guide client de symantec endpoint protection et symantec ...ouilep.free.fr/version...

Guide client de Symantec™Endpoint Protection etSymantec Network AccessControl

Guide client de Symantec Endpoint Protection etSymantec Network Access Control

Le logiciel décrit dans ce guide est fourni dans le cadre d'un contrat de licence et ne peutêtre utilisé qu'en conformité avec les termes de ce contrat.

Version de documentation 12.01.00.00

Mentions légalesCopyright © 2011 Symantec Corporation. Tous droits réservés.

Symantec, le logo Symantec, Bloodhound, Confidence Online, Digital Immune System,LiveUpdate, Norton, Sygate et TruScan sont des marques commerciales ou des marquesdéposées de Symantec Corporation ou de ses filiales aux Etats-Unis et dans d'autres pays.Les autres noms peuvent être des marques de leurs détenteurs respectifs.

Ce produit de Symantec peut contenir le logiciel tiers pour lequel Symantec est tenu defournir une attribution à tierce partie ("Programmes tiers"). Certains de ces logiciels sontmis à disposition sous licence de logiciel libre ou gratuit. Ce Contrat de licence n'altère aucundes droits ou obligations que vous pouvez avoir dans le cadre de telles licences de logiciellibre ou gratuit. Pour plus d'informations sur les logiciels tiers, reportez-vous à l'annexeconsacrée aux mentions légales sur les logiciels tiers ou au fichier LisezMoi TPIPaccompagnant ce produit Symantec.

Le produit décrit dans ce document est distribué selon les termes d'une licence limitant sonutilisation, sa copie, sa distribution et sa décompilation/ingénierie inverse. Ce document nepeut, en tout ou partie, être reproduit sous aucune forme et par aucun moyen sansl'autorisation préalable écrite de Symantec Corporation et de ses détenteurs de licenceéventuels.

LA DOCUMENTATION EST FOURNIE "EN L'ETAT" ET TOUTE GARANTIE OU CONDITIOND'AUCUNE SORTE, EXPRESSE OU IMPLICITE, Y COMPRIS, SANS QUE CELA SOITLIMITATIF, LES GARANTIES OU CONDITIONS IMPLICITES DE QUALITE MARCHANDE,D'ADEQUATION A UN USAGE PARTICULIER OU DE RESPECT DES DROITS DE PROPRIETEINTELLECTUELLE EST REFUTEE, EXCEPTE DANS LA MESURE OU DE TELLES EXCLUSIONSSERAIENT CONSIDEREES NON VALIDES LEGALEMENT. SYMANTEC CORPORATION NEPEUT ETRE TENUE POUR RESPONSABLE DES DOMMAGES DIRECTS OU INDIRECTSRELATIFS AU CONTENU OU A L'UTILISATION DE LA PRESENTE DOCUMENTATION. LESINFORMATIONS PRESENTES DANS CETTE DOCUMENTATION SONT SUJETTES AMODIFICATION SANS PREAVIS.

Le Logiciel sous licence est considéré comme logiciel informatique commercial conformémentaux définitions de la section FAR 12.212 et soumis à des droits restreints tels que définisdans la section FAR 52.227.19 "Commercial Computer Licensed Software - Restricted Rights"et DFARS 227.7202 "Rights in Commercial Computer Licensed Software or CommercialComputer Licensed Software Documentation" tels qu'applicable, et à tous règlements quiles remplaceraient. Toute utilisation, modification, reproduction, publication, exécution,présentation ou communication du Logiciel sous licence et de la documentation par le

gouvernement des Etats-Unis ne peut se faire que conformément aux conditions du présentContrat.

Symantec Corporation350 Ellis StreetMountain View, CA 94043

http://www.symantec.fr

http://www.symantec.fr

Support techniqueLe support technique de Symantec met à jour des centres de support globalement.Le rôle primaire du support technique est de réagir aux requêtes spécifiques ausujet des fonctions et de la fonctionnalité d'un produit. Le groupe de supporttechnique crée également le contenu pour notre base de données en ligne. Legroupe de support technique travaille en collaboration avec les autres domainesfonctionnels de Symantec pour répondre à vos questions en temps utile. Parexemple, le groupe de support technique travaille avec l'ingénierie de produit etSymantec Security Response pour fournir des services d'alerte et des mises à jourde définitions de virus.

Les offres de support de Symantec englobent :

■ Un intervalle des options de support qui vous donnent la flexibilité desélectionner la bonne quantité de service pour les sociétés de toutes tailles

■ Support téléphonique et/ou par le Web pour des répondes rapides et desinformations actuelles ;

■ garantie de mise à niveau par des mises à niveau logicielles ;

■ prise en charge achetée sur une base des heures ouvrables régionales ou 24heures sur 24 et 7 jours sur 7 ;

■ offres de la meilleure qualité de service qui incluent des services de gestiondes comptes.

Pour plus d'informations au sujet des solutions d'assistance de Symantec, vouspouvez visiter notre site Web sur l'URL suivante :

http://www.symantec.com/fr/fr/business/support/

Des services d'assistance vous seront fournis selon votre contrat de support et lapolitique de support technique d'entreprise en cours.

Contacter le support techniqueLes clients avec un contrat de support en cours peuvent accéder aux informationsde support technique sur l'URL suivante :


Avant de contacter le support technique, vérifiez que votre système répond à laconfiguration requise indiquée dans la documentation du produit. Veuillez enoutre vous tenir à proximité de l'ordinateur sur lequel le problème se pose, au casoù il serait nécessaire de répliquer le problème.

Lorsque vous contactez le support technique, veillez à avoir sous la main lesinformations suivantes :



■ Niveau de version du produit

■ Informations concernant le matériel

■ Mémoire disponible, espace disque et informations sur la carte réseau

■ Système d'exploitation

■ Niveau de correctif logiciel et de version

■ Topologie du réseau

■ Routeur, passerelle et informations sur l'adresse IP

■ Description du problème :

■ Messages d'erreur et fichiers journaux

■ Tentatives de dépannage effectuées avant de contacter Symantec

■ Modifications récentes apportées à la configuration logicielle et au réseau

Programme de licences et d'enregistrementSi votre produit Symantec requiert un enregistrement ou une clé de licence,accédez à notre page Web de support technique à l'URL suivante :


Service clientLes informations du service client sont disponibles sur l'URL suivante :


Le service client est fournit son aide pour les questions non techniques, telles queles types suivants de problèmes :

■ Questions concernant le programme de licences ou la numérotation de produit

■ Mises à jour d'enregistrement de produit, telles que l'adresse ou leschangements de nom

■ Les informations générales sur le produit (fonctions, disponibilité de langue,distributeurs locaux)

■ Les dernières informations sur les mises à jour et les mises à niveau du produit

■ Informations sur l'assurance et les contrats de support de mise à niveau

■ Informations sur les Programmes d'achats Symantec

■ Conseil sur les options du support technique Symantec

■ Questions non techniques d'avant-vente

■ Problèmes liés aux CD-ROM, DVD ou manuels



Ressources de contrat de supportSi vous voulez entrer en contact avec Symantec concernant un contrat de supportexistant, veuillez contactez l'équipe administrative de contrat de support pourvotre région comme suit :

[email protected] Pacifique et Japon

[email protected], Moyen-Orient et Afrique

[email protected]érique du Nord et Amérique latine

Services d'entreprise supplémentairesSymantec offre une gamme complète de services qui vous permettent d'optimiserl'investissement effectué dans les produits Symantec et de développer vosconnaissances, expertise et compréhension globale, pour une gestion proactivedes risques commerciaux.

Les services aux entreprises disponibles sont les suivants :

Les services gérés suppriment la charge que représente la gestion et le contrôledes périphériques et des événements de sécurité, assurant l'intervention rapideface aux menaces réelles.

Services gérés

Les services de conseil Symantec fournissent une expertise technique sur sitede Symantec et de ses partenaires approuvés. Ils offrent une série d'optionspréemballées et personnalisables comportant des fonctions d'évaluation, deconception, de mise en œuvre, de surveillance et de gestion. Chaque service apour objectif d'établir et de maintenir l'intégrité et la disponibilité de vosressources informatiques.

Services de conseil

Les services de formation fournissent un ensemble complet de formationtechnique, d'éducation de sécurité, de certification de sécurité et de programmesde communication de connaissance.

Services de formation

Pour accéder à plus d'informations sur les services destinés aux entreprises, visitezs'il vous plaît notre site Web sur l'URL suivante :

http://www.symantec.com/fr/fr/business/services/

Sélectionnez votre pays ou langue dans le sommaire du site.

mailto:[email protected]



http://www.symantec.com/fr/fr/business/services/

Support technique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Chapitre 1 Prise en main du client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

A propos du client Symantec Endpoint Protection .... . . . . . . . . . . . . . . . . . . . . . . . . . . 11A propos du client Symantec Network Access Control ... . . . . . . . . . . . . . . . . . . . . . . 13Démarrage sur la page d'état ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13A propos des icônes d'alerte de la page d'état ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Analyse immédiate de l'ordinateur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Suspension et report des analyses ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Pour plus d’informations .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Chapitre 2 Réaction aux alertes et aux notifications . . . . . . . . . . . . . . . . . . . . . . . 21

Types d'alertes et de notifications .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21A propos des résultats d'analyse ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Réagir à une détection de virus ou de risque .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

A propos de la suppression d'un virus ou d'un risque sur unfichier infecté ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Réagir aux messages de Détail des téléchargements qui vousdemandent d'autoriser ou de bloquer un fichier que vous essayezde télécharger ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Réagir aux messages vous invitant à autoriser ou à bloquer uneapplication .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

A propos des messages concernant les licences expirées ... . . . . . . . . . . . . . . . . . . . 30Réagir aux messages pour mettre à jour le logiciel client ... . . . . . . . . . . . . . . . . . . 31

Chapitre 3 Vérifier que votre ordinateur est protégé . . . . . . . . . . . . . . . . . . . . . . 33

Gestion de la protection de votre ordinateur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Mise à jour de la protection de l'ordinateur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Mise à jour immédiate de contenu .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Mise à jour de contenu sur planification .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Comment déterminer si le client est connecté et protégé .... . . . . . . . . . . . . . . . . . 38Masquage et affichage de l'icône de zone de notification .... . . . . . . . . . . . . 40

A propos des clients gérés et des clients non gérés ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Vérification du caractère géré ou non géré du client ... . . . . . . . . . . . . . . . . . . . . . . . . 42

Table des matières

A propos de l'activation et de la désactivation de la protection .... . . . . . . . . . . 43Activer ou désactiver la protection sur l'ordinateur client ... . . . . . . . . . . . . . . . . . 45Activation ou désactivation d'Auto-Protect ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Activation, désactivation et configuration de la protection contre les

interventions .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48A propos des journaux .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Affichage des journaux .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Activation du journal des paquets ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Suivi des événements consignés jusqu'à leur source ... . . . . . . . . . . . . . . . . . . . . . . . . 53Exportation des données de journal ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Chapitre 4 Gestion des analyses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Gérer des analyses sur votre ordinateur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Fonctionnement des analyses antivirus et antispyware .... . . . . . . . . . . . . . . . . . . . 64

A propos des types d'analyse ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Types d'Auto-Protect ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68A propos des virus et des risques de sécurité ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Comment les analyses réagissent à la détection d'un virus ou

d'un risque .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Utilisation par Symantec Endpoint Protection des données de

réputation pour prendre des décisions au sujet defichiers ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

Planification d'une analyse définie par l'utilisateur ... . . . . . . . . . . . . . . . . . . . . . . . . . 76Planification d'une analyse à exécuter sur demande ou quand

l'ordinateur démarre ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Gérer des détections de Détail des téléchargements sur votre

ordinateur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Personnaliser des paramètres de Détail des téléchargements ... . . . . . . . . . . . . 83Personnalisation des paramètres d'analyse antivirus et

antispyware .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84Configurer des actions pour la détection des logiciels malveillants et

des risques de sécurité ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Exclusion d'éléments des analyses ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Exclusion d'éléments des analyses ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Gestion des fichiers en quarantaine sur votre ordinateur client ... . . . . . . . . . 94

A propos de la mise en quarantaine de fichiers ... . . . . . . . . . . . . . . . . . . . . . . . . . 96Mise en quarantaine d'un fichier du journal des risques ou

d'analyse ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Soumettre manuellement à Symantec Security Response un

fichier suspect pour analyse ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Suppression automatique des fichiers en quarantaine .... . . . . . . . . . . . . . . . 98

Table des matières8

A propos de la transmission d'informations sur les détections àSymantec Security Response .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Envoi des informations concernant les détections à Symantec SecurityResponse .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

A propos du client et du Centre de sécurité Windows .... . . . . . . . . . . . . . . . . . . . . . 102Gestion de SONAR sur votre ordinateur client ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

A propos de SONAR .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104A propos des fichiers et des applications que SONAR

détecte ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105Modification des paramètres SONAR .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

Chapitre 5 Gérer le pare-feu et la prévention d'intrusion . . . . . . . . . . . . . 109

A propos de la protection contre les menaces réseau .... . . . . . . . . . . . . . . . . . . . . . 110Gestion de la protection par pare-feu .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

Fonctionnement d'un pare-feu .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Configuration des paramètres de pare-feu .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Activation des paramètres de trafic et des paramètres denavigation Web furtive ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

Autorisation automatique des communications pour les servicesréseau essentiels ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

Activation du partage des fichiers et des imprimantes duréseau .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

Bloquer et débloquer un ordinateur attaquant ... . . . . . . . . . . . . . . . . . . . . . . . . 125Blocage du trafic ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

Autoriser ou bloquer des applications .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Autorisation ou blocage de l'accès au réseau d'applications .... . . . . . . 128Configuration des paramètres spécifiques à une application .... . . . . . 129Suppression des restrictions d'une application .... . . . . . . . . . . . . . . . . . . . . . . . 131

Affichage de l'activité réseau .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132A propos des règles de pare-feu client ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133A propos de l'ordre de traitement des règles et des paramètres du

pare-feu et de la prévention d'intrusion .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Modification de l'ordre des règles de pare-feu .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135Utilisation de l'inspection avec état par le pare-feu .... . . . . . . . . . . . . . . . . . . . . . . . 136Les éléments d'une règle de filtrage .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137Configuration de règles de filtrage .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

Ajout d'une règle de filtrage .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140Exporter et importer des règles de filtrage .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141Activer et désactiver des règles de filtrage .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

Gérer la prévention d'intrusion .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142Fonctionnement de la prévention d'intrusion .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143Activation ou désactivation de la prévention d'intrusion .... . . . . . . . . . . . . . . . . 144

9Table des matières

Configuration des notifications de prévention d'intrusion .... . . . . . . . . . . . . . . 145

Chapitre 6 Gérer Symantec Network Access Control . . . . . . . . . . . . . . . . . . . . . 147

Fonctionnement de Symantec Network Access Control ... . . . . . . . . . . . . . . . . . . . 147Fonctionnement du client avec un module d'application

Enforcer ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149Exécution d'une vérification de l'intégrité de l'hôte ... . . . . . . . . . . . . . . . . . . . . . . . . 149Réparation de l'ordinateur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150Configuration du client pour l'authentification 802.1x .... . . . . . . . . . . . . . . . . . . 151

Authentifier à nouveau votre ordinateur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154Affichage des journaux Symantec Network Access Control ... . . . . . . . . . . . . . . 155

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

Table des matières10

Prise en main du client

Ce chapitre traite des sujets suivants :

■ A propos du client Symantec Endpoint Protection

■ A propos du client Symantec Network Access Control

■ Démarrage sur la page d'état

■ A propos des icônes d'alerte de la page d'état

■ Analyse immédiate de l'ordinateur

■ Pour plus d’informations

A propos du client Symantec Endpoint ProtectionLe client Symantec Endpoint Protection combine plusieurs couches de protectionpour sécuriser proactivement votre ordinateur contre les menaces connues ouinconnues et les attaques de réseau.

Tableau 1-1 décrit chaque couche de protection.

1Chapitre

Tableau 1-1 Types de protection

DescriptionCouche

Cette couche contre un large éventail de menaces, ycompris les logiciels espions, vers, chevaux de Troie,rootkits et logiciels publicitaires. Auto-Protect pour lesystème de fichiers inspecte en permanence tous lesfichiers informatiques pour y rechercher les virus et lesrisques de sécurité. Auto-Protect pour le courrierélectronique Internet analyse les messages électroniquesentrants et sortants qui utilisent le protocole decommunication POP3 ou SMTP via SSL (Secure SocketsLayer). Auto-Protect pour Microsoft Outlook analyse lesmessages électroniques Outlook entrants et sortants.

Se reporter à "Gérer des analyses sur votre ordinateur"à la page 58.

Protection contre les virus etles logiciels espions

La technologie de menace proactive inclut SONAR, quioffre la protection en temps réel contre les attaques lejour J. SONAR peut arrêter les attaques même avant queles définitions basées sur les signatures traditionnellesdétectent une menace. SONAR utilise des technologiesheuristiques ainsi que des données de réputation de fichierpour prendre des décisions concernant les applicationsou les fichiers.

Se reporter à "Gestion de SONAR sur votre ordinateurclient" à la page 103.

Protection contre les menacesproactives

Cette couche comporte la protection par pare-feu et deprévention d'intrusion. Le pare-feu basé sur les règlesempêche les utilisateurs non autorisés d'accéder à votreordinateur. Le système de prévention d'intrusion détecteet bloque automatiquement des attaques réseau.

Se reporter à "Gestion de la protection par pare-feu"à la page 110.

Protection contre les menacesréseau

Votre administrateur gère quels types de protection le serveur de gestion devraittélécharger sur votre ordinateur client. Le client télécharge automatiquement lesdéfinitions de virus, les définitions d'IPS et les mises à jour de produit sur votreordinateur. Les utilisateurs qui voyagent avec des ordinateurs portables peuventobtenir des définitions de virus et des mises à jour de produit directement depuisLiveUpdate.

Se reporter à "Mise à jour de la protection de l'ordinateur" à la page 36.

Prise en main du clientA propos du client Symantec Endpoint Protection

12

Apropos du client SymantecNetwork Access ControlLe client Symantec Network Access Control évalue si un ordinateur estcorrectement protégé et conforme avec la politique de sécurité avant de luipermettre de se connecter au réseau d'entreprise.

Le client s'assure que votre ordinateur est conforme à la politique de sécurité quevotre administrateur configure. La politique de sécurité vérifie si votre ordinateurexécute le logiciel de sécurité le plus récent, comme des applications de protectionantivirus et de pare-feu. Si votre ordinateur n'exécute pas le logiciel requis, vousdevez mettre à jour le logiciel manuellement ou votre client peut mettre à jour lelogiciel automatiquement. Si votre logiciel de sécurité est à jour, votre ordinateurpeut être empêché de se connecter au réseau. Le client exécute des contrôlespériodiques pour vérifier que votre ordinateur reste conforme à la politique desécurité.

Se reporter à "Fonctionnement de Symantec Network Access Control" à la page 147.

Démarrage sur la page d'étatQuand vous ouvrez le client, la fenêtre principale et la page d'état apparaissent.

Tableau 1-2 affiche les tâches principales que vous pouvez effectuer via la barrede menus et l'option Aide du client.

Tableau 1-2 Fenêtre principale du client

Pour effectuer ces tâchesCliquez surcette option

Accédez à l'aide en ligne principale et effectuez les tâches suivantes surle client :

■ Afficher des informations sur votre ordinateur, le client et la protectiondu client.

■ Afficher des informations sur l'état de la connexion du client avec leserveur de gestion. Vous pouvez également essayer de vous connecterau serveur, si nécessaire.

■ Importer et exporter les politiques de sécurité et paramètres decommunication sur un client non géré.

■ Afficher et exporter des journaux de débogage et un fichier dedépannage pour aider votre administrateur à diagnostiquer unproblème avec le client ou la protection du client.

■ Télécharger un utilitaire de support pour diagnostiquer les problèmesde client courants.

Aide

13Prise en main du clientA propos du client Symantec Network Access Control


Voir si l'ordinateur est protégé et si sa licence est à jour. Les couleurs etles icônes d'alerte de la page d'état indiquent quelles technologies sontactivées et protègent le client.

Se reporter à "A propos des icônes d'alerte de la page d'état" à la page 15.

Vous pouvez :

■ Activer ou désactiver une ou plusieurs technologies de protection.

Se reporter à "A propos de l'activation et de la désactivation de laprotection" à la page 43.

■ Voir si vous disposez des derniers fichiers de définitions pour laprotection contre les virus et les spywares, la protection proactivecontre les menaces et la protection contre les menaces réseau.

■ Exécuter une analyse Active Scan.

Se reporter à "Analyse immédiate de l'ordinateur" à la page 16.

■ Afficher la liste des menaces et les résultats de la dernière analysecontre les virus et les spywares.

Etat

Ouvrez et effectuez les tâches suivantes :

■ Exécuter immédiatement une analyse Active Scan ou complète.


■ Créer une analyse planifiée, de démarrage ou sur demande.

Se reporter à "Planification d'une analyse définie par l'utilisateur"à la page 76.

Se reporter à "Planification d'une analyse à exécuter sur demande ouquand l'ordinateur démarre" à la page 79.

Rechercherles menaces

Prise en main du clientDémarrage sur la page d'état

14


Permet de configurer des paramètres pour les technologies et fonctionsde protection suivantes :

■ Activer et configurer les paramètres Auto-Protect.

Se reporter à "Personnalisation des paramètres d'analyse antivirus etantispyware" à la page 84.

■ Configurer les paramètres de filtrage et les paramètres du système deprévention d'intrusion.

Se reporter à "Gestion de la protection par pare-feu" à la page 110.

■ Afficher et ajouter des exceptions aux analyses.

Se reporter à "Exclusion d'éléments des analyses" à la page 92.

■ Afficher l'icône de la zone de notification.

Se reporter à "Comment déterminer si le client est connecté et protégé"à la page 38.

■ Configurer les paramètres de protection contre les falsifications.

Se reporter à "Activation, désactivation et configuration de la protectioncontre les interventions" à la page 48.

■ Créer une planification pour télécharger des mises à jour de contenuet de produit vers le client.

Se reporter à "Mise à jour de contenu sur planification" à la page 37.

Se reporter à "Gestion de la protection de votre ordinateur" à la page 34.

Changer lesparamètres

Afficher les virus et les risques de sécurité que le client a détectés et misen quarantaine. Vous pouvez restaurer, supprimer, nettoyer, exporter etajouter des fichiers dans la quarantaine.

Se reporter à "A propos de la mise en quarantaine de fichiers" à la page 96.

Afficher laquarantaine

Affichez n'importe quel journal du client.

Se reporter à "Affichage des journaux" à la page 51.

Afficher lesjournaux

Exécuter LiveUpdate immédiatement. LiveUpdate télécharge les dernièresdéfinitions de contenu et mises à jour de produit à partir d'un serveur degestion situé sur le réseau de votre entreprise.

Se reporter à "Mise à jour immédiate de contenu" à la page 37.

LiveUpdate

A propos des icônes d'alerte de la page d'étatLe haut de la page d'état affiche diverses icônes d'alerte pour indiquer l'état deprotection de l'ordinateur.

15Prise en main du clientA propos des icônes d'alerte de la page d'état

Tableau 1-3 Icônes d'alerte de la page d'état

DescriptionIcône

Indique que chaque protection est activée.

Vous avertit que les définitions de virus de l'ordinateur client sont obsolètes.Pour recevoir les dernières définitions de virus, vous pouvez exécuter LiveUpdateimmédiatement.

L'ordinateur client peut également rencontrer les problèmes suivants :

■ L'ordinateur client a échoué à la vérification de conformité de la sécuritéd'intégrité de l'hôte. Pour savoir ce qu'il faut faire afin de réussir lavérification, vérifiez le journal de sécurité de la gestion des clients.

■ L'intégrité de l'hôte n'est pas connectée.


Indique qu'une ou plusieurs protections sont désactivées ou que le clientcomporte une licence expirée. Pour activer une protection, vous cliquez surRéparer ou Réparer tout.

Se reporter à "A propos de l'activation et de la désactivation de la protection"à la page 43.

Analyse immédiate de l'ordinateurVous pouvez manuellement analyser l'ordinateur pour détecter des virus et desrisques de sécurité à tout moment. Vous devez analyser votre ordinateurimmédiatement si vous avez récemment installé le client ou si vous pensez avoirrécemment reçu un virus.

Sélectionnez l'élément à analyser : fichier, disquette ou ensemble de l'ordinateur.Les analyses à la demande incluent l'analyse Active Scan et l'analyse complète.Vous pouvez également créer une analyse personnalisée pour exécution à lademande.

Se reporter à "Planification d'une analyse à exécuter sur demande ou quandl'ordinateur démarre" à la page 79.


Pour plus d'informations sur les options de chaque boîte de dialogue, cliquez surAide.

Pour analyser l'ordinateur immédiatement

◆ Effectuez l'une des opérations suivantes :

Prise en main du clientAnalyse immédiate de l'ordinateur

16

Sur la page Etat du client, en regard de Protection contre les virus et lesspywares, cliquez sur Options > Exécuter Active Scan.

■

■ Dans le client, dans la barre latérale, cliquez sur Rechercherlesmenaces.Effectuez l'une des opérations suivantes :

■ Cliquez sur Exécuter Active Scan.

■ Cliquez sur Exécuter une analyse complète.

■ Dans la liste d'analyses, cliquez avec le bouton droit de la souris surn'importe quelle analyse, puis cliquez sur Analyser maintenant.L'analyse commence.Vous pouvez afficher la progression de l'analyse à moins que votreadministrateur ne désactive l'option. Pour afficher la progression del'analyse, cliquez sur le lien qui apparaît pour l'analyse actuelle :analyse en cours.Se reporter à "A propos des résultats d'analyse" à la page 23.

Vous pouvez également interrompre ou annuler l'analyse.

Se reporter à "Suspension et report des analyses" à la page 17.

Pour analyser l'ordinateur à partir de Windows

◆ Dans la fenêtre Poste de travail ou l'Explorateur Windows, cliquez avec lebouton droit de la souris sur un fichier, un dossier ou un lecteur. Cliquezensuite sur Rechercher les virus.

Cette fonction est prise en charge sur les systèmes d'exploitation 32 et 64bits.

Remarque : Insight Lookup n'analyse pas un dossier ou un lecteur lorsquevous effectuez ce type d'analyse. Insight Lookup s'exécute si vous sélectionnezun fichier ou un groupe de fichiers à analyser.

Suspension et report des analysesLa fonction de suspension permet d'interrompre une analyse à un stade quelconqueet de la reprendre à un autre moment. Vous pouvez suspendre toute analyse quevous avez lancée.

Votre administrateur détermine si vous pouvez suspendre une analyse lancée parl'administrateur. Si l'option Suspendre l'analyse n'est pas disponible, votreadministrateur a désactivé la fonction de pause. Si votre administrateur a activéla fonction Différer, vous pouvez différer ses analyses planifiées d'un délaidéterminé.

17Prise en main du clientAnalyse immédiate de l'ordinateur

Quand une analyse reprend, elle démarre à l'endroit où elle s'est arrêtée.

Remarque : Si vous tentez de suspendre une analyse pendant que le client analyseun fichier compressé, le client peut mettre plusieurs minutes à réagir à la demandede suspension de l'analyse.

Se reporter à "Gérer des analyses sur votre ordinateur" à la page 58.

Pour suspendre une analyse que vous avez lancée

1 Quand l'analyse s'exécute, dans la boîte de dialogue d'analyse, cliquez surSuspendre l'analyse.

L'analyse s'interrompt et la boîte de dialogue reste ouverte jusqu'à ce quevous relanciez l'analyse.

2 Dans la boîte de dialogue d'analyse, cliquez sur Reprendre l'analyse pourcontinuer l'analyse.

Pour suspendre ou retarder une analyse lancée par l'administrateur

1 Pendant que l'analyse lancée par l'administrateur s'exécute, cliquez surSuspendre l'analyse dans la boîte de dialogue d'analyse.

2 Dans la boîte de dialogue Suspensiond'analyseplanifiée, effectuez l'une desopérations suivantes :

■ Pour suspendre l'analyse temporairement, cliquez sur Suspendre.

■ Pour retarder l'analyse, cliquez sur Différer1heure ou Différer3heures.Votre administrateur spécifie le délai selon lequel vous pouvez différerl'analyse. Quand la pause se termine, l'analyse redémarre à l'endroit oùelle a commencé. L'administrateur spécifie le nombre maximal de fois oùvous pouvez différer l'analyse planifiée.

■ Pour continuer l'analyse sans faire de pause, cliquez sur Continuer.

Pour plus d’informationsLe produit inclut plusieurs sources d'informations.

Tableau 1-4 affiche les sites Web où vous pouvez obtenir des informationssupplémentaires pour vous aider à utiliser le produit.

Tableau 1-4 Sites Web de Symantec

Adresse WebTypes d'informations

http://www.symantec.com/fr/fr/business/products/downloads/index.jsplogiciel Symantec Endpoint Protection

Prise en main du clientPour plus d’informations

18

http://www.symantec.com/fr/fr/business/products/downloads/index.jsp

Adresse WebTypes d'informations

Symantec Endpoint Protection :http://www.symantec.com/business/support/overview.jsp?pid=54619

Symantec Network Access Control :http://www.symantec.com/business/support/overview.jsp?pid=52788

Base de données publique

Versions et mises à jour

Mise à jour des manuels et de ladocumentation

Options de contact

http://www.symantec.com/fr/fr/security_response/Informations sur les virus et autresmenaces et mises à jour

http://www.symantec.com/fr/fr/business/Informations sur les produits et lesmises à jour

http://go.symantec.com/education_septcFormation technique en ligne gratuite

http://go.symantec.com/education_sepServices éducatifs Symantec

Symantec Endpoint Protection:

http://www.symantec.com/connect/security/forums/endpoint-protection-antivirus

Symantec Network Access Control:

http://www.symantec.com/connect/security/forums/network-access-control

Forums de connexion à Symantec :

19Prise en main du clientPour plus d’informations

http://www.symantec.com/business/support/overview.jsp?pid=54619

http://www.symantec.com/business/support/overview.jsp?pid=52788

http://www.symantec.com/fr/fr/security_response/

http://www.symantec.com/fr/fr/business/

http://go.symantec.com/education_septc

http://go.symantec.com/education_sep





Prise en main du clientPour plus d’informations

20

Réaction aux alertes et auxnotifications


■ Types d'alertes et de notifications

■ A propos des résultats d'analyse

■ Réagir à une détection de virus ou de risque

■ Réagir aux messages de Détail des téléchargements qui vous demandentd'autoriser ou de bloquer un fichier que vous essayez de télécharger

■ Réagir aux messages vous invitant à autoriser ou à bloquer une application

■ A propos des messages concernant les licences expirées

■ Réagir aux messages pour mettre à jour le logiciel client

Types d'alertes et de notificationsLe client travaille à l'arrière-plan pour maintenir votre ordinateur protégé contreles activités malveillantes. Parfois le client doit vous informer au sujet d'uneactivité ou vous demander un commentaire.

Tableau 2-1 affiche les types de messages pouvant s'afficher et nécessiter uneréponse de votre part.

2Chapitre

Tableau 2-1 Types d'alertes et de notifications

DescriptionAlerte

Si une analyse détecte un virus ou un risque de sécurité, l'analyserésulte ou la boîte de dialogue de Résultats de la détectionSymantec Endpoint Protection apparaît avec des détails àpropos de l'infection. La boîte de dialogue affiche égalementl'action que l'analyse a effectuée sur le risque. En général, ilvous suffit d'examiner l'action et de fermer la boîte de dialogue.Vous pouvez agir au besoin, cependant.

Se reporter à "A propos des résultats d'analyse"à la page 23.<nomd'analyse>démarréenfonction ou Résultatsde la détection Symantec Endpoint Protection

<nom d'analyse>démarré en fonction ouboîte de dialogue deRésultatsdeladétectionSymantec EndpointProtection

Des messages contextuels peuvent apparaître pour les raisonssuivantes :

■ Le client met automatiquement à jour le logiciel client.

Se reporter à "Réagir aux messages pour mettre à jour lelogiciel client" à la page 31.

■ Le client vous demande d'autoriser ou de bloquer uneapplication.

Se reporter à "Réagir aux messages vous invitant à autoriserou à bloquer une application" à la page 29.

■ La licence d'évaluation du client a expiré.

Se reporter à "A propos des messages concernant les licencesexpirées" à la page 30.

Autres boîtes de dialoguede message

Réaction aux alertes et aux notificationsTypes d'alertes et de notifications

22

DescriptionAlerte

Les notifications qui apparaissent au-dessus de l'icône de zonede notification sont générées dans les situations suivantes :

■ Le client bloque une application.

Par exemple, la notification suivante peut apparaître :

Le trafic a été bloqué à partirde cette application :(nom de l'application)

Si le client est configuré pour bloquer tout le trafic, cesnotifications apparaissent fréquemment. Si votre client estconfiguré pour autoriser tout le trafic, ces notificationsn'apparaissent pas.

■ Le client détecte une attaque réseau contre votre ordinateur.

Le type de notification suivant peut apparaître :

Le trafic de l'adresse IP 192.168.0.3 est bloquéde 2/14/2010 15:37:58 à 2/14/2010 15:47:58.L'attaque d'analyse de port est consignée.

■ La vérification de conformité de la sécurité a échoué. Le traficpeut être bloqué d'aller à et de votre ordinateur

Vous n'avez rien d'autre à faire que lire les messages.

Se reporter à "Comment déterminer si le client est connecté etprotégé" à la page 38.

Messages d'icône de zonede notification

A propos des résultats d'analysePour les clients gérés, votre administrateur configure généralement une analysecomplète au moins une fois par semaine. Pour les clients non gérés, une analyseActive Scan générée automatiquement s'exécute au démarrage de l'ordinateur.Par défaut, Auto-Protect s'exécute en continu sur votre ordinateur.

Quand les analyses s'exécutent, une boîte de dialogue d'analyse apparaît pourindiquer la progression et afficher les résultats de l'analyse. Lorsque l'analyse estterminée, les résultats apparaissent dans la liste. Si le client ne détecte aucunvirus ou risque de sécurité, la liste demeure vide et l'état est Terminé.

Si le client détecte des risques pendant l'analyse, la boîte de dialogue des résultatsd'analyse affiche des résultats avec les informations suivantes :

■ Le nom des virus ou des risques de sécurité

■ Le nom des fichiers infectés

23Réaction aux alertes et aux notificationsA propos des résultats d'analyse

■ Les actions que le client a exécutées sur les risques

Si le client détecte un virus ou risque de sécurité, il peut être nécessaire d'agir surun fichier infecté.

Remarque : Pour les clients gérés, votre administrateur peut choisir de masquerla boîte de dialogue de résultats d'analyse. Si le client est non géré, vous pouvezafficher ou masquer cette boîte de dialogue.

Si vous ou votre administrateur configurez le logiciel client pour afficher uneboîte de dialogue de résultats d'analyse, vous pouvez interrompre, redémarrer ouarrêter l'analyse.

Se reporter à "A propos des clients gérés et des clients non gérés" à la page 40.

Se reporter à "Réagir à une détection de virus ou de risque" à la page 24.


Réagir à une détection de virus ou de risqueQuand une analyse définie par l'utilisateur ou une analyse Auto-Protect s'exécute,une boîte de dialogue de résultats d'analyse peut apparaître. Vous pouvez utiliserla boîte de dialogue de résultats d'analyse pour agir immédiatement sur le fichierinfecté.

Par exemple, vous pouvez décider de supprimer un fichier nettoyé car vous préférezle remplacer par un fichier original.

Vous pouvez également utiliser le journal de quarantaine, de risque ou d'analysepour agir sur le fichier plus tard.

Se reporter à "Gestion des fichiers en quarantaine sur votre ordinateur client"à la page 94.

Réaction aux alertes et aux notificationsRéagir à une détection de virus ou de risque

24

Pour réagir face à la détection d'un virus ou d'un risque dans la boîte de dialoguede résultats d'analyse

1 Dans la boîte de dialogue de résultats d'analyse, sélectionnez les fichiers surlesquels vous voulez agir.

2 Cliquez avec le bouton droit de la souris sur le fichier, puis sélectionnez l'unedes options suivantes :

Supprime le virus du fichier. Cette option estdisponible uniquement pour les virus.

Nettoyer

Empêche le fichier d'être de nouveau analysé.Exclure

Supprime le fichier infecté et tous ses effetssecondaires. Pour les risques de sécurité,utilisez cette action avec prudence. Danscertains cas, la suppression de risques desécurité peut empêcher une application defonctionner correctement.

Supprimer définitivement

Annule l'opération effectuée.Annuler l'opération effectuée

Place les fichiers infectés en quarantaine. Pourles risques de sécurité, le client essayeégalement de supprimer ou de réparer leseffets secondaires. Dans certains cas, si leclient met en quarantaine un risque desécurité, une application peut cesser defonctionner.

Mettre en quarantaine

Affiche des informations sur le virus ou lerisque de sécurité.

Propriétés

Dans certains cas, l'action peut ne pas être disponible.

3 Dans la boîte de dialogue, cliquez sur Fermer.

Il se peut que vous ne puissiez pas fermer la boîte de dialogue si les risquesqui sont listés exigent une action de votre part. Par exemple, le client peutdevoir terminer un processus ou une application ou devoir arrêter un service.Dans ce cas, une boîte de dialogue Supprimerlesrisquesmaintenant apparaît.

4 Si la boîte de dialogue Supprimer les risques maintenant apparaît, cliquezsur l'une des options suivantes :

■ OuiLe client supprime le risque. La suppression du risque peut nécessiter unredémarrage. Les informations de la boîte de dialogue indiquent si unredémarrage est requis.

25Réaction aux alertes et aux notificationsRéagir à une détection de virus ou de risque

■ NonLa boîte de dialogue des résultats vous rappelle que votre intervention esttoujours nécessaire. Cependant, la boîte de dialogue Supprimerlesrisquesmaintenant n'apparaît plus jusqu'à ce que vous redémarriez l'ordinateur.

5 Si la boîte de dialogue de résultats ne s'est pas fermée à l'étape 3, cliquez surFermer.

Se reporter à "Comment les analyses réagissent à la détection d'un virus ou d'unrisque" à la page 73.



A propos de la suppression d'un virus ou d'un risque sur un fichierinfecté

Si le client doit fermer un processus ou une application, ou arrêter un service,l'option Supprimerlesrisquesmaintenant est active. Vous ne pouvez pas fermerla boîte de dialogue si des risques signalés dans cette boîte de dialogue nécessitentune action de votre part.

Tableau 2-2 décrit les options de la boîte de dialogue des résultats.

Tableau 2-2 Options de la boîte de dialogue de résultats

DescriptionOption

Ferme la boîte de dialogue des résultats si aucun des risques nenécessite d'intervention.

Si vous devez exécuter une action, l'une des notifications suivantess'affiche :

■ Suppression de risque requiseApparaît quand un risque nécessite l'arrêt de processus. Sivous choisissez de supprimer le risque, vous revenez à la boîtede dialogue des résultats. Si un redémarrage est égalementnécessaire, les informations figurant sur la ligne du risquedans la boîte de dialogue indiquent qu'un redémarrage estrequis.

■ Redémarrage requisApparaît quand un risque nécessite un redémarrage.

■ Suppression du risque et redémarrage requisApparaît lorsqu'un risque implique d'arrêter les processus etun autre risque nécessite un redémarrage.

Fermer

Réaction aux alertes et aux notificationsRéagir à une détection de virus ou de risque

26

DescriptionOption

Affiche la boîte de dialogue Eliminer le risque.

Dans la boîte de dialogue Eliminer le risque, vous pouvezsélectionner l'une des options suivantes pour chaque risque :

■ OuiLe client supprime le risque. La suppression du risque peutimpliquer de redémarrer l'ordinateur. Les informations de laboîte de dialogue indiquent si un redémarrage est requis.

■ NonQuand vous fermez la boîte de dialogue des résultats, la boîtede dialogue Eliminer le risque s'affiche. La boîte de dialoguevous rappelle que votre intervention est toujours nécessaire.Cependant, la boîte de dialogue Eliminer le risque n'apparaîtplus jusqu'à ce que vous redémarriez l'ordinateur.

Supprimerlesrisquesmaintenant

Si un redémarrage est requis, la suppression ou la réparation n'est pas terminéejusqu'à ce que vous redémarriez l'ordinateur.

Dans certains cas, une intervention sur un risque peut être nécessaire, mais vouspréférez ne pas l'effectuer immédiatement.

Le risque peut être supprimé ou réparé ultérieurement en procédant de l'une desmanières suivantes :

■ Vous pouvez ouvrir le journal des risques, cliquer avec le bouton droit de lasouris sur le risque et choisir une action.

■ Vous pouvez exécuter une analyse pour détecter de nouveau le risque et rouvrirla boîte de dialogue des résultats.

Vous pouvez également déclencher une action en cliquant avec le bouton droitde la souris sur un risque dans la boîte de dialogue et en sélectionnant une action.Les actions que vous pouvez effectuer dépendent des actions qui ont étéconfigurées pour le type particulier de risque que l'analyse a détecté.

Se reporter à "Réagir à une détection de virus ou de risque" à la page 24.

Réagir aux messages de Détail des téléchargementsqui vous demandent d'autoriser ou de bloquer unfichier que vous essayez de télécharger

Lorsque les notifications de Détail des téléchargements sont activées, vous recevezdes messages concernant les fichiers malveillants et non fondés que Détail destéléchargements détecte quand vous essayez de les télécharger.

27Réaction aux alertes et aux notificationsRéagir auxmessages de Détail des téléchargements qui vous demandent d'autoriser ou de bloquer un fichier que vous

essayez de télécharger

Remarque :Que les notifications soient activées ou non, vous recevez des messagesde détection quand l'action pour les fichiers non fondés est Invite.

Vous ou votre administrateur pouvez modifier la sensibilité de Détail destéléchargements par rapport aux fichiers malveillants. Modifier le niveau desensibilité peut avoir une incidence sur le nombre de notifications que vousrecevez.

Détail des téléchargements utilise Insight, la technologie de Symantec qui évalueet détermine une estimation de fichier qui est basée sur sa communauté globalede millions d'utilisateurs.

La notification de Détail des téléchargements affiche les informations suivantesconcernant le fichier détecté :

■ Réputation du fichierLa réputation du fichier indique sa fiabilité. Les fichiers malveillants ne sontpas dignes de confiance. Les fichiers non prouvés peuvent être dignes deconfiance ou non.

■ Fréquence du fichier au sein de la communautéLa prévalence d'un fichier est importante. Les fichiers qui ne sont pas fréquentspeuvent présenter plus de risques d'être des menaces.

■ Date de création du fichierPlus un fichier est récent, moins Symantec a d'informations le concernant.

Les informations peuvent vous aider à décider d'autoriser ou de bloquer le fichier.


Se reporter à "Utilisation par Symantec Endpoint Protection des données deréputation pour prendre des décisions au sujet de fichiers" à la page 74.

Pour réagir une détection de Détail des téléchargements qui vous demanded'autoriser ou de bloquer un fichier

1 Dans le message de détection de Détail des téléchargements, effectuez l'unedes opérations suivantes actions :

■ Cliquez sur Supprimer ce fichier de mon ordinateur.Détail des téléchargements place le fichier en quarantaine. Cette optionapparaît seulement pour les fichiers non fondés.

■ Cliquez sur Autoriser ce fichier.Vous pourriez voir une boîte de dialogue d'autorisation qui demande sivous êtes sûr de vouloir autoriser le fichier.Si vous choisissez d'autoriser un fichier non fondé qui n'a pas été mis enquarantaine, le fichier s'exécute automatiquement. Si vous choisissez

Réaction aux alertes et aux notificationsRéagir auxmessages de Détail des téléchargements qui vous demandent d'autoriser ou de bloquer un fichier que vousessayez de télécharger

28

d'autoriser un fichier mis en quarantaine, le fichier ne s'exécute pasautomatiquement. Vous pouvez exécuter le fichier depuis votre dossierInternet temporaire.Typiquement l'emplacement du dossier est \\Documents andSettings\username\Local Settings\Temporary Internet Files.

2 Sur les clients non gérés, si vous autorisez un fichier, Symantec EndpointProtection crée automatiquement une exception pour le fichier sur cetordinateur. Sur les clients gérés, si votre administrateur vous permet de créerdes exceptions, Symantec Endpoint Protection crée automatiquement uneexception pour le fichier sur cet ordinateur.

Réagir aux messages vous invitant à autoriser ou àbloquer une application

Quand une application de votre ordinateur essaye d'accéder au réseau, le clientpeut vous inviter à autoriser ou à bloquer l'application. Vous pouvez choisir debloquer une application que vous pensez peu sûre pour l'empêcher d'accéder auréseau.

Ce type de notification apparaît pour une des raisons suivantes :

■ L'application demande à accéder à votre connexion réseau.

■ Une application qui a accédé à votre connexion réseau a été mise à niveau.

■ Votre administrateur a mis à jour le logiciel client.

■ Le client a commuté les utilisateurs via la fonction de changement rapided'utilisateur.

Le type de message suivant peut apparaître, vous indiquant quand une applicationessaye d'accéder à votre ordinateur :

IEXPLORE.EXE tente d'accéder au réseau.

Voulez-vous autoriser ce programme a accéder au réseau ?

Pour réagir aux messages vous invitant à autoriser ou à bloquer une application

1 Vous pouvez au choix supprimer le message la prochaine fois que l'applicationessaye d'accéder au réseau (dans la boîte de dialogue, cliquez sur Mémoriserma réponse et ne plus me demander à l'avenir pour cette application ) ; ou

2 Pour en savoir plus sur la connexion et l'application, cliquez sur Détail>>.

3 Effectuez l'une des opérations suivantes :

■ Pour autoriser l'application à accéder au réseau, cliquez sur Oui.

29Réaction aux alertes et aux notificationsRéagir aux messages vous invitant à autoriser ou à bloquer une application

■ Pour bloquer l'accès de l'application au réseau, cliquez sur Non.

Vous pouvez également modifier l'action de l'application dans le champApplications en cours d'exécution ou dans la liste Applications.

Se reporter à "Configuration des paramètres spécifiques à une application"à la page 129.

A propos des messages concernant les licencesexpirées

Le client utilise une licence afin de mettre à jour les définitions de virus pour lesanalyses et de mettre à jour le logiciel client. Le client peut utiliser une licenced'évaluation ou une licence payante. Si l'une ou l'autre des licences a expiré, leclient ne met à jour aucun contenu ou le logiciel client.

Tableau 2-3 Types de licences

DescriptionType de licence

Si une licence d'évaluation a expiré, le haut du volet d'état du clientest rouge et affiche le message suivant :

La licence d'évaluation a expiré.

Tous les téléchargements de contenus prendront fin le date.Contactez votre administrateur pour acheterune licence Symantec Endpoint Protection.

Vous pouvez également afficher la date d'expiration en cliquant surAide > A propos de.

Licenced'évaluation

Si une licence payante a expiré, le haut du volet d'état du client estjaune et affiche le message suivant :

Protection contre les virus etles spywares - définitions sont obsolètes.

Licence payante

Pour tout type de licence, vous devez contacter votre administrateur afin de mettreà jour ou renouveler la licence.

Se reporter à "Types d'alertes et de notifications" à la page 21.


Réaction aux alertes et aux notificationsA propos des messages concernant les licences expirées

30

Réagir aux messages pour mettre à jour le logicielclient

Si le logiciel client est automatiquement mis à jour, vous pouvez obtenir lanotification suivante :

Symantec Endpoint Protection a détecté qu'une

version plus récente du logiciel est disponible.

Voulez-vous la télécharger et l'installer maintenant ?

Pour réagir à une notification automatique de mise à jour


■ Pour télécharger le logiciel immédiatement, cliquez sur Téléchargermaintenant.

■ Pour être rappelé après le délai spécifié, cliquez sur Me le rappeler plustard.

2 Si un message s'affiche après le début de l'installation du logiciel mis à jour,cliquez sur OK.

31Réaction aux alertes et aux notificationsRéagir aux messages pour mettre à jour le logiciel client

Réaction aux alertes et aux notificationsRéagir aux messages pour mettre à jour le logiciel client

32

Vérifier que votreordinateur est protégé


■ Gestion de la protection de votre ordinateur

■ Mise à jour de la protection de l'ordinateur

■ Comment déterminer si le client est connecté et protégé

■ A propos des clients gérés et des clients non gérés

■ Vérification du caractère géré ou non géré du client

■ A propos de l'activation et de la désactivation de la protection

■ Activer ou désactiver la protection sur l'ordinateur client

■ Activation ou désactivation d'Auto-Protect

■ Activation, désactivation et configuration de la protection contre lesinterventions

■ A propos des journaux

■ Affichage des journaux

■ Suivi des événements consignés jusqu'à leur source

■ Exportation des données de journal

3Chapitre

Gestion de la protection de votre ordinateurPar défaut, votre ordinateur client est protégé et vous n'avez normalement pasbesoin de configurer le client. Cependant, vous pouvez vouloir contrôler votreprotection pour les raisons suivantes :

■ Votre ordinateur exécute un client non géré.Une fois qu'un client non géré est installé, vous seul avez le contrôle de laprotection de votre ordinateur. Un client non géré est protégé par défaut. Maisvous pouvez avoir besoin de modifier les paramètres de protection del'ordinateur.Se reporter à "A propos des clients gérés et des clients non gérés" à la page 40.

■ Vous voulez activer ou désactiver une ou plusieurs technologies de protection.

■ Vous voulez vérifier que vous disposez des dernières définitions de virus.

■ Vous avez entendu parler d'un virus récent et voulez exécuter une analyse.

Tableau 3-1 affiche le processus pour s'assurer que votre ordinateur est protégé.

Tableau 3-1 Processus de gestion de la protection de votre ordinateur

DescriptionEtape

Répondez aux messages qui apparaissent, vous demandant defournir des données. Par exemple, une analyse pourrait détecterun virus ou un risque de sécurité et afficher une boîte de dialoguede résultats d'analyse vous invitant à agir sur la détection.


Répondez aux alertesou aux notifications

Vérifiez régulièrement la page Etat pour déterminer que tous lestypes de protection sont activés.

Se reporter à "Démarrage sur la page d'état" à la page 13.

Se reporter à "Activer ou désactiver la protection sur l'ordinateurclient" à la page 45.

Vérifiez l'état de laprotection

Vérifier que votre ordinateur est protégéGestion de la protection de votre ordinateur

34

DescriptionEtape

Vérifiez que les dernières définitions de virus sont installées survotre ordinateur.

■ Vérifiez que vous disposez des dernières mises à jour de laprotection. Vous pouvez vérifier la date et le nombre de cesfichiers de définitions sur la page Etat du client, sous chaquetype de protection.

■ Obtenez les dernières mises à jour de la protection.

Se reporter à "Mise à jour de la protection de l'ordinateur"à la page 36.

Mettez à jour lesdéfinitions de virus

(client non géréuniquement)

Exécutez une analyse pour voir si l'ordinateur ou votre applicationde courrier électronique comporte des virus. Par défaut, le clientanalyse l'ordinateur quand vous l'allumez, mais vous pouvezl'analyser à tout moment.


Analysez votreordinateur

Dans la plupart des cas, les paramètres par défaut assurent uneprotection appropriée pour votre ordinateur. Au besoin, vouspouvez diminuer ou augmenter les types de protection suivants :

■ Planification d'analyses supplémentaires

Se reporter à "Gérer des analyses sur votre ordinateur"à la page 58.

■ Ajout de règles de filtrage (client non géré seulement)

Se reporter à "Gestion de la protection par pare-feu"à la page 110.

Ajustez les paramètresde protection

Vérifiez les journaux pour voir si votre client a trouvé unedétection de virus ou une attaque réseau.


Affichez les journauxdes détections ou desattaques

Vérifiez que le client a reçu la dernière politique de sécurité. Unepolitique de sécurité inclut les paramètres de technologie deprotection les plus actuels pour votre client.

La politique de sécurité est mise à jour automatiquement. Pourvous assurer que vous disposez de la dernière politique, vouspouvez la mettre à jour manuellement en cliquant avec le boutondroit de la souris sur l'icône de la zone de notification du client,puis en cliquant sur Mettre à jour la politique.

Se reporter à "Comment déterminer si le client est connecté etprotégé" à la page 38.

Mettez à jour lapolitique de sécurité

(client géréuniquement)

35Vérifier que votre ordinateur est protégéGestion de la protection de votre ordinateur

Mise à jour de la protection de l'ordinateurLes produits Symantec nécessitent des informations à jour pour protégerl'ordinateur des nouvelles menaces découvertes. Symantec rend ces informationsdisponibles via LiveUpdate.

Les mises à jour de contenu sont les fichiers qui maintiennent les produitsSymantec à jour avec la dernière technologie de protection contre les menaces.LiveUpdate récupère les nouveaux fichiers de contenu sur un site Internet deSymantec, puis remplace les anciens fichiers de contenu. Les mises à jour quevous recevez dépendent des produits installés sur votre ordinateur. La manièredont votre ordinateur reçoit les mises à jour dépend de si votre ordinateur estgéré ou non géré et de la manière dont votre administrateur a configuré les misesà jour.

Les types suivants de fichiers sont des exemples de mises à jour du contenu :

■ Fichiers de définitions de virus pour la protection contre les virus et les logicielsespions.

■ Signatures heuristiques et listes d'applications commerciales pour la protectionproactive contre les menaces.

■ Fichiers de définitions d'IPS pour la protection contre les menaces réseau.Se reporter à "A propos de la protection contre les menaces réseau" à la page 110.

LiveUpdate peut également apporter des améliorations au client installé. Cesaméliorations sont généralement créées pour prolonger la compatibilité du systèmed'exploitation ou du matériel, régler des problèmes de performance ou corrigerdes erreurs de produit. Ces améliorations du client sont publiées en temps voulu.Un ordinateur client peut recevoir ces améliorations directement depuis un serveurLiveUpdate. Un ordinateur client géré peut également recevoir ces mises à jourd'amélioration automatiquement depuis un serveur de gestion de votre entreprise.

Tableau 3-2 Manières d'effectuer des mises à jour de contenu sur votreordinateur

DescriptionTâche

Par défaut, LiveUpdate s'exécute automatiquement àintervalles planifiés.

Sur un client non géré, vous pouvez désactiver oumodifier une planification de LiveUpdate.

Se reporter à "Mise à jour de contenu sur planification"à la page 37.

Mise à jour de contenu surplanification

Vérifier que votre ordinateur est protégéMise à jour de la protection de l'ordinateur

36

DescriptionTâche

Selon vos paramètres de sécurité, vous pouvez exécuterLiveUpdate immédiatement.

Se reporter à "Mise à jour immédiate de contenu"à la page 37.

Mise à jour immédiate de contenu

Mise à jour immédiate de contenuVous pouvez mettre à jour les fichiers de contenu immédiatement à l'aide deLiveUpdate. Vous devez exécuter LiveUpdate manuellement pour les raisonssuivantes :

■ Le logiciel client a été installé récemment.

■ La dernière analyse a été exécutée il y a longtemps.

■ Vous suspectez la présence d'un virus ou tout autre problème de logicielmalveillant.

Se reporter à "Mise à jour de contenu sur planification" à la page 37.


Pour mettre à jour votre protection immédiatement.

◆ Dans la barre latérale du client, cliquez sur LiveUpdate.

LiveUpdate se connecte au serveur Symantec, recherche les mises à jourdisponibles, puis les télécharge et les installe automatiquement.

Mise à jour de contenu sur planificationVous pouvez créer une planification de sorte que LiveUpdate s'exécuteautomatiquement à intervalles planifiés. Il peut être nécessaire de planifierl'exécution de LiveUpdate lorsque vous n'utilisez pas votre ordinateur.

Se reporter à "Mise à jour immédiate de contenu" à la page 37.

Remarque : Si vous avez un client géré, vous pouvez seulement configurerl'exécution de LiveUpdate sur une planification si votre administrateur vous y aautorisé. Si l'icône de cadenas apparaît et que les options sont grisées, vous nepouvez pas mettre à jour votre contenu sur une planification.

37Vérifier que votre ordinateur est protégéMise à jour de la protection de l'ordinateur

Pour mettre à jour la protection sur planification

1 Dans la barre latérale du client, cliquez sur Changer les paramètres.

2 En regard de Gestion des clients, cliquez sur Configurer les paramètres.

3 Dans la boîte de dialogue Paramètres de gestion des clients, cliquez surLiveUpdate.

4 Sur l'onglet LiveUpdate, cochez Activer les mises à jour automatiques.

5 Dans la zone de groupe Fréquence et heure, sélectionnez si vous voulez queles mises à jour s'exécutent chaque jour, chaque semaine ou chaque mois.Sélectionnez alors le jour ou la semaine et l'heure d'exécution des mises àjour.

Les paramètres d'heure dépendent de ce que vous sélectionnez dans la zonede groupe Fréquence. La disponibilité des options sur cette boîte de dialoguedépend également de la fréquence que vous sélectionnez.

6 Dans la zone de groupe Fenêtre Réessayer, cochez Essayer pendant etspécifiez alors l'intervalle de temps pendant lequel le client essaye d'exécuterLiveUpdate de nouveau.

7 Dans la zone de groupe Options de traitement aléatoire, cochez Choisir auhasard l'heure de début sur + ou - 9 et spécifiez alors le nombre d'heures oude jours.

Cette option définit un intervalle de temps avant ou après l'heure planifiéepour le démarrage de la mise à jour.

8 Dans la zone de groupe Détection d'inactivité, cochez Retarder laplanification de LiveUpdate jusqu'à ce que le système soit inactif. Lessessions en retard s'exécuteront par la suite sans réserve.

Vous pouvez également configurer des options pour la connexion du serveurproxy à un serveur LiveUpdate interne. Consultez l'aide en ligne pour plusd'informations à propos des options.

9 Cliquez sur OK.

Comment déterminer si le client est connecté etprotégé

Le client utilise une icône de zone de notification pour indiquer s'il est en ligneou hors ligne et si l'ordinateur client est correctement protégé. Vous pouvez cliqueravec le bouton droit de la souris sur cette icône pour afficher les commandesfréquemment utilisées. L'icône se trouve dans le coin inférieur droit du bureaude l'ordinateur client.

Vérifier que votre ordinateur est protégéComment déterminer si le client est connecté et protégé

38

Remarque :Sur les clients gérés, l'icône de zone de notification système ne s'affichepas si l'administrateur l'a configurée pour être indisponible.

Tableau 3-3 Icônes d'état du client Symantec Endpoint Protection

DescriptionIcône

Le client s'exécute sans problème. Il est hors ligne ou non géré. Les clientsnon gérés ne sont pas connectés à un serveur de gestion. L'icône est unbouclier jaune ordinaire.

Le client s'exécute sans problème. Il est connecté au serveur et communiqueavec lui. Tous les composants de la politique de sécurité protègentl'ordinateur. L'icône est un bouclier jaune avec un point vert.

Le client rencontre un léger problème. Par exemple, les définitions de viruspeuvent ne pas être à jour. L'icône est un bouclier jaune et un point jaune-clairavec un point d'exclamation noire.

Le client ne s'exécute pas, connaît un sérieux problème ou s'est vu désactiverau moins une technologie de protection. Par exemple, la protection contreles menaces réseau peut être désactivée. L'icône est un bouclier jaune avecun point blanc entouré de rouge et avec une ligne rouge traversant le point.

Tableau 3-4 affiche les icônes d'état du client Symantec Network Access Controlqui apparaissent dans la zone de notification.

Tableau 3-4 Icônes d'état du client Symantec Network Access Control

DescriptionIcône

Le client s'exécute sans problème et la vérification de l'intégrité de l'hôteainsi que la mise à jour de la politique de sécurité ont réussi. Il est hors ligneou non géré. Les clients non gérés ne sont pas connectés à un serveur degestion. L'icône est une clé ordinaire en or.

Le client s'exécute sans problème et la vérification de l'intégrité de l'hôteainsi que la mise à jour de la politique de sécurité ont réussi. Il communiqueavec le serveur. L'icône est une clé en or avec un point vert.

Le client a échoué à la vérification de l'intégrité de l'hôte ou n'a pas mis àjour la politique de sécurité. L'icône est une clé dorée avec un point rougequi contient un "X" blanc.

Se reporter à "Masquage et affichage de l'icône de zone de notification"à la page 40.

39Vérifier que votre ordinateur est protégéComment déterminer si le client est connecté et protégé

Masquage et affichage de l'icône de zone de notificationVous pouvez masquer l'icône de zone de notification au besoin. Par exemple, vouspouvez la masquer pour obtenir plus d'espace sur la barre des tâches Windows.

Se reporter à "Comment déterminer si le client est connecté et protégé"à la page 38.

Remarque : Sur les clients gérés, vous ne pouvez pas masquer l'icône de zone denotification si votre administrateur a restreint cette fonctionnalité.

Pour masquer ou afficher l'icône de la zone de notification

1 Dans la barre latérale de la fenêtre principale, cliquez sur Changer lesparamètres.

2 Sur la page Changer les paramètres, cliquez sur l'option Configurer lesparamètres correspondant à Gestion des clients.

3 Dans la boîte de dialogue Paramètres de gestion des clients, sur l'ongletGénéral, sous Optionsd'affichage, désélectionnez ou cochez l'option Afficherl'icône de sécurité Symantec dans la zone de notification.

4 Cliquez sur OK.

A propos des clients gérés et des clients non gérésVotre administrateur peut installer le client en tant que client géré (installationgérée par l'administrateur) ou client non gérés (installation autonome).

Vérifier que votre ordinateur est protégéA propos des clients gérés et des clients non gérés

40

Tableau 3-5 Différences entre un client géré et un client non géré

DescriptionType de client

Un client géré communique avec un serveur de gestion de votre réseau.L'administrateur configure la protection et les paramètres par défaut,et le serveur de gestion télécharge les paramètres vers le client. Sil'administrateur modifie la protection, cette modification est presqueimmédiatement téléchargée vers le client.

Les administrateurs peuvent modifier votre niveau d'interaction avecle client des manières suivantes :

■ L'administrateur gère complètement le client.

Il n'est pas nécessaire de configurer le client. Tous les paramètressont verrouillés ou indisponibles, mais vous pouvez afficher desinformations sur les opérations du client sur l'ordinateur.

■ L'administrateur gère le client, mais vous pouvez modifier certainsparamètres du client et effectuer certaines tâches. Par exemple,vous pouvez exécuter vos propres analyses et récupérermanuellement des mises à jour de client et des mises à jour deprotection.

La disponibilité des paramètres du client, comme les valeurs desparamètres elles-mêmes, peut changer périodiquement. Parexemple, un paramètre peut changer lorsque votre administrateurmet à jour la politique qui contrôle la protection client.

■ L'administrateur gère le client, mais vous pouvez modifier tousles paramètres du client et effectuer toutes les tâches de protection.

Client géré

Un client non géré ne communique pas avec un serveur de gestion etun administrateur ne gère pas le client.

Un client non géré peut être l'un des types suivants :

■ Un ordinateur autonome non connecté à un réseau, tel qu'unordinateur familial ou un ordinateur portable. L'ordinateur doitinclure une installation Symantec Endpoint Protection qui utiliseles paramètres d'option par défaut ou des paramètres prédéfinispar un administrateur.

■ Un ordinateur distant qui se connecte au réseau d'entreprise etqui doit remplir les spécifications de sécurité avant sa connexion

Le client dispose de paramètres par défaut lors de l'installation initiale.Une fois le client installé, vous pouvez modifier tous les paramètresclient et effectuer toutes les tâches de protection.

Client non géré

Se reporter à "Vérification du caractère géré ou non géré du client" à la page 42.

Tableau 3-6 décrit les différences dans l'interface utilisateur entre un client géréet un client non géré.

41Vérifier que votre ordinateur est protégéA propos des clients gérés et des clients non gérés

Tableau 3-6 Différences entre un client géré et un client non géré par zone defonction

Client autonomeClient géré centralementZone de fonction

Le client n'affiche pas un cadenasverrouillé ou un cadenasdéverrouillé.

Le client affiche une option decadenas verrouillé et l'options'affiche en gris pour les optionsqu'il est impossible de configurer.

Protection contre lesvirus et les spywares

Le client n'affiche pas un cadenasverrouillé ou un cadenasdéverrouillé.

Le client affiche une option decadenas verrouillé et l'options'affiche en gris pour les optionsqu'il est impossible de configurer.

Protection contre lesmenaces proactives

Tous les paramètres s'affichent.Les paramètres quel'administrateur contrôle nes'affichent pas.

Paramètres degestion de client etde protection contreles menaces réseau


Vérification du caractère géré ou non géré du clientPour connaître le degré de contrôle dont vous disposez pour configurer laprotection sur votre client, vérifiez d'abord si votre client est géré ou non. Vouspouvez configurer plus de paramètres sur un client non géré que sur un clientgéré.

Se reporter à "A propos des clients gérés et des clients non gérés" à la page 40.

Pour vérifier si le client est géré ou non géré

1 Sur la page d' état, cliquez sur Aide > Dépannage.

2 Dans la boîte de dialogue Dépannage, cliquez sur Gestion.

3 Dans le volet Gestion, sous Informations générales, à côté de Serveur,recherchez les informations suivantes :

■ Si le client est géré, le champ Serveur affiche l'adresse du serveur degestion ou le message Hors ligne.L'adresse peut être une adresse IP, un nom DNS ou un nom NetBIOS. Parexemple, un nom DNS peut être SEPMServer1. Si le client est géré maisn'est pas actuellement connecté à un serveur de gestion, ce champ estHors ligne.

Vérifier que votre ordinateur est protégéVérification du caractère géré ou non géré du client

42

■ Si le client est non géré, le champ Serveur indique Gestionautomatique.

4 Cliquez sur Fermer.

A propos de l'activation et de la désactivation de laprotection

En règle générale, vous maintiendrez les technologies de protection toujoursactives sur l'ordinateur client.

Vous pourriez devoir désactiver temporairement toutes les technologies deprotection ou individuellement si vous avez un problème avec l'ordinateur client.Par exemple, si une application ne s'exécute pas ou ne s'exécute pas correctement,vous pourriez vouloir désactiver la protection contre les menaces réseau. Si leproblème persiste après la désactivation de toutes les technologies de protection,cela signifie que le problème n'est pas lié au client.

Avertissement : Assurez-vous d'activer les protections une fois la tâche dedépannage terminée afin que votre ordinateur reste protégé.

Tableau 3-7 décrit les raisons pour lesquelles vous pourriez être amené à désactiverchaque technologie de protection.

43Vérifier que votre ordinateur est protégéA propos de l'activation et de la désactivation de la protection

Tableau 3-7 Objectif de la désactivation d'une technologie de protection

Objectif de la désactivation de la technologie de protectionTechnologie deprotection

Si vous désactivez cette protection, vous désactivez Auto-Protect uniquement.

Les analyses planifiées ou de démarrage s'exécutent encore si vous ou votre administrateurles avez configurées pour qu'elles le fassent.

Vous pourriez activer ou désactiver Auto-Protect pour les raisons suivantes :

■ Auto-Protect peut vous empêcher d'ouvrir un document. Par exemple, si vous ouvrezun document Microsoft Word comportant une macro, Auto-Protect peut ne pas vousautoriser à l'ouvrir. Si vous savez que le document est sûr, vous pouvez désactiverAuto-Protect.

■ Auto-Protect peut vous signaler une activité suspecte, mais vous savez que celle-ci n'estpas due à un virus. Par exemple, vous pouvez obtenir un avertissement quand vousinstallez de nouveaux programmes. Si vous prévoyez d'installer des applications etvoulez éviter l'avertissement, vous pouvez désactiver Auto-Protect temporairement.

■ Auto-Protect peut interférer avec le remplacement des pilotes de Windows.

■ Auto-Protect peut ralentir l'ordinateur client.

Remarque : Si vous désactivez Auto-Protect, vous désactivez également Détail destéléchargements, même si Détail des téléchargements est activé. SONAR ne peut pas nonplus détecter les menaces heuristiques. La détection de SONAR du fichier hôte et desévolutions du système continue de fonctionner.

Se reporter à "Activation ou désactivation d'Auto-Protect" à la page 46.

Si Auto-Protect provoque un problème avec une application, il vaut mieux créer uneexception que désactiver la protection de manière permanente.


Protection contre lesvirus et les spywares

Vous pourriez vouloir désactiver la protection proactive contre les menaces pour les raisonssuivantes :

■ Trop d'avertissements s'affichent au sujet de menaces qui ne constituent pas de réellesmenaces.

■ La protection proactive contre les menaces peut ralentir l'ordinateur client.

Se reporter à "Activer ou désactiver la protection sur l'ordinateur client" à la page 45.

Protection proactivecontre les menaces

Vérifier que votre ordinateur est protégéA propos de l'activation et de la désactivation de la protection

44

Objectif de la désactivation de la technologie de protectionTechnologie deprotection

Vous pouvez être amené à désactiver la protection proactive contre les menaces réseaupour les raisons suivantes :

■ Vous installez une application que le pare-feu pourrait bloquer.

■ Une règle de filtrage ou un paramètre de pare-feu bloque une application suite à uneerreur de l'administrateur.

■ Le pare-feu ou le système de prévention d'intrusion provoque des problèmes deconnectivité réseau.

■ Le pare-feu pourrait ralentir l'ordinateur client.

■ Vous ne pouvez pas ouvrir une application.

Se reporter à "Activation ou désactivation de la prévention d'intrusion" à la page 144.

Se reporter à "Activer ou désactiver la protection sur l'ordinateur client" à la page 45.

Si vous n'êtes pas certain que la protection contre les menaces réseau est à l'origine duproblème, il peut être judicieux de désactiver toutes les technologies de protection.

Sur un client géré, votre administrateur pourrait verrouiller complètement la protectioncontre les menaces réseau de sorte que vous ne puissiez pas l'activer ou la désactiver.

Protection contre lesmenaces réseau

En général, vous devez garder la protection contre les interventions activée.

Vous pouvez être amené à désactiver la protection contre les interventions temporairementpour vous assurer d'éviter des détections de faux positif.

Se reporter à "Activation, désactivation et configuration de la protection contre lesinterventions" à la page 48.

Protection contre lesinterventions

Activer ou désactiver la protection sur l'ordinateurclient

Sur le client, lorsque des protections ont désactivées :

■ La barre d'état, en haut de la page d'état, est rouge.

■ L'icône du client apparaît avec un signe de négation universel, un cercle rougebarré d'une diagonale. L'icône client apparaît sous forme de bouclier entierdans la barre des tâches, dans le coin inférieur droit de votre bureau Windows.Dans certaines configurations, l'icône n'apparaît pas.Se reporter à "Comment déterminer si le client est connecté et protégé"à la page 38.

Sur un client géré, votre administrateur peut activer n'importe quelle protectionà tout moment.

45Vérifier que votre ordinateur est protégéActiver ou désactiver la protection sur l'ordinateur client

Vous pouvez également désactiver Auto-Protect, la protection proactive contreles menaces ou la protection contre les menaces réseau à des fins de dépannage.Sur un client géré, votre administrateur pourrait verrouiller une protection desorte que vous ne puissiez pas la désactiver.


Se reporter à "Activation ou désactivation d'Auto-Protect" à la page 46.

Pour activer des technologies de protection via la page d'état

◆ Sur le client, en haut de la page d'état, cliquez sur Réparer ou Tout réparer.

Pour activer ou désactiver des technologies de protection via la barre des tâches

◆ Sur le bureau Windows, dans la zone de notification, cliquez sur l'icône clientavec le bouton droit de la souris et faites l'une des actions suivantes :

■ Cliquez sur Activer Symantec Endpoint Protection.

■ Cliquez sur Désactiver Symantec Endpoint Protection.

Pour activer ou désactiver la protection proactive contre les menaces ou laprotection contre les menaces réseau

◆ Dans le client, à la page Etat, en regard de type de protection Protection,effectuez l'une des tâches suivantes :

■ Cliquez sur Options > Activer type de protection Protection.

■ Cliquez sur Options > Désactiver tout type de protection Fonctions deprotection.

Activation ou désactivation d'Auto-ProtectVous pouvez activer ou désactiver Auto-Protect pour les fichiers et les processus,le courrier électronique Internet et les applications groupware de courrierélectronique. Quand un type quelconque d'Auto-Protect est désactivé, l'état deprotection antivirus et antispyware apparaît en rouge sur la page d'état.

Quand vous cliquez sur l'icône avec le bouton droit de la souris, une coche apparaîtà côté d'Activer Auto-Protect quand Auto-Protect pour les fichiers et les processusest activé.

Se reporter à "A propos des icônes d'alerte de la page d'état" à la page 15.


Vérifier que votre ordinateur est protégéActivation ou désactivation d'Auto-Protect

46

Remarque :Sur un client géré, votre administrateur peut verrouiller Auto-Protectde sorte que vous ne puissiez pas le désactiver. En outre, votre administrateurpeut spécifier que vous pouvez désactiver Auto-Protect temporairement, maisqu'Auto-Protect se réactive automatiquement après un délai spécifié..

Si vous n'avez pas modifié les paramètres des options par défaut, Auto-Protectse charge au démarrage de l'ordinateur pour vous protéger contre les virus et lesrisques de sécurité. Auto-Protect recherche les virus et les risques de sécuritédans les programmes qui s'exécutent. Il surveille également l'ordinateur pourtoute activité pouvant indiquer la présence d'un virus ou d'un risque de sécurité.Lorsqu'un virus, une activité suspecte (comportement pouvant signaler la présenced'un virus) ou un risque de sécurité est détecté, Auto-Protect vous alerte.

Remarque :Si vous désactivez Auto-Protect, vous désactivez également Détail destéléchargements, même si Détail des téléchargements est activé. SONAR ne peutpas non plus détecter les menaces heuristiques ; cependant, SONAR continue àdétecter le fichier hôte et les évolutions du système.

Pour activer ou désactiver Auto-Protect pour le système de fichiers

◆ Dans le client, sur la page Etat, à côté de Protectionantivirusetantispyware,effectuez l'une des actions suivantes :

■ Cliquez sur Options > Activer la protection contre les virus et lesspywares.

■ Cliquez sur Options > Désactiver la protection contre les virus et leslogiciels espions.

Pour activer ou désactiver Auto-Protect pour le courrier électronique

1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres.

2 En regard de Protection contre les virus et les spywares, cliquez surConfigurer les paramètres.


■ Dans l'onglet Auto-ProtectpourlecourrierélectroniqueInternet, cochezou désélectionnez l'option Activer Auto-Protect pour le courrierélectronique Internet.

■ Dans l'onglet Auto-Protect pour Microsoft Outlook, cochez oudésélectionnez l'option Activer Auto-Protect pour Microsoft Outlook.

47Vérifier que votre ordinateur est protégéActivation ou désactivation d'Auto-Protect

■ Dans l'onglet NotesAuto-Protect, sélectionnez ou désélectionnez ActiverAuto-Protect pour Lotus Notes.

4 Cliquez sur OK.

Activation, désactivation et configuration de laprotection contre les interventions

La protection contre les interventions assure une protection en temps réel desapplications Symantec sur les serveurs et les clients. Il empêche les processusnon Symantec tels que les vers, les chevaux de Troie, les virus et les risques desécurité, d'affecter les ressources Symantec. Vous pouvez configurer le logicielpour bloquer ou consigner les tentatives de modification des ressources Symantec.

Si la protection contre les interventions est activée, vous pouvez choisir l'actionque celle-ci doit effectuer lorsqu'elle détecte une tentative d'intervention sur lescomposants logiciels Symantec. Vous pouvez également configurer la protectioncontre les interventions pour qu'elle affiche un message pour vous informer destentatives d'intervention. Pour personnaliser le message, vous pouvez utiliser lesvariables prédéfinies que la protection contre les interventions remplacera parles informations correspondantes.

Remarque : Sur un client géré, votre administrateur pourrait verrouiller lesparamètres de Protection contre les falsifications.

Pour plus d'informations concernant les variables prédéfinies, consultez l'aidedans l'onglet Protection contre les falsifications.


Pour activer ou désactiver la protection contre les interventions



3 Dans l'onglet Protectioncontre les interventions, cochez ou désélectionnezla case Protéger les logicielsde sécuritéSymantec contre les interventionsou interruptions.

4 Cliquez sur OK.

Vérifier que votre ordinateur est protégéActivation, désactivation et configuration de la protection contre les interventions

48

Pour configurer Protection contre les interventions



3 Sur l'onglet Protection contre les falsifications, dans la zone de listeOpération à effectuer si une application tente de falsifier ou d'arrêter lelogicieldesécuritéSymantec, cliquez sur Bloqueretconsignerl'événementou Consigner l'événement uniquement.

4 Pour être informé de tout comportement suspect que la protection contre lesinterventions pourrait détecter, cochez la case Afficher un message denotification si une intervention est détectée.

Si vous activez ces messages de notification, vous pouvez recevoir desnotifications au sujet des processus Windows et des processus Symantec.

5 Pour personnaliser le message qui s'affiche, modifiez le texte dans le champdu message.

6 Cliquez sur OK.

A propos des journauxLes journaux contiennent des informations sur les changements de configurationclient, les activités liées à la sécurité et les erreurs. Ces enregistrements sontappelés événements. Les journaux affichent ces événements avec les informationssupplémentaires appropriées.

Les activités liées à la sécurité incluent des informations sur les détections devirus, l'état de l'ordinateur et le trafic entrant ou sortant de l'ordinateur. Si vousutilisez un client géré, ses journaux peuvent être régulièrement chargés sur leserveur de gestion. Un administrateur peut utiliser leurs données pour analyserle statut global de sécurité du réseau.

Les journaux constituent l'une des principales méthodes pour suivre l'activitéd'un ordinateur et ses relations avec d'autres ordinateurs et réseaux. Vous pouvezutiliser les informations des journaux pour suivre les tendances associées auxvirus, aux risques de sécurité et aux attaques sur votre ordinateur. Si plusieurspersonnes utilisent le même ordinateur, vous pourriez identifier qui introduit desrisques et aider cette personne à utiliser de meilleures précautions.

Pour plus d'informations sur un journal, appuyez sur F1 pour afficher l'aide dece journal.

Tableau 3-8 décrit les types d'événement que chaque journal affiche.

49Vérifier que votre ordinateur est protégéA propos des journaux

Tableau 3-8 Journaux client

DescriptionJournal

Contient des entrées sur les analyses exécutées sur l' ordinateurau cours du temps.

Journal d'analyse

Contient des entrées sur les virus et les risques de sécurité, telsque les logiciels publicitaires et les logiciels espions qui ont infectél'ordinateur. Les risques de sécurité comportent un lien vers lapage Web Symantec Security Response qui fournit d'autresinformations.

Se reporter à "Mise en quarantaine d'un fichier du journal desrisques ou d'analyse" à la page 97.

Journal des risques

Contient les informations sur les activités du système surl'ordinateur qui sont liées aux virus et aux risques de sécurité. Cesinformations portent sur les changements de configuration, leserreurs et les informations du fichier de définitions .

Journal système deprotection contre lesvirus et les logicielsespions

Contient les informations concernant les menaces que SONAR adétectées sur votre ordinateur. SONAR détecte tous les fichiersqui agissent de manière suspecte. SONAR détecte également leschangements du système.

Journal des menaces

Contient des informations sur les activités du système surl'ordinateur liées aux à SONAR.

Journal système de laprotection proactivecontre les menaces

Contient les événements concernant des attaques du trafic et deprévention d'intrusion du pare-feu. Le journal contient desinformations sur les connexions que votre ordinateur établit surle réseau.

Les journaux de protection du réseau peuvent aident à détecterles activités potentiellement dangereuses, telle que l'analyse deport. Ils peuvent également être utilisés pour retracer le traficvers sa source. Vous pouvez également utiliser les journaux deprotection réseau pour vous aider à dépanner des problèmes deconnectivité ou des attaques réseau possibles. Les journauxpeuvent vous indiquer quand votre ordinateur a été bloqué duréseau et vous aider à déterminer pourquoi votre accès a étébloqué.

Journal de trafic

Vérifier que votre ordinateur est protégéA propos des journaux

50

DescriptionJournal

Contient les informations sur les paquets de données qui entrentou sortent par les ports de l'ordinateur.

Par défaut, le journal des paquets est désactivé. Il est impossibled'activer le journal des paquets sur un client géré. Vous pouvezactiver le journal des paquets sur un client non géré.

Se reporter à "Activation du journal des paquets" à la page 52.

Journal des paquets

Le journal de contrôle contient des informations sur les clés deregistre de Windows, les fichiers et les DLL auxquels uneapplication accède, ainsi que sur les applications exécutées survotre ordinateur.

Journal de contrôle

Contient les informations concernant les activités qui pourraientconstituer une menace pour votre ordinateur. Par exemple, lesinformations pourraient apparaître concernant des activités tellesque des attaques par déni de service, des analyses des ports et desmodifications de fichier exécutable.

Journal de sécurité

Contient les informations sur toutes les modificationsopérationnelles qui se sont produites sur l'ordinateur.

Les modifications pourraient inclure les activités suivantes :

■ Un service démarre ou arrête

■ L'ordinateur détecte des applications réseau

■ Le logiciel est configuré

■ L'état d'une portion client comme fournisseur de mise à jourde groupe

Journal système de lagestion des clients

Contient des entrées sur les tentatives de modification desapplications Symantec sur votre ordinateur. Ces entréescontiennent des informations sur les tentatives que la protectioncontre les interventions a détectées ou contrecarrées.

Journal de protectioncontre lesinterventions

Contient des informations sur le client, les analyses et le pare-feuà des fins de dépannage. L'administrateur peut vous demanderd'activer ou de configurer les journaux, puis de les exporter.

Journaux de débogage


Affichage des journauxVous pouvez afficher les journaux sur votre ordinateur pour consulter les détailsdes événements qui se sont produits.

51Vérifier que votre ordinateur est protégéAffichage des journaux

Remarque : Si Protectioncontre lesmenacesréseau ou NetworkAccessControlne sont pas installés, vous ne pouvez pas afficher le journal de sécurité, le journalsystème ou le journal de contrôle.

Pour afficher un journal

1 Dans la barre latérale de la fenêtre principale, cliquez sur Afficher lesjournaux.

2 Cliquez sur Afficher les journaux en regard de l'un des éléments suivants :

■ Protection contre les virus et les logiciels espions

■ Protection contre les menaces proactives

■ Protection contre les menaces réseau

■ Gestion des clients

■ Contrôle d'accès réseau

Certains éléments pourraient ne pas apparaître selon votre installation.

3 Dans le menu déroulant, sélectionnez le journal que vous voulez afficher.

Se reporter à "A propos des journaux" à la page 49.

Activation du journal des paquetsTous les journaux de protection contre les menaces réseau et de gestion des clientssont activés par défaut, excepté le journal des paquets. Sur les clients non gérés,vous pouvez activer et désactiver le journal des paquets.

Sur les clients gérés, votre administrateur pourrait vous permettre d'activer oude désactiver le journal des paquets.


Pour activer le journal des paquets

1 Sur la page Etat du client, à droite de Protection contre les menaces réseau,cliquez sur Options, puis sur Changer les paramètres.

2 Dans la boîte de dialogue Paramètres de protection contre les menacesréseau, cliquez sur Journaux.

3 Cochez Activer le journal des paquets.

4 Cliquez sur OK.

Vérifier que votre ordinateur est protégéAffichage des journaux

52

Suivi des événements consignés jusqu'à leur sourceVous pouvez suivre certains événements pour identifier la source de données d'unévénement consigné. Un suivi affiche les étapes précises, ou tronçons, que le traficentrant a effectué. Un tronçon est un point de transition tel qu'un routeur, qu'unpaquet traverse en passant de l'ordinateur à un ordinateur sur Internet. Un suivisuit un paquet de données vers l'arrière, en découvrant les routeurs par lesquelsles données sont passées pour atteindre votre ordinateur.


Pour certaines entrées de journal, vous pouvez tracer un paquet de données utilisédans une tentative d'attaque. Chaque routeur traversé par un paquet de donnéesa une adresse IP. Vous pouvez afficher l'adresse IP et d'autres détails. Lesinformations affichées ne garantissent pas que vous ayez découvert qui estvraiment le pirate. L'adresse IP du tronçon final indique le propriétaire du routeurauquel se sont connectés les pirates, et pas nécessairement les pirates eux-mêmes.

Vous pouvez suivre certains événements consignés dans le Journal de sécurité etle Journal du trafic.

Pour suivre un événement consigné

1 Dans la barre latérale du client, cliquez sur Afficher les journaux.

2 A la droite de Protection contre les menaces réseau ou de Gestion des clients,cliquez sur Afficher les journaux. Cliquez ensuite sur le journal qui contientl'entrée que vous voulez suivre.

3 Dans la fenêtre de vue de journal, sélectionnez la ligne de l'entrée que vousvoulez suivre.

4 Cliquez sur Opération, puis sur Suivre.

5 Dans la boîte de dialogue Informationsde suivi, cliquez sur Qui est >> pourafficher des informations détaillées sur chaque tronçon.

Un volet déroulant affiche des informations détaillées sur le propriétaire del'adresse IP d'où est issu l'événement de trafic. Vous pouvez utiliser CTRL-Cet CTRL-V pour couper-coller les informations du volet dans un messagedestiné à votre administrateur.

6 Cliquez sur Qui est << de nouveau pour masquer les informations.

7 Lorsque vous avez terminé, cliquez sur OK.

53Vérifier que votre ordinateur est protégéSuivi des événements consignés jusqu'à leur source

Exportation des données de journalVous pouvez exporter les informations de certains journaux vers un fichier CSV(.csv) ou un fichier de base de données Access (.mdb). Le format .csv est un formatde fichier courant que la plupart des tableurs et programmes de base de donnéesutilisent pour l'importation de données. En important ces données dans un autreprogramme, vous pouvez les utiliser pour créer des présentations, des graphiquesou pour les combiner avec d'autres informations. Vous pouvez exporter lesinformations des journaux de protection contre les menaces réseau et de gestiondes clients vers des fichiers texte délimités par des tabulations.


Remarque : Si vous exécutez le logiciel client sous Windows Server 2008 ServerCore, vous ne pouvez pas exporter les données de journal vers un fichier .mdb. Leformat .mdb requiert des applications Microsoft qui ne sont pas disponibles sousServer Core.

Vous pouvez exporter les journaux suivants dans un fichier .csv ou .mdb :

■ Journal système des virus et logiciels espions

■ Journal des risques de virus et logiciels espions

■ Journal d'analyse des virus et logiciels espions

■ Journal système de la protection proactive contre les menaces

■ Journal des menaces de la protection proactive contre les menaces

■ Journal de protection contre les falsifications

Remarque : Si vous filtrez les données de journal d'une manière quelconque etque vous les exportez, seules les données filtrées sont exportées. Cela n'est pasvalable pour les journaux que vous exportez dans un fichier texte délimité pardes tabulations. Dans ce cas, toutes les données des journaux sont exportées.

Vous pouvez exporter les journaux suivants dans un fichier délimité par destabulations :

■ Journal de contrôle de la gestion des clients

■ Journal de sécurité de la gestion des clients

■ Journal système de la gestion des clients

■ Journal des paquets de la protection contre les menaces réseau

Vérifier que votre ordinateur est protégéExportation des données de journal

54

■ Journal du trafic de la protection contre les menaces réseau

Remarque : En plus d'un fichier texte délimité par des tabulations, vous pouvezégalement exporter les données du journal des paquets au format du moniteurréseau ou au format NetXray.

Sur l'installation Server Core de Windows Server 2008, les boîtes de dialogued'interface utilisateur pourraient différer de celles qui sont décrites dans cesprocédures.

Pour exporter des données dans un fichier .csv


2 En regard de Protection contre les virus et les logiciels espions ou Protectionproactive contre les menaces, cliquez sur Afficher les journaux.

3 Cliquez sur le nom du journal que vous voulez.

4 Dans la fenêtre de journal, assurez-vous que les données que vous voulezenregistrer apparaissent et cliquez sur Exporter.

5 Dans la liste déroulante Enregistrer, accédez au répertoire dans lequel voussouhaitez enregistrer le fichier.

6 Dans la zone de texte Nom de fichier, entrez le nom du fichier.

7 Cliquez sur Enregistrer.

8 Cliquez sur OK.

Pour exporter les données du journal de protection contre les menaces réseau oudu journal de gestion des clients dans un fichier texte


2 A la droite de Protection contre les menaces réseau ou de Gestion des clients,cliquez sur Afficher les journaux.

3 Cliquez sur le nom du journal à partir duquel vous voulez exporter desdonnées.

4 Cliquez sur Fichier> Exporter.

Si vous avez sélectionné le journal des paquets, cliquez sur Exporter vers leformat du moniteur réseau ou sur Exporter vers le format Netxray.

5 Dans la liste déroulante Enregistrer, accédez au répertoire dans lequel voussouhaitez enregistrer le fichier.

6 Dans la zone de texte Nom de fichier, entrez le nom du fichier.

55Vérifier que votre ordinateur est protégéExportation des données de journal

7 Cliquez sur Enregistrer.

8 Cliquez sur Fichier > Quitter.

Vérifier que votre ordinateur est protégéExportation des données de journal

56

Gestion des analyses


■ Gérer des analyses sur votre ordinateur

■ Fonctionnement des analyses antivirus et antispyware

■ Planification d'une analyse définie par l'utilisateur

■ Planification d'une analyse à exécuter sur demande ou quand l'ordinateurdémarre

■ Gérer des détections de Détail des téléchargements sur votre ordinateur

■ Personnaliser des paramètres de Détail des téléchargements

■ Personnalisation des paramètres d'analyse antivirus et antispyware

■ Configurer des actions pour la détection des logiciels malveillants et des risquesde sécurité

■ Exclusion d'éléments des analyses

■ Exclusion d'éléments des analyses

■ Gestion des fichiers en quarantaine sur votre ordinateur client

■ A propos de la transmission d'informations sur les détections à SymantecSecurity Response

■ Envoi des informations concernant les détections à Symantec Security Response

■ A propos du client et du Centre de sécurité Windows

■ Gestion de SONAR sur votre ordinateur client

4Chapitre

Gérer des analyses sur votre ordinateurPar défaut, un client géré exécute une analyse active chaque jour à 00h30 Unclient non géré s'installe avec une analyse active prédéfinie qui est désactivée.

Si vous avez un client non géré, vous pouvez gérer vos propres analyses. Sur unclient géré, il se peut que vous puissiez configurer vos propres analyses, si votreadministrateur a rendu ces paramètres disponibles.

Tableau 4-1 Gestion des analyses

DescriptionEtape

Passez en revue les types d'analyses et les types des virus et derisques de sécurité.

Se reporter à "Fonctionnement des analyses antivirus etantispyware" à la page 64.

Découvrez la manièredont les analysesfonctionnent

Assurez-vous que vous disposez des dernières définitions devirus.

Se reporter à "Mise à jour de la protection de l'ordinateur"à la page 36.

Mettez à jour lesdéfinitions de virus

Auto-Protect est activé par défaut. Vous devriez toujoursmaintenir Auto-Protect activé. Si vous désactivez Auto-Protect,vous désactivez également Détail des téléchargements et vousempêchez SONAR de faire des détections heuristiques.

Se reporter à "Activation ou désactivation d'Auto-Protect"à la page 46.

Vérifiez qu'Auto-Protectest activé

Analysez régulièrement votre ordinateur pour y rechercher desvirus et des risques de sécurité. Assurez-vous que des analysess'exécutent régulièrement en vérifiant la date de la dernièreanalyse.


Se reporter à "Planification d'une analyse définie parl'utilisateur" à la page 76.

Analysez votreordinateur

Gestion des analysesGérer des analyses sur votre ordinateur

58

DescriptionEtape

Toutes les fois qu'une analyse à la demande, planifiée, audémarrage ou définie par l'utilisateur s'exécute, SymantecEndpoint Protection affiche par défaut une boîte de dialogued'avancement de l'analyse pour signaler la progression. En outre,Auto-Protect peut afficher une boîte de dialogue de résultatstoutes les fois qu'il détecte un virus ou un risque de sécurité.Vous pouvez désactiver ces notifications.

La fonction de suspension permet d'interrompre une analyse àun stade quelconque et de la reprendre ultérieurement. Vouspouvez suspendre toute analyse que vous avez lancée.

Dans les réseaux gérés, votre administrateur détermine si vouspouvez suspendre une analyse générée par l'administrateur. Sil'option Suspendre l'analyse n'est pas disponible, votreadministrateur a désactivé la fonction de pause. Si votreadministrateur a activé la fonction Différer, vous pouvez différerses analyses planifiées d'un délai déterminé.

Quand une analyse reprend, elle démarre à l'endroit où elle s'estarrêtée.

Remarque : Si vous tentez de suspendre une analyse pendantque le client analyse un fichier compressé, le client peut mettreplusieurs minutes à réagir à la demande de suspension del'analyse.


Suspendre ou retarderdes analyses

59Gestion des analysesGérer des analyses sur votre ordinateur

DescriptionEtape

Lors de l'exécution des analyses, vous pourriez voir apparaîtreune boîte de dialogue de résultats d'analyse. Vous pouvez utiliserla boîte de dialogue de résultats d'analyse pour effectuer desactions sur les éléments détectés lors des analyses.

Dans un réseau géré, la boîte de dialogue d'avancement d'analysepeut ne pas apparaître pour les analyses générées parl'administrateur. Votre administrateur peut choisir de ne pasafficher les résultats quand le client détecte un virus ou unrisque de sécurité. Dans certains cas, votre administrateur peutvous permettre d'afficher les résultats d'analyse mais de ne passuspendre ou reprendre une analyse.

Remarque : La langue du système d'exploitation peut ne paspouvoir interpréter certains caractères dans les noms de virusqui apparaissent dans la boîte de dialogue de résultats d'analyse.Si le système d'exploitation ne peut pas interpréter lescaractères, les caractères apparaissent comme des pointsd'interrogation dans les notifications. Par exemple, certainsnoms de virus Unicode peuvent contenir des caractères à deuxoctets. Sur les ordinateurs qui exécutent le client sur un systèmed'exploitation en anglais, des points d'interrogation s'affichentà la place de ces caractères.

Se reporter à "Réagir à une détection de virus ou de risque"à la page 24.

Interagissez avec lesrésultats d'analyse


60

DescriptionEtape

Par défaut, Symantec Endpoint Protection fournit un niveau desécurité élevé tout en limitant l'impact sur votre puissance detraitement. Vous pouvez personnaliser des paramètres pouraugmenter encore davantage la puissance de traitement.

Pour les analyses planifiées et à la demande, vous pouvezmodifier les options suivantes :

■ Accord d'analyse

Définissez l'accord d'analyse sur Meilleures performancesde l'application.

■ Fichiers compressés

Modifiez le nombre de niveaux pour analyser des fichierscompressés.

■ Analyses pouvant reprendre

Vous pouvez spécifier un temps maximum pour qu'uneanalyse s'exécute. L'analyse reprend quand l'ordinateur estinactif.

■ Analyses sélectionnées de façon aléatoire

Vous pouvez spécifier qu'une analyse sélectionne de façonaléatoire son heure de début dans un intervalle d'instantspécifique.

Vous pourriez également vouloir désactiver les analyses dedémarrage ou modifier la planification de vos analysesplanifiées.

Se reporter à "Personnalisation des paramètres d'analyseantivirus et antispyware" à la page 84.

Se reporter à "Planification d'une analyse définie parl'utilisateur" à la page 76.

Réglez les analyses pouraméliorer votrepuissance de traitement


DescriptionEtape

Dans la plupart des cas, les paramètres d'analyse par défautassurent une protection appropriée pour votre ordinateur. Danscertains cas vous pourriez vouloir augmenter la protection. Sivous augmentez la protection, vous pourriez affecter votrepuissance de traitement.

Pour les analyses planifiées et à la demande, vous pouvezmodifier les options suivantes :

■ Performances d'analyse

Définissez l'accord d'analyse sur Meilleures performancesd'analyse.

■ Actions d'analyse

Modifiez les actions correctives qui se produisent quand unvirus est détecté.

■ Durée de l'analyse

Par défaut, les analyses planifiées s'exécutent jusqu'à ce quel'intervalle spécifié expire et reprennent quand l'ordinateurclient est inactif. Vous pouvez définir la durée d'analyse àAnalyser jusqu'à la fin.

■ Insight Lookup

Insight Lookup utilise le dernier jeu de définitions pouranalyser et prendre des décisions concernant les fichiers.Elle utilise également la technologie de réputation deSymantec. Vous devriez vous assurer que Insight Lookupest activé. Les paramètres de Insight Lookup sont semblablesaux paramètres pour Détail des téléchargements.

Vous pouvez également augmenter le niveau de la protectionde Bloodhound. Bloodhound localise et isole les régions logiquesd'un fichier pour détecter le comportement de type viral. Vouspouvez modifier le niveau de détection de Automatique àAgressif pour augmenter la protection sur votre ordinateur. Leparamètre Agressif est toutefois susceptible de produire plusde faux positifs.


Réglez les analyses pouraugmenter la protectionsur votre ordinateur


62

DescriptionEtape

Pour Auto-Protect, vous pourriez vouloir modifier les optionssuivantes :

■ Cache de fichier

Assurez-vous que le cache de fichier est activé (le paramètrepar défaut est activé). Quand le cache de fichier est activé,Auto-Protect se souvient des fichiers propres qu'il a analyséset ne les analyse pas à nouveau.

■ Paramètres réseau

Quand Auto-Protect est activé sur des ordinateurs distants,assurez-vous que Uniquement lors de l'exécution desfichiers est activé.

■ Vous pouvez également indiquer qu'Auto-Protect faitconfiance aux fichiers sur des ordinateurs distants et utiliseun cache réseau.

Par défaut, Auto-Protect analyse les fichiers pendant leurécriture depuis votre ordinateur vers un ordinateur distant.Auto-Protect analyse également les fichiers pendant leurécriture à partir d'un ordinateur distant vers votreordinateur.

Ce cache réseau stocke un enregistrement des fichiersqu'Auto-Protect a analysés à partir d'un ordinateur distant.En utilisant un cache réseau, vous empêchez Auto-Protectd'analyser le même fichier plusieurs fois.


Modifiez les paramètresd'Auto-Protect pouraméliorer votrepuissance de traitementou augmenter laprotection

Détail des téléchargements examine les fichiers que vous essayezde télécharger depuis vos navigateurs Web, clients de messagerieet autres portails. Détail des téléchargements utilise lesinformations de réputation de Symantec Insight pour prendredes décisions concernant les fichiers.

Se reporter à "Gérer des détections de Détail des téléchargementssur votre ordinateur" à la page 80.

Gérer les détections deDétail destéléchargements

SONAR fait partie de la protection proactive contre les menaces.

Se reporter à "Gestion de SONAR sur votre ordinateur client"à la page 103.

Gérer SONAR

Excluez de l'analyse un fichier ou un processus sûr.


Identifier les exceptionsd'analyse.


DescriptionEtape

Par défaut, votre ordinateur client envoie les informationsrelatives aux détections à Symantec Security Response. Vouspouvez désactiver les soumissions ou choisir quels genresd'informations soumettre.

Symantec recommande de toujours activer les soumissions. Lesinformations aident Symantec à traiter les menaces.

Se reporter à "Envoi des informations concernant les détectionsà Symantec Security Response" à la page 100.

Soumettez lesinformations relativesaux détections àSymantec

Symantec Endpoint Protection met en quarantaine des fichiersinfectés et les déplace à un emplacement où le fichier n'infectepas d'autres fichiers de l'ordinateur.

Si un fichier mis en quarantaine ne peut pas être réparé, vousdevez décider que faire de ce fichier.

Vous pouvez également effectuer les actions suivantes :

■ Supprimer un fichier mis en quarantaine s'il existe un fichierde sauvegarde ou si un fichier de remplacement est fournipar une source fiable.

■ Laisser les fichiers comportant des infections inconnues enquarantaine jusqu'à ce que Symantec publie de nouvellesdéfinitions de virus.

■ Vérifier régulièrement les fichiers mis en quarantaine pourempêcher que trop de fichiers s'accumulent. Vérifier lesfichiers mis en quarantaine quand une nouvelle propagationde virus apparaît sur le réseau.

Se reporter à "Gestion des fichiers en quarantaine sur votreordinateur client" à la page 94.

Se reporter à "A propos de la mise en quarantaine de fichiers"à la page 96.

Gérer les fichiers mis enquarantaine.

Fonctionnementdesanalysesantiviruset antispywareLe analyses contre les virus et les spywares identifient et neutralisent ou éliminentdes virus et des risques de sécurité sur vos ordinateurs. Une analyse élimine unvirus ou un risque en procédant comme suit :

■ Le moteur d'analyse parcourt les fichiers et d'autres composants de l'ordinateurpour détecter des traces de virus dans les fichiers. Chaque virus dispose d'uneconfiguration reconnaissable appelée signature. Un fichier de définitions devirus contenant des signatures de virus connues, sans code de virus néfaste

Gestion des analysesFonctionnement des analyses antivirus et antispyware

64

est installé sur l'ordinateur client. Le moteur d'analyse compare chaque fichierou composant au fichier de définitions de virus. Si le moteur d'analyse trouveune correspondance, le fichier est infecté.

■ Les fichiers de définitions permettent au moteur d'analyse de déterminer siun virus ou un risque a causé l'infection. Le moteur d'analyse prend alors uneaction de correction sur le fichier infecté. Pour réparer le fichier infecté, leclient nettoie, supprime ou met le fichier en quarantaine.Se reporter à "Comment les analyses réagissent à la détection d'un virus oud'un risque" à la page 73.

Tableau 4-2 décrit les composants que le client analyse sur l'ordinateur.

Tableau 4-2 Composants de l'ordinateur analysés par le client

DescriptionComposant

Le client analyse des fichiers individuels. Dans la plupart des typesd'analyse, vous pouvez sélectionner les fichiers à analyser.

Le logiciel client utilise une analyse basée sur des modèles pourrechercher les traces de virus dans les fichiers. Les traces des virussont appelées modèles ou signatures. Chaque fichier est comparé àdes signatures inoffensives contenues dans un fichier de définitionsde virus, ce qui permet de détecter des virus spécifiques.

Si un virus est détecté, le client tente, par défaut, de le supprimerdu fichier infecté. Si le fichier ne peut pas être nettoyé, le client leplace en quarantaine pour éviter de contaminer les autres fichiersde votre ordinateur.

Le client utilise également une analyse basée sur des modèles pourrechercher des symptômes de risques de sécurité dans les fichierset les clés de registre de Windows. Si un risque de sécurité existe,le client, par défaut, met les fichiers infectés en quarantaine et répareles effets du risque. Si le client ne peut pas mettre en quarantaineles fichiers, il consigne la tentative.

Fichiers sélectionnés

Le client analyse la mémoire de l'ordinateur. Tous les virus de fichier,virus de secteur de démarrage et virus de macro sont susceptiblesde résider en mémoire. Les virus qui se trouvent en mémoire se sontcopiés eux-mêmes dans la mémoire de l'ordinateur. Un virus peutse dissimuler en mémoire jusqu'à ce qu'un événement déclencheurse produise. Le virus peut alors infecter une disquette insérée dansle lecteur ou s'étendre au disque dur. Si un virus est dans la mémoire,il ne peut pas être nettoyé. Vous pouvez toutefois supprimer unvirus de la mémoire en redémarrant l'ordinateur quand un messagevous le propose.

Mémoire del'ordinateur

65Gestion des analysesFonctionnement des analyses antivirus et antispyware

DescriptionComposant

La client recherche les virus de secteur de démarrage dans le secteurde démarrage de l'ordinateur. Deux éléments sont vérifiés : les tablesde partitions et la zone d'enregistrement de démarrage principal.

Secteur dedémarrage

Les disquettes constituent une source courante de propagation desvirus. Une disquette peut se trouver dans le lecteur au moment dudémarrage ou de l'arrêt de votre ordinateur. Au démarrage d'uneanalyse, le client analyse le secteur de démarrage et les tables departitions de toute disquette se trouvant dans le lecteur. Lorsquevous éteignez votre ordinateur, vous êtes invité à retirer la disquettepour éviter tout risque d'infection.

Lecteur de disquette

A propos des types d'analyseSymantec Endpoint Protection inclut différents types d'analyses pour assurer laprotection contre différents types de virus, de menaces et de risques.

Par défaut, Symantec Endpoint Protection exécute une analyse Active Scan chaquejour à 12h30. Symantec Endpoint Protection exécute également une analyse ActiveScan quand de nouvelles définitions arrivent sur l'ordinateur client. Sur lesordinateurs non gérés, Symantec Endpoint Protection inclut également une analysede démarrage par défaut qui est désactivée.

Sur les clients non gérés, vous devriez vous assurer que vous exécutez une analyseactive quotidienne sur votre ordinateur. Vous pourriez vouloir planifier uneanalyse complète une fois par semaine ou une fois par mois si vous suspectez laprésence d'une menace inactive sur votre ordinateur. Les analyses complètesconsomment davantage de ressources et peuvent affecter la puissance detraitement.


Tableau 4-3 Types d'analyse

DescriptionType d'analyse

Les analyses Auto-Protect examinent en permanence les fichiers et les données de courrierélectronique pendant leur écriture ou leur lecture sur un ordinateur. Auto-Protectneutralise ou élimine automatiquement les virus et les risques de sécurité détectés.

Auto-Protect protège également les courriers électroniques que vous pourriez envoyerou recevoir.

Se reporter à "Types d'Auto-Protect" à la page 68.

Auto-Protect


66


Détail des téléchargements amplifie la sécurité d'Auto-Protect en examinant les fichiersquand les utilisateurs essayent de les télécharger depuis les navigateurs Web et autresportails.

Détail des téléchargements utilise les informations de réputation pour prendre desdécisions concernant les fichiers. L'estimation de la réputation des fichiers est déterminéepar une technologie de Symantec appelée Insight. Insight utilise non seulement la sourced'un fichier mais également son contexte. Insight fournit une estimation de la sécuritéque Détail des téléchargements utilise pour prendre les décisions concernant les fichiers.

Détail des téléchargements fonctionne en tant qu'élément d'Auto-Protect et nécessiteque Auto-Protect soit activé. Si vous désactivez Auto-Protect mais activez Détail destéléchargements, Détail des téléchargements ne peut pas fonctionner.

Se reporter à "Utilisation par Symantec Endpoint Protection des données de réputationpour prendre des décisions au sujet de fichiers" à la page 74.

Détail destéléchargements



Pour les clients gérés, votre administrateur peut créer des analyses planifiées ou exécuterdes analyses à la demande. Pour les clients non gérés ou les clients gérés pour lesquelsdes paramètres d'analyse sont déverrouillés, vous pouvez créer et exécuter vos propresanalyses.

Les analyses d'administrateur ou définies par l'utilisateur détectent les virus et les risquesde sécurité en examinant tous les fichiers et les processus sur l'ordinateur client. Cestypes d'analyse peuvent également examiner les points de mémoire et de chargement.

Les types suivants d'analyses d'administrateur ou définies par l'utilisateur sontdisponibles :

■ Analyses planifiées

Une analyse planifiée s'exécute sur les ordinateurs client à des heures indiquées. Lesanalyses planifiées de manière concurrente s'exécutent séquentiellement. Si unordinateur est désactivé pendant une analyse planifiée, l'analyse ne s'exécute pas àmoins qu'elle ne soit configurée pour redémarrer s'il elle n'a pas eu lieu. Vous pouvezplanifier une analyse active, complète ou personnalisée.

Vous pouvez enregistrer vos paramètres d'analyse planifiée comme modèle. Vouspouvez utiliser n'importe quelle analyse enregistrée comme modèle comme base pourune analyse différente. Les modèles d'analyse peuvent vous faire gagner du tempslorsque vous configurez des politiques multiples. Un modèle d'analyse planifiée estinclus par défaut dans la politique. L'analyse planifiée par défaut analyse tous lesfichiers et répertoires.

■ Analyses de démarrage et déclenchées

Les analyses de démarrage s'exécutent quand les utilisateurs se connectent auxordinateurs. Les analyses déclenchées s'exécutent quand de nouvelles définitions devirus sont téléchargées sur l'ordinateur.

■ Analyses à la demande

Les analyses sur demande sont des analyses que vous démarrez manuellement. Vouspouvez exécuter des analyses à la demande à partir de la page Rechercherlesmenaces.

Analysesd'administrateur etanalyses définies parl'utilisateur

SONAR offre une protection en temps réel contre les attaques "Zero Day". SONAR peutarrêter des attaques avant même que les définitions basées sur les signaturestraditionnelles ne détectent une menace. SONAR utilise des technologies heuristiquesainsi que des données de réputation de fichier pour prendre des décisions à propos desapplications ou des fichiers.

Comme les analyses de menaces proactives, SONAR détecte les enregistreurs de frappe,les spywares et toute application pouvant être malveillante ou potentiellementmalveillante.

SONAR

Types d'Auto-ProtectAuto-Protect analyse les fichiers ainsi que certains types de messages électroniqueset de pièces jointes.


68

Si votre ordinateur client exécute d'autres produits de protection de messagerie,tels que Symantec Mail Security, il se peut que vous ne deviez pas activerAuto-Protect pour le courrier électronique.

Auto-Protect fonctionne uniquement avec votre client de messagerie pris encharge. Il ne protège pas les serveurs de messagerie.

Remarque : Si un virus est détecté lorsque vous ouvrez un message électronique,l'ouverture de celui-ci peut demander quelques secondes, le temps que SymantecAntiVirus en termine l'analyse.

Tableau 4-4 Types d'Auto-Protect

DescriptionType d'Auto-Protect

Analyse en continu les fichiers lorsqu'ils sont lus ou enregistrés sur votreordinateur.

Auto-Protect est activé par défaut pour le système de fichiers. Il se charge audémarrage de l'ordinateur. Il examine tous les fichiers pour y rechercher les viruset les risques de sécurité et bloque l'installation des risques de sécurité. Il peutle cas échéant analyser des fichiers par extension de fichier, analyser des fichierssur des ordinateurs distants et analyser des disquettes pour y rechercher desvirus de secteur de démarrage. Il peut le cas échéant sauvegarder des fichiersavant d'essayer de les réparer et mettre fin à des processus et à des services.

Vous pouvez configurer Auto-Protect pour analyser seulement des extensionsde fichier choisies. Quand il analyse des extensions sélectionnées, Auto-Protectpeut également déterminer le type d'un fichier même si un virus modifiel'extension de fichier.

Si vous n'exécutez pas Auto-Protect pour le courrier électronique, vos ordinateursclient restent protégés quand Auto-Protect est activé. La plupart des applicationsde messagerie électronique enregistrent les pièces jointes dans un répertoiretemporaire quand les utilisateurs les ouvrent. Auto-Protect analyse le fichierpendant qu'il est enregistré dans le répertoire temporaire et détecte tout virusou risque de sécurité. Auto-Protect détecte également le virus si l'utilisateuressaye d'enregistrer une pièce jointe infectée sur un lecteur local ou lecteur réseaulocal.

Auto-Protect


DescriptionType d'Auto-Protect

Recherche la présence de virus ou de risques de sécurité dans le courrierélectronique Internet (POP3 ou SMTP) ; effectue également une analyseheuristique du courrier électronique sortant.

Par défaut, Auto-Protect pour le courrier électronique Internet prend en chargeles mots de passe chiffrés et le courrier électronique POP3 et SMTP. Si vousutilisez POP3 ou SMTP avec Secure Sockets Layer (SSL), le client détecte lesconnexions sécurisées mais n'analyse pas les messages chiffrés.

Remarque : Pour des raisons de performance, Auto-Protect pour le courrierélectronique Internet via POP3 n'est pas pris en charge sur les systèmesd'exploitation serveur. L'analyse de la messagerie Internet n'est pas non plusprise en charge sur les ordinateurs 64 bits.

L'analyse du courrier électronique ne prend pas en charge le courrier électroniquebasé sur IMAP, AOL ou HTTP tel que Hotmail ou Yahoo! Mail.

Auto-Protect pour le courrierélectronique Internet

Recherche la présence de virus et risques de sécurité dans le courrier électronique(MAPI et Internet) et les pièces jointes de Microsoft Outlook.

Prise en charge de Microsoft Outlook 98/2000/2002/2003/2007/2010 (MAPI etInternet)

Si Microsoft Outlook est déjà installé sur l'ordinateur quand vous effectuez uneinstallation de logiciel client, le logiciel client détecte l'application de messagerie.Le client installe automatiquement Auto-Protect pour Microsoft Outlook.

Si vous utilisez Microsoft Outlook via MAPI ou client Microsoft Exchange etAuto-Protect est activé pour le courrier électronique, alors les pièces jointes sontimmédiatement téléchargées. Les pièces jointes sont analysées quand vous ouvrezla pièce jointe. Si vous téléchargez une pièce jointe volumineuse sur une connexionlente, les performances de la messagerie sont affectées. Vous pouvez désactivercette fonction si vous recevez souvent des pièces jointes de grande taille.

Remarque : Sur un serveur Microsoft Exchange, vous ne devriez pas installerAuto-Protect pour Microsoft Outlook.

Auto-Protect pour MicrosoftOutlook

Recherche la présence de virus et risques de sécurité dans le courrier électroniqueet les pièces jointes de Lotus Notes.

Prise en charge de Lotus Notes 4.5x, 4.6, 5.0 et 6.x

Si Lotus Notes est déjà installé sur l'ordinateur quand vous effectuez uneinstallation de logiciel client, le logiciel client détecte l'application de messagerie.Le client installe automatiquement Auto-Protect pour Lotus Notes.

Auto-Protect pour Lotus Notes


70

A propos des virus et des risques de sécuritéSymantec Endpoint Protection effectue une analyse à la recherche de virus et derisques de sécurité. Les risques de sécurité incluent les spywares, les logicielspublicitaires, les rootkits ou autres fichiers qui peuvent rendre un ordinateur ouun réseau vulnérable.

Les virus et les risques de sécurité peuvent être véhiculés par des messagesélectroniques ou des programmes de messagerie instantanée. Vous pouveztélécharger un risque sans le savoir en acceptant un contrat de licence utilisateurd'un logiciel.

De nombreux virus et risques de sécurité sont installés par téléchargements"embarqués". Ces téléchargements se produisent généralement lorsque vousvisitez des sites Web malveillants ou infectés. L'outil de téléchargement del'application les installe en exploitant une vulnérabilité légitime de votreordinateur.

Vous pouvez afficher des informations sur les risques spécifiques sur le site WebSymantec Security Response.

Le site Web de Symantec Security Response fournit les informations les plusrécentes sur les menaces et les risques de sécurité. Ce site contient également desdonnées de référence exhaustives, comme des documents techniques, et desinformations détaillées concernant les virus et les risques de sécurité.

Se reporter à "Comment les analyses réagissent à la détection d'un virus ou d'unrisque" à la page 73.

Figure 4-1 Comment les virus et les risques de sécurité attaquent un ordinateur

Internet Courrierélectronique,messagerieinstantanée

Autres ordinateurs,partages de

fichiers réseau

Ordinateur client

Virus, programmesmalveillants et

risques de sécurité

Lecteur flashUSB

Virus,programmesmalveillantset risques de

sécurité Virus, programmesmalveillants et

risques de sécurité


Tableau 4-5 répertorie le type des virus et de risques qui peuvent attaquer unordinateur.

Tableau 4-5 Virus et risques de sécurité

DescriptionRisque

Programmes ou code qui ajoutent une copie d'eux-mêmes à unautre programme ou fichier, au moment de leur exécution. Quandle programme infecté s'exécute, le programme de virus joints'active et s'ajoute à d'autres programmes et fichiers.

Les types suivants de menaces appartiennent à la catégorie desvirus :

■ Robots Web malveillants

Programmes qui exécutent des tâches automatisées viaInternet. Des robots Web peuvent être utilisés pourautomatiser des attaques sur des ordinateurs ou pour collecterdes informations de sites Web.

■ Vers

Programmes qui se reproduisent sans infecter d'autresprogrammes. Certains vers se propagent en se copiant d'undisque à un autre, alors que d'autres se répliquent dans lamémoire pour réduire la puissance de traitement.

■ Chevaux de Troie

Programmes dissimulés dans un élément inoffensif, commeun jeu ou un utilitaire.

■ Menaces combinées

Menaces qui combinent les caractéristiques des virus, desvers, des chevaux de Troie et des codes malveillants avec lesvulnérabilités de serveur et d'Internet pour lancer,transmettre et propager une attaque. Les menaces combinéesutilisent plusieurs méthodes et techniques pour se propagerrapidement et causer des dommages étendus.

■ Rootkits

Programmes qui essayent de se masquer vis-à-vis du systèmed'exploitation d'un ordinateur.

Virus

Programmes qui délivrent un contenu publicitaire.Logiciel de publicité

Programmes qui utilisent un ordinateur, sans permission del'utilisateur ou à son insu, pour composer par Internet un numéro900 ou accéder à un site FTP. Habituellement, ces numéros sontcomposés pour engendrer des frais.

Composeurs


72

DescriptionRisque

Programmes que le pirate utilise pour obtenir un accès nonautorisé à l'ordinateur d'un utilisateur. Une exemple est unprogramme d'enregistrement automatique des frappes qui pisteet enregistre chaque frappe au clavier et envoie ces informationsau pirate. Le pirate peut ensuite effectuer des analyses de portou de vulnérabilité. Les outils de piratage peuvent égalementservir à créer des virus.

Outils de piratage

Programmes qui altèrent ou interrompent le fonctionnementd'un ordinateur d'une manière qui se veut amusante oueffrayante. Par exemple, un programme blague peut déplacer lacorbeille à chaque fois que le curseur de la souris s'en approchelorsque l'utilisateur cherche à supprimer le programme.

Programmes blagues

Applications qui donnent intentionnellement une idée incorrectede l'état de sécurité d'un ordinateur. Ces applications seprésentent généralement sous la forme de notifications desécurité qui signalent de fausses infections à supprimer.

Applicationstrompeuses

Programmes qui contrôlent ou limitent l'utilisation del'ordinateur. Les programmes peuvent s'exécuter sans être détectéet transmettent généralement des informations de contrôle à unautre ordinateur.

Programmes decontrôle parentaux

Programmes permettant un accès par Internet à partir d'un autreordinateur afin d'obtenir des informations ou d'attaquer voired'altérer votre ordinateur.

Programmes d'accèsdistant

Programmes utilisés pour recueillir des informations permettantd'obtenir un accès non autorisé à un ordinateur.

Outil d'évaluation de lasécurité

Programmes autonomes pouvant surveiller secrètement lesactivités du système et détecter des informations comme les motsde passe et autres informations confidentielles et retransmettreces informations à un autre ordinateur.

spyware

Applications autonomes ou ajoutées qui suivent l'itinéraire d'unutilisateur sur Internet et envoient les informations au contrôleurou au système du pirate.

logiciel de pistage

Comment les analyses réagissent à la détection d'un virus ou d'unrisque

Quand les virus et les risques de sécurité infectent des fichiers, le client réagitaux types de menace de différentes manières. Pour chaque type de menace, le


client utilise une première action, puis applique une deuxième action si la premièreaction échoue.

Tableau 4-6 Comment une analyse réagit aux virus et aux risques de sécurité

ActionType demenace

Par défaut, quand le client détecte un virus, le client :

■ Essaye d'abord de nettoyer le virus à partir du fichier infecté.

■ Si le client nettoie le fichier, il supprime complètement le risque devotre ordinateur.

■ Si le client ne peut pas nettoyer le fichier, il consigne l'échec et placele fichier infecté en quarantaine.

Se reporter à "A propos de la mise en quarantaine de fichiers"à la page 96.

Virus

Par défaut, quand le client détecte un risque de sécurité :

■ Il met en quarantaine le fichier infecté.

■ Il essaye de supprimer ou de réparer toutes les modifications que lerisque de sécurité a effectuées.

■ Si le client ne peut pas mettre en quarantaine un risque de sécurité,il consigne le risque et le laisse inchangé.

Dans certains cas, vous pouvez installer sans le savoir une applicationincluant un risque de sécurité tel qu'un logiciel publicitaire ou un spyware.Si Symantec a déterminé que mettre en quarantaine le risque ne nuit pasà l'ordinateur, le client met le risque en quarantaine. Si le client met lerisque en quarantaine immédiatement, son action peut laisser l'ordinateurdans un état instable. A la place, le client attend que l'installation del'application soit terminée avant de mettre le risque en quarantaine. Ilrépare ensuite les effets du risque.

Risque desécurité

Pour chaque type d'analyse, vous pouvez modifier les paramètres selon lesquelsle client traite les virus et les risques de sécurité. Vous pouvez définir différentesactions pour chaque catégorie de risque et pour des risques de sécurité individuels.

Utilisation par Symantec Endpoint Protection des données deréputation pour prendre des décisions au sujet de fichiers

Symantec collecte des informations sur des fichiers à partir de sa communautéglobale de millions d'utilisateurs et de son réseau Global Intelligence Network.Les informations collectées forment une base de données de réputation hébergéepar Symantec. Les produits Symantec exploitent ces informations pour protégerles ordinateurs client contre des menaces nouvelles, ciblées et en cours de


74

mutation. Les données sont parfois mentionnées comme étant "dans le nuage"puisqu'elles ne résident pas sur l'ordinateur client. L'ordinateur client doit adresserune demande ou une requête à la base de données de réputation.

Symantec utilise une technologie appelée Insight afin de déterminer le niveau derisque ou "évaluation de la sécurité" de chaque fichier.

Insight détermine l'évaluation de sécurité d'un fichier en examinant lescaractéristiques suivantes du fichier et de son contexte :

■ la source du fichier,

■ l'âge du fichier,

■ la fréquence d'apparition du fichier dans la communauté,

■ d'autres mesures de sécurité, telles que la façon dont le fichier pourrait êtreassocié à des logiciels malveillants.

Les fonctions d'analyse de Symantec Endpoint Protection influencent Insightpour prendre des décisions concernant les fichiers et applications. Protectioncontre les virus et les logiciels espions inclut une fonction appelée Détail destéléchargements. Cette fonction s'appuie sur les informations de réputation poureffectuer des détections. Si vous désactivez les consultations d'Insight, Détail destéléchargements s'exécute mais ne peut pas effectuer de détections. Les autresfonctions de protection, telles que Insight Lookup et SONAR, utilisent lesinformations de réputation pour effectuer des détections ; cependant, ces fonctionspeuvent utiliser d'autres technologies pour effectuer des détections.

Par défaut, un ordinateur client envoie des informations sur les détections deréputation à Symantec Security Response pour analyse. Les informations aidentà affiner la base de données de la réputation d'Insight. Plus les clients quisoumettent des informations sont nombreux, plus la base de données de réputationest utile.

Vous pouvez désactiver la transmission des informations de réputation. Symantecrecommande, toutefois, de maintenir activées les transmissions.

Les ordinateurs client soumettent également d'autres types d'informations surles détections à Symantec Security Response.

Se reporter à "Gérer des détections de Détail des téléchargements sur votreordinateur" à la page 80.

Se reporter à "Envoi des informations concernant les détections à SymantecSecurity Response" à la page 100.


Planification d'une analyse définie par l'utilisateurUne analyse planifiée est un élément important de la protection contre les menaceset les risques de sécurité. Vous devez planifier une analyse pour exécution aumoins une fois par semaine pour garantir que votre ordinateur reste exempt devirus et de risques de sécurité. Lorsque vous créez une analyse, celle-ci s'affichedans la liste d'analyses, dans le volet Rechercher les menaces.

Remarque : Si votre administrateur a créé une analyse planifiée, elle s'affiche dansla liste d'analyses, dans le volet Rechercher les menaces.

Votre ordinateur doit être sous tension et les services Symantec EndpointProtection doivent être chargés au moment planifié pour le déroulement del'analyse. Par défaut, les services Symantec Endpoint Protection sont chargés auredémarrage de l'ordinateur.

Pour les clients gérés, l'administrateur peut remplacer ces paramètres.

Si vous planifiez plusieurs analyses pour le même ordinateur et que les analysescommencent en même temps, elles s'exécutent successivement. La fin d'uneanalyse enclenche le commencement d'une autre. Par exemple, vous pouvezplanifier l'exécution de trois analyses séparées sur l'ordinateur à 13 h 00. Chaqueanalyse porte sur un lecteur différent. L'une analyse le lecteur C. Une autre lelecteur D. Une autre le lecteur E. Dans cet exemple, il est préférable de créer uneanalyse planifiée analysant les lecteurs C, D et E.




Pour planifier une analyse définie par l'utilisateur

1 Dans le client, dans la barre latérale, cliquez sur Rechercher les menaces.

2 Cliquez sur Créer une analyse.

Gestion des analysesPlanification d'une analyse définie par l'utilisateur

76

3 Dans la boîte de dialogue Créer une analyse (éléments à analyser),sélectionnez l'un des types d'analyse suivants à planifier :

Analyse les zones de l'ordinateur que les virus et les risques desécurité infectent le plus généralement.

Vous devriez exécuter une analyse active chaque jour.

Active Scan

Analyse l'ordinateur entier pour rechercher les virus et les risquesde sécurité.

Vous pourriez vouloir exécuter une analyse complète une foispar semaine ou une fois par mois. Les analyses complètespourraient affecter votre puissance de traitement.

Analysecomplète

Analyse les zones sélectionnées de l'ordinateur pour rechercherles virus et les risques de sécurité.

Analysepersonnalisée

4 Cliquez sur Suivant.

5 Si vous avez sélectionné Analysepersonnalisée, cochez les cases appropriéespour spécifier les emplacements à analyser, puis cliquez sur Suivant.

Les symboles ont les descriptions suivantes :

Le fichier, lecteur ou dossier n'est pas sélectionné. S'il s'agit d'un lecteurou d'un dossier, son contenu (fichiers ou dossiers) n'est pas non plussélectionné.

Le fichier ou dossier individuel est sélectionné.

Le dossier ou le lecteur individuel est sélectionné. Tous les élémentscontenus dans le dossier ou le lecteur sont également sélectionnés.

Le dossier ou le lecteur n'est pas sélectionné, mais un ou plusieurs deséléments qu'il contient le sont.

77Gestion des analysesPlanification d'une analyse définie par l'utilisateur

6 Dans la boîte de dialogue Créeruneanalyse–optionsd'analyse, vous pouvezmodifier l'une des options suivantes :

Modifiez les extensions de fichier que le client analyse. Leparamètre par défaut consiste à analyser tous les fichiers.

Types de fichier

Sélectionnez l'action principale et l'action secondaire à effectuerquand des virus et des risques de sécurité sont détectés.

Actions

Définissez un message à afficher quand un virus ou un risque desécurité est trouvé. Vous pouvez également définir si vous voulezêtre notifié avant que les actions de résolution n'interviennent.

Notifications

Modifiez des fonctions d'analyse supplémentaires, telles quel'affichage de la boîte de dialogue des résultats de l'analyse.

Avancé

Modifie les composants d'ordinateur que le client analyse. Lesoptions disponibles dépendent des éléments sélectionnés dansl'étape 3.

Améliorationsde l'analyse


8 Dans la boîte de dialogue Créer une analyse – moment de l'analyse, cliquezsur Aux heures spécifiées, puis cliquez sur Suivant.

Vous pouvez également créer une analyse à la demande ou de démarrage.

Se reporter à "Planification d'une analyse à exécuter sur demande ou quandl'ordinateur démarre" à la page 79.

9 Dans la boîte de dialogue Créeruneanalyse-planification, sous Planificationd'analyse, spécifiez la fréquence et l'heure d'analyse, puis cliquez sur Suivant.

10 Sous Duréedel'analyse, vous pouvez spécifier une durée au terme de laquellel'analyse doit se terminer. Vous pouvez également sélectionner de façonaléatoire l'heure de début d'analyse.

11 Sous Analyses planifiées manquées, vous pouvez spécifier un intervallependant lequel une analyse peut être relancée.

12 Dans la boîte de dialogue Créer une analyse – nom de l'analyse, saisissez unnom et une description pour l'analyse.

Par exemple, désignez l'analyse : vendredi matin

13 Cliquez sur Terminer.

Gestion des analysesPlanification d'une analyse définie par l'utilisateur

78

Planification d'une analyse à exécuter sur demandeou quand l'ordinateur démarre

Vous pouvez compléter une analyse planifiée avec une analyse automatique àchaque démarrage de votre ordinateur ou de votre connexion. Généralement,l'analyse au démarrage se limite aux dossiers importants et à haut risque, commele dossier Windows et les dossiers contenant les modèles Word et Excel.

Si vous analysez régulièrement le même ensemble de fichiers ou de dossiers, vouspouvez créer une analyse limitée aux éléments concernés. A tout moment, vouspouvez rapidement vérifier que les fichiers et les dossiers indiqués sont exemptsde virus et d'autres risques de sécurité. Vous devez exécuter manuellement lesanalyses sur demande.

Si vous créez plusieurs analyses au démarrage, elles seront exécutées dans l'ordrede leur création. Votre administrateur a peut-être configuré le client de sorte quevous ne puissiez pas créer une analyse au démarrage.



Pour planifier une analyse à exécuter sur demande ou au démarrage de l'ordinateur


2 Cliquez sur Créer une analyse.

3 Spécifiez les éléments à analyser et toutes les options de l'analyse planifiée.

Se reporter à "Planification d'une analyse définie par l'utilisateur" à la page 76.

4 Dans la boîte de dialogue de Créeruneanalyse-momentdel'exécution) poureffectuer l'une des opérations suivantes :

■ Cliquez sur Au démarrage.

■ Cliquez sur A la demande.


6 Dans la boîte de dialogue Créer une analyse - nom de l'analyse, saisissez unnom et une description pour l'analyse.

Par exemple, désignez l'analyse : MonAnalyse1

7 Cliquez sur Terminer.

79Gestion des analysesPlanification d'une analyse à exécuter sur demande ou quand l'ordinateur démarre

Gérer des détections de Détail des téléchargementssur votre ordinateur

Auto-Protect inclut une fonction appelée Détail des téléchargements, qui examineles fichiers que vous essayez de télécharger via des navigateurs Web, clients demessagerie textuelle et autres portails. Auto-Protect doit être activé pour queDétail des téléchargements fonctionne.

Les portails pris en charge incluent Internet Explorer, Firefox, Microsoft Outlook,Outlook Express, Windows Live Messenger et Yahoo Messenger.

Remarque : Dans le journal de risque, les détails de risque pour une détection deDétail des téléchargements affichent seulement la première application de portailqui a essayé le téléchargement. Par exemple, vous pourriez utiliser InternetExplorer pour essayer de télécharger un fichier que Détail des téléchargementsdétecte. Si vous utilisez ensuite Firefox pour essayer de télécharger le fichier, lechamp Téléchargépar dans les détails de risque affiche Internet Explorer commeportail.

Détail des téléchargements détermine qu'un fichier téléchargé pourrait être unrisque basé sur des preuves concernant la réputation du fichier. Détail destéléchargements n'utilise pas de signatures ou de technologies heuristiques pourprendre des décisions. Si Détail des téléchargements autorise un fichier,Auto-Protect ou SONAR analyse le fichier lorsque l'utilisateur ouvre ou exécutele fichier.

Remarque : Auto-Protect peut également analyser les fichiers que les utilisateursreçoivent en tant que pièces jointes.

Tableau 4-7 Gérer des détections de Détail des téléchargements sur votreordinateur

DescriptionTâche

Détail des téléchargements utilise les informations de réputation exclusivementquand il prend des décisions concernant les fichiers téléchargés. Cette fonctionn'utilise pas les signatures ou les règles heuristiques pour prendre des décisions.Si Détail des téléchargements autorise un fichier, Auto-Protect ou SONAR analysele fichier lorsque l'utilisateur ouvre ou exécute le fichier.


Apprenez comment Détail destéléchargements utilise lesdonnées de réputation pourprendre des décisions concernantles fichiers

Gestion des analysesGérer des détections de Détail des téléchargements sur votre ordinateur

80

DescriptionTâche

Vous pourriez voir des notifications quand Détail des téléchargements fait unedétection. Pour les clients gérés, votre administrateur pourrait choisir dedésactiver les notifications de détection de Détail des téléchargements.

Lorsque les notifications sont activées, vous voyez des messages lorsque Détaildes téléchargements détecte un fichier malveillant ou un fichier non fondé. Pourles fichiers non prouvés, vous devez spécifier si le fichier est autorisé ou non.

Se reporter à "Réagir aux messages de Détail des téléchargements qui vousdemandent d'autoriser ou de bloquer un fichier que vous essayez de télécharger"à la page 27.

Répondre aux détections de Détaildes téléchargements

Vous pouvez créer une exception pour une application téléchargée par lesutilisateurs. Vous pouvez également créer une exception pour un domaine Webspécifique que vous jugez sécurisé.

Par défaut, Détail des téléchargements n'examine aucun fichier que lesutilisateurs téléchargent depuis un site Internet ou Intranet approuvé. Laconfiguration des sites approuvés s'effectue dans l'onglet Panneau deconfigurationWindows>SitesInternetapprouvés>Sécurité. Lorsque l'optionApprouverautomatiquementtoutfichiertéléchargéàpartird'unsiteintranetest activée, Symantec Endpoint Protection autorise les fichiers téléchargés parun utilisateur depuis l'un des sites approuvés.

Détail des téléchargements identifie uniquement les sites approuvés configurésexplicitement. Les caractères génériques sont permis, mais les plages d'adressesIP non routables ne sont pas prises en charge. Par exemple, Détail destéléchargements n'identifie pas 10.*.*.* comme site approuvé. Détail destéléchargements ne prend pas non plus en charge les sites découverts par l'optionOptions Internet > Sécurité > Détecter automatiquement le réseau Intranet.


Créez des exceptions pour desfichiers ou des domaines Webspécifiques

Détail des téléchargements exige des données de réputation pour prendre desdécisions concernant les fichiers. Si vous désactivez les consultations d'Insight,Détail des téléchargements s'exécute mais ne peut pas effectuer de détections.Les consultations d'Insight sont activées par défaut.


Assurez-vous que lesconsultations d'Insight sontactivées

81Gestion des analysesGérer des détections de Détail des téléchargements sur votre ordinateur

DescriptionTâche

Vous pourriez vouloir personnaliser les paramètres de Détail des téléchargementspour les raisons suivantes :

■ Augmenter ou diminuer le nombre de détections de Détail destéléchargements.

Vous pouvez régler le curseur de sensibilité de détection des fichiersmalveillants pour augmenter ou diminuer le nombre de détections. A desniveaux de sensibilité plus bas, Détail des téléchargements détecte moins defichiers comme étant malveillants et plus de fichiers comme étant non fondés.Les détections de faux positifs sont moins nombreuses.

A des niveaux de sensibilité plus élevées, Détail des téléchargements détectedavantage de fichiers comme étant malveillants et moins de fichiers commeétant non fondés. Les détections de faux positifs sont plus nombreuses.

■ Modifiez l'action pour les détections malveillantes ou les fichiers non prouvés.

Vous pouvez modifier la manière dont Détail des téléchargements traite lesfichiers malveillants ou non fondés. Il peut être utile de modifier l'actionpour les fichiers non prouvés de façon à ne pas recevoir de notifications pources détections.

■ Obtenez des alertes sur les détections de Détail des téléchargements.

Lorsque Détail des téléchargements détecte un fichier qu'il considère commemalveillant, il affiche un message sur l'ordinateur client si l'action est régléesur Quarantaine. Vous pouvez annuler l'action de quarantaine.

Lorsque Détail des téléchargements détecte un fichier qu'il considère nonfondé, il affiche un message sur l'ordinateur client si vous avez réglé l'actionpour les fichiers non fondés sur Invite ou à Quarantaine. Quand l'action estdéfinie sur Demander, vous pouvez autoriser ou bloquer le fichier. Lorsquel'action est définie sur Quarantaine, vous pouvez annuler l'action dequarantaine.

Vous pouvez désactiver les notifications de l'utilisateur de sorte que vousn'ayez pas le choix quand Détail des téléchargements détecte un fichier qu'ilconsidère comme non fondé. Si vous activez les notifications de façonpermanente, vous pouvez définir l'action pour les fichiers non prouvés surIgnorer de façon à ce que ces détections soient toujours autorisées et à nepas recevoir de notification.

Lorsque les notifications sont activées, le paramètre de sensibilité de détectiondes fichiers malveillants affecte le nombre de notifications que vous recevez.Si vous augmentez la sensibilité, vous augmentez le nombre de notificationsutilisateur car le nombre total de détections augmente.

Se reporter à "Personnaliser des paramètres de Détail des téléchargements"à la page 83.

Personnaliser les paramètres deDétail des téléchargements

Gestion des analysesGérer des détections de Détail des téléchargements sur votre ordinateur

82

DescriptionTâche

Par défaut, les clients envoient des informations concernant les détectionsd'informations de réputation à Symantec.

Symantec recommande d'activer l'envoi des informations de réputation détectées.Ces informations aident Symantec à faire face aux menaces.


Envoi d'informations concernantla réputation à Symantec

Personnaliser des paramètres de Détail destéléchargements

Vous pourriez vouloir personnaliser des paramètres Détail des téléchargementspour diminuer les détections de faux positif sur les ordinateurs client. Vous pouvezmodifier la sensibilité de Détail des téléchargements par rapport aux données deréputation de fichier qu'il l'utilise pour caractériser les fichiers malveillants. Vouspouvez également modifier les notifications que Détail des téléchargements affichesur les ordinateurs client quand il effectue une détection.

Se reporter à "Gérer des détections de Détail des téléchargements sur votreordinateur" à la page 80.

Personnaliser des paramètres de Détail des téléchargements


2 En regard de Protection contre les virus et les logiciels espions, cliquez surConfigurer les paramètres.

3 Sur l'onglet Détail des téléchargements, vérifiez que Activer Détail destéléchargements pour détecter les risques potentiels dans les fichierstéléchargés en fonction de la réputation de fichier est coché.

Si Auto-Protect est désactivé, Détail des téléchargements ne peut pasfonctionner même s'il est activé.

83Gestion des analysesPersonnaliser des paramètres de Détail des téléchargements

4 Déplacez le curseur afin de modifier la sensibilité de détection des fichiersmalveillants.

Remarque : Si vous-même ou l'administrateur avez installé la protectioncontre les virus et les logiciels espions, la sensibilité de détection des fichiersmalveillants est définie automatiquement sur le niveau 1 et ne peut pas êtremodifiée.

Si vous relevez le niveau, Détail des téléchargements détecte davantage defichiers comme étant malveillant et moins de fichiers comme étant non fondés.Les paramètres définis sur un niveau élevé de protection entraînent toutefoisun taux supérieur de détections de faux positifs.

5 Sélectionnez ou désélectionnez les options suivantes pour les utiliser commecritères supplémentaires pour examiner les fichiers non fondés :

■ Fichiers ayant moins de X utilisateurs

■ Fichiers connus des utilisateurs depuis moins de X joursLorsque les fichiers non fondés répondent à ces critères, Détail destéléchargements détecte les fichiers comme malveillants.

6 Assurez-vous que l'option Approuver automatiquement les fichierstéléchargés à partir d'un site Web intranet est sélectionnée.

Cette option s'applique également aux détections Insight Lookup.

7 Cliquez sur Actions.

8 Sous Fichiers malveillants, spécifiez une première et une seconde action.

9 Sous Fichiers non prouvés, spécifiez l'action.

10 Cliquez sur OK.

11 Cliquez sur Notifications et indiquez d'afficher ou non une notificationlorsque Détail des téléchargements fait une détection.

Vous pouvez personnaliser le texte du message d'avertissement qui s'affiche.

12 Cliquez sur OK.

Personnalisation des paramètres d'analyse antiviruset antispyware

Par défaut, le client fournit à votre ordinateur la protection requise contre lesvirus et les risques de sécurité. Si vous avez un client non géré, vous pouvez vouloirconfigurer certains paramètres d'analyse.

Gestion des analysesPersonnalisation des paramètres d'analyse antivirus et antispyware

84


Pour personnaliser une analyse définie par l'utilisateur


2 Dans la page Rechercherlesmenaces, cliquez avec le bouton droit de la sourissur une analyse, puis cliquez sur Modifier.

3 Dans l'onglet Options d'analyse, effectuez l'une des tâches suivantes :

■ Pour changer les paramètres de Insight Lookup, cliquez sur InsightLookup.Les paramètres de Insight Lookup sont semblables aux paramètres deDétail des téléchargements.Se reporter à "Personnaliser des paramètres de Détail des téléchargements"à la page 83.

■ Pour spécifier moins de types de fichier à analyser, cliquez sur Extensionssélectionnées, puis sur Extensions.

■ Pour spécifier la première et deuxième action que le client effectue surun fichier infecté, cliquez sur Actions.

■ Pour spécifier des options de notification, cliquez sur Notifications.

■ Pour configurer des options avancées pour les fichiers compressés, lessauvegardes et l'optimisation, cliquez sur Avancé.Vous pouvez vouloir modifier les options d'optimisation pour améliorerles performances de votre ordinateur client.

Pour plus d'informations sur les options de chaque boîte de dialogue, cliquezsur Aide.

4 Cliquez sur OK.

Pour modifier les paramètres d'analyse globaux


■ Dans le client, dans la barre latérale, cliquez sur Changer lesparamètres,puis en regard de Protection contre les virus et les spywares, cliquez surConfigurer les paramètres

■ Dans le client, dans la barre latérale, cliquez sur Rechercherlesmenaces,puis sur Affichage des paramètres généraux d'analyse.

2 Dans l'onglet Paramètres généraux, sous Options d'analyse, modifiez lesparamètres pour Insight ou Bloodhound.

3 Pour afficher ou créer des exceptions d'analyse, cliquez sur Afficher la liste.Cliquez sur Fermer après avoir affiché ou créé des exceptions.

85Gestion des analysesPersonnalisation des paramètres d'analyse antivirus et antispyware

4 Sous Conservationdujournal ou ProtectiondunavigateurInternet, apporteztoutes les modifications que vous voulez.

5 Cliquez sur OK.

Pour personnaliser Auto-Protect


2 A côté de Protection contre les virus et les spywares, cliquez sur Configurerles paramètres.

3 Sur un onglet Auto-Protect, effectuez les tâches suivantes :

■ Pour spécifier moins de types de fichier à analyser, cliquez sur Sélection,puis sur Extensions.

■ Pour spécifier la première et deuxième action que le client effectue surun fichier infecté, cliquez sur Actions.

■ Pour spécifier des options de notification, cliquez sur Notifications.

Pour plus d'informations sur les options de chaque boîte de dialogue, cliquezsur Aide.

4 Dans l'onglet Auto-Protect, cliquez sur Avancé.

Vous pouvez modifier des options pour le cache de fichier ainsi que pour RiskTracer et les sauvegardes. Vous pouvez vouloir modifier ces options pouraméliorer la puissance de votre ordinateur.

5 Cliquez sur Réseau pour modifier les paramètres de confiance des fichierssur des ordinateurs distants et définir un cache réseau.

6 Cliquez sur OK.

Configurer des actions pour la détection des logicielsmalveillants et des risques de sécurité

Vous pouvez configurer les actions que vous voulez que le client SymantecEndpoint Protection effectue quand il détecte un logiciel malveillant ou un risquede sécurité. Vous pouvez configurer une action principale et une action secondaireà effectuer si la première échoue.

Remarque :Si un administrateur gère votre ordinateur et que ces options affichentun cadenas, vous ne pouvez pas modifier ces options car l'administrateur les averrouillées.

Gestion des analysesConfigurer des actions pour la détection des logiciels malveillants et des risques de sécurité

86

Vous configurez des actions pour n'importe quel type d'analyse de la mêmemanière. Chaque analyse possède sa propre configuration d'actions. Vous pouvezconfigurer différentes actions pour différentes analyses.

Remarque :Vous configurez les actions pour Détail des téléchargements et SONARséparément.

Se reporter à "Personnalisation des paramètres d'analyse antivirus et antispyware"à la page 84.

Se reporter à "Personnaliser des paramètres de Détail des téléchargements"à la page 83.

Se reporter à "Modification des paramètres SONAR" à la page 106.

Cliquez sur Aide pour en savoir plus à propos des options utilisées dans lesprocédures.

Pour configurer les actions pour la détection des logicielsmalveillants et des risquesde sécurité

1 Dans le client, dans la barre latérale, cliquez sur Changer les paramètres ouRechercher les menaces.


■ En regard de Protection contre les virus et les spywares, cliquez surConfigurer les paramètres, puis sur n'importe quel onglet Auto-Protect,cliquez sur Actions.

■ Sélectionnez une analyse, puis cliquez avec le bouton droit de la souris etsélectionnez Modifier, puis cliquez sur Options d'analyse.

3 Cliquez sur Actions.

4 Dans l'arborescence de la boîte de dialogue Opérationsd'analyse, sélectionnezla catégorie ou la sous-catégorie sous Logiciel malveillant ou Risques desécurité.

Par défaut, chaque sous-catégorie est automatiquement configurée pourutiliser les actions qui sont définies pour la catégorie entière.

Les catégories changent de manière dynamique avec le temps, à mesure queSymantec obtient de nouvelles informations relatives aux risques.

5 Pour configurer des actions pour une seule sous-catégorie, effectuez l'unedes opérations suivantes :

■ Cochez Remplacerlesactionsconfiguréespourleslogicielsmalveillants,puis définissez les actions pour cette sous-catégorie seulement.

87Gestion des analysesConfigurer des actions pour la détection des logiciels malveillants et des risques de sécurité

Remarque : Il pourrait y a avoir une seule sous-catégorie sous une catégorie,selon la manière dont Symantec classe les risques actuellement. Parexemple, sous Logiciel malveillant, il pourrait y avoir une seulesous-catégorie appelée Virus.

■ Cochez Remplacer les actions configurées pour les risques de sécurité,puis définissez les actions pour cette sous-catégorie seulement.


88

6 Sélectionnez une action principale et une action secondaire parmi les optionssuivantes :

Supprime le virus du fichier. Il s'agit de la première actionpar défaut pour les virus.

Nettoyer le risque

Remarque : Cette action est seulement disponible commepremière action pour des virus. Cette action ne s'appliquepas aux risques de sécurité.

Ce paramètre devrait toujours être la première action pourles virus. Si le client parvient à supprimer un virus d'unfichier, aucune autre action n'est nécessaire. L'ordinateur necontient plus de virus et ne peut plus propager le virus dansd'autres zones de l'ordinateur.

Lorsque le client nettoie un fichier, il supprime le virus dufichier infecté, du secteur de démarrage ou des tables departition infecté(es). Il empêche également le virus de sepropager. Le client peut généralement détecter et supprimerun virus avant qu'il endommage l'ordinateur. Par défaut, leclient sauvegarde le fichier.

Toutefois, dans certains cas, le fichier nettoyé peut êtreinutilisable. Le virus peut avoir causé trop de dommages.

Certains fichiers infectés ne peuvent pas être nettoyés.

Déplace le fichier infecté de son emplacement initial vers lazone de quarantaine. Les fichiers infectés déplacés vers laquarantaine ne peuvent pas en infecter d'autres.

Mettre le risque enquarantaine

Pour les virus, transfère le fichier infecté de l'emplacementd'origine vers la quarantaine. Ce paramètre correspond à laseconde action par défaut exécutée pour les virus.

Pour les risques de sécurité, le client transfère les fichiersinfectés de l'emplacement d'origine vers la quarantaine ettente de supprimer ou de réparer les effets induits. Ceparamètre correspond à la première action par défautexécutée pour les risques de sécurité.

La Quarantaine contient un enregistrement de toutes lesactions qui ont été exécutées. Vous pouvez restaurer l'étatde l'ordinateur qui existait avant la suppression du risquepar le client.

89Gestion des analysesConfigurer des actions pour la détection des logiciels malveillants et des risques de sécurité

Supprime le fichier infecté du disque dur de l'ordinateur. Sile client ne peut pas supprimer un fichier, les informationssur l'action exécutée par le client apparaît dans la boîte dedialogue Notification. Les informations apparaissentégalement dans le journal des événements.

Utilisez cette action uniquement si vous pouvez remplacerle fichier par une copie de sauvegarde ne contenant aucunvirus ou risque de sécurité. Quand le client supprime unrisque, il le supprime de manière permanente. Le fichierinfecté ne peut pas être récupéré depuis la Corbeille.

Remarque : Utilisez cette action avec précaution lorsquevous définissez des actions pour les risques de sécurité. Danscertains cas, la suppression des risques de sécurité peutentraîner la perte de la fonctionnalité des applications.

Supprimer le risque

Laisse le fichier en l'état.

Si vous utilisez cette action pour des virus, le virus reste dansles fichiers infectés. Le virus peut se propager dans d'autresparties de votre ordinateur. Une entrée est insérée dansl'historique des risques pour conserver une trace du fichierinfecté.

Vous pouvez utiliser Conserver (journal seulement) commedeuxième action pour les logiciels malveillants et les risquesde sécurité.

Ne sélectionnez pas cette action lorsque vous exécutez desanalyses automatiques à grande échelle, telles que desanalyses planifiées. Utilisez cette action si vous voulezafficher les résultats d'analyse et exécuter une actionsupplémentaire plus tard. Une action supplémentairepourrait être de déplacer le fichier vers la Quarantaine.

Pour les risques de sécurité, cette action conserve le fichierinfecté tel quel et place une entrée dans l'historique desrisques pour conserver un enregistrement du risque. Utilisezcette action pour contrôler manuellement le traitement d'unrisque de sécurité par le client. Ce paramètre est la secondeaction par défaut des risques de sécurité.

L'administrateur peut envoyer un message personnalisé quiexplique comment réagir.

Conserver (consigner)

7 Répétez ces étapes pour chaque catégorie pour laquelle vous voulez définirdes actions spécifiques, puis cliquez sur OK.


90

8 Si vous avez sélectionné une catégorie de risque de sécurité, vous pouvezsélectionner des actions personnalisées pour une ou plusieurs instancesspécifiques de cette catégorie de risque de sécurité. Vous pouvez exclure unrisque de sécurité de l'analyse. Par exemple, il peut être nécessaire d'exclureun logiciel publicitaire que vous devez utiliser dans votre travail.

9 Cliquez sur OK.

Exclusion d'éléments des analysesLes exceptions sont des risques de sécurité connus, des fichiers, des extensionsde fichier et des processus à exclure d'une analyse. Si après l'analyse del'ordinateur, vous découvrez que certains fichiers sont approuvés, vous pouvezles exclure. Dans certains cas, les exceptions peuvent réduire le temps d'analyseet améliorer les performances du système. En général, vous n'avez pas besoin decréer des exceptions.

Pour les clients gérés, l'administrateur de votre système peut avoir créé desexceptions pour les analyses. Si vous créez une exception qui entre en conflit avecune exception définie par l'administrateur, l'exception définie par l'administrateura la priorité. Votre administrateur peut également vous empêcher de configurerun type d'exceptions ou tous les types d'exceptions.

Remarque : Si votre application de messagerie électronique enregistre tout lecourrier dans un unique fichier, vous devriez créer une exception de fichier pourexclure ce fichier de la boîte de réception des analyses. Par défaut, les analysesmettent les virus en quarantaine. Si une analyse détecte un virus dans le fichierde la boîte de réception, l'analyse place la boîte de réception complète enquarantaine. Si l'analyse place la boîte de réception en quarantaine, vous ne pouvezpas accéder à votre courrier électronique.

Tableau 4-8 Types d'exceptions

DescriptionType d'exception

S'applique aux analyses antivirus et anti-logiciel espion

Les analyses ignorent le fichier que vous sélectionnez.

Fichier

S'applique aux analyses antivirus et anti-logiciel espionet/ou aux analyses SONAR.

Les analyses ignorent le dossier que vous sélectionnez.

Dossier

91Gestion des analysesExclusion d'éléments des analyses

DescriptionType d'exception

S'applique aux analyses antivirus et anti-logiciel espion

Les analyses ignorent les risques connus que voussélectionnez.

Risques connus

S'applique aux analyses antivirus et anti-logiciel espion.

Les analyses ignorent les fichiers possédant les extensionsspécifiées.

Extensions

S'applique aux analyses antivirus et anti-logiciel espion.

Détail des téléchargements ignore le domaine Web approuvéspécifié.

Domaine Web approuvé

S'applique aux analyses antivirus et anti-logiciel espionainsi qu'aux analyses SONAR

Les analyses ignorent, mettent en quarantaine, consignentou interrompent l'application spécifiée ici.

Application


Exclusion d'éléments des analysesLes exceptions correspondent à des risques de sécurité connus, des fichiers,dossiers, extensions de fichier, domaines Web ou applications que vous souhaitezexclure des analyses. Si après l'analyse de l'ordinateur, vous découvrez que certainsfichiers sont approuvés, vous pouvez les exclure. Dans certains cas, les exceptionspeuvent réduire le temps d'analyse et améliorer les performances du système. Engénéral, vous n'avez pas besoin de créer des exceptions.

Pour les clients gérés, l'administrateur de votre système peut avoir créé desexceptions pour les analyses. Si vous créez une exception qui entre en conflit avecune exception définie par l'administrateur, l'exception définie par l'administrateura la priorité.

Les exceptions de risque de sécurité s'appliquent pour toutes les analyses de risquede sécurité. Les exceptions d'application sont également valables pour toutes lesanalyses de risque de sécurité. Les exceptions de dossier de SONAR s'appliquentuniquement à SONAR.

SONAR ne prend pas en charge les exceptions de fichier. Utilisez une exceptiond'application pour exclure un fichier de SONAR.



Gestion des analysesExclusion d'éléments des analyses

92

Remarque : Sur l'installation Server Core de Windows Server 2008, les boîtes dedialogue peuvent s'afficher différemment de celles décrites dans ces procédures.


Pour exclure des éléments des analyses de risque de sécurité


2 En regard de Exceptions, cliquez sur Configurer les paramètres.

3 Dans la boîte de dialogue Exceptions, sous Exceptions définies parl'utilisateur, cliquez sur Ajouter > Exceptions de risques de sécurité.

4 Sélectionnez l'un des types d'exception suivants :

■ Risques connus

■ Fichier

■ Dossier

■ Extensions

■ Domaine Web


■ Pour les risques connus, sélectionnez les risques de sécurité que voussouhaitez exclure des analyses.Pour consigner un événement lorsque le risque de sécurité est détecté etignoré, cochez Consigner lorsque le risque de sécurité est détecté.

■ Pour les fichiers ou les dossiers, sélectionnez le fichier ou le dossier àexclure, puis cliquez sur Ajouter.Pour les dossiers, activez ou désactivez l'option Inclurelessous-dossiers.

■ Pour les extensions, saisissez l'extension à exclure.Vous pouvez inclure un seul nom d'extension dans la zone de texte. Sivous saisissez des extensions multiples, le client traite l'entrée comme unnom d'extension unique.

■ Pour les domaines, entrez un site Web que vous voulez exclure de ladétection de Détail des téléchargements.

6 Cliquez sur OK.

7 Dans la boîte de dialogue Exceptions, cliquez sur Fermer.

93Gestion des analysesExclusion d'éléments des analyses

Pour exclure un dossier de SONAR


2 En regard de Exceptions, cliquez sur Configurer les paramètres.

3 Dans la boîte de dialogue Exceptions, sous Exceptions définies parl'utilisateur, cliquez sur Ajouter > Exception SONAR > Dossier.

4 Sélectionnez le dossier que vous souhaitez exclure, activez ou désactivezl'option Inclure les sous-dossiers, puis cliquez sur Ajouter.

Si vous sélectionnez un fichier plutôt qu'un dossier, le client utilise le dossierparent pour l'exception.


Pour modifier la façon dont les analyses gèrent une application


2 En regard du champ Exceptions, cliquez sur Configurer les paramètres.

3 Dans la boîte de dialogue Exceptions, sous Exceptions définies parl'utilisateur, cliquez sur Ajouter > Exception d'application.

4 Sélectionnez le nom de fichier de l'application

5 Dans la liste déroulante Action, sélectionnez Ignorer, Consigneruniquement,Quarantaine ou Terminer.

6 Cliquez sur Ajouter.


Gestion des fichiers en quarantaine sur votreordinateur client

Par défaut, Symantec Endpoint Protection essaye de nettoyer un virus à partird'un fichier infecté quand il est détecté. Si le fichier ne peut pas être nettoyé,l'analyse place le fichier en quarantaine sur votre ordinateur. Pour les risques desécurité, les analyses placent les fichiers infectés en quarantaine et réparent leseffets négatifs du risque de sécurité. Détail des téléchargements et SONARpourraient également mettre en quarantaine des fichiers.


Gestion des analysesGestion des fichiers en quarantaine sur votre ordinateur client

94

Tableau 4-9 Gestion des fichiers en quarantaine sur votre ordinateur client

DescriptionTâche

Un fichier nettoyé ne possède parfois pasd'emplacement auquel le ramener. Par exemple,une pièce jointe infectée peut être détachée d'unmessage électronique et mise en quarantaine.Vous devez libérer le fichier et indiquer unemplacement.

Restauration d'un fichier enquarantaine à son emplacement initial

Vous pouvez placer manuellement un fichier enquarantaine en l'ajoutant à la Quarantaine ou enle sélectionnant dans les journaux d'analyseantivirus et anti-logiciel espion ou SONAR.

Se reporter à "Mise en quarantaine d'un fichierdu journal des risques ou d'analyse" à la page 97.

Mise en quarantaine manuelle d'unélément

Vous pouvez supprimer manuellement de laquarantaine les fichiers dont vous n'avez plusbesoin. Vous pouvez également définir un délaiaprès lequel les fichiers seront supprimésautomatiquement.

Remarque : Votre administrateur peut spécifierun nombre de jours maximal pendant lequel deséléments peuvent rester en quarantaine. Aprèsce délai, les éléments sont supprimésautomatiquement.

Suppression permanente des fichiersplacés en quarantaine

Quand vous mettez à jour des définitions, lesfichiers en quarantaine peuvent être analysés,nettoyés et restaurés automatiquement. Pourcertains fichiers l'assistant de réparation s'affiche.Suivez les instructions à l'écran pour terminer lanouvelle analyse et la réparation.

Vous pouvez également analyser de nouveaumanuellement les fichiers infectés et placés enquarantaine.

Analysez de nouveau les fichiers enquarantaine après réception denouvelles définitions.

Vous pouvez exporter le contenu de laquarantaine vers un fichier délimité par desvirgules (.csv) ou un fichier de base de donnéesMicrosoft Access (.mdb).

Exportation des informations dequarantaine

95Gestion des analysesGestion des fichiers en quarantaine sur votre ordinateur client

DescriptionTâche

Après avoir effectué une nouvelle analyse desfichiers de la quarantaine, vous pouvez soumettreun fichier qui est encore infecté à SymantecSecurity Response pour une analyse approfondie.

Se reporter à "Soumettre manuellement àSymantec Security Response un fichier suspectpour analyse" à la page 97.

Envoi des fichiers infectés de laquarantaine à Symantec SecurityResponse

Avant d'essayer de nettoyer ou de réparer deséléments, le client réalise par défaut des copiesde sauvegarde des éléments infectés. Après quele client ait nettoyé avec succès un virus, vousdevriez manuellement supprimer l'élément de laquarantaine parce que la sauvegarde est encoreinfectée.

Suppression des éléments desauvegarde

Vous pouvez configurer le client pour lasuppression automatique des éléments de laquarantaine après un certain délai. Vous pouvezégalement spécifier que le client supprime deséléments quand le dossier où les éléments sontenregistrées atteint une certaine taille. Vousévitez ainsi l'accumulation de fichiers que vouspouvez oublier de supprimer manuellement.

Se reporter à "Suppression automatique desfichiers en quarantaine" à la page 98.

Suppression automatique de fichiersde la quarantaine

A propos de la mise en quarantaine de fichiersQuand le client met un fichier infecté en quarantaine, le virus ou le risque ne peutpas se copier et infecter d'autres fichiers sur votre ordinateur ou d'autresordinateurs du réseau. Cependant, l'action de Quarantaine ne nettoie pas le risque.Le risque reste sur votre ordinateur jusqu'à ce que le client nettoie le risque ousupprime le fichier. Vous n'avez pas accès au fichier. Mais vous pouvez supprimerle fichier de la quarantaine.

Quand vous mettez à jour votre ordinateur avec de nouvelles définitions de virus,le client vérifie automatiquement la quarantaine. Vous pouvez réanalyser leséléments en quarantaine. Les dernières définitions peuvent peut-être nettoyerou réparer les fichiers précédemment mis en quarantaine.

Les virus peuvent être mis en quarantaine. Les virus de zone de démarrage résidentdans le secteur de démarrage ou dans les tables de partitions de l'ordinateur, qu'ilest impossible de déplacer vers la quarantaine. Parfois le client détecte un virus


96

inconnu qui ne peut pas être éliminé avec les définitions de virus actuelles. Sivous pensez qu'un fichier est infecté mais que les analyses ne détectent aucuneinfection, vous devez mettre en quarantaine le fichier.

Remarque : La langue du système d'exploitation sur lequel vous exécutez le clientpeut ne pas savoir interpréter certains caractères des noms de virus. Si le systèmed'exploitation ne peut pas interpréter les caractères, les caractères apparaissentcomme des points d'interrogation dans les notifications. Par exemple, certainsnoms de virus Unicode peuvent contenir des caractères à deux octets. Sur lesordinateurs qui exécutent le client sur un système d'exploitation anglais, cescaractères apparaissent comme des points d'interrogation.


Mise en quarantaine d'un fichier du journal des risques ou d'analyseSelon l'action prédéfinie pour une détection de menace, le client peut effectuerou ne pas pouvoir effectuer l'action que vous avez sélectionnée quand une détectionse produit. Vous pouvez utiliser le journal des risques ou le journal d'analyse pourmettre en quarantaine un fichier plus tard.



Pour mettre en quarantaine un fichier du journal des risques ou d'analyse

1 Dans le client, cliquez sur Afficher les journaux.

2 En regard de Protection contre les virus et les logiciels espions, cliquez surAfficher le journal, puis sélectionnez Journal des risques ou Journald'analyse.

3 Sélectionnez le fichier que vous souhaitez mettre en quarantaine, puis cliquezsur Mettre en quarantaine.

4 Cliquez sur OK, puis sur Fermer.

Soumettre manuellement à Symantec Security Response un fichiersuspect pour analyse

Lorsque vous soumettez un élément infecté de votre liste d'éléments enquarantaine à Symantec Security Response. Symantec Security Response peutanalyser cet élément pour s'assurer qu'il n'est pas infecté. Symantec Security

97Gestion des analysesGestion des fichiers en quarantaine sur votre ordinateur client

Response utilise également ces données pour protéger contre de nouvelles menacesou des menaces en cours de développement.

Remarque : L'option de soumission n'est pas disponible si votre administrateurdésactive ces types de soumissions.


Pour envoyer un fichier à Symantec Security Response depuis la quarantaine

1 Dans la barre latérale du client, cliquez sur Afficher la quarantaine.

2 Sélectionnez le fichier dans la liste des éléments en quarantaine.

3 Cliquez sur Soumettre.

4 Suivez les instructions de l'assistant pour réunir les informations nécessaireset envoyer le fichier pour analyse.

Suppression automatique des fichiers en quarantaineVous pouvez configurer votre logiciel pour supprimer automatiquement deséléments de la liste Quarantaine après un délai spécifié. Vous pouvez égalementspécifier que le client supprime des éléments quand le dossier où les élémentssont enregistrées atteint une certaine taille. Vous évitez ainsi l'accumulation defichiers que vous pouvez oublier de supprimer manuellement.


Pour supprimer automatiquement des fichiers en quarantaine

1 Dans la barre latérale du client, cliquez sur Afficher la quarantaine.

2 Cliquez sur Options de purge.

3 Dans la boîte de dialogue Options de purge, sélectionnez l'un des ongletssuivants :

■ Eléments en quarantaine

■ Eléments sauvegardés

■ Eléments réparés

4 Activez ou désactivez l'option La durée de stockage est supérieure à pouractiver ou désactiver la capacité du client à supprimer les fichiers une foisque le temps configuré a expiré.


98

5 Si vous cochez la case Laduréedestockageestsupérieureà, tapez ou cliquezsur une flèche pour écrire la durée.

6 Sélectionnez l'unité du temps dans la liste déroulante. Le paramètre par défautest 30 jours.

7 Si vous cochez la case La taille totale du dossier est supérieure à, tapez lataille maximale de dossier à permettre, en mégaoctets. La valeur par défautest de 50 mégaoctets.

Si vous sélectionnez les deux options, les fichiers plus anciens que l'âgespécifié sont purgés en premier. Si la taille du dossier dépasse toujours lalimite que vous avez définie, le client supprime les fichiers les plus anciensindividuellement. Le client supprime les fichiers les plus anciens jusqu'à ceque la taille de dossier ne dépasse plus la limite.

8 Répétez les étapes 4 à 7 pour les autres onglets.

9 Cliquez sur OK.

A propos de la transmission d'informations sur lesdétections à Symantec Security Response

Vous pouvez configurer votre ordinateur pour soumettre automatiquement desinformations sur les détections à Symantec Security Response pour analyse.

Symantec Response et le réseau global de stratégie utilisent ces informationssoumises pour formuler rapidement des interventions à des menaces de sécuritérécentes ou en développement. Les données que vous soumettez améliorent lacapacité de Symantec à réagir aux menaces et à personnaliser la protection.Symantec recommande de toujours autoriser les transmissions.

Se reporter à "A propos du client Symantec Endpoint Protection" à la page 11.

Vous pouvez choisir de soumettre l'un des types de données suivants :

■ Réputation de fichierLes informations relatives aux fichiers qui sont détectés selon leur réputation.Les informations relatives à ces fichiers contribuent à la base de données deréputation de Symantec Insight pour aider à protéger vos ordinateurs desrisques récents ou émergents.

■ Détections d'antivirusInformations sur les détections d'analyse antivirus et antispyware.

■ Détections heuristiques antivirus avancéesInformations sur les menaces potentielles détectées par Bloodhound et d'autresheuristiques d'analyse antivirus et antispyware.

99Gestion des analysesA propos de la transmission d'informations sur les détections à Symantec Security Response

Ces détections sont des détections silencieuses qui n'apparaissent pas dans lejournal des risques. Les informations sur ces détections sont utilisées pourune analyse statistique.

■ Détections SONARInformations sur les menaces détectées par SONAR, qui incluent les détectionsdes risques élevés ou faibles, les événements de modification du système etles comportements suspects des applications approuvées.

■ Heuristiques SONARLes détections heuristiques SONAR sont des détections silencieuses quin'apparaissent pas dans le journal des risques. Ces informations sont utiliséespour une analyse statistique.

Vous pouvez également soumettre manuellement un exemple Response depuisla quarantaine.



Se reporter à "A propos des fichiers et des applications que SONAR détecte"à la page 105.

Envoi des informations concernant les détections àSymantec Security Response

Symantec Endpoint Protection peut protéger les ordinateurs en contrôlant lesinformations qui entrent et sortent de l'ordinateur et en bloquant les tentativesd'attaque.

Vous pouvez activer l'envoi d'informations sur les menaces détectées à SymantecSecurity Response sur votre ordinateur. Symantec Security Response utilise cesinformations pour protéger vos ordinateurs client des nouvelles menaces cibléeset en mutation. Toutes les données que vous soumettez améliorent la capacité deSymantec à réagir face aux menaces et à personnaliser la protection de votreordinateur. Symantec vous recommande de soumettre autant d'informations dedétection que possible.

Vous pouvez également envoyer un échantillon à Symantec Response depuis lapage Quarantaine. La page Quarantaine vous permet également de déterminer lafaçon dont les éléments sont envoyés à Symantec Security Response.


Gestion des analysesEnvoi des informations concernant les détections à Symantec Security Response

100

Se reporter à "A propos de la transmission d'informations sur les détections àSymantec Security Response" à la page 99.

Pour configurer l'envoi d'informations à Symantec Security Response

1 Sélectionnez Modifier les paramètres > Gestion des clients.

2 Sur l'onglet Soumissions, cochez Activerl'envoiautomatiqued'informationsdesécuritéanonymesàSymantecdepuiscetordinateur. Cette option permetà Symantec Endpoint Protection de soumettre les informations relatives auxmenaces qui sont trouvées sur votre ordinateur.

Symantec vous recommande de maintenir cette option activée.

3 Sélectionnez les types d'information à envoyer :

■ Réputation de fichierLes informations relatives aux fichiers qui sont détectés selon leurréputation. Les informations relatives à ces fichiers contribuent à la basede données de réputation de Symantec Insight pour aider à protéger vosordinateurs des risques récents ou émergents.

■ Détections antivirusInformations sur les détections d'analyse antivirus et anti-logiciel espion

■ Détections antivirus heuristiques avancéesLes informations relatives aux menaces potentielles détectées parBloodhound et d'autres technologies heuristiques d'analyse de virus et delogiciels espions.Ces détections sont des détections silencieuses qui n'apparaissent pasdans le journal des risques. Les informations à propos de ces détectionssont utilisées pour des analyses statistiques.

■ Détections SONARLes informations relatives aux menaces détectées par SONAR, notammentdes détections élevées ou peu risquées, des événements de modificationdu système et de comportement suspect des applications approuvées.

■ Heuristiques SONAR

101Gestion des analysesEnvoi des informations concernant les détections à Symantec Security Response

Les détections SONAR heuristiques sont des détections silencieuses nefigurant pas dans le journal des risques. Ces informations sont utiliséespour l'analyse statistique.

4 Activez Autoriser les consultationsd'Insightpour ladétectiondemenacespour permettre à Symantec Endpoint Protection d'utiliser la base de donnéesde réputation de Symantec pour prendre des décisions concernant les menaces.

Les consultations d'Insight sont activées par défaut. Symantec vousrecommande d'autoriser les consultations d'Insight. Désactiver cette fonctiondésactive Détail des téléchargements et peut altérer la fonctionnalité deSONAR et d'Insight Lookup.

Cependant, vous pouvez désactiver cette option si vous ne voulez paspermettre à Symantec de questionner Symantec Insight.

A propos du client et du Centre de sécurité WindowsSi vous utilisez le Centre de sécurité Windows (WSC) sous Windows XP avec Servicepack 2 pour superviser la sécurité de l'ordinateur, l'état de Symantec EndpointProtection s'affiche dans WSC.

Tableau 4-10 indique comment l'état de la protection s'affiche dans WSC.

Tableau 4-10 Affichage de l'état de la protection dans WSC

Etat de la protectionEtat du produit Symantec

Introuvable (rouge)Symantec Endpoint Protection n'est pas installé

Activé (vert)Symantec Endpoint Protection est installé avec protectioncomplète

Périmé (rouge)Symantec Endpoint Protection est installé et les définitions devirus et de risque de sécurité sont périmées

Désactivé (rouge)Symantec Endpoint Protection est installé et Auto-Protect pourle système de fichiers n'est pas activé

Désactivé (rouge)Symantec Endpoint Protection est installé, Auto-Protect pour lesystème de fichiers n'est pas activé et les définitions de virus etde risque de sécurité sont obsolètes

Désactivé (rouge)Symantec Endpoint Protection est installé et Rtvscan estdésactivé manuellement

Tableau 4-11 décrit comment l'état du pare-feu de Symantec Endpoint Protectionest signalé dans WSC.

Gestion des analysesA propos du client et du Centre de sécurité Windows

102

Tableau 4-11 Affichage de l'état du pare-feu dans WSC

Etat du pare-feuEtat du produit Symantec

Introuvable (rouge)Le pare-feu Symantec n'est pas installé

Activé (vert)Le pare-feu Symantec est installé et activé

Désactivé (rouge)Le pare-feu Symantec est installé mais n'est pas activé

Activé (vert)Le pare-feu Symantec n'est pas installé ou n'est pas activé, maisun pare-feu tiers est installé et activé

Remarque :Dans Symantec Endpoint Protection, le Pare-feu Windows est désactivépar défaut.

Si plusieurs pare-feu sont activés, WSC signale que plusieurs pare-feu sont installéset activés.

Gestion de SONAR sur votre ordinateur clientLa gestion de SONAR fait partie de la protection proactive contre les menaces.Sur les clients gérés, votre administrateur peut verrouiller certains des paramètres.


Se reporter à "A propos des types d'analyse" à la page 66.

Tableau 4-12 Gestion de SONAR sur votre ordinateur client

DescriptionTâche

Pour une protection optimale de votre ordinateurclient, SONAR doit être activé. SONAR est activépar défaut.

SONAR est activé en même temps que laprotection proactive contre les menaces.

Se reporter à "A propos de l'activation et de ladésactivation de la protection" à la page 43.

Assurez-vous que SONAR est activé.

103Gestion des analysesGestion de SONAR sur votre ordinateur client

DescriptionTâche

SONAR utilise les données de réputation en plusdes règles heuristiques pour effectuer lesdétections. Si vous désactivez les consultationsd'Insight (requêtes de réputation), SONAReffectue les détections uniquement à l'aide destechnologies heuristiques. Le taux de faux positifspeut augmenter et la protection offerte parSONAR est limitée.

Se reporter à "Envoi des informations concernantles détections à Symantec Security Response"à la page 100.

Assurez-vous que les consultationsd'Insight sont activées

Vous pouvez activer ou désactiver SONAR. Vouspouvez également modifier l'action de détectionpour certains types de menace que SONARdétecte. Il peut être utile de modifier l'action dedétection afin de réduire le taux de détections defaux positifs.

Se reporter à "Modification des paramètresSONAR" à la page 106.

Modification des paramètres SONAR

SONAR pourrait détecter les fichiers ou lesapplications que vous voulez exécuter sur votreordinateur. Vous pouvez créer des exceptionspour les applications ou les dossiers. Vous pouvezégalement créer une exception à la quarantaine.

Se reporter à "Exclusion d'éléments des analyses"à la page 92.

Créez des exceptions pour lesapplications identifiées commesécurisées.

Symantec recommande d'activer l'envoi desinformations de détection à Symantec SecurityResponse. Ces informations aident Symantec àfaire face aux menaces. Par défaut, lessoumissions sont activées.

Se reporter à "Envoi des informations concernantles détections à Symantec Security Response"à la page 100.

Envoi des informations concernant lesdétections SONAR à Symantec SecurityResponse

A propos de SONARSONAR correspond à une protection en temps réel qui détecte des applicationspotentiellement malveillantes si elles s'exécutent sur vos ordinateurs. L'analyseSONAR assure une protection contre les menaces "Zero Day", car elle détecte les

Gestion des analysesGestion de SONAR sur votre ordinateur client

104

menaces avant que des définitions de virus et de spyware standard aient été crééespour traiter ces menaces.

SONAR utilise des heuristiques ainsi que des données de réputation pour détecterdes menaces émergeantes et inconnues. SONAR fournit un degré de protectionsupplémentaire sur vos ordinateurs client et complète vos fonctionnalitésexistantes de protection antivirus et antispyware, de prévention d'intrusion et deprotection par pare-feu.

Remarque : Auto-Protect utilise également un type d'heuristique appeléBloodhound pour détecter des comportements suspects dans des fichiers.

Se reporter à "Gestion de SONAR sur votre ordinateur client" à la page 103.

Se reporter à "A propos des fichiers et des applications que SONAR détecte"à la page 105.

A propos des fichiers et des applications que SONAR détecteSONAR utilise un système d'heuristiques qui tire profit du réseau stratégique enligne de Symantec avec une surveillance locale active sur votre ordinateur pourdétecter des menaces naissantes. SONAR détecte également les modifications oules comportements à surveiller sur votre ordinateur.

SONAR n'effectue pas de détections sur le type d'application, mais sur lecomportement d'un processus. SONAR agit sur une application seulement si cetteapplication se comporte de façon malveillante, indépendamment de son type. Parexemple, si un cheval de Troie ou un enregistreur de frappe n'agit pas de façonmalveillante, SONAR ne le détecte pas.

SONAR détecte les éléments suivants :

SONAR utilise des heuristiques pour déterminersi un fichier inconnu se comporte de façonsuspecte et s'il peut constituer un risque élevé oufaible. Cette fonction utilise également lesdonnées de réputation pour déterminer si lamenace constitue un risque élevé ou faible.

Menaces heuristiques

SONAR détecte les applications ou les fichiers quiessayent de modifier les paramètres DNS ou unfichier hôte sur un ordinateur client.

Modifications du système


Certains fichiers approuvés peuvent être associésà un comportement suspect. SONAR identifie cesfichiers en tant qu'événements de comportementsuspect. Par exemple, une application bien connuede partage de documents peut créer des fichiersexécutables.

Applications approuvées qui affichentun comportement incorrect

Si vous désactivez Auto-Protect, vous limitez la capacité de SONAR à détecter desfichiers constituant des risques élevés ou faibles. Si vous désactivez desconsultations d'Insight (requêtes de réputation), vous limitez également la fonctionde la détection de SONAR.


Modification des paramètres SONARVous voudrez peut-être modifier les actions SONAR afin de réduire le taux dedétections de faux positifs. Vous pouvez également modifier les notifications pourles détections SONAR heuristiques.


Remarque : Sur les clients gérés, votre administrateur peut verrouiller cesparamètres.

Pour modifier les paramètres SONAR


2 En regard de Protectionproactivecontrelesmenaces, cliquez sur Configurerles paramètres.

3 Sur l'onglet SONAR, modifiez les actions pour des menaces heuristiques derisque élevé ou peu risquées.

Vous pouvez activer le mode agressif pour les détections de niveau de risquefaible. Ce paramètre augmente la sensibilité de SONAR aux détections peurisquées. Il peut aussi augmenter le taux de détections de faux positifs.

4 Vous pouvez également modifier les paramètres de notification.

5 Dans l'onglet Détectiondecomportementsuspect, modifiez l'action associéeaux détections de risque faible ou élevé. SONAR effectue ces détections lorsqueles fichiers approuvés sont associés à un comportement suspect.


106

6 Dans l'onglet Evénements de modification système, modifiez l'actiond'analyse pour la détection des changements des paramètres du serveur DNSou d'un fichier hôte.

7 Cliquez sur OK.



108

Gérer le pare-feu et laprévention d'intrusion


■ A propos de la protection contre les menaces réseau

■ Gestion de la protection par pare-feu

■ Configuration des paramètres de pare-feu

■ Autoriser ou bloquer des applications

■ Affichage de l'activité réseau

■ A propos des règles de pare-feu client

■ A propos de l'ordre de traitement des règles et des paramètres du pare-feu etde la prévention d'intrusion

■ Modification de l'ordre des règles de pare-feu

■ Utilisation de l'inspection avec état par le pare-feu

■ Les éléments d'une règle de filtrage

■ Configuration de règles de filtrage

■ Gérer la prévention d'intrusion

■ Fonctionnement de la prévention d'intrusion

■ Activation ou désactivation de la prévention d'intrusion

■ Configuration des notifications de prévention d'intrusion

5Chapitre

A propos de la protection contre les menaces réseauLe client Symantec Endpoint Protection assure la protection contre les menacesréseau, qui contrôle les informations entrantes et sortantes de votre ordinateuret bloque les tentatives d'attaque réseau.

Tableau 5-1 décrit les fonctions de Symantec Endpoint Protection que vous pouvezutiliser pour gérer la protection contre les menaces réseau.

Tableau 5-1 Fonctions de protection contre les menaces réseau

DescriptionOutil

Le pare-feu empêche les utilisateurs non autorisés d'accéder àl'ordinateur et aux réseaux qui se connectent à Internet. Il détecteles éventuelles attaques de pirates, protège les informationspersonnelles et élimine les sources indésirables de trafic réseau.Le pare-feu autorise ou bloque le trafic entrant et sortant.

Se reporter à "Fonctionnement d'un pare-feu" à la page 112.


Pare-feu

Le système de prévention d'intrusion (IPS) détecte et bloqueautomatiquement les attaques réseau. L'IPS analyse chaque paquetqui entre et sort d'un ordinateur pour des signatures d'attaque.

Pour détecter et bloquer les activités réseau douteuses, IPSs'appuie sur une vaste liste de signatures d'attaque. Symantecfournit la liste des menaces connues, que vous pouvez mettre àjour sur le client à l'aide de Symantec LiveUpdate. Le moteurSymantec IPS et le jeu de signatures IPS correspondant sontinstallés sur le client par défaut.

Se reporter à "Fonctionnement de la prévention d'intrusion"à la page 143.

Se reporter à "Gérer la prévention d'intrusion" à la page 142.

Système de préventiond'intrusion

Gestion de la protection par pare-feuPar défaut, le pare-feu autorise tous les trafics réseau entrants et sortants. Vouspouvez configurer le pare-feu pour autoriser ou bloquer des types de traficspécifiques.

Votre administrateur détermine le niveau de l'interaction que vous avez avec leclient en vous permettant de configurer des règles de filtrage et des paramètres.Votre administrateur peut restreindre votre utilisation pour que vous ne puissiezinteragir avec le client que lorsqu'il vous informe de nouvelles connexions réseau

Gérer le pare-feu et la prévention d'intrusionA propos de la protection contre les menaces réseau

110

et de problèmes possibles. Votre administrateur peut également vous donner unaccès total à l'interface utilisateur.

Tableau 5-2 décrit les tâches du pare-feu que vous pouvez effectuer pour protégervotre ordinateur. Toutes ces tâches sont facultatives et peuvent être effectuéesdans n'importe quel ordre.

Tableau 5-2 Gestion de la protection par pare-feu

DescriptionTâche

Apprenez comment le pare-feu protège l'ordinateur contre desattaques réseau.


Prendreconnaissance dufonctionnement dupare-feu

En plus de la création de règles de filtrage, vous pouvez égalementactiver et configurer des paramètres de pare-feu afin d'améliorer laprotection pare-feu.

Se reporter à "Configuration des paramètres de pare-feu"à la page 113.

Configuration desparamètres dupare-feu

Vous pouvez régulièrement vérifier l'état de la protection pare-feusur votre ordinateur pour déterminer ce qui suit :

■ Les règles de filtrage que vous avez créées fonctionnentcorrectement.

■ Le client a bloqué toutes les attaques réseau.

■ Le client a bloqué toutes les applications que vous avez prévuesd'exécuter.

Vous pouvez utiliser le journal du trafic et le journal des paquetspour vérifier l'état de protection par pare-feu.


Remarque : Par défaut, le journal des paquets est désactivé sur lesclients gérés.

Affichage desjournaux de pare-feu

Vous pouvez améliorer la protection pour votre ordinateur enpersonnalisant les paramètres de l'application. Une application estun logiciel conçu pour aider l'utilisateur à effectuer une tâche. Parexemple, Microsoft Internet Explorer est une application. Vouspouvez configurer des paramètres de pare-feu pour contrôler lesapplications qui peuvent accéder au réseau.

Se reporter à "Autoriser ou bloquer des applications" à la page 127.

Configuration desparamètres del'application

111Gérer le pare-feu et la prévention d'intrusionGestion de la protection par pare-feu

DescriptionTâche

Vous pouvez afficher les informations sur le trafic entrant et le traficsortant à partir du client. Vous pouvez également afficher une listed'applications et de services qui se sont exécutés depuis que le serviceclient a démarré.

Se reporter à "Affichage de l'activité réseau" à la page 132.

Contrôle de l'activitédu réseau

En plus d'activer des paramètres de pare-feu, vous pouvez modifierles règles de filtrage par défaut pour personnaliser davantage votreprotection pare-feu. Vous pouvez également créer de nouvellesrègles de filtrage. Par exemple, vous pourrez bloquer une applicationque vous ne voulez pas exécuter sur votre ordinateur, tel qu'unlogiciel publicitaire.

Se reporter à "A propos des règles de pare-feu client" à la page 133.

Se reporter à "Configuration de règles de filtrage" à la page 139.

Se reporter à "Activer et désactiver des règles de filtrage"à la page 142.

Ajout etpersonnalisation desrègles de filtrage

Vous pouvez désactiver temporairement la protection contre lesmenaces réseau à des fins de dépannage. Par exemple, vous pouvezavoir besoin de la désactiver pour pouvoir ouvrir une certaineapplication.

Se reporter à "Activer ou désactiver la protection sur l'ordinateurclient" à la page 45.

Activation oudésactivation dupare-feu

Se reporter à "A propos de la protection contre les menaces réseau" à la page 110.

Fonctionnement d'un pare-feuUn pare-feu effectue toutes les tâches suivantes :

■ Il empêche tous les utilisateurs non autorisés d'accéder aux ordinateurs etréseaux dans votre organisation qui se connectent à Internet

■ Il surveille la communication entre vos ordinateurs et d'autres ordinateurssur Internet.

■ Il crée un bouclier qui autorise ou bloque les tentatives d'accès aux informationssur vos ordinateurs.

■ Il vous avertit des tentatives de connexion à partir d'autres ordinateurs.

■ Il vous avertit des tentatives de connexion par les applications de votreordinateur qui se connectent à d'autres ordinateurs.

Gérer le pare-feu et la prévention d'intrusionGestion de la protection par pare-feu

112

Le pare-feu examine les paquets de données transmis via Internet. Un paquet estun morceau de données qui fait partie du flux d'information entre deux ordinateurs.Les paquets sont rassemblés à leur destination pour apparaître comme un fluxde données ininterrompu.

Les paquets contiennent des informations sur les éléments suivants :

■ Ordinateurs à l'origine de l'envoi

■ Destinataires

■ Mode de traitement des données du paquet

■ Ports de réception des paquets

Les ports sont les canaux qui divisent le flux de données provenant d'Internet.Les applications qui s'exécutent sur un ordinateur sont à l'écoute de ces ports.Les applications acceptent les données envoyées aux ports.

Les attaques réseau exploitent les failles dans les applications vulnérables. Lesattaquants utilisent ces faiblesses pour envoyer des paquets qui contiennent ducode de programmation malveillant aux ports. Quand les applications vulnérablessont à l'écoute des ports, le code malveillant permet aux attaquants d'accéder àl'ordinateur.

Se reporter à "A propos de la protection contre les menaces réseau" à la page 110.


Configuration des paramètres de pare-feuTableau 5-3 décrit les types de paramètres de pare-feu que vous pouvez configurerpour personnaliser davantage votre protection par pare-feu.

Votre administrateur ne vous a pas donné les autorisations appropriées pourconfigurer ces paramètres s'ils n'apparaissent pas dans l'interface utilisateur oune peuvent pas être modifiés. La modification des paramètres de pare-feu estfacultative et peut être effectuée dans n'importe quel ordre.

113Gérer le pare-feu et la prévention d'intrusionConfiguration des paramètres de pare-feu

Tableau 5-3 Paramètres de pare-feu

DescriptionCatégorie

Vous pouvez permettre à divers paramètres du trafic etparamètres furtifs de navigation web de se protéger contrecertains types d'attaques réseau sur le client. Vous pouvezpermettre à des paramètres de trafic de détecter et debloquer le trafic qui communique par les pilotes, NetBIOSet les anneaux à jeton. Vous pouvez configurer desparamètres pour détecter le trafic qui utilise des attaquesmoins visibles. Vous pouvez également contrôler lecomportement du trafic IP ne correspondant à aucune règlede filtrage.

Se reporter à "Activation des paramètres de trafic et desparamètres de navigation Web furtive" à la page 115.

Navigation Web en modefurtif et trafic

Symantec Endpoint Protection fournit des règles intégréesqui permettent des échanges normaux entre certainsservices réseau essentiels. Les règles intégrées éliminent lebesoin de créer des règles de filtrage qui autorisentexplicitement ces services. Pendant le traitement, ces règlesintégrées sont évaluées avant les règles de filtrage de sorteque les paquets correspondant à une occurrence active d'unerègle intégrée soient autorisés. Vous pouvez définir lesrègles intégrées des services DHCP, DNS et WINS.

Se reporter à "Autorisation automatique descommunications pour les services réseau essentiels"à la page 121.

Règles intégrées pour lesservices de réseau essentiels

Vous pouvez permettre au client de partager ses fichiers oud'accéder à des fichiers et des imprimantes partagés survotre réseau local. Pour empêcher des attaques basées surle réseau, vous pouvez désactiver le partage des fichiers etdes imprimantes du réseau.

Se reporter à "Activation du partage des fichiers et desimprimantes du réseau" à la page 122.

Fichier de réseau et partaged'impression

Gérer le pare-feu et la prévention d'intrusionConfiguration des paramètres de pare-feu

114

DescriptionCatégorie

Quand le client Symantec Endpoint Protection détecte uneattaque réseau, il peut bloquer automatiquement laconnexion pour s'assurer que l'ordinateur client est sûr. Leclient active une intervention. Le client bloque alorsautomatiquement toute communication depuis et versl'adresse IP de l'ordinateur attaquant pendant une duréedéterminée. L'adresse IP de l'ordinateur attaquant estbloquée pour un unique emplacement.

Se reporter à "Bloquer et débloquer un ordinateur attaquant"à la page 125.

Blocage d'un ordinateurattaquant



Activation des paramètres de trafic et des paramètres de navigationWeb furtive

Vous pouvez permettre à divers paramètres du trafic et paramètres furtifs denavigation Web de se protéger contre certains types d'attaques réseau sur le client.Vous pouvez permettre à des paramètres de trafic de détecter et de bloquer letrafic qui communique par les pilotes, NetBIOS et les Token Ring. Vous pouvezconfigurer des paramètres pour détecter le trafic qui utilise des attaques moinsvisibles. Vous pouvez également contrôler le comportement du trafic IP necorrespondant à aucune règle de filtrage.

Dès que le pare-feu termine certaines opérations, la commande est transmise àun certain nombre de composants. Chaque composant est conçu pour effectuerun type différent d'analyse de paquet.

Pour activer des paramètres de trafic et des paramètres de navigationWeb furtive


2 En regard de Protection contre les menaces réseau, cliquez sur Configurerles paramètres.

3 Dans l'onglet Pare-feu, sous Paramètres de trafic, cochez les cases desfonctions que vous souhaitez activer comme suit :


Bloque le trafic NetBIOS issu d'une passerelle externe.

Vous pouvez utiliser le partage de fichiers etd'imprimantes du voisinage réseau sur un réseau localet protéger un ordinateur des exploits NetBIOS den'importe quel réseau externe. Cette option bloque lespaquets NetBIOS issus d'adresses IP quin'appartiennent pas aux plages internes ICANNdéfinies. Les plages internes ICANN incluent 10.x.x.x,172.16.x.x, 192.168.x.x et 169.254.x.x, excepté lessous-réseaux 169.254.0.x et 169.254.255.x. Les paquetsNetBIOS incluent UDP 88, UDP 137, UDP 138, TCP 135,TCP 139, TCP 445 et TCP 1026.

Remarque : La protection NetBIOS peut poser unproblème avec Microsoft Outlook si l'ordinateur clientse connecte à Microsoft Exchange Server sur unsous-réseau différent. Vous pouvez créer une règle defiltrage qui permet spécifiquement l'accès à ce serveur.

Activer la protectionNetBIOS

Autorisent les ordinateurs client qui se connectent parun adaptateur Token Ring à accéder au réseau,indépendamment des règles de filtrage sur le client.

Si vous désactivez ce paramètre, aucun trafic issu desordinateurs qui se connectent par un adaptateur TokenRing ne peut accéder au réseau d'entreprise. Lepare-feu ne filtre pas le trafic Token Ring. Il autorisel'ensemble du trafic Token Ring ou bloque l'ensembledu trafic Token Ring.

Autoriser le trafic token ring


116

Autorise le trafic ARP (protocole de résolutiond'adresse) entrant et sortant seulement si une demandeARP a été faite à cet hôte spécifique. Cela bloque toutautre trafic ARP inattendu et le consigne dans lejournal de sécurité.

Certains pirates utilisent l'usurpation d'adresse MACpour détourner une session de communication entredeux ordinateurs. Les adresses MAC (Media AccessControl) sont les adresses matérielles qui identifientles ordinateurs, les serveurs, les routeurs et ainsi desuite. Quand l'ordinateur A veut communiquer avecl'ordinateur B, il peut envoyer un paquet ARP àl'ordinateur.

La protection contre l'usurpation d'adresse MACprotège un ordinateur contre la réinitialisation d'untableau d'adresse MAC par un autre ordinateur. Si unordinateur envoie un message de DEMANDE ARP, leclient autorise le message de REPONSE ARPcorrespondant au cours d'une période de 10 secondes.Le client rejette tout message REPONSE ARP nonsollicité.

Activer la protection contrel'usurpation MAC

Permet au client de contrôler les modifications desapplications réseau qui s'exécutent sur l'ordinateurclient.

Les applications réseau envoient et reçoivent le trafic.Le client détecte si le contenu d'une application change.

Activer la surveillanced'application réseau

Bloque tout le trafic entrant et sortant sur l'ordinateurclient quand le pare-feu ne s'exécute pas pour uneraison quelconque.

L'ordinateur n'est pas protégé dans l'une des situationssuivantes :

■ après le démarrage de l'ordinateur client et avantle démarrage du service de pare-feu ;

■ après l'arrêt du service de pare-feu et del'ordinateur client.

Cette période est une petite faille de sécurité qui peutpermettre une communication non autorisée. Ceparamètre empêche des applications non autoriséesde communiquer avec d'autres ordinateurs.

Remarque : Quand la protection contre les menacesréseau est désactivée, le client ignore ce paramètre.

Bloquer l'activation du traficjusqu'à l'activation dupare-feu et après sadésactivation


Quand ce paramètre est activé, Symantec EndpointProtection identifie les attaques connues basées surdes paquets multiples, quel que soit le numéro de portou le type de protocole Internet.

L'incapacité de fournir ce type de détection est unelimitation d'un système de prévention et de détectiond'intrusion basé sur les signatures.

Activer la détection des dénisde service

Quand ce paramètre est activé, Symantec EndpointProtection contrôle tous les paquets entrants qui sontbloqués par une règle de sécurité. Si une règle bloqueplusieurs différents paquets sur différents ports dansune période courte, Symantec Endpoint Protection créeune entrée de journal de sécurité.

La détection d'analyse des ports ne bloque aucunpaquet. Vous devez créer une politique de sécurité pourbloquer le trafic quand une analyse des ports seproduit.

Activer la détection d'analysede port


118

4 Sous Paramètres de trafic IP non correspondants, cochez les cases desfonctions que vous souhaitez activer.

Ces options contrôlent le trafic IP entrant et sortant qui ne correspond àaucune règle de filtrage. Le trafic IP comprend les paquets de données quitraversent les réseaux IP et utilisent les protocoles TCP, UDP et ICMP. Lesapplications, les échanges de courrier, les transferts de fichiers, lesprogrammes de ping et les transmissions Web sont des types de trafic IP.

Vous pouvez activer un ou plusieurs des paramètres de trafic IP suivants :

Autorise le trafic entrant et sortant, à moins qu'unerègle de filtrage n'en décide autrement. Par exemple,si vous ajoutez une règle de filtrage qui bloque le traficVPN, le pare-feu autorise tout autre trafic excepté letrafic VPN.

Autoriser le trafic IP

Autorise le trafic à destination ou en provenance desapplications et bloque tout trafic non associé à uneapplication. Par exemple, le pare-feu permet à InternetExplorer mais bloque le trafic VPN, à moins qu'unerègle de filtrage n'en décide autrement.

N'autoriser que le trafic del'application

Affiche un message vous demandant s'il faut bloquerou non une application. Par exemple, vous pouvezchoisir de bloquer ou non des fichiers multimédia. Ou,vous pouvez vouloir masquer des diffusions depuis leprocessus NTOSKRNL.DLL. Le processusNTOSKRNL.DLL peut être l'indication de la présenced'un spyware, parce que les spywares téléchargent etinstallent souvent le processus NTOSKRNL.DLL.

Demander avant d'autoriserle trafic de l'application


5 Sous Paramètres de furtivité, cochez les cases des fonctions que voussouhaitez activer comme suit :

Empêche un intrus de falsifier ou d'usurper l'adresseIP d'un utilisateur.

Activer le reséquençage TCP

Les pirates utilisent l'usurpation d'adresse IP pourdétourner une session de communication entre deuxordinateurs, tels que l'ordinateur A et B. Un pirate peutenvoyer un paquet de données qui fait abandonner lacommunication à l'ordinateur A. Le pirate peut se fairepasser pour l'ordinateur A afin de communiquer avecl'ordinateur B pour l'attaquer. Pour protégerl'ordinateur, la remise en séquence TCP définit de façonaléatoire les numéros de séquence TCP.

Remarque : L'usurpation de signature de systèmed'exploitation fonctionne mieux quand le reséquençageTCP est activé.

Avertissement : Le reséquençage TCP modifie lenuméro de séquence TCP quand le service clients'exécute. Le numéro de séquence est différent quandle service s'exécute et quand le service ne s'exécutepas. Par conséquent, des connexions réseau prennentfin quand vous arrêtez ou démarrez le service depare-feu. Les paquets de TCP/IP utilisent une série denuméros de session pour communiquer avec d'autresordinateurs. Quand le client ne s'exécute pas,l'ordinateur client utilise le plan de numérotation deWindows. Quand le client s'exécute et que lereséquençage TCP est activé, le client utilise un plande numérotation différent. Si le service client s'arrêtesoudainement, le système utilise alors le plan denumérotation de Windows et Windows abandonne lespaquets de trafic. De plus, le reséquençage TCP peutprésenter un problème de compatibilité avec certainescartes d'interface réseau, ce qui peut amener le clientà bloquer tout le trafic entrant et sortant.


120

Détecte le trafic HTTP d'un navigateur Web surn'importe quel port et supprime les informationssuivantes : le nom et le numéro de version denavigateur, le système d'exploitation et la page Webde référence. Cela empêche les sites Web de connaîtrele système d'exploitation et le navigateur quel'ordinateur utilise. Le trafic HTTPS (SSL) n'est pasdétecté.

Avertissement : La navigation Web en mode furtifpeut provoquer un fonctionnement incorrect decertains sites Web. Certains serveurs Web construisentune page Web sur la base des informations dunavigateur Web. Puisque cette option supprime lesinformations de navigateur, certaines pages Webpeuvent ne pas apparaître correctement ou ne pass'afficher du tout. La navigation Web en mode furtifsupprime la signature de navigateur, appeléeHTTP_USER_AGENT, de l'en-tête de requête HTTP etla remplace par une signature générique.

Activer la navigation Web enmode furtif

Empêche la détection du système d'exploitation d'unordinateur client. Le client modifie le TTL et la valeurd'identification des paquets TCP/IP pour empêcherl'identification d'un système d'exploitation.

Remarque : L'usurpation de signature de systèmed'exploitation fonctionne mieux quand le reséquençageTCP est activé.

Avertissement : Le reséquençage TCP peut présenterun problème de compatibilité avec certaines cartesd'interface réseau, ce qui peut amener le client àbloquer tout le trafic entrant et sortant.

Activer la protection contrel'usurpation des signaturesde système d'exploitation

6 Cliquez sur OK.

Se reporter à "Configuration des paramètres de pare-feu" à la page 113.

Se reporter à "Blocage du trafic" à la page 126.

Autorisation automatique des communications pour les services réseauessentiels

Symantec Endpoint Protection fournit des règles intégrées qui permettent deséchanges normaux entre certains services réseau essentiels. Les règles intégréeséliminent le besoin de créer des règles de filtrage qui autorisent explicitement ces


services. Pendant le traitement, ces règles intégrées sont évaluées avant les règlesde filtrage de sorte que les paquets correspondant à une occurrence active d'unerègle intégrée soient autorisés. Vous pouvez définir les règles intégrées des servicesDHCP, DNS et WINS.

Les filtres de règles intrinsèques autorisent le paquet si une demande a étéformulée. Ils ne bloquent pas des paquets. Les règles de filtrage permettent oubloquent des paquets.



3 Dans l'onglet Pare-feu sous Règles intégrées, sélectionnez une ou plusieursdes options suivantes :

■ Activer Smart DHCP

■ Activer Smart DNS

■ Activer Smart WINS

4 Cliquez sur OK.

Se reporter à "Activation des paramètres de trafic et des paramètres de navigationWeb furtive" à la page 115.


Activation du partage des fichiers et des imprimantes du réseauVous pouvez permettre au client de partager ses fichiers ou d'accéder à des fichierset des imprimantes partagés sur votre réseau local. Pour empêcher des attaquesbasées sur le réseau, vous pouvez désactiver le partage des fichiers et desimprimantes du réseau.

Vous pouvez activer le partage des fichiers et des imprimantes du réseau desmanières suivantes :

Toute règle de filtrage bloquant ce trafic est prioritaire surces paramètres.

Activation automatique du partage des fichiers et desimprimantes du réseau

Activation automatique desparamètres de partage desfichiers et des imprimantesdu réseau sous l'ongletRéseauMicrosoftWindows.


122

Vous pouvez ajouter des règles de filtrage afin d'avoir plusde flexibilité par rapport aux paramètres. Par exemple,quand vous créez une règle, vous pouvez spécifier un hôteparticulier au lieu de l'ensemble des hôtes. Les règles defiltrage autorisent l'accès aux ports pour l'accès aux fichierset aux imprimantes ainsi que leur partage.

Vous créez un ensemble de règles de filtrage permettant auclient de partager ses fichiers. Vous créez un secondensemble de règles de filtrage de sorte que le client puisseaccéder à d'autres fichiers et imprimantes.

Pour permettre manuellement aux clients d'accéder auxfichiers et imprimantes

Pour permettre manuellement aux autres ordinateursd'accéder aux fichiers sur le client

Activation manuelle dupartage des fichiers et desimprimantes du réseau enajoutant des règles defiltrage.

Activation automatique du partage des fichiers et des imprimantes du réseau



3 Sous l'onglet RéseauMicrosoftWindows en dessous de Paramètres, cliquezdans le menu déroulant et sélectionnez l'adaptateur pour lequel cesparamètres s'appliquent.

4 Pour accéder aux autres ordinateurs et imprimantes du réseau, cliquez surRechercher les fichiers et les imprimantes sur le réseau.

5 Pour permettre à d'autres ordinateurs d'accéder aux fichiers de votreordinateur, cliquez sur Partager mes fichiers et mes imprimantes sur leréseau.

6 Cliquez sur OK.

Pour permettre manuellement aux clients d'accéder aux fichiers et imprimantes

1 Dans la barre latérale du client, cliquez sur Etat.

2 En regard de Protection contre les menaces réseau, cliquez sur Options >Configurer les règles de filtrage.

3 Dans la boîte de dialogue Configurerlesrèglesdefiltrage, cliquez sur Ajouter.

4 Sous l'onglet Général, tapez un nom pour la règle puis cliquez sur Autoriserce trafic.

5 Dans la liste déroulante Protocole de l'onglet Ports et protocoles, cliquezsur TCP.


6 Dans la liste déroulante Ports distants, tapez 88, 135, 139, 445.

7 Cliquez sur OK.



10 Dans la liste déroulante Protocole de l'onglet Ports et protocoles, cliquezsur UDP.

11 Dans la liste déroulante Ports distants, tapez 88.

12 Dans la liste déroulante Ports locaux, tapez 137, 138.

13 Cliquez sur OK.

Pour permettre manuellement aux autres ordinateurs d'accéder aux fichiers sur leclient





5 Dans la liste déroulante Protocole de l'onglet Ports et protocoles, cliquezsur TCP.

6 Dans la liste déroulante Ports locaux, tapez 88, 135, 139, 445.

7 Cliquez sur OK.



10 Dans la liste déroulante Protocole de l'onglet Ports et protocoles, cliquezsur UDP.

11 Dans la liste déroulante Ports locaux, tapez 88, 137, 138.

12 Cliquez sur OK.



124

Bloquer et débloquer un ordinateur attaquantQuand le client Symantec Endpoint Protection détecte une attaque réseau, il peutbloquer automatiquement la connexion pour s'assurer que l'ordinateur client estsûr. Le client active une réponse active, qui bloque automatiquement toutecommunication depuis et vers l'adresse IP de l'ordinateur attaquant pendant unlaps de temps défini. L'adresse IP de l'ordinateur attaquant est bloquée pour ununique emplacement.

Vous pouvez afficher l'adresse IP de l'ordinateur attaquant dans le journal desécurité. Vous pouvez également débloquer une attaque en arrêtant la réponseactive dans le journal de sécurité.

Si vous ne souhaitez pas patienter pendant le délai requis pour débloquer l'adresseIP, vous pouvez la débloquer immédiatement.

Pour bloquer un ordinateur attaquant



3 Dans l'onglet Pare-feu sous Paramètres de réponse active, cochez l'optionDurée en secondes du blocage automatique de l'adresse IP d'un pirate etentrez le nombre de secondes.

Introduisez un nombre compris entre une et 999 999 secondes. La durée pardéfaut est de 600 secondes (10 minutes).

4 Cliquez sur OK.

Pour débloquer un ordinateur attaquant

1 Dans le client, dans la barre latérale, cliquez sur Afficher les journaux.

2 En regard de Gestiondesclients, cliquez sur Afficher les journaux>Journalde sécurité.

3 Dans le Journal de sécurité, sélectionnez la ligne qui contient la mentionRéponseactive dans la colonne Typed'événement, puis cliquez sur Opération> Arrêter l'intervention active.

Pour débloquer les adresses IP bloquées, cliquez sur Opération > Arrêtertoutes les interventions actives. Si vous débloquez une intervention active,la colonne Typed'événement affiche l'intervention active annulée. Si le délaid'intervention active est dépassé, la colonne Type d'événement affiche lamention Intervention active désactivée.

4 Dans le message qui apparaît, cliquez sur OK.





Blocage du traficVous pouvez configurer votre ordinateur pour bloquer le trafic entrant et le traficsortant dans les situations suivantes :

Vous pouvez configurer votre ordinateur de manière àbloquer l'ensemble du trafic Voisinage réseau entrant etsortant lorsque l'écran de veille de l'ordinateur est activé.Dès que l'écran de veille est désactivé, votre ordinateurrevient au niveau de sécurité précédemment attribué.

Pour bloquer le trafic quand l'écran de veille est activé

Quand l'écran de veille devotre ordinateur est activé.

L'ordinateur n'est pas protégé entre le moment oùl'ordinateur client démarre et le moment où le service depare-feu démarre, ou après l'arrêt du service de pare-feu etla mise hors tension de l'ordinateur. Cette période est unepetite faille de sécurité qui peut permettre unecommunication non autorisée.

Pour bloquer le trafic quand le pare-feu ne s'exécute pas

Quand le pare-feu nes'exécute pas.

Vous pouvez vouloir bloquer tout le trafic quand un virusparticulièrement destructeur attaque votre réseaud'entreprise ou sous-réseau. Vous ne bloquerez pas tout letrafic dans des circonstances normales.

Remarque : Votre administrateur peut configurer cetteoption pour la rendre indisponible. Vous ne pouvez pasbloquer le trafic sur un client non géré.

Pour bloquer tout le trafic à tout moment

Quand vous voulez bloquertout le trafic entrant etsortant à tout moment.

Vous pouvez permettre tout le trafic en désactivant la protection contre lesmenaces réseau.

Se reporter à "Activer ou désactiver la protection sur l'ordinateur client"à la page 45.

Pour bloquer le trafic quand l'écran de veille est activé




126

3 Dans l'onglet RéseauMicrosoftWindows sous Modeécrandeveille, cliquezsur Bloquer letraficréseauMicrosoftWindowslorsquel'écrandeveilleestactivé.

4 Cliquez sur OK.

Pour bloquer le trafic quand le pare-feu ne s'exécute pas



3 Dans l'onglet Pare-feu sous Paramètres de trafic, cliquez sur Bloquerl'ensembledutraficjusqu'àl'activationdupare-feuetaprèssadésactivation.

4 En option, cliquez sur Autoriser le trafic DHCP et NetBIOS initial.

5 Cliquez sur OK.

Pour bloquer tout le trafic à tout moment

1 Dans le client, dans la barre latérale, cliquez sur Etat.

2 En regard de Protection contre les menaces réseau, cliquez sur Options >Afficher l'activité réseau.

3 Cliquez sur Outils > Bloquer l'ensemble du trafic.

4 Pour confirmer, cliquez sur Oui.

5 Pour revenir aux paramètres de pare-feu utilisés précédemment par le client,supprimez la coche Outils > Bloquer l'ensemble du trafic.

Se reporter à "Bloquer et débloquer un ordinateur attaquant" à la page 125.


Autoriser ou bloquer des applicationsUne application est un logiciel que vous utilisez pour accomplir certaines tâches.Par exemple, Internet Explorer et iTunes sont des applications. Vous pouvezpersonnaliser le client pour qu'il contrôle certaines applications afin de protégervotre réseau des attaques.

La section suivante décrit les tâches que vous pouvez effectuer pour personnaliserla protection par pare-feu pour vos applications. Toutes ces tâches sont facultativeset peuvent être effectuées dans n'importe quel ordre.

■ Vous pouvez permettre au client d'autoriser ou d'empêcher une applicationd'accéder au réseau.

127Gérer le pare-feu et la prévention d'intrusionAutoriser ou bloquer des applications

Se reporter à "Autorisation ou blocage de l'accès au réseau d'applications"à la page 128.

■ Vous pouvez configurer les paramètres pour une application exécutée depuisle démarrage du service de client ou qui a demandé la permission d'accéderau réseau. Vous pouvez également configurer des restrictions telles que lesadresses IP et les ports que l'application peut utiliser. Vous pouvez afficher etmodifier la mesure que le client prend pour chaque application qui essayed'accéder par votre connexion réseau. En configurant les paramètres pour uneapplication spécifique, vous créez une règle de filtrage basée sur l'application.Se reporter à "Configuration des paramètres spécifiques à une application"à la page 129.

■ Vous pouvez supprimer les restrictions de l'application, telles que l'heure àlaquelle le pare-feu bloque une application. Quand vous supprimez lesrestrictions, l'action effectuée par le client sur l'application est égalementeffacée. Quand l'application ou le service essaye à nouveau de se connecter auréseau, un message peut vous demander de nouveau s'il faut permettre oubloquer l'application. Vous pouvez arrêter une application ou un service jusqu'àce que l'application essaye à nouveau d'accéder à votre ordinateur, commequand vous redémarrez l'ordinateur.Se reporter à "Suppression des restrictions d'une application" à la page 131.


Autorisation ou blocage de l'accès au réseau d'applicationsVous pouvez permettre au client d'autoriser ou d'empêcher une applicationd'accéder au réseau.

Tableau 5-4 décrit les mesures prises par le client sur le trafic réseau.

Tableau 5-4 Mesures prises par le pare-feu quand des applications accèdent auclient ou au réseau

DescriptionAction

Permet au trafic entrant d'accéder à l'ordinateur client et au trafic sortantd'accéder au réseau.

Si le client reçoit le trafic, l'icône affiche un petit point bleu dans le coininférieur gauche. Si le client envoie le trafic, l'icône affiche le point dansle coin inférieur droit.

Autoriser

Empêche le trafic entrant et le trafic sortant d'accéder au réseau ou à uneconnexion Internet.

Bloquer

Gérer le pare-feu et la prévention d'intrusionAutoriser ou bloquer des applications

128

DescriptionAction

Demande si l'application doit accéder au réseau la prochaine fois que voustentez d'exécuter l'application.

Demander

Arrête le processus.Terminer

Pour autoriser ou empêcher une application d'accéder au réseau


2 Près de Protectioncontrelesmenacesréseau, cliquez sur Options>Afficherl'activité réseau.

3 Dans la boîte de dialogue Activité réseau, dans le champ Applications encours d'exécution, cliquez avec le bouton droit de la souris sur l'applicationou le service, puis cliquez sur l'option que vous voulez.





Configuration des paramètres spécifiques à une applicationVous pouvez configurer les paramètres pour une application exécutée depuis ledémarrage du service de client ou qui a demandé la permission d'accéder au réseau.

Vous pouvez configurer des restrictions telles que les adresses IP et les ports quel'application peut utiliser. Vous pouvez afficher et modifier la mesure que le clientprend pour chaque application qui essaye d'accéder par votre connexion réseau.En configurant les paramètres pour une application spécifique, vous créez unerègle de filtrage basée sur l'application.

Remarque : S'il y a un conflit entre une règle de filtrage et un paramètre spécifiqueà d'application, la règle de filtrage a la priorité. Par exemple, une règle de filtragequi bloque tout le trafic entre 1h00 et 8h00 remplace la planification pour uneapplication vidéo spécifique.

Les applications qui apparaissent dans la boîte de dialogue Activité réseau sontles applications et les services qui se sont exécutés depuis que le service client adémarré.


Configuration des paramètres spécifiques à des applications


2 En regard de Protection contre les menaces réseau, cliquez sur Options >Afficher les paramètres des applications.

3 Dans la boîte de dialogue Afficher les paramètres des applications,sélectionnez l'application à configurer, puis cliquez sur Configurer.

4 Dans la boîte de dialogue Configurer les paramètres de l'application, dansla zone de texte IP approuvé pour l'application, saisissez une adresse IP ouune plage d'IP.

5 Dans les zones de texte Ports de serveur distants ou Ports locaux,sélectionnez un port TCP ou UDP.

6 Pour spécifier la direction du trafic, cliquez sur l'un des éléments suivantsou les deux :

Cliquez sur Autoriser les connexions sortantes.Autorisation du trafic sortant

Cliquez sur Autoriser les connexions entrantes.Autorisation du traficentrant

7 Pour appliquer la règle quand l'écran de veille s'exécute, cliquez sur leAutoriser lorsque l'écran de veille est activé.

8 Pour configurer une planification des périodes où les restrictions sont ou nesont pas en vigueur, cliquez sur Activer la planification.

9 Sélectionnez l'un des éléments suivants :

Cliquez sur Pendant la période ci-dessous.Spécification de l'heure àlaquelle les restrictionsprennent effet

Cliquez sur Hors de la période ci-dessous.Spécification de l'heure àlaquelle les restrictions nesont pas effectives

10 Configurez la planification.

11 Cliquez sur OK.

12 Dans la boîte de dialogue Afficherlesparamètresd'application, pour modifierl'action, cliquez avec le bouton droit de la souris sur l'application puis cliquezsur Autoriser ou Bloquer.

13 Cliquez sur OK.

Gérer le pare-feu et la prévention d'intrusionAutoriser ou bloquer des applications

130

Arrêt d'une application ou d'un service


2 Près de Protection contre les menaces réseau, cliquez sur Options>Afficherl'activité réseau.

3 Dans le champ Applications en cours d'exécution, cliquez avec le boutondroit de la souris sur l'application, puis cliquez sur Terminer.

4 Pour confirmer, cliquez sur Oui, puis cliquez sur Fermer.

Se reporter à "Ajout d'une règle de filtrage" à la page 140.



Suppression des restrictions d'une applicationVous pouvez supprimer les restrictions de l'application, telles que l'heure à laquellele pare-feu bloque une application. Quand vous supprimez les restrictions, l'actioneffectuée par le client sur l'application est également effacée. Quand l'applicationou le service essaye de se connecter au réseau de nouveau, un message peut vousdemander de nouveau s'il faut permettre ou bloquer l'application.

Vous pouvez arrêter une application ou un service jusqu'à ce que l'applicationessaye d'accéder à votre ordinateur de nouveau, comme quand vous redémarrezl'ordinateur.

Pour supprimer les restrictions d'une application


2 En regard de Protection contre les menaces réseau, cliquez sur Options >Afficher les paramètres des applications.

3 Dans la boîte de dialogue Afficherlesparamètresdesapplications, effectuezl'une des actions suivantes :

Sélectionnez l'application, puis cliquez sur Supprimer.Pour supprimer uneapplication de la liste.

Cliquez sur Supprimer.Pour supprimer desapplications de la liste.

4 Cliquez sur Oui.

5 Cliquez sur OK.




Affichage de l'activité réseauVous pouvez afficher les informations sur le trafic entrant et le trafic sortant àpartir de votre ordinateur. Vous pouvez également afficher une liste d'applicationset de services qui se sont exécutés depuis que le service client a démarré.

Remarque : Le client ne détecte pas le trafic réseau provenant des PDA (assistantnumérique personnel).

Vous pouvez afficher les types de trafic réseau suivants : trafic de diffusion outrafic unicast. Le trafic de diffusion est le trafic réseau qui est envoyé à chaqueordinateur d'un sous-réseau particulier et n'est pas dirigé spécifiquement versvotre ordinateur. Le trafic unicast est le trafic dirigé spécifiquement vers votreordinateur.

Affichage de l'historique de l'activité réseau




Affichage ou masquage des services Windows et le trafic de diffusion



Gérer le pare-feu et la prévention d'intrusionAffichage de l'activité réseau

132

3 Dans la boîte de dialogue Activité réseau, cliquez avec le bouton droit de lasouris sur Applicationsencoursd'exécution et effectuez l'une des opérationssuivantes :

Cochez ou désélectionnez Afficher lesservices Windows.

Affichage ou masquage des servicesWindows

Sélectionnez Afficher le trafic dediffusion.

Affichage du trafic de diffusion

Désélectionnez Afficher le trafic dediffusion.

Affichage du trafic unicast


Pour modifier la manière dont les informations d'application s'affichent



3 Dans le champ Applicationsencours, cliquez avec le bouton droit de la sourissur l'application, puis cliquez sur l'affichage que vous voulez consulter. Parexemple, vous pouvez cliquer sur Détails.



Se reporter à "Autorisation ou blocage de l'accès au réseau d'applications"à la page 128.



A propos des règles de pare-feu clientTableau 5-5 décrit ce que vous devriez savoir des règles de filtrage du client.

133Gérer le pare-feu et la prévention d'intrusionA propos des règles de pare-feu client

Tableau 5-5 Rubriques traitant des règles de pare-feu client

DescriptionRubrique

Vous pourrez créer des règles de pare-feu plus efficacementsi vous comprenez la manière dont sont traités les règles etparamètres de pare-feu ainsi que les paramètres deprévention d'intrusion. De plus, cela vous permettrad'organiser vos règles de pare-feu en conséquence.

Se reporter à "A propos de l'ordre de traitement des règleset des paramètres du pare-feu et de la préventiond'intrusion" à la page 134.

Se reporter à "Modification de l'ordre des règles de pare-feu"à la page 135.

Explique la manière dont lesrègles et les paramètres depare-feu ainsi que lesparamètres de préventiond'intrusion sont traités.

Symantec Endpoint Protection utilise l'inspection par état.Ainsi, pour le trafic généré dans une direction, vous n'avezpas besoin d'une règle pour autoriser le trafic de retour. Sivous comprenez le fonctionnement de l'inspection avec état,vous n'avez pas besoin de créer des règles.

Se reporter à "Utilisation de l'inspection avec état par lepare-feu" à la page 136.

Examinez la façon dont leclient utilise l'inspection avecétat pour éviter de devoircréer des règles spécifiques.

Pour créer des règles de pare-feu effectives, vous devezconnaître les composants d'une règle de pare-feu.

Se reporter à "Les éléments d'une règle de filtrage"à la page 137.

Détail des éléments d'unerègle de pare-feu


A propos de l'ordre de traitement des règles et desparamètresdupare-feuet de lapréventiond'intrusion

Les règles de filtrage sont classées séquentiellement, de la priorité la plus élevéeà la priorité la plus basse ou du haut vers le bas de la liste de règles. Si la premièrerègle ne spécifie pas comment traiter un paquet, le pare-feu examine la deuxièmerègle. Ce processus se poursuit jusqu'à ce que le pare-feu trouve unecorrespondance. Si le pare-feu trouve une correspondance, le pare-feu prendl'action que la règle spécifie. Les règles de priorité plus faible suivantes ne sontpas examinées. Par exemple, si une règle qui bloque tout le trafic est répertoriéeen premier et est suivie d'une règle qui autorise tout le trafic, le client bloque toutle trafic.

Gérer le pare-feu et la prévention d'intrusionA propos de l'ordre de traitement des règles et des paramètres du pare-feu et de la prévention d'intrusion

134

Vous pouvez ordonner les règles selon leur exclusivité. Les règles les plusrestrictives sont évaluées en premier et les règles les plus générales en dernier.Par exemple, vous devriez placer les règles qui bloquent le trafic en haut de laliste de règles. Les règles situées plus bas dans la liste peuvent autoriser le trafic.

Les meilleures méthodes de création de base de règles incluent l'ordre des règlessuivant :

Règles qui bloquent tout le trafic.1er

Règles qui autorisent tout le trafic.2ème

Règles qui autorisent ou bloquent des ordinateurs spécifiques.3ème

Règles qui autorisent ou bloquent des applications spécifiques, des servicesréseau et des ports.

4ème

Tableau 5-6 affiche l'ordre dans lequel le pare-feu traite les règles, les paramètresdu pare-feu et les paramètres de prévention d'intrusion.

Tableau 5-6 Ordre de traitement

ParamètrePriorité

Signatures IPS personnaliséesPremier

Paramètres de prévention d'intrusion, paramètres de trafic et paramètresde furtivité

Deuxième

Règles intrinsèquesTroisième

Règles de filtrageQuatrième

Vérification d'analyse de portCinquième

Signatures IPS téléchargées via LiveUpdateSixième

Se reporter à "Modification de l'ordre des règles de pare-feu" à la page 135.


Se reporter à "Fonctionnement de la prévention d'intrusion" à la page 143.


Modification de l'ordre des règles de pare-feuLe pare-feu traite la liste des règles de filtrage de haut en bas. Vous pouvezdéterminer la manière dont le pare-feu traite les règles de filtrage en modifiant

135Gérer le pare-feu et la prévention d'intrusionModification de l'ordre des règles de pare-feu

leur ordre. Lorsque vous modifiez l'ordre, ce changement ne concerne quel'emplacement sélectionné.

Remarque : Pour une meilleure protection, placez les règles les plus restrictivesen premier et les règles les moins restrictives en dernier.

Modification de l'ordre d'une règle de filtrage



3 Dans la boîte de dialogue Configurer les règles de filtrage, sélectionnez larègle que vous voulez déplacer.


■ Pour que le pare-feu traite cette règle avant la règle située au-dessus,cliquez sur la fléche orientée vers le haut.

■ Pour que le pare-feu traite cette règle après la règle située au-dessous,cliquez sur la fléche orientée vers le bas.

5 Quand vous avez terminé de déplacer les règles, cliquez sur OK.

Se reporter à "A propos de l'ordre de traitement des règles et des paramètres dupare-feu et de la prévention d'intrusion" à la page 134.


Utilisation de l'inspection avec état par le pare-feuLa protection par pare-feu utilise l'inspection avec état pour suivre les connexionsactuelles. L'inspection avec état suit les adresses IP source et de destination, lesports, les applications et autres données de connexion. Avant d'examiner les règlesde filtrage, le client prend les décisions de flux de trafic en fonction des donnéesde connexion.

Par exemple, si une règle de filtrage autorise un ordinateur à se connecter à unserveur Web, le pare-feu consigne les informations de connexion. Quand le serveurrépond, le pare-feu détecte qu'une réponse du serveur Web à l'ordinateur estprévue. Il autorise le trafic du serveur Web à se rendre vers l'ordinateur ayantinitié la connexion sans examiner la base de règles. Une règle doit autoriser letrafic sortant initial avant que le pare-feu ne consigne la connexion.

L'inspection avec état élimine la nécessité de créer de nouvelles règles. Pour letrafic lancé dans une direction, vous n'avez pas besoin de créer les règles qui

Gérer le pare-feu et la prévention d'intrusionUtilisation de l'inspection avec état par le pare-feu

136

permettent le trafic dans les deux directions. Le trafic client initié dans unedirection inclut Telnet (port 23), HTTP (port 80) et HTTPS (port 443). Lesordinateurs client lancent ce trafic sortant ; vous créez une règle qui autorise letrafic sortant de ces protocoles. L'inspection avec état autorise automatiquementle trafic de retour qui réagit au trafic sortant. Le pare-feu étant à état, il vous suffitde créer les règles qui établissent une connexion, et non les caractéristiques d'unpaquet particulier. Tous les paquets propres à une connexion autorisée sontimplicitement autorisés en tant que constituant intégral de cette même connexion.

L'inspection avec état prend en charge toutes les règles qui régissent le trafic TCP.

L'inspection avec état ne prend pas en charge les règles qui filtrent le trafic ICMP.Pour le trafic ICMP, vous devez créer les règles autorisant le trafic dans les deuxdirections. Par exemple, si vous souhaitez que les clients utilisent la commandeping et reçoivent des réponses, vous devez créer une règle autorisant le traficICMP dans les deux directions.



Les éléments d'une règle de filtrageLes règles de filtrage contrôlent la manière dont le client protège votre ordinateurdu trafic réseau malveillant. Quand un ordinateur tente de se connecter à un autreordinateur, le pare-feu compare le type de connexion aux règles de filtrage. Lepare-feu vérifie automatiquement tous les paquets de trafic entrants et sortantsen fonction de ces règles. Le pare-feu autorise ou bloque les paquets selon lesrègles.

Vous pouvez utiliser des déclencheurs tels que des applications, des hôtes et desprotocoles afin de définir les règles de filtrage. Par exemple, une règle peutidentifier un protocole par rapport à une adresse de destination. Quand le pare-feuévalue la règle, tous les déclencheurs doivent être vrais pour qu'unecorrespondance positive se produise. Si un déclencheur est faux pour le paquetactuel, le pare-feu n'applique pas la règle.

Dès qu'une règle de filtrage est déclenchée, aucune autre règle de filtrage n'estévaluée. Si aucune règle n'est déclenchée, le paquet est automatiquement bloquéet l'événement n'est pas consigné.

Une règle de filtrage décrit les conditions dans lesquelles une connexion réseaupeut être permise ou bloquée. Par exemple, une règle peut permettre le traficréseau entre le port distant 80 et l'adresse IP 192.58.74.0, entre 9h du et 17hquotidiennement.

Tableau 5-7 décrit les conditions utilisés pour définir une règle de filtrage.

137Gérer le pare-feu et la prévention d'intrusionLes éléments d'une règle de filtrage

Tableau 5-7 Conditions de règle de filtrage

DescriptionCondition

Les déclencheurs de règle de filtrage sont comme suit :

■ Applications

Quand l'application est le seul déclencheur défini dans une règled'autorisation de trafic, le pare-feu permet à l'application d'effectuern'importe quelle opération réseau. L'application est la valeursignificative, pas les opérations réseau que l'application effectue.Par exemple, supposez que vous permettiez Internet Explorer et nedéfinissiez aucun autre déclencheur. Les utilisateurs peuvent accéderaux sites distants qui utilisent HTTP, HTTPS, FTP, Gopher etn'importe quel autre protocole que le navigateur Web prend encharge. Vous pouvez définir des déclencheurs supplémentaires pourdécrire les protocoles réseau et les hôtes particuliers avec lesquelsla communication est autorisée.

■ Hôtes

L'hôte local est toujours l'ordinateur client local et l'hôte distant esttoujours un ordinateur distant placé ailleurs sur le réseau. Cetteexpression du rapport d'hôte est indépendante de la direction dutrafic. Quand vous définissez des déclencheurs d'hôte, vous spécifiezl'hôte du côté distant de la connexion réseau décrite.

■ Protocoles

Un déclencheur de protocole identifie un ou plusieurs protocolesréseau qui sont significatifs par rapport au trafic décrit.

L'ordinateur d'hôte local possède toujours le port local et l'ordinateurdistant possède toujours le port distant. Cette expression de larelation de ports est indépendante de la direction du trafic.

■ Adaptateurs réseau

Si vous définissez un déclencheur de carte/d'adaptateur réseau, larègle est appropriée seulement au trafic qui est transmis ou reçu enutilisant le type spécifié d'adaptateur. Vous pouvez spécifiern'importe quel adaptateur ou celui actuellement associé à l'ordinateurclient.

Vous pouvez combiner les définitions de déclencheur pour former desrègles plus complexes, comme d'identifier un protocole particulier parrapport à une adresse de destination spécifique. Lorsque le pare-feuévalue la règle, tous les déclencheurs doivent être vrais pour qu'unecorrespondance positive se produise. Si aucun déclencheur n'est vraipar rapport au paquet actuel, le pare-feu ne peut pas appliquer la règle.

Déclencheurs

Gérer le pare-feu et la prévention d'intrusionLes éléments d'une règle de filtrage

138

DescriptionCondition

Planification et état d'écran de veille.

Les paramètres conditionnels ne décrivent pas un aspect d'une connexionréseau. Au lieu de cela, les paramètres conditionnels déterminent l'étatactif d'une règle. Les paramètres conditionnels sont facultatifs et nonsignificatifs s'ils ne sont pas définis. Vous pouvez installer uneplanification ou identifier un état d'écran de veille qui détermine quandune règle est considérée active ou inactive. Le pare-feu n'évalue pas lesrègles inactives quand le pare-feu reçoit des paquets.

Conditions

Autoriser ou bloquer et consigner ou ne pas consigner.

Les paramètres d'action spécifient quelles mesures le pare-feu prendquand il trouve une correspondance avec une règle. Si la règle estsélectionnée en réponse à un paquet reçu, le pare-feu exécute toutes lesactions. Le pare-feu autorise ou bloque le paquet et consigne ou neconsigne pas le paquet.

Si le pare-feu autorise le trafic, il laisse le trafic que la règle spécifieaccéder à votre réseau.

Si le pare-feu bloque le trafic, il bloque le trafic que la règle spécifie desorte qu'il n'accède pas à votre réseau.

Actions

Se reporter à "Utilisation de l'inspection avec état par le pare-feu" à la page 136.



Configuration de règles de filtrageTableau 5-8 décrit comment installer de nouvelles règles de filtrage.

139Gérer le pare-feu et la prévention d'intrusionConfiguration de règles de filtrage

Tableau 5-8 Procédure de configuration de règles de filtrage

DescriptionTâcheEtape

Symantec Endpoint Protection est installé avec des règles defiltrage par défaut. Toutefois, vous pouvez créer vos propresrègles.


Une autre manière d'ajouter une règle de filtrage consiste àexporter des règles de filtrage existantes à partir d'une autrepolitique de pare-feu. Vous pouvez alors importer les règles defiltrage et les paramètres, sans avoir à les recréer.

Se reporter à "Exporter et importer des règles de filtrage"à la page 141.

Ajouter unenouvelle règlede filtrage

1

Après avoir créé une nouvelle règle, ou si vous voulezpersonnaliser une règle par défaut, vous pouvez modifier lescritères de la règle de filtrage.

Se reporter à "Les éléments d'une règle de filtrage" à la page 137.

(Facultatif)Personnaliserles critères dela règle defiltrage

2


Se reporter à "Activer et désactiver des règles de filtrage" à la page 142.

Ajout d'une règle de filtrageQuand vous ajoutez une règle de filtrage, vous devez décider de l'effet de la règle.Par exemple, vous pouvez permettre tout le trafic d'une source particulière oubloquer les paquets UDP d'un site Web.

Les règles de filtrage sont automatiquement activées quand vous les créez.

Pour ajouter une règle de filtrage


2 En regard de Protection contre les menaces réseau, cliquez sur Options >Configurer des règles de filtrage.

3 Dans la boîte de dialogue Configurer des règles de filtrage, cliquez surAjouter.

4 Sur l'onglet Général, tapez un nom pour la règle, puis cliquez sur Bloquercetrafic ou Autoriser ce trafic.

5 Pour définir les déclencheurs pour la règle, cliquez sur chaque onglet etconfigurez-le comme nécessaire.

Gérer le pare-feu et la prévention d'intrusionConfiguration de règles de filtrage

140

6 Pour définir la période où la règle est active ou inactive, sous l'ongletPlanification, cliquez sur Activer la planification puis définissez uneplanification.

7 Quand vous avez terminé d'apporter vos modifications, cliquez sur OK.

8 Cliquez sur OK.

Se reporter à "Les éléments d'une règle de filtrage" à la page 137.

Se reporter à "Activer et désactiver des règles de filtrage" à la page 142.


Exporter et importer des règles de filtrageVous pouvez partager les règles avec un autre client pour éviter de les recréer.Vous pouvez exporter les règles d'un autre ordinateur et les importer sur votreordinateur. Quand vous importez des règles, elles sont ajoutées au bas de la listede règles de filtrage. Les règles importées ne remplacent pas des règles existantes,même si une règle importée est identique à une règle existante.

Les règles exportées et les règles importées sont enregistrées dans un fichier .sar

Pour exporter des règles de filtrage



3 Dans la boîte de dialogue Configurer des règles de filtrage, sélectionnez lesrègles que vous voulez exporter.

4 Cliquez avec le bouton droit de la souris sur les règles et puis cliquez surExporter les règles sélectionnées.

5 Dans la boîte de dialogue Exporter, tapez un nom de fichier, puis cliquez surEnregistrer.

6 Cliquez sur OK.

Pour importer des règles de filtrage



3 Dans la boîte de dialogue Configurer des règles de filtrage, cliquez avec lebouton droit de la souris sur la liste des règles de filtrage puis cliquez surImporter la règle.

141Gérer le pare-feu et la prévention d'intrusionConfiguration de règles de filtrage

4 Dans la boîte de dialogue Importer, localisez le fichier .sar qui contient lesrègles que vous voulez importer.

5 Cliquez sur Ouvrir.

6 Cliquez sur OK.


Activer et désactiver des règles de filtrageVous devez activer des règles de sorte que le pare-feu puisse les traiter. Quandvous ajoutez des règles de filtrage, elles sont automatiquement activées.

Vous pouvez désactiver temporairement une règle de filtrage si vous devezaccorder un accès spécifique à un ordinateur ou un programme.

Pour activer et désactiver des règles de filtrage



3 Dans la boîte de dialogue Configurer des règles de filtrage, dans la colonneNom de la règle, sélectionnez ou désélectionnez la case à cocher située enregard de la règle que vous voulez activer ou désactiver.

4 Cliquez sur OK.


Gérer la prévention d'intrusionLa gestion de la prévention d'intrusion fait partie de la protection contre lesmenaces réseau.

Tableau 5-9 Gérer la prévention d'intrusion

DescriptionAction

Découvrez comment la prévention d'intrusiondétecte et bloque les attaques réseau et denavigateur.

Se reporter à "Fonctionnement de la préventiond'intrusion" à la page 143.

En savoir plus sur la préventiond'intrusion

Gérer le pare-feu et la prévention d'intrusionGérer la prévention d'intrusion

142

DescriptionAction

Par défaut, les dernières signatures sonttéléchargées sur le client. Cependant, vous pouvezchoisir de télécharger les signaturesimmédiatement.

Se reporter à "Mise à jour de la protection del'ordinateur" à la page 36.

Télécharger les signatures IPS les plusrécentes

Vous pouvez vouloir désactiver la préventiond'intrusion à des fins de dépannage ou si lesordinateurs client détectent trop de faux positifs.En règle générale, vous ne devez pas désactiverla prévention d'intrusion.

Vous pouvez activer ou désactiver les types deprévention d'intrusion suivants :

■ Prévention d'intrusion réseau

■ Prévention d'intrusion du navigateur

Se reporter à "Activation ou désactivation de laprévention d'intrusion" à la page 144.

Vous pouvez également activer ou désactiver laprévention d'intrusion quand vous activez oudésactivez la protection contre les menacesréseau.

Se reporter à "A propos de l'activation et de ladésactivation de la protection" à la page 43.

Activez ou désactivez la préventiond'intrusion du navigateur ou réseau

Vous pouvez configurer l'affichage desnotifications quand Symantec EndpointProtection détecte une intrusion de réseau ou denavigateur.

Se reporter à "Configuration des notifications deprévention d'intrusion" à la page 145.

Configuration des notifications deprévention d'intrusion

Fonctionnement de la prévention d'intrusionLa prévention d'intrusion fait partie de la protection contre les menaces réseau.

La prévention d'intrusion détecte et bloque automatiquement les attaques réseauet les attaques sur les navigateurs. La prévention d'intrusion est la deuxièmecouche de défense après le pare-feu pour protéger les ordinateurs client. Laprévention d'intrusion est parfois appelée le système de prévention d'intrusion(IPS).

143Gérer le pare-feu et la prévention d'intrusionFonctionnement de la prévention d'intrusion


La prévention d'intrusion intercepte des données à la couche réseau. Elle utilisedes signatures pour analyser des paquets ou des flux de paquets. Elle analysechaque paquet individuellement en recherchant les configurations quicorrespondent aux attaques réseau ou de navigateur. La prévention d'intrusionutilise des signatures pour détecter des attaques sur les composants du systèmed'exploitation et la couche application.

La prévention d'intrusion fournit deux types de protection.

La prévention d'intrusion réseau utilise des signaturespour identifier des attaques sur les ordinateurs client.Pour les attaques connues, la prévention d'intrusionrejette automatiquement les paquets qui correspondentaux signatures.

Vous ne pouvez pas créer les signatures personnaliséessur le client. Mais vous pouvez importer les signaturespersonnalisées que vous ou votre administrateur avezcréées dans Symantec Endpoint Protection Manager.

Prévention d'intrusion réseau

La prévention d'intrusion du navigateur contrôle lesattaques sur Internet Explorer et Firefox. La préventiond'intrusion du navigateur n'est prise en charge suraucun autre navigateur.

Ce type de prévention d'intrusion utilise des signaturesd'attaque ainsi que des heuristiques pour identifier desattaques sur des navigateurs.

Pour certaines attaques du navigateur, la préventiond'intrusion requiert que le client ferme le navigateur.Une notification apparaît sur l'ordinateur client.

Prévention d'intrusion dunavigateur

Activation ou désactivation de la préventiond'intrusion

En règle générale, quand vous désactivez la prévention d'intrusion sur votreordinateur, votre ordinateur est moins sécurisé. Cependant, vous pouvez vouloirdésactiver ces paramètres pour empêcher les faux positifs ou pour dépanner votreordinateur.

Symantec Endpoint Protection consigne les tentatives et les événementsd'intrusion dans le journal de sécurité. Symantec Endpoint Protection peutégalement consigner des événements d'intrusion dans le journal des paquets sivotre administrateur l'a configuré ainsi.

Gérer le pare-feu et la prévention d'intrusionActivation ou désactivation de la prévention d'intrusion

144



Vous pouvez activer ou désactiver deux types de prévention d'intrusion :

■ Prévention d'intrusion réseau

■ Prévention d'intrusion du navigateur

Remarque : Votre administrateur a pu configurer ces options pour qu'elles soientindisponibles.


Pour activer ou désactiver des paramètres de prévention d'intrusion



3 Sur l'onglet Prévention d'intrusion, sélectionnez ou désélectionnez l'un oul'autre des paramètres suivants :

■ Activer la prévention d'intrusion réseau

■ Activer la prévention d'intrusion du navigateur

Pour plus d'informations sur les paramètres, cliquez sur Aide.

4 Cliquez sur OK.

Configuration des notifications de préventiond'intrusion

Vous pouvez configurer l'affichage de notifications quand le client détecte uneattaque réseau sur votre ordinateur ou quand il bloque l'accès d'une applicationà votre ordinateur. Vous pouvez définir la durée d'affichage de ces notificationset si elles doivent s'accompagner d'une annonce sonore.

Vous devez activer le système de prévention d'intrusion pour que les notificationsde prévention d'intrusion apparaissent.

Remarque : Votre administrateur a pu configurer ces options pour qu'elles soientindisponibles.

145Gérer le pare-feu et la prévention d'intrusionConfiguration des notifications de prévention d'intrusion


Configuration des notifications de prévention d'intrusion



3 Dans la boîte de dialogue Paramètres de protection contre les menacesréseau, cliquez sur Notifications.

4 Cochez Afficher les notifications de prévention d'intrusion.

5 Pour entendre un bip quand la notification apparaît, cochez Utiliserdeseffetssonores pour la notification des utilisateurs.

6 Cliquez sur OK.

Gérer le pare-feu et la prévention d'intrusionConfiguration des notifications de prévention d'intrusion

146

Gérer Symantec NetworkAccess Control


■ Fonctionnement de Symantec Network Access Control

■ Fonctionnement du client avec un module d'application Enforcer

■ Exécution d'une vérification de l'intégrité de l'hôte

■ Réparation de l'ordinateur

■ Configuration du client pour l'authentification 802.1x

■ Affichage des journaux Symantec Network Access Control

FonctionnementdeSymantecNetworkAccessControlLe client Symantec Network Access Control valide et impose la conformité auxpolitiques pour les ordinateurs qui essayent de se connecter au réseau. Ce processusde validation et d'application commence avant que l'ordinateur ne se connecteau réseau et continue durant toute la durée de la connexion. La politique d'intégritéde l'hôte est la politique de sécurité qui sert de base à toutes les évaluations etactions. L'intégrité de l'hôte est également mentionnée sous le nom de "conformitéde sécurité."

Tableau 6-1 décrit le processus que Network Access Control utilise pour imposerla conformité des politiques sur l'ordinateur client.

6Chapitre

Tableau 6-1 Comment Symantec Network Access Control fonctionne

DescriptionAction

Vous activez l'ordinateur client. Le client exécute unevérification de l'intégrité de l'hôte qui compare laconfiguration de l'ordinateur à la politique d'intégrité del'hôte téléchargée depuis le serveur de gestion.

La vérification de l'intégrité de l'hôte évalue la conformitéde votre ordinateur à la politique d'intégrité de l'hôte pourle logiciel antivirus, les correctifs, les hotfixes et d'autresexigences de sécurité. Par exemple, la politique peut vérifierle moment auquel ses définitions antivirus ont été mises àjour et les derniers correctifs appliqués au systèmed'exploitation.

Le client évaluecontinuellement saconformité.

Si l'ordinateur répond à toutes les exigences de la politique,le contrôle d'intégrité réussit. Enforcer accorde le plein accèsau réseau aux ordinateurs qui passent la vérification del'intégrité de l'hôte.

Si l'ordinateur ne répond pas aux exigences de la politique,la vérification de l'intégrité de l'hôte échoue. Quand unevérification de l'intégrité de l'hôte échoue, le client ouSymantec Enforcer bloque votre ordinateur ou le met enquarantaine jusqu'à ce que vous résolviez le problème. Lesordinateurs en quarantaine ont un accès limité ou nul auréseau.

Se reporter à "Fonctionnement du client avec un moduled'application Enforcer" à la page 149.

Symantec Enforcerauthentifie l'ordinateurclient et lui accorde l'accèsau réseau ou bloque et meten quarantaine lesordinateurs non conformes.

Le client peut afficher une notification chaque fois que lavérification de l'intégrité de l'hôte réussit.

Se reporter à "Types d'alertes et de notifications"à la page 21.

Votre administrateur peutavoir installé la politique desorte qu'une vérification del'intégrité de l'hôte réussissemême si une exigencespécifique échoue.

Si le client constate qu'une spécification de la politiqued'intégrité de l'hôte n'est pas satisfaite, il installe ou vousdemande d'installer le logiciel requis. Quand votreordinateur est conforme, il essaye d'accéder au réseau denouveau. Si l'ordinateur est entièrement conforme, le réseauaccorde l'accès au réseau.

Se reporter à "Réparation de l'ordinateur" à la page 150.

Le client résout lesordinateurs non conformes.

Gérer Symantec Network Access ControlFonctionnement de Symantec Network Access Control

148

DescriptionAction

Le client contrôle activement l'état de conformité pour tousles ordinateurs client. Si, à un moment quelconque, l'étatde conformité de l'ordinateur change, les droits d'accès auréseau de l'ordinateur font de même.

Le client contrôleproactivement la conformité.

Vous pouvez afficher plus d'informations sur les résultats de vérification del'intégrité de l'hôte dans le journal de sécurité.

Fonctionnement du client avec un moduled'application Enforcer

Le client interagit avec Symantec Enforcer. Enforcer s'assure que tous lesordinateurs qui se connectent au réseau qu'il protège exécutent le logiciel clientet ont une politique de sécurité correcte.

Se reporter à "Fonctionnement de Symantec Network Access Control" à la page 147.

Enforcer doit authentifier l'utilisateur ou l'ordinateur client avant d'autoriser àl'ordinateur client à accéder au réseau. Symantec Network Access Controlfonctionne avec plusieurs types de modules Enforcer pour authentifier l'ordinateurclient. Symantec Enforcer est le boîtier de matériel réseau qui contrôle les résultatsd'intégrité de l'hôte et l'identité de l'ordinateur client avant de permettre à cetordinateur d'avoir accès au réseau.

Enforcer vérifie les informations suivantes avant de permettre aux clients d'accéderau réseau :

■ Version du logiciel client que l'ordinateur exécute.

■ Le client a un identificateur unique (UID).

■ Le client a été mis à jour avec la politique d'intégrité de l'hôte la plus récente.

■ L'ordinateur client a réussi la vérification de l'intégrité de l'hôte.

Se reporter à "Configuration du client pour l'authentification 802.1x" à la page 151.

Exécution d'une vérification de l'intégrité de l'hôteVotre administrateur configure la fréquence selon laquelle le client exécute unevérification de l'intégrité de l'hôte. Vous pouvez devoir exécuter une vérificationde l'intégrité de l'hôte immédiatement plutôt qu'attendre le contrôle suivant. Parexemple, l'échec d'une vérification de l'intégrité de l'hôte peut indiquer que vousdevez mettre à jour les signatures de protection contre les virus sur votre

149Gérer Symantec Network Access ControlFonctionnement du client avec un module d'application Enforcer

ordinateur. Le client peut vous permettre de choisir de télécharger le logicielrequis immédiatement ou de reporter le téléchargement. Si vous téléchargez lelogiciel immédiatement, vous devez exécuter la vérification de l'intégrité de l'hôtede nouveau pour vérifier que vous avez le logiciel correct. Vous pouvez attendrela vérification de l'intégrité de l'hôte planifiée suivante ou exécuter le contrôleimmédiatement.

Pour exécuter une vérification de l'intégrité de l'hôte


2 en regard de Network Access Control, cliquez sur Options > Vérifier laconformité.

3 Si un message apparaît pour confirmer que la vérification de l'intégrité del'hôte s'est exécutée, cliquez sur OK.

Si vous aviez été bloqué pour l'accès au réseau, vous devriez regagner l'accèsau réseau quand votre ordinateur a été mis à jour pour être conforme à lapolitique de sécurité.

Réparation de l'ordinateurSi le client constate qu'une spécification de politique d'intégrité de l'hôte n'estpas satisfaite, il réagit de l'une des manières suivantes :

■ Le client télécharge automatiquement la mise à jour du logiciel.

■ Le client vous invite à télécharger la mise à jour logicielle requise.

Pour corriger votre ordinateur

◆ Dans la boîte de dialogue Symantec Endpoint Protection qui apparaît, faitesune des actions suivantes :

■ Pour vérifier les exigences de sécurité auxquelles votre ordinateur nesatisfait pas, cliquez sur Détails.

■ Pour installer immédiatement le logiciel, cliquez sur RestaurerVous pouvez ou non avoir l'option d'annuler l'installation après qu'elleait commencé.

■ Pour reporter l'installation du logiciel, cliquez sur Melerappelerdans etsélectionnez un délai dans la liste déroulante.L'administrateur peut configurer le nombre de fois maximal oùl'installation peut être reportée.

Gérer Symantec Network Access ControlRéparation de l'ordinateur

150

Configuration du client pour l'authentification 802.1xSi votre réseau d'entreprise utilise LAN Enforcer pour l'authentification,l'ordinateur client doit être configuré pour utiliser l'authentification 802.1x. Vousou votre administrateur devez configurer le client. Votre administrateur peutvous avoir autorisé ou non à configurer l'authentification 802.1x.

Le procédé d'authentification 802.1x inclut les étapes suivantes :

■ Un client non authentifié ou un demandeur tiers envoie les informationsutilisateur et les informations de conformité à un commutateur réseau 802.1xgéré.

■ Le commutateur réseau retransmet les informations à LAN Enforcer. LANEnforcer envoie les informations utilisateur au serveur d'authentification pourl'authentification. Le serveur RADIUS est le serveur d'authentification.

■ Si le client échoue à l'authentification au niveau utilisateur ou n'est pasconforme à la politique d'intégrité de l'hôte, Enforcer peut bloquer l'accès auréseau. Enforcer place l'ordinateur client non conforme dans un réseau dequarantaine où l'ordinateur peut être corrigé.

■ Après que le client a corrigé l'ordinateur et l'a rendu conforme, le protocole802.1x authentifie à nouveau l'ordinateur et lui accorde l'accès au réseau.

Pour travailler avec LAN Enforcer, le client peut utiliser un demandeur tiers ouun demandeur intégré.

Tableau 6-2 décrit les types d'options que vous pouvez configurer pourl'authentification 802.1x.

Tableau 6-2 Options d'authentification 802.1x

DescriptionOption

Utilise un demandeur tiers 802.1x.

LAN Enforcer fonctionne avec un serveur RADIUS et desdemandeurs tiers 802.1x pour effectuer l'authentificationutilisateur. Le demandeur de 802.1x vous invite pour lesinformations d'utilisateur. Le boîtier LAN Enforcer transmetces informations d'utilisateur au serveur Radius pourl'authentification au niveau de l'utilisateur. Le client envoiele profil client et l'état d'intégrité de l'hôte à Enforcer de sortequ'Enforcer authentifie l'ordinateur.

Remarque : Si vous voulez utiliser le client SymantecNetwork Access Control avec un demandeur tiers, le moduleProtection contre les menaces réseau du client SymantecEndpoint Protection doit être installé.

Demandeur tiers

151Gérer Symantec Network Access ControlConfiguration du client pour l'authentification 802.1x

DescriptionOption

Utilise le client pour s'exécuter en tant que demandeur 802.1x.

Vous utilisez cette méthode si l'administrateur ne souhaitepas utiliser un serveur RADIUS pour effectuerl'authentification utilisateur. LAN Enforcer s'exécute dansle mode transparent et agit en tant que serveurpseudo-RADIUS.

Le mode transparent signifie que le demandeur ne vousdemande pas les données utilisateur. Dans le modetransparent, le client agit en tant que demandeur 802.1x. Leclient répond à la sollicitation EAP du commutateur avec leprofil client et l'état d'intégrité de l'hôte. Le commutateur, àson tour, fait suivre les informations à LAN Enforcer, qui agiten tant que serveur pseudo-RADIUS. LAN Enforcer validel'intégrité de l'hôte et les données de profil de client ducommutateur et peut permettre, bloquer ou attribuerdynamiquement un VLAN, comme approprié.

Remarque : Pour utiliser un client en tant que demandeur802.1x, vous devez désinstaller ou désactiver les demandeurstiers 802.1x sur l'ordinateur client.

Mode transparent

Utilise le demandeur 802.1x intégré de l'ordinateur client.

Les protocoles d'authentification intégrés incluent SmartCard, PEAP ou TLS. Après avoir activé l'authentification802.1x, vous devez spécifier le protocole d'authentificationà l'utiliser.

Demandeur intégré

Avertissement : Contactez votre administrateur avant de configurer votre clientpour l'authentification 802.1x. Vous devez savoir si votre réseau d'entrepriseutilise le serveur RADIUS comme serveur d'authentification. Si vous configurezl'authentification 802.1x incorrectement, vous pouvez interrompre votre connexionau réseau.

Configuration du client pour l'utilisation d'un demandeur tiers


2 En regard de Contrôle d'accès réseau, cliquez sur Options > Changer lesparamètres > Paramètres 802.1x.

Gérer Symantec Network Access ControlConfiguration du client pour l'authentification 802.1x

152

3 Dans la boîte de dialogue Paramètres de Network Access Control, cliquezsur Activer l'authentification 802.1x.

4 Cliquez sur OK.

Vous devez également installer une règle de filtrage qui autorise les pilotesde demandeur tiers 802.1x sur le réseau.


Vous pouvez configurer le client pour utiliser le demandeur intégré. Vousactivez le client pour l'authentification 802.1x et en tant que demandeur802.1x.

Configuration du client pour l'utilisation du mode transparent ou d'un demandeurintégré


2 En regard de Contrôle d'accès réseau, cliquez sur Options > Changer lesparamètres > Paramètres 802.1x.

3 Dans la boîte de dialogue Paramètres de Network Access Control, cliquezsur Activer l'authentification 802.1x.

4 Cliquez sur Utiliser le client en tant que demandeur 802.1x.


■ Pour sélectionner le mode transparent, cochez Utiliser le modetransparent de Symantec.

■ Pour configurer un demandeur intégré, cliquez sur Permet de choisir leprotocole d'authentification.Vous devez alors choisir le protocole d'authentification pour votreconnexion réseau.

6 Cliquez sur OK.

Sélection d'un protocole d'authentification

1 Sur l'ordinateur client, cliquez sur Démarrer > Paramètres > Connexionsréseau, puis cliquez sur Connexion au réseau local.

Remarque : Ces étapes sont enregistrées pour des ordinateurs qui exécutentWindows XP. Votre procédure peut varier.

2 Dans la boîte de dialogue Etat de la connexion au réseau local, cliquez surPropriétés.

153Gérer Symantec Network Access ControlConfiguration du client pour l'authentification 802.1x

3 Dans la boîte de dialogue Propriétés de Connexion au réseau local, cliquezsur l'onglet Authentification.

4 Sur l'onglet Authentification, cliquez sur la liste déroulante Type EAP etsélectionnez l'un des protocoles d'authentification suivants :

■ Carte à puce ou autre certificat

■ PEAP (Protected EAP)

■ Mode transparent de Symantec NAC

Assurez-vous que la case Activer l'authentification IEEE 802.1X pour ceréseau est cochée.

5 Cliquez sur OK.


Authentifier à nouveau votre ordinateurSi votre ordinateur a réussi la vérification de l'intégrité de l'hôte mais que Enforcerle bloque, vous devrez peut-être authentifier à nouveau votre ordinateur. Dansdes circonstances normales, vous ne devriez jamais avoir à authentifier à nouveauvotre ordinateur.

Enforcer peut bloquer l'ordinateur lorsque l'un des événements suivants survient :

■ L'ordinateur client a manqué l'authentification utilisateur parce que vous aveztapé incorrectement votre nom d'utilisateur ou votre mot de passe.

■ Votre ordinateur client se trouve dans le mauvais VLAN.

■ L'ordinateur client n'a pas obtenu de connexion réseau. Une connexion réseauinterrompue se produit habituellement parce que le commutateur entrel'ordinateur client et LAN Enforcer n'a pas authentifié votre nom d'utilisateuret mot de passe.

■ Vous êtes connecté à un ordinateur client qui a authentifié un utilisateur avantvous.

■ L'ordinateur client a échoué au contrôle de conformité.

Vous pouvez authentifier à nouveau l'ordinateur seulement si vous ou votreadministrateur avez configuré l'ordinateur avec un demandeur intégré.

Remarque :Votre administrateur peut ne pas avoir configuré le client pour afficherla commande Réauthentification.

Gérer Symantec Network Access ControlConfiguration du client pour l'authentification 802.1x

154

Pour authentifier à nouveau votre ordinateur

1 Cliquez avec le bouton droit de la souris sur l'icône de zone de notification.

2 Cliquez sur Réauthentification....

3 Dans la boîte de dialogue Authentifierànouveau, tapez vos nom d'utilisateuret mot de passe.

4 Cliquez sur OK.

Affichage des journaux Symantec Network AccessControl

Le client Symantec Network Access Control utilise les journaux suivants pourcontrôler différents aspects de son fonctionnement et les résultats de la vérificationde l'intégrité de l'hôte :

Enregistre les résultats et l'état de vérifications de l'intégrité de l'hôte.Sécurité

Enregistre toutes les modifications opérationnelles pour le client, telque la connexion au serveur de gestion et les mises à jour de lapolitique de sécurité client.

Système

Si vous utilisez un client géré, les deux journaux peuvent être régulièrementenvoyés au serveur. Votre administrateur peut utiliser le contenu des journauxpour analyser l'état global de la sécurité du réseau.

Vous pouvez exporter les données de ces journaux.

Pour afficher les journaux Symantec Network Access Control


2 Pour afficher le journal de sécurité, à côté de NetworkAccessControl, cliquezsur Options > Afficher les journaux.

3 Dans le journal de sécurité, sélectionnez la première entrée de journal.

Dans le coin inférieur gauche, les résultats de la vérification de l'intégrité del'hôte apparaissent. Si le client était déjà installé, la condition prédéfinie depare-feu est remplie. Si le client n'était pas installé, la condition prédéfiniede pare-feu échoue mais est signalée comme réussie.

155Gérer Symantec Network Access ControlAffichage des journaux Symantec Network Access Control

4 Pour afficher le journal système, dans la boîte de dialogue Journaldesécurité- Journaux de Symantec Network Access Control, cliquez sur le Afficher >Journal système.



Gérer Symantec Network Access ControlAffichage des journaux Symantec Network Access Control

156

Aactiver

Auto-Protect 46Protection contre les menaces proactives 46Protection contre les menaces réseau 46

activité réseauaffichage 132

alertesicônes 15réagir 21

analyse de clic droit 16analyse de messagerie. Se reporter à Auto-Protectanalyses

à propos de 66actions correctives 84actions de notification 84ajustement des paramètres 84composants soumis à l'analyse 64configuration des exceptions 84définies par l'utilisateur 84exclusion d'éléments 92exécution 16fonctionnement 64gestion 58interprétation des résultats 23options de mise en sommeil 18planifiées 76réagir à une détection 24report 17sur demande et au démarrage 79suspension 17types de 66

analyses Active Scanexécution 77

analyses au démarragecréation 79

analyses complètesexécution 77

analyses personnaliséesexécution 77

analyses planifiéescréation 76multiples 76

analyses sur demandecréation 79exécution 16

applicationà propos de 149autorisation ou blocage 129

applications 127autoriser ou bloquer 140exclusion des analyses 92

applications trompeuses 73authentification 802.1x

à propos de 151configuration 152

Auto-Protectactivation ou désactivation 44, 46clients de messagerie groupware 68Détail des téléchargements 44pour le système de fichiers 46pour Lotus Notes 70pour messagerie Internet 68pour Microsoft Outlook 68

autorisation du trafic 129réagir aux messages 29

autoriser le traficrègles de filtrage 140

Bblocage d'un ordinateur attaquant 125blocage du trafic 126, 129

réagir aux messages 29bloquer le trafic

règles de filtrage 140

CCentre de sécurité Windows

affichage de l'état antivirus 102affichage de l'état du pare-feu 103

cheval de Troie 72

Index

clientsdésactivation de la protection 43géré contre non géré 40, 42protection des ordinateurs 34

clients autonomes 40clients gérés

à propos de 40gestion de la protection 34recherche 42

clients non gérésà propos de 40gestion de la protection 34recherche 42

composeurs 72contrôle d'accès réseau

à propos 13à propos de 147application 149réparation de l'ordinateur 150

courrier électroniqueexclusion du fichier de boîte de réception des

analyses 91

Ddéblocage d'un ordinateur attaquant 125définitions

à propos 65mise à jour 36–37

définitions de virusà propos 65mise à jour 36–37

dépannagevia la page d'état 13

désactiverAuto-Protect 44, 46Protection contre les menaces proactives 46Protection contre les menaces réseau 45–46protection proactive contre les menaces 44

Détail des téléchargementsdonnées de réputation 75gestion des détections 80interaction avec Auto-Protect 44personnalisation 83réagir aux notifications 27

domaine Webexclusion des analyses 92

données de réputation 75dossiers

exclusion des analyses 92

Eexceptions

à propos de 91–92création 92

exceptions d'analyse. Se reporter à exceptions

Ffichiers

action lors d'une détection 24exclusion des analyses 92partage 122

fichiers infectésaction 23

files (fichiers)soumission à Symantec Security Response 98

Iicône de bouclier 38icône de la zone de notification système 38icône de zone de notification

à propos 38masquage et affichage 40

icônesbouclier 38cadenas 42sur la page d'état 15

imprimante, partage 122Insight 75Insight Lookup

sites intranet approuvés 83inspection avec état 136IPS

à propos de 110mise à jour des définitions 36

JJournal d'analyse 50

mise en quarantaine d'un fichier 97Journal de contrôle 51journal de débogage 51Journal de protection contre les interventions 51Journal de sécurité 51Journal de trafic 50Journal des menaces 50Journal des paquets 51

activation 52Journal des risques 50

mise en quarantaine d'un fichier 97

Index158

Journal systèmeProtection contre les virus et les spywares 50Protection proactive contre les menaces 50

journal systèmegestion des clients 51

journauxà propos 49activation du journal des paquets 52affichage 51contrôle d'accès réseau 155exportation de données 54exportation des entrées de journal filtrées 54formats d'exportation 54–55suivi des entrées 53

Llicences

réagir aux messages 30LiveUpdate

commande 15création de planification pour 37exécution immédiate 37présentation 36

logiciel de pistage 73logiciel malveillant

configurer les actions pour la détection de 86logiciel publicitaire 72

Mmenaces

combinées 72menaces combinées 72message

prévention d'intrusion 145messages

réagir 21, 29–31mettre à jour

définitions 37mise en quarantaine des virus 24

Nnavigation Web en mode furtif

activation 115nettoyage des virus 24, 74notification

Détail des téléchargements 27prévention d'intrusion 145

notificationsréagir 21

OOption d'aide 13options

pas disponible. 41ordinateurs

analyse 58mise à jour de la protection sur 36protection des ordinateurs 34

ordinateurs 64 bits 17outil d'évaluation de la sécurité 73outils de piratage 73

PPage Afficher la quarantaine 15Page Changer les paramètres 15Page d'état 14

dépannage 13icônes d'alerte 15

Page Rechercher les menaces 14paramètres

prévention d'intrusion 145paramètres de trafic et de furtivité 115pare-feu

activation ou désactivation 46applications 127définition 110gestion 110inspection avec état 136paramètres 113

partage des fichiers et des imprimantes 122prévention d'intrusion. Se reporter à IPS

activation ou désactivation 145gestion 142mode de fonctionnement 143notification pour 145

prévention d'intrusion du navigateurà propos de 143

prévention d'intrusion réseauà propos de 143

programmes blagues 73programmes d'accès distant 73programmes de contrôle parentaux 73protection

activation ou désactivation 43comment faire 34

159Index

mise à jour 36–37protection au niveau pilote

activation 115protection contre l'usurpation d'adresse MAC

activation 115Protection contre les interventions

activation et désactivation 48configuration 48désactivation 45

Protection contre les menaces proactivesà propos de 12activation ou désactivation 46

Protection contre les menaces réseauà propos de 12, 110activation ou désactivation 45–46gestion 110journaux 50

Protection contre les virus et les logiciels espionsà propos de 12

Protection contre les virus et les spywaresJournal système 50

protection NetBIOSactivation 115

protection proactive contre les menacesactivation ou désactivation 44

QQuarantaine

gérer des fichiers dans 94soumission de fichiers à Symantec Security

Response 98suppression de fichiers 98

quarantaineaffichage de fichiers infectés 96déplacement de fichiers 96mise en quarantaine d'un fichier

manuellement 97

Rréauthentification 154règles de filtrage

activation et désactivation 142ajout 140configuration 139exportation 141importation 141ordre de traitement

à propos de 134

règles de pare-feu 135ordre de traitement

modification 135règles du pare-feu

à propos de 137réponse active

à propos 125risque

suppression à partir d'un fichier infecté 26risques de sécurité

comment le client les détecte 65comment le client réagit 66comment le client réagit à une détection 74configurer les actions pour la détection de 86exclusion des analyses 92

robot Web 72rootkits 72

Sserveur

clients gérés 41connexion 38

services Windowsaffichage 132

Smart DHCP 121Smart DNS 121Smart WINS 121SONAR

à propos de 12, 105à propos des détections 105gestion 103journaux 50modification des paramètres 106

soumissions 100spyware 73suppression des virus 24Symantec Security Response

soumission de fichiers 98

Ttrafic

affichage 132autorisation ou blocage 129blocage 126

trafic de diffusionaffichage 132

trafic Token Ringactivation 115

Index160

transmission 99

Uupdate (mettre à jour)

définitions 36

Vver 72Vérification de l'intégrité de l'hôte

exécution 150virus 72

comment le client les détecte 65comment le client réagit 66comment le client réagit à une détection 74configurer les actions pour la détection de 86non reconnus 98suppression à partir d'un fichier infecté 26

161Index