Gestion des détections de Diagnostic des téléchargements

Auto-Protect comprend une fonction appelée Diagnostic des téléchargements, qui examine les fichiers que les utilisateurs essayent de télécharger par des navigateurs Web, des clients de la messagerie textuelle et d'autres portails.
Les portails pris en charge incluent Internet Explorer, Firefox, Microsoft Outlook, Outlook Express, Google Chrome, Windows Live Messenger et Yahoo Messenger.
Diagnostic des téléchargements détermine qu'un fichier téléchargé pourrait être un risque sur la base sur des preuves relatives à la réputation du fichier. Diagnostic des téléchargements est pris en charge seulement pour les clients exécutés sur des ordinateurs Windows.
Si vous installez Auto-Protect pour le courrier électronique sur vos ordinateurs client, Auto-Protect analyse également les fichiers que les utilisateurs reçoivent sous forme de pièces jointes de messagerie.
Gestion des détections de Diagnostic des téléchargements
Tâche
Description
Découvrir comment Diagnostic des téléchargements utilise les données de réputation pour prendre des décisions au sujet des fichiers
La fonctionnalité Diagnostic des téléchargements utilise les informations de réputation exclusivement quand elle prend des décisions au sujet des fichiers téléchargés. Elle n'utilise pas les signatures ni les heuristiques pour prendre des décisions. Si la fonctionnalité Diagnostic des téléchargements autorise un fichier, Auto-Protect ou SONAR analyse le fichier quand l'utilisateur ouvre ou exécute le fichier.
Consulter le rapport Distribution des risques de téléchargement pour visualiser les détections de la fonctionnalité Diagnostic des téléchargements
Vous pouvez utiliser le rapport Distribution des risques de téléchargement pour visualiser les fichiers que la fonctionnalité Diagnostic des téléchargements a détectés sur vos ordinateurs client. Vous pouvez trier ce rapport par URL, domaine Web ou application. Vous pouvez également voir si un utilisateur a choisi d'autoriser un fichier détecté.
Les détails de risque pour une détection de Diagnostic des téléchargements affichent seulement la première application de portail qui a essayé le téléchargement. Par exemple, un utilisateur peut utiliser Internet Explorer pour essayer de télécharger un fichier que Diagnostic des téléchargements détecte. Si l'utilisateur utilise ensuite Firefox pour essayer de télécharger le fichier, les détails de risque affichent Internet Explorer comme portail.
Les fichiers autorisés par l'utilisateur qui figurent dans le rapport peuvent indiquer des détections de faux positifs.
Vous pouvez également spécifier que vous recevez des notifications de courrier électronique relatives aux nouveaux téléchargements autorisés par l'utilisateur.
Les utilisateurs peuvent autoriser des fichiers en réagissant aux notifications qui s'affichent pour les détections.
Les administrateurs reçoivent le rapport dans le cadre d'un rapport hebdomadaire que
 instance de Symantec Endpoint Protection Manager
génère et envoie par courrier électronique. Vous devez avoir spécifié une adresse électronique pour l'administrateur au cours de l'installation ou dans le cadre des propriétés de l'administrateur. Vous pouvez également générer le rapport à partir de l'onglet
Rapports dans la console
.
Créez des exceptions pour des fichiers ou des domaines Web spécifiques
Vous pouvez créer une exception pour une application téléchargée par les utilisateurs. Vous pouvez également créer une exception pour un domaine Web spécifique que vous jugez sécurisé.
Si vos ordinateurs client utilisent un proxy avec authentification, vous devez spécifier les exceptions de domaine Web approuvées pour les URL de Symantec. Les exceptions permettent à vos ordinateurs client de communiquer avec Symantec Insight et d'autres sites importants de Symantec.
Pour plus d'informations au sujet des exceptions recommandées, consultez les articles suivants :
Par défaut, Diagnostic des téléchargements n'examine aucun fichier que les utilisateurs téléchargent depuis un site Internet ou Intranet approuvé. Vous configurez les sites approuvés et les sites intranet locaux approuvés dans l'onglet
Panneau de configuration Windows > Options Internet > Sécurité
. Quand l'option
Approuver automatiquement les fichiers téléchargés à partir d'un site Web intranet
est activée,
Symantec Endpoint Protection
permet autorise tous les fichiers qu'un utilisateur télécharge à partir des sites répertoriés dans les listes.
Symantec Endpoint Protection
recherche des mises à jour de la liste de sites approuvés dans les Options Internet lors de la connexion de l'utilisateur et toutes les quatre heures.
L'analyse Diagnostic des téléchargements identifie seulement les sites approuvés explicitement configurés. Les caractères génériques sont permis, mais les plages d'adresses IP non routables ne sont pas prises en charge. Par exemple, Diagnostic des téléchargements ne reconnaît pas 10.*.*.* comme un site de confiance. Diagnostic des téléchargements ne prend pas non plus en charge les sites découverts par l'option
Options Internet > Sécurité > Détecter automatiquement le réseau Intranet
.
Assurez-vous que les consultations Insight sont activées
Diagnostic des téléchargements requiert des données de réputation issues de l'analyse de Symantec Insight pour prendre des décisions concernant des fichiers. Si vous désactivez les recherches approfondies, Diagnostic des téléchargements s'exécute mais détecte seulement les fichiers ayant les pires réputations. Les recherches approfondies sont activées par défaut.
Personnaliser les paramètres de Diagnostic des téléchargements
Vous pourriez vouloir personnaliser les paramètres de Diagnostic des téléchargements pour les raisons suivantes :
  • Augmenter ou diminuer le nombre de détections de Diagnostic des téléchargements.
    Vous pouvez régler le curseur de sensibilité de détection des fichiers malveillants pour augmenter ou diminuer le nombre de détections. A des niveaux de sensibilité plus bas, Diagnostic des téléchargements détecte moins de fichiers comme étant malveillants et plus de fichiers comme étant non fondés. Les détections de faux positifs sont moins nombreuses.
    A des niveaux de sensibilité plus élevées, Diagnostic des téléchargements détecte davantage de fichiers comme étant malveillants et moins de fichiers comme étant non fondés. Les détections de faux positifs sont plus nombreuses.
  • Modifiez l'action pour les détections malveillantes ou les fichiers non prouvés.
    Vous pouvez modifier la manière dont l'analyse Diagnostic des téléchargements traite les fichiers malveillants ou non prouvés. L'action spécifiée affecte non seulement la détection mais aussi la possibilité qu'ont les utilisateurs d'interagir ou non avec la détection.
    Par exemple, vous pouvez modifier l'action pour les fichiers non prouvés en spécifiant
    Ignorer
    . Dans ce cas, l'analyse Diagnostic des téléchargements autorise toujours les fichiers non prouvés et n'alerte pas l'utilisateur.
  • Alerter les utilisateurs au sujet des détections de l'analyse Diagnostic des téléchargements.
    Quand les notifications sont activées, le paramètre de sensibilité envers les fichiers malveillants affecte le nombre de notifications que les utilisateurs reçoivent. Si vous augmentez la sensibilité, vous augmentez le nombre de notifications des utilisateurs, car le nombre total de détections augmente.
    Vous pouvez désactiver les notifications afin que les utilisateurs n'aient pas le choix quand l'analyse Diagnostic des téléchargements effectue une détection. Si vous maintenez les notifications activées, vous pouvez définir l'action pour les fichiers non prouvés sur
    Ignorer
    afin que ces détections soient toujours autorisées et que les utilisateurs ne soient pas avertis.
    Quels que soient les paramètres de notification, lorsque Diagnostic des téléchargements détecte un fichier non prouvé et que l'action est
    Demander
    , l'utilisateur peut autoriser ou bloquer le fichier. Si l'utilisateur autorise le fichier, le fichier s'exécute automatiquement.
    Lorsque les notifications sont activées et Diagnostic des téléchargements met un fichier en quarantaine, l'utilisateur peut annuler l'action de quarantaine et autoriser le fichier.
    Si les utilisateurs autorisent un fichier en quarantaine, le fichier ne s'exécute pas automatiquement. L'utilisateur peut exécuter le fichier à partir du dossier Temporary Internet Files. Typiquement, l'emplacement du dossier est l'un des suivants :
    • Windows 8 et versions ultérieures :
      Lecteur
      :\Users\
      username
      \AppData\Local\Microsoft\Windows\INetCache
    • Windows Vista/7 :
      Lecteur
      :\Users\
      username
      \AppData\Local\Microsoft\Windows\Temporary Internet Files
    • Windows XP (pour les clients hérités de la version 12.1.x) :
      Lecteur
      :\Documents and Settings\
      username
      \Local Settings\Temporary Internet Files
Autoriser les clients à envoyer des informations sur les détections de réputation à Symantec
Par défaut, les clients envoient des informations concernant les détections d'informations de réputation à Symantec.
Symantec recommande d'activer l'envoi des informations de réputation détectées. Ces informations aident Symantec à faire face aux menaces.