Politique Antimalware - Paramètres avancés

La politique antimalware de
Symantec Endpoint Security
inclut des paramètres avancés pour la fonctionnalité Auto-Protect et d'autres fonctions antimalware.
Paramètres avancés antimalware
Option
Description
Activer Auto-Protect
Permet d'activer ou de désactiver la fonctionnalité Auto-Protect pour le système de fichiers. Par défaut, Auto-Protect est activé.
Activer l'analyse comportementale
Permet d'activer ou de désactiver l'analyse comportementale.
L'analyse comportementale (également appelée SONAR) correspond à la protection en temps réel qui détecte des applications potentiellement malveillantes lorsqu'elles s'exécutent sur vos ordinateurs. L'analyse comportementale utilise une méthode heuristique et des données de réputation pour détecter les menaces émergentes et inconnues. L'analyse comportementale assure une protection contre les menaces Zero Day, car elle détecte les menaces avant que les définitions de virus et de spyware standard soient créées pour les traiter.
Activer la protection antimalware au démarrage de Symantec
La protection antimalware au démarrage (ELAM) protège vos périphériques contre toute menace dont le chargement a lieu au démarrage.
Endpoint Security
comprend un pilote de protection antimalware au démarrage qui fonctionne avec le pilote de protection antimalware au démarrage de Microsoft pour assurer la protection. Les paramètres sont pris en charge sur Microsoft Windows 8 et Windows Server 2012.
Le pilote de protection antimalware au démarrage est un type particulier de pilote qui commence par s'initialiser, puis recherche du code malveillant dans les autres pilotes de démarrage. Lorsque le pilote de
Endpoint Security
détecte un pilote de démarrage, il détermine si le pilote est bon, mauvais ou inconnu. Le pilote de
Endpoint Security
transmet alors les informations à Windows, pour décider d'autoriser ou de bloquer le pilote détecté.
Les paramètres de
Endpoint Security
fournissent une option pour traiter les mauvais pilotes et les mauvais pilotes critiques comme des pilotes inconnus. Les mauvais pilotes critiques sont les pilotes qui sont identifiés comme des malwares mais sont requis pour le démarrage d'ordinateur. Par défaut, Windows autorise le chargement des pilotes inconnus. Vous pourriez vouloir sélectionner l'option de remplacement si vous obtenez des détections de faux positifs qui bloquent un pilote important. Si vous bloquez un pilote important, vous risquer d'empêcher des périphériques de démarrer.
Le pilote de protection antimalware au démarrage de Windows doit être activé afin d'appliquer les paramètres de
Endpoint Security
. Vous utilisez l'éditeur de politique de groupe de Windows pour afficher et modifier les paramètres ELAM de Windows. Pour plus d'informations, voir la documentation Windows.
Activer Auto-Protect pour Microsoft Outlook
Active ou désactive Auto-Protect pour les clients de messagerie Microsoft Exchange (Outlook)
Options avancées de la fonctionnalité Auto-Protect
Options avancées de la fonctionnalité Auto-Protect
Option
Description
Charger Auto-Protect au démarrage de l'ordinateur
Permet de charger Auto-Protect au démarrage du système d'exploitation de l'ordinateur et de le décharger lors de l'arrêt de l'ordinateur. Cette option peut protéger contre certains virus. Si Auto-Protect détecte un virus pendant l'arrêt, il place le fichier infecté dans un dossier de quarantaine temporaire. Auto-Protect détecte ensuite le virus au démarrage et crée une notification d'alerte.
Si vous désactivez Auto-Protect sur un périphérique sur lequel cette option est activée, Auto-Protect fonctionne toujours après chaque redémarrage du périphérique pendant un bref moment. Quand le service client principal démarre, il désactive Auto-Protect.
Activer le cache de fichier
Activer Risk Tracer
Analyser lorsqu'un fichier est consulté
Analyse les fichiers lors de leur écriture, ouverture, déplacement, modification, copie ou exécution.
Utilisez cette option pour une protection plus complète du système de fichiers. Cette option peut avoir une incidence sur les performances, Auto-Protect analysant les fichiers indépendamment du type d'opération dont ils font l'objet.
Analyser après la modification d'un fichier
Analyse les fichiers lors de leur écriture, modification ou copie.
Cette option améliore légèrement les performances, puisque Auto-Protect analyse les fichiers seulement lors de leur écriture, modification ou copie.
Analyser quand un fichier est sauvegardé
Analyse un fichier pendant la sauvegarde si un autre processus essaie d'écrire dans le fichier pendant la sauvegarde. Le processus de sauvegarde lit seulement les fichiers pendant la sauvegarde ; il ne lance pas lui-même l'analyse.
Si vous désactivez cette option, Auto-Protect n'analyse aucun fichier pendant les sauvegardes. Le client analyse les fichiers qu'il restaure à partir d'une sauvegarde indépendamment de ce paramètre.
Ne pas analyser les fichiers lorsque des processus approuvés y accèdent
Permet d'ignorer les fichiers qui sont accédés par l'indexeur Windows Search et d'autres processus indiqués comme sécurisés par
Endpoint Security
.
Activer la liste personnalisée
 : vous permet d'activer ou de désactiver une liste de processus approuvés et réputés sécurisés.La liste est utilisée en plus des processus que Symantec a identifiés comme sécurisés.Utilisez l'option
Ajouter un processus personnalisé
pour ajouter des processus.Ajoutez le nom de processus sans chemin d'accès, par exemple, foo.exe.
Toujours supprimer les fichiers infectés nouvellement créés
Activez cette option pour supprimer un nouveau fichier infecté quelle que soit l'action qui est configurée pour le type de risque. Ce paramètre ne s'applique pas aux détections Auto-Protect des fichiers existants contenant des virus. Auto-Protect ne supprime pas les fichiers infectés qui existent déjà sur le périphérique, excepté si l'action configurée est
Supprimer
.
Toujours supprimer les risques de sécurité nouvellement créés
Cette option est disponible uniquement quand
Toujours supprimer les fichiers infectés nouvellement créés
est activé. Activez cette option pour supprimer un fichier nouvellement créé qui contient un risque de sécurité, quelle que soit l'action qui est configurée pour le type de risque. Ce paramètre ne s'applique pas aux détections Auto-Protect des fichiers contenant des risques de sécurité. Auto-Protect ne supprime pas les risques de sécurité qui existent déjà sur l'ordinateur client, à moins que l'action configurée soit
Supprimer
.
Coexister avec Windows Defender
Vous pouvez activer cette option pour autoriser Windows Defender à s'exécuter avant Auto-Protect. Cette option est désactivée par défaut.
Spécifier les options réseau à utiliser pour l’analyse des fichiers stockés sur des ordinateurs distants
Options pour les analyses Auto-Protect effectuées sur des ordinateurs distants :
  • Analyser des fichiers sur des ordinateurs distants
    Active ou désactive l'analyse sur les lecteurs réseau. Si vous désactivez cette option, les performances du périphérique peuvent s'améliorer.
    Lorsque l'analyse est activée sur des lecteurs réseau, Auto-Protect analyse les fichiers auxquels un périphérique ou un accède à partir d'un serveur.
  • Uniquement lors de l'exécution des fichiers
    Par défaut, Auto-Protect analyse les fichiers présents sur des ordinateurs distants uniquement lors de leur exécution. Vous pouvez désactiver cette option pour analyser tous les fichiers des ordinateurs distants, mais cela peut ralentir les performances de votre périphérique.
  • Cache réseau
    Permet d'activer ou de désactiver un enregistrement des fichiers déjà analysés par Auto-Protect à partir d'un serveur réseau.
    Cette option évite qu'Auto-Protect n'analyse le même fichier plusieurs fois et peut améliorer les performances système.
  • Keep <number> entries
    (Conserver <nombre> d'entrées)
    Vous pouvez définir le nombre de fichiers (entrées) analysés et mémorisés par Auto-Protect.
  • Delete entries after <number> seconds
    (Supprimer les entrées après <nombre> secondes)
    Définit le délai d'expiration avant la suppression des fichiers du cache. Lorsque le délai expire, Auto-Protect analyse à nouveau les fichiers réseau si le périphérique les demande au serveur réseau.
Options du cache de fichiers Auto-Protect
Options du cache de fichiers Auto-Protect
Option
Description
Activer le cache de fichier
Auto-Protect utilise un cache de fichier de sorte qu'il se souvienne des fichiers propres de la dernière analyse. Le cache de fichiers est conservé au fil des démarrages. Si le périphérique s'arrête et redémarre, Auto-Protect conserve en mémoire les fichiers corrects et ne les analyse pas.
L'utilisation de la mémoire d'Auto-Protect de diminutions de mise en mémoire cache de fichiers et peut et aider à améliorer des performances d'analyse d'Auto-Protect.
Auto-Protect réanalyse les fichiers dans les cas suivants :
  • Le périphérique télécharge de nouvelles définitions.
  • Auto-Protect détecte que les fichiers pourraient avoir été modifiés quand Auto-Protect ne s'exécutait pas.
Vous pouvez désactiver le cache de fichiers si vous voulez toujours qu'Auto-Protect analyse tous les fichiers. Si vous désactivez le cache de fichiers, les performances de vos périphériques risquent d'être ralenties.
Vous pouvez désactiver cette option pour le dépannage. Si vous désactivez cette option, lorsque le périphérique redémarre, Auto-Protect effectue une nouvelle analyse de tous les fichiers.
Taille du cache de fichiers
Vous pouvez spécifier un nombre d'entrées personnalisé pour les entrées de cache de fichier à inclure. Cette option est utile pour les serveurs de fichiers ou Web sur lesquels vous voulez mettre en cache un nombre élevé de fichiers.
Options d'Auto-Protect Risk Tracer
Options d'Auto-Protect Risk Tracer
Option
Description
Activer Risk Tracer
Risk Tracer identifie la source des infections virales sur le partage réseau de vos périphériques. Risk Tracer ne bloque aucune adresse IP responsables d'attaque. L'option permettant de bloquer automatiquement les adresses IP est activée par défaut dans la politique de pare-feu.
Résoudre l'adresse IP de l'ordinateur source
Si cette option est désactivée, Risk Tracer recherche et enregistre uniquement le nom NetBIOS de l'ordinateur. Si cette option est activée, Risk Tracer tente d'obtenir une adresse IP pour le nom NetBIOS connu.
Si l'infection est issue d'un ordinateur distant, Risk Tracer peut effectuer les opérations suivantes :
  • Chercher et noter le nom NetBIOS de l'ordinateur et son adresse IP.
  • Chercher et noter qui était connecté à l'ordinateur lors de l'envoi.
Intervalle d'interrogation des sessions réseau : <n> millisecondes.
Active ou désactive l'interrogation des sessions réseau.
De plus basses valeurs utilisent des quantités plus élevées d'UC et de mémoire. Elles augmentent également la possibilité que Risk Tracer enregistre les informations de session réseau avant que la menace ne puisse désactiver les partages réseau.
Les valeurs supérieures réduisent le temps système, mais elles diminuent également la capacité de Risk Tracer à détecter la source des infections.
Risk Tracer interroge les sessions de réseau à l'intervalle spécifié, puis met ces informations en cache sous forme de liste source secondaire d'ordinateurs distants. Ces informations maximisent la fréquence avec laquelle Risk Tracer peut avec succès identifier l'ordinateur distant infecté. Par exemple, un risque peut fermer le partage réseau avant que Risk Tracer ne puisse enregistrer la session réseau. Risk Tracer utilise alors la liste source secondaire pour tenter d'identifier l'ordinateur distant.
Options avancées de l'analyse comportementale
Options avancées de l'analyse comportementale
Option
Description
Modification de DNS détectée
et
Modification du fichier hôte détectée
Permet de configurer l'action que l'analyse comportementale doit entreprendre en cas de détection d'une modification de DNS ou du fichier hôte.
L'analyse comportementale n'effectue aucune action si un processus tente d'ouvrir un fichier hôte ou d'y accéder. L'analyse comportementale effectue une action si un processus modifie un fichier hôte.
Les paramètres de modification de fichier hôte ou DNS d'une application n'empêchent pas sa détection par l'analyse comportementale. L'analyse comportementale détecte toujours une application dont le comportement est suspect.
Vous pouvez configurer les actions suivantes :
  • Ignorer
    Ignore la détection. Il s'agit de l'action par défaut. N'importe quelle action autre que
    Ignore
    (Ignorer) peut générer un grand nombre d'événements de journal dans la console, et des notifications par e-mail aux administrateurs.
  • Bloquer
    Bloque la modification.
    Si vous définissez l'action sur
    Bloquer
    , vous risquez de bloquer d'importantes applications sur vos périphériques.
    Par exemple, si vous définissez l'action sur
    Bloquer
    pour
    Modification de DNS détectée
    , vous pourriez bloquer les clients VPN. Si vous définissez l'action sur
    Bloquer
    pour
    Modification de fichier hôte détectée
    , vous pourriez bloquer les applications qui doivent accéder au fichier d'hôte.
  • Consigner seulement
    Autorise la modification mais crée une entrée de journal pour l'événement. Cette action peut entraîner la création de fichiers journaux volumineux.
Analyser des fichiers sur des ordinateurs distants
Permet d'activer ou de désactiver l'analyse comportementale sur les lecteurs réseau.
Activez cette option quand vous devez analyser les opérations de fichier qui ciblent les lecteurs réseau. Désactivez cette option pour augmenter les performances des périphériques. L'analyse comportementale recherche des vers (tels que Sality) qui infectent les lecteurs réseau. Sality est un type de malware qui infecte les fichiers sur les systèmes Microsoft Windows et se propage via les lecteurs amovibles et les partages réseau.