Activer Bloquer à la première consultation

S’applique à :

Plateformes

  • Windows

Cet article présente la fonctionnalité antivirus/logiciel anti-programme malveillant appelée « Bloquer à la première consultation » et décrit la façon d’activer Bloquer à la première consultation pour votre organisation.

Conseil

Cet article est destiné aux administrateurs d’entreprise et aux professionnels de l’informatique qui gère les paramètres de sécurité pour des organisations. Si vous n’êtes pas un administrateur d’entreprise ou un professionnel de l’informatique, mais que vous avez des questions à propos de Bloquer à la première consultation, consultez la section Vous n’êtes pas un administrateur d’entreprise ou un professionnel de l’informatique ?.

Qu’est-ce que « Bloquer à la première consultation » ?

Bloquer à la première consultation est une fonctionnalité de protection de nouvelle génération de protection contre les menaces qui détecte un nouveau programme malveillant et le bloque en quelques secondes. La fonctionnalité Bloquer à la première consultation est activée lorsque certains paramètres de sécurité sont activés. Ces paramètres sont les suivants :

  • Protection fournie par le cloud ;
  • Un échantillon spécifique d’expiration de l'envoi (tel que 50 secondes) et
  • Un blocage des fichiers de niveau élevé.

Dans la plupart des entreprises, les paramètres nécessaires pour activer Bloquer à la première consultation sont configurés avec les déploiements de l’Antivirus Microsoft Defender.

Mode de fonctionnement

Lorsque l’Antivirus Microsoft Defender rencontre un fichier suspect, mais non détecté, il interroge notre serveur principal de protection cloud. Le serveur principal de protection cloud applique la méthode heuristique, l’apprentissage automatique et l’analyse automatisée de fichier pour déterminer si les fichiers sont suspects ou s’ils ne sont pas une menace.

L’Antivirus Microsoft Defender utilise plusieurs technologies de prévention et de détection pour fournir une protection exacte, intelligente et en temps réel.

La liste des moteurs AV de Microsoft Defender

Quelques éléments à connaître à propos de la fonctionnalité Bloquer à la première consultation

  • Dans Windows 10, version 1803 ou ultérieure, Bloquer à la première consultation peut bloquer des fichiers exécutables non portables (tels que JS, VBS ou les macros) et des fichiers exécutables.

  • Bloquer à la première consultation utilise uniquement le serveur principal de protection cloud pour les fichiers exécutables et les fichiers exécutables non portables qui sont téléchargés à partir d’Internet ou qui sont issus de la zone Internet. Une valeur de hachage du fichier .exe est vérifiée via le serveur principal de protection cloud pour déterminer s’il s’agit d’un fichier précédemment non détecté.

  • Si le serveur principal cloud ne peut pas se prononcer, l’Antivirus Microsoft Defender bloque le fichier et télécharge une copie dans le cloud. Le cloud effectue d’autres analyses pour se prononcer avant d’autoriser le fichier à s’exécuter ou de le bloquer dans toutes les autres occurrences, selon qu’il détermine que le fichier est suspect ou qu’il n’est pas une menace.

  • Dans de nombreux cas, ce processus peut diminuer le temps de réponse de plusieurs heures à quelques secondes pour un nouveau programme malveillant.

  • Vous pouvez spécifier la durée d’interdiction d’exécution d’un fichier pendant que le service de protection dans le cloud analyse le fichier. Vous pouvez également personnaliser le message affiché sur les bureaux des utilisateurs lorsqu’un fichier est bloqué. Vous pouvez modifier le nom de l’entreprise, les informations de contact et l’URL du message.

Activer la fonctionnalité Bloquer à la première consultation avec Microsoft Intune

Conseil

Microsoft Intune fait désormais partie de Microsoft Endpoint Manager.

  1. Dans le Centre d’administration Microsoft Endpoint Manager (https://endpoint.microsoft.com), naviguez vers Appareils > Profils de configuration.

  2. Sélectionnez ou créez un profil à l’aide du type de profil Restrictions d’appareil.

  3. Dans Paramètres de configuration pour le profil des Restrictions d’appareil, configurez ou confirmez les paramètres suivants sous Antivirus Microsoft Defender :

    • Protection fournie par le cloud : Activée
    • Niveau de blocage des fichiers : Élevé
    • Extension de temps pour l’analyse des fichiers dans le cloud : 50
    • Demander aux utilisateurs avant la soumission d’échantillons : Envoyer tous les données sans demande

    Bloc de configuration Intune à la première consultation

  4. Enregistrez vos paramètres.

Conseil

Activer la fonctionnalité Bloquer à la première consultation avec Microsoft Endpoint Manager

Conseil

Si vous recherchez Microsoft Endpoint Configuration Manager, il fait désormais partie de Microsoft Endpoint Manager.

  1. Dans Microsoft Endpoint Manager (https://endpoint.microsoft.com), accédez à Sécurité des points de terminaison > Antivirus.

  2. Sélectionnez une stratégie existante ou créez-en une nouvelle à l’aide du type de profil Antivirus Microsoft Defender.

  3. Configurez ou confirmez les paramètres de configuration suivants :

    • Activer la protection par le cloud : Oui
    • Niveau de protection par le cloud : Élevé
    • Antivirus Microsoft Defender délai d’Antivirus Microsoft Defender en secondes : 50

    Paramètres de Bloquer à la première consultation dans le portail Microsoft Endpoint Manager

  4. Appliquer un profil Antivirus Microsoft Defender à un groupe, tel que Tous les utilisateurs, Tous les appareils ou Tous les utilisateurs et tous les appareils.

Activer la fonctionnalité Bloquer à la première consultation avec une stratégie de groupe

Notes

Nous vous recommandons d’utiliser Intune ou Microsoft Endpoint Manager pour activer Bloquer à la première consultation.

  1. Sur votre ordinateur de gestion des stratégies de groupe, ouvrez la Console de gestion des stratégies de groupe, faites un clic droit sur l’objet de stratégie de groupe à configurer, puis sélectionnez Modifier.

  2. À l’aide de l'Éditeur de gestion des stratégies de groupe accédez à Configuration de l’ordinateur > Modèles d’administration > Composants Windows > Antivirus Microsoft Defender > MAPS.

  3. Dans la section CARTES, cliquez deux fois sur Configurer la fonctionnalité « Bloquer à la première consultation », puis configurez-la sur Activé, puis sélectionnez OK.

    Important

    La configuration sur Toujours demander (0) diminuera l’état de protection de l’appareil. La configuration sur Ne jamais envoyer (2) signifie que Bloquer à la première consultation ne fonctionnera pas.

  4. Dans la section CARTES, cliquez deux fois sur Envoyer des échantillons de fichier lorsqu'une analyse supplémentaire est nécessaire, puis configurez l’option sur Activé. Sous Envoyer des exemples de fichier lorsqu'une analyse supplémentaire est nécessaire, sélectionnez Envoyer tous les échantillons, puis OK.

  5. Redéployez votre objet de stratégie de groupe sur votre réseau comme vous le faites habituellement.

Confirmer que la fonctionnalité Bloquer à la première consultation est activée sur les appareils client individuels

Vous pouvez confirmer que Bloquer à la première consultation est activé sur des appareils client individuels en utilisant l’application Sécurité Windows. La fonctionnalité Bloquer à la première consultation est automatiquement activée tant que les options Protection assurée par le cloud et Envoi automatique d’un échantillon sont activées.

  1. Ouvrez l’application Sécurité Windows.

  2. Sélectionnez Protection contre les virus et les menaces, puis sous Paramètres de protection contre les virus et les menaces, sélectionnez Gérer les paramètres.

    Paramètres de protection contre les menaces et les virus dans l’application Sécurité Windows

  3. Confirmez que les options Protection assurée par le cloud et Envoi automatique d’un échantillon sont activées.

Notes

  • Si les paramètres de condition préalable sont configurés et déployés à l’aide d’une stratégie de groupe, les paramètres décrits dans cette section seront grisés et non disponibles pour une utilisation sur des points de terminaison individuels.
  • Les modifications apportées via un objet de stratégie de groupe doivent d’abord être déployées vers les points de terminaison individuels avant que le paramètre soit mis à jour dans les Paramètres Windows.

Confirmer que le fonctionnement de Bloquer à la première consultation

Pour valider le fonctionnement de la fonctionnalité, téléchargez le Fichier d’exemple de Bloquer à la première consultation. Pour télécharger le fichier, vous avez besoin d’un compte dans Azure AD auquel le rôle Administrateur de sécurité ou le rôle Administrateur général est attribué.

Pour valider le fonctionnement de la protection activée pour le cloud, suivez les instructions dans Valider les connexions entre votre réseau et le cloud.

Notes

Le site de démonstration Defender pour point de terminaison sur demo.wd.microsoft.com est déconseillé et sera supprimé à l’avenir.

Désactiver la fonctionnalité Bloquer à la première consultation

Attention

La désactivation de Bloquer à la première consultation diminue le niveau de protection de votre ou vos appareils et de votre réseau.

Vous pouvez peut-être décider de désactiver Bloquer à la première consultation si vous souhaitez retenir les paramètres de condition préalable sans utiliser réellement la protection Bloquer à la première consultation. Vous pouvez peut-être désactiver temporairement Bloquer à la première consultation pour voir comment cette fonctionnalité affecte votre réseau. Cependant, nous vous déconseillons de désactiver la protection Bloquer à la première consultation de manière permanente.

Désactiver la fonctionnalité Bloquer à la première consultation avec Microsoft Endpoint Manager

  1. Accédez au Centre d’administration Microsoft Endpoint Manager (https://endpoint.microsoft.com), puis connectez-vous.

  2. Accédez à Sécurité des points de terminaison > Antivirus, puis sélectionnez votre stratégie Antivirus Microsoft Defender.

  3. Sous Gérer, choisissez Propriétés.

  4. Près de Paramètres de configuration, choisissez Modifier.

  5. Modifiez un ou plusieurs des paramètres suivants :

    • Définissez Activer la protection assurée par le cloud sur Non ou sur Non configuré.
    • Définissez Niveau de protection assuré par le cloud sur Non configuré.
    • Désactivez la case à cocher pour Antivirus Microsoft Defender délai d’expiration étendu en secondes.
  6. Évaluez et enregistrez vos paramètres.

Désactiver Bloquer à la première consultation à l’aide d’une stratégie de groupe

  1. Sur votre ordinateur de gestion des stratégies de groupe, ouvrez la Console de gestion des stratégies de groupe, faites un clic droit sur l’objet de stratégie de groupe à configurer, puis sélectionnez Modifier.

  2. En utilisant l’Éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur, puis sélectionnez Modèles d’administration.

  3. Développez l’arborescence Windows composants > Antivirus Microsoft Defender > MAPS.

  4. Cliquez deux fois sur Configurer la fonctionnalité « Bloquer à la première consultation », puis définissez l’option sur Désactivé.

    Notes

    La désactivation de la fonctionnalité Bloquer à la première consultation ne désactive pas ou n’altère pas les stratégies de groupe de condition préalable.

Vous n’êtes pas un administrateur d’entreprise ou un professionnel de l’informatique ?

Si vous n’êtes pas un administrateur d’entreprise ou un professionnel de l’informatique, mais que vous avez des questions à propos de Bloquer à la première consultation, cette section s’adresse à vous. Bloquer à la première consultation est une fonctionnalité de protection de contre les menaces qui détecte et bloque un programme malveillant en quelques secondes. Bien qu’il n’existe aucun paramètre spécifique appelé « Bloquer à la première consultation », la fonctionnalité est activée lorsque certains paramètres sont configurés sur votre appareil.

Comment gérer l’activation ou la désactivation de Bloquer à la première consultation sur votre appareil

Si vous disposez d’un appareil personnel qui n’est pas géré par une organisation, vous n’aurez peut-être pas à vous demander comment activer ou désactiver la fonctionnalité Bloquer à la première consultation. Vous pouvez utiliser l’application Sécurité Windows pour gérer la fonctionnalité Bloquer à la première consultation.

  1. Sur votre ordinateur Windows 10 ou Windows 11, ouvrez l’application Sécurité Windows.

  2. Sélectionnez Protection contre les virus et les menaces.

  3. Sous Paramètres de protection contre les virus et les menaces, sélectionnez Gérer les paramètres.

  4. Effectuez l’une des étapes suivantes :

    • Pour activer la fonctionnalité Bloquer à la première consultation, vérifiez que les options Protection assurée par le cloud et Envoi automatique d’un échantillon sont activées.

    • Pour désactiver la fonctionnalité Bloquer à la première consultation, désactivez Protection assurée par le cloud ou Envoi automatique d’un échantillon.

      Attention

      La désactivation de la fonctionnalité Bloquer à la première consultation diminue le niveau de protection de votre appareil. Nous vous déconseillons de désactiver définitivement la fonctionnalité Bloquer à la première consultation.

Voir aussi