Gestion de la quarantaine pour les clients Windows

La gestion des paramètres de quarantaine est une opération importante qui s'inscrit dans le cadre de la politique de propagation de virus.
Lorsque les analyses antivirus et antispywares ou que SONAR détectent une menace,
Symantec Endpoint Protection
place les fichiers suspects dans le dossier de quarantaine local de l'ordinateur infecté. Ensuite, le client répare le fichier, le répare et le restaure, ou le supprime.
Lorsqu'il détecte un risque et met le fichier en quarantaine, le client en informe le serveur de gestion.Vous pouvez configurer le serveur de gestion pour qu'il demande et récupère automatiquement le fichier mis en quarantaine.Le serveur de gestion charge les échantillons de risque et les stocke dans la base de données, affiche les détails d'événement correspondant et permet de les télécharger pour une analyse plus approfondie.Vous pouvez envoyer le fichier à votre équipe interne de malware ou de sécurité pour ingénierie à rebours (rétroconception), ou à une autre sandbox pour analyse. Si vous pensez qu'il s'agit d'un faux positif, contactez le service de support de Symantec afin d'ouvrir un nouveau dossier.
La version 14 et les versions ultérieures n'incluent pas de serveur de quarantaine centralisée.
A partir de la version 14.3 RU2, vous ne pouvez plus utiliser le serveur de quarantaine centralisée. Désormais, c'est le client qui envoie les fichiers mis en quarantaine à Symantec Endpoint Protection Manager.
Chargement des fichiers mis en quarantaine sur le serveur de gestion
Par défaut, le serveur de gestion ne récupère pas les fichiers mis en quarantaine du client. Vous devez activer ce paramètre.
Pour charger des fichiers mis en quarantaine
  1. Dans la console, cliquez sur
    Administration
    >
    Domaines
    >
    Modifier les propriétés du domaine
    .
  2. Dans l'onglet
    Général
    , cliquez sur
    Charger les fichiers mis en quarantaine à partir des clients
    des clients , puis sur
    OK
    .
Pour télécharger des fichiers que le client a mis en quarantaine et chargés sur le serveur de gestion
  1. Dans la console, cliquez sur
    Moniteurs
    >
    Journaux
    et sélectionnez le type de journal
    Risque
    .
  2. Ouvrez le journal, sélectionnez le fichier mis en quarantaine, puis, dans la liste déroulante
    Action
    , cliquez sur
    Télécharger le fichier mis en quarantaine par le client
    .
Configuration des paramètres de quarantaine
Vous pouvez modifier les options suivantes concernant le mode de traitement des fichiers mis en quarantaine sur le client :
  • Opérations ultérieures au téléchargement de nouvelles définitions sur les clients :
    Par défaut, le client analyse de nouveau les éléments en quarantaine, puis il les répare et les restaure automatiquement de manière silencieuse en cas de téléchargement de nouvelles définitions. Si vous avez créé une exception pour un fichier ou une application en quarantaine,
    Symantec Endpoint Protection
    restaure le fichier après l'apparition de nouvelles définitions.
  • Emplacement de stockage des éléments mis en quarantaine :
    Par défaut, la fonction de quarantaine stocke les fichiers de sauvegarde, réparés et mis en quarantaine dans un dossier par défaut.La fonction de nettoyage de la quarantaine supprime automatiquement les fichiers mis en quarantaine lorsqu'ils dépassent l'ancienneté spécifiée ou lorsque leur répertoire de stockage atteint une taille donnée.Elle supprime automatiquement les fichiers après 30 jours.
    Si vous ne voulez pas utiliser le répertoire de quarantaine par défaut (
    %ProgramData%\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Quarantine
    ) pour stocker les fichiers mis en quarantaine sur les ordinateurs client, vous pouvez spécifier un autre répertoire local. Vous pouvez utiliser l'expansion de chemin d'accès en incluant le signe de pourcentage quand vous tapez le chemin d'accès. Par exemple, vous pouvez saisir
    %COMMON_APPDATA%
    . Les chemins relatifs ne sont pas autorisés.
Pour configurer les paramètres de quarantaine
  1. Dans la politique Protection contre les virus et les spywares, cliquez sur
    Paramètres Windows
    >
    Quarantaine
    .
  2. Dans l'onglet
    Général
    , configurez les options
    A l'arrivée de nouvelles définitions de virus
    et
    Options de quarantaine locale
    .
    Spécifiez le mode de gestion des éléments mis en quarantaine et le dossier local dans lequel les fichiers mis en quarantaine doivent être stockés.Voir :
  3. Cliquez sur
    OK
    .
Suppression des fichiers mis en quarantaine
La fonction de quarantaine supprime automatiquement les fichiers réparés, fichiers de sauvegarde et fichiers mis en quarantaine après le délai spécifié en jours. Vous pouvez la configurer pour supprimer les fichiers lorsque le dossier où ils sont stockés atteint une taille donnée ou après un nombre spécifique de jours.
Il est recommandé de vérifier régulièrement le dossier de quarantaine de l'ordinateur client afin d'éviter l'accumulation d'un grand nombre de fichiers. Vérifiez les fichiers mis en quarantaine quand une nouvelle propagation de virus apparaît sur le réseau.
Laissez les fichiers contenant des infections inconnues dans le dossier de quarantaine. Lorsque le client reçoit de nouvelles définitions, il analyse de nouveau les éléments en quarantaine et procède parfois à la suppression ou à réparation du fichier.
Vous pouvez supprimer un fichier mis en quarantaine si une sauvegarde existe ou si vous disposez d'une copie du fichier provenant d'une source fiable.Vous pouvez supprimer un fichier mis en quarantaine directement sur l'ordinateur infecté ou en utilisant le journal Risque sur la console
Symantec Endpoint Protection
.
Si
Symantec Endpoint Protection
détecte des risques dans un fichier compressé, le fichier compressé est mis en quarantaine dans son ensemble. Toutefois, le journal des risques contient une entrée distincte pour chaque fichier inclus dans le fichier compressé. Pour supprimer correctement tous les risques dans un fichier compressé, vous devez sélectionner tous les fichiers dans le fichier compressé.
Pour configurer le client pour qu'il supprime automatiquement les fichiers
  1. Dans la politique Protection contre les virus et les spywares, cliquez sur
    Paramètres Windows
    >
    Quarantaine
    .
  2. Dans l'onglet
    Nettoyer
    , sélectionnez et désélectionnez les options pour les activer ou les désactiver, ensuite configurez l'intervalle de temps et la taille maximum. Voir :
  3. Cliquez sur
    OK
    .
Pour supprimer des fichiers du journal des risques
  1. Dans la console, cliquez sur
    Moniteurs
    .
  2. Dans l'onglet
    Journaux
    , dans la zone de liste
    Type de journal
    , sélectionnez le journal des
    risques
    , puis cliquez sur
    Afficher le journal
    .
  3. Effectuez l'une des opérations suivantes :
    • Sélectionnez dans le journal une entrée qui a un fichier en quarantaine.
    • Sélectionnez toutes les entrées des fichiers dans le fichier compressé.
      Vous devez voir toutes les entrées du fichier compressé dans la vue de journal. Vous pouvez utiliser l'option
      Limite
      sous
      Paramètres supplémentaires
      pour augmenter le nombre d'entrées dans la vue.
  4. Dans la liste
    Action
    , sélectionnez
    Supprimer de la quarantaine
    .
  5. Cliquez sur
    Démarrer
    .
  6. Dans la boîte de dialogue qui apparaît, cliquez sur
    Supprimer
    , puis sur
    OK
    .