Partager via


Comment créer et déployer des stratégies anti-logiciels malveillants pour protéger les points de terminaison dans Configuration Manager

 

S'applique à: System Center 2012 R2 Endpoint Protection, System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 Endpoint Protection SP1, System Center 2012 Endpoint Protection, System Center 2012 R2 Configuration Manager SP1

Vous pouvez déployer des stratégies anti-programme malveillant aux collections de Microsoft System Center 2012 Configuration Manager les ordinateurs clients pour spécifier comment Endpoint Protection les protège contre les logiciels malveillants et autres menaces.Ces stratégies incluent des informations sur la planification de l'analyse, les types de fichiers et dossiers à analyser et les actions à entreprendre lorsque le logiciel malveillant est détecté.Lorsque vous activez Endpoint Protection, une stratégie de logiciel anti-programme malveillant par défaut est appliquée aux ordinateurs clients.Vous pouvez également utiliser des modèles de stratégies supplémentaires fournis ou créer vos propres stratégies anti-programme malveillant personnalisées pour répondre aux besoins spécifiques de votre environnement.

Notes

Configuration Manager fournit des modèles prédéfinis qui sont optimisés pour différents scénarios et qui peuvent être importés vers Configuration Manager.Ces modèles sont disponibles dans le dossier < dossier d'installation ConfigMgr >\AdminConsole\XMLStorage\EPTemplates.

Important

Si vous créez une stratégie anti-programme malveillant et la déployez dans un regroupement, cette stratégie remplace la stratégie anti-programme malveillant par défaut.

Utilisez les procédures de cette rubrique pour créer ou importer des stratégies contre les logiciels malveillants et les assigner à System Center 2012 Configuration Manager les ordinateurs clients de votre hiérarchie.

Notes

Avant d'exécuter ces procédures, vérifiez que Configuration Manager est configuré pour Endpoint Protection, comme décrit dans Configuration d'Endpoint Protection dans Configuration Manager.

Pour modifier la stratégie anti-programme malveillant par défaut

  1. Dans la console Configuration Manager, cliquez sur Ressources et Conformité.

  2. Dans le biens et conformité espace de travail, développez Endpoint Protection, puis cliquez sur stratégies anti-programme malveillant.

  3. Sélectionnez la stratégie anti-programme malveillant Stratégie par défaut des logiciels anti-programmes malveillants du client puis, sur l'onglet Accueil, dans le groupe Propriétés, cliquez sur Propriétés.

  4. Dans la boîte de dialogue Stratégie de logiciel anti-programme malveillant par défaut, définissez les paramètres de cette stratégie, puis cliquez sur OK.

    Notes

    Pour une liste de paramètres que vous pouvez configurer, consultez Liste des paramètres de stratégie de protection contre les logiciels malveillants dans cette rubrique.

Pour créer une stratégie de protection contre les logiciels malveillants

  1. Dans la console Configuration Manager, cliquez sur Ressources et Conformité.

  2. Dans le biens et conformité espace de travail, développez Endpoint Protection, puis cliquez sur stratégies anti-programme malveillant.

  3. Dans l'onglet Accueil, dans le groupe Créer, cliquez sur Créer une stratégie de logiciel anti-programme malveillant.

  4. Dans le Général section de la créer une stratégie anti-programme malveillant boîte de dialogue, entrez un nom et une description pour la stratégie.

  5. Dans la boîte de dialogue Créer une stratégie de logiciel anti-programme malveillant, définissez les paramètres de cette stratégie, puis cliquez sur OK.

    Notes

    Pour une liste de paramètres que vous pouvez configurer, consultez Liste des paramètres de stratégie de protection contre les logiciels malveillants dans cette rubrique.

  6. Vérifiez que la nouvelle stratégie de logiciel anti-programme malveillant figure dans la liste Stratégies anti-programme malveillant.

Pour importer une stratégie de logiciel anti-programme malveillant

  1. Dans la console Configuration Manager, cliquez sur Ressources et Conformité.

  2. Dans le biens et conformité espace de travail, développez Endpoint Protection, puis cliquez sur stratégies anti-programme malveillant.

  3. Dans l'onglet Accueil, dans le groupe Créer, cliquez sur Importer.

  4. Dans le Open boîte de dialogue, accédez au fichier de stratégie à importer, puis cliquez sur Open.

  5. Dans la boîte de dialogue Créer une stratégie de logiciel anti-programme malveillant, vérifiez les paramètres à utiliser et cliquez sur OK.

  6. Vérifiez que la nouvelle stratégie de logiciel anti-programme malveillant figure dans la liste Stratégies anti-programme malveillant.

Pour déployer une stratégie de logiciel anti-programme malveillant sur les ordinateurs clients

  1. Dans la console Configuration Manager, cliquez sur Ressources et Conformité.

  2. Dans le biens et conformité espace de travail, développez Endpoint Protection, puis cliquez sur stratégies anti-programme malveillant.

  3. Dans le stratégies anti-programme malveillant sélectionnez la stratégie anti-programme malveillant à déployer.Puis, dans le accueil sous l'onglet du déploiement cliquez sur déployer.

    Notes

    L'option Déploiement ne peut pas être utilisée avec la stratégie de logiciel anti-programme malveillant par défaut du client.

  4. Dans la boîte de dialogue Sélectionner un regroupement, sélectionnez le regroupement de périphériques dans lequel vous voulez déployer la stratégie de logiciel anti-programme malveillant, puis cliquez sur OK.

Liste des paramètres de stratégie de protection contre les logiciels malveillants

La plupart des paramètres anti-programme malveillant sont explicites.Consultez les sections suivantes pour plus d'informations sur les paramètres qui pourraient nécessiter plus d'informations avant de les configurer.

Analyses planifiées

Nom du paramètre

Description

Type d'analyse

Vous pouvez spécifier l'un des deux types d'analyses suivants à exécuter sur les ordinateurs clients :

  • Analyse rapide – ce type d'analyse vérifie le processus en mémoire et les dossiers où les logiciels malveillants se trouve généralement.Ce type d'analyse nécessite moins de ressources qu'une analyse complète.

  • Analyse complète : ce type d'analyse ajoute une vérification complète de tous les fichiers et dossiers locaux aux éléments analysés au cours de l'analyse rapide.Cette analyse dure plus longtemps qu'une analyse rapide et utilise plus de ressources de traitement et mémoire sur les ordinateurs clients.

Dans la plupart des cas, exécutez une analyse rapide afin de réduire l'utilisation des ressources système sur l'ordinateur client.Si la suppression de logiciel malveillant nécessite une analyse complète, Endpoint Protection génère une alerte dans la console Configuration Manager.

La valeur par défaut est Analyse rapide.

Rendre aléatoire les heures de démarrage des analyses planifiées (dans les 30 minutes)

Sélectionnez True (Configuration Manager sans service Pack) ou Oui (Configuration Manager SP1) si vous souhaitez éviter la saturation du réseau, qui peut se produire si tous les ordinateurs envoient leurs contre les logiciels malveillants analyse les résultats à le Configuration Manager la base de données en même temps.

Ce paramètre est également utile lorsque vous exécutez plusieurs ordinateurs virtuels sur un seul hôte.Sélectionnez cette option pour réduire la quantité d'accès disque simultanées pour anti-programme malveillant d'analyse.

Notes

Dans Configuration Manager SP1, ce paramètre apparaît dans les Avancé section des paramètres de stratégie anti-programme malveillant.

Paramètres d'analyse

Nom du paramètre

Description

Analyser les lecteurs réseau lors de l'exécution d'une analyse complète

La valeur True (Configuration Manager sans service Pack) ou Oui (Configuration Manager SP1) si vous souhaitez analyser les lecteurs sur les ordinateurs clients.

Important

Si vous activez ce paramètre, vous risquez d'allonger de manière significative la durée de l'analyse sur les ordinateurs clients.

Actions par défaut

Sélectionnez l'action à exécuter lorsqu'un programme malveillant est détecté sur les ordinateurs clients.Les actions suivantes peuvent être appliquées en fonction du niveau de menace des logiciels malveillants détectés.

  • Recommandé : utiliser l'action recommandée dans le fichier de définition de programme malveillant.

  • Quarantaine : met en quarantaine le programme malveillant sans le supprimer.

  • Supprimer : supprime le programme malveillant de l'ordinateur.

  • Autoriser : ne supprime pas le programme malveillant ou ne le met pas en quarantaine.

Protection en temps réel

Nom du paramètre

Description

Activer la protection en temps réel

La valeur True (Configuration Manager sans service Pack) ou Oui (Configuration Manager SP1) si vous souhaitez configurer les paramètres de protection en temps réel pour les ordinateurs clients.Il est recommandé d'activer ce paramètre.

Surveiller l'activité des programmes et des fichiers sur votre ordinateur

La valeur True (Configuration Manager sans service Pack) ou Oui (Configuration Manager SP1) si vous souhaitez Endpoint Protection permet de surveiller les programmes et fichiers commencent à exécuter sur les ordinateurs clients et pour vous informer sur les actions qu'ils exécutent ou les actions effectuées sur ceux-ci.

Analyser les fichiers système

Ce paramètre vous permet de configurer si entrants, sortants ou les fichiers système entrants et sortants sont surveillés pour les logiciels malveillants.Pour des raisons de performances, vous devrez modifier la valeur par défaut analyser les fichiers entrants et sortants si un serveur a activité élevée fichiers entrants ou sortants.

Activer l'analyse du comportement

Activez ce paramètre pour utiliser les données d'activité de l'ordinateur et des fichiers pour détecter les menaces inconnues.Lorsque ce paramètre est activé, cela peut augmenter le temps nécessaire pour rechercher les ordinateurs contre les programmes malveillants.

Activer la protection contre les attaques par le réseau

Activez ce paramètre pour protéger les ordinateurs contre les attaques par le réseau connues en analysant le trafic réseau et en bloquant toute activité suspecte.

Activer l'analyse de scripts

Pour Configuration Manager sans service Pack.

Activez ce paramètre si vous souhaitez analyser tous les scripts qui s'exécutent sur les ordinateurs pour une activité suspecte.

Paramètres d'exclusion

Nom du paramètre

Description

Dossiers et fichiers exclus

Cliquez sur défini pour ouvrir le fichier de configuration et les Exclusions de dossier boîte de dialogue zone, puis spécifiez les noms des fichiers et dossiers à exclure de Endpoint Protection analyse.

Si vous souhaitez exclure des fichiers et dossiers qui sont trouvent sur un lecteur réseau mappé, spécifiez le nom de chaque dossier individuellement dans le lecteur réseau.Par exemple, si un lecteur réseau est mappé en tant que F:\MyFolder et qu'il contient des sous-dossiers nommés Folder1, Folder2 et 3, spécifiez les exclusions suivantes :

  • F:\MyFolder\Folder1

  • F:\MyFolder\Folder2

  • F:\MyFolder\Folder3

Avancé

Nom du paramètre

Description

Activer l'analyse de point d'analyse

Pour System Center 2012 Configuration Manager SP1 et ultérieur :

La valeur Oui si vous souhaitez que Endpoint Protection à analyser NTFS points d'analyse.

Pour plus d'informations sur les points d'analyse, consultez des Points d'analyse dans le centre de développement Windows.

Remplacements de menace

Nom du paramètre

Description

Nom de la menace et action de remplacement

Cliquez sur Définir pour personnaliser l'action corrective à exécuter pour chaque ID de menace détecté lors d'une analyse.

Notes

La liste des noms de menaces ne soient pas disponible immédiatement après la configuration de Endpoint Protection.Attendez que le Endpoint Protection point a synchronisé les informations sur les menaces et réessayez.

Mises à jour de définitions

Nom du paramètre

Description

Définir les sources et l'ordre pour Endpoint Protection mises à jour du client

Cliquez sur définir la Source pour spécifier les sources de définition et les mises à jour du moteur d'analyse et de spécifier l'ordre dans lequel ils sont utilisés.Si Configuration Manager est spécifié comme l'une des sources, puis les autres sources sont utilisées uniquement si ne parvient pas à télécharger les mises à jour du client mises à jour logicielles.

Si vous utilisez une des méthodes suivantes pour mettre à jour les définitions sur les ordinateurs clients, les ordinateurs clients doivent être en mesure d'accéder à Internet.

  • Mises à jour distribuées depuis Microsoft Update

  • Mises à jour distribuées depuis le Centre de protection Microsoft contre les programmes malveillants

Important

Les clients téléchargent les mises à jour des définitions en utilisant le compte système intégré.Vous devez configurer un serveur proxy pour ce compte afin que ces clients puissent se connecter à Internet.

Si vous avez configuré une règle de déploiement automatique de mises à jour logicielles pour fournir des mises à jour de définition aux ordinateurs clients, ces mises à jour seront remis indépendamment des paramètres de mises à jour de définition.