Active Protection

Active Protection

Active Protection protège un système contre les logiciels malveillants connus sous le nom de ransomware, qui chiffrent les fichiers et demandent une rançon en échange de la clé de chiffrement.

Active Protection est disponible pour les machines exécutant Windows Vista et les versions ultérieures, ainsi que Windows Server 2008 et les versions ultérieures. L’agent pour Windows doit être installé sur la machine.

Fonctionnement

Active Protection surveille les processus en cours d’exécution sur la machine protégée. Lorsqu’un processus tiers essaye de chiffrer des fichiers, Active Protection génère une alerte et exécute des actions supplémentaires, si ces dernières sont précisées par la configuration.

En plus de protéger les fichiers, Active Protection empêche les modifications non autorisées des propres processus du logiciel de sauvegarde, de ses enregistrements du registre et de ses fichiers exécutables et de configuration, ainsi que des secteurs de démarrage principaux des machines protégées.

Pour identifier les processus malveillants, Active Protection utilise des heuristiques comportementales. Active Protection compare la chaîne des actions exécutées par un processus aux chaînes des événements enregistrées dans la base de données des modèles de comportements malveillants. Cette approche permet à Active Protection de détecter de nouveaux programmes malveillants par leur comportement typique.

Paramètres d’Active Protection

Pour minimiser les ressources consommées par l’analyse heuristique et éliminer les faux positifs lorsqu’un programme de confiance est considéré comme un ransomware, vous pouvez définir les paramètres suivants :

  • Processus de confiance qui ne sont jamais considérés comme des ransomwares. Les processus signés par Microsoft sont toujours fiables.
  • Processus dangereux qui sont toujours considérés comme des ransomwares.
  • Dossiers dans lesquels les modifications des fichiers ne seront pas surveillées.

Les processus peuvent être spécifiés aux formats suivants :

C:\Data\Finance\file.exe
file.exe
C:\file*.exe
C:\file?.exe

Pour spécifier des processus et des dossiers, vous pouvez utiliser un ou plusieurs caractères génériques comme * et ?. L'astérisque (*) remplace zéro ou plusieurs caractères. Le point d'interrogation (?) remplace exactement un seul caractère.

Plan Active Protection

Tous les paramètres d’Active Protection sont contenus dans le plan Active Protection. Ce plan peut être appliqué sur plusieurs machines.

Une organisation ne peut avoir qu’un seul plan Active Protection (groupe de sociétés). Seuls les administrateurs de sociétés et les administrateurs des niveaux supérieurs sont autorisés à appliquer, modifier, ou révoquer le plan.

Application du plan Active Protection

  1. Sélectionnez les machines pour lesquelles vous voulez activer Active Protection.
  2. Cliquez sur Active Protection.
  3. [Facultatif] Cliquez sur Modifier pour modifier les paramètres suivants :
    • Dans Action lors de la détection, sélectionnez l’action que le logiciel exécutera lors de la détection d’une activité de ransomware, puis cliquez sur Terminé. Vous pouvez sélectionner l'une des options suivantes :
      • Notifier uniquement (par défaut)

        Le logiciel générera une alerte au sujet du processus.

      • Arrêter le processus

        Le logiciel générera une alerte et arrêtera le processus.

      • Revenir à l’utilisation du cache

        Le logiciel générera une alerte, arrêtera le processus et annulera les modifications apportées aux fichiers, à l’aide du cache de service.

    • Dans Processus dangereux, spécifiez les processus dangereux à toujours considérer comme des ransomwares, puis cliquez sur Terminé.
    • Dans Processus de confiance, spécifiez les processus de confiance à ne jamais considérer comme des ransomwares, puis cliquez sur Terminé. Les processus signés par Microsoft sont toujours fiables.
    • Dans Exclusions de dossier, spécifiez la liste des dossiers dans lesquels les modifications de fichiers ne seront pas surveillées, puis cliquez sur Terminé.
    • Désactiver le commutateur Autoprotection.

      L’autoprotection empêche les modifications non autorisées des propres processus du logiciel, de ses enregistrements du registre et de ses fichiers exécutables et de configuration, ainsi que des secteurs de démarrage principaux des terminaux. Nous ne recommandons pas la désactivation de cette fonctionnalité.

  4. Si vous modifiez les paramètres, cliquez sur Enregistrer les modifications. Les modifications s’appliqueront à toutes les machines sur lesquelles Active Protection est activé.
  5. Cliquez sur Appliquer.
  • 0 Utilisateurs l'ont trouvée utile
Cette réponse était-elle pertinente?

Articles connexes

Protection des terminaux mobiles

Protection des terminaux mobiles Pour sauvegarder et restaurer les données de terminaux mobiles,...

Protection des sites Web

Protection des sites Web Un site Web peut être corrompu à la suite d'un accès non autorisé ou...

Systèmes de fichiers pris en charge

Systèmes de fichiers pris en charge Un agent de sauvegarde peut sauvegarder tout système de...

Installation des agents

Installation des agents Sous Windows Assurez-vous que la machine est connectée à...

Modes d'affichage de la console de sauvegarde

Modes d'affichage de la console de sauvegarde La console de sauvegarde possède deux modes...