Partager via

Activer Bloquer à la première consultation

  • Article

S’applique à :

Plateformes

  • Windows

Cet article présente la fonctionnalité antivirus/logiciel anti-programme malveillant appelée « Bloquer à la première consultation » et décrit la façon d’activer Bloquer à la première consultation pour votre organisation.

Conseil

Cet article est destiné aux administrateurs d’entreprise et aux professionnels de l’informatique qui gère les paramètres de sécurité pour des organisations. Si vous n’êtes pas administrateur d’entreprise ou professionnel de l’informatique, mais que vous avez des questions sur bloquer à la première consultation, consultez la section Vous n’êtes pas administrateur d’entreprise ou professionnel de l’informatique ? .

Qu’est-ce que « Bloquer à la première consultation » ?

Bloquer à la première consultation est une fonctionnalité de protection de nouvelle génération de protection contre les menaces qui détecte un nouveau programme malveillant et le bloque en quelques secondes. Bloquer à la première consultation est activé lorsque certains paramètres de sécurité sont activés :

Dans la plupart des entreprises, les paramètres nécessaires pour activer Bloquer à la première consultation sont configurés avec les déploiements de l’Antivirus Microsoft Defender. Consultez Activer la protection cloud dans Microsoft Defender Antivirus.

Mode de fonctionnement

Lorsque l’Antivirus Microsoft Defender rencontre un fichier suspect, mais non détecté, il interroge notre serveur principal de protection cloud. Le serveur principal de protection cloud applique la méthode heuristique, l’apprentissage automatique et l’analyse automatisée de fichier pour déterminer si les fichiers sont suspects ou s’ils ne sont pas une menace.

L’Antivirus Microsoft Defender utilise plusieurs technologies de prévention et de détection pour fournir une protection exacte, intelligente et en temps réel.

Liste des moteurs antivirus Microsoft Defender

Conseil

Pour en savoir plus, consultez (Blog) Découvrir les technologies avancées au cœur de la protection de nouvelle génération de Microsoft Defender pour point de terminaison.

Quelques éléments à connaître à propos de la fonctionnalité Bloquer à la première consultation

  • Bloquer à la première consultation peut bloquer les fichiers exécutables non portables (tels que JS, VBS ou macros) et les fichiers exécutables, en exécutant la dernière plateforme anti-programme malveillant Defender sur Windows ou Windows Server.

  • Bloquer à la première consultation utilise uniquement le back-end de protection cloud pour les fichiers exécutables et les fichiers exécutables non portables qui sont téléchargés à partir d’Internet, ou qui proviennent de la zone Internet. Une valeur de hachage du .exe fichier est vérifiée via le back-end cloud pour déterminer si le fichier est un fichier précédemment non détecté.

  • Si le serveur principal cloud ne peut pas se prononcer, l’Antivirus Microsoft Defender bloque le fichier et télécharge une copie dans le cloud. Le cloud effectue d’autres analyses pour se prononcer avant d’autoriser le fichier à s’exécuter ou de le bloquer dans toutes les autres occurrences, selon qu’il détermine que le fichier est suspect ou qu’il n’est pas une menace.

  • Dans de nombreux cas, ce processus peut diminuer le temps de réponse de plusieurs heures à quelques secondes pour un nouveau programme malveillant.

  • Vous pouvez spécifier la durée d’interdiction d’exécution d’un fichier pendant que le service de protection dans le cloud analyse le fichier. Vous pouvez également personnaliser le message affiché sur les bureaux des utilisateurs lorsqu’un fichier est bloqué. Vous pouvez modifier le nom de l’entreprise, les informations de contact et l’URL du message.

Activer la fonctionnalité Bloquer à la première consultation avec Microsoft Intune

  1. Dans le centre d’administration Microsoft Intune (https://intune.microsoft.com), accédez àAntivirussécurité> du point de terminaison.

  2. Sélectionnez une stratégie existante ou créez-en une nouvelle à l’aide du type de profil Antivirus Microsoft Defender. Dans notre exemple, nous avons sélectionné Windows 10, Windows 11 ou Windows Server pour la plateforme.

    Capture d’écran de la création d’une nouvelle stratégie MDAV dans Intune.

  3. Définissez Autoriser la protection cloud sur Autorisé. Active Cloud Protection.

    Capture d’écran de La protection cloud définie sur autorisé dans Intune.

  4. Faites défiler jusqu’à Envoyer le consentement des exemples, puis sélectionnez l’un des paramètres suivants :

    • Envoyer automatiquement tous les exemples
    • Envoyer automatiquement des exemples sécurisés

  5. Appliquer un profil Antivirus Microsoft Defender à un groupe, tel que Tous les utilisateurs, Tous les appareils ou Tous les utilisateurs et tous les appareils.

Activer la fonctionnalité Bloquer à la première consultation avec une stratégie de groupe

Remarque

Nous vous recommandons d’utiliser Intune ou Microsoft Configuration Manager pour activer le blocage à la première consultation.

  1. Sur votre ordinateur de gestion des stratégies de groupe, ouvrez la Console de gestion des stratégies de groupe, faites un clic droit sur l’objet de stratégie de groupe à configurer, puis sélectionnez Modifier.

  2. En utilisant l’Éditeur de gestion des stratégies de groupe, accédez à Configuration de l’ordinateur>Modèles d’administration>Composants Windows>Antivirus Microsoft Defender>CARTES.

  3. Dans la section CARTES, cliquez deux fois sur Configurer la fonctionnalité « Bloquer à la première consultation », puis configurez-la sur Activé, puis sélectionnez OK.

    Importante

    Le fait de définir sur Toujours l’invite (0) réduit l’état de protection de l’appareil. La définition de la valeur Ne jamais envoyer (2) signifie que bloquer à la première consultation ne fonctionnera pas.

  4. Dans la section CARTES, cliquez deux fois sur Envoyer des échantillons de fichier lorsqu'une analyse supplémentaire est nécessaire, puis configurez l’option sur Activé. Sous Envoyer des exemples de fichier lorsqu'une analyse supplémentaire est nécessaire, sélectionnez Envoyer tous les échantillons, puis OK.

  5. Redéployez votre objet de stratégie de groupe sur votre réseau comme vous le faites habituellement.

Confirmer que la fonctionnalité Bloquer à la première consultation est activée sur les appareils client individuels

Vous pouvez confirmer que Bloquer à la première consultation est activé sur des appareils client individuels en utilisant l’application Sécurité Windows. La fonctionnalité Bloquer à la première consultation est automatiquement activée tant que les options Protection assurée par le cloud et Envoi automatique d’un échantillon sont activées.

  1. Ouvrez l’application Sécurité Windows.

  2. Sélectionnez Protection contre les virus et les menaces, puis sous Paramètres de protection contre les virus et les menaces, sélectionnez Gérer les paramètres.

    Paramètres de protection contre les menaces et les virus dans l’application Sécurité Windows

  3. Confirmez que les options Protection assurée par le cloud et Envoi automatique d’un échantillon sont activées.

Remarque

  • Si les paramètres prérequis sont configurés et déployés à l’aide de stratégie de groupe, les paramètres décrits dans cette section sont grisés et ne peuvent pas être utilisés sur des points de terminaison individuels.
  • Les modifications apportées par le biais d’un objet stratégie de groupe doivent d’abord être déployées sur des points de terminaison individuels avant que le paramètre ne soit mis à jour dans les paramètres Windows.

Désactiver la fonctionnalité Bloquer à la première consultation

Attention

La désactivation du bloc à la première consultation réduit l’état de protection de vos appareils et de votre réseau. Nous vous déconseillons de désactiver définitivement la protection bloquer à la première vue.

Désactiver le bloc à la première consultation avec Microsoft Intune

  1. Accédez au centre d’administration Microsoft Intune (https://intune.microsoft.com) et connectez-vous.

  2. Accédez à Sécurité des points de terminaison>Antivirus, puis sélectionnez votre stratégie Antivirus Microsoft Defender.

  3. Sous Gérer, choisissez Propriétés.

  4. Près de Paramètres de configuration, choisissez Modifier.

  5. Définissez Autoriser la protection cloud sur Non autorisé. Désactive Cloud Protection.

  6. Évaluez et enregistrez vos paramètres.

Désactiver Bloquer à la première consultation à l’aide d’une stratégie de groupe

  1. Sur votre ordinateur de gestion des stratégies de groupe, ouvrez la Console de gestion des stratégies de groupe, faites un clic droit sur l’objet de stratégie de groupe à configurer, puis sélectionnez Modifier.

  2. À l’aide de l’Rédacteur gestion des stratégie de groupe, accédez à Configuration de l’ordinateur et sélectionnez Modèles d’administration.

  3. Développez l’arborescence via les Composants Windows>Antivirus Microsoft Defender>CARTES.

  4. Cliquez deux fois sur Configurer la fonctionnalité « Bloquer à la première consultation », puis définissez l’option sur Désactivé.

    Remarque

    La désactivation de bloquer à la première consultation ne désactive pas ou ne modifie pas les stratégies de groupe requises.

Vous n’êtes pas un administrateur d’entreprise ou un professionnel de l’informatique ?

Si vous n’êtes pas administrateur d’entreprise ou professionnel de l’informatique, mais que vous avez des questions sur bloquer à la première consultation, cette section est pour vous. Bloquer à la première consultation est une fonctionnalité de protection de contre les menaces qui détecte et bloque un programme malveillant en quelques secondes. Bien qu’il n’existe aucun paramètre spécifique appelé « Bloquer à la première consultation », la fonctionnalité est activée lorsque certains paramètres sont configurés sur votre appareil.

Comment gérer l’activation ou la désactivation de Bloquer à la première consultation sur votre appareil

Si vous avez un appareil personnel qui n’est pas géré par un organization, vous vous demandez peut-être comment activer ou désactiver bloquer à la première consultation. Vous pouvez utiliser l’application Sécurité Windows pour gérer la fonctionnalité Bloquer à la première consultation.

  1. Sur votre ordinateur Windows 10 ou Windows 11, ouvrez l’application Sécurité Windows.

  2. Sélectionnez Protection contre les virus et les menaces.

  3. Sous Paramètres de protection contre les virus et les menaces, sélectionnez Gérer les paramètres.

  4. Effectuez l’une des étapes suivantes :

    • Pour activer la fonctionnalité Bloquer à la première consultation, vérifiez que les options Protection assurée par le cloud et Envoi automatique d’un échantillon sont activées.

    • Pour désactiver la fonctionnalité Bloquer à la première consultation, désactivez Protection assurée par le cloud ou Envoi automatique d’un échantillon.

      Attention

      La désactivation de la fonctionnalité Bloquer à la première consultation diminue le niveau de protection de votre appareil. Nous vous déconseillons de désactiver définitivement bloquer à la première consultation.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.