Utilisation d'un ordinateur infecté

Lorsque Client Security détecte un programme malveillant connu ou probable, vous êtes averti de l'infection par le biais de rapports, d'alertes, de la surveillance des événements Client Security ou peut-être grâce à la vigilance d'un utilisateur qui vous signalera qu'un message de l'agent Client Security est affiché sur l'ordinateur infecté.

Lorsque Client Security détecte une instance du programme malveillant, il effectue l'action spécifiée dans la stratégie qui assure la protection de l'ordinateur infecté. Lorsqu'une alerte est déclenchée, celle-ci indique si Client Security a effectué avec succès les actions définies dans la stratégie. Comme l'action spécifiée peut consister à ne rien faire ou à demander à l'utilisateur (qui peut demander à Client Security de n'effectuer aucune action), vous devez rechercher et résoudre toute infection.

Les deux types d'alerte sont les suivants :

  • Ordinateur infecté - Réponse réussie
  • Ordinateur infecté - Réponse Échec

Client Security vous donne la possibilité de rechercher les programmes malveillants qu'il détecte.

Si Client Security n'a pas généré d'alerte pour le programme malveillant détecté, vous pouvez consulter l'événement enregistré sur le serveur de collecte. Consultez l'événement dans la console opérateur MOM, puis utilisez le lien pour afficher l'entrée correspondante dans l'encyclopédie Microsoft sur les logiciels malveillants. Pour plus d'informations sur l'affichage des événements, voir Utilisation des événements.

Si Client Security a généré une alerte de détection d'un programme malveillant, procédez comme suit :

  • Consultez les informations de l'onglet Propriétés pour savoir quelle action a été réalisée et si cette action a été réalisée avec succès.
    Si l'action a échoué, les causes probables de l'échec sont les suivantes :
    • Un redémarrage ou une analyse complète est requis afin de pouvoir terminer la réponse.
    • Une ressource infectée se trouve dans un dossier partagé en lecture seule sur un ordinateur autre que celui qui exécute actuellement Client Security.
    • Une ressource infectée se trouve sur un support en lecture seule, dans l'ordinateur.
  • Utilisez le lien de l'onglet Propriétés pour afficher le Rapport sur le détail des programmes malveillants et en savoir plus le programme détecté et l'action entreprise. Selon l'action définie dans la stratégie, il se peut que le programme malveillant soit toujours présent sur l'ordinateur.
  • Utilisez le lien Rapport sur le détail de l'ordinateur pour connaître l'état de l'ordinateur infecté, afin de savoir par exemple, si d'autres programmes malveillants ou vulnérabilités ont été détectés.

Pour plus d'informations sur les alertes, voir Utilisation des alertes.

  1. En savoir plus sur le programme malveillant détecté. Pour plus d'informations, reportez-vous à la section Recherche de programmes malveillants, ci-dessus.

  2. Si le programme peut être autorisé, modifiez la stratégie, puis sous l'onglet Dérogations, définissez une action par défaut différente pour ce programme, de façon à ce que Client Security ne réessaie pas de le supprimer.

    Si le programme ne doit pas être autorisé, effectuez les actions suivantes, selon le cas :

    • Si la ressource infectée se trouve dans un dossier partagé en lecture seule sur un autre ordinateur que celui qui a signalé l'infection, vous devez identifier le serveur sur lequel se trouve le fichier, déterminer la raison pour laquelle ce serveur n'a pas détecté ce programme malveillant, vérifier que la protection en temps réel est activée sur ce serveur et vérifier que des analyses complètes régulières sont programmées sur ce serveur.
    • Si la ressource infectée se trouve sur un support en lecture seule, retirez le support et évitez de l'utiliser.
    • Vérifiez que l'agent et les signatures Client Security sont à jour sur l'ordinateur infecté.
    • Cherchez l'origine de l'infection de l'ordinateur et prenez des mesures afin d'éviter que de nouvelles infections se produisent de la même façon.
    • Exécutez une nouvelle analyse sur l'ordinateur.
    • Confirmez que l'ordinateur infecté n'a pas subi de dommages. Réparez-le, le cas échéant.
    • Si l'action par défaut consistait à laisser le programme sur l'ordinateur (comme dans une mise en quarantaine) et si ce programme ne doit pas être autorisé, modifiez la stratégie, puis, sous l'onglet Dérogations, définissez une autre action pour ce programme.
    • Exécutez une analyse du réseau afin de rechercher d'autres occurrences de ce programme.
  3. Envoyez à Microsoft un échantillon du programme malveillant détecté. Pour plus d'informations, voir Envoi d'échantillons de programmes malveillants.

Tâches

Dérogations aux réponses par défaut aux programmes malveillants

Concepts

Utilisation de l'agent Client Security

Autres ressources

Envoi d'échantillons de programmes malveillants

Afficher: