Antivirus Microsoft Defender et Microsoft Security Essentials
Antivirus Microsoft Defender
L'antivirus Microsoft Defender est un composant antimalware intégré à Microsoft Windows, qui est fourni à partir de Windows 8.
Le module Antivirus Microsoft Defender vous permet de configurer la stratégie de sécurité de l'antivirus Microsoft Defender et de suivre son état via la console Cyber Protect.
Ce module s'applique aux ressources sur lesquelles l'antivirus Microsoft Defender est installé.
Si vous activez Antivirus Microsoft Defender pour la protection en temps réel, le module Protection en temps réel est automatiquement désactivé afin d'éviter les conflits. Les détections de virus/malware et la mise en quarantaine sont gérées par Microsoft Defender Antivirus, et tous les incidents EDR liés aux détections de virus/malware sont créés à partir des informations fournies par Microsoft Defender Antivirus. EDR inclut d'autres moteurs de détection qui peuvent créer d'autres types d'incidents sans l'intervention de Microsoft Defender Antivirus.
De même, si vous activez la Protection en temps réel, le module Antivirus Microsoft Defender est automatiquement désactivé.
Les paramètres de protection contre les modifications dans Windows doivent également être désactivés pour garantir le bon fonctionnement de l'Antivirus Microsoft Defender dans Cyber Protect Cloud. Pour plus d'informations, consultez cet article de la base de connaissances.
En outre, si Moteur de comportement ou Protection antivirus et antimalware sont désactivés dans le plan de protection lorsque Endpoint Detection and Response (EDR) est activé, cette fonctionnalité est également désactivée.
Microsoft Security Essentials
Microsoft Security Essentials est un composant antimalware intégré à Microsoft Windows, qui est fourni avec les versions antérieures à Windows 8.
Le module Microsoft Security Essentials vous permet de configurer la stratégie de sécurité de Microsoft Security Essentials et de suivre son état via la console Cyber Protect.
Ce module s'applique aux ressources sur lesquelles Microsoft Security Essentials est installé.
Les paramètres pour Microsoft Security Essentials sont similaires à ceux pour l'antivirus Microsoft Defender, mais vous ne pouvez pas configurer la protection en temps réel et ne pouvez pas définir d'exclusions via la console Cyber Protect.
Planifier l'analyse
Spécifiez la planification pour l'analyse planifiée.
Mode d'analyse :
- Complète : une vérification complète de tous les fichiers et dossiers en plus des éléments analysés lors de l'analyse rapide. Son exécution requiert plus de ressources machine comparativement à l'exécution de l'analyse rapide.
- Rapide : une vérification rapide des processus et dossiers en mémoire, dans lesquels se trouvent généralement les malwares. Son exécution requiert moins de ressources machine.
Définissez l'heure et le jour de la semaine pour l'exécution de l'analyse.
Analyse quotidienne rapide : définit l'heure de l'analyse quotidienne rapide.
En fonction de vos besoins, vous pouvez définir les options suivantes :
Démarrer l'analyse planifiée lorsque la machine est allumée, mais pas en cours d'utilisation
Examinez les dernières définitions de virus et de logiciel espion avant d'exécuter une analyse planifiée
Limiter l'utilisation du CPU lors de l'analyse à
Pour en savoir plus sur les paramètres de l'antivirus Microsoft Defender, reportez-vous à l'article https://docs.microsoft.com/fr-fr/sccm/protect/deploy-use/endpoint-antimalware-policies#scheduled-scans-settings.
Actions par défaut
Définissez les actions par défaut à exécuter pour les menaces détectées selon leur niveau de gravité :
- Nettoyer : nettoyer le malware détecté sur une ressource.
- Quarantaine : placer le malware détecté en quarantaine, mais ne pas le supprimer.
- Supprimer : supprimer le malware détecté sur une ressource.
- Autoriser : ne pas supprimer le malware détecté, ni le mettre en quarantaine.
- Défini par l'utilisateur : un utilisateur sera invité à spécifier l'action à effectuer avec le malware détecté.
- Aucune action : aucune action ne sera effectuée.
- Bloquer : bloquer le malware détecté.
Pour en savoir plus sur les paramètres des actions par défaut pour l'antivirus Microsoft Defender, reportez-vous à l'article https://docs.microsoft.com/fr-fr/sccm/protect/deploy-use/endpoint-antimalware-policies#default-actions-settings.
Protection en temps réel
Activez la protection en temps réel pour détecter les malwares et les empêcher de s'installer ou de s'exécuter sur des ressources.
Analyser tous les téléchargements : si cette option est sélectionnée, l'analyse est effectuée sur tous les fichiers téléchargés et sur toutes les pièces jointes.
Activer surveillance des comportements : si cette option est sélectionnée, la surveillance des comportements sera activée.
Analyser les fichiers réseau : si cette option est sélectionnée, les fichiers réseau seront analysés.
Autoriser une analyse complète sur des lecteurs réseau mappés : si cette option est sélectionnée, les lecteurs réseau mappés seront entièrement analysés.
Autoriser l'analyse des e-mails : si l'option est activée, le moteur procèdera à l'analyse syntaxique de la boîte aux lettres et des fichiers de messagerie, en fonction de leur format spécifique, afin d'analyser le corps des e-mails et les pièces jointes.
Pour en savoir plus sur les paramètres de protection en temps réel pour l'antivirus Microsoft Defender, reportez-vous à l'article https://docs.microsoft.com/fr-fr/sccm/protect/deploy-use/endpoint-antimalware-policies#real-time-protection-settings.
Advanced
Spécifiez les paramètres d'analyse avancée :
- Analyser les fichiers d'archive : inclure les fichiers archivés, comme les fichiers .zip ou .rar, à l'analyse.
- Analyser les lecteurs amovibles : analyser les lecteurs amovibles lors d'une analyse complète.
- Créer un point de restauration système : dans certains cas, un fichier ou une entrée de registre important peut être supprimé alors qu'il s'agit d'un « faux positif ». Vous pourrez alors le ou la récupérer à partir d'un point de restauration.
- Supprimer les fichiers mis en quarantaine après : définir la période après laquelle les fichiers en quarantaine seront supprimés.
-
Envoyer automatiquement les échantillons de fichiers lorsqu'une analyse plus profonde est requise :
- Toujours demander : vous serez invité à confirmer avant l'envoi du fichier.
- Envoyer automatiquement tous les échantillons sécurisés : la plupart des échantillons seront envoyés automatiquement, sauf les fichiers qui contiennent des informations personnelles. Ces fichiers nécessiteront une confirmation supplémentaire.
- Envoyer automatiquement tous les échantillons : tous les échantillons seront automatiquement envoyés.
- Désactiver l'interface utilisateur graphique de l'antivirus Windows Defender : si cette option est sélectionnée, l'utilisateur de l'antivirus Windows Defender ne sera pas accessible à l'utilisateur. Vous pouvez gérer les règles relatives à l'antivirus Windows Defender via la console Cyber Protect.
-
MAPS (Microsoft Active Protection Service) : communauté en ligne qui vous aide à choisir comment réagir face aux menaces potentielles.
- Je ne souhaite pas rejoindre MAPS : aucune information ne sera envoyée à Microsoft au sujet des logiciels qui ont été détectés.
- Adhésion de base : des informations de base seront envoyées à Microsoft au sujet des logiciels qui ont été détectés.
- Adhésion avancée : des informations plus détaillées seront envoyées à Microsoft au sujet des logiciels qui ont été détectés.
Pour en savoir plus, reportez-vous à l'article https://www.microsoft.com/security/blog/2015/01/14/maps-in-the-cloud-how-can-it-help-your-enterprise/ (en anglais).
Pour en savoir plus sur les paramètres avancés pour l'antivirus Microsoft Defender, reportez-vous à l'article https://docs.microsoft.com/fr-fr/sccm/protect/deploy-use/endpoint-antimalware-policies#advanced-settings.
Exclusions
Vous pouvez définir les fichiers et dossiers suivants afin de les exclure de l'analyse :
- Processus : n'importe quel fichier que le processus défini lit ou sur lequel il écrit sera exclu de l'analyse. Vous devez définir un chemin d'accès complet au fichier exécutable du processus.
- Fichiers et dossiers : les fichiers et dossiers spécifiés seront exclus de l'analyse. Vous devez définir un chemin d'accès complet au dossier ou au fichier, ou définir l'extension du fichier.
Pour en savoir plus sur les paramètres d'exclusion pour l'antivirus Microsoft Defender, reportez-vous à l'article https://docs.microsoft.com/fr-fr/sccm/protect/deploy-use/endpoint-antimalware-policies#exclusion-settings.