- Ordinateurs et électronique
- Logiciel
- Logiciel de sécurité antivirus
- ESET
- Endpoint Antivirus
- Mode d'emploi
▼
Scroll to page 2
of
157
Guide de l'utilisateur Microsoft® Windows® 10/8.1/8/7/Vista Cliquez ici pour télécharger le plus récente version de ce document ESET ENDPOINT ANTIVIRUS 7 Copyright ©2018 par ESET, spol. s r. o. ESET Endpoi nt Anti vi rus a été dével oppé pa r ESET, s pol . s r. o. Pour pl us de déta i l s , vi s i tez www.es et.com. Tous droi ts rés ervés . Aucune pa rti e de cette documenta ti on ne peut être reprodui te, s tockée da ns un s ys tème d'a rchi va ge ou tra ns mi s e s ous quel que forme ou pa r quel que moyen que ce s oi t, y compri s s ous forme él ectroni que, méca ni que, photocopi e, enregi s trement, numéri s a ti on ou a utre s a ns l 'a utori s a ti on écri te de l 'a uteur. ESET, s pol . s r. o. s e rés erve l e droi t de cha nger l es a ppl i ca ti ons décri tes s a ns préa vi s . As s i s ta nce à l a cl i entèl e Monde : www.es et.com/s upport RÉV. 2018-08-15 Contenu 1. ESET Endpoint Antivirus 7 .................................................................................................... 7 1.1 Configuration minimale requise ................................................................................................................................................................... 7 1.2 Prévention ........................................................................................................................................................................................................ 8 2. Documentation pour les utilisateurs connectés par l'intermédiaire d'ESET Remote Administrator ........................................................................................................................ 9 2.1 Serveur ESET Remote Administrator ........................................................................................................................................................ 10 2.2 Console Web .................................................................................................................................................................................................. 10 2.3 Mandataire ..................................................................................................................................................................................................... 11 2.4 Agent ............................................................................................................................................................................................................... 11 2.5 RD Sensor ....................................................................................................................................................................................................... 12 3. Utilisation de <% PRODUCTNAME%> tout seul ...................................................................... 13 3.1 Installation avec ESET AV Remover ............................................................................................................................................................ 13 3.1.1 ESET AV Remover ....................................................................................................................................................................................... 13 3.1.2 Erreur lors de la désinstallation à l'aide d'ESET AV Remover ....................................................................................................................... 16 3.2 Installation ...................................................................................................................................................................................................... 17 3.2.1 Installation avancée ................................................................................................................................................................................. 19 3.3 Installation de produit par l'entremise d'ERA (ligne de commande) .................................................................................................. 21 3.4 Activer votre produit ................................................................................................................................................................................... 23 3.5 Analyse de l'ordinateur ............................................................................................................................................................................... 23 3.6 Mise à niveau à une version plus récente ................................................................................................................................................ 24 3.7 Guide du débutant ....................................................................................................................................................................................... 24 3.7.1 L'interface utilisateur ............................................................................................................................................................................... 24 3.7.2 Configuration des mises à jour .................................................................................................................................................................. 28 3.8 Questions fréquentes .................................................................................................................................................................................. 29 3.8.1 Comment effectuer la mise à jour de ESET Endpoint Antivirus .................................................................................................................... 30 3.8.2 Comment activer ESET Endpoint Antivirus .................................................................................................................................................. 30 3.8.3 Comment utiliser les informations d'identification actuelles pour activer un nouveau produit ................................................................. 31 3.8.4 Comment éliminer un virus de mon ordinateur ......................................................................................................................................... 31 3.8.5 Comment créer une nouvelle tâche dans le Planificateur ......................................................................................................................... 31 3.8.6 Comment programmer une tâche d'analyse (toutes les 24 heures) ........................................................................................................... 32 3.8.7 Comment connecter ESET Endpoint Antivirus à ESET Remote Administrator ............................................................................................... 32 3.8.8 Comment configurer un miroir .................................................................................................................................................................. 33 3.8.9 Comment effectuer la mise à niveau vers Windows 10 avec ESET Endpoint Antivirus ................................................................................. 33 3.8.10 Comment utiliser le mode prioritaire ...................................................................................................................................................... 34 3.8.11 Comment activer la surveillance et la gestion à distance ........................................................................................................................ 36 3.9 Utiliser ESET Endpoint Antivirus ................................................................................................................................................................. 37 3.9.1 Ordinateur ................................................................................................................................................................................................ 39 3.9.1.1 Moteur de détection .............................................................................................................................................................................. 40 3.9.1.1.1 Une infiltration est détectée ............................................................................................................................................................... 41 3.9.1.2 Cache local partagé ............................................................................................................................................................................... 43 3.9.1.3 Protection en temps réel du système de fichiers .................................................................................................................................... 43 3.9.1.3.1 Autres paramètres ThreatSense ......................................................................................................................................................... 44 3.9.1.3.2 Niveaux de nettoyage ......................................................................................................................................................................... 45 3.9.1.3.3 Vérification de la protection en temps réel ......................................................................................................................................... 45 3.9.1.3.4 Quand faut-il modifier la configuration la protection en temps réel .................................................................................................... 45 3.9.1.3.5 Que faire si la protection en temps réel ne fonctionne pas .................................................................................................................. 45 3.9.1.4 Analyse de l'ordinateur .......................................................................................................................................................................... 46 3.9.1.4.1 Analyse personnalisée ........................................................................................................................................................................ 47 3.9.1.4.2 Progression de l'analyse ..................................................................................................................................................................... 49 3.9.1.4.3 Journal de l'analyse de l'ordinateur .................................................................................................................................................... 50 3.9.1.5 Contrôle de périphérique ....................................................................................................................................................................... 50 3.9.1.5.1 Éditeur des règles du contrôle de périphérique ................................................................................................................................... 51 3.9.1.5.2 Ajout de règles du contrôle de périphérique ....................................................................................................................................... 52 3.9.1.6 Supports amovibles ............................................................................................................................................................................... 54 3.9.1.7 Analyse en état inactif ........................................................................................................................................................................... 54 3.9.1.8 Système de détection d'intrusion au niveau de l'hôte (HIPS) ................................................................................................................... 55 3.9.1.8.1 Configuration avancée ........................................................................................................................................................................ 57 3.9.1.8.2 Fenêtre interactive HIPS ..................................................................................................................................................................... 58 3.9.1.8.3 Comportement d'un rançongiciel potentiel détecté ............................................................................................................................ 58 3.9.1.9 Mode présentation ................................................................................................................................................................................ 59 3.9.1.10 Analyse au démarrage ......................................................................................................................................................................... 59 3.9.1.10.1 Vérification automatique des fichiers de démarrage ........................................................................................................................ 59 3.9.1.11 Protection des documents ................................................................................................................................................................... 60 3.9.1.12 Exclusions ............................................................................................................................................................................................ 60 3.9.1.13 ThreatSense paramètres ..................................................................................................................................................................... 61 3.9.1.13.1 Exclusions ......................................................................................................................................................................................... 67 3.9.2 Web et messagerie ................................................................................................................................................................................... 68 3.9.2.1 Filtrage de protocole .............................................................................................................................................................................. 69 3.9.2.1.1 Clients Web et de messagerie ............................................................................................................................................................. 69 3.9.2.1.2 Applications exclues ........................................................................................................................................................................... 69 3.9.2.1.3 Adresses IP exclues ............................................................................................................................................................................. 70 3.9.2.1.4 SSL/TLS ................................................................................................................................................................................................ 71 3.9.2.1.4.1 Communication SSL chiffrée ............................................................................................................................................................. 72 3.9.2.1.4.2 Liste des certificats connus .............................................................................................................................................................. 72 3.9.2.1.4.3 Liste des applications SSL/TLS filtrées .............................................................................................................................................. 73 3.9.2.2 Protection du client de messagerie ........................................................................................................................................................ 73 3.9.2.2.1 Clients de messagerie ......................................................................................................................................................................... 73 3.9.2.2.2 Protocoles de messagerie ................................................................................................................................................................... 74 3.9.2.2.3 Alertes et notifications ....................................................................................................................................................................... 75 3.9.2.3 Protection de l'accès Web ...................................................................................................................................................................... 76 3.9.2.3.1 Protocoles Web .................................................................................................................................................................................. 77 3.9.2.3.2 Gestion d'adresses URL ....................................................................................................................................................................... 77 3.9.2.4 Protection anti-hameçonnage ............................................................................................................................................................... 78 3.9.3 Mise à jour du programme ........................................................................................................................................................................ 80 3.9.3.1 Configuration des mises à jour ............................................................................................................................................................... 83 3.9.3.1.1 Profils de mise à jour ........................................................................................................................................................................... 85 3.9.3.1.2 Annulation de la mise à jour ................................................................................................................................................................ 85 3.9.3.1.3 Mode de mise à jour ............................................................................................................................................................................ 86 3.9.3.1.4 Serveur HTTP ....................................................................................................................................................................................... 87 3.9.3.1.5 Options de connexion ......................................................................................................................................................................... 87 3.9.3.1.6 Miroir de mise à jour ........................................................................................................................................................................... 88 3.9.3.1.6.1 Mise à jour à partir du miroir ............................................................................................................................................................ 90 3.9.3.1.6.2 Résolution des problèmes de miroir de mise à jour .......................................................................................................................... 92 3.9.3.2 Comment créer des tâches de mise à jour .............................................................................................................................................. 92 3.9.4 Outils ........................................................................................................................................................................................................ 93 3.9.4.1 Fichiers journaux ................................................................................................................................................................................... 94 3.9.4.1.1 Chercher dans le journal ..................................................................................................................................................................... 95 Contenu 3.9.4.2 Configuration du serveur mandataire .................................................................................................................................................... 95 3.9.4.3 Planificateur .......................................................................................................................................................................................... 96 3.9.4.4 Statistiques de protection ..................................................................................................................................................................... 98 3.9.4.5 Surveiller l'activité ................................................................................................................................................................................. 98 3.9.4.6 ESET SysInspector ................................................................................................................................................................................... 99 3.9.4.7 ESET LiveGrid® ...................................................................................................................................................................................... 100 3.9.4.8 Processus en cours .............................................................................................................................................................................. 101 3.9.4.9 Soumission d'échantillons pour analyse .............................................................................................................................................. 102 3.9.4.10 Notifications par courriel ................................................................................................................................................................... 103 3.9.4.11 Quarantaine ...................................................................................................................................................................................... 105 3.9.4.12 Microsoft Windows Update ................................................................................................................................................................ 106 3.9.4.13 ESET CMD ............................................................................................................................................................................................ 106 3.9.5 Interface utilisateur ................................................................................................................................................................................ 107 3.9.5.1 Éléments de l'interface utilisateur ....................................................................................................................................................... 108 3.9.5.2 Configuration de l'accès ....................................................................................................................................................................... 110 3.9.5.3 Alertes et notifications ........................................................................................................................................................................ 111 3.9.5.3.1 Erreur de conflit de paramètres avancés ........................................................................................................................................... 112 3.9.5.4 Icône de la barre d'état système .......................................................................................................................................................... 112 3.9.5.5 Menu contextuel .................................................................................................................................................................................. 113 3.10 Utilisateur chevronné .............................................................................................................................................................................. 114 3.10.1 Gestionnaire de profils ......................................................................................................................................................................... 114 3.10.2 Diagnostic ............................................................................................................................................................................................. 115 3.10.3 Importation et exportation des paramètres ......................................................................................................................................... 115 3.10.4 Ligne de commande .............................................................................................................................................................................. 116 3.10.5 Détection de l'état inactif ..................................................................................................................................................................... 118 3.10.6 ESET SysInspector .................................................................................................................................................................................. 119 3.10.6.1 Introduction à ESET SysInspector ........................................................................................................................................................ 119 3.10.6.1.1 Lancement de ESET SysInspector ..................................................................................................................................................... 119 3.10.6.2 Interface utilisateur et utilisation de l'application ............................................................................................................................. 120 3.10.6.2.1 Contrôles du programme ................................................................................................................................................................ 120 3.10.6.2.2 Naviguer dans ESET SysInspector ..................................................................................................................................................... 122 3.10.6.2.2.1 Raccourcis clavier ........................................................................................................................................................................ 123 3.10.6.2.3 Comparer ........................................................................................................................................................................................ 124 3.10.6.3 Paramètres de la ligne de commande ................................................................................................................................................ 125 3.10.6.4 Script de service ................................................................................................................................................................................. 126 3.10.6.4.1 Génération d'un script de service .................................................................................................................................................... 126 3.10.6.4.2 Structure du script de service .......................................................................................................................................................... 127 3.10.6.4.3 Exécution des scripts de service ...................................................................................................................................................... 129 3.10.6.5 FAQ .................................................................................................................................................................................................... 130 3.10.6.6 ESET SysInspector dans ESET Endpoint Antivirus .................................................................................................................................. 131 3.10.7 Surveillance et gestion à distance ......................................................................................................................................................... 131 3.10.7.1 Ligne de commande RMM .................................................................................................................................................................. 132 3.10.7.2 Liste des commandes JSON ................................................................................................................................................................ 134 3.10.7.2.1 obtenir l'état de la protection ......................................................................................................................................................... 134 3.10.7.2.2 obtenir les informations sur l'application ....................................................................................................................................... 135 3.10.7.2.3 obtenir les informations sur la licence ............................................................................................................................................ 138 3.10.7.2.4 obtenir les journaux ........................................................................................................................................................................ 138 3.10.7.2.5 Obtenir l'état de l'activation ........................................................................................................................................................... 140 3.10.7.2.6 obtenir les informations sur l'analyse ............................................................................................................................................. 140 3.10.7.2.7 obtenir la configuration .................................................................................................................................................................. 142 3.10.7.2.8 obtenir l'état de la mise à jour ........................................................................................................................................................ 143 3.10.7.2.9 démarrer l'analyse .......................................................................................................................................................................... 144 3.10.7.2.10 démarrer de l'activation ............................................................................................................................................................... 145 3.10.7.2.11 démarrer la désactivation ............................................................................................................................................................ 146 3.10.7.2.12 démarrer la mise à jour ................................................................................................................................................................. 146 3.10.7.2.13 définir la configuration .................................................................................................................................................................. 147 3.11 Glossaire ..................................................................................................................................................................................................... 148 3.11.1 Types de menaces ................................................................................................................................................................................. 148 3.11.1.1 Virus .................................................................................................................................................................................................. 148 3.11.1.2 Vers ................................................................................................................................................................................................... 148 3.11.1.3 Chevaux de Troie ................................................................................................................................................................................ 149 3.11.1.4 Rootkits ............................................................................................................................................................................................. 149 3.11.1.5 Logiciels publicitaires ........................................................................................................................................................................ 149 3.11.1.6 Logiciel espion ................................................................................................................................................................................... 150 3.11.1.7 Compresseurs .................................................................................................................................................................................... 150 3.11.1.8 Applications potentiellement dangereuses ....................................................................................................................................... 150 3.11.1.9 Applications potentiellement indésirables ........................................................................................................................................ 151 3.11.2 Courriel ................................................................................................................................................................................................. 154 3.11.2.1 Publicités ........................................................................................................................................................................................... 154 3.11.2.2 Canulars ............................................................................................................................................................................................ 154 3.11.2.3 Hameçonnage .................................................................................................................................................................................... 155 3.11.2.4 Reconnaissance des pourriels ........................................................................................................................................................... 155 3.11.3 Technologie ESET ................................................................................................................................................................................... 155 3.11.3.1 Exploit Blocker ................................................................................................................................................................................... 155 3.11.3.2 Analyseur de mémoire avancé ........................................................................................................................................................... 155 3.11.3.3 ESET LiveGrid® .................................................................................................................................................................................... 156 3.11.3.4 Java Exploit Blocker ............................................................................................................................................................................ 156 3.11.3.5 Protection contre les attaques basées sur le script ........................................................................................................................... 156 3.11.3.6 Bouclier contre les rançongiciels ....................................................................................................................................................... 157 3.11.3.7 Détections d'ADN ............................................................................................................................................................................... 157 3.11.3.8 Analyseur UEFI ................................................................................................................................................................................... 157 1. ESET Endpoint Antivirus 7 ESET Endpoint Antivirus 7 constitue une nouvelle approche à la sécurité informatique véritablement intégrée. Elle s'appuie notamment sur la rapidité et la précision de la dernière version du moteur d'analyse ThreatSense® pour protéger votre ordinateur. Il en résulte un système intelligent et constamment en alerte pour protéger votre ordinateur des attaques et des programmes malveillants. ESET Endpoint Antivirus 7 est une solution de sécurité complète qui est le résultat d'un effort de longue haleine pour tenter d'allier protection maximale et encombrement minimal. Des technologies avancées basées sur l'intelligence artificielle, capables de bloquer de manière proactive la pénétration de virus, de logiciels espions, de chevaux de Troie, de vers, de logiciels publicitaires, de rootkits et d'autres attaques provenant d'Internet, sans atténuer les performances ni perturber votre ordinateur. ESET Endpoint Antivirus 7 est conçu principalement pour être utilisé sur les postes de travail d'un environnement de petite entreprise. L'utilisation de ESET Endpoint Antivirus et de ESET Remote Administrator dans un environnement d'entreprise vous permet de gérer facilement des postes de travail clients, quelque soit leur nombre, d'appliquer les politiques et les règles, de surveiller la détection et d'effectuer une configuration à distance à partir de n'importe quel ordinateur connecté au réseau. 1.1 Configuration minimale requise Pour assurer le bon fonctionnement de ESET Endpoint Antivirus, la configuration système matérielle et logicielle minimale requise est la suivante (paramètres par défaut du produit) : Processeurs pris en charge : • Processeur 32 bits (x86) ou 64 bits (x64), 1 GHz ou plus Systèmes d'exploitation : Microsoft® Windows® 8.1/8/7/Vista • Un système d'exploitation et l'ensemble de modifications provisoires requis, pris en charge par la version du produit ESET choisie et installée • La configuration requise pour le système d'exploitation et pour d'autres logiciels installés sur l'ordinateur respectée • 0,3 Go de mémoire système libre (voir Remarque 1) • 1 Go de d'espace libre sur le disque (voir Remarque 2) • Résolution d'affichage minimale 1024x768 • Connexion Internet ou connexion de réseau local à une source (voir Remarque 3) de mise à jour de produits Bien qu'il puisse être possible d'installer et d'utiliser le produit sur des systèmes qui ne répondent pas à ces exigences, nous recommandons d'effectuer des tests d'utilisation préalables en fonction des exigences de performance. REMARQUE (1) : Le produit pourrait utiliser plus de mémoire si la mémoire serait dans d'autres circonstances inutilisée sur un ordinateur lourdement infectés ou lorsque d'énormes listes de données sont importées dans le produit (par exemple, des listes blanches d'URL ). (2) : L'espace disque nécessaire pour télécharger le programme d'installation, installer le produit et conserver une copie de l'ensemble d'installation dans les données du programme ainsi que des sauvegardes des mises à jour de produits pour soutenir la fonctionnalité de restauration. Le produit pourrait utiliser plus d'espace disque selon différents paramètres (par exemple, lorsque plusieurs versions de sauvegardes des mises à jour du produit sont stockées, lors des vidages de mémoire ou lorsque d'énormes quantités d'enregistrements du journal sont conservées) ou sur un ordinateur infecté (par exemple, en raison de la fonction de mise en quarantaine). Nous vous recommandons de garder assez d'espace libre sur le disque pour les mises à jour du système d'exploitation et pour les mises à jour des produits ESET. (3) : Bien que cela ne soit pas recommandé, le produit peut être mis à jour manuellement à partir d'un support amovible. 7 1.2 Prévention Lorsque vous travaillez sur votre ordinateur et particulièrement lorsque vous naviguez sur Internet, gardez toujours à l'esprit qu'aucun antivirus au monde ne peut complètement éliminer le risque d'infiltration et d'attaque. Pour bénéficier d'une protection maximale, il est essentiel d'utiliser votre solution antivirus correctement et de respecter quelques règles essentielles : Effectuer des mises à jour régulières Selon les statistiques de ESET LiveGrid®, des milliers de nouvelles infiltrations sont créées chaque jour pour contourner les dispositifs de sécurité existants et servir leurs auteurs, aux dépens des autres utilisateurs. Les spécialistes du laboratoire d'ESET analysent ces menaces chaque jour et conçoivent des mises à jour pour améliorer continuellement le niveau de protection de nos utilisateurs. Pour garantir l'efficacité maximale de ces mises à jour, il est important que celles-ci soient configurées de façon appropriée sur votre système. Pour plus d'information sur la configuration des mises à jour, voir la rubrique Configuration des mises à jour. Télécharger les correctifs de sécurité Les auteurs de programmes malveillants exploitent souvent diverses failles du système pour assurer une meilleure propagation du code malveillant. C'est pour cette raison que les sociétés qui commercialisent des logiciels recherchent activement l'apparition de nouvelles failles dans leurs applications pour concevoir les mises à jour de sécurité afin d'éliminer les menaces potentielles sur une base régulière. Il est important de télécharger ces mises à jour de sécurité au moment de leur sortie. Microsoft Windows et les navigateurs Web comme Internet Explorer sont deux exemples de programmes pour lesquels des mises à jour de sécurité sont régulièrement émises. Sauvegarde des données importantes Les concepteurs de programmes malveillants ne se soucient généralement pas des besoins des utilisateurs et l'activité de leurs programmes entraîne souvent un dysfonctionnement total du système d'exploitation et la perte de données importantes. Il est important de sauvegarder régulièrement vos données importantes et sensibles sur une source externe, telle que DVD ou disque dur externe. Vous pourrez ainsi récupérer vos données beaucoup plus facilement et rapidement en cas de défaillance du système. Rechercher régulièrement les virus sur votre ordinateur La détection d'un plus grand nombre de virus, de vers, de chevaux de Troie et de rootkits, tant connus qu'inconnus, est effectuée par le module de protection du système de fichiers en temps réel. Ainsi, chaque fois que vous accédez à un fichier ou ouvrez un fichier, il sera analysé pour y déceler toute activité malveillante. Nous recommandons d'effectuer une analyse complète de l'ordinateur au moins une fois par mois, car les signatures des logiciels malveillants peuvent varier et le moteur de détection se met à jour quotidiennement. Suivre les règles de sécurité de base Cette règle est la plus utile et la plus efficace de toutes : soyez toujours prudent. Actuellement, de nombreuses infiltrations nécessitent l'intervention de l'utilisateur pour être exécutées et propagées. Si vous êtes prudent lorsque vous ouvrez de nouveaux fichiers, vous éviterez de perdre un temps et une énergie considérable à nettoyer les infiltrations. Voici quelques directives utiles : · Ne consultez pas les sites Web suspects comportant de nombreuses fenêtres publicitaires et annonces clignotantes. · Soyez vigilant lorsque vous installez des logiciels gratuits, des ensembles de codec, etc. N'utilisez que des programmes sécurisés et ne consultez que les sites Web sécurisés. · Soyez prudent lorsque vous ouvrez les pièces jointes aux courriels, en particulier celles provenant de publipostage ou d'expéditeurs inconnus. · N'utilisez pas de compte Administrateur pour le travail de tous les jours sur votre ordinateur. 8 2. Documentation pour les utilisateurs connectés par l'intermédiaire d'ESET Remote Administrator ESET Remote Administrator (ERA) est une application qui permet de gérer des produits ESET dans un environnement en réseau à partir d'un emplacement central. Le système de gestion de tâches d'ESET Remote Administrator vous permet d'installer les solutions de sécurité d'ESET sur des ordinateurs distants et de répondre rapidement à de nouveaux problèmes et de nouvelles menaces. ESET Remote Administrator n'offre aucune protection contre du code malveillant, mais plutôt se repose sur la présence des solutions de sécurité ESET sur chaque client. Les solutions de sécurité ESET prennent en charge les réseaux constitués de plusieurs types de plateforme. Votre réseau peut être constitué d'une combinaison de systèmes d'exploitation actuels de Microsoft, de systèmes d'exploitation basés sur Linux et de Mac OS exécutés sur les appareils mobiles (téléphones mobiles et tablettes). L'image ci-dessous montre un exemple d'architecture de réseau protégé par les solutions de sécurité ESET géré par ERA : REMARQUE Pour plus de détails, consultez l'Aide en ligne de ESET Remote Administrator. 9 2.1 Serveur ESET Remote Administrator Le serveur d'ESET Remote Administrator est un composant principal d'ESET Remote Administrator. Il s'agit de l'application d'entreprise qui traite toutes les données reçues des clients qui se connectent au serveur (par l'intermédiaire de l'agent d'ERA). L’agent d'ERA facilite la communication entre le client et le serveur. Les données connexes au serveur (journaux de client, configurations, réplications d'agent, etc.) sont stockées dans une base de données. Pour traiter correctement les données, le serveur d'ERA nécessite une connexion stable à un serveur de base de données. Nous vous recommandons d'installer le serveur d'ERA et votre base de données sur des serveurs distincts afin d'optimiser les performances. L'ordinateur sur lequel le serveur d'ERA est installé doit être configuré pour accepter les connexions Agent/Mandataire/RD Sensor, qui sont vérifiées à l'aide des certificats. Une fois le logiciel installé, vous pouvez ouvrir la Console Web ERA qui se connecte au serveur ERA (comme le montre la figure). Toutes les opérations associées au serveur d'ERA pourront ensuite être effectuées dans la console Web, au moment de gérer la solution de sécurité ESET de votre réseau. 2.2 Console Web Console Web ERA est une interface utilisateur Web qui affiche les données tirées du Serveur ERA et permet de gérer les solutions de sécurité ESET dans votre environnement. Vous pouvez utiliser votre navigateur pour accéder à la console Web. Elle affiche un aperçu de l'état des clients sur votre réseau. Elle peut être utilisée pour déployer à distance des solutions ESET sur des ordinateurs non gérés. Vous pouvez choisir de rendre le serveur Web accessible à partir d'Internet, ce qui permet d'utiliser ESET Remote Administrator depuis pratiquement n'importe quel endroit et/ou n'importe quel périphérique. Voici à quoi ressemble la console Web : L'outil Recherche rapide est situé en haut de la console Web. Sélectionnez Nom de l'ordinateur, Adresse IPv4/IPv6 ou Nom de la menace dans le menu déroulant, entrez la chaîne à rechercher dans le champ de texte et cliquez ensuite sur le symbole de la loupe ou appuyez sur Entrée pour lancer la recherche. Vous serez redirigé vers la section Groupes, où les résultats de votre recherche seront affichés. 10 REMARQUE Pour plus de détails, consultez l'Aide en ligne de ESET Remote Administrator. 2.3 Mandataire Le mandataire d'ERA est un autre composant de ESET Remote Administrator qui remplit deux fonctions. Dans le cas d'un réseau de taille moyenne ou d'une entreprise avec de nombreux clients (par exemple, 10 000 clients ou plus), vous pouvez utiliser le mandataire d'ERA pour répartir la charge entre plusieurs mandataires d'ERA, répartissant ainsi la charge du Serveur ERA. Un autre avantage du mandataire d'ERA est que vous pouvez l'utiliser lors de la connexion à une succursale distante avec une connexion faible. Cela signifie que l'agent d'ERA sur ?chaque client ne se connecte pas directement au serveur principal d'ERA par l'intermédiaire du mandataire d'ERA, qui se trouve sur le même réseau local que la succursale. Cette configuration libère la connexion vers la succursale. Le mandataire d'ERA accepte les connexions de tous les agents locaux d'ERA, compile leurs données et les envoie au serveur principal d'ERA (ou à un autre mandataire d'ERA). Cela permet à votre réseau d'accepter plus de clients sans compromettre les performances de votre réseau et la qualité des requêtes de base de données. Selon la configuration de votre réseau, il est possible qu'un mandataire d'ERA se connecte à un autre mandataire d'ERA, puis se connecte au serveur ERA principal. Pour que le mandataire d'ERA fonctionne correctement, l'ordinateur hôte sur lequel vous installez le mandataire d'ERA doit avoir un agent ESET installé et doit être connecté au niveau supérieur (le serveur ERA ou un mandataire ERA supérieure, s'il en existe un) de votre réseau. 2.4 Agent L'agent d'ERA est un composant essentiel du produit ESET Remote Administrator. Les solutions de sécurité ESET sur les machines clientes (par exemple, ESET Endpoint security) communiquent avec le serveur d'ERA par l'intermédiaire de l'agent. Cette communication permet la gestion des solutions de sécurité ESET sur tous les clients distants à partir d'un emplacement central. L'agent recueille des informations sur le client et les envoie au serveur. Lorsque le serveur envoie une tâche à un client, la tâche est envoyée à l'agent qui peut ensuite communiquer avec le client. Toutes les communications du réseau ont lieu entre l'agent et la partie supérieure du réseau ERA - serveur et mandataire. L'agent ESET utilise l'une des trois méthodes suivantes pour se connecter au serveur : 1. L'agent du client est directement connecté au serveur. 2. L'agent du client est connecté par l'intermédiaire d'un mandataire qui est connecté au serveur. 3. L'agent du client est connecté au serveur grâce à plusieurs mandataires. L'agent ESET communique avec les solutions ESET installées sur un client, recueille des informations de programmes sur ce client et transmet les informations de configuration reçues du serveur au client. REMARQUE Le mandataire d'ESET possède son propre agent qui s'occupe de toutes les tâches de communication entre les clients, les autres mandataires et le serveur. 11 2.5 RD Sensor RD (Rogue Detection) Sensor fait partie d'ESET Remote Administrator et permet de trouver les ordinateurs sur votre réseau. C'est une façon pratique d'ajouter de nouveaux ordinateurs à ESET Remote Administrator sans devoir les rechercher et les ajouter manuellement. Chaque ordinateur qui se trouve sur votre réseau est affiché dans la console Web et est ajouté au groupe par défaut Tous. À partir de là vous pouvez prendre d'autres mesures avec chaque ordinateur client individuellement. RD Sensor est un auditeur passif qui détecte les ordinateurs présents sur le réseau et envoie des informations à leur sujet à l'ERA Server. Le serveur d'ERA détermine alors si les ordinateurs présents sur le réseau lui sont inconnus ou s'ils sont déjà gérés. 12 3. Utilisation de <% PRODUCTNAME%> tout seul Cette section du Guide d'utilisation est destinée aux utilisateurs qui utilisent ESET Endpoint Antivirus sans ESET Remote Administrator. Chaque fonctionnalité de ESET Endpoint Antivirus est entièrement accessible selon les droits du compte utilisateur. 3.1 Installation avec ESET AV Remover Avant de poursuivre le processus d'installation, il est important que vous désinstalliez toute application de sécurité déjà existante sur l'ordinateur. Sélectionnez la case à cocher située à côté de Je veux désinstaller les applications antivirus non désirées à l'aide d'ESET AV Remover pour qu'ESET AV Remover analyse votre système et supprime toute application de sécurité prise en charge. Laissez la case à cocher vide et cliquez sur Continuer pour installer ESET Endpoint Antivirus sans exécuter ESET AV Remover. 3.1.1 ESET AV Remover L'outil ESET AV Remover vous aidera à supprimer presque tous les logiciels antivirus déjà installés sur votre système. Suivez les instructions ci-dessous pour supprimer un programme antivirus à l'aide d'ESET AV Remover : 1. Pour afficher la liste des logiciels antivirus qu'il est possible de supprimer à l'aide d'ESET AV Remover, consultez l'article sur la Base de connaissances ESET. Téléchargez l'outil autonome ESET AV Remover. 2. Veuillez lire le Contrat de licence pour l'utilisateur final, puis cliquez sur Accepter pour confirmer votre acceptation du Contrat de licence d'utilisation. Cliquer sur Refuser mettra fin à la suppression de l'application de sécurité existante sur l'ordinateur. 13 3. ESET AV Remover lancera la recherche de logiciels antivirus sur votre système. 4. Sélectionnez une application antivirus et cliquez sur Supprimer. La suppression peut prendre un certain temps. 14 5. Une fois la suppression réussie, cliquez sur Continuer. 6. Redémarrez votre ordinateur pour appliquer les modifications. Si la désinstallation a échoué, consultez la section Erreur lors de la désinstallation à l'aide d'ESET AV Remover de ce guide. 15 3.1.2 Erreur lors de la désinstallation à l'aide d'ESET AV Remover Si vous êtes incapable de supprimer un programme antivirus à l'aide d'ESET AV Remover, vous recevrez une notification vous informant que l'application que vous tentez de supprimer puisse ne pas être pris en charge par ESET AV Remover. Consultez la liste des produits pris en charge ou désinstallateurs pour les logiciels antivirus sous Windows dans la Base de connaissances ESET pour vérifier s'il est possible de supprimer le programme en question. Lors de l'échec de la désinstallation d'un produit de sécurité ou de la désinstallation partielle de certains de ses composants, vous recevez l'invite Redémarrer et analyser de nouveau. Confirmez l'UAC après le démarrage et poursuivez le processus d'analyse et de désinstallation. Au besoin, contactez le Service à la clientèle ESET pour initier une demande d'aide et obtenir le fichier AppRemover.log disponible afin de faciliter le travail des techniciens ESET. Le fichier AppRemover.log se trouve dans le dossier eset. À partir de Windows Explorer, allez à %TEMP% pour accéder à ce dossier. Le Service à la clientèle ESET vous répondra le plus rapidement possible pour vous aider à résoudre le problème. 16 3.2 Installation Une fois le programme d'installation lancé, l'Assistant d'installation vous guidera dans le processus d'installation. IMPORTANT Assurez-vous qu'aucun autre programme antivirus n'est installé sur votre ordinateur. Si plusieurs solutions antivirus sont installées sur un même ordinateur, elles peuvent entrer en conflit. Nous recommandons de désinstaller tout autre antivirus de votre système. Voir notre article sur la base de connaissances pour une liste des outils de désinstallation pour les logiciels antivirus communs (disponible en anglais et dans plusieurs autres langues). Au cours de l'étape suivante, le Contrat de licence pour l'utilisateur final s'affiche. Veuillez le lire puis cliquez sur Accepter pour confirmer votre acceptation du Contrat de licence d'utilisation. Cliquez sur Suivant après avoir accepté les conditions pour poursuivre l'installation. 17 Après avoir sélectionné « J'accepte » et cliqué sur Suivant, vous serez invité à activer le système de rétroaction de ESET LiveGrid®. ESET LiveGrid® veille à ce qu'ESET soit immédiatement et continuellement informé de toutes les nouvelles infiltrations, ce qui nous permet de mieux protéger nos clients. Le système permet de soumettre de nouvelles menaces à ESET Virus Lab où elles seront alors analysées, traitées puis ajoutées au moteur de détection. La prochaine étape dans le processus d'installation consiste à configurer la détection des applications potentiellement indésirables qui ne sont pas nécessairement malveillantes, mais qui peuvent souvent affecter négativement le comportement de votre système d'exploitation. Voir la rubrique Applications potentiellement indésirables pour plus de détails. Vous pouvez accéder à des paramètres supplémentaires en cliquant sur Paramètres avancés (par exemple l'installation de votre produit ESET dans un dossier spécifique ou permettre l'analyse automatique après l'installation). La dernière étape consiste à confirmer l'installation en cliquant sur Installer. 18 3.2.1 Installation avancée L'installation avancée vous permet de personnaliser un certain nombre de paramètres d'installation qui ne sont pas disponibles lors d'une installation typique. Après avoir sélectionné votre préférence pour la détection des applications potentiellement indésirables, cliquez sur Paramètres avancés pour recevoir une invite à sélectionner un emplacement pour le dossier d'installation du produit. Le programme s'installe, par défaut, dans le répertoire suivant : C:\Program Files\ESET\ESET Endpoint Antivirus\ Vous pouvez indiquer un emplacement pour les modules et données du programme. Ils sont, par défaut, installés respectivement dans les répertoires suivants : C:\Program Files\ESET\ESET Endpoint Antivirus\ C:\ProgramData\ESET\ESET Endpoint Antivirus\ Cliquez sur Parcourir... pour changer cette destination (cette option n'est pas recommandée). Pour configurer les paramètres de votre serveur mandataire, sélectionnez J'utilise un serveur mandataire et cliquez sur Suivant. Entrez l'adresse IP ou l'adresse URL de votre serveur mandataire dans le champ Adresse. Si vous ne savez pas si vous utilisez ou non un serveur mandataire pour vous connecter à Internet, sélectionnez Utiliser les mêmes paramètres que pour Internet Explorer (Recommandé) et cliquez sur Suivant. Si vous n'utilisez pas de serveur mandataire, sélectionnez Je n'utilise pas de serveur mandataire. Pour de plus amples renseignements, voir Serveur mandataire. 19 L'installation personnalisée vous permet de définir de quelle façon les mises à jour automatiques du programme seront effectuées sur votre système. Cliquez sur Changer... pour accéder aux paramètres avancés. Si vous ne voulez pas que les composants du programme soient mis à jour, sélectionnez Ne jamais mettre à jour les composants du programme. Sélectionnez Demander avant de télécharger les composants du programme pour qu'une fenêtre de confirmation s'affiche chaque fois que le système tente de télécharger les composants du programme. Pour télécharger automatiquement les mises à niveau des composants du programme, sélectionnez Toujours mettre à jour les composants du programme. La fenêtre d'installation suivante comprend l'option vous permettant de définir un mot de passe pour protéger les paramètres de votre programme. Sélectionnez l'option Protéger la configuration par mot de passe et entrez votre mot de passe dans les champs Nouveau mot de passe et Confirmation du nouveau mot de passe. Ce mot de passe sera requis pour changer les paramètres de ESET Endpoint Antivirus ou y accéder. Lorsque les deux champs de mot de passe correspondent, cliquez sur Suivant pour continuer. Cliquez sur Installer pour démarrer l'installation. 20 3.3 Installation de produit par l'entremise d'ERA (ligne de commande) Les paramètres suivants sont destinés à être utilisés uniquement avec les niveaux d'interface utilisateur Réduit, De base et Aucun. Voir la documentation pour la version msiexec utilisée pour les commutateurs de ligne de commande appropriés. Paramètres pris en charge : APPDIR=<path> o path - chemin de répertoire valide o Répertoire d'installation de l'application. o Par exemple : ees_nt64_ENU.msi /qn APPDIR=C:\ESET\ ADDLOCAL=DocumentProtection APPDATADIR=<path> o chemin d'accès - Chemin de répertoire valide o Répertoire d'installation des données de l'application. MODULEDIR=<path> o chemin d'accès - Chemin de répertoire valide o Répertoire d'installation du module. ADDLOCAL=<list> o Installation du composant - liste des fonctions non-obligatoires à installer localement. o Utilisation avec les progiciels .msi ESET : ees_nt64_ENU.msi /qn ADDLOCAL=<list> o Pour en savoir plus sur la propriété ADDLOCAL, voir http://msdn.microsoft.com/en-us/library/aa367536% 28v=vs.85%29.aspx Règles o La liste ADDLOCAL list est une liste séparée par des virgules contenant le nom de toutes les fonctionnalités à installer. o Lors de la sélection d'une fonctionnalité à installer, le chemin complet (toutes les fonctionnalités parentes) doit être explicitement inclus dans la liste. o Voir les règles supplémentaires pour bien l'utiliser. Présence de la fonctionnalité o Obligatoire - La fonctionnalité sera toujours installée o Facultative -La fonctionnalité peut être dessélectionnée pour l'installation o Invisible - La fonctionnalité logique est obligatoire pour le bon fonctionnement des autres fonctionnalités o Paramètre fictif - La fonctionnalité est présente sans avoir aucun effet sur le produit, mais doit être listée avec les sous-fonctionnalités Voici l'arbre des fonctionnalités d'Endpoint 6.1 : Arbre des fonctionnalités Nom de la fonctionnalité Ordinateur Ordinateur Ordinateur/Antivirus et anti-logiciel espion Antivirus Ordinateur/ Antivirus et anti-logiciel espion> Protection Protectionentempsréel en temps réel du système de fichiers Computer / Antivirus et anti-logiciel espion > Analyse de Analyse l'ordinateur Computer / Antivirus et anti-logiciel espion > Protection Protection des documents des documents Ordinateur/Contrôle des appareils Contrôledesappareils Réseau Réseau Réseau/Pare-feu Coupe-feu Web et courriel Webetcourriel Présence de la fonctionnalité Obligatoire Obligatoire Obligatoire Obligatoire Facultative Facultative Paramètre fictif Facultative Paramètre fictif 21 Web et filtrage du protocole courriel Web et courriel/Protection de l'accès Web Web et courriel/Protection des clients de messagerie Web et courriel/Protection des clients de messagerie/Modules d'extension de courriel Web et courriel/Protection du client de messagerie/Protection antipourriel Web et courriel/Contrôle Web Miroir de mise à jour Prise en charge de Microsoft NAP Filtrageduprotocole Invisible Protectiondel'accèsWeb Facultative Protectionduclientdemessager Facultative ie Modulesd'extension Invisible Antipourriel Facultative ContrôleWeb Miroirdemiseàjour MicrosoftNAP Facultative Facultative Facultative Règles supplémentaires o Dans le cas où la ou la fonctionnalité Webetcourriel est sélectionnée pour être installée, la fonctionnalité invisible Filtrageduprotocole doit être explicitement incluse dans la liste. o Dans le cas où l'un ou l'autre des sous-fonctionnalités Protectionduclientdemessagerie est sélectionnée pour être installée, la fonctionnalité invisible Modulesd'extensiondecourriel doit être explicitement incluse dans la liste Exemples : ees_nt64_ENU.msi /qn ADDLOCAL=WebAndEmail,WebAccessProtection,ProtocolFiltering ees_nt64_ENU.msi /qn ADDLOCAL=WebAndEmail,EmailClientProtection,Antispam,MailPlugins Liste des CFG_ properties : CFG_POTENTIALLYUNWANTED_ENABLED=1/0 • 0 - Désactivé, 1 - Activé • Applications potentiellement indésirables CFG_LIVEGRID_ENABLED=1/0 • 0 - Désactivé, 1 - Activé • LiveGrid CFG_EPFW_MODE=0/1/2/3 • 0 - Automatique, 1 - Interactif, 2 - Politique, 3 - Apprentissage CFG_PROXY_ENABLED=0/1 • 0 - Désactivé, 1 - Activé CFG_PROXY_ADDRESS=<ip> • Adresse IP du mandataire. CFG_PROXY_PORT=<port> • Numéro de port mandataire. CFG_PROXY_USERNAME=<user> • Nom d'utilisateur pour fins d'authentification. CFG_PROXY_PASSWORD=<pass> • Mot de passe pour l'authentification. Installation par SCCM, désactiver la boîte de dialogue d'activation : ACTIVATION_DLG_SUPPRESS=1 • 1 - Activé (la boîte de dialogue d'activation n'est pas affichée) • 0 - Désactivé (la boîte de dialogue d'activation est affichée) 22 3.4 Activer votre produit Une fois l'installation terminée, vous serez invité à activer votre produit. Sélectionnez l'une des méthodes offertes pour activer ESET Endpoint Antivirus. Voir Comment activer ESET Endpoint Antivirus pour plus d'informations. 3.5 Analyse de l'ordinateur En plus de l'analyse initiale, nous vous recommandons d'effectuer des analyses régulières de votre ordinateur ou de planifier une analyse régulière pour vérifier les menaces. Dans la fenêtre principale du programme, cliquez sur Analyse de l'ordinateur puis sur Analyse intelligente. Pour plus d'information sur l'analyse de l'ordinateur, consultez la section Analyse de l'ordinateur. 23 3.6 Mise à niveau à une version plus récente Les nouvelles versions de ESET Endpoint Antivirus sont fournies afin d'apporter des améliorations ou de corriger des problèmes qui ne peuvent être réglés par la mise à jour automatique des modules du programme. La mise à niveau vers une version plus récente peut être effectuée de plusieurs façons : 1. Automatiquement, à l'aide d'une mise à jour du programme. Puisque la mise à jour du programme est envoyée à tous les utilisateurs et qu'elle peut avoir certaines répercussions sur les configurations système, elle n'est émise qu'après une longue période de test pour assurer une mise à niveau sans heurts pour toutes les configurations système possibles. Si vous devez effectuer la mise à niveau vers une version plus récente, immédiatement après le lancement de cette dernière, utilisez l'une des méthodes indiquées ci-dessous. 2. Effectuer la mise à niveau manuelle en téléchargeant et en installant une version plus récente par-dessus l'installation antérieure. 3. Effectuer la mise à niveau manuelle par déploiement automatique dans un environnement de réseau, par l'entremise de ESET Remote Administrator. 3.7 Guide du débutant Cette rubrique présente un aperçu initial de ESET Endpoint Antivirus et de ses paramètres de base. 3.7.1 L'interface utilisateur La fenêtre principale de ESET Endpoint Antivirus est divisée en deux sections principales. La fenêtre principale, du côté droit, affiche l'information qui correspond à l'option sélectionnée à partir du menu principal de gauche. Voici une description des options disponibles dans le menu principal : État de la protection - Donne de l'information sur l'état de protection de ESET Endpoint Antivirus. Analyse de l'ordinateur - Permet de configurer et de démarrer l'Analyse intelligente, l'Analyse personnalisée, ou l'Analyse des supports amovibles. Vous pouvez aussi répéter la dernière analyse exécutée. Mise à jour - Affiche l'information sur le moteur de détection. Configurer - Sélectionnez cette option pour régler les paramètres de sécurité ou Web et messagerie de votre ordinateur. Outils - Donne accès aux fichiers journaux, aux statistiques sur la protection, à la surveillance de l'activité, aux processus en cours d'exécution, au planificateur, à la mise en quarantaine, , à ESET SysInspector et à ESET SysRescue pour créer un disque de secours. Vous pouvez aussi soumettre un échantillon pour analyse. Aide et soutien- Donne accès aux fichiers d'aide de la Base de connaissances ESET et au site Web de l'entreprise ESET. Des liens pour ouvrir une demande de soutien pour le service à la clientèle ainsi que des outils de soutien et d'informations sur l'activation du produit sont également disponibles. 24 L'écran État de la protection vous informe du niveau actuel de sécurité et de protection de l'ordinateur. L'état vert Protection maximale indique que la protection maximale est assurée. La fenêtre d'état affiche également des liens rapides vers les fonctions fréquemment utilisées dans ESET Endpoint Antivirus et des informations sur la dernière mise à jour. 25 Que faire lorsque le programme ne fonctionne pas correctement? Une coche verte sera affichée à côté de tous les modules de programme entièrement fonctionnels. Un point d'exclamation rouge ou une icône de notification orange s'affiche si un module a besoin d'attention. Des informations supplémentaires sur le module, y compris nos recommandations sur la façon de restaurer les fonctionnalités complètes, sont affichées dans la partie supérieure de la fenêtre. Pour changer l'état d'un module, cliquez sur Configuration dans le menu principal puis sur le module souhaité. 26 L'icône de point d'exclamation rouge (!) indique que la protection maximale de votre ordinateur n'est pas assurée. Vous pouvez rencontrer ce type de notification dans les scénarios suivants : · La protection antivirus et anti-logiciel espion est suspendue - Cliquez sur Démarrer tous les modules de · · · · · · · · · protection antivirus et anti-logiciel espion pour réactiver la protection antivirus et anti-logiciel espion dans le volet État de la protection ou Activer la protection antivirus et anti-logiciel espion dans le volet Configuration de la fenêtre principale du programme. La protection antivirus ne fonctionne pas - Échec de l'initialisation de l'analyseur de virus. La plupart des modules de ESET Endpoint Antivirus ne fonctionneront pas correctement. La protection anti-hameçonnage ne fonctionne pas - Cette fonctionnalité ne marche pas car les autres modules requis du programme ne sont pas actifs. Le moteur de détection est obsolète - Vous utilisez un moteur de détection obsolète. Mettez à jour le moteur de détection. Le produit n'est pas activé ou La licence a expiré - Ce problème est indiqué par l'icône d'état de la protection qui tourne au rouge. Une fois la licence expirée, le programme ne pourra plus effectuer de mise à jour. Il est recommandé de suivre les instructions indiquées dans la fenêtre d'alerte pour renouveler votre licence. Le Host Intrusion Prevention System (HIPS) est désactivé - Ce problème survient lorsque HIPS est désactivé dans la configuration avancée. Votre ordinateur n'est pas protégé contre certains types de menaces et la protection doit être réactivée immédiatement en cliquant sur Activer HIPS. ESET LiveGrid® est désactivé - Ce problème survient lorsque ESET LiveGrid® est désactivé dans la configuration avancée. Aucune mise à jour régulière planifiée - ESET Endpoint Antivirus ne vérifiera pas la disponibilité des mises à jour ou ne recevra pas les mises à jour importantes à moins que vous ne programmiez la tâche de mise à jour. Anti-programme furtif est désactivé - Cliquez sur Activer l'anti-programme furtif pour activer cette fonctionnalité. Protection du système de fichiers en temps réel suspendue - La protection en temps réel a été désactivée par l'utilisateur. Votre ordinateur n'est pas protégé contre les menaces. Cliquez sur Activer la protection en temps réel pour réactiver cette fonctionnalité. Le « i » orange indique que votre produit ESET nécessite une attention pour un problème non critique. Les raisons possibles sont : · Protection de l'accès Web désactivée - Vous pouvez réactiver la protection de l'accès Web en cliquant sur la notification de sécurité, puis en sélectionnant Activer la protection de l'accès Web. · Votre licence expirera bientôt - Pour vous le signaler, l'icône d'état de la protection affiche un point · · · · d'exclamation. Une fois votre licence expirée, le programme ne pourra plus se mettre à jour et l'icône de l'état de protection du logiciel deviendra rouge. La protection contre les pourriels est suspendue - Cliquez sur Activer la protection contre les pourriels pour réactiver cette fonctionnalité. Le contrôle Web est suspendu - Cliquez sur Activer le contrôle Web pour réactiver cette fonctionnalité. Priorité sur la politique active - La configuration définie par la politique est temporairement ignorée, peut-être jusqu'à ce que le dépannage soit terminé. Seul un utilisateur autorisé peut ignorer les paramètres de politique. Pour plus d'information, consultez la rubrique Comment utiliser le mode prioritaire. Le contrôle du périphérique est suspendu - Cliquez sur Activer le contrôle du périphérique pour réactiver cette fonctionnalité. S'il vous est impossible de régler un problème à l'aide des solutions suggérées, cliquez sur Aide et soutien pour accéder aux fichiers d'aide ou effectuez une recherche dans la Base de connaissances ESET. Si vous avez besoin d'aide, vous pouvez également soumettre une demande d'assistance à la clientèle d'ESET. Les spécialistes d'ESET répondront rapidement à vos questions et essaieront de trouver une solution à votre problème. REMARQUE Si un état appartient à une fonctionnalité qui est bloquée par la politique ERA, le lien ne sera pas cliquable. 27 3.7.2 Configuration des mises à jour La mise à jour des modules est une partie importante de la protection complète contre les codes malveillants. Il faut donc accorder une grande attention à la configuration et au fonctionnement de la mise à jour. À partir du menu principal, sélectionnez Mettre à jour puis cliquez sur Mettre à jour maintenant pour vérifier si une mise à jour plus récente de module est disponible. Si votre clé de licence n'est pas encore entrée, vous ne recevrez pas les nouvelles mises à jour et vous serez invité à activer votre produit. 28 La fenêtre Configuration avancée (cliquez sur Configuration > Configuration avancée dans le menu principal ou appuyez sur la touche F5 de votre clavier) contient d'autres options de mise à jour. Pour configurer les options avancées de mise à jour comme le mode de mise à jour, l'accès au serveur mandataire, les connexions par réseau local et les paramètres de création de copies de moteur de détection, cliquez sur Mettre à jour dans l'arborescence de configuration avancée. Si vous éprouvez des problèmes avec la mise à jour, cliquez sur Effacer pour effacer la mémoire cache temporaire de mise à jour. Le menu Serveur de mise à jour est par défaut mis à AUTOSELECT. Lorsque vous utilisez un serveur ESET, nous vous recommandons de conserver l'option sélectionnée par défaut. Si vous ne voulez pas que la barre de notification du système apparaisse dans le coin inférieur droit de l'écran, sélectionnez Désactiver la notification à propos des mises à jour réussies. Le programme doit être mis à jour automatiquement pour assurer un fonctionnement optimal. Cela n'est possible que si la clé de licence appropriée est entrée dans Aide et assistance> Activer le produit. Si vous n'avez pas entré votre Clé de licence après l'installation, vous pouvez le faire à tout moment. Pour plus de détails sur l'activation, consultez la rubrique Comment activer ESET Endpoint Antivirus, puis entrez l'authentifiant que vous avez reçu avec votre produit de sécurité ESET dans la fenêtre Détails de la licence. 3.8 Questions fréquentes Cette section couvre les questions les plus fréquemment posées et les problèmes les plus fréquents. Cliquez sur le nom d'une rubrique pour apprendre comment résoudre le problème : Comment effectuer la mise à jour de ESET Endpoint Antivirus Comment activer ESET Endpoint Antivirus Comment utiliser les informations d'identification actuelles pour activer un nouveau produit Comment éliminer un virus de mon ordinateur Comment créer une nouvelle tâche dans le Planificateur Comment programmer une tâche d'analyse (toutes les 24 heures) Comment connecter mon produit à ESET Remote Administrator Comment configurer un miroir 29 Si votre problème n'est pas couvert dans les pages d'aide ci-dessus, essayez d'effectuer une recherche par mot-clé ou entrez les mots ou les phrases décrivant votre problème à rechercher dans les pages d'aide de ESET Endpoint Antivirus. Si vous ne trouvez pas la solution à votre problème/question dans les pages d'aide, visitez la base de connaissances d'ESET où les réponses aux questions et problèmes courants sont disponibles. Comment supprimer un cheval de Troie Sirefef (ZeroAccess)? Mettre à jour la liste de vérification de dépannage du miroir Quelles adresses et quels ports de mon pare-feu tiers devrais-je ouvrir pour autoriser un fonctionnement complet de mon produit ESET. Au besoin, vous pouvez communiquer avec notre centre d'assistance technique en ligne pour soumettre vos questions ou problèmes. Le lien vers notre formulaire de contact en ligne se trouve dans le volet Aide et assistance de la fenêtre principale du programme. 3.8.1 Comment effectuer la mise à jour de ESET Endpoint Antivirus La mise à jour de ESET Endpoint Antivirus peut être effectuée manuellement ou automatiquement. Pour déclencher la mise à jour, cliquez sur Mettre à jour maintenant dans la section Mettre à jour du menu principal. L'installation par défaut crée une tâche de mise à jour automatique qui s'exécute chaque heure. Pour modifier l'intervalle, il faut aller dans Outils > Planificateur (pour plus d'information sur le Planificateur, cliquez ici). 3.8.2 Comment activer ESET Endpoint Antivirus Une fois l'installation terminée, vous serez invité à activer votre produit. Plusieurs options permettent d'activer le produit. La disponibilité d'un scénario d'activation particulier dans la fenêtre d'activation peut varier selon le pays, ainsi que selon le moyen de distribution (CD/DVD, page Web d'ESET, etc.). Pour activer votre copie de ESET Endpoint Antivirus directement à partir du programme, cliquez sur l'icône de la barre d'état système , puis sélectionnez Activer la licence du produit à partir du menu. Vous pouvez également activer votre produit à partir du menu principal sous Aide et assistance > Activer le produit ou État de la protection > Activer le produit. Vous pouvez utiliser l'une ou l'autre des méthodes ci-après pour activer ESET Endpoint Antivirus : · Clé de licence - Une chaîne de caractères unique dans le format XXXX-XXXX-XXXX-XXXX-XXXX utilisée pour l'identification du propriétaire de la licence et pour l'activation de cette dernière. · Security Admin - Compte créé sur le portail d'administration de licences d'ESET avec les informations d'identification (adresse électronique et mot de passe). Cette méthode vous permet de gérer plusieurs licences à partir d'un seul emplacement. · Fichier de Licence hors ligne - Fichier généré automatiquement qui sera transféré au produit ESET et qui contient les renseignements sur la licence. Si une licence vous autorise à télécharger un fichier de licence hors ligne (.lf), ce fichier peut être utilisé pour effectuer une activation hors ligne. Le nombre de licences hors ligne sera soustrait du nombre total de licences disponibles. Pour en savoir plus sur la génération d'un fichier hors ligne, consultez le ESET License Administrator Guide d'utilisation. Cliquez sur Activer plus tard si votre ordinateur est un membre du réseau géré et votre administrateur effectuera l'activation à distance à l'aide d'ESET Remote Administrator. Vous pouvez aussi utiliser cette option si vous voulez activer ce client ultérieurement. Si vous possédez un Nom d'utilisateur et un Mot de passe et que vous ne savez pas comment activer ESET Endpoint Antivirus, cliquez sur Je possède un Nom d'utilisateur et un Mot de passe, que dois-je faire?. Vous serez redirigé vers ESET License Administrator, où vous pouvez convertir votre authentifiant en une Clé de licence. Vous pouvez changer votre licence de produit à tout moment. Pour ce faire, cliquez sur Aide et soutien > Gestion de la licence dans la fenêtre principale du programme. L'identifiant de licence publique s'affichera, qui est utilisée pour identifier votre licence à l'intention du Soutien ESET. Le Nom d'utilisateur sous lequel votre ordinateur est 30 enregistré est stocké dans la section À propos, lequel vous pouvez afficher en cliquant à droite sur l'icône de la barre d'état système . REMARQUE ESET Remote Administrator peut activer les ordinateurs client silencieusement en utilisant les licences offertes par l'administrateur. Pour obtenir les instructions, voir le ESET Remote Administrator Guide d'utilisation. 3.8.3 Comment utiliser les informations d'identification actuelles pour activer un nouveau produit Si vous possédez déjà votre nom d'utilisateur et votre mot de passe et que vous voulez recevoir une clé de licence, veuillez visiter le portail d'administration de licences d'ESET où vous pourrez convertir vos informations d'identification en une nouvelle clé de licence. 3.8.4 Comment éliminer un virus de mon ordinateur Si votre ordinateur montre des signes d'infection par un logiciel malveillant (ralentissement, blocages fréquents, etc.), nous vous recommandons d'effectuer les opérations suivantes : 1. De la fenêtre principale du programme, cliquez sur Analyse de l'ordinateur. 2. Cliquez sur Analyse intelligente pour lancer l'analyse de votre système. 3. Une fois l'analyse terminée, consultez le journal pour connaître le nombre de fichiers analysés, infectés et nettoyés. 4. Si vous ne souhaitez analyser qu'une partie de votre disque, cliquez sur Analyse personnalisée et sélectionnez les cibles à analyser. Pour des détails supplémentaires, veuillez consulter notre article tiré de la base de connaissances ESET qui est régulièrement mis à jour. 3.8.5 Comment créer une nouvelle tâche dans le Planificateur Pour créer une nouvelle tâche dans Outils > Planificateur, cliquez sur Ajouter une tâche ou cliquez à l'aide du bouton droit et sélectionnez Ajouter... dans le menu contextuel. Cinq types de tâches planifiées sont disponibles : · Exécuter une application externe - Planifie l'exécution d'une application externe. · Maintenance des journaux - Les fichiers journaux contiennent les restes des enregistrements supprimés. Cette · · · · tâche optimise les enregistrements dans les fichiers journaux de façon régulière, afin qu'ils puissent fonctionner de façon efficace. Contrôle des fichiers de démarrage du système - Vérifier les fichiers qui peuvent être exécutés au démarrage du système ou lors de l'ouverture de session. Créer un instantané de l'état de l'ordinateur - Crée un instantané de l'ordinateur ESET SysInspector - recueille de l'information détaillée sur les composants système (pilotes, applications, par ex.) et évalue le niveau de risque de chacun des composants. Analyse de l'ordinateur à la demande - Effectue l'analyse des fichiers et dossiers de votre ordinateur. Mise à jour – Planifie une tâche de mise à jour en mettant à jour les modules. Puisque la mise à jour est l'une des tâches planifiées les plus souvent utilisées, nous expliquerons ci-après comment ajouter une nouvelle tâche de mise à jour : 31 Dans le menu déroulant Tâche planifiée, sélectionnez Mise à jour. Entrez le nom de la tâche dans le champ Nom de la tâche puis cliquez sur Suivant. Sélectionnez la fréquence de la tâche. Les options suivantes sont disponibles : Une fois, Plusieurs fois, Quotidiennement, Chaque semaine et Déclenchée par un événement. Sélectionnez Ignorer la tâche lors du fonctionnement sur batterie afin de minimiser les ressources systèmes lorsqu'un portable est alimenté par batterie. La tâche sera exécutée à la date et à l'heure indiquées dans les champs Exécution de la tâche. On peut ensuite définir l'action à entreprendre si la tâche ne peut pas être effectuée ou terminée à l'heure planifiée. Les options suivantes sont disponibles : · À la prochaine heure planifiée · Dès que possible · Immédiatement, si le temps écoulé depuis la dernière exécution dépasse une valeur spécifique (l'intervalle peut être défini à l'aide de la case de défilement Heure depuis la dernière exécution). Dans l'étape suivante, une fenêtre de résumé des informations sur la tâche planifiée en cours s'affiche. Cliquez sur Terminer une fois les modifications terminées. Une boîte de dialogue s'ouvre pour permettre de choisir les profils à utiliser pour la tâche planifiée. Ici, vous pouvez définir le profil principal et le profil secondaire. Le profil secondaire est utilisé lors que la tâche ne peut pas se terminer en utilisant le profil principal. Confirmez en cliquant sur Terminer et la nouvelle tâche planifiée sera ajoutée à la liste des tâches actuellement planifiées. 3.8.6 Comment programmer une tâche d'analyse (toutes les 24 heures) Pour planifier une tâche régulière, ouvrez la fenêtre principale du programme et cliquez sur Outils > Planificateur. Vous trouvez ci-dessous un guide abrégé sur la manière de programmer une tâche qui lancera l'analyse des disques locaux toutes les 24 heures. Pour programmer une tâche : 1. cliquez sur Ajouter dans la fenêtre principale du Planificateur. 2. Sélectionnez Analyse de l'ordinateur à la demande dans le menu déroulant. 3. Entrez un nom pour cette tâche et sélectionnez Plusieurs fois. 4. Choisissez d'exécuter la tâche toutes les 24 heures. 5. Sélectionnez une action à entreprendre au cas où l'exécution de la tâche échouerait pour une raison quelconque. 6. Passez en revue le résumé de la tâche programmée, puis cliquez sur Terminer. 7. Dans le menu déroulant Cibles, sélectionnez Disques locaux. 8. Cliquez sur Terminer pour appliquer la tâche. 3.8.7 Comment connecter ESET Endpoint Antivirus à ESET Remote Administrator Après avoir installé ESET Endpoint Antivirus sur votre ordinateur et avant d'établir une connexion par l'intermédiaire d'ESET Remote Administrator, assurez-vous d'avoir installé l'agent ERA sur votre poste de travail client. L'agent ERA est un composant essentiel de chaque solution client qui communique avec le serveur ERA. ESET Remote Administrator utilise l'outil RD Sensor pour rechercher les ordinateurs sur le réseau. Chaque ordinateur de votre réseau détecté par RD Sensor s'affiche dans la console Web. Une fois que l'agent a été déployé, vous pouvez effectuer une installation à distance des produits de sécurité d'ESET sur l'ordinateur client. Les étapes exactes de l'installation à distance sont décrites dans le ESET Remote Administrator Guide d'utilisation. 32 3.8.8 Comment configurer un miroir ESET Endpoint Antivirus peut être configuré pour stocker des copies des fichiers de mise à jour de moteur de détection et distribuer les mises à jour à d'autres stations de travail qui utilisent ESET Endpoint Security ou ESET Endpoint Antivirus. Configuration de ESET Endpoint Antivirus en tant que serveur miroir pour fournir des mises à jour par l'intermédiaire d'un serveur HTTP interne. Appuyez sur la touche F5 pour accéder à la configuration avancée et développez Mettre à jour > Basic. Assurez-vous que le Serveur de mise à jour est réglé sur AUTOSELECT. Sélectionnez Créer un miroir de mise à jour et Fournir les fichiers de mise à jour par l'intermédiaire du serveur HTTP interne à partir de Configuration avancée > Base > Miroir. Configuration d'un serveur miroir pou fournir des mises à jour par l'intermédiaire d'un dossier réseau partagé Créez un dossier partagé sur un périphérique local ou en réseau. Ce dossier doit être accessible en lecture par tous les utilisateurs exécutant des solutions de sécurité ESET et en écriture à partir du compte système local. Activez Créer le miroir de mise à jour sous Configuration avancée > Basic > Miroir. Accédez au dossier partagé créé et sélectionnez-le. REMARQUE Si vous ne souhaitez pas mettre à jour à l'aide du serveur HTTP interne, désélectionnez Fournir les fichiers de mise à jour par un serveur HTTP interne. 3.8.9 Comment effectuer la mise à niveau vers Windows 10 avec ESET Endpoint Antivirus AVERTISSEMENT Nous vous recommandons fortement de mettre à niveau vers la dernière version de votre produit ESET, puis de télécharger les dernières mises à jour de module, avant la mise à niveau vers Windows 10. Cela permettra d'assurer une protection maximale et de conserver les paramètres du programme ainsi que les renseignements de licence au cours de la mise à niveau vers Windows 10. Versions 6.x et ultérieures : Cliquez sur le lien correspondant pour télécharger et installer la dernière version avant d'effectuer la mise à niveau vers Windows 10 : Téléchargez ESET Endpoint Security 6 32-bit Téléchargez ESET Endpoint Antivirus 6 32-bit Téléchargez ESET Endpoint Security 6 64-bit Téléchargez ESET Endpoint Antivirus 6 64-bit Versions 5.x et antérieures : Cliquez sur le lien correspondant pour télécharger et installer la dernière version avant d'effectuer la mise à niveau vers Windows 10 : Téléchargez ESET Endpoint Security 5 32-bit Téléchargez ESET Endpoint Antivirus 5 32-bit Téléchargez ESET Endpoint Security 5 64-bit Téléchargez ESET Endpoint Antivirus 5 64-bit Versions en d'autres langues : Si vous cherchez une version de votre produit ESET Endpoint dans une autre langue, veuillez consulter notre page de téléchargement. REMARQUE Plus de renseignements à propos de la compatibilité des produits ESET avec Windows 10. 33 3.8.10 Comment utiliser le mode prioritaire Les utilisateurs disposant des produits ESET Endpoint (version 6.5 et ultérieure) pour Windows installés sur leur machine peuvent utiliser la fonctionnalité Prioritaire. Le mode Prioritaire permet aux utilisateurs du niveau clientordinateur de modifier les paramètres du produit ESET installé, même si une politique est appliquée à ces paramètres. Le mode Prioritaire peut être activé pour certains utilisateurs AD, ou il peut être protégé par mot de passe. La fonction ne peut pas être activée pendant plus de quatre heures de suite. AVERTISSEMENT Le mode Prioritaire ne peut pas être arrêté à partir de la console Web ERA une fois qu'il est activé. La priorité est désactivée uniquement après l'expiration du délai de priorité ou après sa désactivation sur le client lui-même. Pour régler le mode Prioritaire : 1. Accédez à Admin > Politiques > Nouvelle politique. 2. Dans la section Basique, saisissez un nom et une description pour la politique. 3. Dans la section Paramètres, sélectionnez ESET Endpoint pour Windows. 4. Cliquez sur Mode prioritaire et configurez les règles pour le mode prioritaire. 5. Dans la section s'appliquer. Attribuer, sélectionnez l'ordinateur ou le groupe d'ordinateurs sur lesquels cette politique va 6. Vérifiez les paramètres dans la section Résumé et cliquez sur Terminer pour appliquer la politique. Une fois que la politique de contournement est appliquée de ERA Server à l'agent ERA, un bouton Contourner la politique apparait dans les Paramètres avancés (du point d'extrémité sur le client). 1. Cliquez surContourner la politique. 2. Configurez l'heure et cliquez sur Appliquer 3. Autorisez des droits avancés pour l'application ESET. 34 4. Entrez le mot de passe défini par la politique (ou aucun mot de passe si l'utilisateur Active Directory a été défini dans la politique). 5. Autorisez des droits avancés pour l'application ESET. 6. Le mode Prioritaire est activé. 7. Pour y mettre fin, cliquez sur Terminer le contournement. CONSEIL Si Jean a un problème avec ses paramètres de point d'extrémité, ce qui bloque certaines fonctionnalités importantes ou l'accès Web sur son ordinateur, l'administrateur peut permettre à Jean de remplacer sa politique de point d'extrémité existante et de modifier les paramètres manuellement sur son ordinateur. Par la suite, ces nouveaux paramètres peuvent être demandés par ERA afin que l'administrateur puisse les utiliser pour créer une nouvelle politique. Pour ce faire, suivez les étapes indiquées ci-dessous : 1. Accédez à Admin > Politiques > Nouvelle politique. 2. Remplissez les champs Nom et Description. Dans la section Paramètres, sélectionnez ESET Endpoint pour Windows. 3. Cliquez sur Mode prioritaire pour activer le mode prioritaire pendant une heure et sélectionnez Jean comme utilisateur AD. 4. Attribuez la politique à l'ordinateur de Jean, puis cliquez sur Terminer pour enregistrer la politique. 5. Jean doit activer le Mode prioritaire sur son point d'extrémité ESET et modifier les paramètres manuellement. 6. Sur la console Web ERA, accédez à Ordinateurs, sélectionnez l'ordinateur de Jean et cliquez sur Afficher les détails. 7. Dans la section Configuration, cliquez sur Demander une configuration pour planifier une tâche client afin d'obtenir la configuration du client le plus tôt possible. 8. Après une courte période, la nouvelle configuration apparaît. Sélectionnez le produit dont vous souhaitez enregistrer les paramètres et cliquez sur Ouvrir la configuration. 9. Vous pouvez vérifier les paramètres, puis cliquer sur Convertir en politique. 10. Remplissez les champs Nom et Description. 11. Dans la section Paramètres, vous pouvez modifier les paramètres si nécessaire. 12. Dans la section Attribuer, vous pouvez attribuer cette politique à l'ordinateur de Jean (ou à d'autres). 13. Cliquez sur Terminer pour enregistrer les paramètres. 14. N'oubliez pas de supprimer la politique de substitution une fois qu'elle n'est plus nécessaire. 35 3.8.11 Comment activer la surveillance et la gestion à distance La surveillance et la gestion à distance (RMM) est le processus de supervision et de contrôle des systèmes logiciels (tels que ceux qu'utilisent les ordinateurs de bureau, les serveurs et les appareils mobiles) à l'aide d'un agent installé localement auquel un fournisseur de services de gestion peut accéder. Par défaut ESET RMM est désactivé. Pour activer ESET RMM, appuyez sur F5 pour accéder aux paramètres avancés; cliquez sur Outils, développez ESET RMM et activez le commutateur situé à côté de Activer RMM. Mode de fonctionnement - Sélectionnez le mode de fonctionnement de RMM dans le menu déroulant. Deux options sont offertes : Opérations sûres uniquement et Toutes les opérations. Méthode d'autorisation – Définir la méthode d'autorisation pour RMM. Pour utiliser l'autorisation, sélectionnez Chemin de l'application dans le menu déroulant, ou encore, sélectionnez Aucun. AVERTISSEMENT RMM doit toujours utiliser une autorisation pour empêcher les logiciels malveillants de désactiver ou de contourner la protection ESET Endpoint. Chemins de l'application – S vous avez sélectionné Chemin de l'application comme méthode d'autorisation, cliquez sur Modifier pour ouvrir la fenêtre de configuration Chemins d'application RMM autorisés. 36 Ajouter – Créer un nouveau chemin d'application RMM autorisé. Entrez le chemin ou cliquez sur le bouton … pour sélectionner un fichier exécutable. Modifier – Modifier un chemin autorisé existant. Utilisez Modifier si l'emplacement du fichier exécutable a changé et se trouve dans un autre dossier. Supprimer – Supprimer un chemin autorisé existant. Par défaut l'installation de ESET Endpoint Antivirus contient le fichier ermm.exe situé dans le répertoire de l'application Endpoint (chemin par défaut c:\Program Files\ESET\ESET Security ). ermm.exe échange des données avec le plugiciel RMM, qui communique avec l'agent RMM, lié à un serveur RMM. · ermm.exe – Utilitaire de ligne de commande développé par ESET qui permet la gestion des produits de point d'extrémité et la communication avec tout plugiciel RMM. · Le plugiciel RMM est une application tierce exécutée localement sur le système de point d'extrémité Windows. Le plugiciel a été conçu pour communiquer avec un agent RMM spécifique (par exemple Kaseya uniquement) et avec ermm.exe. · L'agent RMM est une application tierce (ex., de Kaseya) exécutée localement sur le système de point d'extrémité Windows. L'agent communique avec le plugiciel RMM et avec le serveur RMM. · Le serveur RMM s'exécute en tant que service sur un serveur tiers. Les systèmes RMM pris en charge le sont par Kaseya, Labtech, Autotask, Max Focus et Solarwinds N-able. 3.9 Utiliser ESET Endpoint Antivirus Les options de configuration de ESET Endpoint Antivirus permettent de régler les niveaux de protection de votre ordinateur, de vos connexions Internet et de votre messagerie. REMARQUE Lors de la création d'une politique à partir de la console Web de ESET Remote Administrator, vous pouvez sélectionner l'indicateur pour chaque paramètre. Les paramètres ayant l'indicateur Forcer ont la priorité et ne peuvent être remplacés par une politique ultérieure (même si la politique ultérieure possède un indicateur Forcer). Cela permet de s'assurer que ce paramètre ne sera pas modifié (par exemple, par un utilisateur ou par des politiques ultérieures au cours de la fusion). Pour plus de détails, consultez la rubrique Indicateurs dans l'Aide en ligne d'ERA. 37 Le menu Configuration contient les options suivantes : · Ordinateur · Web et messagerie La configuration de la protection de l'ordinateur vous permet d'activer ou de désactiver les composants suivants : · Protection en temps réel du système de fichiers - Elle analyse tous les fichiers à la recherche de code malveillant · · · · au moment de l'ouverture, de la création ou de l'exécution de ces fichiers sur l'ordinateur. Protection des documents - La fonctionnalité de protection des documents analyse les documents Microsoft Office avant leur ouverture, ainsi que les fichiers téléchargés automatiquement par Internet Explorer, tels que les éléments Microsoft ActiveX. HIPS - Le système HIPS surveille les événements qui se produisent dans le système d'exploitation et réagit à ces derniers, en fonction d'un ensemble personnalisé de règles. Mode de présentation - Le mode de présentation est une fonctionnalité destinée aux utilisateurs qui exigent une utilisation interrompue de leur logiciel, qui ne veulent pas être dérangés par des fenêtres contextuelles et qui veulent minimiser la charge sur l'UC. Un message d'avertissement s'affichera (risque potentiel à la sécurité) et la fenêtre principale deviendra orange après l'activation du Mode de présentation. Protection antivirus furtif - Assure la détection de programmes dangereux, comme les programmes malveillants furtifs, qui sont capable de se cacher du système d'exploitation. Ils sont donc impossibles à détecter avec les techniques de test ordinaires. La configuration de la protection Web et messagerie permet d'activer ou de désactiver les composants suivants : · Protection de l'accès Web - Si cette option est activée, tout le trafic HTTP est analysé à la recherche de codes malveillants. · La protection du client de messagerie surveille la communication effectuée par l'entremise des protocoles POP3 et IMAP. · Protection anti-hameçonnage - Protège contre les tentatives de vol de vos mots de passe, de vos données bancaires et d'autres informations sensibles par des sites malveillants déguisés en sites légitimes. 38 Pour désactiver temporairement des modules individuels, cliquez sur le commutateur vert module désiré. Notez que cela peut réduire le niveau de protection de l'ordinateur. situé à côté du Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur le commutateur rouge rétablir le composant à son état activé. pour Lorsque la politique ERA est appliquée, l'icône de verrouillage s'affiche à côté du composant en question. La politique appliquée par ESET Remote Administrator peut être annulée localement après l'authentification par un utilisateur connecté (p. ex., l'administrateur). Pour plus de détails, consultez l'Aide en ligne de ESET Remote Administrator. REMARQUE Toutes les mesures de protection désactivées de la sorte sont réactivées au redémarrage de l'ordinateur. Pour accéder aux paramètres détaillés d'un composant de sécurité en particulier, cliquez sur la roue dentée située à côté du composant. . On trouve également des options supplémentaires au bas de la fenêtre de configuration. Pour charger les paramètres de configuration à l'aide d'un fichier de configuration .xml ou pour enregistrer les paramètres de configuration actuels dans un fichier de configuration, utilisez l'option Importer/Exporter les paramètres. Veuillez consulter la section Importer/Exporter les paramètres pour plus de détails. Pour des options plus détaillés, cliquez sur Configuration avancée ou appuyez sur la touche F5. 3.9.1 Ordinateur Le module Ordinateur se trouve sous Configuration > Ordinateur. Il affiche une vue d'ensemble des modules de protection décrits dans le chapitre précédent. Dans cette section, les paramètres suivants sont disponibles : Cliquez sur la roue dentée située à côté de Protection du système de fichier en temps réel, puis sur Modifier les exclusions pour ouvrir la fenêtre de configuration des exclusions, qui vous permet d'exclure des fichiers et des dossiers de l'analyse. REMARQUE Il est possible que l'état de protection du document ne soit pas disponible jusqu'à ce que vous l'activiez dans Configuration avancée (F5) > Antivirus > Protection des documents. Après l'avoir activé, vous devez redémarrer votre ordinateur. Pour ce faire, accédez au volet Configuration > Ordinateur et cliquez sur Redémarrer sous Contrôle de périphériques. Vous pouvez également le faire à partir du volet d'état de la protection en cliquant sur Redémarrer l'ordinateur. Suspendre la protection antivirus et anti-logiciel espion - Chaque fois que vous désactivez temporairement la protection antivirus et anti-logiciel espion, vous pouvez sélectionner la durée pendant laquelle vous voulez que le composant sélectionnez soit désactivé en utilisant le menu déroulant puis en cliquant sur Appliquer pour désactiver le composant de sécurité. Pour réactiver la protection, cliquez sur Activer la protection antivirus et antispyware. Configuration de l'analyse de l'ordinateur... - Cliquez pour régler les paramètres d'analyse de l'ordinateur (analyse lancée manuellement). 39 3.9.1.1 Moteur de détection La protection antivirus protège le système des attaques malveillantes en contrôlant les échanges de fichiers et de courriels, ainsi que les communications Internet. Si une menace est détectée, le module Antivirus peut l'éliminer en la bloquant dans un premier temps, puis en nettoyant, en supprimant ou en mettant en quarantaine l'objet infecté. Pour configurer les paramètres du module antivirus en détail, cliquez sur Configuration avancée ou appuyez sur la touche F5. Les options de l'analyseur pour tous les modules de protection (par exemple, la protection en temps réel du système de fichiers, la protection de l'accès Web, etc.) vous permettent d'activer ou de désactiver la détection des éléments suivants : · Les applications potentiellement indésirables ne sont pas nécessairement malveillantes, mais elles sont susceptibles d'affecter les performances de votre ordinateur. Pour en savoir plus sur ces types d'application, consultez le glossaire. · Les applications potentiellement dangereuses sont des logiciels commerciaux légitimes susceptibles d'être utilisés à des fins malveillantes. Elles comprennent des programmes comme des outils d'accès à distance, les applications de craquage de mot de passe et les enregistreurs de frappe. Cette option est désactivée par défaut. Pour en savoir plus sur ces types d'application, consultez le glossaire. · Les applications potentiellement suspectes incluent les programmes comprimés à l'aide de logiciels de compression ou de protecteurs. Ces types de protecteurs sont souvent exploités par des créateurs de logiciels malveillants pour contourner leur détection. La technologie Anti-Stealth est un système évolué assurant la détection de programmes dangereux, comme les rootkits qui sont à même de se cacher du système d'exploitation. Ils sont donc impossibles à détecter avec les techniques de test ordinaires. Les exclusions permettent d'exclure des fichiers et des dossiers de l'analyse. Pour que la détection des menaces s'applique à tous les objets, il est recommandé de ne créer des exclusions que lorsque cela est absolument nécessaire. Certaines situations justifient l'exclusion d'un objet. Par exemple, lorsque les entrées de bases de données volumineuses risquent de ralentir l'ordinateur pendant l'analyse ou lorsqu'il peut y avoir conflit entre le logiciel et l'analyse. Pour exclure un objet de l'analyse voir Paramètres. Activer l'analyse avancée par AMSI – Outil Microsoft Antimalware Scan Interface qui offre aux développeurs de nouveaux moyens de défense contre les programmes malveillants (Windows 10 uniquement) 40 3.9.1.1.1 Une infiltration est détectée Des infiltrations peuvent utiliser différents points d'entrée pour attaquer votre système, comme les pages Web, dossiers partagés, courriel ou périphériques amovibles (USB, disques externes, CD, DVD, disquettes, etc.). Comportement normal À titre d'exemple général de la façon dont les infiltrations sont traitées par ESET Endpoint Antivirus, elles peuvent notamment être détectées en utilisant : · · · · Protection en temps réel du système de fichiers Protection de l'accès Web Protection du client de messagerie Analyse de l'ordinateur à la demande Chacun de ces modules utilise le niveau de nettoyage standard et tentera de nettoyer le fichier et de le mettre en quarantaine ou de mettre fin à la connexion. Une fenêtre de notification s'affiche dans la zone de notification, dans le coin inférieur droit de l'écran. Pour plus d'information sur les niveaux de nettoyage et le comportement, consultez la rubrique Nettoyage. 41 Nettoyage et suppression Si aucune action n'est prédéfinie pour la protection en temps réel, vous serez invité à sélectionner une option dans une fenêtre d'avertissement. Les options Nettoyer, Supprimer et Aucune action sont généralement disponibles. Sélectionner Aucune action n'est pas recommandé puisque cela ne nettoiera pas les fichiers infectés. La seule exception concerne les situations où vous êtes sûr que le fichier est inoffensif et a été détecté par erreur. Utilisez le nettoyage si un fichier a été attaqué par un virus qui y a joint du code malveillant. Dans ce cas, tentez d'abord de nettoyer le fichier infecté pour le restaurer à son état d'origine. Si le fichier se compose uniquement de code malveillant, il sera alors supprimé. Si un fichier infecté est « verrouillé » ou utilisé par un processus du système, il ne sera généralement supprimé qu'après avoir été déverrouillé (le plus souvent, après un redémarrage du système). Menaces multiples Si aucun des fichiers infectés n'a été nettoyé pendant l'analyse de l'ordinateur (ou le Niveau de nettoyage a été défini à Aucun nettoyage), une fenêtre d'alerte vous invitant à choisir l'action pour ces fichiers s'affichera. Suppression de fichiers dans les archives En mode de nettoyage par défaut, l'archive entière n'est supprimée que si elle ne contient que des fichiers infectés et aucun fichier sain. Autrement dit, les archives ne sont pas supprimées si elles contiennent aussi des fichiers sains. Soyez cependant prudent si vous choisissez un nettoyage strict : dans ce mode, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient. Si votre ordinateur montre des signes d'une infection par un logiciel malveillant (ralentissement, blocages fréquents, etc.), il est recommandé d'effectuer les opérations suivantes : · Ouvrir ESET Endpoint Antivirus et cliquer sur Analyse de l'ordinateur, · Cliquer sur Analyse intelligente (pour plus d'information, se reporter à la rubrique Analyse de l'ordinateur). · Lorsque l'analyse est terminée, consultez le journal pour connaître le nombre de fichiers analysés, infectés et nettoyés. Si vous ne voulez analyser qu'une certaine partie de votre disque, cliquez sur Analyse personnalisée et sélectionnez les cibles à analyser. 42 3.9.1.2 Cache local partagé La mémoire cache local partagée permet d'améliorer les performances dans les environnements virtualisés en éliminant l'analyse en double sur le réseau. Cela garantit que chaque fichier est analysé une seule fois et stocké dans la mémoire cache partagée. Activez l'Option de mise en cache pour enregistrer les informations sur l'analyse des fichiers et des dossiers de votre réseau dans la mémoire cache locale. Si vous effectuez une nouvelle analyse, ESET Endpoint Antivirus effectuera une recherche dans les fichiers analysés mis en cache. Si des fichiers sont identiques, ils seront exclus de l'analyse. La configuration du Serveur de mémoire cache contient les éléments suivants : · Nom d'hôte - Nom ou adresse IP de l'ordinateur où se trouve la mémoire cache. · Port - Numéro du port utilisé pour la communication (le même que défini dans la mémoire cache locale partagée). · Mot de passe - Indiquez le mot de passe de la mémoire cache locale partagée d'ESET si nécessaire. 3.9.1.3 Protection en temps réel du système de fichiers La protection en temps réel du système de fichiers contrôle tous les événements liés à l'antivirus dans le système. Elle analyse tous les fichiers à la recherche de code malveillant au moment de l'ouverture, de la création ou de l'exécution de ces fichiers sur l'ordinateur. La protection en temps réel du système de fichiers est lancée au démarrage du système. Par défaut, la protection en temps réel du système de fichier est lancée au démarrage du système d'exploitation et assure une analyse ininterrompue. Dans des cas particuliers (par exemple, s'il y a un conflit avec un autre analyseur en temps réel), la protection en temps réel pourra être désactivée en désélectionnant Activer la protection en temps réel du système de fichiers dans Protection en temps réel du système de fichiers > L'essentiel de la Configuration avancée. 43 Supports à analyser Par défaut, tous les types de supports sont analysés pour y détecter la présence potentielle de menaces : Disques locaux - Contrôle tous les disques durs du système. Supports amovibles - Contrôle les CD/DVD, les périphériques de stockage USB, les périphériques Bluetooth, etc. Lecteurs réseau - Analyse tous les disques mappés. Il est recommandé de ne modifier les paramètres par défaut que dans des cas particuliers, par exemple lorsque l'analyse de certains supports ralentit de manière significative les transferts de données. Date de l'analyse Par défaut, tous les fichiers sont analysés lorsqu'ils sont ouverts, exécutés ou créés. Il est recommandé de conserver ces paramètres par défaut, car ils offrent le niveau maximum de protection en temps réel pour votre ordinateur : · · · · Ouverture de fichier - Active ou désactive l'analyse des fichiers à l'ouverture. Création de fichier - Active ou désactive l'analyse des fichiers à la création. Exécution de fichier - Active ou désactive l'analyse des fichiers à l'exécution. Accès au support amovible - Active ou désactive l'analyse déclenchée par l'accès à un support amovible particulier offrant de l'espace de stockage. La protection en temps réel du système de fichiers vérifie tous les types de supports et est déclenchée par différents événements comme tenter d'accéder à un fichier. En raison des méthodes de détection de la technologie ThreatSense (décrites dans la section Configuration du moteur ThreatSense), la protection en temps réel du système de fichiers peut être configurée pour traiter différemment les fichiers nouvellement créés et les fichiers existants. Par exemple, vous pouvez configurer la protection en temps réel du système de fichiers afin qu'elle surveille plus attentivement les fichiers nouvellement créés. Pour assurer le minimum d'empreinte système lorsque la protection en temps réel est utilisée, les fichiers ayant déjà été analysés ne seront pas analysés de nouveau (à moins qu'ils n'aient été modifiés). Les fichiers sont analysés immédiatement après chaque mise à jour du moteur de détection. Ce comportement est contrôlé grâce à l'optimisation intelligente. Si la fonction d’optimisation intelligente est désactivée, tous les fichiers seront analysés chaque fois que l'ordinateur y accédera. Pour modifier ce paramètre, appuyez sur F5 pour ouvrir la fenêtre de Configuration avancée. Ouvrez ensuite Moteur de détection > Protection en temps réel du système de fichiers. Cliquez sur Paramètres de ThreatSense > Autre et sélectionnez ou désélectionnez l'option Activer l'optimisation intelligente. 3.9.1.3.1 Autres paramètres ThreatSense Autres paramètres ThreatSense pour les fichiers nouvellement créés et modifiés - La probabilité qu'un fichier nouvellement créé ou modifié soit infecté est plus grande comparativement aux fichiers existants. C'est pour cette raison que le programme utilise des paramètres d'analyse supplémentaires pour vérifier ces fichiers. Outre les méthodes d'analyse basées sur les signatures, l'heuristique avancée est aussi utilisée, ce qui permet de détecter les nouvelles menaces avant la diffusion de la mise à jour du moteur de détection. En plus des fichiers nouvellement créés, l'analyse est aussi effectuée sur les fichiers à extraction automatique (.sfx) et les fichiers exécutables compressés par un compresseur d'exécutables (interne). Par défaut, les archives sont analysées jusqu'au dixième niveau d'imbrication et vérifiées indépendamment de leur taille réelle. Désactivez l'option Paramètres d'analyse d'archive par défaut pour modifier les paramètres d'analyse de l'archive. Pour plus de détails sur les fichiers exécutables compressés par un compresseur d'exécutables, les archives à extraction automatique et l'heuristiques avancées, consultez la rubrique Configuration des paramètres du moteur ThreatSense. Autres paramètres ThreatSense pour les fichiers exécutés - Par défaut, les heuristiques avancées sont utilisées lorsque des fichiers sont exécutés. Lorsque cette option est activée, nous vous recommandons fortement de conserver l' optimisation intelligente et ESET LiveGrid® activés afin de réduire l'incidence sur la performance du système. 44 3.9.1.3.2 Niveaux de nettoyage La protection en temps réel offre trois niveaux de nettoyage (pour accéder aux paramètres des niveaux de nettoyage, cliquez sur Configuration des paramètres du moteur ThreatSense dans la section Protection en temps réel du système de fichiers, puis sur Nettoyage). Pas de nettoyage - Les fichiers infectés ne seront pas nettoyés automatiquement. Le programme affiche alors une fenêtre d'avertissement et laisse l'utilisateur choisir une action. Ce niveau est conçu pour les utilisateurs expérimentés qui savent quoi faire avec chaque type d'infiltration. Nettoyage normal - Le programme tente de nettoyer ou de supprimer automatiquement tout fichier infecté sur la based'u e action prédéfinie (selon le type d'infiltration). La détection et la suppression d'un fichier infecté sont signalées par une notification affichée dans l'angle inférieur droit de l'écran.. S'il n'est pas possible de sélectionner automatiquement l'action appropriée, le programme proposera d'autres actions de suivi. La même chose se produit lorsqu'une action prédéfinie n'a pas pu être menée à bien. Nettoyage strict - Le programme nettoie ou supprime tous les fichiers infectés (y compris les archives). Les seules exceptions sont les fichiers système. S'il n'est pas possible de les nettoyer, une fenêtre avertissement invite l'utilisateur à sélectionner une action. AVERTISSEMENT Si une archive contient un ou plusieurs fichiers infectés, elle peut être traitée de deux façons différentes. En mode standard (Nettoyage standard), toute l'archive sera supprimée si tous ses fichiers sont infectés. En mode Nettoyage strict, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient. 3.9.1.3.3 Vérification de la protection en temps réel Pour s'assurer que la protection en temps réel fonctionne et détecte bien les virus, utilisez un fichier de test d'eicar.com. Ce fichier de test est un fichier inoffensif que détecteront tous les programmes antivirus. Le fichier a été créé par la société EICAR (European Institute for Computer Antivirus Research) pour tester la fonctionnalité des programmes antivirus. Vous pouvez le télécharger du site http://www.eicar.org/download/eicar.com 3.9.1.3.4 Quand faut-il modifier la configuration la protection en temps réel La protection en temps réel du système de fichier est le composant le plus important de la sécurisation du système. Il faut être très attentif lorsqu'on modifie les paramètres de ce module. Il est recommandé de ne changer les paramètres de ce module que dans des cas précis. Après l'installation de ESET Endpoint Antivirus, tous les paramètres sont optimisés pour garantir le niveau maximal de sécurité système pour les utilisateurs. Pour restaurer les paramètres par défaut, cliquez sur à côté de chaque onglet de la fenêtre (Configuration avancée > Moteur de détection > Protection du système de fichier en temps réel). 3.9.1.3.5 Que faire si la protection en temps réel ne fonctionne pas Dans cette rubrique, nous décrivons des problèmes qui peuvent survenir avec la protection en temps réel et la façon de les résoudre. La protection en temps réel est désactivée Si la protection en temps réel a été désactivée par mégarde par un utilisateur, elle doit être réactivée. Pour réactiver la protection en temps réel, accédez à Configuration dans la fenêtre principale du programme et cliquez sur Protection en temps réel du système de fichiers. Si la protection en temps réel n'est pas lancée au démarrage du système, cela découle généralement du fait que l'option Lancer automatiquement la protection en temps réel du système de fichiers est désélectionnée. Pour activer cette option, allez à Configuration avancée (touche F5) et cliquez sur Moteur de détection > Protection du système de fichier en temps réel > Basic. Assurez-vous que le commutateur Lancer automatiquement la protection en temps réel du système de fichiers est activé. 45 Si la protection en temps réel ne détecte pas et ne nettoie pas les infiltrations Assurez-vous qu'aucun autre programme antivirus n'est installé sur votre ordinateur. Si deux programmes de protection en temps réel sont activés en même temps, il peut y avoir conflit entre les deux. Nous recommandons de désinstaller tout autre antivirus de votre système avant d'installer ESET. La protection en temps réel ne démarre pas Si la protection en temps réel n'est pas lancée au démarrage du système (et que l'option Activer la protection en temps réel du système de fichiers est activée), le problème peut provenir de conflits avec d'autres programmes. Pour de l'assistance dans la résolution de ce problème, veuillez communiquer avec l'assistance à la clientèle d'ESET. 3.9.1.4 Analyse de l'ordinateur L'analyseur à la demande est un élément important de ESET Endpoint Antivirus. Il permet d'analyser les fichiers et répertoires stockés sur votre ordinateur. Pour votre sécurité, il est essentiel que l'ordinateur soit analysé non seulement en cas de suspicion d'une infection, mais aussi régulièrement dans le cadre de mesures de sécurité routinières. Nous vous recommandons d'effectuer régulièrement (par exemple, une fois par mois) des analyses en profondeur de votre système pour détecter les virus non détectés par la protection en temps réel du système de fichiers. Cela peut arriver si la protection en temps réel du système de fichiers a été désactivée à un moment, si le moteur de détection est obsolète ou si le fichier n'a pas été détecté comme un virus au moment où il a été enregistré sur le disque. Deux types d'analyse de l'ordinateur sont disponibles. L'analyse intelligente analyse rapidement le système sans exiger de reconfiguration des paramètres d'analyse. L'analyse personnalisée permet, quant à elle, de sélectionner l'un des profils d'analyse prédéfinis ainsi que de choisir les cibles particulières de l'analyse. Voir la section Progression de l'analyse pour plus de détails sur le processus d'analyse. Analyse de votre ordinateur L'analyse intelligente vous permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers infectés sans intervention de l'utilisateur. L'avantage de l'analyse intelligente est qu'elle est facile à utiliser et n'exige pas une configuration détaillée de l'analyse. Cette vérification analyse tous les fichiers sur les disques durs locaux et nettoie ou supprime automatiquement les infiltrations détectées. Le niveau de nettoyage est automatiquement réglé à sa valeur par défaut. Pour plus de détails sur les types de nettoyage, consultez la rubrique Nettoyage. Analyse personnalisée L'analyse personnalisée est une solution optimale si vous souhaitez préciser des paramètres d'analyse tels que les cibles et les méthodes d'analyse. L'avantage de l'analyse personnalisée est la possibilité de configurer les paramètres de manière détaillée. Les configurations peuvent être enregistrées comme des profils d'analyse définis par l'utilisateur, ce qui peut être utile pour effectuer régulièrement une analyse avec les mêmes paramètres. Pour sélectionner les cibles à analyser, sélectionnez Analyse de l'ordinateur > Analyse personnalisée puis sélectionnez une option à partir du menu déroulant Cibles à analyser ou de certaines cibles particulières dans la structure de l'arborescence. Une cible d'analyse peut aussi être indiquée en entrant le chemin du dossier ou des fichiers à inclure. Si vous ne voulez qu'analyser le système sans effectuer de nettoyage supplémentaire, sélectionnez Analyser sans nettoyer. Pendant une analyse, vous pouvez choisir parmi trois niveaux de nettoyage en cliquant sur Configuration... > Paramètres ThreatSense > Nettoyage. L'exécution des analyses personnalisées est appropriée pour les utilisateurs avancés ayant une expérience antérieure avec l'utilisation de programmes antivirus. Vous pouvez également utiliser la fonction Glisser-déposer pour analyser pour analyser un fichier ou un dossier manuellement en cliquant sur le fichier ou le dossier, en déplaçant le pointeur de la souris sur la zone marquée tout en maintenant le bouton de la souris enfoncé, puis en le relâchant. Après cela, l'application est déplacée au premier plan. 46 Analyse des supports amovibles Semblable à l'analyse intelligente - lance rapidement une analyse des supports amovibles (comme les CD/DVD/USB) actuellement connectés à l'ordinateur. Cela peut être utile lorsque vous connectez une clé USB à un ordinateur et que vous souhaitez l'analyser pour y rechercher les logiciels malveillants et autres menaces potentielles. Ce type d'analyse peut aussi être lancé en cliquant sur Analyse personnalisée, puis sur Supports amovibles dans le menu déroulant Cibles à analyser, avant de cliquer sur Analyser. Vous pouvez utiliser le menu déroulant Action après l'analyse pour choisir l'action (Aucune action, Arrêter et Redémarrer) à effectuer après l'analyse. Activer l'arrêt après l'analyse - Active l'arrêt planifié du système lorsque l'analyse à la demande de l'ordinateur se termine. Une fenêtre de dialogue de confirmation d'arrêt affiche un compte à rebours de 60 secondes. Cliquez sur Annuler pour désactiver la l'arrêt demandé. REMARQUE Il est recommandé d'exécuter une analyse de l'ordinateur au moins une fois par mois. Cette analyse peut être configurée comme tâche planifiée dans Outils > Planificateur. 3.9.1.4.1 Analyse personnalisée Si souhaitez analyser une cible particulière, vous pouvez utiliser l'outil d'analyse personnalisée en cliquant sur Analyse d'ordinateur > Analyse personnalisée et sélectionner une option dans le menu déroulant Cibles à analyser ou des cibles particulières dans l'arborescence des dossiers. La fenêtre des cibles à analyser permet de définir les objets (mémoire, lecteurs, secteurs, fichiers et dossiers) dans lesquels rechercher des infiltrations. Sélectionnez les cibles dans l'arborescence qui dresse la liste de tous les périphériques de l'ordinateur qui sont disponibles. Le menu déroulant Cibles à analyser permet de sélectionner des cibles à analyser prédéfinies : · · · · · Par paramètres de profil - Sélectionne les cibles dans le profil d'analyse sélectionné. Supports amovibles - Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD. Disques locaux - Sélectionne tous les disques durs du système. Lecteurs réseau - Sélectionne tous les disques réseau mappés. Aucune sélection - Annule toutes les sélections. Pour accéder rapidement à une cible d'analyse ou pour ajouter un dossier ou des fichiers cibles, entrez le répertoire cible dans le champ vide sous la liste de dossiers. Cela n'est possible que si aucune cible n'a été sélectionnée dans l'arborescence et que le menu Cibles à analyser est défini à Aucune sélection. 47 Les éléments infectés ne sont pas nettoyés automatiquement. L'analyse sans nettoyage peut être utilisée pour obtenir une vue d'ensemble de l'état actuel de la protection. En outre, vous pouvez choisir parmi trois niveaux de nettoyage en cliquant sur Configuration avancée > Moteur de détection > Analyse à la demande > Paramètres ThreatSense > Nettoyage. Si vous souhaitez uniquement analyser le système sans actions de nettoyage supplémentaires, sélectionnez Analyser sans nettoyer. L'historique d'analyse est enregistré dans le journal d'analyse. Lorsque l'option Ignorer les exclusions est sélectionnée, les fichiers avec des extensions qui étaient auparavant exclues de l'analyse sont analysés, sans aucune exception. Vous pouvez choisir le profil à utiliser pour analyser les cibles visées dans le menu déroulant Profil d'analyse. Le profil par défaut est celui de l'analyse intelligente. Il existe deux autres profils d'analyse prédéfinis appelés Analyse approfondie et Analyse par menu contextuel. Ces profils d'analyse utilisent différents paramètres ThreatSense. Les options disponibles sont décrites dans Configuration avancée > Moteur de détection > Analyse de logiciels malveillants > Analyse de l'ordinateur à la demande > Paramètres ThreatSense. Cliquez sur Analyse pour exécuter l'analyse avec les paramètres personnalisés que vous avez définis. L'option Analyser en tant qu'administrateur permet d'exécuter l'analyse avec le compte d'administrateur. Cliquez ici si l'utilisateur actuel n'a pas les privilèges requis pour accéder aux fichiers appropriés devant être analysés. À noter que ce bouton n'est pas disponible si l'utilisateur actuel ne peut appeler les opérations UAC en tant qu'administrateur. REMARQUE Vous pouvez afficher le journal d'analyse de l'ordinateur lorsqu'une analyse est terminée en cliquant sur Afficher le journal. 48 3.9.1.4.2 Progression de l'analyse La fenêtre de progression de l'analyse affiche l'état actuel de l'analyse ainsi que de l'information sur le nombre de fichiers contenant du code malveillant trouvés. REMARQUE Il est normal que certains fichiers, comme les fichiers protégés par mot de passe ou les fichiers utilisés exclusivement par le système (généralement, les fichiers pagefile.sys et certains fichiers journaux), ne puissent pas être analysés. Progression de l'analyse - La barre de progression indique le pourcentage d'objets déjà analysés par rapport aux objets encore en attente d'analyse. L'état de progression de l'analyse découle du nombre total d'objets inclus dans l'analyse. Cible - Le nom de l'objet en cours d'analyse et son emplacement. Menaces trouvées - Indique le nombre total de menaces trouvées pendant l'analyse. Pause - Met l'analyse en pause. Reprendre - Cette option est visible seulement lorsque l'analyse est suspendue. Cliquez sur Reprendre pour poursuivre l'analyse. Arrêter - Met fin à l'analyse. Faire défiler le journal de l'analyse - Si cette option est activée, le journal d'analyse défilera automatiquement lorsque de nouvelles entrées seront ajoutées afin que les entrées les plus récentes soient visibles. 49 3.9.1.4.3 Journal de l'analyse de l'ordinateur Le journal de l'analyse de l'ordinateur vous donne des renseignements généraux sur l'analyse tels que : · · · · · · · Version du moteur de détection Date et heure de l'analyse Disques, dossiers et fichiers analysés Nombre d'objets analysés Nombre de menaces détectées Heure d’achèvement Temps d'analyse total 3.9.1.5 Contrôle de périphérique ESET Endpoint Antivirus fournit un contrôle automatique des périphériques (CD/DVD/USB/...). Ce module vous permet de bloquer ou de régler les filtres ou permissions étendus et de définir la capacité d'un utilisateur d'accéder à un périphérique donné et travailler avec celui-ci. Cela peut être utile si l'administrateur de l'ordinateur veut empêcher l'utilisation de périphériques comportant un contenu non sollicité par des utilisateurs. Périphériques externes pris en charge : · Stockage sur disque (Disque dur, Disque amovible USB) · CD/DVD · Imprimante USB · Stockage FireWire · Périphérique Bluetooth · Lecteur de carte à puce · Périphérique d'acquisition d'images · Modem · Port LPT/COM · Appareil portable · Tous les types de périphériques 50 Les options de contrôle de périphérique peuvent être modifiées dans Configuration avancée (touche F5) > Contrôle de périphérique. Activez le commutateur à côté de Intégration au système pour activer la fonctionnalité de contrôle du périphérique de ESET Endpoint Antivirus; vous devrez redémarrer votre ordinateur pour que cette modification prenne effet. Une fois le Contrôle de périphérique activé, l'option Règles est activée, ce qui vous permet d'ouvrir la fenêtre Éditeur des règles. Si un périphérique bloqué par une règle existante est inséré, une fenêtre de notification s'affiche et l'accès à au périphérique est refusé. 3.9.1.5.1 Éditeur des règles du contrôle de périphérique La fenêtre Éditeur des règles du contrôle de périphérique affiche les règles existantes et permet un contrôle précis des périphériques externes que les utilisateurs utilisent pour se connecter à l'ordinateur. Un périphérique particulier peut être autorisé ou bloqué en fonction de son utilisateur, de son groupe d'utilisateurs ou de l'un des paramètres supplémentaires pouvant être précisés dans la configuration de la règle. La liste de règles contient plusieurs éléments descriptifs d'une règle comme le nom, le type de périphérique externe, l'action à effectuer après la connexion d'un périphérique externe à l'ordinateur et la gravité, tels que consignés dans le journal. Cliquez sur Ajouter ou Modifier pour gérer une règle. Décochez la case Activée située à côté de la règle pour la désactiver jusqu'à ce que vous souhaitiez l'utiliser à nouveau. Sélectionnez une ou plusieurs règles et cliquez sur Supprimer pour supprimer ces règles définitivement. Copier - Crée une nouvelle règle avec les options prédéfinies utilisées pour une autre règle sélectionnée. Cliquez sur l'option Alimenter pour remplir automatiquement les paramètres du support amovible connecté à votre ordinateur. Les règles sont classées par ordre de priorité; les règles ayant une priorité plus élevée sont plus près du sommet. Les règles peuvent être déplacées en cliquant sur Au dessus/Vers le haut/Vers le bas/En dessous et peuvent être déplacées individuellement ou en groupes. Le journal de contrôle des périphériques enregistre toutes les occurrences où le contrôle de périphérique est déclenché. Les entrées de journal peuvent être affichées à partir de la fenêtre principale de ESET Endpoint Antivirus dans Outils > Fichiers journaux. 51 3.9.1.5.2 Ajout de règles du contrôle de périphérique Une règle de contrôle des périphériques définit l'action qui sera effectuée lorsqu'un périphérique conforme aux critères énoncés dans la règle est branché à l'ordinateur. Entrez une description de la règle dans le champ Nom pour pouvoir l'identifier plus facilement. Cliquez sur le commutateur à côté de Règle activée pour activer ou désactiver cette règle, ce qui peut être utile si vous ne voulez pas supprimer définitivement la règle. Appliquer pendant : Cette option vous permet d'appliquer la règle créée pendant un certain temps. Dans le menu déroulant, sélectionnez le créneau horaire créé. Pour plus de renseignements, cliquez ici. Type de périphérique Choisissez le type de périphérique externe dans le menu déroulant (Stockage sur disque/Dispositif portable/Bluetooth/FireWire/etc.). Les renseignements de types de périphériques sont tirés du système d'exploitation et peuvent être affichés dans le Gestionnaire de périphériques lorsqu'un périphérique est branché à l'ordinateur. Les périphériques de stockage incluent les disques externes ou les lecteurs conventionnels de cartes mémoires branchés à un port USB ou FireWire. Les lecteurs de cartes à puce comprennent les lecteurs de cartes à puce avec circuit intégré, comme les cartes SIM ou les cartes d'authentification. Les numériseurs ou les appareils photos sont des exemples de périphériques d'acquisition d'images. Parce que ces périphériques ne fournissent que des renseignements sur leurs actions et ne fournissent pas de renseignements sur les utilisateurs, ils ne peuvent être bloqués que globalement. REMARQUE La fonctionnalité de liste des utilisateurs n'est pas disponible pour le type de périphérique modem. la règle sera appliquée à tous les utilisateurs et la liste des utilisateurs actuelle sera supprimée. Action L'accès aux appareils autres que de stockage peut être autorisé ou bloqué. À l'inverse, les règles connexes aux périphériques de stockage permettent de sélectionner l'un des droits suivants : · Lecture et écriture - L'accès complet au périphérique sera autorisé. · Bloquer - L'accès au périphérique sera bloqué. · Lecture seule - Seule l'accès en lecture à partir du périphérique sera autorisée. 52 · Avertir - Chaque fois qu'un périphérique est connecté, l'utilisateur sera informé s'il est autorisé ou bloqué, et une entrée de journal sera effectuée. Les périphériques ne sont pas mémorisés; une notification sera toujours affichée pour les connexions ultérieures du même périphérique. À noter que seules certaines actions (autorisations) sont disponibles pour tous les types de périphériques. Si c'est un périphérique de stockage, toutes les quatre actions sont disponibles. Pour les périphériques autres que de stockage, seules trois actions sont disponibles (par exemple, l'action Lecture seule n'est pas disponible pour Bluetooth, ce qui signifie que les périphériques Bluetooth ne peut qu'être autorisés, bloqués ou avertis). Type de critère - Sélectionnez Groupe de périphériques ou Périphérique. D'autres paramètres présentés ci-dessous peuvent être utilisés pour affiner les règles et les personnaliser en fonction des périphériques. Aucun des paramètres n'est sensible à la casse : · Fournisseur - Filtrer par nom de fournisseur ou par identifiant. · Modèle - Nom donné au périphérique. · Numéro de série - Les périphériques externes ont généralement leur propre numéro de série. Dans le cas des CD/DVD, il s'agit du numéro de série du périphérique, non du lecteur de CD. REMARQUE Si ces paramètres ne sont pas définis, la règle ignorera ces champs lors de la recherche de correspondance. Les paramètres de filtrage des champs de texte ne respectent pas la casse et les caractères génériques (*, ?) ne sont pas pris en charge. CONSEIL Pour afficher des informations sur un périphérique, créez une règle pour ce type de périphérique, connectez-le à votre ordinateur, puis vérifiez les détails le concernant dans le journal de contrôle du périphérique. Journalisation de la gravité · Toujours - Consigne tous les événements. · Diagnostic - Consigne les données requises pour affiner le programme. · Information - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que toutes les entrées préalables. · Avertissements : Enregistre les erreurs critiques et les messages d'avertissement, puis les envoie à ERA Server. · Aucun - Aucune journalisation ne sera faite. Les règles peuvent être restreintes à certains utilisateurs ou groupes d'utilisateurs en les ajoutant dans la liste des utilisateurs : · Ajouter - Ouvre la boîte de dialogue Types d'objet : Utilisateurs ou groupes qui permet de sélectionner les utilisateurs voulus. · Supprimer - Retire l'utilisateur sélectionné du filtre. REMARQUE Ce ne sont pas tous les périphériques qui peuvent être filtrés par des règles utilisateur (par exemple, les périphériques d'imagerie ne fournissent aucun renseignement sur les utilisateurs, seulement sur les actions). 53 3.9.1.6 Supports amovibles ESET Endpoint Antivirus effectue une analyse automatique des supports amovibles (CD/DVD/USB/...). Ce module permet d'analyser le support inséré. Cela peut être utile si l'administrateur de l'ordinateur veut empêcher les utilisateurs d'utiliser des supports amovibles comportant un contenu non sollicité. Action à prendre après l'insertion d'un support amovible - Sélectionnez l'action par défaut qui sera exécutée lorsqu'un support amovible est inséré dans l'ordinateur (CD/DVD/USB). Si Afficher les options d'analyse est sélectionnée, une notification s'affichera pour vous permettre de choisir l'action souhaitée : · Ne pas analyser - Aucune action ne sera effectuée et la fenêtre Nouveau périphérique détecté sera fermée. · Analyse automatique du périphérique - Une analyse de l'ordinateur à la demande du support amovible inséré sera effectuée. · Afficher les options d'analyse - Ouvre la section de configuration du support amovible. Lorsqu'un support amovible est inséré, la boîte de dialogue suivante affichera les renseignements suivants : Analyser maintenant - Déclenche l'analyse du support amovible. Analyser plus tard - Reporte l'analyse du support amovible. Configuration - Ouvre la configuration avancée. Toujours utiliser l'option sélectionnée - Lorsque cette case est cochée, la même action sera effectuée la prochaine fois qu'un support amovible sera inséré. De plus, ESET Endpoint Antivirus comprend également la fonctionnalité de contrôle du périphérique qui offre la possibilité de définir des règles pour l'utilisation des périphériques externes sur un ordinateur particulier. Vous trouverez plus de détails sur le contrôle de périphérique dans la section Contrôle de périphérique. 3.9.1.7 Analyse en état inactif Vous pouvez activer l'analyseur en état inactif dans Configuration avancée sous Antivirus > Analyse en état inactif > L'essentiel. Activez le commutateur à côté de Activer l'analyse en état inactif pour activer cette fonctionnalité. Lorsque l'ordinateur est inactif, une analyse silencieuse de l'ordinateur est effectuée sur tous les disques locaux. Consulter la rubrique Déclencheurs de détection de l'état inactif pour une liste complète des conditions requises pour que soit déclenché l'analyseur en état actif. Par défaut, l'analyseur en état actif ne sera pas exécuté lorsque l'ordinateur (portable) est alimenté par batterie. Vous pouvez annuler ce paramètre en activant l'interrupteur à côté de l'option Exécuter même si l'ordinateur est alimenté par batterie dans Configuration avancée. Mettez en marche le commutateur Activer la journalisation dans la Configuration avancée pour enregistrer les résultats des analyses dans la section Fichiers journaux (dans la fenêtre du programme principal, cliquez sur Outils > Fichiers journaux, puis sélectionnez Analyse de l'ordinateur dans le menu déroulant Journal). La détection de l'état inactif s'exécutera lorsque l'ordinateur est dans l'un des états suivants : · Désactivez l'écran ou l'écran de veille · Verrouillage de l'ordinateur · Fermeture de session de l'utilisateur Cliquez sur configuration des paramètres du moteur de ThreatSense pour modifier les paramètres d'analyse (par exemple, les méthodes de détection) pour l'analyseur en état inactif. 54 3.9.1.8 Système de détection d'intrusion au niveau de l'hôte (HIPS) AVERTISSEMENT Seul un utilisateur d'expérience devrait apporter des modifications aux paramètres de HIPS. Une mauvaise configuration des paramètres HIPS peut rendre le système instable. Le Système de prévention des intrusions sur l'ordinateur hôte (HIPS) protège votre système des logiciels malveillants ou de toute activité indésirable qui tentent de de nuire à votre ordinateur. Il utilise, pour ce faire, une analyse comportementale évoluée combinée aux fonctionnalités de détection de filtrage du réseau utilisées dans la surveillance des processus en cours, fichiers et clés de registre. Le système HIPS diffère de la protection en temps réel du système de fichiers et ce n'est pas un pare-feu. Il surveille uniquement les processus en cours d'exécution au sein du système d'exploitation. Vous pouvez accéder aux paramètres de HIPS dans Configuration avancée (touche F5) Antivirus > HIPS > Basic. L'état du HIPS (activé/désactivé) s'affiche dans la fenêtre principale du programme ESET Endpoint Antivirus sous Configuration > Ordinateur. ESET Endpoint Antivirus comporte une technologie d'auto-défense intégrée faisant partie de HIPS qui empêche les logiciels malveillants de corrompre ou de désactiver votre protection antivirus et anti-logiciel espion. L'autodéfense protège le système crucial et les processus d'ESET, les clés de registre et les fichiers contre les falsifications. L'Analyseur avancé de la mémoire fonctionne avec Exploit Blocker pour renforcer la protection contre les logiciels malveillants qui ont été conçus pour contourner la détection par les protection anti-logiciels malveillants en utilisant l'obscurcissement ou le chiffrement. L'analyseur avancé de la mémoire est activé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire. Exploit Blocker est conçu pour protéger les types d'applications souvent exploités, comme les navigateurs, les lecteurs PDF, les clients de messagerie et les composants MS Office. Exploit blocker est activé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire. Le Bouclier anti-rançongiciels est une autre couche de protection qui fait partie de la fonctionnalité HIPS. Le système de réputation LiveGrid® doit être activé pour que le bouclier anti-rançongiciels fonctionne. Pour en savoir plus sur ce type de protection, consultez le lien suivant. 55 Le filtrage peut être effectué selon l'un des quatre modes : Mode automatique - Les opérations sont activées, à l'exception de celles bloquées par des règles prédéfinies qui protègent votre système. Mode de démarrage - L'utilisateur ne sera informé que des événements vraiment suspects. Mode interactif - L'utilisateur sera invité à confirmer les opérations. Mode basé sur des règles personnalisées - Les opérations seront bloquées. Mode d'apprentissage - Les opérations sont activées et une règle est créée, après chaque opération. Les règles créées dans ce mode peuvent être affichées dans l'Éditeur de règles, mais leur priorité sera inférieure aux règles créées manuellement ou en mode automatique. Lorsque vous sélectionnez le mode d'apprentissage dans le menu déroulant Mode de filtrage HIPS, le paramètre Le mode d'apprentissage se termine le devient disponible. Sélectionnez la durée pendant laquelle vous souhaitez activer le mode d'apprentissage, la durée maximale est de 14 jours. Une fois que la durée indiquée sera écoulée, vous serez invité à modifier les règles créées par HIPS alors qu'il était en mode d'apprentissage. Vous pouvez également choisir un mode de filtrage différent, ou reporter la décision et continuer à utiliser le mode d'apprentissage. Mode défini après l'expiration du mode d'apprentissage – Définissez le mode de filtrage auquel reviendra le parefeu de ESET Endpoint Antivirus une fois le mode d'apprentissage terminé. Le système HIPS surveille les événements qui se produisent dans le système d'exploitation et réagit à ces derniers en fonction des règles utilisées par le pare-feu. Cliquez sur Modifier pour ouvrir la fenêtre de gestion des règles HIPS. Cette fenêtre vous permet de sélectionner, de créer, de modifier ou de supprimer des règles. Dans l'exemple suivant, nous allons illustrer comment limiter le comportement non voulu d'applications : 56 1. Nommez la règle et sélectionnez Bloquer dans le menu déroulant Action. 2. Dans la section Opérations concernées, sélectionnez au moins une opération pour la règle. 3. Sélectionnez le niveau de gravité de journalisation dans le menu déroulant. Les enregistrements avec verbosité d'avertissement peuvent être collectés par Remote Administrator. 4. Activez le commutateur situé à côté de Avertir l'utilisateur pour afficher une notification chaque fois qu'une règle est appliquée. Cliquez sur Suivant. 5. Dans la fenêtre Applications sources, sélectionnez Toutes les applications dans le menu déroulant pour appliquer la nouvelle règle à toutes les applications qui tentent d'effectuer l'une des opérations sélectionnées. Cliquez sur Suivant. 6. Dans la fenêtre suivante, activez le commutateur à côté de Modifier l'état d'une autre application et cliquez sur Suivant (toutes les opérations sont décrites dans l'aide sur le produit à laquelle vous pouvez accéder en appuyant sur la touche F1). 7. Sélectionnez Applications spécifiques dans le menu déroulant et cliquez sur Ajoutezr pour ajouter une ou plusieurs applications à protéger. 8. Cliquez sur Terminer pour enregistrer la nouvelle règle. 3.9.1.8.1 Configuration avancée Les options suivantes sont utiles pour déboguer et analyser le comportement d'une application : Le chargement des pilotes est toujours autorisé - Le chargement des pilotes sélectionnés est toujours autorisé, indépendamment du mode de filtrage défini, à l'exception des cas où un pilote est explicitement bloqué par une règle de l'utilisateur. Consigner toutes les opérations bloquées - Toutes les opérations bloquées seront consignées dans le journal HIPS. Aviser lorsqu'un changement est effectué dans les applications de démarrage - Affiche une notification sur le bureau chaque fois qu'une application est ajoutée au démarrage du système ou supprimée lors de celui-ci. Voir l’article de la base de connaissances d'ESET pour une version à jour de cette page d'aide. 57 3.9.1.8.2 Fenêtre interactive HIPS Si l'action par défaut pour une règle est mise à Demander, une boîte de dialogue s'affichera chaque fois que la règle est déclenchée. Vous pouvez choisir de Refuser ou d'Autoriser l'opération. Si aucune action n'est sélectionnée dans le temps imparti, une nouvelle action sera sélectionnée, en fonction des règles. La boîte de dialogue permet de créer une règle en fonction de toute nouvelle action détectée par le système HIPS, puis de définir les conditions dans lesquelles autoriser ou refuser cette action. Pour définir les paramètres exacts, cliquez sur Plus d'info. Les règles créées de cette façon sont jugées équivalentes aux règles créées manuellement. Ainsi, la règle créée à partir d'une fenêtre de dialogue peut être moins précise que la règle qui a déclenché la fenêtre de dialogue. Ainsi, après la création d'une telle règle, la même opération pourra déclencher l'affichage de la même fenêtre. L'option Mémoriser temporairement cette action pour ce processus provoque le recours à une action (Autoriser/Refuser) qui devra être utilisée jusqu'à la modification des règles ou du mode de filtrage, une mise à jour du module HIPS ou le redémarrage du système. À l'issue de l'une de ces trois actions, les règles temporaires seront supprimées. 3.9.1.8.3 Comportement d'un rançongiciel potentiel détecté Cette fenêtre interactive apparaîtra lorsque le comportement d'un potentiel rançongiciel est détecté. Vous pouvez choisir de Refuser ou d'Autoriser l'opération. La boîte de dialogue vous permet d'envoyer le fichier pour analyse ou de l'exclure de la détection. Cliquez sur Détails pour afficher les paramètres de détection spécifiques. IMPORTANT ESET Live Grid doit être activé pour que la protection contre les rançongiciels fonctionne correctement. 58 3.9.1.9 Mode présentation Le mode présentation est une fonctionnalité destinée aux utilisateurs qui exigent une utilisation interrompue de leur logiciel, qui ne veulent pas être dérangés par des fenêtres contextuelles et qui veulent minimiser la charge sur l'UC. Le mode présentation peut aussi être utilisé lors de présentations qui ne peuvent être interrompues par l'activité de l'antivirus. Lorsque ce mode est activé, toutes les fenêtres contextuelles sont désactivées et les tâches programmées ne sont pas exécutées. La protection du système s'exécute toujours en arrière-plan, mais n'exige aucune interaction de l'utilisateur. Cliquez sur Configuration > Ordinateur, puis cliquez sur le commutateur à côté de Mode présentation pour activer le mode présentation manuellement. Dans Configuration avancée (touche F5), cliquez sur Outils > Mode présentation, puis cliquez sur le commutateur à côté de Activer automatiquement le mode présentation lorsque les applications s'exécutent en mode plein écran pour que ESET Endpoint Antivirus passe en mode présentation automatiquement lorsque les applications s'exécutent en mode plein écran. Activer le mode présentation entraîne un risque potentiel; pour cette raison, l'icône de l'état de la protection dans la barre des tâches devient orange en plus d'afficher un avertissement. Vous pouvez aussi voir cet avertissement dans la fenêtre principale du programme où le mode présentation activé sera indiqué en orange. En cochant la case Activer automatiquement le mode présentation lorsque ces applications s'exécutent en mode plein écran, le mode présentation démarrera dès que vous lancerez une application en mode plein écran et s'arrêtera automatiquement, dès que vous quitterez l'application. Cela est particulièrement utile pour lancer le mode présentation immédiatement après le lancement d'un jeu, après le lancement d'une application en plein écran ou après le démarrage d'une présentation. Vous pouvez également sélectionner Désactiver le mode présentation automatiquement après pour définir le temps en minutes après lequel le mode présentation sera automatiquement désactivée. 3.9.1.10 Analyse au démarrage La vérification automatique des fichiers de démarrage sera effectuée par défaut au démarrage du système et pendant la mise à jour des modules. Cette analyse dépend de la configuration et des tâches du Planificateur. Les options pour l'analyse au démarrage font partie de la tâche du planificateur qu'est le contrôle des fichiers de démarrage du système. Pour modifier les paramètres d'analyse au démarrage, il faut aller dans Outils > Planificateur, puis cliquer sur Vérification automatique des fichiers de démarrage et sur Modifier. Une fenêtre Vérification automatique des fichiers de démarrage s'affichera ensuite (consultez le chapitre suivant pour plus de détails). Pour des instructions détaillées sur la création et la gestion des tâches dans le Planificateur, consultez la section Création de nouvelles tâches. 3.9.1.10.1 Vérification automatique des fichiers de démarrage Lorsque vous créez une tâche planifiée de contrôle des fichiers au démarrage du système, plusieurs options s'offrent à vous pour définir les paramètres suivants : Le menu déroulant Cibles à analyser indique la profondeur de l'analyse pour les fichiers exécutés au démarrage du système selon un algorithme sophistiqué confidentiel. Les fichiers sont classés en ordre décroissant, selon les critères suivants : · · · · · Tous les fichiers enregistrés (le plus grand nombre de fichiers analysés) Fichiers rarement utilisés Fichiers couramment utilisés Fichiers fréquemment utilisés Seulement les fichiers les plus fréquemment utilisés (le plus petit nombre de fichiers analysés) 59 Deux groupes spécifiques sont aussi inclus : · Fichiers exécutés avant la connexion de l'utilisateur - Contient les fichiers enregistrés dans des emplacements qui permettent d'y accéder sans que l'utilisateur n'ait ouvert de session (comprend presque tous les emplacements de démarrage comme les services, les objets application d'assistance du navigateur, la notification winlogon, les entrées dans le planificateur de Windows, les dll connus, etc.). · Fichiers exécutés après la connexion de l'utilisateur - Contient les fichiers enregistrés dans des emplacements qui permettent d'y accéder seulement que lorsque l'utilisateur a ouvert une session. Comprend généralement les fichiers enregistrés dans le dossier HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) Les listes de fichiers à analyser sont fixes, pour chacun des groupes susmentionnés. Priorité de l'analyse - Le niveau de priorité à utiliser pour déterminer à quel moment débutera l'analyse : · · · · Quand inactif - La tâche ne sera exécutée que lorsque le système sera inactif, Minimale - Lorsque la charge système est la plus faible possible. Faible - Lorsque la charge système est faible. Normal - Pour une charge système moyenne. 3.9.1.11 Protection des documents La fonctionnalité de protection des documents analyse les documents Microsoft Office avant leur ouverture, comme les fichiers téléchargés automatiquement par Internet Explorer, tels que les éléments Microsoft ActiveX. La protection des documents offre une couche de protection, en plus de la protection en temps réel du système de fichiers, et peut être désactivée afin d'améliorer la performance de systèmes non exposés à un volume élevé de documents Microsoft Office. L'option Intégration système active le système de protection. Pour modifier cette option, appuyez sur la touche F5 pour ouvrir la fenêtre Configuration avancée et cliquez sur Antivirus > Protection des documents dans l'arborescence de configuration avancée. Cette fonctionnalité est activée par des applications utilisant Antivirus API de Microsoft (par ex., Microsoft Office 2000 et versions ultérieures, ou Microsoft Internet Explorer 5.0 et versions ultérieures). 3.9.1.12 Exclusions Les exclusions permettent d'exclure des fichiers et des dossiers de l'analyse. Pour que la détection des menaces s'applique à tous les objets, il est recommandé de ne créer des exclusions que lorsque cela est absolument nécessaire. Certaines situations justifient l'exclusion d'un objet. Par exemple, lorsque les entrées de bases de données volumineuses risquent de ralentir l'ordinateur pendant l'analyse ou lorsqu'il peut y avoir conflit entre le logiciel et l'analyse (par exemple, le logiciel de sauvegarde). Pour exclure un objet de l'analyse : 1. Cliquez sur Ajouter, 2. Entrez le chemin d'un objet ou sélectionnez-le dans l'arborescence. Vous pouvez utiliser des caractères génériques pour couvrir un groupe de fichiers. Un point d'interrogation (?) représente un seul caractère variable tandis qu'un astérisque (*) représente une chaîne variable de zéro caractère ou plus. Exemples · Si vous souhaitez exclure tous les fichiers d'un dossier, tapez le chemin d'accès de ce dossier et utilisez le masque « *.* ». · Pour exclure un lecteur complet, y compris tous les fichiers et sous-répertoires, utilisez le masque « D:\* ». · Si vous ne souhaitez exclure que les fichiers .doc, utilisez le masque « *.doc ». · Si le nom d'un fichier exécutable comporte un certain nombre de caractères variables dont vous ne connaissez que le premier (p. ex « D »), utilisez le format suivant : « D????.exe ». Les points d'interrogation remplacent les caractères manquants (inconnus). 60 REMARQUE une menace présente dans un fichier n'est pas détectée par le module de protection du système de fichiers en temps réel ou par le module d'analyse de l'ordinateur si le fichier en question répond aux critères d'exclusion de l'analyse. Colonnes Chemin - Chemin d'accès des fichiers et des dossiers exclus. Menace - Si un nom de menace est indiqué à côté d'un fichier exclu, cela signifie que le fichier est exclu pour la menace en question. Si ce fichier devient ensuite infecté par d'autres logiciels malveillants, ceux-ci seront détectés par le module antivirus. Ce type d'exclusions ne peut être utilisé que pour certains types d'infiltrations et peut être créé soit dans la fenêtre d'alerte de menaces (cliquez sur Afficher les options avancées, puis sélectionnez Exclure de la détection), ou en cliquant sur Outils > Quarantaine, puis cliquez à droite sur le fichier mise en quarantaine. Sélectionnez ensuite Restaurer et exclure de la détection dans le menu contextuel. Éléments de contrôle Ajouter - Exclut des objets de la détection. Modifier - Permet de modifier les entrées sélectionnées. Retirer - Retire les entrées sélectionnées. 3.9.1.13 ThreatSense paramètres La technologie ThreatSense combine de nombreuses méthodes de détection de menaces complexes. Cette technologie proactive fournit également une protection durant les premières heures de propagation d'une nouvelle menace. Elle utilise une combinaison d'analyse de code, d'émulation de code, de signatures génériques et de signatures de virus qui se conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur d'analyse est capable de contrôler simultanément plusieurs flux de données, maximisant ainsi l'efficacité et le taux de détection. La technologie ThreatSense élimine également les rootkits. Les options de configuration du moteur ThreatSense permettent également de préciser plusieurs paramètres d'analyse : · les types de fichiers et extensions à analyser; · la combinaison de plusieurs méthodes de détection; · les niveaux de nettoyage, etc. 61 Pour ouvrir la fenêtre de configuration, cliquez sur Configuration des paramètre du moteur ThreatSense dans la Fenêtre de configuration avancée de tout module utilisant la technologie ThreatSense (voir ci-dessous). Chaque scénario de sécurité peut exiger une configuration différente. Sachant cela, ThreatSense peut être configuré individuellement pour les modules de protection suivants : · · · · · · · Protection en temps réel du système de fichiers, Analyse en état inactif, Analyse au démarrage, Protection des documents, Protection du client de messagerie, Protection de l'accès Web, Analyse de l'ordinateur. Les paramètres ThreatSense sont hautement optimisés pour chaque module et leur modification peut grandement affecter le fonctionnement du système. Par exemple, en modifiant les paramètres pour toujours analyser compacteurs exécutables ou pour autoriser l'heuristique avancée dans la protection en temps réel du système de fichiers, vous pouvez diminuer les performances du système (normalement, seuls les fichiers nouvellement créés sont analysés par ces méthodes). Il est recommandé de laisser inchangés les paramètres par défaut de ThreatSense pour tous les modules, à l'exception du module Analyse de l'ordinateur. Objets à analyser Cette section vous permet de définir quels éléments et fichiers de l'ordinateur seront analysés à la recherche des infiltrations. Mémoire vive - Activez cette option pour détecter les menaces qui s'attaquent à la mémoire vive du système. Secteurs d'amorçage/UEFI : Analyse les secteurs d'amorçage et UEFI à la recherche de rootkits (trousse administrateur pirate), de bootkits et d'autres logiciels malveillants. Pour en savoir plus, cliquez ici. Fichiers courriel - Le programme prend en charge les extensions suivantes : DBX (Outlook Express) et EML. Archives - Le programme prend en charge les extensions suivantes : ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE et beaucoup d'autres. Archives auto-extractibles - Les archives auto-extractibles (SFX) n'ont pas besoin de programmes spécialisés (archiveurs) pour être décompressés. Logiciels de compression exécutables - Après l'exécution, les logiciels de compression exécutables (contrairement aux archiveurs standard) se décompressent dans la mémoire. En plus des compacteurs statiques standards (UPX, yoda, ASPack, FSG, etc.), l'analyseur est capable der reconnaitre beaucoup d'autres types de compacteurs grâce à l'utilisation de l'émulation de code. Options d'analyse Sélectionnez les méthodes utilisées lors de l'analyse du système à la recherche d'infiltrations. Les options suivantes sont disponibles : Heuristiques - La méthode heuristique utilise un algorithme d'analyse de l'activité (malveillante) des programmes. Le principal avantage de cette technologie est sa capacité à identifier un code malveillant qui n'existait pas ou n'était pas connu par le moteur de détection. L'inconvénient de cette méthode est la probabilité (très faible) de fausses alarmes. Heuristique avancée/Signatures ADN - La méthode heuristique avancée utilise un algorithme heuristique développé par ESET, optimisé pour la détection des vers d'ordinateur et les chevaux de Troie, et écrit dans un langage de programmation de haut niveau. L'utilisation de l'heuristique avancée augmente considérablement les capacités de détection de menaces des produits ESET. Les signatures peuvent détecter et identifier les virus de façon fiable. Grâce au système de mise à jour automatique, de nouvelles signatures peuvent être disponibles dans les quelques heures de la découverte d'une menace. L'inconvénient des signatures est qu'elles ne détectent que les virus qu'elles connaissent (ou une version légèrement modifiée de ces virus). Une application potentiellement indésirable est un programme qui contient des logiciels publicitaires, qui installe 62 des barres d'outils ou qui a d'autres objectifs inavoués. Il y a des situations où un utilisateur peut trouver que les avantages d'une application potentiellement indésirable l'emportent sur les risques. Pour cette raison, ESET attribue à ces applications une catégorie de risque plus faible par rapport à d'autres types de logiciels malveillants, tels que les chevaux de Troie ou les vers. Avertissement - Menace potentielle trouvée Quand une application potentiellement indésirable est détectée, vous serez en mesure de décider des mesures à prendre : 1. Nettoyer/Déconnecter: Cette option met fin à l'action et empêche la menace potentielle d'entrer dans votre système. 2. Aucune action : Cette option autorise la menace potentielle à accéder à votre système. 3. Pour permettre à une application de s'exécuter sur votre ordinateur à l'avenir sans interruption, cliquez sur Plus d'information/Afficher les options avancées puis cochez la case située à côté de Exclure de la détection. Lorsqu'une application potentiellement indésirable est détectée et qu'il n'est pas possible de la nettoyer, la fenêtre de notification L'adresse a été bloquée s'affichera dans le coin inférieur droit de l'écran. Pour plus de détails sur cet événement, allez à Outils > Fichiers journaux > Sites Web filtrés du menu principal. 63 Applications potentiellement indésirables - Paramètres Lors de l'installation de votre produit ESET, vous pouvez choisir d'activer la détection des applications potentiellement indésirables, comme indiqué ci-dessous : AVERTISSEMENT Les applications potentiellement indésirables peuvent installer des logiciels publicitaires, installer des barres d'outils ou contenir d'autres caractéristiques de programme indésirables et dangereux. Ces paramètres peuvent être modifiés dans les paramètres de votre programme à tout moment. Pour activer ou désactiver la détection des applications potentiellement indésirables, dangereuses ou suspectes, suivez les instructions suivantes : 1. Ouvrez votre produit ESET. Comment puis-ouvrir mon produit ESET? 2. Appuyez sur la touche F5 pour accéder à la configuration avancée. 3. Cliquez sur Antivirus et activez ou désactivez les options Activer la détection d'applications potentiellement indésirables, Activer la détection des applications potentiellement dangereuses et Activer la détection des applications suspectes selon vos préférences. Confirmez en cliquant sur OK. 64 Applications potentiellement indésirables - Enveloppeurs de logiciel Un enveloppeur de logiciel est un type spécial de modification d'application utilisé par certains sites Web d'hébergement de fichiers. C'est un outil tiers qui installe le programme que vous avez téléchargé mais ajoute des logiciels complémentaires tels que des barres d'outils ou des logiciels publicitaires. Le logiciel supplémentaire peut également apporter des modifications à la page d'accueil et aux paramètres de recherche de votre navigateur Web. De plus, les sites Web d'hébergement de fichiers n'informent souvent pas l'éditeur du logiciel ou le destinataire du téléchargement des modifications apportées; retirer les modifications n'est pas facile non plus. Pour ces raisons, ESET classe les enveloppeurs de logiciels comme type d'application potentiellement indésirables afin de permettre aux utilisateurs d'accepter ou non le téléchargement. Veuillez consulter cet article de la Base de connaissances ESET pour obtenir une version à jour de cette page d'aide. Pour en savoir plus, cliquez ici. Applications potentiellement dangereuses - Applications potentiellement dangereuses est la classification utilisée pour des programmes commerciaux légitimes tels que les outils d'accès à distance, les applications de perçage de mots de passe et les enregistreurs de frappe (programmes qui enregistrent chaque frappe effectuée par un utilisateur). Cette option est désactivée par défaut. Nettoyage Les paramètres de nettoyage déterminent le comportement de l'analyseur lors du nettoyage des fichiers infectés. Trois niveaux de nettoyage sont possibles : Pas de nettoyage - Les fichiers infectés ne seront pas nettoyés automatiquement. Le programme affiche alors une fenêtre d'avertissement et laisse l'utilisateur choisir une action. Ce niveau est conçu pour les utilisateurs expérimentés qui savent quoi faire avec chaque type d'infiltration. Nettoyage normal - Le programme tente de nettoyer ou de supprimer automatiquement tout fichier infecté sur la based'u e action prédéfinie (selon le type d'infiltration). La détection et la suppression d'un fichier infecté sont signalées par une notification affichée dans l'angle inférieur droit de l'écran.. S'il n'est pas possible de sélectionner automatiquement l'action appropriée, le programme proposera d'autres actions de suivi. La même chose se produit lorsqu'une action prédéfinie n'a pas pu être menée à bien. Nettoyage strict - Le programme nettoie ou supprime tous les fichiers infectés (y compris les archives). Les seules exceptions sont les fichiers système. S'il n'est pas possible de les nettoyer, une fenêtre avertissement invite 65 l'utilisateur à sélectionner une action. AVERTISSEMENT Si une archive contient un ou plusieurs fichiers infectés, elle peut être traitée de deux façons différentes. En mode standard (Nettoyage standard), toute l'archive sera supprimée si tous ses fichiers sont infectés. En mode Nettoyage strict, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient. Exclusions L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette section de la configuration des paramètres ThreatSense vous permet de définir les types de fichiers à analyser. Autre Au moment de configurer les paramètres du moteur ThreatSense pour une analyse de l'ordinateur à la demande, les options suivantes dans Autres seront aussi offertes : Analyser les flux de données alternatifs (ADS) - Les flux de données alternatifs (ADS) utilisés par le système de fichiers NTFS sont des associations de fichiers et de dossiers que les techniques d'analyse ordinaires ne permettent pas de détecter. De nombreuses infiltrations tentent d'éviter la détection en se faisant passer pour des flux de données alternatifs. Exécuter les analyses en arrière-plan avec une priorité faible - Toute séquence d'analyse consomme une certaine quantité de ressources système. Si vous utilisez des programmes qui exigent beaucoup de ressources système, vous pouvez activer l'analyse en arrière-plan à faible priorité de manière à réserver des ressources pour vos applications. Consigner tous les objets - Si cette option est sélectionnée, le fichier journal affichera tous les fichiers analysés, même ceux qui ne sont pas infectés. Par exemple, si une infiltration est détectée dans une archive, le journal présente également les fichiers propres qu'elle contient. Activer l'optimisation intelligente - Lorsque la fonction Optimisation intelligente est activée, les paramètres les plus optimaux sont utilisés pour assurer le niveau d'analyse le plus efficient tout en conservant la vitesse d'analyse la plus élevée. Les différents modules de protection effectuent une analyse intelligente, utilisant pour ce faire différentes méthodes d'analyse et les appliquant à différents types de fichiers. Si l'optimisation Smart est activée, seuls les paramètres définis par l'utilisateur dans le moteur ThreatSense utilisé pour ces modules particuliers seront appliqués au moment de l'analyse. Conserver la date et l'heure du dernier accès - Activez cette option pour conserver la date et l'heure d'accès d'origine des fichiers analysés au lieu de la mettre à jour (par ex., pour l'utiliser avec des systèmes de sauvegarde de données). Limites La section Limites permet de préciser la taille maximale des objets et les niveaux d'imbrication des archives à analyser : Paramètres de l'objet Taille maximale de l'objet - Définit la taille maximale des objets à analyser. Le module antivirus donné n'analysera alors que les objets d'une taille inférieure à celle indiquée. Cette option ne devrait être modifiée que par des utilisateurs expérimentés ayant des raisons précises d'exclure de l'analyse des objets de plus grande taille. Valeur par défaut : illimité. Durée d'analyse maximale pour l'objet (en secondes) - Précise la valeur de temps maximale pour l'analyse d'un objet. Si la valeur de ce champ a été définie par l'utilisateur, le module antivirus cessera d'analyser un objet une fois ce temps écoulé, que l'analyse soit finie ou non. Valeur par défaut : illimité. 66 Configuration de l'analyse d'archive Niveau d'imbrication des archives - Précise la profondeur maximale de l'analyse des archives. Valeur par défaut : 10. Taille maximale du fichier dans l'archive - Cette option permet de préciser la taille maximale des fichiers (après extraction) à analyser, contenus dans les archives. Valeur par défaut : illimité. REMARQUE il n'est pas recommandé de modifier les valeurs par défaut. Dans des circonstances normales, il n'y a aucune raison de le faire. 3.9.1.13.1 Exclusions L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette section de la configuration des paramètres ThreatSense vous permet de définir les types de fichiers à analyser. Par défaut, les fichiers sont analysés. N'importe quelle extension peut être ajoutée à la liste des fichiers exclus de l'analyse. L'exclusion de fichiers peut parfois être utile lorsque l'analyse de certains types de fichiers empêche le fonctionnement approprié du programme utilisant ces extensions. Par exemple, il peut être judicieux d'exclure les extensions .edb, .eml et .tmp lorsque vous utilisez les serveurs Microsoft Exchange. Les boutons Ajouter et Supprimer permettent d'autoriser ou d'empêcher l'analyse d'extensions de fichiers spécifiques. Pour ajouter une nouvelle extension à la liste, cliquez sur Ajouter, entrez l'extension dans le champ vide, puis cliquez sur OK. Lorsque vous sélectionnez Entrez plusieurs valeurs, vous pouvez ajouter plusieurs extensions de fichier séparées par des lignes, des virgules ou des points virgules. Lorsqu'un choix multiple est activée, les extensions sont affichés dans la liste. Sélectionnez sur une extension dans la liste puis sur cliquez sur Retirer pour la supprimer de la liste. Si vous souhaitez modifier une extension, cliquez Modifier. Les symboles spéciaux ? (point d'interrogation) peuvent être utilisés. Les point d'interrogation remplace tout symbole. REMARQUE Pour afficher l'extension (type de fichier) pour tous les fichiers dans le système d'exploitation Windows, désélectionnez Masquer l'extension des fichiers dont le type est connu sous Panneau de configuration > Options des dossiers > Afficher. 67 3.9.2 Web et messagerie La configuration Web et messagerie se trouve sous Configuration > Web et messagerie. Elle permet d’accéder à des paramètres plus détaillés du programme. La connectivité Internet est un élément standard des ordinateurs personnels. Malheureusement, c'est aussi devenu le principal moyen de transférer et disséminer du code malveillant. C'est pourquoi il est essentiel que vous évaluiez attentivement la protection de votre accès Web. La protection du client de messagerie offre le contrôle des communications par courriel effectuées par l'entremise des protocoles POP3 et IMAP. À l'aide du plugiciel pour votre client de messagerie, ESET Endpoint Antivirus assure le contrôle de toutes les communications utilisant le client de messagerie (POP3, MAPI, IMAP, HTTP). La protection anti-hameçonnage est une autre couche de protection qui offre une défense accrue contre les sites Web malveillants qui tente d'obtenir les mots de passe ou d'autres informations sensibles. La protection antihameçonnage se trouve sur le volet Configuration, sous Web et messagerie. Voir Protection anti-hameçonnage pour de plus amples renseignements. Désactiver - Cliquez sur le commutateur pour désactiver la protection Web/courriel pour les navigateurs Web et les clients de messagerie . 68 3.9.2.1 Filtrage de protocole La protection antivirus, pour les protocoles d'application, est fournie par le moteur d'analyse ThreatSense qui intègre toutes les techniques d'analyse avancée des logiciels malveillants. Le filtrage de protocole fonctionne automatiquement, indépendamment du navigateur Internet et du client de messagerie utilisés. Pour modifier les paramètres chiffrés (SSL), allez à Web et courriel > SSL. Activer le filtrage du contenu des protocoles d'application - Peut être utilisé pour désactiver le filtrage de protocole. Notez que beaucoup de composants de ESET Endpoint Antivirus (protection de l'accès Web, protection des protocoles de messagerie, anti-hameçonnage, contrôle Web) dépendent de cette option et ne fonctionneront pas sans elle. Adresses IP exclues - Permet d'exclure des applications spécifiques du filtrage de protocole. Cette option est utile lorsque le filtrage de protocole crée des problèmes de compatibilité. Applications exclues - Permet d'exclure des adresses distantes spécifiques du filtrage de protocole. Cette option est utile lorsque le filtrage de protocole crée des problèmes de compatibilité. Web et clients de messagerie - Utilisé uniquement sur les systèmes d'exploitation Windows XP. Permet de sélectionner les applications pour lesquelles tout le trafic est filtré par filtrage de protocole, indépendamment des ports utilisés. 3.9.2.1.1 Clients Web et de messagerie REMARQUE Présentée la première fois dans Windows Vista Service Pack 1 puis dans Windows Server 2008, la nouvelle architecture de plateforme de filtrage (WFP, Windows Filtering Platform) est utilisée pour vérifier les communications réseau. Comme la technologie WFP utilise des techniques de surveillance spéciales, la section Clients Web et messagerie n'est pas disponible. En raison du nombre considérable de codes malveillants qui circulent sur Internet, la sécurisation de la navigation sur Internet est un aspect très important de la protection des ordinateurs. Les faiblesses des navigateurs Web et les liens frauduleux contribuent à faciliter l'accès inaperçu des codes malveillants au système. C'est pour cette raison que ESET Endpoint Antivirus se concentre sur la sécurité des navigateurs Web. Chaque application qui accède au réseau peut être indiquée comme étant un navigateur Internet. Les applications qui utilisaient déjà des protocoles de communication ou une application du chemin sélectionné peuvent être ajoutées à la liste Web et clients de messagerie. 3.9.2.1.2 Applications exclues Pour exclure du filtrage de protocole les communications de certaines applications sensibles au réseau, vous devez les ajouter à la liste. Les communications HTTP/POP3/IMAP pour les applications sélectionnées ne seront pas vérifiées à la recherche des menaces. Nous vous recommandons de n'utiliser cette technique que dans les cas où les applications ne fonctionnent pas correctement lorsque le filtrage de protocole est activé. Lorsque vous cliquez sur Ajouter, les applications et les services déjà concernés par le filtrage de protocole sont automatiquement affichés. Modifier - Modifie les entrées sélectionnées de la liste. Retirer - Supprime des entrées de la liste. 69 3.9.2.1.3 Adresses IP exclues Les adresses IP dans cette liste seront exclues du filtrage du contenu des protocoles. Les communications envoyées à ces adresses ou reçues de celles-ci par les protocoles HTTP/POP3/IMAP ne seront pas vérifiées pour savoir si elles contiennent des menaces. Il est recommandé de n'utiliser cette option que pour les adresses connues pour être fiables. Ajouter - Cliquez pour ajouter une adresse IP, une plage d'adresses ou un sous-réseau d'un point distant auquel la règle doit être appliquée. Modifier - Modifie les entrées sélectionnées de la liste. Retirer - Supprime des entrées de la liste. 70 3.9.2.1.4 SSL/TLS ESET Endpoint Antivirus est capable de vérifier les menaces dans les communications utilisant le protocole SSL. Vous pouvez utiliser différents modes d'analyse pour les communications protégées par SSL à l'aide des certificats fiables, des certificats inconnus ou des certificats exclus de la vérification des communications protégées par SSL. Activer le filtrage du protocole SSL/TLS - Si le filtrage de protocole est désactivé, le programme n'analysera pas les communications SSL. Les options suivantes peuvent s'appliquer au mode de filtrage du protocole SSL/TLS : Mode automatique - Sélectionnez cette option pour analyser toutes les communications protégées par SSL à l'exception des communications protégées par des certificats exclus de la vérification. Si une nouvelle communication utilisant un certificat signé, mais inconnu est établie, vous n'en serez pas avisé et la communication sera automatiquement filtrée. Lorsque vous accédez à un serveur en utilisant un certificat non fiable indiqué comme étant fiable (ajouté à la liste des certificats fiables), la communication avec le serveur est permise et le contenu du canal de communication est filtré. Mode interactive - Si vous entrez un nouveau site protégé par SSL (avec un certificat inconnu), une boite de dialogue de sélection d'action s'affiche. Ce mode permet de créer une liste de certificats SSL qui seront exclus de l'analyse. La Liste des applications SSL/TLS filtrées vous permet de personnaliser le comportement de ESET Endpoint Antivirus pour des applications en particulier. Liste des certificats connus vous permet de personnaliser le comportement de ESET Endpoint Antivirus pour des certificats SSL spécifiques. Exclure la communication avec les domaines de confiance : La fiabilité des domaines est déterminée par une liste blanche intégrée Bloquer les communications chiffrées à l'aide du protocole obsolète SSL v2 - Les communications utilisant la version antérieure du protocole SSL sont automatiquement bloquées. Certificat racine Certificat racine - Pour que la communication SSL fonctionne correctement dans les navigateurs/clients de messagerie, il est essentiel d'ajouter le certificat racine pour ESET à la liste des certificats racines connus (éditeurs). L'option Ajouter le certificat racine aux navigateurs connus doit donc être activée. Activez cette option pour ajouter automatiquement le certificat racine d'ESET aux navigateurs connus (par ex., Opera et Firefox). Pour les navigateurs utilisant le magasin de certification système, le certificat sera automatiquement ajouté (par ex., Internet Explorer). Pour appliquer le certificat à des navigateurs non pris en charge, cliquez sur Afficher le certificat > Détails > Copier dans un fichier..., puis importez-le manuellement dans le navigateur. Validité du certificat Si le certificat ne peut pas être vérifié à l'aide du magasin de certificats TRCA - Dans certains cas, le certificat d'un site Web ne peut être vérifié à l'aide du magasin de certificats Autorités de certification racines de confiance (TRCA). Cela veut dire que le certificat a été signé automatiquement par une personne (l'administrateur d'un serveur Web ou d'une petite entreprise par exemple) et considérer ce certificat comme étant un certificat fiable ne présente pas toujours de risque. Bon nombre de grandes entreprises (les banques, par ex.) utilisent un certificat signé par le TRCA. Si l'option Interroger sur la validité du certificat (valeur par défaut) est sélectionnée, l'utilisateur sera invité à sélectionner une action à prendre lorsqu'une communication encryptée est établie. Vous pouvez sélectionner Bloquer toute communication utilisant le certificat afin de toujours mettre fin aux connexions chiffrées vers des sites utilisant des certificats non vérifiés. Si le certificat est non valide ou incorrect - Cela signifie qu'il est expiré ou a été signé de façon incorrecte. Dans un tel cas, il est recommandé de bloquer la communication qui utilise le certificat sélectionné. 71 3.9.2.1.4.1 Communication SSL chiffrée Si votre système est configuré pour utiliser l'analyse du protocole SSL, une fenêtre de dialogue vous invitant à choisir une action s'affichera dans deux situations : Premièrement, si un site utilise un certificat invérifiable ou non valide, et que ESET Endpoint Antivirus est configuré pour demander l'avis de l'utilisateur dans de tels cas (par défaut oui pour les certificats invérifiables et non pour les certificats non valides), une boîte de dialogue vous demandera d'autoriser ou de bloquer la connexion. Deuxièmement, si le mode de filtrage du protocole SSL est réglé sur le mode interactif, une boîte de dialogue pour chaque site vous demandera si vous voulez analyser ou ignorer le trafic. Certaines applications vérifient que leur trafic SSL n'est ni modifié ni consulté par quiconque; dans de tels cas ESET Endpoint Antivirus doit ignorer ce trafic pour que l'application continue de fonctionner. Dans les deux cas, l'utilisateur peut choisir de mémoriser l'action sélectionnée. Les actions sont enregistrées dans la Liste des certificats connus. 3.9.2.1.4.2 Liste des certificats connus La Liste des certificats connus peut être utilisée pour personnaliser le comportement de ESET Endpoint Antivirus pour des certificats SSL spécifiques, et pour mémoriser les actions choisies si le Mode interactif est sélectionné dans Mode de filtrage du protocole SSL/TLS. La liste peut être affichée et modifiée dans Configuration avancée (touche F5) > Web et messagerie > SSL/TLS > Liste des certificats connus. La fenêtre Liste des certificats connus comprends : Colonnes Nom - Le nom du certificat. Émetteur du certificat - Nom du créateur du certificat. Objet du certificat - Le champ Objet du certificat identifie l'entité associée à la clé publique stockée dans le champ d'objet de clé publique. Accès - Sélectionnez Autoriserou Bloquer comme Action d'accès pour autoriser ou bloquer toute communication sécurisée par ce certificat indépendamment de sa fiabilité. Sélectionnez Auto pour autoriser les certificats fiables et demander l'action à entreprendre pour les certificats non fiables. Sélectionnez Demander pour toujours demander à l'utilisateur l'action à entreprendre. Analyser - Sélectionnez Analyser ou Ignorer comme action d'analyse pour analyser ou ignorer toute communication sécurisée par ce certificat. Sélectionnez Auto pour activer le mode d'analyse automatique et demander l'action à entreprendre en mode interactif. Sélectionnez Demander pour toujours demander à l'utilisateur l'action à entreprendre. Éléments de contrôle Ajouter - Il est possible de charger un certificat manuellement en tant que fichier avec l'extension .cer, .crt ou .pem. Cliquez sur Fichier pour téléverser un certificat local ou cliquez sur URL pour spécifier l'emplacement d'un certificat en ligne. Modifier - Sélectionnez le certificat que vous voulez configurer et cliquez sur Modifier. Supprimer - Sélectionnez le certificat que vous voulez supprimer et cliquez sur Supprimer. OK/Annuler - Cliquez sur OK si vous voulez enregistrer les modifications ou cliquez sur Annuler pour quitter sans enregistrer. 72 3.9.2.1.4.3 Liste des applications SSL/TLS filtrées La liste des applications SSL/TLS filtrées peut être utilisée pour personnaliser le comportement de ESET Endpoint Antivirus pour des applications spécifiques, et pour se rappeler des actions choisies si le mode interactif est sélectionné dans le mode de filtrage du protocole SSL/TLS. La liste peut être affichée et modifiée dans Configuration avancée (F5) > Web et messagerie > SSL/TLS > Liste des applications SSL/TLS filtrées. La fenêtre liste des applications SSL/TLS filtrées comprend : Colonnes Application - Nom de l'application. Action d'analyse - Sélectionnez Analyser ou Ignorer pour procéder à l'analyse ou ignorer la communication. Sélectionnez Auto pour activer le mode d'analyse automatique et demander l'action à entreprendre en mode interactif. Sélectionnez Demander pour toujours demander à l'utilisateur l'action à entreprendre. Éléments de contrôle Ajouter - Ajouter l'application filtrée. Modifier - Sélectionnez le certificat que vous voulez configurer et cliquez sur Modifier. Supprimer : Sélectionnez le certificat que vous voulez supprimer et cliquez sur Supprimer. OK/Annuler - Cliquez sur OK si vous souhaitez enregistrer les modifications ou cliquez sur Annuler si vous souhaitez quitter sans enregistrer. 3.9.2.2 Protection du client de messagerie 3.9.2.2.1 Clients de messagerie L'intégration de ESET Endpoint Antivirus dans les clients de messagerie, augmente le niveau de protection active contre le code malveillant dans les courriels. Si votre client de messagerie est pris en charge, l'intégration peut être activée dans ESET Endpoint Antivirus. Lorsque l'intégration est activée, la barre d'outils de ESET Endpoint Antivirus est insérée directement dans le client de messagerie (la barre d'outils des versions plus récentes de Windows Live Mail n'est pas insérées), permettant une protection plus efficace des courriels. Les paramètres d'intégration sont situés sous Configuration > Configuration avancée > Web et messagerie > Protection du client de messagerie > Clients de messagerie. Intégration des clients de messagerie Les clients de messagerie actuellement pris en charge sont Microsoft Outlook, Outlook Express, Windows Mail et Windows Live Mail. La protection de la messagerie fonctionne comme un plugiciel pour ces programmes. L'avantage principal du plugiciel est qu'il est indépendant du protocole utilisé. Ainsi, quand un client de messagerie reçoit un message chiffré, il le déchiffre et l'envoie à l'analyseur de virus. Pour la liste complète des clients de messagerie et de leurs versions pris en charge, reportez-vous à l'article Base de connaissances d'ESET. Même si l'intégration n'est pas activée, la communication par courriel est tout de même protégée par le module de protection du client de messagerie (POP3, IMAP). Activez l'option Désactiver la vérification au changement de contenu de la boîte aux lettres si vous constatez un ralentissement du système lors de l'utilisation du client de messagerie (MS Outlook uniquement). Cela peut se produire au moment de récupérer un courriel du Kerio Outlook Connector Store. 73 Messages à analyser Activer la protection courriel par les modules d'extension des clients - Lorsque la protection de la messagerie par le client de messagerie est désactivée, la vérification du client de messagerie par filtrage du protocole reste activée. Message reçu - Active ou désactive la vérification des messages reçus. Message envoyé - Active ou désactive la vérification des messages envoyés. Message lu - Active ou désactive la vérification des messages lus. Action à effectuer sur les messages infectés Aucune action - Si cette option est activée, le programme identifiera les messages infectés, les laissera tels quels et n'effectuera aucune action. Supprimer les messages - Le programme avertit l'utilisateur à propos des infiltrations et supprime le message. Déplacer le message vers le dossier Éléments supprimés - Les messages infectés seront automatiquement déplacés vers le dossier Éléments supprimés. Déplacer le message vers le dossier - Les messages infectés seront automatiquement déplacés vers le dossier indiqué. Dossier - Indiquez le dossier personnalisé dans lequel vous voulez placer les courriels infectés lorsqu'ils sont détectés. Répéter l'analyse après la mise à jour - Active ou désactive la nouvelle analyse après une mise à jour du moteur de détection. Accepter les résultats d'analyse des autres modules - Si cette option est activée, le module de protection de messages accepte les résultats d'analyse des autres modules de protection (analyse des protocoles POP3, IMAP). REMARQUE Nous recommandons l'activation des options Activer la protection courriel par les modules d'extension des clients et Activer la protection de la messagerie par filtrage de protocole (Configuration avancée (F5) > Web et messagerie > Protection du client de messagerie > Protocoles de messagerie). 3.9.2.2.2 Protocoles de messagerie Les protocoles IMAP et POP3 sont les protocoles les plus utilisés pour la réception de messages dans une application client de messagerie. ESET Endpoint Antivirus fournit une protection pour ces protocoles, indépendamment du client de messagerie utilisé, et sans nécessiter la reconfiguration du client de messagerie. Vous pouvez configurer la vérification des protocoles IMAP/IMAPS et POP3/POP3S dans la configuration avancée. Pour accéder à ces paramètres, ouvrez Web et courriel > Protection du client de messagerie > Protocoles de courriel. Activer la protection des protocoles de courriel - Active la vérification des protocoles de courriel. Dans Windows Vista et les versions ultérieures, les protocoles IMAP et POP3 sont automatiquement détectés et analysés sur tous les ports. Dans Windows XP, seuls les ports configurés utilisés par le protocole IMAP/POP3 sont analysés pour toutes les applications, et tous les ports sont analysés pour les applications marquées comme Web et client de messagerie. ESET Endpoint Antivirus prend également en charge l'analyse des protocoles IMAPS et POP3S qui utilisent un canal chiffré pour transférer des données entre un serveur et un client. ESET Endpoint Antivirus vérifie les communications utilisant les protocoles SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme analysera uniquement le trafic sur les ports définis dans Ports utilisés par le protocole IMAPS/POP3S, indépendamment de la version du système d'exploitation. Les communications chiffrées ne seront pas analysées lorsque les paramètres par défaut sont utilisés. Pour activer l'analyse des communications cryptées, allez à SSL/TLS dans Configuration avancée, cliquez sur Web et courriel > SSL/TLS et sélectionnez Activer le filtrage du protocole SSL. 74 3.9.2.2.3 Alertes et notifications La protection de la messagerie offre le contrôle de la communication par courriel effectuée par l'entremise des protocoles POP3 et IMAP. À l'aide du plugiciel pour Microsoft Outlook et d'autres clients de messagerie, ESET Endpoint Antivirus assure le contrôle de toutes les communications utilisant le client de messagerie (POP3, MAPI, IMAP, HTTP). Lorsqu'il examine les messages entrants, le programme utilise toutes les méthodes d'analyse avancée offertes par le moteur d'analyse ThreatSense. Autrement dit, la détection des programmes malveillants a lieu avant même que s'effectue la comparaison avec le moteur de détection. L'analyse des communications par l'entremise des protocoles POP3 et IMAP est indépendante du client de messagerie utilisé. Vous pouvez configurer les options de cette fonctionnalité dans Configuration avancée > Web et messagerie > Protection du client de messagerie > Alertes et notifications. Configuration du moteur ThreatSense - La configuration avancée de l'analyseur de virus permet de configurer les cibles à analyser, les méthodes de détection, etc. Cliquez pour afficher la fenêtre de configuration détaillée de l'analyseur de virus. Après la vérification du courriel, une notification avec le résultat de l'analyse peut être ajoutée au message. Vous pouvez sélectionner Ajouter une note aux messages reçus et lus, Ajouter une note à l'objet des messages infectés reçus et lus ou Ajouter une note aux messages envoyés. Sachez cependant qu'en de rares occasions, les étiquettes de messages peuvent être omises dans des messages HTML problématiques ou si le message a été falsifié par des logiciels malveillants. Les étiquettes peuvent être ajoutées tant aux messages reçus et lus que sortants (ou aux deux). Les options disponibles sont les suivantes : · Jamais - Aucune étiquette de message ne sera ajoutée. · Courriels infectés uniquement - Seuls les messages contenant des logiciels malveillants seront marqués comme vérifiés (par défaut). · Tout courriel analysé - Le programme ajoutera des messages à tout courriel analysé. Ajouter une note à l'objet des messages infectés envoyés - Désactivez cette option si vous voulez que la protection de la messagerie ajoute un message d'avertissement de virus dans l'objet des courriels infectés. Cette fonctionnalité un filtrage simple, selon l'objet, des messages infectés (si ce filtrage est pris en charge par le programme de messagerie). Elle augmente le niveau de crédibilité des messages pour le destinataire et, en cas de 75 détection d'une infiltration, fournit de précieuses données sur le niveau de menace d'un message ou expéditeur donné. Modèle ajouté à l'objet d'un message infecté - Modifier ce modèle si vous voulez modifier le format du préfixe d'objet d'un courriel infecté. Cette fonction remplacera l'objet du message « Hello » par une valeur de préfixe donnée « [virus] » dans le format suivant : « [virus] Hello ». La variable %VIRUSNAME% représente la menace détectée. 3.9.2.3 Protection de l'accès Web La connectivité Internet est un élément standard sur la plupart des ordinateurs personnels. Malheureusement, c'est aussi devenu le principal moyen de transférer et disséminer du code malveillant. La protection de l'accès Web utilise la surveillance des communication entre les navigateurs Internet et des serveurs distants, conformément aux règles des protocoles HTTP et HTTPS (communications chiffrées). L'accès aux pages Web contenant du code malveillant est bloqué avant que le contenu ne soit téléchargé. Toutes les autres pages Web sont analysées par le moteur de ThreatSense lorsqu'elles sont chargées et bloquées en cas de détection de contenu malveillant. La protection de l'accès Web offre deux niveaux de protection : le blocage selon la liste noire et le blocage selon le contenu. Il est fortement recommandé de garder la protection de l'accès Web activée. Vous pouvez accéder à cette option à partir de la fenêtre principale de ESET Endpoint Antivirus en allant dans Configuration > Web et messagerie > Protection de l'accès Web. Les options suivantes sont disponibles dans Configuration avancée (touche F5) > Web et messagerie > Protection de l'accès Web : · Protocoles Web - Les protocoles Web permettent de configurer la surveillance de ces protocoles standards qui sont utilisés par la plupart des navigateurs Internet. · Gestion d'adresses URL - La gestion d'adresses URL vous permet de préciser les adresses HTTP à bloquer, à autoriser ou à exclure de la vérification. · Configuration des paramètres du moteur de ThreatSense - La configuration avancée de l'analyseur de virus permet de configurer les paramètres tels que les types d'objets à analyser (courriels, archives, etc), les méthodes de détection pour la protection de l'accès Web, etc. 76 3.9.2.3.1 Protocoles Web Par défaut, ESET Endpoint Antivirus est configuré pour surveiller le protocole HTTP utilisé par la plupart des navigateurs Internet. Dans Windows Vista et les versions ultérieures, le trafic HTTP est toujours surveillé sur tous les ports pour toutes les applications. Dans Windows XP, vous pouvez modifier les ports utilisés par le protocole HTTP dans Configuration avancée (touche F5) > Web et messagerie > Protection de l'accès Web > Protocoles Web > Configuration de l'analyseur HTTP. Le trafic HTTP est surveillé sur les ports indiqués pour toutes les applications et sur ?tous les ports pour les applications marquées comme Web et clients de messagerie. ESET Endpoint Antivirus prend en charge le contrôle de protocole HTTPS. La communication HTTPS utilise un canal chiffré pour transférer des données entre un serveur et un client. ESET Endpoint Antivirus vérifie les communications à l'aide des méthodes de chiffrement SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme analysera uniquement le trafic sur les ports définis dans Ports utilisés par le protocole HTTPS, indépendamment de la version du système d'exploitation. Les communications chiffrées ne seront pas analysées lorsque les paramètres par défaut sont utilisés. Pour activer l'analyse des communications cryptées, allez à SSL/TLS dans Configuration avancée, cliquez sur Web et courriel > SSL/TLS et sélectionnez Activer le filtrage du protocole SSL. 3.9.2.3.2 Gestion d'adresses URL La section de gestion d'adresses URL vous permet d'indiquer les adresses HTTP à bloquer, à autoriser ou à exclure de la vérification. Les sites Web de la liste des adresses bloquées ne seront pas accessibles, sauf s'ils sont également inclus dans la liste des adresses autorisées. Les sites Web de la liste des adresses exclues de la vérification ne sont pas analysés à la recherche de code malveillant lorsqu'un utilisateur y accède. Activer le filtrage de protocole SSL doit être sélectionné si vous voulez filtrer les adresses HTTPS en plus des pages Web HTTP. Sinon, seuls les domaines des sites HTTPS que vous avez visités seront ajoutés, l'URL complète ne le sera pas. Dans toutes les listes, vous pouvez utiliser les symboles spéciaux * (astérisque) et ? (point d'interrogation). L'astérisque représente un nombre ou un caractère, tandis que le point d'interrogation représente un caractère quelconque. Vous devez faire attention lorsque vous indiquez les adresses exclues, car la liste ne doit contenir que des adresses sûres et fiables. De même, assurez-vous d'employer correctement les symboles * et ? dans cette liste. Voir Ajouter des adresses/masques de domaine HTTP pour en savoir plus sur la façon dont un domaine entier incluant tous les sous-domaines peut être jumelé en toute sécurité. Pour activer une liste, sélectionnez l'option Liste active. Si vous voulez être notifié quand une adresse est entrée à partir de la liste actuelle, sélectionnez l'option Notifier une fois appliqué. Si vous voulez bloquer toutes les adresses HTTP à l'exception des adresses indiquées dans la liste des adresses autorisées, ajoutez * à la liste des adresses bloquées active. 77 Ajouter - Permet de créer un nouvelle liste en plus de celles prédéfinies. Cette option peut être utile si vous souhaitez séparer logiquement différents groupes d'adresses. Par exemple, une liste des adresses bloquées peut contenir des adresses d'une liste noire publique externe quelconque et une seconde peut contenir votre propre liste noire, ce qui rend plus facile la mise à jour de la liste externe tout en gardant la vôtre intact. Modifier - Permet de modifier les listes existantes. Utilisez cette option pour ajouter ou retirer des adresses des listes. Retirer - Permet de supprimer une liste existante. Possible uniquement pour des listes créées avec Ajouter, non pour les listes par défaut. 3.9.2.4 Protection anti-hameçonnage Le terme hameçonnage (« phishing » en anglais) désigne une activité frauduleuse qui utilise le piratage psychologique (manipuler les utilisateurs pour obtenir des données confidentielles). Le hameçonnage est souvent utilisé pour accéder à des données sensibles, telles que numéros de comptes bancaires, NIP, etc. Consultez le glossaire pour en savoir plus sur cette activité. ESET Endpoint Antivirus contient une protection anti-hameçonnage qui bloque les pages Web connues pour distribuer ce type de contenu. Nous recommandons fortement d'activer la protection anti-hameçonnage dans ESET Endpoint Antivirus. Vous pouvez accéder à cette option dans Configuration avancée (touche F5), Web et messagerie > Protection antihameçonnage. Consultez l'article de notre base de connaissances à ce sujet pour plus de renseignements sur la protection antihameçonnage de ESET Endpoint Antivirus. Accéder à un site Web de hameçonnage Lorsque vous accéderez à un site Web reconnu comme pratiquant du hameçonnage, la boîte de dialogue suivante s'affichage dans votre navigateur Web. Si vous voulez quand même accéder au site Web, cliquez sur Se rendre sur le site (non recommandé). 78 REMARQUE Les sites Web présentant des possibilités de hameçonnage qui ont été ajoutés à la liste blanche expireront par défaut plusieurs heures après l'ajout. Pour autoriser un site de façon permanente, utilisez l'outil Gestion d'adresse URL. À partir de Configuration avancée (touche F5) cliquez sur Web et messagerie > Protection de l'accès Web > Gestion d'adresses URL> Liste d'adresse et cliquez sur Modifier, puis ajoutez le site Web que vous voulez modifier à la liste. Déclaration d'un site de hameçonnage Le lien Signaler vous permet de signaler un site Web de hameçonnage ou malveillant à ESET qui l'analysera par la suite. REMARQUE Avant de soumettre un site Web à ESET, assurez-vous qu'il répond à un ou à plusieurs des critères suivants : · le site Web n'est pas du tout détecté, · le site Web est erronément détecté comme une menace. Dans ce cas, vous pouvez rapporter un faux positif pour le hameçonnage. Vous pouvez également soumettre le site Web par courriel. Envoyez votre message à [email protected]. N'oubliez pas d'utiliser un objet clair et compréhensible et fournissez le plus de détails possible sur le site Web (par ex., le site Web d'où vous y avez accédé, comment vous en avez entendu parler, etc.). 79 3.9.3 Mise à jour du programme La mise à jour régulière de ESET Endpoint Antivirus constitue la meilleure méthode pour obtenir le niveau maximal de sécurité pour votre ordinateur. Le module de mise à jour veille à ce que le programme soit toujours à jour de deux façons : en mettant à jour le moteur de détection et les composants système. En cliquant sur Mettre à jour dans la fenêtre principale du programme, vous pourrez obtenir l'état actuel des mises à jour, y compris la date et l'heure de la dernière mise à jour réussie et si une nouvelle mise à jour est requise. Vous pouvez également cliquer sur le lien Afficher tous les modules pour ouvrir la liste des modules installés et vérifier la version et la dernière mise à jour d'un module De plus, l'option Vérifier les mises à jour permettant de lancer manuellement le processus de mise à jour est également disponible. Mettre à jour le moteur de détection et les composants du programme est un élément important pour assurer une protection totale contre les attaques des codes malveillants. Il faut donc accorder une grande attention à sa configuration et à son fonctionnement. Si vous n'avez pas entré les détails de la licence pendant l'installation, vous pouvez entrer la clé de licence en cliquant sur Activer le produit au moment de la mise à jour d'accès aux serveurs de mise à jour d'ESET. Si vous activez ESET Endpoint Antivirus à l'aide d'une licence hors ligne sans nom d'utilisateur ni mot de passe et tentez d'effectuer une mise à jour, l'information en rouge Erreur lors de la mise à jour du moteur de détection indique que vous pouvez télécharger les mises à jour seulement à partir du miroir. REMARQUE Votre clé de licence est fournie par ESET à l'achat de ESET Endpoint Antivirus. Version actuelle – Numéro de version de ESET Endpoint Antivirus. Dernière mise à jour - Date et heure de la dernière mise à jour. Assurez-vous qu'il s'agit d'une date récente indiquant que le moteur de détection est à jour. Dernière vérification des mises à jour - Date et heure de la dernière tentative de mise à jour des modules. 80 Afficher tous les modules - Vous pouvez également cliquer sur ce lien pour ouvrir la liste des modules installés et vérifier la version et la dernière mise à jour d'un module Processus de mise à jour Une fois que vous aurez cliqué sur le bouton Vérifier les mises à jour, le téléchargement commence. Une barre de progression s'affiche indiquant le temps de téléchargement restant. Pour interrompre la mise à jour, cliquez sur Annuler la mise à jour. IMPORTANT Dans des circonstances normales, le moteur de détection se met à jour plusieurs fois par jour. Si ce n'est pas le cas, le programme n'est pas à jour et est donc plus vulnérable à une infection. Veuillez mettre à jour le moteur de détection dès que possible. Le moteur de détection n'est plus à jour - Cette erreur apparaît après plusieurs tentatives infructueuses de mise à jour du moteur de détection. Nous recommandons de vérifier les paramètres de mise à jour. La cause la plus courante de cette erreur est une entrée incorrecte des données d'authentification ou une configuration incorrecte des paramètres de connexion. 81 La notification précédente a trait aux deux messages suivants (Échec de mise à jour du moteur de détection) sur les mises à jour infructueuses : 1. Licence non valide - La clé de licence a été entrée avec une erreur dans la configuration des mises à jour. Veuillez vérifier vos données d'authentification. La fenêtre Configuration avancée (cliquez sur Configuration, dans le menu principal, puis sur Configuration avancée ou appuyez sur la touche F5 de votre clavier) contient d'autres options de mise à jour. Cliquez sur Aide et assistance > Gérer les licences à partir du menu principal pour entrer une nouvelle clé de licence. 82 2. Une erreur s'est produite pendant le téléchargement des fichiers de mise à jour. - Des paramètres de connexion Internet incorrects sont une cause possible de cette erreur. Nous vous recommandons de vérifier votre connectivité à Internet (en ouvrant un site Web dans votre navigateur). Si le site Web ne s'ouvre pas, il est probable qu'aucune connexion à Internet ne soit établie ou que votre ordinateur ait des problèmes de connectivité. Consultez votre fournisseur de services Internet si vous ne disposez pas d'une connexion Internet active. REMARQUE Pour de plus amples renseignements, veuillez lire cet article de la base de connaissance d'ESET. 3.9.3.1 Configuration des mises à jour Vous pouvez accéder aux options de configuration des mises à jour à partir de l'arborescence de Configuration avancée (touche F5), Mettre à jour Cette section permet de préciser l'information sur les sources des mises à jour, comme les serveurs de mise à jour utilisés et les données d'authentification donnant accès à ces serveurs. Général Le profil de mise à jour actuellement utilisé s'affiche dans le menu déroulant Profil de mise à jour. Pour créer un nouveau profil, accédez à l'onglet Profils et cliquez sur Modifier à côté de Liste des profils, entrez votre propre nom de profil et cliquez sur Ajouter. Si vous éprouvez de la difficulté à télécharger les mises à jour des modules, cliquez sur Supprimer pour supprimer les fichiers ou le cache de mise à jour temporaire. Alertes de moteur de détection obsolète Définir l'âge maximal de la base de données automatiquement - Permet de définir la durée maximale (en jour) après laquelle le moteur de détection sera déclaré obsolète. La valeur par défaut est 7. 83 Annuler Si vous soupçonnez qu'une nouvelle mise à jour du moteur de détection et/ou des modules du programme peut être instable ou endommagée, vous pouvez retourner à la version antérieure et désactiver toutes les mises à jour pour une durée choisie. Vous pouvez également activer les mises à jour déjà désactivées, si vous les avez déjà reportées indéfiniment. ESET Endpoint Antivirus enregistre des instantanés du moteur de détection et des modules du programme à utiliser avec la fonctionnalité d'annulation. Pour créer des images de la base de données de virus, laissez le commutateur Créer une image instantanée des fichiers de mise à jour activé. Le champ Nombre d'instantanés stockés localement définit le nombre d'instantanés de la base de virus stockés. Si vous cliquez sur Annuler les modifications (Configuration avancée (touche F5) > Mettre à jour > Général), vous devez sélectionner un intervalle dans le menu déroulant représentant la durée pendant laquelle les mises à jour du moteur de détection et des modules du programme seront suspendues. Il est essentiel d'inscrire correctement tous les paramètres de mise à jour afin de télécharger correctement les mises à jour. Si un pare-feu est utilisé, assurez-vous que le programme ESET est autorisé à accéder à Internet (par exemple. communication HTTP). Profils Pour créer un nouveau profil, cliquez sur Modifier à côté de Liste des profils, entrez votre propre nom de profil, puis cliquez sur Ajouter. Pour modifier le profil créé, sélectionnez-le, puis cliquez sur Modifier à côté de Liste des profils. L'essentiel Par défaut, le menu Type de mises à jour est réglé à Mise à jour régulière afin de s'assurer que les fichiers de mise à jour sont automatiquement téléchargés à partir du serveur ESET avec le moins de trafic réseau possible. Les préversions des mises à jour (l'option Préversion de la mise à jour) sont des mises à jour ayant subi des tests internes approfondis et qui seront bientôt offertes au public. Vous pouvez profiter de l'activation des préversions des mises à jour en accédant aux méthodes de détection et les solutions les plus récentes. Cependant, il est possible que les préversions des mises à jour ne soient pas toujours stables et elles ne DEVRAIENT PAS être 84 utilisées sur les serveurs et postes de travail de production où une disponibilité et une stabilité maximales sont requises. La mise à jour différée permet une mise à jour à partir de serveurs de mise à jour particuliers offrant de nouvelles versions des bases de données de virus dans un délai d'au moins X heures (c'est-à-dire qu'ils téléchargeront des bases de données testées dans un environnement réel, donc jugées stables). Désactiver les notifications de mise à jour réussie - Désactive les notifications dans la barre d'état système, dans le coin inférieur droit de l'écran. Sélectionnez cette option si vous utilisez une application ou un jeu en mode plein écran. Veuillez noter que le mode présentation désactivera toutes les notifications. Mettre à jour à partir du périphérique amovible - Permet une mettre à jour à partir du périphérique amovible s'il contient le miroir créé. Lorsque Automatique est sélectionné, la mise à jour s'exécutera à l'arrière-plan. Si vous voulez afficher les boîtes de dialogue de mise à jour, sélectionnez Toujours demander. Le menu Serveur de mise à jour est défini par défaut à Choisir automatiquement. Le serveur de mise à jour est l'endroit où sont stockées les mises à jour. Si vous utilisez un serveur ESET, nous vous recommandons de conserver l'option sélectionnée par défaut. Si un serveur local HTTP est utilisé - aussi appelé Miroir - le serveur de mise à jour doit être configuré comme suit : http://nom_ordinateur_ou_son_adresse_IP:2221. Si un serveur local HTTP avec SSL est utilisé - le serveur de mise à jour doit être configuré comme suit : https://nom_ordinateur_ou_son_adresse_IP:2221. Si un dossier partagé local est utilisé - le serveur de mise à jour doit être configuré comme suit : \\nom_de_l'ordinateur_ou_son_adresse_IP\dossier_partagé Mise à jour à partir du miroir L'authentification pour les serveurs de mise à jour est basée sur la clé de licence générée et envoyée à l'utilisateur après l'achat. Lorsque vous utilisez un serveur miroir local, vous pouvez définir les informations d'identification permettant aux clients de se connecter au serveur miroir pour recevoir les mises à jour. Par défaut, aucune vérification n'est exigée et les champs Nom d'utilisateur et Mot de passe restent vides. 3.9.3.1.1 Profils de mise à jour Les profils de mise à jour peuvent être créés pour différentes configurations et tâches de mise à jour. Les propriétés des connexions Internet étant variables, la création de profils de mise à jour est particulièrement utile pour les utilisateurs mobiles. Le menu déroulant Profil de mise à jour affiche le profil actuellement sélectionné et est réglé par défaut sur Mon profil. Pour créer un nouveau profil, cliquez sur Modifier à côté de Liste des profils, entrez votre propre nom de profil, puis cliquez sur Ajouter. 3.9.3.1.2 Annulation de la mise à jour Si vous cliquez sur Annuler les modifications (Configuration avancée (touche F5) > Mettre à jour > Profil), vous devez sélectionner un intervalle dans le menu déroulant représentant la durée pendant laquelle les mises à jour du moteur de détection et des modules du programme seront suspendues. 85 Sélectionnez Jusqu'à son retrait pour reporter indéfiniment les mises à jour régulières jusqu'à ce que vous restauriez manuellement cette fonctionnalité. Nous ne recommandons pas de sélectionner cette option, puisqu'elle présente un risque potentiel au niveau de la sécurité. La version du moteur de détection sera rétablie à la plus ancienne image disponible et stockée comme image dans le système de fichiers de l'ordinateur local. REMARQUE Disons que le numéro 10646 correspond à la version la plus récente du moteur de détection. Les numéros 10645 et 10643 sont enregistrés comme des images du moteur de détection. À noter que le numéro 10644 n'est pas disponible, car, par exemple, l'ordinateur était éteint et une mise à jour plus récente fut rendue disponible avant que le numéro 10644 ait été téléchargé. Si le champ Nombre d'images instantanées stockées localement est défini sur 2 et que vous cliquez sur Annuler les modifications, la version numéro 10643 du moteur de détection sera restaurée. Veuillez cependant noter que ce processus peut prendre un certain temps. Vérifiez ensuite si la version du moteur de détection a été rétablie dans la fenêtre principale de ESET Endpoint Antivirus, dans la section Mise à jour. 3.9.3.1.3 Mode de mise à jour L'onglet Mode de mise à jour contient les options concernant la mise à jour des composants du programme. Le programme vous permet d'en contrôler le comportement lors de la mise à jour des composants du programme. Les mises à jour des composants du programme ajoutent de nouvelles fonctionnalités aux fonctionnalités existantes ou les modifient. Elle peut s'effectuer sans intervention de l'utilisateur ou après notification de ce dernier. Le redémarrage d'un ordinateur peut être exigé après la mise à jour des composants du programme. Dans la section Mise à jour des composants du programme, trois options sont disponibles : · Demander avant de télécharger les composants du programme - L'option par défaut. Vous serez invité à confirmer ou à refuser les mises à jour des composants du programme lorsqu'elles sont disponibles. · Toujours mettre à jour les composants du programme - Une mise à jour des composants du programme sera automatiquement téléchargée et installée. Notez que cela peut exiger le redémarrage du système. · Ne jamais mettre à jour les composants du programme - Aucune mise à jour des composants du programme ne sera effectuée. Cette option convient surtout aux serveurs car ces derniers ne doivent être redémarrés qu'en cas de maintenance. REMARQUE La sélection des options les plus appropriées dépend des stations de travail sur lesquelles les paramètres seront appliqués. Notez qu'il existe des différences entre les postes de travail et les serveurs. Par exemple, le redémarrage automatique d'un serveur après une mise à jour du programme peut causer de graves dommages. Activer la mise à jour manuelle des composants du programme - Désactivé par défaut. Lorsque cette option est activée et qu'une nouvelle version de ESET Endpoint Antivirus est disponible, vous pouvez vérifier les mises à jour dans le volet Mise à jour et installer la nouvelle version. Si l'option Demander avant de télécharger une mise à jour est cochée, une notification s'affichera lorsqu'une nouvelle mise à jour sera disponible. Si la taille du fichier de mise à jour est supérieure à la valeur précisée dans Demander si un fichier de mise à jour a une taille supérieure (ko), le programme affichera une notification. 86 3.9.3.1.4 Serveur HTTP Port du serveur - Par défaut, le port du serveur est défini à 2221. Authentification - Définit la méthode d'authentification utilisée pour accéder aux fichiers de mise à jour. Les options suivantes sont disponibles : None, Basic et NTLM. Sélectionnez Basic pour utiliser le codage base64 avec l'authentification de base du nom d'utilisateur et mot de passe. L'option NTLM fournit un codage utilisant une méthode de codage fiable. L'utilisateur créé sur le poste de travail partageant les fichiers de mise à jour sera utilisé pour l'authentification. L'option par défaut est None. Elle autorise l'accès aux fichiers des mises à jour sans exiger d'authentification. Ajoutez-le à votre Fichier de chaîne du certificat ou générez un certificat auto-signé si vous voulez utiliser un serveur HTTP prenant HTTPS (SSL) en charge. Les types de certificats suivants sont offerts : ASN, PEM et PFX. Pour plus de sécurité, vous pouvez utiliser le protocole HTTPS pour télécharger les fichiers de mise à jour. Il est presque impossible de retracer les transferts de données et les informations d'identification lorsque ce protocole est utilisé. L'option Type de clé privée est mise à Intégré par défaut (le Fichier de clé privée est donc désactivé par défaut). Cela signifie que la clé privée fait partie du fichier de chaîne de certificat sélectionné. REMARQUE Les données d'authentification, comme le nom d'utilisateur et le mot de passe, sont conçues pour permettre d'accéder au serveur mandataire. Ne remplissez ces champs que si un nom d'utilisateur et un mot de passe sont requis. Notez que ces champs ne sont pas ceux du mot de passe/nom d'utilisateur de ESET Endpoint Antivirus et ne doivent être indiqués que si vous savez que vous avez besoin d'un mot de passe pour accéder à Internet par l'entremise d'un serveur mandataire. 3.9.3.1.5 Options de connexion Lors de la mise à jour depuis un serveur local avec une version du système d'exploitation Windows NT, une authentification est exigée par défaut pour chaque connexion réseau. Pour configurer un tel compte, sélectionnez à partir du menu déroulant Se connecter au réseau local comme : · Compte système (par défaut), · Utilisateur actuel, · Utilisateur spécifié. Sélectionnez Compte système (par défaut) pour utiliser le compte système pour l'authentification. Normalement, aucune authentification ne sera effectuée si des données d'authentification ne sont pas inscrites dans la section de configuration des mises à jour. Pour s'assurer que le programme s'authentifie à l'aide du compte de l'utilisateur actuellement connecté, sélectionnez Utilisateur actuel. L'inconvénient de cette solution est que le programme est dans l'impossibilité de se connecter au serveur de mise à jour si aucun utilisateur n'est actuellement connecté. Sélectionnez Utilisateur spécifié si vous voulez que le programme utilise un compte utilisateur précisé pour l'authentification. Cette méthode doit être utilisée lorsque la connexion avec le compte système par défaut n'a pas fonctionné. À noter que le compte de l'utilisateur spécifié doit avoir le droit d'accès au dossier des fichiers de mise à jour du serveur local. Dans le cas contraire, le programme serait incapable d'établir une connexion et de télécharger les mises à jour. Les paramètres Nom d'utilisateur et Mot de passe sont facultatifs. AVERTISSEMENT Si l'une des options Utilisateur actuel ou Utilisateur spécifié est sélectionnée, une erreur peut se produire si l'identité du programme est changée pour l'utilisateur souhaité. Il est recommandé d'entrer les données d'authentification du réseau local dans la section de configuration des mises à jour. Dans cette section, les données d'authentification doivent être entrées comme suit : domain_name\user (si c'est un groupe de travail, entrez workgroup_name\name) et le mot de passe. La mise à jour de la version HTTP du serveur local n'exige aucune authentification. 87 Sélectionnez Déconnecter du serveur après la mise à jour pour forcer la déconnexion si la connexion au serveur reste active même après le téléchargement des mises à jour. 3.9.3.1.6 Miroir de mise à jour ESET Endpoint Antivirus permet de créer des copies des fichiers de mise à jour qui peuvent être utilisées pour mettre à jour les autres stations de travail se trouvant sur le réseau. Utilisation d'un « miroir » - Puisqu'il n'est pas nécessaire que les fichiers de mise à jour soient téléchargés à plusieurs reprises à partir du serveur de mise à jour du fournisseur pour chacun des postes de travail, il serait pratique d'en conserver une copie dans l'environnement du réseau local. Les mises à jour sont alors téléchargées sur le serveur miroir local puis distribuées à toutes les stations de travail, ce qui évitera tout risque de surcharge du réseau. La mise à jour des postes de travail à partir d'un miroir optimise l'équilibre de la charge réseau et libère les bandes passantes des connexions Internet. Les options de configuration du serveur miroir local sont situées dans la configuration avancée sous Mettre à jour. Pour accéder à cette section, appuyez sur la touche F5 pour accéder à la configuration avancée et cliquez sur Mettre à jour > Profils, puis sélectionnez l'onglet Miroir. Pour créer un miroir sur une station de travail cliente, activez Créer un miroir de mise à jour. Cocher cette option active d'autres options de configuration du miroir, telles que la manière d'accéder aux fichiers de mise à jour et le chemin des fichiers miroirs. Accéder aux fichiers de mise à jour Fournir les fichiers de mise à jour par l'intermédiaire d'un serveur HTTP interne - Si cette option est activée, les fichiers de mise à jour seront tout simplement accessibles par l'intermédiaire d'un serveur HTTP et aucune donnée d'identification ne sera requise ici. REMARQUE Windows XP requiert l'ensemble de modifications provisoires 2 ou ultérieure pour utiliser le serveur HTTP. Les méthodes d'accès au serveur miroir sont décrits en détail dans la section Mise à jour à partir du miroir. Il existe deux méthodes de base pour accéder au miroir : le dossier contenant les fichiers de mise à jour peut être vu comme un dossier réseau partagé ou les clients peuvent accéder au miroir situé sur un serveur HTTP. 88 Le dossier réservé à l'enregistrement des fichiers de mise à jour du miroir peut être défini dans la section Dossier de stockage des fichiers miroir. Pour choisir un dossier différent, cliquez sur Effacer pour supprimer le dossier prédéfini C:\ProgramData\ESET\ESET Endpoint Antivirus\mirror, puis cliquez sur Modifier pour rechercher un dossier sur l'ordinateur local ou sur un dossier réseau partagé. Si une autorisation pour le dossier indiqué est requise, les données d'authentification doivent être entrées dans les champs Nom d'utilisateur et Mot de passe. Si le dossier destination sélectionné se trouve sur un disque réseau utilisant le système d'exploitation Windows NT/2000/XP, le nom d'utilisateur et le mot de passe indiqués doivent avoir les droits d'écriture pour ce dossier. Le nom d'utilisateur et le mot de passe doivent être entrés dans le format Domaine/Utilisateur ou Workgroup/Utilisateur. N'oubliez pas de fournir les mots de passe correspondants. Fichiers - Lors de la configuration du miroir, vous pouvez spécifier les versions linguistiques des mises à jour que vous souhaitez télécharger. Les langues sélectionnées doivent être prises en charge par le serveur du miroir configuré par l'utilisateur. Mise à jour des composants du programme Mise à jour automatique des composants : Permet d’installer de nouvelles fonctionnalités et d’effectuer la mise à jour des fonctionnalités existantes. Une mise à jour peut s'effectuer sans intervention de l'utilisateur ou après notification de ce dernier. Le redémarrage d'un ordinateur peut être exigé après la mise à jour des composants du programme. Mettre le composant à jour maintenant - Met à jour les composants du programme à l'aide de la dernière version. 89 3.9.3.1.6.1 Mise à jour à partir du miroir Il existe deux méthodes de base pour configurer un miroir, qui est essentiellement un référentiel où les clients peuvent télécharger les fichiers de mise à jour. Le dossier contenant les fichiers de mise à jour peut être vu comme un dossier réseau partagé ou comme un serveur HTTP. Accès au miroir au moyen d'un serveur HTTP interne La configuration par défaut, indiquée dans la configuration prédéfinie du programme. Pour accéder au miroir à l'aide du serveur HTTP, allez à Configuration avancée > Mise à jour > Profils > Miroir et sélectionnez Créer un miroir de mise à jour. Dans la section Serveur HTTP de l'onglet Miroir, vous pouvez préciser le port du serveur où le serveur HTTP écoutera, ainsi que le type d'authentification utilisé par le serveur HTTP. Ce port est configuré, par défaut, à 2221. L'option d'authentification définit la méthode d'authentification utilisée pour accéder aux fichiers de mise à jour. Les options suivantes sont disponibles : NONE, Basic et NTLM. Sélectionnez Basic pour utiliser le codage base64 avec l'authentification de base du nom d'utilisateur et mot de passe. L'option NTLM fournit un codage utilisant une méthode de codage fiable. L'utilisateur créé sur le poste de travail partageant les fichiers de mise à jour sera utilisé pour l'authentification. L'option par défaut est NONE. Elle autorise l'accès aux fichiers des mises à jour sans exiger d'authentification. AVERTISSEMENT L'accès aux fichiers de mise à jour à l'aide du serveur HTTP exige que le dossier miroir soit sur le même ordinateur que l'instance de ESET Endpoint Antivirus qui l'a créé. SSL pour serveur HTTP Ajoutez-le à votre Fichier de chaîne du certificat ou générez un certificat auto-signé si vous voulez utiliser un serveur HTTP prenant HTTPS (SSL) en charge. Les types de certificats suivants sont offerts : PEM, PFX et ASN. Pour plus de sécurité, vous pouvez utiliser le protocole HTTPS pour télécharger les fichiers de mise à jour. Il est presque impossible de retracer les transferts de données et les informations d'identification lorsque ce protocole est utilisé. Le Type de clé privée est mis à Intégré par défaut, ce qui veut dire que la clé privée fait partie du fichier de chaine du certificat sélectionné. REMARQUE Une erreur Nom d'utilisateur ou mot de passe non valide apparaitra dans le volet Mettre à jour du menu principal après plusieurs tentatives infructueuses de mise à jour, depuis le miroir, du moteur de détection. Nous vous recommandons d'accéder à Configuration avancée > Mise à jour > Profils > Miroir et de vérifier le nom d'utilisateur et le mot de passe. La cause la plus courante de cette erreur est une mauvaise saisie des données d'authentification. 90 Après la configuration de votre serveur miroir, vous devez ajouter le nouveau serveur de mise à jour sur les stations de travail client. Pour ce faire, suivez les étapes indiquées ci-dessous : · Accédez à la Configuration avancée (touche F5) et cliquez sur Mise à jour > Profils > Basique. · Désélectionnez Choisir automatiquement et ajoutez un nouveau serveur au champ Serveur de mise à jour en utilisant l'un des formats suivants : http://adresse_IP_de_votre_serveur:2221 https://adresse_IP_de_votre_serveur:2221 (si SSL est utilisé) Accès au miroir par le partage des systèmes Un dossier partagé doit d'abord être créé sur un lecteur local ou réseau. Lors de la création du dossier pour le miroir, il est nécessaire d'octroyer le droit d'« écriture » à l'utilisateur qui va sauvegarder les fichiers dans le dossier et le droit de « lecture » aux utilisateurs qui vont utiliser le dossier miroir pour la mise à jour d'ESET Endpoint Antivirus. Configurez ensuite l'accès au miroir dans l'onglet Configuration avancée > Mise à jour> Profils > Miroir en désactivant l'option Fournir les fichiers de mise à jour par l’intermédiaire d'un serveur HTTP interne. Cette option est activée par défaut lors de l'installation du programme. Si le dossier partagé se trouve sur un autre ordinateur du réseau, vous devez saisir des données d'authentification pour accéder à l'autre ordinateur. Pour saisir les données d'authentification, ouvrez ESET Endpoint Antivirus Configuration avancée (touche F5) et cliquez sur Mise à jour > Profils > Se connecter au réseau local comme. Ce paramètre est le même que celui de la mise à jour, comme décrit dans la section Se connecter au réseau local comme. Une fois la configuration du miroir terminée, définissez sur les postes de travail \UNC\PATH comme serveur de mise à jour en suivant les étapes suivantes : 1. Ouvrez ESET Endpoint Antivirus Configuration avancée et cliquez sur Mise à jour > Profils > Basique. 2. DésélectionnezChoisir automatiquement et ajoutez un nouveau serveur au champ Serveur de mise à jour en utilisant le format \\UNC\PATH. REMARQUE 91 Pour un fonctionnement correct des mises à jour, le chemin du dossier miroir doit être précisé comme chemin UNC. Les mises à jour à partir de lecteurs mappés pourraient ne pas fonctionner. La dernière section contrôle les composants du programme. Par défaut, les composants de programme ayant été téléchargés seront préparés pour ensuite être copiés sur le miroir local. Si l'option Mettre à jour les composants du programme est cochée, il n'est pas nécessaire de cliquer sur Mettre à jour, car les fichiers seront automatiquement copiés sur le miroir local lorsqu'ils seront disponibles. Consultez la section Mode de mise à jour pour plus de détails sur les mises à jour des composants du programme. 3.9.3.1.6.2 Résolution des problèmes de miroir de mise à jour Dans la plupart des cas, les problèmes lors d'une mise à jour depuis un serveur miroir découlent d'une ou de plusieurs des causes suivantes : une mauvaise spécification des options du dossier miroir, des données d'authentification incorrectes pour l'accès au dossier miroir, une mauvaise configuration des postes de travail qui cherchent à télécharger des fichiers de mise à jour du miroir ou une combinaison de ces raisons. Nous donnons cidessous un aperçu des problèmes les plus fréquents qui peuvent se produire lors d'une mise à jour depuis le miroir : ESET Endpoint Antivirus signale une erreur de connexion au serveur miroir - Probablement causée par un serveur de mise à jour incorrect (chemin réseau du dossier miroir) à partir duquel les postes de travail locaux téléchargent les mises à jour. Pour vérifier le dossier, cliquez sur Démarrer puis sur Exécuter avant d'entrer le nom du dossier et de cliquer sur OK. Le contenu du dossier doit s'afficher. ESET Endpoint Antivirus exige un nom d'utilisateur et un mot de passe - Probablement causée par l'entrée, dans la section mise à jour, de données d'authentification incorrectes (Nom d'utilisateur et Mot de passe). Le nom d'utilisateur et le mot de passe donnent accès au serveur de mise à jour, à partir duquel le programme se télécharge. Assurez-vous que les données d'authentification sont correctes et entrées dans le bon format. Par exemple, Domaine/Nom d'utilisateur ou Workgroup/Nom d'utilisateur, en plus des mots de passe correspondants. Si le serveur miroir est accessible à « Tous », cela ne veut pas dire que tout utilisateur est autorisé à y accéder. « Tous » ne veut pas dire tout utilisateur non autorisé, cela veut tout simplement dire que le dossier est accessible à tous les utilisateurs du domaine. Par conséquent, si le dossier est accessible à « Tous », un nom d'utilisateur du domaine et un mot de passe sont toujours nécessaires et doivent être entrés dans la configuration des mises à jour. ESET Endpoint Antivirus signale une erreur de connexion au serveur miroir - Le port de communication défini pour l'accès au miroir par HTTP est bloqué. 3.9.3.2 Comment créer des tâches de mise à jour Les mises à jour peuvent être déclenchées manuellement en cliquant sur Vérifier les mises à jour dans la principale fenêtre d'information qui s'affiche après avoir cliqué sur Mise à jour dans le menu principal. Les mises à jour peuvent également être exécutées comme tâches planifiées. Pour configurer une tâche planifiée, cliquez sur Outils > Planificateur. Par défaut, les tâches suivantes sont activées dans ESET Endpoint Antivirus : · Mise à jour automatique régulière · Mise à jour automatique après une connexion commutée · Mise à jour automatique après ouverture de session utilisateur Chaque tâche de mise à jour peut être modifiée en fonction de vos besoins. Outre les tâches de mise à jour par défaut, vous pouvez en créer des nouvelles avec vos propres paramètres. Pour plus de détails sur la création et la configuration des tâches de mise à jour, consultez la rubrique Planificateur. 92 3.9.4 Outils Le menu Outils comprend des modules qui contribuent à simplifier l'administration du programme et offrent des options supplémentaires aux utilisateurs expérimentés. Ce menu comprend les outils suivants : · · · · · · · Fichiers journaux Statistiques de protection Surveiller l'activité Processus en cours (si ESET LiveGrid® est activé dans ESET Endpoint Antivirus) Planificateur Quarantaine ESET SysInspector Soumettre un échantillon pour analyse - Permet de soumettre un fichier suspect pour fins d'analyse au ESET Research Lab. La fenêtre de dialogue qui s'affiche après avoir cliqué sur cette option est décrite dans la section Soumission d'échantillons pour analyse. ESET SysRescue - Vous redirige vers la page d'ESET SysRescue Live, où vous pouvez télécharger l'image d'ESET SysRescue Live ou Live CD/USB Creator pour les systèmes d'exploitations Windows. 93 3.9.4.1 Fichiers journaux Les fichiers journaux contiennent tous les événements importants qui ont eu lieu et donnent un aperçu des menaces détectées. Les journaux sont des outils essentiels pour l'analyse système, la détection de menaces et le dépannage. Elle est toujours active en arrière-plan, sans interaction de l'utilisateur. Les données sont enregistrées en fonction des paramètres actifs de verbosité. Il est possible d'afficher les messages textes et les journaux directement à partir de l'environnement ESET Endpoint Antivirus. Il est aussi possible d'archiver les fichiers journaux. Les fichiers journaux sont accessibles à partir de la fenêtre principale du programme en cliquant sur Outils > Fichiers journaux. Sélectionnez le type de journal souhaité dans le menu déroulant Journal. Les journaux suivants sont disponibles : · Menaces détectées - Le journal des menaces contient de l'information détaillée sur les infiltrations détectées par les modules de ESET Endpoint Antivirus. Cela inclut l'heure de détection, le nom de l'infiltration, l'emplacement, l'action exécutée et le nom de l'utilisateur connecté au moment où l'infiltration a été détectée. Double-cliquez sur une entrée du journal pour afficher ses détails dans une fenêtre séparée. · Événements - Toutes les actions importantes exécutées par ESET Endpoint Antivirus sont enregistrées dans le journal des événements. Le journal des événements contient de l'information sur les événements qui se sont produits dans le programme. Il permet aux administrateurs système et aux utilisateurs de résoudre des problèmes. L'information qu'on y trouve peut souvent permettre de trouver une solution à un problème qui s'est produit dans le programme. · Analyse d'ordinateur - Tous les résultats d'analyse s'affichent dans cette fenêtre. Chaque ligne correspond à un seul contrôle d'ordinateur. Double-cliquez sur n'importe quelle entrée pour afficher les détails de l'analyse correspondante. · Fichiers bloqués – Contient des enregistrements de fichiers bloqués et auxquels il est impossibles d'accéder. Le protocole indique la raison et le module source qui a bloqué le fichier, ainsi que l'application et l'utilisateur qui a exécuté le fichier. · HIPS - Contient des enregistrements de règles particulières marquées pour enregistrement. Ce protocole affiche l'application ayant appelé l'opération, le résultat (si la règle a été autorisée ou non) et le nom de la règle créée. · Sites Web traités par le filtre - Cette liste est utile pour afficher la liste des sites Web bloqués par la protection de l'accès Web. Ces journaux permettent de voir le moment, l'URL, l'utilisateur et l'application ayant établie une connexion au site Web en question. · Contrôle de périphérique - Contient les enregistrements relatifs aux supports amovibles ou périphériques ayant été connectés à l'ordinateur. Seuls les périphériques liés à une règle de contrôle des périphériques seront inscrits dans le fichier journal. Si un périphérique connecté ne satisfait pas les critères de la règle, aucune entrée journal ne sera créée à la connexion de ce périphérique. Vous pouvez aussi y voir différents détails, comme le type de périphérique, le numéro de série, le nom du fournisseur et la taille du support (si elle est disponible). Dans chaque section, vous pouvez copier les données affichées dans le presse-papiers (en utilisant le raccourci clavier Ctrl + C), puis en sélectionnant l'entrée souhaitée et en cliquant sur Copier. Pour sélectionner plusieurs entrées, vous pouvez utiliser les touches Ctrl et Shift. Cliquez sur de filtrage. 94 Filtrage pour ouvrir la fenêtre Filtrage des journaux dans laquelle vous pourrez définir les critères Vous pouvez afficher le menu contextuel en cliquant à l'aide du bouton droit de la souris sur une entrée particulière. Les options suivantes sont disponibles dans le menu contextuel : · Afficher - Affiche plus des informations plus détaillées sur le journal sélectionné dans une nouvelle fenêtre. · Filtrer les enregistrements du même type - Après avoir activé ce filtre, vous ne verrez que les entrées de même · · · · · · · · type (diagnostics, avertissements, etc.). Filtrer.../Trouver... - Après avoir cliqué sur cette option, la fenêtre Rechercher dans le journal vous permettra de définir les critères de filtrage à utiliser pour des entrées particulières du journal. Activer le filtre - Active les paramètres du filtre. Désactiver le filtrage - Efface tous les paramètres du filtre (comme décrit ci-dessus). Copier/Copier tout - Copie les informations sur tous les enregistrements affichés dans la fenêtre. Supprimer/Supprimer tout - Supprime les enregistrements sélectionnés ou tous les enregistrements affichés cette action exige des privilèges administrateur. Exporter... - Exporte les informations à propos des enregistrements, en format XML. Tout exporter... - Exporter les renseignements à propos des tous les enregistrements en format XML. Faire défiler le journal - Laissez cette option cochée pour activer le défilement automatique des anciens journaux et afficher les journaux actifs, dans la fenêtre Fichiers journaux. 3.9.4.1.1 Chercher dans le journal Les journaux stockent des données sur les événements système importants. La fonctionnalité de filtrage des journaux permet d'afficher des entrées sur un type d'événement particulier. Entrez le mot clé pour la recherche dans le champ Rechercher texte. Si vous voulez chercher le mot clé dans des colonnes particulières, changez le filtre dans le menu déroulant Rechercher dans les colonnes. Types d'enregistrement - Choisissez un ou plusieurs types de journaux d'enregistrement dans le menu déroulant : · Diagnostic - Consigne l'information requise pour mettre au point le programme et tous les enregistrements préalables. · Informatif - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que toutes les entrées préalables. · Avertissements - Enregistre les erreurs critiques et les messages d'avertissement. · Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et les erreurs critiques seront enregistrées. · Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus, etc.). Période - Définir la période pendant laquelle vous voulez que les résultats soient affichés. Mots entiers seulement - Cochez cette case si vous voulez rechercher des mots entiers particuliers pour obtenir des résultats de recherche plus précis. Sensible à la casse - Activez cette option si vous jugez important d'utiliser des lettres en majuscules ou en minuscules dans le filtrage. Rechercher vers le haut - Les résultats de la recherche qui apparaissent plus haut dans le document s'afficheront en premier. 3.9.4.2 Configuration du serveur mandataire Dans les grands réseaux locaux, la communication entre votre ordinateur et Internet peut s'effectuer par l'intermédiaire d'un serveur mandataire. En utilisant cette configuration, les paramètres suivants doivent être définis. En l'absence de modification, le programme ne pourra pas effectuer de mise à jour automatique. Dans ESET Endpoint Antivirus, le serveur mandataire peut être configuré dans deux sections différentes de l'arborescence de configuration avancée. Vous pouvez tout d'abord configurer les paramètres du serveur mandataire dans Configuration avancée sous Outils > Serveur mandataire. La sélection du serveur mandataire à ce niveau définit les paramètres de serveur mandataire globaux pour l'ensemble de ESET Endpoint Antivirus. Les paramètres définis ici seront utilisés par tous les modules exigeant une connexion Internet. 95 Pour préciser des paramètres de serveur mandataire à ce niveau, Sélectionnez Utiliser un serveur mandataire, puis entrez l'adresse du serveur mandataire dans le champ Serveur mandataire, ainsi que le numéro de Port de ce serveur mandataire. Si la communication avec le serveur mandataire exige une authentification, sélectionnez Le serveur mandataire exige une authentification et entrez un nom d'utilisateur et un mot de passe valides dans les champs correspondants. Cliquez sur Détecter pour détecter et remplir automatiquement les paramètres du serveur mandataire. Les paramètres définis dans Internet Explorer seront copiés. REMARQUE Vous devez entrer votre nom d'utilisateur et votre mot de passe manuellement dans les paramètres du serveur mandataire. Utiliser une connexion directe si le mandataire n'est pas disponible - Si un produit est configuré pour utiliser le mandataire HTTP et que ce dernier n'est pas joignable, le produit contournera le mandataire et communiquera directement avec les serveurs d'ESET. Les paramètres de serveur mandataire peuvent aussi être définis dans la configuration de mise à jour avancée (Configuration avancée > Mettre à jour > Profils > Mises à jour > Options de connexion en sélectionnant Connexion par un serveur mandataire dans le menu déroulant Mode mandataire). Ce paramètre s'applique au profil de mise à jour donné et est recommandé pour les ordinateurs portables qui reçoivent souvent des mises à jour du moteur de détection d'emplacements distants. Pour plus d'information sur ce paramètre, consultez la section Configuration avancée des mises à jour. 3.9.4.3 Planificateur Le planificateur gère et lance les tâches planifiées qui ont été préalablement définies et configurées. Vous pouvez accéder au Planificateur à partir de la fenêtre principale de ESET Endpoint Antivirus, en cliquant sur Outils > Planificateur. Le Planificateur contient une liste de toutes les tâches planifiées avec leurs propriétés de configuration telles que la date prédéfinie, l'heure et le profil d'analyse utilisé. Le Planificateur à planifier les tâches suivantes : la mise à jour du moteur de détection, les tâches d'analyse, le contrôle des fichiers de démarrage du système et la maintenance des journaux. Vous pouvez ajouter ou supprimer des tâches directement à partir de la fenêtre principale du Planificateur (cliquez sur Ajouter une tâche ou Supprimer, dans le bas). Cliquez avec le bouton droit en un point quelconque de la fenêtre du planificateur pour effectuer les actions suivantes : afficher de l'information détaillée, exécuter la tâche immédiatement, ajouter une nouvelle tâche et supprimer une tâche existante. Utilisez les cases à cocher au début de chaque entrée pour activer ou désactiver les tâches. Par défaut, les tâches planifiées suivantes s'affichent dans le Planificateur : · · · · · · Maintenance des journaux Mise à jour automatique régulière Mise à jour automatique après une connexion commutée Mise à jour automatique après ouverture de session utilisateur Vérification automatique des fichiers de démarrage (après ouverture de session utilisateur) Vérification automatique des fichiers de démarrage (Après une mise à jour réussie du module) Pour modifier la configuration d'une tâche planifiée existante (tant par défaut que définie par l'utilisateur), cliquez avec le bouton droit sur la tâche, puis sur Modifier... ou sélectionnez la tâche que vous voulez modifier, puis cliquez sur le bouton Modifier. Ajouter une nouvelle tâche 1. Cliquez sur Ajouter une tâche au bas de la fenêtre. 2. Entrez un nom pour la tâche. 96 3. Sélectionnez la tâche souhaitée dans le menu déroulant : · Exécuter une application externe - Planifie l'exécution d'une application externe. · Maintenance des journaux - Les fichiers journaux contiennent les restes des enregistrements supprimés. Cette · · · · tâche optimise les enregistrements dans les fichiers journaux de façon régulière, afin qu'ils puissent fonctionner de façon efficace. Contrôle des fichiers de démarrage du système - Vérifie les fichiers qui peuvent être exécutés au démarrage du système ou lors de l'ouverture de session. Créer une analyse de l'ordinateur - Crée un instantané ESET SysInspector de l'ordinateur - recueille de l'information détaillée sur les composants système (pilotes, applications, par ex.) et évalue le niveau de risque de chacun des composants. Analyse de l'ordinateur à la demande - Effectue l'analyse des fichiers et dossiers de votre ordinateur. Mise à jour - Planifie une tâche de mise à jour en mettant à jour le moteur de détection et les modules du programme. 4. Mettez le commutateur Activé en position activé si vous voulez activer la tâche (vous pouvez le faire ultérieurement en cochant ou en décochant la case située dans la liste des tâches planifiées); cliquez sur Suivant et sélectionnez l'une des options de périodicité : · · · · · Une fois - La tâche sera exécutée à la date et l'heure prédéfinies. Plusieurs fois - La tâche sera exécutée à chaque intervalle précisé Quotidiennement - La tâche sera exécutée plusieurs fois, chaque jour, à l'heure indiquée. Chaque semaine - La tâche sera exécutée une ou plusieurs fois par semaine, à l'heure et au jour prédéfinis. Déclenchée par un événement - La tâche sera exécutée lorsque l'événement précisé se produira. 5. Sélectionnez Ignorer la tâche lors du fonctionnement sur batterie afin de minimiser les ressources systèmes lorsqu'un portable est alimenté par batterie. La tâche sera exécutée à la date et à l'heure indiquées dans les champs Exécution de la tâche. Si une tâche n'a pas pu être exécutée à l'heure définie, il est possible de préciser le moment où elle sera exécutée de nouveau : · À la prochaine heure planifiée · Dès que possible · Immédiatement, si le temps écoulé depuis la dernière exécution dépasse une valeur spécifique (l'intervalle peut être défini à l'aide de la zone de liste déroulante Heure depuis la dernière exécution). Vous pouvez consulter la tâche planifiée en faisant un clic droit et en cliquant sur Afficher les détails de la tâche. 97 3.9.4.4 Statistiques de protection Pour afficher un graphique des données statistiques relatives aux modules de protection de ESET Endpoint Antivirus, cliquez sur Outils > Statistiques de la protection. Dans le menu déroulant Statistiques, sélectionnez le module de protection souhaité pour afficher le graphique et la légende correspondants. Si vous faites glisser le pointeur de la souris sur un élément de la légende, seules les données correspondant à celui-ci sont représentées dans le graphique. Les graphiques statistiques suivants sont disponibles : · Protection antivirus et anti-logiciel espion - Affiche le nombre d'objets infectés et nettoyés. · Protection du système de fichiers - Affiche uniquement les objets lus ou écrits dans le système de fichiers. · Protection du client de messagerie - Affiche uniquement les objets envoyés ou reçus par les clients de messagerie. · Protection de l'accès Web et anti-hameçonnage - Affiche uniquement les objets téléchargés par des navigateurs Web. À côté des graphiques statistiques, vous pouvez voir le nombre d'objets analysés, le nombre d'objets infectés, le nombre d'objets nettoyés et le nombre d'objets propres. Cliquez sur Réinitialiser pour effacer les informations statistiques ou cliquez sur Tout réinitialiser pour effacer et supprimer toutes les données existantes. 3.9.4.5 Surveiller l'activité Pour voir l'activité actuelle du Système de fichiers sous forme graphique, cliquez sur Outils > Regarder l'activité. Au bas du graphique se trouve une chronologie qui enregistre l'activité du système de fichiers en temps réel sur la base de l'intervalle de temps sélectionné. Pour changer la durée, utilisez le menu déroulant Taux de rafraîchissement. 98 Les options suivantes sont disponibles : · Étape : 1 seconde - Le graphique est actualisé toutes les secondes et la chronologie couvre les 10 dernières minutes. · Étape : 1 minute (24 dernières heures) - Le graphique est actualisé toutes les minutes et la chronologie couvre les 24 dernières heures. · Étape : 1 heure (dernier mois) - Le graphique est actualisé toutes les heures et la chronologie couvre le dernier mois. · Étape : 1 heure (mois sélectionné) - Le graphique est actualisé toutes les heures et la chronologie couvre les derniers X mois sélectionnés. L'axe vertical du Graphique d'activité du système de fichiers représente la quantité de données lues (en bleu) et écrites (en rouge). Les deux valeurs sont exprimées en Ko (kilo-octets)/Mo/Go. Si vous faites glisser la souris sur les données lues ou écrites dans la légende sous le graphique, celui-ci n'affiche que les données relatives à ce type d'activité. 3.9.4.6 ESET SysInspector ESET SysInspector est une application qui inspecte complètement votre ordinateur et rassemble de l'information détaillée sur les composants système, tels que les pilotes et applications installés, les connexions réseau ou des entrées de registre importantes, et évalue le niveau de risque de chacun des composants. Ces données peuvent aider à déterminer la cause d'un comportement suspect du système pouvant être dû à une incompatibilité logicielle ou matérielle, ou à une infection par logiciel malveillant. La fenêtre SysInspector affiche les données suivantes sur les journaux créés : · · · · Heure - L'heure de création du journal. Commentaire - Un bref commentaire. Utilisateur - Le nom de l'utilisateur ayant créé le journal. État - L'état de création du journal. Les actions suivants sont disponibles : · Ouvrir - Ouvre le journal créé. Vous pouvez aussi cliquer à l'aide du bouton droit de la souris sur un fichier journal donné et sélectionner Afficher à partir du menu contextuel. · Comparer - Compare deux journaux existants. · Créer... - Crée un journal. Veuillez attendre que ESET SysInspector se termine (l'état du journal devient alors Créé) avant d'essayer d'accéder au journal. · Supprimer - Supprime les journaux sélectionnés de la liste. Les éléments suivants sont disponibles dans le menu contextuel lorsqu'un ou plusieurs fichiers journaux sont sélectionnés: · Afficher - Ouvre le journal sélectionné dans ESET SysInspector (ou double-cliquez sur un journal pour la même · · · · fonction). Comparer - Compare deux journaux existants. Créer... - Crée un journal. Veuillez attendre que ESET SysInspector se termine (l'état du journal devient alors Créé) avant d'essayer d'accéder au journal. Supprimer tout - Supprime tous les journaux. Exporter... - Exporte le journal vers un fichier .xml ou un fichier .xml zippé. 99 3.9.4.7 ESET LiveGrid® ESET LiveGrid® est un système avancé d'avertissement anticipé composé de plusieurs technologies basées sur le nuage. Il permet de détecter les menaces émergentes selon la réputation et améliore l'efficacité de l'analyse grâce à des listes blanches. La diffusion en temps réel de l'information liée aux menaces à partir du nuage permet aux laboratoires de recherche sur les logiciels malveillants d'ESET de fournir une réponse rapide et une protection uniforme en tout temps. Les utilisateurs peuvent vérifier la réputation du processus en cours d'exécution et des fichiers directement à partir de l'interface du programme ou du menu contextuel avec des informations supplémentaires disponibles à partir de ESET LiveGrid®. Lors de l'installation de ESET Endpoint Antivirus, sélectionnez l'une des options suivantes : 1. Vous pouvez décider de ne pas activer ESET LiveGrid®. Votre logiciel ne perdra aucune fonctionnalité, mais, dans certains cas, ESET Endpoint Antivirus peut répondre plus rapidement aux nouvelles menaces que la mise à jour du moteur de détection. 2. Vous pouvez configurer ESET LiveGrid® pour qu'il envoie des données anonymes concernant de nouvelles menaces et l'endroit où se trouve le code menaçant. Ce fichier peut être envoyé à ESET pour une analyse détaillée. En étudiant ces menaces, ESET améliore sa capacité à détecter les menaces. Le système ESET LiveGrid® recueille sur votre ordinateur des données concernant de nouvelles menaces détectées. Ces données comprennent un échantillon ou une copie du fichier dans lequel la menace est apparue, le chemin du fichier, le nom du fichier, la date et l'heure, le processus par lequel la menace est apparue sur votre ordinateur et de l'information sur le système d'exploitation de votre ordinateur. Par défaut, ESET Endpoint Antivirus est configuré pour soumettre les fichiers suspects pour une analyse détaillée dans le laboratoire de virus d'ESET. Les fichiers portant certaines extensions comme .doc ou .xls sont toujours exclus. Vous pouvez ajouter d'autres extensions à la liste d'exclusion, dont vous ou votre organisation souhaitez éviter l'envoi. Le système de réputation de ESET LiveGrid® offre la possibilité d'inscription sur une liste blanche ou noire basée sur le nuage. Pour accéder aux paramètres d'ESET LiveGrid®, appuyez sur la touche F5 pour accéder à la Configuration avancée et cliquez sur Outils > ESET LiveGrid®. Activer le système de réputation d'ESET LiveGrid® (recommandé) - Le système de réputation d'ESET LiveGrid® améliore l'efficacité des solutions de protection contre les logiciels malveillants d'ESET en comparant les fichiers analysés à une base de données d'éléments d'une liste blanche et d'une liste noire dans le nuage. Envoyer des données statistiques anonymes - Autoriser ESET à collecter des renseignements sur les menaces nouvellement détectées comme le nom de la menace, la date et l'heure de la détection, la méthode et les métadonnées associées à la détection, ainsi que la version du produit et sa configuration dont les renseignements sur votre version. Envoyer les fichiers - Les fichiers suspects ressemblant à des menaces et/ou ayant des caractéristiques ou un comportement inhabituels sont envoyés à ESET pour analyse. Sélectionnez Activer la journalisation pour créer un journal dans lequel enregistrer les fichiers et données statistiques soumis. Tout envoi de fichiers ou de statistiques sera alors consigné dans le journal des événements. Adresse de courriel du contact (facultatif) - Votre adresse de courriel peut également être incluse avec tout fichier suspect et pourra être utilisée pour communiquer avec vous si nous avons besoin de plus d'information pour l'analyse. Veuillez noter que vous ne recevrez pas de réponse d'ESET sauf si d'autres renseignements sont requis. Exclusion - Le filtre d'exclusion permet d'exclure certains fichiers/dossiers de la soumission (par exemple, il peut être utile d'exclure les fichiers contenant des informations confidentielles comme des documents ou des classeurs). Les fichiers de la liste ne seront jamais envoyés aux laboratoires d'ESET pour analyse, même s'ils contiennent du code suspect. Les types de fichiers les plus courants sont exclus par défaut (.doc, etc.). Vous pouvez ajouter des fichiers à cette liste, au besoin. Si vous avez déjà utilisé le système ESET LiveGrid® et l'avez désactivé, il est possible qu'il reste des paquets de données à envoyer. Même après la désactivation, ces paquets seront envoyés à ESET. Une fois toutes les informations actuelles envoyées, aucun autre paquet ne sera créé. 100 3.9.4.8 Processus en cours Processus en cours affiche les programmes ou processus en cours d'exécution sur votre ordinateur et s'assure qu'ESET est continuellement avisé des nouvelles infiltrations, et ce, dès qu'elles se produisent. ESET Endpoint Antivirus donne de l'information détaillée sur les processus en cours d'exécution pour protéger les utilisateurs grâce à la technologie ESET LiveGrid®. Niveau de risque - Le plus souvent, ESET Endpoint Antivirus affecte, grâce à la technologie ESET LiveGrid®, des niveaux de risque aux objets (fichiers, processus, clés de registre, etc.) à l'aide d'une série de règles heuristiques qui examinent les caractéristiques de chaque objet, puis pondèrent son potentiel d'activité nuisible. Sur la base de cette heuristique, un niveau de risque de sera attribué aux objets : 1 - Bon (vert) à 9 - Risqué (rouge). Processus - Nom de l'image du programme ou du processus actuellement en cours d'exécution sur votre ordinateur. Vous pouvez aussi utiliser le Gestionnaire des tâches de Windows pour afficher tous les processus en cours d'exécution sur votre ordinateur. Vous pouvez ouvrir le Gestionnaire des tâches en cliquant à l'aide du bouton droit de la souris dans une zone vide de la barre des tâches, puis sur Gestionnaire des tâches ou en appuyant sur les touches Ctrl+Maj.+Esc de votre clavier. PID - C'est un identifiant des processus s'exécutant sur les systèmes d'exploitation Windows. REMARQUE les applications connues marquées Ok (vert) sont vraiment propres (ajoutées à la liste blanche) et seront exclues de l'analyse, puisque cela permettra d'améliorer la vitesse de l'analyse à la demande ou de la protection du système en temps réel sur votre ordinateur. Nombre d'utilisateurs - Le nombre d'utilisateurs qui utilisent une application donnée. Cette information est colligée par la technologie ESET LiveGrid®. Heure de découverte - Période depuis que l'application a été découverte par la technologie ESET LiveGrid®. REMARQUE 101 Lorsque l'application est marquée comme ayant un niveau de sécurité Inconnu (orange), elle ne contient pas obligatoirement de logiciels malveillants. C'est souvent simplement une nouvelle application. Si vous avez des doutes au sujet du fichier, utilisez la fonction soumettre le fichier pour analyse pour envoyer le fichier aux laboratoires d'ESET. Si le fichier se révèle être une application malveillante, sa détection sera ajoutée à l'une des mises à jour suivantes du moteur de détection. Nom de l'application - Le nom d'un programme ou d'un processus donné. En cliquant sur une application donnée indiquée au bas, l'information suivante s'affichera dans le bas de la fenêtre : · · · · · · · · Chemin - Emplacement d'une application sur votre ordinateur. Taille - Taille du fichier indiquée en Ko (kilooctets) ou en Mo (mégaoctets). Description - Caractéristiques du fichier, en fonction de la description provenant du système d'exploitation. Société - Nom du fournisseur ou du processus d'application. Version - Information de l'éditeur de l'application. Produit - Nom de l'application et/ou nom de l'entreprise. Date de création - Date et heure auxquelles une application a été créée. Date de modification - Date et heure auxquelles une application a été modifiée pour la dernière fois. REMARQUE La vérification de la réputation peut également être effectuée sur des fichiers qui ne se comportent pas comme des programmes/processus en cours - marquez les fichiers à vérifier, cliquez à droite sur ceux-ci, puis dans le menu contextuel, sélectionnez Options avancées > Vérifier la réputation des fichiers à l'aide de ESET LiveGrid®. 3.9.4.9 Soumission d'échantillons pour analyse La boîte de dialogue de soumission d'échantillon vous permet d'envoyer un fichier ou un site à ESET pour analyse. Elle se trouve dans Outils > Soumettre l'échantillon pour analyse. Si vous trouvez un fichier au comportement suspect sur votre ordinateur ou sur un site suspect, sur Internet, vous pouvez le soumettre au laboratoire d'ESET pour analyse. Si le fichier se révèle être une application ou un site Web malveillant, sa détection sera ajoutée à l'une des mises à jour suivantes. Vous pouvez également soumettre le fichier par courriel. Si vous préférez cette option, chiffrez le ou les fichiers avec WinRAR/ZIP, protégez l'archive avec le mot de passe « infected », puis envoyez-la à [email protected]. Pensez utiliser un objet clair et compréhensible et fournissez le plus de détails possible sur le fichier (par ex., le site Web à partir duquel vous l'avez téléchargé). REMARQUE Avant de soumettre un échantillon à ESET, assurez-vous qu'il répond à un ou à plusieurs des critères suivants : · le fichier ou le site Web n'est pas du tout détecté · le fichier ou le site est détecté à tort comme une menace Vous ne recevrez pas de réponse, sauf si des informations complémentaires sont nécessaires pour l'analyse. Sélectionnez la description de la Raison de la soumission de l'échantillon qui correspond le mieux à votre message dans le menu déroulant : · Fichier suspect · Site suspect (un site Web infecté par quelque logiciel malveillant que ce soit), · Fichier faux positif (fichier jugé infecté, mais qui ne l'est pas), · Site faux positif · Autre 102 Fichier/site - Le chemin d'accès vers le fichier ou le site Web que vous voulez soumettre. Adresse courriel du contact - L'adresse courriel du contact est envoyée avec les fichiers suspects à ESET et peut être utilisée pour communiquer avec vous si des informations complémentaires sont nécessaires pour l'analyse. L'entrée de l'adresse courriel est facultative. Vous ne recevrez pas de réponse d'ESET, sauf si des informations complémentaires sont nécessaires pour l'analyse. Il en est ainsi parce que nos serveurs reçoivent, chaque jour, des dizaines de milliers de fichiers, ce qui nous empêche de répondre à l'ensemble des soumissions. 3.9.4.10 Notifications par courriel ESET Endpoint Antivirus prend en charge l'envoi automatique de courriels de notification, si un événement ayant le niveau de verbosité sélectionné se produit. Activez Envoyer des notifications d'événement par courriel pour envoyer des notifications par courriel. Serveur SMTP Serveur SMTP - Le serveur SMTP utilisé pour envoyer des notifications (par ex. smtp.provider.com:587, le port prédéfini est 25). REMARQUE ESET Endpoint Antivirus prend en charge les serveurs SMTP avec chiffrement TLS. Nom d'utilisateur et mot de passe - Si le serveur SMTP exige une authentification, ces champs doivent être remplis avec un nom d'utilisateur et un mot de passe valides pour accéder au serveur SMTP. Adresse de l'expéditeur - Ce champ indique l'adresse de l'expéditeur qui sera affichée dans l'en-tête des courriels de notification. Adresses des destinataires - Ce champ indique les adresses des destinataires qui seront affichées dans l'en-tête des courriels de notification. Utilisez un point-virgule « ; » pour séparer les différentes adresses. 103 À partir du menu déroulant Verbosité minimale pour les notifications, vous pouvez sélectionner le niveau de sévérité de départ des notifications à envoyer. · Diagnostic - Consigne l'information requise pour mettre au point le programme et tous les enregistrements · · · · préalables. Informative - Enregistre des messages informatifs, comme les événements de réseau non standard, y compris les messages de mise à jour réussie, ainsi que tous les enregistrements préalables. Avertissement - Enregistre les erreurs critiques et les messages d'avertissement (Antistealth ne fonctionne pas correctement ou la mise à jour a échoué) Erreurs - Des erreurs comme « La protection du document n'a pas démarrée » et autres erreurs critiques seront enregistrées. Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus ou système infecté). Activer TLS - Activez l'envoi des messages d'alerte et de notification pris en charge par le chiffrement TLS. Intervalle après lequel les nouveaux courriels de notification seront envoyés (min) - Intervalle en minutes, après lequel de nouvelles notifications seront envoyées par courriel. Mettez cette valeur à 0 si vous souhaitez envoyer ces notifications immédiatement. Envoyer chaque notification dans un courriel distinct - Lorsque cette option est activée, le destinataire recevra un nouveau courriel pour chaque notification. Cela peut entrainer la réception d'un grand nombre de courriels dans un court laps de temps. Format des messages Les communications entre le programme et l'utilisateur ou l'administrateur de système distant se font par la messagerie ou le réseau local (au moyen du service de messagerie Windows). Le format par défaut des messages d'alerte et des notifications est optimal dans la plupart des situations. Dans certaines situations, le format des messages d'événement doit être changé. Format des messages d'événement - Format des messages d'événements qui s'affichent sur les ordinateurs distants. Format des messages d'avertissement de menace - Les messages d'alerte de menace et de notification ont un format par défaut prédéfini. Il est déconseillé de modifier ce format. Toutefois, dans certaines circonstances (par exemple, si vous avez un système automatisé de traitement des messages), vous serez peut-être amené à modifier le format des messages. Jeu de caractères – Convertit un message électronique en un codage de caractères ANSI basé sur les paramètres régionaux de Windows (par exemple, Windows-1250), Unicode (UTF-8), ACSII 7 bits (par exemple « á » sera changé en « a » et un symbole inconnu en « ? ») ou japonais (ISO-2022-JP). Utiliser l'encodage Quoted-Printable – Le courriel source sera encodé au format Quoted-Printable (QP) qui utilise les caractères ASCII et peut transmettre correctement par courriel les caractères nationaux spéciaux en format 8 bits (áéíóú). Les mots-clés (chaînes entourées de signes %) sont remplacés dans le message par les données réelles indiquées. Les mots-clés suivants sont disponibles : · · · · · · · · · 104 %ComputerName% - Nom de l'ordinateur où l'alerte s'est produite. %ProgramName% - Programme ayant généré l'alerte. %TimeStamp% - Date et heure de l'événement. %UserName% - Nom de l'utilisateur connecté chez qui l'alerte s'est produite. %InfectedObject% - Nom du fichier infecté, message infecté, etc. %VirusName% - Identification de l'infection. %ErrorDescription% - Description d'un événement autre qu'un virus. %Scanner% - Module concerné. %Action% - Action entreprise suite à une infiltration. Les mots-clés %InfectedObject% et %VirusName% ne sont utilisés que dans les messages d'alerte de menace, tandis que le mot-clé %ErrorDescription% n'est utilisé que dans les messages d'événement. 3.9.4.11 Quarantaine La quarantaine vise principalement à stocker les fichiers infectés de façon sécuritaire. Ces fichiers doivent être mis en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont détectés par erreur par ESET Endpoint Antivirus. Vous pouvez choisir de mettre n'importe quel fichier en quarantaine. Il est conseillé de le faire si un fichier se comporte de façon suspecte, mais n'a pas été détecté par l'analyseur antivirus. Les fichiers en quarantaine peuvent ensuite être soumis pour analyse au laboratoire d'ESET. Les fichiers stockés dans le dossier de quarantaine peuvent être visualisés dans un tableau indiquant la date et l'heure de mise en quarantaine, le chemin de l'emplacement d'origine du fichier infecté, sa taille en octets, la raison (par exemple, un objet ajouté par l'utilisateur) et le nombre de menaces (par exemple, s'il s'agit d'une archive contenant plusieurs infiltrations). Mise de fichiers en quarantaine ESET Endpoint Antivirus envoie automatiquement les fichiers supprimés en quarantaine (si l'utilisateur n'a pas désactivé cette option dans la fenêtre d'alerte). Au besoin, vous pouvez mettre manuellement en quarantaine tout fichier suspect en cliquant sur le bouton Quarantaine. Le fichier d'origine sera supprimé de son emplacement initial. Il est également possible d'utiliser le menu contextuel à cette fin. Il suffit de cliquer avec le bouton droit dans la fenêtre Quarantaine et de sélectionner Quarantaine. Restaurer depuis la quarantaine Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement d'origine. Pour restaurer un fichier en quarantaine, faites un clic droit dans la fenêtre de quarantaine et sélectionnez Restaurer dans le menu contextuel qui s'affiche. Si un fichier est signalé comme application potentiellement indésirable, l'option Restaurer et exclure de l'analyse sera également offerte. Le menu contextuel offre également l'option Restaurer vers... qui permet de restaurer des fichiers vers un emplacement autre que celui d'où ils ont été supprimés. 105 Suppression du dossier de quarantaine - Cliquez à droite sur un élément donné et sélectionnez Supprimer du dossier de quarantaine, ou sélectionnez l'élément que vous voulez supprimer et cliquez sur la touche Supprimer de votre clavier. Vous pouvez également sélectionner plusieurs éléments et les supprimer ensemble. REMARQUE Si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer, de l'exclure de l'analyse et de l'envoyer au service à la clientèle d'ESET. Soumission d'un fichier de quarantaine Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été jugé infecté par erreur et mis en quarantaine, envoyez ce fichier au laboratoire d'ESET. Pour soumettre un fichier mis en quarantaine, cliquez sur ce dernier avec le bouton droit de la souris, puis, dans le menu contextuel, sélectionnez Soumettre pour analyse. 3.9.4.12 Microsoft Windows Update La fonctionnalité Windows Update est un élément important de la protection des utilisateurs contre les logiciels malveillants. C'est pourquoi il est essentiel que vous installiez les mises à jour de Microsoft Windows dès qu'elles sont disponibles. ESET Endpoint Antivirus vous informe des mises à jour manquantes en fonction du niveau indiqué. Les niveaux suivants sont disponibles : · · · · · Aucune mise à jour - Aucune mise à jour du système ne pourra être téléchargée. Mises à jour facultatives - Les mises à jour de faible priorité pourront minimalement être téléchargées. Mises à jour recommandées - Les mises à jour courantes pourront minimalement être téléchargées. Mises à jour importantes - Les mises à jour importantes pourront minimalement être téléchargées. Mises à jour critiques - Seules les mises à jour critiques pourront être téléchargées. Cliquez sur OK pour enregistrer les modifications. La fenêtre Mises à jour système s'affiche après vérification de l'état avec le serveur de mise à jour. Il se peut donc que les données de mise à jour système ne soient pas immédiatement disponibles après l'enregistrement des modifications. 3.9.4.13 ESET CMD Il s'agit d'une fonctionnalité qui permet des commandes avancées ecmd. Elle vous donne la possibilité d'exporter et d'importer des paramètres en utilisant la ligne de commande (ecmd.exe). Jusqu'à présent, il était possible d'exporter et d'importer des paramètres uniquement à l'aide de l'IUG. La configuration de ESET Endpoint Antivirus peut être exportée à l'aide du fichier .xml. Lorsque ESET CMD est activé, deux méthodes d'autorisation sont disponibles : · Aucune - aucune autorisation Nous ne recommandons pas cette méthode car elle permet l'importation de toute configuration non signée, ce qui comporte un risque. · Mot de passe pour la configuration avancée - utilise la protection par mot de passe. Lors de l'importation de la configuration d'un fichier .xml, le fichier doit être signé (voir signature de la configuration .xml plus bas) Cette méthode d'autorisation vérifie le mot de passe lors de l'importation de la configuration pour s'assurer qu'elle correspond au mot de passe spécifié dans Configuration de l'accès. Si la configuration de l'accès n'est pas activée, le mot de passe ne correspond pas ou le fichier de configuration .xml n'est pas signé, la configuration ne sera pas importée. Une fois qu'ESET CMD est activé, vous pouvez commencer à utiliser la ligne de commande pour exporter/importer la configuration de ESET Endpoint Antivirus. Vous pouvez le faire manuellement ou créer un script pour l'automatiser. IMPORTANT Pour utiliser les commandes avancées d'ecmd, vous devez les exécuter avec des privilèges d'administrateur ou ouvrir l'invite de commandes (cmd) de Windows en utilisant Exécuter en tant qu'administrateur. Sinon, vous obtiendrez le message Error executing command.. En outre, lors de l'exportation de la configuration, le dossier de destination doit exister. 106 REMARQUE Les commandes ecmd avancées ne peuvent être exécutées que localement. L'exécution d'une tâche de client Exécuter la commande en utilisant ERA ne fonctionnera pas. EXEMPLE Commande d'exportation des paramètres : ecmd /getcfg c:\config\settings.xml Commande d'importation des paramètres : ecmd /setcfg c:\config\settings.xml Signature du fichier de configuration .xml : 1. Téléchargez XmlSignTool à partir de la page de téléchargement des outils et des utilitaires ESET, puis extrayez-le. Cet outil a été développé spécialement pour signer les fichiers de configuration .xml. 2. Ouvrez l'invite de commande Windows (cmd) en utilisant l'option Exécuter en tant qu'administrateur. 3. Accédez à l'emplacement de XmlSignTool.exe. 4. Exécutez la commande pour signer le fichier de configuration .xml : XmlSignTool <xml_file_path> 5. Entrez deux fois le mot de passe de la configuration avancée lorsque XmlSignTool le demande. Votre fichier de configuration .xml est maintenant signé et peut être utilisé pour l'importation sur une autre instance de ESET Endpoint Antivirus avec ESET CMD en utilisant la méthode d'autorisation de mot de passe de configuration avancée. AVERTISSEMENT L'activation d'ESET CMD sans une autorisation n'est pas recommandé, car cela permettra l'importation de toute configuration non signée. Définissez le mot de passe dans Configuration avancée > Interface utilisateur > Configuration de l'accès pour empêcher des modifications non autorisées par les utilisateurs. 3.9.5 Interface utilisateur La section Interface utilisateur vous permet de configurer le comportement des éléments de l'interface graphique du programme (IUG). À l'aide de l'outil Éléments de l'interface utilisateur, vous pouvez régler l'apparence visuelle du programme et les effets utilisés. Pour assurer la sécurité maximale de votre logiciel de sécurité, vous pouvez empêcher toute modification non autorisée à l'aide de l'outil Configuration de l'accès. En configurant les alertes et notifications, vous pouvez modifier le comportement des alertes de menaces détectées et les notifications système. Elles peuvent être personnalisées selon vos besoins. Si vous choisissez de ne pas afficher certaines notifications, elles seront affichées dans la zone Éléments d'interface utilisateur > États de l'application. Ici, vous pouvez vérifier leur état ou encore empêcher l'affichage de ces notifications. L'intégration du menu contextuel s'affiche après avoir cliqué à l'aide du bouton droit sur l'objet sélectionné. Utilisez cet outil pour intégrer les éléments de contrôle de ESET Endpoint Antivirus dans le menu contextuel. Mode Présentation est utile aux utilisateurs qui veulent utiliser une application sans être interrompus par des fenêtres contextuelles, des tâches planifiées ou tout composant qui pourrait utiliser le processeur et la mémoire vive. 107 3.9.5.1 Éléments de l'interface utilisateur Les options de configuration de l'interface utilisateur incluses dans ESET Endpoint Antivirus permettent d'ajuster l'environnement de travail selon vos besoins. Vous pouvez accéder à ces options à partir de la branche Interface utilisateur > Éléments de l'interface utilisateur de l'arborescence de Configuration avancée de ESET Endpoint Antivirus. La section Éléments de l'interface utilisateur permet de modifier l'environnement de travail. Cliquez sur le menu déroulant Mode de démarrage pour sélectionner les modes de démarrage de l'interface utilisateur graphique suivants : Complet - L'IUG s'affichera au complet. Minimal : L'interface utilisateur graphique ne fonctionne pas, seules les notifications sont affichées à l'utilisateur. Manuel - Aucune notification ou alerte sera affichée. Silence - L'interface utilisateur graphique, les notifications et les alertes ne seront pas affichées. Ce mode peut être utile dans les situations où vous avez besoin de préserver les ressources du système. Le mode silencieux ne peut être démarré que par l'administrateur. REMARQUE Une fois que le mode de démarrage graphique minimale est sélectionné et que votre ordinateur est redémarré, les notifications s'affichent, mais pas l'interface graphique. Pour revenir au mode interface utilisateur graphique complet, exécutez l'IUG à partir du menu Démarrer sous Tous les programmes > ESET > ESET Endpoint Antivirus en tant qu'administrateur ou par l'intermédiaire de ESET Remote Administrator en utilisant une politique. Pour désactiver l'écran de démarrage de ESET Endpoint Antivirus, désactivez Afficher l'écran de démarrage. Pour qu'ESET Endpoint Antivirus émette un son lorsque des événements importants se produisent pendant une analyse, par exemple lorsqu'une menace est détectée ou lorsque l'analyse prend fin, sélectionnez Émettre un signal sonore. Intégrer au menu contextuel - Intègre les éléments de contrôle de ESET Endpoint Antivirus dans le menu contextuel. États États de l'application - Cliquez sur le bouton Modifier pour gérer (désactiver) les états affichés dans la fenêtre État de la protection qui se trouve dans le menu principal. Information sur la licence Afficher les renseignements sur la licence - Lorsque désactivée, la fenêtre affichant l'État de protection et Aide et soutient n'apparaîtra pas. Afficher les messages et les notifications de la licence - Lorsque désactivée, les notifications et les messages seront seulement lorsque la licence sera expirée. REMARQUE Les paramètres des renseignements sur la licence sont appliqués, mais ils sont inaccessible à ESET Endpoint Antivirus activé avec une licence MSP. 108 109 3.9.5.2 Configuration de l'accès Il est essentiel que ESET Endpoint Antivirus soit correctement configuré pour garantir la sécurité maximale du système. Tout changement inapproprié peut entraîner une perte de données importantes. Pour éviter les modifications non autorisées, les paramètres de configuration de ESET Endpoint Antivirus peuvent être protégés par mot de passe. Les paramètres de configuration pour la protection du mot de passe sont situés dans Configuration avancée (touche F5) sous Interface utilisateur > Configuration de l'accès. Paramètres de protection de mot de passe - Indiquez les paramètres du mot de passe. Cliquez pour ouvrir la fenêtre de configuration de mot de passe. Pour définir ou modifier un mot de passe visant à protéger les paramètres de configuration, cliquez sur Définir. Demander des droits d'administrateur complets pour des comptes Administrateur limités - Gardez cette option active pour inviter l'utilisateur actuel (s'il ne possède pas les droits d'administration) à fournir un nom d'utilisateur et un mot de passe lorsqu'il modifie certains paramètres système (similaire au contrôle de compte d'utilisateur (UAC) dans Windows Vista). Ces modifications incluent la désactivation des modules de protection. Pour Windows XP uniquement : Demander des droits d'administrateur (système sans prise en charge UAC) - Activez cette option pour que ESET Endpoint Antivirus demande les données d'identification administrateur. 110 3.9.5.3 Alertes et notifications La section Alertes et notifications sous Interface utilisateur permet de configurer le mode de traitement des messages d'alerte et des notifications système (par ex., des messages indiquant la réussite de la mise à jour) par ESET Endpoint Antivirus. Vous pouvez également configurer la durée d'affichage et le niveau de transparence des notifications dans la barre d'état système (ne s'applique qu'aux systèmes prenant en charge ces notifications). Fenêtres d'alerte Lorsque Afficher les alertes est désactivée, aucune fenêtre d'alerte ne s'affiche, ce qui ne convient qu'à un nombre limité de situations particulières. Il est recommandé à la majorité des utilisateurs de conserver l'option par défaut (activée). Notifications sur le bureau Les notifications sur le bureau et les infobulles sont des messages informatifs ne permettant ou n'exigeant aucune interaction avec l'utilisateur. Elles s'affichent dans la zone de notification, dans le coin inférieur droit de l'écran. Pour activer l'affichage des notifications sur le bureau, sélectionnez Afficher les notifications sur le bureau. Activez le commutateur Ne pas afficher les notifications lors de l'exécution d'applications en mode plein écran pour supprimer toutes les notifications interactives. D'autres options détaillées, comme la durée d'affichage des notifications et la transparence de la fenêtre, peuvent être modifiées ci-dessous. Le menu déroulant Verbosité minimale des événements à afficher permet de sélectionner le niveau de gravité des alertes et des notifications à afficher. Les options suivantes sont disponibles : · Diagnostic - Consigne l'information requise pour mettre au point le programme et tous les enregistrements préalables. · Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que toutes les entrées préalables. · Avertissements - Enregistre les erreurs critiques et les messages d'avertissement. · Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et les erreurs critiques seront enregistrées. · Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus, etc.). 111 La dernière fonctionnalité de cette section vous permet de configurer la destination des notifications dans un environnement multi-utilisateur. Le champ Sur les systèmes multi-utilisateur, afficher les notifications sur l'écran de l'utilisateur permet de préciser quel utilisateur recevra les notifications système et autres notifications pour les systèmes autorisant la connexion simultanée de multiples utilisateurs. Il s'agit généralement de l'administrateur système ou de l'administrateur réseau. Cette option est particulièrement utile pour les serveurs de terminaux, pourvu que toutes les notifications système soient envoyées à l'administrateur. Fenêtres de notification Pour fermer automatiquement les fenêtres d'alerte après un certain temps, sélectionnez l'option Fermer automatiquement la boîte de message. Si les fenêtres d'alerte ne sont pas fermées manuellement, elles le sont automatiquement, une fois le laps de temps écoulé. Messages de confirmation - Affiche une liste de messages de confirmation que vous pouvez choisir d'afficher ou de ne pas afficher. 3.9.5.3.1 Erreur de conflit de paramètres avancés Cette erreur peut se produire si un composant (par exemple HIPS) et l'utilisateur créent les règles en mode interactif ou d'apprentissage en même temps. IMPORTANT Nous vous recommandons de changer le mode de filtrage et d'utiliser le paramètre par défaut Mode automatique pour créer vos propres règles. En savoir plus sur les modes de filtrage et HIPS. 3.9.5.4 Icône de la barre d'état système Certaines des options de configuration les plus importantes ainsi que des fonctions sont disponibles en cliquant à l'aide du bouton droit de la souris sur l'icône de la barre d'état système . Suspendre la protection - Affiche la boîte de dialogue de confirmation qui désactive la Protection antivirus et antilogiciel espion contre les attaques de système malveillants grâce au contrôle des fichiers, du Web et des communications par courriel. 112 Le menu déroulant Intervalle représente la période pendant laquelle toute la protection antivirus et antispyware sera désactivée. Configuration avancée - Cochez cette option pour entrer dans l'arborescence de Configuration avancée. Vous pouvez aussi accéder à la configuration avancée en appuyant sur la touche F5 ou en allant à Configuration > Configuration avancée. Fichiers journaux - Les Fichiers journaux contiennent tous les événements importants qui ont eu lieu et donnent un aperçu des menaces détectées. Masquer ESET Endpoint Antivirus - Masque la fenêtre de ESET Endpoint Antivirus de l'écran. Rétablir la disposition de fenêtre - Réinitialise la fenêtre de ESET Endpoint Antivirus à sa taille et position par défaut, à l'écran. Rechercher des mises à jour... – Démarre la mise à jour des modules du programme afin d'assurer un niveau de protection élevé contre les codes malveillants. À propos - Fournit de l'information sur le système, les détails à propos de la version installée de ESET Endpoint Antivirus, les modules du programme installés et la date d'expiration de votre licence. Les informations sur votre système d'exploitation et sur les ressources du système se trouvent au bas de la page. 3.9.5.5 Menu contextuel Le menu contextuel s'affiche après avoir cliqué à droite sur un objet (fichier). Le menu donne la liste de toutes les actions que vous pouvez effectuer sur un objet. Il est possible d'intégrer les éléments de contrôle de ESET Endpoint Antivirus dans le menu contextuel. Les options de configuration de cette fonctionnalité sont disponibles dans l'arborescence de Configuration avancée sous Interface utilisateur > Éléments d'interface utilisateur. Intégrer au menu contextuel - Intègre les éléments de contrôle de ESET Endpoint Antivirus dans le menu contextuel. 113 3.10 Utilisateur chevronné 3.10.1 Gestionnaire de profils Le gestionnaire de profils est utilisé à deux endroits dans ESET Endpoint Antivirus - dans la section Analyse de l'ordinateur à la demande et dans la section Mise à jour. Analyse de l'ordinateur à la demande Vos paramètres d'analyse préférés peuvent être enregistrés pour analyse future. Nous vous recommandons de créer un profil différent (avec différentes cibles et méthodes ainsi que d'autres paramètres d'analyse) pour chacune des analyses utilisées régulièrement. Pour créer un nouveau profil, ouvrez la fenêtre Configuration avancée (touche F5) et cliquez sur Antivirus > Analyse de l'ordinateur à la demande ensuite Modifierà côté de Liste de profils. Le menu déroulant Profil de mise à jour qui donne la liste des profils d'analyse existants. Pour vous aider à créer un profil d'analyse répondant à vos besoins, consultez la rubrique Configuration du moteur ThreatSense pour une description de chacun des paramètres de configuration de l'analyse. Exemple : Imaginez que vous vouliez créer votre propre profil d'analyse et que la configuration associée au profil Analyse intelligente vous convienne en partie, mais que vous ne voulez ni analyser les fichiers exécutables compressés par un compresseur d'exécutables ni les applications potentiellement dangereuses et que vous voulez également utiliser un Nettoyage strict. Entrez le nom de votre nouveau profil dans la fenêtre Gestionnaire de profil, puis cliquez sur Ajouter. Sélectionnez votre nouveau profil à partir du menu déroulant Profil de mise à jour, puis ajustez les paramètres restants pour répondre à vos exigences; cliquez ensuite sur OK pour enregistrer votre nouveau profil. Mise à jour L'éditeur de profils de la section de configuration des mises à jour permet aux utilisateurs de créer de nouveaux profils de mise à jour. Il est opportun de créer et d'utiliser des profils personnalisés (autres que l'option par défaut Mon profil) si votre ordinateur utilise plusieurs moyens pour se connecter aux serveurs de mise à jour. Par exemple, un ordinateur portable qui se connecte normalement à un serveur local (miroir) sur le réseau local, mais qui télécharge les mises à jour directement à partir des serveurs de mise à jour d'ESET lorsqu'il est déconnecté du réseau local (voyage d'affaires) pourrait utiliser deux profils : le premier pour se connecter au serveur local, le second pour se connecter aux serveurs d'ESET. Une fois ces profils configurés, allez dans Outils > Planificateur, puis modifiez les paramètres de mise à jour de la tâche. Désignez un profil comme principal et l'autre comme secondaire. Profil de mise à jour - Le profil de mise à jour actuellement sélectionné. Pour le changer, choisissez un profil dans le menu déroulant. Liste des profils - Créer un nouveau profil ou modifier des profils de mise à jour existants. 114 3.10.2 Diagnostic Les diagnostics fournissent des vidages sur incident des processus d'ESET (ekrn, par ex.). Si une application plante, un vidage sera généré. Il pourra aider les développeurs à déboguer et à corriger différents problèmes liés à ESET Endpoint Antivirus. Cliquez sur le menu déroulant à côté de Type de vidage et sélectionnez l'une des trois options disponibles : · Sélectionnez Désactiver (par défaut) pour désactiver cette fonctionnalité. · Mini - Enregistre le plus petit ensemble d'information utile pouvant aider à identifier la raison pour laquelle l'application s'est arrêtée inopinément. Ce type de fichier de vidage peut être utile lorsque l'espace est limité. Cependant, en raison de l'information limitée incluse dans ce fichier, des erreurs n'ayant pas été causées directement par la menace en cours au moment du problème pourraient ne pas être découvertes lors d'une analyse de ce fichier. · Complet - Enregistre tout le contenu de la mémoire système, au moment où l'application s'est arrêtée inopinément. Un vidage complet de mémoire peut contenir des données liées aux processus en cours d'exécution au moment de la création du vidage mémoire. Activer la journalisation avancée du filtrage de protocole : Enregistre toutes les données traversant le moteur de filtrage de protocole en format PCAP afin d'aider les développeurs à diagnostiquer et à résoudre les problèmes liés au filtrage de protocole. Activer la journalisation avancée du moteur de mise à jour : Enregistre tous les événements qui se produisent au cours du processus de mise à jour. Cela peut aider les développeurs à diagnostiquer et à résoudre les problèmes liés au moteur de mise à jour. Activer la journalisation avancée de l'octroi de licences – Enregistre toutes les communications du produit avec le serveur de licences. Activer la journalisation avancée du moteur antipourriel – Enregistre tous les événements qui se produisent pendant l'analyse antipourriel Cela peut aider les développeurs à diagnostiquer et résoudre les problèmes liés au moteur antipourriels d'ESET. Activer la journalisation avancée du système d'exploitation : Des informations supplémentaires sur le système d'exploitation, telles que les processus en cours, l'activité du processeur et les opérations sur les disques, seront collectées. Cela peut aider les développeurs à diagnostiquer et à résoudre les problèmes liés au produit ESET s'exécutant sur votre système d'exploitation. Les fichiers journaux se trouvent dans les dossiers suivants : C:\ProgramData\ESET\ESET Security\Diagnostics\ sur Windows Vista et les versions plus récentes ou C:\Documents and Settings\All Users\... sur les plus anciennes versions de Windows. Dossier cible - Répertoire où sera généré le fichier de vidage lors du plantage. Ouvrir le dossier de diagnostic - Cliquez sur Ouvrir pour ouvrir ce répertoire dans une nouvelle fenêtre de l'Explorateur Windows. Créer un vidage de diagnostique - Cliquez sur Créer pour créer des fichiers de vidage de diagnostique dans le répertoire cible. 3.10.3 Importation et exportation des paramètres Vous pouvez importer ou exporter votre fichier de configuration ESET Endpoint Antivirus .xml personnalisé à partir du menu Configuration. L'importation et l'exportation de fichiers de configuration sont utiles si vous devez faire une copie de sauvegarde de la configuration actuelle de ESET Endpoint Antivirus pour pouvoir l'utiliser par la suite. L'option d'exportation des paramètres est aussi pratique pour les utilisateurs qui veulent utiliser la configuration préférée sur plusieurs systèmes. Ils peuvent alors importer facilement un fichier .xml pour transférer ces paramètres. Il est très facile d'importer une configuration. Dans la fenêtre principale du programme, cliquez sur Configuration > Importer et exporter les paramètres, puis sélectionnez Importer les paramètres. Entrez ensuite le nom du fichier de 115 configuration ou cliquez sur le bouton ... pour parcourir et trouver le fichier de configuration que vous voulez importer. La procédure d'exportation d'une configuration est très semblable à la procédure d'importation. Dans la fenêtre principale du programme, cliquez sur Configuration > Importer/Exporter les paramètres. Sélectionnez Exporter les paramètres et entrez le nom du fichier de configuration (par exemple, export.xml). Utilisez le navigateur pour sélectionner l'emplacement sur votre ordinateur où enregistrer le fichier de configuration. REMARQUE Une erreur peur se produire lors de l'exportation de paramètres si vous n'avez pas assez de droits pour écrirer le fichier exporté dans le répertoire spécifié. 3.10.4 Ligne de commande Le module antivirus de ESET Endpoint Antivirus peut être lancé en utilisant la ligne de commande - manuellement (avec la commande « ecls ») ou avec un fichier de commandes (« bat »). Utilisation de l'analyseur de ligne de commande d'ESET: ecls [OPTIONS..] FILES.. Les paramètres et commutateurs suivants peuvent être utilisés lors de l'exécution de l'analyseur à la demande à partir de la ligne de commande : Options /base-dir=FOLDER /quar-dir=FOLDER /exclude=MASK /subdir /no-subdir /max-subdir-level=LEVEL /symlink /no-symlink /ads /no-ads /log-file=FILE /log-rewrite 116 charger les modules du DOSSIER DOSSIER de quarantaine exclure les fichiers correspondants à MASQUE de l'analyse analyser les sous-dossiers (valeur par défaut) ne pas analyser les sous-dossiers sous-niveau maximal de sous-dossiers dans les dossiers à analyser suivre les liens symboliques (valeur par défaut) ignorer les liens symboliques analyser ADS (valeur par défaut) ne pas analyser ADS consigner les résultats dans le FICHIER Écraser le fichier de sortie (par défaut - ajouter) /log-console /no-log-console /log-all /no-log-all /aind /auto consigner les résultats dans la console (valeur par défaut) ne pas consigner les résultats dans la console consigner également les fichiers nettoyés ne pas consigner les fichiers nettoyés (valeur par défaut) afficher l'indicateur d'activité analyser et nettoyer automatiquement tous les disques locaux Options de l'analyseur /files /no-files /memory /boots /no-boots /arch /no-arch /max-obj-size=SIZE /max-arch-level=LEVEL /scan-timeout=LIMIT /max-arch-size=SIZE /max-sfx-size=SIZE /mail /no-mail /mailbox /no-mailbox /sfx /no-sfx /rtp /no-rtp /unsafe /no-unsafe /unwanted /no-unwanted /suspicious /no-suspicious /pattern /no-pattern /heur /no-heur /adv-heur /no-adv-heur /ext=EXTENSIONS /ext-exclude=EXTENSIONS analyser les fichiers (valeur par défaut) ne pas analyser les fichiers analyser la mémoire analyser les secteurs d'amorçage ne pas analyser les secteurs d'amorçage (valeur par défaut) analyser les archives (valeur par défaut) ne pas analyser les archives analyser uniquement les fichiers plus petits que TAILLE Mo (valeur par défaut 0 = illimité) sous-niveau maximal d'archives à analyser dans les archives (archives imbriquées) analyser les archives pendant un maximum de LIMITE secondes n'analyser les fichiers contenus dans une archive que s'ils sont plus petits que TAILLE (valeur par défaut 0 = illimité) n'analyser les fichiers d'une archive à extraction automatique que s'ils sont plus petits que TAILLE Mo (valeur par défaut 0 = illimité) analyser les fichiers courriel (valeur par défaut) ne pas analyser les fichiers courriel analyser les boîtes aux lettres (valeur par défaut) ne pas analyser les boîtes aux lettres analyser les archives à extraction automatique (valeur par défaut) ne pas analyser les archives à extraction automatique analyser les fichiers exécutables compressés (valeur par défaut) ne pas analyser les fichiers exécutables compressés rechercher les applications potentiellement dangereuses ne pas rechercher les applications potentiellement dangereuses (valeur par défaut) rechercher les applications potentiellement indésirables ne pas rechercher les applications potentiellement indésirables (valeur par défaut) analyser pour déceler la présence d'applications suspectes (par défaut) ne pas analyser pour déceler la présence d'applications suspectes utiliser les signatures (valeur par défaut) ne pas utiliser les signatures activer l'heuristique (valeur par défaut) désactiver l'heuristique activer l'heuristique avancée (valeur par défaut) désactiver l'heuristique avancée analyser uniquement les EXTENSIONS délimitées par un deux-points exclure de l'analyse les EXTENSIONS délimitées par un deux-points 117 /clean-mode=MODE /quarantine /no-quarantine utiliser le MODE de nettoyage pour les objets infectés Les options suivantes sont disponibles : · aucun - aucun nettoyage automatique n'est effectué. · standard (valeur par défaut) - ecls.exe tentera de nettoyer ou de supprimer automatiquement les fichiers infectés. · strict - ecls.exe tentera de nettoyer ou de supprimer automatiquement les fichiers infectés sans l'intervention de l'utilisateur (vous ne recevrez aucune invite avant la suppression des fichiers). · rigoureux - ecls.exe supprimera les fichiers sans aucune tentative de nettoyage quel que soit le fichier en question. · supprimer - ecls.exe supprimera les fichiers sans aucune tentative de nettoyage, mais ne supprimera pas les fichiers sensibles comme les fichiers systèmes de Windows. copier les fichiers infectés (si nettoyés) vers Quarantaine (complète l'action effectuée pendant le nettoyage) ne pas copier les fichiers infectés dans la quarantaine Options générales /help /version /preserve-time afficher l'aide et quitter afficher l'information sur la version et quitter conserver la date et l'heure du dernier accès Codes de sortie 0 1 10 50 100 aucune menace détectée menace détectée et nettoyée certains fichiers ne peuvent pas être analysés (peuvent être des menaces) menace trouvée erreur REMARQUE Un code de sortie supérieur à 100 indique un fichier non analysé, qui peut donc être infecté. 3.10.5 Détection de l'état inactif Vous pouvez configurer les paramètres de détection de l'état inactif dans Configuration avancée sous Antivirus > Analyse de l'état inactif > Détection de l'état inactif. Ces paramètres définissent un déclencheur pour l'analyse en état inactif lorsque : · l'économiseur d'écran est activé · l'ordinateur est verrouillé, · un utilisateur ferme sa session. Utilisez les commutateurs pour chacun des états pour activer ou désactiver les déclencheurs de détection de l'état inactif. 118 3.10.6 ESET SysInspector 3.10.6.1 Introduction à ESET SysInspector ESET SysInspector est une application qui inspecte complètement l'ordinateur et affiche les données recueillies de façon exhaustive. Des données telles que les pilotes et applications installés, les connexions réseau ou les entrées de registre importantes peuvent vous aider à élucider un comportement suspect du système, qu'il soit dû à une incompatibilité logicielle ou matérielle, ou à une infection par logiciel malveillant. Il existe deux façons d'accéder à ESET SysInspector : à partir de la version intégrée de la solution ESET Security ou en téléchargeant la version autonome (SysInspector.exe) du site Web d'ESET. Les deux versions offrent les mêmes fonctions et les mêmes contrôles de programme. La seule différence réside dans la façon dont les sorties sont gérées. Tant la version téléchargée que la version intégrée permettent d'exporter des instantanés du système vers un fichier .xml pour ensuite enregistrer le tout sur le disque. Cependant, la version intégrée vous permet de stocker vos instantanés directement dans Outils > ESET SysInspector (sauf ESET Remote Administrator). Pour plus de détails, consultez la section ESET SysInspector dans ESET Endpoint Antivirus. Veuillez laisser du temps à ESET SysInspector pour analyser votre ordinateur. Cela peut exiger de 10 secondes à quelques minutes selon la configuration matérielle de votre ordinateur, son système d'exploitation et le nombre d'applications installées. 3.10.6.1.1 Lancement de ESET SysInspector Pour lancer ESET SysInspector, exécutez simplement le fichier exécutable SysInspector.exe que vous avez téléchargé du site Web d'ESET. Si vous avez déjà installé l'une des solutions ESET Security, vous pouvez exécuter ESET SysInspector directement à partir du menu Démarrer (cliquez sur Programmes > ESET > ESET Endpoint Antivirus). Veuillez patienter pendant que l'application inspecte votre système, ce qui pourrait prendre quelques minutes. 119 3.10.6.2 Interface utilisateur et utilisation de l'application Pour des questions de clarté, la fenêtre du programme principal est divisée en quatre principales sections : les Contrôles du programme situés dans le haut de la fenêtre principale, la fenêtre Navigation à gauche, la fenêtre Description à droite et la fenêtre Détails à droite au bas de la fenêtre principale du programme. La section État du journal énumère les paramètres de base d'un journal (filtre utilisé, type de filtre, journal résultat d'une comparaison, etc.). 3.10.6.2.1 Contrôles du programme Cette section contient la description de tous les contrôles de programme disponibles dans ESET SysInspector. Fichier En cliquant sur Fichier, vous pouvez enregistrer l'état actuel de votre système à des fins d'investigation ultérieure ou ouvrir un journal enregistré précédemment. À des fins de diffusion, il est recommandé de générer un journal approprié pour envoi. Sous cette forme, le journal omettra tous les renseignements sensibles (nom d'utilisateur actuel, nom de l'ordinateur, privilèges utilisateurs actuels, variables d'environnement, etc.). REMARQUE Vous pouvez ouvrir des rapports de ESET SysInspector précédemment enregistrés en les glissant-déplaçant dans la fenêtre principale du programme. Cette fonctionnalité n'est pas disponible dans le système d'exploitation Windows Vista pour des raisons de sécurité. Arborescence Permet de développer ou de fermer tous les nœuds et d'exporter des sections sélectionnées vers le script de service. 120 Liste Contient des fonctions permettant de faciliter la navigation dans le programme, ainsi que d'autres telles que la recherche de données en ligne. Aide Contient des données sur l'application et ses fonctions. Détail Ce paramètre influence l'information affichée dans la fenêtre du programme principal pour la rendre plus facile à traiter. En mode « de base », vous avez accès aux données utilisées pour trouver des solutions à des problèmes courants de votre système. En mode Moyen, le programme affiche des détails moins utilisés. En mode Complet, ESET SysInspector affiche toute l'information nécessaire pour résoudre des problèmes très précis. Filtrage Le filtrage des éléments convient parfaitement pour rechercher des fichiers suspects ou des entrées de registre dans votre système. En réglant le curseur, vous pouvez filtrer les éléments en fonction de leur niveau de risque. Si le curseur est positionné à gauche (Niveau de risque 1), tous les éléments sont affichés. En déplaçant le curseur vers la droite, le programme filtre tous les éléments présentant un risque inférieur au niveau de risque actuel, et n'affiche que ceux qui sont plus suspects que le niveau affiché. Lorsque le curseur est positionné à droite, le programme n'affiche que les éléments nuisibles connus. Tous les éléments marqués comme risques de 6 à 9 peuvent constituer un risque pour la sécurité. Si vous n'utilisez pas certaines des solutions de sécurité d'ESET, il est recommandé que vous analysiez votre système avec ESET Online Scanner si ESET SysInspector a détecté un tel élément. ESET Online Scanner est un service gratuit. REMARQUE Vous pouvez rapidement déterminer le niveau de risque d'un élément en comparant sa couleur à celle du curseur Niveau de risque. Comparer Au moment de comparer deux journaux, vous pouvez choisir d'afficher tous les éléments, de n'afficher que les éléments ajoutés ou supprimés, ou de n'afficher que les éléments remplacés. Rechercher La fonction Rechercher permet de trouver rapidement un élément particulier à l'aide de son nom ou d'une partie de celui-ci. Les résultats de la demande de recherche s'affichent dans la fenêtre Description. Retour En cliquant sur la flèche Précédent ou Suivant, vous pouvez revenir aux données affichées précédemment dans la fenêtre Description. Vous pouvez utiliser la touche Retour arrière et la barre d'espace au lieu de cliquer sur Précédent et Suivant. Section d'état Affiche le nœud actuel dans la fenêtre Navigation. IMPORTANT Les éléments en surbrillance de couleur rouge sont inconnus, c'est pourquoi le programme les marque comme potentiellement dangereux. Si un élément s'affiche en rouge, cela ne signifie pas forcément que vous pouvez supprimer le fichier. Avant de supprimer des fichiers, assurez-vous qu'ils sont vraiment dangereux ou inutiles. 121 3.10.6.2.2 Naviguer dans ESET SysInspector ESET SysInspector divise plusieurs types de données en plusieurs sections de base appelées nœuds. Si des détails supplémentaires sont disponibles, vous pouvez les afficher en développant chaque nœud en sous-nœuds. Pour ouvrir ou réduire un nœud, double-cliquez sur son nom ou cliquez sur ou à côté de son nom. Tandis que vous parcourez l'arborescence des nœuds et sous-nœuds dans la fenêtre Navigation, il se peut que vous découvriez des détails pour chacun des nœuds affichés dans la fenêtre Description. Si vous parcourez les éléments de la fenêtre Description, il se peut que des détails supplémentaires sur chacun des éléments s'affichent dans la fenêtre Détails. Les descriptions des principaux nœuds de la fenêtre Navigation et les informations correspondantes dans les fenêtres Description et Détails sont présentées ci-dessous. Processus en cours Ce nœud contient de l'information sur les applications et processus en cours d'exécution lors de la génération du rapport. Il se peut que la fenêtre Description affiche des détails supplémentaires pour chaque processus, tels que les bibliothèques dynamiques utilisées et leur emplacement dans le système, le nom du fournisseur de l'application, le niveau de risque du fichier, etc. La fenêtre Détails contient des données supplémentaires sur les éléments sélectionnés dans la fenêtre Description, telles que la taille du fichier ou son hachage. REMARQUE Un système d'exploitation comprend plusieurs composants noyaux importants qui fonctionnent constamment et assurent des fonctions de base et vitales pour d'autres applications utilisateur. Dans certains cas, de tels processus s'affichent dans l'outil ESET SysInspector avec le chemin d'accès du fichier commençant par \??\. Ces symboles permettent d'optimiser ces processus avant leur lancement; ils sont sûrs pour le système. Connexions réseau La fenêtre Description contient la liste des processus et applications communiquant sur le réseau à l'aide du protocole sélectionné dans la fenêtre Navigation (TCP ou UDP), ainsi que l'adresse distante à laquelle l'application est connectée. Vous pouvez également vérifier les adresses IP des serveurs DNS. La fenêtre Détails contient des données supplémentaires sur les éléments sélectionnés dans la fenêtre Description, telles que la taille du fichier ou son hachage. Entrées de registre importantes Contient la liste des entrées de registre sélectionnées qui sont souvent liées à différents problèmes dans le système, telles que celles précisant les programmes à lancer au démarrage, des objets application d'assistance du navigateur (BHO), etc. Il se peut que la fenêtre Description indique les fichiers liés à des entrées de registre particulières. La fenêtre Détails peut également présenter des détails supplémentaires. Services La fenêtre Description contient la liste des fichiers enregistrés en tant que Services Windows. Vous pouvez contrôler la manière dont le démarrage du service est paramétré, ainsi que des détails du fichier dans la fenêtre Détails. Pilotes Liste des pilotes installés dans le système. Fichiers critiques La fenêtre Description affiche le contenu des fichiers critiques liés au système d'exploitation Microsoft Windows. 122 Tâches du planificateur système Contient une liste des tâches déclenchées par le Planificateur de tâches de Windows à un intervalle/une heure spécifié. Informations système Contient des détails sur le matériel et les logiciels, ainsi que des données sur les variables d'environnement, les droits de l'utilisateur définis et les journaux d'événements système. Détails du fichier Liste des fichiers et des fichiers système importants dans le dossier Program Files. Des données précises sur les fichiers s'affichent dans les fenêtres Description et Détails. À propos de Information sur la version de ESET SysInspector et la liste des modules du programme. 3.10.6.2.2.1 Raccourcis clavier Raccourcis clavier utilisables dans ESET SysInspector : Fichier Ctrl + O Ctrl + S Ouvre le journal existant Enregistre les journaux créés Générer Ctrl + G Ctrl + H crée un instantané de l'état de l'ordinateur Génère un instantané de l'état de l'ordinateur pouvant également contenir de l'information sensible Filtrage des éléments 1, O 2 3 4, U 5 6 7, B 8 9 + Ctrl + 9 Ctrl + 0 Bon, les éléments présentant un niveau de risque de 1 à 9 s'affichent Bon, les éléments présentant un niveau de risque de 2 à 9 s'affichent Bon, les éléments présentant un niveau de risque de 3 à 9 s'affichent Inconnu, les éléments présentant un niveau de risque de 4 à 9 s'affichent Inconnu, les éléments présentant un niveau de risque de 5 à 9 s'affichent Inconnu, les éléments présentant un niveau de risque de 6 à 9 s'affichent Risqué, les éléments présentant un niveau de risque de 7 à 9 s'affichent Risqué, les éléments présentant un niveau de risque de 8 à 9 s'affichent Risqué, les éléments présentant un niveau de risque de 9 s'affichent Abaisse le niveau de risque Augmente le niveau de risque Mode de filtrage, niveau équivalent ou supérieur Mode de filtrage, niveau équivalent uniquement Affichage Ctrl + 5 Ctrl + 6 Ctrl + 7 Ctrl + 3 Ctrl + 2 Ctrl + 1 Retour arrière Barre d'espace Ctrl + W Affichage par fournisseur, tous les fournisseurs Affichage par fournisseur, uniquement Microsoft Affichage par fournisseur, tous les autres fournisseurs Affiche tous les détails Affiche un niveau de détail moyen Affichage de base Revient un pas en arrière Avance d'un pas Développe l'arborescence 123 Ctrl + Q Réduit l'arborescence Autres contrôles Ctrl + T Ctrl + P Ctrl+A Ctrl + C Ctrl + X Ctrl + B Ctrl + L Ctrl + R Ctrl + Z Ctrl + F Ctrl + D Ctrl + E Accède à l'emplacement d'origine de l'élément après sélection de celui-ci dans les résultats de la recherche Affiche des données de base sur un élément Affiche les données complètes sur un élément Copie l'arborescence des éléments actuelle Copie des éléments Recherche des données concernant les fichiers sélectionnés sur Internet Ouvre le dossier dans lequel se trouve le fichier sélectionné Ouvre l'entrée correspondante dans l'Éditeur du registre Copie le chemin d'accès d'un fichier (si l'élément est lié à un fichier) Bascule vers le champ de recherche Ferme les résultats de la recherche Exécute le script de service Comparaison Ctrl + Alt + O Ctrl + Alt + R Ctrl + Alt + 1 Ctrl + Alt + 2 Ctrl + Alt + 3 Ctrl + Alt + 4 Ctrl + Alt + 5 Ctrl + Alt + C Ctrl + Alt + N Ctrl + Alt + P Ouvre le journal d'origine/comparatif Annule la comparaison Affiche tous les éléments N'affiche que les éléments ajoutés; le journal contient les éléments présents dans le journal actuel N'affiche que les éléments supprimés; le journal contient les éléments présents dans le journal précédent N'affiche que les éléments remplacés (fichiers inclus) N'affiche que les différences entre journaux Affiche la comparaison Affiche le journal actuel Affiche le journal précédent Divers F1 Alt + F4 Alt + Maj + F4 Ctrl + I Affiche l'aide Ferme le programme Ferme le programme sans demander de confirmation Consigne les statistiques 3.10.6.2.3 Comparer La fonctionnalité Comparer permet de comparer deux journaux existants. Elle génère un ensemble d'éléments non communs aux deux journaux. Elle est utile lorsque vous voulez conserver une trace des modifications apportées au système; un outil pratique pour détecter un code malveillant. Une fois lancée, l'application crée un journal qui s'affiche dans une nouvelle fenêtre. Cliquez sur Fichier > Enregistrer le journal pour enregistrer le journal dans un fichier. Vous pourrez ensuite ouvrir et afficher ces fichiers journaux. Pour ouvrir un journal existant, cliquez sur Fichier > Ouvrir journal. Dans la fenêtre principale du programme, ESET SysInspector affiche toujours un seul journal à la fois. L'avantage de comparer deux journaux est que vous pouvez voir un journal courant actif ainsi qu'un journal enregistré dans un fichier. Pour comparer des journaux, cliquez sur Fichier > Comparer les journaux, puis sur Sélectionner un fichier. Le journal sélectionné sera comparé au journal actif dans les fenêtres principales du programme. Le journal comparatif n'affichera que les différences entre les deux journaux. REMARQUE Si vous comparez deux fichiers journaux, cliquez sur Fichier > Enregistrer le journal pour enregistrer le fichier en format ZIP, ce qui enregistrera les deux fichiers. Si vous ouvrez ensuite ce fichier, les journaux qu'il contient seront alors automatiquement comparés. 124 À côté des éléments affichés, ESET SysInspector présente des symboles identifiant les différences entre les journaux comparés. Description de tous les symboles qui peuvent s'afficher à côté des éléments : · · · · · · · · Nouvelle valeur, absente du journal précédent. La section de l'arborescence contient de nouvelles valeurs. Valeur supprimée, présente uniquement dans le journal précédent. La section de l'arborescence contient des valeurs supprimées. La valeur ou le fichier a été modifié. La section de l'arborescence contient des valeurs ou fichiers modifiés. Le niveau de risque a augmenté; il était inférieur dans le journal précédent. Le niveau de risque a augmenté; il était inférieur dans le journal précédent. La section d'explication, dans le coin inférieur gauche, décrit tous les symboles et affiche les noms des journaux comparés. Tout journal comparatif peut être enregistré dans un fichier, puis ouvert ultérieurement. Exemple : générez et enregistrez un journal consignant des données originales sur le système dans un fichier nommé précédent.xml. Une fois les modifications apportées au système, ouvrez ESET SysInspector et laissez-le générer un nouveau journal. Enregistrez-le dans un fichier nommé actuel.xml. Pour suivre les différences entre ces deux journaux, cliquez sur Fichier > Comparer les journaux. Le programme crée alors un journal comparatif montrant les différences entre les journaux. Vous pouvez obtenir le même résultat en utilisant l'option de ligne de commande suivante : SysIsnpector.exe actuel.xml précédent.xml 3.10.6.3 Paramètres de la ligne de commande ESET SysInspector permet de générer des rapports à partir de la ligne de commande, à l'aide des paramètres suivants : /gen /privacy /zip /silent /blank générer le journal directement à partir de la ligne de commande sans exécuter l'IUG générer le journal en omettant les informations sensibles enregistrer le journal obtenu dans une archive compressée supprimer la fenêtre de progression durant la génération du journal à partir de la ligne de commande lancer ESET SysInspector sans générer/charger le journal Exemples Utilisation : Sysinspector.exe [load.xml] [/gen=save.xml] [/privacy] [/zip] [compareto.xml] 125 Pour charger un journal particulier directement dans le navigateur, utilisez la commande suivante : SysInspector.exe .\clientlog.xml Pour générer le journal à partir de la ligne de commande, utilisez la commande suivante : SysInspector.exe /gen=. \mynewlog.xml Pour générer un rapport excluant des renseignements sensibles directement dans un fichier compressé, utilisez la commande suivante : SysInspector.exe /gen=.\mynewlog.zip /privacy /zip Pour comparer deux fichiers journaux et parcourir les différences, utilisez la commande suivante : SysInspector.exe new.xml old.xml REMARQUE Si le nom du fichier ou du dossier contient une espace, il convient de le mettre entre guillemets. 3.10.6.4 Script de service Un script de service est un outil permettant de fournir de l'aide aux clients qui utilisent ESET SysInspector en retirant facilement les objets indésirables du système. Un script de service permet à l'utilisateur d'exporter le journal de ESET SysInspector ou des parties de celui-ci. Après l'exportation, vous pouvez marquer des objets indésirables pour suppression. Vous pouvez ensuite exécuter le journal modifié pour supprimer les objets marqués. Un script de service convient pour des utilisateurs chevronnés disposant d'une expérience dans le domaine du diagnostic des incidents système. Des modifications non qualifiées peuvent entraîner des dommages au système d'exploitation. Exemple : Si vous soupçonnez une infection de votre ordinateur par un virus non détecté par votre programme antivirus, suivez les instructions pas à pas ci-dessous : 1. Exécutez ESET SysInspector pour générer un nouvel instantané système. 2. Sélectionnez le premier élément de la section à gauche (dans l'arborescence), appuyez sur Maj, puis sélectionnez le dernier élément pour les marquer tous. 3. Cliquez à droite sur les objets sélectionnés et sélectionnez Exporter les sections sélectionnées dans un script de service. 4. Les objets sélectionnés sont exportés dans un nouveau journal. 5. Voici l'étape la plus importante de la procédure : ouvrez le nouveau journal, puis modifiez l'attribut en + pour tous les objets à supprimer. Faites bien attention de ne pas marquer d'objets ou de fichiers importants pour le fonctionnement du système d'exploitation. 6. Ouvrez ESET SysInspector, cliquez sur Fichier > Exécuter le script et entrez le chemin vers votre script. 7. Cliquez sur OK pour exécuter le script. 3.10.6.4.1 Génération d'un script de service Pour générer un script, cliquez à droite sur tout élément de l'arborescence de menu (dans le volet de gauche) de la fenêtre principale de ESET SysInspector. Du menu contextuel, sélectionnez soit l'option Exporter toutes les sections dans un script de service soit Exporter les sections sélectionnées dans un script de service. REMARQUE Il n'est pas possible d'exporter un script de service lorsque deux journaux sont comparés. 126 3.10.6.4.2 Structure du script de service Dans la première ligne de l'en-tête du script se trouve de l'information à propos de la version du moteur (ev), de l'interface graphique (gv) et du journal (lv). Vous pouvez utiliser ces données pour suivre les changements indiqués dans un fichier .xml qui génère le script, et empêcher toute incohérence dans l'exécution. Cette partie du script ne devrait pas être modifiée. Le reste du fichier est divisé en sections dans lesquelles certains éléments peuvent être modifiés (en remplacement de ceux qui seront traités par le script). Vous pouvez marquer des éléments pour traitement en remplaçant le caractère « - » se trouvant devant un élément par le caractère « + ». Les sections du script sont séparées l'une de l'autre par une ligne vide. Chaque section comporte un numéro et un titre. 01) Processus en cours Cette section contient une liste de tous les processus en cours d'utilisation dans le système. Chaque processus est identifié par son chemin UNC puis par un code de hachage CRC16 entre astérisques (*). Exemple : 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...] Dans cet exemple, un processus, module32.exe, a été sélectionné (indiqué par le caractère « + »); le processus s'arrêtera à l'exécution du script. 02) Modules chargés Cette section dresse la liste des modules système actuellement utilisés. Exemple : 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...] Dans cet exemple, le module khbekhb.dll est précédé d'un « + ». Lors de l'exécution du script, ce dernier reconnaîtra les processus utilisant ce module particulier et les arrêtera. 03) Connexions TCP Cette section contient de l'information sur les connexions TCP existantes. Exemple : 03) TCP connections: - Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe - Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006, - Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...] Lors de l'exécution du script, ce dernier isolera le propriétaire de l'interface de connexion dans les connexions TCP marquées et fermera alors l'interface, ce qui libérera des ressources système. 04) Points d'extrémité UDP Cette section contient de l'information sur les points d'extrémité UDP. 127 Exemple : 04) UDP endpoints: - 0.0.0.0, port 123 (ntp) + 0.0.0.0, port 3702 - 0.0.0.0, port 4500 (ipsec-msft) - 0.0.0.0, port 500 (isakmp) [...] Lors de l'exécution du script, ce dernier isolera le propriétaire de l'interface de connexion aux points d'extrémité UDP marqués et fermera l'interface. 05) Entrées de serveur DNS Cette section contient de l'information sur la configuration actuelle du serveur DNS. Exemple : 05) DNS server entries: + 204.74.105.85 - 172.16.152.2 [...] Les entrées du serveur DNS marquées seront supprimées lors de l'exécution du script. 06) Entrées de registre importantes Cette section contient de l'information sur les entrées de registre importantes. Exemple : 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = http://thatcrack.com/ [...] Les entrées marquées seront supprimées, réduites à une valeur de 0 octet ou remises à leur valeur par défaut lors de l'exécution du script. Cette action qui doit être effectuée sur une entrée particulière variera selon la catégorie d'entrée et la valeur clé, dans le registre particulier. 07) Services Cette section dresse la liste des services enregistrés dans le système. Exemple : 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...] Les services marqués et leurs dépendants seront arrêtés et désinstallés lors de l'exécution du script. 08) Pilotes Cette section dresse la liste des pilotes installés. 128 Exemple : 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c: \windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual [...] Lorsque vous exécuterez le script, les pilotes sélectionnés seront alors arrêtés. À noter que certains pilotes ne s'autorisent pas à être arrêtés. 09) Fichiers critiques Cette section contient de l'information sur les fichiers critiques au fonctionnement approprié du système d'exploitation. Exemple : 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts - 127.0.0.1 localhost - ::1 localhost [...] Les éléments sélectionnés seront supprimés ou remis à leurs valeurs d'origine. 3.10.6.4.3 Exécution des scripts de service Marquez tous les éléments voulus avant d'enregistrer et de fermer le script. Exécutez le script modifié directement à partir de la fenêtre principale de ESET SysInspector en sélectionnant l'option Exécuter le script de service du menu Fichier. Lorsque vous ouvrez un script, le programme affiche l'invite suivante : Voulez-vous vraiment exécuter le script de service « %Scriptname% »? Une fois la sélection confirmée, un autre avertissement peut s'afficher pour vous indiquer que le script de service que vous tentez d'exécuter n'a pas été signé. Cliquez sur Exécuter pour lancer le script. Une boîte de dialogue confirmera que le script a bien été exécuté. Si le script ne peut être que partiellement traité, une fenêtre de dialogue comportant le message suivant s'affichera : Le script de service n'a été exécuté que partiellement. Voulez-vous voir le rapport d'erreur? Sélectionnez Oui pour afficher un rapport d'erreurs indiquant les opérations n'ayant pas été exécutées. Si le script n'a pas été reconnu, une fenêtre de dialogue comportant le message suivant s'affichera : Le script de service sélectionné n'est pas signé. L'exécution de scripts non signés et inconnus peut endommager gravement les données de votre ordinateur. Voulez-vous vraiment exécuter le script et en effectuer les actions? Cela peut découler des incohérences dans le script (en-tête endommagé, titre de section endommagé, ligne vide manquante entre les sections, etc.). Vous pourrez soit rouvrir le fichier de script et corriger les erreurs du script ou créer un nouveau script de service. 129 3.10.6.5 FAQ L'exécution de ESET SysInspector exige-t-elle des privilèges d'administrateur? Si l'exécution de ESET SysInspector n'exige pas de privilèges d'administrateur, certaines données recueillies ne sont accessibles qu'à partir d'un compte Administrateur. À noter que si vous l'exécutez en tant qu'utilisateur standard ou utilisateur avec accès restreint, il colligera moins de données sur l'environnement d'exploitation. ESET SysInspector crée-t-il un fichier journal? ESET SysInspector peut créer un fichier journal de la configuration de votre ordinateur. Pour en enregistrer un, cliquez sur Fichier > Enregistrer le journal dans la fenêtre du programme principal. Les journaux sont enregistrés en format XML. Par défaut, les fichiers sont enregistrés dans le dossier %USERPROFILE%\Mes documents\, conformément à la convention de dénomination de fichier « SysInpsector-%COMPUTERNAME%-AAMMJJHHMM.XML ». Vous pouvez modifier l'emplacement et le nom du fichier journal avant de l'enregistrer. Comment afficher le fichier journal de ESET SysInspector? Pour afficher un fichier journal créé par ESET SysInspector, exécutez le programme et cliquez sur Fichier > Ouvrir le journal dans la fenêtre principale du programme. Vous pouvez également glisser et déplacer des fichiers journaux vers l'application ESET SysInspector. Si vous devez consulter souvent les fichiers journaux de ESET SysInspector, il est recommandé de créer un raccourci vers l'exécutable SYSINSPECTOR.EXE sur le Bureau; vous pourrez ensuite glisser et déplacer des fichiers journaux sur le raccourci pour les afficher. Pour des raisons de sécurité, Windows Vista/7 peut ne pas permettre le glisser-déplacer entre des fenêtres qui ont des autorisations de sécurité différentes. Existe-t-il une spécification pour le format du fichier journal? Existe-t-il un kit de développement logiciel (SDK)? À l'heure actuelle, il n'existe ni spécification pour le fichier journal ni SDK, car le développement du programme se poursuit. Après la publication du programme, il est possible que nous proposions ces éléments en fonction des commentaires et de la demande de la clientèle. Comment ESET SysInspector évalue-t-il le risque lié à un objet particulier? Le plus souvent, ESET SysInspector affecte des niveaux de risque aux objets (fichiers, processus, clés de registre, etc.) à l'aide d'une série de règles heuristiques qui tiennent compte des caractéristiques de chaque objet, puis pondèrent son potentiel d'activité nuisible. Un niveau de risque variant entre 1 - Bon (vert) et 9 - Risqué (rouge) sera ensuite attribué aux objets, en fonction de cette heuristique. Les sections du volet de navigation de gauche portent des couleurs indiquant le niveau de risque le plus élevé des objets qu'elles contiennent. Un niveau de risque « 6 - Inconnu (rouge) » signifie-t-il qu'un objet est dangereux? Les appréciations de ESET SysInspector ne garantissent pas qu'un objet est malveillant puisqu'une telle détermination relève plutôt de la compétence d'un expert en sécurité. ESET SysInspector est conçu pour fournir une appréciation rapide destinée aux experts en sécurité, afin de leur indiquer les objets au comportement inhabituel qui nécessitent un examen plus approfondi. Pourquoi ESET SysInspector se connecte-t-il à Internet lors de son exécution? Comme de nombreuses applications, ESET SysInspector est porteur d'une signature numérique, appelée « certificat », garantissant que ce logiciel a été publié par ESET et n'a fait l'objet d'aucune modification. Pour vérifier la validité du certificat, le système d'exploitation contacte une autorité de certification pour vérifier l'identité de l'éditeur du logiciel. Ce comportement est normal pour tous les programmes porteurs d'une signature numérique sous Microsoft Windows. Qu'est-ce que la technologie Anti-Stealth? La technologie Anti-Stealth permet une détection efficace des rootkits. Si le système est attaqué par un code malveillant se comportant comme un rootkit, l'utilisateur peut être exposé à la perte ou au vol de données. À défaut d'outil approprié, il est quasiment impossible de détecter les rootkits. 130 Pourquoi des fichiers marqués comme « Signé par MS » ont-ils parfois aussi une entrée « CompanyName » différente? Lors d'une tentative d'identification de la signature numérique d'un fichier exécutable, ESET SysInspector vérifie d'abord si le fichier contient une signature numérique. Si une signature numérique est détectée, cette information sera utilisée pour valider le fichier. Si aucune signature numérique n'est trouvée, ESI commence à rechercher le fichier CAT correspondant (Security Catalog - %systemroot%\system32\catroot) qui contient l'information sur le fichier exécutable traité. Si le fichier CAT approprié est détecté, sa signature numérique est appliquée dans le processus de validation de l'exécutable. C'est pourquoi des fichiers marqués comme « Signé par MS » ont parfois une entrée « CompanyName » différente. 3.10.6.6 ESET SysInspector dans ESET Endpoint Antivirus Pour ouvrir la section ESET SysInspector dans ESET Endpoint Antivirus, cliquez sur Outils > ESET SysInspector . Le système de gestion qui s'affiche dans la fenêtre ESET SysInspector est semblable à celui des journaux d'analyse de l'ordinateur ou des tâches planifiées. Toutes les opérations relatives aux instantanés (créer, afficher, comparer, supprimer et exporter) sont accessibles en un ou deux clics. La fenêtre de ESET SysInspector contient des données de base sur les instantanés créés, telles que l'heure de création, un bref commentaire, le nom de leur auteur et leur état. Pour comparer, Créer ou Retirer des instantanés, utilisez les boutons correspondants situés sous la liste des instantanés dans la fenêtre de ESET SysInspector. Ces options sont également offertes dans le menu contextuel. Pour afficher l'instantané du système sélectionné, utilisez l'option Afficher du menu contextuel. Pour exporter l'instantané sélectionné dans un fichier, cliquez dessus avec le bouton droit, puis sélectionnez Exporter.... Une description détaillée des options disponibles est présentée ci-dessous : · Comparer - Compare deux journaux existants. Cette option est appropriée si vous voulez suivre les différences entre le journal actuel et un journal plus ancien. Pour qu'elle fonctionne, vous devez sélectionner deux instantanés à comparer. · Créer... - Crée un enregistrement. Au préalable, vous devez entrer un bref commentaire sur l'enregistrement. Pour suivre la progression de la création de l'instantané (en cours de génération) exprimée en pourcentage, consultez la colonne État. Tous les instantanés générés présentent l'état Créé. · Supprimer/supprimer tout - Supprime les entrées de la liste. · Exporter... - Enregistre l'entrée sélectionnée dans un fichier XML (ainsi que dans une version compressée). 3.10.7 Surveillance et gestion à distance Remote Monitoring and Management (RMM) is the process of supervising and controlling software systems using a locally installed agent that can be accessed by a management service provider. The default ESET Endpoint Antivirus installation contains the file ermm.exe located in the Endpoint application within the directory c:\Program Files\ESET\ESET Security. ermm.exe is a command line utility designed to facilitate the management of endpoint products and communications with any RMM Plugin. ermm.exe exchanges data with the RMM Plugin, which communicates with the RMM Agent linked to an RMM Server. By default, the ESET RMM tool is disabled. For more information, see Comment activer la surveillance et la gestion à distance. The default ESET Endpoint Antivirus installation contains file ermm.exe located in the Endpoint application directory (default path c:\Program Files\ESET\ESET Security ). ermm.exe exchanges data with the RMM Plugin, which communicates with the RMM Agent that is linked to an RMM Server. · ermm.exe – command line utility developed by ESET that allows managing of Endpoint products and communication with any RMM Plugin. 131 3.10.7.1 Ligne de commande RMM Remote monitoring management is run using the command line interface. The default ESET Endpoint Antivirus installation contains the file ermm.exe located in the Endpoint application within the directory c:\Program Files\ESET\ESET Security. Run the Command Prompt (cmd.exe) as an Administrator and navigate to the mentioned path. (To open Command Prompt, press Windows button + R on your keyboard, type a cmd.exe into the Run window and press Enter.) The command syntax is: ermm context command [options] Also note that the log parameters are case sensitive. ermm.exe uses three basic contexts: Get, Start and Set. In the table below you can find examples of commands syntax. Click the link in the Command column to see the further options, parameters, and usage examples. After successful execution of command, the output part (result) will be displayed. To see an input part, add parameter -debug at the of the command. Context get 132 Command Description Get information about products Context Command Description informations sur l'application Get information about product informations sur la licence Get information about license état de la protection Get protection status journaux Get logs informations sur l'analyse Get information about running scan configuration Get product configuration état de la mise à jour Get information about update état de l'activation Get information about last activation start Start task numériser; analyser, balayer la surface d'un disque; scanner Start on demand scan activation Start activation of product désactivation Start deactivation of product mise à jour Start update of product set Set options for product configuration Set configuration to product In the output result of every command, the first information displayed is result ID. To understand better the result information, check the table of IDs below. Error ID Error Description 0 Success 1 Command node not present "Command" node not present in input json 2 Command not supported Particular command is not supported 3 General error executing the command Error during execution of command 4 Task already running Requested task is already running and has not been started 5 Invalid parameter for command Bad user input 6 Command not executed because it's disabled RMM isn't enabled in advanced settings or isn't started as an administrator 133 3.10.7.2 Liste des commandes JSON · · · · · · · · · · · · · obtenir l'état de la protection obtenir les informations sur l'application obtenir les informations sur la licence obtenir les journaux Obtenir l'état de l'activation obtenir les informations sur l'analyse obtenir la configuration obtenir l'état de la mise à jour démarrer l'analyse démarrer de l'activation démarrer la désactivation démarrer la mise à jour définir la configuration 3.10.7.2.1 obtenir l'état de la protection Get the list of application statuses and the global application status Command line ermm.exe get protection-status Parameters None Example call { "command":"get_protection_status", "id":1, "version":"1" } result { "id":1, "result":{ "statuses":[{ "id":"EkrnNotActivated", "status":2, "priority":768, "description":"Product not activated" }], "status":2, 134 "description":"Security alert" }, "error":null } 3.10.7.2.2 obtenir les informations sur l'application Get information about the installed application Command line ermm.exe get application-info Parameters None Example call { "command":"get_application_info", "id":1, "version":"1" } result { "id":1, "result":{ "description":"ESET Endpoint Antivirus", "version":"6.6.2018.0", "product":"eea", "lang_id":1033, "modules":[{ "id":"SCANNER32", "description":"Detection engine", "version":"15117", "date":"2017-03-20" },{ "id":"PEGASUS32", "description":"Rapid Response module", "version":"9734", "date":"2017-03-20" 135 },{ "id":"LOADER32", "description":"Update module", "version":"1009", "date":"2016-12-05" },{ "id":"PERSEUS32", "description":"Antivirus and antispyware scanner module", "version":"1513", "date":"2017-03-06" },{ "id":"ADVHEUR32", "description":"Advanced heuristics module", "version":"1176", "date":"2017-01-16" },{ "id":"ARCHIVER32", "description":"Archive support module", "version":"1261", "date":"2017-02-22" },{ "id":"CLEANER32", "description":"Cleaner module", "version":"1132", "date":"2017-03-15" },{ "id":"ANTISTEALTH32", "description":"Anti-Stealth support module", "version":"1106", "date":"2016-10-17" },{ "id":"SYSTEMSTATUS32", "description":"ESET SysInspector module", "version":"1266", "date":"2016-12-22" },{ "id":"TRANSLATOR32", "description":"Translation support module", "version":"1588B", "date":"2017-03-01" },{ "id":"HIPS32", 136 "description":"HIPS support module", "version":"1267", "date":"2017-02-16" },{ "id":"PROTOSCAN32", "description":"Internet protection module", "version":"1300", "date":"2017-03-03" },{ "id":"DBLITE32", "description":"Database module", "version":"1088", "date":"2017-01-05" },{ "id":"CONFENG32", "description":"Configuration module (33)", "version":"1496B", "date":"2017-03-17" },{ "id":"IRIS32", "description":"LiveGrid communication module", "version":"1022", "date":"2016-04-01" },{ "id":"SAURON32", "description":"Rootkit detection and cleaning module", "version":"1006", "date":"2016-07-15" },{ "id":"SSL32", "description":"Cryptographic protocol support module", "version":"1009", "date":"2016-12-02" } }, "error":null } } 137 3.10.7.2.3 obtenir les informations sur la licence Get information about the license of the product Command line ermm.exe get license-info Parameters None Example call { "command":"get_license_info", "id":1, "version":"1" } result { "id":1, "result":{ "type":"NFR", "expiration_date":"2020-12-31", "expiration_state":"ok", "public_id":"3XX-7ED-7XF", "seat_id":"6f726793-ae95-4e04-8ac3-e6a20bc620bf", "seat_name":"M" }, "error":null } 3.10.7.2.4 obtenir les journaux Get logs of the product Command line ermm.exe get logs --name warnlog --start-date "2017-04-04 06-00-00" --end-date "2017-04-04 12-00-00" Parameters Name 138 Value name { all, virlog, warnlog, scanlog, blocked, hipslog, urllog, devctrllog } : log to retrieve start-date start date from which logs should be retrieved (YYYY-MMDD [HH-mm-SS]) end-date end time until which logs should be retrieved (YYYY-MMDD [HH-mm-SS]) Example call { "command":"get_logs", "id":1, "version":"1", "params":{ "name":"warnlog", "start_date":"2017-04-04 06-00-00", "end_date":"2017-04-04 12-00-00" } } result { "id":1, "result":{ "warnlog":{ "display_name":"Events", "logs":[{ "Time":"2017-04-04 06-05-59", "Severity":"Info", "PluginId":"ESET Kernel", "Code":"Malware database was successfully updated to version 15198 (20170404).", "UserData":"" },{ "Time":"2017-04-04 11-12-59", "Severity":"Info", "PluginId":"ESET Kernel", "Code":"Malware database was successfully updated to version 15199 (20170404).", "UserData":"" }] } }, 139 "error":null } 3.10.7.2.5 Obtenir l'état de l'activation Get information about the last activation. Result of status can be { success, error } Command line ermm.exe get activation-status Parameters None Example call { "command":"get_activation_status", "id":1, "version":"1" } result { "id":1, "result":{ "status":"success" }, "error":null } 3.10.7.2.6 obtenir les informations sur l'analyse Get information about running scan. Command line ermm.exe get scan-info 140 Parameters None Example call { "command":"get_scan_info", "id":1, "version":"1" } result { "id":1, "result":{ "scan-info":{ "scans":[{ "scan_id":65536, "timestamp":272, "state":"finished", "pause_scheduled_allowed":false, "pause_time_remain":0, "start_time":"2017-06-20T12:20:33Z", "elapsed_tickcount":328, "exit_code":0, "progress_filename":"Operating memory", "progress_arch_filename":"", "total_object_count":268, "infected_object_count":0, "cleaned_object_count":0, "log_timestamp":268, "log_count":0, "log_path":"C:\\ProgramData\\ESET\\ESET Security\\Logs\\eScan\\ndl31494.dat", "username":"test-PC\\test", "process_id":3616, "thread_id":3992, "task_type":2 }], "pause_scheduled_active":false } }, 141 "error":null } 3.10.7.2.7 obtenir la configuration Get the product configuration. Result of status may be { success, error } Command line ermm.exe get configuration --file C:\tmp\conf.xml --format xml Parameters Name Value file the path where the configuration file will be saved format format of configuration: json, xml. Default format is xml Example call { "command":"get_configuration", "id":1, "version":"1", "params":{ "format":"xml", "file":"C:\\tmp\\conf.xml" } } result { "id":1, "result":{ "configuration":"PD94bWwgdmVyc2lvbj0iMS4w==" }, "error":null } 142 3.10.7.2.8 obtenir l'état de la mise à jour Get information about the update. Result of status may be { success, error } Command line ermm.exe get update-status Parameters None Example call { "command":"get_update_status", "id":1, "version":"1" } result { "id":1, "result":{ "last_update_time":"2017-06-20 13-21-37", "last_update_result":"error", "last_successful_update_time":"2017-06-20 11-21-45" }, "error":null } 143 3.10.7.2.9 démarrer l'analyse Start scan with the product Command line ermm.exe start scan --profile "profile name" --target "path" Parameters Name Value profile Profile name of On-demand computer scan defined in product target Path to be scanned Example call { "command":"start_scan", "id":1, "version":"1", "params":{ "profile":"Smart scan", "target":"c:\\" } } result { "id":1, "result":{ "task_id":458752 }, "error":null } 144 3.10.7.2.10 démarrer de l'activation Start activation of product Command line ermm.exe start activation --key "activation key" | --offline "path to offline file" | --token "activation to Parameters Name Value key Activation key offline Path to offline file token Activation token Example call { "command":"start_activation", "id":1, "version":"1", "params":{ "key":"XXXX-XXXX-XXXX-XXXX-XXXX" } } result { "id":1, "result":{ }, "error":null } 145 3.10.7.2.11 démarrer la désactivation Start deactivation of the product Command line ermm.exe start deactivation Parameters None Example call { "command":"start_deactivation", "id":1, "version":"1" } result { "id":1, "result":{ }, "error":null } 3.10.7.2.12 démarrer la mise à jour Start update of the product. Only one update may be running in the product so in case the update is already running, "Task already running" error code is returned Command line ermm.exe start update Parameters None Example call { "command":"start_update", "id":1, 146 "version":"1" } result { "id":1, "result":{ }, "error":{ "id":4, "text":"Task already running." } } 3.10.7.2.13 définir la configuration Set configuration to the product. Result of status may be { success, error } Command line ermm.exe set configuration --file C:\tmp\conf.xml --format xml --password pass Parameters Name Value file the path where the configuration file will be saved password password for configuration value configuration data from the argument (encoded in base64) Example call { "command":"set_configuration", "id":1, "version":"1", "params":{ "format":"xml", "file":"C:\\tmp\\conf.xml", "password": "pass" } } 147 result { "id":1, "result":{ }, "error":null } 3.11 Glossaire 3.11.1 Types de menaces Une infiltration est un bout de logiciel malveillant qui tente de s'introduire dans l'ordinateur d'un utilisateur ou de l'endommager. 3.11.1.1 Virus Un virus informatique est un morceau de code malveillant qui a été ajouté à des fichiers se trouvant déjà sur votre ordinateur. Les virus informatiques sont comparables aux virus biologiques parce qu'ils utilisent des techniques similaires pour se propager d'un ordinateur à l'autre. En ce qui concerne le terme « virus », il est souvent utilisé incorrectement pour décrire tout type de menace. On tend aujourd'hui à le remplacer progressivement par un terme plus précis, soit « logiciel malveillant » ou « malware » en anglais. Les virus informatiques attaquent principalement les fichiers et documents exécutables. En bref, un virus informatique fonctionne comme ceci : l'exécution d'un fichier infecté a pour effet d'appeler le code malveillant qui est alors exécuté, avant que ne s'exécute l'application originale. Un virus peut infecter tout fichier pour lequel l'utilisateur actuel possède des droits en écriture. L'activité et la gravité des virus varient. Certains sont extrêmement dangereux parce qu'ils ont la capacité de supprimer délibérément des fichiers du disque dur. D'autres, en revanche, ne causent pas de véritables dommages : ils ne servent qu'à ennuyer l'utilisateur et à démontrer les compétences techniques de leurs auteurs. Si votre ordinateur est infecté par un virus et qu'il est impossible de le nettoyer, soumettez-le au laboratoire de virus d'ESET qui en prendra connaissance. Dans certains cas, les fichiers infectés peuvent être modifiés de manière à empêcher le nettoyage. Ils devront alors être remplacés par une copie propre, sans virus. 3.11.1.2 Vers Un ver est un programme contenant un code malveillant qui attaque les ordinateurs hôtes et se répand en utilisant le réseau. La différence de base entre un virus et un ver est que les vers ont la capacité de se propager par euxmêmes. Ils ne dépendent pas des fichiers hôtes (ou des secteurs d'amorçage). Ils se répandent par l'entremise des adresses courriel enregistrées dans votre liste de contacts ou exploitent les failles de sécurité de diverses applications réseau. Les vers sont ainsi susceptibles de vivre beaucoup plus longtemps que les virus. Grâce à Internet, ils peuvent se propager à travers le monde en quelques heures ou minutes après leur lancement. Leur capacité à se répliquer indépendamment et rapidement les rend plus dangereux que les autres types de programmes malveillants. Un ver activé dans un système peut être à l'origine de plusieurs dérèglements : il peut supprimer des fichiers, dégrader les performances du système ou même désactiver des programmes. De par sa nature, un ver informatique peut servir de « moyen de transport » à d'autres types d'infiltrations. Si votre ordinateur est infecté par un ver, il est recommandé de supprimer les fichiers infectés parce qu'ils contiennent probablement du code malicieux. 148 3.11.1.3 Chevaux de Troie Dans le passé, les programmes troyens (chevaux de Troie) ont été définis comme une catégorie de menaces ayant comme particularité de se présenter comme des programmes utiles pour duper les utilisateurs afin qu'il les exécutent. La catégorie des programmes troyens étant très vaste, elle est souvent divisée en plusieurs sous-catégories : · Téléchargeur - Programmes malveillants en mesure de télécharger d'autres infiltrations d'Internet. · Injecteur - Programmes malveillants capables de déposer d'autres types de logiciels malveillants sur des ordinateurs infectés. · Porte dérobée - Programmes malveillants qui communiquent avec des attaquants distants pour leur permettre d'accéder à l'ordinateur et d'en prendre le contrôle. · Enregistreur de frappe - (« keystroke logger ») – Programme qui enregistre chaque touche sur laquelle l'utilisateur appuie avant d'envoyer l'information aux pirates. · Composeur - Programmes malveillants destinés à se connecter à des numéros surfacturés plutôt qu'au fournisseur Internet de l'utilisateur. Il est presque impossible qu'un utilisateur remarque qu'une nouvelle connexion a été créée. Les composeurs ne peuvent porter préjudice qu'aux utilisateurs ayant des modems par ligne commutée, qui sont de moins en moins utilisés. Si un fichier est identifié comme programme troyen sur votre ordinateur, il est recommandé de le supprimer, car il ne contient sans doute que du code malveillant. 3.11.1.4 Rootkits Les rootkits offrent aux pirates un accès illimité à un système tout en dissimulant leur présence. Après avoir accédé au système (généralement en exploitant une faille), ces programmes utilisent des fonctions du système d'exploitation pour se protéger des logiciels antivirus : ils dissimulent des processus, des fichiers et des données de la base de registre Windows. C'est pour cette raison qu'il est presque impossible de les détecter à l'aide des techniques de vérification ordinaires. Il y a deux niveaux de détection permettant d'éviter les rootkits : 1. Lorsqu'ils essaient d'accéder au système : Ils ne sont pas encore installés et sont donc inactifs. La plupart des antivirus sont en mesure de les éliminer à ce niveau (en supposant qu'ils détectent effectivement les fichiers comme infectés). 2. Lorsqu'ils sont inaccessibles aux tests habituels : ESET Endpoint Antivirus les utilisateurs bénéficient de la technologie Anti-Stealth qui permet de détecter et d'éliminer les rootkits en activité. 3.11.1.5 Logiciels publicitaires L'expression « logiciels publicitaires » désigne les logiciels soutenus par la publicité. Les programmes qui affichent des publicités entrent donc dans cette catégorie. Souvent, les logiciels publicitaires ouvrent automatiquement une nouvelle fenêtre contextuelle contenant de la publicité dans un navigateur Internet ou modifient la page de démarrage de ce dernier. Ils sont généralement associés à des programmes gratuits et permettent à leurs créateurs de couvrir les frais de développement de leurs applications (souvent utiles). En eux-mêmes, les logiciels publicitaires ne sont pas dangereux; tout au plus dérangent-ils les utilisateurs par l'affichage de publicités. Le danger tient au fait qu'ils peuvent aussi inclure des fonctions d'espionnage (comme les logiciels espions). Si vous décidez d'utiliser un logiciel gratuit, soyez particulièrement attentif au programme d'installation. La plupart des programmes d'installation vous avertiront en effet qu'ils installent en plus un programme publicitaire. Souvent, vous pourrez désactiver cette installation supplémentaire et n'installer que le programme, sans logiciel publicitaire. Certains programmes refuseront cependant de s'installer sans leur logiciel publicitaire ou verront leurs fonctionnalités limitées. Cela signifie que les logiciels publicitaires peuvent souvent accéder au système d'une manière « légale », dans la mesure où les utilisateurs ont accepté qu'ils soient installés. Dans ce cas, mieux vaut 149 jouer la carte de la prudence. Si un logiciel publicitaire est détecté sur votre ordinateur, il est préférable de le supprimer, car le risque est grand qu'il contienne du code malveillant. 3.11.1.6 Logiciel espion Cette catégorie englobe toutes les applications qui envoient des données confidentielles sans le consentement des utilisateurs et à leur insu. Ces applications utilisent des fonctions de traçage pour envoyer diverses données statistiques telles qu'une liste des sites Web consultés, les adresses courriel de la liste de contacts de l'utilisateur ou une liste des touches de frappe utilisées. Les auteurs de ces logiciels espions affirment que ces techniques ont pour but d'en savoir plus sur les besoins et intérêts des utilisateurs afin de mieux cibler les offres publicitaires. Le problème est qu'il n'y a pas de distinction claire entre les applications utiles et les applications malveillantes, et que personne ne peut garantir que les données récupérées ne seront pas utilisées à des fins frauduleuses. Les données récupérées par les logiciels espions peuvent être des codes de sécurité, des NIP, des numéros de compte bancaire, etc. Les logiciels espions sont souvent intégrés aux versions gratuites d'un programme dans le but de générer des gains ou d'inciter à l'achat du logiciel. Les utilisateurs sont souvent informés de la présence d'un logiciel espion au cours de l'installation d'un programme afin de les inciter à acquérir la version payante qui en est dépourvue. Parmi les produits logiciels gratuits bien connus qui contiennent des spyware, on trouve les applications clients de réseaux P2P (poste-à-poste). Spyfalcon ou Spy Sheriff (et beaucoup d'autres) appartiennent à une sous-catégorie particulière de logiciels espions : ils semblent être des programmes anti-logiciels espions alors qu'en réalité, ils sont eux-mêmes des logiciels espions. Si un fichier est indiqué comme logiciel publicitaire sur votre ordinateur, il est préférable de le supprimer, car le risque est grand qu'il contienne du code malveillant. 3.11.1.7 Compresseurs Le compresseur est un fichier exécutable à extraction automatique qui regroupe plusieurs types de programmes malveillants dans un seul ensemble. Les compresseurs les plus courants sont UPX, PE_Compact, PKLite et ASPack. Le même programme malveillant peut être détecté différemment lorsqu'il est compressé à l'aide d'un compresseur différent. Les compresseurs sont capables de faire muter leur « signature » au fil du temps, les programmes malveillants deviennent ainsi plus difficiles à détecter et à supprimer. 3.11.1.8 Applications potentiellement dangereuses Il existe de nombreux programmes authentiques qui permettent de simplifier l'administration des ordinateurs en réseau. Toutefois, s'ils tombent entre de mauvaises mains, ces programmes sont susceptibles d'être utilisés à des fins malveillantes. ESET Endpoint Antivirus vous offre l'option de détecter de telles menaces. La classification applications potentiellement dangereuses désigne les logiciels commerciaux légitimes. Elle inclut également les programmes d'accès à distance, les applications de craquage de mots de passe ou les enregistreurs de frappe. Si vous découvrez qu'une application potentiellement dangereuse est présente et fonctionne sur votre ordinateur (sans que vous l'ayez installée), consultez votre administrateur réseau et supprimez l'application. 150 3.11.1.9 Applications potentiellement indésirables Une application potentiellement indésirable est un programme qui contient des logiciels publicitaires, qui installe des barres d'outils ou qui a d'autres objectifs inavoués. Il y a des situations où un utilisateur peut trouver que les avantages d'une application potentiellement indésirable l'emportent sur les risques. Pour cette raison, ESET attribue à ces applications une catégorie de risque plus faible par rapport à d'autres types de logiciels malveillants, tels que les chevaux de Troie ou les vers. Avertissement - Menace potentielle trouvée Quand une application potentiellement indésirable est détectée, vous serez en mesure de décider des mesures à prendre : 1. Nettoyer/Déconnecter: Cette option met fin à l'action et empêche la menace potentielle d'entrer dans votre système. 2. Aucune action : Cette option autorise la menace potentielle à accéder à votre système. 3. Pour permettre à une application de s'exécuter sur votre ordinateur à l'avenir sans interruption, cliquez sur Plus d'information/Afficher les options avancées puis cochez la case située à côté de Exclure de la détection. Lorsqu'une application potentiellement indésirable est détectée et qu'il n'est pas possible de la nettoyer, la fenêtre de notification L'adresse a été bloquée s'affichera dans le coin inférieur droit de l'écran. Pour plus de détails sur cet événement, allez à Outils > Fichiers journaux > Sites Web filtrés du menu principal. 151 Applications potentiellement indésirables - Paramètres Lors de l'installation de votre produit ESET, vous pouvez choisir d'activer la détection des applications potentiellement indésirables, comme indiqué ci-dessous : AVERTISSEMENT Les applications potentiellement indésirables peuvent installer des logiciels publicitaires, installer des barres d'outils ou contenir d'autres caractéristiques de programme indésirables et dangereux. Ces paramètres peuvent être modifiés dans les paramètres de votre programme à tout moment. Pour activer ou désactiver la détection des applications potentiellement indésirables, dangereuses ou suspectes, suivez les instructions suivantes : 1. Ouvrez votre produit ESET. Comment puis-ouvrir mon produit ESET? 2. Appuyez sur la touche F5 pour accéder à la configuration avancée. 3. Cliquez sur Antivirus et activez ou désactivez les options Activer la détection d'applications potentiellement indésirables, Activer la détection des applications potentiellement dangereuses et Activer la détection des applications suspectes selon vos préférences. Confirmez en cliquant sur OK. 152 Applications potentiellement indésirables - Enveloppeurs de logiciel Un enveloppeur de logiciel est un type spécial de modification d'application utilisé par certains sites Web d'hébergement de fichiers. C'est un outil tiers qui installe le programme que vous avez téléchargé mais ajoute des logiciels complémentaires tels que des barres d'outils ou des logiciels publicitaires. Le logiciel supplémentaire peut également apporter des modifications à la page d'accueil et aux paramètres de recherche de votre navigateur Web. De plus, les sites Web d'hébergement de fichiers n'informent souvent pas l'éditeur du logiciel ou le destinataire du téléchargement des modifications apportées; retirer les modifications n'est pas facile non plus. Pour ces raisons, ESET classe les enveloppeurs de logiciels comme type d'application potentiellement indésirables afin de permettre aux utilisateurs d'accepter ou non le téléchargement. Veuillez consulter cet article de la Base de connaissances ESET pour obtenir une version à jour de cette page d'aide. Pour en savoir plus, cliquez ici. 153 3.11.2 Courriel Le courriel est une forme de communication moderne qui offre beaucoup d'avantages. Il est souple, rapide et direct et a joué un rôle crucial dans l'expansion d'Internet au début des années 1990. Malheureusement, le grand anonymat des courriels et d'Internet a laissé libre champ à beaucoup d'activités illégales telles que le pollupostage. Le pourriel comprend les publicités indésirables, les canulars et les logiciels malveillants. Les désagréments et le danger pour l'utilisateur ont augmenté tout simplement du fait que l'envoi de tels messages ne coûte presque rien et que les auteurs du pourriel disposent de bon nombre d'outils pour acquérir facilement de nouvelles adresses courriel. En plus, le volume et les différents types de pourriel ne facilitent pas la règlementation. Plus longtemps vous utilisez votre adresse courriel, plus vous augmentez la possibilité qu'elle finisse par être ajoutée dans la base de données d'un moteur de pourriel. Quelques conseils à titre de prévention : · Si possible, ne publiez pas votre adresse de courriel sur Internet · Ne donnez votre adresse courriel qu'à des personnes fiables. · Si possible, n'utilisez pas de pseudonyme commun - plus le pseudonyme est complexe, moins grande est la · · · · · probabilité de traçage. Ne répondez pas aux pourriels déjà présents dans votre boîte de réception Faites attention lorsque vous remplissez des formulaires Internet : soyez particulièrement attentif aux cases à cocher du type « Oui, je voudrais recevoir des informations ». Utilisez des adresses de messagerie « spécialisées », par exemple, une professionnelle, une pour communiquer avec vos amis, etc. Changez vos adresses courriel de temps en temps. Utilisez une solution antipourriel. 3.11.2.1 Publicités La publicité par Internet est une des formes de publicité les plus en vogue. Ses coûts minimaux et sa grande efficacité en sont les principaux avantages marketing, tout comme le fait que ces messages soient transmis presque immédiatement. Nombre d'entreprises utilisent des outils de marketing par courriel pour communiquer de manière efficace avec leurs clients et clients éventuels. Ce type de publicité est légitime, car l'utilisateur pourrait souhaiter recevoir des informations commerciales sur certains produits. De nombreuses entreprises envoient également en masse des messages commerciaux non sollicités. La publicité par courriel dépasse alors les limites et devient du pourriel. La quantité de messages publicitaires non sollicités est devenue un réel problème, car elle ne montre aucun signe d'accalmie. Les auteurs de messages non sollicités tentent souvent de déguiser le pourriel sous des dehors de messages légitimes. 3.11.2.2 Canulars Un canular se définit comme de la désinformation diffusée sur Internet. Les canulars sont généralement envoyés par courriel ou par des outils de communication tels ICQ et Skype. Le message en lui-même est souvent une blague ou une légende urbaine. Les canulars essaient de provoquer chez les destinataires de la peur, de l'incertitude et du doute, les amenant à croire qu'ils ont un « virus indétectable » en train de supprimer tous les fichiers et de récupérer les mots de passe ou d'effectuer une activité nuisible sur leur système. Certains canulars se propagent parce qu'ils invitent les destinataires à réacheminer les messages reçus à leurs contacts, ce qui perpétue leur cycle de vie. On y retrouve notamment des canulars liés aux téléphones cellulaires, des « demandes d'aide », des personnes qui vous proposent de vous envoyer de l'argent de l'étranger, etc. Dans bon nombre de cas, il est impossible de traquer l'intention du créateur. Si un message vous demande de le réacheminer à toutes vos connaissances, il est fort possible qu'il s'agisse d'un canular. On retrouve, sur Internet, bon nombre de sites qui permettent de vérifier si un message est légitime ou non. Avant de réacheminer un message, faites une recherche sur Internet si vous avez des doutes quant à un message reçu. 154 3.11.2.3 Hameçonnage Le terme hameçonnage (« phishing » en anglais) désigne une activité frauduleuse utilisant des techniques de piratage psychologique qui consistent à manipuler les utilisateurs pour obtenir des données confidentielles. Son but est d'accéder à des données sensibles, telles que numéros de comptes bancaires, NIP, etc. La technique consiste généralement à envoyer un courriel en se faisant passer pour une personne ou une entreprise digne de confiance (institution financière, compagnie d'assurance). Le message peut sembler très authentique et contenir des graphiques et contenus qui proviennent véritablement de la source dont il se réclame. Vous êtes invité à entrer, sous divers prétextes (vérification de données, opérations financières), certaines de vos données personnelles, vos numéros de compte bancaire ou nom d'utilisateur et mot de passe. Toutes ces données, si elles sont soumises, peuvent facilement être volées et utilisées à des fins illégales. Notez que les banques, compagnies d'assurance et autres sociétés légales ne demandent jamais les noms d'utilisateur et mots de passe dans un message non sollicité. 3.11.2.4 Reconnaissance des pourriels Peu d'indicateurs permettent généralement d'identifier les pourriels (messages non sollicités) dans une boîte aux lettres. Si un message satisfait au moins l'un des critères suivants, c'est probablement un pourriel. · L'adresse de l'expéditeur ne figure pas dans la liste de vos contacts. · On vous offre une importante somme d'argent, mais vous devez en fournir une petite somme avant. · On vous demande d'entrer, sous divers prétextes (vérification de données, opérations financières), certaines de vos données personnelles : numéros de compte bancaire ou noms d'utilisateur et mots de passe. · Le message est écrit dans une langue étrangère. · On vous demande d'acheter un produit qui ne vous intéresse pas. Si vous décidez d'acheter quand même, assurez-vous que l'expéditeur du message est un vendeur sérieux (consultez le fabricant original du produit). · Quelques mots sont mal écrits pour pouvoir passer à travers le filtre de pourriel. Par exemple « vaigra » au lieu de « viagra », etc. 3.11.3 Technologie ESET 3.11.3.1 Exploit Blocker L'Exploit Blocker surveille les applications typiquement exploitables (navigateurs, lecteurs de documents, clients de messagerie, Flash, Java, etc.) et au lieu de viser uniquement des identifiants CVE particuliers, il se concentre sur les techniques d'exploitation. Lorsqu'il est déclenché, le comportement du processus est analysé et, s'il est considéré comme suspect, la menace peut être bloquée immédiatement sur l'ordinateur. Alors que le moteur d'analyse d'ESET se charge des vulnérabilités apparaissant dans les fichiers de documents malformés et que la protection contre les attaques réseau cible les communications, la technologie Exploit Blocker bloque les processus de vulnérabilité et enregistre les données sur la menace, puis les envoie au système infonuagique de ESET LiveGrid®. Ces données sont traitées par ESET Threat Lab et utilisées pour mieux protéger tous les utilisateurs contre les menaces inconnues et les attaques du jour zéro (nouveaux logiciels malveillants pour lesquels il n'existe aucune solution préconfigurée). 3.11.3.2 Analyseur de mémoire avancé L'Analyseur de mémoire amélioré, de pair avec Exploit Blocker, offre une meilleure protection contre les logiciels malveillants qui utilisent l'obscurcissement et/ou le chiffrement pour éviter d'être détectés. Lorsque l'émulation ordinaire ou l'heuristique ne parvient pas à détecter une menace, l'Analyseur avancé de la mémoire est capable d'identifier un comportement suspect et d'analyser les menaces lorsqu'elles se révèlent dans la mémoire système. Cette solution est efficace contre les logiciels malveillants les plus obscurcis. Contrairement à l'Exploit Blocker, l'Analyseur avancé de la mémoire est une méthode post-exécution. Cela signifie qu'il existe un risque qu'une activité malveillante ait été exécutée avant sa détection d'une menace. Toutefois, lorsque les autres techniques de détection ont échoué, cette méthode apporte une couche de sécurité supplémentaire. 155 3.11.3.3 ESET LiveGrid® Fondé sur le système avancé d'avertissement anticipé ThreatSense.Net®, ESET LiveGrid® utilise les données soumises par les utilisateurs ESET de partout dans le monde avant de les envoyer au laboratoire d'ESET. En fournissant des métadonnées et des échantillons suspects provenant de partout, ESET LiveGrid® nous permet de réagir immédiatement aux besoins de nos clients et de préserver la réactivité d'ESET aux menaces les plus récentes. Les chercheurs d'ESET spécialisés dans les logiciels malveillants utilisent les informations pour produire un instantané précis de la nature et de la portée des menaces mondiales, qui nous permet de nous concentrer sur les bonnes cibles. Les données ESET LiveGrid® jouent un rôle important dans la définition des priorités dans notre traitement automatisé. De plus, la technologie implémente un système de réputation qui contribue à améliorer l'efficacité globale de nos solutions contre les logiciels malveillants. Lors de l'inspection d'un fichier exécutable ou d'une archive sur le système d'un utilisateur, son code de hachage est d'abord comparé à une base de données d'éléments indiqués sur liste blanche et noire. S'il figure sur la liste blanche, le fichier inspecté est considéré comme propre et marqué pour être exclu des analyses futures. S'il est sur la liste noire, des mesures appropriées sont prises en fonction de la nature de la menace. En l'absence de correspondance, le fichier est analysé complètement. Sur la base des résultats de cette analyse, les fichiers sont catégorisés ou non comme menaces. Cette approche à un impact positif significatif sur la performance des analyses. Ce système de réputation permet une détection efficace d'échantillons de logiciels malveillants même avant que les utilisateurs ne reçoivent leurs signatures grâce aux mises à jour du moteur de détection qui ont lieu plusieurs fois par jour. 3.11.3.4 Java Exploit Blocker Java Exploit Blocker est une extension à la protection ESET Exploit Blocker existante. Elle surveille Java à la recherche de comportement semblables aux exploits. Les échantillons bloqués peuvent être signalés à des analystes de programmes malveillants afin qu'ils puissent créer des signatures pour bloquer les tentatives d'exploits Java sur différentes couches (blocage d'URL, téléchargement de fichiers, etc). 3.11.3.5 Protection contre les attaques basées sur le script La protection contre les attaques basées sur le script est composée d'une protection contre JavaScript dans les navigateurs Web et de la protection Antimalware Scan Interface (AMSI) contre les scripts en PowerShell (wscript.exe et cscript.exe). AVERTISSEMENT HIPS doit être activé pour que cette protection fonctionne. La protection contre les attaques basées sur le script fonctionne avec les navigateurs suivants : · · · · Mozilla Firefox Google Chrome Internet Explorer Microsoft Edge REMARQUE Les plus petites versions des navigateurs Web prises en charge peuvent varier parce que la signature de fichier des navigateurs change souvent. La dernière version du navigateur Web est toujours prise en charge. 156 3.11.3.6 Bouclier contre les rançongiciels Un rançongiciel est un type de logiciel malveillant qui empêche les utilisateurs d'accéder à leur système en verrouillant l'écran du système ou en chiffrant les fichiers. Le bouclier contre les rançongiciels surveille le comportement des applications et des processus qui tentent de modifier vos données personnelles. Si le comportement d'une application est considéré comme malveillant ou si une analyse basée sur la réputation montre qu'il faut se méfier de cette application, alors l'application est bloquée ou l'utilisateur est invité à la bloquer ou à l'autoriser. IMPORTANT ESET LiveGrid® doit être activé pour que la protection contre les rançongiciels fonctionne correctement. 3.11.3.7 Détections d'ADN Les types de détection vont des hachages très spécifiques aux détections d'ADN d'ESET, qui sont des définitions complexes de comportements malveillants et de caractéristiques de programmes malveillants. Bien que le code malveillant puisse facilement être modifié ou obscurci par des attaquants, le comportement des objets ne peut pas être modifié aussi facilement et les solutions de détection d'ADN d'ESET sont conçues pour tirer parti de ce principe. Nous effectuons une analyse approfondie du code et extrayons les « gènes » responsables de son comportement. Grâce à cela, nous construisons les solutions de détection d'ADN d'ESET qui sont utilisées pour évaluer le code potentiellement suspect, que ce soit sur le disque ou dans la mémoire du processus en cours. Les détections d'ADN peuvent identifier des échantillons de logiciels malveillants connus spécifiques, de nouvelles variantes d'une famille de logiciels malveillants connus ou même des programmes malveillants jamais rencontrés ou inconnus qui contiennent des gènes indiquant un comportement malveillant. 3.11.3.8 Analyseur UEFI L'analyseur UEFI (Unified Extensible Firmware Interface) fait partie du système HIPS (Host Intrusion Prevention System) qui protège UEFI sur votre ordinateur. UEFI est un micrologiciel qui se charge en mémoire au début du processus de démarrage. Le code est sur une puce de mémoire flash soudée sur la carte mère. En l'infectant, les attaquants peuvent déployer des logiciels malveillants qui survivent aux réinstallations et redémarrages du système. Les logiciels malveillants peuvent également facilement passer inaperçus des solutions antilogicielsmalveillants car la plupart d'entre eux n'analysent pas cette couche. L'analyseur UEFI est activé automatiquement. Vous pouvez également lancer une analyse manuelle de l'ordinateur à partir de la fenêtre principale du programme en cliquant sur Analyse de l'ordinateur > Analyses avancées > Analyse personnalisée et en sélectionnant la cible Secteurs de démarrage/UEFI. Pour plus d'information sur l'analyse de l'ordinateur, consultez la rubrique Analyse de l'ordinateur. Si votre ordinateur a déjà été infecté par un logiciel malveillant UEFI, lisez l'article suivant de la base de connaissances d'ESET : Mon ordinateur est infecté par un logiciel malveillant UEFI, que dois-je faire? 157