Loading...

FAQ pour Endpoint Security
Articles techniques ID:   KB86704
Date de la dernière modification :  24/10/2018
Noté :


Environnement

Pare-feu McAfee Endpoint Security (ENS) 10.x
Prévention contre les menaces McAfee ENS 10.x
Contrôle Web McAfee 10.x

Synthèse

Cet article répertorie les questions et réponses fréquentes. Il est principalement destiné aux nouveaux utilisateurs du produit, mais il est à la disposition de tous les utilisateurs.

Sommaire
Généralités Informations sur le produit couvrant des sujets divers
Compatibilité Interaction entre les autres produits et logiciels.
Installation/Mise à niveau/Migration/Suppression Informations relatives à la procédure d'installation, de suppression, de mise à niveau et de migration.
Configuration Inclut les meilleures pratiques, la configuration, l'optimisation et la personnalisation.
Contenu AMCore Mise à jour, retour à une version antérieure et génération de rapports pour le contenu AMCore.
Fonctionnalités Caractéristiques et fonctions du produit.
Dépannage Procédures de résolution des problèmes.
Contrôle Web Informations générales sur Contrôle Web.
 
Généralités
Où puis-je trouver des problèmes connus d'Endpoint Security ?
Pour obtenir une liste des problèmes de gravité élevée ou moyenne connus et non encore résolus pour une version donnée, reportez-vous à l'article KB82450 de la base de connaissances, Endpoint Security 10.x - Problèmes connus. Pour accéder à une liste dynamique d'articles traitant de problèmes connus, cliquez sur le lien ci-dessous correspondant votre produit :
  • Problèmes connus de Pare-feu Endpoint Security : cliquez ici.
  • Problèmes connus de Prévention contre les menaces Endpoint Security : cliquez ici.
  • Problèmes connus de Contrôle Web Endpoint Security : cliquez ici.
Où puis-je trouver la documentation produit d'Endpoint Security ?
Toute la documentation produit d'Endpoint Security est disponible sur ServicePortal.
  • Cliquez ici pour accéder à une liste dynamique de notes de publication relatives à Endpoint Security.
  • Cliquez ici pour accéder à une liste dynamique de guides d'installation pour Endpoint Security.
  • Cliquez ici pour accéder à une liste dynamique de Guides produit pour Endpoint Security.
  • Pour accéder à la liste complète des documents relatifs au produit, procédez comme suit :
    1. Accédez à ServicePortal à l'adresse http://support.mcafee.com.
    2. Cliquez sur Centre de connaissances.
    3. Sélectionnez un produit Endpoint Security (par exemple, Prévention contre les menaces Endpoint Security) dans la liste Produit.
    4. Cliquez sur Rechercher.
    5. Sélectionnez Base de connaissances, puis Documentation produit.
Où puis-je accéder aux problèmes relatifs à la documentation produit pour Endpoint Security ?
Les articles de correction de la documentation apportent des corrections aux documents publiés concernant les produits Endpoint Security. Les problèmes relatifs à la documentation décrits dans ces articles seront corrigés dans une version future du document sur le produit. Cliquez ici pour accéder à une liste dynamique d'articles de correction de la documentation pour Endpoint Security.

Où puis-je trouver une explication des messages d'événements d'Endpoint Security ?
Les messages d'événements d'Endpoint Security utilisent des chaînes en langage naturel (NLS). Certains événements peuvent nécessiter d'autres explications que celles contenues dans la petite chaîne de texte trouvée dans un événement. Pour obtenir une explication détaillée des messages d'événements, reportez-vous à l'article KB85494 de la base de connaissance.

Pourquoi ne vois-je pas les événements des systèmes clients dans ePolicy Orchestrator ?
L'utilisateur de base de données ePolicy Orchestrator est corrompu. Pour résoudre ce problème, réinitialisez l'utilisateur de base de données ePolicy Orchestrator en suivant les instructions de l'article KB86071.
 
Retour au sommaire
 
Compatibilité
Endpoint Security peut-il coexister avec les produits McAfee SiteAdvisor Enterprise et VirusScan Enterprise hérités ?
Non. Le programme d'installation d'Endpoint Security supprime SiteAdvisor Enterprise et VirusScan Enterprise quel que soit le module Endpoint Security que vous sélectionnez pour installation. Pour plus d'informations, consultez l'article KB86504 de la base de connaissances.

Quels sont les plates-formes, environnements et systèmes d'exploitation pris en charge pour Endpoint Security ?
Pour obtenir la liste des systèmes d'exploitation de client et de serveur, des infrastructures virtuelles, des clients de messagerie, des appliances matérielles et des navigateurs Internet pris en charge, reportez-vous à l'article KB82761 de la base de connaissances.

Microsoft Windows XP et Windows Server 2003 sont-ils pris en charge ?
Non. Pas plus que Windows Embedded Point of Service 2009, qui est un système d'exploitation fondé sur Windows XP.

Quelle version de SQL dois-je utiliser pour mon serveur ePolicy Orchestrator ?
Pour installer l'extension de migration Endpoint Security sur le serveur ePolicy Orchestrator, vous devez définir le niveau de compatibilité de la base de données actuelle sur SQL 2008. Pour plus d'informations, consultez l'article KB86470 de la base de connaissances.

Pourquoi ai-je des problèmes de compatibilité avec certaines applications logicielles tierces qui « s'accrochent », ou tentent de s'accrocher, aux processus McAfee en y chargeant leur propre code (DLL) ?
Les produits McAfee comprennent des mécanismes d'autoprotection pour empêcher la modification de fichiers, de dossiers, de processus, d'entrées de Registre et de fichiers exécutables McAfee. Les mécanismes d'autoprotection sont nécessaires pour fournir et maintenir un niveau élevé de sécurité et d'approbation dans le logiciel, en particulier pour la sécurisation contre les attaques de logiciels malveillants. Pour plus d'informations, consultez l'article KB83123 de la base de connaissances.

Pourquoi Endpoint Security empêche-t-il System Information Reporter (SIR) de restaurer des clés de Registre ?
La restauration de Registre SIR échoue pour les registres protégés par Endpoint Security, car une règle d'autoprotection Endpoint Security la bloque. Pour résoudre ce problème, utilisez l'une des méthodes suivantes :
  • Connectez-vous à AAC et ajoutez la règle d'autorisation exceptionnelle pour regedit.
  • N'utilisez pas regedit et mettez à jour votre application pour réaliser directement les modifications du Registre.
Pour plus d'informations, consultez l'article KB86050 de la base de connaissances.

Retour au sommaire
 
Installation/Mise à niveau/Migration/Suppression
Quelles sont les options d'installation de la version managée d'Endpoint Security ?
Il existe deux moyens de gestion : ePolicy Orchestrator (ePO) et ePO Cloud. Les principales différences de gestion entre ces deux environnements sont les suivants :
  • ePO : les administrateurs installent les composants du produit sur le serveur de gestion, puis configurent généralement les paramètres des fonctionnalités (stratégies) et déploient le logiciel client vers plusieurs systèmes managés à l'aide de tâches de déploiement.
  • ePO Cloud : McAfee ou un autre fournisseur de services configure chaque compte ePO Cloud sur un serveur de gestion hors site et avertit l'administrateur local lorsque les produits sont prêts à être installés sur les systèmes managés. Ensuite, les administrateurs locaux créent et envoient une URL d'installation aux utilisateurs pour qu'ils procèdent à l'installation sur les systèmes locaux.
Quel est le dernier package d'évaluation pour Endpoint Security 10.1 ?
Un package d'évaluation d'installation complet est intégré à chaque patch publié pour Endpoint Security ; ENS 10.1.1 est pour l'instant le plus récent. Si vous utilisez le package d'évaluation ENS 10.1.0 et que vous souhaitez le mettre à jour vers la version 10.1.1, vous devez désinstaller la version 10.1.0 et installer le nouveau package à la place.

Comment migrer des produits McAfee hérités vers Endpoint Security ?
Utilisez l'Assistant Migration de terminal pour migrer des paramètres et des affectations VirusScan Enterprise 8.8, Host Intrusion Prevention Firewall 8.0 et SiteAdvisor Enterprise 3.5 vers Endpoint Security. Pour obtenir des instructions, reportez-vous au Guide de migration Endpoint Security 10.1 (PD26235).

Comment déployer Endpoint Security avec des solutions de déploiement tierces ?
La solution tierce que vous utilisez doit répondre aux exigences suivantes :
  • Permettre que tous les fichiers d'installation soient disponibles ou accessibles.
  • Utiliser le fichier exécutable du programme d'installation (SetupEP.exe), et non les fichiers MSI.
  • Etre exécutée avec les privilèges système ou d'administrateur.
  • Utiliser le package Endpoint Security autonome pour les fichiers source d'installation.
     
    REMARQUE : vous pouvez personnaliser ce package en utilisant le concepteur de package (disponible dans Endpoint Security 10.2.0 et les versions ultérieures).
Endpoint Security mettra-t-il à jour mon ancienne version de McAfee Agent ?
Cela dépend de si votre version de McAfee Agent est managée :
  • Si McAfee Agent est managé par ePolicy Orchestrator, l'installation d'Endpoint Security ne modifie pas l'agent. Le programme d'installation n'est pas autorisé à le faire automatiquement lorsque l'agent est en mode managé.
  • Si McAfee Agent n'est pas managé (version autonome), le programme d'installation SetupEP.exe met l'agent à niveau vers la version fournie avec le package Endpoint Security.
Comment installer Endpoint Security pour les utilisateurs qui ne disposent pas de droits d'administrateur ?
Créez une URL d'installation et envoyez-la aux utilisateurs finaux pour qu'ils installent Endpoint Security sur leur système. Pour obtenir des instructions, reportez-vous au Guide d'installation d'Endpoint Security 10.1 (PD26256).

Puis-je utiliser SYSPrep pour inclure Endpoint Security dans une image de base ?
Oui. SYSPrep est une méthode d'installation prise en charge avec Endpoint Security 10.5 (et versions ultérieures) et Endpoint Security 10.2.1 (et versions ultérieures).

Quels sont les problèmes d'installation les plus courants pour Endpoint Security ?
Les articles suivants décrivent les problèmes d'installation les plus courants :
  • KB86087 - Le système se bloque lors de l'installation d'Endpoint Security Epsetup
  • KB85033 - L'installation d'Endpoint Security échoue en cas de problèmes d'accès au dossier temp
  • KB86087 - Le système se bloque lors de l'installation d'Endpoint Security Epsetup
  • KB86549 - Des comportements inattendus tels que des erreurs d'écran bleu peuvent se produire après la migration de postes clients vers Endpoint Security 10.1
  • 86316 - Echec du téléchargement du fichier E:\epo\DB\SoftwareManager\1802\10.1\BUNDLE\McAfee Endpoint Security.0000.7804\Endpoint Security Platform.zip
  • KB86475 - Echec de l'installation d'Endpoint Security 10.1 en raison de l'échec de la suppression de Threat Intelligence Exchange pour VirusScan Enterprise
  • KB86580 - Impossible d'accéder au service Windows Installer (échec de l'installation d'Endpoint Security avec une erreur dans le journal)
  • KB86524 - Echec de l'installation d'Endpoint Security 10.1.0 en raison de l'injection de code DLL non approuvé ; le programme est restauré avec des erreurs dans les journaux d'installation (résolu dans Endpoint Security 10.1.1)
  • KB86872 - Impossible d'installer Endpoint Security lorsque le lecteur C: n'existe pas (résolu dans Endpoint Security 10.1.1)
Puis-je installer Endpoint Security sur un lecteur portant une lettre de mon choix ou dans un emplacement personnalisé ?
Oui. Cependant, pour Endpoint Security 10.1.0, le programme d'installation doit disposer d'un volume C: pour les éléments mis en quarantaine. Ce problème est résolu dans Endpoint Security 10.1.1. Pour plus d'informations, reportez-vous à l'article KB86872 de la base de connaissances.

Pourquoi le système est-il plus lent après l'installation d'Endpoint Security 10.1.0 ?
Ce problème est résolu dans Endpoint Security 10.1.1. Pour plus d'informations, reportez-vous à l'article KB86425 de la base de connaissances.

Pourquoi les stratégies ne sont-elles plus appliquées après une mise à niveau du serveur ePolicy Orchestrator ou de l'extension VirusScan Enterprise ?
La cause de ce problème est pour l'instant inconnue. Pour l'analyser, nous avons besoin d'une copie de votre base de données ePolicy Orchestrator avant la mise à niveau. Pour contourner ce problème, déterminez quelle stratégie est corrompue, supprimez-la, puis recréez-la. Pour plus d'informations, consultez l'article KB81867 de la base de connaissances.

Quels processus Endpoint Security installe-t-il ?
Consultez l'article KB87791 de la base de connaissances pour obtenir la liste des processus (Windows Services et processus s'exécutant en tant que service ou qu'utilisateur) installés par Endpoint Security.

Que faire si la désinstallation d'Endpoint Security à partir de « Programmes et fonctionnalités » ou d'« Applications et fonctionnalités » (selon votre version de Windows) échoue ?
Contactez le support technique pour obtenir des instructions afin de supprimer Endpoint Security à l'aide de techniques automatiques ou manuelles. Veillez à effectuer les tâches suivantes avant de contacter le support technique :
  • Collectez des données MER (Minimum Escalation Requirement) données à l'aide de l'outil MER : https://mer.mcafee.com.
  • Collectez des données Process Monitor illustrant une tentative de désinstallation d'Endpoint Security (ou d'installation d'Endpoint Security, si l'installation a échoué et n'a pas enlevé Endpoint Security).
  • Effectuez une capture de la machine virtuelle indiquant l'état du système. Il s'agit souvent de l'information la plus utile pour résoudre des problèmes d'échec de la désinstallation.
Comment désinstaller Endpoint Security de systèmes clients managés par ePolicy Orchestrator Cloud ?
Utilisez les instructions fournies dans l'article KB85135 pour désinstaller Endpoint Security si le système client est managé par ePolicy Orchestrator Cloud.

Comment supprimer l'extension Partagés Endpoint Security d'ePolicy Orchestrator ?
L'extension Partagés ne peut pas être supprimée si d'autres extensions de module Endpoint Security sont archivées. Supprimez d'abord toutes les extensions de module Endpoint Security avant d'essayer de supprimer l'extension Partagés.

Retour au sommaire
 
Configuration
Comment améliorer les performances avec Endpoint Security ?
Pour plus d'informations sur l'amélioration des performances après l'installation d'Endpoint Security, consultez l'article KB88205 de la base de connaissances. Il est mis à jour chaque fois que nous recevons de nouvelles informations sur des problèmes de performances, aussi, n'hésitez pas à le consulter chaque fois que vous rencontrez des symptômes de mauvaises performances.

Comment configurer des règles de protection de l'accès pour bloquer les logiciels malveillants ?
Pour obtenir la liste des règles de protection de l'accès dont nous suggérons la mise en œuvre, reportez-vous au document PD25203, Combating Ransomware (Lutte contre les ransomwares).

Comment créer une règle de protection de l'accès pour un fichier ou un dossier dans les systèmes ?
Les règles de protection de l'accès définies par l'utilisateur empêchent la modification des fichiers ou des dossiers dans les systèmes. Pour obtenir des instructions sur la façon de créer et d'appliquer une règle de protection de l'accès définie par l'utilisateur, reportez-vous à l'article KB86577 de la base de connaissances.

Puis-je utiliser des variables lors de la création de règles de protection de l'accès ?
McAfee ne recommande pas l'utilisation de variables, car cela aura probablement des résultats inattendus. Il est recommandé d'utiliser des caractères génériques. Par exemple, C:\Utilisateurs\%nomutilisateur%\SousDossier peut être représenté par C:\Utilisateurs\*\SousDossier.

Pourquoi les événements de protection de l'accès (qui surviennent de façon explicite sur le système client et sont enregistrés localement) ne sont-ils pas visible dans ePolicy Orchestrator après l'envoi d'événements clients ?
Reportez-vous à l'article KB87149. La configuration par défaut d'Endpoint Security exclut la création de ces événements. Il se peut également que l'agent les supprime.

Comment accéder à la console ou supprimer Endpoint Security si j'ai oublié le mot de passe ?
Le mot de passe par défaut est mcafee. Si vous avez changé le mot de passe et que vous l'avez oublié, contactez le support technique pour obtenir des instructions afin de supprimer le mot de passe. Veillez à effectuer les tâches suivantes avant de contacter le support technique :
  • Collectez des données MER (Minimum Escalation Requirement) données à l'aide de l'outil MER : https://mer.mcafee.com.
  • Obtenez les droits d'administrateur et un accès physique au système concerné.
Pourquoi les tâches d'analyse à la demande que j'ai créées ne se mettent-elles pas à jour dans les propriétés du produit de Prévention contre les menaces Endpoint Security sur la page Systèmes : Détails d'ePolicy Orchestrator ?
La date de la dernière analyse complète et la date de la dernière analyse rapide sont uniquement mises à jour par les tâches d'analyse à la demande définies dans les stratégies par défaut. La fonctionnalité fonctionne comme prévu, consultez l'article KB86677 de la base de connaissances.

Puis-je effectuer une analyse à la demande manuellement à partir de la ligne de commande ?
Pas pour l'instant. Cette demande est en cours d'examen pour une version future d'Endpoint Security.

Puis-je invoquer une mise à jour à partir de la ligne de commande ?
Pas pour l'instant. Cette demande est en cours d'examen pour une version future d'Endpoint Security.

Comment faire disparaître le message d'interruption de l'analyse dans Endpoint Security ?
Désactivez la fonctionnalité d'analyse sur système inactif. Pour plus d'informations, consultez l'article KB84208 de la base de connaissances.

Comment supprimer les tâches d'analyse à la demande par défaut « Analyse rapide » et « Analyse complète » ?
Cette question est un problème pour les clients qui ont créé un groupe et accepté les paramètres par défaut pour les tâches d'analyse à la demande, car les affectations de tâches ne peuvent être ni modifiées ni supprimées. La solution la plus simple est de créer un groupe dans l'arborescence des systèmes ePolicy Orchestrator et d'y déplacer les systèmes. N'activez pas les tâches d'analyse à la demande pour le nouveau groupe.

Comment importer des paramètres (par exemple, les paramètres de pare-feu) au moment de l'installation ?
Choisissez l'une des options suivantes :
  • Endpoint Security 10.2.0 et les versions ultérieures incluent l'utilitaire Concepteur de package. Celui-ci permet de personnaliser les stratégies qui peuvent être incluses dans le package d'installation.
  • Endpoint Security inclut un utilitaire nommé EsConfigTool.exe qui vous permet d'exporter et d'importer des stratégies. Cet utilitaire se trouve dans le dossier Plate-forme Endpoint Security (par défaut, C:\Program Files\McAfee\Endpoint Security\Plate-forme Endpoint Security). Déployez Endpoint Security vers au moins un système client, configurez les paramètres comme vous le souhaitez, puis exportez les paramètres à l'aide de l'utilitaire ESConfigTool.exe.
    REMARQUES :
    • N'utilisez pas l'option de texte brut lors de l'exportation si vous avez l'intention d'importer les paramètres.
    • Ne spécifiez pas d'extension pour le fichier.
    • Exécutez l'utilitaire sans les options d'affichage de l'aide et des options.
    Vous pouvez importer le fichier généré à partir de ESConfigTool.exe en utilisant la commande setupEP.exe / import
Retour au sommaire  
 
Contenu AMCore
Comment fonctionnent les fichiers de contenu ?
Lorsque le moteur d'analyse examine des fichiers à la recherche de menaces, il compare le contenu des fichiers analysés aux informations sur les menaces connues stockées dans les fichiers de contenu AMCore. La prévention contre les exploits utilise ses propres fichiers de contenu pour la protection contre les exploits.

Pourquoi EICAR n'est-il pas détecté ? Pourquoi ma version du contenu est-elle 0.5 ?
Cela se produit lorsque le contenu AMCore n'a pas encore été mis à jour après l'installation du produit. Mettez à jour le contenu pour résoudre ce problème.

A quelle fréquence McAfee publie-t-il de nouveaux fichiers de contenu pour Prévention contre les menaces ?
McAfee publie de nouveaux fichiers de contenu pour la prévention contre les exploits dès que nécessaire. Le Guide produit Endpoint Security 10.1 Rév. A (PD26255) indique à tort que les fichiers de contenu pour la prévention contre les exploits sont publiés une fois par mois. Cette erreur de documentation est décrite dans l'article KB86631 et sera corrigé dans une future version du guide produit.

De quel type de contenu Endpoint Security a-t-il besoin ?
Prévention contre les menaces Endpoint Security utilise les packages « Contenu de prévention contre les exploits Endpoint Security » et « Contenu AMCore ».

Où obtenir des fichiers DAT AMCore ? Comment mettre à jour le contenu AMCore manuellement ?
  • Le contenu AMCore est disponible en ligne à l'adresse http://www.mcafee.com/apps/downloads/security-updates/security-updates.aspx.
  • L'installation de ce package remplace le contenu AMCore existant.
  • Vous devez exécuter le programme d'installation de contenu .exe en tant qu'administrateur.
  • Vous pouvez trouver la réponse à d'autres questions fréquentes sur le contenu AMCore dans l'article KB82396 de la base de connaissance.
Pourquoi Endpoint Security ne met-il pas automatiquement à jour la version du moteur ? Je ne peux pas télécharger le moteur à mon gré.
Le format des mises à jour du moteur a changé avec la technologie AMCore : il ne s'agit plus de packages de contenu séparés. Lorsque le contenu AMCore requiert une mise à jour pour l'un des moteurs utilisés lors de l'analyse, cette mise à jour est incluse dans les publications V3 de mise à jour du contenu. Le fait de revenir à une version précédente du contenu AMCore revient à restaurer une version précédente du moteur, si celui-ci ne fait pas partie de ce contenu plus ancien.

Y a-t-il un moyen de déterminer la version du contenu AMCore à partir du Registre ou du système de fichiers ?
Oui. Procédez comme suit :
  • Dans le Registre :
    1. Accédez à la clé de Registre suivante :
       
      [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\AVSolution\DS\DS]\
       
    2. Convertissez les versions majeure et mineure du format hexadécimal au format décimal. Dans l'exemple suivant, la version est 2556.0.
       
      "dwContentMajorVersion"=dword:000009fc (000009fc donne 2556 au format décimal)
      "dwContentMinorVersion"=dword:00000000 (00000000 donne 0 au format décimal)

      Avec ENS 10.5.0 (et les versions ultérieures) et ENS 10.2.1 (et les versions ultérieures), les clés de Registre de date et heure suivantes sont également présentes. Dans l'exemple suivant, le contenu AMCore a été créé le 22 mars 2017 à 08:44:00 GMT.
       
      "szContentCreationDate"=reg_sz:"2017-03-22" (format de date aaaa-mm-jj)
      "szContentCreationTime"=reg_sz:"08:44:00" (format d'heure hh:mm:ss)
     
  • Dans le système de fichiers (si managé par ePolicy Orchestrator) :
    Cherchez la valeur AvManifestVersion dans le fichier C:\Program Files\McAfee\Endpoint Security\Threat Prevention\AvContentMgr.xml.
    Dans l'exemple suivant, la version est 2591.0 :
    2591.0
Comment revenir à une version précédente ou annuler la mise à jour du contenu DAT ?
Choisissez l'une des options suivantes :
  • Avec ePolicy Orchestrator, exécutez une tâche de mise à jour DAT sur le client pour installer la version souhaitée.
  • Exécutez le fichier contenu DAT V3 manuellement sur le client pour installer la version désirée.
Comment la conformité au contenu AMCore est-elle déterminée ?
Les critères de conformité ne peuvent pas être modifiés. La conformité au contenu AMCore est déterminé en fonction de l'âge des fichiers DAT AMCore.
  • Si les fichiers DAT ont moins de sept jours, le contenu est considéré comme conforme.
  • Si les fichiers DAT ont sept jours ou plus, le contenu est considéré comme non conforme.
REMARQUE : l'âge des fichiers DAT ne dépend pas du moment où le système a été mis à jour, mais du moment de publication des fichiers.
 
L'option « DAT Version (VirusScan Enterprise): Se situe dans X versions du référentiel » existe-t-elle dans Endpoint Security ?
Non. Endpoint Security détermine la conformité en fonction de l'âge des fichiers DAT, non de leur version.
 
Pourquoi le fichier DAT V3 fait-il encore plus de 100 Mo alors que l'on m'avait dit que les nouveaux fichiers DAT étaient beaucoup plus petits ?
Les DAT fichiers DAT sont plus petits si l'on compare les fichiers AVV aux fichiers DAT de type MED (moyen). Ces derniers offrent des fonctionnalités équivalentes dans VirusScan Enterprise et dans Endpoint Security.
  • Pour ENS :
    Les fichiers DAT MED se trouvent à l'emplacement suivant (le dossier portant le numéro de version changera) :
     
    C:\Program Files\Common Files\McAfee\Engine\content\avengine\med\2647.0
     
    La taille combinée des fichiers medscan.dat, mednames.dat et medclean.dat est de 62,7 Mo.
     
  • Pour VSE :
    Les fichiers DAT AVV se trouvent à l'emplacement suivant :
     
    C:\Program Files (x86)\Common Files\McAfee\Engine
     
    La taille combinée des fichiers avvscan.dat, avvnames.dat et avvclean.dat est de 143 Mo, ce qui représente une réduction de taille de 56 %.
Retour au sommaire  
 
Fonctionnalité
Quelle est l'utilité de chacun des modules Endpoint Security ?
Il existe trois modules Endpoint Security :
  • Pare-feu : surveille et intercepte les communications suspectes entre l'ordinateur et les ressources sur le réseau et Internet.
  • Prévention contre les menaces : recherche les virus, logiciels espions, programmes indésirables et toute autre menace en analysant les éléments automatiquement lorsque les utilisateurs y accèdent (à l'accès) ou à leur demande, à tout moment.
  • Contrôle Web : affiche les évaluations de sécurité et les rapports des sites web lors de la navigation et des
    recherches en ligne. Contrôle Web permet à l'administrateur de site de bloquer l'accès aux sites web en fonction
    de l'évaluation de sécurité et du contenu.
Quelle différence dans la couverture IPS existe-t-il entre Endpoint Security et Host Intrusion Prevention ?
Pour obtenir la liste de toutes les signatures de prévention contre les exploits et de prévention des intrusions sur l'hôte Endpoint Security, ainsi que de leurs directives actuellement prises en charge, consultez l'article KB51504 de la base de connaissances.

L'article référencé ci-dessus n'est disponible que pour les utilisateurs enregistrés du portail ServicePortal.

Pour voir les articles enregistrés :
  1. Connectez-vous au portail ServicePortal à l'adresse http://support.mcafee.com.
  2. Saisissez l'identifiant de l'article dans le champ de recherche de la page d'accueil.
  3. Cliquez sur Rechercher ou appuyez sur la touche Entrée.

Que signifie « Laisser McAfee décider » lors de l'analyse des fichiers ?
Vous pouvez spécifier le moment auquel l'analyseur à l'accès traite les fichiers (par exemple lors de l'écriture sur le disque ou lors de la lecture à partir du disque) ou vous pouvez laisser McAfee décider quand effectuer l'analyse. Lorsque vous sélectionnez Laisser McAfee décider, l'analyseur à l'accès utilise une logique de confiance pour optimiser l'analyse. La logique de confiance améliore la sécurité et les performances en évitant les analyses inutiles. Pour plus d'informations, consultez le livre blanc « Understanding the McAfee Endpoint Security 10 Threat Prevention Module » (Fonctionnement du module Prévention contre les menaces McAfee Endpoint Security 10 » en suivant le lien http://www.mcafee.com/us/resources/white-papers/wp-understanding-ep-security-10-module.pdf.

Comment l'analyseur à l'accès de Endpoint Security gère-t-il les interactions de mise en cache côté client ? Le fichier est-il local ou distant ?
La technologie de dossiers/fichiers hors connexion Microsoft, aussi appelée « mise en cache côté client », permet à un équipement non connecté au réseau d'accéder en local à des fichiers hébergés sur une ressource distante. Cette fonction est nommée mise en cache côté client car Windows crée une copie locale du fichier dans un dossier protégé à partir de laquelle l'équipement va lire et modifier le contenu du fichier si nécessaire. Lorsque l'équipement est à nouveau connecté au réseau et que le fichier distant est accessible, les modifications sont synchronisées afin de mettre à jour les deux copies.

Les fichiers mis en cache de cette manière sont toujours considérés comme des fichiers distants. L'utilisateur ou les programmes qui accèdent au fichier utilisent le même emplacement distant, même lorsque l'équipement est déconnecté du réseau. La redirection nécessaire pour accéder à la copie locale mise en cache est assurée par Windows.

Le fichier étant toujours considéré comme distant, la fonction d'analyse sur les lecteurs réseau doit être activée pour qu'OAS l'analyse. De même, pour que l'analyseur à la demande puisse analyser les fichiers hors connexion, vous devez lui fournir l'emplacement d'origine (distant).

Pourquoi le fichier d'aide d'Endpoint Security s'ouvre-t-il dans un navigateur qui n'est pas mon navigateur par défaut ?
Endpoint Security lance l'application associée à l'extension .html. Si le navigateur par défaut n'est pas associé à l'extension .html, un autre navigateur s'ouvre. Pour plus d'informations, consultez l'article KB86558 de la base de connaissances.

Pourquoi McShield.exe présente-t-il une consommation élevée du processeur ?
McShield.exe est l'analyseur en mode utilisateur qui analyse les fichiers pour déterminer s'ils sont infectés ou s'il s'agit de logiciel malveillants. Il doit utiliser des cycles de processeur pour accomplir son travail.

Pourquoi McShield.exe présente-t-il en permanence une consommation élevée du processeur ?
McShield.exe est également l'analyseur d'hébergement utilisé pour les tâches d'analyse à la demande. Si vous exécutez une tâche d'analyse à la demande programmée, vous verrez que McShield.exe utilise des cycles de processeur pour effectuer les analyses demandées.

REMARQUE : les tâches d'analyse à la demande peuvent être configurées pour être exécutées quand le système est inactif. Ainsi, McShield.exe consommera un volume important de ressources du processeur dès qu'il aura détecté que le système est inactif depuis environ 60 secondes, ce qui démarre l'analyse. Vous pouvez vérifier que McShield.exe est en train de traiter une tâche d'analyse à la demande des façons suivantes :
  • En revenant sur le système et en reprenant une activité : l'utilisation du processeur redescendra au niveau antérieur dans les 60 secondes
  • En consultant le journal d'activité de l'analyse à la demande pour voir si la tâche reprend et s'arrête
Où se trouve EmailScan ? Pourquoi Endpoint Security n'inclut-il pas d'analyseur d'e-mails comme VirusScan Enterprise ?
Il n'existe actuellement pas de plug-in pour les clients de messagerie Outlook et Lotus. Cette fonctionnalité n'est pas incluse parce que EmailScan assure dans une large mesure les mêmes fonctions que l'analyse en temps réel. Si vous souhaitez utiliser cette fonctionnalité à des fins spécifiques, contactez votre responsable de compte de support qui remontera votre cas au service de la gestion des produits.

Endpoint Security signale l'erreur « Erreur de nettoyage (pas de nettoyeur disponible), suppression en attente » pour un fichier de menaces détecté. Que signifie cette erreur ?
En règle générale, cette erreur signifie que le nettoyage du fichier a échoué et que celui-ci doit être supprimé. La suppression de fichiers peut renvoyer des résultats incohérents en raison de la nature transitoire des fichiers : le produit peut indiquer qu'une action de suppression est en attente alors que le fichier a déjà été supprimé (par le système d'exploitation) avant même que le produit ne puisse effectuer l'action de suppression.
 
Retour au sommaire
 
Dépannage
Comment activer la journalisation de débogage dans Endpoint Security ?
Pour activer la journalisation de débogage pour chaque module Endpoint Security, vous devez utiliser la stratégie Partagés Endpoint Security. Veillez à appliquer la stratégie sur le client avant d'essayer de reproduire le problème. Pour mettre en œuvre la stratégie, effectuez un appel de réactivation de l'agent auprès du système à partir de la console ePolicy Orchestrator ou cliquez sur Collecter et envoyer des propriétés à partir du moniteur d'état de McAfee Agent du client. Les fichiers journaux de débogage sont stockés à l'emplacement %ProgramData%\McAfee\Endpoint Security\Log ou C:\Documents and Settings\All Users\Application Data\McAfee\Endpoint Security\Logs en fonction du système d'exploitation.

Comment activer la journalisation détaillée pour McAfee Agent ?
La journalisation détaillée dans McAfee Agent aide à résoudre les problèmes de mise à jour, d'installation et de mise à niveau. Pour activer la journalisation détaillée pour McAfee Agent, vous devez utiliser la stratégie générale de McAfee Agent. Cliquez sur l'onglet Journalisation, sélectionnez Activer la journalisation détaillée, puis définissez la valeur Taille maximale du fichier journal (en Mo) sur 20 et la valeur Nombre de restaurations sur 2. Pour obtenir des instructions détaillées, consultez l'article KB82170.

Pourquoi les événements ne sont-ils pas signalés dans les tableaux de bord ePolicy Orchestrator ?
Les événements de produits individuels ont un niveau de gravité. Par défaut, les modules Endpoint Security consignent uniquement les événements majeurs et critiques. Si le niveau de gravité d'un événement est Informationnel, il n'est pas consigné. Pour consigner tous les événements, vous devez modifier la stratégie Partagés Endpoint Security et définir le niveau de gravité de la journalisation des événements sur Tous.
 
Retour au sommaire
 
Contrôle Web
Comment puis-je empêcher les utilisateurs finaux de désactiver l'extension Contrôle Web d'un navigateur ?
La politique d'autoprotection dans la stratégie Partagés Endpoint Security empêche les utilisateurs finaux de désactiver la barre d'outils et les objets application d'assistance du navigateur Contrôle Web dans Internet Explorer. L'autoprotection n'empêche pas les utilisateurs finaux de désactiver l'extension Contrôle Web dans Chrome ou Firefox.

Si un utilisateur désactive l'extension Contrôle Web dans Firefox, Contrôle Web est activé dans les futures sessions de navigation après un redémarrage de Firefox. Vous ne pouvez pas empêcher un utilisateur final de désactiver Contrôle Web dans Firefox.

Si un utilisateur supprime l'extension Contrôle Web dans Chrome, elle n'y apparaît plus, même après une nouvelle installation d'Endpoint Security. Vous devez soit supprimer le profil utilisateur de Chrome, soit réinstaller Chrome. Pour empêcher les utilisateurs finaux de supprimer l'extension Contrôle Web dans Chrome, consultez l'article KB87568 de la base de connaissance afin d'obtenir des informations sur la validation par force de l'extension Contrôle Web via la stratégie de groupe Active Directory.

Comment Contrôle Web détermine-t-il si un site possède une adresse IP privée/interne ?
Contrôle Web ne prend pas de mesures sur les adresses IP privées/internes. Les sites privés/internes d'une liste des sites interdits ne sont pas bloqués. Contrôle Web considère qu'un site possède une adresse IP privée/interne si cette dernière appartient aux plages d'adresses IP suivantes :

Intervalles d'adresses IP privées IPv4 par défaut :
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
localhost ou 127.0.0.1

Intervalles d'adresses IP privées IPv6 par défaut :
Les adresses de site et de liaison locales commençant par FEC, FED, FEE, FEF ou FE8, FE9, FEA FEB

Pourquoi la version de Contrôle Web apparaît-elle différemment dans Chrome et dans la console Endpoint Security ?
La console Endpoint Security indique la version de Contrôle Web actuellement installée. Chrome indique quant à lui la version de l'extension de Contrôle Web hébergée dans le Google Play Store. Lorsque de nouvelles versions de Contrôle Web sont publiées, l'extension Contrôle Web est mise à jour dans le Google Play Store. Il se peut donc que Chrome signale une version d'extension plus élevée pour Contrôle Web, mais la console Endpoint Security utilise la version de l'extension Contrôle Web installée en local.

Pourquoi est-ce qu'aucune annotation n'apparaît dans les résultats de recherche lorsque j'utilise un moteur de recherche pris en charge ?
Contrôle Web utilise des scripts pour annoter les résultats de recherche avec des évaluations. Si un moteur de recherche modifie la page web qu'il utilise pour présenter ses résultats, il est possible que Contrôle Web ne puisse pas annoter la page. Pour plus d'informations, consultez l'article KB87640.

Par exemple, www.yahoo.tw n'affiche pas d'annotations de recherche avec Contrôle Web pour cette raison.

Pourquoi un site inclus dans la liste d'autorisation Contrôle Web apparaît-il encore dans les annotations d'e-mails en tant qu'URL classée rouge ?
Les annotations d'e-mails Contrôle Web s'appuient uniquement sur l'évaluation Global Threat Intelligence (GTI). La politique d'autorisation locale ne remplace pas l'évaluation GTI pour l'annotation d'e-mails.

Pourquoi une page est-elle chargée dans le navigateur avant la mise en œuvre ?
Contrôle Web effectue une recherche asynchrone pour l'évaluation de la page web. Le contenu du navigateur peut être chargé avant que Contrôle Web n'obtienne une évaluation des serveurs Global Threat Intelligence. Consultez l'article KB88057.

Pourquoi la bulle du navigateur Contrôle Web est-elle orange ou affiche-t-elle « Erreur de récupération des informations du Contrôle Web » ?
Si le service Contrôle Web ne peut pas communiquer avec les serveurs Global Threat Intelligence (GTI), la bulle du navigateur est orange. Pour connaître la procédure de dépannage, consultez l'article KB87930 de la base de connaissances.
 
Retour au sommaire

Clause d'exclusion de responsabilité

Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.

Noter ce document