Paramètres d'agent : Ivanti Antivirus 2017

L'une des nouveautés d'Ivanti Endpoint Security pour Endpoint Manager 2017.3 SU2 est une nouvelle option d'antivirus applicable aux périphériques Windows et Apple Mac gérés. Cet outil n'est pas installé par défaut. Vous devez visiter cette page du site de la communauté Ivanti pour consulter les instructions d'installation et de déploiement.

Les fonctions Ivanti Antivirus 2017 sont accessibles depuis la fenêtre de l'outil Paramètres d'agent (Outils > Sécurité et conformité > Paramètres d'agent). Ensuite, dans la fenêtre Paramètres d'agent, dans le dossier Sécurité, cliquez avec le bouton droit sur Ivanti Antivirus 2017 ou sur Ivanti Antivirus 2017 - Mac, puis cliquez sur Nouveau.

Cette rubrique décrit la boîte de dialogue des paramètres d'agent Ivanti Antivirus 2017 et d'autres boîtes de dialogue liées à Ivanti Antivirus 2017.

Utilisez ces options pour configurer les protections antivirus actives et les éléments antivirus que les utilisateurs voient sur leurs périphériques.

Mot de passe de maintenance : Ce mot de passe devra être saisi sur les périphériques gérés pour que les changements locaux apportés au logiciel antivirus soient autorisés.

Notifications : Ces options déterminent ce que les utilisateurs voient sur leurs périphériques gérés.

  • Afficher l'icône dans la zone de notification
  • Afficher des popups d'alerte
  • Afficher des popups de notification

Utilisez cette page pour configurer les options d'analyse de la protection en temps réel. Cette page a été ajoutée dans Endpoint Manager 2019.1 version SU2.

Emplacement du fichier
  • Analyser tous les fichiers locaux : Option activée par défaut. Analyse les fichiers du stockage local.
  • Analyser tous les fichiers réseau : Option activée par défaut. Analyse les fichiers accessibles sur le réseau.
  • Taille maximale (Mo) : Option désactivée par défaut. Limite les analyses aux fichiers dont la taille est inférieure au nombre de mégaoctets spécifié.
Analyser
  • Secteurs d'amorçage : Option activée par défaut. Recherche les virus dans le secteur d'amorçage du périphérique.
  • Enregistreurs de frappes : Option activée par défaut. Recherche les logiciels enregistreurs de frappes.
  • Applications potentiellement indésirables (PUA) : Option activée par défaut. Recherche les logiciels non voulus susceptibles d'être intégrés à une autre application que vous installez, comme les adwares ou les logiciels avec publicités. Ce type de logiciel peut afficher des popups ou des barres d'outils indésirables, et nuire aux performances du système.
Archives
  • Taille d'archive maximale (Mo) : Option désactivée par défaut. Les archives dont la taille dépasse la valeur indiquée ne sont pas analysées. Si vous activez cette option, vous pouvez aussi préciser la valeur Profondeur d'archives max (niveaux). Si une archive en contient d'autres, cette option détermine le nombre de niveaux de profondeur à analyser. Le maximum est de 16 niveaux. Pour optimiser les performances, réduisez le nombre de niveaux.
  • Analyse différée : Retarde l'analyse jusqu'à ce que toutes les opérations de fichier soient terminées. Cela évite les problèmes de performances lorsque vous effectuez des opérations telles que la copie de fichiers volumineux.
Actions d'analyse

Le système classe les fichiers détectés en deux catégories, Suspect et Infecté. Si l'analyse heuristique de l'antivirus pense que le fichier possède des caractéristiques suspectes mais qu'il ne comporte aucune signature de virus connue, ce fichier est considéré comme suspect. Comme ils ne correspondent à aucun virus, les fichiers suspects ne peuvent pas être désinfectés.

Si l'analyse détecte un fichier infecté ou suspect, les actions suivantes sont disponibles :

  • Refuser : L'accès au fichier est refusé.
  • Réparer : L'antivirus tente de réparer le fichier infecté. Il s'agit de l'action par défaut pour les fichiers infectés. Cette option n'est pas disponible pour les fichiers suspects.
  • Supprimer : L'antivirus supprime le fichier infecté sans avertissement. Le plus souvent, il est plus judicieux de choisir Placer en quarantaine, afin d'évaluer vous-même le fichier avant de décider s'il doit être supprimé.
  • Placer en quarantaine : L'antivirus déplace le fichier infecté vers le dossier de quarantaine local, où il ne peut pas être exécuté ni ouvert. Vous gérez les fichiers en quarantaine depuis Sécurité et conformité > Activités de sécurité > Infections mises en quarantaine (par ordinateur ou par virus).

L'action par défaut pour les fichiers infectés est Réparer et la valeur par défaut pour Autre action est Placer en quarantaine.

L'action par défaut pour les fichiers suspects est Refuser et la valeur par défaut pour Autre action est Placer en quarantaine.

  • Analyse des fichiers (Protection en temps réel) : Active l'analyse des fichiers afin que les fichiers des périphériques gérés soient périodiquement analysés à la recherche de virus et de malwares. Option activée par défaut.
  • Surveillance du comportement des applications (Windows uniquement) : Active l'analyse du comportement en temps réel, qui surveille le comportement des applications pour détecter les activités suspectes. Option activée par défaut.
  • Permettre à l'utilisateur d'analyser les supports CD/DVD/USB (Windows uniquement) : Autorise les utilisateurs à analyser ces types de support. Option activée par défaut.
  • Exclusions : Vous pouvez exclure des fichiers, des dossiers et des extensions de fichier des analyses antivirus en temps réel et à la demande. Sélectionnez l'onglet correspondant au type d'analyse à modifier, puis cliquez sur Ajouter, Modifier ou Supprimer, selon l'action souhaitée. Cliquez sur Insérer une variable pour utiliser une variable système PATH dans le chemin de l'objet.

Analyse du trafic : Ces options contrôlent les protocoles réseau surveillés.

  • Activer l'analyse Web (HTTP) : Active l'analyse du trafic HTTP non crypté. Pour analyser à la fois le trafic HTTP et le trafic HTTPS, activez également l'option Analyser SSL dans la page Analyse réseau.
  • Activer l'analyse SMTP : Active la protection antimalware pour le trafic sur protocole de messagerie SMTP.
  • Activer l'analyse POP3 : Active la protection antimalware pour le trafic sur protocole de messagerie POP3.
  • Exclusions d'analyse du trafic HTTP : Vous pouvez exclure des analyses de trafic HTTP des adresses IP distantes, des URL et des applications. Cliquez sur Ajouter, sélectionnez le type d'élément à exclure, puis entrez les détails de l'élément.

Analyse réseau : Ces options contrôlent l'analyse du trafic crypté et le comportement de navigateur.

  • Analyser SSL : Contrôle l'analyse du trafic SSL crypté. Sélectionnez cette option pour l'activer.
  • Afficher la barre d'outils du navigateur : Affiche un petit outil de navigateur antivirus () en haut de chaque page. Cliquez sur cette icône pour afficher une barre d'outils où figure le score de sécurité de la page. Cette barre d'outils prend en charge les versions récentes d'Internet Explorer, Edge, Firefox, Chrome, Safari et Opera.
  • Conseiller de recherche du navigateur : Place une icône de score de sécurité en regard des résultats du moteur de recherche, pour aider les utilisateurs à éviter les pages suspectes. La plupart des moteurs de recherche cryptent le trafic avec SSL, si bien que vous devez activer l'option Analyser SSL pour que le conseiller de recherche fonctionne correctement. Le conseiller de recherche filtre les résultats de Google, Bing et Yahoo. Il filtre également les liens Facebook et Twitter.

Les pages Analyse complète et Analyse des zones critiques comportent les mêmes options. L'une s'applique aux analyses antivirus complètes et l'autre, aux analyses antivirus des zones critiques. Actions disponibles pour les éléments détectés :

  • Ignorer : L'antivirus n'applique aucune action au fichier, mais crée une entrée dans le journal d'analyse.
  • Réparer : L'antivirus tente de réparer le fichier infecté. Il s'agit de l'action par défaut pour les fichiers infectés.
  • Supprimer : L'antivirus supprime le fichier infecté sans avertissement. Le plus souvent, il est plus judicieux de choisir Placer en quarantaine, afin d'évaluer vous-même le fichier avant de décider s'il doit être supprimé.
  • Placer en quarantaine : L'antivirus déplace le fichier infecté vers le dossier de quarantaine local, où il ne peut pas être exécuté ni ouvert. Vous gérez les fichiers en quarantaine depuis Sécurité et conformité > Activités de sécurité > Infections mises en quarantaine (par ordinateur ou par virus).

Options disponibles :

  • Action à appliquer aux fichiers infectés : Action à appliquer si un fichier est infecté.
  • Action à appliquer aux fichiers suspects : Action à appliquer si un fichier est suspect.
  • Action à appliquer aux rootkits : Action à appliquer en présence d'un rootkit.
  • Activer l'analyse intelligente (analyse de fichiers plus rapide) : Stocke les sommes de contrôle des données et fichiers d'analyse dans une base de données locale. Si un fichier est absent de la base de données ou si sa somme de contrôle change, il est analysé. Cette option accélère l'analyse, car seuls les fichiers nouveaux ou changés sont analysés.
  • Abaisser la priorité des threads d'analyse : Réduit le niveau de priorité des threads d'analyse pour qu'ils ne risquent pas d'affecter d'autres tâches. Cela peut rendre l'analyse plus longue.

Droits utilisateur :

  • Autoriser l'utilisateur à suspendre une analyse : Les utilisateurs peuvent suspendre les analyses antivirus.
  • Autoriser l'utilisateur à reporter une analyse : Les utilisateurs peuvent retarder les analyses.
  • Autoriser l'utilisateur à arrêter une analyse : Les utilisateurs peuvent arrêter une analyse active.

Utilisez cette page pour configurer l'endroit où les périphériques gérés téléchargent les mises à jour de l'antivirus. Par défaut, deux emplacements sont inclus : Directement auprès du fournisseur d'antivirus (av-update.ivanti.com) et depuis votre serveur principal. Le serveur du fournisseur contient toujours les mises à jour les plus récentes. Le serveur principal met à jour ses fichiers de modèle antivirus à la fréquence que vous spécifiez, comme indiqué à la section suivante. La valeur par défaut est 24 heures.

Les périphériques gérés contactent les serveurs dans leur ordre d'apparition dans la liste. Si le premier serveur échoue, le périphérique passe au serveur suivant dans la liste, et ainsi de suite. Lorsqu'un périphérique télécharge des fichiers de modèle depuis le serveur principal, il accède toujours directement au serveur principal.

Utilisez les boutons Monter et Descendre pour modifier l'ordre de préférence. Les boutons URL par défaut et URL de serveur principal insèrent les valeurs par défaut de ces éléments. Pour recevoir les mises à jour de moteur d'analyse en plus des mises à jour de signature, sélectionnez Mettre le produit à jour en plus des signatures. Cette fonction est activée par défaut.

Dans la boîte de dialogue Télécharger les mises à jour de l'outil Patch and Compliance (Correctif et conformité), accessible par clic sur le bouton de barre d'outils Télécharger les mises à jour, vous trouverez deux pages importantes : la page Ivanti Antivirus 2017 et la page Paramètres de proxy.

La page Ivanti Antivirus 2017 contient une seule option : Fréquence de mise à jour. Cela contrôle la fréquence à laquelle les fichiers de modèle antivirus sont téléchargés depuis le référentiel de Cloud vers le serveur principal pour le nouvel antivirus. La plage configurable est 1-240 heures et la valeur par défaut est 24 heures.

Les mises à jour Ivanti Antivirus 2017 utilisent la configuration de proxy que vous avez spécifiée dans la page Paramètres de proxy. Lorsqu'un proxy est défini, le processus de mise à jour exécuté sur le serveur principal utilise les paramètres de proxy pour la connexion au serveur de Cloud antivirus afin de télécharger les fichiers de modèle mis à jour.