Base de connaissances

Retour à l’aperçu de l’assistance

Une configuration correcte des services Endpoint Protection optimisés par ThreatDown est essentielle pour en tirer le meilleur parti. L’article suivant traite des sections des paramètres et des meilleures options de configuration dans la mesure du possible.

Cet article s’adresse à tous les clients TeamViewer Endpoint Protection.

Les paramètres sont répartis dans les sections suivantes :

  • Calendriers d'analyse
  • Groupes
  • Exclusions
  • Utilisateurs

Calendriers d'analyse

Le calendrier d’analyse pour tous les terminaux est essentielle pour protéger tous les systèmes contre diverses menaces, telles que les logiciels malveillants et les virus. Alors que de nouvelles menaces émergent constamment, des analyses quotidiennes régulières garantissent que tous les fichiers nuisibles situés dans des zones à haut risque des systèmes, tels que les fichiers temporaires et les téléchargements, sont constamment vérifiés et détectés tôt. Les analyses hebdomadaires et les analyses quotidiennes permettent de mieux explorer le système, car les analyses plus approfondies peuvent utiliser plus de ressources.

Options de numérisation

Mise en quarantaine automatique des menaces détectées : Si cette option est activée, toutes les menaces potentielles ou confirmées seront automatiquement mises en quarantaine. L’isolation immédiate des fichiers empêche toute action nuisible de se produire avant la suppression potentielle. Lorsqu’une menace est mise en quarantaine, vous avez la certitude que le fichier potentiel reste isolé pendant que vous approfondissez vos recherches pour déterminer les actions nécessaires.

Méthode

Analyser les objets de la mémoire : Analyse toute la mémoire allouée par les processus du système d’exploitation, les pilotes et autres applications.

Analyser les paramètres du démarrage et du registre : Analyse de tous les fichiers exécutables ou des modifications initiées au démarrage de l’ordinateur et de toutes les modifications de configuration apportées au registre Windows.

Analyser dans les archives : Analyse des types de fichiers d’archive, tels que zip, 7z, rar, cab et msi jusqu’à deux niveaux de profondeur. Les archives protégées par mot de passe ne peuvent pas être testées.

Analyser les rootkits : Les rootkits sont des fichiers stockés sur les disques durs locaux de votre ordinateur qui sont invisibles pour le système d’exploitation et peuvent influencer le comportement du système.

Analyser le chemin : Chemin d’accès au fichier du lecteur/des dossiers à analyser.

Traiter les programmes potentiellement indésirables (PUP) comme malware : Vous pouvez choisir comment traiter les programmes potentiellement indésirables (PUP) s’ils sont détectés.

Utilisez le menu déroulant pour sélectionner Ignorer les détectionsAvertir l’utilisateur des détections ou Traiter les détections comme des programmes malveillants.

Traiter les modifications potentiellement indésirables (PUM) comme des malwares : Cette option vous permet de choisir comment les modifications potentiellement indésirables (PUM) sont traités s’ils sont détectés.

Utilisez le menu déroulant pour sélectionner Ignorer les détectionsAvertir l’utilisateur des détections ou Traiter les détections comme des programmes malveillants.

Un Hyper Scan est une analyse rapide qui détecte et nettoie les menaces. Si un Hyper Scan détecte des menaces, exécutez-le pour rechercher les menaces à un niveau plus profond.

Les Hyper Scans vérifient les éléments suivants :

  • Objets mémoire : Mémoire allouée par les processus du système d’exploitation, les pilotes et autres applications.
  • Objets de démarrage : Fichiers exécutables et/ou modifications apportées au démarrage de l’ordinateur.

Les analyses de menaces détectent les menaces les plus courantes en analysant les emplacements conventionnels sur un terminal où des menaces peuvent se produire. Les analyses de menaces utilisent l’analyse heuristique, une technique qui recherche certains comportements malveillants dans des fichiers que Nebula n’a jamais vus auparavant. 

Les analyses de menaces vérifient les éléments suivants sur vos terminaux :

  • Objets mémoire : Mémoire allouée par les processus du système d’exploitation, les pilotes et autres applications.
  • Objets de démarrage : Fichiers exécutables et modifications apportées au démarrage de l’ordinateur.
  • Objets de registre : Modifications de configuration apportées au registre Windows.
  • Objets du système de fichiers : Fichiers susceptibles de contenir des programmes malveillants ou des extraits de code nuisibles.

Mise en quarantaine automatique des menaces détectées : Si cette option est activée, toutes les menaces potentielles ou confirmées seront automatiquement mises en quarantaine. L’isolation immédiate des fichiers empêche toute action nuisible de se produire avant la suppression potentielle. Lorsqu’une menace est mise en quarantaine, vous avez la certitude que le fichier potentiel reste isolé pendant que vous approfondissez vos recherches pour déterminer les actions nécessaires.

Traiter les programmes potentiellement indésirables (PUP) comme malwares : Vous pouvez choisir comment traiter les programmes potentiellement indésirables (PUP) s’ils sont détectés.

Utilisez le menu déroulant pour sélectionner Ignorer les détectionsAvertir l’utilisateur des détections ou Traiter les détections comme des programmes malveillants.

Mise en quarantaine automatique des menaces détectées : Si cette option est activée, toutes les menaces potentielles ou confirmées seront automatiquement mises en quarantaine. L’isolation immédiate des fichiers empêche toute action nuisible de se produire avant la suppression potentielle. Lorsqu’une menace est mise en quarantaine, vous avez la certitude que le fichier potentiel reste isolé pendant que vous approfondissez vos recherches pour déterminer les actions nécessaires.

Configuration d’analyse recommandée

Nous recommandons au minimum les analyses suivantes pour s’assurer que tous les terminaux sont correctement protégés :

Sélectionnez Quotidien dans la liste déroulante Calendrier dans Général. Sous Windows, sélectionnez Analyse des menaces dans la liste déroulante des méthodes.

Sélectionnez Hebdomadaire dans la liste déroulante Calendrier. Définissez la méthode sur Analyse personnalisée, puis activez l’option Analyser les rootkits.

Groupe

Les groupes vous permettent de prendre des appareils en dehors du même groupe d'appareils ou du même emplacement et de leur appliquer des règles standard, telles que la stratégie et le calendrier d’analyse, éliminant ainsi le besoin de duplication.

Comment créer un groupe

Pour créer un groupe, sélectionnez + Ajouter un groupe dans le menu supérieur. Sélectionnez la stratégie souhaitée, les calendriers d'analyses, puis sélectionnez les appareils à ajouter au groupe et enfin enregistrez.

Exclusions

Les exclusions permettent à certains fichiers, chemins ou emplacements connus d’être exemptés des analyses et de la protection.

Types d’exclusions

Type Valeur (exemples) Catégories

Ligne de commande
  • test.exe /switch
  • test?. chauve-souris
  • *testscript.bat*
  • Get-ADGroupMember
  • Activité suspecte

Extension de fichier
  • doc
  • PDF
  • Protection contre les malwares

Fichier par chemin (caractère de remplacement)
  • C :\Windows\Foo\Bar.exe
  • C :\Utilisateurs\*\Bureau\test*.exe
  • C :\temp\test ?. exe
  • C :\temp\*.exe
  • C :\Développement*\**\Alterhostsfile.exe
  • Protection contre les ransomwares
  • Protection contre les malwares
  • Activité suspecte

 

Dossier par chemin (caractère de remplacement)
  • C :\Windows\temp\
  • C :\Utilisateurs\*\Documents\*
  • %PROGRAMFILES%\**
  • %PROGRAMDATA%\*
  • %PROGRAMFILES(X86)%\**
  • Protection contre les ransomwares
  • Protection contre les malwares
  • Activité suspecte

Hash MD5
  • E4D909C290D0FB1CA068FFADDF22CBD0
  • 9e107d9d372bb6826bd81d3542a419d6

 

  • Protection contre les exploits
  • Activité suspecte

Registre
  • HKLM\SOFTWARE\Microsoft
  • HKU\*\Software\Microsoft

 

  • Protection contre les malwares
  • Activité suspecte

Site Web
  • www.TeamViewer.com
  • Protection du site internet

Adresse IP
  • 234.213.143.154
  • 192.168.0.0/24
  • 169.254.0.0-169.254.0.255
  • 192.168.0.0/255.255.255.0
  • Protection du site internet
  • Activité suspecte

Web Monitoring
  • C :\Windows\TeamViewer\TeamViewer.exe
  • Protection du site internet

Utilisateurs

L’ajout d’utilisateurs à partir de votre profil d’entreprise permet à votre équipe d’interagir ou d’afficher des rapports et des alertes à partir d’Endpoint Protection. Il existe deux niveaux d’accès :

  • Lecture seule : Peut afficher les alertes et les rapports, mais ne peut effectuer aucune action.
  • Asministrateur : Peut afficher et interagir avec des alertes, des rapports et d’autres services Endpoint Protection.

Comment ajouter un utilisateur

Pour ajouter un utilisateur à Endpoint Protection, sélectionnez + Ajouter un utilisateur dans le menu supérieur.

Sélectionnez l’utilisateur souhaité, puis le niveau d’accès et les groupes auxquels l’utilisateur doit avoir accès. Vous pouvez également affecter l’utilisateur à tous les groupes Malwarebytes, y compris les futurs groupes créés.