scanactvm
L'action de scan entreprise par OfficeScan dépend du type de virus/programme malveillant et du type de scan qui a détecté le virus/programme malveillant. Par exemple, lorsqu'OfficeScan détecte un cheval de Troie (virus/programme malveillant) lors du scan manuel (type de scan), il nettoie (action) le fichier infecté.
Pour plus d'informations sur les différents types de virus/programmes malveillants, reportez-vous à Virus et programmes malveillants.
Voici la liste des actions qu'OfficeScan peut effectuer pour lutter contre les virus/programmes malveillants :
|
Action |
Description |
|
OfficeScan supprime le fichier infecté. |
|
|
OfficeScan renomme puis déplace le fichier infecté vers un répertoire de quarantaine temporaire sur l'ordinateur client dans <Dossier d’installation du client>\Suspect. Le client OfficeScan envoie ensuite les fichiers en quarantaine vers le répertoire de quarantaine désigné. Consultez la rubrique Répertoire de quarantaine pour plus de détails. Le répertoire de quarantaine par défaut se trouve sur le serveur OfficeScan, sous <Dossier d'installation du serveur>\PCCSRV\Virus. OfficeScan chiffre les fichiers en quarantaine envoyés à ce répertoire. Si vous devez restaurer un fichier mis en quarantaine, utilisez l'outil VSEncrypt. Pour obtenir des informations sur cet outil, reportez-vous à Server Tuner. |
|
|
OfficeScan nettoie le fichier infecté avant d'autoriser l'accès complet au fichier. Si le fichier n'est pas nettoyable, OfficeScan effectue une seconde action qui peut être l'une des actions suivantes : Mettre en quarantaine, Supprimer, Renommer et Ignorer. Pour configurer la deuxième action, accédez à Ordinateurs en réseau > Gestion des clients > Paramètres > {Type de scan} > onglet Action. Cette action peut effectuée sur tous les types de programmes malveillants, à l'exception des virus/programmes malveillants probables. |
|
|
OfficeScan remplace l'extension du fichier infecté par « vir ». Initialement, les utilisateurs ne peuvent pas ouvrir le fichier renommé. Ils peuvent l'ouvrir s'ils associent le fichier à une application déterminée. Le virus/programme malveillant peut s'exécuter lors de l'ouverture du fichier infecté renommé. |
|
|
OfficeScan ne peut utiliser cette action de scan que lorsqu'il détecte un type de Virus lors du scan manuel, du scan programmé et du scan immédiat. OfficeScan ne peut pas utiliser cette action de scan lors du scan en temps réel car l'absence d'action lorsque une tentative d'ouverture ou d'exécution d'un fichier infecté est détectée permettra au virus/programme malveillant de s'exécuter. Toutes les autres actions de scan peuvent être utilisées lors du scan en temps réel. |
|
|
Cette action de scan ne peut être effectuée que pendant un scan en temps réel. Lorsqu'OfficeScan détecte une tentative d'ouverture ou d'exécution d'un fichier infecté, il bloque immédiatement l'opération. Les utilisateurs peuvent supprimer manuellement le fichier infecté. |
À chaque type de virus/programme malveillant correspond une action de scan différente. Pour personnaliser une action de scan, vous devez avoir les connaissances nécessaires sur les virus et programmes malveillants. Cette tâche peut s'avérer fastidieuse. OfficeScan utilise ActiveAction pour pallier à ces problèmes.
ActiveAction est un ensemble d'actions de scan pré-configurées, destinées à lutter contre les virus et les programmes malveillants. Si les actions de scan ne vous sont pas familières ou si vous ignorez quelle action est la mieux adaptée à tel ou tel type de virus ou programme malveillant, l'utilisation de l'outil ActiveAction est recommandée.
ActiveAction offre les avantages suivants :
ActiveAction applique les actions de scan recommandées par Trend Micro. Vous ne perdez plus votre temps à configurer vous-même les actions de scan.
Les créateurs de virus et programmes malveillants modifient en permanence la manière dont leurs virus attaquent les ordinateurs. Les paramètres d'ActiveAction sont mis à jour pour assurer une protection contre les menaces et les méthodes d'attaques les plus récentes des virus et programmes malveillants.
ActiveAction n'est pas disponible pour le scan anti-spywares/graywares.
Le tableau suivant illustre comment ActiveAction traite chaque type de virus/programme malveillant :
|
Actions de scan recommandées par Trend Micro contre les |
|
Type de virus/ |
Scan en temps réel |
Scan manuel/Scan programmé/Scan immédiat |
||
|
|
Première action |
Deuxième action |
Première action |
Deuxième action |
|
Canular |
Quarantaine |
Supprimer |
Quarantaine |
Supprimer |
|
cheval de Troie |
Quarantaine |
Supprimer |
Quarantaine |
Supprimer |
|
Virus |
Nettoyer |
Quarantaine |
Nettoyer |
Quarantaine |
|
Virus de test |
Refuser l'accès |
N/A |
Ignorer |
N/A |
|
Utilitaire de compression |
Quarantaine |
N/A |
Quarantaine |
N/A |
|
Autres |
Nettoyer |
Quarantaine |
Nettoyer |
Quarantaine |
|
Virus/programmes malveillants probables |
Refuser l'accès ou |
N/A |
Ignorer ou |
N/A |
Pour les virus et programmes malveillants potentiels, l'action par défaut est « Refuser l'accès » pendant le scan en temps réel et « Ignorer » pendant le scan manuel, le scan programmé et le scan immédiat. S'il ne s'agit pas des actions que vous souhaitez effectuer, vous pouvez les modifier par Mettre en quarantaine, Supprimer ou Renommer.
Sélectionnez cette option si vous souhaitez que la même action soit entreprise sur tous les types de virus/programmes malveillants, à l'exception de ceux qui sont potentiels. Si vous choisissez "Nettoyer" comme première action, sélectionnez une seconde action qu'OfficeScan doit effectuer si le nettoyage échoue. Si la première action n'est pas "Nettoyer", aucune seconde action n'est configurable.
Si la première action que vous choisissez est « Nettoyer », OfficeScan exécute la deuxième action lorsqu'il détecte des virus/programmes malveillants potentiels.
Sélectionner manuellement une action de scan pour chaque type de virus/programme malveillant.
Pour tous les types de virus/programmes malveillants, à l'exception de ceux qui sont potentiels, toutes les actions de scan sont disponibles. Si vous choisissez "Nettoyer" comme première action, sélectionnez une seconde action qu'OfficeScan doit effectuer si le nettoyage échoue. Si la première action n'est pas "Nettoyer", aucune seconde action n'est configurable.
Pour les virus et programmes malveillants potentiels, toutes les actions de scan sont disponibles, à l'exception de « Nettoyer ».
Si l'action concernant un fichier infecté est « Mettre en quarantaine », le client OfficeScan encode le fichier et le déplace dans un dossier de quarantaine temporaire situé dans <Dossier d'installation du serveur>\SUSPECT, puis envoie le fichier vers le répertoire de quarantaine désigné.
Vous pouvez restaurer des fichiers encodés en quarantaine si vous devez y accéder par la suite. Pour obtenir des informations détaillées, voir Restauration des fichiers chiffrés.
Acceptez le répertoire de quarantaine par défaut, qui se trouve sur l'ordinateur du serveur OfficeScan. Le répertoire est au format URL. Il contient le nom d'hôte du serveur ainsi que l'adresse IP.
Si le serveur gère simultanément des clients IPv4 et IPv6, utilisez le nom d'hôte de façon à ce que tous les clients puissent envoyer des fichiers mis en quarantaine vers le serveur.
Si le serveur dispose uniquement d'une adresse IPv4 ou qu'il est identifié par celle-ci, seuls les clients IPv4 purs et les clients double pile peuvent envoyer des fichiers mis en quarantaine vers le serveur.
Si le serveur dispose uniquement d'une adresse IPv6 ou qu'il est identifié par celle-ci, seuls les clients IPv6 purs et les clients double pile peuvent envoyer des fichiers mis en quarantaine vers le serveur.
Vous pouvez également définir un autre répertoire de quarantaine en saisissant l'emplacement au format URL, chemin UNC ou chemin de fichier absolu. Il convient que les clients aient la possibilité de se connecter à ce répertoire alternatif. Par exemple, le répertoire alternatif doit avoir une adresse IPv6 s'il est susceptible de recevoir des fichiers mis en quarantaine de clients double-pile et de clients IPv6 purs. Trend Micro vous recommande de concevoir un répertoire double-pile alternatif, qui sera identifié par son nom d'hôte et pour lequel vous utiliserez le chemin UNC lorsque vous le saisirez.
Reportez-vous au tableau suivant pour obtenir de l'aide sur l'utilisation d'une URL, d'un chemin UNC ou d'un chemin de fichier absolu :
|
Répertoire de quarantaine |
|
Répertoire de quarantaine |
Format accepté |
Exemple |
Remarques |
|
Répertoire installé sur l'ordinateur connecté au serveur OfficeScan |
URL |
http:// |
Il s'agit du répertoire par défaut. Configurez les paramètres de ce répertoire, comme la taille du dossier de quarantaine. Pour obtenir des informations détaillées, voir Gestionnaire de quarantaine. |
|
Chemin UNC |
\\<osceserver>\ |
||
|
Un répertoire sur un autre ordinateur serveur OfficeScan (si vous avez d'autres serveurs OfficeScan sur votre réseau) |
URL
|
http://
|
Vérifiez que les clients peuvent se connecter à ce répertoire. Si vous spécifiez un répertoire non valide, le client OfficeScan conserve les fichiers en quarantaine dans le dossier SUSPECT jusqu'à ce que vous spécifiiez un répertoire de quarantaine valide. Dans les journaux de virus/programmes malveillants du serveur, le résultat de scan est « Impossible d'envoyer le fichier à mettre en quarantaine vers le dossier de quarantaine spécifié ». Si vous utilisez un chemin UNC, vérifiez que le répertoire de quarantaine est partagé avec le groupe « Tous » et que vous avez attribué des privilèges de lecture et d'écriture à ce groupe. |
|
Chemin UNC |
\\<osceserver2>\ |
||
|
Autre ordinateur du réseau |
Chemin UNC |
\\<nom_de |
|
|
Autre répertoire installé sur l'ordinateur client |
Chemin de fichier absolu |
C:\temp |
Si OfficeScan est configuré pour nettoyer un fichier infecté, il peut commencer par le sauvegarder. Ceci vous permet de restaurer le fichier si vous devez y accéder par la suite. OfficeScan encode le fichier de sauvegarde pour empêcher son ouverture, puis le stocke dans le dossier <Dossier d'installation du client>\Backup.
Pour restaurer des fichiers de sauvegarde encodés, reportez-vous à Restauration des fichiers chiffrés.
Damage Cleanup Services débarrasse les ordinateurs des virus basés sur fichiers et des virus de réseau, ainsi que des résidus de virus et de vers (chevaux de Troie, entrées de registre et fichiers viraux).
Selon le type de scan utilisé, le client déclenche Damage Cleanup Services avant ou après la détection de virus et programmes malveillants.
Lorsque le scan est de type manuel, programmé ou immédiat, le client active d'abord Damage Cleanup Services, puis procède à la détection des virus et des programmes malveillants. Au cours de la détection de virus et des programmes malveillants, le client est susceptible de déclencher à nouveau Damage Cleanup Services s'il doit procéder à un nettoyage.
Pendant un scan en temps réel, le client procède tout d'abord à la détection de virus et programmes malveillants, puis déclenche Damage Cleanup Services s'il doit procéder à un nettoyage.
Vous pouvez sélectionner le type de nettoyage effectué par Damage Cleanup Services :
Nettoyage standard : le client exécute l'une des actions suivantes au cours du nettoyage standard :
Détecte et supprime les chevaux de Troie actifs
Élimine les processus créés par les chevaux de Troie
Répare les fichiers système modifiés par les chevaux de Troie
Supprime les fichiers et les applications laissés par les chevaux de Troie
Nettoyage avancé : outre les actions de nettoyage standard, le client interrompt les activités de rogueware, connu également sous le nom de « FakeAV ». Le client utilise aussi les règles de nettoyage avancé afin de détecter et d'arrêter proactivement les applications qui présentent un comportement FakeAV.
Tout en assurant une protection proactive, le nettoyage avancé génère également un nombre élevé de faux-positifs.
Damage Cleanup Services ne procède pas au nettoyage des virus et programmes malveillants potentiels, sauf si vous sélectionnez l'option Exécuter la fonction Nettoyage dès qu'un virus/programme malveillant est détecté. Vous pouvez sélectionner cette action uniquement si l'action appliquée aux virus/programmes malveillants potentiels n'est pas Ignorer, ni Refuser l'accès. Par exemple, si le client détecte un virus ou un programme malveillant potentiel au cours d'un scan en temps réel et que l'action est Mettre en quarantaine, le client met tout d'abord le fichier infecté en quarantaine, puis procède au nettoyage si nécessaire. Le type de nettoyage (standard ou avancé) dépend de l'option que vous avez choisie.
Quand OfficeScan détecte un virus/programme malveillant au cours d'un scan en temps réel et d'un scan programmé, il peut afficher un message de notification pour informer l'utilisateur de la détection.
Pour modifier le message de notification, accédez à Notifications > Notifications aux utilisateurs clients > onglet Virus/programmes malveillants.
Quand OfficeScan détecte un virus/programme malveillant potentiel au cours d'un scan en temps réel et d'un scan programmé, il peut afficher un message de notification pour informer l'utilisateur de la détection.
Pour modifier le message de notification, accédez à Notifications > Notifications aux utilisateurs clients > onglet Virus/programmes malveillants.
Consultez aussi: