Activer Bloquer à la première consultation

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Antivirus Microsoft Defender

Plateformes

• Windows

Cet article présente la fonctionnalité antivirus/logiciel anti-programme malveillant appelée « Bloquer à la première consultation » et décrit la façon d’activer Bloquer à la première consultation pour votre organisation.

Conseil

Cet article est destiné aux administrateurs d’entreprise et aux professionnels de l’informatique qui gère les paramètres de sécurité pour des organisations. Si vous n’êtes pas administrateur d’entreprise ou professionnel de l’informatique mais que vous avez des questions sur bloquer à la première consultation, consultez la section Vous n’êtes pas un administrateur d’entreprise ou un professionnel de l’informatique ? .

Qu’est-ce que « Bloquer à la première consultation » ?

Bloquer à la première consultation est une fonctionnalité de protection de nouvelle génération de protection contre les menaces qui détecte un nouveau programme malveillant et le bloque en quelques secondes. Bloquer à la première consultation est activé lorsque certains paramètres de sécurité sont activés :

• La protection cloud est activée ;
• L’envoi d’exemples est configuré pour que les exemples soient envoyés automatiquement ; Et
• Microsoft Defender Antivirus est à jour sur les appareils.

Dans la plupart des entreprises, les paramètres nécessaires pour activer Bloquer à la première consultation sont configurés avec les déploiements de l’Antivirus Microsoft Defender. Consultez Activer la protection cloud dans Microsoft Defender Antivirus.

Mode de fonctionnement

Lorsque l’Antivirus Microsoft Defender rencontre un fichier suspect, mais non détecté, il interroge notre serveur principal de protection cloud. Le serveur principal de protection cloud applique la méthode heuristique, l’apprentissage automatique et l’analyse automatisée de fichier pour déterminer si les fichiers sont suspects ou s’ils ne sont pas une menace.

L’Antivirus Microsoft Defender utilise plusieurs technologies de prévention et de détection pour fournir une protection exacte, intelligente et en temps réel.

Conseil

Pour en savoir plus, consultez (Blog) Découvrir les technologies avancées au cœur de la protection de nouvelle génération de Microsoft Defender pour point de terminaison.

Quelques éléments à connaître à propos de la fonctionnalité Bloquer à la première consultation

• Bloquer à la première consultation peut bloquer les fichiers exécutables non portables (tels que JS, VBS ou macros) et les fichiers exécutables, en exécutant la dernière plateforme de logiciel anti-programme malveillant Defender sur Windows ou Windows Server.

• Bloquer à la première consultation utilise uniquement le serveur principal de protection cloud pour les fichiers exécutables et les fichiers exécutables non portables qui sont téléchargés à partir d’Internet ou qui sont issus de la zone Internet. Une valeur de hachage du .exe fichier est vérifiée via le back-end cloud pour déterminer si le fichier est un fichier précédemment non détecté.

• Si le serveur principal cloud ne peut pas se prononcer, l’Antivirus Microsoft Defender bloque le fichier et télécharge une copie dans le cloud. Le cloud effectue d’autres analyses pour se prononcer avant d’autoriser le fichier à s’exécuter ou de le bloquer dans toutes les autres occurrences, selon qu’il détermine que le fichier est suspect ou qu’il n’est pas une menace.

• Dans de nombreux cas, ce processus peut diminuer le temps de réponse de plusieurs heures à quelques secondes pour un nouveau programme malveillant.

• Vous pouvez spécifier la durée d’interdiction d’exécution d’un fichier pendant que le service de protection dans le cloud analyse le fichier. Vous pouvez également personnaliser le message affiché sur les bureaux des utilisateurs lorsqu’un fichier est bloqué. Vous pouvez modifier le nom de l’entreprise, les informations de contact et l’URL du message.

Activer la fonctionnalité Bloquer à la première consultation avec Microsoft Intune

1. Dans le centre d’administration Microsoft Intune (https://endpoint.microsoft.com), accédez àAntivirussécurité> du point de terminaison.

2. Sélectionnez une stratégie existante ou créez-en une nouvelle à l’aide du type de profil Antivirus Microsoft Defender. Dans notre exemple, nous avons sélectionné Windows 10, Windows 11 ou Windows Server pour la plateforme.

   

3. Définissez Autoriser la protection cloud sur Autorisé. Active Cloud Protection.

   

4. Faites défiler jusqu’à Envoyer le consentement des exemples, puis sélectionnez l’un des paramètres suivants :

   • Envoyer automatiquement tous les exemples
   • Envoyer automatiquement des exemples sécurisés

5. Appliquer un profil Antivirus Microsoft Defender à un groupe, tel que Tous les utilisateurs, Tous les appareils ou Tous les utilisateurs et tous les appareils.

Activer la fonctionnalité Bloquer à la première consultation avec une stratégie de groupe

Remarque

Nous vous recommandons d’utiliser Intune ou Microsoft Configuration Manager pour activer le blocage à la première consultation.

1. Sur votre ordinateur de gestion des stratégies de groupe, ouvrez la Console de gestion des stratégies de groupe, faites un clic droit sur l’objet de stratégie de groupe à configurer, puis sélectionnez Modifier.

2. En utilisant l’Éditeur de gestion des stratégies de groupe, accédez à Configuration de l’ordinateur>Modèles d’administration>Composants Windows>Antivirus Microsoft Defender>CARTES.

3. Dans la section CARTES, cliquez deux fois sur Configurer la fonctionnalité « Bloquer à la première consultation », puis configurez-la sur Activé, puis sélectionnez OK.

   Importante

   La configuration sur Toujours demander (0) diminuera l’état de protection de l’appareil. La configuration sur Ne jamais envoyer (2) signifie que Bloquer à la première consultation ne fonctionnera pas.

4. Dans la section CARTES, cliquez deux fois sur Envoyer des échantillons de fichier lorsqu'une analyse supplémentaire est nécessaire, puis configurez l’option sur Activé. Sous Envoyer des exemples de fichier lorsqu'une analyse supplémentaire est nécessaire, sélectionnez Envoyer tous les échantillons, puis OK.

5. Redéployez votre objet de stratégie de groupe sur votre réseau comme vous le faites habituellement.

Confirmer que la fonctionnalité Bloquer à la première consultation est activée sur les appareils client individuels

Vous pouvez confirmer que Bloquer à la première consultation est activé sur des appareils client individuels en utilisant l’application Sécurité Windows. La fonctionnalité Bloquer à la première consultation est automatiquement activée tant que les options Protection assurée par le cloud et Envoi automatique d’un échantillon sont activées.

1. Ouvrez l’application Sécurité Windows.

2. Sélectionnez Protection contre les virus et les menaces, puis sous Paramètres de protection contre les virus et les menaces, sélectionnez Gérer les paramètres.

   

3. Confirmez que les options Protection assurée par le cloud et Envoi automatique d’un échantillon sont activées.

Remarque

• Si les paramètres de condition préalable sont configurés et déployés à l’aide d’une stratégie de groupe, les paramètres décrits dans cette section seront grisés et non disponibles pour une utilisation sur des points de terminaison individuels.
• Les modifications apportées via un objet de stratégie de groupe doivent d’abord être déployées vers les points de terminaison individuels avant que le paramètre soit mis à jour dans les Paramètres Windows.

Désactiver la fonctionnalité Bloquer à la première consultation

Attention

La désactivation de Bloquer à la première consultation diminue le niveau de protection de votre ou vos appareils et de votre réseau. Nous vous déconseillons de désactiver définitivement la protection bloquer à la première vue.

Désactiver le bloc à la première consultation avec Microsoft Intune

1. Accédez au centre d’administration Microsoft Intune (https://endpoint.microsoft.com) et connectez-vous.

2. Accédez à Sécurité des points de terminaison>Antivirus, puis sélectionnez votre stratégie Antivirus Microsoft Defender.

3. Sous Gérer, choisissez Propriétés.

4. Près de Paramètres de configuration, choisissez Modifier.

5. Définissez Autoriser la protection cloud sur Non autorisé. Désactive Cloud Protection.

6. Évaluez et enregistrez vos paramètres.

Désactiver Bloquer à la première consultation à l’aide d’une stratégie de groupe

1. Sur votre ordinateur de gestion des stratégies de groupe, ouvrez la Console de gestion des stratégies de groupe, faites un clic droit sur l’objet de stratégie de groupe à configurer, puis sélectionnez Modifier.

2. En utilisant l’Éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur, puis sélectionnez Modèles d’administration.

3. Développez l’arborescence via les Composants Windows>Antivirus Microsoft Defender>CARTES.

4. Cliquez deux fois sur Configurer la fonctionnalité « Bloquer à la première consultation », puis définissez l’option sur Désactivé.

   Remarque

   La désactivation de la fonctionnalité Bloquer à la première consultation ne désactive pas ou n’altère pas les stratégies de groupe de condition préalable.

Vous n’êtes pas un administrateur d’entreprise ou un professionnel de l’informatique ?

Si vous n’êtes pas un administrateur d’entreprise ou un professionnel de l’informatique, mais que vous avez des questions à propos de Bloquer à la première consultation, cette section s’adresse à vous. Bloquer à la première consultation est une fonctionnalité de protection de contre les menaces qui détecte et bloque un programme malveillant en quelques secondes. Bien qu’il n’existe aucun paramètre spécifique appelé « Bloquer à la première consultation », la fonctionnalité est activée lorsque certains paramètres sont configurés sur votre appareil.

Comment gérer l’activation ou la désactivation de Bloquer à la première consultation sur votre appareil

Si vous disposez d’un appareil personnel qui n’est pas géré par une organisation, vous n’aurez peut-être pas à vous demander comment activer ou désactiver la fonctionnalité Bloquer à la première consultation. Vous pouvez utiliser l’application Sécurité Windows pour gérer la fonctionnalité Bloquer à la première consultation.

1. Sur votre ordinateur Windows 10 ou Windows 11, ouvrez l’application Sécurité Windows.

2. Sélectionnez Protection contre les virus et les menaces.

3. Sous Paramètres de protection contre les virus et les menaces, sélectionnez Gérer les paramètres.

4. Effectuez l’une des étapes suivantes :

   • Pour activer la fonctionnalité Bloquer à la première consultation, vérifiez que les options Protection assurée par le cloud et Envoi automatique d’un échantillon sont activées.

   • Pour désactiver la fonctionnalité Bloquer à la première consultation, désactivez Protection assurée par le cloud ou Envoi automatique d’un échantillon.

     Attention

     La désactivation de la fonctionnalité Bloquer à la première consultation diminue le niveau de protection de votre appareil. Nous vous déconseillons de désactiver définitivement la fonctionnalité Bloquer à la première consultation.

Voir aussi

• Antivirus Microsoft Defender dans Windows 10
• Protection fournie par le cloud
• Restez protégé grâce à la sécurité Windows
• Intégrer des appareils non Windows

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.