Problèmes liés aux ordinateurs client

Publication: décembre 2009

S'applique à: Forefront Client Security

Cette rubrique contient les sections suivantes :

Windows Defender et Client Security s'exécutent tous deux sur Windows Vista.

Utilisateur client dans l'impossibilité de définir l'heure d'analyse

Utilisateur client dans l'impossibilité de désactiver les analyses

Les fichiers exclus ne restent pas exclus

Les analyses programmées ne s'exécutent pas.

L'interface utilisateur Client Security ne s'ouvre pas après l'installation.

Mettre à jour dans le Centre de sécurité Windows ne fonctionne pas

L'utilisation de fcslocalpolicytool.exe sous la version localisée de Windows échoue.

Les programmes malveillants ne sont pas éliminés tant qu'aucun utilisateur n'est connecté.

Les avertissements sont enregistrés dans le journal de configuration client lors de l'installation du client.

L'agent Client Security est constitué de trois composants :

  • le service Microsoft Forefront Client Security Antimalware Service (MsMpeng.exe) ;

  • le service Microsoft Forefront Client Security State Assessment Service (FcsSas.exe) ;

  • l'agent MOM (MOMHost.exe et MOMService.exe).

Pour commencer à déterminer la source d'un problème côté client, démarrez l'Observateur d'événements et examinez les journaux à la recherche de messages des services indiqués précédemment. L'agent MOM consigne erreurs, avertissements et données d'information dans le Journal d'application. Les services Antimalware Service et Security State Assessment Service consignent erreurs, avertissements et données d'information dans le Journal système.

Windows Defender et Client Security s'exécutent tous deux sur Windows Vista.

Contexte

Lorsque vous déployez l'agent Client Security sur un ordinateur client exécutant Windows Vista, Windows Defender est désactivé. Cependant, une stratégie de protection d'accès réseau ou une technologie similaire peut réactiver Defender.

En outre, lorsque vous effectuez une mise à niveau d'ordinateur (avec Client Security déjà installé) de Windows XP vers Windows Vista, Defender est toujours installé avec Windows Vista. Par conséquent, Defender comme Client Security s'exécutent. Cette configuration n'est pas prise en charge et Defender doit être désactivé grâce à une stratégie de groupe.

Solution

Defender est livré avec un fichier .adm à utiliser avec la stratégie de groupe afin de définir son comportement. Grâce à ce fichier, vous pouvez désactiver Defender.

Pour désactiver Defender grâce à une stratégie de groupe.

  1. Sur l'ordinateur client sur lequel Defender est installé, naviguez jusqu'au dossier d'installation de Defender et copiez le fichier windowsdefender.adm vers un emplacement accessible à partir du réseau.

  2. Dans Éditeur d'objets de stratégie de groupe, développez Configuration de l'ordinateur, cliquez avec le bouton droit sur Modèles d'administration et cliquez sur Ajout/Suppression de modèles.

  3. Dans la boîte de dialogue Ajout/Suppression de modèles, cliquez sur le bouton Ajouter.

  4. Dans la boîte de dialogue Modèles de stratégie, recherchez et sélectionnez windowsdefender.adm, cliquez sur Ouvrir et cliquez ensuite sur Fermer dans la boîte de dialogue Ajout/Suppression de modèles.

  5. Dans Éditeur d'objets de stratégie de groupe, développez Modèles d'administration, développez Composants Windows et cliquez sur Windows Defender.

  6. Dans le volet principal, double-cliquez sur Désactiver Windows Defender, cliquez sur Activé et cliquez ensuite sur OK.

    La stratégie de groupe prend effet à l'intervalle d'actualisation suivante de stratégie de groupe.

Utilisateur client dans l'impossibilité de définir l'heure d'analyse

Bien que vous ayez autorisé les utilisateurs à programmer leurs propres analyses, les utilisateurs peuvent ne pas pouvoir sélectionner l'heure de début des analyses.

Contexte

Pour permettre les analyses programmées par les utilisateurs, vous devez modifier deux paramètres d'heure de début de démarrage dans l'onglet Protection des boîtes de dialogue Nouvelle stratégie et Modifier une stratégie. Si vous définissez uniquement la valeur de l'heure sur Contrôlé par l'utilisateur, les utilisateurs clients ne pourront pas programmer leurs analyses.

Solution

Dans l'onglet approprié de la boîte de dialogue Modifier une stratégie, sur l'onglet Protection, effectuez l'une des opérations suivantes :

  • Sélectionnez Contrôlé par l'utilisateur pour les deux listes Heure de début.

    noteRemarque :
    Ceci permet à l'utilisateur de désactiver le paramètre Analyser automatiquement mon ordinateur de l'interface utilisateur de Client Security.

  • Sélectionnez un jour et une heure d'analyse.

Utilisateur client dans l'impossibilité de désactiver les analyses

Les utilisateurs clients peuvent empêcher leurs ordinateurs d'être analysés.

Contexte

Si les utilisateurs sont autorisés à programmer les analyses, ils sont également autorisés à les désactiver.

Solution

Dans la boîte de dialogue Modifier une stratégie de la stratégie approprié, dans l'onglet Protection, spécifiez un jour et une heure pour les deux listes Heure de début.

Les fichiers exclus ne restent pas exclus

Lorsque vous sélectionnez Toujours autoriser pour exclure un fichier ou un programme de la détection et suppression de programme malveillant, cette exclusion peut ne pas demeurer.

Contexte

Plusieurs niveaux de contrôle et d'accès d'utilisateur peuvent être définis dans la console Client Security. Pour que les utilisateurs soient en mesure de modifier la liste des exclusions, l'administrateur doit sélectionner l'option Autoriser les utilisateurs à ajouter des exclusions et des dérogations pour la stratégie Client Security qui s'applique aux clients.

Solution

Dans la boîte de dialogue Modifier une stratégie de la stratégie appropriée, dans l'onglet Protection, activez la case à cocher Autoriser les utilisateurs à ajouter des exclusions et des dérogations.

Pour plus d'informations sur la configuration des stratégies, reportez-vous à la section Contrôle des possibilités de l'utilisateur final du Guide d'administration de Client Security (http://go.microsoft.com/fwlink/?LinkId=86661).

Les analyses programmées ne s'exécutent pas

Les analyses programmées ne démarrent peut-être pas. Aucun événement ni erreur n'est consigné par Client Security.

Contexte

Avant de déployer Client Security sur les ordinateurs client, le service Planificateur de tâches doit être en cours d'exécution et correctement configuré pour l'exécution de tâches. Si vous avez manuellement arrêté des tâches depuis la boîte de dialogue Tâches planifiées, le service s'arrête et ne s'initialise pas au démarrage suivant de l'ordinateur. Si le service n'est pas configuré pour ouvrir une session en tant que compte système local, il est possible qu'il ne démarre pas.

Solution

Vérifiez que le service Planificateur de tâches est en cours d'exécution.

Pour vérifier que le service Planificateur de tâches est en cours d'exécution

  1. Sur l'ordinateur client, dans le composant logiciel enfichable Console de gestion de l'ordinateur, développez Services et applications et cliquez ensuite sur Services.

  2. Cliquez avec le bouton droit sur le service Planificateur de tâches et cliquez ensuite sur Propriétés.

  3. Sur l'onglet Général, vérifiez que le type de démarrage est défini sur Automatique et que l'état du service est Démarré. Si le service n'est pas en cours d'exécution, cliquez sur Démarrer. Cliquez sur OK.

L'interface utilisateur Client Security ne s'ouvre pas après l'installation

Immédiatement après l'installation, vous pouvez essayer de démarrer l'interface utilisateur de Client Security sur un ordinateur client exécutant Windows Vista et rien se produit.

Contexte

Ceci est dû au fait que clientsetup.exe s'exécute dans un contexte élevé sur le système d'exploitation Windows Vista.

Solution

Effectuez l'une des actions suivantes :

  • Fermez votre session et ouvrez une nouvelle session.

  • Cliquez avec le bouton droit sur l'icône Client Security de la zone de notification, cliquez sur Quitter puis, depuis le menu Démarrer, rouvrez Client Security.

Mettre à jour dans le Centre de sécurité Windows ne fonctionne pas

Après l'installation de l'agent Client Security sur Windows Vista, le Centre de sécurité Windows vous invite à mettre à jour les définitions du logiciel anti-programme malveillant. Le clic sur le bouton Mettre à jour devrait provoquer l'affichage de l'interface utilisateur de Client Security mais, immédiatement après son installation, il est possible que cela n'ait aucun effet.

Contexte

Ceci est dû au fait que clientsetup.exe s'exécute avec un compte élevé.

Solution

Redémarrez l'ordinateur client.

L'utilisation de fcslocalpolicytool.exe sous la version localisée de Windows échoue

Lors du déploiement manuel des stratégies Client Security vers des ordinateurs tournant sous des systèmes d'exploitation localisés (dans des langues autres que l'anglais), le fichier fcslocalpolicytool.exe ignore l'entrée yes (oui) et demande de façon répétée la saisie d'une réponse affirmative ou négative.

Solution

Pour contourner ce problème, exécutez fcslocalpolicytool.exe avec l'option /f . L'option /f supprime le message de confirmation et saisit automatiquement la réponse yes (oui).

Les programmes malveillants ne sont pas éliminés tant qu'aucun utilisateur n'est connecté.

Quand des programmes malveillants sont détectés sur un ordinateur client, l'action par défaut contre ces programmes malveillants détectés n'est pas réalisée automatiquement par la protection en temps réel (RTP).

Contexte

L'action par défaut pour la protection en temps réel est réalisée uniquement lorsqu'un utilisateur a ouvert une session sur l'ordinateur. De plus, les clés de Registre nécessaires pour la protection en temps réel ne sont pas créées si la stratégie Client Security n'a pas été déployée sur l'ordinateur client. Dans tous les cas, un d'événement 3004 est enregistré dans le journal des événements lorsque des programmes malveillants sont détectés. Cette information indique que des programmes malveillants ont été suspendus par la protection en temps réel.

Solution

Pour que la protection en temps réel puisse réaliser l'action par défaut contre les programmes malveillants (suppression, nettoyage ou mise en quarantaine), un utilisateur doit avoir ouvert une session. Toutefois, lorsque des fichiers malveillants sont détectés, ils sont automatiquement suspendus et tout accès à ces derniers (par exemple, lecture, copie ou exécution) est bloqué par Client Security. Par conséquent, l'ordinateur est protégé même si l'action par défaut n'a pas été réalisée et que le programme malveillant est toujours présent sur l'ordinateur.

Pour que la protection en temps réel puisse réaliser automatiquement l'action par défaut contre les programmes malveillants détectés, les clés de Registre suivantes doivent impérativement être présentes. Les valeurs des clés de Registre doivent être définies sur Activé (1).

HKLM\Software\Policies\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Real-Time Protection\AutomaticallyCleanRealTimeAfterDelay

HKLM\Software\Policies\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Scan\AutomaticallyCleanAfterScan

noteRemarque :
Lorsque la stratégie Client Security est déployée, les analyses complètes programmées réalisent automatiquement l'action par défaut, sans nécessiter qu'un utilisateur soit connecté.

Les avertissements sont enregistrés dans le journal de configuration client lors de l'installation du client.

Pendant l'installation du client sur certaines versions du système d'exploitation Windows Vista, l'avertissement « Avertissement : cette version de Vista n'est pas prise en charge » est consigné dans le journal de configuration.

Du moment que vous effectuez l'installation sur une version de Windows Vista prise en charge, vous ne devez pas tenir compte de ce message. Pour obtenir la liste des versions prises en charge, reportez-vous à la section Vérification de la configuration système requise du Guide de déploiement de Client Security.

Afficher: