Configurer des analyses antivirus Microsoft Defender rapides ou complètes
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Antivirus Microsoft Defender
Plateformes
- Windows
Vous pouvez configurer des analyses antivirus régulières et planifiées sur les appareils. Ces analyses planifiées s’ajoutent aux analyses antivirus à la demande et de protection en temps réel toujours activées. Lorsque vous planifiez une analyse, vous pouvez spécifier le type d’analyse, le moment où l’analyse doit se produire et si l’analyse doit se produire après une mise à jour de protection ou lorsqu’un appareil n’est pas utilisé. Vous pouvez également configurer des analyses spéciales pour effectuer des actions de correction si nécessaire.
Comparaison de l’analyse rapide, de l’analyse complète et de l’analyse personnalisée
Le tableau suivant décrit les différents types d’analyses que vous pouvez configurer. Pour plus d’informations, consultez considérations et bonnes pratiques relatives à l’analyse antivirus Microsoft Defender.
Type d’analyse | Description |
---|---|
Analyse rapide (recommandé) |
Une analyse rapide examine tous les emplacements où des programmes malveillants peuvent être enregistrés pour démarrer avec le système, tels que les clés de Registre et les dossiers de démarrage Windows connus. Les analyses rapides s’exécutent également sur des périphériques amovibles montés, tels que des lecteurs USB. Une analyse rapide permet de fournir une protection renforcée contre les programmes malveillants qui commencent par le système et les programmes malveillants au niveau du noyau, ainsi qu’une protection en temps réel toujours activée, qui examine les fichiers lorsqu’ils sont ouverts et fermés, et chaque fois qu’un utilisateur accède à un dossier. Dans la plupart des cas, une analyse rapide est suffisante et est l’option recommandée pour les analyses planifiées. À compter de la version de décembre 2023 (4.18.2311.x.x) de Platform Update, vous avez la possibilité d’analyser tous les fichiers et répertoires exclus de la protection en temps réel à l’aide d’exclusions contextuelles sont analysés pendant une analyse rapide. |
Analyse complète | Une analyse complète commence par exécuter une analyse rapide, puis se poursuit avec une analyse séquentielle de tous les disques fixes montés et lecteurs amovibles/réseau (si l’analyse complète est configurée pour ce faire). L’analyse complète peut prendre quelques heures ou jours, en fonction de la quantité et du type de données à analyser. Lorsqu’une analyse complète commence, elle utilise les définitions security intelligence installées au moment du démarrage de l’analyse. Si de nouvelles mises à jour de veille de sécurité sont mises à disposition pendant l’analyse complète, une autre analyse complète est nécessaire pour rechercher les nouvelles détections de menaces contenues dans la dernière mise à jour. En raison du temps et des ressources impliqués dans une analyse complète, en général, nous vous déconseillons de planifier des analyses complètes. |
Analyse personnalisée | Une analyse personnalisée s’exécute sur les fichiers et dossiers que vous spécifiez. Par exemple, vous pouvez choisir d’analyser un lecteur USB ou un dossier spécifique sur le lecteur local de votre appareil. |
Conseil
Si vous disposez d’un stockage Network-Attached (NAS) ou d’un réseau de zone de stockage (SAN), vous pouvez utiliser l’analyse ICAP (Internet Content Adaption Protocol) avec le moteur antivirus Microsoft Defender. Pour plus d’informations, consultez Blog de la communauté technique : MetaDefender ICAP avec Antivirus Windows Defender : Sécurité de classe mondiale pour les environnements hybrides.
Comment choisir un type d’analyse
Utilisez le tableau suivant pour choisir un type d’analyse. Consultez également Microsoft Defender Considérations relatives à l’analyse antivirus et meilleures pratiques.
Scénario | Type d’analyse recommandé |
---|---|
Vous souhaitez configurer des analyses régulières planifiées | Analyse rapide Une analyse rapide vérifie les processus, la mémoire, les profils et certains emplacements sur l’appareil. Avec une protection en temps réel toujours activée, une analyse rapide permet de fournir une couverture forte à la fois pour les logiciels malveillants qui commencent par le système et les programmes malveillants au niveau du noyau. La protection en temps réel examine les fichiers lorsqu’ils sont ouverts et fermés, et chaque fois qu’un utilisateur accède à un dossier. |
Les menaces, telles que les programmes malveillants, sont détectées sur un appareil individuel | Analyse rapide Dans la plupart des cas, une analyse rapide intercepte et propre programmes malveillants détectés. |
Vous souhaitez exécuter une analyse à la demande | Analyse rapide |
Vous souhaitez vous assurer qu’un appareil portable, tel qu’un lecteur USB, ne contient pas de programmes malveillants | Analyse personnalisée Une analyse personnalisée vous permet de sélectionner des emplacements, des dossiers ou des fichiers spécifiques, et exécute une analyse rapide. |
Vous avez installé ou réactivé Microsoft Defender Antivirus | Analyse rapide ou analyse complète Une analyse rapide vérifie les processus, la mémoire, les profils et certains emplacements sur l’appareil. Si vous préférez, vous pouvez choisir d’exécuter une analyse complète après avoir activé ou installé Microsoft Defender Antivirus. Gardez simplement à l’esprit que l’exécution d’une analyse complète peut prendre un certain temps. |
Points importants à garder à l’esprit
Par défaut, Microsoft Defender Antivirus recherche une mise à jour 15 minutes avant l’heure des analyses planifiées. Vous pouvez gérer la planification du moment où les mises à jour de protection doivent être téléchargées et appliquées pour remplacer cette valeur par défaut.
Si un appareil est débranché et s’exécute sur batterie pendant une analyse complète planifiée, l’analyse planifiée s’arrête avec l’événement 1002, qui indique que l’analyse s’est arrêtée avant la fin. Microsoft Defender Antivirus exécute une analyse complète à l’heure planifiée suivante.
Les analyses planifiées s’exécutent en fonction du fuseau horaire local de l’appareil.
Les fichiers malveillants peuvent être stockés dans des emplacements qui ne sont pas inclus dans une analyse rapide. Toutefois, la protection en temps réel toujours activée passe en revue tous les fichiers ouverts & fermés, ainsi que tous les fichiers qui se trouvent dans des dossiers auxquels un utilisateur accède. La combinaison d’une protection en temps réel et d’une analyse rapide permet de fournir une protection renforcée contre les programmes malveillants.
La protection à l’accès avec une protection fournie par le cloud permet de s’assurer que tous les fichiers accessibles sur le système sont analysés avec les derniers modèles d’intelligence de sécurité et de Machine Learning cloud.
Lorsque la protection en temps réel détecte des programmes malveillants et que l’étendue des fichiers affectés n’est pas déterminée initialement, Microsoft Defender Antivirus lance une analyse complète dans le cadre du processus de correction.
Si un appareil est hors connexion pendant une période prolongée, une analyse complète peut prendre plus de temps.
Vous pouvez configurer des analyses rapides pour analyser les exclusions de protection en temps réel à l’aide de PowerShell, Intune ou stratégie de groupe.
Optimisation des performances d’analyse rapide planifiée
En guise d’optimisation des performances, Microsoft Defender Antivirus ignore l’exécution des analyses rapides planifiées dans certaines situations. Cette optimisation s’applique uniquement à une analyse rapide lancée par une planification : elle n’affecte pas une analyse rapide lancée par une analyse antivirus à la demande . Cette optimisation réduit la dégradation des performances en évitant d’exécuter une analyse rapide lorsqu’elle n’est pas nécessaire et n’affecte pas la protection.
Par défaut, si une analyse rapide qualifiée a été exécutée au cours des sept derniers jours, une nouvelle analyse rapide n’est pas lancée. Une analyse rapide est considérée comme qualifiée si :
- L’analyse se produit après l’installation de la dernière mise à jour security intelligence ;
- La protection en temps réel n’a pas été désactivée pendant cette période ; Et
- La machine a été redémarré.
Cette optimisation ne s’applique pas aux conditions suivantes :
- Si Microsoft Defender pour point de terminaison est géré
- Si Microsoft Defender détection et réponse de point de terminaison (EDR) est installé
- Si l’ordinateur a été redémarré depuis la dernière analyse rapide
- Si la protection en temps réel est désactivée après la dernière analyse rapide
- Si la dernière analyse rapide lancée n’a pas été effectuée
Cette optimisation s’applique aux machines exécutant Windows 10 mise à jour anniversaire (version 1607) et à toutes les versions ultérieures de Windows, ainsi qu’à Windows Server 2016 (version 1607) et aux versions ultérieures de Windows Server, mais ne s’applique pas aux installations de Core Server.
Voir aussi
- considérations et bonnes pratiques relatives à l’analyse antivirus Microsoft Defender
- Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender
- Intégrer des appareils non Windows
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.