ESET Mail Security for Microsoft Exchange Server
Transcription
ESET Mail Security for Microsoft Exchange Server
ESET MAIL SECURITY POUR MICROSOFT EXCHANGE SERVER Manuel d'installation et Guide de l'utilisateur Microsoft® Windows® Server 2003 / 2008 / 2008 R2 / 2012 / 2012 R2 Veuillez cliquer ici pour obtenir la version la plus récente de ce document. ESET MAIL SECURITY Copyright ©2016 ESET, spol. s r.o. ESET Ma i l Securi ty a été dével oppé pa r ESET, s pol . s r.o. Pour pl us de déta i l s , vi s i tez www.es et.com. Tous droi ts rés ervés . Aucune pa rti e de cette documenta ti on ne peut être reprodui te, s tockée da ns un s ys tème d'a rchi va ge ou tra ns mi s e s ous quel que forme ou pa r quel que moyen que ce s oi t, y compri s s ous forme él ectroni que, méca ni que, photocopi e, enregi s trement, numéri s a ti on ou a utre s a ns l 'a utori s a ti on écri te de l 'a uteur. ESET, s pol . s r.o. s e rés erve l e droi t de cha nger l es a ppl i ca ti ons décri tes s a ns préa vi s . Assistance à la clientèle : www.eset.com/support RÉV. 19/05/2016 Contenu 4.6.2 Ordinateur ..............................................................................42 1. Introduction .......................................................6 4.6.3 Outils..............................................................................44 1.1 Nouveautés ....................................................................................................6 dans la version 6 4.6.4 Importer ..............................................................................45 et exporter les paramètres 4.7 Outils ....................................................................................................46 1.2 Pages ....................................................................................................7 d'aide 1.3 Méthodes ....................................................................................................7 utilisées 4.7.1 Processus ..............................................................................47 en cours 1.3.1 Protection ..............................................................................8 de la base de données de courriel 4.7.2 Surveiller ..............................................................................49 l'activité 1.3.2 Protection ..............................................................................8 du transport du courriel 4.7.2.1 Sélection ..................................................................................50 de la période Analyse ..............................................................................8 de base de données à la demande 4.7.3 ESET Log ..............................................................................50 Collector 4.7.4 Statistiques ..............................................................................51 de protection 4.7.5 Grappe ..............................................................................52 4.7.6 ESET Shell ..............................................................................54 4.7.6.1 Utilisation ..................................................................................55 4.7.6.2 Commandes ..................................................................................60 4.7.6.3 Fichiers ..................................................................................62 séquentiels/script 4.7.7 ESET SysInspector ..............................................................................63 Serveur ..............................................................................12 ERA 4.7.7.1 Créer ..................................................................................63 un instantané de l'état de l'ordinateur 1.6.2 Console ..............................................................................13 Web 4.7.7.2 ESET ..................................................................................63 SysInspector 1.6.3 Agent..............................................................................14 ........................................................................63 à ESET SysInspector 4.7.7.2.1 Introduction 1.6.4 RD Sensor ..............................................................................14 ........................................................................64 de ESET SysInspector 4.7.7.2.1.1 Lancement 1.6.5 Mandataire ..............................................................................14 utilisateur et utilisation de l'application 4.7.7.2.2 Interface........................................................................64 1.3.3 1.4 Types ....................................................................................................10 de protection 1.4.1 Protection ..............................................................................10 antivirus 1.4.2 Protection ..............................................................................10 antipourriel 1.4.3 Application ..............................................................................11 des règles définies par l'utilisateur 1.5 Interface ....................................................................................................11 utilisateur 1.6 Géré par l'entremise de ESET Remote ....................................................................................................11 Administrator 1.6.1 du programme 4.7.7.2.2.1 Contrôles........................................................................64 2. Configuration .......................................................15 minimale requise dans ESET SysInspector 4.7.7.2.2.2 Naviguer........................................................................66 ........................................................................67 clavier 4.7.7.2.2.1 Raccourcis 3. Installation .......................................................16 4.7.7.2.2.3 Comparer........................................................................68 3.1 <%Étapes d'installation de%> PRODUCTNAME ....................................................................................................17 ........................................................................69 de la ligne de commande 4.7.7.2.3 Paramètres Installation ..............................................................................20 de la ligne de commande ........................................................................70 d'un script de service 4.7.7.2.4.1 Génération 3.2 Activation ....................................................................................................23 du produit du script de service 4.7.7.2.4.2 Structure........................................................................71 3.3 Serveur ....................................................................................................23 de terminal des scripts de service 4.7.7.2.4.3 Exécution........................................................................73 3.1.1 3.4 Outil ....................................................................................................24 de suppression d'antivirus ESET 3.5 Mise à niveau vers une version plus récente ....................................................................................................24 3.6 Rôles du serveur Exchange - Edge et ....................................................................................................25 Hub 3.7 Rôles ....................................................................................................25 Exchange Server 2013 3.8 Connecteur POP3 et protection antipourriel ....................................................................................................25 4. Guide .......................................................27 pour débutants 4.1 L'interface ....................................................................................................27 utilisateur 4.2 Fichiers ....................................................................................................29 journaux 4.2.1 Journal ..............................................................................31 d’analyses service 4.7.7.2.4 Script de ........................................................................70 4.7.7.2.5 FAQ ........................................................................74 4.7.7.2.6 ESET SysInspector comme composant de ESET Mail Security ........................................................................75 4.7.8 ESET SysRescue ..............................................................................75 Live 4.7.9 Planificateur ..............................................................................75 4.7.10 Envoyer ..............................................................................79 les échantillons pour fins d'analyse 4.7.10.1 Fichier ..................................................................................80 suspect 4.7.10.2 Site ..................................................................................80 suspect 4.7.10.3 Fichier ..................................................................................80 faux positif 4.7.10.4 Site ..................................................................................81 faux positif 4.7.10.5 Autre ..................................................................................81 4.7.11 Quarantaine ..............................................................................81 4.8 Aide ....................................................................................................82 et assistance 4.8.1 Comment ..............................................................................83 faire Analyse ..............................................................................35 Hyper-V 4.8.1.1 Comment effectuer la mise à jour de ESET Mail Security ..................................................................................83 4.4 Quarantaine ....................................................................................................36 de courriel 4.8.1.2 Comment ..................................................................................83 activer ESET Mail Security Détails ..............................................................................38 des courriels mis en quarantaine 4.8.1.3 Comment ESET Mail Security compte-il les boîtes de courriel? ..................................................................................84 4.3 Analyser ....................................................................................................33 4.3.1 4.4.1 4.5 Mettre ....................................................................................................39 à jour 4.5.1 Configuration de la mise à jour de la banque de données ..............................................................................40 de virus 4.8.1.4 Comment créer une nouvelle tâche dans le Planificateur ..................................................................................84 4.5.2 Configuration ..............................................................................41 du serveur mandataire des mises à jour 4.8.1.5 Comment planifier une tâche d'analyse (toutes les 24 heures) ..................................................................................85 4.6 Configuration ....................................................................................................41 4.8.1.6 Comment ..................................................................................85 éliminer un virus de votre serveur 4.6.1 Serveur ..............................................................................41 4.8.2 Soumettre ..............................................................................86 une demande d'assistance 5.2.5 Performance ..............................................................................136 4.8.3 Logiciel ..............................................................................86 de nettoyage spécialisé ESET 5.2.6 Protection ..............................................................................136 en temps réel du système de fichiers 4.8.4 À propos ..............................................................................86 de ESET Mail Security 5.2.6.1 Exclusions ..................................................................................137 4.8.5 Activation ..............................................................................87 du produit ou modifier des exclusions 5.2.6.1.1 Ajouter........................................................................138 4.8.5.1 Enregistrement ..................................................................................87 d'exclusion 5.2.6.1.2 Format ........................................................................138 4.8.5.2 Activation ..................................................................................87 de Security Admin 5.2.6.2 4.8.5.3 Échec ..................................................................................88 de l'activation ........................................................................141 de fichier exclues de l'analyse 5.2.6.2.1 Extensions 4.8.5.4 Licence ..................................................................................88 ........................................................................141 paramètres 5.2.6.2.2 Autres ThreatSense 4.8.5.5 Progression ..................................................................................88 de l'activation de nettoyage 5.2.6.2.3 Niveaux........................................................................142 4.8.5.6 Activation ..................................................................................88 réussie 5.2.6.2.4 Quand faut-il modifier la configuration la protection ThreatSense ..................................................................................138 paramètres en temps ........................................................................142 réel 5. Utilisation .......................................................89 de ESET Mail Security 5.1 Serveur ....................................................................................................90 5.1.1 Configuration ..............................................................................91 de la priorité de l'agent 5.1.1.1 Modification ..................................................................................91 de la priorité 5.1.2 Configuration ..............................................................................92 de la priorité de l'agent 5.1.3 Antivirus ..............................................................................92 et anti-logiciel espion 5.1.4 Protection ..............................................................................94 antipourriel 5.1.4.1 Filtrage ..................................................................................95 et vérification 5.1.4.2 Paramètres ..................................................................................96 avancés 5.1.4.3 5.1.5 ........................................................................142 de la protection en temps réel 5.2.6.2.5 Vérification 5.2.6.2.6 Que faire si la protection en temps réel ne fonctionne pas 5.2.6.2.7 ........................................................................143 Soumission ........................................................................143 ........................................................................144 5.2.6.2.8 Statistiques suspects 5.2.6.2.9 Fichiers........................................................................144 5.2.7 Analyse de l'ordinateur à la demande et Analyse Hyper-V ..............................................................................145 5.2.7.1 Lanceur d'Analyse personnalisée et d'Analyse Hyper-V ..................................................................................145 Paramètres ..................................................................................99 Greylisting 5.2.7.2 Progression ..................................................................................147 de l'analyse Règles ..............................................................................101 5.2.7.3 Gestionnaire ..................................................................................148 de profils 5.1.5.1 Liste ..................................................................................101 des règles 5.2.7.4 Cibles ..................................................................................149 à analyser 5.1.5.1.1 Assistant ........................................................................102 de configuration des règles 5.2.7.5 Suspendre ..................................................................................149 une analyse planifiée ........................................................................103 de la règle 5.1.5.1.1.1 Condition 5.2.8 Analyse ..............................................................................150 en état inactif ........................................................................104 la règle 5.1.5.1.1.2 Action de 5.2.9 Analyse ..............................................................................150 au démarrage Protection de la base de données de la boîte de courriel ..............................................................................105 5.2.9.1 Vérification ..................................................................................150 automatique des fichiers de démarrage 5.2.10 Support ..............................................................................151 amovible 5.1.7 Protection ..............................................................................106 du transport du courriel 5.2.11 Protection ..............................................................................151 des documents 5.1.7.1 Paramètres ..................................................................................108 avancés 5.2.12 HIPS..............................................................................152 5.1.8 Analyse ..............................................................................109 de base de données à la demande 5.2.12.1 Règles ..................................................................................153 HIPS 5.1.8.1 Éléments ..................................................................................111 de boîte de courriel supplémentaires ........................................................................153 de règle HIPS 5.2.12.1.1 Paramètres 5.1.8.2 Serveur ..................................................................................111 mandataire 5.2.12.2 5.1.8.3 Détails ..................................................................................111 du compte d'analyse de la base de données ........................................................................155 des pilotes est toujours autorisé 5.2.12.2.1 Le chargement 5.1.9 Quarantaine ..............................................................................113 de courriel 5.1.9.1 Quarantaine ..................................................................................113 locale 5.3.1 Retour ..............................................................................156 en arrière des mises à jour 5.1.9.1.1 Stockage ........................................................................114 de fichiers 5.3.2 Mode ..............................................................................157 de mise à jour 5.1.9.1.2 Interface ........................................................................116 Web 5.3.3 Proxy ..............................................................................157 HTTP 5.1.9.2 Courriel de quarantaine et quarantaine de MS Exchange ..................................................................................120 5.3.4 Se connecter ..............................................................................158 au réseau local comme 5.3.5 Miroir ..............................................................................159 5.3.5.1 Mise ..................................................................................161 à jour à partir du miroir 5.3.5.2 Fichiers ..................................................................................162 miroirs 5.3.5.3 Résolution ..................................................................................162 des problèmes de miroir de mise à jour 5.3.6 Comment ..............................................................................163 créer des tâches de mise à jour 5.1.6 5.1.9.2.1 Paramètres ........................................................................120 du gestionnaire de quarantaine 5.1.9.2.2 Serveur........................................................................121 mandataire 5.1.9.3 Détails ..................................................................................122 du compte du gestionnaire de la quarantaine 5.1.10 Grappe ..............................................................................122 5.1.10.1 Assistant ..................................................................................124 de la grappe - page 1 5.1.10.2 Assistant ..................................................................................126 de la grappe - page 2 5.1.10.3 Assistant ..................................................................................127 de la grappe - page 3 5.1.10.4 Assistant ..................................................................................129 de la grappe - page 4 5.2 Ordinateur ....................................................................................................132 5.2.1 Une..............................................................................133 infiltration est détectée 5.2.2 Exclusions ..............................................................................134 de processus 5.2.3 Exclusions ..............................................................................135 automatiques 5.2.4 Cache ..............................................................................135 local partagé Configuration ..................................................................................155 avancée 5.3 Mise ....................................................................................................155 à jour 5.4 Web ....................................................................................................163 et courriel 5.4.1 Filtrage ..............................................................................163 des protocoles 5.4.1.1 Applications ..................................................................................164 exclues 5.4.1.2 Adresses ..................................................................................164 IP exclues 5.4.1.3 Clients ..................................................................................164 Web et de messagerie 5.4.2 SSL/TLS ..............................................................................165 5.4.2.1 Communication ..................................................................................166 SSL chiffrée 5.4.2.2 Liste ..................................................................................166 des certificats connus Contenu 5.4.3 Protection ..............................................................................167 du client de messagerie 5.4.3.1 Protocoles ..................................................................................167 de courriel 5.4.3.2 Alertes ..................................................................................168 et notifications 5.8 Rétablir tous les paramètres dans cette ....................................................................................................196 section 5.4.3.3 Barre ..................................................................................168 d’outils MS Outlook 5.9 Rétablir ....................................................................................................197 les paramètres par défaut 5.4.3.4 Barre ..................................................................................169 d'outils Outlook Express et Windows Mail 5.10 Planificateur ....................................................................................................197 5.4.3.5 Boîte ..................................................................................169 de dialogue de confirmation 5.10.1 Détails ..............................................................................198 de la tâche 5.4.3.6 Analyser ..................................................................................169 à nouveau les messages 5.10.2 Calendrier ..............................................................................199 de la tâche - Une fois 5.4.4 Protection ..............................................................................169 de l'accès Web 5.10.3 Calendrier ..............................................................................199 de la tâche 5.4.4.1 De ..................................................................................170 base 5.10.4 Calendrier ..............................................................................199 de la tâche - Une fois par jour 5.4.4.2 Gestion ..................................................................................170 des adresses URL 5.10.5 Calendrier ..............................................................................199 de la tâche - Hebdomadaire 5.4.4.2.1 Créer une ........................................................................171 liste 5.10.6 5.4.4.2.2 Adresses ........................................................................172 HTTP Calendrier de la tâche - déclenchée par un événement ..............................................................................199 5.4.5 Protection ..............................................................................172 antihameçonnage 5.10.7 Détails ..............................................................................199 de la tâche - Exécution de l'application 5.10.8 Détails de la tâche - Envoyer les rapports de quarantaine ..............................................................................200 de courriel 5.10.9 Tâche ..............................................................................200 ignorée 5.10.10 Détails ..............................................................................200 des tâches du planificateur 5.10.11 Profils ..............................................................................200 de mise à jour 5.10.12 Création ..............................................................................201 de nouvelles tâches 5.5 Contrôle ....................................................................................................174 de périphériques 5.5.1 Règles ..............................................................................174 du contrôle de périphériques 5.5.2 Ajout ..............................................................................175 de règles du contrôle de périphériques 5.5.3 Périphériques ..............................................................................176 détectés 5.5.4 Groupes ..............................................................................176 d'appareils 5.7.8 Menu ..............................................................................196 contextuel 5.6 Outils ....................................................................................................177 5.11 Quarantaine ....................................................................................................202 5.6.1 ESET..............................................................................177 Live Grid 5.6.1.1 Filtre ..................................................................................178 d'exclusion 5.6.2 Quarantaine ..............................................................................178 5.6.3 Microsoft ..............................................................................178 Windows Update 5.6.4 Fournisseur ..............................................................................178 WMI 5.6.4.1 Données ..................................................................................179 fournies 5.6.4.2 Accès ..................................................................................183 aux données fournies 5.6.5 Cibles ..............................................................................183 d'analyse ERA 5.6.6 Fichiers ..............................................................................183 journaux 5.6.6.1 Filtrage ..................................................................................184 des journaux 5.6.6.2 Trouver ..................................................................................185 dans le journal 5.6.6.3 Maintenance ..................................................................................186 des journaux 5.6.7 Serveur ..............................................................................187 mandataire 5.6.8 Notifications ..............................................................................187 par courriel 5.6.8.1 Format ..................................................................................188 des messages 5.6.9 Mode ..............................................................................188 Présentation 5.6.10 Diagnostics ..............................................................................189 5.6.11 Service ..............................................................................189 à la clientèle 5.6.12 Grappe ..............................................................................190 5.7 Interface ....................................................................................................191 utilisateur 5.7.1 Alertes ..............................................................................192 et notifications 5.7.2 Configuration ..............................................................................193 de l'accès 5.7.2.1 Mot ..................................................................................193 de passe 5.7.2.2 Configuration ..................................................................................193 du mot de passe 5.7.3 Aide..............................................................................193 5.7.4 ESET..............................................................................193 Shell 5.7.5 Désactiver l'interface graphique sur le serveur de terminal ..............................................................................194 5.7.6 Désactiver ..............................................................................194 les messages et les états 5.7.6.1 Messages ..................................................................................194 de confirmation 5.7.6.2 États ..................................................................................194 des applications désactivées 5.7.7 Icône ..............................................................................195 de la barre d'état système 5.7.7.1 Suspendre ..................................................................................195 la protection 5.11.1 Mise..............................................................................203 de fichiers en quarantaine 5.11.2 Restaurer ..............................................................................203 depuis la quarantaine 5.11.3 Soumission ..............................................................................203 de fichiers de quarantaine 5.12 Mises ....................................................................................................204 à jour du système d'exploitation 6. Glossaire .......................................................205 6.1 Types ....................................................................................................205 d'infiltrations 6.1.1 Virus ..............................................................................205 6.1.2 Vers..............................................................................205 6.1.3 Chevaux ..............................................................................206 de Troie 6.1.4 Rootkits ..............................................................................206 6.1.5 Logiciels ..............................................................................206 publicitaires 6.1.6 Logiciel ..............................................................................207 espion 6.1.7 Compresseurs ..............................................................................207 6.1.8 Exploit ..............................................................................207 Blocker 6.1.9 Analyseur ..............................................................................208 de mémoire avancé 6.1.10 Applications ..............................................................................208 potentiellement dangereuses 6.1.11 Applications ..............................................................................208 potentiellement indésirables 6.2 Courriel ....................................................................................................208 6.2.1 Publicités ..............................................................................209 6.2.2 Canulars ..............................................................................209 6.2.3 Hameçonnage ..............................................................................209 6.2.4 Reconnaissance ..............................................................................210 des pourriels 6.2.4.1 Règles ..................................................................................210 6.2.4.2 Filtre ..................................................................................210 bayésien 6.2.4.3 Liste ..................................................................................211 blanche 6.2.4.4 Liste ..................................................................................211 noire 6.2.4.5 Contrôle ..................................................................................211 côté serveur 1. Introduction ESET Mail Security 6 pour Microsoft Exchange Server est une solution intégrée qui protège les boîtes de courriel contre différents types de contenu malveillant, y compris les pièces jointes infectées par des vers ou des chevaux de Troie, les documents contenant des scripts nuisibles, le hameçonnage et le pourriel. ESET Mail Security procure trois types de protection : Antivirus, antipourriel et règles définies par l'utilisateur. ESET Mail Security filtre le contenu malveillant au niveau du serveur de courriel, avant qu'il n'entre dans la boîte de réception du client de messagerie. prend en charge les versions 2003 et ultérieures de Microsoft Exchange Server, ainsi qu'un serveur Microsoft Exchange dans un environnement avec grappes. Les rôles particuliers (boîte de messagerie, Hub, Edge) sont également pris en charge dans les versions plus récentes du logiciel (Microsoft Exchange Server 2003 et versions ultérieures). Vous pouvez gérer à distance ESET Mail Security au sein de réseaux plus grands grâce à ESET Remote Administrator. En plus d'offrir une protection à Microsoft Exchange Server, ESET Mail Security inclut également tous les outils pour assurer la protection du serveur lui-même (protection résidente, protection de l'accès Web, protection du client de courriel et protection antipourriel). 1.1 Nouveautés dans la version 6 Gestionnaire de la quarantaine à courriel - L'administrateur peut inspecter des objets dans cette section de stockage et décider de les supprimer ou de les libérer. Cette fonctionnalité permet une gestion facile des courriels mis en quarantaine par l'agent de transport. Interface Web de la quarantaine à courriel - Une alternative Web au gestionnaire de la quarantaine à courriel. Antipourriel - Ce composant essentiel a fait l'objet d'une refonte importante et utilise maintenant un tout nouveau moteur primé offrant une meilleure performance. Analyse à la demande de la base de données - L'analyseur à la demande utilise l'API EWS (Exchange Web Services) pour se connecter à Microsoft Exchange Server par l'entremise du protocole HTTP/HTTPS. Aussi, l'analyseur exécute une analyse parallèle afin d'améliorer la performance. Règles - L'élément de menu Règles permet aux administrateurs de définir manuellement les conditions de filtrage des courriels et les actions à entreprendre avec les messages filtrés. Les règles dans la dernière version de <%PN%> ont été repensées pour offrir une plus grande polyvalence, ouvrant tout un champ de possibilités à l'utilisateur. Grappe ESET - De façon similaire à ESET File Security 6 pour Microsoft Windows Server, le fait de relier les postes de travail aux nœuds offrira une automatisation de la gestion supplémentaire grâce à la capacité de distribuer une politique de configuration parmi tous les membres de la grappe. La création des grappes mêmes est possible à l'aide du nœud installé, qui peut ensuite installer et initier tous les nœuds à distance. Les produits du serveur ESET peuvent communiquer les uns avec les autres et échanger des données, de configuration et de notification notamment, ainsi que de synchroniser les données nécessaires au bon fonctionnement d'un groupe d'instances de produit. Cela permet d'appliquer la même configuration du produit à tous les membres d'une grappe. Les Grappes de basculement Windows et les Grappes d'équilibrage de la charge réseau (ÉCR) sont pris en charge par ESET Mail Security. De plus, vous pouvez ajouter des membres de la Grappe ESET manuellement sans avoir besoin d'une Grappe Windows en particulier. Les Grappes ESET fonctionnent à la fois dans les environnements de domaine et de groupe de travail. Analyse de la mémoire - Analyse tous les fichiers partagés sur un serveur local. Cela facilite l'analyse exclusive des données utilisateur qui sont stockées sur le serveur de fichiers. Installation basée sur le composant - Vous pouvez sélectionner les composants que vous voulez ajouter ou supprimer. Exclusions de processus - Exclut des processus spécifiques de l'analyse à l'accès de l'antivirus. En raison du rôle essentiel des serveurs dédiés (serveur de l'application, serveur de stockage, etc.), les sauvegardes régulières sont 6 obligatoires pour assurer la récupération en temps opportun des incidents fatals, quels qu'ils soient. Afin d'améliorer la vitesse de sauvegarde, l'intégrité du processus et la disponibilité du service, certaines techniques reconnues pour entrer en conflit avec la protection antivirus au niveau des fichiers sont utilisées pendant la sauvegarde. Des problèmes similaires peuvent survenir lors des tentatives de migration des machines virtuelles en direct. Le seul moyen efficace pour éviter de tomber dans ces deux situations est de désactiver logiciel antivirus. L'exclusion de processus spécifiques (par exemple les processus relatifs à la solution de sauvegarde) ignore et juge comme fiables toutes les opérations fichier attribuées à de tels processus exclus, ce qui réduit l'interférence du processus de sauvegarde. Nous vous recommandons de faire preuve de prudence lors de la création d'exclusions - - un outil de sauvegarde qui a été exclu peut accéder aux fichiers infectés sans déclencher une alerte. Pour cette raison, les permissions élargies ne sont autorisés que dans le module de protection en temps réel. Collecteur de journaux ESET - Rassemble automatiquement des informations comme la configuration de ESET Mail Security et de nombreux journaux. Le Collecteur de journaux ESET vous facilitera la tâche de rassembler les renseignements diagnostiques dont vous avez besoin pour aider les techniciens ESET à résoudre rapidement un problème. eShell (ESET Shell) - eShell 2.0 est maintenant offert dans ESET Mail Security. eShell est une interface de ligne de commande qui offre aux utilisateurs avancés et aux administrateurs des options plus complètes pour gérer les produits ESET. Analyse Hyper-V - Est une nouvelle technologie qui permet de faire l'analyse de disques de machine virtuelle (VM) sur un serveur Microsoft Hyper-V sans avoir besoin d'installer des « agents » sur la VM en question. Une meilleure intégration avec ESET Remote Administrator incluant la possibilité de planifier l'Analyse à la demande. 1.2 Pages d'aide Cher client, chère cliente, nous sommes heureux de vous accueillir dans ESET Mail Security. L'objectif de ce guide est de vous aider à profiter pleinement de ESET Mail Security. Ce guide est divisé en plusieurs chapitres et sous-chapitres, par sujet. Vous trouverez les renseignements pertinents en parcourant la Table des matières des pages d'aide. De manière alternative, vous pouvez utiliser l'Index pour parcourir le guide par mot-clés ou par phrases grâce à la fonction Recherche. Pour en savoir plus sur une des fenêtres du programme, appuyez sur la touche F1 de votre clavier pendant que la fenêtre en question est ouverte. La page d'aide relative à la fenêtre actuellement affichée s'ouvrira. vous permet de rechercher l'aide par sujet en utilisant un mot-clé ou des phrases et de les repérer dans le Guide d'utilisation. La différence entre ces deux méthodes est qu'un mot clé peut être associé à des pages d'aide qui ne contiennent pas le mot clé précis dans le texte. La recherche de mots et de phrases fouillera le contenu de toutes les pages et n'affichera que les pages contenant effectivement le mot ou la phrase en question. 1.3 Méthodes utilisées Les trois méthodes suivantes sont utilisées pour l'analyse des courriels : Protection de la base de données de la boîte de messagerie - anciennement connue sous l'appellation « Analyse de la boîte de messagerie par l'entremise de VSAPI ». Ce type de protection est seulement offert avec Microsoft Exchange Server 2010, 2007 et 2003 fonctionnant dans le Serveur de la boîte de messagerie (Microsoft Exchange 2010 et 2007) ou dans le rôle du Serveur dorsal (Microsoft Exchange 2003). Ce type d'analyse peut être exécuté en une seule installation du serveur avec plusieurs rôles Exchange Server sur un seul ordinateur (tant qu'elle inclut le rôle Boîte de messagerie ou le rôle Serveur dorsal). Protection du transport du courriel - anciennement connue sous l'appellation « Filtrage des messages au niveau du serveur SMTP ». Cette protection est fournie par l'agent de transport et est offerte seulement avec Microsoft Exchange Server 2007 ou versions ultérieures fonctionnant dans le rôle Edge Transport Server ou Hub Transport Server. Ce type d'analyse peut être exécuté en une seule installation du serveur avec plusieurs rôles Exchange 7 Server sur un seul ordinateur (tant qu'elle inclut l'un des rôles de serveur mentionnés). Analyse à la demande de la base de données - permet l'exécution ou la planification d'une analyse de la base de données de la boîte de messagerie Exchange. Cette fonctionnalité est seulement offerte avec Microsoft Exchange Server 2007 ou versions ultérieures fonctionnant dans le rôle Serveur de la boîte de messagerie ou Hub Transport. Cela s'applique aussi lors de l'installation d'un seul serveur avec plusieurs rôles Exchange Server sur un seul ordinateur (tant qu'elle inclut l'un des rôles de serveur mentionnés). Voir Rôles Exchange Server 2013 pour obtenir plus de détails sur les rôles dans Exchange 2013. 1.3.1 Protection de la base de données de courriel Le processus d'analyse des boîtes aux lettres est déclenché et contrôlé par le serveur Microsoft Exchange. Les messages conservés dans la base de données du magasin Microsoft Exchange Server sont continuellement analysés. Le processus d'analyse peut être déclenché par l'une des situations suivantes, en fonction de la version de Microsoft Exchange Server et de l'interface VSAPI utilisées et des paramètres définis par l'utilisateur : Lorsque l'utilisateur accède à son courriel, par exemple, dans un client de messagerie (le courriel est toujours analysé en fonction de la base de données des signatures de virus la plus récente). En arrière-plan, lorsque le taux d'utilisation de Microsoft Exchange Server est bas. De façon proactive (en fonction de l'algorithme interne de Microsoft Exchange Server). L'interface VSAPI est actuellement utilisée pour l'analyse antivirus et la protection basée sur les règles. 1.3.2 Protection du transport du courriel Le filtrage STMP de niveau serveur est effectué par un plugiciel spécialisé. Dans Microsoft Exchange Server 2000 et 2003, le module d'extension en question (Event Sink) est enregistré sur le serveur SMTP comme composant des services Internet (IIS). Dans Microsoft Exchange Server 2007/2010, le module d'extension est plutôt enregistré comme un agent de transport selon les rôles Edge ou Hub de Microsoft Exchange Server. Le filtrage SMTP au niveau du serveur effectué par un agent de transport offre une protection antivirus, antipourriel et en fonction des règles définies par l'utilisateur. Contrairement au filtrage VSAPI, le filtrage au niveau du serveur SMTP est effectué avant que le courriel analysé ne soit reçu dans la boîte de messagerie Microsoft Exchange Server. 1.3.3 Analyse de base de données à la demande Puisque l'exécution d'une analyse complète de la base de données de la boîte de courriel dans un environnement de grande taille pourrait avoir comme résultat de charger inutilement le système, vous pouvez sélectionner les bases de données et les boîtes de courriel qui seront spécifiquement analysées. Pour un filtrage plus exhaustif des cibles d'analyse, vous pouvez spécifier l'horodateur des messages à analyser afin de minimiser les répercussions sur les ressources du système du serveur. Les types d'éléments suivants sont analysés à fois dans les dossiers Publics et dans les Boîtes de courriel de l'utilisateur : Courriel Publier Élément du calendrier (réunions/rendez-vous) Tâches Contacts Journal À l'aide de la liste déroulante, vous pouvez sélectionner les messages que vous voulez analyser selon leur horodateur. Par exemple, vous pourriez sélectionner les messages qui ont été modifiés au cours de la dernière semaine. Vous pouvez aussi choisir d'analyser tous les messages au besoin. Sélectionnez la case à cocher située à côté de l'option Analyser le corps des messages pour activer ou désactiver l'analyse du corps des messages. Cliquez sur Modifier pour sélectionner le dossier public à analyser. 8 9 Cochez la ou les cases à côté des Bases de données du serveur et des Boîtes de courriel que vous voulez analyser. L'option Filtre vous permet de rechercher rapidement des Bases de données et des Boîtes de courriel, surtout votre infrastructure Exchange contient un grand nombre de boîtes de courriel. Cliquez sur Enregistrer pour enregistrer vos cibles d'analyse et vos paramètres dans le profil Analyse à la demande. 1.4 Types de protection Il existe trois types de protection : Protection antivirus Protection antipourriel Application des règles définies par l'utilisateur 1.4.1 Protection antivirus La protection antivirus est l'une des fonctions de base de ESET Mail Security . La protection antivirus protège le système des attaques malveillantes en contrôlant les échanges de fichiers et de courrier, ainsi que les communications Internet. Si une menace impliquant un programme malveillant est détectée, le module Antivirus peut alors l'éliminer en la bloquant, puis en nettoyant, en supprimant ou en mettant en Quarantaine l'objet infecté. 1.4.2 Protection antipourriel La protection antipourriel intègre plusieurs technologies (RBL, DNSBL, pistage par empreinte numérique unique, vérification de la réputation, analyse du contenu, filtre bayésien, règles, ajout manuel à la liste blanche et à la liste noire, etc.) pour détecter le plus grand nombre possible de menaces par courriel. Le moteur d'antipourriel antipourriel génère une valeur de probabilité sous la forme d'un pourcentage (0 à 100) pour chaque courriel analysé. peut aussi utiliser la méthode de la Liste grise (désactivée par défaut) pour le filtrage du pourriel. Cette technique s'appuie sur la spécification RFC 821 qui énonce que puisque SMTP est un protocole de communication non fiable, tout agent de transfert de messages (MTA) devrait tenter, à plusieurs reprises, de remettre un message après un échec temporaire de remise. Bon nombre de pourriels sont livrés une fois à une liste d'adresses de courriel groupés qui est générée automatiquement. La liste grise calcule une valeur de contrôle (algorithme de hachage) pour l'adresse de l'expéditeur de l'enveloppe, l'adresse du destinataire de l'enveloppe et l'adresse IP du MTA de l'expéditeur. Si le serveur ne peut trouver de valeur de contrôle pour ce triplet dans sa propre base de données, il 10 refusera le message et enverra un code d'échec temporaire (par exemple 451). Un serveur légitime retentera la livraison du message après un certain délai (variable). La valeur de contrôle du triplet sera alors ajoutée à la base de données des connexions vérifiées lors de la deuxième tentative, ce qui permettra aux messages présentant les caractéristiques appropriées de pouvoir être ensuite remis au destinataire. 1.4.3 Application des règles définies par l'utilisateur La protection basée sur des règles est disponible pour fins d'analyse tant avec VSAPI que l'agent de transport. Vous pouvez utiliser l'interface utilisateur de ESET Mail Security pour créer des règles individuelles pouvant aussi être combinées. Si une règle utilise plusieurs conditions, ces conditions seront liées à l'aide de l'opérateur logique ET. Par conséquent, la règle ne sera exécutée que si toutes les conditions sont remplies. Si plusieurs règles sont crées, l'opérateur logique OU sera appliqué, ce qui signifie que le programme exécutera la première règle auxquelles satisfont les conditions. Dans la séquence d'analyse, la première technique utilisée est l'ajout à la liste grise - si elle est activée. Les procédures suivantes exécuteront toujours les techniques suivantes : protection basée sur des règles définies par l'utilisateur, suivie d'une analyse antivirus et, en dernier lieu, de l'analyse antipourriel. 1.5 Interface utilisateur possède une interface utilisateur graphique (IUG) conçue pour être aussi intuitive que possible. Elle offre aux utilisateurs un accès rapide et facile aux principales fonctions du programme. En plus de l'IUG principale, la Fenêtre de configuration avancée est accessible de n'importe où dans le programme en appuyant sur la touche F5. À partir de la fenêtre Configuration avancée, vous pouvez configurer les paramètres et les options selon vos besoins. Voici les catégories présentées dans le menu de gauche : Server, Ordinateur, Mise à jour, Web et courriel, Contrôle de périphériques, Outils et Interface utilisateur. Certaines catégories principales contiennent des souscatégories. Lorsque vous cliquez sur un élément (catégorie ou sous-catégorie) dans le menu de gauche, les paramètres respectifs pour cet élément sont affichés dans la fenêtre de droite. Pour plus de détails sur l'IUG, cliquez ici. 1.6 Géré par l'entremise de ESET Remote Administrator ESET Remote Administrator (ERA) est une application qui vous permet de gérer des produits ESET dans un environnement en réseau à partir d'un emplacement central. Le système de gestion de tâches d'ESET Remote Administrator vous permet d'installer les solutions de sécurité d'ESET sur des ordinateurs distants et de répondre rapidement à de nouveaux problèmes et de nouvelles menaces. ESET Remote Administrator n'offre aucune protection contre du code malveillant, mais plutôt se repose sur la présence des solutions de sécurité ESET sur chaque client. Les solutions de sécurité ESET prennent en charge les réseaux constitués de plusieurs types de plateformes. Votre réseau peut accueillir une combinaison de systèmes d'exploitation Microsoft, Linux et de Mac OS courants exécutés sur les appareils mobiles (téléphones cellulaires et tablettes). 11 L'image ci-dessous montre un exemple d'architecture de réseau protégé par les solutions de sécurité ESET gérées par ERA : REMARQUE : Pour plus de détails sur ERA, consultez l'Aide en ligne ESET Remote Administrator. 1.6.1 Serveur ERA Le serveur ESET Remote Administrator est un composant principal d'ESET Remote Administrator. Il s'agit de l'application exécutive qui traite toutes les données reçues des clients qui se connectent au serveur (par l'intermédiaire de l'Agent ERA). L’agent ERA facilite la communication entre le client et le serveur. Les données (journaux client, configuration, reproduction de l'agent, etc.) sont stockées dans une base de données. Pour traiter correctement les données, le serveur ERA nécessite une connexion stable à un serveur de base de données. Nous vous recommandons d'installer le serveur ERA et votre base de données sur des serveurs distincts afin d'optimiser les performances. La machine sur laquelle le serveur ERA est installé doit être configurée pour accepter les connexions Agent/Mandataire/RD Sensor qui sont vérifiées à l'aide des certificats. Une fois le serveur ERA installé, vous pouvez ouvrir la Console Web ERA qui se connecte au serveur ERA (voir la figure). Toutes les opérations associées au serveur ERA pourront ensuite être effectuées à partir de la Console Web au moment de gérer la solution de sécurité ESET au sein de votre réseau. 12 1.6.2 Console Web Console Web ERA est une interface utilisateur Web qui affiche les données tirées du Serveur ERA et permet de gérer les solutions de sécurité ESET dans votre environnement. Vous pouvez utiliser votre navigateur pour accéder à la Console Web. Elle affiche un aperçu de l'état des clients sur votre réseau. Elle peut être utilisée pour déployer à distance des solutions ESET sur des ordinateurs non gérés. Si vous décidez de rendre le serveur Web accessible par Internet, il vous sera avantageux de pouvoir utiliser ESET Remote Administrator presque partout et avec n'importe quel appareil qui a accès à une connexion Internet active. Voici à quoi ressemble le tableau de bord de la Console Web : La barre supérieure de la Console Web affiche l'outil Recherche rapide. Sélectionnez Nom de l'ordinateur, Adresse IPv4/IPv6 ou Nom de la menace à partir du menu déroulant, tapez votre chaîne de recherche dans la zone de texte, puis cliquez sur le symbole de la loupe ou appuyez sur Entrée pour lancer la recherche. Vous serez redirigé vers la section Groupes dans laquelle sera affiché le résultat de la recherche - un client ou une liste de clients. Tous les clients sont gérés par l'entremise de la cConsole Web. Vous pouvez accéder à la Console Web à l'aide des appareils et des navigateurs les plus courants. REMARQUE : Pour plus de détails, consultez l'Aide en ligneESET Remote Administrator . 13 1.6.3 Agent Agent ERA est un composant essentiel du produit ESET Remote Administrator. Un produit ESET sur une machine client (par exemple, ESET Endpoint Security pour Windows) communique avec serveur ERA par l'intermédiaire de l'agent. Cette communication permet la gestion des produits ESET sur tous les clients distants à partir d'un emplacement central. L'agent recueille des informations sur le client et les envoie au serveur. Si le serveur envoie une tâche au client, elle est envoyée à l'agent qui l'envoie à son tour au client. Toutes les communications du réseau ont lieu entre l'agent et la partie supérieure du réseau ERA - Serveur et Mandataire. REMARQUE : Pour en savoir plus, consultez l'Aide en ligne ESET Remote Administrator. L'agent ESET utilise l'une des trois méthodes suivantes pour se connecter au serveur : 1. L'agent du client est directement connecté au serveur. 2. L'agent du client est connecté par l'intermédiaire d'un mandataire qui est connecté au serveur. 3. L'agent du client est connecté au serveur grâce à plusieurs mandataires. L'agent ESET communique avec les solutions ESET installées sur un client, recueille des données à partir des programmes sur ce client et transmet les données de configuration reçues du serveur au client. REMARQUE : Le mandataire ESET possède son propre agent qui s'occupe de toutes les tâches de communication entre les clients, les autres mandataires et le serveur. 1.6.4 RD Sensor RD (Rogue Detection) Sensor est un outil de recherche des ordinateurs se trouvant sur le réseau. RD Sensor est un composant d'ESET Remote Administrator et sert à détecter les machines sur votre réseau. Il offre un moyen pratique d'ajouter de nouveaux ordinateurs à ESET Remote Administrator sans devoir les rechercher et les ajouter manuellement. Chaque ordinateur trouvé sur votre réseau est affiché dans la Console Web. À partir d'ici, vous pouvez entreprendre d'autres actions à appliquer aux ordinateur client de manière individuelle. RD Sensor est un auditeur passif qui détecte les ordinateurs présents sur le réseau et envoie des informations à leur sujet au serveur ERA. Le serveur ERA détermine ensuite si les ordinateurs personnels trouvés sur le réseau lui sont inconnus ou s'ils sont déjà gérés. REMARQUE : Pour plus de détails, consultez l'Aide en ligne ESET Remote Administrator. 1.6.5 Mandataire Mandataire ERA est un autre composant de ESET Remote Administrator qui remplit deux fonctions. Dans le cas d'un réseau de taille moyenne ou d'une entreprise avec de nombreux clients (par exemple, 10 000 clients ou plus), vous pouvez utiliser le mandataire ERA pour répartir la charge entre plusieurs mandataires ERA, facilitant le travail du Serveur ERA principal. Un autre avantage du mandataire ERA est que vous pouvez l'utiliser lors de la connexion à une succursale distante dotée d'une faible connexion. Cela signifie que sur?chaque client, l'agent ERA ne se connecte pas directement au serveur ERA principal par l'intermédiaire du mandataire ERA, qui se trouve sur le même réseau local que la succursale. Cela libère ainsi la connexion vers la succursale. Le mandataire ERA accepte des connexions provenant de tous les agents ERA locaux, avant de cumuler les données et de les téléverser sur le serveur ERA principal (ou un autre mandataire ERA). Cela permet à votre réseau d'accueillir un plus grand nombre de clients sans compromettre les performances de votre réseau ni la qualité des requêtes de la base de données. Selon la configuration de votre réseau, il est possible qu'un mandataire ERA se connecte à un autre mandataire ERA, puis se connecte au serveur ERA principal. Pour que le mandataire ERA fonctionne correctement, l'ordinateur hôte sur lequel vous installez le Mandataire ERA doit être doté d'un Agent ESET et doit être connecté au niveau supérieur (Serveur ERA ou un Mandataire ERA supérieur, s'il en existe un) de votre réseau. REMARQUE : Pour un exemple de scénario de déploiement du Mandataire ERA, consultez l'Aide en ligne d'ESET Remote Administrator. 14 2. Configuration minimale requise Systèmes d'exploitation pris en charge : Microsoft Windows Server 2003 SP2 (x86 et x64) Microsoft Windows Server 2003 R2 (x86 et x64) Microsoft Windows Server 2008 (x86 et x64) Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Small Business Server 2003 (x86) Microsoft Windows Small Business Server 2003 R2 (x86) Microsoft Windows Small Business Server 2008 (x64) Microsoft Windows Small Business Server 2011 (x64) REMARQUE : La version minimale du SE pris en charge est Microsoft Windows Server 2003 SP2. Versions de Microsoft Exchange Server prises en charge : Microsoft Exchange Server 2003 SP1, SP2 Microsoft Exchange Server 2007 SP1, SP2, SP3 Microsoft Exchange Server 2010 SP1, SP2, SP3 Microsoft Exchange Server 2013 CU2, CU3, CU4 (SP1), CU5, CU6, CU7, CU8 Microsoft Exchange Server 2016 La configuration du matériel dépend de la version du système d'exploitation utilisé. Veuillez lire la documentation du produit de Microsoft Windows Server pour obtenir plus de détails sur la configuration matérielle requise. 15 3. Installation Après l'achat, le programme d'installation de ESET Mail Security, peut être téléchargé du site web d'ESET (www.eset.com) comme paquet .msi. Veuillez noter que vous devez exécuter le fichier d'installation à partir du compte Administrateur intégré ou d'un compte Administrateur de domaine (dans le cas où votre compte Administrateur intégré local est désactivé). Tout autre utilisateur, malgré le fait qu'il soit membre du groupe Administrateurs, n'aura pas des droits d'accès suffisants. Vous devez donc utiliser le compte Administrateur intégré, car vous ne pourrez pas terminer l'installation si vous utilisez un compte autre que celui d'Administrateur de domaine ou local. Il y a deux façons d'exécuter le fichier d'installation : Vous pouvez ouvrir localement une session en utilisant les identifiants du compte Administrateur, puis exécuter le fichier d'installation. Vous pouvez avoir ouvert une session avec les identifiants d'un autre utilisateur, mais vous devez ouvrir l'invite de commandes avec Exécuter comme... et entrer les identifiants du compte Administrateur pour que cmd fonctionne en mode Administrateur. Vous devez ensuite entrer la commande pour exécuter le fichier d'installation (soit msiexec /i emsx_nt64_ENU.msi , mais vous devez remplacer emsx_nt64_ENU.msi par le nom de fichier exact du fichier d'installation msi que vous avez téléchargé) Une fois le programme d'installation lancé et lorsque vous aurez accepté le Contrat de licence d'utilisation (CLU), l'assistant d'installation vous guidera dans le processus de configuration à effectuer. Si vous choisissez de ne pas accepter les termes du contrat de licence, l'assistant ne pourra poursuivre. Complète Le type d'installation recommandé. Il installera toutes les fonctionnalités de ESET Mail Security. Une fois le type d'installation choisi, vous ne pourrez que préciser les dossiers dans lesquels installer le produit ou simplement accepter les dossiers d'installation prédéfinis par défaut (recommandé). Le paquet d'installation installe automatiquement toutes les fonctionnalités du programme. Installation personnalisée L'installation personnalisée vous permet de choisir les fonctionnalités de ESET Mail Security qui seront installées sur votre système. Vous verrez une liste type des fonctionnalités et composants dans laquelle vous choisirez les éléments à installer. En plus de l'installation par l'entremise de l'assistant, vous pouvez également choisir l'installation silencieuse de ESET Mail Security par l'entremise de la ligne de commande. Ce type d'installation n'exige aucune interaction comme lorsque vous utilisez l'assistant indiqué ci-dessus. Ce type d'installation est utile à des fins d'automatisation ou de simplification. Ce type d'installation est aussi appelé sans assistance, car il n'invite pas l'utilisateur à effectuer des actions. Installation si licencieuse / sans assistance Installation complète par l'entremise de la ligne de commande : msiexec /i <packagename> /qn /l*xv msi.log REMARQUE : Il est fortement recommandé que vous installiez ESET Mail Security sur un système d'exploitation nouvellement configuré et installé, si possible. Cependant, si vous devez l'installer sur un système existant, le mieux à faire consiste à désinstaller la version antérieure de ESET Mail Security, à redémarrer le serveur et à installer par la suite la nouvelle version de ESET Mail Security. REMARQUE : Si vous avez déjà utilisé un logiciel antivirus tiers sur votre système, nous vous recommandons de le désinstaller complètement avant d'installer ESET Mail Security. Pour ce faire, vous pouvez utiliser Outil de suppression AV ESET, ce qui facilitera la désinstallation. 16 3.1 <%Étapes d'installation de%> PRODUCTNAME Voici les étapes à suivre pour installer ESET Mail Security à l'aide de l'Assistant de configuration : Après avoir accepté le CLUF, sélectionnez un des types d'installation suivants : Complète - Installer toutes les fonctionnalités de ESET Mail Security. C'est le type d'installation recommandé. Personnalisée - Sélectionnez quelles fonctionnalités de ESET Mail Security qui seront installées sur votre système. 17 Installation complète : Aussi appelée « installation intégrale ». Cela installera tous les composants ESET Mail Security. Vous devrez ensuite sélectionner l'emplacement où ESET Mail Security sera installé. Par défaut, le programme est installé dans C: \Program Files\ESET\ESET Mail Security. Cliquez sur Parcourir pour modifier la destination (non recommandé). REMARQUE : Dans Windows Server 2008 et Windows Server 2008 R2, l'installation du composant Web et courriel est désactivé par défaut. Pour installer ce composant, sélectionnez Personnalisé comme type d'installation. REMARQUE : Dans le cas où vous planifiez utiliser use Quarantaine locale pour les courriels et que vous ne voulez pas stocker les fichiers de courriel mis en quarantaine sur votre C: lecteur, remplacez le chemin d'accès du Dossier de données par le lecteur et l'emplacement de votre choix. Cependant, rappelez-vous que tous les fichiers de données ESET Mail Security seront stockés à cet emplacement. Installation personnalisée : Vous permet de choisir les fonctionnalités qui seront installées. Utile lorsque vous voulez personnaliser ESET Mail Security en choisissant seulement les composants dont vous avez besoin. 18 Vous pouvez ajouter ou supprimer des composants inclus dans votre installation. Pour ce faire, vous pouvez exécuter le progiciel d'installation msi utilisé lors de l'installation initiale ou atteindre Programmes et fonctionnalités (accessible à partir du Panneau de configuration Windows). Cliquez à droite sur ESET Mail Security et sélectionnez Modifier. Voici les étapes à suivre pour ajouter ou supprimer des composants. Processus de modification des composants (Ajouter/supprimer), Réparer et Supprimer : Trois options sont disponibles. Vous pouvez Modifier les composants installés, Réparer votre installation de ESET Mail Security ou le Supprimer (désinstaller) complètement. 19 Si vous choisissez Modifier, une liste de tous les composants du programme disponibles s'affichera. Choisissez les composants que vous voulez ajouter ou supprimer. Vous pouvez ajouter/supprimer plusieurs composants en même temps. Cliquez sur le composant et sélectionnez une option dans le menu déroulant : Une fois que vous avez sélectionné une option, cliquez sur Modifier pour appliquer les modifications. REMARQUE : Vous pouvez modifier les composants en tout temps en exécutant le programme d'installation. La plupart des composants n'exigent pas un redémarrage du serveur pour appliquer les modifications. L'IUG redémarrera et vous ne verrez que les composants que vous avez choisi d'installer. Pour l'installation de composants qui nécessitent un redémarrage du serveur, Windows Installer vous invitera à redémarrer et les nouveaux composants seront accessibles une fois que la connexion du serveur aura été rétablie. 3.1.1 Installation de la ligne de commande Les paramètres suivants devraient être utilisés uniquement avec les niveaux d'interface utilisateur Réduit, De base et Aucun. Voir la documentation pour la version msiexec utilisée pour les commutateurs de ligne de commande appropriés. Paramètres pris en charge : APPDIR=<path> o chemin d'accès - Chemin de répertoire valide o Répertoire d'installation de l'application. o Par exemple : emsx_nt64_ENU.msi /qn APPDIR=C:\ESET\ APPDATADIR=<path> o chemin d'accès - Chemin de répertoire valide o Répertoire d'installation des données de l'application. MODULEDIR=<path> o chemin d'accès - Chemin de répertoire valide o Répertoire d'installation du module. 20 ADDLOCAL=DocumentProtection ADDEXCLUDE=<list> o La liste ADDEXCLUDE est une liste séparée par des virgules du nom de toutes les fonctionnalités qui ne seront pas installées, comme remplacement au REMOVE devenu obsolète. o Lors de la sélection d'une fonctionnalité à installer, tout le chemin (c'est-à-dire toutes les sous-fonctionnalités) et les fonctionnalités parentes invisibles doivent être explicitement inclus dans la liste. o Par exemple : ees_nt64_ENU.msi /qn ADDEXCLUDE=Firewall,Network REMARQUE: Les ADDEXCLUDE ne peut pas être utilisé de concert avec ADDLOCAL. ADDLOCAL=<list> o Installation du composant - liste des fonctionnalités non-obligatoires à installer localement. o Utilisation avec les progiciels .msi ESET : emsx_nt64_ENU.msi /qn ADDLOCAL=<list> o Pour en savoir plus sur la propriété ADDLOCAL, voir http://msdn.microsoft.com/en-us/library/aa367536% 28v=vs.85%29.aspx Règles o La liste ADDLOCAL est une liste séparée par des virgules de tous les noms de fonctionnalité à installer. o Lors de la sélection d'une fonctionnalité à installer, tout le chemin d'accès (toutes les fonctionnalités parentes) doit être explicitement inclus dans la liste. o Voir les règles supplémentaires pour en faire une bonne utilisation. Présence de la fonctionnalité o Obligatoire - La fonctionnalité sera toujours installée o Facultative - La fonctionnalité peut être non cochée lors de l'installation o Invisible - La fonctionnalité logique est obligatoire pour le bon fonctionnement des autres fonctionnalités o Paramètre fictif - La fonctionnalité est présente sans avoir aucun effet sur le produit, mais doit être listé parmi les sous-fonctionnalités L'arbre des fonctionnalités Arbre des fonctionnalités Nom de la fonctionnalité Présence de la fonctionnalité Ordinateur Ordinateur/Antivirus et anti-logiciel espion Ordinateur/Antivirus et anti-logiciel espion/Protection en temps réel du système de fichiers Ordinateur/Antivirus et anti-logiciel espion/Analyse de l'ordinateur Ordinateur/Antivirus et anti-logiciel espion/Protection des documents Ordinateur/Contrôle des appareils Réseau Réseau/Coupe-feu personnel Web et courriel Web et filtrage au niveau du protocole courriel Web et courriel/Protection de l'accès Web Web et courriel/Protection des clients de messagerie Ordinateur Antivirus Protectionentempsréel Obligatoire Obligatoire Obligatoire Analyser Obligatoire Protectiondesdocuments Facultative Web et courriel/Protection des clients de messagerie/ Modules d'extension de courriel Web et courriel/Protection du client de messagerie/ Protection antipourriel Web et courriel/Contrôle Web Miroir de mise à jour Prise en charge de Microsoft NAP Contrôledesappareils Facultative Réseau Paramètre fictif Coupe-feu Facultative Webetcourriel Paramètre fictif Filtrageauniveauduprotocole Invisible Protectiondel'accèsWeb Facultative Protectionduclientdemessager Facultative ie Modulesd'extensionducourriel Invisible Antipourriel Facultative ContrôleWeb Miroirdemiseàjour MicrosoftNAP Facultative Facultative Facultative Règles supplémentaires 21 o Si l'une des fonctionnalités Web et courriel est sélectionnée pour l'installation, la fonctionnalité invisible Filtrageauniveauduprotocole doit être explicitement incluse dans la liste. o Si l'une des sous-fonctionnalités Protectionduclientdemessagerie est sélectionnée pour l'installation, la fonctionnalité invisible Modulesd'extensiondecourriel doit être explicitement incluse dans la liste Exemples : efsw_nt64_ENU.msi /qn ADDLOCAL=WebAndEmail,WebAccessProtection,ProtocolFiltering efsw_nt64_ENU.msi /qn ADDLOCAL=WebAndEmail,EmailClientProtection,Antispam,MailPlugins Liste des CFG_ propriétés : CFG_POTENTIALLYUNWANTED_ENABLED=1/0 • 0 - Désactivée, 1 - Activée CFG_LIVEGRID_ENABLED=1/0 • 0 - Désactivée, 1 - Activée • LiveGrid FIRSTSCAN_ENABLE=1/0 • 0 - Désactiver, 1 - Activer • Planifier une nouvelle analyse FirstScan après l'installation. CFG_EPFW_MODE=0/1/2/3 • 0 - Automatique, 1 - Interactif, 2 - Politique, 3 - Apprentissage CFG_PROXY_ENABLED=0/1 • 0 - Désactivé, 1 - Activé CFG_PROXY_ADDRESS=<ip> • Adresse IP du mandataire. CFG_PROXY_PORT=<port> • Numéro de port mandataire. CFG_PROXY_USERNAME=<user> • Nom d'utilisateur pour fins d'authentification. CFG_PROXY_PASSWORD=<pass> • Mot de passe pour l'authentification. 22 3.2 Activation du produit Une fois l'installation terminée, vous serez invité à activer votre produit. Sélectionnez l'une des méthodes offertes pour activer ESET Mail Security. Voir Comment activer ESET Mail Security pour plus de renseignements. Après avoir réussi l'activation de ESET Mail Security, la fenêtre principale du programme ouvrira et affichera votre état actuel dans la page Surveillance. La fenêtre principale du programme affichera aussi des notifications sur d'autres éléments, comme les mises à jour du système (Windows Updates) ou de la banque de données de virus. Lorsque tous les éléments qui requièrent votre attention ont été vérifiés, l'état de surveillance deviendra vert et affichera le message « Maximum protection ». 3.3 Serveur de terminal Si vous avez installé ESET Mail Security sur Windows Server utilisé comme serveur de terminal, vous pourriez vouloir désactiver l'interface graphique de ESET Mail Security pour l'empêcher de démarrer chaque fois qu'un utilisateur ouvre une session. Voir Désactiver l'interface graphique sur le serveur de terminal pour connaître les étapes précises à effectuer pour désactiver l'IUG. 23 3.4 Outil de suppression d'antivirus ESET Pour supprimer/désinstaller un logiciel antivirus tiers de votre système, nous vous recommandons d'utiliser l'Outil de suppression d'antivirus ESET. Pour ce faire, suivez les étapes suivantes : 1. Téléchargez l'Outil de suppression d'antivirus ESET à partir de la page de téléchargement Fonctionnalités sur le site Web ESET. 2. Cliquez sur J'accepte, démarrez la recherche pour accepter le CLU et commencez à faire une recherche sur votre système. 3. Cliquez sur Lancer le désinstallateur pour supprimer le logiciel antivirus Pour obtenir une liste de logiciels antivirus tiers qui peuvent être supprimés à l'aide de l'Outil de suppression d'antivirus ESET, voir cet article de la Base de connaissances. 3.5 Mise à niveau vers une version plus récente De nouvelles versions de ESET Mail Security sont fournies afin d'apporter des améliorations ou de corriger des problèmes qui ne peuvent être réglés par la mise à jour automatique des modules du programme. Il est possible d'effectuer une mise à niveau à partir des versions plus anciennes de ESET Mail Security (4.5 et versions antérieures), même s'il s'agit d'une mise à niveau vers une architecture différente. Vous pouvez d'effectuer la mise à niveau vers une version plus récente : Effectuer la mise à niveau manuelle en téléchargeant et en installant une version plus récente par-dessus votre version actuelle. Exécuter simplement le programme d'installation et effectuer une installation comme à l'habitude, ESET Mail Security transférera automatiquement votre configuration actuelle, mais avec quelques exceptions (voir la remarque ci-dessous). IMPORTANT : Il existe quelques exceptions lors de la mise à niveau; ce ne sont pas tous vos paramètres qui seront conservés, notamment les Règles. Cela est en raison de la fonctionnalité des Règles qui a été complètement modifiée dans la version ESET Mail Security en ayant recours à une approche différente. Les Règles des versions antérieures de ESET Mail Security ne sont pas compatibles avec les Règles dans la version ESET Mail Security 6. Nous vous recommandons de configurer les Règles manuellement, cela vous sera également utile. Voici une liste des paramètres qui seront conservés à partir des versions antérieures de ESET Mail Security : Configuration générale de ESET Mail Security. Paramètres de la protection antipourriel : Tous les paramètres qui sont identiques dans les versions antérieures; les nouveaux paramètres seront réglés aux valeurs par défaut. Listes blanches et listes noires. REMARQUE : Après avoir mis votre ESET Mail Security à niveau, nous vous recommandons de parcourir tous les paramètres pour vous assurer que le produit est configuré correctement et en fonction de vos besoins. 24 3.6 Rôles du serveur Exchange - Edge et Hub Les fonctionnalités antipourriel d'Edge Transport et de Hub Transport Servers sont désactivées par défaut. Ceci est la configuration désirée dans une organisation Exchange avec un serveur Edge Transport. Il est recommandé que le serveur de Transport Edge exécutant la protection antipourriel de ESET Mail Security soit configuré afin de filtrer les messages avant qu'ils ne soient acheminés vers l'organisation Exchange. Le rôle Edge, cependant, est l'endroit de choix pour l'analyse antipourriel, parce qu'il permet à ESET Mail Security de rejeter le pourriel tôt dans le processus sans charger inutilement les couches du réseau. Grâce à cette configuration, les messages entrants seront filtrés par ESET Mail Security sur le serveur Transport Edge pour qu'ainsi, ils puissent être déplacés vers le serveur Transport Hub sans devoir être filtrés de nouveau. Cependant, si votre organisation n'utilise pas de serveur Edge Transport et ne possède qu'un serveur Hub Transport, nous vous recommandons d'activer les fonctionnalités antipourriel du serveur Hub Transport qui reçoit les messages entrants d'Internet par l'entremise du protocole SMTP. 3.7 Rôles Exchange Server 2013 L'architecture de Exchange Server 2013 est différente de celle des versions antérieures de Microsoft Exchange. Depuis l'introduction d'Exchange 2013, CU4 (qui est, en fait, SP1 pour Exchange 2013) a réintroduit le rôle de serveur Edge Transport. Si vous avez l'intention de protéger Microsoft Exchange 2013 en utilisant ESET Mail Security, assurez-vous d'installer ESET Mail Security sous un système exécutant Microsoft Exchange 2013 avec le rôle de serveur Boîte de messagerie ou Edge Transport. Il existe une exception si vous avez l'intention d'installer ESET Mail Security sous Windows Server pour petites entreprises ou de doter Microsoft Exchange 2013 de plusieurs rôles sur un seul serveur. Dans ce cas, tous les rôles Exchange s'exécutent sur le même serveur. Ainsi, ESET Mail Security offrira une protection complète, incluant une protection des serveurs de courriel. Si vous installez ESET Mail Security sous un système qui exécute le rôle de serveur Client Access seulement (serveur CAS dédié), les fonctionnalités les plus importantes de ESET Mail Security seront désactivées - plus particulièrement les fonctionnalités du serveur de courriel. Dans ce cas, il n'y a que la protection en temps réel du système de fichiers et certains composants qui appartiennent à la Protection de l'ordinateur qui seront fonctionnels. Les serveurs de courriel ne seront pas protégés. Pour cette raison, il n'est pas recommandé d'installer ESET Mail Security sur un serveur avec le rôle de serveur Client Access. Cela ne s'applique pas à Windows Server pour petites entreprises et Microsoft Exchange avec plusieurs rôles sur le même ordinateur, tel que mentionné précédemment. REMARQUE: En raison de certaines restrictions techniques de Microsoft Exchange 2013, ESET Mail Security ne prend pas en charge le rôle Client Access Server (CAS). Cela ne s'applique pas à Windows Server pour petites entreprises ou Microsoft Exchange installé sur un seul serveur avec tous les rôles de serveur - dans ce cas, vous pouvez exécuter ESET Mail Security avec le rôle CAS sur le serveur, puisque le serveur de Boîte de messagerie et le serveur Edge Transport sont protégés. 3.8 Connecteur POP3 et protection antipourriel Les versions Microsoft Windows Small Business Server (SBS) contiennent un connecteur POP3 natif intégré qui permet au serveur d'obtenir des messages électroniques provenant de serveurs POP3 externes. L'implémentation de ce connecteur Microsoft POP3 natif varie d'une version SBS à une autre. prend en charge le connecteur Microsoft SBS POP3, à condition qu'il soit configuré correctement. Les messages téléchargés via le connecteur Microsoft POP3 sont analysés pour détecter la présence de pourriels. La protection antipourriel pour ces messages est possible car le connecteur POP3 retransmet les messages électroniques depuis un compte POP3 vers le serveur Microsoft Exchange, via SMTP. a été testé avec des services de messagerie populaires comme Gmail.com, Outlook.com, Yahoo.com, Yandex.com et gmx.de sur les systèmes SBS suivants : 25 Microsoft Windows Small Business Server 2003 R2 Microsoft Windows Small Business Server 2008 Microsoft Windows Small Business Server 2011 IMPORTANT : Si vous utilisez le connecteur Microsoft SBS POP3 intégré et que tous vos messages électroniques sont analysés pour détecter la présence de pourriels, allez à Configuration avancée, Serveur > Protection du transport du courriel > Paramètres avancés et pour le paramètre Analyser également les messages reçus des connexions authentifiées ou internes, sélectionnez Analyse par la protection antivirus et anti-logiciel espion à partir de la liste déroulante. Cela fait en sorte que la protection antipourriel est assurée sur les courriels provenant de comptes POP3. Vous pouvez également utiliser un connecteur POP3 tiers comme P3SS (plutôt que le connecteur Microsoft SBS POP3 intégré). ESET Mail Security a été testé sur les systèmes suivants (en utilisant un connecteur P3SS pour obtenir des messages provenant de Gmail.com, Outlook.com, Yahoo.com, Yandex.com et gmx.de): Microsoft Windows Small Business Server 2003 R2 Microsoft Windows Server 2008 avec Exchange Server 2007 Microsoft Windows Server 2008 R2 avec Exchange Server 2010 Microsoft Windows Server 2012 R2 avec Exchange Server 2013 26 4. Guide pour débutants Ce chapitre présente un aperçu de ESET Mail Security, des principaux éléments du menu, des fonctionnalités et des paramètres de base. 4.1 L'interface utilisateur La fenêtre principale de ESET Mail Security est divisée en deux sections principales. La fenêtre principale, du côté droit, affiche l'information qui correspond à l'option sélectionnée à partir du menu principal de gauche. Voici une description des différentes sections su menu principal : Surveillance - Donne des renseignements sur l'état de protection de ESET Mail Security, l'état de la licence, la dernière mise à jour de la banque de données de virus, les statistiques et les renseignements de base à propos du système. Fichiers journaux - Accède aux fichiers journaux qui contiennent des renseignements sur tous les événements importants qui sont survenus. Ces fichiers donnent un aperçu des menaces détectées ainsi que des autres événements liés à la sécurité. Analyse - Permet de configurer et de lancer les fonctions suivantes : Analyse de la mémoire, Analyse intelligente, Analyse personnalisée ou Analyse des supports amovibles. Vous pouvez aussi répéter la dernière analyse exécutée. Quarantaine de courriel - Pour gérer facilement les courriels mis en quarantaine. Ce gestionnaire Quarantaine de courriel est commun aux trois types - Quarantaine locale, Boîte de courriel de mise en quarantaine et Quarantaine MS Exchange. Mise à jour - Affiche des renseignements à propos de la banque de données de virus et une notification vous informant qu'une mise à jour est offerte. L'activation du produit peut aussi s'effectuer à partir de cette section. Configuration - Permet de régler les paramètres du serveur et de l'ordinateur. Outils - Donne des renseignements supplémentaires à propos du système et de la protection, et offre des outils qui vous aident à mieux gérer votre sécurité. Voici les éléments présentés dans la section Outils : Processus en cours, Regarder l'activité, Collecteur de journal ESET, Statistiques sur la protection, Grappe, ESET Shell, ESET SysInspector, ESET SysRescue Live pour créer un CD ou une clé USB de sauvetage et Planificateur. Vous pouvez aussi Soumettre un échantillon pour fins d'analyse et vérifier votre Quarantaine. Aide et soutien - Offre un lien vers les pages d'aide, la Base de connaissances ESET et d'autres outils de soutien. Des liens pour ouvrir une demande de soutien pour le Service à la clientèle et des renseignements sur l'activation du produit sont également offerts. L'état de la protection indiqué dans la section Surveillance vous informe au sujet du niveau de protection actuel de votre ordinateur. L'état vert Protection maximale indique que la protection maximale est assurée. La fenêtre d'état affiche également des liens rapides vers les fonctions fréquemment utilisées dans ESET Mail Security et des renseignements sur la dernière mise à jour. Que faire lorsque le programme ne fonctionne pas correctement? Les modules qui fonctionnent correctement sont marqués d'une coche verte. Les modules qui ne fonctionnent pas complètement sont marqués d'un point d'exclamation rouge ou d'une icône de notification orange. Des informations supplémentaires sur le module s'affichent dans la partie supérieure de la fenêtre. Une suggestion de solution pour corriger le module est également affichée. Pour changer l'état de chacun des modules, cliquez sur Configuration dans le menu principal puis sur le module souhaité. 27 L'icône rouge signale des problèmes critiques - la protection maximale de votre ordinateur n'est pas assurée. Cet état est affiché lorsque L La protection antivirus et anti-logiciel espion est désactivée - Vous pouvez réactiver la protection antivirus et antilogiciel espion en cliquant sur Activer la protection en temps réel dans le panneau État de la protection ou sur Activer la protection antivirus et anti-logiciel espion dans le panneau Configuration de la fenêtre principale du programme. Vous utilisez une base de données de signatures de virus périmée. Le produit n'est pas activé. Votre licence est expirée - Pour vous le signaler, l'icône d'état de la protection devient rouge. Une fois la licence expirée, le programme ne pourra plus effectuer de mise à jour. Il est recommandé de suivre les instructions indiquées dans la fenêtre d'alerte pour renouveler votre licence. L'icône orange avec un point d'exclamation (!) indique que votre produit ESET nécessite une attention pour un problème non critique. Les raisons possibles sont : Protection de l'accès Web désactivée - Vous pouvez réactiver la protection de l'accès Web en cliquant sur la notification de sécurité, puis en sélectionnant Activer la protection de l'accès Web. Votre licence expirera bientôt - Pour vous le signaler, l'icône d'état de la protection affiche un point d'exclamation. Une fois votre licence expirée, le programme ne pourra plus se mettre à jour et l'icône de l'état de protection du logiciel deviendra rouge. Si vous ne pouvez régler un problème à l'aide des solutions suggérées, cliquez sur Aide et soutien pour accéder aux fichiers d'aide ou effectuez une recherche dans la Base de connaissances ESET. Si vous avez besoin d'aide, vous pouvez également soumettre une demande d'assistance à la clientèle ESET. Les spécialistes d'ESET répondront rapidement à vos questions et essaieront de trouver une solution à votre problème. Pour afficher l'État de la protection, cliquez sur l'option du haut, dans le menu principal. Un résumé de l'état de fonctionnement de ESET Mail Security s'affichera dans la fenêtre principale, avec un sous-menu comprenant deux options, soit : Surveiller l'activité et les Statistiques. Sélectionnez l'une de ces options pour obtenir plus de détails sur votre système. Lorsque ESET Mail Security est exécuté avec toutes ses fonctionnalités, l'icône État de la Protection devient vert. Lorsque votre attention est requise, elle devient orange ou rouge. Cliquez sur Surveiller l'activité pour voir un graphique qui montre en temps réel l'activité du système de fichiers (axe horizontal). L'axe vertical présentera, quant à lui, la quantité de données lues (ligne bleue) et la quantité de données écrites (ligne rouge). Le sous-menu Statistiques vous permet de voir le nombre d'objets infectés, nettoyés et propres dans un module particulier. Vous pouvez faire votre choix parmi un certain nombre de modules que vous pourrez sélectionner dans la liste déroulante. 28 4.2 Fichiers journaux Les fichiers journaux contiennent de l'information sur les événements importants qui ont eu lieu et donnent un aperçu des menaces détectées. Les journaux sont des outils essentiels pour l'analyse du système, la détection des menaces et le dépannage. Elle est toujours active à l'arrière-plan, sans interaction de l'utilisateur. Les données sont enregistrées en fonction des paramètres de verbosité. Il est possible de consulter les messages texte et les journaux directement à partir de l'environnement ESET Mail Security ou de les exporter pour les afficher ailleurs. Les fichiers journaux sont accessibles à partir de la fenêtre principale du programme en cliquant sur Fichiers journaux. Sélectionnez le type de journal souhaité dans le menu déroulant. Les journaux suivants sont disponibles : Menaces détectées - Le journal des menaces offre des renseignements détaillés sur les infiltrations détectées par les modules ESET Mail Security. Cela inclut l'heure de détection, le nom de l'infiltration, l'emplacement, l'action exécutée et le nom de l'utilisateur connecté au moment où l'infiltration a été détectée. Double-cliquez sur une entrée du journal pour afficher ses détails dans une fenêtre séparée. Événements - Toutes les actions importantes exécutées par ESET Mail Security sont enregistrées dans le journal des événements. Le journal des événements contient de l'information sur les événements qui sont survenus dans le programme. Il permet aux administrateurs système et aux utilisateurs de résoudre des problèmes. Cela peut souvent permettre de trouver une solution à un problème qui s'est produit dans le programme. Analyse d'ordinateur - Tous les résultats d'analyse s'affichent dans cette fenêtre. Chaque ligne correspond à un seul contrôle d'ordinateur. Double-cliquez sur n'importe quelle entrée pour afficher les détails de l'analyse correspondante. HIPS - Contient les enregistrements de règles particulières marquées pour enregistrement. Le protocole affiche l'application ayant appelé l'opération, le résultat (si la règle a été autorisée ou non) et le nom de la règle créée. 29 Sites Web filtrés - Une liste de sites Web ayant été bloqués par la protection de l'accès Web. Ces journaux permettent de voir le moment, l'URL, l'utilisateur et l'application ayant établie une connexion au site Web en question. Contrôle de périphériques - Contient les enregistrements relatifs aux supports amovibles ou appareils qui étaient connectés à l'ordinateur. Seuls les périphériques liés à une règle de contrôle des périphériques seront inscrits dans le fichier journal. Si un périphérique connecté ne satisfait pas le critère de la règle, aucune entrée journal ne sera créée à la connexion de ce périphérique. Vous pouvez aussi y voir différents détails, comme le type de périphérique, le numéro de série, le nom du fournisseur et la taille du support (si elle est disponible). Analyse de la base de données - Contient la version de la base de données des signatures de virus, la date, l'emplacement analysé, du nombre d'objets analysés, de menaces trouvées et d'occurrences, et la durée de l'analyse. Protection du serveur de courriel - Tous les messages catégorisés par ESET Mail Security comme étant des pourriels ou des pourriels potentiels sont inscrits ici. Ces journaux s'appliquent aux types de protection suivants : Antipourriel, Règles et Antivirus. Greylisting - Tous les messages évalués à l'aide de la méthode d'ajout à la liste grise sont inscrits ici. Vous pouvez copier les données affichées dans chacune des sections dans le presse-papiers (en utilisant le raccourci clavier Ctrl + C) en sélectionnant l'entrée souhaitée, puis cliquez sur Copier. Pour sélectionner plusieurs entrées, vous pouvez utiliser les touches CTRL et MAJ. Cliquez sur l'icône de l'interrupteur pourrez définir les critères de filtrage. Filtrage pour ouvrir la fenêtre Filtrage des journaux dans laquelle vous Vous pouvez afficher le menu contextuel en faisant un clic droit sur une entrée particulière. Les options suivantes sont disponibles dans le menu contextuel : Afficher - Affiche des renseignements plus détaillés sur le journal sélectionné dans une nouvelle fenêtre (comme avec le double-clic). Filtrer les mêmes dossiers - Active le filtrage des journaux et affiche exclusivement les entrées de même type que celle qui a été sélectionnée. Filtrer... - Après avoir cliqué sur cette option, la fenêtre Filtrage des journaux permet de définir les critères de filtrage à utiliser pour des entrées particulières du journal. Activer le filtre - Active les paramètres du filtre. La première fois que vous filtrez des journaux, vous devez définir vos critères de filtrage. Une fois qu'ils ont été configurés, les mêmes critères s'appliqueront jusqu'à vous les modifiiez. Copier - Copie l'information du ou des enregistrements sélectionnés ou surlignés dans le presse-papier. Copier tout - Copie l'information sur tous les enregistrements affichés dans la fenêtre. Supprimer - Supprime le ou les enregistrements sélectionnés/surlignés - cette action nécessite des privilèges administrateur. Supprimer tout - Supprime tous les renseignements dans la fenêtre - cette action exige des privilèges administrateur. Exporter... - Exporte l'information contenue dans les enregistrements sélectionnés ou surlignés dans un fichier XML. Exporter tout... - Exporte toute les informations dans la fenêtre dans un fichier XML. Rechercher... - Ouvre la fenêtre Trouver dans le journal et vous permet de définir les critères de recherche. Cible le contenu qui a déjà été filtré, ce qui ajoute un autre moyen de restreindre les résultats. Rechercher l'occurrence suivante - Recherche la prochaine occurrence en fonction de la recherche déjà définie (ci-dessus). Rechercher l'occurrence précédente - Recherche l'occurrence précédente en fonction de la recherche déjà définie (ci-dessus). Supprimer les enregistrements diagnostics - Supprime tous les enregistrements diagnostics dans la fenêtre. Faire défiler le journal - Laissez cette option cochée pour activer le défilement automatique des anciens journaux et afficher les journaux actifs, dans la fenêtre Fichiers journaux. 30 4.2.1 Journal d’analyses La fenêtre du journal d'analyse affiche l'état actuel de l'analyse ainsi que de l'information sur le nombre de fichiers contenant des programmes malveillants trouvés. Vous pouvez copier les données affichées dans chacune des sections dans le Presse-papiers (en utilisant le raccourci clavier Ctrl + C), puis en sélectionnant l'entrée souhaitée et en cliquant sur Copier. Pour sélectionner plusieurs entrées, vous pouvez utiliser les touches CTRL et MAJ. Cliquez sur l'icône de l'interrupteur pourrez définir les critères de filtrage. Filtrage pour ouvrir la fenêtre Filtrage des journaux dans laquelle vous 31 Vous pouvez afficher le menu contextuel en cliquant à l'aide du bouton droit de la souris sur une entrée particulière. Les options suivantes sont disponibles dans le menu contextuel : Filtrer les mêmes dossiers - Active le filtrage des journaux et affiche exclusivement les entrées de même type que celle qui a été sélectionnée. Filtrer...- Après avoir cliqué sur cette option, la fenêtre Filtrage des journaux permet de définir les critères de filtrage à utiliser pour des entrées particulières du journal. Activer le filtre - Active les paramètres du filtre. La première fois que vous filtrez des journaux, vous devez définir vos critères de filtrage. Une fois qu'ils ont été configurés, les mêmes critères s'appliqueront jusqu'à vous les modifiiez. Désactiver le filtre - Désactive le filtrage (comme lorsque vous cliquez sur l'interrupteur dans le bas). Cette option n'est disponible que lorsque le filtrage est activé. Copier - Copie l'information du ou des enregistrements sélectionnés ou surlignés dans le presse-papier. Copier tout - Copie l'information sur tous les enregistrements affichés dans la fenêtre. Exporter... - Exporte l'information contenue dans les enregistrements sélectionnés ou surlignés dans un fichier XML. Exporter tout... - Exporte toute les informations dans la fenêtre dans un fichier XML. Rechercher... - Ouvre la fenêtre Trouver dans le journal et vous permet de définir les critères de recherche. Cible le contenu qui a déjà été filtré, ce qui ajoute un autre moyen de restreindre les résultats. Rechercher l'occurrence suivante - Recherche la prochaine occurrence en fonction de la recherche déjà définie (ci-dessus). Rechercher l'occurrence précédente - Recherche l'occurrence précédente en fonction de la recherche déjà définie (ci-dessus). 32 4.3 Analyser L'analyseur à la demande est un élément important de ESET Mail Security. Il permet d'analyser les fichiers et répertoires stockés sur votre ordinateur. Pour votre sécurité, il est essentiel que l'ordinateur soit analysé non seulement en cas de suspicion d'une infection, mais aussi régulièrement dans le cadre de mesures de sécurité routinières. Nous vous recommandons d'effectuer régulièrement (par exemple, une fois par mois) des analyses en profondeur de votre système pour détecter les virus non détectés par la Protection en temps réel du système de fichier. Cela peut arriver si la protection en temps réel du système de fichier a été désactivée à un moment, si la base de données de virus est obsolète ou si le fichier n'a pas été détecté comme un virus au moment où il a été enregistré sur le disque. Deux types d'Analyse de l'ordinateur sont disponibles. L'analyse intelligente analyse rapidement le système sans exiger de reconfiguration des paramètres d'analyse. L'analyse personnalisée vous permet, quant à elle, de sélectionner l'un des profils d'analyse prédéfinis ainsi que de choisir les cibles particulières de l'analyse. Voir la section Progression de l'analyse pour plus de détails sur le processus d'analyse. Database scan Lets you run On-demand database scan. You can choose Public folders, Mail Servers and Mailboxes to scan. Also, you can use Planificateur to run the database scan at a specific time or at an event. NOTE: If you are running Microsoft Exchange Server 2007 or 2010 you can choose between Protection de la base de données de courriels and Analyse de la base de données à la demande. However, only one protection type out of these two can be active at a time. If you decide to use On-demand database scan you'll need to disable integration of Mailbox database protection in Advanced setup under Serveur. Otherwise On-demand database scan will not be available. Analyse des unités de stockage Analyse tous les dossiers partagés sur le serveur local. Si l'Analyse du stockage n'est pas disponible, cela signifie 33 qu'il n'y a aucun dossier partagé sur votre serveur. Analyse Hyper-V Cette option n'est visible dans le menu que si Hyper-V Manager est installé sur le serveur qui exécute ESET Mail Security. L'analyse Hyper-V permet de faire l'analyse des disques de la Machine virtuelle (MV) sur le serveur Microsoft Hyper-V sans avoir besoin d'installer des « agents » sur la MV en question. Voir Analyse Hyper-V pour en savoir plus (incluant des systèmes et des limitations opérés par l'hôte supportant les listes). Analyse intelligente L'analyse intelligente vous permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers infectés sans intervention de l'utilisateur. L'avantage de l'analyse intelligente est qu'elle est facile à utiliser et n'exige pas une configuration détaillée de l'analyse. Cette vérification analyse tous les fichiers sur les disques durs locaux et nettoie ou supprime automatiquement les infiltrations détectées. Le niveau de nettoyage est automatiquement réglé à sa valeur par défaut. Pour plus de détails sur les types de nettoyage, consultez la rubrique Nettoyage. Analyse personnalisée L'analyse personnalisée est une solution optimale si vous souhaitez préciser des paramètres d'analyse tels que les cibles et les méthodes d'analyse. L'avantage de l'analyse personnalisée est la possibilité de configurer les paramètres de manière détaillée. Les configurations peuvent être enregistrées comme des profils d'analyse définis par l'utilisateur, ce qui peut être utile pour effectuer régulièrement une analyse avec les mêmes paramètres. Pour sélectionner les cibles à analyser, sélectionnez Analyse de l'ordinateur > Analyse personnalisée puis sélectionnez une option à partir du menu déroulant Cibles à analyser ou de certaines cibles particulières dans la structure de l'arborescence. Une cible d'analyse peut aussi être indiquée en entrant le chemin du dossier ou des fichiers à inclure. Si vous ne voulez qu'analyser le système sans effectuer de nettoyage supplémentaire, sélectionnez Analyser sans nettoyer. Pendant une analyse, vous pouvez aussi choisir parmi trois niveaux de nettoyage en cliquant sur Configuration > ThreatSenseParamètres > Nettoyage. L'exécution des analyses personnalisées est recommandée seulement pour les utilisateurs avancés ayant une expérience antérieure avec l'utilisation de programmes antivirus. Analyse des supports amovibles Semblable à l'analyse intelligente - lance rapidement une analyse des supports amovibles (comme les CD/DVD/ USB) actuellement connectés à l'ordinateur. Cela peut être utile lorsque vous connectez une clé USB à un ordinateur et que vous souhaitez l'analyser pour y rechercher les logiciels malveillants et autres menaces potentielles. Ce type d'analyse peut aussi être lancé en cliquant sur Analyse personnalisée, puis sur Supports amovibles dans le menu déroulant Cibles à analyser, avant de cliquer sur Analyser. Répéter la dernière analyse utilisée Exécute la dernière analyse effectuée, quelle qu'elle soit (stockage, intelligente, personnalisée, etc.), avec exactement les mêmes paramètres. REMARQUE : La répétition de la dernière fonction d'analyse n'est pas disponible si l'option Analyse de la base de données à la demande est présente. REMARQUE : Il est recommandé d'exécuter une analyse de l'ordinateur au moins une fois par mois. Cette analyse peut être configurée comme tâche planifiée dans Outils > Planificateur. 34 4.3.1 Analyse Hyper-V L'analyse antivirus Hyper-V vous offre la possibilité d'analyser les disques d'un Serveur Microsoft Hyper-V, c'est-àdire une machine virtuelle (MV), sans avoir à installer des agents sur la MV en question. L'antivirus est installé en utilisant les privilèges Administrateur du serveur Hyper-V. L'analyse Hyper-V est dérivée du module d'analyse d'ordinateur à la demande, alors que certaines fonctionnalités n'ont pas été implémentées (analyse de la mémoire vive). Systèmes d'exploitation pris en charge Windows Server 2008 R2 - Les machines virtuelles peuvent être analysées seulement lorsqu'elles sont hors ligne Windows Server 2012 Windows Server 2012 R2 Configuration matérielle La performance du serveur ne devrait pas être affectée lors de l'exécution de machines virtuelles. L'analyse en soi utilise presque seulement les ressources de l'UC. Lors de l'analyse en ligne, de l'espace disque libre est requis sur la MV. L'espace disque libre (prêt à être utilisé) doit être au moins le double de l'espace utilisé par les points de reprise/captures d'écran et les disques virtuels. Limitations spécifiques L'analyse sur stockage RAID, des volumes fractionnés et des disques dynamiques n'est pas prise en charge en raison de la nature des disques dynamiques. Par conséquent, il est recommandé d'éviter d'utiliser les disques dynamiques dans votre MV, si possible. L'analyse est toujours exécutée sur la machine virtuelle actuelle seulement. Elle n'a aucune conséquence sur ses points de reprise/captures d'écran. L'exécution d'Hyper-V sur un hôte dans la grappe n'est actuellement pas prise en charge par ESET Mail Security. Les machines virtuelles sur un hôte qui fonctionne sous Windows Server 2008 R2 peuvent être analysées seulement en mode de lecture seule (Aucun nettoyage), sans égard au niveau de nettoyage sélectionné dans les ThreatSense paramètres. REMARQUE : prend en charge l'analyse du disque virtuel MBR. Cependant, l'analyse s'exécute en lecture seule seulement. L'analyse du MBR s'exécute par défaut. Il est possible de modifier ce paramètre dans Configuration avancée > Antivirus > Analyse Hyper-V > ThreatSense paramètres > Secteurs d'amorçage. La machine virtuelle qui doit être analysée est « hors ligne » - mise en Arrêt ESET Mail Securityutilise Gestion Hyper-V pour détecter et se connecter aux disques virtuels des machines virtuelles. Ainsi, ESET Mail Security a le même accès au contenu des disques virtuels, comme s'il accédait aux données et aux fichiers de n'importe quel lecteur générique. La machine virtuelle qui doit être analysée est « en ligne » - En cours d'exécution, Suspendue, Enregistrée ESET Mail Securityutilise Gestion Hyper-V pour détecter et se connecter aux disques virtuels des machines virtuelles. La connexion en cours à ces disques est impossible. Par conséquent, ESET Mail Security crée un point de reprise ou une capture d'écran de la machine virtuelle, puis se connecte au point de reprise ou à la capture d'écran. Une fois l'analyse terminée, le point de reprise ou la capture d'écran est supprimé. Cela indique que l'analyse en lecture seule peut être exécutée, parce que la machine virtuelle, qui est en ligne, demeure entière. Cela est utile pour obtenir un aperçu des éléments infectés sur les machines virtuelles en cours d'exécution et pour afficher les détails sur ces infections, le cas échéant. La création d'une capture d'écran est un processus lent qui peut prendre de quelques secondes à une minute pour se terminer. Cela devrait être pris en considération quand vous planifiez l'exécution d'une analyse Hyper-V sur un plus grand nombre de machines virtuelles. Convention de dénomination Le module d'Analyse Hyper-V est conforme à la convention de dénomination suivante : VirtualMachineName\DiskX\VolumeY 35 où X qui représente le nombre de disques et Y, le nombre de volumes. Par ex. : "Computer\Disk0\Volume1". Le suffixe numérique est ajouté en fonction de l'ordre de détection, qui est identique à l'ordre qui apparaît dans le Gestionnaire de disques de la MV. La convention de dénomination est utilisée dans la liste arborescente des cibles qui doivent être analysées, dans la barre de progression, ainsi que dans les fichiers journaux. Effectuer une analyse Une analyse peut être effectuée de 3 façons : À la demande - Si vous cliquez sur l'option Analyse Hyper-V dans le menu de ESET Mail Security, vous verrez une liste des machines virtuelles disponibles pouvant être analysées (s'il y a lieu). Il s'agit d'une liste arborescente dont l'entité de plus bas niveau pouvant être analysée est un volume, ce qui signifie qu'il est impossible de choisir un répertoire ou un fichier à analyser; plutôt, le volume en entier doit être analysé. Afin d'afficher les volumes disponibles, il faut se connecter aux disques virtuels en question. Cela peut prendre quelques secondes. Une option plus rapide consiste à marquer une machine virtuelle ou ses disques qui doivent être analysés. Une fois que vous avez marqué les machines virtuelles, les disques ou les volumes à analyser, cliquez sur le bouton Analyser. À l'aide du planificateur À l'aide d'ERA en tant que tâche client nommée Analyse du serveur. L'élément de plus bas niveau pouvant être analysé est le disque d'une machine virtuelle. Il est possible d'effectuer plusieurs analyses Hyper-V en même temps. Une fois l'analyse terminée, une notification sur cette dernière est affichée, ainsi que le lien Afficher le journal, grâce auquel vous pouvez revoir les détails de l'analyse terminée. Tous les journaux d'analyse se trouvent dans la section Fichiers journaux de ESET Mail Security, mais vous devez sélectionner Analyse Hyper-V dans le menu déroulant pour afficher les journaux qui y sont liés. Problèmes possibles Lors de l'analyse d'une machine virtuelle en ligne, un point de reprise ou une capture d'écran de la machine virtuelle en en question doit être créé et, lors de la création d'un point de reprise ou d'une capture d'écran, certaines actions génériques de la machine virtuelle pourraient être restreintes ou désactivées. Si une machine virtuelle hors ligne est analysée, elle ne peut être mise en marche tant que l'analyse n'est pas terminée. Gestionnaire Hyper-V vous permet de donner le même nom à deux machines virtuelles différentes, ce qui peut être problématique lorsque vous voulez différencier les machines en consultant les journaux d'analyse. 4.4 Quarantaine de courriel Le gestionnaire de Quarantaine de courriel est offert avec les trois types de Quarantaine : Quarantaine locale Boîte de courriel de mise en quarantaine Quarantaine de MS Exchange REMARQUE : Le lien interface Web de la Quarantaine de courriel est une alternative au gestionnaire de Quarantaine de courriel qui vous permet de gérer les objets courriel mise en quarantaine. Filtrage o Durée - Vous pouvez sélectionner la durée dans laquelle les courriels sont affichés (par défaut, 1 semaine). Lorsque vous modifiez la Durée, les éléments dans Quarantaine de courriel sont automatiquement rechargés. o Filtre - Vous pouvez utiliser la zone de texte pour filtrer les courriels affichés (la recherche s'applique à toutes les colonnes). REMARQUE : La mise à jour du gestionnaire de la Quarantaine de courriel ne s'effectue pas automatiquement. Nous 36 vous recommandons de cliquer sur Actualiser dans la Quarantaine de courriel. de façon régulière pour afficher les éléments les plus courants Action o Libérer - Libère le courriel vers le ou les destinataires à l'aide du répertoire Replay et le supprimer de la quarantaine. Cliquez sur Oui pour confirmer l'action. o Supprimer - Supprimer l'élément de la quarantaine. Cliquez sur Oui pour confirmer l'action. Détails des courriels mis en quarantaine - double cliquez sur le message mis en quarantaine ou faites un clic droit, puis sélectionnez Détails, une fenêtre contextuelle s'ouvrira, affichant les détails sur le message mis en quarantaine. Vous pouvez également obtenir de plus amples renseignements sur ce courriel dans l'en-tête du courriel RFC. 37 Ces options sont également offertes dans le menu contextuel. Au besoin, cliquez sur Libérer, Supprimer ou Supprimer définitivement pour entreprendre une action relativement à un courriel mis en quarantaine. Cliquez sur Oui pour confirmer l'action. Si vous choisissez Supprimer définitivement, le message sera aussi supprimé du système de fichiers, contrairement à l'option Supprimer qui supprimera l'élément de la vue du gestionnaire de la Quarantaine de courriel. 4.4.1 Détails des courriels mis en quarantaine Cette fenêtre contient de l'information au sujet des messages mis en quarantaine comme le Type, la Raison, l'Objet, l'Expéditeur, les Destinataires SMTP, Destinataire, CC, la Date, les Fichiers joints et les En-têtes. Vous pouvez sélectionner, copier et coller les en-têtes au besoin. Vous pouvez choisir l'action à prendre concernant les messages mis en quarantaine, à l'aide des boutons suivants : o Libérer - libère le courriel vers le ou les destinataires d'origine à l'aide du répertoire Replay et le supprime de la quarantaine. Cliquez sur Oui pour confirmer l'action. o Supprimer - supprime l'élément de la quarantaine. Cliquez sur Oui pour confirmer l'action. Cliquez sur le bouton Annuler pour fermer la fenêtre des détails des courriels mis en quarantaine. 38 4.5 Mettre à jour La mise à jour régulière de ESET Mail Security constitue la meilleure méthode pour maintenir le niveau maximal de sécurité pour votre ordinateur. Le module de mise à jour veille à ce que le programme soit toujours à jour de deux façons : en mettant à jour la banque de données de virus et celle des composants système. En cliquant sur Mettre à jour dans la fenêtre principale du programme, vous pourrez obtenir l'état actuel des mises à jour, y compris la date et l'heure de la dernière mise à jour réussie et si une nouvelle mise à jour est requise. La fenêtre principale contient également la version de la banque de données de virus. Cet indicateur numérique est un lien actif vers le site Web ESET qui permet de voir toutes les signatures ajoutées pendant cette mise à jour. Pour lancer le processus de mise à jour, cliquez sur Mettre à jour maintenant. Mettre à jour la banque de données de virus et les composants du programme est un élément important pour assurer une protection totale contre les attaques des programmes malveillants. Dernière mise à jour réussie - Date de la dernière mise à jour. Assurez-vous qu'il s'agit d'une date récente indiquant que la banque de données de virus est à jour. Version de la banque de données de virus - Le numéro de la banque de données de virus, qui est également un lien actif vers le site Web ESET. Cliquez pour afficher la liste de toutes les signatures ajoutées à une mise à jour donnée. Processus de mise à jour Le processus de téléchargement débutera lorsque vous aurez cliqué sur Mettre à jour maintenant. Vous pourrez voir la progression de la mise à jour. Pour interrompre la mise à jour, cliquez sur Annuler la mise à jour. IMPORTANT : Dans des circonstances normales, lorsque les mises à jour sont téléchargées correctement, le message Une mise à jour n'est pas nécessaire - la base de données des signatures de virus est à jour s'affiche dans la fenêtre Mise à jour. Si ce n'est pas le cas, le programme n'est pas à jour et est donc plus vulnérable à une infection. Assurez-vous de mettre à jour la base de données des signatures de virus dès que possible. Dans d'autres 39 circonstances, l'un des messages d'erreur suivants s'affiche : La base de données des signatures de virus n'est plus à jour - Cette erreur apparaît après plusieurs tentatives infructueuses de mise à jour de la base de données des signatures de virus. Nous recommandons de vérifier les paramètres de mise à jour. La cause la plus courante de cette erreur est une entrée incorrecte des données d'authentification ou une configuration incorrecte des paramètres de connexion. La notification précédente a trait aux deux messages Échec de mise à jour de la banque de données de virus sur les mises à jour infructueuses : Licence non valide - La clé de licence contient une erreur dans la configuration des mises à jour. Veuillez vérifier vos données d'authentification. La fenêtre Paramètres avancés (appuyez sur la touche F5 de votre clavier) contient des options de mise à jour supplémentaires. Cliquez sur Aide et soutien > Gérer les licences à partir du menu principal pour entrer une nouvelle clé de licence. Une erreur est survenue pendant le téléchargement des fichiers de mise à jour - Des paramètres de connexion Internet incorrects sont une cause possible de cette erreur. Nous vous recommandons de vérifier votre connectivité à Internet en ouvrant un site Web dans votre navigateur. Si le site Web ne s'ouvre pas, il est probable qu'aucune connexion à Internet ne soit établie ou que votre ordinateur ait des problèmes de connectivité. Consultez votre fournisseur de services Internet si vous ne disposez pas d'une connexion Internet active. REMARQUE : Pour de plus amples renseignements, veuillez lire cet article de la Base de connaissance ESET. 4.5.1 Configuration de la mise à jour de la banque de données de virus La mise à jour de la base des signatures de virus et des composants du programme est un aspect important qui permet d’assurer une protection complète contre les attaques par les programmes malveillants. Il faut donc accorder une grande attention à sa configuration et à son fonctionnement. À partir du menu principal, allez à Mettre à jour, puis cliquez sur Mettre à jour maintenant pour vérifier la disponibilité d'une base de données des signatures plus récente. Vous pouvez configurer les paramètres de mise à jour à partir de la fenêtre Configuration avancée (appuyez sur la touche F5 de votre clavier). Pour configurer les options avancées de mise à jour comme le mode de mise à jour, l'accès au serveur mandataire, la connexion par réseau local et les paramètres de copie des signatures de virus (miroir), cliquez sur Mettre à jour dans la fenêtre Configuration avancée à gauche. Si vous éprouvez des problèmes avec la mise à jour, cliquez sur Effacer le cache pour supprimer les dossiers temporaires de mise à jour. Par défaut, le menu Mettre à jour le serveur est réglé à AUTOSELECT. AUTOSELECT signifie que le serveur de mise à jour, depuis lequel sont téléchargées les mises à jour des signatures de virus, sera sélectionné automatiquement. Nous recommandons de ne pas modifier l'option par défaut. Si vous ne voulez pas que la barre de notification du système apparaisse dans le coin inférieur droit de l'écran, sélectionnez Désactiver la notification à propos des mises à jour réussies. Le programme doit être mis à jour automatiquement pour assurer un fonctionnement optimal. Cela n'est possible que si la Clé de licence appropriée est entrée dans Aide et assistance > Activer la licence. Si vous n'avez pas activé votre produit après l'installation, vous pouvez le faire à tout moment. Pour plus de détails sur l'activation, consultez la section Comment activer ESET Mail Security, puis entrez les données d'authentification de licence que vous avez reçues avec votre produit de sécurité ESET dans la fenêtre Détails de la licence. 40 4.5.2 Configuration du serveur mandataire des mises à jour Si vous utilisez un serveur mandataire pour contrôler la connexion à Internet à partir d'un système sur lequel ESET Mail Security est installé, les paramètres du mandataire doivent être réglés dans le réglage avancé. Pour accéder à la fenêtre de configuration du serveur mandataire, appuyez sur la touche F5 pour ouvrir la fenêtre Configuration avancée, puis cliquez sur Mise à jour > Mandataire HTTP. Sélectionnez Connexion par un serveur mandataire à partir du menu déroulant mode Mandataire et complétez les détails de votre serveur mandataire : Serveur mandataire (adresse IP), numéro de Port et Nom d'utilisateur et Mot de passe (le cas échéant). Si vous avez des doutes quant aux détails du serveur mandataire, vous pouvez essayer de détecter automatiquement votre serveur mandataire en sélectionnant Utiliser les paramètres de serveur mandataire généraux à partir de la liste déroulante. REMARQUE : Les options du serveur mandataire peuvent varier selon les profils de mise à jour. Si tel est le cas, configurez les différents profils de mise à jour dans Configuration avancée en cliquant sur Mettre à jour > Profil. 4.6 Configuration Le menu de configuration comporte trois onglets : Serveur Ordinateur Outils 4.6.1 Serveur ESET Mail Security offre une protection à votre serveur grâce à des fonctionnalités essentielles comme : antivirus et anti-logiciel espion, bouclier résident (protection en temps réel), protection de l'accès Web et protection du client de messagerie. Vous pouvez obtenir plus de détails sur chaque type de protection dans la section ESET Mail Security - Ordinateur. La fonctionnalité Exclusions automatiques identifie les applications serveur critiques et les fichiers du système d'exploitation du serveur et les ajoute automatiquement à la liste des Exclusions. Elle minimisera le risque de conflits potentiels et augmentera la performance globale du serveur sur lequel s'exécute un logiciel antivirus. Pour configurer la Grappe ESET, cliquez sur Assistant de la grappe. Pour plus de détails sur l'utilisation de l'assistant de configuration de la Grappe ESET, cliquez ici. Antivirus protection - guards against malicious system attacks by controlling file, email and Internet communication. Antispam protection - integrates several technologies (RBL, DNSBL, Fingerprinting, Reputation checking, Content analysis, Bayesian filtering, Rules, Manual whitelisting/blacklisting, etc.) to achieve maximum detection of email threats. 41 Si vous voulez définir les options plus en détail, cliquez sur Configuration avancée ou appuyez sur F5. On trouve également des options supplémentaires au bas de la fenêtre de configuration. Pour charger les paramètres de configuration à l'aide d'un fichier de configuration .xml ou pour enregistrer les paramètres de configuration actuels dans un fichier de configuration, utilisez l'option Importer/Exporter les paramètres. Veuillez consulter la section Importer/Exporter les paramètres pour plus de détails. 4.6.2 Ordinateur ESET Mail Security possède tous les composants pour assurer une bonne protection du serveur comme un ordinateur. Chaque composant offre un type de protection spécifique, telle une protection : antivirus et antilogiciel espion, en temps réel du système de fichier, de l'accès Web, du client de messagerie, antihameçonnage, etc. La section Ordinateur se trouve sous Configuration > Ordinateur. Vous verrez une liste de composants que vous pouvez activer/désactiver en utilisant le commutateur . Pour configurer les paramètres d'un élément de la liste en particulier, cliquez sur la roue dentée . La Protection en temps réel du système de fichier offre aussi l'option Modifier les exclusions, qui ouvre la fenêtre des paramètres Exclusions, à partir de laquelle vous pouvez exclure des fichiers et des dossiers de l'analyse. Suspendre la protection antivirus et anti-logiciel espion - Chaque fois que vous désactivez temporairement la protection antivirus et anti-logiciel espion, vous pouvez sélectionner la durée pendant laquelle vous voulez que le composant sélectionnez soit désactivé en utilisant le menu déroulant puis en cliquant sur Appliquer pour désactiver le composant de sécurité. Pour réactiver la protection, cliquez sur Activer la protection antivirus et anti-logiciel espion. 42 La configuration de la protection du module Ordinateur vous permet d'activer ou de désactiver les composants suivants : Protection en temps réel du système de fichier - Tous les fichiers sont analysés à la recherche de programmes malveillants à leur ouverture, leur création ou leur exécution sur votre ordinateur. Protection des documents - La fonctionnalité de protection des documents analyse les documents Microsoft Office avant leur ouverture, ainsi que les fichiers téléchargés automatiquement par Internet Explorer, tels que les éléments Microsoft ActiveX. Contrôle de périphériques - Ce module vous permet d'analyser, de bloquer ou de régler les filtres ou les permissions étendus et de définir la capacité d'un utilisateur d'accéder à un périphérique donné et de travailler avec celui-ci. HIPS - Le système HIPS surveille les événements qui se produisent dans le système d'exploitation et réagit à ces derniers, en fonction d'un ensemble personnalisé de règles. Le mode Présentation - Une fonctionnalité destinée aux utilisateurs qui exigent une utilisation interrompue de leur logiciel, qui ne veulent pas être dérangés par des fenêtres contextuelles et qui veulent minimiser la charge sur l'UC. Un message d'avertissement s'affichera (risque potentiel à la sécurité) et la fenêtre principale deviendra orange après l'activation du Mode Présentation. Protection antivirus furtif - Assure la détection de programmes dangereux, comme les programmes malveillants furtifs, qui sont capable de se cacher du système d'exploitation. Ils sont donc impossibles à détecter avec les techniques de test ordinaires. Protection de l'accès Web - Si cette option est activée, tout le trafic HTTP est analysé à la recherche de logiciels malveillants. La protection du client de messagerie Surveille la communication effectuée par l'entremise des protocoles POP3 et IMAP. Protection anti-hameçonnage - Protège contre les tentatives de vol de vos mots de passe, de vos données bancaires et d'autres informations sensibles par des sites Web illégitimes déguisés en sites légitimes. REMARQUE : Protection des documents est désactivée par défaut. Vous pouvez cependant l'activer facilement en cliquant sur l'icône du commutateur. 43 On trouve également des options supplémentaires au bas de la fenêtre de configuration. Pour charger les paramètres de configuration à l'aide d'un fichier de configuration .xml ou pour enregistrer les paramètres de configuration actuels, utilisez l'option Importer/Exporter les paramètres. Veuillez consulter la section Importer/ Exporter les paramètres pour plus de détails. Si vous voulez définir les options plus en détail, cliquez sur Configuration avancée ou appuyez sur F5. 4.6.3 Outils Journalisation diagnostique - Pour configurer quelles composants écriront des journaux de diagnostic lorsque la journalisation diagnostique est activée. Lorsque vous cliquez sur l'interrupteur pour activer la journalisation diagnostique, vous pouvez choisir la durée de son activation (10 minutes, 30 minutes, 1 heure, 4 heures, 24 heures, jusqu'au prochaine redémarrage du serveur ou en permanence). Les composants qui n'apparaissent pas dans cet onglet écrivent toujours des journaux de diagnostic. Activer la Journalisation diagnostique pour la période de temps sélectionnée. 44 4.6.4 Importer et exporter les paramètres Pour importer et exporter des configurations de ESET Mail Security, cliquez sur Configuration en cliquant Importer/ Exporter des paramètres. L'importation et l'exportation utilisent tous deux des fichiers de type .xml. Ces fonctions sont utiles si vous devez faire une copie de sauvegarde de la configuration actuelle de ESET Mail Security pour pouvoir l'utiliser par la suite. Elles peuvent être utilisées ultérieurement afin d'appliquer les mêmes paramètres à d'autres ordinateurs. 45 4.7 Outils Le menu Outils comprend des modules qui contribuent à simplifier l'administration du programme et offrent des options supplémentaires. Ce menu comprend les outils suivants : Processus en cours Surveiller l'activité ESET Log Collector Statistiques de protection Grappe ESET Shell ESET SysInspector ESET SysRescue Live Planificateur Soumettre l'échantillon pour fins d'analyse Quarantaine 46 4.7.1 Processus en cours Processus en cours affiche les programmes ou processus en cours d'exécution sur votre ordinateur et s'assure qu'ESET est continuellement avisé des nouvelles infiltrations, et ce, dès qu'elles se produisent. ESET Mail Security donne de l'information détaillée sur les processus en cours d'exécution pour protéger les utilisateurs grâce à la technologie ESET Live Grid. Niveau de risque - Dans la plupart des cas, ESET Mail Security et la technologie ESET Live Grid affecte des niveaux de risque aux objets (fichiers, processus, clés de registre, etc.) à l'aide d'une série de règles heuristiques qui examinent les caractéristiques de chaque objet, puis pondèrent son potentiel d'activité nuisible. Sur la base de cette heuristique, un niveau de risque de sera attribué aux objets : 1 - Bon (vert) à 9 - Risqué (rouge). Processus - Nom de l'image du programme ou du processus actuellement en cours d'exécution sur votre ordinateur. Vous pouvez aussi utiliser le Gestionnaire des tâches de Windows pour afficher tous les processus en cours d'exécution sur votre ordinateur. Vous pouvez ouvrir le Gestionnaire des tâches en cliquant à droite dans une zone vide de la barre des tâches, puis sur Gestionnaire des tâches, ou vous pouvez également appuyer sur les touches Ctrl+Shift+Esc de votre clavier. PID - C'est un identifiant des processus s'exécutant sur les systèmes d'exploitation Windows. REMARQUE : Les applications connues marquées OK (vert) sont vraiment propres (ajoutées à la liste blanche) et seront exclues de l'analyse, puisque cela permettra d'améliorer la vitesse de l'analyse à la demande ou de la protection du système en temps réel sur votre ordinateur. Nombre d'utilisateurs - Le nombre d'utilisateurs qui utilisent une application donnée. Cette information est colligée par la technologie ESET Live Grid. Heure de découverte - Période depuis que l'application a été découverte par la technologie ESET Live Grid. REMARQUE : Lorsque l'application est marquée comme ayant un niveau de sécurité Inconnu (orange), elle ne contient pas obligatoirement de logiciels malveillants. Il s'agit généralement d'une application plus récente. Si vous 47 avez des doutes au sujet du fichier, utilisez la fonction Soumettre le fichier pour fins d'analyse pour envoyer le fichier au laboratoire ESET Virus Lab. Si le fichier se révèle être une application malveillante, sa détection sera ajoutée à l'une des prochaines mises à jour de la banque de données de virus. Nom de l'application - Le nom d'un programme ou d'un processus donné. En cliquant sur une application donnée indiquée au bas, l'information suivante s'affichera dans le bas de la fenêtre : Chemin - Emplacement d'une application sur votre ordinateur. Taille - Taille du fichier indiquée en Ko (kilooctets) ou en Mo (mégaoctets). Description - Caractéristiques du fichier, en fonction de la description provenant du système d'exploitation. Société - Nom du fournisseur ou du processus d'application. Version - Information de l'éditeur de l'application. Produit - Nom de l'application et/ou nom de l'entreprise. Date de création - Date et heure auxquelles une application a été créée. Date de modification - Date et heure auxquelles une application a été modifiée pour la dernière fois. REMARQUE : La vérification de la réputation peut également être effectuée sur des fichiers qui ne se comportent pas comme des programmes/processus en cours - marquez les fichiers à vérifier, cliquez à l'aide du bouton droit sur ceux-ci, puis dans le menu contextuel, sélectionnez Options avancées > Vérifier la réputation des fichiers à l'aide de ESET Live Grid. 48 4.7.2 Surveiller l'activité Pour l'Activité du système de fichiers et l'Activité du serveur de courriel sous forme de graphique, cliquez sur Outils > Surveiller l'activité. Elle affiche la quantité de données lues et écrites dans votre système sous la forme de deux graphiques. Au bas du graphique se trouve une chronologie qui enregistre l'activité du système de fichier en temps réel sur la base de l'intervalle de temps sélectionné. Pour changer la durée, utilisez le menu déroulant Taux de rafraîchissement. Les options suivantes sont disponibles : 1 seconde - Le graphique est actualisé toutes les secondes et la chronologie couvre les 10 dernières minutes. 1 minute (24 dernières heures) - Le graphique est actualisé toutes les minutes et la chronologie couvre les 24 dernières heures. 1 heure (dernier mois) - Le graphique est actualisé toutes les heures et la chronologie couvre le dernier mois. 1 heure (mois sélectionné) - Le graphique est actualisé toutes les heures et la chronologie couvre les derniers X mois sélectionnés. Cliquez sur le bouton Modifier le mois pour faire une autre sélection. L'axe vertical du Graphique d'activité du système de fichier représente la quantité de données lues (en bleu) et écrites (en rouge). Les deux valeurs sont exprimées en Ko (kilo-octets)/Mo/Go. Si vous faites glisser la souris sur les données lues ou écrites dans la légende sous le graphique, celui-ci n'affiche que les données relatives à ce type d'activité. 49 4.7.2.1 Sélection de la période Sélectionnez le mois (et l'année) correspondant à l'Activité du système de fichiers ou l'Activité du serveur de courriel que vous voulez afficher dans le graphique. 4.7.3 ESET Log Collector est une application qui collige automatiquement l'information, comme la configuration et les journaux de votre serveur, afin de résoudre plus rapidement les problèmes. Si vous avez ouvert un billet auprès du service à la clientèle ESET, l'on pourrait vous demander de fournir différents journaux enregistrés sur votre ordinateur. ESET Log Collector facilite la collecte des renseignements nécessaires. ESET Log Collector est accessible dans le menu principal en cliquant sur Outils > ESET Log Collector. Cochez les cases des journaux que vous voulez colliger. Si vous ne savez pas précisément quels journaux sélectionner, cochez toutes les cases (elles sont toutes cochées, par défaut). Spécifiez l'emplacement dans lequel enregistrer les fichiers d'archives, puis cliquez sur Enregistrer. Le nom de fichier de l'archive est prédéterminé. Cliquez sur Rassembler. Pendant l'étape de la collecte des journaux, vous pourrez voir les détails de l'opération, dans la fenêtre des journaux. Lorsque la collecte est terminée, tous les fichiers qui ont été rassemblés et archivés seront affichés. Cela signifie que la collecte est réussie et que le fichier d'archive (par exemple, emsx_logs.zip) a été enregistré dans l'emplacement indiqué. 50 Pour plus de détails sur ESET Log Collector et pour voir la liste des fichiers qu'ESET Log Collector collige, veuillez consulter la Base de connaissances ESET. 4.7.4 Statistiques de protection Pour afficher un graphique de données statistiques sur les modules de protection de ESET Mail Security, cliquez sur Outils > Statistiques de la protection. Sélectionnez le module de protection souhaité dans le menu déroulant pour afficher le graphique et la légende correspondants. Si vous pointez la souris sur un élément de la légende, seules les données correspondant à celui-ci sont représentées dans le graphique. 51 Les graphiques statistiques suivants sont disponibles : Protection antivirus et anti-logiciel espion - Affiche le nombre d'objets total infectés et nettoyés. Protection du système de fichiers - Affiche uniquement les objets lus ou écrits dans le système de fichiers. Protection du client de messagerie - Affiche uniquement les objets envoyés ou reçus par les clients de messagerie. Protection du serveur de courriel - Affiche les statistiques sur la protection antivirus et anti-logiciel espion du serveur de courriel. Protection de l'accès Web et antihameçonnage - Affiche les objets téléchargés par des navigateurs Web seulement. Protection antipourriel du client de messagerie - Affiche l'historique des statistiques de blocage du pourriel depuis le dernier démarrage. Protection de la liste grise du serveur de courriel - Comprend les statistiques sur l'antipourriel générées par la méthode d'ajout à la liste grise. Activité liée à la protection du serveur de courriel - Affiche les objets vérifiés, bloqués ou supprimés par le serveur de courriel. Performance de la protection du transport du courriel - Affiche les données traitées par VSAPI/Agent de transport en bits/seconde. Activité de protection de la base de données de la boîte de courriel - Affiche les objets traités par VSAPI (nombre d'objets vérifiés, mise en quarantaine et supprimés). Performance de la protection du transport du courriel - Affiche les données traitées par VSAPI (nombres des différentes moyennes pour Aujourd'hui, les Derniers 7 jours et les moyennes Depuis la dernière réinitialisation). À côté des graphiques statistiques, vous pouvez voir le nombre d'objets analysés, le nombre d'objets infectés, le nombre d'objets nettoyés et le nombre d'objets propres. Cliquez sur Réinitialiser pour effacer les informations statistiques ou cliquez sur Réinitialiser tout pour effacer et supprimer toutes les données existantes. 4.7.5 Grappe La Grappe ESET est une infrastructure de communication P2P utilisée par la gamme de produits ESET pour Microsoft Windows Server. Elle permet aux produits de serveur ESET de communiquer les uns avec les autres et d'échanger des données, y compris des configurations et des notifications, ainsi que de synchroniser les données requises pour le fonctionnement approprié d'un groupe d'instances de produits. Cela peut être, par exemple, un groupe de nœuds dans une grappe de basculement Windows ou une grappe d'équilibrage de la charge réseau (ÉCR) sur lequel un produit ESET est installé et dont il faut s'assurer que le produit sera configuré de la même façon dans l'ensemble de la grappe. Grappe ESET garantit l'uniformité entre les instances. REMARQUE : Les paramètres de l'interface utilisateur ne sont pas synchronisés entre les nœuds ESET Cluster. 52 Il est possible d'accéder à la page d'état de la Grappe ESET à partir du menu principal sous Outils > Grappe . Une fois la configuration réussie, voici à quoi la page d'état devrait ressembler : Pour configurer la Grappe ESET, cliquez sur Assistant de la grappe... Pour plus de détails sur l'utilisation de l'assistant de configuration de la Grappe ESET, cliquez ici. Lors de la configuration de la Grappe ESET, il existe deux moyens pour ajouter des nœuds - automatiquement en utilisant la grappe de basculement Windows/grappe d'équilibrage de la charge réseau existante ou manuellement, soit en recherchant les ordinateurs qui appartiennent à un groupe de travail ou à un domaine. Détection automatique - Détecte automatiquement les nœuds appartenant déjà à une grappe de basculement Windows/grappe d'équilibrage de la charge réseau et les ajoute à la Grappe ESET Parcourir - Vous pouvez ajouter manuellement des nœuds en entrant le nom des serveurs (membres du même groupe de travail ou du même domaine) REMARQUE : Il n'est pas nécessaire que les serveurs soient membres d'une grappe de basculement Windows/ grappe d'équilibrage de la charge réseau pour utiliser la fonctionnalité Grappe ESET. Il n'est pas nécessaire que votre environnement soit doté d'une grappe de basculement Windows ou d'une grappe d'équilibrage de la charge réseau pour utiliser les grappes ESET. Une fois que vous avez ajouté les nœuds à votre Grappe ESET, la prochaine étape est l'installation d'ESET Mail Security sur chaque nœud. Cette opération s'effectue automatiquement pendant la configuration de la Grappe ESET. Un authentifiant est exigé lors de l'installation à distance de ESET Mail Security sur d'autres nœuds de la grappe : Scénario du domaine - Authentifiant de l'administrateur du domaine Scénario du groupe de travail - Vous devrez vous assurer que tous les nœuds utilisent le même authentifiant pour le compte administrateur local. 53 Dans une grappe ESET, vous pouvez également inclure une combinaison de nœuds ajoutés automatiquement en tant que membres de la grappe de basculement Windows/grappe d'équilibrage de la charge réseau existante, ainsi que les nœuds ajoutés manuellement (à condition qu'ils appartiennent au même domaine). REMARQUE : Il est impossible de combiner des nœuds d'un domaine à ceux d'un groupe de travail. Une autre condition doit être respectée pour créer une grappe ESET : le Partage des fichiers et de l'imprimante doit être activé dans le coupe-feu Windows avant de pousser l'installation d'ESET Mail Security sur les nœuds de la grappe ESET. La grappe ESET peut être facilement désactivée en cliquant sur Détruire la grappe. Chacun des nœuds créera une entrée dans le journal des événements à propos de la destruction de la grappe ESET. Par la suite, toutes les règles de coupe-feu ESET seront supprimées du coupe-feu Windows. Les anciens nœuds retrouveront leur état antérieur et pourront être utilisés de nouveau dans une autre grappe ESET au besoin. REMARQUE : La création de grappes ESET entre ESET Mail Security et ESET File Security pour Linux n'est pas prise en charge. De nouveaux nœuds peuvent être ajoutés en tout temps à une grappe ESET existante en exécutant l'Assistant de la grappe (voir la description ci-dessous et ici). 4.7.6 ESET Shell eShell (nom abrégé de ESET Shell) est une interface de ligne de commande pour ESET Mail Security. C'est une solution de rechange à l'interface utilisateur graphique (IUG). eShell offre toutes les fonctionnalités et options que l'on trouve généralement dans une IUG. eShell permet en outre de configurer et d'administrer l'ensemble du programme sans devoir utiliser d'IUG. En plus de toutes les fonctionnalités et fonctions incluses dans l'IUG, elle offre également la possibilité d'automatiser certaines commandes en exécutant des scripts pour configurer, modifier la configuration ou effectuer une action. eShell peut aussi être utile pour les personnes qui préfère utiliser la ligne de commande plutôt que l'IUG. eShell peut être exécuté dans deux modes : Mode interactif - ce mode est utile lorsque vous voulez travailler avec eShell (pas seulement pour exécuter une commande unique) et effectuer des tâches comme modifier la configuration, afficher les journaux, etc. Vous pouvez également utiliser le mode interactif si vous ne connaissez pas bien les commandes. Le mode interactif vous permettra de naviguer plus facilement dans eShell. Il vous montrera également les commandes disponibles que vous pouvez utiliser dans un contexte particulier. Commande unique / mode de commandes - vous pouvez utiliser ce mode si vous ne devez exécuter qu'une commande sans devoir entrer dans le mode interactif de eShell. De l'invite de commande Windows en entrant eshell avec les paramètres appropriés. Par exemple : eshell get status ou eshell set antivirus status disabled Afin d'exécuter certaines commandes (comme dans le deuxième exemple ci-dessus (en mode traitement différé/ script, vous devez d'abord configurer deux ou trois paramètres. Sinon, vous obtiendrez le message Accès refusé. C'est pour une raison de sécurité. REMARQUE : Pour profiter de toutes les fonctionnalités, nous vous recommandons d'ouvrir eShell en utilisant Exécuter en tant qu'administrateur. La même chose s'applique lorsque vous exécutez une commande simple par l'entremise de Windows Command Prompt (cmd). Ouvrez le cmd en utilisant Exécuter en tant qu'administrateur. Sinon il vous sera impossible d'exécuter toutes les commandes. La raison est que, lorsque vous ouvre cmd ou eShell à partir d'un autre compte que le compte administrateur, vous ne possédez pas les autorisations nécessaires. REMARQUE : Pour exécuter les commandes eShell à partir de l'invite de commande de Windows ou pour exécuter des fichiers séquentiels, vous devez établir certains paramètres. Pour en savoir plus l'exécution des 54 fichiers séquentiels, cliquez ici. Pour entrer dans le mode interactif de eShell, vous pouvez utiliser l'une des deux méthodes suivantes : Par le menu Démarrer de Windows : Démarrer > Programmes > ESET > ESET Mail Security > ESET Shell De l'invite de commande Windows en entrant eshell et en appuyant sur la touche Entrée La première fois que vous exécutez eShell en mode interactif, un écran de première exécution (guide) s'affichera. REMARQUE : Si vous voulez afficher l'écran de première exécution par la suite, entrez guide . Il affichera certains exemples de base de la façon d'utiliser eShell avec la syntaxe, les préfixes, le chemin d'accès, les formes abrégées, les alias, etc. C'est, en fait, un guide rapide pour eShell. La prochaine fois que vous exécuterez eShell, vous verrez cet écran : REMARQUE : Les commandes ne sont pas sensibles à la casse. Pour exécuter la commande, vous pouvez utiliser des lettres majuscules ou des lettres minuscules. Personnalisation d'eShell Vous pouvez personnaliser eShell dans ui eshell contexte. Vous pouvez configurer des alias, des couleurs, la langue, la politique d'exécution qui s'applique aux scripts, vous pouvez choisir d'afficher les commandes cachées ou d'autres paramètres. 4.7.6.1 Utilisation Syntaxe Pour pouvoir être utilisées, les commandes doivent être formatées avec la syntaxe appropriée. Elles peuvent comprendre un préfixe, un contexte, des arguments, des options, etc. Voici la syntaxe générale utilisée dans l'ensemble d'eShell : [<préfixe>] [<chemin de commande>] <commande> [<arguments>] Exemple (permet d'activer la protection du document) : SET AV DOCUMENT STATUS ENABLED SET - un préfixe - le chemin d'accès vers une commande particulière, le contexte auquel appartient la commande STATUS - la commande elle-même ENABLED - un argument pour la commande ANTIVIRUS DOCUMENT 55 Utiliser ? comme un argument pour une commande affichera la syntaxe de cette commande particulière. Par exemple, le préfixe STATUS ? affichera la syntaxe pour la commande STATUS : SYNTAXE : [get] | status set status enabled | disabled Vous pouvez remarquer que le préfixe [get] est indiqué entre crochets. Indique que le préfixe get est la valeur par défaut pour la commande état , ce qui signifie que lorsque vous exécutez la commande état sans préciser de préfixe, elle utilisera le préfixe par défaut (dans ce cas, get status). Utiliser des commandes sans préfixe exige moins de temps au moment de l'entrée des données. Le préfixe get est la valeur par défaut généralement utilisée dans bon nombre de commandes. Il faut cependant vérifier en quoi consiste le préfixe par défaut pour une commande particulière, puisque c'est précisément cette commande que vous voulez exécuter. REMARQUE : Les commandes ne sont pas sensibles à la casse. La commande s'exécutera, que vous utilisiez des majuscules ou des minuscules. Préfixe / opération Un préfixe est une opération. La commande GET donnera de l'information à savoir comment est configurée une certaine fonctionnalité de ESET Mail Security ou affichera l'état (comme GET ANTIVIRUS STATUS , par exemple, affichera l'état actuel de la protection). La commande SET configurera une fonctionnalité ou changera l'état ( SET ANTIVIRUS STATUS ENABLED qui, par exemple, activera la protection). Ce sont les préfixes qu'eShell vous laisse utiliser. Une commande peut ou non prendre en charge l'un des préfixes suivants : - Renvoie le paramètre ou l'état actuel SET - Règle la valeur ou l'état SELECT - Entraîne la sélection d'un élément ADD - Ajoute un élément REMOVE - Supprime un élément CLEAR - Supprime tous les éléments ou fichiers START - Lance une action STOP - Arrête une action PAUSE - Met une action en pause RESUME - Reprend une action RESTORE - Restaure les paramètres, l'objet ou le fichier par défaut SEND - Envoie un objet ou un fichier IMPORT - Importe à partir d'un fichier EXPORT - Exporte dans un fichier GET Des préfixes comme GET et SET sont utilisés avec bon nombre de commandes, bien que certaines comme EXIT n'utilisent aucun préfixe. Chemin d'accès / contexte Les commandes sont placées dans des contextes formant une structure arborescente. La racine est présentée dans le haut de l'arborescence. Lorsque vous exécutez eShell, vous êtes au niveau de la racine : eShell> 56 De là, vous pouvez soit exécuter une commande ou entrer un nom de contexte pour vous déplacer dans l'arborescence. Par exemple, lorsque vous entrez le contexte TOOLS , vous pourrez alors voir la liste de toutes les commandes et tous les sous-contextes auxquels vous pouvez accéder à partir de ce contexte. Les éléments en jaune sont ceux que vous pouvez exécuter alors que ceux qui sont affichés en gris représentent des sous-contextes dans lesquels vous pouvez entrer. Un sous-contexte contient d'autres commandes. Si vous devez retourner à un niveau supérieur, utilisez .. (deux points). Si, par exemple, vous vous trouvez ici : antivirus startup> type .. et vous remonterez alors d'un niveau, jusqu'à : eShell antivirus> Si vous voulez retourner à la racine à partir de antivirus startup> (qui deux trouve deux niveaux sous la racine), entrez simplement .. .. (deux points et deux points séparés par une espace). De ce fait, vous remonterez de deux niveaux, soit jusqu'à la racine, dans ce cas-ci. Utilisez la barre oblique inversée \ pour retourner directement à la racine à partir de n'importe quel niveau, peu importe la profondeur à laquelle vous vous trouvez dans l'arborescence. Si vous voulez atteindre un contexte particulier dans les niveaux supérieures, utilisez simplement le nombre appropriée de .. dont vous avez besoin pour atteindre le niveau voulu, mais utilisez une espace comme séparateur. Par exemple, si vous voulez aller à trois niveaux supérieurs, utilisez .. .. .. Le chemin d'accès varie selon le contexte actuel. Si la commande est contenue dans le contexte actuel, n'entrez pas de chemin d'accès. Par exemple, pour exécuter GET ANTIVIRUS STATUS entrez : - si vous êtes dans le contexte racine (la ligne de commande indique eShell>) - si vous êtes dans le contexte ANTIVIRUS (la ligne de commande indique eShell antivirus>) .. GET STATUS - si vous êtes dans le contexte ANTIVIRUS STARTUP (la ligne de commande indique eShell antivirus startup> ) GET ANTIVIRUS STATUS GET STATUS REMARQUE : Vous pouvez utiliser seulement . (point) au lieu de deux .. parce que le point seul est l'abréviation de deux points. Par exemple : . GET STATUS - si vous êtes dans le contexte ANTIVIRUS STARTUP (la ligne de commande indique eShell antivirus startup> ) 57 Argument Un argument vers une action qui est effectuée pour une commande particulière. Par exemple, la commande CLEANLEVEL (qui se trouve dans ANTIVIRUS REALTIME ENGINE ) peut être utilisée avec les arguments suivants : - Pas de nettoyage normal - Nettoyage normal strict - Nettoyage strict non Un autre exemple comprend les arguments ENABLED ou DISABLED qui sont utilisés pour activer ou désactiver certaines fonctionnalités ou caractéristiques. Forme abrégée / commandes raccourcies eShell vous permet de raccourcir les contextes, commandes et arguments (à la condition que l'argument soit un commutateur ou une option de rechange). Il n'est pas possible de raccourcir un préfixe ou un argument comportant des valeurs concrètes comme un numéro, un nom ou un chemin d'accès. Exemples de formes abrégées : set status enabled => set stat en add antivirus common scanner-excludes C:\path\file.ext => add ant com scann C:\path\file.ext Dans le cas où deux commandes ou contextes commencent par les mêmes lettres (par exemple ABOUT et ANTIVIRUS, et que vous entrez A comme commande abrégée), eShell ne pourra pas décider de la commande à exécuter. Un message d'erreur sera alors affiché, tout comme la liste des commandes commençant par un « A », parmi lesquelles vous pourrez faire un choix : eShell>a La commande suivante n'est pas unique : a Les commandes suivantes sont disponibles dans ce contexte : ABOUT - Affiche l'information sur le programme ANTIVIRUS - Passe à l'antivirus de contexte Si vous ajoutez une ou plusieurs lettres (par exemple, AB plutôt que simplement A) eShell exécutera la commande ABOUT puisqu'elle est maintenant unique. REMARQUE : Lorsque vous voulez être certain qu'une commande fait l'action que vous voulez qu'elle fasse, nous vous recommandons de ne pas abréger les commandes, arguments, etc. et d'utiliser plutôt la forme complète. De cette façon, vous serez certain qu'elle exécutera exactement ce que vous voulez et empêchera les erreurs non voulues. C'est particulièrement vrai pour les fichiers de commandes et scripts. Complétion automatique est une nouvelle fonctionnalité dans eShell depuis la version 2.0. Elle ressemble beaucoup à la complétion dans l'invite de commande Windows. Alors que l'invite de commande Windows complète les chemins d'accès aux fichiers, eShell complète aussi la commande, le contexte et les noms d'opération. La complétion d'argument n'est pas prise en charge. Lorsque vous tapez une commande, appuyez simplement sur la touche TAB pour compléter ou cycler au travers des variations disponibles. Appuyez sur les touches SHIFT + TAB pour cycler en arrière. La combinaison de formes abrégées et de complétion automatique n'est pas prise en charge. Vous devez utiliser soit l'une, soit l'autre. Par exemple, lorsque vous tapez antivir real scan le fait d'appuyer sur la touche TAB n'aura aucun effet. Plutôt, tapez antivir et puis appuyez sur TAB pour compléter antivirus, continuez à taper real + TAB et scan + TAB. Vous pouvez ensuite explorer toutes les variations disponibles : scan-create, scan-execute, scanopen, etc. 58 Alias Un alias est un autre nom qui peut être utilisé pour exécuter une commande (à la condition qu'un alias ait été attribué à la commande). Voici quelques alias par défaut : - quitter (global) quit - quitter (global) bye - quitter warnlog - événements dans le journal des outils virlog - détections dans le journal des outils antivirus on-demand log - analyses le journal des outils (global) close « (global) » signifie que la commande peut être utilisée n'importe où, quel que soit le contexte actuel. Plusieurs alias peuvent être attribués à une commande, par exemple, la commande EXIT a les alias CLOSE, QUIT et BYE. Lorsque vous voulez sortir de eShell, vous pouvez utiliser la commande EXIT même ou l'un de ses alias. Alias VIRLOG est un alias pour la commande DETECTIONS qui est située dans le contexte TOOLS LOG . De cette façon, la commande de détection est disponible à partir du contexte ROOT , ce qui permet d'y accéder plus facilement (vous n'aurez pas à entrer TOOLS puis le contexte LOG et pourrez l'exécuter directement à partir de ROOT). eShell vous permet de définir vos propres alias. Commande ALIAS peut se trouver dans le contexte UI ESHELL . Paramètres protégées par un mot de passe les paramètres peuvent être protégés par un mot de passe. Vous pouvez définir un mot de passe à l'aide de l'IUG ou eShell en utilisant la commande set ui access lock-password . Vous devrez ensuite entrer ce mot de passe de manière interactive pour certaines commandes (comme celles utilisées pour modifier les paramètres ou les données). Si vous prévoyez travailler avec eShell pendant une période de temps plus longue sans avoir à entrer le mot de passe de manière répétitive, vous pouvez demander à eShell de retenir le mot de passe en utilisant la commande set password . Votre mot de passe sera ensuite saisi automatiquement à chaque exécution d'une commande qui nécessite un mot de passe. Il demeure en mémoire jusqu'à ce que vous quittiez eShell. Vous devrez donc utiliser set password encore une fois au démarrage d'une nouvelle session et demander à eShell de retenir votre mot de passe. Guide/aide Exécuter la commande GUIDE ou HELP affichera l'écran de « première exécution » expliquant comment utiliser eShell. Cette commande est disponible à partir du contexte ROOT ( eShell>). Historique des commandes eShell conserver l'historique des commandes déjà exécutées. Cela ne s'applique qu'à la session interactive actuelle de eShell. Lorsque vous quittez eShell, l'historique des commandes est alors effacé. Utilisez les touches flèches Haut et Bas de votre clavier pour naviguer dans l'historique. Une fois que vous aurez trouvé la commande que vous cherchiez, vous pourrez l'exécuter de nouveau ou la modifier, sans avoir à répéter entièrement la commande du début. CLS / effacer l'écran La commande CLS peut être utilisée pour vider l'écran. Elle fonctionne de la même façon que dans l'invite de commande de Windows ou dans une autre interface avec ligne de commande semblable. EXIT / CLOSE / QUIT / BYE Pour fermer eShell ou en sortir, vous pouvez utiliser n'importe laquelle de ces commandes ( EXIT, CLOSE, QUIT ou BYE ). 59 4.7.6.2 Commandes Cette section dresse une liste de quelques commandes de base eShell avec une description à titre d'exemple. REMARQUE : Les commandes ne sont pas sensibles à la casse. La commande s'exécutera, que vous utilisiez des majuscules ou des minuscules. Exemple de commandes (contenues dans le contexte ROOT) : ABOUT Affiche de l'information sur le programme. Affiche le nom du produit installé, le numéro de version, les composants installés (y compris le numéro de version de chacun des composants) et l'information de base sur le serveur et le système d'exploitation sur lequel s'exécute ESET Mail Security. CHEMIN DE CONTEXTE : root PASSWORD En temps normal, pour pouvoir exécuter des commandes protégées par mot de passe, vous serez invité à entrer un mot de passe, et ce, à des fins de sécurité. Cela s'applique à des commandes comme celles qui désactivent la protection antivirus et à celles qui peuvent avoir des répercussions sur la fonctionnalité de ESET Mail Security. Vous serez invité à entrer un mot de passe chaque fois que vous exécutez une telle commande. Vous pouvez définir ce mot de passe pour ainsi ne pas avoir à l'entrer chaque fois. eShell le gardera en mémoire et l'utilisera automatiquement, lorsqu'une commande protégée par mot de passe est exécutée. Ainsi, vous n'aurez pas à entrer le mot de passe chaque fois. REMARQUE : Les mots de passe définis ne peuvent être utilisés que dans la session interactive d'eShell en cours. Une fois que vous quitterez eShell, ce mot de passe défini sera supprimé. Lorsque vous redémarrerez eShell, vous devrez définir de nouveau le mot de passe. Ce mot de passe défini est aussi très utile lorsque vous exécutez des fichiers ou des scripts de commandes. Voici un exemple d'un tel fichier : eshell start batch "&" set password plain <votre mot de passe> "&" set status disabled Cette commande concaténée lancera un mode de commandes, définira un mot de passe qui sera utilisé et désactivera la protection. CHEMIN DE CONTEXTE : racine SYNTAXE : [get] | restore password set password [plain <password>] OPÉRATIONS : get - Afficher le mot de passe set - Régler ou effacer le mot de passe restore - Effacer le mot de passe ARGUMENTS : plain - Basculer pour entrer le mot de passe comme paramètre password 60 - Mot de passe EXEMPLES : set password plain <votre mot de passe> - Règle un mot de passe qui sera utilisé pour les commandes protégées par mot de passe restore password - Effacer le mot de passe EXEMPLES : get password - Utilisez cette commande pour voir si le mot de passe est configuré ou non (n'affiche que des étoiles « * », n'indique pas le mot de passe lui-même). Lorsqu'aucune étoile n'est visible, cela signifie qu'aucun mot de passe n'a été réglé set password plain <votre mot de passe> restore password - Utilisé pour régler le mot de passe défini - Cette commande efface le mot de passe défini STATUS Affiche l'information sur l'état actuel de la protection de ESET Mail Security (semblable à l'interface graphique utilisateur). CHEMIN DE CONTEXTE : racine SYNTAXE : [get] | restore status set status disabled | enabled OPÉRATIONS : get - Affiche l'état de protection antivirus set - Désactive ou active la protection antivirus restore - Restaure les paramètres par défaut ARGUMENTS : disabled enabled - Désactiver la protection antivirus - Activer la protection antivirus EXEMPLES : get status - Affiche l'état actuel de la protection set status disabled restore status - Désactive la protection - Restaure la protection à la valeur par défaut (activée) VIRLOG L'alias de la commande DETECTIONS , Cette commande est utile lorsque vous devez afficher de l'information sur les infiltrations ayant été détectées. WARNLOG L'alias de la commande EVENTS , Cette commande est utile lorsque vous devez afficher de l'information sur différents événements. 61 4.7.6.3 Fichiers séquentiels/script Vous pouvez utiliser eShell comme un outil puissant pour l'automation. Pour utiliser un fichier séquentiel avec eShell, créez-en un avec un eShell et une commande intégrés. Par exemple : eshell get antivirus status Vous pouvez aussi utiliser une chaîne de commande, ce qui est parfois nécessaire, par exemple si vous voulez obtenir un type d'une tâche planifiée spécifique, entrez la ligne suivante : eshell select scheduler task 4 "&" get scheduler action Normalement, la sélection d'un élément (tâche numéro 4 dans ce cas) s'applique seulement à une instance en cours d'exécution d'eShell. Dans le cas où vous voudriez exécuter ces deux commandes l'une après l'autre, la seconde commande se solderait par un échec avec comme message d'erreur : « Aucune tâche sélectionnée ou la tâche sélectionnée n'existe plus ». Pour des raisons de sécurité, la politique d'exécution est définie par défaut à Script limité. Cela vous permet d'utiliser eShell comme outil de surveillance, mais il vous sera impossible d'apporter des modifications à la configuration de ESET Mail Security. Si vous utilisez une commande qui peut avoir une incidence sur la sécurité, pour désactiver la la protection par exemple, vous obtiendrez le message Accès refusé. Pour être en mesure d'exécuter ces commandes qui modifient la configuration, nous vous recommandons d'utiliser les fichiers séquentiels signés. Si vous voulez, pour une raison particulière, modifier la configuration en entrant manuellement une seule commande dans l'invite de commande Windows, vous devrez donner l'accès complet à eShell (non recommandé). Pour donner l'accès complet, utilisez la commande ui eshell shell-execution-policy en mode Interactif à même eShell ou passez par l'IUG dans Paramètres avancés > Interface utilisateur > ESET Shell. Les fichiers séquentiels signés vous permettent de sécuriser les fichiers séquentiels communs (*.bat) grâce à une signature. Les scripts sont signés à l'aide du même mot de passe que celui utilisé pour la protection des paramètres. Pour signer un script, vous devez d'abord activer la protection des paramètres. Vous pouvez le faire par l'entremise de l'IUG ou à partir d'eShell en utilisant la commande set ui access lock-password . Une fois que le mot de passe de la protection des paramètres est configuré, vous pouvez commencer à signer des fichiers séquentiels. Pour signer un fichier séquentiel, exécutez sign <script.bat> à partir du contexte racine d'eShell, où script.bat est le chemin vers le script que vous voulez signer. Entrez et confirmez le mot de passe qui sera utilisé pour la signature. Ce mot de passe doit correspondre au mot de passe de la protection des paramètres. La signature est placée à la fin du fichier séquentiel sous la forme d'un commentaire. Dans le cas où ce script aurait déjà été signé, l'ancienne signature sera remplacée par la nouvelle. REMARQUE : Lorsque vous modifiez un fichier séquentiel déjà signé, ce dernier doit être signé de nouveau. REMARQUE : Si vous modifiez le mot de passe de la protection des paramètres, vous devez alors signer tous les scripts de nouveau, sinon l'exécution des scripts échouera à partir du moment où le mot de passe de la protection des paramètres aura été modifié. La raison est que le mot de passe que vous entrez lorsque vous signez un script doit correspondre au mot de passe de la protection des paramètres sur le système cible. Pour exécuter un fichier séquentiel signé à l'aide de l'invite de commande Windows ou en tant que tâche planifiée, utilisez la commande suivante : eshell run <script.bat> Où script.bat est le chemin vers le fichier séquentiel. Par exemple eshell 62 run d:\myeshellscript.bat 4.7.7 ESET SysInspector ESET SysInspector est une application qui inspecte complètement votre ordinateur et collige de l'information détaillée sur les composants système, tels que les pilotes et applications installés, les connexions réseau ou des entrées de registre importantes, et évalue le niveau de risque de chacun des composants. Ces données peuvent aider à déterminer la cause d'un comportement suspect du système pouvant être dû à une incompatibilité logicielle ou matérielle, ou à une infection par logiciel malveillant. La fenêtre ESET SysInspector affiche les données suivantes sur les journaux créés : Heure - L'heure de création du journal. Commentaire - Un bref commentaire. Utilisateur - Le nom de l'utilisateur ayant créé le journal. État - L'état de création du journal. Les actions suivantes sont disponibles : Ouvrir - Ouvre le journal créé. Vous pouvez aussi accomplir cette action en cliquant à droite sur le journal créé, puis sélectionnez Afficher à partir du menu contextuel. Comparer - Compare deux journaux existants. Créer - Crée un journal. Patientez jusqu'à ce que le journal ESET SysInspector soit prêt (État indiquant Créé). Supprimer -Supprime les journaux sélectionnés de la liste. Après avoir cliqué à droite pour sélectionner un ou plusieurs journaux, les options suivantes s'afficheront, dans le menu contextuel : Afficher - Ouvre le journal sélectionné dans ESET SysInspector (ou double-cliquez sur un journal pour la même fonction). Comparer - Compare deux journaux existants. Créer - Crée un journal. Veuillez patienter jusqu'à ce que le journal de ESET SysInspector soit prêt (État indiquant Créé) Supprimer -Supprime les journaux sélectionnés de la liste. Supprimer tout - Supprime tous les journaux. Exporter - Exporte le journal vers un fichier .xml ou un fichier .xml zippé. 4.7.7.1 Créer un instantané de l'état de l'ordinateur Entrez un bref commentaire décrivant le journal à créer, puis cliquez sur le bouton Ajouter. Patientez jusqu'à ce que le journal de ESET SysInspector soit prêt (état Créé). La création d'un journal peut demander un certain temps selon la configuration de votre matériel informatique et des données du système. 4.7.7.2 ESET SysInspector 4.7.7.2.1 Introduction à ESET SysInspector ESET SysInspector est une application qui inspecte complètement l'ordinateur et affiche les données recueillies de façon exhaustive. Des données telles que les pilotes et applications installés, les connexions réseau ou les entrées de registre importantes peuvent vous aider à élucider un comportement suspect du système, qu'il soit dû à une incompatibilité logicielle ou matérielle, ou à une infection par logiciel malveillant. Il existe deux façons d'accéder à ESET SysInspector : à partir de la version intégrée dans les solutions ESET Security ou en téléchargeant la version autonome (SysInspector.exe) du site Web d'ESET. Les deux versions offrent les mêmes fonctions et les mêmes contrôles de programme. La seule différence réside dans la façon dont les sorties sont gérées. Tant la version autonome que la version intégrée permettent d'exporter des instantanés du système vers un fichier .xml pour ensuite enregistrer le tout sur le disque. La version intégrée vous permettra cependant de stocker vos instantanés système directement dans Outils > ESET SysInspector (sauf ESET Remote Administrator). Pour plus d'information, voir la section ESET SysInspector dans ESET Mail Security. Veuillez laisser du temps à ESET SysInspector pour analyser votre ordinateur. Cela peut exiger de 10 secondes à quelques minutes selon la configuration matérielle de votre ordinateur, son système d'exploitation et le nombre 63 d'applications installées. 4.7.7.2.1.1 Lancement de ESET SysInspector Pour lancer ESET SysInspector, exécutez simplement le fichier exécutable SysInspector.exe que vous avez téléchargé du site Web d'ESET. Si vous avez déjà installé l'une des solutions ESET Security, vous pouvez exécuter ESET SysInspector directement du menu Démarrer (cliquez sur Programmes > ESET > ESET Mail Security). Veuillez patienter pendant que l'application inspecte votre système, ce qui pourrait prendre quelques minutes. 4.7.7.2.2 Interface utilisateur et utilisation de l'application Pour des questions de clarté, la fenêtre du programme principal est divisée en quatre principales sections : les Contrôles du programme situés dans le haut de la fenêtre principale, la fenêtre Navigation à gauche, la fenêtre Description à droite au centre et la fenêtre Détails à droite au bas de la fenêtre principale du programme. La section État du journal énumère les paramètres de base d'un journal (filtres utilisés, type de filtre, journal résultat d'une comparaison, etc.). 4.7.7.2.2.1 Contrôles du programme Cette section contient la description de tous les contrôles de programme disponibles dans ESET SysInspector. Fichier En cliquant sur Fichier, vous pouvez enregistrer l'état actuel de votre système à des fins d'investigation ultérieure ou ouvrir un journal enregistré précédemment. À des fins de diffusion, il est recommandé de générer un journal approprié pour envoi. Sous cette forme, le journal omettra tous les renseignements sensibles (nom d'utilisateur actuel, nom de l'ordinateur, privilèges utilisateurs actuels, variables d'environnement, etc.). REMARQUE : Vous pouvez ouvrir des rapports de ESET SysInspector précédemment enregistrés en les glissantdéplaçant dans la fenêtre du programme principal. 64 Arborescence Permet de développer ou de fermer tous les nœuds et d'exporter des sections sélectionnées vers le script de service. Liste Contient des fonctions permettant de faciliter la navigation dans le programme, ainsi que d'autres telles que la recherche de données en ligne. Aide Contient des renseignements sur l'application et ses fonctions. Détail Ce paramètre setting influence l'information affichée dans la fenêtre du programme principal pour la rendre plus facile à traiter. En mode de base, vous avez accès à l'information utilisée pour trouver des solutions à des problèmes courants de votre système. En mode Moyen, le programme affiche des détails moins utilisés. En mode Compte, ESET SysInspector affiche toute l'information nécessaire pour résoudre des problèmes très précis. Filtrage Le filtrage des éléments convient parfaitement pour rechercher des fichiers suspects ou des entrées de registre dans votre système. En réglant le curseur, vous pouvez filtrer les éléments en fonction de leur niveau de risque. Si le curseur est positionné tout à fait à gauche (Niveau de risque 1), tous les éléments sont affichés. En déplaçant le curseur vers la droite, le programme filtre tous les éléments présentant un risque inférieur au niveau de risque actuel, et n'affiche que ceux qui sont plus suspects que le niveau affiché. Lorsque le curseur est positionné tout à fait à droite, le programme n'affiche que les éléments nuisibles connus. Tous les éléments marqués comme risques de 6 à 9 peuvent constituer un risque pour la sécurité. Si vous n'utilisez pas certaines des solutions de sécurité d'ESET, il est recommandé que vous analysiez votre système avec ESET Online Scanner si ESET SysInspector a détecté un tel élément. ESET Online Scanner est un service gratuit. REMARQUE : Vous pouvez rapidement déterminer le niveau de risque d'un élément en comparant sa couleur à celle du curseur Niveau de risque. Comparer Au moment de comparer deux journaux, vous pouvez choisir d'afficher tous les éléments, de n'afficher que les éléments ajoutés ou supprimés, ou de n'afficher que les éléments remplacés. Rechercher La fonction Rechercher permet de trouver rapidement un élément particulier à l'aide de son nom ou d'une partie de celui-ci. Les résultats de la demande de recherche s'affichent dans la fenêtre Description. Retour En cliquant sur la flèche Précédent ou Suivant, vous pouvez revenir aux données affichées précédemment dans la fenêtre Description. Vous pouvez utiliser la touche Retour arrière et la barre d'espace au lieu de cliquer sur Précédent et Suivant. Section d'état Affiche le nœud actuel dans la fenêtre Navigation. Important : Les éléments en surbrillance de couleur rouge sont inconnus, c'est pourquoi le programme les marque comme potentiellement dangereux. Si un élément s'affiche en rouge, cela ne signifie pas forcément que vous pouvez supprimer le fichier. Avant de supprimer des fichiers, assurez-vous qu'ils sont vraiment dangereux ou inutiles. 65 4.7.7.2.2.2 Naviguer dans ESET SysInspector ESET SysInspector divise plusieurs types de données en plusieurs sections de base appelées nœuds. Si des détails supplémentaires sont disponibles, vous pouvez les afficher en développant chaque nœud en sous-nœuds. Pour ouvrir ou réduire un nœud, double-cliquez sur son nom ou cliquez sur ou à côté de son nom. Tandis que vous parcourez l'arborescence des nœuds et sous-nœuds dans la fenêtre Navigation, il se peut que vous découvriez des détails pour chacun des nœuds affichés dans la fenêtre Description. Si vous parcourez les éléments de la fenêtre Description, il se peut que des détails supplémentaires sur chacun des éléments s'affichent dans la fenêtre Détails. Voici les descriptions des principaux nœuds de la fenêtre Navigation et les informations correspondantes dans les fenêtres Description et Détails. Processus en cours Ce nœud contient de l'information sur les applications et processus en cours d'exécution lors de la génération du rapport. Il se peut que la fenêtre Description affiche des détails supplémentaires pour chaque processus, tels que les bibliothèques dynamiques utilisées et leur emplacement dans le système, le nom du fournisseur de l'application, le niveau de risque du fichier. La fenêtre Détails contient des données supplémentaires sur les éléments sélectionnés dans la fenêtre Description, telles que la taille du fichier ou son hachage. REMARQUE : Un système d'exploitation comprend plusieurs composants noyaux importants qui fonctionnent constamment et assurent des fonctions de base et vitales pour d'autres applications utilisateur. Dans certains cas, de tels processus s'affichent dans l'outil ESET SysInspector avec le chemin d'accès du fichier commençant par \??\. Ces symboles permettent d'optimiser ces processus avant leur lancement; ils sont sûrs pour le système. Connexions réseau La fenêtre Description contient la liste des processus et applications communiquant sur le réseau à l'aide du protocole sélectionné dans la fenêtre Navigation (TCP ou UDP), ainsi que l'adresse distante à laquelle l'application est connectée. Vous pouvez également vérifier les adresses IP des serveurs DNS. La fenêtre Détails contient des données supplémentaires sur les éléments sélectionnés dans la fenêtre Description, telles que la taille du fichier ou son hachage. Entrées de registre importantes Contient la liste des entrées de registre sélectionnées qui sont souvent liées à différents problèmes dans le système, telles que celles précisant les programmes à lancer au démarrage, des objets application d'assistance du navigateur (BHO), etc. Il se peut que la fenêtre Description indique les fichiers liés à des entrées de registre particulières. La fenêtre Détails peut également présenter des détails supplémentaires. Services La fenêtre Description contient la liste des fichiers enregistrés en tant que Services Windows. Vous pouvez contrôler la manière dont le démarrage du service est paramétré, ainsi que des détails du fichier dans la fenêtre Détails. Pilotes Liste des pilotes installés dans le système. Fichiers critiques La fenêtre Description affiche le contenu des fichiers critiques liés au système d'exploitation Microsoft Windows. Tâches du planificateur système Contient une liste des tâches déclenchées par le Planificateur de tâches de Windows à un intervalle/une heure spécifié. 66 Informations système Contient des détails sur le matériel et les logiciels, ainsi que des données sur les variables d'environnement, les droits de l'utilisateur et les journaux d'événements système définis. Détails du fichier Liste des fichiers et des fichiers système importants dans le dossier Program Files. Des données précises sur les fichiers s'affichent dans les fenêtres Description et Détails. À propos Information sur la version de ESET SysInspector et la liste des modules du programme. Raccourcis clavier utilisables dans ESET SysInspector : Fichier Ctrl + O Ctrl + S Ouvre le journal existant Enregistre les journaux créés Générer Ctrl + G Ctrl + H Génère un instantané standard de l'état de l'ordinateur Génère un instantané de l'état de l'ordinateur pouvant également contenir de l'information sensible Filtrage des éléments 1, O 2 3 4, U 5 6 7, B 8 9 + Ctrl + 9 Ctrl + 0 Bon, les éléments présentant un niveau de risque de 1 à 9 s'affichent Bon, les éléments présentant un niveau de risque de 2 à 9 s'affichent Bon, les éléments présentant un niveau de risque de 3 à 9 s'affichent Inconnu, les éléments présentant un niveau de risque de 4 à 9 s'affichent Inconnu, les éléments présentant un niveau de risque de 5 à 9 s'affichent Inconnu, les éléments présentant un niveau de risque de 6 à 9 s'affichent Risqué, les éléments présentant un niveau de risque de 7 à 9 s'affichent Risqué, les éléments présentant un niveau de risque de 8 à 9 s'affichent Risqué, les éléments présentant un niveau de risque de 9 s'affichent Abaisse le niveau de risque Augmente le niveau de risque Mode de filtrage, niveau équivalent ou supérieur Mode de filtrage, niveau équivalent uniquement Affichage Ctrl + 5 Ctrl + 6 Ctrl + 7 Ctrl + 3 Ctrl + 2 Ctrl + 1 Retour arrière Barre d'espace Ctrl + W Ctrl + Q Affichage par fournisseur, tous les fournisseurs Affichage par fournisseur, uniquement Microsoft Affichage par fournisseur, tous les autres fournisseurs Affiche tous les détails Affiche un niveau de détail moyen Affichage de base Revient un pas en arrière Avance d'un pas Développe l'arborescence Réduit l'arborescence Autres contrôles Ctrl + T Ctrl + P Accède à l'emplacement d'origine de l'élément après sélection de celui-ci dans les résultats de la recherche Affiche des données de base sur un élément 67 Ctrl+A Ctrl + C Ctrl + X Ctrl + B Ctrl + L Ctrl + R Ctrl + Z Ctrl + F Ctrl + D Ctrl + E Affiche les données complètes sur un élément Copie l'arborescence des éléments actuelle Copie des éléments Recherche des données concernant les fichiers sélectionnés sur Internet Ouvre le dossier dans lequel se trouve le fichier sélectionné Ouvre l'entrée correspondante dans l'Éditeur du registre Copie le chemin d'accès d'un fichier (si l'élément est lié à un fichier) Bascule vers le champ de recherche Ferme les résultats de la recherche Exécute le script de service Comparaison Ctrl + Alt + O Ctrl + Alt + R Ctrl + Alt + 1 Ctrl + Alt + 2 Ctrl + Alt + 3 Ctrl + Alt + 4 Ctrl + Alt + 5 Ctrl + Alt + C Ctrl + Alt + N Ctrl + Alt + P Ouvre le journal d'origine/comparatif Annule la comparaison Affiche tous les éléments N'affiche que les éléments ajoutés; le journal contient les éléments présents dans le journal actuel N'affiche que les éléments supprimés; le journal contient les éléments présents dans le journal précédent N'affiche que les éléments remplacés (fichiers inclus) N'affiche que les différences entre journaux Affiche la comparaison Affiche le journal actuel Affiche le journal précédent Divers F1 Alt + F4 Alt + Maj + F4 Ctrl + I Affiche l'aide Ferme le programme Ferme le programme sans demander de confirmation Consigne les statistiques 4.7.7.2.2.3 Comparer La fonctionnalité Comparer permet de comparer deux journaux. Elle génère un ensemble d'éléments non communs aux deux journaux. Elle est utile lorsque vous voulez conserver une trace des modifications apportées au système; un outil pratique pour détecter un code malveillant. Une fois lancée, l'application crée un journal qui s'affiche dans une nouvelle fenêtre. Cliquez sur Fichier > Enregistrer le journal pour enregistrer le journal dans un fichier. Vous pourrez ouvrir et afficher ces fichiers journaux plus tard. Pour ouvrir un journal existant, cliquez sur Fichier > Ouvrir journal. Dans la fenêtre du programme principal, ESET SysInspector affiche toujours un seul journal à la fois. L'avantage de la comparaison de deux journaux est que cela vous permet de visualiser un journal active et un journal enregistré dans un fichier. Pour comparer des journaux, cliquez sur Fichier > Comparer les journaux, puis sur Sélectionner un fichier. Le journal sélectionné sera comparé au journal actif dans les fenêtres du programme principal. Le journal comparatif n'indiquera que les différences entre ces deux journaux. REMARQUE : Si vous comparez deux fichiers journaux, cliquez sur Fichier > Enregistrer le journal pour enregistrer le fichier en format ZIP, ce qui enregistrera les deux fichiers. Si vous ouvrez ce fichier plus tard, les journaux qu'il contient seront alors automatiquement comparés. À côté des éléments affichés, ESET SysInspector présente des symboles identifiant les différences entre les journaux comparés. 68 Description de tous les symboles qui peuvent s'afficher à côté des éléments : Nouvelle valeur, absente du journal précédent. La section de l'arborescence contient de nouvelles valeurs. Valeur supprimée, présente uniquement dans le journal précédent. La section de l'arborescence contient des valeurs supprimées. La valeur ou le fichier a été modifié. La section de l'arborescence contient des valeurs ou fichiers modifiés. Le niveau de risque a augmenté; il était inférieur dans le journal précédent. Le niveau de risque a augmenté; il était inférieur dans le journal précédent. La section d'explication, dans le coin inférieur gauche, décrit tous les symboles et affiche les noms des journaux comparés. Tout journal comparatif peut être enregistré dans un fichier, puis ouvert ultérieurement. Exemple : Générez et enregistrez un journal consignant des données originales sur le système dans un fichier nommé précédent.xml. Une fois les modifications apportées au système, ouvrez ESET SysInspector et autorisez-le à générer un nouveau journal. Enregistrez-le dans un fichier nommé actuel.xml. Pour suivre les différences entre ces deux journaux, cliquez sur Fichier > Comparer les journaux. Le programme crée alors un journal comparatif montrant les différences entre les journaux. Vous pouvez obtenir le même résultat en utilisant l'option de ligne de commande suivante : SysIsnpector.exe actuel.xml précédent.xml 4.7.7.2.3 Paramètres de la ligne de commande ESET SysInspector permet de générer des rapports à partir de la ligne de commande, à l'aide des paramètres suivants : /gen /privacy /zip /silent /blank générer le journal directement à partir de la ligne de commande sans exécuter l'IUG générer le journal en omettant les informations sensibles enregistrer le journal obtenu dans une archive compressée supprimer la fenêtre de progression durant la génération du journal à partir de la ligne de commande lancer ESET SysInspector sans générer/charger le journal Exemples Utilisation : Sysinspector.exe [load.xml] [/gen=save.xml] [/privacy] [/zip] [compareto.xml] 69 Pour charger un journal particulier directement dans le navigateur, utilisez la commande suivante : SysInspector.exe .\clientlog.xml Pour générer le journal à partir de la ligne de commande, utilisez la commande suivante : SysInspector.exe /gen=. \mynewlog.xml Pour générer un rapport excluant des renseignements sensibles directement dans un fichier compressé, utilisez la commande suivante : SysInspector.exe /gen=.\mynewlog.zip /privacy /zip Pour comparer deux fichiers journaux et parcourir les différences, utilisez la commande suivante : SysInspector.exe new.xml old.xml REMARQUE : Si le nom du fichier ou du dossier contient une espace, il convient de le mettre entre guillemets. 4.7.7.2.4 Script de service Un script de service est un outil permettant de fournir de l'aide aux clients qui utilisent ESET SysInspector en supprimant aisément les objets indésirables du système. Un script de service permet à l'utilisateur d'exporter le journal de ESET SysInspector ou des parties de celui-ci. Après l'exportation, vous pouvez marquer des objets indésirables pour suppression. Vous pouvez ensuite exécuter le journal modifié pour supprimer les objets marqués. Un script de service convient pour des utilisateurs chevronnés disposant d'une expérience dans le domaine du diagnostic des incidents système. Des modifications non qualifiées peuvent endommager le système d'exploitation. Exemple : S vous soupçonnez une infection de votre ordinateur par un virus non détecté par votre programme antivirus, suivez les instructions pas à pas ci-dessous : 1. Exécutez ESET SysInspector pour générer un nouvel instantané système. 2. Sélectionnez le premier élément de la section à gauche (dans l'arborescence), appuyez sur Maj, puis sélectionnez le dernier élément pour les marquer tous. 3. Cliquez à droite sur les objets sélectionnés et sélectionnez Exporter les sections sélectionnées dans un script de service. 4. Les objets sélectionnés sont exportés dans un nouveau journal. 5. Voici l'étape la plus importante de la procédure : ouvrez le nouveau journal, puis modifiez l'attribut - en + pour tous les objets que vous désirez supprimer. Faites bien attention de ne pas marquer de fichier/objets importants appartenant au système d'exploitation. 6. Ouvrez ESET SysInspector, cliquez sur Fichier > Exécuter le script de services et entrez le chemin du script. 7. Cliquez sur OK pour exécuter le script. 4.7.7.2.4.1 Génération d'un script de service Pour générer un script, cliquez à droite sur tout élément de l'arborescence de menu (dans le volet de gauche) de la fenêtre principale de ESET SysInspector. Du menu contextuel, sélectionnez soit l'option Exporter toutes les sections dans un script de service ou Exporter les sections sélectionnées dans un script de service. REMARQUE : Il n'est pas possible d'exporter un script de service lorsque deux journaux sont comparés. 70 4.7.7.2.4.2 Structure du script de service Dans la première ligne de l'en-tête du script se trouve de l'information à propos de la version du moteur (ev), de l'interface graphique (gv) et du journal (lv). Vous pouvez utiliser ces données pour suivre les changements indiqués dans un fichier .xml qui génère le script, et empêcher toute incohérence dans l'exécution. Cette partie du script ne devrait pas être modifiée. Le reste du fichier est divisé en section dans lesquelles certains éléments peuvent être modifiés (en remplacement de ceux qui seront traités par le script). Vous pouvez marquer des éléments pour traitement en remplaçant le caractère « - » se trouvant devant un élément par le caractère « + ». Les sections du script sont séparées l'une de l'autre par une ligne vide. Chaque section comporte un numéro et un titre. 01) Processus en cours Cette section contient une liste de tous les processus en cours d'utilisation dans le système. Chaque processus est identifié par son chemin UNC puis par un code de hachage CRC16 entre astérisques (*). Exemple : 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...] Dans cet exemple, un processus, module32.exe, a été sélectionné (indiqué par le caractère « + »); le processus s'arrêtera à l'exécution du script. 02) Modules chargés Cette section dresse la liste des modules système actuellement utilisés. Exemple : 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...] Dans cet exemple, le module khbekhb.dll est précédé d'un « + ». Lors de l'exécution du script, ce dernier reconnaîtra les processus utilisant ce module particulier et les arrêtera. 03) Connexions TCP Cette section contient de l'information sur les connexions TCP existantes. Exemple : 03) TCP connections: - Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe - Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006, - Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...] Lors de l'exécution du script, ce dernier isolera le propriétaire de l'interface de connexion dans les connexions TCP marquées et fermera alors l'interface, ce qui libérera des ressources système. 04) Points d'extrémité UDP Cette section contient de l'information sur les points d'extrémité UDP. 71 Exemple : 04) UDP endpoints: - 0.0.0.0, port 123 (ntp) + 0.0.0.0, port 3702 - 0.0.0.0, port 4500 (ipsec-msft) - 0.0.0.0, port 500 (isakmp) [...] Lors de l'exécution du script, ce dernier isolera le propriétaire de l'interface de connexion aux points d'extrémité UDP marqués et fermera l'interface. 05) Entrées de serveur DNS Cette section contient de l'information sur la configuration actuelle du serveur DNS. Exemple : 05) DNS server entries: + 204.74.105.85 - 172.16.152.2 [...] Les entrées du serveur DNS marquées seront supprimées lors de l'exécution du script. 06) Entrées de registre importantes Cette section contient de l'information sur les entrées de registre importantes. Exemple : 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = http://thatcrack.com/ [...] Les entrées marquées seront supprimées, réduites à une valeur de 0 octet ou remises à leur valeur par défaut lors de l'exécution du script. Cette action qui doit être effectuée sur une entrée particulière variera selon la catégorie d'entrée et la valeur clé, dans le registre particulier. 07) Services Cette section dresse la liste des services enregistrés dans le système. Exemple : 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...] Les services marqués et leurs dépendants seront arrêtés et désinstallés lors de l'exécution du script. 08) Pilotes Cette section dresse la liste des pilotes installés. 72 Exemple : 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32 \drivers\adihdaud.sys, state: Running, startup: Manual [...] Lorsque vous exécuterez le script, les pilotes sélectionnés seront alors arrêtés. À noter que certains pilotes ne s'autorisent pas à être arrêtés. 09) Fichiers critiques Cette section contient de l'information sur les fichiers critiques au fonctionnement approprié du système d'exploitation. Exemple : 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts - 127.0.0.1 localhost - ::1 localhost [...] Les éléments sélectionnés seront supprimés ou remis à leurs valeurs d'origine. 4.7.7.2.4.3 Exécution des scripts de service Marquez tous les éléments voulus avant d'enregistrer et de fermer le script. Exécutez le script modifié directement à partir de la fenêtre principale de ESET SysInspector en sélectionnant l'option Exécuter le script de service du menu Fichier. Lorsque vous ouvrez un script, le programme affiche l'invite suivante : Voulez-vous vraiment exécuter le script de service « %Scriptname% »? Une fois la sélection confirmée, un autre avertissement peut s'afficher pour vous indiquer que le script de service que vous tentez d'exécuter n'a pas été signé. Cliquez sur Exécuter pour lancer le script. Une fenêtre de dialogue confirmera l'exécution réussie du script. Si le script ne peut être que partiellement traité, une fenêtre de dialogue comportant le message suivant s'affichera : Le script de service n'a été exécuté que partiellement. Voulez-vous afficher le rapport d'erreurs? Sélectionnez Oui pour afficher une rapport d'erreurs indiquant les opérations n'ayant pas été exécutées. Si le script n'a pas été reconnu, une fenêtre de dialogue comportant le message suivant s'affichera : Le script de service sélectionné n'est pas signé. L'exécution de scripts non signés et inconnus peut endommager gravement les données de votre ordinateur. Voulez-vous vraiment exécuter le script et ses actions? Cela peut découler des incohérences dans le script (en-tête endommagé, titre de section endommagé, ligne vide manquante entre les sections, etc.). Vous pourrez soit rouvrir le fichier de script et corriger les erreurs du script ou créer un nouveau script de service. 73 4.7.7.2.5 FAQ L'exécution de ESET SysInspector exige-t-elle des privilèges d'administrateur? Si l'exécution de ESET SysInspector n'exige pas de privilèges d'administrateur, certaines données recueillies ne sont accessibles qu'à partir d'un compte Administrateur. À noter que si vous l'exécutez en tant qu'utilisateur standard ou utilisateur avec accès restreint, il colligera moins de données sur l'environnement d'exploitation. ESET SysInspector crée-t-il un fichier journal? ESET SysInspector peut créer un fichier journal de la configuration de votre ordinateur. Pour en enregistrer un, cliquez sur Fichier > Enregistrer le journal dans la fenêtre du programme principal. Les journaux sont enregistrés en format XML. Par défaut, les fichiers sont enregistrés dans le répertoire %USERPROFILE%\Mes documents\, conformément à la convention de dénomination de fichier « SysInpsector-%COMPUTERNAME%-AAMMJJHHMM.XML ». Vous pouvez modifier l'emplacement et le nom du fichier journal avant de l'enregistrer. Comment afficher le fichier journal de ESET SysInspector? Pour afficher un fichier journal créé par ESET SysInspector, exécutez le programme, puis, dans la fenêtre du programme principal, cliquez sur Fichier > Ouvrir le journal. Vous pouvez également glisser et déplacer des fichiers journaux vers l'application ESET SysInspector. Si vous devez consulter souvent les fichiers journaux de ESET SysInspector, il est recommandé de créer un raccourci vers l'exécutable SYSINSPECTOR.EXE sur le Bureau; vous pourrez ensuite glisser et déplacer des fichiers journaux sur le raccourci pour les afficher. Pour des raisons de sécurité, Windows Vista/7 peut ne pas autoriser le glisser-déplacer entre des fenêtres qui ont des autorisations de sécurité différentes. Existe-t-il une spécification pour le format du fichier journal? Existe-t-il un kit de développement logiciel (SDK)? À l'heure actuelle, il n'existe ni spécification pour le fichier journal ni SDK, car le développement du programme se poursuit. Après la publication du programme, il est possible que nous proposions ces éléments en fonction des commentaires et de la demande de la clientèle. Comment ESET SysInspector évalue-t-il le risque lié à un objet particulier? Le plus souvent, ESET SysInspector affecte des niveaux de risque aux objets (fichiers, processus, clés de registre, etc.) à l'aide d'une série de règles heuristiques qui tiennent compte des caractéristiques de chaque objet, puis pondèrent son potentiel d'activité nuisible. Sur la base de cette heuristique, un niveau de risque de 1 - Bon (vert) à 9 - Risqué (rouge) sera attribué aux objets. Les sections du volet de navigation de gauche portent des couleurs indiquant le niveau de risque le plus élevé des objets qu'elles contiennent. Un niveau de risque « 6 - Inconnu (rouge) » signifie-t-il qu'un objet est dangereux? Les appréciations de ESET SysInspector ne garantissent pas qu'un objet est malveillant puisqu'une telle détermination relève plutôt de la compétence d'un expert en sécurité. ESET SysInspector est conçu pour fournir une appréciation rapide destinée aux experts en sécurité, afin de leur indiquer les objets au comportement inhabituel qui nécessitent un examen plus approfondi. Pourquoi ESET SysInspector se connecte-t-il à Internet lors de son exécution? Comme de nombreuses applications, ESET SysInspector est porteur d'une signature numérique, appelée « certificat », garantissant que ce logiciel a été publié par ESET et n'a fait l'objet d'aucune modification. Pour vérifier la validité du certificat, le système d'exploitation contacte une autorité de certification pour vérifier l'identité de l'éditeur du logiciel. Ce comportement est normal pour tous les programmes porteurs d'une signature numérique sous Microsoft Windows. Qu'est-ce que la technologie Anti-Stealth? La technologie Anti-Stealth permet une détection efficace des rootkits. Si le système est attaqué par un code malveillant se comportant comme un rootkit, l'utilisateur pourra s'exposer à la perte de données ou au vol de données. À défaut d'outil approprié, il est quasiment impossible de détecter les rootkits. 74 Pourquoi des fichiers marqués comme « Signé par MS » ont-ils parfois aussi une entrée « CompanyName » différente? Lors d'une tentative d'identification de la signature numérique d'un fichier exécutable, ESET SysInspector détermine d'abord si le fichier contient une signature numérique. Si une signature numérique est détectée, cette information sera utilisée pour valider le fichier. Si aucune signature numérique n'est trouvée, ESI commence à rechercher le fichier CAT correspondant (Security Catalog - %systemroot%\system32\catroot) qui contient les informations sur le fichier exécutable traité. Si le fichier CAT approprié est détecté, sa signature numérique est appliquée dans le processus de validation de l'exécutable. C'est pourquoi des fichiers marqués comme « Signé par MS » ont parfois une entrée « CompanyName » différente. 4.7.7.2.6 ESET SysInspector comme composant de ESET Mail Security Pour ouvrir la section ESET SysInspector dans ESET Mail Security, cliquez sur Outils > ESET SysInspector. Le système de gestion qui s'affiche dans la fenêtre ESET SysInspector est semblable à celui des journaux d'analyse de l'ordinateur ou des tâches planifiées. Toutes les opérations relatives aux instantanés (créer, afficher, comparer, supprimer et exporter) sont accessibles en un ou deux clics. La fenêtre de ESET SysInspector contient des données de base sur les instantanés créés, telles que l'heure de création, un bref commentaire, le nom de leur auteur et leur état. Pour comparer, créer ou supprimer des instantanés, utilisez les boutons correspondants situés sous la liste des instantanés dans la fenêtre de ESET SysInspector. Ces options sont également offertes dans le menu contextuel. Pour afficher l'instantané système sélectionné, utilisez l'option Afficher du menu contextuel. Pour exporter l'instantané sélectionné dans un fichier, cliquez dessus avec le bouton droit, puis sélectionnez Exporter.... Voici une description détaillée des options disponibles : Comparer - Permet de comparer deux journaux existants. Cette option est appropriée si vous voulez suivre les différences entre le journal actuel et un journal plus ancien. Pour qu'elle fonctionne, vous devez sélectionner deux instantanés à comparer. Créer... - Crée un enregistrement. Au préalable, vous devez entrer un bref commentaire sur l'enregistrement. Pour suivre la progression de la création de l'instantané (en cours de génération), consultez la colonne État. Tous les instantanés générés présentent l'état Créé. Retirer/Retirer tout – Supprime des entrées de la liste. Exporter... - Enregistre l'entrée sélectionnée dans un fichier XML (ainsi que dans une version compressée). 4.7.8 ESET SysRescue Live est une fonctionnalité qui vous permet de créer un disque de démarrage contenant une des solutions ESET Security - ESET NOD32 Antivirus, ESET Smart Security ou certains produits orientés serveur. Le principal avantage d'ESET SysRescue Live est le fait que la solution ESET Security s'exécute indépendamment du système d'exploitation hôte, tout en ayant un accès direct au disque et au système de fichier. Cela permet de supprimer des infiltrations qui, dans des circonstances normales, ne pourraient pas être supprimées, par exemple lorsque le système d'exploitation est en cours d'exécution, etc. 4.7.9 Planificateur Le planificateur gère et lance les tâches planifiées qui ont été préalablement définies et configurées. La configuration et les propriétés de ces tâches comprennent des renseignements tels que la date et l'heure, ainsi que des profils à utiliser pendant l'exécution d'une tâche. Vous pouvez accéder au Planificateur à partir de la fenêtre principale de ESET Mail Security, en cliquant sur Outils > Planificateur. Le Planificateur contient une liste de toutes les tâches planifiées avec leurs propriétés de configuration telles que la date prédéfinie, l'heure et le profil d'analyse utilisé. Le Planificateur à planifier les tâches suivantes : la mise à jour de la base de données des signatures de virus, les tâches d'analyse, le contrôle des fichiers de démarrage du système et la maintenance des journaux. Vous pouvez ajouter ou supprimer des tâches directement à partir de la fenêtre principale du Planificateur (cliquez sur Ajouter une tâche ou Supprimer, dans le bas). Cliquez avec le bouton droit en un point quelconque de la fenêtre du 75 planificateur pour effectuer les actions suivantes : afficher de l'information détaillée, exécuter la tâche immédiatement, ajouter une nouvelle tâche ou supprimer une tâche existante. Utilisez les cases à cocher au début de chaque entrée pour activer ou désactiver les tâches. Par défaut, les tâches planifiées suivantes s'affichent dans le Planificateur : Maintenance des journaux Mise à jour automatique régulière Mise à jour automatique après une connexion commutée Mise à jour automatique après ouverture de session utilisateur Vérification automatique des fichiers de démarrage (après la connexion de l'utilisateur) Vérification automatique des fichiers de démarrage (après la mise à jour réussie de la base des signatures de virus) Première analyse automatique Pour modifier la configuration d'une tâche planifiée existante (tant par défaut que définie par l'utilisateur), cliquez avec le bouton droit sur la tâche, puis sur Modifier ou sélectionnez la tâche que vous voulez modifier, puis cliquez sur le bouton Modifier.... Ajouter une nouvelle tâche 1. Cliquez sur Ajouter une tâche au bas de la fenêtre. 2. Entrez un nom pour la tâche. 76 3. Sélectionnez la tâche souhaitée dans le menu déroulant : Exécuter une application externe - Planifie l'exécution d'une application externe. Maintenance des journaux - Les fichiers journaux contiennent aussi les restes des enregistrements supprimés. Cette tâche optimise les enregistrements dans les fichiers journaux de façon régulière, afin qu'ils puissent fonctionner de façon efficace. Vérification des fichiers de démarrage du système - Vérifie les fichiers qui peuvent être exécutés au démarrage du système ou lors de l'ouverture de session. Créer un instantané de l'état de l'ordinateur - Crée un instantané de l'ordinateurESET SysInspector - recueille des renseignements détaillés sur les composants du système (pilotes, applications, par ex.) et évalue le niveau de risque de chacun des composants. Analyse de l'ordinateur à la demande - Effectue l'analyse des fichiers et des dossiers qui se trouvent dans votre ordinateur. Première analyse - Par défaut, l'analyse de l'ordinateur sera effectuée 20 minutes après une installation ou un redémarrage comme tâche à priorité faible. Mise à jour - Planifie une tâche de mise à jour en mettant à jour la base de données des signatures de virus et les modules du programme. Analyse de la base de données à la demande - Planifie une analyse de la base de données. Vous pouvez choisir les cibles d'analyse (Dossiers publics, Bases de données et Boîtes de courriel) comme lors de la configuration d'une Analyse de la base de données à la demande. Envoyer les rapports de quarantaine - S'applique à la Quarantaine locale seulement. Envoie des rapports contenant l'état de la quarantaine et les éléments de son contenu, incluant des liens vers l'interface Web de la Quarantaine de courriel. Cette dernière permet d'afficher et de gérer facilement les objets du courriel qui ont été mis en quarantaine. Vous pouvez spécifier l'adresse de courriel du destinataire où envoyer les rapports de mise en quarantaine. 4. Mettez le commutateur Activé en position activé si vous voulez activer la tâche (vous pouvez le faire ultérieurement en cochant ou en décochant la case située dans la liste des tâches planifiées); cliquez sur Suivant et sélectionnez l'une des options de périodicité : Une fois - La tâche sera exécutée à la date et l'heure prédéfinies. Plusieurs fois - La tâche sera exécutée à chaque intervalle précisé. Quotidiennement - La tâche sera exécutée plusieurs fois, chaque jour, à l'heure indiquée. Chaque semaine - La tâche sera exécutée une ou plusieurs fois par semaine, à l'heure et au jour sélectionnés. Déclenchée par un événement - La tâche sera exécutée lorsque l'événement précisé se produira. 5. Sélectionnez Ignorer la tâche lors du fonctionnement sur batterie afin de minimiser les ressources systèmes lorsqu'un portable est alimenté par batterie. La tâche sera exécutée à la date et à l'heure indiquées dans les champs Exécution de la tâche. Si une tâche n'a pas pu être exécutée à l'heure définie, il est possible de préciser le moment où elle sera exécutée de nouveau : À la prochaine heure planifiée Dès que possible Immédiatement, si le temps écoulé depuis la dernière exécution dépasse une valeur spécifique (l'intervalle peut être défini à l'aide de la zone de liste déroulante Heure depuis la dernière exécution). 77 Cliquez à droite sur une tâche et cliquez sur Afficher les détails de la tâche à partir du menu contextuel pour afficher de l'information à propos de la tâche. 78 4.7.10 Envoyer les échantillons pour fins d'analyse La boîte de dialogue de soumission d'échantillon vous permet d'envoyer un fichier ou un site à ESET pour analyse. Elle se trouve dans Outils > Soumettre l'échantillon pour analyse. Si vous trouvez un fichier au comportement suspect sur votre ordinateur ou un site suspect sur Internet, vous pouvez le soumettre au laboratoire ESET Virus Lab pour analyse. Si le fichier se révèle être une application ou un site Web malveillant, sa détection sera ajoutée à l'une des mises à jour suivantes. Vous pouvez également soumettre le fichier par courriel. Pour ce faire, comprimez le ou les fichiers à l'aide d'un programme comme WinRAR ou WinZip, protégez l'archive avec le mot de passe « infecté », puis envoyez-le fichier comprimé à [email protected]. Veuillez donner une description claire de l'objet de votre message et fournissez le plus de détails possibles sur le fichier (par ex., le site Web à partir duquel vous l'avez téléchargé). REMARQUE : Avant de soumettre un échantillon à ESET, assurez-vous qu'il répond à un ou à plusieurs des critères suivants : le fichier ou le site Web n'est pas du tout détecté le fichier ou le site Web est détecté à tort comme une menace Vous ne recevrez pas de réponse, sauf si des informations complémentaires sont nécessaires pour l'analyse. Sélectionnez la description qui correspond le mieux à votre message à partir du menu déroulant Raison de la soumission de l'échantillon : Fichier suspect Site suspect (un site Web infecté par un logiciel malveillant, quel qu'il soit), Fichier faux positif (fichier considéré comme infecté, mais qui ne l'est pas), Site faux positif Autre Fichier/site - Le chemin d'accès vers le fichier ou le site Web que vous voulez soumettre. 79 Adresse de contact - L'adresse de courriel du contact est envoyée avec les fichiers suspects à ESET et peut être utilisée pour communiquer avec vous si des renseignements complémentaires sont nécessaires pour l'analyse. L'entrée de l'adresse courriel est facultative. Vous ne recevrez pas de réponse d'ESET, sauf si des renseignements complémentaires sont nécessaires pour l'analyse. Comme nos serveurs reçoivent quotidiennement des dizaines de milliers de fichiers, il nous est impossible de répondre à toutes les soumissions. 4.7.10.1 Fichier suspect Signes et symptômes d'une infection par un logiciel malveillant - Entrez une description du comportement du fichier suspect observé sur votre ordinateur. Origine du fichier (URL ou fournisseur) - Veuillez entrer l'origine du fichier (source) et indiquer comment vous avez obtenu ce fichier. Remarques et renseignements supplémentaires - Ici, vous pouvez ajouter de des renseignements ou des descriptions supplémentaires qui faciliteront le processus d'identification du fichier suspect. REMARQUE : Le premier paramètre - Signes et symptômes d'une infection par un logiciel malveillant - est requis, mais tout renseignement supplémentaire aidera grandement nos laboratoires lors du processus d'identification des échantillons. 4.7.10.2 Site suspect Veuillez sélectionner l'une des options suivantes à partir du menu déroulant Qu'est-ce qui ne va pas avec ce site : Infecté - Un site Web qui contient des virus ou d'autres logiciels malveillants diffusés par différentes méthodes. Hameçonnage - Souvent utilisé pour accéder à des données sensibles, telles que numéros de comptes bancaires, NIP, etc. Pour en savoir plus sur ce type d'attaque, consultez le glossaire. Canular - Une escroquerie ou un site Web frauduleux. Sélectionnez Autre si les options susmentionnées ne réfèrent pas au site que vous allez soumettre. Remarques et renseignements supplémentaires - Ici, vous pouvez ajouter une description ou des renseignements supplémentaires qui faciliteront l'analyse du site Web suspect. 4.7.10.3 Fichier faux positif Nous vous demandons de soumettre les fichiers qui sont détectés comme étant infectés, alors qu'ils ne le sont pas, et ce, afin de nous aider à améliorer notre moteur antivirus et anti-logiciel espion et augmenter la protection des autres. Les faux positifs (FP) peuvent se produire lorsque le modèle d'un fichier correspond au modèle contenu dans une banque de données de virus. Nom et version de l'application - Titre et version du programme (numéro, alias ou nom de code, par ex.). Origine du fichier (URL ou fournisseur) - Veuillez entrer l'origine du fichier (source) et indiquer comment vous avez obtenu ce fichier. Objectif de l'application - La description générale de l'application, le type d'application (par ex., navigateur, lecteur multimédia, etc.) et sa fonctionnalité. Remarques et renseignements supplémentaires - Ici, vous pouvez ajouter des renseignements ou des descriptions supplémentaires qui faciliteront le traitement du fichier suspect. REMARQUE : Les trois premiers paramètres sont requis pour identifier les applications légitimes et les distinguer des programmes malveillants. Le fait de fournir de l'information supplémentaire aidera grandement nos laboratoires lors du processus d'identification et du traitement des échantillons. 80 4.7.10.4 Site faux positif Nous vous encourageons de soumettre les sites qui sont détectés comme étant infectés, de fraude ou de hameçonnage, mais qui ne le sont pas. Les faux positifs (FP) peuvent se produire lorsque le modèle d'un fichier correspond au modèle contenu dans une banque de données de virus. Veuillez nous soumettre ce site Web afin de nous aider à améliorer notre moteur antivirus et antihameçonnage et augmenter la protection des autres. Remarques et renseignements supplémentaires - Ici, vous pouvez ajouter des renseignements ou des descriptions supplémentaires qui faciliteront le traitement du fichier suspect. 4.7.10.5 Autre Utilisez ce formulaire si le fichier ne peut être catégorisé comme un Fichier suspect ou comme un Faux positif. Raison de l'envoi du fichier - Veuillez entrer une description détaillée ainsi que la raison de l'envoi du fichier. 4.7.11 Quarantaine La quarantaine vise principalement à stocker les fichiers infectés de façon sécuritaire. Ces fichiers doivent être mis en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont détectés par erreur par ESET Mail Security. Vous pouvez choisir de mettre n'importe quel fichier en quarantaine. Il est conseillé de le faire si un fichier se comporte de façon suspecte, mais n'a pas été détecté par l'analyseur antivirus. Les fichiers en quarantaine peuvent ensuite être soumis pour analyse au laboratoire ESET Virus Lab. Les fichiers stockés dans le dossier de quarantaine peuvent être visualisés dans un tableau indiquant la date et l'heure de mise en quarantaine, le chemin de l'emplacement d'origine du fichier infecté, sa taille en octets, la raison (par exemple, un objet ajouté par l'utilisateur) et le nombre de menaces (par exemple, s'il s'agit d'une archive contenant plusieurs infiltrations). 81 Dans le cas où des objets de messagerie sont mis en quarantaine dans le fichier de quarantaine, des informations sous la forme d'un chemin d'accès à la boîte aux lettres/dossier/nom de fichier s'affichent. Mise de fichiers en quarantaine ESET Mail Security envoie automatiquement les fichiers supprimés en quarantaine (si l'utilisateur n'a pas désactivé cette option dans la fenêtre d'alerte). Au besoin, vous pouvez mettre manuellement en quarantaine tout fichier suspect en cliquant sur Quarantaine. Les fichiers mis en quarantaine seront supprimés de leur emplacement original. Il est également possible d'utiliser le menu contextuel à cette fin. Il suffit de cliquer avec le bouton droit dans la fenêtre Quarantaine et de sélectionner Quarantaine. Restaurer depuis la quarantaine Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement d'origine. Pour ce faire, utilisez la fonctionnalité Restaurer du menu contextuel après avoir cliqué avec le bouton droit sur un fichier indiqué dans la fenêtre de quarantaine. Si un fichier est signalé comme application potentiellement indésirable, l'option Restaurer et exclure de l'analyse sera offerte. Pour en savoir plus sur ce type d'application, consultez le glossaire. Le menu contextuel offre également l'option Restaurer vers... qui permet de restaurer des fichiers vers un emplacement autre que celui d'où ils ont été supprimés. REMARQUE : Si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer, veuillez l'exclure de l'analyse et de l'envoyer au Service à la clientèle ESET. Soumission d'un fichier de quarantaine Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été jugé infecté par erreur (par exemple, par l'analyse heuristique du code) et mis en quarantaine, envoyez ce fichier au laboratoire ESET Virus Lab. Pour soumettre un fichier mis en quarantaine, cliquez sur ce dernier avec le bouton droit de la souris, puis, dans le menu contextuel, sélectionnez Soumettre pour analyse. 4.8 Aide et assistance contient des outils de dépannage et de l'information d'assistance qui vous aideront à régler les problèmes auxquels vous pourriez devoir faire face. Aide Rechercher la base de connaissances ESET - La Base de connaissances ESET contient des réponses aux questions les plus fréquentes, ainsi que les solutions recommandées pour résoudre divers problèmes. Des mises à jour régulières effectuées par les conseillers techniques ESET font de la base de connaissances l'outil le plus puissant pour résoudre différents types de problèmes. Ouvrir l'aide - Cliquez sur ce lien pour lancer les pages d'aide de ESET Mail Security. Trouver une solution rapide - Sélectionnez cette option pour trouver les solutions aux problèmes les plus fréquents. Nous vous recommandons de lire cette section avant de communiquer avec le service d'assistance technique. Assistance à la clientèle Envoyer une demande d'assistance - Si vous ne trouvez pas de réponse à votre problème, vous pouvez également utiliser le formulaire qui se trouve sur le site Web d'ESET pour communiquer rapidement avec notre Service à la clientèle. 82 Outils d'assistance Encyclopédie des menaces- Lien vers l'Encyclopédie des menaces ESET, qui contient des renseignements sur les dangers et les symptômes des différents types d'infiltration. Historique de base de données de signatures de virus - Établit la liaison avec ESET Virus radar, qui contient des informations au sujet des versions de la base de données de signature des virus. ESET Specialized cleaner - Ce nettoyeur repère et supprime automatiquement les infections malveillantes communes. Pour en savoir plus, voir cet article de la Base de connaissances ESET. Renseignements sur le produit et la licence À propos de ESET Mail Security - Affiche des renseignements sur votre copie de ESET Mail Security. Gérer la licence - Cliquez pour lancer la fenêtre d'activation de votre produit. Sélectionnez l'une des méthodes offertes pour activer ESET Mail Security. Voir Comment activer ESET Mail Security pour plus de renseignements. 4.8.1 Comment faire Ce chapitre couvre certains des problèmes les plus fréquents et des questions les plus fréquemment posées. Cliquez sur l'intitulé d'une rubrique pour apprendre comment résoudre le problème : Comment effectuer la mise à jour de Activation Comment programmer une tâche d'analyse (toutes les 24 heures) Comment éliminer un virus de mon ordinateur Comment fonctionnent les exclusions automatiques? Si votre problème n'est pas couvert dans les pages d'aide indiquées ci-dessus, essayez d'effectuer une recherche en entrant les mots-clés ou phrases décrivant votre problème dans les pages d'aide de ESET Mail Security. Si vous ne pouvez pas trouver la solution à votre problème/question dans les pages d'aide, vous pouvez essayer notre Base de connaissances régulièrement mise à jour. Au besoin, vous pouvez communiquer directement avec notre centre d'assistance technique en ligne pour soumettre vos questions ou problèmes. Le formulaire se trouve dans l'onglet Aide de votre programme ESET. 4.8.1.1 Comment effectuer la mise à jour de ESET Mail Security La mise à jour de ESET Mail Security peut être effectuée manuellement ou automatiquement. Pour lancer la mise à jour, cliquez sur le bouton Mettre à jour la base des signatures de virus. Il se trouve dans la section Mise à jour du programme. L'installation par défaut crée une tâche de mise à jour automatique qui s'exécute chaque heure. Si vous devez modifier l'intervalle, allez au Planificateur (pour plus d'information sur le Planificateur, cliquez ici). 4.8.1.2 Comment activer ESET Mail Security Une fois l'installation terminée, vous serez invité à activer votre produit. Plusieurs options vous permettent d'activer votre produit. La disponibilité d'un scénario d'activation particulier dans la fenêtre d'activation peut varier selon le pays, ainsi que selon le moyen de distribution (CD/DVD, page Web ESET, etc.). Pour activer votre copie d'ESET Mail Security directement à partir du programme, cliquez sur l'icône de la barre d'état système , puis sélectionnez Activer la licence du produit à partir du menu. Vous pouvez également activer votre produit à partir du menu principal, sous Aide et assistance > Activer la licence ou État de la protection > Activer la licence du produit. 83 Vous pouvez utiliser l'une ou l'autre des méthodes suivantes pour activer ESET Mail Security : Clé de licence - Une chaîne de caractères unique au format XXXX-XXXX-XXXX-XXXX-XXXX utilisée pour l'identification du propriétaire de la licence et pour l'activation de cette dernière. Compte Security Admin - Compte créé sur le portail du Gestionnaire de licences ESET avec l'authentifiant (adresse électronique et mot de passe). Cette méthode vous permet de gérer plusieurs licences à partir d'un seul emplacement. Fichier de licence hors ligne - Fichier généré automatiquement qui sera transféré au produit ESET et qui contient les renseignements sur la licence. Votre fichier de licence hors ligne est généré par le portail de licences et utilisé dans des environnements où l'application ne peut pas se connecter au service de délivrance des licences. Cliquez sur Activer ultérieurement avec ESET Remote Administrator si votre ordinateur fait partie d'un réseau géré et que votre administrateur effectuera l'activation par l'entremise d'ESET Remote Administrator. Vous pouvez aussi utiliser cette option si vous voulez activer ce client ultérieurement. Cliquez sur Aide et soutien > Gestion de la licence dans la fenêtre principale du programme pour gérer les renseignements sur la licence en tout temps. L'identifiant de licence publique s'affichera, qui est utilisée pour identifier votre produit ESET et l'identification de la licence. Votre nom d'utilisateur, sous lequel l'ordinateur est enregistré dans le système d'octroi de licences, est stocké dans la section À propos. Pour afficher votre nom d'utilisateur, cliquez à droite sur l'icône de la barre d'état système . REMARQUE : ESET Remote Administrator est capable d'activer silencieusement les ordinateurs clients en utilisant les licences mises à disposition par l'administrateur. 4.8.1.3 Comment ESET Mail Security compte-il les boîtes de courriel? Pour en savoir plus, voir notre article dans la Base de connaissances. 4.8.1.4 Comment créer une nouvelle tâche dans le Planificateur Pour créer une nouvelle tâche dans Outils > Planificateur, cliquez sur Ajouter une tâche ou cliquez à l'aide du bouton droit et sélectionnez Ajouter dans le menu contextuel. Cinq types de tâches planifiées sont disponibles : Exécuter une application externe - Planifie l'exécution d'une application externe. Maintenance des journaux - Les fichiers journaux contiennent les restes des enregistrements supprimés. Cette tâche optimise les enregistrements dans les fichiers journaux de façon régulière, afin qu'ils puissent fonctionner de façon efficace. Vérification des fichiers de démarrage du système - Vérifie les fichiers qui peuvent être exécutés au démarrage du système ou lors de l'ouverture de session. Créer un instantané de l'état de l'ordinateur - Crée un instantané de l'ordinateur ESET SysInspector - recueille des renseignements détaillés sur les composants système (pilotes, applications, par ex.) et évalue le niveau de risque de chacun des composants. Analyse de l'ordinateur à la demande - Effectue l'analyse des fichiers et des dossiers de votre ordinateur. Première analyse - Par défaut, une analyse de l'ordinateur sera effectuée 20 minutes après l'installation ou le redémarrage comme tâche à priorité faible. Mise à jour - Planifie une tâche de mise à jour en mettant à jour la base de données des signatures de virus et les modules du programme. 84 Puisque la Mise à jour est l'une des tâches planifiées les plus souvent utilisées, nous expliquerons ci-après comment ajouter une nouvelle tâche de mise à jour : Dans le menu déroulant Tâche planifiée, sélectionnez Mise à jour. Entrez le nom de la tâche dans le champ Nom de la tâche puis cliquez sur Suivant. Sélectionnez la fréquence de la tâche. Les options suivantes sont disponibles : Une fois, Plusieurs fois, Quotidiennement, Chaque semaine et Déclenchée par un événement. Sélectionnez Ignorer la tâche lorsque l'ordinateur portable fonctionne sur batterie afin de minimiser les ressources systèmes sous ce mode d'alimentation. La tâche sera exécutée à la date et à l'heure indiquées dans les champs Exécution de la tâche. On peut ensuite définir l'action à entreprendre si la tâche ne peut pas être effectuée ou terminée à l'heure planifiée. Les options suivantes sont disponibles : À la prochaine heure planifiée Dès que possible Immédiatement, si le temps écoulé depuis la dernière exécution dépasse une valeur spécifique (l'intervalle peut être défini à l'aide de la case de défilement Heure depuis la dernière exécution) Dans l'étape suivante, une fenêtre de résumé des informations sur la tâche planifiée en cours s'affiche. Cliquez sur Terminer une fois les modifications terminées. Une boîte de dialogue s'ouvre pour permettre de choisir les profils à utiliser pour la tâche planifiée. Ici, vous pouvez définir le profil principal et le profil secondaire. Le profil secondaire est utilisé lors que la tâche ne peut pas se terminer en utilisant le profil principal. Confirmez en cliquant sur Terminer et la nouvelle tâche planifiée sera ajoutée à la liste des tâches planifiées. 4.8.1.5 Comment planifier une tâche d'analyse (toutes les 24 heures) Pour planifier une tâche régulière, allez à ESET Mail Security > Outils > Planificateur. Vous trouvez ci-dessous un guide abrégé qui explique comment planifier une tâche pour lancer l'analyse des disques locaux toutes les 24 heures. Pour planifier une tâche : 1. Cliquez sur Ajouter dans la fenêtre principale du Planificateur. 2. Sélectionnez Analyse de l'ordinateur à la demande dans le menu déroulant. 3. Entrez un nom pour cette tâche et sélectionnez De façon répétée. 4. Choisissez de lancer la tâche toutes les 24 heures (1 440 minutes). 5. Sélectionnez une action à entreprendre en cas d'échec de l'exécution de la tâche pour une raison quelconque. 6. Passez en revue le résumé de la tâche planifiée, puis cliquez sur Terminer. 7. À partir du menu déroulant Cibles, sélectionnez Disques locaux. 8. Cliquez sur Terminer pour appliquer la tâche. 4.8.1.6 Comment éliminer un virus de votre serveur Si votre ordinateur montre des signes d'infection par un logiciel malveillant, par exemple s'il est lent ou fige souvent, nous vous recommandons d'effectuer les opérations suivantes : 1. À partir de la fenêtre principale de ESET Mail Security, cliquez sur Analyse de l'ordinateur. 2. Cliquez sur Analyse intelligente pour lancer l'analyse de votre système. 3. Une fois l'analyse terminée, consultez le journal pour connaître le nombre de fichiers analysés, infectés et nettoyés. 4. Si vous ne souhaitez analyser qu'une certaine partie de votre disque, choisissez Analyse personnalisée et sélectionnez des cibles à analyser. 85 4.8.2 Soumettre une demande d'assistance Afin d'offrir l'assistance la plus rapide et la plus précise possible, ESET a besoin des informations sur la configuration de ESET Mail Security, sur la configuration du système, sur les processus en cours d'exécution (Fichier journal ESET SysInspector) et les données du registre. ESET utilisera ces données pour fournir une assistance technique au client. Lorsque vous soumettez le formulaire Web, les données de configuration de votre système sont envoyées à ESET. Sélectionnez Toujours soumettre ces données si vous voulez mémoriser cette action pour ce processus. Pour soumettre le formulaire sans envoyer de données, cliquez sur Ne pas soumettre les données. Vous pouvez alors communiquer avec le service à la clientèle ESET à l'aide du formulaire d'assistance en ligne. Ce paramètre peut également être configuré dans Configuration avancée > Outils > Diagnostics > Service à la clientèle. REMARQUE : Si vous avez décidé de soumettre les données du système, il est nécessaire de remplir et de soumettre le formulaire Web, sinon votre billet ne sera pas créé et vos données du système seront perdues. 4.8.3 Logiciel de nettoyage spécialisé ESET Le Logiciel de nettoyage spécialisé ESET est un outil de suppression d'infections courantes par des logiciels malveillants comme Conficker, Sirefef ou Necurs. Pour de plus amples renseignements, veuillez lire cet article de la Base de connaissance ESET. 4.8.4 À propos de ESET Mail Security Cette fenêtre fournit des détails sur la version installée de ESET Mail Security et dresse la liste des modules du programme installés. La partie supérieure de la fenêtre contient de l'information sur votre système d'exploitation et les ressources du système. Vous pouvez copier l'information à propos des modules (Composants installés) dans le presse-papiers en cliquant sur Copier. Cela peut être utile lorsque vous dépannez le logiciel ou que vous devez communiquer avec le service 86 d'assistance technique. 4.8.5 Activation du produit Une fois l'installation terminée, vous serez invité à activer votre produit. Plusieurs options vous permettent d'activer votre produit. La disponibilité d'un scénario d'activation particulier dans la fenêtre d'activation peut varier selon le pays, ainsi que selon le moyen de distribution (CD/DVD, page Web ESET, etc.). Pour activer votre copie d'ESET Mail Security directement à partir du programme, cliquez sur l'icône de la barre d'état système , puis sélectionnez Activer la licence du produit à partir du menu. Vous pouvez également activer votre produit à partir du menu principal, sous Aide et assistance > Activer la licence ou État de la protection > Activer la licence du produit. Vous pouvez utiliser l'une ou l'autre des méthodes suivantes pour activer ESET Mail Security : Clé de licence - Une chaîne de caractères unique au format XXXX-XXXX-XXXX-XXXX-XXXX utilisée pour l'identification du propriétaire de la licence et pour l'activation de cette dernière. Compte Security Admin - Compte créé sur le portail du Gestionnaire de licences ESET avec l'authentifiant (adresse électronique et mot de passe). Cette méthode vous permet de gérer plusieurs licences à partir d'un seul emplacement. Fichier de licence hors ligne - Fichier généré automatiquement qui sera transféré au produit ESET et qui contient les renseignements sur la licence. Votre fichier de licence hors ligne est généré par le portail de licences et utilisé dans des environnements où l'application ne peut pas se connecter au service de délivrance des licences. Cliquez sur Activer ultérieurement avec ESET Remote Administrator si votre ordinateur fait partie d'un réseau géré et que votre administrateur effectuera l'activation par l'entremise d'ESET Remote Administrator. Vous pouvez aussi utiliser cette option si vous voulez activer ce client ultérieurement. Cliquez sur Aide et soutien > Gestion de la licence dans la fenêtre principale du programme pour gérer les renseignements sur la licence en tout temps. L'identifiant de licence publique s'affichera, qui est utilisée pour identifier votre produit ESET et l'identification de la licence. Votre nom d'utilisateur, sous lequel l'ordinateur est enregistré dans le système d'octroi de licences, est stocké dans la section À propos. Pour afficher votre nom d'utilisateur, cliquez à droite sur l'icône de la barre d'état système . REMARQUE : ESET Remote Administrator est capable d'activer silencieusement les ordinateurs clients en utilisant les licences mises à disposition par l'administrateur. 4.8.5.1 Enregistrement Veuillez enregistrer votre licence en remplissant les champs contenus dans le formulaire d'enregistrement et en cliquant sur Continuer. Les champs obligatoires doivent absolument être remplis. Ces informations ne seront utilisées que pour les questions concernant votre licence ESET. 4.8.5.2 Activation de Security Admin Le compte Security Admin est un compte créé dans le portail de licences, en utilisant votre adresse de courriel et votre mot de passe, qui est capable de voir les autorisations de tous les sièges. Un compte Security Admin vous permet de gérer de multiples licences. Si vous n'avez pas de compte Security Admin, cliquez sur Créer un compte et vous serez redirigé vers la page Web Gestionnaire de licences ESET où vous pourrez enregistrer vos informations d'identification. Si vous avez oublié votre mot de passe, cliquez sur Mot de passe oublié? et vous serez redirigé vers le portail d'affaires d'ESET. Entrez votre adresse électronique et cliquez sur Soumettre pour confirmer. Après cela, vous recevrez un message avec les instructions pour la réinitialisation de votre mot de passe. REMARQUE : Pour plus d'information sur l'utilisation du Gestionnaire de licences ESET, voir la Guide d'utilisation Gestionnaire de licences ESET. 87 4.8.5.3 Échec de l'activation L'activation de ESET Mail Security a échoué. Veuillez-vous assurer que vous avez saisi la bonne Clé de licence ou joint une Licence hors ligne. Si vous avez une Licence hors ligne différente, veuillez la saisir à nouveau. Pour vérifier la clé de licence que vous avez entrée, cliquez sur Vérifier la clé de licence de nouveau ou cliquez sur Acheter une nouvelle licence et vous serez redirigé vers notre page Web où vous pourrez acheter une nouvelle licence. 4.8.5.4 Licence Si vous choisissez l'option d'activation par Security Admin, vous recevrez une invite vous demandant de sélectionner la licence associée à votre compte qui sera utilisée pour ESET Mail Security. Cliquez sur Activer pour continuer. 4.8.5.5 Progression de l'activation ESET Mail Security est en cours d'activation, veuillez patienter. Cette opération peut prendre un certain temps. 4.8.5.6 Activation réussie L'activation a réussi et ESET Mail Security est maintenant activé. Dorénavant, ESET Mail Security recevra régulièrement des mises à jour afin de pourvoir identifier les menaces les plus récentes et protéger votre ordinateur. Cliquez sur Terminé pour terminer l'activation du produit. 88 5. Utilisation de ESET Mail Security Le menu Configuration contient les sections suivantes, entre lesquelles vous pouvez basculer à l'aide des onglets : Serveur Ordinateur Outils Pour désactiver temporairement des modules individuels, cliquez sur l' interrupteur vert situé à côté du module désiré. Notez que cela peut réduire le niveau de protection de l'ordinateur. Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur l'interrupteur rouge pour rétablir le composant à son état activé. Pour accéder aux paramètres détaillés d'un composant de sécurité en particulier, cliquez sur la roue dentée . Cliquez sur Configuration avancée ou appuyez sur la touche F5 pour accéder aux autres paramètres des composants et options. On trouve également des options supplémentaires au bas de la fenêtre de configuration. L'option Importer et exporter les paramètres permet de charger des paramètres de configuration à l'aide d'un fichier de configuration .xml ou d'enregistrer les paramètres de configuration actuels dans un fichier de configuration. Veuillez consulter la section Importer/Exporter les paramètres pour plus de détails. 89 5.1 Serveur ESET Mail Security offre une protection substantielle à Microsoft Exchange Server grâce aux fonctionnalités suivantes : Antivirus et anti-logiciel espion Protection antipourriel Règles Protection du transport du courriel (Exchange Server 2007, 2010, 2013) Protection de la base de données de la boîte de courriel (Exchange Server 2003, 2007, 2010) Protection de la base de données de la boîte de courriel (Exchange Server 2007, 2010, 2013) Quarantaine (paramètres du type Quarantaine de courriel) Cette section Configuration avancée vous permet d'activer ou de désactiver l'intégration de la Protection de la base de données de la boîte de courriel et de la Protection du transport du courriel, ainsi que de modifier la Priorité de l'agent. REMARQUE : Si vous exécutez Microsoft Exchange Server 2007 ou 2010, vous pouvez choisir entre Protection de la base de données de la boîte de courriel et Analyse de la base de données à la demande. Cependant, il n'est possible d'activer qu'un seul des deux types de protection à la fois. Si vous décidez d'utiliser l'option Analyse de la base de données à la demande, vous devrez désactiver l'intégration de la Protection de la base de données de la boîte de courriel. Sinon l'option Analyse de la base de données à la demande ne sera pas disponible. 90 5.1.1 Configuration de la priorité de l'agent Dans le menu Configuration de la priorité de l'Agent, vous pouvez établir la priorité selon laquelle les Agents ESET Mail Security deviennent actifs après le démarrage de Microsoft Exchange Server. La valeur numérique définit la priorité. Plus le nombre est bas, plus la priorité est élevée. Cela s'applique à Microsoft Exchange Server 2003. Cliquez sur le bouton Modifier pour accéder à la configuration de la priorité de l'Agent. Vous pouvez établir la priorité selon laquelle les Agents ESET Mail Security deviennent actifs après le démarrage de Microsoft Exchange Server. Modifier - Pour définir manuellement le nombre afin de modifier la priorité de l'Agent sélectionné. Déplacer vers le haut - Pour augmenter la priorité de l'Agent sélectionné en le déplaçant vers le haut dans la liste des Agents. Déplacer vers le bas - Pour diminuer la priorité de l'Agent sélectionné en le déplaçant vers le bas dans la liste des Agents. Grâce à Microsoft Exchange Server 2003, vous pouvez spécifier la priorité de l'Agent en utilisant de manière indépendante les onglets pour la fin des données et le destinataire. 5.1.1.1 Modification de la priorité Si vous exécutez Microsoft Exchange Server 2003, vous pouvez définir manuellement le nombre pour modifier la Priorité de l'agent de transport. Modifiez le nombre dans la zone de texte ou utilisez les flèches ascendante et descendante pour modifier la priorité. Plus le nombre est bas, plus la priorité est élevée. 91 5.1.2 Configuration de la priorité de l'agent Dans le menu Configuration de la priorité de l'Agent, vous pouvez établir la priorité selon laquelle les Agents ESET Mail Security deviennent actifs après le démarrage de Microsoft Exchange Server. Cela s'applique à Microsoft Exchange Server 2003 et versions ultérieures. Déplacer vers le haut - Pour augmenter la priorité de l'Agent sélectionné en le déplaçant vers le haut dans la liste des Agents. Déplacer vers le bas - Pour diminuer la priorité de l'Agent sélectionné en le déplaçant vers le bas dans la liste des Agents. 5.1.3 Antivirus et anti-logiciel espion Dans cette section, vous pouvez configurer les options Antivirus et anti-logiciel espion de votre serveur de courriel. IMPORTANT : La protection du transport du courriel est offerte par l'agent de transport et n'est disponible que pour Microsoft Exchange Server 2007 et versions ultérieures, mais votre Exchange Server doit avoir le rôle Edge Transport Server ou Hub Transport Server. Cela s'applique aussi à l'installation d'un seul serveur avec plusieurs rôles Exchange Serveur sur un ordinateur (tant qu'il inclut le rôle Edge ou Hub Transport). Protection du transport du courriel : Si vous décochez l'option Activer la protection antivirus et anti-logiciel espion du transport du courriel, le module d'extension ESET Mail Security pour le serveur Exchange ne sera pas déchargé du processus du serveur Microsoft Exchange. Il ne fera que passer à travers les messages sans faire une analyse de détection des virus sur la couche de transport. Les messages seront quand même analysés à la recherche de virus et de pourriel sur la couche de la base de données et les règles existantes seront appliquées. 92 Protection de la base de données de la boîte de courriel : Si vous décochez l'option Activer la protection antivirus et anti-logiciel espion de la base de données de la boîte de courriel, le module d'extension ESET Mail Security pour le serveur Exchange ne sera pas déchargé du processus du serveur Microsoft Exchange. Il ne fera que passer à travers les messages sans faire une analyse de détection des virus sur la couche de la base de données. Les messages seront quand même analysés à la recherche de virus et de pourriel sur la couche de la base de données et les règles existantes seront appliquées. 93 5.1.4 Protection antipourriel Par défaut, la protection antipourriel de votre serveur de courriel est activée. Pour la désactiver, cliquez sur l'interrupteur situé à côté de l'option Activer la protection antipourriel. L'activation de la fonction Utiliser les listes blanches Exchange Server pour contourner automatiquement la protection antipourriel permet à ESET Mail Security d'utiliser des « listes blanches » Exchange spécifiques. Lorsqu'elle est activée, les points suivants sont pris en compte : L'envoi de l'adresse IP du serveur est sur la liste des adresses IP autorisées du serveur Exchange L'indicateur de Contournement antipourriel est réglé dans la boîte aux lettres du destinataire du message L'adresse de l'expéditeur figure sur la Liste des Expéditeurs fiables du destinataire du message (assurez-vous que vous avez configuré la synchronisation de la Liste des expéditeurs fiables dans votre environnement Exchange Server, y compris l'Agrégation des listes fiables) Si l'un de ces cas s'applique à un message entrant, la vérification antipourriel de ce message sera court-circuitée. Le message ne fera pas l'objet d'une vérification antipourriel et sera livré dans la boîte de courriel du destinataire. L'Indicateur d'acceptation du contournement antipourriel configuré sur la session SMTP est utile lorsque vous avez des sessions SMTP authentifiées entre les serveurs Exchange dont la configuration de contournement antipourriel est activée. Par exemple, lorsque vous avez un serveur Edge et un serveur Hub, il n'est pas nécessaire d'analyser le trafic entre ces deux serveurs. L'Indicateur d'acceptation du contournement antipourriel configuré sur la session SMTP est activé par défaut, mais ne s'applique que lorsque l'indicateur de contournement antipourriel est configuré pour la session SMTP sur votre Exchange Server. Si vous désactivez l'option Indicateur d'acceptation du contournement antipourriel configuré sur la session SMTP, ESET Mail Security analysera la session SMTP à la recherche de pourriel, sans égard au paramètre de contournement antipourriel dans votre Exchange Server. REMARQUE : Il est nécessaire que la base de données antipourriel soit mise à jour régulièrement pour que le module antipourriel offre la meilleure protection possible. Pour autoriser la mise à jour régulière de la base de données antipourriel, assurez-vous que ESET Mail Security ait accès aux bonnes adresses IP sur les ports 94 nécessaires. Pour en savoir plus sur les adresses IP et les ports à activer sur votre coupe-feu tiers, voir notre article sur la Base de connaissances. 5.1.4.1 Filtrage et vérification Vous pouvez configurer les listes Autoriser, Bloquer et Ignorer en spécifiant des critères comme l'adresse IP ou l'intervalle, le nom de domaine, etc. Pour ajouter, modifier ou supprimer un critère, cliquez sur Modifier pour la liste à gérer. Liste des IP approuvées – inscrit automatiquement sur une liste blanche les courriels provenant des adresses IP spécifiées. Liste des IP bloquées - bloque automatiquement les courriels provenant des adresses IP spécifiées. Liste des IP ignorées - liste des adresses IP qui seront ignorées pendant la classification. Liste des domaines bloqués en corps de message - bloque les courriels qui contiennent le domaine spécifié dans le corps de message. Liste des domaines ignorés en corps de message - les domaines spécifiés dans le corps de message seront ignorés pendant la classification. Liste des IP bloquées en corps de message - bloque les courriels dont le corps de message contient l'adresse IP spécifiée. Liste des IP ignorées en corps de message - les adresses IP spécifiées dans le corps de message seront ignorées pendant la classification. Liste des expéditeurs approuvés – inscrit sur une liste blanche les courriels provenant de l'expéditeur spécifiée. Liste des expéditeurs bloqués – bloque les courriels provenant de l'expéditeur spécifié. Liste des domaines approuvés aux IP - inscrit sur une liste blanche les courriels provenant des adresses IP qui sont résolues à partir des domaines spécifiés dans cette liste. Liste des domaines bloqués aux IP - bloque les courriels provenant des adresses IP qui sont résolues à partir des domaines spécifiés dans cette liste. Liste des domaines ignorés aux IP - liste des domaines qui se résolvent en adresses IP, lesquelles ne peuvent être à leur tour vérifiées pendant la classification. Liste des jeux de caractères bloqués - bloque les courriels dans les jeux de caractères spécifiés. Liste des pays bloqués - bloque les courriels provenant des pays spécifiés. 95 REMARQUE : Si vous voulez ajouter plusieurs entrées à la fois, cliquez sur Entrer de multiples valeurs dans la fenêtre contextuelle Ajouter et sélectionner le séparateur à utiliser - Retour à la ligne, Virgule ou Point-virgule. Par exemple : 5.1.4.2 Paramètres avancés Ces paramètres autorise la vérification des messages par les serveurs externes (RBL - Realtime Blackhole List, DNSBL - DNS Blocklist) en fonction des critères définis. Nombre maximum d'adresses vérifiées à partir de Reçues : en-têtes. - Vous pouvez limiter le nombre d'adresses IP qui sont vérifiées par antipourriel. Cela vise les adresse IP écrites dans les en-têtes Received: from. La valeur par défaut est 0, qui n'impose aucune limite. Vérifier l'adresse de l'expéditeur par rapport à la liste noire des utilisateurs finaux. - Les courriels qui ne sont pas envoyés à partir des serveurs de courriel (les ordinateurs qui ne sont pas dans la liste en tant que serveurs de courriel) sont vérifiés pour s'assurer que l'expéditeur n'est pas sur la liste noire. Cette option est désactivée par défaut. Vous pouvez la désactiver au besoin, mais les messages qui ne sont pas envoyés à partir des serveur de courriel ne seront pas vérifiées par rapport à la liste noire. Serveurs RBL supplémentaires - Spécifie une liste de serveurs Realtime Blackhole List (RBL) à interroger lors de l'analyse des messages. REMARQUE : Lors de l'ajout de serveurs RBL supplémentaires, veuillez entrer le nom de domaine du serveur avec un code de retour sous la forme serveur : réponse (par ex. : zen.spamhaus.org:127.0.0.4). Aussi, ajoutez chaque nom de serveur et chaque code de retour séparément pour obtenir une liste complète. Cliquez sur Entrez des valeurs multiples dans la fenêtre contextuelle Ajouter pour spécifier tous les noms de serveur et leurs codes de retour. Les entrées devraient ressembler à cet exemple, le nom d'hôte des serveurs RBL et les codes de retour peuvent varier : 96 Limite d'exécution de la requête RBL (en secondes) - Cette option vous permet d'établir un délai maximal pour les requêtes RBL. Les réponses RBL ne sont utilisées que si elles proviennent des serveurs RBL qui répondent à temps. Si la valeur est réglée à « 0 », il n'y a pas de délai d'attente maximal. 97 Nombre maximum d'adresses vérifiées par rapport à la liste RBL - Cette option vous permet de limiter le nombre d'adresses IP interrogées par rapport au serveur RBL. Veuillez noter que le nombre total de requêtes RBL correspondra au nombre d'adresses IP dans les en-têtes dans le dossier Reçus : les en-têtes (jusqu'à un maximum d'adresses IP vérifiées par rapport à la liste RBL) multiplié par le nombre de serveurs RBL spécifiés dans la liste RBL. Si la valeur est réglée à « 0 », un nombre illimité d'en-têtes reçus sera vérifié. Veuillez noter que les adresses IP qui correspondent à la liste d'adresses IP ignorées ne comptent pas dans la limite d'adresses IP RBL. Serveurs DNSBL supplémentaires - Une liste des serveurs DNS Blocklist (DNSBL) à interroger avec les domaines et les adresses IP extraits du corps de message. REMARQUE : Lors de l'ajout de serveurs DNSBL supplémentaires, veuillez entrer le nom de domaine du serveur avec un code de retour sous la forme serveur : réponse (par ex. : zen.spamhaus.org:127.0.0.4). Aussi, ajoutez chaque nom de serveur et code de retour séparément pour obtenir une liste complète. Cliquez sur Entrer des valeurs multiples dans la fenêtre contextuelle Ajouter pour spécifier tous les noms de serveur et leurs codes de retour. Les entrées devraient ressembler à cet exemple, le nom d'hôte des serveurs DNSBL et les codes de retour peuvent varier : 98 Limite d'exécution de la requête DNSBL (en secondes) - Permet d'établir un délai d'attente maximal pour toutes les requêtes DNSBL à compléter. Nombre maximum d'adresses vérifiées par rapport à la liste DNSBL - Permet de limiter le nombre d'adresses IP interrogées par rapport au serveur DNS Blocklist. Nombre maximum de domaines vérifiés par rapport à la liste DNSBL - Permet de limiter le nombre de domaines interrogés par rapport au serveur DNS Blocklist. Activer la journalisation diagnostique du moteur - Écrit de l'information détaillée à propos du moteur antipourriel dans les fichiers journaux pour fins de diagnostic. Taille maximale de l'analyse des messages (ko) - Permet de limiter l'analyse antipourriel des messages dont la taille est supérieure à la valeur spécifiée. Ces messages ne seront pas analysés par le moteur antipourriel. Comportement : Si la taille maximale de l'analyse des messages est réglée à : 0 = analyse illimitée Si la taille maximale des messages est réglée à : 1 - 12288 = 12288 Si la taille maximal de l'analyse des messages est réglée à : plus de 1288 = fixer la valeur La valeur minimale recommandée est de 100 ko. 5.1.4.3 Paramètres Greylisting La fonction Activer Greylisting active une fonctionnalité qui protège les utilisateurs contre les pourriels en utilisant la technique suivante : L'agent de transport envoie une valeur de retour SMTP de « rejet temporaire » (la valeur par défaut étant 451/4.7.1) pour tout message reçu ne provenant pas d'un expéditeur reconnu. Après un certain temps, un serveur légitime tentera de renvoyer le message. De façon générale, les serveurs de pourriel ne tentent pas de renvoyer le message, puisqu'ils utilisent des milliers d'adresses de courriel et ne perdront donc pas de temps à essayer de renvoyer un message. Greylisting est une autre couche de protection antipourriel, mais elle n'a aucun effet sur les capacités d'évaluation du pourriel du module antipourriel. Pour évaluer la source du message, Greylisting utilise une méthode qui tient compte de la configuration des listes Adresses IP approuvées, Adresses IP ignorées, Expéditeurs fiables et Autoriser l'adresse IP sur le serveur Exchange et des paramètres de contournement de la protection antipourriel de la boîte de courriel du destinataire. Les courriels provenant de ces listes d'adresses IP/d'expéditeurs ou les courriels livrés dans la boîte de courriel pour laquelle l'option de contournement de la protection antipourriel a été activée ne seront pas évalués par la méthode de détection Greylisting. 99 Utiliser seulement la partie du domaine de l'adresse de l'expéditeur - Ignore le nom de l'expéditeur dans l'adresse de courriel, seul le domaine est pris en compte. Temps limite avant le refus de la connexion initiale (min) - Lors de la première tentative de livraison d'un message temporairement refusé, ce paramètre définit la durée pendant laquelle le message sera toujours refusé (calculé à partir du premier refus). Une fois le délai écoulé, le message sera accepté. La valeur minimale que vous pouvez entrer est 1 minute. Délai d'expiration des connexions non vérifiées (heures) - Ce paramètre définit la durée minimale pendant laquelle le triplet de données sera stocké. Un serveur valide doit renvoyer le message voulu avant l'expiration de cette période. Cette valeur doit être supérieure à la valeur du Délai de refus de la connexion initiale. Délai d'expiration des connexions vérifiées (jours) - Le nombre minimal de jours pendant lequel le triplet de données sera stocké, délai pendant lequel les messages envoyés par un expéditeur particulier seront acceptés sans délai. Cette valeur doit être supérieure à la valeur du Délai d'expiration des connexions non vérifiées. Réponse SMTP (des connexions refusées temporairement - Vous pouvez spécifier un Code de réponse, un Code d'état et un Message de réponse pour définir la réponse de refus temporaire envoyée au serveur SMTP si un message est refusé. Exemple d'un message de réponse de refus SMTP : Code de réponse Code d'état Message de réponse 451 4.7.1 Requête d'action abandonnée : une erreur locale de traitement est survenue AVERTISSEMENT : Une syntaxe incorrecte des codes de réponse SMTP pourrait entraîner un mauvais fonctionnement de la protection Greylisting. Ainsi, il est possible d'envoyer les pourriels peuvent être envoyés aux clients ou de ne jamais les envoyer. 100 REMARQUE : Vous pouvez également utiliser les variables du système au moment de définir la réponse de refus SMTP. 5.1.5 Règles Les Règles permettent aux administrateurs de définir manuellement les conditions de filtrage des courriels et les actions à entreprendre pour les courriels filtrés. Il existe trois ensembles de règles distincts : Les règles disponibles dans votre système dépendent de la version de Microsoft Exchange Server qui est installée sur votre serveur avec ESET Mail Security : Protection de la base de données de la boîte de courriel - Ce type de protection est seulement offerte pour Microsoft Exchange Server 2010, 2007 et 2003 lorsqu'exécuté dans le rôle du Serveur de boîte de courriel (Microsoft Exchange 2010 et 2007) ou du Serveur dorsal (Microsoft Exchange 2003). Ce type d'analyse peut être exécuté lors de l'installation d'un seul serveur avec plusieurs rôles Exchange Serveur sur un ordinateur (tant qu'il inclut le rôle de la boîte de courriel ou le rôle du Serveur dorsal). Protection du transport du courriel - Cette protection est fournie par l'agent de transport et n'est offerte que pour Microsoft Exchange Server 2007 ou versions ultérieures s'exécutant dans le rôle Edge Transport Server ou Hub Transport Server. Ce type d'analyses peut être exécuté lors de l'installation d'un seul serveur avec plusieurs rôles Exchange Serveur sur un ordinateur (tant qu'il inclut l'un des rôles de serveur mentionnés). Analyse de la base de données à la demande - Pour exécuter ou planifier une analyse de la base de données de la boîte de courriel Exchange. Cette fonctionnalité est seulement offerte pour Microsoft Exchange Server 2007 ou versions ultérieures s'exécutant dans le rôle Serveur de boîte de courriel ou Hub Transport. Cela s'applique aussi à l'installation d'un seul serveur avec plusieurs rôles Exchange Serveur sur un ordinateur (tant qu'il inclut l'un des rôles de serveur mentionnés). Voir Rôles Exchange Server 2013 pour obtenir des précisions sur les rôles dans Exchange 2013. 5.1.5.1 Liste des règles Une règle comprend des conditions et des actions. Une fois que toutes les conditions sont rencontrées pour un courriel, les actions seront entreprises pour ce courriel. En d'autres mots, les règles sont appliquées en fonction d'un ensemble de conditions combinées. Si plusieurs conditions existent pour une règle, elles seront combinées à l'aide de l'opérateur logique ET, et la règle ne sera appliquée que si les conditions sont rencontrées. La fenêtre de la liste Règles affiche les règles existantes. Les règles sont classées en trois niveaux et sont évaluées dans l'ordre suivant : Règles de filtrage (1) Règles de traitement des fichiers joints (2) Règles de traitement des résultats (3) Les règles de même niveau sont évaluées dans l'ordre dans lequel elles sont affichées dans la fenêtre Règles. Il est possible de modifier l'ordre des règles, mais seulement de celles qui appartiennent au même niveau. Par exemple, lorsque vous avez plusieurs règles de filtrage, vous pouvez modifier l'ordre dans lequel elles sont appliquées. Vous ne pouvez pas modifier leur ordre en plaçant des règles de Traitement des fichiers joints avant des règles de Filtrage - les flèches de déplacement Vers le haut/Vers le bas ne seront pas disponibles. En d'autres mots, vous ne pouvez pas mélanger les règles appartenant à des Niveaux différents. La colonne Occurrences indique le nombre de fois que la règle a été appliquée avec succès. Décocher une case (qui se trouve à gauche de chaque nom de règle) désactive la règle correspondante jusqu'à ce que vous cochiez la case de nouveau. Ajouter... - ajoute nouvelle règle Modifier... : modifie une règle existante Supprimer - Supprime la règle sélectionnée Déplacer vers le haut - Déplace la règle sélectionnée vers le haut de la liste Déplacer vers le bas - Déplace la règle sélectionnée vers le bas de la liste Réinitialiser - Réinitialise le compteur de la règle sélectionnée (la colonne Occurrences) 101 REMARQUE : Si une nouvelle règle a été ajoutée ou qu'une règle existante a été modifiée, une nouvelle analyse du message sera automatiquement lancée à l'aide des nouvelles règles ou des règles modifiées. Un message est vérifié en fonction des règles lorsqu'il est traité par l'agent de transport (AT) ou VSAPI. Lorsque l'agent de transport et VSAPI sont activés et que le message satisfait aux conditions d'une règle, le compteur de règles pourrait indiquer une augmentation de 2 ou plus. Comme VSAPI accède au corps et au fichier joint d'un message de façon indépendante, les règles sont appliquées à chaque partie de façon individuelle. Les règles sont aussi appliquées pendant l'analyse en arrière-plan (par exemple lorsque ESET Mail Security exécute une analyse de la boîte de courriel après le téléchargement d'une nouvelle base de données des signatures de virus), ce qui peut faire hausser le compteur de la règle. 5.1.5.1.1 Assistant de configuration des règles Vous pouvez définir les paramètres Conditions et Actions en utilisant l'assistant de configuration de la Règle. Définissez d'abord la ou les Conditions, ensuite la ou les Actions. Cliquez sur Ajouter et la fenêtre Condition à la règle apparaîtra, dans laquelle vous pouvez sélectionner un type de conditions, d'opérations et de valeurs. À partir d'ici, vous pouvez ajouter une Action appliquée à la règle. Une fois que vous avez défini les conditions et les actions, tapez un Nom pour la règle (qui vous aidera à reconnaître la règle). Ce nom sera affiché dans la Liste des règles. Si vous souhaitez préparer les règles, mais que vous planifiez les utiliser plus tard, vous pouvez cliquer sur l'interrupteur situé à côté de l'élément Active pour désactiver la règle. Pour activer la règle, cochez la case à côté de la règle que vous voulez activer à partir de la Liste des règles. REMARQUE : Nom est un champ obligatoire : s'il est surligné en rouge, tapez le nom de la règle dans la zone de texte et cliquez sur le bouton OK pour créer la règle. Le surlignage rouge ne disparaît pas, même si vous avez entré le nom d'une règle; il disparaîtra une fois que vous aurez cliqué sur OK. Certaines Conditions et certaines Actions diffèrent, c'est-à-dire celles spécifiques à la Protection du transport du courriel, la Protection de la base de données de la boîte de courriel et l'Analyse de la base de données à la demande. La raison est que chacun de ces types de protection utilise une approche légèrement différente lors du traitement des messages, notamment la Protection du transport du courriel. REMARQUE : Si vous configurez le type d'Action Journaliser aux événements pour la Protection de la base de données de la boîte de courriel en utilisant le paramètre %IPAddress%, la colonne Événement dans les Fichiers 102 journaux sera vide pour cet événement en particulier. La raison est qu'il n'y a aucune adresse IP au niveau de la Protection de la base de données de la boîte de courriel. Certaines options ne sont pas disponibles à tous les niveaux de protection : Adresse IP - Ignorée par l'Analyse de la base de données à la demande et la Protection de la base de données de la boîte de courriel Boîte de courriel - Ignorée par la Protection du transport du courriel 5.1.5.1.1.1 Condition de la règle Cet assistant vous permet d'ajouter des conditions à une règle. Sélectionnez Type > Opération à partir de la liste déroulante (la liste d'opérations est différente selon le type de règle que vous choisissez et sélectionnez Paramètre. Les champs Paramètres changeront en fonction du type et de l'opération de la règle. Par exemple, sélectionnez La taille du fichier joint > est supérieure à et, sous Paramètre, inscrivez 10 Mo. Grâce à ces paramètres, tout message contenant un fichier joint dont la taille est supérieure à 10 Mo sera traité en utilisant l'action de la règle que vous avez spécifiée. Pour cette raison, vous devriez spécifier l'action à entreprendre lorsqu'une règle donnée est déclenchée. Si vous ne l'avez pas déjà fait lors de la configuration des paramètres de cette règle. REMARQUE : Il est possible d'ajouter plusieurs conditions à une règle. Lors de l'ajoute de plusieurs conditions, les conditions qui s'annulent ne seront pas affichées. Les Actions suivantes sont disponibles pour la Protection du transport du courriel (certaines options pourraient ne pas s'afficher selon les conditions que vous avez sélectionnées précédemment) : Objet - S'applique aux messages qui contiennent ou ne contiennent pas une chaîne spécifique (ou une expression rationnelle) dans l'objet. Expéditeur - S'applique aux messages envoyés par un expéditeur spécifique Destinataire - S'applique aux messages envoyés à un destinataire spécifique Nom du fichier joint - S'applique aux messages contenant des fichiers joints portant un nom spécifique Taille du fichier joint - S'applique aux messages avec un fichier joint qui ne correspond pas à une taille spécifiée, s'inscrit dans une intervalle de tailles spécifiée ou excède une taille spécifiée Type de fichier joint - S'applique aux messages auquel est joint un type de fichier spécifique. Les types de fichier sont catégorisés en groupes pour faciliter leur sélection. Vous pouvez sélectionner plusieurs types de fichier ou des catégories entières Taille du message - S'applique aux messages avec des fichiers joints qui ne correspondent pas à une taille spécifique, s'inscrivent entre deux tailles spécifiques ou excèdent un taille spécifique Résultat de l'analyse antipourriel - S'applique aux messages signalés ou non signalés comme « ham » ou comme pourriel Résultat de l'analyse antivirus - S'applique aux messages signalés comme étant malveillants ou non malveillants Message interne - S'applique selon si le message est interne ou non interne Heure de réception - S'applique aux messages reçus avant ou après une date spécifique ou entre deux dates spécifiques En-têtes des messages - S'applique aux messages avec des données spécifiques dans leur en-tête Contient une archive protégée par un mot de passe - S'applique aux messages dont les archives jointes sont protégées par un mot de passe Contient une archive endommagée - S'applique aux messages dont les archives jointes sont endommagées (très probablement impossibles à ouvrir) 103 Adresse IP de l'expéditeur - S'applique aux messages envoyés à partir d'une adresse IP spécifique Domaine de l'expéditeur - S'applique aux messages d'un expéditeur ayant un domaine spécifique dans son adresse de courriel Unités organisationnelles du destinataire - S'applique aux messages envoyés à un destinataire appartenant à une unité organisationnelle spécifique La liste des conditions disponibles pour la Protection de la base de données de la boîte de courriel et l'Analyse de la base de données à la demande (certaines options pourraient ne pas s'afficher selon les conditions que vous avez sélectionnées précédemment) : Objet - S'applique aux messages qui contiennent ou ne contiennent pas une chaîne spécifique (ou une expression rationnelle) dans l'objet. Expéditeur - S'applique aux messages envoyés par un expéditeur spécifique Destinataire - S'applique aux messages envoyés à un destinataire spécifique Boîte de courriel - S'applique aux messages se trouvant dans une boîte de courriel spécifique Nom du fichier joint - S'applique aux messages contenant des fichiers joints portant un nom spécifique Taille du fichier joint - S'applique aux messages avec un fichier joint qui ne correspond pas à une taille spécifiée, s'inscrit dans une intervalle de tailles spécifiée ou excède une taille spécifiée Type de fichier joint - S'applique aux messages auquel est joint un type de fichier spécifique. Les types de fichier sont catégorisés en groupes pour faciliter leur sélection. Vous pouvez sélectionner plusieurs types de fichier ou des catégories entières Résultat de l'analyse antivirus -Résultat de l'analyse antivirus - S'applique aux messages signalés comme étant malveillants ou non malveillants Heure de réception - S'applique aux messages reçus avant ou après une date spécifique ou entre deux dates spécifiques En-têtes des messages - S'applique aux messages avec des données spécifiques dans leur en-tête Contient une archive protégée par un mot de passe - S'applique aux messages dont les archives jointes sont protégées par un mot de passe Contient une archive endommagée - S'applique aux messages dont les archives jointes sont endommagées (très probablement impossibles à ouvrir) Adresse IP de l'expéditeur - S'applique aux messages envoyés à partir d'une adresse IP spécifique Domaine de l'expéditeur - S'applique aux messages d'un expéditeur ayant un domaine spécifique dans son adresse de courriel 5.1.5.1.1.2 Action de la règle Vous pouvez ajouter les actions qui seront entreprises pour les messages et/ou les fichiers joints qui correspondent aux conditions de la règle. REMARQUE : Il est possible d'ajouter plusieurs conditions à une règle. Lors de l'ajoute de plusieurs conditions, les conditions qui s'annulent ne seront pas affichées. La liste des Actions disponibles pour la Protection du transport du courriel (certaines options pourraient ne pas s'afficher selon les conditions que vous avez sélectionnées) : Mettre le message en quarantaine - Le message ne sera pas livré au destinataire et sera déplacé dans la quarantaine de courriel 104 Supprimer le fichier joint - Supprime le fichier joint d'un message. Le message sera livré au destinataire sans le fichier joint Rejeter le message - Le message ne sera pas livré et un RNR (Rapport de non-remise) sera envoyé à l'expéditeur Abandonner le message silencieusement - Supprime le message sans envoyer de RNR Définir une valeur SCL - Modifie ou définit une valeur SCL spécifique Envoyer une notification par courriel - Envoie une notification par courriel Ignorer l'analyse antipourriel - Le message sera analysé par le moteur antipourriel Ignorer l'analyse antipourriel - Le message sera analysé par le moteur antipourriel Évaluer d'autres règles - En permettant l'évaluation d'autres règles, l'utilisateur peut définir de multiples ensembles de conditions et d'actions à entreprendre, en fonction des conditions données. Journaliser aux événements - Écrit de l'information sur la règle appliquée dans le journal du programme Ajouter un champ d'en-tête - Ajoute une chaîne personnalisée à l'en-tête du message La liste des Actions disponibles pour la Protection de la base de données de la boîte de courriel et l'Analyse de la base de données à la demande (certaines options pourraient ne pas s'afficher selon les conditions que vous avez sélectionnées) : Supprimer le fichier joint - Supprime le fichier joint d'un message. Le message sera livré au destinataire sans le fichier joint Mettre le fichier joint en quarantaine - Place le fichier joint du courriel dans la quarantaine de courriel. Le courriel sera livré au destinataire sans le fichier joint Remplacer le fichier joint par des renseignements sur l'action - Supprime le fichier joint et ajoute des renseignements sur l'action entreprise pour le fichier joint dans le corps du courriel Supprimer le message - Supprime le message Envoyer une notification par courriel - Envoie une notification par courriel Ignorer l'analyse antipourriel - Le message sera analysé par le moteur antipourriel Évaluer d'autres règles - En permettant l'évaluation d'autres règles, l'utilisateur peut définir de multiples ensembles de conditions et d'actions à entreprendre, en fonction des conditions données. Journaliser aux événements - Écrit de l'information sur la règle appliquée dans le journal du programme Déplacer le message dans la corbeille (seulement disponible pour l'Analyse de la base de données à la demande) - Place un courriel dans la Corbeille du côté du client de messagerie. 5.1.6 Protection de la base de données de la boîte de courriel Les systèmes d'exploitation suivants offrent la Protection de la base de données de la boîte de courriel sous Paramètres avancés > Serveur : Microsoft Exchange Server 2003 (rôle du Serveur dorsal) Microsoft Exchange Server 2003 (installation d'un seul serveur avec plusieurs rôles) Microsoft Exchange Server 2007 (rôle du Serveur de la boîte de courriel) Microsoft Exchange Server 2007 (installation d'un seul serveur avec plusieurs rôles) Microsoft Exchange Server 2010 (rôle du Serveur de la boîte de courriel) Microsoft Exchange Server 2010 (installation d'un seul serveur avec plusieurs rôles) Microsoft Windows Server pour petites entreprises 2003 Microsoft Windows Server pour petites entreprises 2008 Microsoft Windows Server pour petites entreprises 2011 105 REMARQUE : La protection de la base de données de la boîte de courriel n'est pas disponible avec Microsoft Exchange Server 2013. Si vous décochez l'option Activer la protection antivirus et anti-logiciel espion VSAPI 2.6, le module d'extension ESET Mail Security pour le serveur Exchange ne sera pas déchargé des processus du serveur Microsoft Exchange. Il ne fera que passer à travers les messages sans faire une analyse de détection des virus. Cependant, les messages feront tout de même l'objet d'une analyse de détection du pourriel et les règles seront appliquées. Si l'option Analyse proactive est activée, les nouveaux messages entrants seront analysés dans l'ordre dans lequel ils ont été reçus. Si cette option est activée et qu'un utilisateur ouvre un message qui n'a pas encore été analysé, ce message sera analysé avant les autres messages dans la file d'attente. L'option Analyse en arrière-plan permet d'analyser tous les messages qui sont exécutés en arrière-plan (l'analyse est appliquée à la boîte de courriel et à la boutique de dossiers publics, par exemple la base de données Exchange). Microsoft Exchange Server décide si l'analyse en arrière-plan sera effectuée ou non en fonction de différents facteurs comme la charge actuelle du système, le nombre d'utilisateurs actifs, etc. Microsoft Exchange Server conserve un journal des messages analysés et de la version de la base de données des signatures de virus utilisée. Si vous ouvrez un message qui n'a pas été analysé par la base de données des signatures de virus la plus contemporaine, Microsoft Exchange Server envoie le message à ESET Mail Security pour fins d'analyse avant que le client de messagerie ne l'ouvre. Vous pouvez choisir d'Analyser seulement les messages avec des fichiers joints et de les filtrer en fonction de l'heure de réception. À partir de l'option Niveau d'analyse, vous pouvez sélectionner une des options suivantes : Tous les messages Messages reçus au cours de la dernière année Messages reçus au cours des 6 derniers mois Messages reçus au cours des 3 derniers mois Messages reçus au cours du dernier mois Messages reçus au cours de la dernière semaine Puisque l'analyse en arrière-plan peut avoir des répercussions sur la charge du système (l'analyse est effectuée après chaque mise à jour de la base de données des signatures de virus), nous vous recommandons d'utiliser l'analyse planifiée en dehors des heures de travail. L'analyse en arrière-plan planifiée peut être configurée grâce à une tâche spéciale dans le Planificateur. Lorsque vous planifiez une tâche d'analyse en arrière-plan, vous pouvez définir l'heure de début, le nombre de répétitions, ainsi que d'autres paramètres disponibles dans le Planificateur. Une fois la tâche planifiée, elle s'affichera dans la liste des tâches planifiées. Vous pouvez modifier les paramètres de la tâche, la supprimer ou la désactiver temporairement. La sélection de l'option Analyser le corps des messages RTF permet l'analyse des corps des messages en format RTF. Les corps des messages en format RTF peuvent contenir des macrovirus. REMARQUE : Le corps des messages en texte brut ne sera pas analysé par VSAPI. REMARQUE : Les dossiers publics sont traités de la même manière que les boîtes de courriel. Ce qui veut dire que les dossiers publics sont aussi analysés. 5.1.7 Protection du transport du courriel Les systèmes d'exploitation suivants offrent la Protection du transport du courriel sous Paramètres avancés > Serveur : Microsoft Exchange Server 2007 (Edge Transport Server ou Hub Transport Server) Microsoft Exchange Server 2007 (installation d'un seul serveur avec plusieurs rôles) Microsoft Exchange Server 2010 (Edge Transport Server ou Hub Transport Server) Microsoft Exchange Server 2010 (installation d'un seul serveur avec plusieurs rôles) Microsoft Exchange Server 2013 (Edge Transport Server ou Hub Transport Server) Microsoft Exchange Server 2013 (installation d'un seul serveur avec plusieurs rôles) Microsoft Windows Server pour petites entreprises 2008 (x86) Microsoft Windows Server pour petites entreprises 2011 106 Paramètres de protection du transport du courriel : L'action antivirus applicable à la couche de transport peut être définie sous Actions à appliquer si le nettoyage est impossible : Aucune action - Pour conserver les messages infectés ne pouvant pas être nettoyés Mettre le message en quarantaine - Pour envoyer les messages infectés dans la boîte de courriel de mise en quarantaine Rejeter le message - Pour rejeter un message infecté Abandonner le message silencieusement - Pour supprimer les messages sans envoyer de rapport de non-remise L'action antipourriel applicable à la couche de transport peut être définie sous Action à appliquer contre les pourriels : Aucune action - Pour conserver le message même s'il est marqué comme pourriel Mettre le message en quarantaine - Pour envoyer les messages marqués comme pourriels dans la boîte de courriel de mise en quarantaine Rejeter le message - Pour rejeter les messages marqués comme pourriel Abandonner le message silencieusement - Pour supprimer les messages sans envoyer de rapport de non-remise Réponse de rejet SMTP - Vous pouvez spécifier un Code de réponse, un Code d'état et un Message de réponse, qui définissent la réponse de refus temporaire envoyée au serveur SMTP si un message est refusé. Vous pouvez écrire un message de réponse en respectant le format suivant : Code de réponse Code d'état Message de réponse 250 2.5.0 Requête d'action pour le courriel OK, complétée 451 4.5.1 Requête d'action abandonnée : une erreur locale de traitement est 107 survenue 550 5.5.0 Requête d'action non appliquée : la boîte de courriel n'est pas disponible 554 5.6.0 Contenu invalide REMARQUE : Vous pouvez aussi utiliser les variables du système lors de la configuration des Réponses de rejet SMTP. Écrire les résultats de l'analyse dans les en-têtes de message - Lorsque cette option est activée, les résultats de l'analyse sont écrits dans les en-têtes de message. Ces en-têtes de message commencent par X_ESET, ce qui les rend faciles à reconnaître (par exemple X_EsetResult ou X_ESET_Antispam). L'option Ajouter la notification au corps des messages analysés offre trois options : Ne pas ajouter aux messages Ajouter aux messages infectés seulement Ajouter à tous les messages analysés (ne s'applique pas aux messages internes) Ajouter une note à l'objet des messages infectés - Lorsque cette option est activée, <%PN%> ajoutera une étiquette à l'objet du courriel contenant la valeur définie dans la zone de texte Modèle ajouté à l'objet des messages infectés (le texte prédéfini par défaut est [found threat %VIRUSNAME%]). Cette modification peut servir à automatiser le filtrage des messages infectés en filtrant les courriels ayant un objet spécifique, par exemple en utilisant les règles ou encore, de manière alternative, du côté du client (si la prise en charge par le client de messagerie est possible), à placer de tels messages dans un dossier séparé. Ajouter une note à l'objet des pourriels - Lorsque cette option est activée, <%PN%> ajoutera une étiquette à l'objet du courriel contenant la valeur définie dans la zone de texte Modèle ajouté à l'objet des messages infectés (le texte prédéfini par défaut est [SPAM]). Cette modification peut servir à automatiser le filtrage du pourriel en filtrant les courriels ayant un objet spécifique, par exemple en utilisant les règles ou, de manière alternative, du côté du client (si la prise en charge par le client de messagerie est possible), à placer de tels messages dans un dossier séparé. REMARQUE : Il est aussi possible d'utiliser les variables du système quand vous éditez du texte, lequel sera ajouté à l'objet. 5.1.7.1 Paramètres avancés Dans cette section, vous pouvez modifier les paramètres avancés qui s'appliquent à l'agent de transport : Analyser également les messages reçus des connexions authentifiées ou internes - vous pouvez choisir le type d'analyse qui sera effectuée sur les messages reçus des sources authentifiées ou des serveurs locaux. L'analyse de tels messages est recommandée car elle augmente le niveau de sécurité, mais elle s'avère nécessaire si vous utilisez le connecteur Microsoft SBS POP3 intégré pour obtenir des messages courriel provenant de serveurs POP3 ou de services courriel externes (par exemple Gmail.com, Outlook.com, Yahoo.com, gmx.dem, etc.). Pour de plus amples renseignements, consultez la section Connecteur POP3 et protection antipourriel. REMARQUE : Les messages internes provenant d'Outlook à l'intérieur de l'organisation sont envoyés en format TNEF (Transport Neutral Encapsulation Format). Le format TNEF n'est pas pris en charge par antipourriel. Ainsi, les courriels TNEF internes qui sont formatés ne seront pas analysés dans le but de détecter des pourriels, même si vous avez sélectionné Analyse par la protection antipourriel ou Analyse par la protection antivirus et antipourriel. Rechercher les adresses IP d'origine dans les en-têtes - si cette option est activée, ESET Mail Security recherche l'adresse IP d'origine dans les en-têtes de messages pour que différents modules de protection (antipourriel et autres) puissent l'utiliser. Si votre organisation Exchange est séparée d'Internet par un serveur mandataire, passerelle ou Edge Transport, les messages électroniques sembleront provenir d'une seule adresse IP (généralement une adresse interne). Il est fréquent que sur le serveur externe (par exemple Edge Transport dans DMZ) pour lequel l'adresse IP des expéditeurs est connue, cette adresse IP soit écrite dans les en-têtes des messages qui sont reçus. Valeur spécifiée dans le champ L'en-tête avec l'adresse IP d'origine en-dessous est l'entête que recherche ESET Mail Security dans les en-têtes de message. 108 En-tête avec l'adresse IP d'origine - est l'en-tête que recherche ESET Mail Security dans les en-têtes de message. La valeur par défaut est X-Originating-IP, mais si vous utilisez les outils d'un tiers ou personnalisés qui utilisent un en-tête différent, remplacez-la par une valeur appropriée. Activer la mise en quarantaine des messages internes - lorsque cette option est activée, les messages internes seront mis en quarantaine. Habituellement, il n'est pas nécessaire de mettre les messages interne en quarantaine. Cependant, si vous voulez les mettre en quarantaine, vous pouvez activer cette option. 5.1.8 Analyse de base de données à la demande Voici la liste des systèmes qui offrent l'Analyse des bases de données à la demande : Microsoft Exchange Server 2007 (Edge Transport Server ou Hub Transport Server) Microsoft Exchange Server 2007 (installation d'un seul serveur avec plusieurs rôles) Microsoft Exchange Server 2010 (Edge Transport Server ou Hub Transport Server) Microsoft Exchange Server 2010 (installation d'un seul serveur avec plusieurs rôles) Microsoft Exchange Server 2013 (rôle du Serveur de la boîte de courriel) Microsoft Exchange Server 2013 (installation d'un seul serveur avec plusieurs rôles) Microsoft Windows Server pour petites entreprises 2008 Windows Server pour petites entreprises 2011 REMARQUE : Si vous exécutez Microsoft Exchange Server 2007 ou 2010, vous pouvez choisir entre les options Protection de la base de données de la boîte de courriel et Analyse de la base de données à la demande. Cependant, il n'est possible d'activer un seul des deux types de protection à la fois. Si vous décidez d'utiliser l'option Analyse de la base de données à la demande, vous devrez désactiver l'intégration de la Protection de la base de données de la boîte de courriel dans Configuration avancée sous Serveur. Sinon l'option Analyse de la base de données à la demande ne sera pas disponible. 109 Paramètres d'analyse de base de données à la demande : Adresse de l'hôte - Nom ou adresse IP du serveur qui exécute Exchange Web Services. Nom d'utilisateur - Pour spécifier l'authentifiant d'un utilisateur qui a l'accès adéquat à EWS (Exchange Web Services). Mot de passe de l'utilisateur - Cliquez Définir à côté de l'élément Mot de passe de l'utilisateur et tapez le mot de passe pour ce compte. Assigner le rôle Imitationd'uneapplication à l'utilisateur - Si l'option est estompée, vous devez spécifier un Nom d'utilisateur d'abord. Cliquez sur Assigner pour assigner automatiquement le rôle Imitationd'uneapplication à l'utilisateur sélectionné. De manière alternative, vous pouvez assigner le rôle Imitationd'uneapplication manuellement à un compte utilisateur. Pour en savoir plus, voir les Détails de l'analyse de la base de données du compte. Utiliser le protocole SSL - Cette option doit être activé si la configuration d'EWS (Exchange Web Services) est réglée à Exiger le protocole SSL dans IIS. Si le protocole SSL est activé, il faut importer le certificat Exchange Server dans le système à l'aide de ESET Mail Security (au cas où les rôles Exchange Server se trouvent sur différents serveurs). Il est possible d'accéder aux paramètres d'EWS dans IIS, à partir de Sites/Site Web par défaut/EWS/Paramètres SSL. REMARQUE : Désactiver l'option Utiliser le protocole SSL seulement dans le cas où la configuration dans IIS est réglée pour ne pas exiger le protocole SSL. Certificat client - Le certificat client doit être réglé seulement lorsqu'Exchange Web Services exige un certificat client. L'option Sélectionner vous permet de sélectionner le certificat de votre choix. Action à entreprendre si le nettoyage est impossible - Ce champ d'actions vous permet de bloquer le contenu infecté. 110 Aucune action - Aucune action n'est entreprise contre le contenu infecté du message. Déplacer le message dans la corbeille - Cette option n'est pas prise en charge avec les éléments qui se trouvent dans le dossier Public. De manière alternative, vous pouvez sélectionner l'option Supprimer l'objet pour appliquer cette action. Supprimer l'objet - Pour supprimer le contenu infecté du message. Supprimer le message entier - Pour supprimer l'ensemble du message, y compris le contenu infecté. Remplacer l'objet par l'information sur l'action - Pour supprimer un objet et insérer de l'information sur l'action qui a été entreprise pour cet objet. 5.1.8.1 Éléments de boîte de courriel supplémentaires L'analyseur de la base de données à la demande vous permet d'activer ou de désactiver l'analyse des autres types d'éléments de la boîte de courriel : Analyser l'agenda Analyser les tâches Analyser les contacts Analyser le journal REMARQUE : Si vous éprouvez des problèmes liés à la performance, vous pouvez désactiver l'analyse de ces éléments. La durée des analyses sera plus longue lorsque ces éléments sont activés. 5.1.8.2 Serveur mandataire Dans le cas où vous utilisez un serveur mandataire entre Exchange Server avec un rôle CAS et Exchange Server où ESET Mail Security est installé, spécifiez les paramètres de votre serveur mandataire. Cette exigence s'explique par le fait que ESET Mail Security se connecte à EWS (Exchange Web Services) API par l'entremise du protocole HTTP/ HTTPS. Sinon l'option Analyse de la base de données à la demande ne sera pas disponible. Serveur mandataire - Pour saisir l'adresse IP et le nom du serveur mandataire que vous utilisez. Port - Pour entrer le numéro de port du serveur mandataire. Nom d'utilisateur, Mot de passe - Pour saisir l'authentifiant dans le cas où votre serveur mandataire exige une authentification. 5.1.8.3 Détails du compte d'analyse de la base de données Cette fenêtre de dialogue s'affiche si vous n'avez pas spécifié un nom d'utilisateur et un mot de passe pour l'Analyse de la base de données dans Paramètres avancés. Spécifiez l'authentifiant de l'utilisateur qui a accès à EWS (Exchange Web Services) dans cette fenêtre contextuelle et cliquez sur OK. De manière alternative, vous pouvez aller à Configuration avancée en appuyant sur la touche F5 et sélectionner Serveur > Analyse de la base de données à la demande. Tapez votre Nom d'utilisateur, cliquez sur Définir, tapez un mot de passe pour ce compte utilisateur, puis cliquez sur OK. Vous pouvez sélectionner Enregistrer les informations relatives au compte pour enregistrer les paramètres du compte. Ainsi, vous n'aura pas à saisir les informations relatives au compte à chaque exécution d'une analyse de la base de données à la demande. Si un compte utilisateur n'a pas l'accès approprié à ESW, vous pouvez sélectionner Créer une délégation de rôle d'« Imitation d'une application » pour attribuer ce rôle à un compte. De manière alternative, vous pouvez assigner le rôle ApplicationImpersonation manuellement à un compte utilisateur. Voir la note ci-dessous pour obtenir plus de détails. 111 IMPORTANT : Le compte d'analyse doit avoir les droits d'ApplicationImpersonation d'assignés pour que le moteur d'analyse puisse analyser les boîtes de courriel des utilisateurs dans les Bases de données des boîtes de courriel Exchange. Dans Exchange Server 2010 ou versions ultérieures, il est fortement recommandé de configurer la Politique de limitation pour l'analyse du compte afin d'éviter que ESET Mail Security génère un trop grand nombre de requêtes d'opération. Sinon votre Exchange Server pourrait causer un délai d'attente chez certaines requêtes d'opération. REMARQUE : Si vous voulez assigner un rôle ApplicationImpersonation à un compte utilisateur manuellement, vous pouvez utiliser les commandes suivantes (remplacer ESET-user par le nom d'un compte utilisateur existant dans votre système) : Exchange Server 2007 Get-ClientAccessServer | Add-AdPermission -User ESET-user -ExtendedRights ms-Exch-EPI-Impersonation Get-MailboxDatabase | Add-AdPermission -User ESET-user -ExtendedRights ms-Exch-EPI-May-Impersonate Exchange Server 2010 New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation -Role:ApplicationImpersonation -User:ESET-user Cette opération peut prendre quelques instants New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSFindCountLimit $null -EWSFastSearchTimeoutInSeco Set-ThrottlingPolicyAssociation -Identity user-ESET -ThrottlingPolicy ESET-ThrottlingPolicy Exchange Server 2013 New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation -Role:ApplicationImpersonation -User:ESET-user Cette opération peut prendre quelques instants New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSMaxConcurrency Unlimited -EwsCutoffBalance Unlim Set-ThrottlingPolicyAssociation -Identity ESET-user -ThrottlingPolicy ESET-ThrottlingPolicy 112 5.1.9 Quarantaine de courriel Le gestionnaire de Quarantaine de courriel est offert avec les trois types de Quarantaine : Quarantaine locale Boîte de courriel de quarantaine Quarantaine de MS Exchange Vous pouvez voir le contenu de la Quarantaine de courriel dans le gestionnaire de la Quarantaine de courriel pour tous les types de Quarantaine. De plus, il est aussi possible de voir la quarantaine locale dans l'interface Web Quarantaine de courriel. 5.1.9.1 Quarantaine locale La quarantaine locale utilise le système de fichiers local pour stocker les courriels mis en quarantaine et une base de données SQLite comme index. Les fichiers de courriel mis en quarantaine qui sont stockés, tout comme le fichier de base de données, sont chiffrés pour des raisons de sécurité. Ces fichiers se trouve sous C:\ProgramData\ESET \ESET Mail Security\MailQuarantine (dans Windows Server 2008 et d 2012) ou C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\MailQuarantine (dans Windows Server 2003). REMARQUE : Si vous voulez stocker les fichiers en quarantaine sur un autre lecteur, autre que C: le lecteur par défaut, vous devez remplacer le Fichiers de données par le chemin d'accès de votre choix pendant l'installation de ESET Mail Security. Fonctionnalités de la Quarantaine locale : 113 Les pourriels et les courriels en quarantaine seront stockés sur un système de fichiers local, ce qui signifie qu'ils ne se trouveront pas dans la base de données de la boîte de courriel Exchange. Chiffrage et compression des fichiers de courriel mis en quarantaine qui sont stockés localement. Interface Web de la quarantaine de courriel comme alternative au Gestionnaire de la quarantaine de courriel. Les rapports de quarantaine peuvent être envoyés à une adresse de courriel spécifique à l'aide d'une tâche planifiée. Les fichiers de courriel mis en quarantaine supprimé de la fenêtre de quarantaine (par défaut, après 21 jours) sont toujours stockés dans un système de fichiers (jusqu'à la suppression automatique soit appliquée après un nombre de jours spécifique) La suppression automatique des anciens fichiers de courriel (par défaut, après 3 jours). Pour en savoir plus, voir les paramètres Stockage des fichiers. Vous pouvez restaurer les fichiers de courriel mis en quarantaine à l'aide d'eShell (en supposant qu'ils n'ont pas encore été supprimés du système de fichiers). REMARQUE : Le désavantage d'utiliser Quarantaine locale est le suivant : si vous exécutez ESET Mail Security de multiples serveurs avec le rôle Hub Transport Server, vous devez gérer la Quarantaine locale de chaque serveur séparément. Plus il y a de serveurs, plus il y a de quarantaines à gérer. Vous pouvez inspecter les courriels mis en quarantaine et décider de les supprimer ou de les libérer. Pour afficher et gérer les courriels mis en quarantaine locale, vous pouvez utiliser le gestionnaire de la quarantaine de courriel à partir de l'IUG principal ou l'interface Web de la Quarantaine de courriel. 5.1.9.1.1 Stockage de fichiers Dans cette section, vous pouvez modifier les paramètres de stockage des fichiers utilisés par la quarantaine locale. Fichiers mis en quarantaine compressés - Les fichiers mise en quarantaine compressés occupent moins d'espace disque, mais si vous choisissez de ne pas les compresser, vous pouvez utiliser l'interrupteur pour désactiver la compression. 114 Effacer les anciens fichiers après (jours) - Lorsque les messages atteignent le nombre de jours qui a été spécifié, ils sont effacés de la fenêtre de quarantaine. Cependant, les fichiers ne seront pas supprimé du disque et seront conservés pendant le nombre de jours spécifiés dans Effacer les fichiers supprimés après (jours). Puisque les fichiers ne sont pas supprimés du système de fichiers, il est possible de récupérer de tels fichiers à l'aide d'eShell. Effacer les fichiers supprimés après (jours) - Supprime les fichiers sur le disque après le nombre de jours spécifié. Aucune récupération n'est possible après la suppression de ces fichiers (à moins que vous ayez mise en place une solution de sauvegarde de système de fichiers). Stocker les messages des destinataires non existants - Normalement, les pourriels sont envoyés au hasard à des destinaires d'un certain domaine dans une tentative d'atteindre un destinataire existant. Les messages qui sont envoyés aux utilisateurs qui n'existent pas dans un Active Directory sont stockés dans la Quarantaine locale par défaut. Cependant, il est possible de désactiver cette fonction pour que les messages envoyés aux destinataires non existants ne soient pas stockés. Cela évite de dépasser la capacité de votre Quarantaine locale à cause des nombreux courriels de ce type. Cela libère aussi de l'espace disque. 115 5.1.9.1.2 Interface Web L'interface Web de la Quarantaine de courriel est une alternative au gestionnaire de la quarantaine de courriel. Cependant, elle est seulement disponible pour la Quarantaine local. REMARQUE : L'interface Web de la quarantaine de courriel n'est pas disponible sur un serveur avec le rôle Edge Transport Server. Cela est en raison de l'Active Directory qui n'est pas accessible pour authentification. 116 L'interface Web de la Quarantaine de courriel vous permet de voir l'état de la quarantaine de courriel. Elle permet aussi la gestion des objets du courriel mis en quarantaine. Il est possible d'accéder à cette interface Web à partir des liens contenus dans les rapports de quarantaine ou directement en entrant une Adresse URL dans votre navigateur Web. Pour accéder à l'interface Web de la Quarantaine de courriel, vous devez vous authentifier en utilisant l'authentifiant de domaine. L'authentification d'un utilisateur de domaine se fera automatiquement avec Internet Explorer; le certificat de la page Web doit être valide, l'option Connexion automatique doit être activée dans IE et le site Web de la Quarantaine de courriel doit être ajouté aux sites intranet locaux. L'interrupteur Activer l'interface Web permet l'activation ou la désactivation de l'interface Web. URL Web - Adresse URL à laquelle l'interface Web de Quarantaine de courriel sera disponible. Par défaut, il s'agit du FQDN du serveur avec /quarantine (par. ex. mailserver.company.com/quarantine). Port HTTPS - 443 est le port par défaut. Vous pouvez changer le numéro de port au besoin. Port HTTP - 80 est le port par défaut. Vous pouvez changer le numéro de port au besoin. Pour accéder à l'interface Web de Quarantaine de courriel, ouvrez votre navigateur Web et utilisez l'URL spécifiée dans Configuration avancée > Serveur > Quarantaine de courriel > Interface Web > URL Web. 117 Libérer - Pour libérer le courriel vers le ou les destinataires à l'aide du répertoire Replay et le supprimer de la quarantaine. Cliquez sur Soumettre pour confirmer l'action. Supprimer - Supprime l'élément de la quarantaine. Cliquez sur Soumettre pour confirmer l'action. Lorsque vous cliquez sur Objet, une fenêtre contextuelle s'ouvrira contenant des détails sur le courriel mis en quarantaine comme le Type, la Raison, l'Expéditeur, la Date, les Fichiers joints, etc. 118 Cliquez Afficher les en-têtes pour vérifier l'en-tête du courriel mis en quarantaine. Au besoin, cliquez sur Libérer ou Supprimer pour entreprendre une action contre un courriel mis en quarantaine. REMARQUE : Vous devez fermer la fenêtre de votre navigateur pour vos déconnecter complètement de l'interface Web de la Quarantaine de courriel. Sinon, cliquez sur Atteindre pour faire basculer la vue de la quarantaine vers l'écran précédent. IMPORTANT : si vous rencontrez des problèmes d'accès à l'interface Web de la Quarantaine de courriel à partir de votre navigateur ou obtenez l'erreur Erreur HTTP 403.4 - Interdit ou un message similaire, vérifiez le Type de quarantaine qui est sélectionné et assurez-vous qu'il s'agit d'une Quarantaine locale et que l'option Activer l'interface Web est activée. 119 5.1.9.2 Courriel de quarantaine et quarantaine de MS Exchange Si vous décidez de ne pas utiliser la Quarantaine locale, deux options s'offrent à vous : le Courriel de quarantaine ou la Quarantaine MS Exchange. Peu importe l'option choisie, vous devez créer un utilisateur dédié avec une adresse de courriel (par exemple [email protected]) qui sera ensuite utilisée pour stocker vos courriels mis en quarantaine. À l'aide de cet utilisateur et de cette adresse de courriel, vous pourrez aussi voir et gérer les éléments dans la quarantaine à partir du gestionnaire de la Quarantaine de courriel. Vous devrez fournir les détails de cet utilisateur dans la section paramètres du gestionnaire de la Quarantaine. IMPORTANT : Il n'est pas recommandé d'utiliser le compte administrateur comme courriel de quarantaine. REMARQUE : La quarantaine MS Exchange n'est pas disponible pour Microsoft Exchange 2003, mais seulement la Quarantaine locale et le Courriel de quarantaine. Lorsque vous sélectionnez quarantaine MS Exchange, ESET Mail Security utilisera le système de quarantaine de Microsoft Exchange (cela s'applique à Microsoft Exchange Server 2007 et versions ultérieures). Dans ce cas, le mécanisme interne d'Exchange sera utilisé pour stocker les messages potentiellement infectés et les POURRIELS. REMARQUE : Par défaut, cette quarantaine interne n'est pas activée dans Exchange. Pour l'activer, vous devez ouvrir l'environnement de ligne de commande Exchange Management Shell et saisir la commande suivante (remettre [email protected] avec l'adresse actuelle de votre boîte de courriel dédiée) : Set-ContentFilterConfig -QuarantineMailbox [email protected] Lorsque vous sélectionnez Courriel de quarantaine, vous devez spécifier une adresse pour les messages en quarantaine (par exemple [email protected]). REMARQUE : L'avantage d'utiliser le Courriel de quarantaine/quarantaine MS Exchange par rapport à la Quarantaine locale est le suivant : les éléments de la quarantaine de courriel sont gérés à partir d'un endroit, sans égard au nombre de serveurs avec un rôle Hub Transport Server. Il existe cependant un désavantage d'utiliser le Courriel de quarantaine/quarantaine MS Exchange : comme le pourriel et les courriels mis en quarantaine sont stockés dans les bases de données de la boîte de courriel Exchange, seul l'administrateur est autorisé à gérer la quarantaine de courriel. 5.1.9.2.1 Paramètres du gestionnaire de quarantaine Adresse d'hôte - Elle apparaîtra automatiquement si votre Exchange Server avec un rôle CAS est présent localement. De manière alternative, si le rôle CAS n'est pas sur le même serveur sur lequel ESET Mail Security a été installé, mais qu'il peut être trouvé dans l'AD, l'adresse de l'hôte apparaîtra automatiquement. Si elle n'apparaît pas, vous pouvez tapez le nom d'hôte manuellement. La détection automatique ne fonctionnera pas sur le rôle Edge Transport Server. REMARQUE : l'adresse IP n'est pas prise en charge. Vous devez utiliser le nom d'hôte du serveur CAS. Nom d'utilisateur - Le compte utilisateur de la quarantaine dédié que vous avez créé pour le stockage des messages mis en quarantaine (ou un compte qui a accès à cette boîte de courriel par l'entremise de la délégation d'accès). Sur le rôle Edge Transport Server qui ne fait pas partie du domaine, il est nécessaire d'utiliser l'adresse de courriel complète (par exemple [email protected]). Mot de passe - Tapez le mot de passe de votre compte utilisateur de la quarantaine. Utiliser le protocole SSL - Cette option doit être activée si la configuration d'EWS (Exchange Web Services) est réglée à Exiger le protocole SSL dans IIS. Si le protocole SSL est activé, il faut importer le certificat Exchange Server dans le système à l'aide de ESET Mail Security (au cas où les rôles Exchange Server se trouveraient sur différents serveurs). Il est possible d'accéder aux paramètres EWS dans IIS, à partir de Sites/Site Web par défaut/EWS/ Paramètres SSL. REMARQUE : Désactiver l'option Utiliser le protocole SSL seulement dans le cas où la configuration dans IIS est réglée pour ne pas exiger le protocole SSL. 120 Ignorer les erreurs de certificat du serveur - Ignore les états suivants : auto signées, nom dans le certificat erroné, utilisation erronée, expiré. 5.1.9.2.2 Serveur mandataire Dans le cas où vous utilisez un serveur mandataire entre Exchange Server avec un rôle CAS et Exchange Server où ESET Mail Security est installé, spécifiez les paramètres de votre serveur mandataire. Cette exigence s'explique par le fait que ESET Mail Security se connecte à EWS (Exchange Web Services) API par l'entremise du protocole HTTP/ HTTPS. Sinon, la boîte de courriel de mise en quarantaine et la quarantaine MS Exchange ne fonctionneront pas. Serveur mandataire - Pour entrer l'adresse IP ou le nom du serveur mandataire que vous utilisez. Port - Pour entrer le numéro de port du serveur mandataire. Nom d'utilisateur, Mot de passe - Pour saisir l'authentifiant dans le cas où votre serveur mandataire exige une authentification. 121 5.1.9.3 Détails du compte du gestionnaire de la quarantaine Cette fenêtre de dialogue s'affichera si vous ne configurez pas un compte pour vos Détails sur le gestionnaire de la quarantaine. Spécifiez l'authentifiant d'un utilisateur qui a accès à la Boîte de courriel de la Quarantaine et cliquez sur OK. De manière alternative, appuyez sur la touche F5 pour accéder aux Paramètres avancés et allez à Serveur > Quarantaine de courriel > Paramètres du gestionnaire de la quarantaine. Tapez le Nom d'utilisateur et le Mot de passe de votre boîte de courriel de mise en quarantaine. Vous pouvez sélectionner Enregistrer les informations relatives au compte pour enregistrer les paramètres en prévision des prochains accès au gestionnaire de la Quarantaine. 5.1.10 Grappe La Grappe ESET est une infrastructure de communication P2P utilisée par la gamme de produits ESET pour Microsoft Windows Server. Elle permet aux produits de serveur ESET de communiquer les uns avec les autres et d'échanger des données, y compris des configurations et des notifications, ainsi que de synchroniser les données requises pour le fonctionnement approprié d'un groupe d'instances de produits. Cela peut être, par exemple, un groupe de nœuds dans une grappe de basculement Windows ou une grappe d'équilibrage de la charge réseau (ÉCR) sur lequel un produit ESET est installé et dont il faut s'assurer que le produit sera configuré de la même façon dans l'ensemble de la grappe. Grappe ESET garantit l'uniformité entre les instances. REMARQUE : Les paramètres de l'interface utilisateur ne sont pas synchronisés entre les nœuds ESET Cluster. 122 Il est possible d'accéder à la page d'état de la Grappe ESET à partir du menu principal sous Outils > Grappe . Une fois la configuration réussie, voici à quoi la page d'état devrait ressembler : Pour configurer la Grappe ESET, cliquez sur Assistant de la grappe... Pour plus de détails sur l'utilisation de l'assistant de configuration de la Grappe ESET, cliquez ici. Lors de la configuration de la Grappe ESET, il existe deux moyens pour ajouter des nœuds - automatiquement en utilisant la grappe de basculement Windows/grappe d'équilibrage de la charge réseau existante ou manuellement, soit en recherchant les ordinateurs qui appartiennent à un groupe de travail ou à un domaine. Détection automatique - Détecte automatiquement les nœuds appartenant déjà à une grappe de basculement Windows/grappe d'équilibrage de la charge réseau et les ajoute à la Grappe ESET Parcourir - Vous pouvez ajouter manuellement des nœuds en entrant le nom des serveurs (membres du même groupe de travail ou du même domaine) REMARQUE : Il n'est pas nécessaire que les serveurs soient membres d'une grappe de basculement Windows/ grappe d'équilibrage de la charge réseau pour utiliser la fonctionnalité Grappe ESET. Il n'est pas nécessaire que votre environnement soit doté d'une grappe de basculement Windows ou d'une grappe d'équilibrage de la charge réseau pour utiliser les grappes ESET. Une fois que vous avez ajouté les nœuds à votre Grappe ESET, la prochaine étape est l'installation d'ESET Mail Security sur chaque nœud. Cette opération s'effectue automatiquement pendant la configuration de la Grappe ESET. Un authentifiant est exigé lors de l'installation à distance de ESET Mail Security sur d'autres nœuds de la grappe : Scénario du domaine - Authentifiant de l'administrateur du domaine Scénario du groupe de travail - Vous devrez vous assurer que tous les nœuds utilisent le même authentifiant pour le compte administrateur local. 123 Dans une grappe ESET, vous pouvez également inclure une combinaison de nœuds ajoutés automatiquement en tant que membres de la grappe de basculement Windows/grappe d'équilibrage de la charge réseau existante, ainsi que les nœuds ajoutés manuellement (à condition qu'ils appartiennent au même domaine). REMARQUE : Il est impossible de combiner des nœuds d'un domaine à ceux d'un groupe de travail. Une autre condition doit être respectée pour créer une grappe ESET : le Partage des fichiers et de l'imprimante doit être activé dans le coupe-feu Windows avant de pousser l'installation d'ESET Mail Security sur les nœuds de la grappe ESET. La grappe ESET peut être facilement désactivée en cliquant sur Détruire la grappe. Chacun des nœuds créera une entrée dans le journal des événements à propos de la destruction de la grappe ESET. Par la suite, toutes les règles de coupe-feu ESET seront supprimées du coupe-feu Windows. Les anciens nœuds retrouveront leur état antérieur et pourront être utilisés de nouveau dans une autre grappe ESET au besoin. REMARQUE : La création de grappes ESET entre ESET Mail Security et ESET File Security pour Linux n'est pas prise en charge. De nouveaux nœuds peuvent être ajoutés en tout temps à une grappe ESET existante en exécutant l'Assistant de la grappe (voir la description ci-dessous et ici). 5.1.10.1 Assistant de la grappe - page 1 La première étape lorsque vous configurez une grappe ESET consiste à ajouter des nœuds. Vous pouvez utiliser soit l'option Détection automatique ou Parcourir pour ajouter des nœuds. De manière alternative, vous pouvez entrer le nom du serveur dans la boîte de texte, puis cliquer sur le bouton Ajouter. Détection automatique ajoute automatiquement les nœuds à partir d'une grappe de basculement Windows/grappe d'équilibrage de la charge réseau existante. Pour que les nœuds puissent être ajoutés automatiquement, le serveur que vous utilisez pour créer la grappe ESET doit appartenir à cette grappe de basculement Windows/grappe d'équilibrage de la charge réseau. La fonctionnalité Autoriser le contrôle à distance doit être activée dans les propriétés de la grappe d'équilibrage de la charge réseau pour que Grappe ESET puisse détecter correctement les nœuds. Lorsque vous verrez la liste des nœuds nouvellement ajoutés, vous pourrez supprimer ceux que vous ne voulez pas (si vous ne voulez que certains nœuds dans la grappe ESET). Cliquez sur Parcourir pour rechercher et sélectionner les ordinateurs appartenant à un domaine ou à un groupe de travail. Cette méthode vous permet d'ajouter des nœuds manuellement à la grappe ESET. Une autre façon d'ajouter des nœuds est d'entrer le nom d'hôte du serveur que vous voulez ajouter et de cliquer sur Ajouter. 124 Les Nœuds de la grappe courants que vous voulez ajouter à la grappe ESET après avoir cliqué sur Suivant : Pour modifier les Nœuds de la grappe indiqués dans la liste, sélectionnez le nœud à supprimer et cliquez sur Supprimer ou, pour effacer l'ensemble de la liste, cliquez sur en cliquant sur Supprimer tout. Si vous avez déjà créé une grappe ESET, vous pouvez y ajouter des nœuds en tout temps. Suivez les mêmes étapes que celles décrites ci-dessus. REMARQUE : Tous les nœuds qui restent dans la liste doivent être en ligne et accessibles. L'hôte local est ajouté par défaut aux nœuds de la grappe. 125 5.1.10.2 Assistant de la grappe - page 2 Sélectionnez le nom de la grappe, le mode de distribution du certificat et choisissez si vous voulez ou non installer le produit sur d'autres nœuds. Nom de la grappe - Entrez le nom de la grappe. Port d'écoute - (9777 est le port par défaut) Ouvrir le port dans le coupe-feu Windows - Lorsque cette option est sélectionnée, une règle est créée dans le coupe-feu Windows. Distribution du certificat : Automatiquement à distance - Le certificat sera installé automatiquement. Manuellement - Cliquez sur Générer pour ouvrir une fenêtre de navigation, puis sélectionnez le dossier dans lequel stocker les certificats. Un certificat racine sera créé, ainsi qu’un certificat pour chacun des nœuds, y compris celui (machine locale) à partir duquel vous configurez la grappe ESET. Vous pouvez choisir d'inscrire le certificat sur la machine locale en cliquant sur Oui. Vous devrez ensuite importer manuellement les certificats, comme nous l'avons décrit ici. Installation du produit sur d'autres nœuds : Automatiquement à distance - ESET Mail Security sera installé automatiquement sur chaque nœud (à condition que leur système d'exploitation utilise la même architecture). Manuellement - Choisissez cette option si vous voulez installer ESET Mail Security manuellement (par exemple, lorsque certains des nœuds utilisent des architectures de système d'exploitation différentes). Pousser la licence aux nœuds sans activer le produit - une fois vérifiés, les nœuds seront ESET Mail Security activés. 126 REMARQUE :Pour créer ESET Cluster en utilisant des architectures de système d'exploitation variées (32 et 64 bits), vous devez installer ESET Mail Security manuellement. Cette exigence sera détectée dans les prochaines étapes et vous verrez cette information dans la fenêtre du journal. 5.1.10.3 Assistant de la grappe - page 3 Après avoir précisé les détails de l'installation, une vérification des nœuds sera effectuée. Vous verrez que les cases suivantes sont cochées dans le Journal de vérification des nœuds : vérifier si tous les nœuds existants sont en ligne vérifier si les nouveaux nœuds sont accessibles le nœud est en ligne le partage administrateur est accessible l'exécution à distance est possible la bonne version du produit est installée ou aucun produit n'a été installé (seulement si l'installation automatique a été sélectionnée) vérifiez si tous les nouveaux certificats sont présents 127 Vous verrez le rapport une fois la vérification terminée : 128 5.1.10.4 Assistant de la grappe - page 4 Lorsque le produit doit être installé sur une machine à distance pendant l'initialisation de la Grappe ESET, le progiciel d'installation vérifie le répertoire %ProgramData%\ESET\<Nom_produit>\Installer pour s'assurer de la présence du programme d'installation. Si le progiciel d'installation ne s'y trouve pas, on demandera à l'utilisateur d'en localiser un. REMARQUE : Lorsque vous tentez d'utiliser l'installation à distance automatique pour un nœud utilisant une plateforme différente (32 bits versus 64 bits), le logiciel le détectera et recommandera une installation manuelle pour un tel nœud. 129 REMARQUE: Si vous avez une ancienne version de ESET Mail Security déjà installée sur certains nœuds, alors une nouvelle version de ESET Mail Security doit être installée sur ces machines avant de créer la grappe. Cela peut entraîner un redémarrage automatique de ces machines. Dans ce cas, un message d'avertissement s'affichera. 130 Une fois que vous avez configuré correctement la grappe ESET, elle apparaîtra comme activée dans la page Configuration > Serveur. 131 Vous pouvez également en vérifier l'état actuel dans la page d'état de la grappe (Outils > Grappe). Importer des certificats... Atteignez le dossier contenant les certificats (générés lorsque vous avez utilisé l'Assistant de la grappe). Sélectionnez le fichier du certificat et cliquez sur Ouvrir. 5.2 Ordinateur Le module Ordinateur se trouve sous Configuration > Ordinateur. Il affiche une vue d'ensemble des modules de protection décrits dans le chapitre précédent. Dans cette section, les paramètres suivants sont disponibles : Protection en temps réel du système de fichiers Analyse de l'ordinateur à la demande Analyse en état inactif Analyse au démarrage Support amovible Protection des documents HIPS Les options de l'analyseur pour tous les modules de protection (par exemple, protection en temps réel du système de fichiers, protection de l'accès Web, etc.) vous permettent d'activer ou de désactiver la détection des éléments suivants : Les applications potentiellement indésirables ne sont pas nécessairement malveillantes, mais elles sont susceptibles d'affecter les performances de votre ordinateur. Pour en savoir plus sur ces types d'applications, consultez le glossaire. Les applications potentiellement dangereuses sont des logiciels commerciaux légitimes susceptibles d'être utilisés à des fins malveillantes. Elles comprennent des programmes comme les outils d'accès à distance, les applications de craquage de mot de passe et les enregistreurs de frappe (des programmes qui enregistrent tout ce 132 que tape un utilisateur sur son clavier). Cette option est désactivée par défaut. Pour en savoir plus sur ces types d'application, consultez le glossaire. Les applications potentiellement suspectes comprennent des programmes compressés des compresseurs de fichiers ou des protecteurs. Ces types de protecteurs sont souvent exploités par les créateurs de logiciels malveillants pour échapper à la détection. La technologie Antistealth est un système évolué assurant la détection de programmes dangereux comme les programmes malveillants furtifs qui peuvent se cacher du système d'exploitation, ce qui les rend impossibles à détecter en utilisant des techniques de test ordinaires. L'exclusion des processus vous permettent d'exclure des processus précis. Par exemple, les processus de solution de sauvegarde, où toute exploitation des fichiers attribuée à de tels processus exclus est ignorée et considérée comme sûre, réduisant l'interférence avec le processus de sauvegarde. Les exclusions permettent d'exclure des fichiers et des dossiers de l'analyse. Pour que la détection des menaces s'applique à tous les objets, il est recommandé de ne créer des exclusions que lorsque cela est absolument nécessaire. Certaines situations justifient l'exclusion d'un objet. Par exemple, lorsque les entrées de bases de données volumineuses risquent de ralentir l'ordinateur pendant l'analyse ou lorsqu'il peut y avoir un conflit entre le logiciel et l'analyse. Consultez les instructions pour exclure un objet de l'analyse dans Exclusions. 5.2.1 Une infiltration est détectée Des infiltrations peuvent utiliser différents points d'entrée pour attaquer votre système, comme les pages Web, dossiers partagés, courriel ou périphériques amovibles (USB, disques externes, CD, DVD, disquettes, etc.). Comportement normal À titre d'exemple général de la façon dont les infiltrations sont traitées par ESET Mail Security, elles peuvent notamment être détectées en utilisant : Protection en temps réel du système de fichier Protection de l'accès Web Protection du client de messagerie Analyse de l'ordinateur à la demande Chacun de ces modules utilise le niveau de nettoyage standard et tentera de nettoyer le fichier et de le mettre en Quarantaine ou de mettre fin à la connexion. Une fenêtre de notification s'affiche dans la zone de notification, dans le coin inférieur droit de l'écran. Pour plus d'information sur les niveaux de nettoyage et le comportement, consultez la rubrique Nettoyage. Nettoyage et suppression Si aucune action n'est prédéfinie pour la protection en temps réel, vous serez invité à sélectionner une option dans une fenêtre d'avertissement. Les options Nettoyer, Supprimer et Aucune action sont généralement disponibles. Sélectionner Aucune action n'est pas recommandé puisque cela ne nettoiera pas les fichiers infectés. La seule exception concerne les situations où vous êtes sûr que le fichier est inoffensif et a été détecté par erreur. Utilisez le nettoyage si un fichier a été attaqué par un virus qui y a joint du code malveillant. Dans ce cas, tentez d'abord de nettoyer le fichier infecté pour le restaurer à son état d'origine. Si le fichier se compose uniquement de code malveillant, il sera alors supprimé. Si un fichier infecté est « verrouillé » ou utilisé par un processus du système, il ne sera généralement supprimé qu'après avoir été déverrouillé (le plus souvent, après un redémarrage du système). Menaces multiples Si aucun des fichiers infectés n'a été nettoyé pendant l'analyse de l'ordinateur (ou le Niveau de nettoyage a été défini à Aucun nettoyage), une fenêtre d'alerte vous invitant à choisir des actions pour ces fichiers s'affichera. Sélectionnez une action individuelle pour chaque menace dans la liste ou utilisez Sélectionner une action applicable à toutes les menaces dans la liste et sélectionnez l'action à appliquer à toutes les menaces dans la liste, puis cliquez sur Terminer. 133 Suppression de fichiers dans les archives En mode de nettoyage par défaut, l'archive entière n'est supprimée que si elle ne contient que des fichiers infectés et aucun fichier sain. Autrement dit, les archives ne sont pas supprimées si elles contiennent aussi des fichiers sains. Soyez cependant prudent si vous choisissez un nettoyage strict : dans ce mode, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient. Si votre ordinateur montre des signes d'une infection par un logiciel malveillant (ralentissement, blocages fréquents, etc.), il est recommandé d'effectuer les opérations suivantes : Ouvrez ESET Mail Security et cliquez sur Analyse de l'ordinateur, Cliquer sur Analyse intelligente (pour plus d'information, se reporter à la rubrique Analyse de l'ordinateur). Lorsque l'analyse est terminée, consultez le journal pour connaître le nombre de fichiers analysés, infectés et nettoyés. Si vous ne voulez analyser qu'une certaine partie de votre disque, cliquez sur Analyse personnalisée et sélectionnez les cibles à analyser. 5.2.2 Exclusions de processus Cette fonctionnalité vous permet d'exclure des processus d'application de l'analyse antivirus à l'accès. Ces exclusions aident à minimiser le risque de conflits potentiels et améliorent la performance des applications exclues, ce qui a par la suite un effet positif sur la performance générale du système d'exploitation. Lorsqu'un processus est exclu, son fichier exécutable n'est pas surveillé. Les activités du processus exclu n'est pas surveillé par ESET Mail Security et aucune analyse n'est effectuée sur aucunes des opérations fichier exécutées par le processus. Allez à Ajouter, Modifier et Supprimer pour gréer les exclusions de processus. REMARQUE : Les exclusions de processus sont exclusivement des exclusions de l'analyse antivirus à l'accès. Par exemple, comme la protection de l'accès Web ne tient pas compte cette exclusion, les fichiers téléchargés sont quand même analysés si vous excluez le fichier exécutable de votre navigateur Web. De cette façon, une infiltration peut encore être détectée. Ce scénario est offert à titre d'exemple seulement. Il n'est pas recommandé de créer des exclusions pour les navigateurs Web. REMARQUE : HIPS participe à l'évaluation des processus exclus. Il est donc recommandé que vous testiez les processus récemment exclus avec l'option HIPS activée (ou désactivée si vous rencontrez des problèmes). La désactivation de HIPS n'aura aucune incidence sur les exclusions de processus. Si l'option HIPS est désactivée, l'identification des processus exclus est basée sur le chemin d'accès seulement. 134 5.2.3 Exclusions automatiques Les développeurs d'applications serveur et de systèmes d'exploitation recommandent d'exclure de l'analyse antivirus les ensembles de fichiers et de dossiers de travail critiques de bon nombre de leurs produits. Les analyses antivirus peuvent avoir des répercussions négatives sur la performance d'un serveur, ce qui générera des conflits et pourrait même empêcher certaines applications d'être exécutées sur le serveur. Les exclusions aident à minimiser le risque de conflits potentiels et augmentent la performance globale du serveur sur lequel s'exécute un logiciel antivirus. ESET Mail Security identifie les applications serveur critiques et les fichiers du système d'exploitation du serveur et les ajoute automatiquement à la liste d'Exclusions. Vous pouvez voir une liste des applications serveur sous Exclusions automatiques à générer pour lesquelles les exclusions ont été créées. Toutes les exclusions automatiques sont activées par défaut. Vous pouvez activer/désactiver chaque application serveur en cliquant sur le commutateur pour obtenir les résultats suivants : 1. Si une exclusion d'application/de système d'exploitation reste activée, l'un ou l'autre de ses fichiers ou dossiers critiques sera ajouté à la liste de fichiers exclus de l'analyse (Configuration avancée > Ordinateur > > De base > Exclusions > Modifier). Chaque fois que le serveur est redémarré, le système vérifie automatiquement les exclusions et restaure toute exclusion pouvant avoir été supprimée de la liste. Ce paramètre constitue le réglage recommandé si vous voulez vous assurer que les extensions automatiques recommandées sont toujours appliquées. 2. Si l'utilisateur désactive une exclusion d'application/de système d'exploitation, ses fichiers et dossiers critiques demeurera dans la liste des fichiers exclus de l'analyse (Configuration avancée > Ordinateur > De base > Exclusions > Modifier). Cependant, ils ne seront désormais plus vérifiés automatiquement ni ajoutés automatiquement à la liste des exclusions chaque fois que le serveur est redémarré (voir le point 1 cidessus). Seuls les utilisateurs avancés qui veulent retirer ou modifier certaines des exclusions standards devraient utiliser ce paramètre. Si vous voulez retirer des exclusions de la liste sans redémarrer le serveur, vous devrez les retirer manuellement de la liste (Configuration avancée > Ordinateur > De base > Exclusions > Modifier). Toute exclusion définie par l'utilisateur qui est entrée manuellement (sous Configuration avancée > Ordinateur > De base > Exclusions > Modifier) ne sera pas affecté par les paramètres décrits ci-dessus. Les exclusions automatiques pour les applications serveur et le système d'exploitation du serveur seront définies en fonction des recommandations de Microsoft. Pour obtenir plus de détails, veuillez consulter les articles suivants sur la Base de connaissance : Recommandations d'analyse de virus pour les ordinateurs d'entreprise qui exécutent actuellement des versions de Windows qui sont prises en charge Dépannage pour un ordinateur Exchange Server sur lequel un logiciel antivirus est installé Analyse antivirus sélective des fichiers dans Exchange 2007 Logiciel antivirus dans le système d'exploitation sur les Exchange Servers 5.2.4 Cache local partagé Le Cache local partagé améliore les performances dans les environnements virtualisés en éliminant l'analyse en double sur le réseau. Cela garantit que chaque fichier est analysé une seule fois et stocké dans le cache partagé. Activez le commutateur Option de mise en cache pour enregistrer les renseignements sur l'analyse des fichiers et des dossiers de votre réseau dans le cache local. Si vous effectuez une nouvelle analyse, ESET Mail Security effectuera une recherche dans les fichiers analysés mis en cache. S'il y a correspondance, les fichiers seront exclus de l'analyse. La configuration du serveur cache contient les options suivantes : Nom d'hôte - Nom ou adresse IP de l'ordinateur où se trouve le cache. Port - Numéro du port utilisé pour la communication (le même que celui défini dans le Cache local partagé). Mot de passe - Pour spécifier le mot de passe du Cache local partagé au besoin. 135 5.2.5 Performance Vous pouvez définir le nombre de moteurs d'analyse ThreatSense utilisé par la protection antivirus et anti-logiciel espion à chaque fois. S'il n'y a pas d'autres restrictions, nous vous recommandons d'augmenter le nombre de moteurs d'analyse ThreatSense selon cette formule : nombre de moteurs d'analyse ThreatSense = (nombre d'UC physiques x 2) + 1. REMARQUE : La valeur acceptable se situe entre 1 et 20, de sorte que le nombre maximum de moteurs d'analyse ThreatSense que vous pouvez utiliser est de 20. 5.2.6 Protection en temps réel du système de fichiers La protection en temps réel du système de fichier contrôle tous les événements liés à l'antivirus dans le système. Elle analyse tous les fichiers à la recherche de programmes malveillants au moment de l'ouverture, de la création ou de l'exécution de ces fichiers sur l'ordinateur. La protection en temps réel du système de fichier est lancée au démarrage du système. Par défaut, la protection en temps réel du système de fichier est lancée au démarrage du système d'exploitation et assure une analyse ininterrompue. Dans des cas particuliers (par exemple, s'il y a un conflit avec un autre analyseur en temps réel), la protection en temps réel pourra être désactivée en désélectionnant Lancer automatiquement la protection en temps réel du système de fichier dans la section Configuration avancée sous Protection en temps réel du système de fichier > L'essentiel. Supports à analyser Par défaut, tous les types de support sont analysés pour y détecter la présence potentielle de menaces : Disques locaux - Contrôle tous les disques durs du système. Supports amovibles - Contrôle les CD/DVD, les périphériques de stockage USB, les périphériques Bluetooth, etc. Lecteurs réseau - Analyse tous les disques mappés. 136 Nous vous recommandons de ne modifier les paramètres par défaut que dans des cas particuliers, par exemple lorsque l'analyse de certains supports ralentit de manière significative les transferts de données. Date de l'analyse Par défaut, tous les fichiers sont analysés lorsqu'ils sont ouverts, exécutés ou créés. Il est recommandé de conserver ces paramètres par défaut, car ils offrent le niveau maximum de protection en temps réel pour votre ordinateur : Ouverture de fichier - Active ou désactive l'analyse des fichiers à l'ouverture. Création de fichier - Active ou désactive l'analyse des fichiers à la création. Exécution de fichier - Active ou désactive l'analyse des fichiers à l'exécution. Accès aux supports amovibles - Active ou désactive l'analyse déclenchée par l'accès à un support amovible particulier offrant de l'espace de stockage. Arrêt de l'ordinateur - Active ou désactive l'analyse déclenchée par l'arrêt de l'ordinateur. La protection en temps réel du système de fichier vérifie tous les types de support et est déclenchée par différents événements comme l'accès à un fichier. En raison des méthodes de détection de la technologie ThreatSense (décrites dans la section ThreatSense paramètres), la protection en temps réel du système de fichier peut être configurée pour traiter différemment les fichiers nouvellement créés et les fichiers existants. Par exemple, vous pouvez configurer la protection en temps réel du système de fichier afin qu'elle surveille plus attentivement les fichiers nouvellement créés. Pour assurer le minimum d'empreinte système lorsque la protection en temps réel est utilisée, les fichiers ayant déjà été analysés ne seront pas analysés de nouveau (à moins qu'ils n'aient été modifiés). Les fichiers seront cependant immédiatement réanalysés après chaque mise à jour de la banque de données de virus. Ce comportement est contrôlé grâce à l'Optimisation intelligente. Si la fonction Optimisation intelligente est désactivée, tous les fichiers seront analysés chaque fois que l'ordinateur y accédera. Pour modifier ce paramètre, appuyez sur F5 pour ouvrir la fenêtre Configuration avancée, puis agrandissez Ordinateur > > Protection en temps réel du système de fichiers. Cliquez sur ThreatSense paramètres > Autre et sélectionnez ou désélectionnez l'option Activer l'optimisation intelligente. 5.2.6.1 Exclusions Ne pas les confondre avec les Extensions exclues Les exclusions permettent d'exclure des fichiers et des dossiers de l'analyse. Pour que la détection des menaces s'applique à tous les objets, il est recommandé de créer des exclusions seulement lorsque cela est absolument nécessaire. Certaines situations justifient l'exclusion d'un objet. Par exemple, lorsque les entrées de bases de données volumineuses risquent de ralentir l'ordinateur pendant l'analyse ou lorsqu'il peut y avoir conflit entre le logiciel et l'analyse (par exemple, le logiciel de sauvegarde). Pour exclure un objet de l'analyse : Cliquez sur Ajouter et entrez le chemin vers un objet ou sélectionnez-le dans l'arborescence. Vous pouvez utiliser des caractères génériques pour couvrir un groupe de fichiers. Un point d'interrogation (?) représente un seul caractère variable tandis qu'un astérisque (*) représente une chaîne variable de zéro caractère ou plus. Exemples Si vous souhaitez exclure tous les fichiers d'un dossier, tapez le chemin d'accès de ce dossier et utilisez le masque « *.* ». Pour exclure un lecteur complet, y compris tous les fichiers et sous-dossier, utilisez le masque « D:\* ». Si vous ne souhaitez exclure que les fichiers .doc, utilisez le masque « *.doc ». Si le nom d'un fichier exécutable comporte un certain nombre de caractères variables dont vous ne connaissez que le premier (p. ex « D »), utilisez le format suivant : « D????.exe ». Les points d'interrogation remplacent les caractères manquants (inconnus). REMARQUE : Une menace présente dans un fichier n'est pas détectée par le module de protection du système de fichiers en temps réel ou par le module d'analyse de l'ordinateur si le fichier en question répond aux critères d'exclusion de l'analyse. 137 Colonnes Chemin - Chemin d'accès des fichiers et des dossiers exclus. Menace - Si un nom de menace est indiqué à côté d'un fichier exclu, cela signifie que le fichier est exclu pour la menace en question. Si ce fichier devient ensuite infecté par d'autres logiciels malveillants, ceux-ci seront détectés par le module antivirus. Ce type d'exclusions ne peut être utilisé que pour certains types d'infiltrations et peut être créé soit dans la fenêtre d'alerte de menaces signalant la menace (cliquez sur Plus d'information, puis sélectionnez Exclure de la détection), ou en cliquant sur Outils > Quarantaine, puis cliquez à droite sur le fichier mise en quarantaine. Sélectionnez ensuite Restaurer et exclure de la détection dans le menu contextuel. Éléments de contrôle Ajouter - Exclut des objets de la détection. Modifier - Permet de modifier les entrées sélectionnées. Supprimer - Supprime les entrées sélectionnées. 5.2.6.1.1 Ajouter ou modifier des exclusions Cette boîte de dialogue permet d'ajouter ou de modifier des exclusions. Cela peut se faire de deux manières : en tapant le chemin d'accès d'un objet à exclure, en le sélectionnant dans l'arborescence (cliquez sur ... à la fin de la zone de texte à parcourir) Si vous utilisez la première méthode, vous pouvez utiliser les caractères génériques décrits dans la section Format d'exclusion. 5.2.6.1.2 Format d'exclusion Vous pouvez utiliser des caractères génériques pour couvrir un groupe de fichiers. Un point d'interrogation (?) représente un seul caractère variable tandis qu'un astérisque (*) représente une chaîne variable de zéro caractère ou plus. Exemples Si vous souhaitez exclure tous les fichiers d'un dossier, tapez le chemin d'accès de ce dossier et utilisez le masque « *.* ». Pour exclure un lecteur complet, y compris tous les fichiers et sous-dossier, utilisez le masque « D:\* ». Si vous ne souhaitez exclure que les fichiers .doc, utilisez le masque « *.doc ». Si le nom d'un fichier exécutable comporte un certain nombre de caractères variables dont vous ne connaissez que le premier (p. ex « D »), utilisez le format suivant : « D????.exe ». Les points d'interrogation remplacent les caractères manquants (inconnus). 5.2.6.2 ThreatSense paramètres ThreatSense est une technologie composée de nombreuses méthodes de détection de menaces complexes. Cette technologie proactive fournit également une protection durant les premières heures de propagation d'une nouvelle menace. Elle utilise une combinaison d'analyse de code, d'émulation de code, de signatures génériques et de signatures de virus qui se conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur d'analyse est capable de contrôler simultanément plusieurs flux de données, maximisant ainsi l'efficacité et le taux de détection. La technologie ThreatSense élimine également les rootkits. REMARQUE : Pour en savoir plus sur la vérification automatique des fichiers de démarrage, voir Analyse au démarrage. Les options de configuration du moteur ThreatSense permettent également de préciser plusieurs paramètres d'analyse : Les types de fichiers et extensions à analyser La combinaison de plusieurs méthodes de détection les niveaux de nettoyage, etc. 138 Pour ouvrir la fenêtre de configuration, cliquez sur ThreatSense Configuration des paramètres du moteur dans la Fenêtre de configuration avancée de tout module utilisant la technologie ThreatSense (voir ci-dessous). Chaque scénario de sécurité peut exiger une configuration différente. Sachant cela, ThreatSense peut être configuré individuellement pour les modules de protection suivants : Protection en temps réel du système de fichier Analyse en état inactif Analyse au démarrage Protection des documents Protection du client de messagerie Protection de l'accès Web Analyse de l'ordinateur les paramètres sont hautement optimisés pour chaque module et leur modification peut avoir d'importantes répercussions sur le fonctionnement du système. Par exemple, en modifiant les paramètres pour toujours analyser les logiciels de compression exécutables ou pour autoriser les heuristiques avancées dans la protection en temps réel du système de fichier, vous pouvez diminuer les performances du système (normalement, seuls les fichiers nouvellement créés sont analysés par ces méthodes). Il est recommandé de laisser inchangés les paramètres par défaut de ThreatSense pour tous les modules, à l'exception du module Analyse de l'ordinateur. Objets à analyser Cette section vous permet de définir quels éléments et fichiers de l'ordinateur seront analysés à la recherche d'infiltrations. Mémoire vive - Activez cette option pour détecter les menaces qui s'attaquent à la mémoire vive du système. Secteurs d'amorçage - Analyse les secteurs d'amorçage pour détecter la présence de virus dans le MBR (enregistrement d'amorçage maître). Dans le cas d'une Machine virtuelle Hyper-V, son disque MBR est analysé en mode lecture seulement. Fichiers courriel - Le programme prend en charge les extensions suivantes : DBX (Outlook Express) et EML. Archives - Le programme prend en charge les extensions suivantes : ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE et beaucoup d'autres. Archives auto-extractibles - Les archives auto-extractibles (SFX) n'ont pas besoin de programmes spécialisés (archiveurs) pour être décompressés. Logiciels de compression exécutables - Après l'exécution, les logiciels de compression exécutables (contrairement aux archiveurs standard) se décompressent dans la mémoire. En plus des logiciels de compression statiques standard (UPX, yoda, ASPack, FSG, etc.), l'analyseur est capable de reconnaitre plusieurs autres types de logiciels de compression grâce à l'émulation de code. Options d'analyse Sélectionnez les méthodes utilisées lors de l'analyse du système à la recherche d'infiltrations. Les options suivantes sont disponibles : Heuristiques - La méthode heuristique utilise un algorithme d'analyse de l'activité (malveillante) des programmes. Le principal avantage de cette technologie est sa capacité à identifier des logiciels malveillants qui n'existaient pas ou n'étaient pas inscrits dans la banque de données de virus antérieure. L'inconvénient de cette méthode est la probabilité (très faible) de fausses alarmes. Heuristiques avancées/ADN/Signatures intelligentes - La méthode heuristique avancée utilise un algorithme heuristique développé par ESET, optimisé pour la détection des vers d'ordinateur et les chevaux de Troie, et écrit dans un langage de programmation de haut niveau. L'utilisation des heuristiques avancées augmente considérablement les capacités de détection de menaces des produits ESET. Les signatures peuvent détecter et identifier les virus de façon fiable. Grâce au système de mise à jour automatique, de nouvelles signatures peuvent être disponibles dans les quelques heures de la découverte d'une menace. L'inconvénient des signatures est qu'elles ne détectent que les virus qu'elles connaissent (ou une version légèrement modifiée de ces virus). 139 Nettoyage Les paramètres de nettoyage déterminent le comportement de l'analyseur lors du nettoyage des fichiers infectés. Trois niveaux de nettoyage sont possibles : Pas de nettoyage - Les fichiers infectés ne seront pas nettoyés automatiquement. Le programme affiche alors une fenêtre d'avertissement et laisse l'utilisateur choisir une action. Ce niveau est conçu pour les utilisateurs expérimentés qui savent quoi faire avec chaque type d'infiltrations. Nettoyage normal - Le programme tente de nettoyer ou de supprimer automatiquement tout fichier infecté sur la based'u e action prédéfinie (selon le type d'infiltration). La détection et la suppression d'un fichier infecté sont signalées par une notification affichée dans l'angle inférieur droit de l'écran. S'il n'est pas possible de sélectionner automatiquement l'action appropriée, le programme proposera d'autres actions de suivi. La même chose se produit lorsqu'une action prédéfinie n'a pas pu être menée à bien. Nettoyage strict - Le programme nettoie ou supprime tous les fichiers infectés (y compris les archives). Les seules exceptions sont les fichiers système. S'il est impossible de nettoyer un fichier, l'utilisateur devra préciser le type d'actions à entreprendre. AVERTISSEMENT : Si une archive contient un ou plusieurs fichiers infectés, elle peut être traitée de deux façons différentes. En mode standard (Nettoyage standard), toute l'archive sera supprimée si tous ses fichiers sont infectés. En mode Nettoyage strict, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient. IMPORTANT : Si l'hôte Hyper-V s'exécute sur Windows Server 2008 R2, Nettoyage normal et Nettoyage strict ne sont pas pris en charge. L'analyse des disques de la machine virtuelle s'effectue en mode de lecture seule - Aucun nettoyage. Sans égard au niveau de nettoyage sélectionné, l'analyse est toujours effectuée en mode de lecture seule. Exclusions L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette section du réglage des paramètres ThreatSense vous permet de définir les types de fichiers à exclure de l'analyse. Autre Au moment de configurer les paramètres du moteur ThreatSense pour une analyse de l'ordinateur à la demande, les options suivantes dans Autres seront aussi offertes : Analyser les flux de données alternatifs (ADS) - Les flux de données alternatifs (ADS) utilisés par le système de fichiers NTFS sont des associations de fichiers et de dossiers que les techniques d'analyse ordinaires ne permettent pas de détecter. De nombreuses infiltrations tentent d'éviter la détection en se faisant passer pour des flux de données alternatifs. Exécuter les analyses en arrière-plan avec une priorité faible - Toute séquence d'analyse consomme une certaine quantité de ressources système. Si vous utilisez des programmes qui exigent beaucoup de ressources du système, vous pouvez activer l'analyse en arrière-plan à faible priorité de manière à réserver des ressources pour vos applications. Consigner tous les objets - Si cette option est sélectionnée, le fichier journal affichera tous les fichiers analysés, même ceux qui ne sont pas infectés. Par exemple, si une infiltration est détectée dans une archive, le journal présente également les fichiers propres qu'elle contient. Activer l'optimisation intelligente - Lorsque la fonction Optimisation intelligente est activée, les paramètres les plus optimaux sont utilisés pour assurer le niveau d'analyse le plus efficient tout en conservant la vitesse d'analyse la plus élevée. Les différents modules de protection effectuent une analyse intelligente, utilisant pour ce faire différentes méthodes d'analyse et les appliquant à différents types de fichier. Si l'optimisation Smart est activée, seuls les paramètres définis par l'utilisateur dans le moteur ThreatSense utilisé pour ces modules particuliers seront appliqués au moment de l'analyse. Conserver la date et l'heure du dernier accès - Activez cette option pour conserver la date et l'heure d'accès d'origine des fichiers analysés au lieu de la mettre à jour (par ex., pour l'utiliser avec des systèmes de sauvegarde de données). 140 Limites La section Limites permet de préciser la taille maximale des objets et les niveaux d'imbrication des archives à analyser : Paramètres de l'objet Paramètres par défaut de l'objet Taille maximale de l'objet - Définit la taille maximale des objets à analyser. Le module antivirus donné n'analysera alors que les objets dont la taille est inférieure à celle indiquée. Cette option ne devrait être modifiée que par des utilisateurs expérimentés ayant des raisons précises d'exclure de l'analyse des objets de plus grande taille. Valeur par défaut : illimitée. Durée d'analyse maximale pour l'objet (en secondes) - Précise la valeur de temps maximale pour l'analyse d'un objet. Si la valeur de ce champ a été définie par l'utilisateur, le module antivirus cessera d'analyser un objet une fois ce temps écoulé, que l'analyse soit terminée ou non. Valeur par défaut : illimitée. Configuration de l'analyse des archives Niveau d'imbrication des archives - Précise la profondeur maximale de l'analyse des archives. Valeur par défaut : 10. Taille maximale du fichier dans l'archive - Cette option permet de préciser la taille maximale des fichiers (après extraction) à analyser, contenus dans les archives. Valeur par défaut : illimitée. REMARQUE : Il n'est pas recommandé de modifier les valeurs par défaut. Dans des circonstances normales, il n'y a aucune raison de le faire. 5.2.6.2.1 Extensions de fichier exclues de l'analyse L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette section de la configuration des paramètres ThreatSense vous permet de définir les types de fichier à analyser. Par défaut, les fichiers sont analysés. N'importe quelle extension peut être ajoutée à la liste des fichiers exclus de l'analyse. L'exclusion de fichiers peut parfois être utile lorsque l'analyse de certains types de fichier empêche le fonctionnement approprié du programme utilisant ces extensions. Par exemple, il peut être judicieux d'exclure les extensions .edb, .eml et .tmp lorsque vous utilisez les serveurs Microsoft Exchange. Les boutons Ajouter et Supprimer permettent d'autoriser ou d'empêcher l'analyse d'extensions de fichier spécifiques. Pour ajouter une nouvelle extension à la liste, cliquez sur Ajouter, entrez l'extension dans le champ vide, puis cliquez sur OK. Lorsque vous sélectionnez Entrez plusieurs valeurs, vous pouvez ajouter plusieurs extensions de fichier séparées par des lignes, des virgules ou des points virgules. Lorsqu'un choix multiple est activé, les extensions sont affichées dans la liste. Sélectionnez sur une extension dans la liste puis sur cliquez sur Supprimer pour la supprimer de la liste. Si vous souhaitez modifier une extension, cliquez Modifier. Les symboles spéciaux * (astérisque) et ? (point d'interrogation) peuvent être utilisés. L'astérisque remplace n'importe quelle chaîne de caractères, tandis que le point d'interrogation remplace n'importe quel autre symbole. 5.2.6.2.2 Autres ThreatSense paramètres Autres paramètres ThreatSense pour les fichiers nouvellement créés et modifiés - La probabilité qu'un fichier nouvellement créé ou modifié soit infecté est plus grande comparativement aux fichiers existants. C'est pour cette raison que le programme utilise des paramètres d'analyse supplémentaires pour vérifier ces fichiers. Outre les méthodes d'analyse basées sur les signatures, les heuristiques avancées sont aussi utilisées, ce qui permet de détecter les nouvelles menaces avant la diffusion de la mise à jour de la banque de données de virus. En plus des fichiers nouvellement créés, l'analyse est aussi effectuée sur les fichiers auto-extractibles (.sfx) et les logiciels de compression exécutables (fichiers exécutables compressés internes). Par défaut, les archives sont analysées jusqu'au 10e niveau d'imbrication et vérifiées indépendamment de leur taille réelle. Désactivez l'option Paramètres d'analyse d'archive par défaut pour modifier les paramètres d'analyse de l'archive. Pour plus de détails sur les Compresseurs exécutables, les Archives auto-extractibles et les heuristiques avancées, 141 consultez la section ThreatSense Configuration des paramètres du moteur. Autres paramètres ThreatSense pour les fichiers exécutés - Par défaut, les heuristiques avancées sont utilisées lorsque des fichiers sont exécutés. Lorsque cette option est activée, nous vous recommandons fortement de conserver l'Optimisation intelligente et ESET Live Grid activés afin de réduire les effets sur la performance du système. 5.2.6.2.3 Niveaux de nettoyage La protection en temps réel offre trois niveaux de nettoyage (pour accéder aux paramètres des niveaux de nettoyage, cliquez sur Configuration des paramètres du moteur ThreatSense dans la section Protection en temps réel du système de fichier, puis sur Nettoyage). Pas de nettoyage - Les fichiers infectés ne seront pas nettoyés automatiquement. Le programme affiche alors une fenêtre d'avertissement et laisse l'utilisateur choisir une action. Ce niveau est conçu pour les utilisateurs expérimentés qui savent quoi faire avec chaque type d'infiltrations. Nettoyage normal - Le programme tente de nettoyer ou de supprimer automatiquement tout fichier infecté sur la based'u e action prédéfinie (selon le type d'infiltration). La détection et la suppression d'un fichier infecté sont signalées par une notification affichée dans l'angle inférieur droit de l'écran. S'il n'est pas possible de sélectionner automatiquement l'action appropriée, le programme proposera d'autres actions de suivi. La même chose se produit lorsqu'une action prédéfinie n'a pas pu être menée à bien. Nettoyage strict - Le programme nettoie ou supprime tous les fichiers infectés (y compris les archives). Les seules exceptions sont les fichiers système. S'il est impossible de nettoyer un fichier, l'utilisateur devra préciser le type d'actions à entreprendre. AVERTISSEMENT : Si une archive contient un ou plusieurs fichiers infectés, elle peut être traitée de deux façons différentes. En mode standard (Nettoyage standard), toute l'archive sera supprimée si tous ses fichiers sont infectés. En mode Nettoyage strict, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient. IMPORTANT : Si l'hôte Hyper-V s'exécute sur Windows Server 2008 R2, Nettoyage normal et Nettoyage strict ne sont pas pris en charge. L'analyse des disques de la machine virtuelle s'effectue en mode de lecture seule - Aucun nettoyage. Sans égard au niveau de nettoyage sélectionné, l'analyse est toujours effectuée en mode de lecture seule. 5.2.6.2.4 Quand faut-il modifier la configuration la protection en temps réel La protection en temps réel du système de fichier est le composant le plus important de la sécurisation du système. Il faut être très attentif lorsqu'on modifie les paramètres de ce module. Il est recommandé de ne changer les paramètres de ce module que dans des cas précis. Après l'installation de ESET Mail Security, tous les paramètres sont optimisés pour garantir le niveau maximal de sécurité système pour les utilisateurs. Pour restaurer les paramètres par défaut, cliquez sur près de chaque onglet dans la fenêtre (Configuration avancée > Ordinateur > Protection en temps réel du système de fichiers). 5.2.6.2.5 Vérification de la protection en temps réel Pour s'assurer que la protection en temps réel fonctionne et détecte bien les virus, utilisez un fichier de test d'eicar.com. Ce fichier de test est un fichier inoffensif que détecteront tous les programmes antivirus. Le fichier a été créé par la société EICAR (European Institute for Computer Antivirus Research) pour tester la fonctionnalité des programmes antivirus. Vous pouvez télécharger le fichier sur le site http://www.eicar.org/download/eicar.com 142 5.2.6.2.6 Que faire si la protection en temps réel ne fonctionne pas Dans cette rubrique, nous décrivons des problèmes qui peuvent survenir avec la protection en temps réel et la façon de les résoudre. La protection en temps réel est désactivée Si la protection en temps réel a été désactivée par mégarde par un utilisateur, elle doit être réactivée. Pour réactiver la protection en temps réel, accédez à Configuration dans la fenêtre principale du programme et cliquez sur Protection en temps réel du système de fichier. Si la protection en temps réel n'est pas lancée au démarrage du système, cela découle généralement du fait que l'option Lancer automatiquement la protection en temps réel du système de fichier est désélectionnée. Pour l'activer, accédez à la Configuration avancée (touche F5), puis cliquez sur Ordinateur > Protection en temps réel du système de fichier > L'essentiel dans la section Configuration avancée. Assurez-vous que l'option Lancer automatiquement la protection en temps réel du système de fichiers est activée. Si la protection en temps réel ne détecte pas et ne nettoie pas les infiltrations Assurez-vous qu'aucun autre programme antivirus n'est installé sur votre ordinateur. Si deux programmes de protection en temps réel sont activés en même temps, il peut y avoir conflit entre les deux. Nous recommandons de désinstaller tout autre antivirus de votre système avant d'installer ESET. La protection en temps réel ne démarre pas Si la protection en temps réel n'est pas lancée au démarrage du système (et que l'option Lancer automatiquement la protection en temps réel du système de fichier est activée), le problème peut provenir de conflits avec d'autres programmes. Pour de l'assistance dans la résolution de ce problème, veuillez communiquer avec l'assistance à la clientèle ESET. 5.2.6.2.7 Soumission Vous pouvez choisir la façon dont les fichiers et les données statistiques seront soumis à ESET. Sélectionnez l'option Par le biais de la Console d'administration à distance (RA) ou directement à ESET pour les fichiers et les statistiques qui doivent être soumis par tous les moyens disponibles. Sélectionnez l'option Par la Console d'administration à distance pour soumettre les fichiers et les statistiques au serveur d'administration à distance, ce qui assurera leur soumission subséquente au laboratoire ESET Threat Lab. Si l'option Directement à ESET est sélectionnée, le programme enverra directement tous les fichiers suspects et l'information statistique au laboratoire ESET Virus Lab. Si des fichiers sont en attente de soumission, le bouton Soumettre maintenant sera activé. Cliquez sur ce bouton pour soumettre immédiatement les fichiers et les données statistiques. Sélectionnez Activer la journalisation pour créer un journal dans lequel enregistrer les fichiers et données statistiques soumis. 143 5.2.6.2.8 Statistiques Le système d'avertissement anticipé ThreatSense.Net recueille de l'information anonyme sur votre ordinateur, à propos des menaces nouvellement détectées. Ces données peuvent inclure le nom de l'infiltration, la date et l'heure de détection, la version du produit de sécurité d'ESET ainsi que des données sur la version du système d'exploitation de votre ordinateur et ses paramètres régionaux. Les statistiques sont généralement envoyées aux serveurs ESET une ou deux fois par jour. Voici un exemple de données statistiques envoyées : # # # # # # # # # utc_time=2005-04-14 07:21:28 country="Slovakia" language="ENGLISH" osver=5.1.2600 NT engine=5417 components=2.50.2 moduleid=0x4e4f4d41 filesize=28368 filename=C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8 Quand soumettre - Vous pouvez définir le moment où les données statistiques seront soumises. Si vous choisissez de les envoyer Dès que possible , les données statistiques seront envoyées dès leur création. Ce choix convient si une connexion Internet permanente est disponible. Si l'option Pendant la mise à jour est sélectionnée, les données statistiques seront conservées puis envoyées simultanément pendant la prochaine mise à jour. 5.2.6.2.9 Fichiers suspects L'onglet Fichiers suspects vous permet de configurer la façon dont les menaces seront soumises aux laboratoires ESET Threat Lab pour analyse. Si vous trouvez un fichier suspect, vous pouvez le soumettre à notre laboratoire pour analyse. S'il contient une application malveillante, il sera ajouté à la prochaine mise à jour des signatures de virus. Les soumissions de fichiers peuvent être effectuées automatiquement ou vous pouvez sélectionner l'option Demander avant de soumettre si vous voulez savoir quels fichiers ont été soumis pour analyse et confirmer la soumission. Si vous ne voulez soumettre aucun fichier, sélectionnez l'option Ne pas soumettre pour analyse. Choisir de ne pas soumettre de fichiers pour analyse n'aura aucune incidence sur la soumission des données statistiques qui sont configurées de façon distincte (voir la section Statistiques). Quand soumettre - Par défaut, l'option Dès que possible est sélectionnée pour que les fichiers suspects soient envoyés aux laboratoires d'ESET. Ceci est recommandé lorsqu'une connexion Internet permanente est disponible et que les fichiers suspects peuvent être livrés très rapidement. Sélectionnez l'option Pendant la mise à jour pour que les fichiers suspects soient téléversés dans ThreatSense.Net au moment de la prochaine mise à jour. Filtre d'exclusion - Le filtre d'exclusion permet d'exclure certains fichiers/dossiers de la soumission. Ainsi, il est utile d'exclure des fichiers qui peuvent comporter des données confidentielles, tels que des documents ou des feuilles de calcul. Les types de fichiers les plus courants sont exclus par défaut (.doc, etc.). Vous pouvez ajouter des fichiers à cette liste, au besoin. Adresse courriel du contact - L'adresse courriel du contact (facultative) peut également être envoyée avec tout fichier suspect et pourra être utilisée pour communiquer avec vous si nous avons besoin de plus d'information pour l'analyse. Veuillez noter que vous ne recevrez pas de réponse d'ESET sauf si d'autres renseignements sont requis. 144 5.2.7 Analyse de l'ordinateur à la demande et Analyse Hyper-V Les options de cette section permettent de sélectionner des paramètres d'analyse. REMARQUE :Ce sélecteur de profil d'analyse s'applique à la fois à l'Analyse de l'ordinateur à la demande et à l'Analyse Hyper-V. Profil sélectionné - Ensemble particulier de paramètres utilisé par l'analyseur à la demande. Pour créer un nouveau, cliquez sur Modifier situé à côté de Liste des profils. Si vous ne souhaitez analyser qu'une cible en particulier, vous pouvez cliquer sur Modifier à côté de Analyser les cibles et choisir une option dans le menu déroulant ou choisir des cibles spécifiques dans la structure des dossiers (arborescence). La fenêtre des cibles à analyser permet de définir les objets (mémoire, lecteurs, secteurs, fichiers et dossiers) dans lesquels rechercher des infiltrations. Sélectionnez les cibles dans l'arborescence qui dresse la liste de tous les périphériques de l'ordinateur qui sont disponibles. Le menu déroulant Cibles à analyser permet de sélectionner des cibles à analyser prédéfinies. Par paramètres de profil - Sélectionne les cibles dans le profil d'analyse sélectionné. Supports amovibles - Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD. Disques locaux - Sélectionne tous les disques durs du système. Lecteurs réseau - Sélectionne tous les disques réseau mappés. Fichiers partagés - Sélectionne tous les dossiers partagés sur le serveur local. Aucune sélection - Annule toutes les sélections. Cliquez sur les paramètresThreatSense pour modifier les paramètres d'analyse (par exemple, les méthodes de détection) pour l'analyseur à la demande. 5.2.7.1 Lanceur d'Analyse personnalisée et d'Analyse Hyper-V Si souhaitez analyser une cible particulière, vous pouvez utiliser l'outil d'analyse personnalisée en cliquant sur Analyse d'ordinateur > Analyse personnalisée et sélectionner une option dans le menu déroulant Cibles à analyser ou des cibles particulières dans l'arborescence des dossiers. REMARQUE : Ce sélecteur de profil d'analyse s'applique à la fois à l'Analyse personnalisée et à l'Analyse Hyper-V. La fenêtre des cibles à analyser permet de définir les objets (mémoire, lecteurs, secteurs, fichiers et dossiers) dans lesquels rechercher des infiltrations. Sélectionnez les cibles dans l'arborescence qui dresse la liste de tous les périphériques de l'ordinateur qui sont disponibles. Le menu déroulant Cibles à analyser permet de sélectionner des cibles à analyser prédéfinies. Par paramètres de profil - Sélectionne les cibles dans le profil d'analyse sélectionné. Supports amovibles - Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD. Disques locaux - Sélectionne tous les disques durs du système. Lecteurs réseau - Sélectionne tous les disques réseau mappés. Fichiers partagés - Sélectionne tous les dossiers partagés sur le serveur local. Aucune sélection - Annule toutes les sélections. 145 Pour accéder rapidement à une cible d'analyse ou ajouter directement une cible souhaitée (dossier ou fichier), entrez-la dans le champ vide sous la liste de dossiers. Cela n'est possible que si aucune cible n'a été sélectionnée dans l'arborescence et que le menu Cibles à analyser est défini à Aucune sélection. Fenêtre contextuelle Analyse personnalisée : Si vous ne voulez qu'analyser le système sans effectuer de nettoyage supplémentaire, sélectionnez Analyser sans nettoyer. Cela est utile si vous ne voulez obtenir qu'un aperçu des éléments infectés et obtenir des détails sur ces infections, le cas échéant. En outre, vous pouvez choisir parmi trois niveaux de nettoyage en cliquant sur Configuration > Paramètres ThreatSense > Nettoyage. Les données de l'analyse sont enregistrées dans un journal d'analyse. Lorsque vous sélectionnez Ignorer les exclusions, l'analyse ignorera les exclusions qui autrement s'appliqueraient. Fenêtre contextuelle Analyse Hyper-V (voir Analyse Hyper-V pour en savoir plus) : 146 Vous pouvez choisir le profil à utiliser pour analyser les cibles visées dans le menu déroulant Profil d'analyse. Le profil par défaut est Analyse intelligente. Il existe deux autres profils d'analyse prédéfinis appelés Analyse approfondie et Analyse par menu contextuel. Ces profils d'analyse utilisent différents paramètres pour le moteur ThreatSense. Cliquez sur Configuration... pour configurer en détail le profil d'analyse choisi à partir du menu Profil d'analyse. Les options offertes sont décrites dans la section Autres dans la configuration des paramètres de moteur ThreatSense. Cliquez sur Enregistrer pour enregistrer les modifications apportées à la sélection des cibles, y compris les sélections effectuées dans l'arborescence des dossiers. Cliquez sur Analyse pour exécuter l'analyse avec les paramètres personnalisés que vous avez définis. L'option Analyser en tant qu'administrateur permet d'exécuter l'analyse avec le compte d'administrateur. Cliquez ici si l'utilisateur actuel n'a pas les privilèges requis pour accéder aux fichiers appropriés devant être analysés. À noter que ce bouton n'est pas disponible si l'utilisateur actuel ne peut appeler les opérations UAC en tant qu'administrateur. 5.2.7.2 Progression de l'analyse La fenêtre de progression de l'analyse affiche l'état actuel de l'analyse ainsi que de l'information sur le nombre de fichiers contenant des programmes malveillants trouvés. REMARQUE : Il est normal que certains fichiers, comme les fichiers protégés par mot de passe ou les fichiers utilisés exclusivement par le système (généralement, les fichiers pagefile.sys et certains fichiers journaux), ne puissent pas être analysés. 147 Progression de l'analyse - La barre de progression indique le pourcentage d'objets déjà analysés par rapport aux objets encore en attente d'analyse. L'état de progression de l'analyse découle du nombre total d'objets inclus dans l'analyse. Cible - Le nom de l'objet en cours d'analyse et son emplacement. Menaces trouvées - Indique le nombre total de menaces trouvées pendant l'analyse. Pause - Met l'analyse en pause. Reprendre - Cette option est visible seulement lorsque l'analyse est suspendue. Cliquez sur Reprendre pour reprendre l'analyse. Arrêter - Met fin à l'analyse. Faire défiler le journal de l'analyse - Si cette option est activée, le journal d'analyse défilera automatiquement lorsque de nouvelles entrées seront ajoutées afin que les entrées les plus récentes soient visibles. Vous pouvez cliquer sur Plus de détails pendant l'analyse pour voir des détails comme l'Utilisateur qui a lancé le processus d'analyse à partir d'une IUG, le nombre d'Objets analysés et la Durée de l'analyse. Si une Analyse de base de données à la demande est en cours d'exécution, l'utilisateur qui l'a lancée s'affiche et non pas le Compte d'analyse de base de données qui est utilisé pour la connexion à EWS (Exchange Web Services) pendant le processus d'analyse. 5.2.7.3 Gestionnaire de profils Le gestionnaire de profils est utilisé à deux endroits dans ESET Mail Security - dans la section Analyse de l'ordinateur à la demande et dans la section Mise à jour. Analyse de l'ordinateur à la demande Vos paramètres d'analyse préférés peuvent être enregistrés pour analyse future. Nous vous recommandons de créer un profil différent (avec différentes cibles et méthodes ainsi que d'autres paramètres d'analyse) pour chacune des analyses utilisées régulièrement. Pour créer un nouveau profil, ouvrez la fenêtre Configuration avancée (F5) et cliquez sur Ordinateur > > Analyse de 148 l'ordinateur à la demande puis Modifier à côté de Liste de profils. Le menu déroulant du Profil sélectionné qui donne la liste des profils d'analyse existants. Pour vous aider à créer un profil d'analyse répondant à vos besoins, consultez la rubrique Configuration du moteur ThreatSense pour une description de chacun des paramètres de configuration de l'analyse. Exemple : Imaginez que vous vouliez créer votre propre profil d'analyse et que la configuration associée au profil Analyse intelligente vous convienne en partie, mais que vous ne voulez ni analyser les fichiers exécutables compressés par un compresseur d'exécutables ni les applications potentiellement dangereuses et que vous voulez également utiliser un Nettoyage strict. Entrez le nom de votre nouveau profil dans la fenêtre Gestionnaire de profil, puis cliquez sur Ajouter. Sélectionnez votre nouveau profil à partir du menu déroulant de Profil sélectionné, puis ajustez les paramètres restants pour répondre à vos exigences; cliquez ensuite sur OK pour enregistrer votre nouveau profil. Mise à jour L'éditeur de profils de la section de configuration des mises à jour permet aux utilisateurs de créer de nouveaux profils de mise à jour. Il est opportun de créer et d'utiliser des profils personnalisés (autres que l'option par défaut Mon profil) si votre ordinateur utilise plusieurs moyens pour se connecter aux serveurs de mise à jour. Par exemple, un ordinateur portable qui se connecte normalement à un serveur local (miroir) sur le réseau local, mais qui télécharge les mises à jour directement à partir des serveurs de mise à jour d'ESET lorsqu'il est déconnecté du réseau local (voyage d'affaires) pourrait utiliser deux profils : le premier pour se connecter au serveur local, le second pour se connecter aux serveurs d'ESET. Une fois ces profils configurés, allez dans Outils > Planificateur, puis modifiez les paramètres de mise à jour de la tâche. Désignez un profil comme principal et l'autre comme secondaire. Profil sélectionné - Le profil de mise à jour actuellement sélectionné. Pour le changer, choisissez un profil dans le menu déroulant. Liste des profils - Créer un nouveau profil ou modifiez des profils de mise à jour. 5.2.7.4 Cibles à analyser La fenêtre des cibles à analyser permet de définir les objets (mémoire, lecteurs, secteurs, fichiers et dossiers) dans lesquels rechercher des infiltrations. Sélectionnez les cibles dans l'arborescence qui dresse la liste de tous les périphériques de l'ordinateur qui sont disponibles. Le menu déroulant Cibles à analyser permet de sélectionner des cibles à analyser prédéfinies. Par paramètres de profil - Sélectionne les cibles dans le profil d'analyse sélectionné. Supports amovibles - Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD. Disques locaux - Sélectionne tous les disques durs du système. Lecteurs réseau - Sélectionne tous les disques réseau mappés. Fichiers partagés - Sélectionne tous les dossiers partagés sur le serveur local. Aucune sélection - Annule toutes les sélections. 5.2.7.5 Suspendre une analyse planifiée Une analyse planifiée peut être reportée. Indiquez une valeur dans l'option Arrêter les analyses planifiées dans (min) si vous voulez reporter l'analyse de l'ordinateur. 149 5.2.8 Analyse en état inactif Vous pouvez activer l'analyse à l'état de repos dans Configuration avancée, sous Ordinateur > > Analyse à l'état de repos > De base. Activez le commutateur à côté de l'option Activer l'analyse à l'état de repos pour activer cette fonctionnalité. Lorsque l'ordinateur est inactif, une analyse silencieuse de l'ordinateur est effectuée sur tous les disques locaux. Par défaut, l'analyseur à l'état de repos ne sera pas exécuté lorsque l'ordinateur (portable) est alimenté par pile. Vous pouvez écraser ce paramètre en cochant la case à côté de l'option Exécuter même si l'ordinateur est alimenté par pile dans Configuration avancée. Mettez en marche le commutateur Activer la journalisation dans Configuration avancée pour enregistrer les résultats des analyses dans la section Fichiers journaux (dans la fenêtre du programme principal, cliquez sur Outils > Fichiers journaux, puis sélectionnez Analyse de l'ordinateur dans le menu déroulant Journal). La détection à l'état de repos s'exécute lorsque l'ordinateur est dans l'un des états suivants : Écran ou écran de veille désactivé Verrouillage de l'ordinateur Fermeture de session de l'utilisateur Cliquez sur les paramètresThreatSense pour modifier les paramètres d'analyse (par exemple, les méthodes de détection) pour l'analyseur à l'état de repos. 5.2.9 Analyse au démarrage La vérification automatique des fichiers de démarrage sera effectuée par défaut au démarrage du système et pendant la mise à jour de la banque de données de virus. Cette analyse dépend de la Configuration et des tâches du Planificateur. Les options pour l'analyse au démarrage font partie de la tâche du planificateur qu'est le Vérification des fichiers de démarrage du système. Pour modifier les paramètres d'analyse au démarrage, allez à Outils > Planificateur, puis cliquer sur Vérification automatique des fichiers au démarrage et sur Modifier. À la dernière étape, la fenêtre Vérification automatique des fichiers au démarrage s'affichera ensuite (consultez le chapitre suivant pour plus de détails). Pour des instructions détaillées sur la création et la gestion des tâches dans le Planificateur, consultez la section Création de nouvelles tâches. 5.2.9.1 Vérification automatique des fichiers de démarrage Lorsque vous créez une tâche planifiée de contrôle des fichiers au démarrage du système, plusieurs options s'offrent à vous pour définir les paramètres suivants : Le menu déroulant Niveau d'analyse précise la profondeur de l'analyse pour les fichiers exécutés au démarrage du système. Les fichiers sont classés en ordre ascendant, selon les critères suivants : Seulement les fichiers les plus fréquemment utilisés (le plus petit nombre de fichiers analysés) Fichiers fréquemment utilisés Fichiers communément utilisés Fichiers rarement utilisés Tous les fichiers enregistrés (le plus grand nombre de fichiers analysés) Deux groupes de Niveau d'analyse particuliers sont aussi inclus : Fichiers exécutés avant la connexion de l'utilisateur - Contient les fichiers enregistrés dans des emplacements qui permettent d'y accéder sans que l'utilisateur n'ait ouvert de session (comprend presque tous les emplacements de démarrage comme les services, les objets application d'assistance du navigateur, la notification winlogon, les entrées dans le planificateur de Windows, les dll connus, etc.). Fichiers exécutés après la connexion de l'utilisateur - Contient les fichiers enregistrés dans des emplacements qui permettent d'y accéder seulement que lorsque l'utilisateur a ouvert une session. Comprend généralement les 150 fichiers enregistrés dans le cheminHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). Les listes de fichiers à analyser sont fixes, pour chacun des groupes susmentionnés. Priorité de l'analyse - Le niveau de priorité à utiliser pour déterminer à quel moment débutera l'analyse : Normal - Pour une charge système moyenne. Faible - Lorsque la charge système est faible. Minimale - Lorsque la charge système est la plus faible possible. Quand inactif - La tâche ne sera exécutée que lorsque le système sera inactif. 5.2.10 Support amovible effectue une analyse automatique des supports amovibles (CD/DVD/USB). Ce module permet d'analyser le support inséré. Cela peut être utile si l'administrateur de l'ordinateur veut empêcher les utilisateurs d'utiliser des supports amovibles comportant un contenu non sollicité. Action à prendre après l'insertion d'un support amovible - Sélectionnez l'action par défaut qui sera exécutée lorsqu'un support amovible est inséré dans l'ordinateur (CD/DVD/USB). Si l'option Afficher les options d'analyse est sélectionnée, une notification s'affichera pour vous permettre de choisir l'action souhaitée : Ne pas analyser - Aucune action ne sera effectuée et la fenêtre Nouveau périphérique détecté sera fermée. Analyse automatique du périphérique - Une analyse de l'ordinateur à la demande du support amovible inséré sera effectuée. Afficher les options d'analyse - Ouvre la section de configuration du support amovible. Lorsqu'un support amovible est inséré, la boîte de dialogue suivante affichera les renseignements suivants : Analyser maintenant - Déclenche l'analyse du support amovible. Analyser plus tard - Reporte l'analyse du support amovible. Configuration - Ouvre la Configuration avancée. Toujours utiliser l'option sélectionnée - Lorsque cette case est cochée, la même action sera effectuée la prochaine fois qu'un support amovible sera inséré. De plus, ESET Mail Security comprend la fonctionnalité de contrôle du périphérique qui offre la possibilité de définir des règles pour l'utilisation des périphériques externes sur un ordinateur donné. Vous trouverez plus de détails sur le contrôle de périphérique dans la section Contrôle de périphérique. 5.2.11 Protection des documents La fonctionnalité de protection des documents analyse les documents Microsoft Office avant leur ouverture, comme les fichiers téléchargés automatiquement par Internet Explorer, tels que les éléments Microsoft ActiveX. La protection des documents offre une couche de protection, en plus de la protection en temps réel du système de fichier, et peut être désactivée afin d'améliorer la performance de systèmes non exposés à un volume élevé de documents Microsoft Office. L'option Intégration système active le système de protection. Pour modifier cette option, appuyez sur F5 et ouvrez la fenêtre Configuration avancée. Cliquez sur Ordinateur > Protection de documents dans l'arborescence Configuration avancée. Voir les paramètres Threatsense pour plus de détails sur les paramètres de la Protection des documents. Cette fonctionnalité est activée par des applications utilisant Antivirus API de Microsoft (par ex., Microsoft Office 2000 et versions ultérieures, ou Microsoft Internet Explorer 5.0 et versions ultérieures). 151 5.2.12 HIPS Seul un utilisateur d'expérience devrait apporter des modifications aux paramètres de HIPS. Une mauvaise configuration des paramètres HIPS peut rendre le système instable. Le Système de prévention des intrusions sur l'ordinateur hôte (HIPS) protège votre système des logiciels malveillants et de toute activité indésirable qui tentent de modifier la sécurité de votre ordinateur. Il utilise, pour ce faire, une analyse comportementale évoluée combinée aux fonctionnalités de détection de filtrage du réseau utilisées dans la surveillance des processus en cours, fichiers et clés de registre. Le système HIPS diffère de la protection en temps réel du système de fichiers et ce n'est pas un pare-feu. Il surveille uniquement les processus en cours d'exécution au sein du système d'exploitation. Vous pouvez accéder aux paramètres de HIPS dans Configuration avancée (touche F5) Ordinateur > HIPS. L'état HIPS (activé ou désactivé) est indiqué dans la fenêtre principale de ESET Mail Security dans le volet Configuration, du côté droit de la section Ordinateur. ESET Mail Security comporte une technologie d'Auto-défense intégrée qui empêche les logiciels malveillants de corrompre ou de désactiver votre protection antivirus et anti-logiciel espion pour que vous soyez toujours certain que votre système est protégé en tout temps. Les modifications apportées aux paramètres Activer HIPS et Activer Autodéfense prendront effet après le redémarrage du système d'exploitation Windows. Désactiver l'ensemble du système HIPS exigera également un redémarrage de l'ordinateur. L'Analyseur de mémoire avancé fonctionne de paire avec Exploit Blocker pour renforcer la protection contre les logiciels malveillants qui ont été conçus pour contourner les produits de détection de logiciels malveillants en utilisant l'obscurcissement ou le chiffrement. L'Analyseur de mémoire avancé est activé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire. Exploit Blocker est conçu pour protéger les types d'applications souvent exploités, comme les navigateurs, les lecteurs PDF, les clients de messagerie et les composants MS Office. Exploit blocker est activé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire. Le filtrage peut être effectué selon l'un des quatre modes : Mode automatique - Les opérations sont activées, à l'exception de celles bloquées par des règles prédéfinies qui protègent votre système. Mode de démarrage - L'utilisateur ne sera informé que des événements vraiment suspects. Mode interactif - L'utilisateur sera invité à confirmer les opérations. Mode basé sur des règles personnalisées - Les opérations seront bloquées. Mode d'apprentissage - Les opérations sont activées et une règle est créée, après chaque opération. Les règles créées dans ce mode peuvent être affichées dans l'Éditeur des règles, mais leur priorité sera inférieure aux règles créées manuellement ou en mode automatique. Lorsque vous sélectionnez le mode d'apprentissage dans le menu déroulant Mode de filtrage HIPS, le paramètre Mode d'apprentissage se termine le devient disponible. Sélectionnez la durée pendant laquelle vous souhaitez activer le mode d'apprentissage) la durée maximale est de 14 jours). Une fois que la durée indiquée sera écoulée, vous serez invité à modifier les règles créées par HIPS alors qu'il était en mode d'apprentissage. Vous pouvez également choisir un mode de filtrage différent, ou reporter la décision et continuer à utiliser le mode d'apprentissage. Le système HIPS surveille les événements qui se produisent dans le système d'exploitation et réagit à ces derniers en fonction des règles utilisées par le Pare-feu personnel. Cliquez sur Modifier pour ouvrir la fenêtre de gestion des règles HIPS. Cette fenêtre vous permet de sélectionner, de créer, de modifier ou de supprimer des règles. Plus de détails sur la création de règle et les opérations HIPS se trouvent dans le chapitre Modifier la règle. Si l'action par défaut pour une règle est mise à Demander, une boîte de dialogue s'affichera chaque fois que la règle est déclenchée. Vous pouvez choisir de Bloquer ou d'Autoriser l'opération. Si aucune action n'est sélectionnée dans le temps imparti, une nouvelle action sera sélectionnée, en fonction des règles. La boîte de dialogue permet de créer une règle en fonction de toute nouvelle action détectée par le système HIPS, puis de définir les conditions dans lesquelles autoriser ou bloquer cette action. Pour définir les paramètres exacts, cliquez sur Afficher les options. Les règles créées de cette façon sont jugées équivalentes aux règles créées manuellement. Ainsi, la règle créée à partir d'une fenêtre de dialogue peut être moins précise que la règle qui a 152 déclenché la fenêtre de dialogue. Ainsi, après la création d'une telle règle, la même opération pourra déclencher l'affichage de la même fenêtre. L'option Mémoriser temporairement cette action pour ce processus provoque le recours à une action (Autoriser/ bloquer) qui devra être utilisée jusqu'à la modification des règles ou du mode de filtrage, une mise à jour du module HIPS ou le redémarrage du système. À l'issue de l'une de ces trois actions, les règles temporaires seront supprimées. 5.2.12.1 Règles HIPS La fenêtre vous donne un aperçu des règles HIPS existantes. Colonnes Règle - Nom de la règle défini par l'utilisateur ou choisi automatiquement. Activée - Désactivez ce commutateur si vous voulez que la règle reste inscrite sur la liste, mais sans l'utiliser. Action - La règle précise une action - Autoriser, Bloquer o uDemander - qui doit être effectuée lorsque les conditions sont satisfaites. Sources - La règle ne sera utilisée que si l'événement est déclenché par cette ou ces applications. Cibles - La règle sera utilisée uniquement si l'opération est liée à un fichier, à une application ou à une entrée de registre spécifique. Journal - Si vous activez cette option, l'information connexe à cette règle sera inscrite dans le journal HIPS. Notifier - Une petite fenêtre contextuelle s'affichera dans le coin inférieur droit, lorsqu'un événement est déclenché. Éléments de contrôle Ajouter - Crée une nouvelle règle. Modifier - Permet de modifier les entrées sélectionnées. Retirer - Retire les entrées sélectionnées. 5.2.12.1.1 Paramètres de règle HIPS Nom de la règle - Nom de la règle défini par l'utilisateur ou choisi automatiquement. Action - La règle spécifie une action - Autoriser, Bloquer ou Demander - qui devrait être exécutée lorsque les conditions sont satisfaites. Opérations concernées - Vous devez sélectionner le type d'opérations auquel s'appliquera la règle. La règle sera utilisée seulement pour ce type d'opération et pour la cible sélectionnée. Fichiers - La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Fichiers spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Tous les fichiers dans le menu déroulant pour ajouter toutes les applications. Applications - La règle ne sera utilisée que si l'événement est déclenché par cette ou ces application(s). Sélectionnez Applications spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications. Entrées du registre - La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Entrées spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Toutes les entrées dans le menu déroulant pour ajouter toutes les applications. Activée - Désactivez ce commutateur si vous voulez que la règle reste inscrite sur la liste, mais sans l'utiliser. Journal - Si vous activez cette option, l'information connexe à cette règle sera inscrite dans le journal HIPS. Avertir l'utilisateur - Une petite fenêtre contextuelle s'affichera dans le coin inférieur droit, lorsqu'un événement est déclenché. La règle comporte plusieurs parties qui décrivent les conditions qui la déclenchent : 153 Applications source - La règle ne sera utilisée seulement si l'événement est déclenché par cette ou ces applications.Sélectionnez Applications spécifiques à partir du menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers, ou sélectionnez Toutes les applications à partir du menu déroulant pour ajouter toutes les applications. Fichiers - La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Fichiers spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner, ou sélectionnez Toutes les applications à partir du menu déroulant pour ajouter toutes les applications. Applications - La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Applications spécifiques à partir du menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers, ou sélectionnez Toutes les applications à partir du menu déroulant pour ajouter toutes les applications. Entrées du registre - La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Entrées spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Toutes les entrées dans le menu déroulant pour ajouter toutes les applications. Description d'opérations importantes : Opérations sur le fichier Supprimer le fichier - L'application vous invite à autoriser la suppression du fichier cible. Écrire dans le fichier - L'application vous invite à autoriser l'écriture dans le fichier cible. Accès direct au disque - L'application tente de lire ou d'écrire sur le disque d'une manière non standard, qui contournera les procédures courantes de Windows. Cela peut entraîner la modification de fichiers sans application des règles correspondantes. Cette opération peut découler d'un logiciel malveillant qui tente d'éviter la détection, d'un logiciel de sauvegarde qui essaie de faire une copie exacte d'un disque ou d'un gestionnaire de partitions qui tente de réorganiser des volumes de disque. Installer le crochet global - Se réfère à l'appel de la fonction SetWindowsHookEx de la bibliothèque MSDN. Charger pilote - Installation et chargement de pilotes dans le système. Activités de l'application Déboguer une autre application - Joindre un débogueur au processus. Lors du débogage d'une application, de nombreux détails de son comportement peuvent être affichés et modifiés et ses sont accessibles. Intercepter des événements à partir d'une autre application - L'application source tente d'intercepter des événements destinés à une application spécifique (par exemple un enregistreur de frappe qui tente de capturer les événements d'un navigateur). Mettre fin à une autre application/la suspendre - Suspendre, reprendre ou arrêter un processus (accès direct par l'explorateur de processus ou le volet Processus). Lancer une nouvelle application - Lancement de nouvelles applications ou de nouveaux processus. Modifier l'état d'une autre application - L'application source tente d'écrire dans la mémoire de l'application cible ou d'exécuter du code en son nom. Cette fonctionnalité peut être utile pour protéger une application essentielle en la configurant comme application cible dans une règle qui bloque l'utilisation de cette opération. Opérations sur le registre Modifier les paramètres de démarrage - Toutes les modifications des paramètres qui définissent quelles applications seront exécutées au démarrage de Windows. Il est possible de les trouver, par exemple, en recherchant la clé Run dans le registre de Windows. Supprimer du registre - Supprimer une clé de registre ou sa valeur. Renommer la clé de registre - Renomme les clés de registre. Modifier le registre - Créer de nouvelles valeurs de clés de registre, modifier des valeurs existantes, déplacer des données dans l'arborescence de la base de données ou définir les droits du groupe ou de l'utilisateur à l'égard de clés de registre. REMARQUE : Vous pouvez utiliser des caractères génériques avec certaines restrictions au moment d'entrer une cible. Plutôt qu'une clé particulière, vous pouvez utiliser un symbole * (astérisque) dans les chemins d'accès du registre. Par exemple, HKEY_USERS\*\software peut vouloir dire HKEY_USER\.default\software, mais non HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system \ControlSet* n'est pas un chemin d'accès à la clé du registre valide. Un chemin d'accès à la clé du registre contenant 154 \* définit « ce chemin d'accès, sur tout niveau, après ce symbole ». C'est la seule façon d'utiliser les caractères génériques pour les fichiers cibles. La partie spécifique d'un chemin sera la première à être évaluée, puis elle sera suivie du chemin se trouvant après le caractère générique (*). Si vous créez une règle très générique, l'avertissement sur ce type de règle s'affiche. 5.2.12.2 Configuration avancée Les options suivantes sont utiles pour déboguer et analyser le comportement d'une application : Toujours autoriser le chargement des pilotes - Le chargement des pilotes sélectionnés est toujours autorisé, indépendamment du mode de filtrage défini, à l'exception des cas où un pilote est explicitement bloqué par une règle de l'utilisateur. Consigner toutes les opérations bloquées - Toutes les opérations bloquées seront consignées dans le journal HIPS. Notifier lorsqu'un changement est effectué dans les applications de démarrage - Affiche une notification sur le bureau chaque fois qu'une application est ajoutée ou supprimée du démarrage du système. Voir l’article de la Base de connaissances ESET pour une version à jour de cette page d'aide. 5.2.12.2.1 Le chargement des pilotes est toujours autorisé Les pilotes affichés dans cette liste pourront toujours être chargés indépendamment du mode de filtrage HIPS, à moins qu'ils ne soient explicitement bloqués par une règle de l'utilisateur. Ajouter - Permet d'ajouter un nouveau pilote. Modifier - Modifie le chemin d'accès vers le pilote sélectionné. Supprimer - Permet de supprimer des pilotes de la liste. Réinitialiser - Permet de recharger un ensemble de pilotes système. REMARQUE : Cliquez sur Réinitialisers i vous ne voulez pas que les pilotes que vous avez ajoutés manuellement soient inclus. Cela peut être utile si vous avez ajouté plusieurs pilotes et ne pouvez pas les supprimer de la liste manuellement. 5.3 Mise à jour Vous pouvez accéder aux options de configuration des mises à jour à partir de l'arborescence Configuration avancée (touche F5) sous Mise à jour > Général. Cette section permet de préciser l'information sur les sources des mises à jour, comme les serveurs de mise à jour utilisés et les données d'authentification donnant accès à ces serveurs. Général Le profil de mise à jour actuellement utilisé s'affiche dans le menu déroulant Profil sélectionné. Pour créer un nouveau profil, cliquez sur Modifier à côté de Liste des profils, entrez votre propre Nom de profil et cliquez sur Ajouter. Si vous éprouvez des problèmes avec la mise à jour, cliquez sur Effacer pour effacer la mémoire cache temporaire de mise à jour. Alertes de base de données des signatures de virus obsolète Définir l'âge maximal de la base de données automatiquement - Permet de définir la durée maximale (en jours) après laquelle la banque de données de virus sera déclarée obsolète. La valeur par défaut est 7. Annulation Si vous soupçonnez qu'une nouvelle mise à jour de la base de données de virus ou des modules du programme peut être instable ou endommagée, vous pouvez retourner à la version antérieure et désactiver toutes les mises à jour pour une durée choisie. Vous pouvez également activer les mises à jour déjà désactivées, si vous les avez déjà reportées indéfiniment. 155 enregistre des instantanés des bases de signatures des virus et de modules du programme à utiliser avec la fonctionnalité annulation. Pour créer des images de la base de données de virus, laissez le commutateur Créer une image instantanée des fichiers de mise à jour activé. Le champ Nombre d'instantanés stockés localement définit le nombre d'instantanés de la base de virus stockés. Si vous cliquez sur Annuler (Configuration avancée (touche F5) > Mise à jour > Général), vous devez sélectionner un intervalle dans le menu déroulant représentant la durée pendant laquelle les mises à jour de la banque de données de virus et des modules du programme seront suspendues. Il est essentiel d'inscrire correctement tous les paramètres de mise à jour afin de télécharger correctement les mises à jour. Si un coupe-feu est utilisé, assurez-vous que le programme ESET est autorisé à accéder à Internet (par exemple. communication HTTP). Par défaut, le menu Type de mise à jour (situé sous L'essentiel) est réglé à Mise à jour régulière afin de s'assurer que les fichiers de mise à jour sont automatiquement téléchargés du serveur ESET avec le moins de trafic réseau possible. L'essentiel Désactiver l'affichage des notifications de réussite de la mise à jour - Désactive les notifications dans la barre d'état système, dans le coin inférieur droit de l'écran. Sélectionnez cette option si vous utilisez une application ou un jeu en mode plein écran. Veuillez noter que le mode Présentation désactivera toutes les notifications. Par défaut, le menu Mettre à jour le serveur est réglé à AUTOSELECT. Le serveur de mise à jour est l'endroit où sont stockées les mises à jour. Si vous utilisez un serveur ESET, nous vous recommandons de conserver l'option sélectionnée par défaut. Si vous utilisez un serveur de mise à jour personnalisé, mais que vous voulez retourner à la configuration par défaut, tapez AUTOSELECT. ESET Mail Security sélectionnera automatiquement les serveurs de mise à jour d'ESET. Si un serveur local HTTP est utilisé - aussi appelé Miroir - le serveur de mise à jour doit être configuré comme suit : http://nom_ordinateur_ou_son_adresse_IP:2221. Lorsqu'un serveur local HTTP avec SSL est utilisé - le serveur de mise à jour doit être configuré comme suit : https://nom_ordinateur_ou_son_adresse_IP:2221. Lorsqu'un dossier partagé local est utilisé - le serveur de mise à jour doit être configuré comme suit : \\nom_de_l'ordinateur_ou_son_adresse_IP\dossier_partagé Mise à jour à partir du miroir L'authentification d'accès aux serveurs de mise à jour est basée sur la Clé de licence générée et envoyée à l'utilisateur après l'achat. Lorsque vous utilisez un serveur miroir local, vous pouvez définir l'authentifiant permettant aux clients de se connecter au serveur miroir pour recevoir les mises à jour. Par défaut, aucune vérification n'est exigée et les champs Nom d'utilisateur et Mot de passe demeurent vides. 5.3.1 Retour en arrière des mises à jour Si vous cliquez sur Annuler les modifications (Configuration avancée (touche F5) > Mise à jour > Profil), vous devez sélectionner un intervalle dans le menu déroulant représentant la durée pendant laquelle les mises à jour de la banque de données de virus et des modules du programme seront suspendues. Sélectionnez Jusqu'à son retrait pour reporter indéfiniment les mises à jour régulières jusqu'à ce que vous restauriez manuellement cette fonctionnalité. Nous ne recommandons pas de sélectionner cette option, puisqu'elle présente un risque potentiel au niveau de la sécurité. La version de la banque de données de virus sera rétablie à la plus ancienne image disponible et stockée comme image dans le système de fichiers de l'ordinateur local. Exemple : Disons que le numéro 10646 correspond à la version la plus récente de la base de données des signatures de virus. Les numéros 10645 et 10643 sont enregistrés comme des images de la banque de données de virus. À noter que le numéro 10644 n'est pas disponible, car, par exemple, l'ordinateur était éteint et une mise à jour plus récente fut rendue disponible avant que le numéro 10644 ait été téléchargé. Si le champ Nombre d'images instantanées stockées localement est défini sur 2 et que vous cliquez sur Annuler les modifications, la version numéro 10643 de 156 la base de données de signatures de virus (y compris les modules du programme) sera restaurée. Veuillez cependant noter que ce processus peut prendre un certain temps. Vérifiez ensuite si la version de la base de données de signature de virus a été rétablie dans la fenêtre principale de ESET Mail Security dans la section Mise à jour. 5.3.2 Mode de mise à jour L'onglet Mode de mise à jour contient les options concernant la mise à jour des composants du programme. Le programme vous permet d'en contrôler le comportement lors de la mise à jour des composants du programme. Les mises à jour des composants du programme ajoutent de nouvelles fonctionnalités aux fonctionnalités existantes ou les modifient. Elle peut s'effectuer sans intervention de l'utilisateur ou après notification de ce dernier. Le redémarrage d'un ordinateur peut être exigé après la mise à jour des composants du programme. Dans la section Mise à jour des composants du programme, trois options sont disponibles : Demander avant de télécharger les composants du programme - L'option par défaut. Vous serez invité à confirmer ou à refuser les mises à jour des composants du programme lorsqu'elles sont disponibles. Toujours mettre à jour les composants du programme - Une mise à jour des composants du programme sera automatiquement téléchargée et installée. Notez que cela peut exiger le redémarrage du système. Ne jamais mettre à jour les composants du programme - Aucune mise à jour des composants du programme ne sera effectuée. Cette option convient surtout aux serveurs, car ces derniers ne doivent être redémarrés qu'en cas de maintenance. REMARQUE : La sélection des options les plus appropriées dépend des stations de travail sur lesquelles les paramètres seront appliqués. Notez qu'il existe des différences entre les postes de travail et les serveurs. Par exemple, le redémarrage automatique d'un serveur après une mise à jour du programme peut causer de graves dommages. Si l'option Demander avant de télécharger une mise à jour est cochée, une notification s'affichera lorsqu'une nouvelle mise à jour sera disponible. Si la taille du fichier de mise à jour est supérieure à la valeur précisée dans Demander si un fichier de mise à jour a une taille supérieure (ko), le programme affichera une notification. 5.3.3 Proxy HTTP Pour accéder aux options de configuration du serveur mandataire pour un profil de mise à jour donné, cliquez sur Mettre à jour dans l'arborescence de Configuration avancée (touche F5), puis cliquez sur Mandataire HTTP. Cliquez sur le menu déroulant Mode du mandataire et sélectionnez l'une des trois options suivantes : Ne pas utiliser de serveur mandataire Connexion par serveur mandataire Utiliser les paramètres globaux de serveur mandataire Sélectionner l'option Utiliser les paramètres globaux de serveur mandataire utilisera les options de configuration du serveur mandataire déjà précisées dans la branche Outils > Serveur mandataire de l'arborescence de Configuration avancée. Sélectionnez Ne pas utiliser de serveur mandataire pour préciser qu'aucun serveur mandataire ne sera utilisé pour mettre à jour ESET Mail Security. L'option Connexion par un serveur mandataire devrait être sélectionnée si : Le serveur mandataire utilisé pour mettre à jour ESET Mail Security devrait être différent du serveur mandataire indiqué dans les paramètres globaux (Outils > Serveur mandataire). Le cas échéant, les paramètres devraient être indiqués ici : Adresse du serveur mandataire, Port de communication (3128, par défaut), Nom d'utilisateur et Mot de passe pour le serveur mandataire, au besoin. Les paramètres du serveur mandataire n'ont pas été définis globalement, mais ESET Mail Security se connectera à un serveur mandataire pour les mises à jour. Votre ordinateur est connecté à Internet par un serveur mandataire. Les paramètres utilisés sont ceux d'Internet Explorer, pris au moment de l'installation du programme, mais s'ils sont ensuite modifiés (par exemple, si vous 157 changez de FAI), vous devez vous assurer que les paramètres du serveur HTTP mandataire indiqués dans cette fenêtre sont appropriés. En l'absence de modification, le programme ne pourra pas se connecter aux serveurs de mise à jour. L'option par défaut pour le serveur mandataire est Utiliser les paramètres globaux du serveur mandataire. REMARQUE : Les données d'authentification, comme le Nom d'utilisateur et le Mot de passe, sont conçues pour accéder au serveur mandataire. Ne remplissez ces champs que si un nom d'utilisateur et un mot de passe sont requis. Veuillez noter que ces champs ne sont pas ceux du mot de passe/nom d'utilisateur de ESET Mail Security et ne doivent être indiqués que si vous savez que vous avez besoin d'un mot de passe pour accéder à Internet par l'entremise d'un serveur mandataire. 5.3.4 Se connecter au réseau local comme Lors de la mise à jour depuis un serveur local avec une version du système d'exploitation Windows NT, une authentification est exigée par défaut pour chaque connexion réseau. Pour configurer un tel compte, sélectionnez à partir du menu déroulant Type d'utilisateur local : Compte système (par défaut) Utilisateur actuel Utilisateur spécifié Sélectionnez Compte système (par défaut) pour utiliser le compte système pour l'authentification. Normalement, aucune authentification ne sera effectuée si des données d'authentification ne sont pas inscrites dans la section de configuration des mises à jour. Pour s'assurer que le programme s'authentifie à l'aide du compte de l'utilisateur actuellement connecté, sélectionnez Utilisateur actuel. L'inconvénient de cette solution est que le programme est dans l'impossibilité de se connecter au serveur de mise à jour si aucun utilisateur n'est actuellement connecté. Sélectionnez Spécifier un utilisateur si vous voulez que le programme utilise un compte utilisateur spécifique pour l'authentification. Cette méthode doit être utilisée lorsque la connexion avec le compte système par défaut n'a pas fonctionné. À noter que le compte de l'utilisateur spécifié doit avoir le droit d'accès au dossier des fichiers de mise à jour du serveur local. Dans le cas contraire, le programme serait incapable d'établir une connexion et de télécharger les mises à jour. AVERTISSEMENT : Si l'option Utilisateur actuel ou Spécifier un utilisateur est sélectionnée, une erreur peut se produire si l'identité du programme est changée pour l'utilisateur souhaité. Il est recommandé d'entrer les données d'authentification du réseau local dans la section de configuration des mises à jour. Dans cette section, les données d'authentification doivent être entrées comme suit : domain_name\user (si c'est un groupe de travail, entrez workgroup_name\name) et le mot de passe. La mise à jour de la version HTTP du serveur local n'exige aucune authentification. Sélectionnez Déconnecter du serveur après la mise à jour pour forcer la déconnexion si la connexion au serveur reste active même après le téléchargement des mises à jour. 158 5.3.5 Miroir vous permet de créer des copies des fichiers de mise à jour qui peuvent être utilisées pour mettre à jour les autres postes de travail se trouvant sur le réseau. Utilisation d'un « miroir » - Puisqu'il n'est pas nécessaire que les fichiers de mise à jour soient téléchargés à plusieurs reprises à partir du serveur de mise à jour du fournisseur pour chacun des postes de travail, il serait pratique d'en conserver une copie dans l'environnement du réseau local. Les mises à jour sont alors téléchargées sur le serveur miroir local puis distribuées à toutes les stations de travail, ce qui évitera tout risque de surcharge du réseau. La mise à jour des postes de travail à partir d'un miroir optimise l'équilibre de la charge réseau et libère les bandes passantes des connexions Internet. Les options de configuration du serveur miroir local sont situées dans la configuration avancée sous Mettre à jour. Pour accéder à cette section, appuyez sur la touche F5 pour accéder à la configuration avancée et cliquez sur Mettre à jour, puis sélectionnez l'onglet Miroir. Pour créer un miroir sur une station de travail cliente, activez Créer un miroir de mise à jour. Cocher cette option active d'autres options de configuration du miroir, telles que la manière d'accéder aux fichiers de mise à jour et le chemin des fichiers miroirs. Accéder aux fichiers de mise à jour Fournir les fichiers de mise à jour par l'intermédiaire d'un serveur HTTP interne - Si cette option est activée, les fichiers de mise à jour seront tout simplement accessibles par l'intermédiaire d'un serveur HTTP et aucune donnée d'identification ne sera requise ici. REMARQUE : Windows XP requiert l'ensemble de modifications provisoires version 2 ou ultérieure pour utiliser le serveur HTTP. Les méthodes d'accès au serveur miroir sont décrites en détail dans la section Mise à jour à partir du miroir. Il existe deux méthodes de base pour accéder au miroir : le dossier contenant les fichiers de mise à jour peut être vu comme un dossier réseau partagé ou les clients peuvent accéder au miroir situé sur un serveur HTTP. 159 Le dossier réservé à l'enregistrement des fichiers de mise à jour du miroir peut être défini dans la section Dossier de stockage des fichiers miroir. Cliquez sur Dossier pour parcourir le dossier souhaité sur un ordinateur local ou un dossier réseau partagé. Si une autorisation pour le dossier indiqué est requise, les données d'authentification doivent être entrées dans les champs Nom d'utilisateur et Mot de passe. Si le dossier destination sélectionné se trouve sur un disque réseau utilisant le système d'exploitation Windows NT/2000/XP, le nom d'utilisateur et le mot de passe indiqués doivent avoir les droits d'écriture pour ce dossier. Le nom d'utilisateur et le mot de passe doivent être entrés dans le format Domaine/Utilisateur ou Groupe de travail/Utilisateur. Veuillez vous rappelez de fournir les mots de passe correspondants. Fichiers - Lors de la configuration du miroir, vous pouvez spécifier les versions linguistiques des mises à jour que vous souhaitez télécharger. Les langues sélectionnées doivent être prises en charge par le serveur du miroir configuré par l'utilisateur. Serveur HTTP Port du serveur - Par défaut, le port du serveur est défini à 2221. Authentification - Définit la méthode d'authentification utilisée pour accéder aux fichiers de mise à jour. Les options suivantes sont disponibles : Aucune, L'essentiel et NTLM. Sélectionnez L'essentiel pour utiliser le chiffrage base64 avec l'authentification de base à l'aide du nom d'utilisateur et du mot de passe. L'option NTLM fournit un chiffrage utilisant une méthode d'encodage fiable. L'utilisateur créé sur le poste de travail partageant les fichiers de mise à jour sera utilisé pour l'authentification. L'option par défaut est AUCUNE. Elle autorise l'accès aux fichiers des mises à jour sans exiger d'authentification. Ajoutez-le à votre Fichier de chaîne du certificat ou générez un certificat autosigné si vous voulez utiliser un serveur HTTP prenant HTTPS (SSL) en charge. Les types de certificats suivants sont offerts : ASN, PEM et PFX. Pour plus de sécurité, vous pouvez utiliser le protocole HTTPS pour télécharger les fichiers de mise à jour. Il est presque impossible de retracer les transferts de données et les informations d'identification lorsque ce protocole est utilisé. L'option Type de clé privée est réglée à Intégré par défaut (et donc l'option Fichier de clé privée est désactivée par défaut). Cela signifie que la clé privée fait partie du fichier de chaîne de certificat sélectionné. Se connecter au réseau local comme Type d'utilisateur local - Les paramètres de Compte système (par défaut), Utilisateur actuel et Spécifier un utilisateur s'afficheront dans les menus déroulants correspondants. Le Nom d'utilisateur et le Mot de passe sont facultatifs. Voir Connexion au réseau local comme. Sélectionnez Déconnecter du serveur après la mise à jour pour forcer la déconnexion si la connexion au serveur reste active même après le téléchargement des mises à jour. Mise à jour de composant du programme Mise à jour automatique d'un composant - Permet d’installer de nouvelles fonctionnalités et d’effectuer la mise à jour des fonctionnalités existantes. Une mise à jour peut s'effectuer sans intervention de l'utilisateur ou après notification de ce dernier. Le redémarrage d'un ordinateur peut être exigé après la mise à jour des composants du programme. Mettre le composant à jour maintenant - Met à jour les composants du programme à l'aide de la dernière version. 160 5.3.5.1 Mise à jour à partir du miroir Il existe deux méthodes de base pour configurer un miroir, qui est essentiellement un référentiel où les clients peuvent télécharger les fichiers de mise à jour. Le dossier contenant les fichiers de mise à jour peut être vu comme un dossier réseau partagé ou comme un serveur HTTP. Accès au miroir au moyen d'un serveur HTTP interne La configuration par défaut, indiquée dans la configuration prédéfinie du programme. Pour accéder au miroir à l'aide du serveur HTTP, allez à Configuration avancée > Mise à jour > Miroir et sélectionnez Créer un miroir de mise à jour. Dans la section Serveur HTTP de l'onglet Miroir, vous pouvez préciser le Port du serveur où le serveur HTTP écoutera, ainsi que le type d'Authentification utilisé par le serveur HTTP. Ce port est configuré, par défaut, à 2221. L'option Authentification définit la méthode d'authentification utilisée pour accéder aux fichiers de mise à jour. Les options suivantes sont disponibles : None, Basic et NTLM. Sélectionnez L'essentiel pour utiliser le chiffrage base64 avec l'authentification de base à l'aide du nom d'utilisateur et du mot de passe. L'option NTLM fournit un chiffrage utilisant une méthode d'encodage fiable. L'utilisateur créé sur le poste de travail partageant les fichiers de mise à jour sera utilisé pour l'authentification. L'option par défaut est Aucune. Elle autorise l'accès aux fichiers des mises à jour sans exiger d'authentification. AVERTISSEMENT : L'accès aux fichiers de mise à jour à l'aide du serveur HTTP exige que le dossier miroir soit sur le même ordinateur que l'instance de ESET Mail Security qui l'a créé. SSL pour serveur HTTP Ajoutez-le à votre Fichier de chaîne du certificat ou générez un certificat autosigné si vous voulez utiliser un serveur HTTP prenant HTTPS (SSL) en charge. Les types de certificats suivants sont offerts : PEM, PFX et ASN. Pour plus de sécurité, vous pouvez utiliser le protocole HTTPS pour télécharger les fichiers de mise à jour. Il est presque impossible de retracer les transferts de données et les informations d'identification lorsque ce protocole est utilisé. Le Type de clé privée est réglé à Intégré par défaut, ce qui veut dire que la clé privée fait partie du fichier de chaîne du certificat sélectionné. REMARQUE :L'erreur Nom d'utilisateur et/ou mot de passe non valide apparaitra dans le volet Mettre à jour du menu principal après plusieurs échecs de la mise à jour de la base de données des signatures de virus à partir du miroir. Nous vous recommandons d'accéder à Configuration avancée > Mise à jour > Miroir et de vérifier le nom d'utilisateur et le mot de passe. La cause la plus courante de cette erreur est une mauvaise saisie des données d'authentification. Après la configuration de votre serveur miroir, vous devez ajouter le nouveau serveur de mise à jour sur les stations de travail client. Pour ce faire, suivez les étapes indiquées ci-dessous : Accédez à la Configuration avancée (touche F5) et cliquez sur Mise à jour > L'essentiel. Désélectionnez Choisir automatiquement et ajoutez un nouveau serveur au champ Mettre à jour le serveur en utilisant l'un des formats suivants : http://adresse_IP_de_votre_serveur:2221 https://adresse_IP_de_votre_serveur:2221 (si SSL est utilisé) Accès au miroir par le partage des systèmes Un dossier partagé doit d'abord être créé sur un lecteur local ou réseau. Lors de la création du dossier pour le miroir, il est nécessaire d'octroyer le droit d'« écriture » à l'utilisateur qui va sauvegarder les fichiers dans le dossier et le droit de « lecture » aux utilisateurs qui vont utiliser le dossier miroir pour mettre à jour ESET Mail Security. Configurez ensuite l'accès au miroir dans Configuration avancée > Mise à jour> Miroir en désactivant l'option Fournir les fichiers de mise à jour par l’entremise d'un serveur HTTP interne. Cette option est activée par défaut lors de l'installation du programme. Si le dossier partagé se trouve sur un autre ordinateur du réseau, vous devez saisir des données d'authentification pour accéder à l'autre ordinateur. Pour saisir les données d'authentification, ouvrez ESET Mail Security Configuration 161 avancée (touche F5) et cliquez sur Mise à jour > Se connecter au réseau local comme. Ce paramètre est le même que celui de la mise à jour, comme décrit dans la section Se connecter au réseau local comme. Une fois la configuration du miroir terminée, définissez sur les postes de travail \UNC\PATH comme serveur de mise à jour en suivant les étapes suivantes : 1. Ouvrez ESET Mail Security Configuration avancée et cliquez sur Mise à jour > L'essentiel. 2. Cliquez sur Mettre à jour le serveur et ajoutez un nouveau serveur en utilisant le format \\UNC\PATH. REMARQUE :Pour assurer le bon fonctionnement des mises à jour, le chemin du dossier miroir doit être spécifié en tant que chemin d'accès UNC. Les mises à jour à partir de lecteurs mappés pourraient ne pas fonctionner. La dernière section contrôle les composants du programme. Par défaut, les composants de programme ayant été téléchargés seront préparés pour ensuite être copiés sur le miroir local. Si l'option Mettre à jour les composants du programme est cochée, il n'est pas nécessaire de cliquer sur Mise à jour, car les fichiers seront automatiquement copiés sur le miroir local lorsqu'ils seront disponibles. Consultez la section Mode de mise à jour pour plus de détails sur les mises à jour des composants du programme. 5.3.5.2 Fichiers miroirs Liste des fichiers des composants du programme disponibles et localisés. 5.3.5.3 Résolution des problèmes de miroir de mise à jour Dans la plupart des cas, les problèmes lors d'une mise à jour depuis un serveur miroir découlent d'une ou de plusieurs des causes suivantes : une mauvaise spécification des options du dossier miroir, des données d'authentification incorrectes pour l'accès au dossier miroir, une mauvaise configuration des postes de travail qui cherchent à télécharger des fichiers de mise à jour du miroir ou une combinaison de ces raisons. Nous donnons cidessous un aperçu des problèmes les plus fréquents qui peuvent se produire lors d'une mise à jour depuis le miroir : ESET Mail Security signale une erreur de connexion au serveur miroir - Probablement causé par un serveur de mise à jour incorrect (chemin réseau du dossier miroir) duquel les postes de travail locaux téléchargent les mises à jour. Pour vérifier le dossier, cliquez sur Démarrer puis sur Exécuter avant d'entrer le nom du dossier et de cliquer sur OK. Le contenu du dossier doit s'afficher. ESET Mail Security exige un nom d'utilisateur et un mot de passe - Probablement causé par l'entrée, dans la section mise à jour, de données d'authentification incorrectes (nom d'utilisateur et mot de passe). Le nom d'utilisateur et le mot de passe donnent accès au serveur de mise à jour, à partir duquel le programme se télécharge. Assurez-vous que les données d'authentification sont correctes et entrées dans le bon format. Par exemple, Domaine/Nom d'utilisateur ou Groupe de travail/nom d'utilisateur, en plus des mots de passe correspondants. Si le serveur miroir est accessible à « Tous », cela ne veut pas dire que tout utilisateur est autorisé à y accéder. « Tous » ne veut pas dire tout utilisateur non autorisé, cela veut tout simplement dire que le dossier est accessible à tous les utilisateurs du domaine. Par conséquent, si le dossier est accessible à « Tous », un nom d'utilisateur du domaine et un mot de passe sont toujours nécessaires et doivent être entrés dans la configuration des mises à jour. ESET Mail Security signale une erreur de connexion au serveur miroir - Le port de communication défini pour l'accès au miroir par HTTP est bloqué. 162 5.3.6 Comment créer des tâches de mise à jour Les mises à jour peuvent être déclenchées manuellement en cliquant sur Mise à jour de la banque de données de virus dans la principale fenêtre d'information qui s'affiche après avoir cliqué sur Mise à jour dans le menu principal. Les mises à jour peuvent également être exécutées comme tâches planifiées. Pour configurer une tâche planifiée, cliquez sur Outils > Planificateur. Par défaut, les tâches suivantes sont activées dans ESET Mail Security : Mise à jour automatique régulière Mise à jour automatique après une connexion commutée Mise à jour automatique après ouverture de session utilisateur Chaque tâche de mise à jour peut être modifiée en fonction de vos besoins. Outre les tâches de mise à jour par défaut, vous pouvez en créer des nouvelles avec vos propres paramètres. Pour plus de détails sur la création et la configuration des tâches de mise à jour, consultez la section Planificateur de ce guide. 5.4 Web et courriel La section Web et courriel permet de configurer la Protection du client de messagerie, de protéger vos communications Internet à l'aide de la Protection de l'accès Web et de contrôler les protocoles Internet en configurant le Filtrage des protocoles. Ces fonctionnalités sont essentielles pour protéger votre ordinateur lorsqu'il communique par Internet. La Protection du client de messagerie contrôle toute la communication par courriel, protège contre les programmes malveillants et vous laisse choisir l'action à prendre lorsqu'une infection est détectée. La protection de l'accès Web surveille les communications entre les navigateurs Web et les serveurs distants, conformément aux règles des protocoles HTTP et HTTPS. Cette fonctionnalité vous permet également de bloquer, d'autoriser ou d'exclure certaines adresses URL. Le Filtrage des protocoles est une protection évoluée pour les protocoles d'application et est fourni par le moteur d'analyse ThreatSense. Il fonctionne automatiquement, indépendamment du navigateur Web ou du client de messagerie utilisé. Cette option s'applique aussi aux communications chiffrées (SSL/TLS). REMARQUE : Dans Windows Server 2008 et Windows Server 2008 R2, l'installation du composant Web et courriel est désactivé par défaut. Pour installer cette fonctionnalité, sélectionnez Personnalisé comme type d'installation. Si <%PN%> est déjà installé, vous pouvez exécuter le programme d'installation de nouveau pour modifier l'installation existante en ajoutant le composant Web et courriel. 5.4.1 Filtrage des protocoles Filtrage des protocoles La protection antivirus, pour les protocoles d'application, est fournie par le moteur d'analyse ThreatSense qui intègre toutes les techniques d'analyse avancée des logiciels malveillants. Le filtrage de protocole fonctionne automatiquement, indépendamment du navigateur Internet ou du client de messagerie utilisé. Pour modifier les paramètres chiffrés (SSL), allez à Web et courriel > SSL/TLS. Activer le filtrage du contenu des protocoles d'application - Peut être utilisé pour désactiver le filtrage de protocole. Veuillez noter que beaucoup de composants ESET Mail Security (protection de l'accès Web, protection des protocoles de courriel et antihameçonnage) dépendent de cette option pour fonctionner. Applications exclues - Permet d'exclure des adresses distantes spécifiques du filtrage de protocole. Cette option est utile lorsque le filtrage de protocole crée des problèmes de compatibilité. Adresses IP exclues - Permet d'exclure des applications spécifiques du filtrage de protocole. Cette option est utile lorsque le filtrage de protocole crée des problèmes de compatibilité. Web et clients de messagerie - Fonctionnalité utilisée uniquement sur les systèmes d'exploitation Windows, elle permet de sélectionner les applications pour lesquelles tout le trafic est filtré par filtrage de protocole, indépendamment des ports utilisés. 163 Enregistrer les informations nécessaires à ESET pour diagnostiquer les problèmes de filtrage de protocole - Active la journalisation avancée des données de diagnostic. À utiliser uniquement à la demande du service de soutien ESET. 5.4.1.1 Applications exclues Pour exclure du filtrage de contenu les communications envoyées par certaines applications sensibles au réseau, vous devez le sélectionner dans la liste. Les communications envoyées par ces applications par l'entremise des protocoles HTTP ou POP3 ne seront pas vérifiées pour savoir si elles contiennent des menaces. Il est recommandé de n'utiliser cette option que pour les applications qui ne fonctionnent pas bien lorsque la communication fait l'objet d'une vérification. Lorsque vous cliquez sur Ajouter, les applications et les services déjà touchés par le filtrage de protocole sont automatiquement affichés. Modifier - Modifie les entrées sélectionnées de la liste. Supprimer - Supprime des entrées de la liste. 5.4.1.2 Adresses IP exclues Les adresses IP dans cette liste seront exclues du filtrage du contenu des protocoles. Les communications envoyées à ces adresses ou reçues de celles-ci par le protocole HTTP/POP3/IMAP ne seront pas vérifiées pour savoir si elles contiennent des menaces. Il est recommandé de n'utiliser cette option que pour les adresses reconnues comme fiables. Ajouter - Cliquez pour ajouter une adresse IP, une plage d'adresses ou un sous-réseau d'un point distant auquel la règle doit être appliquée. Modifier - Modifie les entrées sélectionnées de la liste. Supprimer - Supprime des entrées de la liste. 5.4.1.3 Clients Web et de messagerie REMARQUE : Présentée la première fois dans Windows Vista Service Pack 1 puis dans Windows Server 2008, la nouvelle architecture de plateforme de filtrage (WFP, Windows Filtering Platform) est utilisée pour vérifier les communications réseau. Comme la technologie WFP utilise des techniques de surveillance spéciales, la section Clients Web et messagerie n'est pas disponible. En raison du nombre considérable de programmes malveillants qui circulent sur Internet, la sécurisation de la navigation sur Internet est un aspect très important de la protection des ordinateurs. Les faiblesses des navigateurs Web et les liens frauduleux contribuent à faciliter l'accès inaperçu des programmes malveillants au système. C'est pour cette raison que ESET Mail Security se concentre sur la sécurité des navigateurs Web. Chaque application qui accède au réseau peut être indiquée comme étant un navigateur Internet. Les applications qui utilisent déjà des protocoles de communication ou une application du chemin sélectionné peuvent être ajoutées à la liste Web et clients de messagerie. 164 5.4.2 SSL/TLS est capable de vérifier les menaces dans les communications utilisant le protocole SSL/TLS. Vous pouvez utiliser différents modes d'analyse pour les communications protégées par SSL à l'aide des certificats fiables, des certificats inconnus ou des certificats exclus de la vérification des communications protégées par SSL. Activer le filtrage au niveau du protocole SSL/TLS - Si le filtrage au niveau du protocole est désactivé, le programme n'analysera pas les communications SSL/TLS. Le mode de filtrage au niveau du protocole SSL/TLS offre les options suivantes : Mode automatique - Sélectionnez cette option pour analyser toutes les communications protégées par SSL/TLS à l'exception des communications protégées par des certificats exclus de la vérification. Si une nouvelle communication utilisant un certificat signé, mais inconnu est établie, vous n'en serez pas avisé et la communication sera automatiquement filtrée. Lorsque vous accédez à un serveur en utilisant un certificat non fiable indiqué comme étant fiable (ajouté à la liste des certificats fiables), la communication avec le serveur est permise et le contenu du canal de communication est filtré. Mode interactif - Si vous entrez un nouveau site protégé par SSL/TLS (avec un certificat inconnu), une boîte de dialogue est affichée, dans laquelle vous pouvez sélectionner une action. Ce mode permet de créer une liste de certificats SSL/TLS qui seront exclus de l'analyse. Bloquer les communications chiffrées à l'aide du protocole obsolète SSL v2 - Les communications utilisant la version antérieure du protocole SSL sont automatiquement bloquées. Certificat racine Certificat racine - Pour que la communication SSL/TLS fonctionne correctement dans vos navigateurs/clients de messagerie, il est essentiel d'ajouter le certificat racine pour ESET à la liste des certificats racines connus (éditeurs). L'option Ajouter le certificat racine aux navigateurs connus devrait être activée. Activez cette option pour ajouter automatiquement le certificat racine ESET aux navigateurs connus (par ex., Opera et Firefox). Pour les navigateurs utilisant la boutique de certification de système, le certificat sera automatiquement ajouté (par ex., Internet Explorer). Pour appliquer le certificat à des navigateurs non pris en charge, cliquez sur Afficher le certificat > Détails > Copier dans un fichier..., puis importez-le manuellement dans le navigateur. Validité du certificat Si le certificat ne peut pas être vérifié à l'aide du magasin de certificats TRCA - Dans certains cas, le certificat d'un site Web ne peut être vérifié à l'aide de la boutique de certificats Autorités de certification racines de confiance (TRCA). Cela veut dire que le certificat a été signé automatiquement par une personne (l'administrateur d'un serveur Web ou d'une petite entreprise par exemple), et considérer ce certificat comme étant un certificat fiable ne présente pas toujours un risque. Bon nombre de grandes entreprises (les banques, par ex.) utilisent un certificat signé par le TRCA. Si l'option Interroger sur la validité du certificat (valeur par défaut) est sélectionnée, l'utilisateur sera invité à sélectionner une action à prendre lorsqu'une communication chiffrée est établie. Vous pouvez sélectionner Bloquer toute communication utilisant le certificat afin de toujours mettre fin aux connexions chiffrées vers des sites utilisant des certificats non vérifiés. Si le certificat est non valide ou altéré, cela signifie qu'il est expiré ou a été signé de façon incorrecte. Dans un tel cas, il est recommandé de quitter Bloquer la communication qui utilise le certificat sélectionné. Liste des certificats connus vous permet de personnaliser le comportement de ESET Mail Security pour des certificats SSL spécifiques. 165 5.4.2.1 Communication SSL chiffrée Si votre système est configuré pour utiliser l'analyse du protocole SSL, une fenêtre de dialogue vous invitant à choisir une action s'affichera dans deux situations : Premièrement, si un site utilise un certificat invérifiable ou non valide, et ESET Mail Security est configuré pour demander l'avis de l'utilisateur dans de tels cas (par défaut oui pour les certificats invérifiables et non pour les certificats non valides), une boîte de dialogue vous demandera d'Autoriser ou de Bloquer la connexion. Deuxièmement, si le Mode de filtrage du protocole SSL est réglé sur le Mode interactif, une boîte de dialogue pour chaque site vous demandera si vous voulez Analyser ou Ignorer le trafic. Certaines applications vérifient que leur trafic SSL n'est ni modifié ni consulté par quiconque; dans de tels cas ESET Mail Security doit Ignorer ce trafic pour que l'application continue de fonctionner. Dans les deux cas, l'utilisateur peut choisir de mémoriser l'action sélectionnée. Les actions sont enregistrées dans la Liste des certificats connus. 5.4.2.2 Liste des certificats connus La liste des certificats connus peut être utilisée pour personnaliser le comportement de ESET Mail Security pour des certificats SSL spécifiques et pour se rappeler des actions choisies si le mode interactif est sélectionné comme mode de filtrage du protocole SSL. La liste peut être consultée et modifiée dans Configuration avancée (touche F5) > Web et courriel > Vérification du protocole SSL > Liste des certificats connus. La fenêtre Liste des certificats connus comprend : Colonnes Nom - Le nom du certificat. Émetteur du certificat - Nom du créateur du certificat. Objet du certificat - La zone objet du certificat identifie l'entité associée à la clé publique stockée dans la zone objet de clé publique. Accès - Sélectionnez Autoriser ou Bloquer comme Action d'accès pour autoriser ou bloquer toute communication sécurisée par ce certificat indépendamment de sa fiabilité. Sélectionnez Auto pour autoriser les certificats fiables et demander l'action à entreprendre pour les certificats non fiables. Sélectionnez Demander pour toujours demander à l'utilisateur l'action à entreprendre. Analyser - Sélectionnez Analyser ou Ignorer comme Action d'analyse pour analyser ou ignorer toute communication sécurisée par ce certificat. Sélectionnez Auto pour activer le mode d'analyse automatique et demander l'action à entreprendre en mode interactif. Sélectionnez Demander pour toujours demander à l'utilisateur l'action à entreprendre. Éléments de contrôle Modifier - Sélectionnez le certificat que vous souhaitez configurer et cliquez sur Modifier. Retirer - Sélectionnez le certificat que vous souhaitez supprimer et cliquez sur Supprimer. OK/Annuler - Cliquez sur OK si vous souhaitez enregistrer les modifications ou cliquez sur Annuler si vous souhaitez quitter sans enregistrer. 166 5.4.3 Protection du client de messagerie L'intégration de ESET Mail Security dans les clients de messagerie, augmente le niveau de protection active contre les programmes malveillants dans les courriels. Si votre client de messagerie est pris en charge, l'intégration peut être activée dans ESET Mail Security. Lorsque l'intégration est activée, la barre d'outils ESET Mail Security est insérée directement dans le client de messagerie (la barre d'outils des versions plus récentes de Windows Live Mail n'est pas insérée), permettant une protection plus efficace des courriels. Les paramètres d'intégration sont situés sous Configuration > Configuration avancée > Web et courriel > Protection des clients de messagerie > Clients de messagerie. Intégration des clients de messagerie Les clients de messagerie actuellement pris en charge sont Microsoft Outlook, Outlook Express, Windows Mail et Windows Live Mail. La protection de la messagerie fonctionne comme un plugiciel pour ces programmes. L'avantage principal du plugiciel est qu'il est indépendant du protocole utilisé. Ainsi, quand un client de messagerie reçoit un message chiffré, il le déchiffre et l'envoie à l'analyseur de virus. Pour la liste complète des clients de messagerie et de leurs versions pris en charge, reportez-vous à l'article Base de connaissances ESET. Même si l'intégration n'est pas activée, la communication par courriel est tout de même protégée par le module de protection du client de messagerie (POP3, IMAP). Activez l'option Désactiver la vérification au changement de contenu de la boîte de réception si vous constatez un ralentissement du système lors de l'utilisation du client de messagerie (MS Outlook uniquement). Cela peut se produire au moment de récupérer un courriel du Kerio Outlook Connector Store. Courriels à analyser Courriel reçu - Active ou désactive la vérification des messages reçus. Courriel envoyé - Active ou désactive la vérification des messages envoyés. Courriel lu - Active ou désactive la vérification des messages lus. Action à effectuer sur les courriels infectés Aucune action - Si cette option est activée, le programme identifiera les fichiers joints infectés, les laissera les courriels tels quels et n'effectuera aucune action. Supprimer les messages - Le programme avertit l'utilisateur à propos des infiltrations et supprime le message. Déplacer le message vers le dossier Éléments supprimés - Les courriels infectés seront automatiquement déplacés vers le dossier Éléments supprimés. Déplacer le courriel vers le dossier - Les courriels infectés seront automatiquement déplacés vers le dossier indiqué. Dossier - Indiquez le dossier personnalisé dans lequel vous voulez placer les courriels infectés lorsqu'ils sont détectés. Répéter l'analyse après la mise à jour - Active ou désactive la nouvelle analyse après la mise à jour de la banque de données de virus. Accepter les résultats d'analyse des autres modules - Si cette option est activée, le module de protection des courriels accepte les résultats d'analyse des autres modules de protection (analyse des protocoles POP3, IMAP). 5.4.3.1 Protocoles de courriel Les protocoles IMAP et POP3 sont les protocoles les plus utilisés pour la réception de messages dans une application client de messagerie. ESET Mail Security fournit une protection pour ces protocoles, indépendamment du client de messagerie utilisé, et sans nécessiter la reconfiguration du client de messagerie. Vous pouvez configurer la vérification des protocoles IMAP/IMAPS et POP3/POP3S dans la configuration avancée. Pour accéder à ces paramètres, ouvrez Web et courriel > Protection du client de messagerie > Protocoles de courriel. ESET Mail Security prend également en charge l'analyse des protocoles IMAPS et POP3S qui utilisent un canal chiffré pour transférer des données entre un serveur et un client. ESET Mail Security vérifie les communications utilisant 167 les protocoles SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme analysera uniquement le trafic sur les ports définis dans Ports utilisés par le protocole IMAP/POP3, indépendamment de la version du système d'exploitation. Les communications chiffrées ne seront pas analysées lorsque les paramètres par défaut sont utilisés. Pour activer l'analyse des communications chiffrées, allez à Vérification du protocole SSL/TLS dans Configuration avancée, cliquez sur Web et courriel > SSL/TLS et sélectionnez Activer le filtrage au niveau du protocole SSL/TLS. 5.4.3.2 Alertes et notifications La protection de la messagerie offre le contrôle de la communication par courriel effectuée par l'entremise des protocoles POP3 et IMAP. À l'aide du plugiciel pour Microsoft Outlook et d'autres clients de messagerie, ESET Mail Security assure le contrôle de toutes les communications utilisant le client de messagerie (POP3, MAPI, IMAP, HTTP). Lorsqu'il examine les messages entrants, le programme utilise toutes les méthodes d'analyse avancée offertes par le moteur d'analyse ThreatSense. Cela signifie que la détection des programmes malveillants a lieu avant même que s'effectue la comparaison avec la banque de données de virus. L'analyse des communications par l'entremise des protocoles POP3 et IMAP est indépendante du client de messagerie utilisé. Vous pouvez configurer les options de cette fonctionnalité dans Configuration avancée sous Web et courriel > Protection du client de messagerie > Alertes et notifications. Paramètres ThreatSense - La configuration avancée de l'analyseur de virus permet de configurer les cibles à analyser, les méthodes de détection, etc. Cliquez pour afficher la fenêtre de configuration détaillée de l'analyseur de virus. Après la vérification d'un courriel, une notification avec le résultat de l'analyse peut être ajoutée au message. Vous pouvez sélectionner Ajouter une note aux courriels reçus et lus, Ajouter une note à l'objet des courriels infectés reçus et lus ou Ajouter une note aux messages envoyés. Sachez cependant qu'en de rares occasions, les étiquettes de message peuvent être omises dans des messages HTML problématiques ou si le message a été falsifié par des logiciels malveillants. Les étiquettes peuvent être ajoutées aux courriels reçus et lus, aux courriels envoyés ou les deux. Les options disponibles sont les suivantes : Jamais - Aucune étiquette de message ne sera ajoutée. Courriels infectés uniquement - Seuls les messages contenant des logiciels malveillants seront marqués comme vérifiés (par défaut). Tout courriel analysé - Le programme ajoutera des messages à tout courriel analysé. Ajouter une note à l'objet des messages infectés envoyés - Désactivez cette option si vous voulez que la protection de la messagerie ajoute un message d'avertissement de virus dans l'objet des courriels infectés. Cette fonctionnalité permet un filtrage simple, selon l'objet, des courriels infectés (si ce filtrage est pris en charge par le programme de messagerie). Elle augmente le niveau de crédibilité du destinataire et, en cas de détection d'une infiltration, fournit des données précieuses sur le niveau de menace d'un courriel ou d'un expéditeur donné. Modèle ajouté à l'objet d'un message infecté - Modifier ce modèle si vous voulez modifier le format du préfixe d'objet d'un courriel infecté. Cette fonction remplacera l'objet du message « Allo » par une valeur de préfixe donnée « [virus] » dans le format suivant : « [virus] Allo ». La variable %VIRUSNAME% représente la menace détectée. 5.4.3.3 Barre d’outils MS Outlook La protection de Microsoft Outlook fonctionne comme un plugiciel. Une fois ESET Mail Security installé, cette barre d'outils contenant les options du module antivirus est ajoutée à Microsoft Outlook : - Cliquez sur l'icône pour ouvrir la fenêtre de programme principale de ESET Mail Security. Analyser à nouveau les messages - Permet de lancer une vérification manuelle du courriel. Vous pouvez préciser les messages à analyser et activer la nouvelle analyse des messages reçus. Pour en savoir plus, voir la section Protection du client de messagerie. Configuration de l'analyseur - Affiche les options de configuration de la Protection du client de messagerie. 168 5.4.3.4 Barre d'outils Outlook Express et Windows Mail La protection pour Outlook Express et Windows Mail fonctionne comme un plugiciel. Une fois ESET Mail Security installé, cette barre d'outils contenant les options du module antivirus est ajoutée à Outlook Express ou à Windows Mail : - Cliquez sur l'icône pour ouvrir la fenêtre de programme principale de ESET Mail Security. Analyser à nouveau les messages - Permet de lancer une vérification manuelle du courriel. Vous pouvez préciser les messages à analyser et activer la nouvelle analyse des messages reçus. Pour plus d'information, voir Protection du client de messagerie. Configuration de l'analyseur - Affiche les options de configuration de la Protection du client de messagerie. Interface utilisateur Personnaliser l'apparence - Vous pouvez modifier l'apparence de la barre d'outils pour votre client de messagerie. Désactivez cette option pour personnaliser l'apparence indépendamment des paramètres du programme de messagerie. Afficher le texte - Affiche les descriptions des icônes. Texte à droite - Les descriptions des options sont déplacées du bas vers le côté droit des icônes. Grandes icônes - Affiche des icônes de plus grande taille pour les options de menu. 5.4.3.5 Boîte de dialogue de confirmation Cette notification permet de vérifier que l'utilisateur veut vraiment exécuter l'action sélectionnée, ce qui devrait éliminer des erreurs possibles. Par ailleurs, la boîte de dialogue offre également la possibilité de désactiver les confirmations. 5.4.3.6 Analyser à nouveau les messages La barre d'outils ESET Mail Security intégrée dans les clients de messagerie permet aux utilisateurs de préciser plusieurs options pour la vérification du courriel. L'option Analyser à nouveau les messages offre deux modes d'analyse : Tous les messages du dossier en cours - Analyse les messages dans le dossier actuellement affiché. Messages sélectionnés uniquement - N'analyse que les messages marqués par l'utilisateur. La case à cocher Analyser à nouveau les messages déjà analysés offre à l'utilisateur une option permettant d'effectuer une autre analyse sur les messages ayant déjà été analysés. 5.4.4 Protection de l'accès Web La connectivité Internet est un élément standard sur la plupart des ordinateurs personnels. Malheureusement, elle est aussi devenue le principal moyen de transférer et disséminer des programmes malveillants. La protection de l'accès Web utilise la surveillance des communications entre les navigateurs Internet et des serveurs distants, conformément aux règles des protocoles HTTP et HTTPS (communications chiffrées). L'accès aux pages Web contenant des programmes malveillants est bloqué avant que le contenu ne soit téléchargé. Toutes les autres pages Web sont analysées par le moteur ThreatSense lorsqu'elles sont chargées et bloquées en cas de détection de contenu malveillant. La protection de l'accès Web offre deux niveaux de protection : le blocage selon la liste noire et le blocage selon le contenu. Il est fortement recommandé de garder la protection de l'accès Web activée. Vous pouvez accéder à cette option à partir de la fenêtre principale de ESET Mail Security en cliquant sur Configuration > Ordinateur > Protection de l'accès Web. Les options suivantes sont disponibles dans Configuration avancée (touche F5) > Web et courriel > Protection de l'accès Web : 169 De base - Permet d'activer ou de désactiver complètement la protection de l'accès Web. Une fois désactivée, les options suivantes seront inactives. Protocoles Web - Les protocoles Web permettent de configurer la surveillance de ces protocoles standards qui sont utilisés par la plupart des navigateurs Internet. Gestion d'adresses URL - Permet de préciser les adresses HTTP à bloquer, à autoriser ou à exclure de la vérification. Configuration des paramètres du moteur de ThreatSense - La configuration avancée de l'analyseur de virus permet de configurer les paramètres tels que les types d'objets à analyser (courriels, archives, etc), les méthodes de détection pour la protection de l'accès Web, etc. Protocoles Web Par défaut, ESET Mail Security est configuré pour surveiller le protocole HTTP utilisé par la plupart des navigateurs Internet. Dans Windows Vista et les versions ultérieures, le trafic HTTP est toujours surveillé sur tous les ports pour toutes les applications. Dans Windows XP/2003, vous pouvez modifier les ports utilisés par le protocole HTTP dans Configuration avancée (touche F5) > Web et courriel > Protection de l'accès Web > Protocoles Web > Configuration de l'analyseur HTTP. Le trafic HTTP est surveillé sur les ports indiqués pour toutes les applications et sur tous les ports pour les applications marquées comme Web et clients de messagerie. prend aussi en charge le contrôle de protocole HTTPS. La communication HTTPS utilise un canal chiffré pour transférer des données entre un serveur et un client. ESET Mail Security vérifie les communications à l'aide des méthodes de chiffrement SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme analysera uniquement le trafic sur les ports définis dans Ports utilisés par le protocole HTTPS, indépendamment de la version du système d'exploitation. Les communications chiffrées ne seront pas analysées lorsque les paramètres par défaut sont utilisés. Pour activer l'analyse des communications chiffrées, allez à Vérification du protocole SSL dans Configuration avancée, cliquez sur Web et courriel > Vérification du protocole SSL et sélectionnez Activer le filtrage du protocole SSL. 5.4.4.1 De base Choisissez si vous voulez activer (par défaut) ou désactiver Protection de l'accès Web. Une fois désactivée, les options suivantes seront inactives. REMARQUE : Il est fortement recommandé de laisser la protection de l'accès Web activée. Vous pouvez aussi accéder à cette option à partir de la fenêtre principale de ESET Mail Security. Allez à Configuration > Ordinateur > Protection de l'accès Web. 5.4.4.2 Gestion des adresses URL La section de gestion des adresses URL vous permet d'indiquer les adresses HTTP à bloquer, à autoriser ou à exclure de la vérification. Les sites Web de la liste des adresses bloquées ne seront pas accessibles, sauf s'ils sont également inclus dans la liste des adresses autorisées. Les sites Web de la liste des adresses exclues de la vérification ne sont pas analysés à la recherche de programmes malveillants lorsqu'un utilisateur y accède. Activer le filtrage au niveau du protocole SSL/TLS doit être sélectionné si vous voulez filtrer les adresses HTTPS en plus des pages Web HTTP. Sinon, seuls les domaines des sites HTTPS que vous avez visités seront ajoutés, l'URL complète ne le sera pas. Dans toutes les listes, vous pouvez utiliser les symboles spéciaux * (astérisque) et ? (point d'interrogation) peuvent être utilisés. L'astérisque représente un nombre ou un caractère, tandis que le point d'interrogation représente un caractère quelconque. Vous devez faire attention lorsque vous indiquez les adresses exclues, car la liste ne doit contenir que des adresses sûres et fiables. De même, assurez-vous d'employer correctement les symboles * et ? dans cette liste. 170 Si vous voulez bloquer toutes les adresses HTTP à l'exception des adresses indiquées dans la Liste des adresses autorisées, ajoutez * à la Liste des adresses bloquées active. Ajouter - Permet de créer un nouvelle liste en plus des listes prédéfinies. Cette option peut être utile si vous souhaitez séparer logiquement différents groupes d'adresses. Par exemple, une liste des adresses bloquées peut contenir des adresses d'une liste noire publique externe quelconque et une seconde peut contenir votre propre liste noire, ce qui rend plus facile la mise à jour de la liste externe tout en gardant la vôtre intacte. Modifier - Permet de modifier les listes existantes. Utilisez cette option pour ajouter ou retirer des adresses des listes. Supprimer - Permet de supprimer une liste existante. Possible uniquement pour des listes créées avec l'option Ajouter, non pour les listes par défaut. 5.4.4.2.1 Créer une liste Cette section permet d'indiquer des listes d'adresses ou de masques URL qui seront bloqués, autorisés ou exclus de la vérification. Lors de la création d'une nouvelle liste, les options suivantes sont disponibles pour la configuration : Type de liste d'adresse - Trois types de listes sont disponibles : Liste des adresses exclues de la vérification - Aucune vérification de la présence de programmes malveillants n'est effectuée pour les adresses indiquées dans la liste. Liste des adresses/masques bloqués - L'utilisateur n'est pas autorisé à accéder aux adresses indiquées dans cette liste. Cela s'applique seulement au protocole HTTP. Les protocoles autres que HTTP ne seront pas bloqués. Liste des adresses autorisées - Si l'option N'autoriser l'accès qu'aux adresses HTTP figurant dans la liste des adresses autorisées est activée et que la liste des adresses bloquées contient * (correspond à tout), l'utilisateur n'est autorisé à accéder qu'aux adresses indiquées dans cette liste. Les adresses de cette liste sont autorisées même si elles se trouvent dans la liste des adresses bloquées. Nom de la liste - Précisez le nom de la liste. Ce champ sera grisé lors de la modification de l'une des trois listes prédéfinies. Description de la liste - Entrez une brève description de la liste (facultatif). Sera grisé lors de la modification de l'une des trois listes prédéfinies. Pour activer la liste, sélectionnez l'option Activer la liste située à coté de la liste. Si vous voulez être informé lorsqu'une liste en particulier est utilisée dans l'évaluation d'un site HTTP que vous avez visité, sélectionnez l'option Notifier lors de l'application. Par exemple, une notification sera émise si un site est bloqué ou autorisé parce qu'il est inclus dans la liste des adresses bloquées ou autorisées. La notification contient le nom de la liste contenant le site spécifié. Ajouter - Ajouter une nouvelle adresse URL à la liste (entrez plusieurs valeurs avec des séparateurs). Modifier - Modifie les adresses existantes dans la liste. Seulement possible pour les adresses créées avec Ajouter. Supprimer - Supprime les adresses existantes dans la liste. Seulement possible pour les adresses créées avec Ajouter. Importer - Importer un fichier avec des adresses URL (valeurs séparées avec un saut de ligne, par exemple *.txt en utilisant l'encodage UTF-8). 171 5.4.4.2.2 Adresses HTTP Cette section permet de préciser des listes d'adresses HTTP qui seront bloquées, autorisées ou exclues de la vérification. Par défaut, les trois listes suivantes sont disponibles : Liste des adresses exclues de la vérification - Aucune vérification de la présence de programmes malveillants n'est effectuée pour les adresses indiquées dans la liste. Liste des adresses autorisées - Si l'option Autoriser l'accès aux adresses HTTP seulement figurant dans la liste des adresses autorisées est activée et que la liste des adresses bloquées contient * (correspond à tout), l'utilisateur n'est autorisé à accéder qu'aux adresses indiquées dans cette liste. Les adresses de cette liste sont autorisées même si elles sont incluses dans la liste des adresses bloquées. Liste des adresses bloquées - L'utilisateur n'est pas autorisé à accéder aux adresses indiquées dans cette liste. Cliquez sur Ajouter pour créer une liste. Pour supprimer les listes sélectionnées, cliquez sur Retirer. 5.4.5 Protection antihameçonnage <%PN%> offre aussi une protection contre l'hameçonnage. La protection anti-hameçonnage fait partie du module Web et courriel. Si vous avez installé <%PN%> en utilisant l'installation de type Complet, Web et courriel est installé par défaut avec la protection anti-hameçonnage activée. Cependant, cela ne s'applique pas aux systèmes qui s'exécutent dans Microsoft Windows Server 2008. REMARQUE : Le composant Web et courriel ne fait pas partie de l'installation de type Complet <%PN%> dans les systèmes Windows Server 2008 ou Windows Server 2008 R2. Au besoin, vous pouvez modifier l'installation existante en ajoutant le composant Web et courriel pour être capable d'utiliser la Protection anti-hameçonnage. Le terme hameçonnage désigne une activité frauduleuse qui utilise le piratage psychologique (manipuler les utilisateurs pour obtenir des données confidentielles). Le hameçonnage est souvent utilisé pour accéder à des données sensibles, telles que numéros de comptes bancaires, NIP, etc. Consultez le glossaire pour en savoir plus sur cette activité. ESET Mail Security contient une protection anti-hameçonnage qui bloque les pages Web connues pour distribuer ce type de contenu. Nous vous recommandons fortement d'activer la protection antihameçonnage d'ESET Mail Security. Pour ce faire, ouvrez Configuration avancée (F5) et allez à Web et courriel > Protection antihameçonnage. Consultez notre Article sur la base de connaissances pour plus de renseignements sur la protection antihameçonnage d'ESET Mail Security. Accéder à un site Web de hameçonnage Lorsque vous accéderez à un site Web reconnu pour pratiquer le hameçonnage, la boîte de dialogue suivante s'affichera dans votre navigateur Web. Si vous voulez quand même accéder au site, cliquez sur Se connecter à ce site (non recommandé). 172 REMARQUE : Les sites Web hameçons potentiels qui ont été ajoutés à la liste blanche expireront par défaut plusieurs heures après l'ajout. Pour autoriser un site de façon permanente, utilisez l'outil Gestion des adresses URL. À partir de Configuration avancée (touche F5), cliquez sur Web et courriel > Protection de l'accès Web > Gestion des adresses URL > Liste d'adresses, cliquez sur Modifier, puis ajoutez le site Web que vous voulez modifier à la liste. Signalement d'un site de hameçonnage Le lien Signaler vous permet de signaler un site Web hameçon ou malveillant à ESET pour fins d'analyse. REMARQUE : Avant de soumettre un site Web à ESET, assurez-vous qu'il répond à un ou à plusieurs des critères suivants : le site Web n'est pas du tout détecté le site Web est erronément détecté comme une menace. Dans ce cas, vous pouvez Rapporter un site hameçon faux positif. De manière alternative, vous pouvez soumettre le site Web par courriel. Envoyez votre message à [email protected]. Veuillez donner une description claire de l'objet de votre message et fournissez le plus de détails possibles sur le fichier (par ex., le site Web qui vous y a référé, comment vous avez appris l'existence ce site Web, etc.). 173 5.5 Contrôle de périphériques fournit un contrôle automatique des périphériques (CD/DVD/USB). Ce module vous permet d'analyser, de bloquer ou de régler les filtres ou permissions étendus et de définir la capacité d'un utilisateur d'accéder à un périphérique donné et travailler avec celui-ci. Cela peut être utile si l'administrateur de l'ordinateur veut empêcher l'utilisation de périphériques comportant un contenu non sollicité par des utilisateurs. Périphériques externes pris en charge : Stockage sur disque (Disque dur, Disque amovible USB) CD/DVD Imprimante USB Stockage FireWire Périphérique Bluetooth Lecteur de carte à puce Périphérique d'acquisition d'images Modem Port LPT/COM Appareil portable Tous les types de périphériques Les options de contrôle de périphérique peuvent être modifiées dans Configuration avancée (touche F5) > Contrôle de périphérique. Activez le commutateur à côté de Intégration au système pour activer la fonctionnalité de contrôle du périphérique de ESET Mail Security; vous devrez redémarrer votre ordinateur pour que cette modification prenne effet. Une fois le contrôle de périphérique activé, l'option Éditeur des règles sera alors active, ce qui vous permettra de pouvoir ouvrir la fenêtre Éditeur des règles du contrôle de périphérique. Si un périphérique bloqué par une règle existante est inséré, une fenêtre de notification s'affiche et l'accès à au périphérique est refusé. 5.5.1 Règles du contrôle de périphériques La fenêtre Éditeur des règles du contrôle de périphérique affiche les règles existantes et permet un contrôle précis des périphériques externes que les utilisateurs utilisent pour se connecter à l'ordinateur. Des périphériques particuliers peuvent être autorisés ou bloqués en fonction d’un utilisateur, d’un groupe d'utilisateurs ou de l'un des paramètres supplémentaires pouvant être précisés dans la configuration de la règle. La liste de règles contient plusieurs éléments descriptifs d'une règle comme son nom, le type de périphérique externe, l'action à effectuer après la connexion d'un périphérique externe à l'ordinateur et la gravité, tels que consignés dans le journal. Cliquez sur Ajouter ou Modifier pour gérer une règle. Cliquez sur Supprimer si vous voulez supprimer la règle sélectionnée ou désélectionnez la case à cocher Activée d'une règle donnée pour la désactiver. Cela peut être utile si vous ne voulez pas supprimer une règle de façon permanente afin que vous puissiez l'utiliser dans le futur. Copier - Crée une nouvelle règle basée sur les paramètres de la règle sélectionnée. Cliquez sur l'option Remplir pour remplir automatiquement les paramètres du support amovible connecté à votre ordinateur. Les règles sont classées par ordre de priorité; les règles ayant une priorité plus élevée sont plus près du sommet. Vous pouvez sélectionner plusieurs règles et appliquer des actions, telles que la suppression ou le déplacement vers le haut ou vers le bas dans la liste en cliquant sur Au dessus/Vers le haut/Vers le bas/En dessous (les flèches de défilement). Les entrées de journal peuvent être affichées à partir de la fenêtre principale de ESET Mail Security dans Outils > Fichiers journaux. 174 5.5.2 Ajout de règles du contrôle de périphériques Une règle de contrôle de périphérique définit l'action qui sera effectuée lorsqu'un périphérique conforme aux critères énoncés dans la règle est branché à l'ordinateur. Entrez une description de la règle dans le champ Nom pour pouvoir l'identifier plus facilement. Cliquez sur le commutateur à côté de Règle activée pour activer ou désactiver cette règle, ce qui peut être utile si vous ne voulez pas supprimer définitivement la règle. Type de périphériques Choisissez le type de périphériques externe dans le menu déroulant (Stockage sur disque/Dispositif portable/ Bluetooth/FireWire/etc.). Les types de périphériques sont tirés du système d'exploitation et peuvent être affichés dans le Gestionnaire de périphériques, en assumant qu'un périphérique est branché à l'ordinateur. Les périphériques de stockage incluent les disques externes ou les lecteurs conventionnels de cartes mémoires branchés à un port USB ou FireWire. Les lecteurs de cartes à puce comprennent les lecteurs de cartes à puce avec circuit intégré, comme les cartes SIM ou les cartes d'authentification. Des numériseurs ou des appareils-photos sont des exemples de périphériques d'imagerie. Ces appareils ne fournissent aucune information sur les utilisateurs, seulement sur leurs actions. En un mot, les périphériques d'imagerie ne peuvent qu'être bloqués globalement. Action L'accès aux appareils autres que de stockage peut être autorisé ou bloqué. À l'inverse, les règles connexes aux périphériques de stockage permettent de sélectionner l'un des réglages de droits suivants : Lecture et écriture - L'accès complet au périphérique sera autorisé. Bloquer - L'accès au périphérique sera bloqué. Lecture seule - Seule l'accès en lecture à partir du périphérique sera autorisée. Avertir - Chaque fois qu'un périphérique est connecté, l'utilisateur sera informé s'il est autorisé ou bloqué, et une entrée de journal sera effectuée. Les périphériques ne sont pas mémorisés; une notification sera toujours affichée pour les connexions ultérieures du même périphérique. Veuillez noter que seuls certains droits (actions) sont disponibles pour tous les types de périphériques. Si un périphérique comporte de l'espace de stockage, les quatre actions seront alors disponibles. Pour les périphériques autres que de stockage, seules deux actions sont disponibles (par exemple, l'action Lecture seule n'est pas disponible pour Bluetooth, ce qui signifie que ce périphérique ne peut être qu'autorisé ou que bloqué). D'autres paramètres présentés ci-dessous peuvent être utilisés pour affiner les règles et les personnaliser en fonction des périphériques. Aucun des paramètres n'est sensible à la casse : Fournisseur - Filtrer par nom de fournisseur ou par identifiant. Modèle - Nom donné au périphérique. Numéro de série - Les périphériques externes ont généralement leur propre numéro de série. Dans le cas des CD/ DVD, il s'agit du numéro de série du périphérique, non du lecteur de CD. REMARQUE : Si ces trois descripteurs ci-dessus sont vides, la règle ne tiendra pas compte de ces champs au moment d'établir la correspondance. Les paramètres de filtrage des champs de texte ne respectent pas la casse et les caractères génériques (*, ?) ne sont pas pris en charge. Conseil : Pour connaître les paramètres d'un périphérique, créez une règle d'autorisation pour le type de périphérique approprié, puis connectez le périphérique à l'ordinateur avant de vérifier les détails du périphérique dans le Journal du contrôle des périphériques. Gravité Toujours - Consigne tous les événements. Diagnostic - Consigne les données requises pour affiner le programme. Information - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que toutes les entrées préalables. Avertissement - Enregistre les erreurs critiques et les messages d'avertissement. Aucun - Aucune journalisation ne sera faite. 175 Les règles peuvent être restreintes à certains utilisateurs ou groupes d'utilisateurs en les ajoutant dans la Liste des utilisateurs : Ajouter - Ouvre la boîte de dialogue Types d'objet : La fenêtre de dialogue Utilisateurs ou Groupes qui permet de sélectionner les utilisateurs voulus. Supprimer - Retire l'utilisateur sélectionné du filtre. REMARQUE : Tous les périphériques peuvent être filtrés par des règles utilisateurs (par exemple, les imageurs ne fournissent aucune information sur les utilisateurs, seulement sur les actions invoquées). 5.5.3 Périphériques détectés Le bouton Alimenter donne un aperçu de tous les périphériques actuellement connectés avec les informations sur : le type de périphérique, le fournisseur du périphérique, le modèle et le numéro de série (si disponible). Lorsque vous sélectionnez un périphérique (à partir de de la liste Périphériques détectés) et vous cliquez sur OK, une fenêtre d'édition des règles apparaît avec de l'information prédéfinie (vous pouvez ajuster tous les paramètres). 5.5.4 Groupes d'appareils Le périphérique connecté à votre ordinateur peut présenter un risque pour la sécurité. La fenêtre Groupes de périphériques est divisée en deux. La partie droite de la fenêtre contient une liste des périphériques appartenant au groupe respectif et la partie gauche de la fenêtre contient une liste des groupes existants. Sélectionnez un groupe qui contient les périphériques que vous souhaitez afficher dans la fenêtre de droite. Lorsque vous ouvrez la fenêtre Groupes de périphériques et sélectionnez un groupe, vous pouvez ajouter ou supprimer des périphériques de la liste. Une autre façon d'ajouter des périphériques au groupe est de les importer depuis un fichier. De manière alternative, vous pouvez cliquer sur le bouton Remplir et tous les périphériques connectés à votre ordinateur apparaitront dans la fenêtre Périphériques détectés. Sélectionnez un périphérique à partir de la liste remplie et ajoutez-le au groupe en cliquant sur OK. Éléments de contrôle Ajouter - Vous pouvez ajouter un groupe en entrant son nom ou un périphérique au groupe existant. (de manière facultative, vous pouvez spécifier des détails tels que le nom du fournisseur, le modèle et le numéro de série) en fonction de l'endroit dans la fenêtre où vous avez cliqué sur le bouton. Modifier - Vous permet de modifier le nom d'un groupe ou de paramètres sélectionnés pour les périphériques qui s'y trouvent (fournisseur, modèle, numéro de série). Supprimer - Supprime le groupe ou le périphérique sélectionné en fonction de la partie de la fenêtre où vous avez cliqué. Importer - Importe une liste de périphériques à partir d'un fichier. Le bouton Alimenter donne un aperçu de tous les périphériques actuellement connectés avec les informations sur : le type de périphérique, le fournisseur du périphérique, le modèle et le numéro de série (si disponible). Une fois que vous avez terminé avec la personnalisation, cliquez sur OK. Cliquez sur Annuler si vous voulez quitter la fenêtre Groupes de périphériques sans enregistrer les modifications. CONSEIL: Vous pouvez créer différents groupes de périphériques pour lesquels des règles différentes seront appliquées. Vous pouvez également créer un seul groupe de périphériques pour lesquels la règle avec l'action Lecture/écriture ou Lecture seule sera appliquée. Cela garantit le que les périphériques non reconnus seront bloqués par le contrôle des périphériques lorsqu'il est connecté à votre ordinateur. À noter que seules certaines actions (autorisations) sont disponibles pour tous les types de périphériques. Pour les appareils de stockage, les quatre Actions sont disponibles. Pour les périphériques autres que de stockage, seules trois actions sont disponibles (par exemple, l'action Lecture seule n'est pas disponible pour Bluetooth, ce qui signifie que les périphériques Bluetooth ne peut qu'être autorisés, bloqués ou avertis). 176 5.6 Outils Voici les paramètres avancés pour tous les outils offerts par ESET Mail Security sous l'onglet Outils dans la fenêtre IUG principale. 5.6.1 ESET Live Grid est un système avancé d'avertissement anticipé composé de plusieurs technologies basées sur le nuage. Il permet de détecter les menaces émergentes selon la réputation et améliore l'efficacité de l'analyse grâce à des listes blanches. La diffusion en temps réel de l'information liée aux menaces à partir du nuage permet aux laboratoires de recherche sur les logiciels malveillants ESET de fournir une réponse rapide et une protection uniforme en tout temps. Les utilisateurs peuvent vérifier la réputation du processus en cours d'exécution et des fichiers directement à partir de l'interface du programme ou du menu contextuel avec des renseignements supplémentaires disponibles à partir d'ESET Live Grid. Lors de l'installation de ESET Mail Security, sélectionnez l'une des options suivantes : 1. Vous pouvez décider de ne pas activer ESET Live Grid. Votre logiciel ne perdra aucune fonctionnalité, mais, dans certains cas, ESET Mail Security peut répondre plus rapidement aux nouvelles menaces que la mise à jour de la banque de données de virus. 2. Vous pouvez configurer ESET Live Grid pour qu'il envoie des données anonymes concernant de nouvelles menaces et l'endroit où se trouve le programme menaçant. Ce fichier peut être envoyé à ESET pour une analyse détaillée. En étudiant ces menaces, ESET améliore sa capacité à détecter les menaces. recueillera sur l'ordinateur des données concernant de nouvelles menaces détectées. Ces données comprennent un échantillon ou une copie du fichier dans lequel la menace est apparue, le chemin du fichier, le nom du fichier, la date et l'heure, le processus par lequel la menace est apparue sur votre ordinateur et de l'information sur le système d'exploitation de votre ordinateur. Par défaut, ESET Mail Security est configuré pour soumettre les fichiers suspects à une analyse détaillée dans ESET Virus Lab. Les fichiers portant certaines extensions comme .doc ou .xls sont toujours exclus. Vous pouvez aussi ajouter d'autres extensions à la liste d'exclusion, dont vous ou votre organisation souhaitez éviter l'envoi. Le système de réputation ESET Live Grid offre la possibilité d'inscrire les fichiers sur une liste blanche ou noire basée sur le nuage. Pour accéder aux paramètres d'ESET Live Grid, appuyez sur la touche F5 pour accéder à la Configuration avancée et cliquez sur Outils > ESET Live Grid. Activer le système de réputation d'ESET Live Grid (recommandé) - Le système de réputation d'ESET Live Grid augmente l'efficacité des solutions de protection ESET contre les logiciels malveillants en comparant les fichiers analysés à une base de données regroupant les éléments d'une liste blanche et d'une liste noire dans le nuage. Envoyer des données statistiques anonymes - Autoriser ESET à collecter des renseignements sur les menaces nouvellement détectées comme le nom de la menace, la date et l'heure de la détection, la méthode et les métadonnées associées à la détection, ainsi que la version du produit et sa configuration dont les renseignements sur votre version. Envoyer les fichiers - Les fichiers suspects ressemblant à des menaces et/ou ayant des caractéristiques ou un comportement inhabituels sont envoyés à ESET pour fins d'analyse. Sélectionnez Activer la journalisation pour créer un journal dans lequel enregistrer les fichiers et données statistiques soumis. Tout envoi de fichiers ou de statistiques sera consigné dans le journal des événements. Adresse de courriel du contact (facultatif) - Votre adresse de courriel peut également être incluse avec tout fichier suspect et pourra être utilisée pour communiquer avec vous si nous avons besoin de plus d'information pour l'analyse. Veuillez noter que vous ne recevrez pas de réponse d'ESET sauf si d'autres renseignements sont requis. Exclusions - Le filtre Exclusion permet d'exclure certains fichiers/dossiers de la demande (par exemple, il peut être utile d'exclure les fichiers contenant des renseignements confidentiels, comme des documents ou des feuilles de calcul). Les fichiers de la liste ne seront jamais envoyés aux laboratoires ESET pour analyse, même s'ils contiennent du code suspect. Les types de fichier les plus courants sont exclus par défaut (.doc, etc.). Vous pouvez ajouter des fichiers à cette liste, au besoin. Si vous avez déjà utilisé ESET Live Grid et l'avez désactivé, il est possible qu'il reste des paquets de données à 177 envoyer. Même après la désactivation, de tels paquets seront envoyés à ESET. Une fois toutes les données actuelles envoyées, aucun autre paquet ne sera créé. 5.6.1.1 Filtre d'exclusion L'option Modifier située à côté de l'élément Exclusions dans ESET Live Grid vous permet de configurer la façon dont les menaces sont soumises aux laboratoires ESET Virus Labs pour analyse. Si vous trouvez un fichier suspect, vous pouvez le soumettre à nos laboratoires ThreatLabs pour analyse. S'il contient une application malveillante, il sera ajouté à la prochaine mise à jour des signatures de virus. 5.6.2 Quarantaine Les fichiers infectés ou suspects sont stockés dans une forme bénigne dans le dossier de mise en quarantaine. Par défaut, le module de protection en temps réel met en quarantaine tous les fichiers suspects nouvellement créés afin d'éviter toute infection. Analyser à nouveau les fichiers en quarantaine après chaque mise à jour - Tous les objets mis en quarantaine seront analysés après chaque mise à jour de la banque de données de virus. Cela est particulièrement utile dans le cas où un fichier a été mis en quarantaine en raison d'une détection comme faux positif. Lorsque cette option est activée, certains types de fichier peuvent être automatiquement restaurés dans leur emplacement d'origine. 5.6.3 Microsoft Windows Update Les mises à jour Windows fournit des corrections importantes aux vulnérabilités potentiellement dangereuses et augmente le niveau de sécurité général de votre ordinateur. C'est pourquoi il est essentiel que vous installiez les mises à jour de Microsoft Windows dès qu'elles sont disponibles. ESET Mail Security vous informe des mises à jour manquantes en fonction du niveau indiqué. Les niveaux suivants sont disponibles : Aucune mise à jour - Aucune mise à jour du système ne pourra être téléchargée. Mises à jour facultatives - Les mises à jour de faible priorité pourront minimalement être téléchargées. Mises à jour recommandées - Les mises à jour courantes pourront minimalement être téléchargées. Mises à jour importantes - Les mises à jour importantes pourront minimalement être téléchargées. Mises à jour critiques - Seules les mises à jour critiques pourront être téléchargées. Cliquez sur OK pour enregistrer les modifications. La fenêtre Mises à jour système s'affiche après vérification de l'état avec le serveur de mise à jour. C'est pourquoi il est possible que les données de mise à jour système ne soient pas immédiatement disponibles après l'enregistrement des modifications. 5.6.4 Fournisseur WMI À propos de WMI Windows Management Instrumentation (WMI est l'implémentation par Microsoft de Web Based Enterprise Management (WBEM), qui est une initiative de l'industrie pour développer un standard technologique pour accéder à l'information de gestion dans un environnement d'entreprise. Pour en savoir plus sur la WMI, voir http://msdn.microsoft.com/en-us/library/windows/desktop/ aa384642(v=vs.85).aspx Activer le fournisseur WMI L'objectif du Fournisseur ESET WMI est de permettre la surveillance à distance des produits ESET dans un environnement d'entreprise sans nécessiter quelconque outil ou logiciel ESET spécifique. En exposant les renseignements de base sur le produit, le statut et les statistiques par WMI, nous augmentons énormément les possibilités pour les administrateurs de l'entreprise lors de la surveillance les produits ESET. Les administrateurs peuvent tirer avantage des nombreuses méthodes d'accès offertes par WMI (ligne de commande, scripts et outils de surveillance d'entreprise tiers) pour surveiller l'état de leurs produits ESET. L'implémentation courante procure un accès en lecture seule à l'information de vase sur le produit, les fonctionnalités installées et leur état de protection, les statistiques individuelles relatives aux analyseurs et les 178 fichiers journaux du produit. Le fournisseur WMI permet d'utiliser l'infrastructure et les outils WMI standard de Windows pour lire l'état et les journaux du produit. 5.6.4.1 Données fournies Toutes les classes WMI liées au produit ESET sont situé dans l'espace de nommage « root\ESET ». Les classes suivantes, qui sont décrites de manière plus détaillée ci-bas, sont maintenant implantées : Général : ESET_Product ESET_Features ESET_Statistics Journaux : ESET_ThreatLog ESET_EventLog ESET_ODFileScanLogs ESET_ODFileScanLogRecords ESET_ODServerScanLogs ESET_ODServerScanLogRecords ESET_GreylistLog ESET_SpamLog Classe ESET_Product Il ne peut y avoir qu'une seule instance de la classe ESET_Product. Les propriétés de cette classe réfèrent aux renseignements de base à propos de votre produit ESET installé : Identifiant - Identifiant du type de produit, par exemple « essb » Nom - Nom du produit, par exemple « ESET Security » Édition - Édition du produit, par exemple, « Microsoft SharePoint Server » Version - Version du produit, par exemple « 4.5.15013.0 » Version de la base de données des virus - Version de la base de données de virus, par exemple « 7868 (20130107) » Dernière mise à jour de la base de données de virus - Estampille temporelle de la dernière mise à jour de la base de données de virus. La chaîne contient l'estampille temporelle en format WMI date/heure, par exemple « 20130118115511.000000+060 » Expiration de la licence - Délai d'expiration de la licence. La chaîne contient une estampille temporelle en format WMI date/heure, par exemple « 20130118115511.000000+060 » Kernel en exécution - Valeur booléenne indiquant si le service eKrn est en cours d'exécution sur la machine, par exemple « VRAI » Code d'état - Chiffre indiquant l'état de protection du produit : 0 - Vert (OK), 1 - Jaune (avertissement), 2 - Rouge (erreur) Texte d'état - Message qui décrit la raison d'un code d'état non nul, sinon il n'est pas nul Classe ESET_Features La classe ESET_Features possède de multiples instances, selon le nombre de fonctionnalités du produit. Voici le contenu de chaque instance : Nom - Nom de la fonctionnalité (une liste de noms est offerte plus bas) État - État de la fonctionnalité : 0 - Inactive, 1 - Désactivée, 2 - Activée 179 Une liste des chaînes représentant les fonctionnalités couramment reconnues : CLIENT_FILE_AV - Protection antivirus en temps réel du système de fichier CLIENT_WEB_AV - Protection antivirus Web du client CLIENT_DOC_AV - Protection antivirus des documents du client CLIENT_NET_FW - Coupe-feu personnel du client CLIENT_EMAIL_AV - Protection antivirus des courriels du client CLIENT_EMAIL_AS - Protection antipourrielle du courriel du client SERVER_FILE_AV - Protection antivirus en temps réel des fichiers sur le fichier protégé du produit du serveur, par exemple les fichiers dans la base de données SharePoint dans le cas de ESET Mail Security SERVER_EMAIL_AV - Protection antivirus des courriels du produit du serveur protégé, par exemple les courriels dans MS Exchange ou IBM Domino SERVER_EMAIL_AS - Protection antipourriel des courriels du produit du serveur protégé, par exemple les courriels dans MS Exchange ou IBM Domino SERVER_GATEWAY_AV - Protection antivirus des protocoles réseau protégés sur la passerelle SERVER_GATEWAY_AS - Protection antipourrielle des protocoles réseau protégés sur la passerelle Classe ESET_Statistics La classe ESET-Statistics possède de multiples instances, selon le nombre d'analyseurs dans le produit. Voici le contenu de chaque instance : Analyseur - Chaîne de code pour l'analyseur spécifique, par exemple « CLIENT_FILE » Total - Nombre total de fichiers analysés Infectés - Nombre de fichiers infectés trouvés Nettoyés - Nombre de fichiers nettoyés Estampille temporelle - Estampille temporelle de la dernière modification apportée à cette statistique. En format WMI date/heure, par exemple « 20130118115511.000000+060 » Délai de réinitialisation - Estampille temporelle de la dernière réinitialisation du compteur de statistiques. En format WMI date/heure, par exemple « 20130118115511.000000+060 » Liste des chaînes représentant les analyseurs couramment reconnus : CLIENT_FILE CLIENT_EMAIL CLIENT_WEB SERVER_FILE SERVER_EMAIL SERVER_WEB Classe ESET_ThreatLog La classe ESET_ThreatLog possède de multiples instances, chacune représentant une entrée de journal à partir du journal « Menaces détectées ». Voici le contenu de chaque instance : Identifiant - Identifiant unique pour cette entrée de journal Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/heure) Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans le [0-8]. Les valeurs correspondent aux niveaux nommés comme suit : Déboguer, Info-pied de page, Info, Info-Important, Avertissement, Erreur, Avertissement de sécurité, Erreur critique, Avertissement de sécurité critique Analyseur - Nom de l'analyseur qui a créé cet événement dans le journal Type de l'objet - Type de l'objet qui a généré cet événement dans le journal Nom de l'objet - Nom de l'objet qui a généré cet événement dans le journal Menace - Nom de la menace qui a été trouée dans l'objet décrit par les propriétés ObjectName et ObjectType Action - Action exécutée après l'identification de la menace Utilisateur - Compte utilisateur qui a causé la génération de cet événement dans le journal Information - Description supplémentaire de l'événement 180 ESET_EventLog La classe ESET_EventLog possède de multiples instances, chacune représentant une entrée de journal à partir du journal « Événements ». Voici le contenu de chaque instance : Identifiant - Identifiant unique pour cette entrée de journal Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/heure) Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans l'intervalle [0-8]. Les valeurs correspondent aux niveaux nommés comme suit : Déboguer, Info-pied de page, Info, Info-Important, Avertissement, Erreur, Avertissement de sécurité, Erreur critique, Avertissement de sécurité critique Analyseur - Nom de l'analyseur qui a créé cet événement dans le journal Événement - Description de l'événement Utilisateur - Compte utilisateur qui a causé la génération de cet événement dans le journal ESET_ODFileScanLogs La classe ESET_ODFileScanLogs possède de multiples instances, chacune représentant une entrée d'analyse de fichiers à la demande. Cela est l'équivalent de la liste des journaux IUG « Analyse de l'ordinateur à la demande ». Voici le contenu de chaque instance : Identifiant - Identifiant unique pour cette entrée de journal à la demande Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure) Cibles - Dossiers/objets cibles de l'analyse Total analysés - Nombre total d'objets analysés Infectés - Nombre de fichiers infectés trouvés Nettoyés - Nombre d'objets nettoyés État - État du processus d'analyse ESET_ODFileScanLogRecords La classe ESET_ODFileScanLogRecords possède de multiples instances, chacune représentant une entrée de journal dans l'un des journaux d'analyse représentés par instances de la classe ESET_ODFileScanLogs. Les instances de cette classe fournissent des entrées de journal de toutes les analyses et de tous les journaux à la demande. Lorsque l'instance d'un seul journal d'analyse particulier est exigée, elle doit être filtrée par propriété LogID. Voici le contenu de chaque instance de classe : Identifiant du journal - Identifiant du journal d'analyse auquel cette entrée appartient (identifiant d'une des instances de la classe ESET_ODFileScanLogs) Identifiant - Identifiant unique pour cette entrée du journal d'analyse Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/heure) Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux niveaux nommés comme suit : Déboguer, Info-pied de page, Info, Info-Important, Avertissement, Erreur, Avertissement de sécurité, Erreur critique, Avertissement de sécurité critique Journal - Le message du journal courant ESET_ODServerScanLogs La classe ESET_ODServerScanLogs possède de multiples instances, chacune représentant l'exécution d'une analyse de serveur à la demande. Voici le contenu de chaque instance : Identifiant - Identifiant unique pour cette entrée de journal à la demande Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure) Cibles - Dossiers/objets cibles de l'analyse Total analysés - Nombre total d'objets analysés Infectés - Nombre de fichiers infectés trouvés Nettoyés - Nombre d'objets nettoyés Occurrence de la règle - Nombre total d'occurrences de la règle État - État du processus d'analyse 181 ESET_ODServerScanLogRecords La classe ESET_ODServerScanLogRecords possède de multiples instances, chacune représentant une entrée de journal dans l'un des journaux d'analyse représentés par instance de la classe ESET_ODServerScanLogs. Les instances de cette classe fournissent des entrées de journal de toutes les analyses et de tous les journaux à la demande. Lorsque l'instance d'un seul journal d'analyse particulier est exigée, elle doit être filtrée par propriété LogID. Voici le contenu de chaque instance de classe : Identifiant du journal - Identifiant du journal d'analyse auquel cette entrée appartient (identifiant d'une des instances de la classe ESET_ ODServerScanLogs) Identifiant - Identifiant unique pour cette entrée du journal d'analyse Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/heure) Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans l'intervalle [0-8]. Les valeurs correspondent aux niveaux nommés comme suit : Déboguer, Info-pied de page, Info, Info-Important, Avertissement, Erreur, Avertissement de sécurité, Erreur critique, Avertissement de sécurité critique Journal - Le message du journal courant ESET_GreylistLog La classe ESET_GreylistLog possède de multiples instances, chacune représentant une entrée de journal à partir du journal « Greylist ». Voici le contenu de chaque instance : Identifiant - Identifiant unique pour cette entrée de journal Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/heure) Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux niveaux nommés comme suit : Déboguer, Info-pied de page, Info, Info-Important, Avertissement, Erreur, Avertissement de sécurité, Erreur critique, Avertissement de sécurité critique Domaine HELO - Nom du domaine HELO Adresse IP - Adresse IP source Expéditeur - Expéditeur du courriel Destinataire - Destinataire du courriel Action - Action exécutée Temps d'acceptation - Nombre de minutes après lequel le courriel sera accepté ESET_SpamLog La classe ESET_SpamLog possède de multiples instances, chacune représentant une entrée de journal à partir du journal « Spamlog ». Voici le contenu de chaque instance : Identifiant - Identifiant unique pour cette entrée de journal Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/heure) Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux niveaux nommés comme suit : Déboguer, Info-pied de page, Info, Info-Important, Avertissement, Erreur, Avertissement de sécurité, Erreur critique, Avertissement de sécurité critique Expéditeur - Expéditeur du courriel Destinataires - Destinataires du courriel Objet - Objet du courriel Reçu - Heure de réception Indice - Indice de pourriel en pourcentage [0-100] Raison - Raison pour laquelle ce courriel a été marqué comme pourriel Action - Action exécutée Info dialogue - Renseignements diagnostics supplémentaires 182 5.6.4.2 Accès aux données fournies Voici quelques exemples pour montrer comment accéder aux données WMI ESET à partir de la ligne de commande Windows et PowerShell, qui devraient fonctionner à partir de n'importe quel système d'exploitation Windows courant. Cependant, il existe bien d'autres façons d'accéder aux données à partir d'autres langages et outils de script. Ligne de commande sans script L'outil de commande wmic peut être utilisé pour accéder à une variété de classes WMI prédéfinies ou personnalisées. Pour afficher tous les renseignements à propos d'un produit qui se trouve sur la machine locale : wmic /namespace:\\root\ESET Path ESET_Product Pour afficher le numéro de version du produit seulement pour un produit qui se trouve sur la machine locale : wmic /namespace:\\root\ESET Path ESET_Product Get Version Pour afficher tous les renseignements à propos d'un produit qui se trouve sur une machine à distance avec l'adresse IP 10.1.118.180 : wmic /namespace:\\root\ESET /node:10.1.118.180 /user:Administrator Path ESET_Product PowerShell Pour obtenir et afficher les tous les renseignements à propos d'un produit sur une machine locale : Get-WmiObject ESET_Product -namespace 'root\ESET' Pour obtenir et afficher tous les renseignements à propos d'un produit qui se trouve sur une machine à distance avec l'adresse IP 10.1.118.180 : $cred = Get-Credential # invite l'utilisateur à donner son authentifiant et le stocke dans la var Get-WmiObject ESET_Product -namespace 'root\ESET' -computername '10.1.118.180' -cred $cred 5.6.5 Cibles d'analyse ERA Cette fonctionnalité permet à ESET Remote Administrator d'utiliser la base de données des cibles d'analyse sur demande appropriées lors de la tâche client Analyse du serveur sur un serveur avec ESET Mail Security. Lorsque vous activez la fonctionnalité Générer une liste des cibles, ESET Mail Security crée une liste de base de données des cibles d'analyse actuellement disponibles. Cette liste est générée régulièrement, en fonction de la Période de mise à jour définie en minutes. Lorsque ERA veut effectuer une tâche client Analyse du serveur, il recueillera la liste et vous permettra de choisir les cibles d'analyse pour l'analyse de la base de données sur demande pour ce serveur en particulier. 5.6.6 Fichiers journaux Vous pouvez utiliser l'interrupteur pour désactiver ou activer la Journalisation diagnostique de la Grappe au besoin. Cette option est activée par défaut. Cela signifie que la journalisation de la Grappe sera incluse dans la journalisation diagnostique générale. Pour lancer la journalisation en tant que telle, vous devez activer la journalisation diagnostique générale au niveau du produit à partir de menu principal > Configuration> Outils. Une fois activée, la journalisation diagnostique rassemblera aussi les journaux détaillés d'ESET Cluster. La section Fichiers journaux vous permet de modifier la configuration de la journalisation de ESET Mail Security. Vous pouvez définir comment gérer les journaux. Le programme supprime automatiquement les anciens fichiers journaux pour gagner de l'espace disque. 183 5.6.6.1 Filtrage des journaux Les journaux stockent des données sur les événements système importants. La fonctionnalité de filtrage des journaux permet d'afficher des entrées sur un type d'événement particulier. Entrez le mot clé pour la recherche dans le champ Rechercher le texte. Utilisez le menu déroulantRechercher dans les colonnes pour affiner v otre recherche. Types d'enregistrement - Choisissez un ou plusieurs types de journaux d'enregistrement dans le menu déroulant : Diagnostic - Consigne l'information requise pour mettre au point le programme et toutes les entrées préalables. Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que toutes les entrées préalables. Avertissements - Enregistre les erreurs critiques et les messages d'avertissement. Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et les erreurs critiques seront enregistrées. Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus). Période - Définir la période pendant laquelle vous voulez que les résultats soient affichés. Mots entiers seulement - Cochez cette case si vous voulez rechercher des mots entiers particuliers pour obtenir des résultats de recherche plus précis. Sensible à la casse - Activez cette option si vous jugez important d'utiliser des lettres en majuscules ou en minuscules dans le filtrage. 184 5.6.6.2 Trouver dans le journal En plus du Filtrage des journaux, vous pouvez également utiliser la fonctionnalité de recherche dans les fichiers journaux, ainsi que l'utiliser indépendamment du filtrage des journaux. Cela est utile lorsque vous cherchez des enregistrements particuliers dans les journaux. Tout comme le filtrage des journaux, cette fonctionnalité de recherche vous aidera à trouver l'information que vous cherchez, tout particulièrement lorsqu'il y a un très grand nombre d'enregistrements. Lorsque vous utilisez l'outil de recherche dans le journal, vous pouvez Trouver le texte en tapant une chaîne spécifique, utilisez l'option Rechercher dans les colonnes à parti du menu déroulant pour filtrer votre recherche par colonne, sélectionnez Types d'enregistrement et établissezune Période de temps pour ne rechercher que les enregistrements pour une période de temps déterminée. Lorsque vous précisez certaines options de recherche, seuls les enregistrements pertinents (selon ces critères de recherche) feront l'objet d'une recherche dans la fenêtre des fichiers journaux. Rechercher texte : Tapez une chaîne de caractères (mot ou partie d'un mot). Seuls les enregistrements contenant cette chaîne de caractères seront affichés. Les autres enregistrements seront omis. Rechercher dans les colonnes : Sélectionnez les colonnes qui seront considérées dans la recherche. Vous pouvez cocher une ou plusieurs colonnes à utiliser dans la recherche. Par défaut, toutes les colonnes seront sélectionnées : Heure Dossiers analysés Événement Utilisateur Types d'enregistrement : Choisissez un ou plusieurs types de journal d'enregistrement dans le menu déroulant : Diagnostic - Consigne l'information requise pour mettre au point le programme et tous les enregistrements préalables. Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que toutes les entrées préalables. Avertissements - Enregistre les erreurs critiques et les messages d'avertissement. Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et les erreurs critiques seront enregistrées. Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus). Période : Pour définir la période à partir de laquelle vous voulez que les résultats soient affichés. Journal entier (valeur par défaut) - ne limite pas la recherche à la période, cherche plutôt dans l'ensemble du journal Dernier jour Dernière semaine Dernier mois Intervalle - Lorsque vous sélectionnez cette option, vous pouvez également préciser la période exacte (date et heure) pendant laquelle les enregistrements ont été créés. Mots entiers seulement - Ne trouve que les enregistrements qui comprennent la chaîne complète de caractères indiquée dans la boîte de texte Quoi. Sensible à la casse - Ne trouve que les enregistrements qui correspondent parfaitement à la chaîne de caractères indiquée dans la boîte de texte Quoi (majuscules et minuscules inclus). Rechercher vers le haut - Effectue la recherche à partir de la position actuelle vers le haut. Une fois que vous aurez configuré les options de recherche, cliquez sur le bouton Rechercher pour lancer la recherche. La recherche s'arrête lorsqu'elle trouve le premier enregistrement correspondant. Cliquez sur Rechercher de nouveau pour afficher des enregistrements supplémentaires. La recherche dans les fichiers journaux s'effectue du haut vers le bas, à partir de votre position actuelle (l'enregistrement qui est surligné). 185 5.6.6.3 Maintenance des journaux Vous pouvez utiliser l'interrupteur pour désactiver ou activer la Journalisation diagnostique de la Grappe au besoin. Cette option est activée par défaut. Cela signifie que la journalisation de la Grappe sera incluse dans la journalisation diagnostique générale. Pour lancer la journalisation en tant que telle, vous devez activer la journalisation diagnostique générale au niveau du produit à partir de menu principal > Configuration> Outils. Une fois activée, la journalisation diagnostique rassemblera aussi les journaux détaillés d'ESET Cluster. La section Fichiers journaux vous permet de modifier la configuration de la journalisation de ESET Mail Security. Vous pouvez définir comment gérer les journaux. Le programme supprime automatiquement les anciens fichiers journaux pour gagner de l'espace disque. Supprimer les entrées automatiquement : Les entrées de journal plus anciennes que le nombre de jours précisé sont automatiquement supprimées. Optimiser les fichiers journaux automatiquement : Active la défragmentation automatique des fichiers journaux en cas de dépassement du pourcentage indiqué d'entrées non utilisées. Niveau minimum de verbosité des journaux : Spécifie le niveau de verbosité de la journalisation. Options disponibles : o Dossiers des diagnostics - Consigne l'information requise pour affiner le programme et toutes les entrées préalables. o Entrées informatives - Enregistre des messages informatifs, y compris les messages de mise à jour réussie ainsi que toutes les entrées préalables. o Avertissements - Enregistre les erreurs critiques et les messages d'avertissement. o Erreurs - Seuls les messages tels que « Erreur de téléchargement de fichier », ainsi que les erreurs critiques, sont enregistrés. o Avertissements critiques - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus, etc.). 186 5.6.7 Serveur mandataire Dans les grands réseaux locaux, la connexion de votre ordinateur à Internet peut s'effectuer par l'intermédiaire d'un serveur mandataire. Si tel est le cas, les paramètres suivants doivent être modifiés. En l'absence de modification, le programme ne pourra pas effectuer de mise à jour automatique. Dans ESET Mail Security, le serveur mandataire peut être configuré dans deux sections différentes de l'arborescence de Configuration avancée. Vous pouvez tout d'abord configurer les paramètres du serveur mandataire dans Configuration avancée sous Outils > Serveur mandataire. La sélection du serveur mandataire à ce niveau définit les paramètres de serveur mandataire globaux pour l'ensemble de ESET Mail Security. Les paramètres définis ici seront utilisés par tous les modules exigeant une connexion Internet. Pour préciser les paramètres de serveur mandataire à ce niveau, activez le commutateur Utiliser un serveur mandataire, puis entrez l'adresse du serveur mandataire dans le champ Serveur mandataire, ainsi que le numéro de Port du serveur mandataire. Si la communication avec le serveur mandataire exige une authentification, activez le commutateur Le serveur mandataire exige une authentification et entrez un Nom d'utilisateur valide et un Mot de passe dans les champs respectifs. Cliquez sur Détecter pour détecter et remplir automatiquement les paramètres du serveur mandataire. Les paramètres définis dans Internet Explorer seront copiés. REMARQUE : Cette fonctionnalité ne récupère cependant pas les données d'authentification (nom d'utilisateur et mot de passe) que vous devrez donc entrer de nouveau. Les paramètres de serveur mandataire peuvent aussi être définis dans la configuration de mise à jour avancée (Configuration avancée > Mise à jour > Mandataire HTTP en sélectionnant Connexion par un serveur mandataire à partir du menu déroulant Mode mandataire dans le menu déroulant Mode mandataire). Ce paramètre s'applique au profil de mise à jour donné et est recommandé pour les ordinateurs portables qui reçoivent souvent des mises à jour des signatures de virus de plusieurs endroits. Pour plus de détails sur ce paramètre, consultez la rubrique Configuration avancée des mises à jour. 5.6.8 Notifications par courriel ESET Mail Security peut envoyer automatiquement des courriels de notification, si un événement ayant le niveau de verbosité sélectionné se produit. Activez Envoyer des notifications d'événement par courriel pour envoyer des notifications par courriel. REMARQUE : Les serveurs SMTP avec chiffrement TLS sont pris en charge par ESET Mail Security. Serveur SMTP - Le serveur SMTP utilisé pour l'envoi de notifications. Nom d'utilisateur et mot de passe - Si le serveur SMTP exige une authentification, ces champs doivent être remplis avec un nom d'utilisateur et un mot de passe valides pour accéder au serveur SMTP. Adresse de l'expéditeur - Entrez l'adresse de l'expéditeur qui apparaitra dans l'en-tête des courriels de notification. Voici ce que le destinataire verra comme Expéditeur. Adresse du destinataire - Indiquez l'adresse courriel du destinataire Destinataire à qui les notifications seront envoyées. Niveau de détails minimal des notifications - Précise le niveau minimal de verbosité des notifications à envoyer. Activer TLS - Activer les messages d'alerte et de notification pris en charge par le chiffrement TLS. Intervalle après lequel les nouveaux courriels de notification seront envoyés (min) - Intervalle en minutes, après lequel de nouvelles notifications seront envoyées par courriel. Réglez cette valeur à 0 si vous voulez envoyer ces notifications immédiatement. Envoyer chaque notification dans un courriel distinct - Lorsque cette option est activée, le destinataire recevra un nouveau courriel pour chaque notification. Cela peut entrainer la réception d'un grand nombre de courriels dans un court laps de temps. Format des messages 187 Format des messages d'événement - Format des messages d'événements qui s'affichent sur les ordinateurs distants. Voir aussi Modifier le format. Format des messages d'avertissement de menace - Les messages d'alerte de menace et de notification ont un format par défaut prédéfini. Il est déconseillé de modifier ce format. Toutefois, dans certaines circonstances (par exemple, si vous avez un système automatisé de traitement des messages), vous serez peut-être amené à modifier le format des messages. Voir aussi Modifier le format. Utiliser les caractères alphabétiques locaux - Utilise l'encodage des caractères ANSI basé sur les paramètres régionaux de Windows pour convertir un courriel (par exemple, windows-1250). Si cette case est désélectionnée, le message sera converti et encodé en format ACSII 7 bits (par exemple, « á » sera remplacé par « a » et un caractère inconnu en « ? »). Utiliser l'encodage des caractères locaux - Le courriel source sera encodé dans le format Quoted Printable (QP) qui utilise les caractères ASCII et peut transmettre correctement par courriel les caractères nationaux spéciaux en format 8 bits (áéíóú). 5.6.8.1 Format des messages Les communications entre le programme et l'utilisateur ou l'administrateur de système distant se font par la messagerie ou le réseau local (au moyen du service de messagerie Windows®). Le format par défaut des messages d'alerte et des notifications est optimal dans la plupart des situations. Dans certaines situations, le format des messages d'événement doit être changé. Les mots-clés (chaînes entourées de signes %) sont remplacés dans le message par les données réelles indiquées. Les mots-clés suivants sont disponibles : - Date et heure de l'événement - Module concerné - Nom de l'ordinateur où l'alerte s'est produite - Module ayant généré l'alerte - Nom du fichier ou message infecté, etc. - Identification de l'infection %ErrorDescription% - Description d'un événement autre qu'un virus Les mots-clés %InfectedObject% et %VirusName% ne sont utilisés que dans les messages d'alerte de menace, tandis que le mot-clé %ErrorDescription% n'est utilisé que dans les messages d'événement. 5.6.9 Mode Présentation Le mode Présentation est une fonctionnalité destinée aux utilisateurs qui exigent une utilisation interrompue de leur logiciel, qui ne veulent pas être dérangés par des fenêtres contextuelles et qui veulent minimiser la charge sur l'UC. Le mode Présentation peut aussi être utilisé lors de présentations qui ne peuvent être interrompues par les activités de l'antivirus. Lorsque ce mode est activé, toutes les fenêtres contextuelles sont désactivées et les tâches planifiées ne sont pas exécutées. La protection du système s'exécute toujours en arrière-plan, mais n'exige aucune interaction de l'utilisateur. Cliquez sur Configuration > Ordinateur, puis cliquez sur le commutateur à côté de Mode Présentation pour activer le mode présentation manuellement. Dans Configuration avancée (touche F5), cliquez sur Outils > Mode Présentation, puis cliquez sur le commutateur à côté de l'option Activer automatiquement le mode Présentation lorsque les applications s'exécutent en mode plein écran pour que ESET Mail Security passe en mode Présentation automatiquement lorsque les applications s'exécutent en mode plein écran. Activer le mode Présentation entraîne un risque potentiel; pour cette raison, l'icône de l'état de la protection dans la barre des tâches devient orange en plus d'afficher un avertissement. Vous pouvez aussi voir cet avertissement dans la fenêtre principale du programme où le Mode Présentation activé sera indiqué en orange. En activant l'option Activer automatiquement le mode Présentation lorsque les applications s'exécutent en mode plein écran, le mode Présentation est activé dès que vous lancez une application en mode plein écran et s'arrête automatiquement quand vous quittez l'application. Cela est particulièrement utile pour lancer le mode Présentation immédiatement après le lancement d'un jeu, d'une application en plein écran ou après le démarrage d'une présentation. 188 Vous pouvez également sélectionner Désactiver le mode Présentation automatiquement après pour définir le temps en minutes après lequel le mode Présentation sera automatiquement désactivée. 5.6.10 Diagnostics Les diagnostics fournissent des vidages sur incident des processus ESET (ekrn, par ex.). Si une application plante, un vidage sera généré. Il pourra aider les développeurs à déboguer et à corriger différents problèmes liés à ESET Mail Security. Cliquez sur le menu déroulant à côté de Type de vidage et sélectionnez l'une des trois options disponibles : Sélectionnez Désactiver (par défaut) pour désactiver cette fonctionnalité. Mini - Enregistre le plus petit ensemble d'information utile pouvant aider à identifier la raison pour laquelle l'application s'est arrêtée inopinément. Ce type de fichier de vidage peut être utile lorsque l'espace est limité. Cependant, en raison de l'information limitée incluse dans ce fichier, des erreurs n'ayant pas été causées directement par la menace en cours d’exécution au moment du problème pourraient ne pas être découvertes lors d'une analyse de ce fichier. Complet - Enregistre tout le contenu de la mémoire système, au moment où l'application s'est arrêtée inopinément. Un vidage complet de mémoire peut contenir des données liées aux processus en cours d'exécution au moment de la création du vidage de mémoire. Dossier cible - Répertoire où sera généré le fichier de vidage lors du plantage. Ouvrir le dossier de diagnostic - Cliquez sur Ouvrir pour ouvrir ce répertoire dans une nouvelle fenêtre de l'explorateur Windows. 5.6.11 Service à la clientèle Soumettre les données de configuration du système - Sélectionnez Toujours envoyer à partir du menu déroulant ou sélectionnez Demander avant l'envoi pour avoir la possibilité de confirmer l'envoi des données. 189 5.6.12 Grappe Activer la grappe est activé automatiquement lorsque la Grappe est configurée. Vous pouvez la désactiver manuellement dans la fenêtre Configuration avancée en cliquant sur l'icône du commutateur (approprié lorsque vous devez modifier la configuration sans que cela n’ait de répercussions sur d'autres nœuds de la grappe ESET). Ce commutateur ne permet que d'activer ou de désactiver la fonctionnalité de grappe ESET. Pour configurer la grappe de façon appropriée ou la détruire, vous devez utiliser l'Assistant de la grappe ou l'option Détruire la grappe dans la section Outils > Grappe de la fenêtre principale du programme. Grappe ESET non configurée et désactivée : 190 Grappe ESET configurée de façon appropriée, avec détails et options : Pour plus de détails sur la grappe ESET, cliquez ici. 5.7 Interface utilisateur La section Interface utilisateur vous permet de configurer le comportement des éléments de l'interface graphique du programme (IUG). Vous pouvez ajuster l'apparence du programme et ses effets visuels. Pour assurer la sécurité maximale de votre logiciel de sécurité, vous pouvez empêcher toute modification non autorisée à l'aide de l'outil Configuration de l'accès. En configurant l'option Alertes et notifications, vous pouvez modifier le comportement des alertes de menace détectée et les notifications système. Elles peuvent être personnalisées selon vos besoins. Si vous choisissez de ne pas afficher certaines notifications, elles seront affichées dans la zone Messages et états désactivés. Ici, vous pouvez en vérifier l'état, afficher plus de détails ou les supprimer de la fenêtre. L'intégration du menu contextuel s'affiche après un clic droit sur le l'objet sélectionné. Utilisez cet outil pour intégrer les éléments de contrôle ESET Mail Security dans le menu contextuel. Le mode Présentation est utile pour les utilisateurs qui veulent travailler avec une application sans être interrompus par des fenêtres contextuelles, des tâches planifiées et tout composant qui pourrait trop en demander aux ressources du système. Éléments de l'interface utilisateur Les options de configuration de l'interface utilisateur incluses dans ESET Mail Security vous permettent d'ajuster l'environnement de travail selon vos besoins. Vous pouvez accéder à ces options à partir de la branche Interface utilisateur > Éléments de l'interface utilisateur de l'arborescence de Configuration avancée de ESET Mail Security. La section Éléments de l'interface utilisateur permet de modifier l'environnement de travail. L'interface utilisateur 191 devrait réglée à Terminal si les éléments graphiques ralentissent les performances de votre ordinateur ou provoquent d'autres problèmes. Il est possible aussi d'éteindre l'IUG sur un des serveurs du Terminal. Pour en savoir plus sur ESET Mail Security installé sur votre serveur Terminal, voir Désactiver l'IUG sur un Serveur Terminal. Cliquez sur le menu déroulant Mode de démarrage pour sélectionner les Modes de démarrage suivants : Complet - L'IUG s'affichera au complet. Terminal - Aucune notification ou alerte ne sera affichée. L'IUG ne peut être démarré que par l'administrateur. Pour désactiver l'écran de démarrage de ESET Mail Security, désactivez Afficher l'écran de démarrage. Pour que ESET Mail Security émette un son lorsque des événements importants se produisent pendant une analyse, par exemple lorsqu'une menace est détectée ou lorsque l'analyse prend fin, sélectionnez Émettre un signal sonore. Intégrer dans le menu contextuel - Intégrer les éléments de contrôle ESET Mail Security dans le menu contextuel. États - Cliquez sur Modifier pour gérer (activer ou désactiver) les états qui sont affichés dans la fenêtre Surveillance du menu principal. États des applications - Permet d'activer ou de désactiver l'état d'affichage dans la fenêtre État de a protection du menu principal. Renseignements sur la licence - Active les renseignements de la licence, les messages et les notifications activant cette option. 5.7.1 Alertes et notifications La section Alertes et notifications sous Interface utilisateur permet de configurer le mode de traitement des messages d'alerte et des notifications système (par ex., des messages de mise à jour réussie) par ESET Mail Security. Vous pouvez également configurer la durée d'affichage et le niveau de transparence des notifications dans la barre d'état système (cela ne s'applique qu'aux systèmes prenant en charge les notifications dans la barre d'état). Fenêtres d'alerte Lorsqu'Afficher les alertes est désactivée, aucune fenêtre d'alerte ne s'affiche, ce qui ne convient qu'à un nombre limité de situations particulières. Nous recommandons à la majorité des utilisateurs de conserver l'option par défaut (activée). Notifications sur le bureau Les notifications sur le bureau et les infobulles sont des messages informatifs ne permettant ou n'exigeant aucune interaction avec l'utilisateur. Elles s'affichent dans la zone de notification, dans le coin inférieur droit de l'écran. Pour activer l'affichage des notifications sur le bureau, sélectionnez Afficher les notifications sur le bureau. D'autres options détaillées, comme la durée d'affichage des notifications et la transparence de la fenêtre, peuvent être modifiées ci-dessous. Activez le commutateur Ne pas afficher les notifications lors de l'exécution d'applications en mode plein écran pour garder en réserve toutes les notifications non interactives. Le menu déroulant Verbosité minimale des événements à afficher permet de sélectionner le niveau de gravité des alertes et des notifications à afficher. Les options suivantes sont disponibles : Diagnostic - Consigne l'information requise pour mettre au point le programme et toutes les entrées préalables. Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que toutes les entrées préalables. Avertissements - Enregistre les erreurs critiques et les messages d'avertissement. Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et les erreurs critiques seront enregistrées. Critique - Seules les erreurs critiques (échec de démarrage de la protection antivirus, etc.) seront consignées. La dernière fonctionnalité de cette section vous permet de configurer la destination des notifications dans un environnement multiutilisateur. Le champ Sur les systèmes multiutilisateur, afficher les notifications sur l'écran de cet utilisateur permet de préciser quel utilisateur recevra les notifications système et autres notifications pour les systèmes autorisant la connexion simultanée de multiples utilisateurs. Il s'agit généralement de l'administrateur de système ou de l'administrateur de réseau. Cette option est particulièrement utile pour les serveurs de terminaux, à condition que toutes les notifications système soient envoyées à l'administrateur. 192 Boîtes de message Pour fermer automatiquement les fenêtres contextuelles après un certain temps, sélectionnez l'option Fermer automatiquement les boîtes de message. Si les fenêtres d'alerte ne sont pas fermées manuellement, elles le sont automatiquement, une fois que le délai fixé est écoulé. 5.7.2 Configuration de l'accès Il est essentiel que ESET Mail Security soit correctement configuré pour garantir la sécurité maximale du système. Tout changement inapproprié peut entraîner une perte de données importantes. Pour éviter les modifications non autorisées, les paramètres de configuration de ESET Mail Security peuvent être protégés par mot de passe. Les paramètres de configuration pour la protection du mot de passe se trouvent dans le sous-menu Configuration de l'accès, sous Interface utilisateur dans l'arborescence de Configuration avancée. Protection des paramètres par mot de passe - Verrouille ou déverrouille les paramètres de configuration du programme. Cliquez pour ouvrir la fenêtre de configuration de mot de passe. Pour définir ou modifier un mot de passe afin de protéger les paramètres de configuration, cliquez sur Définir le mot de passe. Demander des droits d'administrateur complets pour des comptes administrateur limités - Sélectionnez cette option pour inviter l'utilisateur actuel (s'il ne possède pas les droits d'administration) à fournir un nom d'utilisateur et un mot de passe lorsqu'il modifie certains paramètres système (similaire au contrôle de compte d'utilisateur (UAC) dans Windows Vista). Ces modifications incluent la désactivation des modules de protection. 5.7.2.1 Mot de passe Pour éviter toute modification non autorisée, les paramètres de configuration de ESET Mail Security peuvent être protégés par mot de passe. 5.7.2.2 Configuration du mot de passe Pour protéger les paramètres de configuration d'ESET Mail Security et ainsi éviter une modification non autorisée, un nouveau mot de passe doit être défini. Lorsque vous voulez modifier un mot de passe existant, tapez votre ancien mot de passe dans le champ Ancien mot de passe, puis entrez le nouveau mot de passe dans les champs Nouveau mot de passe et Confirmer le mot de passe, puis cliquez sur OK. Ce mot de passe sera requis pour toute modification ultérieure apportée à ESET Mail Security. 5.7.3 Aide Lorsque vous appuyez sur la touche F1 ou cliquez sur le bouton ?, une fenêtre affichant l'aide en ligne s'ouvrira. Son contenu constitue la source d'aide primaire. Cependant, il existe aussi une copie hors ligne de cette source d'aide qui accompagne le programme. L'aide hors ligne s'ouvre lorsqu'aucune connexion à Internet n'est disponible. La version la plus récente de l'Aide en ligne s'affiche automatiquement lorsque vous avez une connexion à Internet fonctionnelle. 5.7.4 ESET Shell Vous pouvez configurer les droits d'accès aux paramètres du produit, fonctionnalités et données par l'entremise d'eShell en modifiant la Politique d'exécution ESET Shell. Script limité est le paramètre par défaut, mais vous pouvez le modifier en sélectionnant les options Désactiver, Lecture seule ou Accès complet au besoin. Désactiver - eShell ne peut être utilisé du tout. Seule la configuration d'eShell est permise - dans le contexte ui eshell . Vous pouvez personnaliser l'apparence d'eShell, mais vous n'avez pas accès aux paramètres ni aux données du produit de sécurité. Lecture seule - eShell Cette option peut être utilisée comme outil de surveillance. Les modes Interactif et Séquentiel permet l'affichage de tous les paramètres, mais il vous est impossible de modifier quelconque paramètre, fonctionnalité ou donnée. 193 Script limité - En mode Interactif, vous pouvez afficher et modifier tous les paramètres, toutes les fonctionnalités et toutes les données. En mode Séquentiel, eShell fonctionnera comme si vous étiez en mode Lecture seule. Cependant, si vous utilisez des fichiers séquentiels signés, il vous sera possible de modifier les paramètres et les données. Accès complet - L'accès à tous les paramètres est illimité, tant en mode Interactif qu'en mode Traitement différé. Vous pouvez afficher et modifier tous les paramètres. Vous devez utiliser un compte administrateur pour exécuter eShell et bénéficier de l'accès complet. Si la fonction UAC est activée, une élévation est aussi requise. 5.7.5 Désactiver l'interface graphique sur le serveur de terminal Cette section décrit la façon de désactiver l'interface graphique de ESET Mail Security utilisée dans les sessions utilisateur ouvertes sur les serveurs de terminaux Windows. En temps normal, l'interface graphique ESET Mail Security s'affiche chaque fois qu'un utilisateur distant ouvre une session sur le serveur pour créer une session de terminal. Une telle situation est normalement indésirable sur les Serveurs de terminal. Si vous voulez éteindre l'IUG des sessions de terminal, vous pouvez le faire par l'entremise d'eShell en exécutant la commande définie. Cette action fera passer l'IUG en mode terminal. Ce sont les deux modes disponibles pour le démarrage de l'IUG : set ui ui gui-start-mode full set ui ui gui-start-mode terminal Si vous voulez savoir quel est le mode en cours d'utilisation, exécutez la commande get ui ui gui-start-mode . REMARQUE : Si vous avez installé ESET Mail Security sur un serveur Citrix, il est recommandé d'utiliser les paramètres qui sont décrits dans notre article de la Base de connaissances. 5.7.6 Désactiver les messages et les états Messages de confirmation - Affiche une liste de messages de confirmation que vous pouvez choisir d'afficher ou de ne pas afficher. États des applications désactivées - Permet d'activer ou de désactiver l'état d'affichage dans la fenêtre État de a protection du menu principal. 5.7.6.1 Messages de confirmation Cette fenêtre de dialogue affiche les messages de confirmation que ESET Mail Security affiche avant qu'une action ne soit effectuée. Sélectionnez ou désélectionnez la case à cocher de chaque message de confirmation pour l'autoriser ou le désactiver. 5.7.6.2 États des applications désactivées Dans cette boîte de dialogue, vous pouvez sélectionner ou désélectionner les états des applications qui seront affichés ou non. Par exemple, lorsque vous mettez la protection antivirus et anti-logiciel espion en pause ou lorsque vous activez le mode de présentation. Un état de l'application s'affiche également si votre produit n'est pas activé ou si vous avez une licence qui a expiré. 194 5.7.7 Icône de la barre d'état système Certaines des options de configuration les plus importantes ainsi que des fonctions sont disponibles en cliquant à l'aide du bouton droit de la souris sur l'icône de la barre d'état système . Suspendre la protection - Affiche la boîte de dialogue de confirmation qui désactive la Protection antivirus et antilogiciel espion contre les attaques de système malveillants grâce au contrôle des fichiers, du Web et des communications par courriel. Le menu déroulant Intervalle représente la période pendant laquelle toute la protection antivirus et anti-logiciel espion sera désactivée. Configuration avancée - Cochez cette option pour entrer dans l'arborescence de Configuration avancée. Vous pouvez aussi accéder à la configuration avancée en appuyant sur la touche F5 ou en allant à Configuration > Configuration avancée. Fichiers journaux - Les Fichiers journaux contiennent tous les événements importants qui ont eu lieu et donnent un aperçu des menaces détectées. Masquer ESET Mail Security - Masque la fenêtre ESET Mail Security de l'écran. Rétablir la disposition de fenêtre - Réinitialise la fenêtre de ESET Mail Security à sa taille et position par défaut, à l'écran. Base de données des signatures de virus - Démarre la mise à jour de la banque de données de virus afin de conserver votre niveau de protection contre les programmes malveillants. À propos - Fournit de l'information sur le système, les détails à propos de la version installée de ESET Mail Security, les modules du programme installés et la date d'expiration de votre licence. Les renseignements sur votre système d'exploitation et sur les ressources du système se trouvent au bas de la page. 5.7.7.1 Suspendre la protection À chaque fois que vous suspendez temporairement la protection antivirus et anti-logiciel espion à l'aide de l'icône de la barre d'état système , la boîte de dialogue Suspendre la protection temporairement apparaîtra. Cela désactivera la protection contre les logiciels malveillants pour la période choisie (pour désactiver la protection de façon permanente, vous devez utiliser Configuration avancée). Soyez prudent, la désactivation de la protection peut exposer votre système à des menaces. 195 5.7.8 Menu contextuel Le menu contextuel s'affiche après avoir cliqué à droite sur un objet (fichier). Le menu donne la liste de toutes les actions que vous pouvez effectuer sur un objet. Il est possible d'intégrer les éléments de contrôle de ESET Mail Security dans le menu contextuel. Les options de configuration de cette fonctionnalité sont disponibles dans l'arborescence de Configuration avancée sous Interface utilisateur > Éléments de l'interface utilisateur. Intégrer dans le menu contextuel - Intégrer les éléments de contrôle ESET Mail Security dans le menu contextuel. 5.8 Rétablir tous les paramètres dans cette section Rétablit les paramètres par défaut du module aux valeurs définies par ESET. Veuillez noter que tous les changements qui ont été effectués seront perdus après que vous aurez cliquez sur Revenir aux paramètres par défaut. Rétablir le contenu des tableaux - Lorsque cette option est activée, les règles, les tâches ou les profils qui ont été ajoutés manuellement ou automatiquement seront perdus. 196 5.9 Rétablir les paramètres par défaut Tous les paramètres du programme, pour tous les modules, seront réinitialisés à l'état qu'ils devraient avoir après une nouvelle installation. 5.10 Planificateur Le Planificateur se trouve dans le menu principal de ESET Mail Security, sous Outils. Le Planificateur contient une liste de toutes les tâches planifiées avec leurs propriétés de configuration telles que la date prédéfinie, l'heure et le profil d'analyse utilisé. 197 Par défaut, les tâches planifiées suivantes s'affichent dans le Planificateur : Maintenance des journaux Mise à jour automatique régulière Mise à jour automatique après une connexion commutée Mise à jour automatique après ouverture de session utilisateur Vérification automatique des fichiers de démarrage (après la connexion de l'utilisateur) Vérification automatique des fichiers de démarrage (après la mise à jour réussie de la base des signatures de virus) Première analyse automatique Pour modifier la configuration d'une tâche planifiée existante (tant par défaut que définie par l'utilisateur), cliquez avec le bouton droit sur la tâche, puis sur Modifier... ou sélectionnez la tâche à modifier, puis cliquez sur le bouton Modifier.... 5.10.1 Détails de la tâche Entrez le nom de la tâche, sélectionnez l'une des options de Type de tâches puis cliquez sur Suivant : Exécuter une application externe - Planifie l'exécution d'une application externe. Maintenance des journaux - Les fichiers journaux contiennent aussi les restes des enregistrements supprimés. Cette tâche optimise les enregistrements dans les fichiers journaux de façon régulière, afin qu'ils puissent fonctionner de façon efficace. Vérification des fichiers de démarrage du système - Vérifie les fichiers qui peuvent être exécutés au démarrage du système ou lors de l'ouverture de session. Créer un instantané de l'état de l'ordinateur - Crée un instantané de l'ordinateur ESET SysInspector - recueille des renseignements détaillés sur les composants système (pilotes, applications, par ex.) et évalue le niveau de risque de chacun des composants. Analyse de l'ordinateur à la demande - Effectue l'analyse des fichiers et des dossiers de votre ordinateur. Première analyse - Par défaut, une analyse de l'ordinateur sera effectuée 20 minutes après l'installation ou le redémarrage comme tâche à priorité faible. Mise à jour - Planifie une tâche de mise à jour en mettant à jour la base de données des signatures de virus et les modules du programme. Analyse de base de données - Vous permet de planifier une analyse de base de données et de choisir les éléments qui seront analysés. Il s'agit en fait d'une Analyse de base de données à la demande. REMARQUE : Si vous avez activé la Protection de la base de données de la boîte de courriels vous pouvez toujours programmer cette tâche, mais elle se terminera par un message d'erreur qui s'affichera dans la section Analyse de la principale IUG disant Analyse de base de données - Analyse interrompue en raison d'une erreur. Pour éviter cela, vous devez vous assurer que la protection de la base de données de la boîte de courriels est désactivée pendant le temps prévu pour l'exécution de l'Analyse de la base de données. Envoi des rapports de courriels mis en quarantaine - Planifie l'envoi par courriel du rapport de mise en quarantaine de courriels. Analyse en arrière-plan - Donne au serveur Exchange la possibilité d'exécuter une analyse de base de données en arrière plan si nécessaire. Placez l'interrupteur en position Activée si vous voulez activer la tâche (vous pouvez le faire ultérieurement en sélectionnant/désélectionnant la case à cocher dans la liste des tâches planifiées). Cliquez sur Suivant, puis sélectionnez la fréquence : Une fois, Plusieurs fois, Quotidiennement, Chaque semaine et Déclenchée par un événement. Selon la fréquence sélectionnée, vous serez invité à choisir différents paramètres de mise à jour. Une tâche peut être ignorée si l'ordinateur est alimenté par batterie ou est éteint. Suivant permet de définir l'action à entreprendre si la tâche ne peut pas être effectuée ou terminée à l'heure planifiée. Dans l'étape suivante, une fenêtre de résumé des informations sur la tâche planifiée en cours s'affiche. Cliquez sur Terminer une fois les modifications terminées. 198 5.10.2 Calendrier de la tâche - Une fois Exécution de la tâche - La tâche en question ne sera exécutée qu'une seule fois à la date et à l'heure spécifiées. 5.10.3 Calendrier de la tâche La tâche sera exécutée de façon répétée à l'intervalle de temps spécifié. Sélectionnez l'une des options de périodicité : Une fois - - La tâche ne sera exécutée qu'une fois, à la date et à l'heure définies. Plusieurs fois - La tâche sera exécutée à chaque intervalle de temps (en heures) précisé. Quotidiennement - La tâche sera exécutée chaque jour à l'heure indiquée. Chaque semaine - La tâche sera exécutée une ou plusieurs fois par semaine, à l'heure et aux jours définis. Déclenchée par un événement - La tâche sera exécutée lorsque l'événement précisé se produira. Ignorer la tâche lors du fonctionnement sur batterie - Aucune tâche ne sera exécutée si l'ordinateur est alimenté par batterie au moment ou elle doit démarrer. Cela s'applique également aux ordinateurs alimentés par un onduleur. 5.10.4 Calendrier de la tâche - Une fois par jour La tâche sera exécutée chaque jour à l'heure indiquée. 5.10.5 Calendrier de la tâche - Hebdomadaire La tâche sera exécutée à l'heure et au jour définis. 5.10.6 Calendrier de la tâche - déclenchée par un événement La tâche peut être déclenchée par l'un des événements suivants : Chaque fois que l'ordinateur démarre Chaque jour au premier démarrage de l'ordinateur Connexion commutée à Internet/VPN Mise à jour réussie de la base de données des signatures de virus Mise à jour réussie des composants du programme Ouverture de session utilisateur Détection de menace Vous pouvez préciser l'intervalle de temps minimum entre deux exécutions de la tâche déclenchée par événement. Par exemple, si vous ouvrez plusieurs sessions pendant une journée, il est préférable de choisir 24 heures afin de n'exécuter la tâche qu'à la première connexion de la journée et puis le jour suivant. 5.10.7 Détails de la tâche - Exécution de l'application Cette tâche permet de programmer l'exécution d'une application externe. Fichier exécutable - Choisissez un fichier exécutable dans l'arborescence de répertoire, cliquez sur l'option ... ou entrez manuellement le chemin d'accès. Dossier de travail - Définit le dossier de travail de l'application externe. Tous les fichiers temporaires du Fichier exécutable sélectionné seront créés dans ce dossier. Paramètres - Paramètres de ligne de commande à utiliser pour l'application (facultatif). Cliquez sur Terminer pour appliquer la tâche. 199 5.10.8 Détails de la tâche - Envoyer les rapports de quarantaine de courriel Cette tâche planifie l'envoi d'un rapport de Quarantaine de courriel par courriel. Adresse de l'expéditeur - Pour spécifier une adresse de courriel qui sera affichée en tant qu'expéditeur du rapport de Quarantaine de courriel. Nombre de d'enregistrements maximum dans le rapport - Vous pouvez limiter le nombre d'entrées dans chaque rapport. Le nombre par défaut est de 50. URL Web - Cette adresse URL sera incluse dans le rapport de Quarantaine de courriel, ce qui fait en sorte que le destinataire peut simplement cliquer sur celle-ci pour accéder à l'interface Web de la Quarantaine de courriel. Destinataires - Permet de choisir les utilisateurs qui recevront les rapports de Quarantaine de courriel. Cliquez sur Modifier pour sélectionner les boîtes de courriel pour des destinataires spécifiques. Vous pouvez sélectionner de multiples destinataires. Cliquez sur Terminer pour créer la tâche planifiée. 5.10.9 Tâche ignorée Si une tâche n'a pas pu être exécutée à l'heure définie, il est possible de préciser le moment où elle sera exécutée : À la prochaine heure planifiée - La tâche sera exécutée à l'heure précisée (par exemple, après 24 heures). Dès que possible - Exécuter la tâche dès que possible - lorsque les actions qui empêchent l'exécution de la tâche ne sont plus valides. Immédiatement si le temps écoulé depuis la dernière exécution dépasse la valeur spécifiée - Temps depuis la dernière exécution (heures) - Une fois cette option sélectionnée, la tâchera sera toujours répétée après la durée indiquée (en heures). 5.10.10 Détails des tâches du planificateur Cette boîte de dialogue affiche des informations détaillées sur la tâche planifiée sélectionnée lorsque vous doublecliquez sur une tâche personnalisée ou lorsque vous faites un clic droit sur une tâche du planificateur personnalisé et cliquez sur Afficher les détails de la tâche. 5.10.11 Profils de mise à jour Pour mettre à jour le programme à partir de deux serveurs de mise à jour, vous devez créer deux profils de mise à jour distincts. Si le premier ne permet pas de télécharger les fichiers de mise à jour, le programme bascule automatiquement vers le second. Cela convient, par exemple, pour les ordinateurs portables dont la mise à jour s'effectue normalement à partir d'un serveur de mise à jour sur le réseau local, mais dont les propriétaires se connectent souvent à Internet à partir d'autres réseaux. Ainsi, en cas d'échec du premier profil, le second télécharge automatiquement les fichiers de mise à jour à partir des serveurs de mise à jour ESET. Vous trouverez plus d'information sur les profils de mise à jour dans le chapitre Mise à jour. 200 5.10.12 Création de nouvelles tâches Pour créer une nouvelle tâche dans le Planificateur, cliquez sur le bouton Ajouter ou cliquez à droite et sélectionnez Ajouter dans le menu contextuel. Cinq types de tâches planifiées sont disponibles : Exécuter une application externe - Planifie l'exécution d'une application externe. Maintenance des journaux - Les fichiers journaux contiennent aussi les restes des enregistrements supprimés. Cette tâche optimise les enregistrements dans les fichiers journaux de façon régulière, afin qu'ils puissent fonctionner de façon efficace. Contrôle des fichiers de démarrage du système - Vérifier les fichiers qui peuvent être exécutés au démarrage du système ou lors de l'ouverture de session. Créer un instantané de l'état de l'ordinateur - Crée un instantané de l'ordinateur ESET SysInspector - recueille de l'information détaillée sur les composants du système (pilotes, applications, par ex.) et évalue le niveau de risque de chacun des composants. Analyse de l'ordinateur à la demande - Effectue l'analyse des fichiers et dossiers de votre ordinateur. Première analyse - Par défaut, une analyse de l'ordinateur sera effectuée 20 minutes après l'installation ou tout redémarrage comme tâche de priorité faible. Mise à jour - Planifie une tâche de mise à jour en mettant à jour la base de données des signatures de virus et les modules du programme. Puisque la mise à jour est l'une des tâches planifiées les plus souvent utilisées, nous expliquerons comment ajouter une nouvelle tâche de mise à jour. Entrez le nom de la tâche dans le champ Nom de la tâche . À partir du menu déroulant Type de tâche, sélectionnez Mise à jour et cliquez sur Suivant. Placez l'interrupteur en position Activée si vous voulez activer la tâche (vous pouvez le faire ultérieurement en sélectionnant/désélectionnant la case à cocher dans la liste des tâches planifiées), cliquez sur Suivant, puis sélectionnez la fréquence : Une fois, Plusieurs fois, Quotidiennement, Chaque semaine et Déclenchée par un événement. Selon la fréquence sélectionnée, vous serez invité à choisir différents paramètres de mise à jour. On peut ensuite définir l'action à entreprendre si la tâche ne peut pas être effectuée ou terminée à l'heure planifiée. Les trois options suivantes sont disponibles : À la prochaine période de temps planifiée Dès que possible Immédiatement, si le temps écoulé depuis la dernière exécution dépasse une valeur spécifique (l'intervalle peut être défini à l'aide de la zone de liste déroulante Heure depuis la dernière exécution). Dans l'étape suivante, une fenêtre de résumé des informations sur la tâche planifiée en cours s'affiche. Cliquez sur Terminer une fois les modifications terminées. Une boîte de dialogue s'ouvre pour permettre de choisir les profils à utiliser pour la tâche planifiée. Ici, vous pouvez définir le profil principal et le profil secondaire. Le profil secondaire est utilisé lors que la tâche ne peut pas se terminer en utilisant le profil principal. Confirmez en cliquant sur Terminer et la nouvelle tâche planifiée sera ajoutée à la liste des tâches planifiées. 201 5.11 Quarantaine La quarantaine vise principalement à stocker les fichiers infectés de façon sécuritaire. Ces fichiers doivent être mis en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont détectés par erreur par ESET Mail Security. Vous pouvez choisir de mettre n'importe quel fichier en quarantaine. Il est conseillé de le faire si un fichier se comporte de façon suspecte, mais n'a pas été détecté par l'analyseur antivirus. Les fichiers en quarantaine peuvent ensuite être soumis pour analyse au laboratoire ESET Virus Lab. Les fichiers stockés dans le dossier de quarantaine peuvent être visualisés dans un tableau indiquant la date et l'heure de mise en quarantaine, le chemin de l'emplacement d'origine du fichier infecté, sa taille en octets, la raison (par exemple, un objet ajouté par l'utilisateur) et le nombre de menaces (par exemple, s'il s'agit d'une archive contenant plusieurs infiltrations). Dans le cas où des objets de messagerie sont mis en quarantaine dans le fichier de quarantaine, des informations sous la forme d'un chemin d'accès à la boîte aux lettres/dossier/nom de fichier s'affichent. Mise de fichiers en quarantaine ESET Mail Security envoie automatiquement les fichiers supprimés en quarantaine (si l'utilisateur n'a pas désactivé cette option dans la fenêtre d'alerte). Au besoin, vous pouvez mettre manuellement en quarantaine tout fichier suspect en cliquant sur Quarantaine. Les fichiers mis en quarantaine seront supprimés de leur emplacement original. Il est également possible d'utiliser le menu contextuel à cette fin. Il suffit de cliquer avec le bouton droit dans la fenêtre Quarantaine et de sélectionner Quarantaine. 202 Restaurer depuis la quarantaine Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement d'origine. Pour ce faire, utilisez la fonctionnalité Restaurer du menu contextuel après avoir cliqué avec le bouton droit sur un fichier indiqué dans la fenêtre de quarantaine. Si un fichier est signalé comme application potentiellement indésirable, l'option Restaurer et exclure de l'analyse sera offerte. Pour en savoir plus sur ce type d'application, consultez le glossaire. Le menu contextuel offre également l'option Restaurer vers... qui permet de restaurer des fichiers vers un emplacement autre que celui d'où ils ont été supprimés. REMARQUE : Si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer, veuillez l'exclure de l'analyse et de l'envoyer au Service à la clientèle ESET. Soumission d'un fichier de quarantaine Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été jugé infecté par erreur (par exemple, par l'analyse heuristique du code) et mis en quarantaine, envoyez ce fichier au laboratoire ESET Virus Lab. Pour soumettre un fichier mis en quarantaine, cliquez sur ce dernier avec le bouton droit de la souris, puis, dans le menu contextuel, sélectionnez Soumettre pour analyse. 5.11.1 Mise de fichiers en quarantaine envoie automatiquement les fichiers supprimés en quarantaine (si l'utilisateur n'a pas désactivé cette option dans la fenêtre d'alerte). Au besoin, vous pouvez mettre manuellement en quarantaine tout fichier suspect en cliquant sur Quarantaine. Dans ce cas, le fichier d'origine n'est pas supprimé de son emplacement initial. Il est également possible d'utiliser le menu contextuel à cette fin. Il suffit de cliquer à droite dans la fenêtre Quarantaine et de sélectionner Quarantaine. 5.11.2 Restaurer depuis la quarantaine Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement d'origine. Pour restaurer un fichier en quarantaine, faites un clic droit dans la fenêtre de quarantaine et sélectionnez Restaurer dans le menu contextuel qui s'affiche. Si un fichier est signalé comme application potentiellement indésirable, l'option Restaurer et exclure de l'analyse sera également offerte. Le menu contextuel offre également l'option Restaurer vers..., qui permet de restaurer des fichiers vers un emplacement autre que celui d'où ils ont été supprimés. Suppression du dossier de quarantaine - Cliquez à droite sur un élément donné et sélectionnez Supprimer du dossier de quarantaine, ou sélectionnez l'élément que vous voulez supprimer et cliquez sur la touche Supprimer de votre clavier. Vous pouvez également sélectionner plusieurs éléments et les supprimer ensemble. REMARQUE : Si, par erreur, le programme met en quarantaine un fichier inoffensif, excluez le fichier de l'analyse une fois restauré et envoyez-le au Service à la clientèle d'ESET. 5.11.3 Soumission de fichiers de quarantaine Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été jugé infecté par erreur (par exemple, par l'analyse heuristique du code) et mis en quarantaine, envoyez ce fichier au laboratoire ESET Threat Lab. Pour soumettre un fichier à la quarantaine, cliquez à droite sur le fichier et sélectionnez Soumettre pour analyse à partir du menu contextuel. 203 5.12 Mises à jour du système d'exploitation La fenêtre Mises à jour système affiche la liste des mises à jour disponibles, prêtes pour téléchargement et installation. Le niveau de priorité de chaque mise à jour s'affiche à côté de son nom. Cliquez sur Exécuter une mise à jour système pour lancer le téléchargement et l'installation des mises à jour du système d'exploitation. Cliquez à droite sur toute rangée de mise à jour puis sur Afficher l'information pour afficher une fenêtre contextuelle avec de l'information supplémentaire. 204 6. Glossaire 6.1 Types d'infiltrations Une infiltration est un élément d'un logiciel malveillant qui tente de s'introduire dans l'ordinateur d'un utilisateur ou de l'endommager. 6.1.1 Virus Un virus est une infiltration qui endommage les fichiers existants sur votre ordinateur. Les virus informatiques sont comparables aux virus biologiques, parce qu'ils utilisent des techniques similaires pour se propager d'un ordinateur à l'autre. Les virus informatiques attaquent principalement les fichiers et les documents exécutables. Pour proliférer, un virus attache son « corps » à la fin d'un fichier cible. En bref, un virus informatique fonctionne comme ceci : après l'exécution du fichier infecté, le virus s'active lui-même (avant l'application originale) et exécute une tâche prédéfinie. Ce n'est qu'après que l'application originale pourra s'exécuter. Un virus ne peut pas infecter un ordinateur à moins qu'un utilisateur exécute ou ouvre lui-même (accidentellement ou délibérément) le programme malveillant. L'activité et la gravité des virus varient. Certains sont extrêmement dangereux, parce qu'ils ont la capacité de supprimer délibérément des fichiers du disque dur. En revanche, d'autres virus ne causent pas de véritables dommages : ils ne servent qu'à embêter l'utilisateur et à démontrer les compétences techniques de leurs auteurs. Il est important de noter que les virus sont (par rapport aux chevaux de Troie et aux logiciels espions) de plus en plus rares, parce qu'ils ne sont pas commercialement très attrayants pour les auteurs de programmes malveillants. En outre, le terme « virus » est souvent utilisé de façon inappropriée pour couvrir tout type d'infiltrations. On tend aujourd'hui à le remplacer progressivement par le terme plus précis « logiciel malveillant » ou « malware » en anglais. Si votre ordinateur est infecté par un virus, il est nécessaire de restaurer les fichiers infectés vers leur état original, c'est-à-dire de les nettoyer à l'aide d'un programme antivirus. Dans la catégorie des virus, on peut citer : OneHalf, Tenga et Yankee Doodle. 6.1.2 Vers Un ver est un programme contenant un code malveillant qui attaque les ordinateurs hôtes et se répand par un réseau. La différence de base entre un virus et un ver est que les vers ont la capacité de se répliquer et de voyager par eux-mêmes. Ils ne dépendent pas des fichiers hôtes (ou des secteurs d'amorçage). Ils se répandent par l'entremise des adresses courriel enregistrées dans votre liste de contacts ou exploitent les failles de sécurité de diverses applications réseau. Les vers sont ainsi susceptibles de vivre beaucoup plus longtemps que les virus. Grâce à Internet, ils peuvent se propager à travers le monde en quelques heures ou en quelques minutes après leur lancement. Leur capacité à se répliquer indépendamment et rapidement les rend plus dangereux que les autres types de programmes malveillants. Un ver activé dans un système peut être à l'origine de plusieurs inconvénients : Il peut supprimer des fichiers, nuire aux performances du système ou même désactiver des programmes. De par sa nature, il est qualifié pour servir de « moyen de transport » à d'autres types d'infiltrations. Si votre ordinateur est infecté par un ver, il est recommandé de supprimer les fichiers infectés parce qu'ils contiennent probablement des programmes malveillants. Parmi les vers les plus connus, on peut citer : : Lovsan/Blaster, Stration/Warezov, Bagle et Netsky. 205 6.1.3 Chevaux de Troie Dans le passé, les chevaux de Troie ont été définis comme une catégorie d'infiltrations ayant comme particularité de se présenter comme des programmes utiles pour duper ensuite les utilisateurs qui acceptent de les exécuter. Il est cependant important de remarquer que cette définition s'applique aux anciens chevaux de Troie. Aujourd'hui, il ne leur est plus utile de se déguiser. Ils n'ont qu'un objectif : trouver la manière la plus facile de s'infiltrer pour accomplir leurs intentions malveillantes. « Cheval de Troie » est donc devenu un terme très général qui décrit toute infiltration qui n'entre pas dans une catégorie spécifique. La catégorie étant très vaste, elle est souvent divisée en plusieurs sous-catégories : Téléchargeur - Programme malveillant en mesure de télécharger d'autres infiltrations sur Internet Injecteur - Type de cheval de Troie conçu pour déposer d'autres types de logiciels malveillants sur des ordinateurs infectés Porte dérobée - Application qui communique à distance avec les pirates et leur permet d'accéder à un système et d'en prendre le contrôle. Enregistreur de frappe - (« keystroke logger ») – Programme qui enregistre chaque touche sur laquelle l'utilisateur appuie avant d'envoyer l'information aux pirates Composeur – programme destiné à se connecter à des services à revenus partagés. Il est presque impossible qu'un utilisateur remarque qu'une nouvelle connexion a été créée. Les composeurs ne peuvent porter préjudice qu'aux utilisateurs ayant des modems par ligne commutée, qui sont de moins en moins utilisés. Les chevaux de Troie prennent généralement la forme de fichiers exécutables avec l'extension .exe. Si un fichier est identifié comme cheval de Troie sur votre ordinateur, il est recommandé de le supprimer car il contient sans doute du code malveillant. Parmi les chevaux de Troie les plus connus, on peut citer : NetBus, Trojandownloader. Small.ZL, Slapper 6.1.4 Rootkits Les programmes malveillants furtifs offrent aux pirates un accès illimité à un système tout en dissimulant leur présence. Après avoir accédé au système (généralement en exploitant une faille), ces programmes utilisent des fonctions du système d'exploitation pour se protéger des logiciels antivirus : ils cachent des processus, des fichiers et des données du registre Windows. C'est pour cette raison qu'il est presque impossible de les détecter à l'aide des techniques de vérification ordinaires. Il y a deux niveaux de détection permettant d'éviter les programmes malveillants furtifs : 1) Lorsqu'ils essaient d'accéder au système. Ils ne sont pas encore installés et sont donc inactifs. La plupart des antivirus sont en mesure de les éliminer à ce niveau (en supposant qu'ils détectent effectivement les fichiers comme infectés). 2) lorsqu'ils sont inaccessibles aux tests habituels. Les utilisateurs de ESET Mail Security bénéficient de la technologie Anti-Stealth qui permet de détecter et d'éliminer les rootkits en activité. 6.1.5 Logiciels publicitaires L'expression « logiciels publicitaires » désigne les logiciels qui prennent en charge les publicités. Les programmes qui affichent des publicités entrent donc dans cette catégorie. Souvent, les logiciels publicitaires ouvrent automatiquement une nouvelle fenêtre contextuelle contenant de la publicité dans un navigateur Internet ou modifient la page de démarrage de ce dernier. Ils sont généralement associés à des programmes gratuits et permettent à leurs créateurs de couvrir les frais de développement de leurs applications (souvent utiles). En eux-mêmes, les logiciels publicitaires ne sont pas dangereux - les publicités ne font qu'être embêtés par des publicités. Le danger tient au fait que les logiciels publicitaires peuvent aussi inclure des fonctions de traçage(comme les logiciels espions). Si vous décidez d'utiliser un logiciel gratuit, veuillez porter une attention particulière au programme d'installation. Il 206 est plus que probable que le programme d'installation vous avertira que l'installation comporte en plus un logiciel publicitaire. Souvent, vous pourrez annuler cette installation supplémentaire et installer le programme sans logiciel publicitaire. Certains programmes refuseront de s'installer sans logiciel publicitaire ou verront leurs fonctionnalités limitées. Cela signifie que les logiciels publicitaires peuvent souvent accéder au système d'une manière « légale », dans la mesure où les utilisateurs ont accepté qu'ils soient installés. Dans ce cas, mieux vaut être prudent plutôt que de le regretter. Si un logiciel publicitaire est détecté sur votre ordinateur, il est préférable de le supprimer, car le risque est grand qu'il contienne du code malveillant. 6.1.6 Logiciel espion Cette catégorie inclut toutes les applications qui envoient des données confidentielles sans le consentement des utilisateurs et à leur insu. Ces applications utilisent des fonctions de traçage pour envoyer diverses données statistiques telles qu'une liste des sites Web consultés, les adresses courriel de la liste de contacts de l'utilisateur ou une liste des touches de frappe utilisées. Les auteurs de logiciels espions affirment que ces techniques ont pour but d'en savoir plus sur les besoins et les intérêts des utilisateurs afin de mieux cibler les offres publicitaires. Le problème est qu'il n'y a pas de distinction claire entre les applications utiles et les applications malveillantes, et personne ne peut garantir que les données récupérées ne seront pas utilisées à des fins frauduleuses. Les données récupérées par les logiciels espions peuvent être des codes de sécurité, des NIP, des numéros de compte bancaire, etc. Les logiciels espions sont souvent intégrés aux versions gratuites d'un programme dans le but de générer des revenus ou d'inciter à l'achat du logiciel. Souvent, les utilisateurs sont informés de la présence d'un logiciel espion au cours de l'installation d'un programme afin de les inciter à acquérir la version payante qui en est dépourvue. Parmi les logiciels gratuits bien connus qui contiennent un logiciel espion, on trouve les applications clients de réseaux P2P (poste-à-poste). Spyfalcon ou Spy Sheriff (et beaucoup d'autres) appartiennent à une sous-catégorie de logiciels espions : ils semblent être des programmes anti-logiciels espions alors qu'en réalité, ils sont eux-mêmes des logiciels espions. Si un fichier est signalé comme logiciel publicitaire sur votre ordinateur, il est préférable de le supprimer, car le risque est grand qu'il contienne du code malveillant. 6.1.7 Compresseurs Un compresseur de fichiers est un fichier exécutable à extraction automatique qui regroupe plusieurs types de programmes malveillants dans un seul ensemble. Les plus communs sont UPX, PE_Compact, PKLite et ASPack. Un même logiciel malveillant peut être détecté différemment, lorsque comprimé avec différents logiciels de compression. Les compresseurs sont capables de faire muter leur « signature » au fil du temps, les programmes malveillants deviennent ainsi plus difficiles à détecter et à supprimer. 6.1.8 Exploit Blocker Exploit Blocker est conçu pour protéger les applications souvent exploitées, comme les navigateurs Web, les lecteurs PDF, les clients de messagerie ou les composants MS Office. Il surveille le comportement des processus afin de détecter toute activité suspecte qui pourrait indiquer un exploit. Il ajoute une couche de protection supplémentaire, un pas de plus pour s'approcher des pirates, en utilisant une technologie complètement différente des techniques axées sur la détection de fichiers malveillants eux-mêmes. Quand Exploit Blocker identifie un processus suspect, il peut l'arrêter immédiatement et enregistrer des données à propos de la menace, qui sont ensuite envoyées au système de nuage ESET Live Grid. Ces données sont traitées par le laboratoire ESET et utilisées pour mieux protéger tous les utilisateurs des menaces inconnues et des attaques du jour zéro (logiciels malveillants nouvellement publiés pour lesquels il n'existe aucun remède préconfiguré). 207 6.1.9 Analyseur de mémoire avancé L'Analyseur de mémoire avancé, de pair avec Exploit Blocker, offre une meilleure protection contre les logiciels malveillants conçus pour échapper à la détection des produits anti-logiciel malveillant grâce l'obscurcissement et/ ou le chiffrement. Lorsque l'émulation ordinaire ou l'heuristique ne parvient pas à détecter une menace, l'Analyseur de mémoire avancé est capable d'identifier les comportements suspects et d'analyser les menaces lorsqu'elles se révèlent dans la mémoire système. Cette solution est efficace contre les logiciels malveillants d'obscurcissement les plus puissants. Contrairement à Exploit Blocker, il s'agit d'une méthode postexécution, ce qui signifie qu'il existe un risque qu'une activité malveillante ait été exécutée avant d'être détectée comme une menace. Toutefois, si les autres techniques de détection ont échoué, cette méthode offfre une couche de sécurité supplémentaire. 6.1.10 Applications potentiellement dangereuses Il existe de nombreux programmes légitimes qui permettent de simplifier l'administration des ordinateurs en réseau. Toutefois, s'ils tombent entre de mauvaises mains, ces programmes sont susceptibles d'être utilisés à des fins malveillantes. ESET Mail Security vous offre l'option de détecter de telles menaces. Les applications potentiellement dangereuses entrent dans une classification utilisée pour les logiciels commerciaux et légitimes. Cette classification inclut également les programmes d'accès à distance, les applications de craquage de mots de passe ou les enregistreurs de frappe. Si vous découvrez qu'une application potentiellement dangereuse est présente et s'exécute sur votre ordinateur (sans que vous l'ayez installée), consultez votre administrateur réseau ou supprimez l'application. 6.1.11 Applications potentiellement indésirables Les applications potentiellement indésirables ne sont pas nécessairement malveillantes, mais elles sont susceptibles de nuire aux performances de votre ordinateur. Ces applications exigent généralement le consentement de l'utilisateur avant leur installation. Si elles sont présentes sur votre ordinateur, votre système se comportera différemment (par rapport à son état avant l'installation). Les changements les plus significatifs sont : L'apparition de nouvelles fenêtres que vous n'avez jamais vues auparavant (fenêtres intruses, publicités) L'activation et l'exécution de processus cachés Une plus grande utilisation des ressources du système Des changements dans les résultats de recherche L'application communique avec des serveurs à distance 6.2 Courriel Le courriel est une forme de communication moderne qui offre beaucoup d'avantages. Il est souple, rapide et direct, et a joué un rôle crucial dans l'expansion d'Internet au début des années 1990. Malheureusement, le grand anonymat des courriels et d'Internet laisse place à beaucoup d'activités illégales telles que le pollupostage. Le pourriel comprend les publicités indésirables, les canulars et les logiciels malveillants. Le désagrément et le danger pour l'utilisateur ont augmenté tout simplement du fait que l'envoi de tels messages ne coûte presque rien et que les auteurs du pourriel disposent de bon nombre d'outils pour acquérir facilement de nouvelles adresses de courriel. En plus, le volume et les différents types de pourriel rendent la réglementation difficile. Plus la période sur laquelle vous utilisez votre adresse de courriel est longue, plus vous augmentez la possibilité qu'elle se retrouve dans la base de données d'un moteur de pourriel. Quelques conseils à titre de prévention : Si possible, ne publiez pas votre adresse de courriel sur Internet Ne donnez votre adresse de courriel qu'à des personnes fiables Si possible, n'utilisez pas de pseudonyme commun - plus le pseudonyme est complexe, moins grande est la probabilité de traçage. 208 Ne répondez pas aux pourriels déjà présents dans votre boîte de réception. Faites attention lorsque vous remplissez des formulaires Internet : soyez particulièrement attentif aux cases à cocher du type « Oui, je voudrais recevoir de l'information ». Utilisez des adresses de courriel « spécialisées », p. ex., une pour le travail, une pour communiquer avec vos amis, etc. De temps à autre, changez votre adresse de courriel Utilisez une solution antipourriel 6.2.1 Publicités La publicité par Internet est une des formes de publicité qui connaît la croissance la plus rapide. Ses coûts minimaux et sa grande efficacité en sont les principaux avantages sur le plan marketing, sans compter que les messages sont transmis immédiatement ou presque. Nombre d'entreprises utilisent des outils de marketing par courriel pour communiquer efficacement avec leurs clients et clients éventuels. Ce type de publicité est légitime, car l'utilisateur pourrait souhaiter recevoir des informations commerciales sur certains produits. Mais de nombreuses entreprises envoient également en masse des messages commerciaux non sollicités. La publicité par courriel dépasse alors les limites et devient du pourriel. La quantité de messages publicitaires non sollicités est devenue un réel problème, car elle ne montre aucun signe de ralentissement. Les auteurs de messages non sollicités tentent souvent de déguiser les pourriels sous les apparences de messages légitimes. 6.2.2 Canulars Un canular se définit comme de la désinformation diffusée sur Internet. Les canulars sont généralement envoyés par courriel ou par des outils de communication tels ICQ et Skype. Le message en lui-même est souvent une blague ou une légende urbaine. Les canulars essaient de provoquer chez les destinataires de la peur, de l'incertitude et du doute, les amenant à croire qu'ils ont un « virus indétectable » en train de supprimer tous les fichiers et de récupérer les mots de passe, ou d'effectuer une activité nuisible sur leur système. Certains canulars se propagent parce qu'ils invitent les destinataires à transférer les messages reçus à leurs contacts, ce qui perpétue le cycle de vie des canulars. On y retrouve notamment des canulars liés aux téléphones cellulaires, des « demandes d'aide », des personnes qui vous proposent de vous envoyer de l'argent de l'étranger, etc. Souvent, il est impossible de traquer l'intention du créateur. Si un message vous demande de le transférer à toutes vos connaissances, il est fort possible qu'il s'agisse d'un canular. On retrouve bon nombre de sites sur Internet qui permettent de vérifier la légitimité d'un courriel. Avant de transférer un message, faites une recherche sur Internet en cas de doute qu'il s'agisse d'un canular. 6.2.3 Hameçonnage Le terme « hameçonnage »(« phishing » en anglais) désigne une activité frauduleuse utilisant des techniques de piratage psychologique qui consistent à manipuler les utilisateurs pour obtenir des données confidentielles. Son but est d'accéder à des données sensibles, telles que numéros de comptes bancaires, NIP, etc. La technique consiste généralement à envoyer un courriel en se faisant passer pour une personne ou une entreprise digne de confiance (institution financière, compagnie d'assurance). Le message peut sembler très authentique et contenir des graphiques et contenus qui proviennent véritablement de la source dont il se réclame. Vous êtes invité à entrer, sous divers prétextes (vérification de données, opérations financières), certaines de vos données personnelles, vos numéros de compte bancaire ou nom d'utilisateur et mot de passe. Toutes ces données, si elles sont soumises, peuvent facilement être volées et utilisées à des fins illégales. Notez que les banques, compagnies d'assurance et autres sociétés légales ne demandent jamais les noms d'utilisateur et mots de passe dans un message non sollicité. 209 6.2.4 Reconnaissance des pourriels Peu d'indicateurs permettent généralement d'identifier les pourriels (messages non sollicités) dans une boîte de courriel. Si un message satisfait au moins l'un des critères suivants, c'est probablement un pourriel. L'adresse de l'expéditeur ne figure pas dans la liste de vos contacts On vous offre une importante somme d'argent, mais vous devez d'abord en fournir une petite partie On vous demande d'entrer, sous divers prétextes (vérification de données, opérations financières), certaines de vos données personnelles : numéros de compte bancaire ou noms d'utilisateur et mots de passe. Le message est écrit dans une langue étrangère. On vous demande d'acheter un produit qui ne vous intéresse pas. Si vous décidez de l'acheter quand même, assurez-vous que l'expéditeur du message est un identifiant fiable (consultez le fabricant original du produit). Quelques mots sont mal écrits pour pouvoir passer à travers le filtre de pourriel. Par exemple « vaigra » au lieu de « viagra », etc. 6.2.4.1 Règles Dans le contexte des solutions antipourriel et des clients de messagerie, les règles sont des outils permettant de manipuler les fonctions du courriel. Elles se composent de deux parties logiques : 1) la condition (par exemple, un message entrant provenant d'une certaine adresse) 2) l'action (par exemple, la suppression du message ou son déplacement vers un dossier particulier). Le nombre de règles et leurs combinaisons varient en fonction de la solution antipourriel. Ces règles servent de protection contre les pourriels (messages non sollicités). Exemples types : Condition : un message entrant contient des mots habituellement utilisés dans les pourriels 2. action : Supprimer le message Condition : un message entrant contient une pièce jointe comportant l'extension .exe 2. action : Supprimer la pièce jointe et livrer le message dans la boîte de courriel Condition : un message entrant arrive de votre employeur 2. action : Déplacer le message dans le dossier « Travail » Il est recommandé d'utiliser une combinaison de règles dans les programmes antipourriel afin de faciliter l'administration et filtrer les pourriels avec plus d'efficacité. 6.2.4.2 Filtre bayésien Le filtrage bayésien est une méthode efficace de filtrage des messages utilisée par presque tous les produits antipourriel. Il permet d'identifier les messages non sollicités avec un haut degré de précision et peut s'adapter à l'utilisateur. Voici comment il fonctionne : La première phase consiste en un processus d'apprentissage. L'utilisateur doit alors désigner manuellement un nombre suffisant de messages entrants comme messages légitimes ou pourriels (normalement 200/200). Le filtre analyse les deux catégories et apprend, par exemple, que le pourriel contient généralement les mots « rolex » ou « viagra » et que les messages légitimes sont envoyés par des membres de la famille ou à partir d'adresses se trouvant dans la liste de contacts de l'utilisateur. Si un nombre suffisant de messages est traité, le filtre bayésien peut alors attribuer un certain « indice de pourriel » à chaque message pour ainsi déterminer s'il s'agit d'un pourriel ou non. Le principal avantage du filtrage bayésien est sa souplesse. Par exemple, si un utilisateur est biologiste, tous les messages entrants concernant la biologie ou des champs d'études connexes recevront généralement un indice de probabilité moindre. Si, par contre, un message contient des mots qui le classeraient normalement comme non sollicité, mais qu'il a été envoyé par une personne figurant dans la liste de contacts de l'utilisateur, il sera alors marqué comme légitime dans la mesure où les expéditeurs figurant sur une liste de contacts réduisent la 210 probabilité générale qu'il s'agisse d'un pourriel. 6.2.4.3 Liste blanche En général, une liste blanche regroupe des éléments ou des personnes qui ont reçu une acception ou une permission. Le terme « liste blanche de courriel » définit une liste de contacts dont l'utilisateur veut recevoir les messages. Ces listes blanches sont basées sur des mots-clés recherchés dans des adresses de courriel, des noms de domaines ou des adresses IP. Si une liste blanche fonctionne en « mode exclusif », tous les messages provenant d'autres adresses, domaines ou adresses IP seront écartés. Si elle fonctionne en mode non exclusif, ces messages ne seront pas supprimés, mais filtrés d'une autre façon. Une liste blanche fonctionne sur le principe inverse d'une liste noire. Les listes blanches sont relativement faciles à maintenir, plus que les listes noires. Pour un meilleur filtrage des pourriels, il est recommandé d'utiliser à fois la Liste blanche et la Liste noire. 6.2.4.4 Liste noire Une liste noire se définit généralement comme une liste d'éléments ou de personnes non acceptés ou interdits. Dans le monde virtuel, c'est une technique qui permet d'accepter des messages de tous les utilisateurs qui ne figurent pas sur une telle liste. Il existe deux types de listes noires : celles qui sont créées par les utilisateurs par l'entremise de leur application antipourriel et les listes noires professionnelles, créées et régulièrement mises à jour par des organismes spécialisés que l'on peut trouver sur Internet. Il est essentiel d'utiliser les listes pour bloquer le pourriel, mais elles peuvent être difficiles à tenir à jour, car de nouveaux éléments à bloquer apparaissent chaque jour. Nous vous recommandons d'utiliser tant une liste blanche qu'une liste noire pour filtrer le pourriel de la façon la plus efficace. 6.2.4.5 Contrôle côté serveur Le contrôle côté serveur est une technique d'identification du pourriel de masse en se basant sur le nombre de messages reçus et les réactions des utilisateurs. Chaque message laisse sur le serveur une « empreinte » numérique unique en fonction de son contenu. Le numéro d'identification unique ne dit rien à propos du contenu du courriel. Deux messages identiques auront une empreinte identique, alors que des messages différents auront une empreinte différente. Si un message est marqué comme pourriel, son empreinte est envoyée au serveur. Si le serveur reçoit plusieurs empreintes identiques (correspondant à un certain message de pourriel), cette empreinte est stockée dans la base d'empreintes de pourriel. Lorsqu'il analyse des messages entrants, le programme envoie les empreintes de ces messages au serveur. Le serveur renvoie de l'information indiquant quelles empreintes correspondent à des messages déjà identifiés comme pourriels par d'autres utilisateurs. 211