Guide client de Symantec™ Endpoint Protection et Symantec

Transcription

Guide client de Symantec™
Endpoint Protection et
Symantec Network Access
Control
Guide client de Symantec Endpoint Protection et
Symantec Network Access Control
Le logiciel décrit dans ce guide est fourni dans le cadre d'un contrat de licence et ne peut
être utilisé qu'en conformité avec les termes de ce contrat.
Version de documentation 12.01.00.00
Mentions légales
Copyright © 2011 Symantec Corporation. Tous droits réservés.
Symantec, le logo Symantec, Bloodhound, Confidence Online, Digital Immune System,
LiveUpdate, Norton, Sygate et TruScan sont des marques commerciales ou des marques
déposées de Symantec Corporation ou de ses filiales aux Etats-Unis et dans d'autres pays.
Les autres noms peuvent être des marques de leurs détenteurs respectifs.
Ce produit de Symantec peut contenir le logiciel tiers pour lequel Symantec est tenu de
fournir une attribution à tierce partie ("Programmes tiers"). Certains de ces logiciels sont
mis à disposition sous licence de logiciel libre ou gratuit. Ce Contrat de licence n'altère aucun
des droits ou obligations que vous pouvez avoir dans le cadre de telles licences de logiciel
libre ou gratuit. Pour plus d'informations sur les logiciels tiers, reportez-vous à l'annexe
consacrée aux mentions légales sur les logiciels tiers ou au fichier LisezMoi TPIP
accompagnant ce produit Symantec.
Le produit décrit dans ce document est distribué selon les termes d'une licence limitant son
utilisation, sa copie, sa distribution et sa décompilation/ingénierie inverse. Ce document ne
peut, en tout ou partie, être reproduit sous aucune forme et par aucun moyen sans
l'autorisation préalable écrite de Symantec Corporation et de ses détenteurs de licence
éventuels.
LA DOCUMENTATION EST FOURNIE "EN L'ETAT" ET TOUTE GARANTIE OU CONDITION
D'AUCUNE SORTE, EXPRESSE OU IMPLICITE, Y COMPRIS, SANS QUE CELA SOIT
LIMITATIF, LES GARANTIES OU CONDITIONS IMPLICITES DE QUALITE MARCHANDE,
D'ADEQUATION A UN USAGE PARTICULIER OU DE RESPECT DES DROITS DE PROPRIETE
INTELLECTUELLE EST REFUTEE, EXCEPTE DANS LA MESURE OU DE TELLES EXCLUSIONS
SERAIENT CONSIDEREES NON VALIDES LEGALEMENT. SYMANTEC CORPORATION NE
PEUT ETRE TENUE POUR RESPONSABLE DES DOMMAGES DIRECTS OU INDIRECTS
RELATIFS AU CONTENU OU A L'UTILISATION DE LA PRESENTE DOCUMENTATION. LES
INFORMATIONS PRESENTES DANS CETTE DOCUMENTATION SONT SUJETTES A
MODIFICATION SANS PREAVIS.
Le Logiciel sous licence est considéré comme logiciel informatique commercial conformément
aux définitions de la section FAR 12.212 et soumis à des droits restreints tels que définis
dans la section FAR 52.227.19 "Commercial Computer Licensed Software - Restricted Rights"
et DFARS 227.7202 "Rights in Commercial Computer Licensed Software or Commercial
Computer Licensed Software Documentation" tels qu'applicable, et à tous règlements qui
les remplaceraient. Toute utilisation, modification, reproduction, publication, exécution,
présentation ou communication du Logiciel sous licence et de la documentation par le
gouvernement des Etats-Unis ne peut se faire que conformément aux conditions du présent
Contrat.
Symantec Corporation
350 Ellis Street
Mountain View, CA 94043
http://www.symantec.fr
Support technique
Le support technique de Symantec met à jour des centres de support globalement.
Le rôle primaire du support technique est de réagir aux requêtes spécifiques au
sujet des fonctions et de la fonctionnalité d'un produit. Le groupe de support
technique crée également le contenu pour notre base de données en ligne. Le
groupe de support technique travaille en collaboration avec les autres domaines
fonctionnels de Symantec pour répondre à vos questions en temps utile. Par
exemple, le groupe de support technique travaille avec l'ingénierie de produit et
Symantec Security Response pour fournir des services d'alerte et des mises à jour
de définitions de virus.
Les offres de support de Symantec englobent :
■
Un intervalle des options de support qui vous donnent la flexibilité de
sélectionner la bonne quantité de service pour les sociétés de toutes tailles
■
Support téléphonique et/ou par le Web pour des répondes rapides et des
informations actuelles ;
■
garantie de mise à niveau par des mises à niveau logicielles ;
■
prise en charge achetée sur une base des heures ouvrables régionales ou 24
heures sur 24 et 7 jours sur 7 ;
■
offres de la meilleure qualité de service qui incluent des services de gestion
des comptes.
Pour plus d'informations au sujet des solutions d'assistance de Symantec, vous
pouvez visiter notre site Web sur l'URL suivante :
http://www.symantec.com/fr/fr/business/support/
Des services d'assistance vous seront fournis selon votre contrat de support et la
politique de support technique d'entreprise en cours.
Contacter le support technique
Les clients avec un contrat de support en cours peuvent accéder aux informations
de support technique sur l'URL suivante :
Avant de contacter le support technique, vérifiez que votre système répond à la
configuration requise indiquée dans la documentation du produit. Veuillez en
outre vous tenir à proximité de l'ordinateur sur lequel le problème se pose, au cas
où il serait nécessaire de répliquer le problème.
Lorsque vous contactez le support technique, veillez à avoir sous la main les
informations suivantes :
■
Niveau de version du produit
■
Informations concernant le matériel
■
Mémoire disponible, espace disque et informations sur la carte réseau
■
Système d'exploitation
■
Niveau de correctif logiciel et de version
■
Topologie du réseau
■
Routeur, passerelle et informations sur l'adresse IP
■
Description du problème :
■
Messages d'erreur et fichiers journaux
■
Tentatives de dépannage effectuées avant de contacter Symantec
■
Modifications récentes apportées à la configuration logicielle et au réseau
Programme de licences et d'enregistrement
Si votre produit Symantec requiert un enregistrement ou une clé de licence,
accédez à notre page Web de support technique à l'URL suivante :
Service client
Les informations du service client sont disponibles sur l'URL suivante :
Le service client est fournit son aide pour les questions non techniques, telles que
les types suivants de problèmes :
■
Questions concernant le programme de licences ou la numérotation de produit
■
Mises à jour d'enregistrement de produit, telles que l'adresse ou les
changements de nom
■
Les informations générales sur le produit (fonctions, disponibilité de langue,
distributeurs locaux)
■
Les dernières informations sur les mises à jour et les mises à niveau du produit
■
Informations sur l'assurance et les contrats de support de mise à niveau
■
Informations sur les Programmes d'achats Symantec
■
Conseil sur les options du support technique Symantec
■
Questions non techniques d'avant-vente
■
Problèmes liés aux CD-ROM, DVD ou manuels
Ressources de contrat de support
Si vous voulez entrer en contact avec Symantec concernant un contrat de support
existant, veuillez contactez l'équipe administrative de contrat de support pour
votre région comme suit :
Asie Pacifique et Japon
[email protected]
Europe, Moyen-Orient et Afrique
[email protected]
Amérique du Nord et Amérique latine
[email protected]
Services d'entreprise supplémentaires
Symantec offre une gamme complète de services qui vous permettent d'optimiser
l'investissement effectué dans les produits Symantec et de développer vos
connaissances, expertise et compréhension globale, pour une gestion proactive
des risques commerciaux.
Les services aux entreprises disponibles sont les suivants :
Services gérés
Les services gérés suppriment la charge que représente la gestion et le contrôle
des périphériques et des événements de sécurité, assurant l'intervention rapide
face aux menaces réelles.
Services de conseil
Les services de conseil Symantec fournissent une expertise technique sur site
de Symantec et de ses partenaires approuvés. Ils offrent une série d'options
préemballées et personnalisables comportant des fonctions d'évaluation, de
conception, de mise en œuvre, de surveillance et de gestion. Chaque service a
pour objectif d'établir et de maintenir l'intégrité et la disponibilité de vos
ressources informatiques.
Services de formation
Les services de formation fournissent un ensemble complet de formation
technique, d'éducation de sécurité, de certification de sécurité et de programmes
de communication de connaissance.
Pour accéder à plus d'informations sur les services destinés aux entreprises, visitez
s'il vous plaît notre site Web sur l'URL suivante :
http://www.symantec.com/fr/fr/business/services/
Sélectionnez votre pays ou langue dans le sommaire du site.
Table des matières
Support technique .............................................................................................. 4
Chapitre 1
Prise en main du client ...................................................... 11
A propos du client Symantec Endpoint Protection ..............................
A propos du client Symantec Network Access Control .........................
Démarrage sur la page d'état ..........................................................
A propos des icônes d'alerte de la page d'état .....................................
Analyse immédiate de l'ordinateur ..................................................
Suspension et report des analyses .............................................
Pour plus d’informations ...............................................................
Chapitre 2
Réaction aux alertes et aux notifications ....................... 21
Types d'alertes et de notifications ...................................................
A propos des résultats d'analyse .....................................................
Réagir à une détection de virus ou de risque ......................................
A propos de la suppression d'un virus ou d'un risque sur un
fichier infecté ..................................................................
Réagir aux messages de Détail des téléchargements qui vous
demandent d'autoriser ou de bloquer un fichier que vous essayez
de télécharger .......................................................................
Réagir aux messages vous invitant à autoriser ou à bloquer une
application ............................................................................
A propos des messages concernant les licences expirées ......................
Réagir aux messages pour mettre à jour le logiciel client .....................
Chapitre 3
11
13
13
15
16
17
18
21
23
24
26
27
29
30
31
Vérifier que votre ordinateur est protégé ...................... 33
Gestion de la protection de votre ordinateur .....................................
Mise à jour de la protection de l'ordinateur .......................................
Mise à jour immédiate de contenu .............................................
Mise à jour de contenu sur planification .....................................
Comment déterminer si le client est connecté et protégé .....................
Masquage et affichage de l'icône de zone de notification ................
A propos des clients gérés et des clients non gérés ..............................
Vérification du caractère géré ou non géré du client ...........................
34
36
37
37
38
40
40
42
8
Table des matières
A propos de l'activation et de la désactivation de la protection ..............
Activer ou désactiver la protection sur l'ordinateur client ....................
Activation ou désactivation d'Auto-Protect .......................................
Activation, désactivation et configuration de la protection contre les
interventions ........................................................................
A propos des journaux ..................................................................
Affichage des journaux .................................................................
Activation du journal des paquets .............................................
Suivi des événements consignés jusqu'à leur source ...........................
Exportation des données de journal .................................................
Chapitre 4
43
45
46
48
49
51
52
53
54
Gestion des analyses .......................................................... 57
Gérer des analyses sur votre ordinateur ...........................................
Fonctionnement des analyses antivirus et antispyware .......................
A propos des types d'analyse ....................................................
Types d'Auto-Protect ..............................................................
A propos des virus et des risques de sécurité ...............................
Comment les analyses réagissent à la détection d'un virus ou
d'un risque ......................................................................
Utilisation par Symantec Endpoint Protection des données de
réputation pour prendre des décisions au sujet de
fichiers ..........................................................................
Planification d'une analyse définie par l'utilisateur ............................
Planification d'une analyse à exécuter sur demande ou quand
l'ordinateur démarre ..............................................................
Gérer des détections de Détail des téléchargements sur votre
ordinateur ............................................................................
Personnaliser des paramètres de Détail des téléchargements ...............
Personnalisation des paramètres d'analyse antivirus et
antispyware ..........................................................................
Configurer des actions pour la détection des logiciels malveillants et
des risques de sécurité ............................................................
Exclusion d'éléments des analyses ...................................................
Exclusion d'éléments des analyses ...................................................
Gestion des fichiers en quarantaine sur votre ordinateur client ............
A propos de la mise en quarantaine de fichiers ............................
Mise en quarantaine d'un fichier du journal des risques ou
d'analyse ........................................................................
Soumettre manuellement à Symantec Security Response un
fichier suspect pour analyse ...............................................
Suppression automatique des fichiers en quarantaine ...................
58
64
66
68
71
73
74
76
79
80
83
84
86
91
92
94
96
97
97
98
Table des matières
A propos de la transmission d'informations sur les détections à
Symantec Security Response .................................................... 99
Envoi des informations concernant les détections à Symantec Security
Response ............................................................................ 100
A propos du client et du Centre de sécurité Windows ......................... 102
Gestion de SONAR sur votre ordinateur client ................................. 103
A propos de SONAR .............................................................. 104
A propos des fichiers et des applications que SONAR
détecte ......................................................................... 105
Modification des paramètres SONAR ....................................... 106
Chapitre 5
Gérer le pare-feu et la prévention d'intrusion ............. 109
A propos de la protection contre les menaces réseau .........................
Gestion de la protection par pare-feu .............................................
Fonctionnement d'un pare-feu ................................................
Configuration des paramètres de pare-feu .......................................
Activation des paramètres de trafic et des paramètres de
navigation Web furtive ....................................................
Autorisation automatique des communications pour les services
réseau essentiels ............................................................
Activation du partage des fichiers et des imprimantes du
réseau ..........................................................................
Bloquer et débloquer un ordinateur attaquant ...........................
Blocage du trafic ..................................................................
Autoriser ou bloquer des applications ............................................
Autorisation ou blocage de l'accès au réseau d'applications ..........
Configuration des paramètres spécifiques à une application .........
Suppression des restrictions d'une application ...........................
Affichage de l'activité réseau ........................................................
A propos des règles de pare-feu client ............................................
A propos de l'ordre de traitement des règles et des paramètres du
pare-feu et de la prévention d'intrusion ....................................
Modification de l'ordre des règles de pare-feu ..................................
Utilisation de l'inspection avec état par le pare-feu ...........................
Les éléments d'une règle de filtrage ...............................................
Configuration de règles de filtrage .................................................
Ajout d'une règle de filtrage ...................................................
Exporter et importer des règles de filtrage ................................
Activer et désactiver des règles de filtrage .................................
Gérer la prévention d'intrusion .....................................................
Fonctionnement de la prévention d'intrusion ..................................
Activation ou désactivation de la prévention d'intrusion ....................
110
110
112
113
115
121
122
125
126
127
128
129
131
132
133
134
135
136
137
139
140
141
142
142
143
144
9
10
Table des matières
Configuration des notifications de prévention d'intrusion .................. 145
Chapitre 6
Gérer Symantec Network Access Control ..................... 147
Fonctionnement de Symantec Network Access Control ......................
Fonctionnement du client avec un module d'application
Enforcer .............................................................................
Exécution d'une vérification de l'intégrité de l'hôte ...........................
Réparation de l'ordinateur ...........................................................
Configuration du client pour l'authentification 802.1x ......................
Authentifier à nouveau votre ordinateur ...................................
Affichage des journaux Symantec Network Access Control .................
147
149
149
150
151
154
155
Index ................................................................................................................... 157
Chapitre
1
Prise en main du client
Ce chapitre traite des sujets suivants :
■
A propos du client Symantec Endpoint Protection
■
A propos du client Symantec Network Access Control
■
Démarrage sur la page d'état
■
A propos des icônes d'alerte de la page d'état
■
Analyse immédiate de l'ordinateur
■
Pour plus d’informations
Le client Symantec Endpoint Protection combine plusieurs couches de protection
pour sécuriser proactivement votre ordinateur contre les menaces connues ou
inconnues et les attaques de réseau.
Tableau 1-1 décrit chaque couche de protection.
12
Tableau 1-1
Types de protection
Couche
Description
Protection contre les virus et
les logiciels espions
Cette couche contre un large éventail de menaces, y
compris les logiciels espions, vers, chevaux de Troie,
rootkits et logiciels publicitaires. Auto-Protect pour le
système de fichiers inspecte en permanence tous les
fichiers informatiques pour y rechercher les virus et les
risques de sécurité. Auto-Protect pour le courrier
électronique Internet analyse les messages électroniques
entrants et sortants qui utilisent le protocole de
communication POP3 ou SMTP via SSL (Secure Sockets
Layer). Auto-Protect pour Microsoft Outlook analyse les
messages électroniques Outlook entrants et sortants.
Se reporter à "Gérer des analyses sur votre ordinateur"
à la page 58.
Protection contre les menaces La technologie de menace proactive inclut SONAR, qui
proactives
offre la protection en temps réel contre les attaques le
jour J. SONAR peut arrêter les attaques même avant que
les définitions basées sur les signatures traditionnelles
détectent une menace. SONAR utilise des technologies
heuristiques ainsi que des données de réputation de fichier
pour prendre des décisions concernant les applications
ou les fichiers.
Se reporter à "Gestion de SONAR sur votre ordinateur
client" à la page 103.
Protection contre les menaces Cette couche comporte la protection par pare-feu et de
réseau
prévention d'intrusion. Le pare-feu basé sur les règles
empêche les utilisateurs non autorisés d'accéder à votre
ordinateur. Le système de prévention d'intrusion détecte
et bloque automatiquement des attaques réseau.
Se reporter à "Gestion de la protection par pare-feu"
à la page 110.
Votre administrateur gère quels types de protection le serveur de gestion devrait
télécharger sur votre ordinateur client. Le client télécharge automatiquement les
définitions de virus, les définitions d'IPS et les mises à jour de produit sur votre
ordinateur. Les utilisateurs qui voyagent avec des ordinateurs portables peuvent
obtenir des définitions de virus et des mises à jour de produit directement depuis
LiveUpdate.
Se reporter à "Mise à jour de la protection de l'ordinateur" à la page 36.
Le client Symantec Network Access Control évalue si un ordinateur est
correctement protégé et conforme avec la politique de sécurité avant de lui
permettre de se connecter au réseau d'entreprise.
Le client s'assure que votre ordinateur est conforme à la politique de sécurité que
votre administrateur configure. La politique de sécurité vérifie si votre ordinateur
exécute le logiciel de sécurité le plus récent, comme des applications de protection
antivirus et de pare-feu. Si votre ordinateur n'exécute pas le logiciel requis, vous
devez mettre à jour le logiciel manuellement ou votre client peut mettre à jour le
logiciel automatiquement. Si votre logiciel de sécurité est à jour, votre ordinateur
peut être empêché de se connecter au réseau. Le client exécute des contrôles
périodiques pour vérifier que votre ordinateur reste conforme à la politique de
sécurité.
Se reporter à "Fonctionnement de Symantec Network Access Control" à la page 147.
Quand vous ouvrez le client, la fenêtre principale et la page d'état apparaissent.
Tableau 1-2 affiche les tâches principales que vous pouvez effectuer via la barre
de menus et l'option Aide du client.
Fenêtre principale du client
Tableau 1-2
Cliquez sur
cette option
Pour effectuer ces tâches
Aide
Accédez à l'aide en ligne principale et effectuez les tâches suivantes sur
le client :
■
■
■
■
■
Afficher des informations sur votre ordinateur, le client et la protection
du client.
Afficher des informations sur l'état de la connexion du client avec le
serveur de gestion. Vous pouvez également essayer de vous connecter
au serveur, si nécessaire.
Importer et exporter les politiques de sécurité et paramètres de
communication sur un client non géré.
Afficher et exporter des journaux de débogage et un fichier de
dépannage pour aider votre administrateur à diagnostiquer un
problème avec le client ou la protection du client.
Télécharger un utilitaire de support pour diagnostiquer les problèmes
de client courants.
13
14
Cliquez sur
cette option
Etat
Voir si l'ordinateur est protégé et si sa licence est à jour. Les couleurs et
les icônes d'alerte de la page d'état indiquent quelles technologies sont
activées et protègent le client.
Se reporter à "A propos des icônes d'alerte de la page d'état" à la page 15.
Vous pouvez :
Activer ou désactiver une ou plusieurs technologies de protection.
Se reporter à "A propos de l'activation et de la désactivation de la
protection" à la page 43.
■ Voir si vous disposez des derniers fichiers de définitions pour la
protection contre les virus et les spywares, la protection proactive
contre les menaces et la protection contre les menaces réseau.
■ Exécuter une analyse Active Scan.
Se reporter à "Analyse immédiate de l'ordinateur" à la page 16.
■ Afficher la liste des menaces et les résultats de la dernière analyse
contre les virus et les spywares.
■
Rechercher
les menaces
Ouvrez et effectuez les tâches suivantes :
Exécuter immédiatement une analyse Active Scan ou complète.
■ Créer une analyse planifiée, de démarrage ou sur demande.
Se reporter à "Planification d'une analyse définie par l'utilisateur"
à la page 76.
Se reporter à "Planification d'une analyse à exécuter sur demande ou
quand l'ordinateur démarre" à la page 79.
■
Cliquez sur
cette option
Changer les
paramètres
Permet de configurer des paramètres pour les technologies et fonctions
de protection suivantes :
■
■
■
■
■
■
Activer et configurer les paramètres Auto-Protect.
Se reporter à "Personnalisation des paramètres d'analyse antivirus et
antispyware" à la page 84.
Configurer les paramètres de filtrage et les paramètres du système de
prévention d'intrusion.
Se reporter à "Gestion de la protection par pare-feu" à la page 110.
Afficher et ajouter des exceptions aux analyses.
Se reporter à "Exclusion d'éléments des analyses" à la page 92.
Afficher l'icône de la zone de notification.
Se reporter à "Comment déterminer si le client est connecté et protégé"
à la page 38.
Configurer les paramètres de protection contre les falsifications.
Se reporter à "Activation, désactivation et configuration de la protection
contre les interventions" à la page 48.
Créer une planification pour télécharger des mises à jour de contenu
et de produit vers le client.
Se reporter à "Mise à jour de contenu sur planification" à la page 37.
Se reporter à "Gestion de la protection de votre ordinateur" à la page 34.
Afficher la
quarantaine
Afficher les virus et les risques de sécurité que le client a détectés et mis
en quarantaine. Vous pouvez restaurer, supprimer, nettoyer, exporter et
ajouter des fichiers dans la quarantaine.
Se reporter à "A propos de la mise en quarantaine de fichiers" à la page 96.
Afficher les
journaux
Affichez n'importe quel journal du client.
LiveUpdate
Exécuter LiveUpdate immédiatement. LiveUpdate télécharge les dernières
définitions de contenu et mises à jour de produit à partir d'un serveur de
gestion situé sur le réseau de votre entreprise.
Se reporter à "Affichage des journaux" à la page 51.
Se reporter à "Mise à jour immédiate de contenu" à la page 37.
Le haut de la page d'état affiche diverses icônes d'alerte pour indiquer l'état de
protection de l'ordinateur.
15
16
Tableau 1-3
Icône
Icônes d'alerte de la page d'état
Description
Indique que chaque protection est activée.
Vous avertit que les définitions de virus de l'ordinateur client sont obsolètes.
Pour recevoir les dernières définitions de virus, vous pouvez exécuter LiveUpdate
immédiatement.
L'ordinateur client peut également rencontrer les problèmes suivants :
L'ordinateur client a échoué à la vérification de conformité de la sécurité
d'intégrité de l'hôte. Pour savoir ce qu'il faut faire afin de réussir la
vérification, vérifiez le journal de sécurité de la gestion des clients.
■ L'intégrité de l'hôte n'est pas connectée.
■
Indique qu'une ou plusieurs protections sont désactivées ou que le client
comporte une licence expirée. Pour activer une protection, vous cliquez sur
Réparer ou Réparer tout.
Se reporter à "A propos de l'activation et de la désactivation de la protection"
à la page 43.
Vous pouvez manuellement analyser l'ordinateur pour détecter des virus et des
risques de sécurité à tout moment. Vous devez analyser votre ordinateur
immédiatement si vous avez récemment installé le client ou si vous pensez avoir
récemment reçu un virus.
Sélectionnez l'élément à analyser : fichier, disquette ou ensemble de l'ordinateur.
Les analyses à la demande incluent l'analyse Active Scan et l'analyse complète.
Vous pouvez également créer une analyse personnalisée pour exécution à la
demande.
Se reporter à "Planification d'une analyse à exécuter sur demande ou quand
l'ordinateur démarre" à la page 79.
Pour plus d'informations sur les options de chaque boîte de dialogue, cliquez sur
Aide.
Pour analyser l'ordinateur immédiatement
◆
Effectuez l'une des opérations suivantes :
■
Sur la page Etat du client, en regard de Protection contre les virus et les
spywares, cliquez sur Options > Exécuter Active Scan.
■
Dans le client, dans la barre latérale, cliquez sur Rechercher les menaces.
■
Cliquez sur Exécuter Active Scan.
■
Cliquez sur Exécuter une analyse complète.
■
Dans la liste d'analyses, cliquez avec le bouton droit de la souris sur
n'importe quelle analyse, puis cliquez sur Analyser maintenant.
L'analyse commence.
Vous pouvez afficher la progression de l'analyse à moins que votre
administrateur ne désactive l'option. Pour afficher la progression de
l'analyse, cliquez sur le lien qui apparaît pour l'analyse actuelle :
analyse en cours.
Se reporter à "A propos des résultats d'analyse" à la page 23.
Vous pouvez également interrompre ou annuler l'analyse.
Se reporter à "Suspension et report des analyses" à la page 17.
Pour analyser l'ordinateur à partir de Windows
◆
Dans la fenêtre Poste de travail ou l'Explorateur Windows, cliquez avec le
bouton droit de la souris sur un fichier, un dossier ou un lecteur. Cliquez
ensuite sur Rechercher les virus.
Cette fonction est prise en charge sur les systèmes d'exploitation 32 et 64
bits.
Remarque : Insight Lookup n'analyse pas un dossier ou un lecteur lorsque
vous effectuez ce type d'analyse. Insight Lookup s'exécute si vous sélectionnez
un fichier ou un groupe de fichiers à analyser.
Suspension et report des analyses
La fonction de suspension permet d'interrompre une analyse à un stade quelconque
et de la reprendre à un autre moment. Vous pouvez suspendre toute analyse que
vous avez lancée.
Votre administrateur détermine si vous pouvez suspendre une analyse lancée par
l'administrateur. Si l'option Suspendre l'analyse n'est pas disponible, votre
administrateur a désactivé la fonction de pause. Si votre administrateur a activé
la fonction Différer, vous pouvez différer ses analyses planifiées d'un délai
déterminé.
17
18
Quand une analyse reprend, elle démarre à l'endroit où elle s'est arrêtée.
Remarque : Si vous tentez de suspendre une analyse pendant que le client analyse
un fichier compressé, le client peut mettre plusieurs minutes à réagir à la demande
de suspension de l'analyse.
Se reporter à "Gérer des analyses sur votre ordinateur" à la page 58.
Pour suspendre une analyse que vous avez lancée
1
Quand l'analyse s'exécute, dans la boîte de dialogue d'analyse, cliquez sur
Suspendre l'analyse.
L'analyse s'interrompt et la boîte de dialogue reste ouverte jusqu'à ce que
vous relanciez l'analyse.
2
Dans la boîte de dialogue d'analyse, cliquez sur Reprendre l'analyse pour
continuer l'analyse.
Pour suspendre ou retarder une analyse lancée par l'administrateur
1
Pendant que l'analyse lancée par l'administrateur s'exécute, cliquez sur
Suspendre l'analyse dans la boîte de dialogue d'analyse.
2
Dans la boîte de dialogue Suspension d'analyse planifiée, effectuez l'une des
opérations suivantes :
■
Pour suspendre l'analyse temporairement, cliquez sur Suspendre.
■
Pour retarder l'analyse, cliquez sur Différer 1 heure ou Différer 3 heures.
Votre administrateur spécifie le délai selon lequel vous pouvez différer
l'analyse. Quand la pause se termine, l'analyse redémarre à l'endroit où
elle a commencé. L'administrateur spécifie le nombre maximal de fois où
vous pouvez différer l'analyse planifiée.
■
Pour continuer l'analyse sans faire de pause, cliquez sur Continuer.
Le produit inclut plusieurs sources d'informations.
Tableau 1-4 affiche les sites Web où vous pouvez obtenir des informations
supplémentaires pour vous aider à utiliser le produit.
Tableau 1-4
Types d'informations
Sites Web de Symantec
Adresse Web
logiciel Symantec Endpoint Protection http://www.symantec.com/fr/fr/business/products/downloads/index.jsp
Types d'informations
Adresse Web
Base de données publique
Symantec Endpoint Protection :
http://www.symantec.com/business/support/overview.jsp?pid=54619
Versions et mises à jour
Mise à jour des manuels et de la
documentation
Symantec Network Access Control :
http://www.symantec.com/business/support/overview.jsp?pid=52788
Options de contact
Informations sur les virus et autres
menaces et mises à jour
http://www.symantec.com/fr/fr/security_response/
Informations sur les produits et les
mises à jour
http://www.symantec.com/fr/fr/business/
Formation technique en ligne gratuite http://go.symantec.com/education_septc
Services éducatifs Symantec
http://go.symantec.com/education_sep
Forums de connexion à Symantec :
Symantec Endpoint Protection:
http://www.symantec.com/connect/security/forums/
endpoint-protection-antivirus
Symantec Network Access Control:
http://www.symantec.com/connect/security/forums/
network-access-control
19
20
Chapitre
2
Réaction aux alertes et aux
notifications
■
Types d'alertes et de notifications
■
A propos des résultats d'analyse
■
Réagir à une détection de virus ou de risque
■
Réagir aux messages de Détail des téléchargements qui vous demandent
d'autoriser ou de bloquer un fichier que vous essayez de télécharger
■
Réagir aux messages vous invitant à autoriser ou à bloquer une application
■
A propos des messages concernant les licences expirées
■
Réagir aux messages pour mettre à jour le logiciel client
Le client travaille à l'arrière-plan pour maintenir votre ordinateur protégé contre
les activités malveillantes. Parfois le client doit vous informer au sujet d'une
activité ou vous demander un commentaire.
Tableau 2-1 affiche les types de messages pouvant s'afficher et nécessiter une
réponse de votre part.
22
Réaction aux alertes et aux notifications
Tableau 2-1
Alerte
Description
<nom d'analyse>
démarré en fonction ou
boîte de dialogue de
Résultats de la détection
Symantec Endpoint
Protection
Si une analyse détecte un virus ou un risque de sécurité, l'analyse
résulte ou la boîte de dialogue de Résultats de la détection
Symantec Endpoint Protection apparaît avec des détails à
propos de l'infection. La boîte de dialogue affiche également
l'action que l'analyse a effectuée sur le risque. En général, il
vous suffit d'examiner l'action et de fermer la boîte de dialogue.
Vous pouvez agir au besoin, cependant.
Se reporter à "A propos des résultats d'analyse"
à la page 23.<nom d'analyse> démarré en fonction ou Résultats
de la détection Symantec Endpoint Protection
Autres boîtes de dialogue Des messages contextuels peuvent apparaître pour les raisons
de message
suivantes :
Le client met automatiquement à jour le logiciel client.
Se reporter à "Réagir aux messages pour mettre à jour le
logiciel client" à la page 31.
■ Le client vous demande d'autoriser ou de bloquer une
application.
Se reporter à "Réagir aux messages vous invitant à autoriser
ou à bloquer une application" à la page 29.
■ La licence d'évaluation du client a expiré.
Se reporter à "A propos des messages concernant les licences
expirées" à la page 30.
■
Alerte
23
Description
Messages d'icône de zone Les notifications qui apparaissent au-dessus de l'icône de zone
de notification
de notification sont générées dans les situations suivantes :
■
Le client bloque une application.
Par exemple, la notification suivante peut apparaître :
Le trafic a été bloqué à partir
de cette application :
(nom de l'application)
Si le client est configuré pour bloquer tout le trafic, ces
notifications apparaissent fréquemment. Si votre client est
configuré pour autoriser tout le trafic, ces notifications
n'apparaissent pas.
■ Le client détecte une attaque réseau contre votre ordinateur.
Le type de notification suivant peut apparaître :
Le trafic de l'adresse IP 192.168.0.3 est bloqué
de 2/14/2010 15:37:58 à 2/14/2010 15:47:58.
L'attaque d'analyse de port est consignée.
■
La vérification de conformité de la sécurité a échoué. Le trafic
peut être bloqué d'aller à et de votre ordinateur
Vous n'avez rien d'autre à faire que lire les messages.
Se reporter à "Comment déterminer si le client est connecté et
protégé" à la page 38.
Pour les clients gérés, votre administrateur configure généralement une analyse
complète au moins une fois par semaine. Pour les clients non gérés, une analyse
Active Scan générée automatiquement s'exécute au démarrage de l'ordinateur.
Par défaut, Auto-Protect s'exécute en continu sur votre ordinateur.
Quand les analyses s'exécutent, une boîte de dialogue d'analyse apparaît pour
indiquer la progression et afficher les résultats de l'analyse. Lorsque l'analyse est
terminée, les résultats apparaissent dans la liste. Si le client ne détecte aucun
virus ou risque de sécurité, la liste demeure vide et l'état est Terminé.
Si le client détecte des risques pendant l'analyse, la boîte de dialogue des résultats
d'analyse affiche des résultats avec les informations suivantes :
■
Le nom des virus ou des risques de sécurité
■
Le nom des fichiers infectés
24
■
Les actions que le client a exécutées sur les risques
Si le client détecte un virus ou risque de sécurité, il peut être nécessaire d'agir sur
un fichier infecté.
Remarque : Pour les clients gérés, votre administrateur peut choisir de masquer
la boîte de dialogue de résultats d'analyse. Si le client est non géré, vous pouvez
afficher ou masquer cette boîte de dialogue.
Si vous ou votre administrateur configurez le logiciel client pour afficher une
boîte de dialogue de résultats d'analyse, vous pouvez interrompre, redémarrer ou
arrêter l'analyse.
Se reporter à "A propos des clients gérés et des clients non gérés" à la page 40.
Se reporter à "Réagir à une détection de virus ou de risque" à la page 24.
Quand une analyse définie par l'utilisateur ou une analyse Auto-Protect s'exécute,
une boîte de dialogue de résultats d'analyse peut apparaître. Vous pouvez utiliser
la boîte de dialogue de résultats d'analyse pour agir immédiatement sur le fichier
infecté.
Par exemple, vous pouvez décider de supprimer un fichier nettoyé car vous préférez
le remplacer par un fichier original.
Vous pouvez également utiliser le journal de quarantaine, de risque ou d'analyse
pour agir sur le fichier plus tard.
Se reporter à "Gestion des fichiers en quarantaine sur votre ordinateur client"
à la page 94.
Pour réagir face à la détection d'un virus ou d'un risque dans la boîte de dialogue
de résultats d'analyse
1
Dans la boîte de dialogue de résultats d'analyse, sélectionnez les fichiers sur
lesquels vous voulez agir.
2
Cliquez avec le bouton droit de la souris sur le fichier, puis sélectionnez l'une
des options suivantes :
Nettoyer
Supprime le virus du fichier. Cette option est
disponible uniquement pour les virus.
Exclure
Empêche le fichier d'être de nouveau analysé.
Supprimer définitivement
Supprime le fichier infecté et tous ses effets
secondaires. Pour les risques de sécurité,
utilisez cette action avec prudence. Dans
certains cas, la suppression de risques de
sécurité peut empêcher une application de
fonctionner correctement.
Annuler l'opération effectuée
Annule l'opération effectuée.
Mettre en quarantaine
Place les fichiers infectés en quarantaine. Pour
les risques de sécurité, le client essaye
également de supprimer ou de réparer les
effets secondaires. Dans certains cas, si le
client met en quarantaine un risque de
sécurité, une application peut cesser de
fonctionner.
Propriétés
Affiche des informations sur le virus ou le
risque de sécurité.
Dans certains cas, l'action peut ne pas être disponible.
3
Dans la boîte de dialogue, cliquez sur Fermer.
Il se peut que vous ne puissiez pas fermer la boîte de dialogue si les risques
qui sont listés exigent une action de votre part. Par exemple, le client peut
devoir terminer un processus ou une application ou devoir arrêter un service.
Dans ce cas, une boîte de dialogue Supprimer les risques maintenant apparaît.
4
Si la boîte de dialogue Supprimer les risques maintenant apparaît, cliquez
sur l'une des options suivantes :
■
Oui
Le client supprime le risque. La suppression du risque peut nécessiter un
redémarrage. Les informations de la boîte de dialogue indiquent si un
redémarrage est requis.
25
26
■
5
Non
La boîte de dialogue des résultats vous rappelle que votre intervention est
toujours nécessaire. Cependant, la boîte de dialogue Supprimer les risques
maintenant n'apparaît plus jusqu'à ce que vous redémarriez l'ordinateur.
Si la boîte de dialogue de résultats ne s'est pas fermée à l'étape 3, cliquez sur
Fermer.
Se reporter à "Comment les analyses réagissent à la détection d'un virus ou d'un
risque" à la page 73.
A propos de la suppression d'un virus ou d'un risque sur un fichier
infecté
Si le client doit fermer un processus ou une application, ou arrêter un service,
l'option Supprimer les risques maintenant est active. Vous ne pouvez pas fermer
la boîte de dialogue si des risques signalés dans cette boîte de dialogue nécessitent
une action de votre part.
Tableau 2-2 décrit les options de la boîte de dialogue des résultats.
Tableau 2-2
Options de la boîte de dialogue de résultats
Option
Description
Fermer
Ferme la boîte de dialogue des résultats si aucun des risques ne
nécessite d'intervention.
Si vous devez exécuter une action, l'une des notifications suivantes
s'affiche :
Suppression de risque requise
Apparaît quand un risque nécessite l'arrêt de processus. Si
vous choisissez de supprimer le risque, vous revenez à la boîte
de dialogue des résultats. Si un redémarrage est également
nécessaire, les informations figurant sur la ligne du risque
dans la boîte de dialogue indiquent qu'un redémarrage est
requis.
■ Redémarrage requis
Apparaît quand un risque nécessite un redémarrage.
■ Suppression du risque et redémarrage requis
Apparaît lorsqu'un risque implique d'arrêter les processus et
un autre risque nécessite un redémarrage.
■
Réagir aux messages de Détail des téléchargements qui vous demandent d'autoriser ou de bloquer un fichier que vous
essayez de télécharger
Option
Description
Supprimer les risques Affiche la boîte de dialogue Eliminer le risque.
maintenant
Dans la boîte de dialogue Eliminer le risque, vous pouvez
sélectionner l'une des options suivantes pour chaque risque :
Oui
Le client supprime le risque. La suppression du risque peut
impliquer de redémarrer l'ordinateur. Les informations de la
boîte de dialogue indiquent si un redémarrage est requis.
■ Non
Quand vous fermez la boîte de dialogue des résultats, la boîte
de dialogue Eliminer le risque s'affiche. La boîte de dialogue
vous rappelle que votre intervention est toujours nécessaire.
Cependant, la boîte de dialogue Eliminer le risque n'apparaît
plus jusqu'à ce que vous redémarriez l'ordinateur.
■
Si un redémarrage est requis, la suppression ou la réparation n'est pas terminée
jusqu'à ce que vous redémarriez l'ordinateur.
Dans certains cas, une intervention sur un risque peut être nécessaire, mais vous
préférez ne pas l'effectuer immédiatement.
Le risque peut être supprimé ou réparé ultérieurement en procédant de l'une des
manières suivantes :
■
Vous pouvez ouvrir le journal des risques, cliquer avec le bouton droit de la
souris sur le risque et choisir une action.
■
Vous pouvez exécuter une analyse pour détecter de nouveau le risque et rouvrir
la boîte de dialogue des résultats.
Vous pouvez également déclencher une action en cliquant avec le bouton droit
de la souris sur un risque dans la boîte de dialogue et en sélectionnant une action.
Les actions que vous pouvez effectuer dépendent des actions qui ont été
configurées pour le type particulier de risque que l'analyse a détecté.
Se reporter à "Réagir à une détection de virus ou de risque" à la page 24.
Réagir aux messages de Détail des téléchargements
qui vous demandent d'autoriser ou de bloquer un
fichier que vous essayez de télécharger
Lorsque les notifications de Détail des téléchargements sont activées, vous recevez
des messages concernant les fichiers malveillants et non fondés que Détail des
téléchargements détecte quand vous essayez de les télécharger.
27
28
Réagir aux messages de Détail des téléchargements qui vous demandent d'autoriser ou de bloquer un fichier que vous
essayez de télécharger
Remarque : Que les notifications soient activées ou non, vous recevez des messages
de détection quand l'action pour les fichiers non fondés est Invite.
Vous ou votre administrateur pouvez modifier la sensibilité de Détail des
téléchargements par rapport aux fichiers malveillants. Modifier le niveau de
sensibilité peut avoir une incidence sur le nombre de notifications que vous
recevez.
Détail des téléchargements utilise Insight, la technologie de Symantec qui évalue
et détermine une estimation de fichier qui est basée sur sa communauté globale
de millions d'utilisateurs.
La notification de Détail des téléchargements affiche les informations suivantes
concernant le fichier détecté :
■
Réputation du fichier
La réputation du fichier indique sa fiabilité. Les fichiers malveillants ne sont
pas dignes de confiance. Les fichiers non prouvés peuvent être dignes de
confiance ou non.
■
Fréquence du fichier au sein de la communauté
La prévalence d'un fichier est importante. Les fichiers qui ne sont pas fréquents
peuvent présenter plus de risques d'être des menaces.
■
Date de création du fichier
Plus un fichier est récent, moins Symantec a d'informations le concernant.
Les informations peuvent vous aider à décider d'autoriser ou de bloquer le fichier.
Se reporter à "Utilisation par Symantec Endpoint Protection des données de
réputation pour prendre des décisions au sujet de fichiers" à la page 74.
Pour réagir une détection de Détail des téléchargements qui vous demande
d'autoriser ou de bloquer un fichier
1
Dans le message de détection de Détail des téléchargements, effectuez l'une
des opérations suivantes actions :
■
Cliquez sur Supprimer ce fichier de mon ordinateur.
Détail des téléchargements place le fichier en quarantaine. Cette option
apparaît seulement pour les fichiers non fondés.
■
Cliquez sur Autoriser ce fichier.
Vous pourriez voir une boîte de dialogue d'autorisation qui demande si
vous êtes sûr de vouloir autoriser le fichier.
Si vous choisissez d'autoriser un fichier non fondé qui n'a pas été mis en
quarantaine, le fichier s'exécute automatiquement. Si vous choisissez
Réagir aux messages vous invitant à autoriser ou à bloquer une application
d'autoriser un fichier mis en quarantaine, le fichier ne s'exécute pas
automatiquement. Vous pouvez exécuter le fichier depuis votre dossier
Internet temporaire.
Typiquement l'emplacement du dossier est \\Documents and
Settings\username\Local Settings\Temporary Internet Files.
2
Sur les clients non gérés, si vous autorisez un fichier, Symantec Endpoint
Protection crée automatiquement une exception pour le fichier sur cet
ordinateur. Sur les clients gérés, si votre administrateur vous permet de créer
des exceptions, Symantec Endpoint Protection crée automatiquement une
exception pour le fichier sur cet ordinateur.
Réagir aux messages vous invitant à autoriser ou à
bloquer une application
Quand une application de votre ordinateur essaye d'accéder au réseau, le client
peut vous inviter à autoriser ou à bloquer l'application. Vous pouvez choisir de
bloquer une application que vous pensez peu sûre pour l'empêcher d'accéder au
réseau.
Ce type de notification apparaît pour une des raisons suivantes :
■
L'application demande à accéder à votre connexion réseau.
■
Une application qui a accédé à votre connexion réseau a été mise à niveau.
■
Votre administrateur a mis à jour le logiciel client.
■
Le client a commuté les utilisateurs via la fonction de changement rapide
d'utilisateur.
Le type de message suivant peut apparaître, vous indiquant quand une application
essaye d'accéder à votre ordinateur :
IEXPLORE.EXE tente d'accéder au réseau.
Voulez-vous autoriser ce programme a accéder au réseau ?
Pour réagir aux messages vous invitant à autoriser ou à bloquer une application
1
Vous pouvez au choix supprimer le message la prochaine fois que l'application
essaye d'accéder au réseau (dans la boîte de dialogue, cliquez sur Mémoriser
ma réponse et ne plus me demander à l'avenir pour cette application ) ; ou
2
Pour en savoir plus sur la connexion et l'application, cliquez sur Détail>>.
3
■
Pour autoriser l'application à accéder au réseau, cliquez sur Oui.
29
30
A propos des messages concernant les licences expirées
■
Pour bloquer l'accès de l'application au réseau, cliquez sur Non.
Vous pouvez également modifier l'action de l'application dans le champ
Applications en cours d'exécution ou dans la liste Applications.
Se reporter à "Configuration des paramètres spécifiques à une application"
à la page 129.
A propos des messages concernant les licences
expirées
Le client utilise une licence afin de mettre à jour les définitions de virus pour les
analyses et de mettre à jour le logiciel client. Le client peut utiliser une licence
d'évaluation ou une licence payante. Si l'une ou l'autre des licences a expiré, le
client ne met à jour aucun contenu ou le logiciel client.
Tableau 2-3
Types de licences
Type de licence
Description
Licence
d'évaluation
Si une licence d'évaluation a expiré, le haut du volet d'état du client
est rouge et affiche le message suivant :
La licence d'évaluation a expiré.
Tous les téléchargements de contenus prendront fin le date.
Contactez votre administrateur pour acheter
une licence Symantec Endpoint Protection.
Vous pouvez également afficher la date d'expiration en cliquant sur
Aide > A propos de.
Licence payante
Si une licence payante a expiré, le haut du volet d'état du client est
jaune et affiche le message suivant :
Protection contre les virus et
les spywares - définitions sont obsolètes.
Pour tout type de licence, vous devez contacter votre administrateur afin de mettre
à jour ou renouveler la licence.
Se reporter à "Types d'alertes et de notifications" à la page 21.
Réagir aux messages pour mettre à jour le logiciel
client
Si le logiciel client est automatiquement mis à jour, vous pouvez obtenir la
notification suivante :
Symantec Endpoint Protection a détecté qu'une
version plus récente du logiciel est disponible.
Voulez-vous la télécharger et l'installer maintenant ?
Pour réagir à une notification automatique de mise à jour
1
2
■
Pour télécharger le logiciel immédiatement, cliquez sur Télécharger
maintenant.
■
Pour être rappelé après le délai spécifié, cliquez sur Me le rappeler plus
tard.
Si un message s'affiche après le début de l'installation du logiciel mis à jour,
cliquez sur OK.
31
32
Chapitre
3
Vérifier que votre
ordinateur est protégé
■
Gestion de la protection de votre ordinateur
■
Mise à jour de la protection de l'ordinateur
■
Comment déterminer si le client est connecté et protégé
■
A propos des clients gérés et des clients non gérés
■
Vérification du caractère géré ou non géré du client
■
A propos de l'activation et de la désactivation de la protection
■
Activer ou désactiver la protection sur l'ordinateur client
■
Activation ou désactivation d'Auto-Protect
■
Activation, désactivation et configuration de la protection contre les
interventions
■
A propos des journaux
■
Affichage des journaux
■
Suivi des événements consignés jusqu'à leur source
■
Exportation des données de journal
34
Vérifier que votre ordinateur est protégé
Par défaut, votre ordinateur client est protégé et vous n'avez normalement pas
besoin de configurer le client. Cependant, vous pouvez vouloir contrôler votre
protection pour les raisons suivantes :
■
Votre ordinateur exécute un client non géré.
Une fois qu'un client non géré est installé, vous seul avez le contrôle de la
protection de votre ordinateur. Un client non géré est protégé par défaut. Mais
vous pouvez avoir besoin de modifier les paramètres de protection de
l'ordinateur.
■
Vous voulez activer ou désactiver une ou plusieurs technologies de protection.
■
Vous voulez vérifier que vous disposez des dernières définitions de virus.
■
Vous avez entendu parler d'un virus récent et voulez exécuter une analyse.
Tableau 3-1 affiche le processus pour s'assurer que votre ordinateur est protégé.
Tableau 3-1
Processus de gestion de la protection de votre ordinateur
Etape
Description
Répondez aux alertes
ou aux notifications
Répondez aux messages qui apparaissent, vous demandant de
fournir des données. Par exemple, une analyse pourrait détecter
un virus ou un risque de sécurité et afficher une boîte de dialogue
de résultats d'analyse vous invitant à agir sur la détection.
Vérifiez l'état de la
protection
Vérifiez régulièrement la page Etat pour déterminer que tous les
types de protection sont activés.
Se reporter à "Démarrage sur la page d'état" à la page 13.
Se reporter à "Activer ou désactiver la protection sur l'ordinateur
Etape
Description
Mettez à jour les
définitions de virus
Vérifiez que les dernières définitions de virus sont installées sur
votre ordinateur.
(client non géré
uniquement)
■
Vérifiez que vous disposez des dernières mises à jour de la
protection. Vous pouvez vérifier la date et le nombre de ces
fichiers de définitions sur la page Etat du client, sous chaque
type de protection.
■ Obtenez les dernières mises à jour de la protection.
Se reporter à "Mise à jour de la protection de l'ordinateur"
à la page 36.
Analysez votre
ordinateur
Exécutez une analyse pour voir si l'ordinateur ou votre application
de courrier électronique comporte des virus. Par défaut, le client
analyse l'ordinateur quand vous l'allumez, mais vous pouvez
l'analyser à tout moment.
Ajustez les paramètres Dans la plupart des cas, les paramètres par défaut assurent une
de protection
protection appropriée pour votre ordinateur. Au besoin, vous
pouvez diminuer ou augmenter les types de protection suivants :
Planification d'analyses supplémentaires
Se reporter à "Gérer des analyses sur votre ordinateur"
à la page 58.
■ Ajout de règles de filtrage (client non géré seulement)
Se reporter à "Gestion de la protection par pare-feu"
à la page 110.
■
Affichez les journaux
des détections ou des
attaques
Vérifiez les journaux pour voir si votre client a trouvé une
détection de virus ou une attaque réseau.
Mettez à jour la
politique de sécurité
Vérifiez que le client a reçu la dernière politique de sécurité. Une
politique de sécurité inclut les paramètres de technologie de
protection les plus actuels pour votre client.
(client géré
uniquement)
La politique de sécurité est mise à jour automatiquement. Pour
vous assurer que vous disposez de la dernière politique, vous
pouvez la mettre à jour manuellement en cliquant avec le bouton
droit de la souris sur l'icône de la zone de notification du client,
puis en cliquant sur Mettre à jour la politique.
Se reporter à "Comment déterminer si le client est connecté et
protégé" à la page 38.
35
36
Les produits Symantec nécessitent des informations à jour pour protéger
l'ordinateur des nouvelles menaces découvertes. Symantec rend ces informations
disponibles via LiveUpdate.
Les mises à jour de contenu sont les fichiers qui maintiennent les produits
Symantec à jour avec la dernière technologie de protection contre les menaces.
LiveUpdate récupère les nouveaux fichiers de contenu sur un site Internet de
Symantec, puis remplace les anciens fichiers de contenu. Les mises à jour que
vous recevez dépendent des produits installés sur votre ordinateur. La manière
dont votre ordinateur reçoit les mises à jour dépend de si votre ordinateur est
géré ou non géré et de la manière dont votre administrateur a configuré les mises
à jour.
Les types suivants de fichiers sont des exemples de mises à jour du contenu :
■
Fichiers de définitions de virus pour la protection contre les virus et les logiciels
espions.
■
Signatures heuristiques et listes d'applications commerciales pour la protection
proactive contre les menaces.
■
Fichiers de définitions d'IPS pour la protection contre les menaces réseau.
Se reporter à "A propos de la protection contre les menaces réseau" à la page 110.
LiveUpdate peut également apporter des améliorations au client installé. Ces
améliorations sont généralement créées pour prolonger la compatibilité du système
d'exploitation ou du matériel, régler des problèmes de performance ou corriger
des erreurs de produit. Ces améliorations du client sont publiées en temps voulu.
Un ordinateur client peut recevoir ces améliorations directement depuis un serveur
LiveUpdate. Un ordinateur client géré peut également recevoir ces mises à jour
d'amélioration automatiquement depuis un serveur de gestion de votre entreprise.
Tableau 3-2
Manières d'effectuer des mises à jour de contenu sur votre
ordinateur
Tâche
Description
Mise à jour de contenu sur
planification
Par défaut, LiveUpdate s'exécute automatiquement à
intervalles planifiés.
Sur un client non géré, vous pouvez désactiver ou
modifier une planification de LiveUpdate.
Se reporter à "Mise à jour de contenu sur planification"
à la page 37.
Tâche
Description
Mise à jour immédiate de contenu Selon vos paramètres de sécurité, vous pouvez exécuter
LiveUpdate immédiatement.
Se reporter à "Mise à jour immédiate de contenu"
à la page 37.
Mise à jour immédiate de contenu
Vous pouvez mettre à jour les fichiers de contenu immédiatement à l'aide de
LiveUpdate. Vous devez exécuter LiveUpdate manuellement pour les raisons
suivantes :
■
Le logiciel client a été installé récemment.
■
La dernière analyse a été exécutée il y a longtemps.
■
Vous suspectez la présence d'un virus ou tout autre problème de logiciel
malveillant.
Se reporter à "Mise à jour de contenu sur planification" à la page 37.
Pour mettre à jour votre protection immédiatement.
◆
Dans la barre latérale du client, cliquez sur LiveUpdate.
LiveUpdate se connecte au serveur Symantec, recherche les mises à jour
disponibles, puis les télécharge et les installe automatiquement.
Mise à jour de contenu sur planification
Vous pouvez créer une planification de sorte que LiveUpdate s'exécute
automatiquement à intervalles planifiés. Il peut être nécessaire de planifier
l'exécution de LiveUpdate lorsque vous n'utilisez pas votre ordinateur.
Se reporter à "Mise à jour immédiate de contenu" à la page 37.
Remarque : Si vous avez un client géré, vous pouvez seulement configurer
l'exécution de LiveUpdate sur une planification si votre administrateur vous y a
autorisé. Si l'icône de cadenas apparaît et que les options sont grisées, vous ne
pouvez pas mettre à jour votre contenu sur une planification.
37
38
Pour mettre à jour la protection sur planification
1
Dans la barre latérale du client, cliquez sur Changer les paramètres.
2
En regard de Gestion des clients, cliquez sur Configurer les paramètres.
3
Dans la boîte de dialogue Paramètres de gestion des clients, cliquez sur
LiveUpdate.
4
Sur l'onglet LiveUpdate, cochez Activer les mises à jour automatiques.
5
Dans la zone de groupe Fréquence et heure, sélectionnez si vous voulez que
les mises à jour s'exécutent chaque jour, chaque semaine ou chaque mois.
Sélectionnez alors le jour ou la semaine et l'heure d'exécution des mises à
jour.
Les paramètres d'heure dépendent de ce que vous sélectionnez dans la zone
de groupe Fréquence. La disponibilité des options sur cette boîte de dialogue
dépend également de la fréquence que vous sélectionnez.
6
Dans la zone de groupe Fenêtre Réessayer, cochez Essayer pendant et
spécifiez alors l'intervalle de temps pendant lequel le client essaye d'exécuter
LiveUpdate de nouveau.
7
Dans la zone de groupe Options de traitement aléatoire, cochez Choisir au
hasard l'heure de début sur + ou - 9 et spécifiez alors le nombre d'heures ou
de jours.
Cette option définit un intervalle de temps avant ou après l'heure planifiée
pour le démarrage de la mise à jour.
8
Dans la zone de groupe Détection d'inactivité, cochez Retarder la
planification de LiveUpdate jusqu'à ce que le système soit inactif. Les
sessions en retard s'exécuteront par la suite sans réserve.
Vous pouvez également configurer des options pour la connexion du serveur
proxy à un serveur LiveUpdate interne. Consultez l'aide en ligne pour plus
d'informations à propos des options.
9
Cliquez sur OK.
Comment déterminer si le client est connecté et
protégé
Le client utilise une icône de zone de notification pour indiquer s'il est en ligne
ou hors ligne et si l'ordinateur client est correctement protégé. Vous pouvez cliquer
avec le bouton droit de la souris sur cette icône pour afficher les commandes
fréquemment utilisées. L'icône se trouve dans le coin inférieur droit du bureau
de l'ordinateur client.
Remarque : Sur les clients gérés, l'icône de zone de notification système ne s'affiche
pas si l'administrateur l'a configurée pour être indisponible.
Tableau 3-3
Icône
Icônes d'état du client Symantec Endpoint Protection
Description
Le client s'exécute sans problème. Il est hors ligne ou non géré. Les clients
non gérés ne sont pas connectés à un serveur de gestion. L'icône est un
bouclier jaune ordinaire.
Le client s'exécute sans problème. Il est connecté au serveur et communique
avec lui. Tous les composants de la politique de sécurité protègent
l'ordinateur. L'icône est un bouclier jaune avec un point vert.
Le client rencontre un léger problème. Par exemple, les définitions de virus
peuvent ne pas être à jour. L'icône est un bouclier jaune et un point jaune-clair
avec un point d'exclamation noire.
Le client ne s'exécute pas, connaît un sérieux problème ou s'est vu désactiver
au moins une technologie de protection. Par exemple, la protection contre
les menaces réseau peut être désactivée. L'icône est un bouclier jaune avec
un point blanc entouré de rouge et avec une ligne rouge traversant le point.
Tableau 3-4 affiche les icônes d'état du client Symantec Network Access Control
qui apparaissent dans la zone de notification.
Tableau 3-4
Icône
Icônes d'état du client Symantec Network Access Control
Description
Le client s'exécute sans problème et la vérification de l'intégrité de l'hôte
ainsi que la mise à jour de la politique de sécurité ont réussi. Il est hors ligne
ou non géré. Les clients non gérés ne sont pas connectés à un serveur de
gestion. L'icône est une clé ordinaire en or.
Le client s'exécute sans problème et la vérification de l'intégrité de l'hôte
ainsi que la mise à jour de la politique de sécurité ont réussi. Il communique
avec le serveur. L'icône est une clé en or avec un point vert.
Le client a échoué à la vérification de l'intégrité de l'hôte ou n'a pas mis à
jour la politique de sécurité. L'icône est une clé dorée avec un point rouge
qui contient un "X" blanc.
Se reporter à "Masquage et affichage de l'icône de zone de notification"
à la page 40.
39
40
Masquage et affichage de l'icône de zone de notification
Vous pouvez masquer l'icône de zone de notification au besoin. Par exemple, vous
pouvez la masquer pour obtenir plus d'espace sur la barre des tâches Windows.
à la page 38.
Remarque : Sur les clients gérés, vous ne pouvez pas masquer l'icône de zone de
notification si votre administrateur a restreint cette fonctionnalité.
Pour masquer ou afficher l'icône de la zone de notification
1
Dans la barre latérale de la fenêtre principale, cliquez sur Changer les
paramètres.
2
Sur la page Changer les paramètres, cliquez sur l'option Configurer les
paramètres correspondant à Gestion des clients.
3
Dans la boîte de dialogue Paramètres de gestion des clients, sur l'onglet
Général, sous Options d'affichage, désélectionnez ou cochez l'option Afficher
l'icône de sécurité Symantec dans la zone de notification.
4
Cliquez sur OK.
Votre administrateur peut installer le client en tant que client géré (installation
gérée par l'administrateur) ou client non gérés (installation autonome).
Tableau 3-5
Différences entre un client géré et un client non géré
Type de client
Description
Client géré
Un client géré communique avec un serveur de gestion de votre réseau.
L'administrateur configure la protection et les paramètres par défaut,
et le serveur de gestion télécharge les paramètres vers le client. Si
l'administrateur modifie la protection, cette modification est presque
immédiatement téléchargée vers le client.
Les administrateurs peuvent modifier votre niveau d'interaction avec
le client des manières suivantes :
L'administrateur gère complètement le client.
Il n'est pas nécessaire de configurer le client. Tous les paramètres
sont verrouillés ou indisponibles, mais vous pouvez afficher des
informations sur les opérations du client sur l'ordinateur.
■ L'administrateur gère le client, mais vous pouvez modifier certains
paramètres du client et effectuer certaines tâches. Par exemple,
vous pouvez exécuter vos propres analyses et récupérer
manuellement des mises à jour de client et des mises à jour de
protection.
La disponibilité des paramètres du client, comme les valeurs des
paramètres elles-mêmes, peut changer périodiquement. Par
exemple, un paramètre peut changer lorsque votre administrateur
met à jour la politique qui contrôle la protection client.
■ L'administrateur gère le client, mais vous pouvez modifier tous
les paramètres du client et effectuer toutes les tâches de protection.
■
Client non géré
Un client non géré ne communique pas avec un serveur de gestion et
un administrateur ne gère pas le client.
Un client non géré peut être l'un des types suivants :
Un ordinateur autonome non connecté à un réseau, tel qu'un
ordinateur familial ou un ordinateur portable. L'ordinateur doit
inclure une installation Symantec Endpoint Protection qui utilise
les paramètres d'option par défaut ou des paramètres prédéfinis
par un administrateur.
■ Un ordinateur distant qui se connecte au réseau d'entreprise et
qui doit remplir les spécifications de sécurité avant sa connexion
■
Le client dispose de paramètres par défaut lors de l'installation initiale.
Une fois le client installé, vous pouvez modifier tous les paramètres
client et effectuer toutes les tâches de protection.
Se reporter à "Vérification du caractère géré ou non géré du client" à la page 42.
Tableau 3-6 décrit les différences dans l'interface utilisateur entre un client géré
et un client non géré.
41
42
Tableau 3-6
Zone de fonction
Différences entre un client géré et un client non géré par zone de
fonction
Client géré centralement
Client autonome
Protection contre les Le client affiche une option de
Le client n'affiche pas un cadenas
virus et les spywares cadenas verrouillé et l'option
verrouillé ou un cadenas
s'affiche en gris pour les options déverrouillé.
qu'il est impossible de configurer.
Protection contre les Le client affiche une option de
Le client n'affiche pas un cadenas
menaces proactives cadenas verrouillé et l'option
verrouillé ou un cadenas
s'affiche en gris pour les options déverrouillé.
qu'il est impossible de configurer.
Paramètres de
Les paramètres que
gestion de client et l'administrateur contrôle ne
de protection contre s'affichent pas.
les menaces réseau
Tous les paramètres s'affichent.
Pour connaître le degré de contrôle dont vous disposez pour configurer la
protection sur votre client, vérifiez d'abord si votre client est géré ou non. Vous
pouvez configurer plus de paramètres sur un client non géré que sur un client
géré.
Pour vérifier si le client est géré ou non géré
1
Sur la page d' état, cliquez sur Aide > Dépannage.
2
Dans la boîte de dialogue Dépannage, cliquez sur Gestion.
3
Dans le volet Gestion, sous Informations générales, à côté de Serveur,
recherchez les informations suivantes :
■
Si le client est géré, le champ Serveur affiche l'adresse du serveur de
gestion ou le message Hors ligne.
L'adresse peut être une adresse IP, un nom DNS ou un nom NetBIOS. Par
exemple, un nom DNS peut être SEPMServer1. Si le client est géré mais
n'est pas actuellement connecté à un serveur de gestion, ce champ est
Hors ligne.
■
4
Si le client est non géré, le champ Serveur indique Gestion automatique.
Cliquez sur Fermer.
A propos de l'activation et de la désactivation de la
protection
En règle générale, vous maintiendrez les technologies de protection toujours
actives sur l'ordinateur client.
Vous pourriez devoir désactiver temporairement toutes les technologies de
protection ou individuellement si vous avez un problème avec l'ordinateur client.
Par exemple, si une application ne s'exécute pas ou ne s'exécute pas correctement,
vous pourriez vouloir désactiver la protection contre les menaces réseau. Si le
problème persiste après la désactivation de toutes les technologies de protection,
cela signifie que le problème n'est pas lié au client.
Avertissement : Assurez-vous d'activer les protections une fois la tâche de
dépannage terminée afin que votre ordinateur reste protégé.
Tableau 3-7 décrit les raisons pour lesquelles vous pourriez être amené à désactiver
chaque technologie de protection.
43
44
Tableau 3-7
Objectif de la désactivation d'une technologie de protection
Technologie de
protection
Objectif de la désactivation de la technologie de protection
Protection contre les
virus et les spywares
Si vous désactivez cette protection, vous désactivez Auto-Protect uniquement.
Les analyses planifiées ou de démarrage s'exécutent encore si vous ou votre administrateur
les avez configurées pour qu'elles le fassent.
Vous pourriez activer ou désactiver Auto-Protect pour les raisons suivantes :
Auto-Protect peut vous empêcher d'ouvrir un document. Par exemple, si vous ouvrez
un document Microsoft Word comportant une macro, Auto-Protect peut ne pas vous
autoriser à l'ouvrir. Si vous savez que le document est sûr, vous pouvez désactiver
Auto-Protect.
■ Auto-Protect peut vous signaler une activité suspecte, mais vous savez que celle-ci n'est
pas due à un virus. Par exemple, vous pouvez obtenir un avertissement quand vous
installez de nouveaux programmes. Si vous prévoyez d'installer des applications et
voulez éviter l'avertissement, vous pouvez désactiver Auto-Protect temporairement.
■ Auto-Protect peut interférer avec le remplacement des pilotes de Windows.
■
■
Auto-Protect peut ralentir l'ordinateur client.
Remarque : Si vous désactivez Auto-Protect, vous désactivez également Détail des
téléchargements, même si Détail des téléchargements est activé. SONAR ne peut pas non
plus détecter les menaces heuristiques. La détection de SONAR du fichier hôte et des
évolutions du système continue de fonctionner.
Se reporter à "Activation ou désactivation d'Auto-Protect" à la page 46.
Si Auto-Protect provoque un problème avec une application, il vaut mieux créer une
exception que désactiver la protection de manière permanente.
Protection proactive
contre les menaces
Vous pourriez vouloir désactiver la protection proactive contre les menaces pour les raisons
suivantes :
Trop d'avertissements s'affichent au sujet de menaces qui ne constituent pas de réelles
menaces.
■ La protection proactive contre les menaces peut ralentir l'ordinateur client.
■
Se reporter à "Activer ou désactiver la protection sur l'ordinateur client" à la page 45.
Activer ou désactiver la protection sur l'ordinateur client
Technologie de
protection
Objectif de la désactivation de la technologie de protection
menaces réseau
Vous pouvez être amené à désactiver la protection proactive contre les menaces réseau
pour les raisons suivantes :
■
Vous installez une application que le pare-feu pourrait bloquer.
Une règle de filtrage ou un paramètre de pare-feu bloque une application suite à une
erreur de l'administrateur.
■ Le pare-feu ou le système de prévention d'intrusion provoque des problèmes de
connectivité réseau.
■ Le pare-feu pourrait ralentir l'ordinateur client.
■
■
Vous ne pouvez pas ouvrir une application.
Se reporter à "Activation ou désactivation de la prévention d'intrusion" à la page 144.
Se reporter à "Activer ou désactiver la protection sur l'ordinateur client" à la page 45.
Si vous n'êtes pas certain que la protection contre les menaces réseau est à l'origine du
problème, il peut être judicieux de désactiver toutes les technologies de protection.
Sur un client géré, votre administrateur pourrait verrouiller complètement la protection
contre les menaces réseau de sorte que vous ne puissiez pas l'activer ou la désactiver.
interventions
En général, vous devez garder la protection contre les interventions activée.
Vous pouvez être amené à désactiver la protection contre les interventions temporairement
pour vous assurer d'éviter des détections de faux positif.
Se reporter à "Activation, désactivation et configuration de la protection contre les
interventions" à la page 48.
Activer ou désactiver la protection sur l'ordinateur
client
Sur le client, lorsque des protections ont désactivées :
■
La barre d'état, en haut de la page d'état, est rouge.
■
L'icône du client apparaît avec un signe de négation universel, un cercle rouge
barré d'une diagonale. L'icône client apparaît sous forme de bouclier entier
dans la barre des tâches, dans le coin inférieur droit de votre bureau Windows.
Dans certaines configurations, l'icône n'apparaît pas.
à la page 38.
Sur un client géré, votre administrateur peut activer n'importe quelle protection
à tout moment.
45
46
Vous pouvez également désactiver Auto-Protect, la protection proactive contre
les menaces ou la protection contre les menaces réseau à des fins de dépannage.
Sur un client géré, votre administrateur pourrait verrouiller une protection de
sorte que vous ne puissiez pas la désactiver.
à la page 43.
Se reporter à "Activation ou désactivation d'Auto-Protect" à la page 46.
Pour activer des technologies de protection via la page d'état
◆
Sur le client, en haut de la page d'état, cliquez sur Réparer ou Tout réparer.
Pour activer ou désactiver des technologies de protection via la barre des tâches
◆
Sur le bureau Windows, dans la zone de notification, cliquez sur l'icône client
avec le bouton droit de la souris et faites l'une des actions suivantes :
■
Cliquez sur Activer Symantec Endpoint Protection.
■
Cliquez sur Désactiver Symantec Endpoint Protection.
Pour activer ou désactiver la protection proactive contre les menaces ou la
protection contre les menaces réseau
◆
Dans le client, à la page Etat, en regard de type de protection Protection,
effectuez l'une des tâches suivantes :
■
Cliquez sur Options > Activer type de protection Protection.
■
Cliquez sur Options > Désactiver tout type de protection Fonctions de
protection.
Vous pouvez activer ou désactiver Auto-Protect pour les fichiers et les processus,
le courrier électronique Internet et les applications groupware de courrier
électronique. Quand un type quelconque d'Auto-Protect est désactivé, l'état de
protection antivirus et antispyware apparaît en rouge sur la page d'état.
Quand vous cliquez sur l'icône avec le bouton droit de la souris, une coche apparaît
à côté d'Activer Auto-Protect quand Auto-Protect pour les fichiers et les processus
est activé.
Se reporter à "A propos des icônes d'alerte de la page d'état" à la page 15.
à la page 43.
Remarque : Sur un client géré, votre administrateur peut verrouiller Auto-Protect
de sorte que vous ne puissiez pas le désactiver. En outre, votre administrateur
peut spécifier que vous pouvez désactiver Auto-Protect temporairement, mais
qu'Auto-Protect se réactive automatiquement après un délai spécifié..
Si vous n'avez pas modifié les paramètres des options par défaut, Auto-Protect
se charge au démarrage de l'ordinateur pour vous protéger contre les virus et les
risques de sécurité. Auto-Protect recherche les virus et les risques de sécurité
dans les programmes qui s'exécutent. Il surveille également l'ordinateur pour
toute activité pouvant indiquer la présence d'un virus ou d'un risque de sécurité.
Lorsqu'un virus, une activité suspecte (comportement pouvant signaler la présence
d'un virus) ou un risque de sécurité est détecté, Auto-Protect vous alerte.
Remarque : Si vous désactivez Auto-Protect, vous désactivez également Détail des
téléchargements, même si Détail des téléchargements est activé. SONAR ne peut
pas non plus détecter les menaces heuristiques ; cependant, SONAR continue à
détecter le fichier hôte et les évolutions du système.
Pour activer ou désactiver Auto-Protect pour le système de fichiers
◆
Dans le client, sur la page Etat, à côté de Protection antivirus et antispyware,
effectuez l'une des actions suivantes :
■
Cliquez sur Options > Activer la protection contre les virus et les
spywares.
■
Cliquez sur Options > Désactiver la protection contre les virus et les
logiciels espions.
Pour activer ou désactiver Auto-Protect pour le courrier électronique
1
Dans le client, dans la barre latérale, cliquez sur Changer les paramètres.
2
En regard de Protection contre les virus et les spywares, cliquez sur
Configurer les paramètres.
3
■
Dans l'onglet Auto-Protect pour le courrier électronique Internet, cochez
ou désélectionnez l'option Activer Auto-Protect pour le courrier
électronique Internet.
■
Dans l'onglet Auto-Protect pour Microsoft Outlook, cochez ou
désélectionnez l'option Activer Auto-Protect pour Microsoft Outlook.
47
48
Activation, désactivation et configuration de la protection contre les interventions
■
4
Dans l'onglet Notes Auto-Protect, sélectionnez ou désélectionnez Activer
Auto-Protect pour Lotus Notes.
Cliquez sur OK.
Activation, désactivation et configuration de la
protection contre les interventions
La protection contre les interventions assure une protection en temps réel des
applications Symantec sur les serveurs et les clients. Il empêche les processus
non Symantec tels que les vers, les chevaux de Troie, les virus et les risques de
sécurité, d'affecter les ressources Symantec. Vous pouvez configurer le logiciel
pour bloquer ou consigner les tentatives de modification des ressources Symantec.
Si la protection contre les interventions est activée, vous pouvez choisir l'action
que celle-ci doit effectuer lorsqu'elle détecte une tentative d'intervention sur les
composants logiciels Symantec. Vous pouvez également configurer la protection
contre les interventions pour qu'elle affiche un message pour vous informer des
tentatives d'intervention. Pour personnaliser le message, vous pouvez utiliser les
variables prédéfinies que la protection contre les interventions remplacera par
les informations correspondantes.
Remarque : Sur un client géré, votre administrateur pourrait verrouiller les
paramètres de Protection contre les falsifications.
Pour plus d'informations concernant les variables prédéfinies, consultez l'aide
dans l'onglet Protection contre les falsifications.
à la page 43.
Pour activer ou désactiver la protection contre les interventions
1
2
3
Dans l'onglet Protection contre les interventions, cochez ou désélectionnez
la case Protéger les logiciels de sécurité Symantec contre les interventions
ou interruptions.
4
Cliquez sur OK.
Pour configurer Protection contre les interventions
1
2
3
Sur l'onglet Protection contre les falsifications, dans la zone de liste
Opération à effectuer si une application tente de falsifier ou d'arrêter le
logiciel de sécurité Symantec, cliquez sur Bloquer et consigner l'événement
ou Consigner l'événement uniquement.
4
Pour être informé de tout comportement suspect que la protection contre les
interventions pourrait détecter, cochez la case Afficher un message de
notification si une intervention est détectée.
Si vous activez ces messages de notification, vous pouvez recevoir des
notifications au sujet des processus Windows et des processus Symantec.
5
Pour personnaliser le message qui s'affiche, modifiez le texte dans le champ
du message.
6
Cliquez sur OK.
Les journaux contiennent des informations sur les changements de configuration
client, les activités liées à la sécurité et les erreurs. Ces enregistrements sont
appelés événements. Les journaux affichent ces événements avec les informations
supplémentaires appropriées.
Les activités liées à la sécurité incluent des informations sur les détections de
virus, l'état de l'ordinateur et le trafic entrant ou sortant de l'ordinateur. Si vous
utilisez un client géré, ses journaux peuvent être régulièrement chargés sur le
serveur de gestion. Un administrateur peut utiliser leurs données pour analyser
le statut global de sécurité du réseau.
Les journaux constituent l'une des principales méthodes pour suivre l'activité
d'un ordinateur et ses relations avec d'autres ordinateurs et réseaux. Vous pouvez
utiliser les informations des journaux pour suivre les tendances associées aux
virus, aux risques de sécurité et aux attaques sur votre ordinateur. Si plusieurs
personnes utilisent le même ordinateur, vous pourriez identifier qui introduit des
risques et aider cette personne à utiliser de meilleures précautions.
Pour plus d'informations sur un journal, appuyez sur F1 pour afficher l'aide de
ce journal.
Tableau 3-8 décrit les types d'événement que chaque journal affiche.
49
50
Tableau 3-8
Journaux client
Journal
Description
Journal d'analyse
Contient des entrées sur les analyses exécutées sur l' ordinateur
au cours du temps.
Journal des risques
Contient des entrées sur les virus et les risques de sécurité, tels
que les logiciels publicitaires et les logiciels espions qui ont infecté
l'ordinateur. Les risques de sécurité comportent un lien vers la
page Web Symantec Security Response qui fournit d'autres
informations.
Se reporter à "Mise en quarantaine d'un fichier du journal des
risques ou d'analyse" à la page 97.
Journal système de
protection contre les
virus et les logiciels
espions
Contient les informations sur les activités du système sur
l'ordinateur qui sont liées aux virus et aux risques de sécurité. Ces
informations portent sur les changements de configuration, les
erreurs et les informations du fichier de définitions .
Journal des menaces
Contient les informations concernant les menaces que SONAR a
détectées sur votre ordinateur. SONAR détecte tous les fichiers
qui agissent de manière suspecte. SONAR détecte également les
changements du système.
Journal système de la
protection proactive
contre les menaces
Contient des informations sur les activités du système sur
l'ordinateur liées aux à SONAR.
Journal de trafic
Contient les événements concernant des attaques du trafic et de
prévention d'intrusion du pare-feu. Le journal contient des
informations sur les connexions que votre ordinateur établit sur
le réseau.
Les journaux de protection du réseau peuvent aident à détecter
les activités potentiellement dangereuses, telle que l'analyse de
port. Ils peuvent également être utilisés pour retracer le trafic
vers sa source. Vous pouvez également utiliser les journaux de
protection réseau pour vous aider à dépanner des problèmes de
connectivité ou des attaques réseau possibles. Les journaux
peuvent vous indiquer quand votre ordinateur a été bloqué du
réseau et vous aider à déterminer pourquoi votre accès a été
bloqué.
Journal
Description
Journal des paquets
Contient les informations sur les paquets de données qui entrent
ou sortent par les ports de l'ordinateur.
Par défaut, le journal des paquets est désactivé. Il est impossible
d'activer le journal des paquets sur un client géré. Vous pouvez
activer le journal des paquets sur un client non géré.
Se reporter à "Activation du journal des paquets" à la page 52.
Journal de contrôle
Le journal de contrôle contient des informations sur les clés de
registre de Windows, les fichiers et les DLL auxquels une
application accède, ainsi que sur les applications exécutées sur
votre ordinateur.
Journal de sécurité
Contient les informations concernant les activités qui pourraient
constituer une menace pour votre ordinateur. Par exemple, les
informations pourraient apparaître concernant des activités telles
que des attaques par déni de service, des analyses des ports et des
modifications de fichier exécutable.
Journal système de la
gestion des clients
Contient les informations sur toutes les modifications
opérationnelles qui se sont produites sur l'ordinateur.
Les modifications pourraient inclure les activités suivantes :
Journal de protection
contre les
interventions
■
Un service démarre ou arrête
■
L'ordinateur détecte des applications réseau
■
Le logiciel est configuré
■
L'état d'une portion client comme fournisseur de mise à jour
de groupe
Contient des entrées sur les tentatives de modification des
applications Symantec sur votre ordinateur. Ces entrées
contiennent des informations sur les tentatives que la protection
contre les interventions a détectées ou contrecarrées.
Journaux de débogage Contient des informations sur le client, les analyses et le pare-feu
à des fins de dépannage. L'administrateur peut vous demander
d'activer ou de configurer les journaux, puis de les exporter.
Vous pouvez afficher les journaux sur votre ordinateur pour consulter les détails
des événements qui se sont produits.
51
52
Remarque : Si Protection contre les menaces réseau ou Network Access Control
ne sont pas installés, vous ne pouvez pas afficher le journal de sécurité, le journal
système ou le journal de contrôle.
Pour afficher un journal
1
Dans la barre latérale de la fenêtre principale, cliquez sur Afficher les
journaux.
2
Cliquez sur Afficher les journaux en regard de l'un des éléments suivants :
■
Protection contre les virus et les logiciels espions
■
Protection contre les menaces proactives
■
Protection contre les menaces réseau
■
Gestion des clients
■
Contrôle d'accès réseau
Certains éléments pourraient ne pas apparaître selon votre installation.
3
Dans le menu déroulant, sélectionnez le journal que vous voulez afficher.
Se reporter à "A propos des journaux" à la page 49.
Activation du journal des paquets
Tous les journaux de protection contre les menaces réseau et de gestion des clients
sont activés par défaut, excepté le journal des paquets. Sur les clients non gérés,
vous pouvez activer et désactiver le journal des paquets.
Sur les clients gérés, votre administrateur pourrait vous permettre d'activer ou
de désactiver le journal des paquets.
Pour activer le journal des paquets
1
Sur la page Etat du client, à droite de Protection contre les menaces réseau,
cliquez sur Options, puis sur Changer les paramètres.
2
Dans la boîte de dialogue Paramètres de protection contre les menaces
réseau, cliquez sur Journaux.
3
Cochez Activer le journal des paquets.
4
Cliquez sur OK.
Vous pouvez suivre certains événements pour identifier la source de données d'un
événement consigné. Un suivi affiche les étapes précises, ou tronçons, que le trafic
entrant a effectué. Un tronçon est un point de transition tel qu'un routeur, qu'un
paquet traverse en passant de l'ordinateur à un ordinateur sur Internet. Un suivi
suit un paquet de données vers l'arrière, en découvrant les routeurs par lesquels
les données sont passées pour atteindre votre ordinateur.
Pour certaines entrées de journal, vous pouvez tracer un paquet de données utilisé
dans une tentative d'attaque. Chaque routeur traversé par un paquet de données
a une adresse IP. Vous pouvez afficher l'adresse IP et d'autres détails. Les
informations affichées ne garantissent pas que vous ayez découvert qui est
vraiment le pirate. L'adresse IP du tronçon final indique le propriétaire du routeur
auquel se sont connectés les pirates, et pas nécessairement les pirates eux-mêmes.
Vous pouvez suivre certains événements consignés dans le Journal de sécurité et
le Journal du trafic.
Pour suivre un événement consigné
1
Dans la barre latérale du client, cliquez sur Afficher les journaux.
2
A la droite de Protection contre les menaces réseau ou de Gestion des clients,
cliquez sur Afficher les journaux. Cliquez ensuite sur le journal qui contient
l'entrée que vous voulez suivre.
3
Dans la fenêtre de vue de journal, sélectionnez la ligne de l'entrée que vous
voulez suivre.
4
Cliquez sur Opération, puis sur Suivre.
5
Dans la boîte de dialogue Informations de suivi, cliquez sur Qui est > > pour
afficher des informations détaillées sur chaque tronçon.
Un volet déroulant affiche des informations détaillées sur le propriétaire de
l'adresse IP d'où est issu l'événement de trafic. Vous pouvez utiliser CTRL-C
et CTRL-V pour couper-coller les informations du volet dans un message
destiné à votre administrateur.
6
Cliquez sur Qui est << de nouveau pour masquer les informations.
7
Lorsque vous avez terminé, cliquez sur OK.
53
54
Vous pouvez exporter les informations de certains journaux vers un fichier CSV
(.csv) ou un fichier de base de données Access (.mdb). Le format .csv est un format
de fichier courant que la plupart des tableurs et programmes de base de données
utilisent pour l'importation de données. En important ces données dans un autre
programme, vous pouvez les utiliser pour créer des présentations, des graphiques
ou pour les combiner avec d'autres informations. Vous pouvez exporter les
informations des journaux de protection contre les menaces réseau et de gestion
des clients vers des fichiers texte délimités par des tabulations.
Remarque : Si vous exécutez le logiciel client sous Windows Server 2008 Server
Core, vous ne pouvez pas exporter les données de journal vers un fichier .mdb. Le
format .mdb requiert des applications Microsoft qui ne sont pas disponibles sous
Server Core.
Vous pouvez exporter les journaux suivants dans un fichier .csv ou .mdb :
■
Journal système des virus et logiciels espions
■
Journal des risques de virus et logiciels espions
■
Journal d'analyse des virus et logiciels espions
■
Journal système de la protection proactive contre les menaces
■
Journal des menaces de la protection proactive contre les menaces
■
Journal de protection contre les falsifications
Remarque : Si vous filtrez les données de journal d'une manière quelconque et
que vous les exportez, seules les données filtrées sont exportées. Cela n'est pas
valable pour les journaux que vous exportez dans un fichier texte délimité par
des tabulations. Dans ce cas, toutes les données des journaux sont exportées.
Vous pouvez exporter les journaux suivants dans un fichier délimité par des
tabulations :
■
Journal de contrôle de la gestion des clients
■
Journal de sécurité de la gestion des clients
■
Journal système de la gestion des clients
■
Journal des paquets de la protection contre les menaces réseau
■
Journal du trafic de la protection contre les menaces réseau
Remarque : En plus d'un fichier texte délimité par des tabulations, vous pouvez
également exporter les données du journal des paquets au format du moniteur
réseau ou au format NetXray.
Sur l'installation Server Core de Windows Server 2008, les boîtes de dialogue
d'interface utilisateur pourraient différer de celles qui sont décrites dans ces
procédures.
Pour exporter des données dans un fichier .csv
1
2
En regard de Protection contre les virus et les logiciels espions ou Protection
proactive contre les menaces, cliquez sur Afficher les journaux.
3
Cliquez sur le nom du journal que vous voulez.
4
Dans la fenêtre de journal, assurez-vous que les données que vous voulez
enregistrer apparaissent et cliquez sur Exporter.
5
Dans la liste déroulante Enregistrer, accédez au répertoire dans lequel vous
souhaitez enregistrer le fichier.
6
Dans la zone de texte Nom de fichier, entrez le nom du fichier.
7
Cliquez sur Enregistrer.
8
Cliquez sur OK.
Pour exporter les données du journal de protection contre les menaces réseau ou
du journal de gestion des clients dans un fichier texte
1
2
A la droite de Protection contre les menaces réseau ou de Gestion des clients,
cliquez sur Afficher les journaux.
3
Cliquez sur le nom du journal à partir duquel vous voulez exporter des
données.
4
Cliquez sur Fichier> Exporter.
Si vous avez sélectionné le journal des paquets, cliquez sur Exporter vers le
format du moniteur réseau ou sur Exporter vers le format Netxray.
5
Dans la liste déroulante Enregistrer, accédez au répertoire dans lequel vous
souhaitez enregistrer le fichier.
6
Dans la zone de texte Nom de fichier, entrez le nom du fichier.
55
56
7
Cliquez sur Enregistrer.
8
Cliquez sur Fichier > Quitter.
Chapitre
4
Gestion des analyses
■
Gérer des analyses sur votre ordinateur
■
Fonctionnement des analyses antivirus et antispyware
■
Planification d'une analyse définie par l'utilisateur
■
Planification d'une analyse à exécuter sur demande ou quand l'ordinateur
démarre
■
Gérer des détections de Détail des téléchargements sur votre ordinateur
■
Personnaliser des paramètres de Détail des téléchargements
■
Personnalisation des paramètres d'analyse antivirus et antispyware
■
Configurer des actions pour la détection des logiciels malveillants et des risques
de sécurité
■
Exclusion d'éléments des analyses
■
■
Gestion des fichiers en quarantaine sur votre ordinateur client
■
A propos de la transmission d'informations sur les détections à Symantec
Security Response
■
Envoi des informations concernant les détections à Symantec Security Response
■
A propos du client et du Centre de sécurité Windows
■
Gestion de SONAR sur votre ordinateur client
58
Par défaut, un client géré exécute une analyse active chaque jour à 00h30 Un
client non géré s'installe avec une analyse active prédéfinie qui est désactivée.
Si vous avez un client non géré, vous pouvez gérer vos propres analyses. Sur un
client géré, il se peut que vous puissiez configurer vos propres analyses, si votre
administrateur a rendu ces paramètres disponibles.
Tableau 4-1
Etape
Description
Découvrez la manière
dont les analyses
fonctionnent
Passez en revue les types d'analyses et les types des virus et de
risques de sécurité.
Mettez à jour les
Assurez-vous que vous disposez des dernières définitions de
virus.
Se reporter à "Fonctionnement des analyses antivirus et
antispyware" à la page 64.
Se reporter à "Mise à jour de la protection de l'ordinateur"
à la page 36.
Vérifiez qu'Auto-Protect Auto-Protect est activé par défaut. Vous devriez toujours
est activé
maintenir Auto-Protect activé. Si vous désactivez Auto-Protect,
vous désactivez également Détail des téléchargements et vous
empêchez SONAR de faire des détections heuristiques.
Se reporter à "Activation ou désactivation d'Auto-Protect"
à la page 46.
Analysez votre
ordinateur
Analysez régulièrement votre ordinateur pour y rechercher des
virus et des risques de sécurité. Assurez-vous que des analyses
s'exécutent régulièrement en vérifiant la date de la dernière
analyse.
Se reporter à "Planification d'une analyse définie par
l'utilisateur" à la page 76.
Etape
Description
Suspendre ou retarder
des analyses
Toutes les fois qu'une analyse à la demande, planifiée, au
démarrage ou définie par l'utilisateur s'exécute, Symantec
Endpoint Protection affiche par défaut une boîte de dialogue
d'avancement de l'analyse pour signaler la progression. En outre,
Auto-Protect peut afficher une boîte de dialogue de résultats
toutes les fois qu'il détecte un virus ou un risque de sécurité.
Vous pouvez désactiver ces notifications.
La fonction de suspension permet d'interrompre une analyse à
un stade quelconque et de la reprendre ultérieurement. Vous
pouvez suspendre toute analyse que vous avez lancée.
Dans les réseaux gérés, votre administrateur détermine si vous
pouvez suspendre une analyse générée par l'administrateur. Si
l'option Suspendre l'analyse n'est pas disponible, votre
administrateur a désactivé la fonction de pause. Si votre
administrateur a activé la fonction Différer, vous pouvez différer
ses analyses planifiées d'un délai déterminé.
Quand une analyse reprend, elle démarre à l'endroit où elle s'est
arrêtée.
Remarque : Si vous tentez de suspendre une analyse pendant
que le client analyse un fichier compressé, le client peut mettre
plusieurs minutes à réagir à la demande de suspension de
l'analyse.
59
60
Etape
Description
Interagissez avec les
résultats d'analyse
Lors de l'exécution des analyses, vous pourriez voir apparaître
une boîte de dialogue de résultats d'analyse. Vous pouvez utiliser
la boîte de dialogue de résultats d'analyse pour effectuer des
actions sur les éléments détectés lors des analyses.
Dans un réseau géré, la boîte de dialogue d'avancement d'analyse
peut ne pas apparaître pour les analyses générées par
l'administrateur. Votre administrateur peut choisir de ne pas
afficher les résultats quand le client détecte un virus ou un
risque de sécurité. Dans certains cas, votre administrateur peut
vous permettre d'afficher les résultats d'analyse mais de ne pas
suspendre ou reprendre une analyse.
Remarque : La langue du système d'exploitation peut ne pas
pouvoir interpréter certains caractères dans les noms de virus
qui apparaissent dans la boîte de dialogue de résultats d'analyse.
Si le système d'exploitation ne peut pas interpréter les
caractères, les caractères apparaissent comme des points
d'interrogation dans les notifications. Par exemple, certains
noms de virus Unicode peuvent contenir des caractères à deux
octets. Sur les ordinateurs qui exécutent le client sur un système
d'exploitation en anglais, des points d'interrogation s'affichent
à la place de ces caractères.
Se reporter à "Réagir à une détection de virus ou de risque"
à la page 24.
Etape
Description
Réglez les analyses pour Par défaut, Symantec Endpoint Protection fournit un niveau de
améliorer votre
sécurité élevé tout en limitant l'impact sur votre puissance de
puissance de traitement traitement. Vous pouvez personnaliser des paramètres pour
augmenter encore davantage la puissance de traitement.
Pour les analyses planifiées et à la demande, vous pouvez
modifier les options suivantes :
Accord d'analyse
Définissez l'accord d'analyse sur Meilleures performances
de l'application.
■ Fichiers compressés
Modifiez le nombre de niveaux pour analyser des fichiers
compressés.
■ Analyses pouvant reprendre
Vous pouvez spécifier un temps maximum pour qu'une
analyse s'exécute. L'analyse reprend quand l'ordinateur est
inactif.
■ Analyses sélectionnées de façon aléatoire
Vous pouvez spécifier qu'une analyse sélectionne de façon
aléatoire son heure de début dans un intervalle d'instant
spécifique.
■
Vous pourriez également vouloir désactiver les analyses de
démarrage ou modifier la planification de vos analyses
planifiées.
Se reporter à "Personnalisation des paramètres d'analyse
antivirus et antispyware" à la page 84.
Se reporter à "Planification d'une analyse définie par
l'utilisateur" à la page 76.
61
62
Etape
Description
Réglez les analyses pour Dans la plupart des cas, les paramètres d'analyse par défaut
augmenter la protection assurent une protection appropriée pour votre ordinateur. Dans
sur votre ordinateur
certains cas vous pourriez vouloir augmenter la protection. Si
vous augmentez la protection, vous pourriez affecter votre
puissance de traitement.
Pour les analyses planifiées et à la demande, vous pouvez
modifier les options suivantes :
Performances d'analyse
Définissez l'accord d'analyse sur Meilleures performances
d'analyse.
■ Actions d'analyse
Modifiez les actions correctives qui se produisent quand un
virus est détecté.
■ Durée de l'analyse
Par défaut, les analyses planifiées s'exécutent jusqu'à ce que
l'intervalle spécifié expire et reprennent quand l'ordinateur
client est inactif. Vous pouvez définir la durée d'analyse à
Analyser jusqu'à la fin.
■ Insight Lookup
Insight Lookup utilise le dernier jeu de définitions pour
analyser et prendre des décisions concernant les fichiers.
Elle utilise également la technologie de réputation de
Symantec. Vous devriez vous assurer que Insight Lookup
est activé. Les paramètres de Insight Lookup sont semblables
aux paramètres pour Détail des téléchargements.
■
Vous pouvez également augmenter le niveau de la protection
de Bloodhound. Bloodhound localise et isole les régions logiques
d'un fichier pour détecter le comportement de type viral. Vous
pouvez modifier le niveau de détection de Automatique à
Agressif pour augmenter la protection sur votre ordinateur. Le
paramètre Agressif est toutefois susceptible de produire plus
de faux positifs.
Etape
Description
Modifiez les paramètres Pour Auto-Protect, vous pourriez vouloir modifier les options
d'Auto-Protect pour
suivantes :
améliorer votre
■ Cache de fichier
puissance de traitement
Assurez-vous que le cache de fichier est activé (le paramètre
ou augmenter la
par défaut est activé). Quand le cache de fichier est activé,
protection
Auto-Protect se souvient des fichiers propres qu'il a analysés
et ne les analyse pas à nouveau.
■ Paramètres réseau
Quand Auto-Protect est activé sur des ordinateurs distants,
assurez-vous que Uniquement lors de l'exécution des
fichiers est activé.
■ Vous pouvez également indiquer qu'Auto-Protect fait
confiance aux fichiers sur des ordinateurs distants et utilise
un cache réseau.
Par défaut, Auto-Protect analyse les fichiers pendant leur
écriture depuis votre ordinateur vers un ordinateur distant.
Auto-Protect analyse également les fichiers pendant leur
écriture à partir d'un ordinateur distant vers votre
ordinateur.
Ce cache réseau stocke un enregistrement des fichiers
qu'Auto-Protect a analysés à partir d'un ordinateur distant.
En utilisant un cache réseau, vous empêchez Auto-Protect
d'analyser le même fichier plusieurs fois.
Gérer les détections de
Détail des
téléchargements
Détail des téléchargements examine les fichiers que vous essayez
de télécharger depuis vos navigateurs Web, clients de messagerie
et autres portails. Détail des téléchargements utilise les
informations de réputation de Symantec Insight pour prendre
des décisions concernant les fichiers.
Se reporter à "Gérer des détections de Détail des téléchargements
sur votre ordinateur" à la page 80.
Gérer SONAR
SONAR fait partie de la protection proactive contre les menaces.
Se reporter à "Gestion de SONAR sur votre ordinateur client"
à la page 103.
Identifier les exceptions Excluez de l'analyse un fichier ou un processus sûr.
d'analyse.
63
64
Etape
Description
Soumettez les
informations relatives
aux détections à
Symantec
Par défaut, votre ordinateur client envoie les informations
relatives aux détections à Symantec Security Response. Vous
pouvez désactiver les soumissions ou choisir quels genres
d'informations soumettre.
Symantec recommande de toujours activer les soumissions. Les
informations aident Symantec à traiter les menaces.
Se reporter à "Envoi des informations concernant les détections
à Symantec Security Response" à la page 100.
Gérer les fichiers mis en Symantec Endpoint Protection met en quarantaine des fichiers
quarantaine.
infectés et les déplace à un emplacement où le fichier n'infecte
pas d'autres fichiers de l'ordinateur.
Si un fichier mis en quarantaine ne peut pas être réparé, vous
devez décider que faire de ce fichier.
Vous pouvez également effectuer les actions suivantes :
Supprimer un fichier mis en quarantaine s'il existe un fichier
de sauvegarde ou si un fichier de remplacement est fourni
par une source fiable.
■ Laisser les fichiers comportant des infections inconnues en
quarantaine jusqu'à ce que Symantec publie de nouvelles
définitions de virus.
■ Vérifier régulièrement les fichiers mis en quarantaine pour
empêcher que trop de fichiers s'accumulent. Vérifier les
fichiers mis en quarantaine quand une nouvelle propagation
de virus apparaît sur le réseau.
■
Se reporter à "Gestion des fichiers en quarantaine sur votre
ordinateur client" à la page 94.
Se reporter à "A propos de la mise en quarantaine de fichiers"
à la page 96.
Le analyses contre les virus et les spywares identifient et neutralisent ou éliminent
des virus et des risques de sécurité sur vos ordinateurs. Une analyse élimine un
virus ou un risque en procédant comme suit :
■
Le moteur d'analyse parcourt les fichiers et d'autres composants de l'ordinateur
pour détecter des traces de virus dans les fichiers. Chaque virus dispose d'une
configuration reconnaissable appelée signature. Un fichier de définitions de
virus contenant des signatures de virus connues, sans code de virus néfaste
est installé sur l'ordinateur client. Le moteur d'analyse compare chaque fichier
ou composant au fichier de définitions de virus. Si le moteur d'analyse trouve
une correspondance, le fichier est infecté.
■
Les fichiers de définitions permettent au moteur d'analyse de déterminer si
un virus ou un risque a causé l'infection. Le moteur d'analyse prend alors une
action de correction sur le fichier infecté. Pour réparer le fichier infecté, le
client nettoie, supprime ou met le fichier en quarantaine.
Se reporter à "Comment les analyses réagissent à la détection d'un virus ou
d'un risque" à la page 73.
Tableau 4-2 décrit les composants que le client analyse sur l'ordinateur.
Tableau 4-2
Composant
Composants de l'ordinateur analysés par le client
Description
Fichiers sélectionnés Le client analyse des fichiers individuels. Dans la plupart des types
d'analyse, vous pouvez sélectionner les fichiers à analyser.
Le logiciel client utilise une analyse basée sur des modèles pour
rechercher les traces de virus dans les fichiers. Les traces des virus
sont appelées modèles ou signatures. Chaque fichier est comparé à
des signatures inoffensives contenues dans un fichier de définitions
de virus, ce qui permet de détecter des virus spécifiques.
Si un virus est détecté, le client tente, par défaut, de le supprimer
du fichier infecté. Si le fichier ne peut pas être nettoyé, le client le
place en quarantaine pour éviter de contaminer les autres fichiers
de votre ordinateur.
Le client utilise également une analyse basée sur des modèles pour
rechercher des symptômes de risques de sécurité dans les fichiers
et les clés de registre de Windows. Si un risque de sécurité existe,
le client, par défaut, met les fichiers infectés en quarantaine et répare
les effets du risque. Si le client ne peut pas mettre en quarantaine
les fichiers, il consigne la tentative.
Mémoire de
l'ordinateur
Le client analyse la mémoire de l'ordinateur. Tous les virus de fichier,
virus de secteur de démarrage et virus de macro sont susceptibles
de résider en mémoire. Les virus qui se trouvent en mémoire se sont
copiés eux-mêmes dans la mémoire de l'ordinateur. Un virus peut
se dissimuler en mémoire jusqu'à ce qu'un événement déclencheur
se produise. Le virus peut alors infecter une disquette insérée dans
le lecteur ou s'étendre au disque dur. Si un virus est dans la mémoire,
il ne peut pas être nettoyé. Vous pouvez toutefois supprimer un
virus de la mémoire en redémarrant l'ordinateur quand un message
vous le propose.
65
66
Composant
Description
Secteur de
démarrage
La client recherche les virus de secteur de démarrage dans le secteur
de démarrage de l'ordinateur. Deux éléments sont vérifiés : les tables
de partitions et la zone d'enregistrement de démarrage principal.
Lecteur de disquette Les disquettes constituent une source courante de propagation des
virus. Une disquette peut se trouver dans le lecteur au moment du
démarrage ou de l'arrêt de votre ordinateur. Au démarrage d'une
analyse, le client analyse le secteur de démarrage et les tables de
partitions de toute disquette se trouvant dans le lecteur. Lorsque
vous éteignez votre ordinateur, vous êtes invité à retirer la disquette
pour éviter tout risque d'infection.
A propos des types d'analyse
Symantec Endpoint Protection inclut différents types d'analyses pour assurer la
protection contre différents types de virus, de menaces et de risques.
Par défaut, Symantec Endpoint Protection exécute une analyse Active Scan chaque
jour à 12h30. Symantec Endpoint Protection exécute également une analyse Active
Scan quand de nouvelles définitions arrivent sur l'ordinateur client. Sur les
ordinateurs non gérés, Symantec Endpoint Protection inclut également une analyse
de démarrage par défaut qui est désactivée.
Sur les clients non gérés, vous devriez vous assurer que vous exécutez une analyse
active quotidienne sur votre ordinateur. Vous pourriez vouloir planifier une
analyse complète une fois par semaine ou une fois par mois si vous suspectez la
présence d'une menace inactive sur votre ordinateur. Les analyses complètes
consomment davantage de ressources et peuvent affecter la puissance de
traitement.
Tableau 4-3
Types d'analyse
Type d'analyse
Description
Auto-Protect
Les analyses Auto-Protect examinent en permanence les fichiers et les données de courrier
électronique pendant leur écriture ou leur lecture sur un ordinateur. Auto-Protect
neutralise ou élimine automatiquement les virus et les risques de sécurité détectés.
Auto-Protect protège également les courriers électroniques que vous pourriez envoyer
ou recevoir.
Se reporter à "Types d'Auto-Protect" à la page 68.
Type d'analyse
Description
Détail des
téléchargements
Détail des téléchargements amplifie la sécurité d'Auto-Protect en examinant les fichiers
quand les utilisateurs essayent de les télécharger depuis les navigateurs Web et autres
portails.
Détail des téléchargements utilise les informations de réputation pour prendre des
décisions concernant les fichiers. L'estimation de la réputation des fichiers est déterminée
par une technologie de Symantec appelée Insight. Insight utilise non seulement la source
d'un fichier mais également son contexte. Insight fournit une estimation de la sécurité
que Détail des téléchargements utilise pour prendre les décisions concernant les fichiers.
Détail des téléchargements fonctionne en tant qu'élément d'Auto-Protect et nécessite
que Auto-Protect soit activé. Si vous désactivez Auto-Protect mais activez Détail des
téléchargements, Détail des téléchargements ne peut pas fonctionner.
Se reporter à "Utilisation par Symantec Endpoint Protection des données de réputation
pour prendre des décisions au sujet de fichiers" à la page 74.
67
68
Type d'analyse
Description
Analyses
d'administrateur et
analyses définies par
l'utilisateur
Pour les clients gérés, votre administrateur peut créer des analyses planifiées ou exécuter
des analyses à la demande. Pour les clients non gérés ou les clients gérés pour lesquels
des paramètres d'analyse sont déverrouillés, vous pouvez créer et exécuter vos propres
analyses.
Les analyses d'administrateur ou définies par l'utilisateur détectent les virus et les risques
de sécurité en examinant tous les fichiers et les processus sur l'ordinateur client. Ces
types d'analyse peuvent également examiner les points de mémoire et de chargement.
Les types suivants d'analyses d'administrateur ou définies par l'utilisateur sont
disponibles :
Analyses planifiées
Une analyse planifiée s'exécute sur les ordinateurs client à des heures indiquées. Les
analyses planifiées de manière concurrente s'exécutent séquentiellement. Si un
ordinateur est désactivé pendant une analyse planifiée, l'analyse ne s'exécute pas à
moins qu'elle ne soit configurée pour redémarrer s'il elle n'a pas eu lieu. Vous pouvez
planifier une analyse active, complète ou personnalisée.
Vous pouvez enregistrer vos paramètres d'analyse planifiée comme modèle. Vous
pouvez utiliser n'importe quelle analyse enregistrée comme modèle comme base pour
une analyse différente. Les modèles d'analyse peuvent vous faire gagner du temps
lorsque vous configurez des politiques multiples. Un modèle d'analyse planifiée est
inclus par défaut dans la politique. L'analyse planifiée par défaut analyse tous les
fichiers et répertoires.
■ Analyses de démarrage et déclenchées
Les analyses de démarrage s'exécutent quand les utilisateurs se connectent aux
ordinateurs. Les analyses déclenchées s'exécutent quand de nouvelles définitions de
virus sont téléchargées sur l'ordinateur.
■ Analyses à la demande
Les analyses sur demande sont des analyses que vous démarrez manuellement. Vous
pouvez exécuter des analyses à la demande à partir de la page Rechercher les menaces.
■
SONAR
SONAR offre une protection en temps réel contre les attaques "Zero Day". SONAR peut
arrêter des attaques avant même que les définitions basées sur les signatures
traditionnelles ne détectent une menace. SONAR utilise des technologies heuristiques
ainsi que des données de réputation de fichier pour prendre des décisions à propos des
applications ou des fichiers.
Comme les analyses de menaces proactives, SONAR détecte les enregistreurs de frappe,
les spywares et toute application pouvant être malveillante ou potentiellement
malveillante.
Types d'Auto-Protect
Auto-Protect analyse les fichiers ainsi que certains types de messages électroniques
et de pièces jointes.
Si votre ordinateur client exécute d'autres produits de protection de messagerie,
tels que Symantec Mail Security, il se peut que vous ne deviez pas activer
Auto-Protect pour le courrier électronique.
Auto-Protect fonctionne uniquement avec votre client de messagerie pris en
charge. Il ne protège pas les serveurs de messagerie.
Remarque : Si un virus est détecté lorsque vous ouvrez un message électronique,
l'ouverture de celui-ci peut demander quelques secondes, le temps que Symantec
AntiVirus en termine l'analyse.
Tableau 4-4
Types d'Auto-Protect
Type d'Auto-Protect
Description
Auto-Protect
Analyse en continu les fichiers lorsqu'ils sont lus ou enregistrés sur votre
ordinateur.
Auto-Protect est activé par défaut pour le système de fichiers. Il se charge au
démarrage de l'ordinateur. Il examine tous les fichiers pour y rechercher les virus
et les risques de sécurité et bloque l'installation des risques de sécurité. Il peut
le cas échéant analyser des fichiers par extension de fichier, analyser des fichiers
sur des ordinateurs distants et analyser des disquettes pour y rechercher des
virus de secteur de démarrage. Il peut le cas échéant sauvegarder des fichiers
avant d'essayer de les réparer et mettre fin à des processus et à des services.
Vous pouvez configurer Auto-Protect pour analyser seulement des extensions
de fichier choisies. Quand il analyse des extensions sélectionnées, Auto-Protect
peut également déterminer le type d'un fichier même si un virus modifie
l'extension de fichier.
Si vous n'exécutez pas Auto-Protect pour le courrier électronique, vos ordinateurs
client restent protégés quand Auto-Protect est activé. La plupart des applications
de messagerie électronique enregistrent les pièces jointes dans un répertoire
temporaire quand les utilisateurs les ouvrent. Auto-Protect analyse le fichier
pendant qu'il est enregistré dans le répertoire temporaire et détecte tout virus
ou risque de sécurité. Auto-Protect détecte également le virus si l'utilisateur
essaye d'enregistrer une pièce jointe infectée sur un lecteur local ou lecteur réseau
local.
69
70
Type d'Auto-Protect
Description
Auto-Protect pour le courrier
électronique Internet
Recherche la présence de virus ou de risques de sécurité dans le courrier
électronique Internet (POP3 ou SMTP) ; effectue également une analyse
heuristique du courrier électronique sortant.
Par défaut, Auto-Protect pour le courrier électronique Internet prend en charge
les mots de passe chiffrés et le courrier électronique POP3 et SMTP. Si vous
utilisez POP3 ou SMTP avec Secure Sockets Layer (SSL), le client détecte les
connexions sécurisées mais n'analyse pas les messages chiffrés.
Remarque : Pour des raisons de performance, Auto-Protect pour le courrier
électronique Internet via POP3 n'est pas pris en charge sur les systèmes
d'exploitation serveur. L'analyse de la messagerie Internet n'est pas non plus
prise en charge sur les ordinateurs 64 bits.
L'analyse du courrier électronique ne prend pas en charge le courrier électronique
basé sur IMAP, AOL ou HTTP tel que Hotmail ou Yahoo! Mail.
Auto-Protect pour Microsoft
Outlook
Recherche la présence de virus et risques de sécurité dans le courrier électronique
(MAPI et Internet) et les pièces jointes de Microsoft Outlook.
Prise en charge de Microsoft Outlook 98/2000/2002/2003/2007/2010 (MAPI et
Internet)
Si Microsoft Outlook est déjà installé sur l'ordinateur quand vous effectuez une
installation de logiciel client, le logiciel client détecte l'application de messagerie.
Le client installe automatiquement Auto-Protect pour Microsoft Outlook.
Si vous utilisez Microsoft Outlook via MAPI ou client Microsoft Exchange et
Auto-Protect est activé pour le courrier électronique, alors les pièces jointes sont
immédiatement téléchargées. Les pièces jointes sont analysées quand vous ouvrez
la pièce jointe. Si vous téléchargez une pièce jointe volumineuse sur une connexion
lente, les performances de la messagerie sont affectées. Vous pouvez désactiver
cette fonction si vous recevez souvent des pièces jointes de grande taille.
Remarque : Sur un serveur Microsoft Exchange, vous ne devriez pas installer
Auto-Protect pour Microsoft Outlook.
Auto-Protect pour Lotus Notes
Recherche la présence de virus et risques de sécurité dans le courrier électronique
et les pièces jointes de Lotus Notes.
Prise en charge de Lotus Notes 4.5x, 4.6, 5.0 et 6.x
Si Lotus Notes est déjà installé sur l'ordinateur quand vous effectuez une
installation de logiciel client, le logiciel client détecte l'application de messagerie.
Le client installe automatiquement Auto-Protect pour Lotus Notes.
A propos des virus et des risques de sécurité
Symantec Endpoint Protection effectue une analyse à la recherche de virus et de
risques de sécurité. Les risques de sécurité incluent les spywares, les logiciels
publicitaires, les rootkits ou autres fichiers qui peuvent rendre un ordinateur ou
un réseau vulnérable.
Les virus et les risques de sécurité peuvent être véhiculés par des messages
électroniques ou des programmes de messagerie instantanée. Vous pouvez
télécharger un risque sans le savoir en acceptant un contrat de licence utilisateur
d'un logiciel.
De nombreux virus et risques de sécurité sont installés par téléchargements
"embarqués". Ces téléchargements se produisent généralement lorsque vous
visitez des sites Web malveillants ou infectés. L'outil de téléchargement de
l'application les installe en exploitant une vulnérabilité légitime de votre
ordinateur.
Vous pouvez afficher des informations sur les risques spécifiques sur le site Web
Symantec Security Response.
Le site Web de Symantec Security Response fournit les informations les plus
récentes sur les menaces et les risques de sécurité. Ce site contient également des
données de référence exhaustives, comme des documents techniques, et des
informations détaillées concernant les virus et les risques de sécurité.
Se reporter à "Comment les analyses réagissent à la détection d'un virus ou d'un
risque" à la page 73.
Figure 4-1
Autres ordinateurs,
partages de
fichiers réseau
Comment les virus et les risques de sécurité attaquent un ordinateur
Lecteur flash
USB
Internet
Virus,
programmes
malveillants
et risques de
sécurité
Virus, programmes
malveillants et
risques de sécurité
Ordinateur client
Courrier
électronique,
messagerie
instantanée
Virus, programmes
malveillants et
71
72
Tableau 4-5 répertorie le type des virus et de risques qui peuvent attaquer un
ordinateur.
Tableau 4-5
Virus et risques de sécurité
Risque
Description
Virus
Programmes ou code qui ajoutent une copie d'eux-mêmes à un
autre programme ou fichier, au moment de leur exécution. Quand
le programme infecté s'exécute, le programme de virus joint
s'active et s'ajoute à d'autres programmes et fichiers.
Les types suivants de menaces appartiennent à la catégorie des
virus :
■
■
■
■
■
Robots Web malveillants
Programmes qui exécutent des tâches automatisées via
Internet. Des robots Web peuvent être utilisés pour
automatiser des attaques sur des ordinateurs ou pour collecter
des informations de sites Web.
Vers
Programmes qui se reproduisent sans infecter d'autres
programmes. Certains vers se propagent en se copiant d'un
disque à un autre, alors que d'autres se répliquent dans la
mémoire pour réduire la puissance de traitement.
Chevaux de Troie
Programmes dissimulés dans un élément inoffensif, comme
un jeu ou un utilitaire.
Menaces combinées
Menaces qui combinent les caractéristiques des virus, des
vers, des chevaux de Troie et des codes malveillants avec les
vulnérabilités de serveur et d'Internet pour lancer,
transmettre et propager une attaque. Les menaces combinées
utilisent plusieurs méthodes et techniques pour se propager
rapidement et causer des dommages étendus.
Rootkits
Programmes qui essayent de se masquer vis-à-vis du système
d'exploitation d'un ordinateur.
Logiciel de publicité
Programmes qui délivrent un contenu publicitaire.
Composeurs
Programmes qui utilisent un ordinateur, sans permission de
l'utilisateur ou à son insu, pour composer par Internet un numéro
900 ou accéder à un site FTP. Habituellement, ces numéros sont
composés pour engendrer des frais.
Risque
Description
Outils de piratage
Programmes que le pirate utilise pour obtenir un accès non
autorisé à l'ordinateur d'un utilisateur. Une exemple est un
programme d'enregistrement automatique des frappes qui piste
et enregistre chaque frappe au clavier et envoie ces informations
au pirate. Le pirate peut ensuite effectuer des analyses de port
ou de vulnérabilité. Les outils de piratage peuvent également
servir à créer des virus.
Programmes blagues
Programmes qui altèrent ou interrompent le fonctionnement
d'un ordinateur d'une manière qui se veut amusante ou
effrayante. Par exemple, un programme blague peut déplacer la
corbeille à chaque fois que le curseur de la souris s'en approche
lorsque l'utilisateur cherche à supprimer le programme.
Applications
trompeuses
Applications qui donnent intentionnellement une idée incorrecte
de l'état de sécurité d'un ordinateur. Ces applications se
présentent généralement sous la forme de notifications de
sécurité qui signalent de fausses infections à supprimer.
Programmes de
contrôle parentaux
Programmes qui contrôlent ou limitent l'utilisation de
l'ordinateur. Les programmes peuvent s'exécuter sans être détecté
et transmettent généralement des informations de contrôle à un
autre ordinateur.
Programmes d'accès
distant
Programmes permettant un accès par Internet à partir d'un autre
ordinateur afin d'obtenir des informations ou d'attaquer voire
d'altérer votre ordinateur.
Outil d'évaluation de la Programmes utilisés pour recueillir des informations permettant
sécurité
d'obtenir un accès non autorisé à un ordinateur.
spyware
Programmes autonomes pouvant surveiller secrètement les
activités du système et détecter des informations comme les mots
de passe et autres informations confidentielles et retransmettre
ces informations à un autre ordinateur.
logiciel de pistage
Applications autonomes ou ajoutées qui suivent l'itinéraire d'un
utilisateur sur Internet et envoient les informations au contrôleur
ou au système du pirate.
Comment les analyses réagissent à la détection d'un virus ou d'un
risque
Quand les virus et les risques de sécurité infectent des fichiers, le client réagit
aux types de menace de différentes manières. Pour chaque type de menace, le
73
74
client utilise une première action, puis applique une deuxième action si la première
action échoue.
Comment une analyse réagit aux virus et aux risques de sécurité
Tableau 4-6
Type de
menace
Action
Virus
Par défaut, quand le client détecte un virus, le client :
■
Essaye d'abord de nettoyer le virus à partir du fichier infecté.
Si le client nettoie le fichier, il supprime complètement le risque de
votre ordinateur.
■ Si le client ne peut pas nettoyer le fichier, il consigne l'échec et place
le fichier infecté en quarantaine.
Se reporter à "A propos de la mise en quarantaine de fichiers"
à la page 96.
■
Risque de
sécurité
Par défaut, quand le client détecte un risque de sécurité :
■
Il met en quarantaine le fichier infecté.
Il essaye de supprimer ou de réparer toutes les modifications que le
risque de sécurité a effectuées.
■ Si le client ne peut pas mettre en quarantaine un risque de sécurité,
il consigne le risque et le laisse inchangé.
■
Dans certains cas, vous pouvez installer sans le savoir une application
incluant un risque de sécurité tel qu'un logiciel publicitaire ou un spyware.
Si Symantec a déterminé que mettre en quarantaine le risque ne nuit pas
à l'ordinateur, le client met le risque en quarantaine. Si le client met le
risque en quarantaine immédiatement, son action peut laisser l'ordinateur
dans un état instable. A la place, le client attend que l'installation de
l'application soit terminée avant de mettre le risque en quarantaine. Il
répare ensuite les effets du risque.
Pour chaque type d'analyse, vous pouvez modifier les paramètres selon lesquels
le client traite les virus et les risques de sécurité. Vous pouvez définir différentes
actions pour chaque catégorie de risque et pour des risques de sécurité individuels.
Utilisation par Symantec Endpoint Protection des données de
réputation pour prendre des décisions au sujet de fichiers
Symantec collecte des informations sur des fichiers à partir de sa communauté
globale de millions d'utilisateurs et de son réseau Global Intelligence Network.
Les informations collectées forment une base de données de réputation hébergée
par Symantec. Les produits Symantec exploitent ces informations pour protéger
les ordinateurs client contre des menaces nouvelles, ciblées et en cours de
mutation. Les données sont parfois mentionnées comme étant "dans le nuage"
puisqu'elles ne résident pas sur l'ordinateur client. L'ordinateur client doit adresser
une demande ou une requête à la base de données de réputation.
Symantec utilise une technologie appelée Insight afin de déterminer le niveau de
risque ou "évaluation de la sécurité" de chaque fichier.
Insight détermine l'évaluation de sécurité d'un fichier en examinant les
caractéristiques suivantes du fichier et de son contexte :
■
la source du fichier,
■
l'âge du fichier,
■
la fréquence d'apparition du fichier dans la communauté,
■
d'autres mesures de sécurité, telles que la façon dont le fichier pourrait être
associé à des logiciels malveillants.
Les fonctions d'analyse de Symantec Endpoint Protection influencent Insight
pour prendre des décisions concernant les fichiers et applications. Protection
contre les virus et les logiciels espions inclut une fonction appelée Détail des
téléchargements. Cette fonction s'appuie sur les informations de réputation pour
effectuer des détections. Si vous désactivez les consultations d'Insight, Détail des
téléchargements s'exécute mais ne peut pas effectuer de détections. Les autres
fonctions de protection, telles que Insight Lookup et SONAR, utilisent les
informations de réputation pour effectuer des détections ; cependant, ces fonctions
peuvent utiliser d'autres technologies pour effectuer des détections.
Par défaut, un ordinateur client envoie des informations sur les détections de
réputation à Symantec Security Response pour analyse. Les informations aident
à affiner la base de données de la réputation d'Insight. Plus les clients qui
soumettent des informations sont nombreux, plus la base de données de réputation
est utile.
Vous pouvez désactiver la transmission des informations de réputation. Symantec
recommande, toutefois, de maintenir activées les transmissions.
Les ordinateurs client soumettent également d'autres types d'informations sur
les détections à Symantec Security Response.
Se reporter à "Gérer des détections de Détail des téléchargements sur votre
ordinateur" à la page 80.
Se reporter à "Envoi des informations concernant les détections à Symantec
Security Response" à la page 100.
75
76
Une analyse planifiée est un élément important de la protection contre les menaces
et les risques de sécurité. Vous devez planifier une analyse pour exécution au
moins une fois par semaine pour garantir que votre ordinateur reste exempt de
virus et de risques de sécurité. Lorsque vous créez une analyse, celle-ci s'affiche
dans la liste d'analyses, dans le volet Rechercher les menaces.
Remarque : Si votre administrateur a créé une analyse planifiée, elle s'affiche dans
la liste d'analyses, dans le volet Rechercher les menaces.
Votre ordinateur doit être sous tension et les services Symantec Endpoint
Protection doivent être chargés au moment planifié pour le déroulement de
l'analyse. Par défaut, les services Symantec Endpoint Protection sont chargés au
redémarrage de l'ordinateur.
Pour les clients gérés, l'administrateur peut remplacer ces paramètres.
Si vous planifiez plusieurs analyses pour le même ordinateur et que les analyses
commencent en même temps, elles s'exécutent successivement. La fin d'une
analyse enclenche le commencement d'une autre. Par exemple, vous pouvez
planifier l'exécution de trois analyses séparées sur l'ordinateur à 13 h 00. Chaque
analyse porte sur un lecteur différent. L'une analyse le lecteur C. Une autre le
lecteur D. Une autre le lecteur E. Dans cet exemple, il est préférable de créer une
analyse planifiée analysant les lecteurs C, D et E.
Aide.
Pour planifier une analyse définie par l'utilisateur
1
2
Cliquez sur Créer une analyse.
3
Dans la boîte de dialogue Créer une analyse (éléments à analyser),
sélectionnez l'un des types d'analyse suivants à planifier :
Active Scan
Analyse les zones de l'ordinateur que les virus et les risques de
sécurité infectent le plus généralement.
Vous devriez exécuter une analyse active chaque jour.
Analyse complète Analyse l'ordinateur entier pour rechercher les virus et les risques
de sécurité.
Vous pourriez vouloir exécuter une analyse complète une fois
par semaine ou une fois par mois. Les analyses complètes
pourraient affecter votre puissance de traitement.
Analyse
personnalisée
Analyse les zones sélectionnées de l'ordinateur pour rechercher
les virus et les risques de sécurité.
4
Cliquez sur Suivant.
5
Si vous avez sélectionné Analyse personnalisée, cochez les cases appropriées
pour spécifier les emplacements à analyser, puis cliquez sur Suivant.
Les symboles ont les descriptions suivantes :
Le fichier, lecteur ou dossier n'est pas sélectionné. S'il s'agit d'un lecteur
ou d'un dossier, son contenu (fichiers ou dossiers) n'est pas non plus
sélectionné.
Le fichier ou dossier individuel est sélectionné.
Le dossier ou le lecteur individuel est sélectionné. Tous les éléments
contenus dans le dossier ou le lecteur sont également sélectionnés.
Le dossier ou le lecteur n'est pas sélectionné, mais un ou plusieurs des
éléments qu'il contient le sont.
77
78
6
Dans la boîte de dialogue Créer une analyse – options d'analyse, vous pouvez
modifier l'une des options suivantes :
Types de fichier Modifiez les extensions de fichier que le client analyse. Le
paramètre par défaut consiste à analyser tous les fichiers.
Actions
Sélectionnez l'action principale et l'action secondaire à effectuer
quand des virus et des risques de sécurité sont détectés.
Notifications
Définissez un message à afficher quand un virus ou un risque de
sécurité est trouvé. Vous pouvez également définir si vous voulez
être notifié avant que les actions de résolution n'interviennent.
Avancé
Modifiez des fonctions d'analyse supplémentaires, telles que
l'affichage de la boîte de dialogue des résultats de l'analyse.
Améliorations
de l'analyse
Modifie les composants d'ordinateur que le client analyse. Les
options disponibles dépendent des éléments sélectionnés dans
l'étape 3.
7
8
Dans la boîte de dialogue Créer une analyse – moment de l'analyse, cliquez
sur Aux heures spécifiées, puis cliquez sur Suivant.
Vous pouvez également créer une analyse à la demande ou de démarrage.
Se reporter à "Planification d'une analyse à exécuter sur demande ou quand
l'ordinateur démarre" à la page 79.
9
Dans la boîte de dialogue Créer une analyse - planification, sous Planification
d'analyse, spécifiez la fréquence et l'heure d'analyse, puis cliquez sur Suivant.
10 Sous Durée de l'analyse, vous pouvez spécifier une durée au terme de laquelle
l'analyse doit se terminer. Vous pouvez également sélectionner de façon
aléatoire l'heure de début d'analyse.
11 Sous Analyses planifiées manquées, vous pouvez spécifier un intervalle
pendant lequel une analyse peut être relancée.
12 Dans la boîte de dialogue Créer une analyse – nom de l'analyse, saisissez un
nom et une description pour l'analyse.
Par exemple, désignez l'analyse : vendredi matin
13 Cliquez sur Terminer.
Planification d'une analyse à exécuter sur demande ou quand l'ordinateur démarre
Planification d'une analyse à exécuter sur demande
ou quand l'ordinateur démarre
Vous pouvez compléter une analyse planifiée avec une analyse automatique à
chaque démarrage de votre ordinateur ou de votre connexion. Généralement,
l'analyse au démarrage se limite aux dossiers importants et à haut risque, comme
le dossier Windows et les dossiers contenant les modèles Word et Excel.
Si vous analysez régulièrement le même ensemble de fichiers ou de dossiers, vous
pouvez créer une analyse limitée aux éléments concernés. A tout moment, vous
pouvez rapidement vérifier que les fichiers et les dossiers indiqués sont exempts
de virus et d'autres risques de sécurité. Vous devez exécuter manuellement les
analyses sur demande.
Si vous créez plusieurs analyses au démarrage, elles seront exécutées dans l'ordre
de leur création. Votre administrateur a peut-être configuré le client de sorte que
vous ne puissiez pas créer une analyse au démarrage.
Aide.
Pour planifier une analyse à exécuter sur demande ou au démarrage de l'ordinateur
1
2
Cliquez sur Créer une analyse.
3
Spécifiez les éléments à analyser et toutes les options de l'analyse planifiée.
Se reporter à "Planification d'une analyse définie par l'utilisateur" à la page 76.
4
Dans la boîte de dialogue de Créer une analyse - moment de l'exécution) pour
effectuer l'une des opérations suivantes :
■
Cliquez sur Au démarrage.
■
Cliquez sur A la demande.
5
6
Dans la boîte de dialogue Créer une analyse - nom de l'analyse, saisissez un
nom et une description pour l'analyse.
Par exemple, désignez l'analyse : MonAnalyse1
7
Cliquez sur Terminer.
79
80
Gérer des détections de Détail des téléchargements
sur votre ordinateur
Auto-Protect inclut une fonction appelée Détail des téléchargements, qui examine
les fichiers que vous essayez de télécharger via des navigateurs Web, clients de
messagerie textuelle et autres portails. Auto-Protect doit être activé pour que
Détail des téléchargements fonctionne.
Les portails pris en charge incluent Internet Explorer, Firefox, Microsoft Outlook,
Outlook Express, Windows Live Messenger et Yahoo Messenger.
Remarque : Dans le journal de risque, les détails de risque pour une détection de
Détail des téléchargements affichent seulement la première application de portail
qui a essayé le téléchargement. Par exemple, vous pourriez utiliser Internet
Explorer pour essayer de télécharger un fichier que Détail des téléchargements
détecte. Si vous utilisez ensuite Firefox pour essayer de télécharger le fichier, le
champ Téléchargé par dans les détails de risque affiche Internet Explorer comme
portail.
Détail des téléchargements détermine qu'un fichier téléchargé pourrait être un
risque basé sur des preuves concernant la réputation du fichier. Détail des
téléchargements n'utilise pas de signatures ou de technologies heuristiques pour
prendre des décisions. Si Détail des téléchargements autorise un fichier,
Auto-Protect ou SONAR analyse le fichier lorsque l'utilisateur ouvre ou exécute
le fichier.
Remarque : Auto-Protect peut également analyser les fichiers que les utilisateurs
reçoivent en tant que pièces jointes.
Tableau 4-7
Gérer des détections de Détail des téléchargements sur votre
ordinateur
Tâche
Description
Apprenez comment Détail des
téléchargements utilise les
données de réputation pour
prendre des décisions concernant
les fichiers
Détail des téléchargements utilise les informations de réputation exclusivement
quand il prend des décisions concernant les fichiers téléchargés. Cette fonction
n'utilise pas les signatures ou les règles heuristiques pour prendre des décisions.
Si Détail des téléchargements autorise un fichier, Auto-Protect ou SONAR analyse
le fichier lorsque l'utilisateur ouvre ou exécute le fichier.
Tâche
Description
Répondre aux détections de Détail Vous pourriez voir des notifications quand Détail des téléchargements fait une
des téléchargements
détection. Pour les clients gérés, votre administrateur pourrait choisir de
désactiver les notifications de détection de Détail des téléchargements.
Lorsque les notifications sont activées, vous voyez des messages lorsque Détail
des téléchargements détecte un fichier malveillant ou un fichier non fondé. Pour
les fichiers non prouvés, vous devez spécifier si le fichier est autorisé ou non.
Se reporter à "Réagir aux messages de Détail des téléchargements qui vous
demandent d'autoriser ou de bloquer un fichier que vous essayez de télécharger"
à la page 27.
Créez des exceptions pour des
fichiers ou des domaines Web
spécifiques
Vous pouvez créer une exception pour une application téléchargée par les
utilisateurs. Vous pouvez également créer une exception pour un domaine Web
spécifique que vous jugez sécurisé.
Par défaut, Détail des téléchargements n'examine aucun fichier que les
utilisateurs téléchargent depuis un site Internet ou Intranet approuvé. La
configuration des sites approuvés s'effectue dans l'onglet Panneau de
configuration Windows > Sites Internet approuvés > Sécurité. Lorsque l'option
Approuver automatiquement tout fichier téléchargé à partir d'un site intranet
est activée, Symantec Endpoint Protection autorise les fichiers téléchargés par
un utilisateur depuis l'un des sites approuvés.
Détail des téléchargements identifie uniquement les sites approuvés configurés
explicitement. Les caractères génériques sont permis, mais les plages d'adresses
IP non routables ne sont pas prises en charge. Par exemple, Détail des
téléchargements n'identifie pas 10.*.*.* comme site approuvé. Détail des
téléchargements ne prend pas non plus en charge les sites découverts par l'option
Options Internet > Sécurité > Détecter automatiquement le réseau Intranet.
Assurez-vous que les
consultations d'Insight sont
activées
Détail des téléchargements exige des données de réputation pour prendre des
décisions concernant les fichiers. Si vous désactivez les consultations d'Insight,
Détail des téléchargements s'exécute mais ne peut pas effectuer de détections.
Les consultations d'Insight sont activées par défaut.
81
82
Tâche
Description
Personnaliser les paramètres de
Détail des téléchargements
Vous pourriez vouloir personnaliser les paramètres de Détail des téléchargements
pour les raisons suivantes :
Augmenter ou diminuer le nombre de détections de Détail des
téléchargements.
Vous pouvez régler le curseur de sensibilité de détection des fichiers
malveillants pour augmenter ou diminuer le nombre de détections. A des
niveaux de sensibilité plus bas, Détail des téléchargements détecte moins de
fichiers comme étant malveillants et plus de fichiers comme étant non fondés.
Les détections de faux positifs sont moins nombreuses.
A des niveaux de sensibilité plus élevées, Détail des téléchargements détecte
davantage de fichiers comme étant malveillants et moins de fichiers comme
étant non fondés. Les détections de faux positifs sont plus nombreuses.
■ Modifiez l'action pour les détections malveillantes ou les fichiers non prouvés.
Vous pouvez modifier la manière dont Détail des téléchargements traite les
fichiers malveillants ou non fondés. Il peut être utile de modifier l'action
pour les fichiers non prouvés de façon à ne pas recevoir de notifications pour
ces détections.
■ Obtenez des alertes sur les détections de Détail des téléchargements.
Lorsque Détail des téléchargements détecte un fichier qu'il considère comme
malveillant, il affiche un message sur l'ordinateur client si l'action est réglée
sur Quarantaine. Vous pouvez annuler l'action de quarantaine.
Lorsque Détail des téléchargements détecte un fichier qu'il considère non
fondé, il affiche un message sur l'ordinateur client si vous avez réglé l'action
pour les fichiers non fondés sur Invite ou à Quarantaine. Quand l'action est
définie sur Demander, vous pouvez autoriser ou bloquer le fichier. Lorsque
l'action est définie sur Quarantaine, vous pouvez annuler l'action de
quarantaine.
Vous pouvez désactiver les notifications de l'utilisateur de sorte que vous
n'ayez pas le choix quand Détail des téléchargements détecte un fichier qu'il
considère comme non fondé. Si vous activez les notifications de façon
permanente, vous pouvez définir l'action pour les fichiers non prouvés sur
Ignorer de façon à ce que ces détections soient toujours autorisées et à ne
pas recevoir de notification.
Lorsque les notifications sont activées, le paramètre de sensibilité de détection
des fichiers malveillants affecte le nombre de notifications que vous recevez.
Si vous augmentez la sensibilité, vous augmentez le nombre de notifications
utilisateur car le nombre total de détections augmente.
■
Se reporter à "Personnaliser des paramètres de Détail des téléchargements"
à la page 83.
Tâche
Description
Envoi d'informations concernant Par défaut, les clients envoient des informations concernant les détections
la réputation à Symantec
d'informations de réputation à Symantec.
Symantec recommande d'activer l'envoi des informations de réputation détectées.
Ces informations aident Symantec à faire face aux menaces.
Personnaliser des paramètres de Détail des
téléchargements
Vous pourriez vouloir personnaliser des paramètres Détail des téléchargements
pour diminuer les détections de faux positif sur les ordinateurs client. Vous pouvez
modifier la sensibilité de Détail des téléchargements par rapport aux données de
réputation de fichier qu'il l'utilise pour caractériser les fichiers malveillants. Vous
pouvez également modifier les notifications que Détail des téléchargements affiche
sur les ordinateurs client quand il effectue une détection.
Se reporter à "Gérer des détections de Détail des téléchargements sur votre
ordinateur" à la page 80.
1
2
En regard de Protection contre les virus et les logiciels espions, cliquez sur
Configurer les paramètres.
3
Sur l'onglet Détail des téléchargements, vérifiez que Activer Détail des
téléchargements pour détecter les risques potentiels dans les fichiers
téléchargés en fonction de la réputation de fichier est coché.
Si Auto-Protect est désactivé, Détail des téléchargements ne peut pas
fonctionner même s'il est activé.
83
84
4
Déplacez le curseur afin de modifier la sensibilité de détection des fichiers
malveillants.
Remarque : Si vous-même ou l'administrateur avez installé la protection
contre les virus et les logiciels espions, la sensibilité de détection des fichiers
malveillants est définie automatiquement sur le niveau 1 et ne peut pas être
modifiée.
Si vous relevez le niveau, Détail des téléchargements détecte davantage de
fichiers comme étant malveillant et moins de fichiers comme étant non fondés.
Les paramètres définis sur un niveau élevé de protection entraînent toutefois
un taux supérieur de détections de faux positifs.
5
6
Sélectionnez ou désélectionnez les options suivantes pour les utiliser comme
critères supplémentaires pour examiner les fichiers non fondés :
■
Fichiers ayant moins de X utilisateurs
■
Fichiers connus des utilisateurs depuis moins de X jours
Lorsque les fichiers non fondés répondent à ces critères, Détail des
téléchargements détecte les fichiers comme malveillants.
Assurez-vous que l'option Approuver automatiquement les fichiers
téléchargés à partir d'un site Web intranet est sélectionnée.
Cette option s'applique également aux détections Insight Lookup.
7
Cliquez sur Actions.
8
Sous Fichiers malveillants, spécifiez une première et une seconde action.
9
Sous Fichiers non prouvés, spécifiez l'action.
10 Cliquez sur OK.
11 Cliquez sur Notifications et indiquez d'afficher ou non une notification
lorsque Détail des téléchargements fait une détection.
Vous pouvez personnaliser le texte du message d'avertissement qui s'affiche.
12 Cliquez sur OK.
Personnalisation des paramètres d'analyse antivirus
et antispyware
Par défaut, le client fournit à votre ordinateur la protection requise contre les
virus et les risques de sécurité. Si vous avez un client non géré, vous pouvez vouloir
configurer certains paramètres d'analyse.
Pour personnaliser une analyse définie par l'utilisateur
1
2
Dans la page Rechercher les menaces, cliquez avec le bouton droit de la souris
sur une analyse, puis cliquez sur Modifier.
3
Dans l'onglet Options d'analyse, effectuez l'une des tâches suivantes :
■
Pour changer les paramètres de Insight Lookup, cliquez sur Insight
Lookup.
Les paramètres de Insight Lookup sont semblables aux paramètres de
Détail des téléchargements.
à la page 83.
■
Pour spécifier moins de types de fichier à analyser, cliquez sur Extensions
sélectionnées, puis sur Extensions.
■
Pour spécifier la première et deuxième action que le client effectue sur
un fichier infecté, cliquez sur Actions.
■
Pour spécifier des options de notification, cliquez sur Notifications.
■
Pour configurer des options avancées pour les fichiers compressés, les
sauvegardes et l'optimisation, cliquez sur Avancé.
Vous pouvez vouloir modifier les options d'optimisation pour améliorer
les performances de votre ordinateur client.
Pour plus d'informations sur les options de chaque boîte de dialogue, cliquez
sur Aide.
4
Cliquez sur OK.
Pour modifier les paramètres d'analyse globaux
1
■
Dans le client, dans la barre latérale, cliquez sur Changer les paramètres,
puis en regard de Protection contre les virus et les spywares, cliquez sur
Configurer les paramètres
■
Dans le client, dans la barre latérale, cliquez sur Rechercher les menaces,
puis sur Affichage des paramètres généraux d'analyse.
2
Dans l'onglet Paramètres généraux, sous Options d'analyse, modifiez les
paramètres pour Insight ou Bloodhound.
3
Pour afficher ou créer des exceptions d'analyse, cliquez sur Afficher la liste.
Cliquez sur Fermer après avoir affiché ou créé des exceptions.
85
86
Configurer des actions pour la détection des logiciels malveillants et des risques de sécurité
4
Sous Conservationdujournal ou ProtectiondunavigateurInternet, apportez
toutes les modifications que vous voulez.
5
Cliquez sur OK.
Pour personnaliser Auto-Protect
1
2
A côté de Protection contre les virus et les spywares, cliquez sur Configurer
les paramètres.
3
Sur un onglet Auto-Protect, effectuez les tâches suivantes :
■
Pour spécifier moins de types de fichier à analyser, cliquez sur Sélection,
puis sur Extensions.
■
Pour spécifier la première et deuxième action que le client effectue sur
un fichier infecté, cliquez sur Actions.
■
Pour spécifier des options de notification, cliquez sur Notifications.
Pour plus d'informations sur les options de chaque boîte de dialogue, cliquez
sur Aide.
4
Dans l'onglet Auto-Protect, cliquez sur Avancé.
Vous pouvez modifier des options pour le cache de fichier ainsi que pour Risk
Tracer et les sauvegardes. Vous pouvez vouloir modifier ces options pour
améliorer la puissance de votre ordinateur.
5
Cliquez sur Réseau pour modifier les paramètres de confiance des fichiers
sur des ordinateurs distants et définir un cache réseau.
6
Cliquez sur OK.
Configurer des actions pour la détection des logiciels
malveillants et des risques de sécurité
Vous pouvez configurer les actions que vous voulez que le client Symantec
Endpoint Protection effectue quand il détecte un logiciel malveillant ou un risque
de sécurité. Vous pouvez configurer une action principale et une action secondaire
à effectuer si la première échoue.
Remarque : Si un administrateur gère votre ordinateur et que ces options affichent
un cadenas, vous ne pouvez pas modifier ces options car l'administrateur les a
verrouillées.
Vous configurez des actions pour n'importe quel type d'analyse de la même
manière. Chaque analyse possède sa propre configuration d'actions. Vous pouvez
configurer différentes actions pour différentes analyses.
Remarque : Vous configurez les actions pour Détail des téléchargements et SONAR
séparément.
Se reporter à "Personnalisation des paramètres d'analyse antivirus et antispyware"
à la page 84.
à la page 83.
Se reporter à "Modification des paramètres SONAR" à la page 106.
Cliquez sur Aide pour en savoir plus à propos des options utilisées dans les
procédures.
Pour configurer les actions pour la détection des logiciels malveillants et des risques
de sécurité
1
Dans le client, dans la barre latérale, cliquez sur Changer les paramètres ou
Rechercher les menaces.
2
■
En regard de Protection contre les virus et les spywares, cliquez sur
Configurer les paramètres, puis sur n'importe quel onglet Auto-Protect,
cliquez sur Actions.
■
Sélectionnez une analyse, puis cliquez avec le bouton droit de la souris et
sélectionnez Modifier, puis cliquez sur Options d'analyse.
3
Cliquez sur Actions.
4
Dans l'arborescence de la boîte de dialogue Opérations d'analyse, sélectionnez
la catégorie ou la sous-catégorie sous Logiciel malveillant ou Risques de
sécurité.
Par défaut, chaque sous-catégorie est automatiquement configurée pour
utiliser les actions qui sont définies pour la catégorie entière.
Les catégories changent de manière dynamique avec le temps, à mesure que
Symantec obtient de nouvelles informations relatives aux risques.
5
Pour configurer des actions pour une seule sous-catégorie, effectuez l'une
des opérations suivantes :
■
Cochez Remplacer les actions configurées pour les logiciels malveillants,
puis définissez les actions pour cette sous-catégorie seulement.
87
88
Remarque : Il pourrait y a avoir une seule sous-catégorie sous une catégorie,
selon la manière dont Symantec classe les risques actuellement. Par
exemple, sous Logiciel malveillant, il pourrait y avoir une seule
sous-catégorie appelée Virus.
■
Cochez Remplacer les actions configurées pour les risques de sécurité,
puis définissez les actions pour cette sous-catégorie seulement.
6
Sélectionnez une action principale et une action secondaire parmi les options
suivantes :
Nettoyer le risque
Supprime le virus du fichier. Il s'agit de la première action
par défaut pour les virus.
Remarque : Cette action est seulement disponible comme
première action pour des virus. Cette action ne s'applique
pas aux risques de sécurité.
Ce paramètre devrait toujours être la première action pour
les virus. Si le client parvient à supprimer un virus d'un
fichier, aucune autre action n'est nécessaire. L'ordinateur ne
contient plus de virus et ne peut plus propager le virus dans
d'autres zones de l'ordinateur.
Lorsque le client nettoie un fichier, il supprime le virus du
fichier infecté, du secteur de démarrage ou des tables de
partition infecté(es). Il empêche également le virus de se
propager. Le client peut généralement détecter et supprimer
un virus avant qu'il endommage l'ordinateur. Par défaut, le
client sauvegarde le fichier.
Toutefois, dans certains cas, le fichier nettoyé peut être
inutilisable. Le virus peut avoir causé trop de dommages.
Certains fichiers infectés ne peuvent pas être nettoyés.
Mettre le risque en
quarantaine
Déplace le fichier infecté de son emplacement initial vers la
zone de quarantaine. Les fichiers infectés déplacés vers la
quarantaine ne peuvent pas en infecter d'autres.
Pour les virus, transfère le fichier infecté de l'emplacement
d'origine vers la quarantaine. Ce paramètre correspond à la
seconde action par défaut exécutée pour les virus.
Pour les risques de sécurité, le client transfère les fichiers
infectés de l'emplacement d'origine vers la quarantaine et
tente de supprimer ou de réparer les effets induits. Ce
paramètre correspond à la première action par défaut
exécutée pour les risques de sécurité.
La Quarantaine contient un enregistrement de toutes les
actions qui ont été exécutées. Vous pouvez restaurer l'état
de l'ordinateur qui existait avant la suppression du risque
par le client.
89
90
Supprimer le risque
Supprime le fichier infecté du disque dur de l'ordinateur. Si
le client ne peut pas supprimer un fichier, les informations
sur l'action exécutée par le client apparaît dans la boîte de
dialogue Notification. Les informations apparaissent
également dans le journal des événements.
Utilisez cette action uniquement si vous pouvez remplacer
le fichier par une copie de sauvegarde ne contenant aucun
virus ou risque de sécurité. Quand le client supprime un
risque, il le supprime de manière permanente. Le fichier
infecté ne peut pas être récupéré depuis la Corbeille.
Remarque : Utilisez cette action avec précaution lorsque
vous définissez des actions pour les risques de sécurité. Dans
certains cas, la suppression des risques de sécurité peut
entraîner la perte de la fonctionnalité des applications.
Conserver (consigner) Laisse le fichier en l'état.
Si vous utilisez cette action pour des virus, le virus reste dans
les fichiers infectés. Le virus peut se propager dans d'autres
parties de votre ordinateur. Une entrée est insérée dans
l'historique des risques pour conserver une trace du fichier
infecté.
Vous pouvez utiliser Conserver (journal seulement) comme
deuxième action pour les logiciels malveillants et les risques
de sécurité.
Ne sélectionnez pas cette action lorsque vous exécutez des
analyses automatiques à grande échelle, telles que des
analyses planifiées. Utilisez cette action si vous voulez
afficher les résultats d'analyse et exécuter une action
supplémentaire plus tard. Une action supplémentaire
pourrait être de déplacer le fichier vers la Quarantaine.
Pour les risques de sécurité, cette action conserve le fichier
infecté tel quel et place une entrée dans l'historique des
risques pour conserver un enregistrement du risque. Utilisez
cette action pour contrôler manuellement le traitement d'un
risque de sécurité par le client. Ce paramètre est la seconde
action par défaut des risques de sécurité.
L'administrateur peut envoyer un message personnalisé qui
explique comment réagir.
7
Répétez ces étapes pour chaque catégorie pour laquelle vous voulez définir
des actions spécifiques, puis cliquez sur OK.
8
Si vous avez sélectionné une catégorie de risque de sécurité, vous pouvez
sélectionner des actions personnalisées pour une ou plusieurs instances
spécifiques de cette catégorie de risque de sécurité. Vous pouvez exclure un
risque de sécurité de l'analyse. Par exemple, il peut être nécessaire d'exclure
un logiciel publicitaire que vous devez utiliser dans votre travail.
9
Cliquez sur OK.
Les exceptions sont des risques de sécurité connus, des fichiers, des extensions
de fichier et des processus à exclure d'une analyse. Si après l'analyse de
l'ordinateur, vous découvrez que certains fichiers sont approuvés, vous pouvez
les exclure. Dans certains cas, les exceptions peuvent réduire le temps d'analyse
et améliorer les performances du système. En général, vous n'avez pas besoin de
créer des exceptions.
Pour les clients gérés, l'administrateur de votre système peut avoir créé des
exceptions pour les analyses. Si vous créez une exception qui entre en conflit avec
une exception définie par l'administrateur, l'exception définie par l'administrateur
a la priorité. Votre administrateur peut également vous empêcher de configurer
un type d'exceptions ou tous les types d'exceptions.
Remarque : Si votre application de messagerie électronique enregistre tout le
courrier dans un unique fichier, vous devriez créer une exception de fichier pour
exclure ce fichier de la boîte de réception des analyses. Par défaut, les analyses
mettent les virus en quarantaine. Si une analyse détecte un virus dans le fichier
de la boîte de réception, l'analyse place la boîte de réception complète en
quarantaine. Si l'analyse place la boîte de réception en quarantaine, vous ne pouvez
pas accéder à votre courrier électronique.
Tableau 4-8
Types d'exceptions
Type d'exception
Description
Fichier
S'applique aux analyses antivirus et anti-logiciel espion
Les analyses ignorent le fichier que vous sélectionnez.
Dossier
et/ou aux analyses SONAR.
Les analyses ignorent le dossier que vous sélectionnez.
91
92
Type d'exception
Description
Risques connus
Les analyses ignorent les risques connus que vous
sélectionnez.
Extensions
S'applique aux analyses antivirus et anti-logiciel espion.
Les analyses ignorent les fichiers possédant les extensions
spécifiées.
Domaine Web approuvé
S'applique aux analyses antivirus et anti-logiciel espion.
Détail des téléchargements ignore le domaine Web approuvé
spécifié.
Application
ainsi qu'aux analyses SONAR
Les analyses ignorent, mettent en quarantaine, consignent
ou interrompent l'application spécifiée ici.
Les exceptions correspondent à des risques de sécurité connus, des fichiers,
dossiers, extensions de fichier, domaines Web ou applications que vous souhaitez
exclure des analyses. Si après l'analyse de l'ordinateur, vous découvrez que certains
fichiers sont approuvés, vous pouvez les exclure. Dans certains cas, les exceptions
peuvent réduire le temps d'analyse et améliorer les performances du système. En
général, vous n'avez pas besoin de créer des exceptions.
Pour les clients gérés, l'administrateur de votre système peut avoir créé des
exceptions pour les analyses. Si vous créez une exception qui entre en conflit avec
une exception définie par l'administrateur, l'exception définie par l'administrateur
a la priorité.
Les exceptions de risque de sécurité s'appliquent pour toutes les analyses de risque
de sécurité. Les exceptions d'application sont également valables pour toutes les
analyses de risque de sécurité. Les exceptions de dossier de SONAR s'appliquent
uniquement à SONAR.
SONAR ne prend pas en charge les exceptions de fichier. Utilisez une exception
d'application pour exclure un fichier de SONAR.
Remarque : Sur l'installation Server Core de Windows Server 2008, les boîtes de
dialogue peuvent s'afficher différemment de celles décrites dans ces procédures.
Aide.
Pour exclure des éléments des analyses de risque de sécurité
1
2
En regard de Exceptions, cliquez sur Configurer les paramètres.
3
Dans la boîte de dialogue Exceptions, sous Exceptions définies par
l'utilisateur, cliquez sur Ajouter > Exceptions de risques de sécurité.
4
Sélectionnez l'un des types d'exception suivants :
5
■
Risques connus
■
Fichier
■
Dossier
■
Extensions
■
Domaine Web
■
Pour les risques connus, sélectionnez les risques de sécurité que vous
souhaitez exclure des analyses.
Pour consigner un événement lorsque le risque de sécurité est détecté et
ignoré, cochez Consigner lorsque le risque de sécurité est détecté.
■
Pour les fichiers ou les dossiers, sélectionnez le fichier ou le dossier à
exclure, puis cliquez sur Ajouter.
Pour les dossiers, activez ou désactivez l'option Inclure les sous-dossiers.
■
Pour les extensions, saisissez l'extension à exclure.
Vous pouvez inclure un seul nom d'extension dans la zone de texte. Si
vous saisissez des extensions multiples, le client traite l'entrée comme un
nom d'extension unique.
■
Pour les domaines, entrez un site Web que vous voulez exclure de la
détection de Détail des téléchargements.
6
Cliquez sur OK.
7
Dans la boîte de dialogue Exceptions, cliquez sur Fermer.
93
94
Pour exclure un dossier de SONAR
1
2
En regard de Exceptions, cliquez sur Configurer les paramètres.
3
l'utilisateur, cliquez sur Ajouter > Exception SONAR > Dossier.
4
Sélectionnez le dossier que vous souhaitez exclure, activez ou désactivez
l'option Inclure les sous-dossiers, puis cliquez sur Ajouter.
Si vous sélectionnez un fichier plutôt qu'un dossier, le client utilise le dossier
parent pour l'exception.
5
Pour modifier la façon dont les analyses gèrent une application
1
2
En regard du champ Exceptions, cliquez sur Configurer les paramètres.
3
l'utilisateur, cliquez sur Ajouter > Exception d'application.
4
Sélectionnez le nom de fichier de l'application
5
Dans la liste déroulante Action, sélectionnez Ignorer, Consigner uniquement,
Quarantaine ou Terminer.
6
Cliquez sur Ajouter.
7
Gestion des fichiers en quarantaine sur votre
ordinateur client
Par défaut, Symantec Endpoint Protection essaye de nettoyer un virus à partir
d'un fichier infecté quand il est détecté. Si le fichier ne peut pas être nettoyé,
l'analyse place le fichier en quarantaine sur votre ordinateur. Pour les risques de
sécurité, les analyses placent les fichiers infectés en quarantaine et réparent les
effets négatifs du risque de sécurité. Détail des téléchargements et SONAR
pourraient également mettre en quarantaine des fichiers.
Tableau 4-9
Tâche
Description
Restauration d'un fichier en
Un fichier nettoyé ne possède parfois pas
quarantaine à son emplacement initial d'emplacement auquel le ramener. Par exemple,
une pièce jointe infectée peut être détachée d'un
message électronique et mise en quarantaine.
Vous devez libérer le fichier et indiquer un
emplacement.
Mise en quarantaine manuelle d'un
élément
Vous pouvez placer manuellement un fichier en
quarantaine en l'ajoutant à la Quarantaine ou en
le sélectionnant dans les journaux d'analyse
antivirus et anti-logiciel espion ou SONAR.
Se reporter à "Mise en quarantaine d'un fichier
du journal des risques ou d'analyse" à la page 97.
Suppression permanente des fichiers
placés en quarantaine
Vous pouvez supprimer manuellement de la
quarantaine les fichiers dont vous n'avez plus
besoin. Vous pouvez également définir un délai
après lequel les fichiers seront supprimés
automatiquement.
Remarque : Votre administrateur peut spécifier
un nombre de jours maximal pendant lequel des
éléments peuvent rester en quarantaine. Après
ce délai, les éléments sont supprimés
automatiquement.
Analysez de nouveau les fichiers en
quarantaine après réception de
nouvelles définitions.
Quand vous mettez à jour des définitions, les
fichiers en quarantaine peuvent être analysés,
nettoyés et restaurés automatiquement. Pour
certains fichiers l'assistant de réparation s'affiche.
Suivez les instructions à l'écran pour terminer la
nouvelle analyse et la réparation.
Vous pouvez également analyser de nouveau
manuellement les fichiers infectés et placés en
quarantaine.
Exportation des informations de
quarantaine
Vous pouvez exporter le contenu de la
quarantaine vers un fichier délimité par des
virgules (.csv) ou un fichier de base de données
Microsoft Access (.mdb).
95
96
Tâche
Description
Envoi des fichiers infectés de la
quarantaine à Symantec Security
Response
Après avoir effectué une nouvelle analyse des
fichiers de la quarantaine, vous pouvez soumettre
un fichier qui est encore infecté à Symantec
Security Response pour une analyse approfondie.
Se reporter à "Soumettre manuellement à
Symantec Security Response un fichier suspect
pour analyse" à la page 97.
Suppression des éléments de
sauvegarde
Avant d'essayer de nettoyer ou de réparer des
éléments, le client réalise par défaut des copies
de sauvegarde des éléments infectés. Après que
le client ait nettoyé avec succès un virus, vous
devriez manuellement supprimer l'élément de la
quarantaine parce que la sauvegarde est encore
infectée.
Suppression automatique de fichiers
de la quarantaine
Vous pouvez configurer le client pour la
suppression automatique des éléments de la
quarantaine après un certain délai. Vous pouvez
également spécifier que le client supprime des
éléments quand le dossier où les éléments sont
enregistrées atteint une certaine taille. Vous
évitez ainsi l'accumulation de fichiers que vous
pouvez oublier de supprimer manuellement.
Se reporter à "Suppression automatique des
fichiers en quarantaine" à la page 98.
A propos de la mise en quarantaine de fichiers
Quand le client met un fichier infecté en quarantaine, le virus ou le risque ne peut
pas se copier et infecter d'autres fichiers sur votre ordinateur ou d'autres
ordinateurs du réseau. Cependant, l'action de Quarantaine ne nettoie pas le risque.
Le risque reste sur votre ordinateur jusqu'à ce que le client nettoie le risque ou
supprime le fichier. Vous n'avez pas accès au fichier. Mais vous pouvez supprimer
le fichier de la quarantaine.
Quand vous mettez à jour votre ordinateur avec de nouvelles définitions de virus,
le client vérifie automatiquement la quarantaine. Vous pouvez réanalyser les
éléments en quarantaine. Les dernières définitions peuvent peut-être nettoyer
ou réparer les fichiers précédemment mis en quarantaine.
Les virus peuvent être mis en quarantaine. Les virus de zone de démarrage résident
dans le secteur de démarrage ou dans les tables de partitions de l'ordinateur, qu'il
est impossible de déplacer vers la quarantaine. Parfois le client détecte un virus
inconnu qui ne peut pas être éliminé avec les définitions de virus actuelles. Si
vous pensez qu'un fichier est infecté mais que les analyses ne détectent aucune
infection, vous devez mettre en quarantaine le fichier.
Remarque : La langue du système d'exploitation sur lequel vous exécutez le client
peut ne pas savoir interpréter certains caractères des noms de virus. Si le système
d'exploitation ne peut pas interpréter les caractères, les caractères apparaissent
comme des points d'interrogation dans les notifications. Par exemple, certains
noms de virus Unicode peuvent contenir des caractères à deux octets. Sur les
ordinateurs qui exécutent le client sur un système d'exploitation anglais, ces
caractères apparaissent comme des points d'interrogation.
à la page 94.
Mise en quarantaine d'un fichier du journal des risques ou d'analyse
Selon l'action prédéfinie pour une détection de menace, le client peut effectuer
ou ne pas pouvoir effectuer l'action que vous avez sélectionnée quand une détection
se produit. Vous pouvez utiliser le journal des risques ou le journal d'analyse pour
mettre en quarantaine un fichier plus tard.
à la page 94.
Pour mettre en quarantaine un fichier du journal des risques ou d'analyse
1
Dans le client, cliquez sur Afficher les journaux.
2
En regard de Protection contre les virus et les logiciels espions, cliquez sur
Afficher le journal, puis sélectionnez Journal des risques ou Journal
d'analyse.
3
Sélectionnez le fichier que vous souhaitez mettre en quarantaine, puis cliquez
sur Mettre en quarantaine.
4
Cliquez sur OK, puis sur Fermer.
Soumettre manuellement à Symantec Security Response un fichier
suspect pour analyse
Lorsque vous soumettez un élément infecté de votre liste d'éléments en
quarantaine à Symantec Security Response. Symantec Security Response peut
analyser cet élément pour s'assurer qu'il n'est pas infecté. Symantec Security
97
98
Response utilise également ces données pour protéger contre de nouvelles menaces
ou des menaces en cours de développement.
Remarque : L'option de soumission n'est pas disponible si votre administrateur
désactive ces types de soumissions.
à la page 94.
Pour envoyer un fichier à Symantec Security Response depuis la quarantaine
1
Dans la barre latérale du client, cliquez sur Afficher la quarantaine.
2
Sélectionnez le fichier dans la liste des éléments en quarantaine.
3
Cliquez sur Soumettre.
4
Suivez les instructions de l'assistant pour réunir les informations nécessaires
et envoyer le fichier pour analyse.
Suppression automatique des fichiers en quarantaine
Vous pouvez configurer votre logiciel pour supprimer automatiquement des
éléments de la liste Quarantaine après un délai spécifié. Vous pouvez également
spécifier que le client supprime des éléments quand le dossier où les éléments
sont enregistrées atteint une certaine taille. Vous évitez ainsi l'accumulation de
fichiers que vous pouvez oublier de supprimer manuellement.
à la page 94.
Pour supprimer automatiquement des fichiers en quarantaine
1
Dans la barre latérale du client, cliquez sur Afficher la quarantaine.
2
Cliquez sur Options de purge.
3
Dans la boîte de dialogue Options de purge, sélectionnez l'un des onglets
suivants :
4
■
Eléments en quarantaine
■
Eléments sauvegardés
■
Eléments réparés
Activez ou désactivez l'option La durée de stockage est supérieure à pour
activer ou désactiver la capacité du client à supprimer les fichiers une fois
que le temps configuré a expiré.
A propos de la transmission d'informations sur les détections à Symantec Security Response
5
Si vous cochez la case La durée de stockage est supérieure à, tapez ou cliquez
sur une flèche pour écrire la durée.
6
Sélectionnez l'unité du temps dans la liste déroulante. Le paramètre par défaut
est 30 jours.
7
Si vous cochez la case La taille totale du dossier est supérieure à, tapez la
taille maximale de dossier à permettre, en mégaoctets. La valeur par défaut
est de 50 mégaoctets.
Si vous sélectionnez les deux options, les fichiers plus anciens que l'âge
spécifié sont purgés en premier. Si la taille du dossier dépasse toujours la
limite que vous avez définie, le client supprime les fichiers les plus anciens
individuellement. Le client supprime les fichiers les plus anciens jusqu'à ce
que la taille de dossier ne dépasse plus la limite.
8
Répétez les étapes 4 à 7 pour les autres onglets.
9
Cliquez sur OK.
A propos de la transmission d'informations sur les
détections à Symantec Security Response
Vous pouvez configurer votre ordinateur pour soumettre automatiquement des
informations sur les détections à Symantec Security Response pour analyse.
Symantec Response et le réseau global de stratégie utilisent ces informations
soumises pour formuler rapidement des interventions à des menaces de sécurité
récentes ou en développement. Les données que vous soumettez améliorent la
capacité de Symantec à réagir aux menaces et à personnaliser la protection.
Symantec recommande de toujours autoriser les transmissions.
Se reporter à "A propos du client Symantec Endpoint Protection" à la page 11.
Vous pouvez choisir de soumettre l'un des types de données suivants :
■
Réputation de fichier
Les informations relatives aux fichiers qui sont détectés selon leur réputation.
Les informations relatives à ces fichiers contribuent à la base de données de
réputation de Symantec Insight pour aider à protéger vos ordinateurs des
risques récents ou émergents.
■
Détections d'antivirus
Informations sur les détections d'analyse antivirus et antispyware.
■
Détections heuristiques antivirus avancées
Informations sur les menaces potentielles détectées par Bloodhound et d'autres
heuristiques d'analyse antivirus et antispyware.
99
100
Ces détections sont des détections silencieuses qui n'apparaissent pas dans le
journal des risques. Les informations sur ces détections sont utilisées pour
une analyse statistique.
■
Détections SONAR
Informations sur les menaces détectées par SONAR, qui incluent les détections
des risques élevés ou faibles, les événements de modification du système et
les comportements suspects des applications approuvées.
■
Heuristiques SONAR
Les détections heuristiques SONAR sont des détections silencieuses qui
n'apparaissent pas dans le journal des risques. Ces informations sont utilisées
pour une analyse statistique.
Vous pouvez également soumettre manuellement un exemple Response depuis
la quarantaine.
Se reporter à "A propos des fichiers et des applications que SONAR détecte"
à la page 105.
Envoi des informations concernant les détections à
Symantec Security Response
Symantec Endpoint Protection peut protéger les ordinateurs en contrôlant les
informations qui entrent et sortent de l'ordinateur et en bloquant les tentatives
d'attaque.
Vous pouvez activer l'envoi d'informations sur les menaces détectées à Symantec
Security Response sur votre ordinateur. Symantec Security Response utilise ces
informations pour protéger vos ordinateurs client des nouvelles menaces ciblées
et en mutation. Toutes les données que vous soumettez améliorent la capacité de
Symantec à réagir face aux menaces et à personnaliser la protection de votre
ordinateur. Symantec vous recommande de soumettre autant d'informations de
détection que possible.
Vous pouvez également envoyer un échantillon à Symantec Response depuis la
page Quarantaine. La page Quarantaine vous permet également de déterminer la
façon dont les éléments sont envoyés à Symantec Security Response.
à la page 94.
Se reporter à "A propos de la transmission d'informations sur les détections à
Symantec Security Response" à la page 99.
Pour configurer l'envoi d'informations à Symantec Security Response
1
Sélectionnez Modifier les paramètres > Gestion des clients.
2
Sur l'onglet Soumissions, cochez Activer l'envoi automatique d'informations
de sécurité anonymes à Symantec depuis cet ordinateur. Cette option permet
à Symantec Endpoint Protection de soumettre les informations relatives aux
menaces qui sont trouvées sur votre ordinateur.
Symantec vous recommande de maintenir cette option activée.
3
Sélectionnez les types d'information à envoyer :
■
Réputation de fichier
Les informations relatives aux fichiers qui sont détectés selon leur
réputation. Les informations relatives à ces fichiers contribuent à la base
de données de réputation de Symantec Insight pour aider à protéger vos
ordinateurs des risques récents ou émergents.
■
Détections antivirus
Informations sur les détections d'analyse antivirus et anti-logiciel espion
■
Détections antivirus heuristiques avancées
Les informations relatives aux menaces potentielles détectées par
Bloodhound et d'autres technologies heuristiques d'analyse de virus et de
logiciels espions.
Ces détections sont des détections silencieuses qui n'apparaissent pas
dans le journal des risques. Les informations à propos de ces détections
sont utilisées pour des analyses statistiques.
■
Détections SONAR
Les informations relatives aux menaces détectées par SONAR, notamment
des détections élevées ou peu risquées, des événements de modification
du système et de comportement suspect des applications approuvées.
■
Heuristiques SONAR
101
102
Les détections SONAR heuristiques sont des détections silencieuses ne
figurant pas dans le journal des risques. Ces informations sont utilisées
pour l'analyse statistique.
4
Activez Autoriser les consultations d'Insight pour la détection de menaces
pour permettre à Symantec Endpoint Protection d'utiliser la base de données
de réputation de Symantec pour prendre des décisions concernant les menaces.
Les consultations d'Insight sont activées par défaut. Symantec vous
recommande d'autoriser les consultations d'Insight. Désactiver cette fonction
désactive Détail des téléchargements et peut altérer la fonctionnalité de
SONAR et d'Insight Lookup.
Cependant, vous pouvez désactiver cette option si vous ne voulez pas
permettre à Symantec de questionner Symantec Insight.
Si vous utilisez le Centre de sécurité Windows (WSC) sous Windows XP avec Service
pack 2 pour superviser la sécurité de l'ordinateur, l'état de Symantec Endpoint
Protection s'affiche dans WSC.
Tableau 4-10 indique comment l'état de la protection s'affiche dans WSC.
Tableau 4-10
Affichage de l'état de la protection dans WSC
Etat du produit Symantec
Etat de la protection
Symantec Endpoint Protection n'est pas installé
Introuvable (rouge)
Symantec Endpoint Protection est installé avec protection
complète
Activé (vert)
Symantec Endpoint Protection est installé et les définitions de
virus et de risque de sécurité sont périmées
Périmé (rouge)
Symantec Endpoint Protection est installé et Auto-Protect pour Désactivé (rouge)
le système de fichiers n'est pas activé
Symantec Endpoint Protection est installé, Auto-Protect pour le Désactivé (rouge)
système de fichiers n'est pas activé et les définitions de virus et
de risque de sécurité sont obsolètes
Symantec Endpoint Protection est installé et Rtvscan est
désactivé manuellement
Désactivé (rouge)
Tableau 4-11 décrit comment l'état du pare-feu de Symantec Endpoint Protection
est signalé dans WSC.
Tableau 4-11
Affichage de l'état du pare-feu dans WSC
Etat du produit Symantec
Etat du pare-feu
Le pare-feu Symantec n'est pas installé
Introuvable (rouge)
Le pare-feu Symantec est installé et activé
Activé (vert)
Le pare-feu Symantec est installé mais n'est pas activé
Désactivé (rouge)
Le pare-feu Symantec n'est pas installé ou n'est pas activé, mais Activé (vert)
un pare-feu tiers est installé et activé
Remarque : Dans Symantec Endpoint Protection, le Pare-feu Windows est désactivé
par défaut.
Si plusieurs pare-feu sont activés, WSC signale que plusieurs pare-feu sont installés
et activés.
La gestion de SONAR fait partie de la protection proactive contre les menaces.
Sur les clients gérés, votre administrateur peut verrouiller certains des paramètres.
Se reporter à "A propos des types d'analyse" à la page 66.
Tableau 4-12
Tâche
Description
Assurez-vous que SONAR est activé.
Pour une protection optimale de votre ordinateur
client, SONAR doit être activé. SONAR est activé
par défaut.
SONAR est activé en même temps que la
protection proactive contre les menaces.
Se reporter à "A propos de l'activation et de la
désactivation de la protection" à la page 43.
103
104
Tâche
Description
Assurez-vous que les consultations
d'Insight sont activées
SONAR utilise les données de réputation en plus
des règles heuristiques pour effectuer les
détections. Si vous désactivez les consultations
d'Insight (requêtes de réputation), SONAR
effectue les détections uniquement à l'aide des
technologies heuristiques. Le taux de faux positifs
peut augmenter et la protection offerte par
SONAR est limitée.
Se reporter à "Envoi des informations concernant
les détections à Symantec Security Response"
à la page 100.
Modification des paramètres SONAR
Vous pouvez activer ou désactiver SONAR. Vous
pouvez également modifier l'action de détection
pour certains types de menace que SONAR
détecte. Il peut être utile de modifier l'action de
détection afin de réduire le taux de détections de
faux positifs.
Se reporter à "Modification des paramètres
SONAR" à la page 106.
Créez des exceptions pour les
applications identifiées comme
sécurisées.
SONAR pourrait détecter les fichiers ou les
applications que vous voulez exécuter sur votre
ordinateur. Vous pouvez créer des exceptions
pour les applications ou les dossiers. Vous pouvez
également créer une exception à la quarantaine.
Se reporter à "Exclusion d'éléments des analyses"
à la page 92.
Envoi des informations concernant les Symantec recommande d'activer l'envoi des
détections SONAR à Symantec Security informations de détection à Symantec Security
Response
Response. Ces informations aident Symantec à
faire face aux menaces. Par défaut, les
soumissions sont activées.
Se reporter à "Envoi des informations concernant
les détections à Symantec Security Response"
à la page 100.
A propos de SONAR
SONAR correspond à une protection en temps réel qui détecte des applications
potentiellement malveillantes si elles s'exécutent sur vos ordinateurs. L'analyse
SONAR assure une protection contre les menaces "Zero Day", car elle détecte les
menaces avant que des définitions de virus et de spyware standard aient été créées
pour traiter ces menaces.
SONAR utilise des heuristiques ainsi que des données de réputation pour détecter
des menaces émergeantes et inconnues. SONAR fournit un degré de protection
supplémentaire sur vos ordinateurs client et complète vos fonctionnalités
existantes de protection antivirus et antispyware, de prévention d'intrusion et de
protection par pare-feu.
Remarque : Auto-Protect utilise également un type d'heuristique appelé
Bloodhound pour détecter des comportements suspects dans des fichiers.
Se reporter à "Gestion de SONAR sur votre ordinateur client" à la page 103.
Se reporter à "A propos des fichiers et des applications que SONAR détecte"
à la page 105.
A propos des fichiers et des applications que SONAR détecte
SONAR utilise un système d'heuristiques qui tire profit du réseau stratégique en
ligne de Symantec avec une surveillance locale active sur votre ordinateur pour
détecter des menaces naissantes. SONAR détecte également les modifications ou
les comportements à surveiller sur votre ordinateur.
SONAR n'effectue pas de détections sur le type d'application, mais sur le
comportement d'un processus. SONAR agit sur une application seulement si cette
application se comporte de façon malveillante, indépendamment de son type. Par
exemple, si un cheval de Troie ou un enregistreur de frappe n'agit pas de façon
malveillante, SONAR ne le détecte pas.
SONAR détecte les éléments suivants :
Menaces heuristiques
SONAR utilise des heuristiques pour déterminer
si un fichier inconnu se comporte de façon
suspecte et s'il peut constituer un risque élevé ou
faible. Cette fonction utilise également les
données de réputation pour déterminer si la
menace constitue un risque élevé ou faible.
Modifications du système
SONAR détecte les applications ou les fichiers qui
essayent de modifier les paramètres DNS ou un
fichier hôte sur un ordinateur client.
105
106
Applications approuvées qui affichent Certains fichiers approuvés peuvent être associés
un comportement incorrect
à un comportement suspect. SONAR identifie ces
fichiers en tant qu'événements de comportement
suspect. Par exemple, une application bien connue
de partage de documents peut créer des fichiers
exécutables.
Si vous désactivez Auto-Protect, vous limitez la capacité de SONAR à détecter des
fichiers constituant des risques élevés ou faibles. Si vous désactivez des
consultations d'Insight (requêtes de réputation), vous limitez également la fonction
de la détection de SONAR.
Modification des paramètres SONAR
Vous voudrez peut-être modifier les actions SONAR afin de réduire le taux de
détections de faux positifs. Vous pouvez également modifier les notifications pour
les détections SONAR heuristiques.
Remarque : Sur les clients gérés, votre administrateur peut verrouiller ces
paramètres.
Pour modifier les paramètres SONAR
1
2
En regard de Protection proactive contre les menaces, cliquez sur Configurer
les paramètres.
3
Sur l'onglet SONAR, modifiez les actions pour des menaces heuristiques de
risque élevé ou peu risquées.
Vous pouvez activer le mode agressif pour les détections de niveau de risque
faible. Ce paramètre augmente la sensibilité de SONAR aux détections peu
risquées. Il peut aussi augmenter le taux de détections de faux positifs.
4
Vous pouvez également modifier les paramètres de notification.
5
Dans l'onglet Détection de comportement suspect, modifiez l'action associée
aux détections de risque faible ou élevé. SONAR effectue ces détections lorsque
les fichiers approuvés sont associés à un comportement suspect.
6
Dans l'onglet Evénements de modification système, modifiez l'action
d'analyse pour la détection des changements des paramètres du serveur DNS
ou d'un fichier hôte.
7
Cliquez sur OK.
107
108
Chapitre
5
Gérer le pare-feu et la
prévention d'intrusion
■
A propos de la protection contre les menaces réseau
■
Gestion de la protection par pare-feu
■
Configuration des paramètres de pare-feu
■
Autoriser ou bloquer des applications
■
Affichage de l'activité réseau
■
A propos des règles de pare-feu client
■
A propos de l'ordre de traitement des règles et des paramètres du pare-feu et
de la prévention d'intrusion
■
Modification de l'ordre des règles de pare-feu
■
Utilisation de l'inspection avec état par le pare-feu
■
Les éléments d'une règle de filtrage
■
Configuration de règles de filtrage
■
Gérer la prévention d'intrusion
■
Fonctionnement de la prévention d'intrusion
■
Activation ou désactivation de la prévention d'intrusion
■
Configuration des notifications de prévention d'intrusion
110
Gérer le pare-feu et la prévention d'intrusion
Le client Symantec Endpoint Protection assure la protection contre les menaces
réseau, qui contrôle les informations entrantes et sortantes de votre ordinateur
et bloque les tentatives d'attaque réseau.
Tableau 5-1 décrit les fonctions de Symantec Endpoint Protection que vous pouvez
utiliser pour gérer la protection contre les menaces réseau.
Tableau 5-1
Fonctions de protection contre les menaces réseau
Outil
Description
Pare-feu
Le pare-feu empêche les utilisateurs non autorisés d'accéder à
l'ordinateur et aux réseaux qui se connectent à Internet. Il détecte
les éventuelles attaques de pirates, protège les informations
personnelles et élimine les sources indésirables de trafic réseau.
Le pare-feu autorise ou bloque le trafic entrant et sortant.
Se reporter à "Fonctionnement d'un pare-feu" à la page 112.
Système de prévention Le système de prévention d'intrusion (IPS) détecte et bloque
d'intrusion
automatiquement les attaques réseau. L'IPS analyse chaque paquet
qui entre et sort d'un ordinateur pour des signatures d'attaque.
Pour détecter et bloquer les activités réseau douteuses, IPS
s'appuie sur une vaste liste de signatures d'attaque. Symantec
fournit la liste des menaces connues, que vous pouvez mettre à
jour sur le client à l'aide de Symantec LiveUpdate. Le moteur
Symantec IPS et le jeu de signatures IPS correspondant sont
installés sur le client par défaut.
Se reporter à "Fonctionnement de la prévention d'intrusion"
à la page 143.
Se reporter à "Gérer la prévention d'intrusion" à la page 142.
Par défaut, le pare-feu autorise tous les trafics réseau entrants et sortants. Vous
pouvez configurer le pare-feu pour autoriser ou bloquer des types de trafic
spécifiques.
Votre administrateur détermine le niveau de l'interaction que vous avez avec le
client en vous permettant de configurer des règles de filtrage et des paramètres.
Votre administrateur peut restreindre votre utilisation pour que vous ne puissiez
interagir avec le client que lorsqu'il vous informe de nouvelles connexions réseau
et de problèmes possibles. Votre administrateur peut également vous donner un
accès total à l'interface utilisateur.
Tableau 5-2 décrit les tâches du pare-feu que vous pouvez effectuer pour protéger
votre ordinateur. Toutes ces tâches sont facultatives et peuvent être effectuées
dans n'importe quel ordre.
Tableau 5-2
Tâche
Description
Prendre
connaissance du
fonctionnement du
pare-feu
Apprenez comment le pare-feu protège l'ordinateur contre des
attaques réseau.
Configuration des
paramètres du
pare-feu
En plus de la création de règles de filtrage, vous pouvez également
activer et configurer des paramètres de pare-feu afin d'améliorer la
protection pare-feu.
Se reporter à "Configuration des paramètres de pare-feu"
à la page 113.
Affichage des
Vous pouvez régulièrement vérifier l'état de la protection pare-feu
journaux de pare-feu sur votre ordinateur pour déterminer ce qui suit :
Les règles de filtrage que vous avez créées fonctionnent
correctement.
■ Le client a bloqué toutes les attaques réseau.
■
■
Le client a bloqué toutes les applications que vous avez prévues
d'exécuter.
Vous pouvez utiliser le journal du trafic et le journal des paquets
pour vérifier l'état de protection par pare-feu.
Remarque : Par défaut, le journal des paquets est désactivé sur les
clients gérés.
Configuration des
paramètres de
l'application
Vous pouvez améliorer la protection pour votre ordinateur en
personnalisant les paramètres de l'application. Une application est
un logiciel conçu pour aider l'utilisateur à effectuer une tâche. Par
exemple, Microsoft Internet Explorer est une application. Vous
pouvez configurer des paramètres de pare-feu pour contrôler les
applications qui peuvent accéder au réseau.
Se reporter à "Autoriser ou bloquer des applications" à la page 127.
111
112
Tâche
Description
Contrôle de l'activité Vous pouvez afficher les informations sur le trafic entrant et le trafic
du réseau
sortant à partir du client. Vous pouvez également afficher une liste
d'applications et de services qui se sont exécutés depuis que le service
client a démarré.
Se reporter à "Affichage de l'activité réseau" à la page 132.
Ajout et
En plus d'activer des paramètres de pare-feu, vous pouvez modifier
personnalisation des les règles de filtrage par défaut pour personnaliser davantage votre
règles de filtrage
protection pare-feu. Vous pouvez également créer de nouvelles
règles de filtrage. Par exemple, vous pourrez bloquer une application
que vous ne voulez pas exécuter sur votre ordinateur, tel qu'un
logiciel publicitaire.
Se reporter à "A propos des règles de pare-feu client" à la page 133.
Se reporter à "Configuration de règles de filtrage" à la page 139.
Se reporter à "Activer et désactiver des règles de filtrage"
à la page 142.
Activation ou
désactivation du
pare-feu
Vous pouvez désactiver temporairement la protection contre les
menaces réseau à des fins de dépannage. Par exemple, vous pouvez
avoir besoin de la désactiver pour pouvoir ouvrir une certaine
application.
Se reporter à "Activer ou désactiver la protection sur l'ordinateur
Fonctionnement d'un pare-feu
Un pare-feu effectue toutes les tâches suivantes :
■
Il empêche tous les utilisateurs non autorisés d'accéder aux ordinateurs et
réseaux dans votre organisation qui se connectent à Internet
■
Il surveille la communication entre vos ordinateurs et d'autres ordinateurs
sur Internet.
■
Il crée un bouclier qui autorise ou bloque les tentatives d'accès aux informations
sur vos ordinateurs.
■
Il vous avertit des tentatives de connexion à partir d'autres ordinateurs.
■
Il vous avertit des tentatives de connexion par les applications de votre
ordinateur qui se connectent à d'autres ordinateurs.
Le pare-feu examine les paquets de données transmis via Internet. Un paquet est
un morceau de données qui fait partie du flux d'information entre deux ordinateurs.
Les paquets sont rassemblés à leur destination pour apparaître comme un flux
de données ininterrompu.
Les paquets contiennent des informations sur les éléments suivants :
■
Ordinateurs à l'origine de l'envoi
■
Destinataires
■
Mode de traitement des données du paquet
■
Ports de réception des paquets
Les ports sont les canaux qui divisent le flux de données provenant d'Internet.
Les applications qui s'exécutent sur un ordinateur sont à l'écoute de ces ports.
Les applications acceptent les données envoyées aux ports.
Les attaques réseau exploitent les failles dans les applications vulnérables. Les
attaquants utilisent ces faiblesses pour envoyer des paquets qui contiennent du
code de programmation malveillant aux ports. Quand les applications vulnérables
sont à l'écoute des ports, le code malveillant permet aux attaquants d'accéder à
l'ordinateur.
Tableau 5-3 décrit les types de paramètres de pare-feu que vous pouvez configurer
pour personnaliser davantage votre protection par pare-feu.
Votre administrateur ne vous a pas donné les autorisations appropriées pour
configurer ces paramètres s'ils n'apparaissent pas dans l'interface utilisateur ou
ne peuvent pas être modifiés. La modification des paramètres de pare-feu est
facultative et peut être effectuée dans n'importe quel ordre.
113
114
Tableau 5-3
Paramètres de pare-feu
Catégorie
Description
Navigation Web en mode
furtif et trafic
Vous pouvez permettre à divers paramètres du trafic et
paramètres furtifs de navigation web de se protéger contre
certains types d'attaques réseau sur le client. Vous pouvez
permettre à des paramètres de trafic de détecter et de
bloquer le trafic qui communique par les pilotes, NetBIOS
et les anneaux à jeton. Vous pouvez configurer des
paramètres pour détecter le trafic qui utilise des attaques
moins visibles. Vous pouvez également contrôler le
comportement du trafic IP ne correspondant à aucune règle
de filtrage.
Se reporter à "Activation des paramètres de trafic et des
paramètres de navigation Web furtive" à la page 115.
Règles intégrées pour les
Symantec Endpoint Protection fournit des règles intégrées
services de réseau essentiels qui permettent des échanges normaux entre certains
services réseau essentiels. Les règles intégrées éliminent le
besoin de créer des règles de filtrage qui autorisent
explicitement ces services. Pendant le traitement, ces règles
intégrées sont évaluées avant les règles de filtrage de sorte
que les paquets correspondant à une occurrence active d'une
règle intégrée soient autorisés. Vous pouvez définir les
règles intégrées des services DHCP, DNS et WINS.
Se reporter à "Autorisation automatique des
communications pour les services réseau essentiels"
à la page 121.
Fichier de réseau et partage
d'impression
Vous pouvez permettre au client de partager ses fichiers ou
d'accéder à des fichiers et des imprimantes partagés sur
votre réseau local. Pour empêcher des attaques basées sur
le réseau, vous pouvez désactiver le partage des fichiers et
des imprimantes du réseau.
Se reporter à "Activation du partage des fichiers et des
imprimantes du réseau" à la page 122.
Catégorie
Description
Blocage d'un ordinateur
attaquant
Quand le client Symantec Endpoint Protection détecte une
attaque réseau, il peut bloquer automatiquement la
connexion pour s'assurer que l'ordinateur client est sûr. Le
client active une intervention. Le client bloque alors
automatiquement toute communication depuis et vers
l'adresse IP de l'ordinateur attaquant pendant une durée
déterminée. L'adresse IP de l'ordinateur attaquant est
bloquée pour un unique emplacement.
Se reporter à "Bloquer et débloquer un ordinateur attaquant"
à la page 125.
Activation des paramètres de trafic et des paramètres de navigation
Web furtive
Vous pouvez permettre à divers paramètres du trafic et paramètres furtifs de
navigation Web de se protéger contre certains types d'attaques réseau sur le client.
Vous pouvez permettre à des paramètres de trafic de détecter et de bloquer le
trafic qui communique par les pilotes, NetBIOS et les Token Ring. Vous pouvez
configurer des paramètres pour détecter le trafic qui utilise des attaques moins
visibles. Vous pouvez également contrôler le comportement du trafic IP ne
correspondant à aucune règle de filtrage.
Dès que le pare-feu termine certaines opérations, la commande est transmise à
un certain nombre de composants. Chaque composant est conçu pour effectuer
un type différent d'analyse de paquet.
Pour activer des paramètres de trafic et des paramètres de navigation Web furtive
1
2
En regard de Protection contre les menaces réseau, cliquez sur Configurer
les paramètres.
3
Dans l'onglet Pare-feu, sous Paramètres de trafic, cochez les cases des
fonctions que vous souhaitez activer comme suit :
115
116
Activer la protection
NetBIOS
Bloque le trafic NetBIOS issu d'une passerelle externe.
Vous pouvez utiliser le partage de fichiers et
d'imprimantes du voisinage réseau sur un réseau local
et protéger un ordinateur des exploits NetBIOS de
n'importe quel réseau externe. Cette option bloque les
paquets NetBIOS issus d'adresses IP qui
n'appartiennent pas aux plages internes ICANN
définies. Les plages internes ICANN incluent 10.x.x.x,
172.16.x.x, 192.168.x.x et 169.254.x.x, excepté les
sous-réseaux 169.254.0.x et 169.254.255.x. Les paquets
NetBIOS incluent UDP 88, UDP 137, UDP 138, TCP 135,
TCP 139, TCP 445 et TCP 1026.
Remarque : La protection NetBIOS peut poser un
problème avec Microsoft Outlook si l'ordinateur client
se connecte à Microsoft Exchange Server sur un
sous-réseau différent. Vous pouvez créer une règle de
filtrage qui permet spécifiquement l'accès à ce serveur.
Autoriser le trafic token ring Autorisent les ordinateurs client qui se connectent par
un adaptateur Token Ring à accéder au réseau,
indépendamment des règles de filtrage sur le client.
Si vous désactivez ce paramètre, aucun trafic issu des
ordinateurs qui se connectent par un adaptateur Token
Ring ne peut accéder au réseau d'entreprise. Le
pare-feu ne filtre pas le trafic Token Ring. Il autorise
l'ensemble du trafic Token Ring ou bloque l'ensemble
du trafic Token Ring.
Activer la protection contre
l'usurpation MAC
Autorise le trafic ARP (protocole de résolution
d'adresse) entrant et sortant seulement si une demande
ARP a été faite à cet hôte spécifique. Cela bloque tout
autre trafic ARP inattendu et le consigne dans le
journal de sécurité.
Certains pirates utilisent l'usurpation d'adresse MAC
pour détourner une session de communication entre
deux ordinateurs. Les adresses MAC (Media Access
Control) sont les adresses matérielles qui identifient
les ordinateurs, les serveurs, les routeurs et ainsi de
suite. Quand l'ordinateur A veut communiquer avec
l'ordinateur B, il peut envoyer un paquet ARP à
l'ordinateur.
La protection contre l'usurpation d'adresse MAC
protège un ordinateur contre la réinitialisation d'un
tableau d'adresse MAC par un autre ordinateur. Si un
ordinateur envoie un message de DEMANDE ARP, le
client autorise le message de REPONSE ARP
correspondant au cours d'une période de 10 secondes.
Le client rejette tout message REPONSE ARP non
sollicité.
Activer la surveillance
d'application réseau
Permet au client de contrôler les modifications des
applications réseau qui s'exécutent sur l'ordinateur
client.
Les applications réseau envoient et reçoivent le trafic.
Le client détecte si le contenu d'une application change.
Bloquer l'activation du trafic
jusqu'à l'activation du
pare-feu et après sa
désactivation
Bloque tout le trafic entrant et sortant sur l'ordinateur
client quand le pare-feu ne s'exécute pas pour une
raison quelconque.
L'ordinateur n'est pas protégé dans l'une des situations
suivantes :
après le démarrage de l'ordinateur client et avant
le démarrage du service de pare-feu ;
■ après l'arrêt du service de pare-feu et de
l'ordinateur client.
■
Cette période est une petite faille de sécurité qui peut
permettre une communication non autorisée. Ce
paramètre empêche des applications non autorisées
de communiquer avec d'autres ordinateurs.
Remarque : Quand la protection contre les menaces
réseau est désactivée, le client ignore ce paramètre.
117
118
Activer la détection des dénis Quand ce paramètre est activé, Symantec Endpoint
de service
Protection identifie les attaques connues basées sur
des paquets multiples, quel que soit le numéro de port
ou le type de protocole Internet.
L'incapacité de fournir ce type de détection est une
limitation d'un système de prévention et de détection
d'intrusion basé sur les signatures.
Activer la détection d'analyse Quand ce paramètre est activé, Symantec Endpoint
de port
Protection contrôle tous les paquets entrants qui sont
bloqués par une règle de sécurité. Si une règle bloque
plusieurs différents paquets sur différents ports dans
une période courte, Symantec Endpoint Protection crée
une entrée de journal de sécurité.
La détection d'analyse des ports ne bloque aucun
paquet. Vous devez créer une politique de sécurité pour
bloquer le trafic quand une analyse des ports se
produit.
4
Sous Paramètres de trafic IP non correspondants, cochez les cases des
fonctions que vous souhaitez activer.
Ces options contrôlent le trafic IP entrant et sortant qui ne correspond à
aucune règle de filtrage. Le trafic IP comprend les paquets de données qui
traversent les réseaux IP et utilisent les protocoles TCP, UDP et ICMP. Les
applications, les échanges de courrier, les transferts de fichiers, les
programmes de ping et les transmissions Web sont des types de trafic IP.
Vous pouvez activer un ou plusieurs des paramètres de trafic IP suivants :
Autoriser le trafic IP
Autorise le trafic entrant et sortant, à moins qu'une
règle de filtrage n'en décide autrement. Par exemple,
si vous ajoutez une règle de filtrage qui bloque le trafic
VPN, le pare-feu autorise tout autre trafic excepté le
trafic VPN.
N'autoriser que le trafic de
l'application
Autorise le trafic à destination ou en provenance des
applications et bloque tout trafic non associé à une
application. Par exemple, le pare-feu permet à Internet
Explorer mais bloque le trafic VPN, à moins qu'une
règle de filtrage n'en décide autrement.
Demander avant d'autoriser Affiche un message vous demandant s'il faut bloquer
le trafic de l'application
ou non une application. Par exemple, vous pouvez
choisir de bloquer ou non des fichiers multimédia. Ou,
vous pouvez vouloir masquer des diffusions depuis le
processus NTOSKRNL.DLL. Le processus
NTOSKRNL.DLL peut être l'indication de la présence
d'un spyware, parce que les spywares téléchargent et
installent souvent le processus NTOSKRNL.DLL.
119
120
5
Sous Paramètres de furtivité, cochez les cases des fonctions que vous
souhaitez activer comme suit :
Activer le reséquençage TCP Empêche un intrus de falsifier ou d'usurper l'adresse
IP d'un utilisateur.
Les pirates utilisent l'usurpation d'adresse IP pour
détourner une session de communication entre deux
ordinateurs, tels que l'ordinateur A et B. Un pirate peut
envoyer un paquet de données qui fait abandonner la
communication à l'ordinateur A. Le pirate peut se faire
passer pour l'ordinateur A afin de communiquer avec
l'ordinateur B pour l'attaquer. Pour protéger
l'ordinateur, la remise en séquence TCP définit de façon
aléatoire les numéros de séquence TCP.
Remarque : L'usurpation de signature de système
d'exploitation fonctionne mieux quand le reséquençage
TCP est activé.
Avertissement : Le reséquençage TCP modifie le
numéro de séquence TCP quand le service client
s'exécute. Le numéro de séquence est différent quand
le service s'exécute et quand le service ne s'exécute
pas. Par conséquent, des connexions réseau prennent
fin quand vous arrêtez ou démarrez le service de
pare-feu. Les paquets de TCP/IP utilisent une série de
numéros de session pour communiquer avec d'autres
ordinateurs. Quand le client ne s'exécute pas,
l'ordinateur client utilise le plan de numérotation de
Windows. Quand le client s'exécute et que le
reséquençage TCP est activé, le client utilise un plan
de numérotation différent. Si le service client s'arrête
soudainement, le système utilise alors le plan de
numérotation de Windows et Windows abandonne les
paquets de trafic. De plus, le reséquençage TCP peut
présenter un problème de compatibilité avec certaines
cartes d'interface réseau, ce qui peut amener le client
à bloquer tout le trafic entrant et sortant.
Activer la navigation Web en Détecte le trafic HTTP d'un navigateur Web sur
mode furtif
n'importe quel port et supprime les informations
suivantes : le nom et le numéro de version de
navigateur, le système d'exploitation et la page Web
de référence. Cela empêche les sites Web de connaître
le système d'exploitation et le navigateur que
l'ordinateur utilise. Le trafic HTTPS (SSL) n'est pas
détecté.
Avertissement : La navigation Web en mode furtif
peut provoquer un fonctionnement incorrect de
certains sites Web. Certains serveurs Web construisent
une page Web sur la base des informations du
navigateur Web. Puisque cette option supprime les
informations de navigateur, certaines pages Web
peuvent ne pas apparaître correctement ou ne pas
s'afficher du tout. La navigation Web en mode furtif
supprime la signature de navigateur, appelée
HTTP_USER_AGENT, de l'en-tête de requête HTTP et
la remplace par une signature générique.
Activer la protection contre
l'usurpation des signatures
de système d'exploitation
Empêche la détection du système d'exploitation d'un
ordinateur client. Le client modifie le TTL et la valeur
d'identification des paquets TCP/IP pour empêcher
l'identification d'un système d'exploitation.
Remarque : L'usurpation de signature de système
d'exploitation fonctionne mieux quand le reséquençage
TCP est activé.
Avertissement : Le reséquençage TCP peut présenter
un problème de compatibilité avec certaines cartes
d'interface réseau, ce qui peut amener le client à
bloquer tout le trafic entrant et sortant.
6
Cliquez sur OK.
Se reporter à "Configuration des paramètres de pare-feu" à la page 113.
Se reporter à "Blocage du trafic" à la page 126.
Autorisation automatique des communications pour les services réseau
essentiels
Symantec Endpoint Protection fournit des règles intégrées qui permettent des
échanges normaux entre certains services réseau essentiels. Les règles intégrées
éliminent le besoin de créer des règles de filtrage qui autorisent explicitement ces
121
122
services. Pendant le traitement, ces règles intégrées sont évaluées avant les règles
de filtrage de sorte que les paquets correspondant à une occurrence active d'une
règle intégrée soient autorisés. Vous pouvez définir les règles intégrées des services
DHCP, DNS et WINS.
Les filtres de règles intrinsèques autorisent le paquet si une demande a été
formulée. Ils ne bloquent pas des paquets. Les règles de filtrage permettent ou
bloquent des paquets.
1
2
les paramètres.
3
Dans l'onglet Pare-feu sous Règles intégrées, sélectionnez une ou plusieurs
des options suivantes :
4
■
Activer Smart DHCP
■
Activer Smart DNS
■
Activer Smart WINS
Cliquez sur OK.
Se reporter à "Activation des paramètres de trafic et des paramètres de navigation
Web furtive" à la page 115.
Activation du partage des fichiers et des imprimantes du réseau
Vous pouvez permettre au client de partager ses fichiers ou d'accéder à des fichiers
et des imprimantes partagés sur votre réseau local. Pour empêcher des attaques
basées sur le réseau, vous pouvez désactiver le partage des fichiers et des
imprimantes du réseau.
Vous pouvez activer le partage des fichiers et des imprimantes du réseau des
manières suivantes :
Activation automatique des
paramètres de partage des
fichiers et des imprimantes
du réseau sous l'onglet
Réseau Microsoft Windows.
Toute règle de filtrage bloquant ce trafic est prioritaire sur
ces paramètres.
Activation automatique du partage des fichiers et des
imprimantes du réseau
Activation manuelle du
partage des fichiers et des
imprimantes du réseau en
ajoutant des règles de
filtrage.
Vous pouvez ajouter des règles de filtrage afin d'avoir plus
de flexibilité par rapport aux paramètres. Par exemple,
quand vous créez une règle, vous pouvez spécifier un hôte
particulier au lieu de l'ensemble des hôtes. Les règles de
filtrage autorisent l'accès aux ports pour l'accès aux fichiers
et aux imprimantes ainsi que leur partage.
Vous créez un ensemble de règles de filtrage permettant au
client de partager ses fichiers. Vous créez un second
ensemble de règles de filtrage de sorte que le client puisse
accéder à d'autres fichiers et imprimantes.
Pour permettre manuellement aux clients d'accéder aux
fichiers et imprimantes
Pour permettre manuellement aux autres ordinateurs
d'accéder aux fichiers sur le client
Activation automatique du partage des fichiers et des imprimantes du réseau
1
2
les paramètres.
3
Sous l'onglet Réseau Microsoft Windows en dessous de Paramètres, cliquez
dans le menu déroulant et sélectionnez l'adaptateur pour lequel ces
paramètres s'appliquent.
4
Pour accéder aux autres ordinateurs et imprimantes du réseau, cliquez sur
Rechercher les fichiers et les imprimantes sur le réseau.
5
Pour permettre à d'autres ordinateurs d'accéder aux fichiers de votre
ordinateur, cliquez sur Partager mes fichiers et mes imprimantes sur le
réseau.
6
Cliquez sur OK.
Pour permettre manuellement aux clients d'accéder aux fichiers et imprimantes
1
Dans la barre latérale du client, cliquez sur Etat.
2
En regard de Protection contre les menaces réseau, cliquez sur Options >
Configurer les règles de filtrage.
3
Dans la boîte de dialogue Configurer les règles de filtrage, cliquez sur Ajouter.
4
Sous l'onglet Général, tapez un nom pour la règle puis cliquez sur Autoriser
ce trafic.
5
Dans la liste déroulante Protocole de l'onglet Ports et protocoles, cliquez
sur TCP.
123
124
6
Dans la liste déroulante Ports distants, tapez 88, 135, 139, 445.
7
Cliquez sur OK.
8
9
ce trafic.
10 Dans la liste déroulante Protocole de l'onglet Ports et protocoles, cliquez
sur UDP.
11 Dans la liste déroulante Ports distants, tapez 88.
12 Dans la liste déroulante Ports locaux, tapez 137, 138.
13 Cliquez sur OK.
Pour permettre manuellement aux autres ordinateurs d'accéder aux fichiers sur le
client
1
2
3
4
ce trafic.
5
Dans la liste déroulante Protocole de l'onglet Ports et protocoles, cliquez
sur TCP.
6
Dans la liste déroulante Ports locaux, tapez 88, 135, 139, 445.
7
Cliquez sur OK.
8
9
ce trafic.
10 Dans la liste déroulante Protocole de l'onglet Ports et protocoles, cliquez
sur UDP.
11 Dans la liste déroulante Ports locaux, tapez 88, 137, 138.
12 Cliquez sur OK.
Bloquer et débloquer un ordinateur attaquant
Quand le client Symantec Endpoint Protection détecte une attaque réseau, il peut
bloquer automatiquement la connexion pour s'assurer que l'ordinateur client est
sûr. Le client active une réponse active, qui bloque automatiquement toute
communication depuis et vers l'adresse IP de l'ordinateur attaquant pendant un
laps de temps défini. L'adresse IP de l'ordinateur attaquant est bloquée pour un
unique emplacement.
Vous pouvez afficher l'adresse IP de l'ordinateur attaquant dans le journal de
sécurité. Vous pouvez également débloquer une attaque en arrêtant la réponse
active dans le journal de sécurité.
Si vous ne souhaitez pas patienter pendant le délai requis pour débloquer l'adresse
IP, vous pouvez la débloquer immédiatement.
Pour bloquer un ordinateur attaquant
1
2
les paramètres.
3
Dans l'onglet Pare-feu sous Paramètres de réponse active, cochez l'option
Durée en secondes du blocage automatique de l'adresse IP d'un pirate et
entrez le nombre de secondes.
Introduisez un nombre compris entre une et 999 999 secondes. La durée par
défaut est de 600 secondes (10 minutes).
4
Cliquez sur OK.
Pour débloquer un ordinateur attaquant
1
Dans le client, dans la barre latérale, cliquez sur Afficher les journaux.
2
En regard de Gestion des clients, cliquez sur Afficher les journaux > Journal
de sécurité.
3
Dans le Journal de sécurité, sélectionnez la ligne qui contient la mention
Réponse active dans la colonne Type d'événement, puis cliquez sur Opération
> Arrêter l'intervention active.
Pour débloquer les adresses IP bloquées, cliquez sur Opération > Arrêter
toutes les interventions actives. Si vous débloquez une intervention active,
la colonne Type d'événement affiche l'intervention active annulée. Si le délai
d'intervention active est dépassé, la colonne Type d'événement affiche la
mention Intervention active désactivée.
4
Dans le message qui apparaît, cliquez sur OK.
5
125
126
Blocage du trafic
Vous pouvez configurer votre ordinateur pour bloquer le trafic entrant et le trafic
sortant dans les situations suivantes :
Quand l'écran de veille de
votre ordinateur est activé.
Vous pouvez configurer votre ordinateur de manière à
bloquer l'ensemble du trafic Voisinage réseau entrant et
sortant lorsque l'écran de veille de l'ordinateur est activé.
Dès que l'écran de veille est désactivé, votre ordinateur
revient au niveau de sécurité précédemment attribué.
Pour bloquer le trafic quand l'écran de veille est activé
Quand le pare-feu ne
s'exécute pas.
L'ordinateur n'est pas protégé entre le moment où
l'ordinateur client démarre et le moment où le service de
pare-feu démarre, ou après l'arrêt du service de pare-feu et
la mise hors tension de l'ordinateur. Cette période est une
petite faille de sécurité qui peut permettre une
communication non autorisée.
Pour bloquer le trafic quand le pare-feu ne s'exécute pas
Quand vous voulez bloquer
tout le trafic entrant et
sortant à tout moment.
Vous pouvez vouloir bloquer tout le trafic quand un virus
particulièrement destructeur attaque votre réseau
d'entreprise ou sous-réseau. Vous ne bloquerez pas tout le
trafic dans des circonstances normales.
Remarque : Votre administrateur peut configurer cette
option pour la rendre indisponible. Vous ne pouvez pas
bloquer le trafic sur un client non géré.
Pour bloquer tout le trafic à tout moment
Vous pouvez permettre tout le trafic en désactivant la protection contre les
menaces réseau.
Se reporter à "Activer ou désactiver la protection sur l'ordinateur client"
à la page 45.
Pour bloquer le trafic quand l'écran de veille est activé
1
2
les paramètres.
3
Dans l'onglet Réseau Microsoft Windows sous Mode écran de veille, cliquez
sur Bloquer le trafic réseau Microsoft Windows lorsque l'écran de veille est
activé.
4
Cliquez sur OK.
Pour bloquer le trafic quand le pare-feu ne s'exécute pas
1
2
les paramètres.
3
Dans l'onglet Pare-feu sous Paramètres de trafic, cliquez sur Bloquer
l'ensemble du trafic jusqu'à l'activation du pare-feu et après sa désactivation.
4
En option, cliquez sur Autoriser le trafic DHCP et NetBIOS initial.
5
Cliquez sur OK.
Pour bloquer tout le trafic à tout moment
1
Dans le client, dans la barre latérale, cliquez sur Etat.
2
Afficher l'activité réseau.
3
Cliquez sur Outils > Bloquer l'ensemble du trafic.
4
Pour confirmer, cliquez sur Oui.
5
Pour revenir aux paramètres de pare-feu utilisés précédemment par le client,
supprimez la coche Outils > Bloquer l'ensemble du trafic.
Se reporter à "Bloquer et débloquer un ordinateur attaquant" à la page 125.
Une application est un logiciel que vous utilisez pour accomplir certaines tâches.
Par exemple, Internet Explorer et iTunes sont des applications. Vous pouvez
personnaliser le client pour qu'il contrôle certaines applications afin de protéger
votre réseau des attaques.
La section suivante décrit les tâches que vous pouvez effectuer pour personnaliser
la protection par pare-feu pour vos applications. Toutes ces tâches sont facultatives
et peuvent être effectuées dans n'importe quel ordre.
■
Vous pouvez permettre au client d'autoriser ou d'empêcher une application
d'accéder au réseau.
127
128
Se reporter à "Autorisation ou blocage de l'accès au réseau d'applications"
à la page 128.
■
Vous pouvez configurer les paramètres pour une application exécutée depuis
le démarrage du service de client ou qui a demandé la permission d'accéder
au réseau. Vous pouvez également configurer des restrictions telles que les
adresses IP et les ports que l'application peut utiliser. Vous pouvez afficher et
modifier la mesure que le client prend pour chaque application qui essaye
d'accéder par votre connexion réseau. En configurant les paramètres pour une
application spécifique, vous créez une règle de filtrage basée sur l'application.
à la page 129.
■
Vous pouvez supprimer les restrictions de l'application, telles que l'heure à
laquelle le pare-feu bloque une application. Quand vous supprimez les
restrictions, l'action effectuée par le client sur l'application est également
effacée. Quand l'application ou le service essaye à nouveau de se connecter au
réseau, un message peut vous demander de nouveau s'il faut permettre ou
bloquer l'application. Vous pouvez arrêter une application ou un service jusqu'à
ce que l'application essaye à nouveau d'accéder à votre ordinateur, comme
quand vous redémarrez l'ordinateur.
Se reporter à "Suppression des restrictions d'une application" à la page 131.
Autorisation ou blocage de l'accès au réseau d'applications
Vous pouvez permettre au client d'autoriser ou d'empêcher une application
Tableau 5-4 décrit les mesures prises par le client sur le trafic réseau.
Tableau 5-4
Mesures prises par le pare-feu quand des applications accèdent au
client ou au réseau
Action
Description
Autoriser
Permet au trafic entrant d'accéder à l'ordinateur client et au trafic sortant
Si le client reçoit le trafic, l'icône affiche un petit point bleu dans le coin
inférieur gauche. Si le client envoie le trafic, l'icône affiche le point dans
le coin inférieur droit.
Bloquer
Empêche le trafic entrant et le trafic sortant d'accéder au réseau ou à une
connexion Internet.
Action
Description
Demander
Demande si l'application doit accéder au réseau la prochaine fois que vous
tentez d'exécuter l'application.
Terminer
Arrête le processus.
Pour autoriser ou empêcher une application d'accéder au réseau
1
2
Près de Protection contre les menaces réseau, cliquez sur Options > Afficher
l'activité réseau.
3
Dans la boîte de dialogue Activité réseau, dans le champ Applications en
cours d'exécution, cliquez avec le bouton droit de la souris sur l'application
ou le service, puis cliquez sur l'option que vous voulez.
4
Cliquez sur Fermer.
Configuration des paramètres spécifiques à une application
Vous pouvez configurer les paramètres pour une application exécutée depuis le
démarrage du service de client ou qui a demandé la permission d'accéder au réseau.
Vous pouvez configurer des restrictions telles que les adresses IP et les ports que
l'application peut utiliser. Vous pouvez afficher et modifier la mesure que le client
prend pour chaque application qui essaye d'accéder par votre connexion réseau.
En configurant les paramètres pour une application spécifique, vous créez une
règle de filtrage basée sur l'application.
Remarque : S'il y a un conflit entre une règle de filtrage et un paramètre spécifique
à d'application, la règle de filtrage a la priorité. Par exemple, une règle de filtrage
qui bloque tout le trafic entre 1h00 et 8h00 remplace la planification pour une
application vidéo spécifique.
Les applications qui apparaissent dans la boîte de dialogue Activité réseau sont
les applications et les services qui se sont exécutés depuis que le service client a
démarré.
129
130
Configuration des paramètres spécifiques à des applications
1
2
Afficher les paramètres des applications.
3
Dans la boîte de dialogue Afficher les paramètres des applications,
sélectionnez l'application à configurer, puis cliquez sur Configurer.
4
Dans la boîte de dialogue Configurer les paramètres de l'application, dans
la zone de texte IP approuvé pour l'application, saisissez une adresse IP ou
une plage d'IP.
5
Dans les zones de texte Ports de serveur distants ou Ports locaux,
sélectionnez un port TCP ou UDP.
6
Pour spécifier la direction du trafic, cliquez sur l'un des éléments suivants
ou les deux :
Autorisation du trafic sortant Cliquez sur Autoriser les connexions sortantes.
Autorisation du trafic
entrant
Cliquez sur Autoriser les connexions entrantes.
7
Pour appliquer la règle quand l'écran de veille s'exécute, cliquez sur le
Autoriser lorsque l'écran de veille est activé.
8
Pour configurer une planification des périodes où les restrictions sont ou ne
sont pas en vigueur, cliquez sur Activer la planification.
9
Sélectionnez l'un des éléments suivants :
Spécification de l'heure à
laquelle les restrictions
prennent effet
Cliquez sur Pendant la période ci-dessous.
Spécification de l'heure à
laquelle les restrictions ne
sont pas effectives
Cliquez sur Hors de la période ci-dessous.
10 Configurez la planification.
11 Cliquez sur OK.
12 Dans la boîte de dialogue Afficher les paramètres d'application, pour modifier
l'action, cliquez avec le bouton droit de la souris sur l'application puis cliquez
sur Autoriser ou Bloquer.
13 Cliquez sur OK.
Arrêt d'une application ou d'un service
1
2
Près de Protection contre les menaces réseau, cliquez sur Options > Afficher
l'activité réseau.
3
Dans le champ Applications en cours d'exécution, cliquez avec le bouton
droit de la souris sur l'application, puis cliquez sur Terminer.
4
Pour confirmer, cliquez sur Oui, puis cliquez sur Fermer.
Se reporter à "Ajout d'une règle de filtrage" à la page 140.
Suppression des restrictions d'une application
Vous pouvez supprimer les restrictions de l'application, telles que l'heure à laquelle
le pare-feu bloque une application. Quand vous supprimez les restrictions, l'action
effectuée par le client sur l'application est également effacée. Quand l'application
ou le service essaye de se connecter au réseau de nouveau, un message peut vous
demander de nouveau s'il faut permettre ou bloquer l'application.
Vous pouvez arrêter une application ou un service jusqu'à ce que l'application
essaye d'accéder à votre ordinateur de nouveau, comme quand vous redémarrez
l'ordinateur.
Pour supprimer les restrictions d'une application
1
2
Afficher les paramètres des applications.
3
Dans la boîte de dialogue Afficher les paramètres des applications, effectuez
l'une des actions suivantes :
Pour supprimer une
application de la liste.
Sélectionnez l'application, puis cliquez sur Supprimer.
Pour supprimer des
applications de la liste.
Cliquez sur Supprimer.
4
Cliquez sur Oui.
5
Cliquez sur OK.
131
132
à la page 129.
Vous pouvez afficher les informations sur le trafic entrant et le trafic sortant à
partir de votre ordinateur. Vous pouvez également afficher une liste d'applications
et de services qui se sont exécutés depuis que le service client a démarré.
Remarque : Le client ne détecte pas le trafic réseau provenant des PDA (assistant
numérique personnel).
Vous pouvez afficher les types de trafic réseau suivants : trafic de diffusion ou
trafic unicast. Le trafic de diffusion est le trafic réseau qui est envoyé à chaque
ordinateur d'un sous-réseau particulier et n'est pas dirigé spécifiquement vers
votre ordinateur. Le trafic unicast est le trafic dirigé spécifiquement vers votre
ordinateur.
Affichage de l'historique de l'activité réseau
1
2
3
Cliquez sur Fermer.
Affichage ou masquage des services Windows et le trafic de diffusion
1
2
3
4
Dans la boîte de dialogue Activité réseau, cliquez avec le bouton droit de la
souris sur Applications en cours d'exécution et effectuez l'une des opérations
suivantes :
Affichage ou masquage des services
Windows
Cochez ou désélectionnez Afficher les
services Windows.
Affichage du trafic de diffusion
Sélectionnez Afficher le trafic de
diffusion.
Affichage du trafic unicast
Désélectionnez Afficher le trafic de
diffusion.
Cliquez sur Fermer.
Pour modifier la manière dont les informations d'application s'affichent
1
2
3
Dans le champ Applications en cours, cliquez avec le bouton droit de la souris
sur l'application, puis cliquez sur l'affichage que vous voulez consulter. Par
exemple, vous pouvez cliquer sur Détails.
4
Cliquez sur Fermer.
à la page 129.
Se reporter à "Autorisation ou blocage de l'accès au réseau d'applications"
à la page 128.
Tableau 5-5 décrit ce que vous devriez savoir des règles de filtrage du client.
133
134
A propos de l'ordre de traitement des règles et des paramètres du pare-feu et de la prévention d'intrusion
Tableau 5-5
Rubriques traitant des règles de pare-feu client
Rubrique
Description
Explique la manière dont les
règles et les paramètres de
pare-feu ainsi que les
paramètres de prévention
d'intrusion sont traités.
Vous pourrez créer des règles de pare-feu plus efficacement
si vous comprenez la manière dont sont traités les règles et
paramètres de pare-feu ainsi que les paramètres de
prévention d'intrusion. De plus, cela vous permettra
d'organiser vos règles de pare-feu en conséquence.
Se reporter à "A propos de l'ordre de traitement des règles
et des paramètres du pare-feu et de la prévention
d'intrusion" à la page 134.
Se reporter à "Modification de l'ordre des règles de pare-feu"
à la page 135.
Examinez la façon dont le
client utilise l'inspection avec
état pour éviter de devoir
créer des règles spécifiques.
Symantec Endpoint Protection utilise l'inspection par état.
Ainsi, pour le trafic généré dans une direction, vous n'avez
pas besoin d'une règle pour autoriser le trafic de retour. Si
vous comprenez le fonctionnement de l'inspection avec état,
vous n'avez pas besoin de créer des règles.
Se reporter à "Utilisation de l'inspection avec état par le
pare-feu" à la page 136.
Détail des éléments d'une
règle de pare-feu
Pour créer des règles de pare-feu effectives, vous devez
connaître les composants d'une règle de pare-feu.
Se reporter à "Les éléments d'une règle de filtrage"
à la page 137.
A propos de l'ordre de traitement des règles et des
paramètres du pare-feu et de la prévention d'intrusion
Les règles de filtrage sont classées séquentiellement, de la priorité la plus élevée
à la priorité la plus basse ou du haut vers le bas de la liste de règles. Si la première
règle ne spécifie pas comment traiter un paquet, le pare-feu examine la deuxième
règle. Ce processus se poursuit jusqu'à ce que le pare-feu trouve une
correspondance. Si le pare-feu trouve une correspondance, le pare-feu prend
l'action que la règle spécifie. Les règles de priorité plus faible suivantes ne sont
pas examinées. Par exemple, si une règle qui bloque tout le trafic est répertoriée
en premier et est suivie d'une règle qui autorise tout le trafic, le client bloque tout
le trafic.
Vous pouvez ordonner les règles selon leur exclusivité. Les règles les plus
restrictives sont évaluées en premier et les règles les plus générales en dernier.
Par exemple, vous devriez placer les règles qui bloquent le trafic en haut de la
liste de règles. Les règles situées plus bas dans la liste peuvent autoriser le trafic.
Les meilleures méthodes de création de base de règles incluent l'ordre des règles
suivant :
1er
Règles qui bloquent tout le trafic.
2ème
Règles qui autorisent tout le trafic.
3ème
Règles qui autorisent ou bloquent des ordinateurs spécifiques.
4ème
Règles qui autorisent ou bloquent des applications spécifiques, des services
réseau et des ports.
Tableau 5-6 affiche l'ordre dans lequel le pare-feu traite les règles, les paramètres
du pare-feu et les paramètres de prévention d'intrusion.
Tableau 5-6
Ordre de traitement
Priorité
Paramètre
Premier
Signatures IPS personnalisées
Deuxième
Paramètres de prévention d'intrusion, paramètres de trafic et paramètres
de furtivité
Troisième
Règles intrinsèques
Quatrième
Règles de filtrage
Cinquième
Vérification d'analyse de port
Sixième
Signatures IPS téléchargées via LiveUpdate
Se reporter à "Modification de l'ordre des règles de pare-feu" à la page 135.
Se reporter à "Fonctionnement de la prévention d'intrusion" à la page 143.
Le pare-feu traite la liste des règles de filtrage de haut en bas. Vous pouvez
déterminer la manière dont le pare-feu traite les règles de filtrage en modifiant
135
136
leur ordre. Lorsque vous modifiez l'ordre, ce changement ne concerne que
l'emplacement sélectionné.
Remarque : Pour une meilleure protection, placez les règles les plus restrictives
en premier et les règles les moins restrictives en dernier.
Modification de l'ordre d'une règle de filtrage
1
2
3
Dans la boîte de dialogue Configurer les règles de filtrage, sélectionnez la
règle que vous voulez déplacer.
4
5
■
Pour que le pare-feu traite cette règle avant la règle située au-dessus,
cliquez sur la fléche orientée vers le haut.
■
Pour que le pare-feu traite cette règle après la règle située au-dessous,
cliquez sur la fléche orientée vers le bas.
Quand vous avez terminé de déplacer les règles, cliquez sur OK.
Se reporter à "A propos de l'ordre de traitement des règles et des paramètres du
pare-feu et de la prévention d'intrusion" à la page 134.
La protection par pare-feu utilise l'inspection avec état pour suivre les connexions
actuelles. L'inspection avec état suit les adresses IP source et de destination, les
ports, les applications et autres données de connexion. Avant d'examiner les règles
de filtrage, le client prend les décisions de flux de trafic en fonction des données
de connexion.
Par exemple, si une règle de filtrage autorise un ordinateur à se connecter à un
serveur Web, le pare-feu consigne les informations de connexion. Quand le serveur
répond, le pare-feu détecte qu'une réponse du serveur Web à l'ordinateur est
prévue. Il autorise le trafic du serveur Web à se rendre vers l'ordinateur ayant
initié la connexion sans examiner la base de règles. Une règle doit autoriser le
trafic sortant initial avant que le pare-feu ne consigne la connexion.
L'inspection avec état élimine la nécessité de créer de nouvelles règles. Pour le
trafic lancé dans une direction, vous n'avez pas besoin de créer les règles qui
permettent le trafic dans les deux directions. Le trafic client initié dans une
direction inclut Telnet (port 23), HTTP (port 80) et HTTPS (port 443). Les
ordinateurs client lancent ce trafic sortant ; vous créez une règle qui autorise le
trafic sortant de ces protocoles. L'inspection avec état autorise automatiquement
le trafic de retour qui réagit au trafic sortant. Le pare-feu étant à état, il vous suffit
de créer les règles qui établissent une connexion, et non les caractéristiques d'un
paquet particulier. Tous les paquets propres à une connexion autorisée sont
implicitement autorisés en tant que constituant intégral de cette même connexion.
L'inspection avec état prend en charge toutes les règles qui régissent le trafic TCP.
L'inspection avec état ne prend pas en charge les règles qui filtrent le trafic ICMP.
Pour le trafic ICMP, vous devez créer les règles autorisant le trafic dans les deux
directions. Par exemple, si vous souhaitez que les clients utilisent la commande
ping et reçoivent des réponses, vous devez créer une règle autorisant le trafic
ICMP dans les deux directions.
Les règles de filtrage contrôlent la manière dont le client protège votre ordinateur
du trafic réseau malveillant. Quand un ordinateur tente de se connecter à un autre
ordinateur, le pare-feu compare le type de connexion aux règles de filtrage. Le
pare-feu vérifie automatiquement tous les paquets de trafic entrants et sortants
en fonction de ces règles. Le pare-feu autorise ou bloque les paquets selon les
règles.
Vous pouvez utiliser des déclencheurs tels que des applications, des hôtes et des
protocoles afin de définir les règles de filtrage. Par exemple, une règle peut
identifier un protocole par rapport à une adresse de destination. Quand le pare-feu
évalue la règle, tous les déclencheurs doivent être vrais pour qu'une
correspondance positive se produise. Si un déclencheur est faux pour le paquet
actuel, le pare-feu n'applique pas la règle.
Dès qu'une règle de filtrage est déclenchée, aucune autre règle de filtrage n'est
évaluée. Si aucune règle n'est déclenchée, le paquet est automatiquement bloqué
et l'événement n'est pas consigné.
Une règle de filtrage décrit les conditions dans lesquelles une connexion réseau
peut être permise ou bloquée. Par exemple, une règle peut permettre le trafic
réseau entre le port distant 80 et l'adresse IP 192.58.74.0, entre 9h du et 17h
quotidiennement.
Tableau 5-7 décrit les conditions utilisés pour définir une règle de filtrage.
137
138
Tableau 5-7
Conditions de règle de filtrage
Condition
Description
Déclencheurs
Les déclencheurs de règle de filtrage sont comme suit :
Applications
Quand l'application est le seul déclencheur défini dans une règle
d'autorisation de trafic, le pare-feu permet à l'application d'effectuer
n'importe quelle opération réseau. L'application est la valeur
significative, pas les opérations réseau que l'application effectue.
Par exemple, supposez que vous permettiez Internet Explorer et ne
définissiez aucun autre déclencheur. Les utilisateurs peuvent accéder
aux sites distants qui utilisent HTTP, HTTPS, FTP, Gopher et
n'importe quel autre protocole que le navigateur Web prend en
charge. Vous pouvez définir des déclencheurs supplémentaires pour
décrire les protocoles réseau et les hôtes particuliers avec lesquels
la communication est autorisée.
■ Hôtes
L'hôte local est toujours l'ordinateur client local et l'hôte distant est
toujours un ordinateur distant placé ailleurs sur le réseau. Cette
expression du rapport d'hôte est indépendante de la direction du
trafic. Quand vous définissez des déclencheurs d'hôte, vous spécifiez
l'hôte du côté distant de la connexion réseau décrite.
■ Protocoles
Un déclencheur de protocole identifie un ou plusieurs protocoles
réseau qui sont significatifs par rapport au trafic décrit.
L'ordinateur d'hôte local possède toujours le port local et l'ordinateur
distant possède toujours le port distant. Cette expression de la
relation de ports est indépendante de la direction du trafic.
■ Adaptateurs réseau
Si vous définissez un déclencheur de carte/d'adaptateur réseau, la
règle est appropriée seulement au trafic qui est transmis ou reçu en
utilisant le type spécifié d'adaptateur. Vous pouvez spécifier
n'importe quel adaptateur ou celui actuellement associé à l'ordinateur
client.
■
Vous pouvez combiner les définitions de déclencheur pour former des
règles plus complexes, comme d'identifier un protocole particulier par
rapport à une adresse de destination spécifique. Lorsque le pare-feu
évalue la règle, tous les déclencheurs doivent être vrais pour qu'une
correspondance positive se produise. Si aucun déclencheur n'est vrai
par rapport au paquet actuel, le pare-feu ne peut pas appliquer la règle.
Condition
Description
Conditions
Planification et état d'écran de veille.
Les paramètres conditionnels ne décrivent pas un aspect d'une connexion
réseau. Au lieu de cela, les paramètres conditionnels déterminent l'état
actif d'une règle. Les paramètres conditionnels sont facultatifs et non
significatifs s'ils ne sont pas définis. Vous pouvez installer une
planification ou identifier un état d'écran de veille qui détermine quand
une règle est considérée active ou inactive. Le pare-feu n'évalue pas les
règles inactives quand le pare-feu reçoit des paquets.
Actions
Autoriser ou bloquer et consigner ou ne pas consigner.
Les paramètres d'action spécifient quelles mesures le pare-feu prend
quand il trouve une correspondance avec une règle. Si la règle est
sélectionnée en réponse à un paquet reçu, le pare-feu exécute toutes les
actions. Le pare-feu autorise ou bloque le paquet et consigne ou ne
consigne pas le paquet.
Si le pare-feu autorise le trafic, il laisse le trafic que la règle spécifie
accéder à votre réseau.
Si le pare-feu bloque le trafic, il bloque le trafic que la règle spécifie de
sorte qu'il n'accède pas à votre réseau.
Se reporter à "Utilisation de l'inspection avec état par le pare-feu" à la page 136.
Tableau 5-8 décrit comment installer de nouvelles règles de filtrage.
139
140
Tableau 5-8
Procédure de configuration de règles de filtrage
Etape Tâche
Description
1
Symantec Endpoint Protection est installé avec des règles de
filtrage par défaut. Toutefois, vous pouvez créer vos propres
règles.
Ajouter une
nouvelle règle
de filtrage
Une autre manière d'ajouter une règle de filtrage consiste à
exporter des règles de filtrage existantes à partir d'une autre
politique de pare-feu. Vous pouvez alors importer les règles de
filtrage et les paramètres, sans avoir à les recréer.
Se reporter à "Exporter et importer des règles de filtrage"
à la page 141.
2
(Facultatif)
Personnaliser
les critères de
la règle de
filtrage
Après avoir créé une nouvelle règle, ou si vous voulez
personnaliser une règle par défaut, vous pouvez modifier les
critères de la règle de filtrage.
Se reporter à "Les éléments d'une règle de filtrage" à la page 137.
Se reporter à "Activer et désactiver des règles de filtrage" à la page 142.
Ajout d'une règle de filtrage
Quand vous ajoutez une règle de filtrage, vous devez décider de l'effet de la règle.
Par exemple, vous pouvez permettre tout le trafic d'une source particulière ou
bloquer les paquets UDP d'un site Web.
Les règles de filtrage sont automatiquement activées quand vous les créez.
Pour ajouter une règle de filtrage
1
2
Configurer des règles de filtrage.
3
Dans la boîte de dialogue Configurer des règles de filtrage, cliquez sur
Ajouter.
4
Sur l'onglet Général, tapez un nom pour la règle, puis cliquez sur Bloquer ce
trafic ou Autoriser ce trafic.
5
Pour définir les déclencheurs pour la règle, cliquez sur chaque onglet et
configurez-le comme nécessaire.
6
Pour définir la période où la règle est active ou inactive, sous l'onglet
Planification, cliquez sur Activer la planification puis définissez une
planification.
7
Quand vous avez terminé d'apporter vos modifications, cliquez sur OK.
8
Cliquez sur OK.
Se reporter à "Les éléments d'une règle de filtrage" à la page 137.
Se reporter à "Activer et désactiver des règles de filtrage" à la page 142.
Exporter et importer des règles de filtrage
Vous pouvez partager les règles avec un autre client pour éviter de les recréer.
Vous pouvez exporter les règles d'un autre ordinateur et les importer sur votre
ordinateur. Quand vous importez des règles, elles sont ajoutées au bas de la liste
de règles de filtrage. Les règles importées ne remplacent pas des règles existantes,
même si une règle importée est identique à une règle existante.
Les règles exportées et les règles importées sont enregistrées dans un fichier .sar
Pour exporter des règles de filtrage
1
2
3
Dans la boîte de dialogue Configurer des règles de filtrage, sélectionnez les
règles que vous voulez exporter.
4
Cliquez avec le bouton droit de la souris sur les règles et puis cliquez sur
Exporter les règles sélectionnées.
5
Dans la boîte de dialogue Exporter, tapez un nom de fichier, puis cliquez sur
Enregistrer.
6
Cliquez sur OK.
Pour importer des règles de filtrage
1
2
3
Dans la boîte de dialogue Configurer des règles de filtrage, cliquez avec le
bouton droit de la souris sur la liste des règles de filtrage puis cliquez sur
Importer la règle.
141
142
4
Dans la boîte de dialogue Importer, localisez le fichier .sar qui contient les
règles que vous voulez importer.
5
Cliquez sur Ouvrir.
6
Cliquez sur OK.
Activer et désactiver des règles de filtrage
Vous devez activer des règles de sorte que le pare-feu puisse les traiter. Quand
vous ajoutez des règles de filtrage, elles sont automatiquement activées.
Vous pouvez désactiver temporairement une règle de filtrage si vous devez
accorder un accès spécifique à un ordinateur ou un programme.
Pour activer et désactiver des règles de filtrage
1
2
3
Dans la boîte de dialogue Configurer des règles de filtrage, dans la colonne
Nom de la règle, sélectionnez ou désélectionnez la case à cocher située en
regard de la règle que vous voulez activer ou désactiver.
4
Cliquez sur OK.
La gestion de la prévention d'intrusion fait partie de la protection contre les
menaces réseau.
Tableau 5-9
Action
Description
En savoir plus sur la prévention
d'intrusion
Découvrez comment la prévention d'intrusion
détecte et bloque les attaques réseau et de
navigateur.
Se reporter à "Fonctionnement de la prévention
d'intrusion" à la page 143.
Action
Description
Télécharger les signatures IPS les plus Par défaut, les dernières signatures sont
récentes
téléchargées sur le client. Cependant, vous pouvez
choisir de télécharger les signatures
immédiatement.
Se reporter à "Mise à jour de la protection de
l'ordinateur" à la page 36.
Activez ou désactivez la prévention
d'intrusion du navigateur ou réseau
Vous pouvez vouloir désactiver la prévention
d'intrusion à des fins de dépannage ou si les
ordinateurs client détectent trop de faux positifs.
En règle générale, vous ne devez pas désactiver
la prévention d'intrusion.
Vous pouvez activer ou désactiver les types de
prévention d'intrusion suivants :
■
Prévention d'intrusion réseau
■
Prévention d'intrusion du navigateur
Se reporter à "Activation ou désactivation de la
prévention d'intrusion" à la page 144.
Vous pouvez également activer ou désactiver la
prévention d'intrusion quand vous activez ou
désactivez la protection contre les menaces
réseau.
Se reporter à "A propos de l'activation et de la
désactivation de la protection" à la page 43.
Configuration des notifications de
prévention d'intrusion
Vous pouvez configurer l'affichage des
notifications quand Symantec Endpoint
Protection détecte une intrusion de réseau ou de
navigateur.
Se reporter à "Configuration des notifications de
prévention d'intrusion" à la page 145.
La prévention d'intrusion fait partie de la protection contre les menaces réseau.
La prévention d'intrusion détecte et bloque automatiquement les attaques réseau
et les attaques sur les navigateurs. La prévention d'intrusion est la deuxième
couche de défense après le pare-feu pour protéger les ordinateurs client. La
prévention d'intrusion est parfois appelée le système de prévention d'intrusion
(IPS).
143
144
Activation ou désactivation de la prévention d'intrusion
La prévention d'intrusion intercepte des données à la couche réseau. Elle utilise
des signatures pour analyser des paquets ou des flux de paquets. Elle analyse
chaque paquet individuellement en recherchant les configurations qui
correspondent aux attaques réseau ou de navigateur. La prévention d'intrusion
utilise des signatures pour détecter des attaques sur les composants du système
d'exploitation et la couche application.
La prévention d'intrusion fournit deux types de protection.
La prévention d'intrusion réseau utilise des signatures
pour identifier des attaques sur les ordinateurs client.
Pour les attaques connues, la prévention d'intrusion
rejette automatiquement les paquets qui correspondent
aux signatures.
Vous ne pouvez pas créer les signatures personnalisées
sur le client. Mais vous pouvez importer les signatures
personnalisées que vous ou votre administrateur avez
créées dans Symantec Endpoint Protection Manager.
Prévention d'intrusion du
navigateur
La prévention d'intrusion du navigateur contrôle les
attaques sur Internet Explorer et Firefox. La prévention
d'intrusion du navigateur n'est prise en charge sur
aucun autre navigateur.
Ce type de prévention d'intrusion utilise des signatures
d'attaque ainsi que des heuristiques pour identifier des
attaques sur des navigateurs.
Pour certaines attaques du navigateur, la prévention
d'intrusion requiert que le client ferme le navigateur.
Une notification apparaît sur l'ordinateur client.
Activation ou désactivation de la prévention
d'intrusion
En règle générale, quand vous désactivez la prévention d'intrusion sur votre
ordinateur, votre ordinateur est moins sécurisé. Cependant, vous pouvez vouloir
désactiver ces paramètres pour empêcher les faux positifs ou pour dépanner votre
ordinateur.
Symantec Endpoint Protection consigne les tentatives et les événements
d'intrusion dans le journal de sécurité. Symantec Endpoint Protection peut
également consigner des événements d'intrusion dans le journal des paquets si
votre administrateur l'a configuré ainsi.
Vous pouvez activer ou désactiver deux types de prévention d'intrusion :
■
■
Prévention d'intrusion du navigateur
Remarque : Votre administrateur a pu configurer ces options pour qu'elles soient
indisponibles.
à la page 43.
Pour activer ou désactiver des paramètres de prévention d'intrusion
1
2
les paramètres.
3
Sur l'onglet Prévention d'intrusion, sélectionnez ou désélectionnez l'un ou
l'autre des paramètres suivants :
■
Activer la prévention d'intrusion réseau
■
Activer la prévention d'intrusion du navigateur
Pour plus d'informations sur les paramètres, cliquez sur Aide.
4
Cliquez sur OK.
Configuration des notifications de prévention
d'intrusion
Vous pouvez configurer l'affichage de notifications quand le client détecte une
attaque réseau sur votre ordinateur ou quand il bloque l'accès d'une application
à votre ordinateur. Vous pouvez définir la durée d'affichage de ces notifications
et si elles doivent s'accompagner d'une annonce sonore.
Vous devez activer le système de prévention d'intrusion pour que les notifications
de prévention d'intrusion apparaissent.
Remarque : Votre administrateur a pu configurer ces options pour qu'elles soient
indisponibles.
145
146
1
2
les paramètres.
3
Dans la boîte de dialogue Paramètres de protection contre les menaces
réseau, cliquez sur Notifications.
4
Cochez Afficher les notifications de prévention d'intrusion.
5
Pour entendre un bip quand la notification apparaît, cochez Utiliser des effets
sonores pour la notification des utilisateurs.
6
Cliquez sur OK.
Chapitre
6
Gérer Symantec Network
Access Control
■
Fonctionnement de Symantec Network Access Control
■
Fonctionnement du client avec un module d'application Enforcer
■
Exécution d'une vérification de l'intégrité de l'hôte
■
Réparation de l'ordinateur
■
Configuration du client pour l'authentification 802.1x
■
Affichage des journaux Symantec Network Access Control
Le client Symantec Network Access Control valide et impose la conformité aux
politiques pour les ordinateurs qui essayent de se connecter au réseau. Ce processus
de validation et d'application commence avant que l'ordinateur ne se connecte
au réseau et continue durant toute la durée de la connexion. La politique d'intégrité
de l'hôte est la politique de sécurité qui sert de base à toutes les évaluations et
actions. L'intégrité de l'hôte est également mentionnée sous le nom de "conformité
de sécurité."
Tableau 6-1 décrit le processus que Network Access Control utilise pour imposer
la conformité des politiques sur l'ordinateur client.
148
Gérer Symantec Network Access Control
Tableau 6-1
Comment Symantec Network Access Control fonctionne
Action
Description
Le client évalue
continuellement sa
conformité.
Vous activez l'ordinateur client. Le client exécute une
vérification de l'intégrité de l'hôte qui compare la
configuration de l'ordinateur à la politique d'intégrité de
l'hôte téléchargée depuis le serveur de gestion.
La vérification de l'intégrité de l'hôte évalue la conformité
de votre ordinateur à la politique d'intégrité de l'hôte pour
le logiciel antivirus, les correctifs, les hotfixes et d'autres
exigences de sécurité. Par exemple, la politique peut vérifier
le moment auquel ses définitions antivirus ont été mises à
jour et les derniers correctifs appliqués au système
d'exploitation.
Symantec Enforcer
authentifie l'ordinateur
client et lui accorde l'accès
au réseau ou bloque et met
en quarantaine les
ordinateurs non conformes.
Si l'ordinateur répond à toutes les exigences de la politique,
le contrôle d'intégrité réussit. Enforcer accorde le plein accès
au réseau aux ordinateurs qui passent la vérification de
l'intégrité de l'hôte.
Si l'ordinateur ne répond pas aux exigences de la politique,
la vérification de l'intégrité de l'hôte échoue. Quand une
vérification de l'intégrité de l'hôte échoue, le client ou
Symantec Enforcer bloque votre ordinateur ou le met en
quarantaine jusqu'à ce que vous résolviez le problème. Les
ordinateurs en quarantaine ont un accès limité ou nul au
réseau.
Se reporter à "Fonctionnement du client avec un module
d'application Enforcer" à la page 149.
Votre administrateur peut
avoir installé la politique de
sorte qu'une vérification de
l'intégrité de l'hôte réussisse
même si une exigence
spécifique échoue.
Le client peut afficher une notification chaque fois que la
vérification de l'intégrité de l'hôte réussit.
Se reporter à "Types d'alertes et de notifications"
à la page 21.
Le client résout les
Si le client constate qu'une spécification de la politique
ordinateurs non conformes. d'intégrité de l'hôte n'est pas satisfaite, il installe ou vous
demande d'installer le logiciel requis. Quand votre
ordinateur est conforme, il essaye d'accéder au réseau de
nouveau. Si l'ordinateur est entièrement conforme, le réseau
accorde l'accès au réseau.
Se reporter à "Réparation de l'ordinateur" à la page 150.
Fonctionnement du client avec un module d'application Enforcer
Action
Description
Le client contrôle
Le client contrôle activement l'état de conformité pour tous
proactivement la conformité. les ordinateurs client. Si, à un moment quelconque, l'état
de conformité de l'ordinateur change, les droits d'accès au
réseau de l'ordinateur font de même.
Vous pouvez afficher plus d'informations sur les résultats de vérification de
l'intégrité de l'hôte dans le journal de sécurité.
Fonctionnement du client avec un module
d'application Enforcer
Le client interagit avec Symantec Enforcer. Enforcer s'assure que tous les
ordinateurs qui se connectent au réseau qu'il protège exécutent le logiciel client
et ont une politique de sécurité correcte.
Se reporter à "Fonctionnement de Symantec Network Access Control" à la page 147.
Enforcer doit authentifier l'utilisateur ou l'ordinateur client avant d'autoriser à
l'ordinateur client à accéder au réseau. Symantec Network Access Control
fonctionne avec plusieurs types de modules Enforcer pour authentifier l'ordinateur
client. Symantec Enforcer est le boîtier de matériel réseau qui contrôle les résultats
d'intégrité de l'hôte et l'identité de l'ordinateur client avant de permettre à cet
ordinateur d'avoir accès au réseau.
Enforcer vérifie les informations suivantes avant de permettre aux clients d'accéder
au réseau :
■
Version du logiciel client que l'ordinateur exécute.
■
Le client a un identificateur unique (UID).
■
Le client a été mis à jour avec la politique d'intégrité de l'hôte la plus récente.
■
L'ordinateur client a réussi la vérification de l'intégrité de l'hôte.
Se reporter à "Configuration du client pour l'authentification 802.1x" à la page 151.
Exécution d'une vérification de l'intégrité de l'hôte
Votre administrateur configure la fréquence selon laquelle le client exécute une
vérification de l'intégrité de l'hôte. Vous pouvez devoir exécuter une vérification
de l'intégrité de l'hôte immédiatement plutôt qu'attendre le contrôle suivant. Par
exemple, l'échec d'une vérification de l'intégrité de l'hôte peut indiquer que vous
devez mettre à jour les signatures de protection contre les virus sur votre
149
150
ordinateur. Le client peut vous permettre de choisir de télécharger le logiciel
requis immédiatement ou de reporter le téléchargement. Si vous téléchargez le
logiciel immédiatement, vous devez exécuter la vérification de l'intégrité de l'hôte
de nouveau pour vérifier que vous avez le logiciel correct. Vous pouvez attendre
la vérification de l'intégrité de l'hôte planifiée suivante ou exécuter le contrôle
immédiatement.
Pour exécuter une vérification de l'intégrité de l'hôte
1
2
en regard de Network Access Control, cliquez sur Options > Vérifier la
conformité.
3
Si un message apparaît pour confirmer que la vérification de l'intégrité de
l'hôte s'est exécutée, cliquez sur OK.
Si vous aviez été bloqué pour l'accès au réseau, vous devriez regagner l'accès
au réseau quand votre ordinateur a été mis à jour pour être conforme à la
politique de sécurité.
Si le client constate qu'une spécification de politique d'intégrité de l'hôte n'est
pas satisfaite, il réagit de l'une des manières suivantes :
■
Le client télécharge automatiquement la mise à jour du logiciel.
■
Le client vous invite à télécharger la mise à jour logicielle requise.
Pour corriger votre ordinateur
◆
Dans la boîte de dialogue Symantec Endpoint Protection qui apparaît, faites
une des actions suivantes :
■
Pour vérifier les exigences de sécurité auxquelles votre ordinateur ne
satisfait pas, cliquez sur Détails.
■
Pour installer immédiatement le logiciel, cliquez sur Restaurer
Vous pouvez ou non avoir l'option d'annuler l'installation après qu'elle
ait commencé.
■
Pour reporter l'installation du logiciel, cliquez sur Me le rappeler dans et
sélectionnez un délai dans la liste déroulante.
L'administrateur peut configurer le nombre de fois maximal où
l'installation peut être reportée.
Si votre réseau d'entreprise utilise LAN Enforcer pour l'authentification,
l'ordinateur client doit être configuré pour utiliser l'authentification 802.1x. Vous
ou votre administrateur devez configurer le client. Votre administrateur peut
vous avoir autorisé ou non à configurer l'authentification 802.1x.
Le procédé d'authentification 802.1x inclut les étapes suivantes :
■
Un client non authentifié ou un demandeur tiers envoie les informations
utilisateur et les informations de conformité à un commutateur réseau 802.1x
géré.
■
Le commutateur réseau retransmet les informations à LAN Enforcer. LAN
Enforcer envoie les informations utilisateur au serveur d'authentification pour
l'authentification. Le serveur RADIUS est le serveur d'authentification.
■
Si le client échoue à l'authentification au niveau utilisateur ou n'est pas
conforme à la politique d'intégrité de l'hôte, Enforcer peut bloquer l'accès au
réseau. Enforcer place l'ordinateur client non conforme dans un réseau de
quarantaine où l'ordinateur peut être corrigé.
■
Après que le client a corrigé l'ordinateur et l'a rendu conforme, le protocole
802.1x authentifie à nouveau l'ordinateur et lui accorde l'accès au réseau.
Pour travailler avec LAN Enforcer, le client peut utiliser un demandeur tiers ou
un demandeur intégré.
Tableau 6-2 décrit les types d'options que vous pouvez configurer pour
l'authentification 802.1x.
Tableau 6-2
Options d'authentification 802.1x
Option
Description
Demandeur tiers
Utilise un demandeur tiers 802.1x.
LAN Enforcer fonctionne avec un serveur RADIUS et des
demandeurs tiers 802.1x pour effectuer l'authentification
utilisateur. Le demandeur de 802.1x vous invite pour les
informations d'utilisateur. Le boîtier LAN Enforcer transmet
ces informations d'utilisateur au serveur Radius pour
l'authentification au niveau de l'utilisateur. Le client envoie
le profil client et l'état d'intégrité de l'hôte à Enforcer de sorte
qu'Enforcer authentifie l'ordinateur.
Remarque : Si vous voulez utiliser le client Symantec
Network Access Control avec un demandeur tiers, le module
Protection contre les menaces réseau du client Symantec
Endpoint Protection doit être installé.
151
152
Option
Description
Mode transparent
Utilise le client pour s'exécuter en tant que demandeur 802.1x.
Vous utilisez cette méthode si l'administrateur ne souhaite
pas utiliser un serveur RADIUS pour effectuer
l'authentification utilisateur. LAN Enforcer s'exécute dans
le mode transparent et agit en tant que serveur
pseudo-RADIUS.
Le mode transparent signifie que le demandeur ne vous
demande pas les données utilisateur. Dans le mode
transparent, le client agit en tant que demandeur 802.1x. Le
client répond à la sollicitation EAP du commutateur avec le
profil client et l'état d'intégrité de l'hôte. Le commutateur, à
son tour, fait suivre les informations à LAN Enforcer, qui agit
en tant que serveur pseudo-RADIUS. LAN Enforcer valide
l'intégrité de l'hôte et les données de profil de client du
commutateur et peut permettre, bloquer ou attribuer
dynamiquement un VLAN, comme approprié.
Remarque : Pour utiliser un client en tant que demandeur
802.1x, vous devez désinstaller ou désactiver les demandeurs
tiers 802.1x sur l'ordinateur client.
Demandeur intégré
Utilise le demandeur 802.1x intégré de l'ordinateur client.
Les protocoles d'authentification intégrés incluent Smart
Card, PEAP ou TLS. Après avoir activé l'authentification
802.1x, vous devez spécifier le protocole d'authentification
à l'utiliser.
Avertissement : Contactez votre administrateur avant de configurer votre client
pour l'authentification 802.1x. Vous devez savoir si votre réseau d'entreprise
utilise le serveur RADIUS comme serveur d'authentification. Si vous configurez
l'authentification 802.1x incorrectement, vous pouvez interrompre votre connexion
au réseau.
Configuration du client pour l'utilisation d'un demandeur tiers
1
2
En regard de Contrôle d'accès réseau, cliquez sur Options > Changer les
paramètres > Paramètres 802.1x.
3
Dans la boîte de dialogue Paramètres de Network Access Control, cliquez
sur Activer l'authentification 802.1x.
4
Cliquez sur OK.
Vous devez également installer une règle de filtrage qui autorise les pilotes
de demandeur tiers 802.1x sur le réseau.
Vous pouvez configurer le client pour utiliser le demandeur intégré. Vous
activez le client pour l'authentification 802.1x et en tant que demandeur
802.1x.
Configuration du client pour l'utilisation du mode transparent ou d'un demandeur
intégré
1
2
En regard de Contrôle d'accès réseau, cliquez sur Options > Changer les
paramètres > Paramètres 802.1x.
3
Dans la boîte de dialogue Paramètres de Network Access Control, cliquez
sur Activer l'authentification 802.1x.
4
Cliquez sur Utiliser le client en tant que demandeur 802.1x.
5
6
■
Pour sélectionner le mode transparent, cochez Utiliser le mode
transparent de Symantec.
■
Pour configurer un demandeur intégré, cliquez sur Permet de choisir le
protocole d'authentification.
Vous devez alors choisir le protocole d'authentification pour votre
connexion réseau.
Cliquez sur OK.
Sélection d'un protocole d'authentification
1
Sur l'ordinateur client, cliquez sur Démarrer > Paramètres > Connexions
réseau, puis cliquez sur Connexion au réseau local.
Remarque : Ces étapes sont enregistrées pour des ordinateurs qui exécutent
Windows XP. Votre procédure peut varier.
2
Dans la boîte de dialogue Etat de la connexion au réseau local, cliquez sur
Propriétés.
153
154
3
Dans la boîte de dialogue Propriétés de Connexion au réseau local, cliquez
sur l'onglet Authentification.
4
Sur l'onglet Authentification, cliquez sur la liste déroulante Type EAP et
sélectionnez l'un des protocoles d'authentification suivants :
■
Carte à puce ou autre certificat
■
PEAP (Protected EAP)
■
Mode transparent de Symantec NAC
Assurez-vous que la case Activer l'authentification IEEE 802.1X pour ce
réseau est cochée.
5
Cliquez sur OK.
6
Cliquez sur Fermer.
Authentifier à nouveau votre ordinateur
Si votre ordinateur a réussi la vérification de l'intégrité de l'hôte mais que Enforcer
le bloque, vous devrez peut-être authentifier à nouveau votre ordinateur. Dans
des circonstances normales, vous ne devriez jamais avoir à authentifier à nouveau
votre ordinateur.
Enforcer peut bloquer l'ordinateur lorsque l'un des événements suivants survient :
■
L'ordinateur client a manqué l'authentification utilisateur parce que vous avez
tapé incorrectement votre nom d'utilisateur ou votre mot de passe.
■
Votre ordinateur client se trouve dans le mauvais VLAN.
■
L'ordinateur client n'a pas obtenu de connexion réseau. Une connexion réseau
interrompue se produit habituellement parce que le commutateur entre
l'ordinateur client et LAN Enforcer n'a pas authentifié votre nom d'utilisateur
et mot de passe.
■
Vous êtes connecté à un ordinateur client qui a authentifié un utilisateur avant
vous.
■
L'ordinateur client a échoué au contrôle de conformité.
Vous pouvez authentifier à nouveau l'ordinateur seulement si vous ou votre
administrateur avez configuré l'ordinateur avec un demandeur intégré.
Remarque : Votre administrateur peut ne pas avoir configuré le client pour afficher
la commande Réauthentification.
Pour authentifier à nouveau votre ordinateur
1
Cliquez avec le bouton droit de la souris sur l'icône de zone de notification.
2
Cliquez sur Réauthentification....
3
Dans la boîte de dialogue Authentifier à nouveau, tapez vos nom d'utilisateur
et mot de passe.
4
Cliquez sur OK.
Affichage des journaux Symantec Network Access
Control
Le client Symantec Network Access Control utilise les journaux suivants pour
contrôler différents aspects de son fonctionnement et les résultats de la vérification
de l'intégrité de l'hôte :
Sécurité
Enregistre les résultats et l'état de vérifications de l'intégrité de l'hôte.
Système
Enregistre toutes les modifications opérationnelles pour le client, tel
que la connexion au serveur de gestion et les mises à jour de la
politique de sécurité client.
Si vous utilisez un client géré, les deux journaux peuvent être régulièrement
envoyés au serveur. Votre administrateur peut utiliser le contenu des journaux
pour analyser l'état global de la sécurité du réseau.
Vous pouvez exporter les données de ces journaux.
Pour afficher les journaux Symantec Network Access Control
1
2
Pour afficher le journal de sécurité, à côté de Network Access Control, cliquez
sur Options > Afficher les journaux.
3
Dans le journal de sécurité, sélectionnez la première entrée de journal.
Dans le coin inférieur gauche, les résultats de la vérification de l'intégrité de
l'hôte apparaissent. Si le client était déjà installé, la condition prédéfinie de
pare-feu est remplie. Si le client n'était pas installé, la condition prédéfinie
de pare-feu échoue mais est signalée comme réussie.
155
156
4
Pour afficher le journal système, dans la boîte de dialogue Journal de sécurité
- Journaux de Symantec Network Access Control, cliquez sur le Afficher >
Journal système.
5
Index
A
activer
Auto-Protect 46
Protection contre les menaces proactives 46
Protection contre les menaces réseau 46
activité réseau
affichage 132
alertes
icônes 15
réagir 21
analyse de clic droit 16
analyse de messagerie. Se reporter à Auto-Protect
analyses
à propos de 66
actions correctives 84
actions de notification 84
ajustement des paramètres 84
composants soumis à l'analyse 64
configuration des exceptions 84
définies par l'utilisateur 84
exclusion d'éléments 92
exécution 16
fonctionnement 64
gestion 58
interprétation des résultats 23
options de mise en sommeil 18
planifiées 76
réagir à une détection 24
report 17
sur demande et au démarrage 79
suspension 17
types de 66
analyses Active Scan
exécution 77
analyses au démarrage
création 79
analyses complètes
exécution 77
analyses personnalisées
exécution 77
analyses planifiées
création 76
multiples 76
analyses sur demande
création 79
exécution 16
application
à propos de 149
autorisation ou blocage 129
applications 127
autoriser ou bloquer 140
exclusion des analyses 92
applications trompeuses 73
authentification 802.1x
à propos de 151
configuration 152
Auto-Protect
activation ou désactivation 44, 46
clients de messagerie groupware 68
Détail des téléchargements 44
pour le système de fichiers 46
pour Lotus Notes 70
pour messagerie Internet 68
pour Microsoft Outlook 68
autorisation du trafic 129
réagir aux messages 29
autoriser le trafic
règles de filtrage 140
B
blocage d'un ordinateur attaquant 125
blocage du trafic 126, 129
bloquer le trafic
règles de filtrage 140
C
Centre de sécurité Windows
affichage de l'état antivirus 102
affichage de l'état du pare-feu 103
cheval de Troie 72
158
Index
clients
désactivation de la protection 43
géré contre non géré 40, 42
protection des ordinateurs 34
clients autonomes 40
clients gérés
à propos de 40
gestion de la protection 34
recherche 42
clients non gérés
à propos de 40
gestion de la protection 34
recherche 42
composeurs 72
contrôle d'accès réseau
à propos 13
à propos de 147
application 149
réparation de l'ordinateur 150
courrier électronique
exclusion du fichier de boîte de réception des
analyses 91
D
déblocage d'un ordinateur attaquant 125
définitions
à propos 65
mise à jour 36–37
à propos 65
dépannage
via la page d'état 13
désactiver
Auto-Protect 44, 46
Protection contre les menaces proactives 46
Protection contre les menaces réseau 45–46
protection proactive contre les menaces 44
Détail des téléchargements
données de réputation 75
gestion des détections 80
interaction avec Auto-Protect 44
personnalisation 83
réagir aux notifications 27
domaine Web
données de réputation 75
dossiers
E
exceptions
à propos de 91–92
création 92
exceptions d'analyse. Se reporter à exceptions
F
fichiers
action lors d'une détection 24
partage 122
fichiers infectés
action 23
files (fichiers)
soumission à Symantec Security Response 98
I
icône de bouclier 38
icône de la zone de notification système 38
icône de zone de notification
à propos 38
masquage et affichage 40
icônes
bouclier 38
cadenas 42
sur la page d'état 15
imprimante, partage 122
Insight 75
Insight Lookup
sites intranet approuvés 83
inspection avec état 136
IPS
à propos de 110
mise à jour des définitions 36
J
Journal d'analyse 50
mise en quarantaine d'un fichier 97
Journal de contrôle 51
journal de débogage 51
Journal de protection contre les interventions 51
Journal de sécurité 51
Journal de trafic 50
Journal des menaces 50
Journal des paquets 51
activation 52
Journal des risques 50
mise en quarantaine d'un fichier 97
Index
Journal système
Protection contre les virus et les spywares 50
Protection proactive contre les menaces 50
journal système
gestion des clients 51
journaux
à propos 49
activation du journal des paquets 52
affichage 51
contrôle d'accès réseau 155
exportation de données 54
exportation des entrées de journal filtrées 54
formats d'exportation 54–55
suivi des entrées 53
L
licences
LiveUpdate
commande 15
création de planification pour 37
exécution immédiate 37
présentation 36
logiciel de pistage 73
logiciel malveillant
configurer les actions pour la détection de 86
logiciel publicitaire 72
M
menaces
combinées 72
menaces combinées 72
message
prévention d'intrusion 145
messages
réagir 21, 29–31
mettre à jour
définitions 37
mise en quarantaine des virus 24
N
navigation Web en mode furtif
activation 115
nettoyage des virus 24, 74
notification
Détail des téléchargements 27
notifications
réagir 21
O
Option d'aide 13
options
pas disponible. 41
ordinateurs
analyse 58
mise à jour de la protection sur 36
protection des ordinateurs 34
ordinateurs 64 bits 17
outil d'évaluation de la sécurité 73
outils de piratage 73
P
Page Afficher la quarantaine 15
Page Changer les paramètres 15
Page d'état 14
dépannage 13
icônes d'alerte 15
Page Rechercher les menaces 14
paramètres
paramètres de trafic et de furtivité 115
pare-feu
activation ou désactivation 46
applications 127
définition 110
gestion 110
inspection avec état 136
paramètres 113
partage des fichiers et des imprimantes 122
prévention d'intrusion. Se reporter à IPS
gestion 142
mode de fonctionnement 143
notification pour 145
prévention d'intrusion du navigateur
à propos de 143
prévention d'intrusion réseau
à propos de 143
programmes blagues 73
programmes d'accès distant 73
programmes de contrôle parentaux 73
protection
comment faire 34
159
160
Index
protection au niveau pilote
activation 115
protection contre l'usurpation d'adresse MAC
activation 115
Protection contre les interventions
activation et désactivation 48
configuration 48
désactivation 45
Protection contre les menaces proactives
à propos de 12
Protection contre les menaces réseau
à propos de 12, 110
activation ou désactivation 45–46
gestion 110
journaux 50
Protection contre les virus et les logiciels espions
à propos de 12
Protection contre les virus et les spywares
Journal système 50
protection NetBIOS
activation 115
protection proactive contre les menaces
Q
Quarantaine
gérer des fichiers dans 94
soumission de fichiers à Symantec Security
Response 98
suppression de fichiers 98
quarantaine
affichage de fichiers infectés 96
déplacement de fichiers 96
mise en quarantaine d'un fichier
manuellement 97
R
réauthentification 154
règles de filtrage
activation et désactivation 142
ajout 140
configuration 139
exportation 141
importation 141
ordre de traitement
à propos de 134
règles de pare-feu 135
ordre de traitement
modification 135
règles du pare-feu
à propos de 137
réponse active
à propos 125
risque
suppression à partir d'un fichier infecté 26
comment le client les détecte 65
comment le client réagit 66
comment le client réagit à une détection 74
robot Web 72
rootkits 72
S
serveur
clients gérés 41
connexion 38
services Windows
affichage 132
Smart DHCP 121
Smart DNS 121
Smart WINS 121
SONAR
à propos de 12, 105
à propos des détections 105
gestion 103
journaux 50
modification des paramètres 106
soumissions 100
spyware 73
suppression des virus 24
Symantec Security Response
soumission de fichiers 98
T
trafic
affichage 132
autorisation ou blocage 129
blocage 126
trafic de diffusion
affichage 132
trafic Token Ring
activation 115
Index
transmission 99
U
update (mettre à jour)
définitions 36
V
ver 72
Vérification de l'intégrité de l'hôte
exécution 150
virus 72
comment le client les détecte 65
comment le client réagit 66
comment le client réagit à une détection 74
non reconnus 98
suppression à partir d'un fichier infecté 26
161

Guide client de Symantec™ Endpoint Protection et Symantec

Transcription

Documents pareils

Pour consulter le manuel d`utilisation d`une machine John Deere

FOOTJOY MyJoys - American Golf

Windows News N° 159 - 01/08/2007 - 318

SAFC - Service associé de Franche-Comté

procedure d ouverture d exercice sur sage

Tutoriel pour l`émulateur Windows du commodore 64 (CCS64)

Comment convertir un Divx en DVD - les drivers

Symantec Endpoint Protection Nouvelles fonctionnalités

Configurer un nouveau compte e-mail avec Outlook