termine, l'analyse redémarre à l'endroit où elle a commencé. L'administrateur spécifie le nombre maximal de fois où vous pouvez différer l'analyse planifiée. Pour continuer l'analyse sans faire de pause, cliquez sur Continuer. Résolution des problèmes de l'ordinateur avec l'outil de support de Symantec Endpoint Protection Vous pouvez télécharger un utilitaire permettant de diagnostiquer les problèmes courants que vous rencontrez avec l'installation et l'utilisation de Symantec Endpoint Protection Manager ou du client Symantec Endpoint Protection. L'outil de support vous aide à régler les problèmes suivants : Il vous permet d'identifier rapidement et avec précision les problèmes connus. Lorsque l'outil identifie un problème, il vous redirige vers les ressources pour résoudre le problème vous-même. Lorsqu'un problème n'est pas résolu, l'outil vous permet d'envoyer facilement des données au support technique pour un diagnostic plus poussé. Pour résoudre les problèmes de l'ordinateur avec l'outil de support de Symantec Endpoint Protection 1 Effectuez l'une des tâches suivantes : Consultez l'article de la base de connaissances, Outil de support de Symantec Endpoint Protection. Sur le client, cliquez sur Aide > Télécharger l'outil de support 2 Suivez les instructions qui s'affichent à l'écran.

26 Prise en main du client Résolution des problèmes de l'ordinateur avec l'outil de support de Symantec Endpoint Protection

Chapitre 2 Réaction aux alertes et aux notifications Ce chapitre traite des sujets suivants : Types d'alertes et de notifications A propos des résultats d'analyse Réagir à une détection de virus ou de risque Réagir aux messages de Download Insight qui vous demandent d'autoriser ou de bloquer un fichier que vous essayez de télécharger Réagir aux notifications contextuelles de Symantec Endpoint Protection qui apparaissent sur des ordinateurs Windows 8 Réponse aux messages vous invitant à autoriser ou à bloquer une application Réponse aux messages de licence expirée Réponse aux messages pour mettre à jour le logiciel client Types d'alertes et de notifications Le client travaille à l'arrière-plan pour maintenir votre ordinateur protégé contre les activités malveillantes. Parfois le client doit vous informer au sujet d'une activité ou vous demander un commentaire. Tableau 2-1 affiche les types de messages pouvant s'afficher et nécessiter une réponse de votre part.

28 Réaction aux alertes et aux notifications Types d'alertes et de notifications Tableau 2-1 Alerte Types d'alertes et de notifications Description <nom d'analyse> démarré en fonction ou boîte de dialogue de Résultatsdeladétection Symantec Endpoint Protection Si une analyse détecte un virus ou un risque de sécurité, l'analyse résulte ou la boîte de dialogue de Résultats de la détection Symantec Endpoint Protection apparaît avec des détails à propos de l'infection. La boîte de dialogue affiche également l'action que l'analyse a effectuée sur le risque. En général, il vous suffit d'examiner l'action et de fermer la boîte de dialogue. Toutefois, vous pouvez prendre une mesure si nécessaire. Se reporter à "A propos des résultats d'analyse" à la page 29. Autres boîtes de dialogue de message Des messages contextuels peuvent apparaître pour les raisons suivantes : Le client met automatiquement à jour le logiciel client. Se reporter à "Réponse aux messages pour mettre à jour le logiciel client" à la page 37. Le client vous demande d'autoriser ou de bloquer une application. Se reporter à "Réponse aux messages vous invitant à autoriser ou à bloquer une application" à la page 35. La licence d'évaluation du client a expiré. Se reporter à "Réponse aux messages de licence expirée" à la page 36.

Réaction aux alertes et aux notifications A propos des résultats d'analyse 29 Alerte Messages d'icône de zone de notification Description Les notifications qui apparaissent au-dessus de l'icône de zone de notification sont générées dans les situations suivantes : Le client bloque une application. Par exemple, la notification suivante peut apparaître : Traffic has been blocked from this application: (application name) Si le client est configuré pour bloquer tout le trafic, ces notifications apparaissent fréquemment. Si votre client est configuré pour autoriser tout le trafic, ces notifications n'apparaissent pas. Se reporter à "Réponse aux messages vous invitant à autoriser ou à bloquer une application" à la page 35. Le client détecte une attaque réseau contre votre ordinateur. Le type de notification suivant peut apparaître : Traffic from IP address 192.168.0.3 is blocked from 2/14/2010 15:37:58 to 2/14/2010 15:47:58. Port Scan attack is logged. La vérification de conformité de la sécurité a échoué. Le trafic peut être bloqué d'aller à et de votre ordinateur Vous n'avez rien d'autre à faire que lire les messages. Se reporter à "Comment déterminer si le client est connecté et protégé" à la page 44. A propos des résultats d'analyse Pour les clients gérés, votre administrateur configure généralement une analyse complète au moins une fois par semaine. Pour les clients non gérés, une analyse active générée automatiquement s'exécute au démarrage de l'ordinateur. Par défaut, Auto-Protect s'exécute en continu sur votre ordinateur. Quand les analyses s'exécutent, une boîte de dialogue d'analyse apparaît pour indiquer la progression et afficher les résultats de l'analyse. Lorsque l'analyse est terminée, les résultats apparaissent dans la liste. Si le client ne détecte aucun virus ou risque de sécurité, la liste demeure vide et l'état est Terminé. Si le client détecte des risques pendant l'analyse, la boîte de dialogue des résultats d'analyse affiche des résultats avec les informations suivantes : Les noms des virus ou des risques de sécurité

30 Réaction aux alertes et aux notifications Réagir à une détection de virus ou de risque Les noms des fichiers infectés Les actions que le client a exécutées sur les risques Si le client détecte un virus ou risque de sécurité, il peut être nécessaire d'agir sur un fichier infecté. Remarque : Pour les clients gérés, votre administrateur peut choisir de masquer la boîte de dialogue de résultats d'analyse. Si le client est non géré, vous pouvez afficher ou masquer cette boîte de dialogue. Si vous ou votre administrateur configurez le logiciel client pour afficher une boîte de dialogue de résultats d'analyse, vous pouvez interrompre, redémarrer ou arrêter l'analyse. Se reporter à "A propos des clients gérés et des clients non gérés" à la page 15. Se reporter à "Réagir à une détection de virus ou de risque" à la page 30. Se reporter à "Suspension et report des analyses" à la page 24. Réagir à une détection de virus ou de risque Quand une analyse définie par l'utilisateur ou une analyse Auto-Protect s'exécute, une boîte de dialogue de résultats d'analyse peut apparaître. Vous pouvez utiliser la boîte de dialogue de résultats d'analyse pour agir immédiatement sur le fichier infecté. Par exemple, vous pouvez décider de supprimer un fichier nettoyé car vous préférez le remplacer par un fichier original. Si Symantec Endpoint Protection doit fermer un processus ou une application, ou arrêter un service, l'option Supprimer les risques maintenant est active. Vous ne pouvez pas fermer la boîte de dialogue si des risques signalés dans cette boîte de dialogue nécessitent une action de votre part. Vous pouvez également utiliser le journal de quarantaine, de risque ou d'analyse pour agir sur le fichier plus tard.

Réaction aux alertes et aux notifications Réagir à une détection de virus ou de risque 31 Pour réagir face à la détection d'un virus ou d'un risque dans la boîte de dialogue de résultats d'analyse 1 Dans la boîte de dialogue de résultats d'analyse, sélectionnez les fichiers sur lesquels vous voulez agir. 2 Cliquez avec le bouton droit de la souris sur le fichier, puis sélectionnez l'une des options suivantes : Nettoyer Exclure Supprimer définitivement Annuler l'opération effectuée Mettre en quarantaine Propriétés Supprime le virus du fichier. Cette option est disponible uniquement pour les virus. Empêche le fichier d'être de nouveau analysé. Supprime le fichier infecté et tous ses effets secondaires. Pour les risques de sécurité, utilisez cette action avec prudence. Dans certains cas, la suppression de risques de sécurité peut empêcher une application de fonctionner correctement. Annule l'opération effectuée. Place les fichiers infectés en quarantaine. Pour les risques de sécurité, le client essaye également de supprimer ou de réparer les effets secondaires. Dans certains cas, si le client met en quarantaine un risque de sécurité, une application peut cesser de fonctionner. Affiche des informations sur le virus ou le risque de sécurité. Dans certains cas, l'action peut ne pas être disponible. 3 Dans la boîte de dialogue, cliquez sur Fermer. Il se peut que vous ne puissiez pas fermer la boîte de dialogue si les risques qui sont listés exigent une action de votre part. Par exemple, le client peut devoir terminer un processus ou une application ou devoir arrêter un service. Si vous devez agir, l'une des notifications suivantes apparaît : Suppression de risque requise Apparaît quand un risque nécessite l'arrêt de processus. Si vous choisissez de supprimer le risque, vous revenez à la boîte de dialogue des résultats. Si un redémarrage est également requis, les informations dans la ligne du risque de la boîte de dialogue indiquent qu'un redémarrage est requis. Redémarrage requis Apparaît quand un risque nécessite un redémarrage.

32 Réaction aux alertes et aux notifications Réagir à une détection de virus ou de risque Suppression du risque et redémarrage requis Apparaît quand un risque requiert l'arrêt du processus et qu'un autre risque requiert un redémarrage. 4 Si la boîte de dialogue Supprimer les risques maintenant apparaît, cliquez sur l'une des options suivantes : Supprimer les risques maintenant (recommandé) Le client supprime le risque. La suppression du risque peut nécessiter un redémarrage. Les informations de la boîte de dialogue indiquent si un redémarrage est requis. Ne pas supprimer les risques La boîte de dialogue des résultats vous rappelle que votre intervention est toujours nécessaire. Cependant, la boîte de dialogue Supprimer les risques maintenant n'apparaît plus jusqu'à ce que vous redémarriez l'ordinateur. 5 Si la boîte de dialogue de résultats ne s'est pas fermée à l'étape 3, cliquez sur Fermer. Si un redémarrage est requis, la suppression ou la réparation n'est pas terminée jusqu'à ce que vous redémarriez l'ordinateur. Dans certains cas, une intervention sur un risque peut être nécessaire, mais vous préférez ne pas l'effectuer sur le moment. Le risque peut être supprimé ou réparé ultérieurement en procédant de l'une des manières suivantes : Ouvrir le journal des risques, cliquer avec le bouton droit de la souris sur le risque et choisir une action. Exécuter une analyse pour détecter de nouveau le risque et rouvrir la boîte de dialogue des résultats. Vous pouvez également déclencher une action en cliquant avec le bouton droit de la souris sur un risque dans la boîte de dialogue et en sélectionnant une action. Les actions que vous pouvez effectuer dépendent des actions qui ont été configurées pour le type particulier de risque que l'analyse a détecté. Se reporter à "Comment les analyses réagissent à la détection d'un virus ou d'un risque" à la page 71. Se reporter à "Affichage des journaux" à la page 48. Se reporter à "Gérer des analyses sur votre ordinateur" à la page 58. Se reporter à "Gestion des fichiers en quarantaine sur votre ordinateur client" à la page 93.

Réaction aux alertes et aux notifications Réagir aux messages de Download Insight qui vous demandent d'autoriser ou de bloquer un fichier que vous essayez de télécharger 33 Réagir aux messages de Download Insight qui vous demandent d'autoriser ou de bloquer un fichier que vous essayez de télécharger Les notifications de Download Insight affichent des informations concernant les fichiers malveillants et les fichiers non fondés que Download Insight détecte quand vous essayez de les télécharger. Remarque : Que les notifications soient activées ou non, vous recevez des messages de détection quand l'action pour les fichiers non fondés est Invite. Vous ou votre administrateur pouvez modifier la sensibilité de Download Insight par rapport aux fichiers malveillants. Modifier le niveau de sensibilité peut avoir une incidence sur le nombre de notifications que vous recevez. Download Insight utilise Insight, qui évalue et détermine une estimation de fichier qui est basée sur sa communauté globale de millions d'utilisateurs. La notification de Download Insight affiche les informations suivantes concernant le fichier détecté : Réputation du fichier La réputation du fichier indique sa fiabilité. Les fichiers malveillants ne sont pas dignes de confiance. Les fichiers non prouvés peuvent être dignes de confiance ou non. Fréquence du fichier au sein de la communauté La prévalence d'un fichier est importante. Les fichiers qui ne sont pas fréquents peuvent présenter plus de risques d'être des menaces. Date de création du fichier Plus un fichier est récent, moins Symantec a d'informations le concernant. Les informations peuvent vous aider à décider d'autoriser ou de bloquer le fichier. Pour réagir à la détection de Download Insight qui vous demande d'autoriser ou de bloquer un fichier que vous essayez de télécharger Dans le message de détection de Download Insight, effectuez l'une des opérations suivantes actions : Cliquez sur Supprimer ce fichier de mon ordinateur. Download Insight place le fichier en quarantaine. Cette option apparaît seulement pour les fichiers non fondés. Cliquez sur Autoriser ce fichier.

34 Réaction aux alertes et aux notifications Réagir aux notifications contextuelles de Symantec Endpoint Protection qui apparaissent sur des ordinateurs Windows 8 Vous pourriez voir une boîte de dialogue d'autorisation qui demande si vous êtes sûr de vouloir autoriser le fichier. Si vous choisissez d'autoriser un fichier non fondé qui n'a pas été mis en quarantaine, le fichier s'exécute automatiquement. Si vous choisissez d'autoriser un fichier mis en quarantaine, le fichier ne s'exécute pas automatiquement. Vous pouvez exécuter le fichier depuis votre dossier Internet temporaire. En général, l'emplacement du dossier est : \\Documents and Settings \username\local Settings\Temporary Internet Files. Sur les clients non gérés, si vous autorisez un fichier, le client crée automatiquement une exception pour le fichier sur cet ordinateur. Sur les clients gérés, si votre administrateur vous permet de créer des exceptions, le client crée automatiquement une exception pour le fichier sur cet ordinateur. Se reporter à "Gérer des détections de Download Insight sur votre ordinateur" à la page 78. Se reporter à "Utilisation par Symantec Endpoint Protection des données de réputation pour prendre des décisions au sujet de fichiers" à la page 72. Se reporter à "Gérer des analyses sur votre ordinateur" à la page 58. Réagir aux notifications contextuelles de Symantec Endpoint Protection qui apparaissent sur des ordinateurs Windows 8 Sur les ordinateurs Windows 8, des notifications contextuelles pour des détections de logiciels malveillant et autres événements critiques apparaissent sur l'interface utilisateur de style Windows 8 et le bureau de Windows 8. Les notifications vous alertent d'un événement qui s'est produit dans l'interface utilisateur de style Windows 8 ou le bureau de Windows 8, indépendamment de l'interface qui s'affiche actuellement. Vous pouvez consulter des détails à propos de l'événement qui a produit la notification dans un message sur le bureau de Windows. Sur les clients gérés, votre administrateur pourrait désactiver les notifications contextuelles. Pour réagir aux notifications contextuelles de Symantec Endpoint Protection qui apparaissent sur des ordinateurs Windows 8 1 Dans la notification contextuelle qui apparaît en haut de l'écran, effectuez l'une des tâches suivantes : Dans l'interface utilisateur de style Windows 8, cliquez sur la notification.

Réaction aux alertes et aux notifications Réponse aux messages vous invitant à autoriser ou à bloquer une application 35 Le bureau de s'affiche. Sur le bureau, cliquez sur la notification. La notification disparaît. 2 Vérification les résultats de la détection ou l'autre message informatif qui apparaît sur le bureau. Pour les détections de virus et de spyware qui n'affectent pas des applis de style Windows 8, vous pourriez avoir besoin de ou vouloir exécuter d'une action de résolution supplémentaire. Pour les détections qui affectent des applis de style Windows 8, la seule action supplémentaire que vous pouvez exécuter est Exclure. Quand vous revenez à l'interface utilisateur de style Windows 8, vous pourriez voir une icône sur une appli affectée qui indique que vous devez télécharger l'appli à nouveau. Se reporter à "Comment gérer les notifications contextuelles de Symantec Endpoint Protection qui apparaissent sur des ordinateurs Windows 8" à la page 99. Se reporter à "Réagir à une détection de virus ou de risque" à la page 30. Réponse aux messages vous invitant à autoriser ou à bloquer une application Quand une application de votre ordinateur essaye d'accéder au réseau, le client peut vous inviter à autoriser ou à bloquer l'application. Vous pouvez choisir de bloquer une application que vous pensez peu sûre pour l'empêcher d'accéder au réseau. Ce type de notification apparaît pour une des raisons suivantes : L'application demande à accéder à votre connexion réseau. Une application qui a accédé à votre connexion réseau a été mise à niveau. Votre administrateur a mis à jour le logiciel client. Le type de message suivant peut apparaître, vous indiquant quand une application essaye d'accéder à votre ordinateur : IEXPLORE.EXE is attempting to access the network. Do you want to allow this program to access the network?

36 Réaction aux alertes et aux notifications Réponse aux messages de licence expirée Pour réagir aux messages vous invitant à autoriser ou à bloquer une application 1 Vous pouvez au choix supprimer le message la prochaine fois que l'application essaye d'accéder au réseau (dans la boîte de dialogue, cliquez sur Mémoriser ma réponse et ne plus me demander à l'avenir pour cette application ) ; ou 2 Effectuez l'une des opérations suivantes : Pour autoriser l'application à accéder au réseau, cliquez sur Oui. Pour bloquer l'accès de l'application au réseau, cliquez sur Non. Vous pouvez également modifier l'action de l'application dans le champ Applications en cours d'exécution ou dans la liste Applications. Se reporter à "Création d'une règle de pare-feu pour une application quand elle accède au réseau de votre ordinateur" à la page 126. Réponse aux messages de licence expirée Le client utilise une licence afin de mettre à jour les définitions de virus pour les analyses et de mettre à jour le logiciel client. Le client peut utiliser une licence d'évaluation ou une licence payante. Si la licence d'évaluation a expiré, le client ne met à jour aucun contenu ou le logiciel client. Tableau 2-2 Type de Licence Licence d'évaluation Types de licences Description Si une licence d'évaluation a expiré, le haut du volet d'état du client est rouge et affiche le message suivant : Evaluation License has expired. All content download will discontinue on date. Please contact your Administrator to purchase a full Symantec Endpoint Protection License. Vous pouvez également afficher la date d'expiration en cliquant sur Aide > A propos de. Licence payante Si une licence payante a expiré, le haut du volet d'état du client est jaune et affiche le message suivant : Virus and Spyware Protection definitions are out of date. Pour tout type de licence, vous devez contacter votre administrateur afin de mettre à jour ou renouveler la licence.

Réaction aux alertes et aux notifications Réponse aux messages pour mettre à jour le logiciel client 37 Se reporter à "Types d'alertes et de notifications" à la page 27. Se reporter à "Affichage des journaux" à la page 48. Réponse aux messages pour mettre à jour le logiciel client Si le logiciel client est automatiquement mis à jour, vous pouvez obtenir la notification suivante : Symantec Endpoint Protection has detected that a newer version of the software is available from the Symantec Endpoint Protection Manager. Do you wish to download it now? Pour réagir à une notification automatique de mise à jour 1 Effectuez l'une des opérations suivantes : Pour télécharger le logiciel immédiatement, cliquez sur Télécharger maintenant. Pour être rappelé après le délai spécifié, cliquez sur Me le rappeler plus tard. 2 Si un message s'affiche après le début de l'installation du logiciel mis à jour, cliquez sur OK.

38 Réaction aux alertes et aux notifications Réponse aux messages pour mettre à jour le logiciel client

Chapitre 3 Vérifier que votre ordinateur est protégé Ce chapitre traite des sujets suivants : Gestion de la protection de votre ordinateur Mise à jour de la protection de l'ordinateur Mise à jour manuelle des politiques sur le client Comment déterminer si le client est connecté et protégé A propos des journaux Affichage des journaux A propos de l'activation et de la désactivation de la protection lors de la résolution de problèmes Activation ou désactivation de la protection sur l'ordinateur client Gestion de la protection de votre ordinateur Par défaut, votre ordinateur client est protégé et vous n'avez normalement pas besoin de configurer le client. Cependant, vous pouvez vouloir contrôler votre protection pour les raisons suivantes : Votre ordinateur exécute un client non géré. Une fois qu'un client non géré est installé, vous seul avez le contrôle de la protection de votre ordinateur. Un client non géré est protégé par défaut, mais vous pouvez devoir modifier les paramètres de l'ordinateur. Vous voulez activer ou désactiver une ou plusieurs technologies de protection.

40 Vérifier que votre ordinateur est protégé Gestion de la protection de votre ordinateur Vous voulez vérifier que vous disposez des dernières définitions de virus. Vous avez entendu parler d'un virus ou d'une menace de sécurité récent(e) et voulez exécuter une analyse. Tableau 3-1 Etape Processus de gestion de la protection de votre ordinateur Description Répondez aux alertes ou aux notifications Répondez aux messages qui apparaissent, vous demandant de fournir des données. Par exemple, une analyse pourrait détecter un virus ou un risque de sécurité et afficher les résultats d'analyse qui vous demandent d'agir sur la détection. Se reporter à "Types d'alertes et de notifications" à la page 27. Vérifiez l'état de la protection Vérifiez régulièrement la page Etat pour déterminer que tous les types de protection sont activés. Se reporter à "Démarrage sur la page d'état" à la page 13. Se reporter à "Activation ou désactivation de la protection sur l'ordinateur client" à la page 52. Mettez à jour les définitions de virus Vérifiez que les dernières définitions de virus sont installées sur votre ordinateur. Vérifiez que vous disposez des dernières mises à jour de la protection. Vous pouvez vérifier la date et le nombre de ces fichiers de définitions sur la page Etat du client, sous chaque type de protection. Obtenez les dernières mises à jour de la protection. Se reporter à "Mise à jour de la protection de l'ordinateur" à la page 41. Vous pouvez effectuer ces tâches sur un client géré si votre administrateur le permet. Analysez votre ordinateur. Exécutez une analyse pour voir si l'ordinateur ou votre application de courrier électronique comporte des virus. Par défaut, le client analyse l'ordinateur quand vous l'allumez, mais vous pouvez l'analyser à tout moment. Se reporter à "Analyse immédiate de l'ordinateur" à la page 23.

Vérifier que votre ordinateur est protégé Mise à jour de la protection de l'ordinateur 41 Etape Ajustez les paramètres de protection Description Dans la plupart des cas, les paramètres par défaut assurent une protection appropriée pour votre ordinateur. Au besoin, vous pouvez diminuer ou augmenter les types de protection suivants : Planifier des analyses supplémentaires Se reporter à "Gérer des analyses sur votre ordinateur" à la page 58. Ajouter des règles de pare-feu (client non géré uniquement) Se reporter à "Gestion de la protection pare-feu" à la page 109. Afficher les journaux des détections ou des attaques Vérifier les journaux pour voir si votre client a détecté un virus ou une attaque réseau. Se reporter à "Affichage des journaux" à la page 48. Mettez à jour la politique de sécurité (client géré uniquement) Vérifier que le client a reçu la dernière politique de sécurité d'un serveur de gestion. Une politique de sécurité inclut les paramètres de technologie de protection les plus actuels pour votre client. La politique de sécurité est mise à jour automatiquement. Pour vous assurer que vous disposez de la dernière politique, vous pouvez la mettre à jour manuellement en cliquant avec le bouton droit de la souris sur l'icône de zone de notification du client, puis en cliquant sur Mettre à jour la politique. Se reporter à "Comment déterminer si le client est connecté et protégé" à la page 44. Se reporter à "A propos des clients gérés et des clients non gérés" à la page 15. Mise à jour de la protection de l'ordinateur Les produits Symantec nécessitent des informations à jour pour protéger l'ordinateur des nouvelles menaces découvertes. Symantec rend ces informations disponibles via LiveUpdate. Les mises à jour de contenu sont les fichiers qui maintiennent les produits Symantec à jour avec la dernière technologie de protection contre les menaces. Les mises à jour de contenu que vous recevez dépendent des protections installées sur votre ordinateur. Par exemple, LiveUpdate télécharge des fichiers de définitions de virus pour la protection contre les virus et les spywares et des fichiers de définitions IPS pour la protection contre les menaces réseau.

42 Vérifier que votre ordinateur est protégé Mise à jour de la protection de l'ordinateur LiveUpdate peut également apporter des améliorations au client installé sur une base de nécessité. Ces améliorations sont généralement créées pour prolonger la compatibilité du système d'exploitation ou du matériel, régler des problèmes de performance ou corriger des erreurs de produit. LiveUpdate récupère les nouveaux fichiers de contenu sur un site Internet de Symantec, puis remplace les anciens fichiers de contenu. Un ordinateur client peut recevoir ces améliorations directement depuis un serveur LiveUpdate. Un ordinateur client géré peut également recevoir ces mises à jour d'amélioration automatiquement depuis un serveur de gestion de votre entreprise. La manière dont votre ordinateur reçoit les mises à jour dépend de si votre ordinateur est géré ou non géré et de la manière dont votre administrateur a configuré les mises à jour. Tableau 3-2 Tâche Manières d'effectuer des mises à jour de contenu sur votre ordinateur Description Mise à jour de contenu sur planification Par défaut, LiveUpdate s'exécute automatiquement à intervalles planifiés. Sur un client non géré, vous pouvez désactiver ou modifier une planification de LiveUpdate. Se reporter à "Mise à jour de contenu sur planification" à la page 43. Mise à jour immédiate de contenu Selon vos paramètres de sécurité, vous pouvez exécuter LiveUpdate immédiatement. Se reporter à "Mise à jour immédiate de contenu" à la page 42. Mise à jour immédiate de contenu Vous pouvez mettre à jour les fichiers de contenu immédiatement à l'aide de LiveUpdate. Vous devez exécuter LiveUpdate manuellement pour les raisons suivantes : Le logiciel client a été installé récemment. La dernière analyse a été exécutée il y a longtemps. Vous suspectez la présence d'un virus ou tout autre problème de logiciel malveillant. Se reporter à "Mise à jour de contenu sur planification" à la page 43. Se reporter à "Mise à jour de la protection de l'ordinateur" à la page 41.

Vérifier que votre ordinateur est protégé Mise à jour de la protection de l'ordinateur 43 Pour mettre à jour votre protection immédiatement. Dans la barre latérale du client, cliquez sur LiveUpdate. LiveUpdate se connecte au serveur Symantec, recherche les mises à jour disponibles, puis les télécharge et les installe automatiquement. Mise à jour de contenu sur planification Vous pouvez créer une planification de sorte que LiveUpdate s'exécute automatiquement à intervalles planifiés. Il peut être nécessaire de planifier l'exécution de LiveUpdate lorsque vous n'utilisez pas votre ordinateur. Se reporter à "Mise à jour immédiate de contenu" à la page 42. Remarque : Si vous avez un client géré, vous pouvez seulement configurer l'exécution de LiveUpdate sur une planification si votre administrateur vous y a autorisé. Si l'icône de cadenas apparaît et que les options sont grisées, vous ne pouvez pas mettre à jour votre contenu sur une planification. Pour mettre à jour votre protection selon une planification 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 En regard de Gestion des clients, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de gestion des clients, cliquez sur LiveUpdate. 4 Sur l'onglet LiveUpdate, cochez Activer les mises à jour automatiques. 5 Dans la zone de groupe Fréquence et heure, sélectionnez si vous voulez que les mises à jour s'exécutent chaque jour, chaque semaine ou chaque mois. Sélectionnez alors le jour ou la semaine et l'heure d'exécution des mises à jour. Les paramètres d'heure dépendent de ce que vous sélectionnez dans la zone de groupe Fréquence. La disponibilité des autres options dépend également de la fréquence que vous sélectionnez. 6 Dans la zone de groupe Fenêtre Réessayer, cochez Essayer pendant et spécifiez alors l'intervalle de temps pendant lequel le client essaye d'exécuter LiveUpdate de nouveau.

44 Vérifier que votre ordinateur est protégé Mise à jour manuelle des politiques sur le client 7 Dans la zone de groupe Options de traitement aléatoire, cochez Choisir au hasard l'heure de début sur + ou - 9 et spécifiez alors le nombre d'heures ou de jours. Cette option définit un intervalle de temps avant ou après l'heure planifiée pour le démarrage de la mise à jour. 8 Dans la zone de groupe Détection d'inactivité, cochez Retarder la planification de LiveUpdate jusqu'à ce que le système soit inactif. Les sessions en retard s'exécuteront par la suite sans réserve. Vous pouvez également configurer des options pour la connexion du serveur proxy à un serveur LiveUpdate interne. Consultez l'aide en ligne pour plus d'informations à propos des options. 9 Cliquez sur OK. Mise à jour manuelle des politiques sur le client Vous pouvez manuellement mettre à jour les politiques sur l'ordinateur client si vous ne pensez pas que vous avez la dernière politique sur le client. Si le client ne reçoit pas la mise à jour, un problème de communication a pu se produire. Vérifiez le numéro de série de la politique pour vérifier si vos ordinateurs client gérés peuvent communiquer avec le serveur de gestion. Pour mettre à jour manuellement des politiques à partir de l'ordinateur client 1 Dans l'interface utilisateur client de l'ordinateur client, cliquez sur Aide > Dépannage. 2 Dans la boîte de dialogue Dépannage, dans la colonne de gauche, cliquez sur Gestion. 3 Dans le volet Gestion, sous Profil de la politique, cliquez sur Mettre à jour. Comment déterminer si le client est connecté et protégé Vous pouvez sélectionner l'icône de la zone de notification sur le client pour déterminer si le client est connecté à un serveur de gestion et convenablement protégé. L'icône se trouve dans le coin inférieur droit du bureau de l'ordinateur client. Vous pouvez cliquer avec le bouton droit de la souris sur cette icône pour afficher les commandes fréquemment utilisées.

Vérifier que votre ordinateur est protégé Comment déterminer si le client est connecté et protégé 45 Remarque : Sur les clients gérés, l'icône de zone de notification système ne s'affiche pas si l'administrateur l'a configurée pour être indisponible. Tableau 3-3 Icônes d'état du client Symantec Endpoint Protection Icône Description Le client s'exécute sans problème. Il est hors ligne ou non géré. Les clients non gérés ne sont pas connectés à un serveur de gestion. L'icône est un bouclier jaune ordinaire. Le client s'exécute sans problème. Il est connecté au serveur et communique avec lui. Tous les composants de la politique de sécurité protègent l'ordinateur. L'icône est un bouclier jaune avec un point vert. Le client rencontre un léger problème. Par exemple, les définitions de virus peuvent ne pas être à jour. L'icône est un bouclier jaune et un point jaune-clair avec un point d'exclamation noire. Le client ne s'exécute pas, connaît un sérieux problème ou s'est vu désactiver au moins une technologie de protection. Par exemple, la protection contre les menaces réseau peut être désactivée. L'icône est un bouclier jaune avec un point blanc entouré de rouge et avec une ligne rouge traversant le point. Tableau 3-4 affiche les icônes d'état du client Symantec Network Access Control qui apparaissent dans la zone de notification. Tableau 3-4 Icônes d'état du client Symantec Network Access Control Icône Description Le client s'exécute sans problème et la vérification de l'intégrité de l'hôte ainsi que la mise à jour de la politique de sécurité ont réussi. Il est hors ligne ou non géré. Les clients non gérés ne sont pas connectés à un serveur de gestion. L'icône est une clé ordinaire en or. Le client s'exécute sans problème et la vérification de l'intégrité de l'hôte ainsi que la mise à jour de la politique de sécurité ont réussi. Il communique avec le serveur. L'icône est une clé en or avec un point vert. Le client a échoué à la vérification de l'intégrité de l'hôte ou n'a pas mis à jour la politique de sécurité. L'icône est une clé dorée avec un point rouge qui contient un "x" blanc. Se reporter à "Masquage et affichae de l'icône de zone de notification" à la page 46.

46 Vérifier que votre ordinateur est protégé A propos des journaux Masquage et affichae de l'icône de zone de notification Vous pouvez masquer l'icône de zone de notification au besoin. Par exemple, vous pouvez la masquer pour obtenir plus d'espace sur la barre des tâches Windows. Se reporter à "Comment déterminer si le client est connecté et protégé" à la page 44. Remarque : Sur les clients gérés, vous ne pouvez pas masquer l'icône de zone de notification si votre administrateur a restreint cette fonctionnalité. Pour masquer ou afficher l'icône de la zone de notification 1 Dans la fenêtre principale, dans la barre latérale, cliquez sur Changer les paramètres. 2 Sur la page Changer les paramètres, de l'option Gestion des clients, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de gestion des clients, sur l'onglet Général, sous Options affichage, désélectionnez ou cochez Afficher l'icône de sécurité Symantec dans la zone de notification. 4 Cliquez sur OK. A propos des journaux Les journaux contiennent des informations sur les changements de configuration client, les activités liées à la sécurité et les erreurs. Ces informations sont appelées événements. Les activités liées à la sécurité incluent des informations sur les détections de virus, l'état de l'ordinateur et le trafic entrant ou sortant de l'ordinateur. Si vous utilisez un client géré, ses journaux peuvent être régulièrement chargés sur le serveur de gestion. Un administrateur peut utiliser leurs données pour analyser le statut global de sécurité du réseau. Les journaux constituent l'une des principales méthodes pour suivre l'activité d'un ordinateur et ses relations avec d'autres ordinateurs et réseaux. Vous pouvez utiliser les informations des journaux pour suivre les tendances associées aux virus, aux risques de sécurité et aux attaques sur votre ordinateur. Pour plus d'informations sur un journal, appuyez sur F1 pour afficher l'aide de ce journal.

Vérifier que votre ordinateur est protégé A propos des journaux 47 Tableau 3-5 Journal Journal d'analyse Journal des risques Journaux client Description Contient les entrées à propos des analyses qui ont été exécutées sur votre ordinateur avec le temps. Contient des entrées sur les virus et les risques de sécurité, tels que les logiciels publicitaires et les logiciels espions qui ont infecté l'ordinateur. Les risques de sécurité incluent un lien Symantec Security Response à la page Web qui fournit des informations supplémentaires. Se reporter à "Mise en quarantaine d'un fichier du journal des risques ou du journal d'analyse" à la page 96. Journal système de protection contre les virus et les logiciels espions Journal des menaces Journal système de la protection proactive contre les menaces Journal de trafic Contient les informations sur les activités système de votre ordinateur qui sont liées aux virus et aux risques de sécurité. Ces informations incluent des changements de configuration, erreurs, les informations de fichier de définitions d'ensemble de fonctionnalités d'installation et. Contient les informations concernant les menaces que SONAR a détectées sur votre ordinateur. SONAR détecte tous les fichiers qui agissent de manière suspecte. SONAR détecte également les changements du système. Contient les informations sur les activités système de votre ordinateur qui sont liées à SONAR. Contient les événements concernant des attaques du trafic et de prévention d'intrusion du pare-feu. Le journal contient des informations sur les connexions que votre ordinateur établit sur le réseau. Les journaux de protection contre les menaces réseau peuvent vous aider à tracer le trafic jusqu'à sa source et à dépanner d'éventuelles attaques réseau. Les journaux peuvent vous indiquer quand votre ordinateur a été bloqué du réseau et vous aider à déterminer pourquoi votre accès a été bloqué. Journal des paquets Contient les informations sur les paquets de données qui entrent ou sortent par les ports de l'ordinateur. Par défaut, le journal des paquets est désactivé. Il est impossible d'activer le journal des paquets sur un client géré. Vous pouvez activer le journal des paquets sur un client non géré. Se reporter à "Activation du journal des paquets" à la page 49.

48 Vérifier que votre ordinateur est protégé Affichage des journaux Journal Journal de contrôle Journal de sécurité Journal système de la gestion des clients Description Contient des informations sur les clés de registre de Windows, les fichiers et les DLL auxquels une application accède, ainsi que sur les applications exécutées sur votre ordinateur. Contient les informations concernant les activités qui peuvent constituer une menace pour votre ordinateur. Par exemple, les informations pourraient apparaître concernant des activités telles que des attaques par déni de service, des analyses des ports et des modifications de fichier exécutable. Contient les informations sur toutes les modifications opérationnelles qui se sont produites sur l'ordinateur. Les modifications pourraient inclure les activités suivantes : Un service démarre ou arrête L'ordinateur détecte des applications réseau Le logiciel est configuré Journal de protection contre les falsifications Contient les entrées à propos des tentatives de falsifications des applications Symantec sur votre ordinateur. Ces entrées contiennent des informations concernant les tentatives que la protection contre les falsifications a détectées, ou détectées et contrecarrées. Journaux de débogage Contient des informations sur le client, les analyses et le pare-feu à des fins de dépannage. L'administrateur peut vous demander d'activer ou de configurer les journaux, puis de les exporter. Se reporter à "Affichage des journaux" à la page 48. Affichage des journaux Vous pouvez afficher les journaux sur votre ordinateur pour consulter les détails des événements qui se sont produits. Remarque : Si Protection contre les menaces réseau ou Network Access Control ne sont pas installés, vous ne pouvez pas afficher le journal de sécurité, le journal système ou le journal de contrôle.

Vérifier que votre ordinateur est protégé A propos de l'activation et de la désactivation de la protection lors de la résolution de problèmes 49 Pour afficher un journal 1 Dans la barre latérale de la fenêtre principale, cliquez sur Afficher les journaux. 2 Cliquez sur Afficher les journaux en regard de l'un des éléments suivants : Protection contre les virus et les logiciels espions Protection contre les menaces proactives Protection contre les menaces réseau Gestion des clients Contrôle d'accès réseau Certains éléments pourraient ne pas apparaître selon votre installation. 3 Dans le menu déroulant, sélectionnez le journal que vous voulez afficher. Se reporter à "A propos des journaux" à la page 46. Activation du journal des paquets Tous les journaux de protection contre les menaces réseau et de gestion des clients sont activés par défaut, excepté le journal des paquets. Sur les clients non gérés, vous pouvez activer et désactiver le journal des paquets. Sur les clients gérés, votre administrateur pourrait vous permettre d'activer ou de désactiver le journal des paquets. Se reporter à "A propos des journaux" à la page 46. Pour activer le journal des paquets 1 Sur la page Etat du client, à droite de Protection contre les menaces réseau, cliquez sur Options, puis sur Changer les paramètres. 2 Dans la boîte de dialogue Paramètres de protection contre les menaces réseau, cliquez sur Journaux. 3 Cochez Activer le journal des paquets. 4 Cliquez sur OK. A propos de l'activation et de la désactivation de la protection lors de la résolution de problèmes En règle générale, vous maintiendrez les technologies de protection toujours actives sur l'ordinateur client.

50 Vérifier que votre ordinateur est protégé A propos de l'activation et de la désactivation de la protection lors de la résolution de problèmes Vous pourriez devoir désactiver temporairement toutes les technologies de protection ou individuellement si vous avez un problème avec l'ordinateur client. Par exemple, si une application ne s'exécute pas ou ne s'exécute pas correctement, vous pourriez vouloir désactiver la protection contre les menaces réseau. Si vous avez toujours le problème après avoir désactivé toutes les technologies de protection, désinstallez complètement le client. Si le problème persiste, vous savez que le problème n'est pas dû à Symantec Endpoint Protection. Avertissement : Assurez-vous d'activer les protections une fois la tâche de dépannage terminée afin que votre ordinateur reste protégé. Tableau 3-6 décrit les raisons pour lesquelles vous pourriez être amené à désactiver chaque technologie de protection. Tableau 3-6 Objectif de la désactivation d'une technologie de protection Technologie de protection Protection contre les virus et les spywares Objectif de la désactivation de la technologie de protection Si vous désactivez cette protection, vous désactivez Auto-Protect uniquement. Les analyses planifiées ou de démarrage s'exécutent encore si vous ou votre administrateur les avez configurées pour qu'elles le fassent. Vous pourriez activer ou désactiver Auto-Protect pour les raisons suivantes : Auto-Protect peut vous empêcher d'ouvrir un document. Par exemple, si vous ouvrez un document Microsoft Word comportant une macro, Auto-Protect peut ne pas vous autoriser à l'ouvrir. Si vous savez que le document est sûr, vous pouvez désactiver Auto-Protect. Auto-Protect peut vous signaler une activité suspecte, mais vous savez que celle-ci n'est pas due à un virus. Par exemple, vous pouvez obtenir un avertissement quand vous installez de nouveaux programmes. Si vous prévoyez d'installer des applications et voulez éviter l'avertissement, vous pouvez désactiver Auto-Protect temporairement. Auto-Protect peut interférer avec le remplacement des pilotes de Windows. Auto-Protect peut ralentir l'ordinateur client. Remarque : Si vous désactivez Auto-Protect, vous désactivez également Download Insight, même si Download Insight est activé. SONAR ne peut pas non plus détecter les menaces heuristiques. La détection de SONAR du fichier hôte et des évolutions du système continue de fonctionner. Se reporter à "Activation ou désactivation d'auto-protect" à la page 53. Si Auto-Protect provoque un problème avec une application, il vaut mieux créer une exception que désactiver la protection de manière permanente. Se reporter à "Exclusion d'éléments des analyses" à la page 91.

Vérifier que votre ordinateur est protégé A propos de l'activation et de la désactivation de la protection lors de la résolution de problèmes 51 Technologie de protection Protection proactive contre les menaces Objectif de la désactivation de la technologie de protection Vous pourriez vouloir désactiver la protection proactive contre les menaces pour les raisons suivantes : Trop d'avertissements s'affichent au sujet de menaces qui ne constituent pas de réelles menaces. La protection proactive contre les menaces peut ralentir l'ordinateur client. Se reporter à "Activation ou désactivation de la protection sur l'ordinateur client" à la page 52. Protection contre les menaces réseau Vous pouvez être amené à désactiver la protection proactive contre les menaces réseau pour les raisons suivantes : Vous installez une application que le pare-feu pourrait bloquer. Une règle de pare-feu ou un paramètre de pare-feu bloque une application suite à une erreur de l'administrateur. Le pare-feu ou le système de prévention d'intrusion provoque des problèmes de connectivité réseau. Le pare-feu pourrait ralentir l'ordinateur client. Vous ne pouvez pas ouvrir une application. Si vous n'êtes pas certain que la protection contre les menaces réseau est à l'origine du problème, il peut être judicieux de désactiver toutes les technologies de protection. Sur un client géré, votre administrateur pourrait verrouiller complètement la protection contre les menaces réseau de sorte que vous ne puissiez pas l'activer ou la désactiver. Se reporter à "Activation ou désactivation de la prévention d'intrusion" à la page 131. Se reporter à "Activation ou désactivation de la protection sur l'ordinateur client" à la page 52. Protection contre les falsifications En général, vous devez garder la protection contre les falsifications activée. Vous pourriez vouloir désactiver la protection contre les falsifications temporairement si vous obtenez un nombre étendu de détections de faux positif. Par exemple, quelques applications tierces pourraient apporter des modifications qui essayent involontairement de modifier des paramètres ou des processus Symantec. Si vous êtes sûr(e) qu'une application est sécurisée, vous pouvez créer une exception de protection contre les falsifications pour l'application. Se reporter à "Activation, désactivation et configuration de la protection contre les falsifications" à la page 54.

52 Vérifier que votre ordinateur est protégé Activation ou désactivation de la protection sur l'ordinateur client Activation ou désactivation de la protection sur l'ordinateur client A des fins de dépannage, vous pouvez devoir désactiver Auto-Protect, la protection proactive contre les menaces ou la protection contre les menaces réseau. Sur le client, lorsque des protections ont désactivées : La barre d'état en haut de la page Etat est rouge. L'icône du client s'affiche avec un signe de négation, un cercle rouge barré par une diagonale. L'icône client s'affiche sous forme de bouclier entier dans la barre des tâches, dans le coin inférieur droit du bureau Windows. Dans certaines configurations, l'icône ne s'affiche pas. Se reporter à "Comment déterminer si le client est connecté et protégé" à la page 44. Sur un client géré, votre administrateur peut activer ou désactiver une technologie de protection à tout moment. Si vous désactivez une protection, votre administrateur peut activer la protection de nouveau ultérieurement. Votre administrateur pourrait également verrouiller une protection de sorte que vous ne puissiez pas la désactiver. Avertissement : Symantec vous recommande de désactiver Auto-Protect temporairement uniquement si vous devez dépanner l'ordinateur client. Pour activer des technologies de protection à partir de la page Etat Sur le client, en haut de la page Etat, cliquez sur Corriger ou Réparer tout. Pour activer ou désactiver les technologies de protection à partir de la barre des tâches Sur le bureau Windows, dans la zone de notification, cliquez sur l'icône client avec le bouton droit de la souris, puis effectuez l'une des actions suivantes : Cliquez sur Activer Symantec Endpoint Protection. Cliquez sur Désactiver Symantec Endpoint Protection. Pour activer ou désactiver les technologies de protection dans le client Dans le client, à la page Etat, en regard de type de protection Protection, effectuez l'une des tâches suivantes : Cliquez sur Options > Activer type de protection Protection. Cliquez sur Options > Désactiver tout type de protection Fonctions de protection.

Vérifier que votre ordinateur est protégé Activation ou désactivation de la protection sur l'ordinateur client 53 Pour activer ou désactiver le pare-feu 1 Sur le client, en haut de la page Etat, à côté de Protection contre les menaces réseau, cliquez sur Options > Changer les paramètres. 2 Sur l'onglet Pare-feu, sélectionnez ou désélectionnez Activer le pare-feu. 3 Cliquez sur OK. Se reporter à "A propos de l'activation et de la désactivation de la protection lors de la résolution de problèmes" à la page 49. Se reporter à "Activation ou désactivation d'auto-protect" à la page 53. Activation ou désactivation d'auto-protect Vous pouvez activer ou désactiver Auto-Protect pour les fichiers et les processus, le courrier électronique Internet et les applications groupware de courrier électronique. Quand un type quelconque d'auto-protect est désactivé, l'état de protection antivirus et antispyware apparaît en rouge sur la page d'état. Sur un client géré, votre administrateur peut verrouiller Auto-Protect de sorte que vous ne puissiez pas le désactiver. En outre, votre administrateur peut spécifier que vous pouvez désactiver Auto-Protect temporairement, mais qu'auto-protect se réactive automatiquement après un délai spécifié.. Remarque : Si vous désactivez Auto-Protect, vous désactivez également Download Insight, même si Download Insight est activé. SONAR ne peut pas non plus détecter les menaces heuristiques ; cependant, SONAR continue à détecter le fichier hôte et les évolutions du système. Avertissement : Symantec recommande que si vous devez dépanner Auto-Protect sur l'ordinateur client, vous le désactivez seulement temporairement. Pour activer ou désactiver Auto-Protect pour le système de fichiers Dans le client, sur la page Etat, à côté de Protection antivirus et antispyware, effectuez l'une des actions suivantes : Cliquez sur Options > Activer la protection contre les virus et les spywares. Cliquez sur Options > Désactiver la protection contre les virus et les logiciels espions.

54 Vérifier que votre ordinateur est protégé Activation ou désactivation de la protection sur l'ordinateur client Pour activer ou désactiver Auto-Protect pour le courrier électronique 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 En regard de Protection contre les virus et les spywares, cliquez sur Configurer les paramètres. 3 Effectuez l'une des opérations suivantes : Dans l'onglet Auto-ProtectpourlecourrierélectroniqueInternet, cochez ou désélectionnez l'option Activer Auto-Protect pour le courrier électronique Internet. Dans l'onglet Auto-Protect pour Microsoft Outlook, cochez ou désélectionnez l'option Activer Auto-Protect pour Microsoft Outlook. Dans l'onglet Notes Auto-Protect, sélectionnez ou désélectionnez Activer Auto-Protect pour Lotus Notes. Auto-Protect pour le courrier électronique Internet n'est pas pris en charge sur les systèmes d'exploitation de serveur. Auto-Protect pour Microsoft Outlook est automatiquement installé sur les ordinateurs qui exécutent Outlook. 4 Cliquez sur OK. Se reporter à "Types d'auto-protect" à la page 68. Se reporter à "A propos des icônes d'alerte de la page d'état" à la page 17. Se reporter à "A propos de l'activation et de la désactivation de la protection lors de la résolution de problèmes" à la page 49. Activation, désactivation et configuration de la protection contre les falsifications La protection contre les falsifications assure une protection en temps réel des applications Symantec sur les serveurs et les clients. Elle empêche des risques de sécurité et des menaces de falsifier des ressources Symantec. Vous pouvez activer ou désactiver la protection contre les falsifications. Vous pouvez également configurer la mesure que la protection contre les falsifications applique quand elle détecte une tentative de falsification des ressources Symantec sur votre ordinateur. Par défaut, la Protection contre les falsifications est définie sur Bloquer et ne pas consigner. Remarque : Sur un client géré, votre administrateur pourrait verrouiller les paramètres de Protection contre les falsifications.

Vérifier que votre ordinateur est protégé Activation ou désactivation de la protection sur l'ordinateur client 55 Se reporter à "A propos de l'activation et de la désactivation de la protection lors de la résolution de problèmes" à la page 49. Pour activer ou désactiver la protection contre les falsifications 1 Dans la barre latérale du client, cliquez sur Changer les paramètres. 2 En regard de Gestion des clients, cliquez sur Configurer les paramètres. 3 Dans l'onglet Protection contre les falsifications, cochez ou désélectionnez la case Protéger les logiciels de sécurité Symantec contre les interventions ou interruptions. 4 Cliquez sur OK. Pour configurer Protection contre les falsifications 1 Dans la barre latérale du client, cliquez sur Changer les paramètres. 2 En regard de Gestion des clients, cliquez sur Configurer les paramètres. 3 Dans l'onglet Protection contre les falsifications, dans la zone de liste Opération à effectuer si une application tente de falsifier ou d'arrêter le logiciel de sécurité Symantec, cliquez sur Consigner seulement, Bloquer et ne pas consigner ou Bloquer et consigner. 4 Cliquez sur OK.

56 Vérifier que votre ordinateur est protégé Activation ou désactivation de la protection sur l'ordinateur client

Chapitre 4 Gestion des analyses Ce chapitre traite des sujets suivants : Gérer des analyses sur votre ordinateur Fonctionnement des analyses antivirus et antispyware Planification d'une analyse définie par l'utilisateur Planification d'une analyse à exécuter sur demande ou quand l'ordinateur démarre Gérer des détections de Download Insight sur votre ordinateur Personnaliser des paramètres de Download Insight Personnalisation des paramètres d'analyse antivirus et antispyware Configurer des actions pour la détection des logiciels malveillants et des risques de sécurité A propos de l'exclusion d'éléments des analyses Exclusion d'éléments des analyses Gestion des fichiers en quarantaine sur votre ordinateur client Activation ou désactivation de la détection des logiciels malveillants au démarrage (ELAM) Comment gérer les notifications contextuelles de Symantec Endpoint Protection qui apparaissent sur des ordinateurs Windows 8 A propos de la transmission d'informations sur les détections à Symantec Security Response Envoi des informations concernant les détections à Symantec Security Response

58 Gestion des analyses Gérer des analyses sur votre ordinateur A propos du client et du Centre de sécurité Windows A propos de SONAR Gestion de SONAR sur votre ordinateur client Modification des paramètres SONAR Gérer des analyses sur votre ordinateur Par défaut, le client exécute une analyse active tous les jours. Sur un client géré, il se peut que vous puissiez configurer vos propres analyses, si votre administrateur a rendu ces paramètres disponibles. Un client non géré inclut une analyse active prédéfinie qui est désactivée, mais vous pouvez gérer vos propres analyses. Tableau 4-1 Gestion des analyses Tâche Découvrez la manière dont les analyses fonctionnent Mettez à jour les définitions de virus Vérifiez qu'auto-protect est activé Description Passez en revue les types d'analyses et les types des virus et de risques de sécurité. Se reporter à "Fonctionnement des analyses antivirus et antispyware" à la page 62. Assurez-vous que vous disposez des dernières définitions de virus. Se reporter à "Mise à jour de la protection de l'ordinateur" à la page 41. Auto-Protect est activé par défaut. Vous devriez toujours maintenir Auto-Protect activé. Si vous désactivez Auto-Protect, vous désactivez également Download Insight et vous empêchez SONAR de faire des détections heuristiques. Se reporter à "Activation ou désactivation d'auto-protect" à la page 53. Analysez votre ordinateur Analysez régulièrement votre ordinateur pour y rechercher des virus et des risques de sécurité. Assurez-vous que des analyses s'exécutent régulièrement en vérifiant la date de la dernière analyse. Se reporter à "Analyse immédiate de l'ordinateur" à la page 23. Se reporter à "Planification d'une analyse définie par l'utilisateur" à la page 73. Lors de l'exécution des analyses, vous pourriez voir apparaître une boîte de dialogue de résultats d'analyse. Vous pouvez utiliser la boîte de dialogue de résultats d'analyse pour effectuer des actions sur les éléments détectés lors des analyses. Se reporter à "Réagir à une détection de virus ou de risque" à la page 30. Vous pouvez suspendre une analyse que vous avez démarrée. Sur un client géré, votre administrateur détermine si vous pouvez suspendre une analyse lancée par l'administrateur. Se reporter à "Suspension et report des analyses" à la page 24.

Gestion des analyses Gérer des analyses sur votre ordinateur 59 Tâche Description Réglez les analyses pour améliorer votre puissance de traitement Par défaut, Symantec Endpoint Protection fournit un niveau de sécurité élevé tout en limitant l'impact sur votre puissance de traitement. Vous pouvez personnaliser des paramètres pour augmenter encore davantage la puissance de traitement. Pour les analyses planifiées et à la demande, vous pouvez modifier les options suivantes : Accord d'analyse Définissez l'accord d'analyse sur Meilleures performances de l'application. Fichiers compressés Modifiez le nombre de niveaux pour analyser des fichiers compressés. Analyses pouvant reprendre Vous pouvez spécifier un temps maximum pour qu'une analyse s'exécute. L'analyse reprend quand l'ordinateur est inactif. Analyses sélectionnées de façon aléatoire Vous pouvez spécifier qu'une analyse sélectionne de façon aléatoire son heure de début dans un intervalle d'instant spécifique. Vous pourriez également vouloir désactiver les analyses de démarrage ou modifier la planification de vos analyses planifiées. Se reporter à "Personnalisation des paramètres d'analyse antivirus et antispyware" à la page 82. Se reporter à "Planification d'une analyse définie par l'utilisateur" à la page 73.

60 Gestion des analyses Gérer des analyses sur votre ordinateur Tâche Description Réglez les analyses pour augmenter la protection sur votre ordinateur Dans la plupart des cas, les paramètres d'analyse par défaut assurent une protection appropriée pour votre ordinateur. Dans certains cas vous pourriez vouloir augmenter la protection. Si vous augmentez la protection, vous pourriez affecter votre puissance de traitement. Pour les analyses planifiées et à la demande, vous pouvez modifier les options suivantes : Performances d'analyse Définissez l'accord d'analyse sur Meilleures performances d'analyse. Actions d'analyse Modifiez les actions correctives qui se produisent quand un virus est détecté. Durée de l'analyse Par défaut, les analyses planifiées s'exécutent jusqu'à ce que l'intervalle spécifié expire et reprennent quand l'ordinateur client est inactif. Vous pouvez définir la durée d'analyse à Analyser jusqu'à la fin. Consultation Insight Vous devez vous assurer que la fonction Consultation Insight est activée. Les paramètres de Consultation Insight sont semblables aux paramètres de Download Insight. Augmenter le niveau de protection Bloodhound. Bloodhound localise et isole les régions logiques d'un fichier pour détecter le comportement de type viral. Vous pouvez modifier le niveau de détection de Automatique à Agressif pour augmenter la protection sur votre ordinateur. Le paramètre Agressif est toutefois susceptible de produire plus de faux positifs. Se reporter à "Personnalisation des paramètres d'analyse antivirus et antispyware" à la page 82. Identifier les exceptions d'analyse. Soumettez les informations relatives aux détections à Symantec Excluez de l'analyse un fichier ou un processus sûr. Se reporter à "Exclusion d'éléments des analyses" à la page 91. Par défaut, votre ordinateur client envoie les informations relatives aux détections à Symantec Security Response. Vous pouvez désactiver les soumissions ou choisir quels genres d'informations soumettre. Symantec recommande de toujours activer les soumissions. Les informations aident Symantec à traiter les menaces. Se reporter à "Envoi des informations concernant les détections à Symantec Security Response" à la page 101.

Gestion des analyses Gérer des analyses sur votre ordinateur 61 Tâche Gérer les fichiers mis en quarantaine. Description Symantec Endpoint Protection met en quarantaine les fichiers infectés et les déplace vers un emplacement où le fichier n'infecte pas d'autres fichiers de l'ordinateur. Si un fichier mis en quarantaine ne peut pas être réparé, vous devez décider que faire de ce fichier. Vous pouvez également effectuer les actions suivantes : Supprimer un fichier mis en quarantaine s'il existe un fichier de sauvegarde ou si un fichier de remplacement est fourni par une source fiable. Laisser les fichiers comportant des infections inconnues en quarantaine jusqu'à ce que Symantec publie de nouvelles définitions de virus. Vérifier régulièrement les fichiers mis en quarantaine pour empêcher que trop de fichiers s'accumulent. Vérifier les fichiers mis en quarantaine quand une nouvelle propagation de virus apparaît sur le réseau. Se reporter à "Gestion des fichiers en quarantaine sur votre ordinateur client" à la page 93. Se reporter à "A propos de la mise en quarantaine de fichiers" à la page 95. Tableau 4-2 affiche les paramètres d'analyse supplémentaires que vous pouvez modifier si vous voulez augmenter la protection, améliorer les performances ou réduire les faux positifs. Tableau 4-2 Paramètres d'analyse Tâche Modifiez les paramètres d'auto-protect pour améliorer votre puissance de traitement ou augmenter la protection Description Pour Auto-Protect, vous pourriez vouloir modifier les options suivantes : Cache de fichier Assurez-vous que le cache de fichier est activé (le paramètre par défaut est activé). Quand le cache de fichier est activé, Auto-Protect se souvient des fichiers propres qu'il a analysés et ne les analyse pas à nouveau. Paramètres réseau Quand Auto-Protect est activé sur des ordinateurs distants, assurez-vous que Uniquement lors de l'exécution des fichiers est activé. Vous pouvez également indiquer qu'auto-protect fait confiance aux fichiers sur des ordinateurs distants et utilise un cache réseau. Par défaut, Auto-Protect analyse les fichiers pendant leur écriture depuis votre ordinateur vers un ordinateur distant. Auto-Protect analyse également les fichiers pendant leur écriture à partir d'un ordinateur distant vers votre ordinateur. Ce cache réseau stocke un enregistrement des fichiers qu'auto-protect a analysés à partir d'un ordinateur distant. En utilisant un cache réseau, vous empêchez Auto-Protect d'analyser le même fichier plusieurs fois. Se reporter à "Personnalisation des paramètres d'analyse antivirus et antispyware" à la page 82.

62 Gestion des analyses Fonctionnement des analyses antivirus et antispyware Tâche Gestion des détections ELAM Description Vous pourriez vouloir activer ou désactiver la détection des logiciels malveillants au démarrage (ELAM) du client si vous pensez qu'elam affecte les performances de votre ordinateur. Vous pouvez également vouloir remplacer le paramètre de détection par défaut si vous obtenez beaucoup de détections ELAM de faux positifs. Se reporter à "Activation ou désactivation de la détection des logiciels malveillants au démarrage (ELAM)" à la page 98. Gérer les détections de Download Insight Download Insight examine les fichiers que vous essayez de télécharger depuis vos navigateurs Web, clients de messagerie et autres portails. Download Insight utilise les informations de Symantec Insight, qui collectent les informations concernant la réputation de fichier. Download Insight utilise l'estimation de la réputation d'un fichier pour autoriser ou bloquer un fichier ou inviter l'utilisateur à agir sur le fichier. Se reporter à "Gérer des détections de Download Insight sur votre ordinateur" à la page 78. Gérer SONAR Vous pouvez régler les paramètres pour SONAR. Se reporter à "Gestion de SONAR sur votre ordinateur client" à la page 104. Fonctionnement des analyses antivirus et antispyware Le analyses contre les virus et les spywares identifient et neutralisent ou éliminent des virus et des risques de sécurité sur vos ordinateurs. Une analyse élimine un virus ou un risque en procédant comme suit : Le moteur d'analyse parcourt les fichiers et d'autres composants de l'ordinateur pour détecter des traces de virus dans les fichiers. Chaque virus dispose d'une configuration reconnaissable appelée signature. Un fichier de définitions de virus contenant des signatures de virus connues, sans code de virus néfaste est installé sur l'ordinateur client. Le moteur d'analyse compare chaque fichier ou composant au fichier de définitions de virus. Si le moteur d'analyse trouve une correspondance, le fichier est infecté. Les fichiers de définitions permettent au moteur d'analyse de déterminer si un virus ou un risque a causé l'infection. Le moteur d'analyse prend alors une action de correction sur le fichier infecté. Pour réparer le fichier infecté, le client nettoie, supprime ou met le fichier en quarantaine. Se reporter à "Comment les analyses réagissent à la détection d'un virus ou d'un risque" à la page 71. Remarque : Symantec Endpoint Protection ne met en quarantaine ou ne nettoie aucun risque qui est détecté dans des applis de style Windows 8. Symantec Endpoint Protection supprime le risque à la place.

Gestion des analyses Fonctionnement des analyses antivirus et antispyware 63 Tableau 4-3 décrit les composants que le client analyse sur l'ordinateur. Tableau 4-3 Composant Composants de l'ordinateur analysés par le client Description Fichiers sélectionnés Le client analyse des fichiers individuels. Dans la plupart des types d'analyse, vous pouvez sélectionner les fichiers à analyser. Le logiciel client utilise une analyse basée sur des modèles pour rechercher les traces de virus dans les fichiers. Les traces des virus sont appelées modèles ou signatures. Chaque fichier est comparé à des signatures inoffensives contenues dans un fichier de définitions de virus, ce qui permet de détecter des virus spécifiques. Si un virus est détecté, le client tente, par défaut, de le supprimer du fichier infecté. Si le fichier ne peut pas être nettoyé, le client le place en quarantaine pour éviter de contaminer les autres fichiers de votre ordinateur. Le client utilise également une analyse basée sur des modèles pour rechercher des symptômes de risques de sécurité dans les fichiers et les clés de registre de Windows. Si un risque de sécurité existe, le client, par défaut, met les fichiers infectés en quarantaine et répare les effets du risque. Si le client ne peut pas mettre en quarantaine les fichiers, il consigne la tentative. Mémoire de l'ordinateur Secteur de démarrage Lecteur de disquette Le client analyse la mémoire de l'ordinateur. Tous les virus de fichier, virus de secteur de démarrage et virus de macro sont susceptibles de résider en mémoire. Les virus qui se trouvent en mémoire se sont copiés eux-mêmes dans la mémoire de l'ordinateur. Un virus peut se dissimuler en mémoire jusqu'à ce qu'un événement déclencheur se produise. Le virus peut alors infecter une disquette insérée dans le lecteur ou s'étendre au disque dur. Si un virus est dans la mémoire, il ne peut pas être nettoyé. Vous pouvez toutefois supprimer un virus de la mémoire en redémarrant l'ordinateur quand un message vous le propose. La client recherche les virus de secteur de démarrage dans le secteur de démarrage de l'ordinateur. Deux éléments sont vérifiés : les tables de partitions et la zone d'enregistrement de démarrage principal. Les disquettes constituent une source courante de propagation des virus. Une disquette peut se trouver dans le lecteur au moment du démarrage ou de l'arrêt de votre ordinateur. Au démarrage d'une analyse, le client analyse le secteur de démarrage et les tables de partitions de toute disquette se trouvant dans le lecteur. Lorsque vous éteignez votre ordinateur, vous êtes invité à retirer la disquette pour éviter tout risque d'infection.

64 Gestion des analyses Fonctionnement des analyses antivirus et antispyware A propos des virus et des risques de sécurité Symantec Endpoint Protection effectue une analyse à la recherche de virus et de risques de sécurité. Les risques de sécurité incluent les spywares, les logiciels publicitaires, les rootkits ou autres fichiers qui peuvent rendre un ordinateur ou un réseau vulnérable. Les virus et les risques de sécurité peuvent être véhiculés par des messages électroniques ou des programmes de messagerie instantanée. Vous pouvez télécharger un risque sans le savoir en acceptant un contrat de licence utilisateur d'un logiciel. De nombreux virus et risques de sécurité sont installés par téléchargements "embarqués". Ces téléchargements se produisent généralement lorsque vous visitez des sites Web malveillants ou infectés. L'outil de téléchargement de l'application les installe en exploitant une vulnérabilité légitime de votre ordinateur. Vous pouvez afficher des informations à propos de risques spécifiques de l'information sur Site Web Symantec Security Response. Le site Web de Symantec Security Response fournit les informations les plus récentes sur les menaces et les risques de sécurité. Ce site contient également des données de référence exhaustives, comme des documents techniques, et des informations détaillées concernant les virus et les risques de sécurité. Se reporter à "Comment les analyses réagissent à la détection d'un virus ou d'un risque" à la page 71. Figure 4-1 Comment les virus et les risques de sécurité attaquent un ordinateur Autres ordinateurs, partages de fichiers réseau Virus, programmes malveillants et risques de sécurité Internet Virus, programmes malveillants et risques de sécurité Lecteur flash USB Courrier électronique, messagerie instantanée Virus, programmes malveillants et risques de sécurité Ordinateur client

Gestion des analyses Fonctionnement des analyses antivirus et antispyware 65 Tableau 4-4 répertorie le type des virus et de risques qui peuvent attaquer un ordinateur. Tableau 4-4 Virus et risques de sécurité Risque Virus Description Programmes ou code qui ajoutent une copie d'eux-mêmes à un autre programme ou fichier, au moment de leur exécution. Quand le programme infecté s'exécute, le programme de virus joint s'active et s'ajoute à d'autres programmes et fichiers. Les types suivants de menaces appartiennent à la catégorie des virus : Robots Web malveillants Programmes qui exécutent des tâches automatisées via Internet. Des robots Web peuvent être utilisés pour automatiser des attaques sur des ordinateurs ou pour collecter des informations de sites Web. Vers Programmes qui se reproduisent sans infecter d'autres programmes. Certains vers se propagent en se copiant d'un disque à un autre, alors que d'autres se répliquent dans la mémoire pour réduire la puissance de traitement. Chevaux de Troie Programmes dissimulés dans un élément inoffensif, comme un jeu ou un utilitaire. Menaces combinées Menaces qui combinent les caractéristiques des virus, des vers, des chevaux de Troie et des codes malveillants avec les vulnérabilités de serveur et d'internet pour lancer, transmettre et propager une attaque. Les menaces combinées utilisent plusieurs méthodes et techniques pour se propager rapidement et causer des dommages étendus. Rootkits Programmes qui essayent de se masquer vis-à-vis du système d'exploitation d'un ordinateur. Logiciel de publicité Composeurs Outils de piratage Programmes blagues Programmes qui délivrent un contenu publicitaire. Programmes qui utilisent un ordinateur, sans permission de l'utilisateur ou à son insu, pour composer par Internet un numéro 900 ou accéder à un site FTP. Habituellement, ces numéros sont composés pour engendrer des frais. Programmes que le pirate utilise pour obtenir un accès non autorisé à l'ordinateur d'un utilisateur. Une exemple est un programme d'enregistrement automatique des frappes qui piste et enregistre chaque frappe au clavier et envoie ces informations au pirate. Le pirate peut ensuite effectuer des analyses de port ou de vulnérabilité. Les outils de piratage peuvent également servir à créer des virus. Programmes qui altèrent ou interrompent le fonctionnement d'un ordinateur d'une manière qui se veut amusante ou effrayante. Par exemple, un programme blague peut déplacer la corbeille à chaque fois que le curseur de la souris s'en approche lorsque l'utilisateur cherche à supprimer un élément.

66 Gestion des analyses Fonctionnement des analyses antivirus et antispyware Risque Applications trompeuses Programmes de contrôle parentaux Programmes d'accès distant Outil d'évaluation de la sécurité spyware logiciel de pistage Description Applications qui donnent intentionnellement une idée incorrecte de l'état de sécurité d'un ordinateur. Ces applications se présentent généralement sous la forme de notifications de sécurité qui signalent de fausses infections à supprimer. Programmes qui contrôlent ou limitent l'utilisation de l'ordinateur. Les programmes peuvent s'exécuter sans être détecté et transmettent généralement des informations de contrôle à un autre ordinateur. Programmes permettant un accès par Internet à partir d'un autre ordinateur afin d'obtenir des informations ou d'attaquer voire d'altérer votre ordinateur. Programmes utilisés pour recueillir des informations permettant d'obtenir un accès non autorisé à un ordinateur. Programmes autonomes pouvant surveiller secrètement les activités du système et détecter des informations comme les mots de passe et autres informations confidentielles et retransmettre ces informations à un autre ordinateur. Applications autonomes ou ajoutées qui suivent l'itinéraire d'un utilisateur sur Internet et envoient les informations au contrôleur ou au système du pirate. A propos des types d'analyse Symantec Endpoint Protection inclut différents types d'analyses pour assurer la protection contre différents types de virus, de menaces et de risques. Par défaut, Symantec Endpoint Protection exécute une analyse Active Scan chaque jour à 12h30. Symantec Endpoint Protection exécute également une analyse Active Scan quand de nouvelles définitions arrivent sur l'ordinateur client. Sur les ordinateurs non gérés, Symantec Endpoint Protection inclut également une analyse de démarrage par défaut qui est désactivée. Sur les clients non gérés, vous devriez vous assurer que vous exécutez une analyse active quotidienne sur votre ordinateur. Vous pourriez vouloir planifier une analyse complète une fois par semaine ou une fois par mois si vous suspectez la présence d'une menace inactive sur votre ordinateur. Les analyses complètes consomment davantage de ressources et peuvent affecter la puissance de traitement.

Gestion des analyses Fonctionnement des analyses antivirus et antispyware 67 Tableau 4-5 Types d'analyse Type d'analyse Auto-Protect Description Auto-Protect examine en permanence les fichiers et les données de courrier électronique lors de leur écriture et de leur lecture sur un ordinateur. Auto-Protect neutralise ou élimine automatiquement les virus et les risques de sécurité détectés. Auto-Protect protège également les courriers électroniques que vous pourriez envoyer ou recevoir. Se reporter à "Types d'auto-protect" à la page 68. Download Insight Download Insight amplifie la sécurité d'auto-protect en examinant les fichiers quand les utilisateurs essayent de les télécharger depuis les navigateurs Web et autres portails. Download Insight utilise les informations de Symantec Insight, qui collectent les informations de millions d'utilisateurs pour déterminer les réputations de sécurité des fichiers de la communauté. Download Insight utilise l'estimation de la réputation d'un fichier pour autoriser ou bloquer un fichier ou inviter l'utilisateur à agir sur le fichier. Download Insight fonctionne en tant qu'élément d'auto-protect et nécessite que Auto-Protect soit activé. Si vous désactivez Auto-Protect mais activez Download Insight, Download Insight ne peut pas fonctionner. Se reporter à "Utilisation par Symantec Endpoint Protection des données de réputation pour prendre des décisions au sujet de fichiers" à la page 72.

68 Gestion des analyses Fonctionnement des analyses antivirus et antispyware Type d'analyse Analyses d'administrateur et analyses définies par l'utilisateur Description Pour les clients gérés, votre administrateur peut créer des analyses planifiées ou exécuter des analyses à la demande. Pour les clients non gérés ou les clients gérés pour lesquels des paramètres d'analyse sont déverrouillés, vous pouvez créer et exécuter vos propres analyses. Les analyses d'administrateur ou définies par l'utilisateur détectent les virus et les risques de sécurité en examinant tous les fichiers et les processus sur l'ordinateur client. Ces types d'analyse peuvent également examiner les points de mémoire et de chargement. Les types suivants d'analyses d'administrateur ou définies par l'utilisateur sont disponibles : Analyses planifiées Une analyse planifiée s'exécute sur les ordinateurs client à des heures indiquées. Toutes les analyses planifiées simultanément s'exécutent séquentiellement. Si un ordinateur est désactivé pendant une analyse planifiée, l'analyse ne s'exécute pas à moins qu'elle ne soit configurée pour redémarrer s'il elle n'a pas eu lieu. Vous pouvez planifier une analyse active, complète ou personnalisée. Vous pouvez enregistrer vos paramètres d'analyse planifiée comme modèle. Vous pouvez utiliser toute analyse que vous enregistrez comme modèle comme base pour une analyse différente. Les modèles d'analyse peuvent vous permettre d'économiser du temps lorsque vous configurez plusieurs politiques. Un modèle d'analyse planifiée est inclus par défaut dans la politique. L'analyse planifiée par défaut analyse tous les fichiers et dossiers. Analyses de démarrage et analyses déclenchées Les analyses de démarrage s'exécutent quand les utilisateurs ouvrent une session sur les ordinateurs. Les analyses déclenchées s'exécutent quand de nouvelles définitions de virus sont téléchargées sur l'ordinateur. Analyses à la demande Les analyses sur demande sont des analyses que vous démarrez manuellement. Vous pouvez exécuter des analyses à la demande à partir de la page Rechercherlesmenaces. Se reporter à "Fonctionnement des analyses antivirus et antispyware" à la page 62. SONAR SONAR peut arrêter des attaques avant même que les définitions standard basées sur les signatures détectent une menace. SONAR utilise des heuristiques ainsi que les données de réputation de fichier pour prendre des décisions à propos des applications et des fichiers. Se reporter à "A propos de SONAR" à la page 103. Se reporter à "Gérer des analyses sur votre ordinateur" à la page 58. Types d'auto-protect Auto-Protect analyse les fichiers ainsi que certains types de messages électroniques et de pièces jointes.

Gestion des analyses Fonctionnement des analyses antivirus et antispyware 69 Si votre ordinateur client exécute d'autres produits de protection de messagerie, tels que Symantec Mail Security, il se peut que vous ne deviez pas activer Auto-Protect pour le courrier électronique. Auto-Protect fonctionne uniquement avec votre client de messagerie pris en charge. Il ne protège pas les serveurs de messagerie. Remarque : Si un virus est détecté lorsque vous ouvrez un message électronique, l'ouverture de celui-ci peut demander quelques secondes, le temps que Symantec AntiVirus en termine l'analyse. Tableau 4-6 Types d'auto-protect Type d'auto-protect Auto-Protect Description Analyse en continu les fichiers lorsqu'ils sont lus ou enregistrés sur votre ordinateur. Auto-Protect est activé par défaut pour le système de fichiers. Il se charge au démarrage de l'ordinateur. Il examine tous les fichiers pour y rechercher les virus et les risques de sécurité et bloque l'installation des risques de sécurité. Il peut le cas échéant analyser des fichiers par extension de fichier, analyser des fichiers sur des ordinateurs distants et analyser des disquettes pour y rechercher des virus de secteur de démarrage. Il peut le cas échéant sauvegarder des fichiers avant d'essayer de les réparer et mettre fin à des processus et à des services. Vous pouvez configurer Auto-Protect pour analyser seulement des extensions de fichier choisies. Quand il analyse des extensions sélectionnées, Auto-Protect peut également déterminer le type d'un fichier même si un virus modifie l'extension de fichier. Si vous n'exécutez pas Auto-Protect pour le courrier électronique, vos ordinateurs client restent protégés quand Auto-Protect est activé. La plupart des applications de courrier électronique enregistrent des pièces jointes sur un dossier temporaire lorsque les utilisateurs joignent des pièces à un message électronique. Auto-Protect analyse le fichier pendant son enregistrement sur le dossier temporaire et détecte tout virus ou risque de sécurité. Auto-Protect détecte également le virus si l'utilisateur essaye d'enregistrer une pièce jointe infectée sur un lecteur local ou un lecteur réseau.

70 Gestion des analyses Fonctionnement des analyses antivirus et antispyware Type d'auto-protect Auto-Protect pour le courrier électronique Internet Description Recherche la présence de virus ou de risques de sécurité dans le courrier électronique Internet (POP3 ou SMTP) ; effectue également une analyse heuristique du courrier électronique sortant. Par défaut, Auto-Protect pour le courrier électronique Internet prend en charge les mots de passe chiffrés et le courrier électronique POP3 et SMTP. Si vous utilisez POP3 ou SMTP avec Secure Sockets Layer (SSL), le client détecte les connexions sécurisées mais n'analyse pas les messages chiffrés. Remarque : Pour des raisons de performance, Auto-Protect pour le courrier électronique Internet via POP3 n'est pas pris en charge sur les systèmes d'exploitation serveur. L'analyse de la messagerie Internet n'est pas non plus prise en charge sur les ordinateurs 64 bits. L'analyse du courrier électronique ne prend pas en charge le courrier électronique basé sur IMAP, AOL ou HTTP tel que Hotmail ou Yahoo! Mail. Auto-Protect pour Microsoft Outlook Recherche la présence de virus et risques de sécurité dans le courrier électronique (MAPI et Internet) et les pièces jointes de Microsoft Outlook. Prise en charge de Microsoft Outlook 98/2000/2002/2003/2007/2010 (MAPI et Internet) Si Microsoft Outlook est déjà installé sur l'ordinateur quand vous effectuez une installation de logiciel client, le logiciel client détecte l'application de messagerie. Le client installe automatiquement Auto-Protect pour Microsoft Outlook. Si vous utilisez Microsoft Outlook via MAPI ou client Microsoft Exchange et Auto-Protect est activé pour le courrier électronique, alors les pièces jointes sont immédiatement téléchargées. Les pièces jointes sont analysées quand vous ouvrez la pièce jointe. Si vous téléchargez une pièce jointe volumineuse sur une connexion lente, les performances de la messagerie sont affectées. Vous pouvez désactiver cette fonction si vous recevez souvent des pièces jointes de grande taille. Remarque : Sur un serveur Microsoft Exchange, vous ne devriez pas installer Auto-Protect pour Microsoft Outlook. Auto-Protect pour Lotus Notes Recherche la présence de virus et risques de sécurité dans le courrier électronique et les pièces jointes de Lotus Notes. Pris en charge pour Lotus Notes 4.5 à 8.x. Si Lotus Notes est déjà installé sur l'ordinateur quand vous effectuez une installation de logiciel client, le logiciel client détecte l'application de messagerie. Le client installe automatiquement Auto-Protect pour Lotus Notes.

Gestion des analyses Fonctionnement des analyses antivirus et antispyware 71 Comment les analyses réagissent à la détection d'un virus ou d'un risque Quand les virus et les risques de sécurité infectent des fichiers, le client réagit aux types de menace de différentes manières. Pour chaque type de menace, le client utilise une première action, puis applique une deuxième action si la première action échoue. Tableau 4-7 Type de menace Virus Comment une analyse réagit aux virus et aux risques de sécurité Action Par défaut, quand le client détecte un virus, le client : Essaye d'abord de nettoyer le virus à partir du fichier infecté. Si le client nettoie le fichier, il supprime complètement le risque de votre ordinateur. Si le client ne peut pas nettoyer le fichier, il consigne l'échec et place le fichier infecté en quarantaine. Se reporter à "A propos de la mise en quarantaine de fichiers" à la page 95. Remarque : Symantec Endpoint Protection ne met pas en quarantaine un virus qui est détecté dans des applis et fichiers de style Windows 8. Symantec Endpoint Protection supprime le virus à la place. Risque de sécurité Par défaut, quand le client détecte un risque de sécurité : Il met en quarantaine le fichier infecté. Il essaye de supprimer ou de réparer toutes les modifications que le risque de sécurité a effectuées. Si le client ne peut pas mettre en quarantaine un risque de sécurité, il consigne le risque et le laisse inchangé. Dans certains cas, vous pouvez installer sans le savoir une application incluant un risque de sécurité tel qu'un logiciel publicitaire ou un spyware. Si Symantec a déterminé que mettre en quarantaine le risque ne nuit pas à l'ordinateur, alors le client met le risque en quarantaine. Si le client met le risque en quarantaine immédiatement, son action peut laisser l'ordinateur dans un état instable. Au lieu de cela, le client attend que l'installation d'application soit terminée avant de mettre le risque en quarantaine. Il répare ensuite les effets du risque. Remarque : Symantec Endpoint Protection ne met pas en quarantaine un risque de sécurité qui est détecté dans des applis et fichiers de style Windows 8. Symantec Endpoint Protection supprime le risque à la place.

72 Gestion des analyses Fonctionnement des analyses antivirus et antispyware Pour chaque type d'analyse, vous pouvez modifier les paramètres pour la façon dont le client traite les virus et les risques de sécurité. Vous pouvez définir différentes actions pour chaque catégorie de risque et pour des risques de sécurité individuels. Utilisation par Symantec Endpoint Protection des données de réputation pour prendre des décisions au sujet de fichiers Symantec collecte des informations sur des fichiers à partir de sa communauté globale de millions d'utilisateurs et de son réseau Global Intelligence Network. Les informations collectées forment une base de données de réputation hébergée par Symantec. Les produits Symantec exploitent ces informations pour protéger les ordinateurs client contre des menaces nouvelles, ciblées et en cours de mutation. Les données sont parfois mentionnées comme étant "dans le nuage" puisqu'elles ne résident pas sur l'ordinateur client. L'ordinateur client doit adresser une demande ou une requête à la base de données de réputation. Symantec utilise une technologie appelée Insight afin de déterminer le niveau de risque ou l'évaluation de la sécurité de chaque fichier. Insight détermine l'évaluation de sécurité d'un fichier en examinant les caractéristiques suivantes du fichier et de son contexte : la source du fichier, l'âge du fichier, la fréquence d'apparition du fichier dans la communauté, d'autres mesures de sécurité, telles que la façon dont le fichier pourrait être associé à des logiciels malveillants. Les fonctions d'analyse de Symantec Endpoint Protection influencent Insight pour prendre des décisions concernant les fichiers et applications. Protection contre les virus et les logiciels espions inclut une fonction appelée Download Insight. Cette fonction s'appuie sur les informations de réputation pour effectuer des détections. Si vous désactivez les consultations Insight, Download Insight s'exécute mais ne peut pas effectuer de détections. Les autres fonctions de protection, telles que Consultation Insight et SONAR, utilisent les informations de réputation pour effectuer des détections ; cependant, ces fonctions peuvent utiliser d'autres technologies pour effectuer des détections. Par défaut, un ordinateur client envoie des informations sur les détections de réputation à Symantec Security Response pour analyse. Les informations aident à affiner la base de données de la réputation d'insight. Plus les clients qui soumettent des informations sont nombreux, plus la base de données de réputation est utile.

Gestion des analyses Planification d'une analyse définie par l'utilisateur 73 Vous pouvez désactiver la transmission des informations de réputation. Symantec recommande, toutefois, de maintenir activées les transmissions. Les ordinateurs client soumettent également d'autres types d'informations sur les détections à Symantec Security Response. Se reporter à "Gérer des détections de Download Insight sur votre ordinateur" à la page 78. Se reporter à "Envoi des informations concernant les détections à Symantec Security Response" à la page 101. Planification d'une analyse définie par l'utilisateur Une analyse planifiée est un élément important de la protection contre les menaces et les risques de sécurité. Vous devez planifier une analyse pour exécution au moins une fois par semaine pour garantir que votre ordinateur reste exempt de virus et de risques de sécurité. Lorsque vous créez une analyse, celle-ci s'affiche dans la liste d'analyses, dans le volet Rechercher les menaces. Remarque : Si votre administrateur a créé une analyse planifiée, elle s'affiche dans la liste d'analyses, dans le volet Rechercher les menaces. Votre ordinateur doit être sous tension et les services Symantec Endpoint Protection doivent être chargés au moment planifié pour le déroulement de l'analyse. Par défaut, les services Symantec Endpoint Protection sont chargés au redémarrage de l'ordinateur. Pour les clients gérés, l'administrateur peut remplacer ces paramètres. Se reporter à "Analyse immédiate de l'ordinateur" à la page 23. Se reporter à "Gérer des analyses sur votre ordinateur" à la page 58. Considérez les aspects importants suivants quand vous installez une analyse planifiée : Les analyses définies par l'utilisateur ne requièrent pas la connexion de l'utilisateur Si l'utilisateur qui a défini une analyse n'est pas connecté, Symantec Endpoint Protection exécute l'analyse de toute façon. Vous pouvez spécifier que le client ne doit pas exécuter l'analyse si l'utilisateur est déconnecté.

74 Gestion des analyses Planification d'une analyse définie par l'utilisateur Plusieurs analyses simultanées s'exécutent successivement Si vous planifiez plusieurs analyses pour le même ordinateur et que les analyses commencent en même temps, elles s'exécutent successivement. La fin d'une analyse enclenche le commencement d'une autre. Par exemple, vous pouvez planifier l'exécution de trois analyses séparées sur l'ordinateur à 13 h 00. Chaque analyse porte sur un lecteur différent. L'une analyse le lecteur C. Une autre le lecteur D. Une autre le lecteur E. Dans cet exemple, il est préférable de créer une analyse planifiée analysant les lecteurs C, D et E. Les analyses planifiées manquées ne pourraient pas fonctionner L'heure de l'analyse planifiée pourrait dériver Si votre ordinateur manque une analyse planifiée pour quelque raison, Symantec Endpoint Protection essaye par défaut d'exécuter l'analyse jusqu'à ce qu'elle démarre ou jusqu'à ce qu'un délai spécifique expire. Si Symantec Endpoint Protection ne peut pas démarrer l'analyse au cours de cet intervalle avant une nouvelle tentative, il n'effectue pas l'analyse. Symantec Endpoint Protection peut ne pas utiliser l'heure planifiée si la dernière exécution de l'analyse s'est produite à une heure différente en raison de la durée de l'analyse ou des paramètres de l'analyse planifiée manquée. Par exemple, vous pouvez configurer une analyse hebdomadaire à exécuter tous les dimanches à minuit et un intervalle avant nouvelle tentative égale à une journée. Si l'ordinateur manque l'analyse et démarre le lundi à 6 h du matin, l'analyse s'exécute à 6 h du matin. La prochaine analyse est exécutée une semaine plus tard à compter du lundi à 6 h plutôt que le dimanche suivant à minuit. Si vous ne redémarrez pas votre ordinateur avant mardi à 6h du matin (retard de deux jours et dépassement de l'intervalle avant nouvelle tentative), Symantec Endpoint Protection ne réessaye pas l'analyse. Symantec Endpoint Protection attend jusqu'au dimanche suivant à minuit pour essayer d'exécuter l'analyse. Dans l'un ou l'autre cas, si vous sélectionnez de façon aléatoire l'heure de début d'analyse, vous pouvez modifier l'heure de la dernière exécution de l'analyse. Pour plus d'informations sur les options de chaque boîte de dialogue, cliquez sur Aide.

Gestion des analyses Planification d'une analyse définie par l'utilisateur 75 Pour planifier une analyse définie par l'utilisateur 1 Dans le client, dans la barre latérale, cliquez sur Rechercher les menaces. 2 Cliquez sur Créer une analyse. 3 Dans la boîte de dialogue Créer une analyse (éléments à analyser), sélectionnez l'un des types d'analyse suivants à planifier : Active Scan Analyse les zones de l'ordinateur que les virus et les risques de sécurité infectent le plus généralement. Vous devriez exécuter une analyse active chaque jour. Analyse complète Analyse l'ordinateur entier pour rechercher les virus et les risques de sécurité. Vous pourriez vouloir exécuter une analyse complète une fois par semaine ou une fois par mois. Les analyses complètes pourraient affecter les performances de l'ordinateur. Analyse personnalisée Analyse les zones sélectionnées de l'ordinateur pour rechercher les virus et les risques de sécurité. 4 Cliquez sur Suivant. 5 Si vous avez sélectionné Analyse personnalisée, cochez les cases appropriées pour spécifier les emplacements à analyser, puis cliquez sur Suivant. Les symboles ont les descriptions suivantes : Le fichier, lecteur ou dossier n'est pas sélectionné. S'il s'agit d'un lecteur ou d'un dossier, son contenu (fichiers ou dossiers) n'est pas non plus sélectionné. Le fichier ou dossier individuel est sélectionné. Le dossier ou le lecteur individuel est sélectionné. Tous les éléments contenus dans le dossier ou le lecteur sont également sélectionnés. Le dossier ou le lecteur n'est pas sélectionné, mais un ou plusieurs des éléments qu'il contient le sont.

76 Gestion des analyses Planification d'une analyse définie par l'utilisateur 6 Dans la boîte de dialogue Créer une analyse options d'analyse, vous pouvez modifier l'une des options suivantes : Types de fichier Actions Notifications Avancé Améliorations de l'analyse Modifiez les extensions de fichier que le client analyse. Le paramètre par défaut consiste à analyser tous les fichiers. Sélectionnez l'action principale et l'action secondaire à effectuer quand des virus et des risques de sécurité sont détectés. Définissez un message à afficher quand un virus ou un risque de sécurité est trouvé. Vous pouvez également définir si vous voulez être notifié avant que les actions de résolution n'interviennent. Modifiez des fonctions d'analyse supplémentaires, telles que l'affichage de la boîte de dialogue des résultats de l'analyse. Modifie les composants d'ordinateur que le client analyse. Les options disponibles dépendent des éléments sélectionnés dans l'étape 3. 7 Cliquez sur Suivant. 8 Dans la boîte de dialogue Créer une analyse moment de l'analyse, cliquez sur Aux heures spécifiées, puis cliquez sur Suivant. Vous pouvez également créer une analyse à la demande ou de démarrage. Se reporter à "Planification d'une analyse à exécuter sur demande ou quand l'ordinateur démarre" à la page 77. 9 Dans la boîte de dialogue Créer une analyse- planification, sous Planification d'analyse, spécifiez la fréquence et l'heure d'analyse, puis cliquez sur Suivant. 10 Sous Durée de l'analyse, vous pouvez spécifier une durée au terme de laquelle l'analyse doit se terminer. Vous pouvez également sélectionner de façon aléatoire l'heure de début d'analyse. 11 Sous Analyses planifiées manquées, vous pouvez spécifier un intervalle pendant lequel une analyse peut être relancée. 12 Dans la boîte de dialogue Créer une analyse nom de l'analyse, saisissez un nom et une description pour l'analyse. Par exemple, désignez l'analyse : vendredi matin 13 Cliquez sur Terminer.

Gestion des analyses Planification d'une analyse à exécuter sur demande ou quand l'ordinateur démarre 77 Planification d'une analyse à exécuter sur demande ou quand l'ordinateur démarre Vous pouvez compléter une analyse planifiée avec une analyse automatique à chaque démarrage de votre ordinateur ou de votre connexion. Généralement, l'analyse au démarrage se limite aux dossiers importants et à haut risque, comme le dossier Windows et les dossiers contenant les modèles Word et Excel. Si vous analysez régulièrement le même ensemble de fichiers ou de dossiers, vous pouvez créer une analyse limitée aux éléments concernés. A tout moment, vous pouvez rapidement vérifier que les fichiers et les dossiers indiqués sont exempts de virus et d'autres risques de sécurité. Vous devez exécuter manuellement les analyses sur demande. Si vous créez plusieurs analyses au démarrage, elles seront exécutées dans l'ordre de leur création. Votre administrateur a peut-être configuré le client de sorte que vous ne puissiez pas créer une analyse au démarrage. Se reporter à "Analyse immédiate de l'ordinateur" à la page 23. Pour plus d'informations sur les options de chaque boîte de dialogue, cliquez sur Aide. Pour planifier une analyse à exécuter sur demande ou au démarrage de l'ordinateur 1 Dans le client, dans la barre latérale, cliquez sur Rechercher les menaces. 2 Cliquez sur Créer une analyse. 3 Spécifiez les éléments à analyser et toutes les options de l'analyse planifiée. Se reporter à "Planification d'une analyse définie par l'utilisateur" à la page 73. 4 Dans la boîte de dialogue de Créeruneanalyse-momentdel'exécution) pour effectuer l'une des opérations suivantes : Cliquez sur Au démarrage. Cliquez sur A la demande. 5 Cliquez sur Suivant. 6 Dans la boîte de dialogue Créer une analyse - nom de l'analyse, saisissez un nom et une description pour l'analyse. Par exemple, désignez l'analyse : MonAnalyse1 7 Cliquez sur Terminer.

78 Gestion des analyses Gérer des détections de Download Insight sur votre ordinateur Gérer des détections de Download Insight sur votre ordinateur Auto-Protect inclut une fonction appelée Download Insight, qui examine les fichiers que vous essayez de télécharger via des navigateurs Web, clients de messagerie textuelle et autres portails. Auto-Protect doit être activé pour que Download Insight fonctionne. Les portails pris en charge incluent Internet Explorer, Firefox, Microsoft Outlook, Outlook Express, Windows Live Messenger et Yahoo Messenger. Remarque : Dans le journal de risque, les détails de risque pour une détection de Download Insight affichent seulement la première application de portail qui a essayé le téléchargement. Par exemple, vous pourriez utiliser Internet Explorer pour essayer de télécharger un fichier que Download Insight détecte. Si vous utilisez ensuite Firefox pour essayer de télécharger le fichier, le champ Téléchargé par dans les détails de risque affiche Internet Explorer comme portail. Remarque : Auto-Protect peut également analyser les fichiers que les utilisateurs reçoivent en tant que pièces jointes. Tableau 4-8 Gérer des détections de Download Insight sur votre ordinateur Tâche Apprenez comment Download Insight utilise les données de réputation pour prendre des décisions concernant les fichiers Description Download Insight détermine qu'un fichier téléchargé pourrait être un risque en fonction de preuves concernant la réputation du fichier. Download Insight utilise les informations de réputation exclusivement quand il prend des décisions concernant les fichiers téléchargés. Cette fonction n'utilise pas les signatures ou les règles heuristiques pour prendre des décisions. Si Download Insight autorise un fichier, Auto-Protect ou SONAR analyse le fichier lorsque l'utilisateur ouvre ou exécute le fichier. Se reporter à "Utilisation par Symantec Endpoint Protection des données de réputation pour prendre des décisions au sujet de fichiers" à la page 72.

Gestion des analyses Gérer des détections de Download Insight sur votre ordinateur 79 Tâche Répondre aux détections de Download Insight Description Vous pourriez voir des notifications quand Download Insight fait une détection. Pour les clients gérés, votre administrateur pourrait choisir de désactiver les notifications de détection de Download Insight. Lorsque les notifications sont activées, vous voyez des messages lorsque Download Insight détecte un fichier malveillant ou un fichier non fondé. Pour les fichiers non prouvés, vous devez spécifier si le fichier est autorisé ou non. Se reporter à "Réagir aux messages de Download Insight qui vous demandent d'autoriser ou de bloquer un fichier que vous essayez de télécharger" à la page 33. Créez des exceptions pour des fichiers ou des domaines Web spécifiques Vous pouvez créer une exception pour une application téléchargée par les utilisateurs. Vous pouvez également créer une exception pour un domaine Web spécifique que vous jugez sécurisé. Assurez-vous que les consultations Insight sont activées Par défaut, Download Insight n'examine aucun fichier que les utilisateurs téléchargent depuis un site Internet ou Intranet approuvé. La configuration des sites approuvés s'effectue dans l'onglet Panneau de configuration Windows > Sites Internet approuvés > Sécurité. Lorsque l'option Approuver automatiquementtoutfichiertéléchargéàpartird'unsiteintranet est activée, Symantec Endpoint Protection autorise les fichiers téléchargés par un utilisateur depuis l'un des sites approuvés. Download Insight identifie uniquement les sites approuvés configurés explicitement. Les caractères génériques sont permis, mais les plages d'adresses IP non routables ne sont pas prises en charge. Par exemple, Download Insight ne peut pas identifier 10.*.*.* comme un site approuvé. Download Insight ne prend pas non plus en charge les sites découverts par l'option Options Internet > Sécurité > Détecter automatiquement le réseau Intranet. Se reporter à "Exclusion d'éléments des analyses" à la page 91. Download Insight exige des données de réputation pour prendre des décisions concernant les fichiers. Si vous désactivez les consultations Insight, Download Insight s'exécute mais ne peut pas effectuer de détections. Les consultations Insight sont activées par défaut. Se reporter à "Envoi des informations concernant les détections à Symantec Security Response" à la page 101.

80 Gestion des analyses Gérer des détections de Download Insight sur votre ordinateur Tâche Personnaliser les paramètres de Download Insight Description Vous pourriez vouloir personnaliser les paramètres de Download Insight pour les raisons suivantes : Augmenter ou diminuer le nombre de détections de Download Insight. Vous pouvez régler le curseur de sensibilité de détection des fichiers malveillants pour augmenter ou diminuer le nombre de détections. A des niveaux de sensibilité plus bas, Download Insight détecte moins de fichiers comme étant malveillants et plus de fichiers comme étant non fondés. Les détections de faux positifs sont moins nombreuses. A des niveaux de sensibilité plus élevées, Download Insight détecte davantage de fichiers comme étant malveillants et moins de fichiers comme étant non fondés. Les détections de faux positifs sont plus nombreuses. Modifiez l'action pour les détections malveillantes ou les fichiers non prouvés. Vous pouvez modifier la manière dont Download Insight traite les fichiers malveillants ou non fondés. Il peut être utile de modifier l'action pour les fichiers non prouvés de façon à ne pas recevoir de notifications pour ces détections. Obtenez des alertes sur les détections de Download Insight. Lorsque Download Insight détecte un fichier qu'il considère comme malveillant, il affiche un message sur l'ordinateur client si l'action est réglée sur Quarantaine. Vous pouvez annuler l'action de quarantaine. Lorsque Download Insight détecte un fichier qu'il considère non fondé, il affiche un message sur l'ordinateur client si vous avez réglé l'action pour les fichiers non fondés sur Invite ou à Quarantaine. Quand l'action est définie sur Demander, vous pouvez autoriser ou bloquer le fichier. Lorsque l'action est définie sur Quarantaine, vous pouvez annuler l'action de quarantaine. Vous pouvez désactiver les notifications de l'utilisateur de sorte que vous n'ayez pas le choix quand Download Insight détecte un fichier qu'il considère comme non fondé. Si vous activez les notifications de façon permanente, vous pouvez définir l'action pour les fichiers non prouvés sur Ignorer de façon à ce que ces détections soient toujours autorisées et à ne pas recevoir de notification. Quand les notifications sont activées, le paramètre de sensibilité envers les fichiers malveillants affecte le nombre de notifications que vous recevez. Si vous augmentez la sensibilité, vous augmentez le nombre de notifications utilisateur car le nombre total de détections augmente. Se reporter à "Personnaliser des paramètres de Download Insight" à la page 81.

Gestion des analyses Personnaliser des paramètres de Download Insight 81 Tâche Envoi d'informations concernant la réputation à Symantec Description Par défaut, les clients envoient des informations concernant les détections d'informations de réputation à Symantec. Symantec recommande d'activer l'envoi des informations de réputation détectées. Ces informations aident Symantec à faire face aux menaces. Se reporter à "Envoi des informations concernant les détections à Symantec Security Response" à la page 101. Personnaliser des paramètres de Download Insight Vous pourriez vouloir personnaliser des paramètres Download Insight pour diminuer les détections de faux positif sur les ordinateurs client. Vous pouvez modifier la sensibilité de Download Insight par rapport aux données de réputation de fichier qu'il l'utilise pour caractériser les fichiers malveillants. Vous pouvez également modifier les notifications que Download Insight affiche sur les ordinateurs client quand il effectue une détection. Se reporter à "Gérer des détections de Download Insight sur votre ordinateur" à la page 78. Personnaliser des paramètres de Download Insight 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 En regard de Protection contre les virus et les logiciels espions, cliquez sur Configurer les paramètres. 3 Sur l'onglet Download Insight, vérifiez que Activer Download Insight pour détecter les risques potentiels dans les fichiers téléchargés en fonction de la réputation de fichier est coché. Si Auto-Protect est désactivé, Download Insight ne peut pas fonctionner même s'il est activé.

82 Gestion des analyses Personnalisation des paramètres d'analyse antivirus et antispyware 4 Déplacez le curseur afin de modifier la sensibilité de détection des fichiers malveillants. Remarque : Si vous-même ou l'administrateur avez installé la protection contre les virus et les logiciels espions, la sensibilité de détection des fichiers malveillants est définie automatiquement sur le niveau 1 et ne peut pas être modifiée. Si vous relevez le niveau, Download Insight détecte davantage de fichiers comme étant malveillant et moins de fichiers comme étant non fondés. Les paramètres définis sur un niveau élevé de protection entraînent toutefois un taux supérieur de détections de faux positifs. 5 Sélectionnez ou désélectionnez les options suivantes pour les utiliser comme critères supplémentaires pour examiner les fichiers non fondés : Fichiers ayant moins de X utilisateurs Fichiers connus des utilisateurs depuis moins de X jours Lorsque les fichiers non fondés répondent à ces critères, Download Insight détecte les fichiers comme malveillants. 6 Assurez-vous que l'option Approuver automatiquement les fichiers téléchargés à partir d'un site Web intranet est sélectionnée. Cette option s'applique également aux détections Consultation Insight. 7 Cliquez sur Actions. 8 Sous Fichiers malveillants, spécifiez une première et une seconde action. 9 Sous Fichiers non prouvés, spécifiez l'action. 10 Cliquez sur OK. 11 Cliquez sur Notifications et indiquez d'afficher ou non une notification lorsque Download Insight fait une détection. Vous pouvez personnaliser le texte du message d'avertissement qui s'affiche. 12 Cliquez sur OK. Personnalisation des paramètres d'analyse antivirus et antispyware Par défaut, Symantec Endpoint Protection fournit à votre ordinateur la protection requise contre les virus et les risques de sécurité. Si vous avez un client non géré, vous pouvez vouloir configurer certains paramètres d'analyse.

Gestion des analyses Personnalisation des paramètres d'analyse antivirus et antispyware 83 Se reporter à "Gérer des analyses sur votre ordinateur" à la page 58. Pour personnaliser une analyse définie par l'utilisateur 1 Dans le client, dans la barre latérale, cliquez sur Rechercher les menaces. 2 Dans la page Rechercher les menaces, cliquez avec le bouton droit de la souris sur une analyse, puis cliquez sur Modifier. 3 Dans l'onglet Options d'analyse, effectuez l'une des tâches suivantes : Pour changer les paramètres de Consultation Insight, cliquez sur Consultation Insight. Les paramètres de Consultation Insight sont semblables aux paramètres de Download Insight. Se reporter à "Personnaliser des paramètres de Download Insight" à la page 81. Pour spécifier moins de types de fichier à analyser, cliquez sur Extensions sélectionnées, puis sur Extensions. Remarque : Les analyses définies par l'utilisateur analysent toujours les extensions des fichiers de conteneur à moins que vous désactiviez l'option de fichier compressé sous Avancé ou vous créez des exceptions pour les extensions de conteneur. Pour spécifier la première et la deuxième action qu'entreprend le client sur un fichier infecté, cliquez sur Actions. Pour spécifier des options de notification, cliquez sur Notifications. Vous pouvez activer ou désactiver les notifications qui apparaissent dans l'interface utilisateur de style Windows 8 séparément. Se reporter à "Comment gérer les notifications contextuelles de Symantec Endpoint Protection qui apparaissent sur des ordinateurs Windows 8" à la page 99. Pour configurer des options avancées pour les fichiers compressés, les sauvegardes et l'optimisation, cliquez sur Avancé. Vous pouvez vouloir modifier les options d'optimisation pour améliorer les performances de votre ordinateur client. Pour plus d'informations sur les options de chaque boîte de dialogue, cliquez sur Aide. 4 Cliquez sur OK. Pour modifier les paramètres d'analyse globaux 1 Effectuez l'une des opérations suivantes :

84 Gestion des analyses Personnalisation des paramètres d'analyse antivirus et antispyware Dans le client, dans la barre latérale, cliquez sur Changer les paramètres, puis en regard de Protection contre les virus et les spywares, cliquez sur Configurer les paramètres Dans le client, dans la barre latérale, cliquez sur Rechercher les menaces, puis sur Affichage des paramètres généraux d'analyse. 2 Dans l'onglet Paramètres généraux, sous Options d'analyse, modifiez les paramètres pour Insight ou Bloodhound. 3 Pour afficher ou créer des exceptions d'analyse, cliquez sur Afficher la liste. Cliquez sur Fermer après avoir affiché ou créé des exceptions. 4 Sous Conservationdujournal ou ProtectiondunavigateurInternet, apportez toutes les modifications que vous voulez. 5 Cliquez sur OK. Pour personnaliser Auto-Protect 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 A côté de Protection contre les virus et les spywares, cliquez sur Configurer les paramètres. 3 Sur un onglet Auto-Protect, effectuez les tâches suivantes : Pour spécifier moins de types de fichier à analyser, cliquez sur Sélection, puis sur Extensions. Pour spécifier la première et la deuxième action qu'entreprend le client sur un fichier infecté, cliquez sur Actions. Pour spécifier des options de notification, cliquez sur Notifications. Pour plus d'informations sur les options de chaque boîte de dialogue, cliquez sur Aide. 4 Dans l'onglet Auto-Protect, cliquez sur Avancé. Vous pouvez modifier des options pour le cache de fichier ainsi que pour Risk Tracer et les sauvegardes. Vous pouvez vouloir modifier ces options pour améliorer la puissance de votre ordinateur. 5 Cliquez sur Réseau pour modifier les paramètres de confiance des fichiers sur des ordinateurs distants et définir un cache réseau. 6 Cliquez sur OK.

Gestion des analyses Configurer des actions pour la détection des logiciels malveillants et des risques de sécurité 85 Configurer des actions pour la détection des logiciels malveillants et des risques de sécurité Vous pouvez configurer les actions que vous voulez que le client Symantec Endpoint Protection effectue quand il détecte un logiciel malveillant ou un risque de sécurité. Vous pouvez configurer une action principale et une action secondaire à effectuer si la première échoue. Remarque : Si un administrateur gère votre ordinateur et que ces options affichent une icône de verrouillage, vous ne pouvez pas modifier ces options car l'administrateur les a verrouillées. Vous configurez des actions pour n'importe quel type d'analyse de la même manière. Chaque analyse possède sa propre configuration d'actions. Vous pouvez configurer différentes actions pour différentes analyses. Remarque : Vous configurez les actions pour Download Insight et SONAR séparément. Se reporter à "Personnalisation des paramètres d'analyse antivirus et antispyware" à la page 82. Se reporter à "Personnaliser des paramètres de Download Insight" à la page 81. Se reporter à "Modification des paramètres SONAR" à la page 106. Cliquez sur Aide pour en savoir plus à propos des options utilisées dans les procédures. Pour configurer les actions pour la détection des logiciels malveillants et des risques de sécurité 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres ou Rechercher les menaces. 2 Effectuez l'une des opérations suivantes : En regard de Protection contre les virus et les spywares, cliquez sur Configurer les paramètres, puis sur n'importe quel onglet Auto-Protect, cliquez sur Actions. Sélectionnez une analyse, puis cliquez avec le bouton droit de la souris et sélectionnez Modifier, puis cliquez sur Options d'analyse. 3 Cliquez sur Actions.

86 Gestion des analyses Configurer des actions pour la détection des logiciels malveillants et des risques de sécurité 4 Dans l'arborescence de la boîte de dialogue Opérationsd'analyse, sélectionnez la catégorie ou la sous-catégorie sous Logiciel malveillant ou Risques de sécurité. Par défaut, chaque sous-catégorie est automatiquement configurée pour utiliser les actions qui sont définies pour la catégorie entière. Les catégories changent de manière dynamique avec le temps, à mesure que Symantec obtient de nouvelles informations relatives aux risques. 5 Pour configurer des actions pour une seule sous-catégorie, effectuez l'une des opérations suivantes : Cochez Remplacerlesactionsconfiguréespourleslogicielsmalveillants, puis définissez les actions pour cette sous-catégorie seulement. Remarque : Il pourrait y a avoir une seule sous-catégorie sous une catégorie, selon la manière dont Symantec classe les risques actuellement. Par exemple, sous Logiciel malveillant, il pourrait y avoir une seule sous-catégorie appelée Virus. Cochez Remplacer les actions configurées pour les risques de sécurité, puis définissez les actions pour cette sous-catégorie seulement.

Gestion des analyses Configurer des actions pour la détection des logiciels malveillants et des risques de sécurité 87 6 Sélectionnez une action principale et une action secondaire parmi les options suivantes : Nettoyer le risque Supprime le virus du fichier. Ce paramètre est la première action par défaut pour des virus. Remarque : Cette action est seulement disponible comme première action pour des virus. Cette action ne s'applique pas aux risques de sécurité. Ce paramètre devrait toujours être la première action pour les virus. Si le client nettoie avec succès un virus à partir d'un fichier, vous n'avez pas besoin d'effectuer d'actions supplémentaires. Votre ordinateur est exempt de virus et n'est plus exposé à la diffusion de ce virus dans d'autres zones. Quand le client nettoie un fichier, il supprime le virus du fichier infecté, du secteur de démarrage ou des tables de partition. Il élimine également la capacité du virus de se propager. Le client peut en général détecter et nettoyer un virus avant qu'il n'endommage votre ordinateur. Par défaut, le client sauvegarde le fichier. Dans certains cas cependant, le fichier nettoyé peut ne pas être utilisable. Le virus peut avoir causé trop de dommages. Certains fichiers infectés ne peuvent pas être nettoyés. Remarque : Symantec Endpoint Protection ne nettoie pas le logiciel malveillant qui est détecté dans des fichiers et applis de style Windows 8. Symantec Endpoint Protection supprime la détection à la place.

88 Gestion des analyses Configurer des actions pour la détection des logiciels malveillants et des risques de sécurité Mettre le risque en quarantaine Déplace le fichier infecté de son emplacement initial vers la zone de quarantaine. Les fichiers infectés déplacés vers la quarantaine ne peuvent pas en infecter d'autres. Pour les virus, transfère le fichier infecté de l'emplacement d'origine vers la quarantaine. Ce paramètre correspond à la seconde action par défaut exécutée pour les virus. Pour les risques de sécurité, le client déplace les fichiers infectés de leur emplacement initial vers la Quarantaine et essaye de supprimer ou réparer tous les effets secondaires. Ce paramètre correspond à la première action par défaut exécutée pour les risques de sécurité. La Quarantaine contient un enregistrement de toutes les actions qui ont été exécutées. Vous pouvez restaurer l'état de l'ordinateur antérieur à la suppression du risque. Remarque : Symantec Endpoint Protection ne met en quarantaine pas le logiciel malveillant qui est détecté dans des fichiers et applis de style Windows 8. Symantec Endpoint Protection supprime la détection à la place. Supprimer le risque Supprime le fichier infecté du disque dur de l'ordinateur. Si le client ne peut pas supprimer un fichier, les informations sur l'action exécutée par le client apparaissent dans la boîte de dialogue Notification. Les informations apparaissent également dans le journal des événements. Utilisez cette action seulement si vous pouvez remplacer le fichier par une copie de sauvegarde exempte de virus ou de risques de sécurité. Quand le client supprime un risque, il le supprime de manière permanente. Le fichier infecté ne peut pas être récupéré depuis la Corbeille. Remarque : Utilisez cette action avec précaution lorsque vous configurez des actions pour les risques de sécurité. Dans certains cas, la suppression des risques de sécurité peut entraîner la perte des fonctionnalités des applications.

Gestion des analyses A propos de l'exclusion d'éléments des analyses 89 Conserver (consigner) Laisse le fichier en l'état. Si vous utilisez cette action pour des virus, le virus reste dans les fichiers infectés. Le virus peut se propager dans d'autres parties de votre ordinateur. Une entrée est insérée dans l'historique des risques pour conserver une trace du fichier infecté. Vous pouvez utiliser Conserver (journal seulement) comme deuxième action pour les logiciels malveillants et les risques de sécurité. Ne sélectionnez pas cette action quand vous effectuez des analyses automatiques à grande échelle, telles que des analyses planifiées. Vous pourriez vouloir utiliser cette action si vous avez l'intention d'afficher les résultats de l'analyse et effectuer une action supplémentaire ultérieurement. Une action supplémentaire pourrait être de déplacer le fichier vers la Quarantaine. Pour les risques de sécurité, cette action laisse le fichier infecté tel quel et consigne une entrée dans l'historique des risques pour conserver une trace du risque. Utilisez cette option pour contrôler manuellement le traitement des risques de sécurité par le client. Ce paramètre est la deuxième action par défaut pour les risques de sécurité. Votre administrateur peut envoyer un message personnalisé qui explique comment réagir. 7 Répétez ces étapes pour chaque catégorie pour laquelle vous voulez définir des actions spécifiques, puis cliquez sur OK. 8 Si vous avez sélectionné une catégorie de risque de sécurité, vous pouvez sélectionner des actions personnalisées pour une ou plusieurs instances spécifiques de cette catégorie de risque de sécurité. Vous pouvez exclure un risque de sécurité de l'analyse. Par exemple, il peut être nécessaire d'exclure un logiciel publicitaire que vous devez utiliser dans votre travail. 9 Cliquez sur OK. A propos de l'exclusion d'éléments des analyses Les exceptions sont des risques de sécurité connus, des fichiers, des extensions de fichier et des processus à exclure d'une analyse. Si après l'analyse de l'ordinateur, vous découvrez que certains fichiers sont approuvés, vous pouvez les exclure. Dans certains cas, les exceptions peuvent réduire le temps d'analyse

90 Gestion des analyses A propos de l'exclusion d'éléments des analyses et améliorer les performances du système. En général, vous n'avez pas besoin de créer des exceptions. Pour les clients gérés, l'administrateur de votre système peut avoir créé des exceptions pour les analyses. Si vous créez une exception qui entre en conflit avec une exception définie par l'administrateur, l'exception définie par l'administrateur a la priorité. Votre administrateur peut également vous empêcher de configurer un type d'exceptions ou tous les types d'exceptions. Remarque : Si votre application de messagerie électronique enregistre tout le courrier dans un unique fichier, vous devriez créer une exception de fichier pour exclure ce fichier de la boîte de réception des analyses. Par défaut, les analyses mettent les virus en quarantaine. Si une analyse détecte un virus dans le fichier de la boîte de réception, l'analyse place la boîte de réception complète en quarantaine. Si l'analyse place la boîte de réception en quarantaine, vous ne pouvez pas accéder à votre courrier électronique. Tableau 4-9 Type d'exception Fichier Types d'exceptions Description S'applique aux analyses antivirus et anti-logiciel espion Les analyses ignorent le fichier que vous sélectionnez. Dossier S'applique aux analyses antivirus et anti-logiciel espion et/ou aux analyses SONAR. Les analyses ignorent le dossier que vous sélectionnez. Risques connus S'applique aux analyses antivirus et anti-logiciel espion Les analyses ignorent les risques connus que vous sélectionnez. Extensions S'applique aux analyses antivirus et anti-logiciel espion. Les analyses ignorent les fichiers possédant les extensions spécifiées. Domaine Web S'applique aux analyses antivirus et anti-logiciel espion. Download Insight ignore le domaine Web approuvé spécifié. Application S'applique aux analyses antivirus et anti-logiciel espion ainsi qu'aux analyses SONAR Les analyses ignorent, mettent en quarantaine, consignent ou interrompent l'application spécifiée ici.

Gestion des analyses Exclusion d'éléments des analyses 91 Type d'exception Modification de DNS ou de fichier hôte Description S'applique à SONAR Les analyses ignorent, consignent ou bloquent une application, ou affichent un message destiné à l'utilisateur lorsqu'une application essaie de modifier des paramètres de DNS ou de modifier un fichier hôte. Se reporter à "Exclusion d'éléments des analyses" à la page 91. Exclusion d'éléments des analyses Les exceptions correspondent à des risques de sécurité connus, des fichiers, dossiers, extensions de fichier, domaines Web ou applications que vous souhaitez exclure des analyses. Si après l'analyse de l'ordinateur, vous découvrez que certains fichiers sont approuvés, vous pouvez les exclure. Dans certains cas, les exceptions peuvent réduire le temps d'analyse et améliorer les performances du système. Vous pouvez également créer des exceptions pour les applications qui essayent de faire des modifications de DNS ou de fichier hôte. En général, vous n'avez pas besoin de créer des exceptions. Pour les clients gérés, l'administrateur de votre système peut avoir créé des exceptions pour les analyses. Si vous créez une exception qui entre en conflit avec une exception définie par l'administrateur, l'exception définie par l'administrateur a la priorité. SONAR ne prend pas en charge les exceptions de fichier. Utilisez une exception d'application pour exclure un fichier de SONAR. Remarque : Sur l'installation Server Core de Windows Server 2008, les boîtes de dialogue peuvent s'afficher différemment de celles décrites dans ces procédures. Pour exclure des éléments des analyses de risque de sécurité 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 En regard de Exceptions, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Exceptions, sous Exceptions définies par l'utilisateur, cliquez sur Ajouter > Exceptions de risques de sécurité. 4 Sélectionnez l'un des types d'exception suivants : Risques connus Fichier

92 Gestion des analyses Exclusion d'éléments des analyses Dossier Extensions Domaine Web 5 Effectuez l'une des opérations suivantes : Pour les risques connus, sélectionnez les risques de sécurité que vous souhaitez exclure des analyses. Pour consigner un événement lorsque le risque de sécurité est détecté et ignoré, cochez Consigner lorsque le risque de sécurité est détecté. Pour les fichiers ou les dossiers, sélectionnez le fichier ou le dossier que vous voulez exclure ou entrez un nom de fichier ou de dossier. Sélectionnez le type d'analyse ( Toutes les analyses, Auto-Protect ou Planifié et à la demande ), puis cliquez sur OK. Pour les extensions, saisissez l'extension à exclure. Vous pouvez inclure un seul nom d'extension dans la zone de texte. Si vous saisissez des extensions multiples, le client traite l'entrée comme un nom d'extension unique. Pour les domaines, entrez un site Web ou une adresse IP que vous voulez exclure des détections Download Insight et SONAR. 6 Cliquez sur OK. Pour exclure un dossier de SONAR 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 En regard de Exceptions, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Exceptions, sous Exceptions définies par l'utilisateur, cliquez sur Ajouter > Exception SONAR > Dossier. 4 Sélectionnez le dossier que vous souhaitez exclure, activez ou désactivez l'option Inclure les sous-dossiers, puis cliquez sur OK. 5 Cliquez sur Fermer. Pour modifier la façon dont les analyses gèrent une application 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 En regard du champ Exceptions, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Exceptions, sous Exceptions définies par l'utilisateur, cliquez sur Ajouter > Exception d'application. 4 Sélectionnez le nom de fichier de l'application

Gestion des analyses Gestion des fichiers en quarantaine sur votre ordinateur client 93 5 Dans le menu déroulant Action, sélectionnez Ignorer, Consigner seulement, Quarantaine, Terminer ou Supprimer. 6 Cliquez sur OK. 7 Cliquez sur Close (Fermer). Se reporter à "Gérer des analyses sur votre ordinateur" à la page 58. Se reporter à "A propos de l'exclusion d'éléments des analyses" à la page 89. Gestion des fichiers en quarantaine sur votre ordinateur client Par défaut, Symantec Endpoint Protection essaye de nettoyer un virus à partir d'un fichier infecté quand il est détecté. Si le fichier ne peut pas être nettoyé, l'analyse place le fichier en quarantaine sur votre ordinateur. Pour les risques de sécurité, les analyses placent les fichiers infectés en quarantaine et réparent les effets négatifs du risque de sécurité. Download Insight et SONAR pourraient également mettre en quarantaine des fichiers. Se reporter à "A propos de la mise en quarantaine de fichiers" à la page 95. Tableau 4-10 Tâche Gestion des fichiers en quarantaine sur votre ordinateur client Description Restauration d'un fichier en quarantaine à son emplacement initial Un fichier nettoyé ne possède parfois pas d'emplacement auquel le ramener. Par exemple, une pièce jointe infectée peut être détachée d'un message électronique et mise en quarantaine. Vous devez libérer le fichier et indiquer un emplacement. Mise en quarantaine manuelle d'un élément Vous pouvez placer manuellement un fichier en quarantaine en l'ajoutant à la Quarantaine ou en le sélectionnant dans les journaux d'analyse antivirus et antispyware ou SONAR. Se reporter à "Mise en quarantaine d'un fichier du journal des risques ou du journal d'analyse" à la page 96.

94 Gestion des analyses Gestion des fichiers en quarantaine sur votre ordinateur client Tâche Suppression permanente des fichiers placés en quarantaine Analysez de nouveau les fichiers en quarantaine après réception de nouvelles définitions. Description Vous pouvez supprimer manuellement de la quarantaine les fichiers dont vous n'avez plus besoin. Vous pouvez également définir un délai après lequel les fichiers seront supprimés automatiquement. Remarque : Votre administrateur peut spécifier un nombre de jours maximal pendant lequel des éléments peuvent rester en quarantaine. Après ce délai, les éléments sont supprimés automatiquement. Quand vous mettez à jour des définitions, les fichiers en quarantaine peuvent être analysés, nettoyés et restaurés automatiquement. Pour certains fichiers l'assistant de réparation s'affiche. Suivez les instructions à l'écran pour terminer la nouvelle analyse et la réparation. Vous pouvez également analyser de nouveau manuellement les fichiers infectés et placés en quarantaine. Exportation des informations de quarantaine Envoi des fichiers infectés de la quarantaine à Symantec Security Response Vous pouvez exporter le contenu de la quarantaine vers un fichier délimité par des virgules (.csv) ou un fichier de base de données Microsoft Access (.mdb). Après avoir effectué une nouvelle analyse des fichiers de la quarantaine, vous pouvez soumettre un fichier qui est encore infecté à Symantec Security Response pour une analyse approfondie. Se reporter à "Soumettre manuellement à Symantec Security Response un fichier suspect pour analyse" à la page 96. Suppression des éléments de sauvegarde Avant d'essayer de nettoyer ou de réparer des éléments, le client réalise par défaut des copies de sauvegarde des éléments infectés. Après que le client ait nettoyé avec succès un virus, vous devriez manuellement supprimer l'élément de la quarantaine parce que la sauvegarde est encore infectée.

Gestion des analyses Gestion des fichiers en quarantaine sur votre ordinateur client 95 Tâche Suppression automatique de fichiers de la quarantaine Description Vous pouvez configurer le client pour la suppression automatique des éléments de la quarantaine après un certain délai. Vous pouvez également spécifier que le client supprime des éléments quand le dossier où les éléments sont enregistrées atteint une certaine taille. Vous évitez ainsi l'accumulation de fichiers que vous pouvez oublier de supprimer manuellement. Se reporter à "Suppression automatique des fichiers en quarantaine" à la page 97. A propos de la mise en quarantaine de fichiers Quand le client met un fichier infecté en quarantaine, le virus ou le risque ne peut pas infecter d'autres fichiers sur votre ordinateur ou d'autres ordinateurs du réseau. Cependant, l'action de mise en quarantaine ne nettoie pas le risque. Le risque reste sur votre ordinateur jusqu'à ce que le client le nettoie ou supprime le fichier. Vous n'avez pas accès au fichier, mais vous pouvez supprimer le fichier de la quarantaine. Quand vous mettez à jour votre ordinateur avec de nouvelles définitions de virus, le client vérifie automatiquement la quarantaine. Vous pouvez réanalyser les éléments en quarantaine. Les dernières définitions peuvent peut-être nettoyer ou réparer les fichiers précédemment mis en quarantaine. La plupart des virus peuvent être mis en quarantaine. Les virus de zone de démarrage résident dans le secteur de démarrage ou dans les tables de partitions de l'ordinateur, qu'il est impossible de déplacer vers la quarantaine. Parfois le client détecte un virus inconnu qui ne peut pas être éliminé avec les définitions de virus actuelles. Si vous pensez qu'un fichier est infecté mais que les analyses ne détectent aucune infection, vous devez mettre le fichier en quarantaine manuellement. Remarque : La langue du système d'exploitation sur lequel vous exécutez le client peut ne pas savoir interpréter certains caractères des noms de virus. Si le système d'exploitation ne peut pas interpréter les caractères, les caractères apparaissent comme des points d'interrogation dans les notifications. Par exemple, certains noms de virus Unicode peuvent contenir des caractères à deux octets. Sur les ordinateurs qui exécutent le client sur un système d'exploitation anglais, ces caractères apparaissent comme des points d'interrogation.

96 Gestion des analyses Gestion des fichiers en quarantaine sur votre ordinateur client Se reporter à "Gestion des fichiers en quarantaine sur votre ordinateur client" à la page 93. Mise en quarantaine d'un fichier du journal des risques ou du journal d'analyse Selon l'action prédéfinie pour une détection de menace, le client peut effectuer ou ne pas pouvoir effectuer l'action que vous avez sélectionnée quand une détection se produit. Vous pouvez utiliser le journal des risques ou le journal d'analyse pour mettre en quarantaine un fichier plus tard. Se reporter à "A propos de la mise en quarantaine de fichiers" à la page 95. Se reporter à "Gestion des fichiers en quarantaine sur votre ordinateur client" à la page 93. Pour mettre en quarantaine un fichier du journal des risques ou du journal d'analyse 1 Dans le client, cliquez sur Afficher les journaux. 2 En regard de Protection contre les virus et les logiciels espions, cliquez sur Afficher le journal, puis sélectionnez Journal des risques ou Journal d'analyse. 3 Sélectionnez le fichier que vous souhaitez mettre en quarantaine, puis cliquez sur Mettre en quarantaine. 4 Cliquez sur OK, puis sur Fermer. Soumettre manuellement à Symantec Security Response un fichier suspect pour analyse Lorsque vous soumettez un élément infecté de votre liste d'éléments en quarantaine à Symantec Security Response. Symantec Security Response peut analyser cet élément pour s'assurer qu'il n'est pas infecté. Symantec Security Response utilise également ces données pour protéger contre de nouvelles menaces ou des menaces en cours de développement. Remarque : L'option de soumission n'est pas disponible si votre administrateur désactive ces types de soumissions. Se reporter à "Gestion des fichiers en quarantaine sur votre ordinateur client" à la page 93.

Gestion des analyses Gestion des fichiers en quarantaine sur votre ordinateur client 97 Pour envoyer un fichier à Symantec Security Response depuis la quarantaine 1 Dans la barre latérale du client, cliquez sur Afficher la quarantaine. 2 Sélectionnez le fichier dans la liste des éléments en quarantaine. 3 Cliquez sur Soumettre. 4 Suivez les instructions de l'assistant pour réunir les informations nécessaires et envoyer le fichier pour analyse. Suppression automatique des fichiers en quarantaine Vous pouvez configurer votre logiciel pour supprimer automatiquement des éléments de la liste Quarantaine après un délai spécifié. Vous pouvez également spécifier que le client supprime des éléments quand le dossier où les éléments sont enregistrées atteint une certaine taille. Vous évitez ainsi l'accumulation de fichiers que vous pouvez oublier de supprimer manuellement. Se reporter à "Gestion des fichiers en quarantaine sur votre ordinateur client" à la page 93. Pour supprimer automatiquement des fichiers en quarantaine 1 Dans la barre latérale du client, cliquez sur Afficher la quarantaine. 2 Cliquez sur Options de purge. 3 Dans la boîte de dialogue Options de purge, sélectionnez l'un des onglets suivants : Eléments en quarantaine Eléments sauvegardés Eléments réparés 4 Activez ou désactivez l'option La durée de stockage est supérieure à pour activer ou désactiver la capacité du client à supprimer les fichiers une fois que le temps configuré a expiré. 5 Si vous cochez la case Laduréedestockageestsupérieureà, tapez ou cliquez sur une flèche pour écrire la durée. 6 Sélectionnez l'unité du temps dans la liste déroulante. Le paramètre par défaut est 30 jours.

98 Gestion des analyses Activation ou désactivation de la détection des logiciels malveillants au démarrage (ELAM) 7 Si vous cochez la case La taille totale du dossier est supérieure à, tapez la taille maximale de dossier à permettre, en mégaoctets. La valeur par défaut est de 50 mégaoctets. Si vous sélectionnez les deux options, les fichiers plus anciens que l'âge spécifié sont purgés en premier. Si la taille du dossier dépasse toujours la limite que vous avez définie, le client supprime les fichiers les plus anciens individuellement. Le client supprime les fichiers les plus anciens jusqu'à ce que la taille de dossier ne dépasse plus la limite. 8 Répétez les étapes 4 à 7 pour les autres onglets. 9 Cliquez sur OK. Activation ou désactivation de la détection des logiciels malveillants au démarrage (ELAM) La détection des logiciels malveillants au démarrage (ELAM) assure la protection pour votre ordinateur quand il démarre et avant l'initialisation de pilotes tiers. Les logiciels malveillants qui peuvent se charger en tant que pilote ou des rootkits pourraient attaquer avant que le système d'exploitation ne se charge complètement et que Symantec Endpoint Protection ne démarre. Les rootkits peuvent échapper aux analyses antivirus et antispyware. La détection des logiciels malveillants au démarrage détecte ces rootkits et pilotes malveillants au démarrage. Symantec Endpoint Protection fournit un pilote de détection des logiciels malveillants au démarrage qui fonctionne avec le pilote de la détection des logiciels malveillants au démarrage de Microsoft pour assurer la protection. Les paramètres sont pris en charge sur Microsoft Windows 8. Remarque : Vous ne pouvez pas créer d'exceptions pour les détections ELAM individuelles. Vous pouvez toutefoois créer une exception globale pour consigner tous les mauvais pilotes comme pilotes inconnus. Pour certaines détections ELAM qui requièrent une résolution, vous pourriez devoir exécuter Power Eraser. Power Eraser fait partie des outils de support de Symantec Endpoint Protection. Pour activer ou désactiver la détection des logiciels malveillants au démarrage 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 En regard de Protection contre les virus et les logiciels espions, cliquez sur Configurer les paramètres.

Gestion des analyses Comment gérer les notifications contextuelles de Symantec Endpoint Protection qui apparaissent sur des ordinateurs Windows 8 99 3 Sur l'onglet Détection des logiciels malveillants au démarrage, sélectionnez ou désélectionnez Activer la détection des logiciels malveillants au démarrage de Symantec. Le pilote de la détection des logiciels malveillants au démarrage de Windows doit être activé afin d'appliquer cette option. 4 Si vous voulez consigner les détections seulement, sous Lorsque Symantec Endpoint Protection détecte un pilote potentiellement malveillant, sélectionnez Consigner la détection comme inconnue pour que Windows autorise le chargement du pilote. 5 Cliquez sur OK. Se reporter à "Gérer des analyses sur votre ordinateur" à la page 58. Se reporter à "Résolution des problèmes de l'ordinateur avec l'outil de support de Symantec Endpoint Protection" à la page 25. Se reporter à "Exclusion d'éléments des analyses" à la page 91. Comment gérer les notifications contextuelles de Symantec Endpoint Protection qui apparaissent sur des ordinateurs Windows 8 Les notifications instantanées apparaissent par défaut sur l'interface utilisateur de style Windows 8 et le bureau de Windows 8 pour les détections de logiciels malveillants et autres événements critiques de Symantec Endpoint Protection. Vous pouvez exécuter les actions suivantes pour gérer les notifications contextuelles : Dans le client, modifiez le paramètre global pour les notifications d'interface utilisateur de style Windows 8 sur la page Paramètres de gestion des clients. Dans Windows 8, modifiez les paramètres pour le système d'exploitation. Les notifications de Symantec Endpoint Protection apparaissent seulement si Windows 8 est configuré pour les afficher. Consultez la documentation utilisateur de Windows 8 pour plus d'informations. Sur les clients gérés, votre administrateur pourrait contrôler si vous voyez des notifications contextuelles dans Windows 8. Se reporter à "Réagir aux notifications contextuelles de Symantec Endpoint Protection qui apparaissent sur des ordinateurs Windows 8" à la page 34.

100 Gestion des analyses A propos de la transmission d'informations sur les détections à Symantec Security Response A propos de la transmission d'informations sur les détections à Symantec Security Response Vous pouvez configurer votre ordinateur pour soumettre automatiquement des informations sur les détections à Symantec Security Response pour analyse. Symantec Response et le réseau global de stratégie utilisent ces informations soumises pour formuler rapidement des interventions à des menaces de sécurité récentes ou en développement. Les données que vous soumettez améliorent la capacité de Symantec à réagir aux menaces et à personnaliser la protection. Symantec recommande de toujours autoriser les transmissions. Se reporter à "A propos du client Symantec Endpoint Protection" à la page 11. Vous pouvez choisir de soumettre l'un des types de données suivants : Réputation de fichier Les informations concernant les fichiers qui sont détectés sont basées sur leur réputation. Les informations relatives à ces fichiers contribuent à la base de données de réputation de Symantec Insight pour aider à protéger vos ordinateurs des risques récents ou émergents. Détections antivirus Informations à propos des détections d'analyse antivirus et antispyware. Détections heuristiques avancées d'antivirus Informations sur les menaces potentielles détectées par Bloodhound et d'autres technologies heuristiques d'analyse de virus et de spyware. Ces détections sont des détections silencieuses qui n'apparaissent pas dans le journal de risque. Les informations à propos de ces détections sont utilisées pour l'analyse statistique. Détections SONAR Informations sur les menaces détectées par SONAR, qui incluent les détections des risques élevés ou faibles, les événements de modification du système et les comportements suspects des applications approuvées. Heuristiques SONAR Les détections heuristiques SONAR sont des détections silencieuses qui n'apparaissent pas dans le journal de risque. Ces informations sont utilisées pour une analyse statistique. Vous pouvez également manuellement soumettre un exemple de réponse de la quarantaine ou par le site Web de Symantec. Pour soumettent un fichier via le site Web de Symantec, contactez le support technique de Symantec. Se reporter à "Envoi des informations concernant les détections à Symantec Security Response" à la page 101.

Gestion des analyses Envoi des informations concernant les détections à Symantec Security Response 101 Se reporter à "Utilisation par Symantec Endpoint Protection des données de réputation pour prendre des décisions au sujet de fichiers" à la page 72. Envoi des informations concernant les détections à Symantec Security Response Symantec Endpoint Protection peut protéger les ordinateurs en contrôlant les informations qui entrent et sortent de l'ordinateur et en bloquant les tentatives d'attaque. Vous pouvez activer l'envoi d'informations sur les menaces détectées à Symantec Security Response sur votre ordinateur. Symantec Security Response utilise ces informations pour protéger vos ordinateurs client des nouvelles menaces ciblées et en mutation. Toutes les données que vous soumettez améliorent la capacité de Symantec à réagir face aux menaces et à personnaliser la protection de votre ordinateur. Symantec vous recommande de soumettre autant d'informations de détection que possible. Vous pouvez également envoyer un échantillon à Symantec Response depuis la page Quarantaine. La page Quarantaine vous permet également de déterminer la façon dont les éléments sont envoyés à Symantec Security Response. Pour configurer l'envoi d'informations à Symantec Security Response 1 Sélectionnez Modifier les paramètres > Gestion des clients. 2 Sur l'onglet Soumissions, cochez Activerl'envoiautomatiqued'informations desécuritéanonymesàsymantecdepuiscetordinateur. Cette option permet à Symantec Endpoint Protection de soumettre les informations relatives aux menaces qui sont trouvées sur votre ordinateur. Symantec vous recommande de maintenir cette option activée. 3 Sélectionnez les types d'informations à soumettre : Cliquez sur Aide pour plus d'informations sur ces options. 4 Activez Autoriser les consultations Insight pour la détection de menaces pour permettre à Symantec Endpoint Protection d'utiliser la base de données de réputation de Symantec pour prendre des décisions concernant les menaces. 5 Cliquez sur OK. Se reporter à "Gestion des fichiers en quarantaine sur votre ordinateur client" à la page 93. Se reporter à "A propos de la transmission d'informations sur les détections à Symantec Security Response" à la page 100.

102 Gestion des analyses A propos du client et du Centre de sécurité Windows A propos du client et du Centre de sécurité Windows Si vous utilisez le Centre de sécurité Windows (WSC) sur Windows XP avec Service Pack 2 ou Service Pack 3, vous pouvez consulter l'état de Symantec Endpoint Protection dans WSC. Tableau 4-11 indique comment l'état de la protection s'affiche dans WSC. Tableau 4-11 Affichage de l'état de la protection dans WSC Etat du produit Symantec Symantec Endpoint Protection n'est pas installé Symantec Endpoint Protection est installé avec protection complète Symantec Endpoint Protection est installé et les définitions de virus et de risque de sécurité sont périmées Symantec Endpoint Protection est installé et Auto-Protect pour le système de fichiers n'est pas activé Symantec Endpoint Protection est installé, Auto-Protect pour le système de fichiers n'est pas activé et les définitions de virus et de risque de sécurité sont obsolètes Symantec Endpoint Protection est installé et ccsvchst est désactivé manuellement Etat de la protection Introuvable (rouge) Activé (vert) Périmé (rouge) Désactivé (rouge) Désactivé (rouge) Désactivé (rouge) Tableau 4-12 décrit comment l'état du pare-feu de Symantec Endpoint Protection est signalé dans WSC. Tableau 4-12 Comment l'état du pare-feu s'affiche WSC Etat du produit Symantec Le pare-feu Symantec n'est pas installé Le pare-feu Symantec est installé et activé Le pare-feu Symantec est installé mais n'est pas activé Le pare-feu Symantec n'est pas installé ou n'est pas activé, mais un pare-feu tiers est installé et activé Etat du pare-feu Introuvable (rouge) Activé (vert) Désactivé (rouge) Activé (vert) Remarque : Dans Symantec Endpoint Protection, le Pare-feu Windows est désactivé par défaut.

Gestion des analyses A propos de SONAR 103 A propos de SONAR Si plusieurs pare-feu sont activés, WSC signale que plusieurs pare-feu sont installés et activés. SONAR est une protection en temps réel qui détecte des applications potentiellement malveillantes si elles s'exécutent sur vos ordinateurs. L'analyse SONAR assure une protection contre les menaces "Zero Day", car elle détecte les menaces avant que des définitions de virus et de spyware standard aient été créées pour traiter ces menaces. SONAR utilise des heuristiques ainsi que des données de réputation pour détecter des menaces émergeantes et inconnues. SONAR fournit un degré de protection supplémentaire sur vos ordinateurs client et complète vos fonctionnalités existantes de protection antivirus et antispyware, de prévention d'intrusion et de protection par pare-feu. SONAR utilise un système d'heuristiques qui tire profit du réseau stratégique en ligne de Symantec avec une surveillance locale active sur votre ordinateur pour détecter des menaces naissantes. SONAR détecte également les modifications ou les comportements à surveiller sur votre ordinateur. Remarque : Auto-Protect utilise également un type d'heuristique appelé Bloodhound pour détecter des comportements suspects dans des fichiers. SONAR injecte du code dans les applications exécutées en mode utilisateur de Windows pour les surveiller en cas d'activité suspecte. Dans certains cas, l'injection peut affecter les performances de l'application ou poser des problèmes liés à l'exécution de l'application. Vous pouvez créer une exception pour exclure le fichier, le dossier ou l'application de ce type de surveillance. Remarque : SONAR n'injecte pas de code dans les applications sur des clients Symantec Endpoint Protection 12.1 ou version antérieure. Si vous utilisez Symantec Endpoint Protection Manager 12.1.2 pour gérer des clients, une exception de fichier SONAR dans la politique d'exception est ignorée sur vos clients hérités. Si vous utilisez Symantec Endpoint Protection Manager pour gérer des clients hérités, la politique héritée ne prend pas en charge les exceptions de fichier SONAR pour vos clients Symantec Endpoint Protection 12.1.2. Cependant, vous pouvez empêcher l'injection de code de SONAR dans les applications sur ces clients, en créant une exception Application à surveiller dans la politique héritée. Une fois que le client a appris l'application, vous pouvez configurer une exception d'application dans la politique.

104 Gestion des analyses Gestion de SONAR sur votre ordinateur client SONAR n'effectue pas de détections sur le type d'application, mais sur le comportement d'un processus. SONAR agit sur une application seulement si cette application se comporte de façon malveillante, indépendamment de son type. Par exemple, si un cheval de Troie ou un enregistreur de frappe n'agit pas de façon malveillante, SONAR ne le détecte pas. SONAR détecte les éléments suivants : Menaces heuristiques Modifications du système Applications approuvées qui affichent un comportement incorrect SONAR utilise des heuristiques pour déterminer si un fichier inconnu se comporte de façon suspecte et s'il peut constituer un risque élevé ou faible. Cette fonction utilise également les données de réputation pour déterminer si la menace constitue un risque élevé ou faible. SONAR détecte les applications ou les fichiers qui essayent de modifier les paramètres DNS ou un fichier hôte sur un ordinateur client. Certains fichiers approuvés peuvent être associés à un comportement suspect. SONAR identifie ces fichiers en tant qu'événements de comportement suspect. Par exemple, une application bien connue de partage de documents peut créer des fichiers exécutables. Si vous désactivez Auto-Protect, vous limitez la capacité de SONAR à détecter des fichiers constituant des risques élevés ou faibles. Si vous désactivez des consultations Insight (requêtes de réputation), vous limitez également la fonction de la détection de SONAR. Se reporter à "Gestion de SONAR sur votre ordinateur client" à la page 104. Se reporter à "Exclusion d'éléments des analyses" à la page 91. Gestion de SONAR sur votre ordinateur client La gestion de SONAR fait partie de la protection proactive contre les menaces. Sur les clients gérés, votre administrateur peut verrouiller certains des paramètres.

Gestion des analyses Gestion de SONAR sur votre ordinateur client 105 Tableau 4-13 Tâche Gestion de SONAR sur votre ordinateur client Description Assurez-vous que SONAR est activé. Pour une protection optimale de votre ordinateur client, SONAR doit être activé. SONAR est activé par défaut. SONAR est activé en même temps que la protection proactive contre les menaces. Se reporter à "A propos de l'activation et de la désactivation de la protection lors de la résolution de problèmes" à la page 49. Assurez-vous que les consultations Insight sont activées SONAR utilise les données de réputation en plus des règles heuristiques pour effectuer les détections. Si vous désactivez les consultations Insight (requêtes de réputation), SONAR effectue les détections uniquement à l'aide des technologies heuristiques. Le taux de faux positifs peut augmenter et la protection offerte par SONAR est limitée. Se reporter à "Envoi des informations concernant les détections à Symantec Security Response" à la page 101. Modification des paramètres SONAR Vous pouvez activer ou désactiver SONAR. Vous pouvez également modifier l'action de détection pour certains types de menace que SONAR détecte. Il peut être utile de modifier l'action de détection afin de réduire le taux de détections de faux positifs. Se reporter à "Modification des paramètres SONAR" à la page 106. Créez des exceptions pour les applications identifiées comme sécurisées. SONAR pourrait détecter les fichiers ou les applications que vous voulez exécuter sur votre ordinateur. Vous pouvez créer des exceptions SONAR pour les fichiers, dossiers ou applications à la page Exceptions > Modifier les paramètres. Vous pouvez également créer une exception à la quarantaine. Se reporter à "Exclusion d'éléments des analyses" à la page 91.

106 Gestion des analyses Modification des paramètres SONAR Tâche Empêcher SONAR d'examiner certaines applications Description Dans certains cas, une application risque de devenir instable ou de ne pas s'exécuter quand SONAR lui injecte du code pour l'examiner. Vous pouvez créer une exception de fichier ou d'application pour l'application. Envoi des informations concernant les détections SONAR à Symantec Security Response Se reporter à "Exclusion d'éléments des analyses" à la page 91. Symantec recommande d'activer l'envoi des informations de détection à Symantec Security Response. Ces informations aident Symantec à faire face aux menaces. Par défaut, les soumissions sont activées. Se reporter à "Envoi des informations concernant les détections à Symantec Security Response" à la page 101. Se reporter à "Gérer des analyses sur votre ordinateur" à la page 58. Se reporter à "A propos des types d'analyse" à la page 66. Modification des paramètres SONAR Vous voudrez peut-être modifier les actions SONAR afin de réduire le taux de détections de faux positifs. Vous pouvez également modifier les notifications pour les détections SONAR heuristiques. Se reporter à "Gestion de SONAR sur votre ordinateur client" à la page 104. Remarque : Sur les clients gérés, votre administrateur peut verrouiller ces paramètres. Pour modifier les paramètres SONAR 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 En regard de Protectionproactivecontrelesmenaces, cliquez sur Configurer les paramètres.

Gestion des analyses Modification des paramètres SONAR 107 3 Sur l'onglet SONAR, modifiez les actions pour des menaces heuristiques de risque élevé ou peu risquées. Vous pouvez activer le mode agressif pour les détections de niveau de risque faible. Ce paramètre augmente la sensibilité de SONAR aux détections peu risquées. Il peut aussi augmenter le taux de détections de faux positifs. 4 Vous pouvez également modifier les paramètres de notification. 5 Dans l'onglet Détection de comportement suspect, modifiez l'action associée aux détections de risque faible ou élevé. SONAR effectue ces détections lorsque les fichiers approuvés sont associés à un comportement suspect. 6 Dans l'onglet Evénements de modification du système, modifiez l'action d'analyse pour la détection des changements des paramètres du serveur DNS ou d'un fichier hôte. 7 Cliquez sur OK.

108 Gestion des analyses Modification des paramètres SONAR

Chapitre 5 Gérer le pare-feu et la prévention d'intrusion Ce chapitre traite des sujets suivants : Gestion de la protection pare-feu Gestion des règles de pare-feu Activation ou désactivation des paramètres du pare-feu Autorisation ou blocage des applications à accéder au réseau Création d'une règle de pare-feu pour une application quand elle accède au réseau de votre ordinateur Configurer le client pour bloquer le trafic quand l'économiseur d'écran est activé ou quand le pare-feu ne s'exécute pas Gérer la prévention d'intrusion Fonctionnement de la prévention d'intrusion Activation ou désactivation de la prévention d'intrusion Configuration des notifications de prévention d'intrusion Gestion de la protection pare-feu Par défaut, le client Symantec Endpoint Protection fournit le niveau approprié de protection pare-feu dont votre ordinateur a besoin. Cependant, votre administrateur a pu modifier certains des paramètres et règles de pare-feu par défaut. Si votre administrateur vous a donné la capacité de modifier

110 Gérer le pare-feu et la prévention d'intrusion Gestion de la protection pare-feu votre protection pare-feu, vous pouvez modifier les règles de pare-feu ou les paramètres du pare-feu. Tableau 5-1 décrit les tâches du pare-feu que vous pouvez effectuer pour protéger votre ordinateur. Toutes ces tâches sont facultatives et peuvent être effectuées dans n'importe quel ordre. Tableau 5-1 Gestion de la protection par pare-feu Tâche Prendre connaissance du fonctionnement du pare-feu Ajout et personnalisation des règles de pare-feu Description Apprenez comment le pare-feu protège l'ordinateur contre des attaques réseau. Se reporter à "Fonctionnement d'un pare-feu" à la page 111. Vous pouvez ajouter de nouvelles règles de pare-feu ou modifier les règles de pare-feu existantes. Par exemple, vous pouvez bloquer une application que vous ne voulez pas exécuter sur votre ordinateur, telle qu'une application publicitaire. Se reporter à "Gestion des règles de pare-feu" à la page 112. Vous pouvez également configurer une règle de pare-feu ppour autoriser des applications à accéder au réseau ou empêcher les applications à accéder au réseau. Se reporter à "Création d'une règle de pare-feu pour une application quand elle accède au réseau de votre ordinateur" à la page 126. Configuration des paramètres du pare-feu En plus de la création de règles de pare-feu, vous pouvez également activer et configurer des paramètres de pare-feu afin d'améliorer la protection pare-feu. Se reporter à "Activation ou désactivation des paramètres du pare-feu" à la page 121. Affichage des journaux de pare-feu Vous pouvez régulièrement vérifier l'état de la protection pare-feu sur votre ordinateur pour déterminer ce qui suit : Les règles de filtrage que vous avez créées fonctionnent correctement. Le client a bloqué toutes les attaques réseau. Le client a bloqué toutes les applications que vous avez prévues d'exécuter. Vous pouvez utiliser le journal de trafic et le journal de paquet pour vérifier l'état de la protection pare-feu. Par défaut, le journal de paquet est désactivé sur les clients gérés. Se reporter à "A propos des journaux" à la page 46. Se reporter à "Activation du journal des paquets" à la page 49.

Gérer le pare-feu et la prévention d'intrusion Gestion de la protection pare-feu 111 Tâche Autorisation ou blocage des applications et de certains types de trafic Activation ou désactivation du pare-feu Description Pour plus de sécurité, vous pouvez empêcher le trafic réseau d'accéder à votre ordinateur dans les situations suivantes. Vous pouvez bloquer le trafic quand l'économiseur d'écran de votre ordinateur est allumé. Vous pouvez bloquer le trafic quand le pare-feu ne s'exécute pas. Vous pouvez bloquer tout le trafic à tout moment. Se reporter à "Configurer le client pour bloquer le trafic quand l'économiseur d'écran est activé ou quand le pare-feu ne s'exécute pas" à la page 127. Vous pouvez autoriser, bloquer ou afficher un message afin d'autoriser ou bloquer une application tentant d'accéder au réseau. Ces applications s'exécutent déjà sur votre ordinateur. Se reporter à "Autorisation ou blocage des applications à accéder au réseau" à la page 125. Se reporter à "Création d'une règle de pare-feu pour une application quand elle accède au réseau de votre ordinateur" à la page 126. Vous pouvez désactiver temporairement la protection contre les menaces réseau à des fins de dépannage. Par exemple, vous pouvez avoir besoin de la désactiver pour pouvoir ouvrir une certaine application. Se reporter à "Activation ou désactivation de la protection sur l'ordinateur client" à la page 52. Fonctionnement d'un pare-feu Un pare-feu effectue toutes les tâches suivantes : Il empêche tous les utilisateurs non autorisés d'accéder aux ordinateurs et réseaux dans votre organisation qui se connectent à Internet Il surveille la communication entre vos ordinateurs et d'autres ordinateurs sur Internet. Il crée un bouclier qui autorise ou bloque les tentatives d'accès aux informations sur votre ordinateur. Il vous avertit des tentatives de connexion à partir d'autres ordinateurs. Il vous avertit des tentatives de connexion par les applications de votre ordinateur qui se connectent à d'autres ordinateurs. Le pare-feu examine les paquets de données transmis via Internet. Un paquet est un morceau de données qui fait partie du flux d'information entre deux ordinateurs. Les paquets sont rassemblés à leur destination pour apparaître comme un flux de données ininterrompu.

112 Gérer le pare-feu et la prévention d'intrusion Gestion des règles de pare-feu Les paquets contiennent des informations sur les éléments suivants : Ordinateurs à l'origine de l'envoi Destinataires Mode de traitement des données du paquet Ports de réception des paquets Les ports sont les canaux qui divisent le flux de données provenant d'internet. Les applications qui s'exécutent sur un ordinateur sont à l'écoute de ces ports. Les applications acceptent les données envoyées aux ports. Les attaques réseau exploitent les failles dans les applications vulnérables. Les attaquants utilisent ces faiblesses pour envoyer des paquets qui contiennent du code de programmation malveillant aux ports. Quand les applications vulnérables sont à l'écoute des ports, le code malveillant permet aux attaquants d'accéder à l'ordinateur. Se reporter à "Gestion de la protection pare-feu" à la page 109. Gestion des règles de pare-feu Les règles de pare-feu contrôlent la manière dont le pare-feu protège les ordinateurs contre le trafic entrant et les applications malveillantes. Le pare-feu vérifie tous les paquets entrant et sortants par rapport aux règles que vous activez. Il autorise ou bloque les paquets en fonction des conditions que vous spécifiez dans la règle de filtrage. Le client Symantec Endpoint Protection inclut des règles de pare-feu par défaut pour protéger votre ordinateur. Cependant, vous pouvez modifier les règles de pare-feu pour une protection supplémentaire si votre administrateur le permet ou si votre client est non géré. Le Tableau 5-2 décrit ce que vous devez savoir pour gérer des règles de pare-feu.

Gérer le pare-feu et la prévention d'intrusion Gestion des règles de pare-feu 113 Tableau 5-2 Gestion des règles de pare-feu Objet Découvrir comment les règles de pare-feu fonctionnent et ce qui les compose Ajouter une règle de pare-feu Activer ou désactiver une règle de pare-feu Description Avant de modifier les règles de pare-feu, vous devez comprendre les informations suivantes sur le fonctionnement des règles de pare-feu. Comment classer les règles pour garantir que les règles les plus restrictives soient évaluées en premier et que les règles les plus générales soient évaluées en dernier. Se reporter à "A propos de l'ordre de traitement des règles et des paramètres du pare-feu et de la prévention d'intrusion" à la page 116. Le client utilise l'inspection avec état, qui élimine le besoin pour vous de créer des règles supplémentaires. Se reporter à "Utilisation de l'inspection avec état par le pare-feu" à la page 117. Les composants du pare-feu qui composent la règle de pare-feu. Se reporter à "Eléments d'une règle de pare-feu" à la page 113. Vous pouvez effectuer les tâches suivantes pour gérer des règles de pare-feu : Symantec Endpoint Protection s'installe avec des règles de pare-feu par défaut, mais vous pouvez ajouter vos propres règles. Se reporter à "Ajout d'une règle de pare-feu" à la page 118. Vous pouvez personnaliser une règle par défaut ou une que vous avez créée en modifiant certains critères de la règle de pare-feu. Exporter et importer des règles de pare-feu Une autre manière d'ajouter une règle de filtrage consiste à exporter des règles de filtrage existantes à partir d'une autre politique de pare-feu. Vous pouvez alors importer les règles de pare-feu et les paramètres, sans avoir à les recréer. Se reporter à "Exportation et importation des règles de pare-feu" à la page 120. Copier et coller des règles de pare-feu Les règles de pare-feu sont automatiquement activées. Cependant, il peut s'avérer nécessaire de désactiver temporairement une règle de pare-feu pour la tester. Le pare-feu n'examine pas les règles désactivées. Se reporter à "Activation et désactivation des règles de pare-feu" à la page 119. Eléments d'une règle de pare-feu Les règles de filtrage contrôlent la manière dont le client protège votre ordinateur du trafic réseau malveillant. Quand un ordinateur tente de se connecter à un autre ordinateur, le pare-feu compare le type de connexion aux règles de filtrage. Le pare-feu vérifie automatiquement tous les paquets de trafic entrants et sortants en fonction de ces règles. Le pare-feu autorise ou bloque les paquets selon les règles.

114 Gérer le pare-feu et la prévention d'intrusion Gestion des règles de pare-feu Vous pouvez utiliser des déclencheurs tels que des applications, des hôtes et des protocoles afin de définir les règles de pare-feu. Par exemple, une règle peut identifier un protocole par rapport à une adresse de destination. Quand le pare-feu évalue la règle, tous les déclencheurs doivent être vrais pour qu'une correspondance positive se produise. Si un déclencheur est faux pour le paquet actuel, le pare-feu n'applique pas la règle. Dès qu'une règle de filtrage est déclenchée, aucune autre règle de filtrage n'est évaluée. Si aucune règle n'est déclenchée, le paquet est automatiquement bloqué et l'événement n'est pas consigné. Une règle de pare-feu décrit les conditions dans lesquelles une connexion réseau peut être permise ou bloquée. Par exemple, une règle peut permettre le trafic réseau entre le port distant 80 et l'adresse IP 192.58.74.0, entre 9h du et 17h quotidiennement. Tableau 5-3 décrit les conditions utilisés pour définir une règle de pare-feu.

Gérer le pare-feu et la prévention d'intrusion Gestion des règles de pare-feu 115 Tableau 5-3 Conditions de règle de pare-feu Condition Déclencheurs Description Les déclencheurs de règle de pare-feu sont comme suit : Applications Quand l'application est le seul déclencheur défini dans une règle d'autorisation de trafic, le pare-feu permet à l'application d'effectuer n'importe quelle opération réseau. L'application est la valeur significative, pas les opérations réseau que l'application effectue. Par exemple, supposez que vous permettiez Internet Explorer et ne définissiez aucun autre déclencheur. Les utilisateurs peuvent accéder aux sites distants qui utilisent HTTP, HTTPS, FTP, Gopher et n'importe quel autre protocole que le navigateur Web prend en charge. Vous pouvez définir des déclencheurs supplémentaires pour décrire les protocoles réseau et les hôtes particuliers avec lesquels la communication est autorisée. Hôtes L'hôte local est toujours l'ordinateur client local et l'hôte distant est toujours un ordinateur distant qui est placé ailleurs sur le réseau. Cette expression des relations d'hôte est indépendante de la direction du trafic. Quand vous définissez des déclencheurs d'hôte, vous spécifiez l'hôte du côté distant de la connexion réseau décrite. Protocoles Un déclencheur de protocole identifie un ou plusieurs protocoles réseau qui sont significatifs par rapport au trafic décrit. L'ordinateur d'hôte local possède toujours le port local et l'ordinateur distant possède toujours le port distant. Cette expression des relations de port est indépendante de la direction du trafic. Adaptateurs réseau Si vous définissez un déclencheur de carte/d'adaptateur réseau, la règle est appropriée seulement au trafic qui est transmis ou reçu en utilisant le type spécifié d'adaptateur. Vous pouvez spécifier n'importe quel adaptateur ou celui actuellement associés à l'ordinateur client. Vous pouvez combiner les définitions de déclencheur pour former des règles plus complexes, comme d'identifier un protocole particulier par rapport à une adresse cible spécifique. Quand le pare-feu évalue la règle, tous les déclencheurs doivent être vrais pour qu'une correspondance positive se produise. Si un déclencheur n'est pas vrai par rapport au paquet actuel, le pare-feu n'applique pas la règle. Conditions Planification et état d'écran de veille. Les paramètres conditionnels ne décrivent pas un aspect d'une connexion réseau. Au lieu de cela, les paramètres conditionnels déterminent l'état actif d'une règle. Les paramètres conditionnels sont facultatifs et non significatifs s'ils ne sont pas définis. Vous pouvez installer une planification ou identifier un état d'écran de veille qui dicte quand une règle est considérée en activité ou inactive. Le pare-feu n'évalue pas les règles inactives quand le pare-feu reçoit des paquets.

116 Gérer le pare-feu et la prévention d'intrusion Gestion des règles de pare-feu Condition Actions Description Autoriser ou bloquer et consigner ou ne pas consigner. Les paramètres d'action spécifient quelles mesures le pare-feu prend quand il trouve une correspondance avec une règle. Si la règle est sélectionnée en réponse à un paquet reçu, le pare-feu exécute toutes les actions. Le pare-feu autorise ou bloque le paquet et consigne ou ne consigne pas le paquet. Si le pare-feu autorise le trafic, il laisse le trafic spécifié par la règle accéder à votre réseau. Si le pare-feu bloque le trafic, il bloque le trafic que la règle spécifie de sorte qu'il n'accède pas à votre réseau. Se reporter à "Utilisation de l'inspection avec état par le pare-feu" à la page 117. Se reporter à "Ajout d'une règle de pare-feu" à la page 118. Se reporter à "Gestion des règles de pare-feu" à la page 112. A propos de l'ordre de traitement des règles et des paramètres du pare-feu et de la prévention d'intrusion Les règles de pare-feu sont commandées séquentiellement, de la priorité la plus haute à la plus basse dans la liste des règles. Si la première règle ne spécifie pas comment traiter un paquet, le pare-feu examine la deuxième règle. Ce processus se poursuit jusqu'à ce que le pare-feu trouve une correspondance. Si le pare-feu trouve une correspondance, le pare-feu prend l'action que la règle spécifie. Les règles de priorité plus faible suivantes ne sont pas examinées. Par exemple, si une règle qui bloque tout le trafic est répertoriée en premier et est suivie d'une règle qui autorise tout le trafic, le client bloque tout le trafic. Vous pouvez ordonner les règles selon leur exclusivité. Les règles les plus restrictives sont évaluées en premier et les règles les plus générales en dernier. Par exemple, vous devez placer les règles qui bloquent le trafic près du haut de la liste des règles. Les règles situées plus bas dans la liste peuvent autoriser le trafic. Les meilleures méthodes de création de base de règles incluent l'ordre des règles suivant : 1er 2ème 3ème 4ème Règles qui bloquent tout le trafic. Règles qui autorisent tout le trafic. Règles qui autorisent ou bloquent des ordinateurs spécifiques. Règles qui autorisent ou bloquent des applications spécifiques, des services réseau et des ports.

Gérer le pare-feu et la prévention d'intrusion Gestion des règles de pare-feu 117 Le Tableau 5-4 indique l'ordre dans lequel le pare-feu traite les règles, les paramètres du pare-feu et les paramètres de prévention d'intrusion. Tableau 5-4 Priorité Premier Deuxième Troisième Quatrième Cinquième Sixième Ordre de traitement Paramètre Signatures IPD personnalisées Paramètres de prévention d'intrusion, paramètres de trafic et paramètres de furtivité Règles intrinsèques Règles de pare-feu Vérification d'analyse de port Signatures IPS téléchargées via LiveUpdate Se reporter à "Modification de l'ordre des règles de pare-feu" à la page 119. Se reporter à "Fonctionnement d'un pare-feu" à la page 111. Se reporter à "Fonctionnement de la prévention d'intrusion" à la page 130. Utilisation de l'inspection avec état par le pare-feu La protection par pare-feu utilise l'inspection avec état pour suivre les connexions actuelles. L'inspection avec état suit les adresses IP source et de destination, les ports, les applications et autres données de connexion. Avant d'examiner les règles de pare-feu, le client prend les décisions de flux de trafic en fonction des données de connexion. Par exemple, si une règle de pare-feu autorise un ordinateur à se connecter à un serveur Web, le pare-feu consigne les informations de connexion. Quand le serveur répond, le pare-feu détecte qu'une réponse du serveur Web à l'ordinateur est prévue. Il autorise le trafic du serveur Web à se rendre vers l'ordinateur ayant initié la connexion sans examiner la base de règles. Une règle doit autoriser le trafic sortant initial avant que le pare-feu ne consigne la connexion. L'inspection avec état élimine la nécessité de créer de nouvelles règles. Pour le trafic lancé dans une direction, vous n'avez pas besoin de créer les règles qui permettent le trafic dans les deux directions. Le trafic client initié dans une direction inclut Telnet (port 23), HTTP (port 80) et HTTPS (port 443). Les ordinateurs client lancent ce trafic sortant ; vous créez une règle qui autorise le trafic sortant de ces protocoles. L'inspection avec état autorise automatiquement le trafic de retour qui réagit au trafic sortant. Le pare-feu étant avec état, il vous

118 Gérer le pare-feu et la prévention d'intrusion Gestion des règles de pare-feu Ajout d'une règle de pare-feu suffit de créer les règles qui établissent une connexion, et non les caractéristiques d'un paquet particulier. Tous les paquets propres à une connexion autorisée sont implicitement autorisés en tant que constituant intégral de cette même connexion. L'inspection avec état prend en charge toutes les règles qui régissent le trafic TCP. L'inspection avec état ne prend pas en charge les règles qui filtrent le trafic ICMP. Pour le trafic ICMP, vous devez créer les règles autorisant le trafic dans les deux directions. Par exemple, si vous souhaitez que les clients utilisent la commande ping et reçoivent des réponses, vous devez créer une règle autorisant le trafic ICMP dans les deux directions. Se reporter à "Fonctionnement d'un pare-feu" à la page 111. Se reporter à "Gestion des règles de pare-feu" à la page 112. Quand vous ajoutez une règle de pare-feu, vous devez décider de l'effet de la règle. Par exemple, vous pouvez permettre tout le trafic d'une source particulière ou bloquer les paquets UDP d'un site Web. Les règles de pare-feu sont automatiquement activées quand vous les créez. Pour ajouter une règle de pare-feu 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 En regard de Protection contre les menaces réseau, cliquez sur Options > Configurer des règles de pare-feu. 3 Dans la boîte de dialogue Configurer des règles de pare-feu, cliquez sur Ajouter. 4 Sur l'onglet Général, tapez un nom pour la règle, puis cliquez sur Bloquer ce trafic ou Autoriser ce trafic. 5 Pour définir les déclencheurs pour la règle, cliquez sur chaque onglet et configurez-le comme nécessaire. 6 Pour définir la période où la règle est active ou inactive, sous l'onglet Planification, cliquez sur Activer la planification puis définissez une planification. 7 Quand vous avez terminé d'apporter vos modifications, cliquez sur OK. 8 Cliquez sur OK. Se reporter à "Eléments d'une règle de pare-feu" à la page 113. Se reporter à "Activation et désactivation des règles de pare-feu" à la page 119.

Gérer le pare-feu et la prévention d'intrusion Gestion des règles de pare-feu 119 Modification de l'ordre des règles de pare-feu Le pare-feu traite la liste des règles de pare-feu de haut en bas. Vous pouvez déterminer la manière dont le pare-feu traite les règles de pare-feu en modifiant leur ordre. Lorsque vous modifiez l'ordre, ce changement ne concerne que l'emplacement sélectionné. Remarque : Pour une meilleure protection, placez les règles les plus restrictives en premier et les règles les moins restrictives en dernier. Modification de l'ordre d'une règle de pare-feu 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 En regard de Protection contre les menaces réseau, cliquez sur Options > Configurer les règles de pare-feu. 3 Dans la boîte de dialogue Configurer les règles de pare-feu, sélectionnez la règle que vous voulez déplacer. 4 Effectuez l'une des opérations suivantes : Pour que le pare-feu traite cette règle avant la règle située au-dessus, cliquez sur la flèche orientée vers le haut. Pour que le pare-feu traite cette règle après la règle située au-dessous, cliquez sur la flèche orientée vers le bas. 5 Quand vous avez terminé de déplacer les règles, cliquez sur OK. Se reporter à "A propos de l'ordre de traitement des règles et des paramètres du pare-feu et de la prévention d'intrusion" à la page 116. Activation et désactivation des règles de pare-feu Vous devez activer des règles de sorte que le pare-feu puisse les traiter. Lorsque vous ajoutez des règles de pare-feu, elles sont automatiquement activées. Vous pouvez désactiver temporairement une règle de pare-feu si vous devez accorder un accès spécifique à un ordinateur ou un programme. Pour activer et désactiver des règles de pare-feu 1 Dans la barre latérale du client, cliquez sur Etat. 2 En regard de Protection contre les menaces réseau, cliquez sur Options > Configurer les règles de pare-feu.

120 Gérer le pare-feu et la prévention d'intrusion Gestion des règles de pare-feu 3 Dans la boîte de dialogue Configurer les règles de pare-feu, dans la colonne Nom de la règle, sélectionnez ou désélectionnez la case à cocher située en regard de la règle que vous voulez activer ou désactiver. 4 Cliquez sur OK. Se reporter à "Ajout d'une règle de pare-feu" à la page 118. Exportation et importation des règles de pare-feu Vous pouvez partager les règles avec un autre client pour éviter de les recréer. Vous pouvez exporter les règles d'un autre ordinateur et les importer sur votre ordinateur. Quand vous importez des règles, elles sont ajoutées au bas de la liste de règles de pare-feu. Les règles importées ne remplacent pas des règles existantes, même si une règle importée est identique à une règle existante. Les règles exportées et les règles importées sont enregistrées dans un fichier.sar Pour exporter des règles de pare-feu 1 Dans la barre latérale du client, cliquez sur Etat. 2 En regard de Protection contre les menaces réseau, cliquez sur Options > Configurer des règles de pare-feu. 3 Dans la boîte de dialogue Configurer des règles de pare-feu, sélectionnez les règles que vous voulez exporter. 4 Cliquez avec le bouton droit de la souris sur les règles et puis cliquez sur Exporter les règles sélectionnées. 5 Dans la boîte de dialogue Exporter, tapez un nom de fichier, puis cliquez sur Enregistrer. 6 Cliquez sur OK. Pour importer des règles de pare-feu 1 Dans la barre latérale du client, cliquez sur Etat. 2 En regard de Protection contre les menaces réseau, cliquez sur Options > Configurer des règles de pare-feu. 3 Dans la boîte de dialogue Configurer des règles de pare-feu, cliquez avec le bouton droit de la souris sur la liste des règles de pare-feu puis cliquez sur Importer la règle. 4 Dans la boîte de dialogue Importer, localisez le fichier.sar qui contient les règles que vous voulez importer. 5 Cliquez sur Ouvrir. 6 Cliquez sur OK.

Gérer le pare-feu et la prévention d'intrusion Activation ou désactivation des paramètres du pare-feu 121 Se reporter à "Ajout d'une règle de pare-feu" à la page 118. Activation ou désactivation des paramètres du pare-feu Vous pouvez activer les paramètres du pare-feu du client pour protéger votre ordinateur contre certains types d'attaques réseau. Certains paramètres remplacent les règles de pare-feu que vous devriez autrement ajouter. Remarque : Il est possible que votre administrateur ne vous permette pas de configurer ces paramètres. Tableau 5-5 décrit les types de paramètres de pare-feu que vous pouvez configurer pour personnaliser davantage votre protection par pare-feu. Tableau 5-5 Paramètres de pare-feu Catégorie Description Règles intégrées pour les services de réseau essentiels Symantec Endpoint Protection fournit des règles intégrées qui permettent des échanges normaux entre certains services réseau essentiels. Les règles intégrées éliminent le besoin de créer des règles de filtrage qui autorisent explicitement ces services. Pendant le traitement, ces règles intégrées sont évaluées avant les règles de filtrage de sorte que les paquets correspondant à une occurrence active d'une règle intégrée soient autorisés. Vous pouvez définir les règles intégrées des services DHCP, DNS et WINS. Navigation Web en mode furtif et trafic Fichier de réseau et partage d'impression Vous pouvez permettre à divers paramètres du trafic et paramètres furtifs de navigation web de se protéger contre certains types d'attaques réseau sur le client. Vous pouvez permettre à des paramètres de trafic de détecter et de bloquer le trafic qui communique par les pilotes, NetBIOS et les Token Ring. Vous pouvez configurer des paramètres pour détecter le trafic qui utilise des attaques moins visibles. Vous pouvez également contrôler le comportement du trafic IP ne correspondant à aucune règle de pare-feu. Vous pouvez permettre au client de partager ses fichiers ou d'accéder à des fichiers et des imprimantes partagés sur votre réseau local. Pour empêcher des attaques basées sur le réseau, vous pouvez désactiver le partage des fichiers et des imprimantes du réseau. Se reporter à "Activation du partage des fichiers et des imprimantes du réseau" à la page 122.

122 Gérer le pare-feu et la prévention d'intrusion Activation ou désactivation des paramètres du pare-feu Catégorie Blocage d'un ordinateur attaquant Description Quand le client Symantec Endpoint Protection détecte une attaque réseau, il peut bloquer automatiquement la connexion pour s'assurer que l'ordinateur client est sûr. Le client bloque alors automatiquement toute communication depuis et vers l'adresse IP de l'ordinateur attaquant pendant une durée déterminée. L'adresse IP de l'ordinateur attaquant est bloquée pour un unique emplacement. Pour activer ou désactiver les paramètres du pare-feu 1 Dans le client, cliquez sur Changer les paramètres. 2 En regard de Protec. contre menaces réseau, cliquez sur Configurer les paramètres. 3 Dans l'onglet Pare-feu, vérifiez les paramètres que vous souhaitez activer. Cliquez sur Aide pour plus d'informations sur les paramètres. 4 Cliquez sur OK. Se reporter à "Gestion des règles de pare-feu" à la page 112. Activation du partage des fichiers et des imprimantes du réseau Vous pouvez permettre au client de partager ses fichiers ou d'accéder à des fichiers et des imprimantes partagés sur votre réseau local. Pour empêcher des attaques basées sur le réseau, vous pouvez désactiver le partage des fichiers et des imprimantes du réseau. Tableau 5-6 Tâche Manières d'activer le partage de fichiers et d'imprimantes du réseau Description Activation automatique des paramètres de partage des fichiers et des imprimantes du réseau sous l'onglet RéseauMicrosoftWindows. Toute règle de pare-feu bloquant ce trafic est prioritaire sur ces paramètres. Activation automatique du partage des fichiers et des imprimantes du réseau

Gérer le pare-feu et la prévention d'intrusion Activation ou désactivation des paramètres du pare-feu 123 Tâche Activation manuelle du partage des fichiers et des imprimantes du réseau en ajoutant des règles de pare-feu. Description Vous pouvez ajouter des règles de pare-feu afin d'avoir plus de flexibilité par rapport aux paramètres. Par exemple, quand vous créez une règle, vous pouvez spécifier un hôte particulier au lieu de l'ensemble des hôtes. Les règles de filtrage autorisent l'accès aux ports pour l'accès aux fichiers et aux imprimantes ainsi que leur partage. Vous créez un ensemble de règles de filtrage permettant au client de partager ses fichiers. Vous créez un second ensemble de règles de filtrage de sorte que le client puisse accéder à d'autres fichiers et imprimantes. Pour permettre manuellement aux clients d'accéder aux fichiers et imprimantes Pour permettre manuellement aux autres ordinateurs d'accéder aux fichiers sur le client Activation automatique du partage des fichiers et des imprimantes du réseau 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 En regard de Protection contre les menaces réseau, cliquez sur Configurer les paramètres. 3 Sous l'onglet Réseau Microsoft Windows en dessous de Paramètres, cliquez dans le menu déroulant et sélectionnez l'adaptateur pour lequel ces paramètres s'appliquent. 4 Pour accéder aux autres ordinateurs et imprimantes du réseau, cliquez sur Rechercher les fichiers et les imprimantes sur le réseau. 5 Pour permettre à d'autres ordinateurs d'accéder aux fichiers de votre ordinateur, cliquez sur Partager mes fichiers et mes imprimantes sur le réseau. 6 Cliquez sur OK. Pour permettre manuellement aux clients d'accéder aux fichiers et imprimantes 1 Dans la barre latérale du client, cliquez sur Etat. 2 En regard de Protection contre les menaces réseau, cliquez sur Options > Configurer les règles de pare-feu. 3 Dans la boîte de dialogue Configurer les règles de pare-feu, cliquez sur Ajouter. 4 Sous l'onglet Général, tapez un nom pour la règle puis cliquez sur Autoriser ce trafic.

124 Gérer le pare-feu et la prévention d'intrusion Activation ou désactivation des paramètres du pare-feu 5 Dans la liste déroulante Protocole de l'onglet Ports et protocoles, cliquez sur TCP. 6 Dans la liste déroulante Ports distants, tapez : 88, 135, 139, 445 7 Cliquez sur OK. 8 Dans la boîte de dialogue Configurer les règles de pare-feu, cliquez sur Ajouter. 9 Sous l'onglet Général, tapez un nom pour la règle puis cliquez sur Autoriser ce trafic. 10 Dans la liste déroulante Protocole de l'onglet Ports et protocoles, cliquez sur UDP. 11 Dans la liste déroulante Ports distants, tapez : 88 12 Dans la liste déroulante Ports locaux, tapez : 137, 138 13 Cliquez sur OK. Pour permettre manuellement aux autres ordinateurs d'accéder aux fichiers sur le client 1 Dans la barre latérale du client, cliquez sur Etat. 2 En regard de Protection contre les menaces réseau, cliquez sur Options > Configurer les règles de pare-feu. 3 Dans la boîte de dialogue Configurer les règles de pare-feu, cliquez sur Ajouter. 4 Sous l'onglet Général, tapez un nom pour la règle puis cliquez sur Autoriser ce trafic. 5 Dans la liste déroulante Protocole de l'onglet Ports et protocoles, cliquez sur TCP. 6 Dans la liste déroulante Ports locaux, tapez : 88, 135, 139, 445 7 Cliquez sur OK. 8 Dans la boîte de dialogue Configurer les règles de pare-feu, cliquez sur Ajouter. 9 Sous l'onglet Général, tapez un nom pour la règle puis cliquez sur Autoriser ce trafic.

Gérer le pare-feu et la prévention d'intrusion Autorisation ou blocage des applications à accéder au réseau 125 10 Dans la liste déroulante Protocole de l'onglet Ports et protocoles, cliquez sur UDP. 11 Dans la liste déroulante Ports locaux, tapez : 88, 137, 138 12 Cliquez sur OK. Se reporter à "Activation ou désactivation des paramètres du pare-feu" à la page 121. Autorisation ou blocage des applications à accéder au réseau Vous pouvez spécifier l'action qu'applique le client sur une application quand elle essaye d'accéder au réseau de votre ordinateur ou essaye d'accéder à votre ordinateur. Par exemple, vous empêcher Internet Explorer d'accéder à tous les sites Web de votre ordinateur. Tableau 5-7 décrit les mesures prises par le client sur le trafic réseau. Tableau 5-7 Action Autoriser Mesures prises par le pare-feu quand des applications accèdent au client ou au réseau Description Permet au trafic entrant d'accéder à l'ordinateur client et au trafic sortant d'accéder au réseau. Si le client reçoit le trafic, l'icône affiche un petit point bleu dans le coin inférieur gauche. Si le client envoie le trafic, l'icône affiche le point dans le coin inférieur droit. Bloquer Demander Terminer Empêche le trafic entrant et le trafic sortant d'accéder au réseau ou à une connexion Internet. Demande si l'application doit accéder au réseau la prochaine fois que vous tentez d'exécuter l'application. Arrête le processus. Pour autoriser ou empêcher une application d'accéder au réseau 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 En regard de Protection contre les menaces réseau, cliquez sur Options > Afficher l'activité réseau.

126 Gérer le pare-feu et la prévention d'intrusion Création d'une règle de pare-feu pour une application quand elle accède au réseau de votre ordinateur 3 Dans la boîte de dialogue Activité réseau, cliquez avec le bouton droit de la souris sur l'application ou le service, puis cliquez sur l'action que vous voulez que le client entreprenne sur cette application. 4 Cliquez sur Fermer. Si vous cliquez sur Autoriser, Bloquer ou Demander, vous pouvez créer une règle de pare-feu pour cette application seulement. Se reporter à "Création d'une règle de pare-feu pour une application quand elle accède au réseau de votre ordinateur" à la page 126. Création d'une règle de pare-feu pour une application quand elle accède au réseau de votre ordinateur Vous pouvez créer une règle de pare-feu qui spécifie si une application exécutée sur votre ordinateur est autorisée à accéder au réseau. Le client peut autoriser ou bloquer l'application, ou vous demander d'abord si vous souhaitez autoriser ou bloquer l'application. Par exemple, vous pouvez configurer le client pour bloquer l'affichage d'un site Web donné dans votre navigateur Web. Vous pouvez également spécifier les conditions (quand et comment) d'autorisation ou de blocage de l'application. Par exemple, vous pouvez spécifier les heures pendant lesquelles un jeu vidéo peut accéder au réseau. Ces règles sont appelées des règles de pare-feu basées sur les applications. Remarque : Si une règle de pare-feu et une règle de pare-feu basée sur les applications sont contradictoires, la règle de pare-feu est prioritaire. Par exemple, une règle de pare-feu qui bloque tout le trafic entre 1 heure et 8 heures du matin remplace une règle d'application qui autorise l'exécution d'iexplore.exe à tout moment. Les applications qui apparaissent dans la boîte de dialogue Activité réseau sont les applications et les services qui se sont exécutés depuis le démarrage du service client. Se reporter à "Autorisation ou blocage des applications à accéder au réseau" à la page 125. Pour créer une règle de pare-feu pour une application quand elle accède au réseau de votre ordinateur 1 Dans la barre latérale du client, cliquez sur Etat. 2 En regard de Protection contre les menaces réseau, cliquez sur Options > Afficher les paramètres des applications.

Gérer le pare-feu et la prévention d'intrusion Configurer le client pour bloquer le trafic quand l'économiseur d'écran est activé ou quand le pare-feu ne s'exécute pas 127 3 Eventuellement, dans la boîte de dialogue Afficher les paramètres des applications, vous pouvez modifier l'action en cliquant avec le bouton droit de la souris sur l'application et en cliquant sur Autoriser, Demander ou Bloquer. 4 Cliquez sur Configurer. 5 Dans la boîte de dialogue Configurer les paramètres de l'application, configurez les restrictions pour cette application. Pour plus d'informations, placez le curseur de la souris sur le champ de texte et l'option ou cliquez sur Aide. Si l'action est définie sur Autoriser à l'étape 3, chaque paramètre que vous configurez constitue une restriction à la règle. Si vous avez cliqué sur Bloquer, les paramètres que vous configurez constituent des exceptions à la règle. 6 Cliquez sur OK. Vous pouvez supprimer les conditions que vous avez placées sur l'application en cliquant sur Supprimer ou Tout supprimer. Quand vous supprimez les restrictions, l'action effectuée par le client sur l'application est également effacée. Quand l'application ou le service essaye de se connecter au réseau de nouveau, un message peut vous demander de nouveau s'il faut permettre ou bloquer l'application. 7 Cliquez sur OK. Se reporter à "Ajout d'une règle de pare-feu" à la page 118. Configurer le client pour bloquer le trafic quand l'économiseur d'écran est activé ou quand le pare-feu ne s'exécute pas Vous pouvez configurer votre ordinateur pour bloquer le trafic entrant et le trafic sortant dans les situations suivantes : Quand l'écran de veille de votre ordinateur est activé. Vous pouvez configurer votre ordinateur de manière à bloquer l'ensemble du trafic Voisinage réseau entrant et sortant lorsque l'écran de veille de l'ordinateur est activé. Dès que l'écran de veille est désactivé, votre ordinateur revient au niveau de sécurité précédemment attribué. Pour bloquer le trafic quand l'écran de veille est activé

128 Gérer le pare-feu et la prévention d'intrusion Configurer le client pour bloquer le trafic quand l'économiseur d'écran est activé ou quand le pare-feu ne s'exécute pas Quand le pare-feu ne s'exécute pas. L'ordinateur n'est pas protégé entre le moment où l'ordinateur démarre et le moment où le service de pare-feu démarre, ou après l'arrêt du service de pare-feu et la mise hors tension de l'ordinateur. Cette période constitue une faille de sécurité qui peut permettre une communication non autorisée. Pour bloquer le trafic quand le pare-feu ne s'exécute pas Quand vous voulez bloquer tout le trafic entrant et sortant à tout moment. Vous pouvez vouloir bloquer tout le trafic quand un virus particulièrement destructeur attaque votre réseau d'entreprise ou sous-réseau. Vous ne bloquerez pas tout le trafic dans des circonstances normales. Remarque : Votre administrateur peut configurer cette option pour la rendre indisponible. Vous ne pouvez pas bloquer tout le trafic sur un client non géré. Pour bloquer tout le trafic à tout moment Vous pouvez permettre tout le trafic en désactivant la protection contre les menaces réseau. Se reporter à "Activation ou désactivation de la protection sur l'ordinateur client" à la page 52. Pour bloquer le trafic quand l'écran de veille est activé 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 En regard de Protection contre les menaces réseau, cliquez sur Configurer les paramètres. 3 Dans l'onglet Réseau Microsoft Windows sous Mode écran de veille, cliquez sur Bloquer le trafic réseau Microsoft Windows lorsque l'écran de veille est activé. 4 Cliquez sur OK. Pour bloquer le trafic quand le pare-feu ne s'exécute pas 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 En regard de Protection contre les menaces réseau, cliquez sur Configurer les paramètres. 3 Dans l'onglet Pare-feu sous Paramètres de trafic, cliquez sur Bloquer l'ensembledutraficjusqu'àl'activationdupare-feuetaprèssadésactivation. 4 En option, cliquez sur Autoriser le trafic DHCP et NetBIOS initial. 5 Cliquez sur OK.

Gérer le pare-feu et la prévention d'intrusion Gérer la prévention d'intrusion 129 Pour bloquer tout le trafic à tout moment 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 En regard de Protection contre les menaces réseau, cliquez sur Options > Afficher l'activité réseau. 3 Cliquez sur Outils > Bloquer l'ensemble du trafic. 4 Pour confirmer, cliquez sur Oui. 5 Pour revenir aux paramètres de pare-feu utilisés précédemment par le client, supprimez la coche Outils > Bloquer l'ensemble du trafic. Se reporter à "Activation ou désactivation des paramètres du pare-feu" à la page 121. Gérer la prévention d'intrusion La gestion de la prévention d'intrusion fait partie de la protection contre les menaces réseau. Tableau 5-8 Action Gérer la prévention d'intrusion Description En savoir plus sur la prévention d'intrusion Découvrez comment la prévention d'intrusion détecte et bloque les attaques réseau et de navigateur. Se reporter à "Fonctionnement de la prévention d'intrusion" à la page 130. Télécharger les signatures IPS les plus récentes Par défaut, les dernières signatures sont téléchargées sur le client. Cependant, vous pouvez choisir de télécharger les signatures manuellement immédiatement. Se reporter à "Mise à jour de la protection de l'ordinateur" à la page 41.

130 Gérer le pare-feu et la prévention d'intrusion Fonctionnement de la prévention d'intrusion Action Activez ou désactivez la prévention d'intrusion réseau ou du navigateur Description Vous pouvez vouloir désactiver la prévention d'intrusion à des fins de dépannage ou si les ordinateurs client détectent un trop grand nombre de faux positifs. En règle générale, vous ne devez pas désactiver la prévention d'intrusion. Vous pouvez activer ou désactiver les types de prévention d'intrusion suivants : Prévention d'intrusion réseau Prévention d'intrusion du navigateur Se reporter à "Activation ou désactivation de la prévention d'intrusion" à la page 131. Vous pouvez également activer ou désactiver la prévention d'intrusion quand vous activez ou désactivez la protection contre les menaces réseau. Se reporter à "A propos de l'activation et de la désactivation de la protection lors de la résolution de problèmes" à la page 49. Configuration des notifications de prévention d'intrusion Vous pouvez configurer des notifications pour apparaître quand Symantec Endpoint Protection détecte une intrusion. Se reporter à "Configuration des notifications de prévention d'intrusion" à la page 132. Fonctionnement de la prévention d'intrusion La prévention d'intrusion fait partie de la protection contre les menaces réseau. La prévention d'intrusion détecte et bloque automatiquement les attaques réseau et les attaques sur les navigateurs. La prévention d'intrusion est la deuxième couche de défense après le pare-feu pour protéger les ordinateurs client. La prévention d'intrusion est parfois appelée le système de prévention d'intrusion (IPS). La prévention d'intrusion intercepte des données à la couche réseau. Elle utilise des signatures pour analyser des paquets ou des flux de paquets. Elle analyse chaque paquet individuellement en recherchant les configurations qui correspondent aux attaques réseau ou aux attaques de navigateur. La prévention d'intrusion détecte les attaques sur les composants du système d'exploitation et la couche d'application.

Gérer le pare-feu et la prévention d'intrusion Activation ou désactivation de la prévention d'intrusion 131 La prévention d'intrusion fournit deux types de protection. Tableau 5-9 Types de prévention d'intrusion Type Prévention d'intrusion réseau Description La prévention d'intrusion réseau utilise des signatures pour identifier des attaques sur les ordinateurs client. Pour les attaques connues, la prévention d'intrusion rejette automatiquement les paquets qui correspondent aux signatures. Vous ne pouvez pas créer les signatures personnalisées sur le client. Mais vous pouvez importer les signatures personnalisées que vous ou votre administrateur avez créées dans Symantec Endpoint Protection Manager. Prévention d'intrusion du navigateur La prévention d'intrusion du navigateur contrôle les attaques sur Internet Explorer et Firefox. La prévention d'intrusion du navigateur n'est prise en charge sur aucun autre navigateur. Firefox peut désactiver le plug-in de Symantec Endpoint Protection, mais vous pouvez le réactiver. Ce type de prévention d'intrusion utilise des signatures d'attaque ainsi que des heuristiques pour identifier des attaques sur des navigateurs. Pour certaines attaques du navigateur, la prévention d'intrusion requiert que le client ferme le navigateur. Une notification apparaît sur l'ordinateur client. Consultez l'article de la base de connaissances suivant pour obtenir les dernières informations concernant les navigateurs que la prévention d'intrusion du navigateur protège : Supported browser versions for browser intrusion prevention (Versions de navigateur prises en charge par la prévention d'intrusion du navigateur). Se reporter à "Gérer la prévention d'intrusion" à la page 129. Activation ou désactivation de la prévention d'intrusion En règle générale, quand vous désactivez la prévention d'intrusion sur votre ordinateur, votre ordinateur est moins sécurisé. Cependant, vous pouvez vouloir désactiver ces paramètres pour empêcher les faux positifs ou pour dépanner votre ordinateur. Symantec Endpoint Protection consigne les tentatives et les événements d'intrusion dans le journal de sécurité. Symantec Endpoint Protection peut également consigner des événements d'intrusion dans le journal des paquets si votre administrateur l'a configuré ainsi. Se reporter à "Gérer la prévention d'intrusion" à la page 129.

132 Gérer le pare-feu et la prévention d'intrusion Configuration des notifications de prévention d'intrusion Se reporter à "Affichage des journaux" à la page 48. Vous pouvez activer ou désactiver deux types de prévention d'intrusion : Prévention d'intrusion réseau Prévention d'intrusion du navigateur Remarque : Votre administrateur a pu configurer ces options pour qu'elles soient indisponibles. Se reporter à "A propos de l'activation et de la désactivation de la protection lors de la résolution de problèmes" à la page 49. Pour activer ou désactiver des paramètres de prévention d'intrusion 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 En regard de Protection contre les menaces réseau, cliquez sur Configurer les paramètres. 3 Sur l'onglet Prévention d'intrusion, sélectionnez ou désélectionnez l'un ou l'autre des paramètres suivants : Activer la prévention d'intrusion réseau Activer la prévention d'intrusion du navigateur Pour plus d'informations sur les paramètres, cliquez sur Aide. 4 Cliquez sur OK. Configuration des notifications de prévention d'intrusion Vous pouvez configurer des notifications pour apparaître quand le client détecte une attaque réseau sur votre ordinateur ou quand il empêche une application d'accéder à votre ordinateur. Vous pouvez définir la durée d'affichage de ces notifications et si vous souhaitez entendre une alerte sonore quand elles apparaissent. Vous devez activer le système de prévention d'intrusion pour que les notifications de prévention d'intrusion apparaissent. Si la prévention d'intrusion est activée sur l'ordinateur, les clients Mac et les clients Windows peuvent déclencher ces notifications. Remarque : Votre administrateur peut configurer ces options pour les rendre indisponibles.

Gérer le pare-feu et la prévention d'intrusion Configuration des notifications de prévention d'intrusion 133 Se reporter à "Gérer la prévention d'intrusion" à la page 129. Pour configurer des notifications de prévention d'intrusion sur un client Windows 1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres. 2 En regard de Protection contre les menaces réseau, cliquez sur Configurer les paramètres. 3 Dans la boîte de dialogue Paramètres de protection contre les menaces réseau, cliquez sur Notifications. 4 Cochez Afficher les notifications de prévention d'intrusion. 5 Pour configurer une alerte sonore à l'affichage de la notification, sélectionnez Utiliser des effets sonores pour la notification des utilisateurs. 6 Cliquez sur OK. Pour configurer des notifications de prévention d'intrusion sur un client Mac 1 Dans Symantec QuickMenu, cliquez sur Symantec Endpoint Protection, puis ouvrez les préférences de la prévention d'intrusion. 2 Cliquez sur l'icône en forme de verrou pour effectuer des modifications ou éviter que des modifications ultérieures ne soient effectuées. Vous devez fournir vos nom et mot de passe d'administrateur pour verrouiller ou déverrouiller les préférences de prévention d'intrusion. 3 Cliquez sur Afficher les notifications de prévention d'intrusion. Cliquez sur Utiliser des effets sonores pour la notification des utilisateurs, le cas échéant.

134 Gérer le pare-feu et la prévention d'intrusion Configuration des notifications de prévention d'intrusion

Chapitre 6 Gérer Symantec Network Access Control Ce chapitre traite des sujets suivants : Fonctionnement de Symantec Network Access Control Fonctionnement du client avec un module d'application Enforcer Exécution d'une vérification de l'intégrité de l'hôte Réparation de l'ordinateur Configuration du client pour l'authentification 802.1x Authentifier à nouveau votre ordinateur Affichage des journaux Symantec Network Access Control Fonctionnement de Symantec Network Access Control Le client Symantec Network Access Control valide et impose la conformité aux politiques pour les ordinateurs qui essayent de se connecter au réseau. Ce processus commence avant que l'ordinateur ne se connecte au réseau et continue durant toute la durée de la connexion. La politique d'intégrité de l'hôte est la politique de sécurité qui sert de base à toutes les évaluations et actions. L'intégrité de l'hôte est également mentionnée sous le nom de "conformité de sécurité." Tableau 6-1 décrit le processus que Network Access Control utilise pour imposer la conformité des politiques sur l'ordinateur client.

136 Gérer Symantec Network Access Control Fonctionnement de Symantec Network Access Control Tableau 6-1 Action Comment Symantec Network Access Control fonctionne Description Le client évalue continuellement sa conformité Vous activez l'ordinateur client. Le client exécute une vérification de l'intégrité de l'hôte qui compare la configuration de l'ordinateur à la politique d'intégrité de l'hôte téléchargée depuis le serveur de gestion. La vérification de l'intégrité de l'hôte évalue la conformité de votre ordinateur à la politique d'intégrité de l'hôte pour le logiciel antivirus, les correctifs, les hotfixes et d'autres exigences de sécurité. Par exemple, la politique peut vérifier le moment auquel ses définitions antivirus ont été mises à jour et les derniers correctifs appliqués au système d'exploitation. Se reporter à "Exécution d'une vérification de l'intégrité de l'hôte" à la page 138. Symantec Enforcer authentifie l'ordinateur client et lui accorde l'accès au réseau ou bloque et met en quarantaine les ordinateurs non conformes Si l'ordinateur répond à toutes les exigences de la politique, le contrôle d'intégrité réussit. Enforcer accorde le plein accès au réseau aux ordinateurs qui passent la vérification de l'intégrité de l'hôte. Si l'ordinateur ne répond pas aux exigences de la politique, la vérification de l'intégrité de l'hôte échoue. Quand une vérification de l'intégrité de l'hôte échoue, le client ou Symantec Enforcer bloque votre ordinateur ou le met en quarantaine jusqu'à ce que vous résolviez le problème. Les ordinateurs en quarantaine ont un accès limité ou nul au réseau. Votre administrateur peut avoir installé la politique de sorte qu'une vérification de l'intégrité de l'hôte réussisse même si une exigence spécifique échoue Se reporter à "Fonctionnement du client avec un module d'application Enforcer" à la page 137. Le client peut afficher une notification chaque fois que la vérification de l'intégrité de l'hôte réussit. Se reporter à "Types d'alertes et de notifications" à la page 27. Le client résout les ordinateurs non conformes Si la vérification de l'intégrité de l'hôte échoue, le client installe ou vous invite à installer le logiciel requis. Quand votre ordinateur est conforme, il essaye d'accéder au réseau de nouveau. Si l'ordinateur est entièrement conforme, le réseau accorde l'accès au réseau. Se reporter à "Réparation de l'ordinateur" à la page 138.

Gérer Symantec Network Access Control Fonctionnement du client avec un module d'application Enforcer 137 Action Description Le client contrôle proactivement la conformité Le client contrôle activement l'état de conformité de tous les ordinateurs client. Si, à un moment quelconque, l'état de conformité de l'ordinateur change, les droits d'accès au réseau de l'ordinateur font de même. Vous pouvez afficher plus d'informations sur les résultats de vérification de l'intégrité de l'hôte dans le journal de sécurité. Se reporter à "Affichage des journaux" à la page 48. Se reporter à "Affichage des journaux Symantec Network Access Control" à la page 143. Fonctionnement du client avec un module d'application Enforcer Le client interagit avec Symantec Enforcer. Enforcer s'assure que tous les ordinateurs qui se connectent au réseau qu'il protège exécutent le logiciel client et ont une politique de sécurité correcte. Se reporter à "Fonctionnement de Symantec Network Access Control" à la page 135. Enforcer doit authentifier l'utilisateur ou l'ordinateur client avant d'autoriser à l'ordinateur client à accéder au réseau. Symantec Network Access Control fonctionne avec plusieurs types de modules Enforcer pour authentifier l'ordinateur client. Symantec Enforcer est le boîtier de matériel réseau qui contrôle les résultats d'intégrité de l'hôte et l'identité de l'ordinateur client avant de permettre à cet ordinateur d'avoir accès au réseau. Enforcer vérifie les informations suivantes avant de permettre aux clients d'accéder au réseau : Version du logiciel client que l'ordinateur exécute. Le client a un identificateur unique (UID). Le client a été mis à jour avec la politique d'intégrité de l'hôte la plus récente. L'ordinateur client a réussi la vérification de l'intégrité de l'hôte. Se reporter à "Configuration du client pour l'authentification 802.1x" à la page 139.

138 Gérer Symantec Network Access Control Exécution d'une vérification de l'intégrité de l'hôte Exécution d'une vérification de l'intégrité de l'hôte Votre administrateur configure la fréquence selon laquelle le client exécute une vérification de l'intégrité de l'hôte. Vous pouvez devoir exécuter une vérification de l'intégrité de l'hôte immédiatement plutôt qu'attendre le contrôle suivant. Par exemple, l'échec d'une vérification de l'intégrité de l'hôte peut indiquer que vous devez mettre à jour les signatures de protection contre les virus sur votre ordinateur. Le client peut vous permettre de choisir de télécharger le logiciel requis immédiatement ou de reporter le téléchargement. Si vous téléchargez le logiciel immédiatement, vous devez exécuter la vérification de l'intégrité de l'hôte de nouveau pour vérifier que vous avez le logiciel correct. Vous pouvez attendre la vérification de l'intégrité de l'hôte planifiée suivante ou exécuter le contrôle immédiatement. Pour exécuter une vérification de l'intégrité de l'hôte 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 En regard de Contrôle d'accès réseau, cliquez sur Options > Vérifier la conformité. 3 Cliquez sur OK. Si vous aviez été bloqué pour l'accès au réseau, vous devriez regagner l'accès au réseau quand votre ordinateur a été mis à jour pour être conforme à la politique de sécurité. Se reporter à "Fonctionnement de Symantec Network Access Control" à la page 135. Réparation de l'ordinateur Si le client constate qu'une spécification de politique d'intégrité de l'hôte n'est pas satisfaite, il réagit de l'une des manières suivantes : Le client télécharge automatiquement la mise à jour du logiciel. Le client vous invite à télécharger la mise à jour logicielle requise. Pour corriger votre ordinateur Dans la boîte de dialogue Symantec Endpoint Protection qui apparaît, faites une des actions suivantes : Pour vérifier les exigences de sécurité auxquelles votre ordinateur ne satisfait pas, cliquez sur Détails. Pour installer immédiatement le logiciel, cliquez sur Restaurer Vous pouvez ou non avoir l'option d'annuler l'installation après qu'elle ait commencé.

Gérer Symantec Network Access Control Configuration du client pour l'authentification 802.1x 139 Pour reporter l'installation du logiciel, cliquez sur Me le rappeler dans et sélectionnez un délai dans la liste déroulante. L'administrateur peut configurer le nombre de fois maximal où l'installation peut être reportée. Configuration du client pour l'authentification 802.1x Si votre réseau d'entreprise utilise LAN Enforcer pour l'authentification, l'ordinateur client doit être configuré pour utiliser l'authentification 802.1x. Vous ou votre administrateur devez configurer le client. Votre administrateur peut vous avoir autorisé ou non à configurer l'authentification 802.1x. Le procédé d'authentification 802.1x inclut les étapes suivantes : Un client non authentifié ou un demandeur tiers envoie les informations utilisateur et les informations de conformité à un commutateur réseau 802.1x géré. Le commutateur réseau retransmet les informations à LAN Enforcer. LAN Enforcer envoie les informations utilisateur au serveur d'authentification pour l'authentification. Le serveur RADIUS est le serveur d'authentification. Si le client échoue à l'authentification au niveau utilisateur ou n'est pas conforme à la politique d'intégrité de l'hôte, Enforcer peut bloquer l'accès au réseau. Enforcer place l'ordinateur client non conforme dans un réseau de quarantaine où l'ordinateur peut être corrigé. Après que le client a corrigé l'ordinateur et l'a rendu conforme, le protocole 802.1x authentifie à nouveau l'ordinateur et lui accorde l'accès au réseau. Pour travailler avec LAN Enforcer, le client peut utiliser un demandeur tiers ou un demandeur intégré. Tableau 6-2 décrit les types d'options que vous pouvez configurer pour l'authentification 802.1x.

140 Gérer Symantec Network Access Control Configuration du client pour l'authentification 802.1x Tableau 6-2 Options d'authentification 802.1x Option Demandeur tiers Description Utilise un demandeur tiers 802.1x. LAN Enforcer fonctionne avec un serveur RADIUS et des demandeurs tiers 802.1x pour effectuer l'authentification utilisateur. Le demandeur de 802.1x vous invite pour les informations d'utilisateur. Le boîtier LAN Enforcer transmet ces informations d'utilisateur au serveur Radius pour l'authentification au niveau de l'utilisateur. Le client envoie le profil client et l'état d'intégrité de l'hôte à Enforcer de sorte qu'enforcer authentifie l'ordinateur. Remarque : Si vous voulez utiliser le client Symantec Network Access Control avec un demandeur tiers, le module Protection contre les menaces réseau du client Symantec Endpoint Protection doit être installé. Mode transparent Utilise le client pour s'exécuter en tant que demandeur 802.1x. Vous utilisez cette méthode si l'administrateur ne souhaite pas utiliser un serveur RADIUS pour effectuer l'authentification utilisateur. LAN Enforcer s'exécute dans le mode transparent et agit en tant que serveur pseudo-radius. Le mode transparent signifie que le demandeur ne vous demande pas les données utilisateur. Dans le mode transparent, le client agit en tant que demandeur 802.1x. Le client répond à la sollicitation EAP du commutateur avec le profil client et l'état d'intégrité de l'hôte. Le commutateur, à son tour, fait suivre les informations à LAN Enforcer, qui agit en tant que serveur pseudo-radius. LAN Enforcer valide l'intégrité de l'hôte et les données de profil de client du commutateur et peut permettre, bloquer ou attribuer dynamiquement un VLAN, comme approprié. Remarque : Pour utiliser un client en tant que demandeur 802.1x, vous devez désinstaller ou désactiver les demandeurs tiers 802.1x sur l'ordinateur client. Demandeur intégré Utilise le demandeur 802.1x intégré de l'ordinateur client. Les protocoles d'authentification intégrés incluent Smart Card, PEAP ou TLS. Après avoir activé l'authentification 802.1x, vous devez spécifier le protocole d'authentification à l'utiliser. Avertissement : Contactez votre administrateur avant de configurer votre client pour l'authentification 802.1x. Vous devez savoir si votre réseau d'entreprise utilise le serveur RADIUS comme serveur d'authentification. Si vous configurez l'authentification 802.1x incorrectement, vous pouvez interrompre votre connexion au réseau.

Gérer Symantec Network Access Control Configuration du client pour l'authentification 802.1x 141 Configuration du client pour l'utilisation d'un demandeur tiers 1 Dans la barre latérale du client, cliquez sur Etat. 2 En regard de Contrôle d'accès réseau, cliquez sur Options > Changer les paramètres > Paramètres 802.1x. 3 Dans la boîte de dialogue Paramètres de Network Access Control, cliquez sur Activer l'authentification 802.1x. 4 Cliquez sur OK. Vous devez également installer une règle de filtrage qui autorise les pilotes de demandeur tiers 802.1x sur le réseau. Se reporter à "Ajout d'une règle de pare-feu" à la page 118. Vous pouvez configurer le client pour utiliser le demandeur intégré. Vous activez le client pour l'authentification 802.1x et en tant que demandeur 802.1x. Configuration du client pour l'utilisation du mode transparent ou d'un demandeur intégré 1 Dans la barre latérale du client, cliquez sur Etat. 2 En regard de Contrôle d'accès réseau, cliquez sur Options > Changer les paramètres > Paramètres 802.1x. 3 Dans la boîte de dialogue Paramètres de Network Access Control, cliquez sur Activer l'authentification 802.1x. 4 Cliquez sur Utiliser le client en tant que demandeur 802.1x. 5 Effectuez l'une des opérations suivantes : Pour sélectionner le mode transparent, cochez Utiliser le mode transparent de Symantec. Pour configurer un demandeur intégré, cliquez sur Permet de choisir le protocole d'authentification. Vous devez alors choisir le protocole d'authentification pour votre connexion réseau. 6 Cliquez sur OK.

142 Gérer Symantec Network Access Control Authentifier à nouveau votre ordinateur Sélection d'un protocole d'authentification 1 Sur l'ordinateur client, cliquez sur Démarrer > Paramètres > Connexions réseau, puis cliquez sur Connexion au réseau local. Remarque : Ces étapes sont enregistrées pour des ordinateurs qui exécutent Windows XP. Votre procédure peut varier. 2 Dans la boîte de dialogue Etat de la connexion au réseau local, cliquez sur Propriétés. 3 Dans la boîte de dialogue Propriétés de Connexion au réseau local, cliquez sur l'onglet Authentification. 4 Sur l'onglet Authentification, cliquez sur la liste déroulante Type EAP et sélectionnez l'un des protocoles d'authentification suivants : Assurez-vous que la case Activer l'authentification IEEE 802.1X pour ce réseau est cochée. 5 Cliquez sur OK. 6 Cliquez sur Close (Fermer). Se reporter à "Fonctionnement de Symantec Network Access Control" à la page 135. Authentifier à nouveau votre ordinateur Si votre ordinateur a réussi la vérification de l'intégrité de l'hôte mais que Enforcer le bloque, vous devrez peut-être authentifier à nouveau votre ordinateur. Dans des circonstances normales, vous ne devriez jamais avoir à authentifier à nouveau votre ordinateur. Enforcer peut bloquer l'ordinateur lorsque l'un des événements suivants survient : L'ordinateur client a manqué l'authentification utilisateur parce que vous avez tapé incorrectement votre nom d'utilisateur ou votre mot de passe. Votre ordinateur client se trouve dans le mauvais VLAN. L'ordinateur client n'a pas obtenu de connexion réseau. Une connexion réseau interrompue se produit habituellement parce que le commutateur entre l'ordinateur client et LAN Enforcer n'a pas authentifié votre nom d'utilisateur et mot de passe. Vous êtes connecté à un ordinateur client qui a authentifié un utilisateur avant vous. L'ordinateur client a échoué au contrôle de conformité.

Gérer Symantec Network Access Control Affichage des journaux Symantec Network Access Control 143 Vous pouvez authentifier à nouveau l'ordinateur seulement si vous ou votre administrateur avez configuré l'ordinateur avec un demandeur intégré. Remarque : Votre administrateur peut ne pas avoir configuré le client pour afficher la commande Réauthentification. Pour authentifier à nouveau votre ordinateur 1 Cliquez avec le bouton droit de la souris sur l'icône de zone de notification. 2 Cliquez sur Réauthentification... 3 Dans la boîte de dialogue Authentifier à nouveau, tapez vos nom d'utilisateur et mot de passe. 4 Cliquez sur OK. Se reporter à "Fonctionnement de Symantec Network Access Control" à la page 135. Affichage des journaux Symantec Network Access Control Le client Symantec Network Access Control utilise les journaux suivants pour contrôler différents aspects de son fonctionnement et les résultats de la vérification de l'intégrité de l'hôte : Sécurité Système Enregistre les résultats et l'état de vérifications de l'intégrité de l'hôte. Enregistre toutes les modifications opérationnelles pour le client, tel que la connexion au serveur de gestion et les mises à jour de la politique de sécurité client. Si vous utilisez un client géré, les deux journaux peuvent être régulièrement envoyés au serveur. Votre administrateur peut utiliser le contenu des journaux pour analyser l'état global de la sécurité du réseau. Vous pouvez exporter les données de ces journaux. Pour afficher les journaux Symantec Network Access Control 1 Dans la barre latérale du client, cliquez sur Etat. 2 Pour afficher le journal de sécurité, à côté de Network Access Control, cliquez sur Options > Afficher les journaux.

144 Gérer Symantec Network Access Control Affichage des journaux Symantec Network Access Control 3 Dans le journal de sécurité, sélectionnez la première entrée de journal. Dans le coin inférieur gauche, les résultats de la vérification de l'intégrité de l'hôte apparaissent. Si le client était déjà installé, la condition prédéfinie de pare-feu est remplie. Si le client n'était pas installé, la condition prédéfinie de pare-feu échoue mais est signalée comme réussie. 4 Pour afficher le journal système, dans la boîte de dialogue Journal de sécurité - Journaux de Symantec Network Access Control, cliquez sur le Afficher > Journal système. 5 Cliquez sur Fichier > Quitter. Se reporter à "A propos des journaux" à la page 46.

Index A activer et désactiver Auto-Protect 53 alertes icônes 17 réagir 27 analyse de clic droit 23 analyse de messagerie. Se reporter à Auto-Protect analyses à propos de 66 actions correctives 82 ajustement des paramètres 82 composants soumis à l'analyse 62 configuration des exceptions 82 définies par l'utilisateur 82 exclusion d'éléments 91 exécution 23 fonctionnement 62 gestion 58 interprétation des résultats 29 options de mise en sommeil 25 options de notification 82 planifiées 73 réagir à une détection 30 report 24 sur demande et au démarrage 77 suspension 24 types de 66 analyses Active Scan exécution 75 analyses au démarrage création 77 analyses complètes exécution 75 analyses personnalisées exécution 75 analyses planifiées analyses manquées 74 création 73 multiples 74 analyses sur demande création 77 exécution 23 application à propos de 137 applications autoriser ou bloquer 118 exclusion des analyses 91 applications trompeuses 66 authentification 802.1x à propos de 139 configuration 141 Auto-Protect activation ou désactivation 50, 53 clients de messagerie groupware 68 Download Insight 50 pour le système de fichiers 53 pour Lotus Notes 70 pour messagerie Internet 68 pour Microsoft Outlook 68 autoriser le trafic réagir aux messages 35 B blocage du trafic 127 bloquer le trafic réagir aux messages 35 règles de pare-feu 118 C Centre de sécurité Windows affichage de l'état antivirus 102 affichage de l'état du pare-feu 102 cheval de Troie 65 clients désactivation de la protection 49 géré contre non géré 15 16 protection des ordinateurs 39 clients autonomes 15 clients gérés à propos de 15

146 Index gestion de la protection 39 recherche 16 clients non gérés à propos de 15 gestion de la protection 39 recherche 16 composeurs 65 Consultation Insight sites intranet approuvés 81 contrôle d'accès réseau à propos 12 à propos de 135 application 137 réparation de l'ordinateur 138 courrier électronique exclusion du fichier de boîte de réception des analyses 90 D définition mise à jour 41, 43 définition de virus mise à jour 41, 43 définitions à propos 62 mise à jour 42 définitions de virus à propos 62 mise à jour 42 dépannage Outil de support 25 désactiver Auto-Protect 50 Protection contre les menaces réseau 51 protection proactive contre les menaces 51 détection des logiciels malveillants au démarrage 98 domaine Web exclusion des analyses 91 données de réputation 72 dossiers exclusion des analyses 91 Download Insight données de réputation 72 gestion des détections 78 interaction avec Auto-Protect 50 personnalisation 81 réagir aux notifications 33 E exceptions à propos de 90 91 création 91 exceptions d'analyse. Se reporter à exceptions F fichiers action lors d'une détection 30 exclusion des analyses 91 partage 122 fichiers infectés action 29 files (fichiers) soumission à Symantec Security Response 96 I icône de bouclier 44 icône de la zone de notification système 44 icône de zone de notification à propos 44 masquage et affichage 46 icônes bouclier 44 cadenas 16 sur la page d'état 17 imprimante, partage 122 Insight 72 inspection avec état 117 IPS mise à jour des définitions 41 J Journal d'analyse 47 mise en quarantaine d'un fichier 96 Journal de contrôle 48 journal de débogage 48 Journal de protection contre les interventions 48 Journal de sécurité 48 Journal de trafic 47 Journal des menaces 47 Journal des paquets 47 activation 49 Journal des risques 47 mise en quarantaine d'un fichier 96 Journal système Protection contre les virus et les spywares 47 Protection proactive contre les menaces 47

Index 147 journal système gestion des clients 48 journaux à propos 46 activation du journal des paquets 49 affichage 48 contrôle d'accès réseau 143 L licences réagir aux messages 36 LiveUpdate commande 15 création de planification pour 43 exécution immédiate 42 présentation 41 logiciel de pistage 66 logiciel malveillant configurer les actions pour la détection de 85 logiciel publicitaire 65 M menaces combinées 65 menaces combinées 65 messages prévention d'intrusion 132 réagir 27, 35 37 mettre à jour définitions 42 mise à jour définition 43 mise en quarantaine des virus 30 modification de DNS ou de fichier hôte exceptions 91 N nettoyage des virus 30, 71 notification Download Insight 33 notifications prévention d'intrusion 132 réagir 27 O options pas disponible. 15 ordinateurs analyse 58 mise à jour de la protection sur 41 protection des ordinateurs 39 ordinateurs 64 bits 24 outil d'évaluation de la sécurité 66 outils de piratage 65 P Page Afficher la quarantaine 14 Page Changer les paramètres 14 Page d'état 13 icônes d'alerte 17 Page Rechercher les menaces 14 paramètres prévention d'intrusion 132 pare-feu gestion 109 inspection avec état 117 paramètres 121 partage des fichiers et des imprimantes 122 permettre le trafic règles de pare-feu 118 prévention d'intrusion activation ou désactivation 132 gestion 129 mode de fonctionnement 130 notification pour 132 prévention d'intrusion du navigateur à propos de 130 prévention d'intrusion réseau à propos de 130 programmes blagues 65 programmes d'accès distant 66 programmes de contrôle parentaux 66 protection activation ou désactivation 49, 52 comment faire 39 mise à jour 41 43 Protection contre les falsifications activation et désactivation 54 désactivation 51 Protection contre les menaces proactives à propos de 12 Protection contre les menaces réseau à propos de 12 activation ou désactivation 51 gestion 109 journaux 47

148 Index Protection contre les virus et les spywares à propos 12 Journal système 47 protection proactive contre les menaces activation ou désactivation 51 Q Quarantaine gérer des fichiers dans 93 mise en quarantaine d'un fichier manuellement 96 soumission de fichiers à Symantec Security Response 96 suppression de fichiers 97 quarantaine affichage de fichiers infectés 95 déplacement de fichiers 95 R réauthentification 142 règles de pare-feu 119 à propos de 112 activation et désactivation 119 ajouter 118 exportation 120 importation 120 ordre de traitement à propos de 116 modification 119 règles du pare-feu à propos de 113 risques de sécurité comment le client les détecte 62 comment le client réagit 66 comment le client réagit à une détection 71 configurer les actions pour la détection de 85 exclusion des analyses 91 robot Web 65 rootkits 65 gestion 104 journaux 47 modification des paramètres 106 soumissions 101 spyware 66 suppression des virus 30 Symantec Security Response soumission de fichiers 96 T trafic blocage 127 transmission 100 U update (mettre à jour) définitions 41 V ver 65 Vérification de l'intégrité de l'hôte exécution 138 virus 65 comment le client les détecte 62 comment le client réagit 66 comment le client réagit à une détection 71 configurer les actions pour la détection de 85 non reconnus 96 W Windows 8 notifications contextuelles 34, 99 S serveur clients gérés 15 connexion 44 SONAR à propos de 12, 103 à propos des détections 104 exceptions pour l'injection de code 103