ESET Endpoint Security 6 Macintosh Manuel utilisateur
Vous trouverez ci-dessous de brèves informations sur ESET Endpoint Security. Ce logiciel de sécurité offre une protection antivirus et antispyware, un pare-feu personnel, un filtre Internet et la protection de la messagerie. Il propose aussi une protection antihameçonnage et un mode présentation. Le cache local partagé accélère les analyses dans les environnements virtualisés.
PDF
Télécharger
Document
POUR MAC Guide de l'utilisateur (version 6.0 et ultérieures) Cliquez ici pour télécharger la version la plus récente de ce document ESET, spol. s.r.o. ESET Endpoint Security a été développé par ESET, spol. s r.o. Pour plus d'informations, visitez www.eset.com. Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système d'archivage ou transmise sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement, numérisation ou autre sans l'autorisation écrite de l'auteur. ESET, spol. s r.o. se réserve le droit de modifier les applications décrites sans préavis. Service client : www.eset.com/support Rév. 9. 2. 2015 Sommaire 1. ESET Endpoint .....................................................................4 Security 8. Antihameçonnage .....................................................................19 1.1 Nouveautés ...............................................................................................4 1.2 Configuration ...............................................................................................4 système 2. Utilisateurs se connectant par le biais d'ESET.....................................................................4 Remote Administrator 2.1 2.2 2.3 2.4 2.5 ESET Remote ...............................................................................................5 Administrator Server Console...............................................................................................5 Web Proxy ...............................................................................................5 Agent ...............................................................................................6 RD Sensor ...............................................................................................6 3. Installation .....................................................................6 3.1 Installation ...............................................................................................6 standard 3.2 Installation ...............................................................................................7 personnalisée 3.3 Installation ...............................................................................................8 distante 3.3.1 Créa ti on d'un modul e d'i ns ta l l a ti on di s ta nte .............................................................................8 3.3.2 Ins ta l l a ti on di s ta nte s ur l es ordi na teurs ci bl es.............................................................................9 3.3.3 Dés i ns .............................................................................9 ta l l a ti on di s ta nte 3.3.4 Mi s e .............................................................................9 à ni vea u di s ta nte 4. Activation .....................................................................9 de produit 5. Désinstallation .....................................................................10 6. Brève.....................................................................10 présentation 6.1 Raccourcis ...............................................................................................11 clavier 6.2 Contrôle ...............................................................................................11 du fonctionnement du système 6.3 Que faire lorsque le programme ne fonctionne pas correctement ...............................................................................................11 ? 7. Protection .....................................................................11 de l'ordinateur 7.1 Protection ...............................................................................................11 antivirus et antispyware 7.1.1 Généra .............................................................................11 l 7.1.1.1 Excl us............................................................................12 i ons 7.1.2 Protecti .............................................................................12 on a u déma rra ge 7.1.3 Protecti on en temps réel du s ys tème de fi chi.............................................................................12 ers 7.1.3.1 Ana l ys er qua nd (a na l ys e décl enchée pa r un événement) ............................................................................13 7.1.3.2 Opti ons ............................................................................13 d'a na l ys e a va ncées 7.1.3.3 Qua nd fa ut-i l modi fi er l a confi gura ti on de l a protecti ............................................................................13 on en temps réel ? 7.1.3.4 Véri fi............................................................................14 ca ti on de l a protecti on en temps réel 7.1.3.5 Que fa i re s i l a protecti on en temps réel ne foncti............................................................................14 onne pa s ? 7.1.4 Ana l.............................................................................14 ys e de l ’ordi na teur à l a dema nde 7.1.4.1 Type ............................................................................15 d'a na l ys e 7.1.4.1.1 Ana l.............................................................................15 ys e i ntel l i gente 7.1.4.1.2 Ana l.............................................................................15 ys e pers onna l i s ée 7.1.4.2 Ci bl es ............................................................................15 à a na l ys er 7.1.4.3 Profi l............................................................................15 s d'a na l ys e 7.1.5 Confi gura ti on des pa ra mètres du moteur Threa .............................................................................16 tSens e 7.1.5.1 Objets ............................................................................16 7.1.5.2 Opti ons ............................................................................17 7.1.5.3 Nettoya ............................................................................17 ge 7.1.5.4 Extens ............................................................................17 i ons 7.1.5.5 Li mi tes ............................................................................18 7.1.5.6 Autres ............................................................................18 7.1.6 Une .............................................................................18 i nfi l tra ti on es t détectée 7.2 Blocage ...............................................................................................19 de supports amovibles 9. Pare-feu .....................................................................19 9.1 Modes ...............................................................................................19 de filtrage 9.2 Règles ...............................................................................................20 de pare-feu 9.2.1 Créa.............................................................................20 ti on de nouvel l es règl es 9.3 Zones...............................................................................................21 de pare-feu 9.4 Profils...............................................................................................21 de pare-feu 9.5 Journaux ...............................................................................................21 de pare-feu 10. Protection .....................................................................21 Web et messagerie 10.1 Protection ...............................................................................................21 de l’accès Web 10.1.1 Ports.............................................................................21 10.1.2 Mode .............................................................................21 a cti f 10.1.3 Li s tes .............................................................................22 d'URL 10.2 Protection ...............................................................................................22 de la messagerie 10.2.1 Véri fi.............................................................................22 ca ti on pa r protocol e POP3 10.2.2 Véri fi.............................................................................23 ca ti on pa r protocol e IMAP 11. Contrôle .....................................................................23 de l'accès Web 12. Mise .....................................................................24 à jour 12.1 Configuration ...............................................................................................24 des mises à jour 12.1.1 Confi.............................................................................25 gura ti on a va ncée 12.2 Comment ...............................................................................................25 créer des tâches de mise à jour 12.3 Mise ...............................................................................................25 à niveau vers une nouvelle version 12.4 Mises...............................................................................................25 à jour du système 13. Outils.....................................................................26 13.1 Fichiers ...............................................................................................26 journaux 13.1.1 Ma i ntena .............................................................................27 nce des journa ux 13.1.2 Fi l tra.............................................................................27 ge des journa ux 13.2 Planificateur ...............................................................................................27 13.2.1 Créa.............................................................................28 ti on de nouvel l es tâ ches 13.2.2 Créa ti on d'une tâ che défi ni e pa r l 'uti l.............................................................................29 i s a teur 13.3 Quarantaine ...............................................................................................29 13.3.1 Mi s e.............................................................................29 en qua ra nta i ne de fi chi ers 13.3.2 Res ta .............................................................................29 ura ti on d'un fi chi er en qua ra nta i ne 13.3.3 Soumi .............................................................................29 s s i on d'un fi chi er de qua ra nta i ne 13.4 Processus ...............................................................................................30 en cours 13.5 Live Grid ...............................................................................................30 13.5.1 Fi chi.............................................................................31 ers s us pects 14. Interface .....................................................................31 utilisateur 14.1 Alertes ...............................................................................................31 et notifications 14.1.1 Confi gura ti on a va ncée des a l ertes et noti fi.............................................................................32 ca ti ons 14.2 Privilèges ...............................................................................................32 14.3 Mode...............................................................................................32 de présentation 14.4 Menu...............................................................................................33 contextuel 15. Divers .....................................................................33 15.1 Importer ...............................................................................................33 et exporter les paramètres 15.1.1 Importer .............................................................................33 l es pa ra mètres 15.1.2 Exporter .............................................................................33 l es pa ra mètres 15.2 Configuration ...............................................................................................33 du serveur proxy 15.3 Cache...............................................................................................34 local partagé 1. ESET Endpoint Security ESET Endpoint Security 6 représente une nouvelle approche de sécurité informatique véritablement intégrée. La dernière version du moteur d'analyse ThreatSense®, associée à notre pare-feu personnel personnalisé, garantissent la sécurité de votre ordinateur avec grande précision et rapidité. Le résultat est un système intelligent et constamment en alerte, qui protège votre ordinateur des attaques et des programmes malveillants. ESET Endpoint Security 6 est une solution complète de sécurité ; c'est le résultat d'un effort de longue haleine qui associe protection maximale et encombrement minimal. Des technologies avancées basées sur l'intelligence artificielle sont capables de faire barrage de manière proactive à l'infiltration de virus, de logiciels espions, de chevaux de Troie, de vers, de logiciels publicitaires, de rootkits et d'autres attaques provenant d'Internet, sans réduire les performances ni perturber votre ordinateur. ESET Endpoint Security 6 est essentiellement destiné aux postes de travail des entreprises de petites tailles. Il peut être utilisé avec ESET Remote Administrator 6, vous permettant de facilement gérer des stations de travail clientes, quel que soit leur nombre, d'appliquer des règles et des stratégies, de surveiller les détections et d'administrer à distance des modifications à partir de n'importe quel ordinateur du réseau. 1.1 Nouveautés L'interface utilisateur graphique d'ESET Endpoint Security a été repensée pour offrir une meilleure visibilité et un environnement plus intuitif. Parmi les nombreuses améliorations apportées à la version 6, citons notamment : Pare-feu personnell : vous pouvez désormais créer directement des règles à partir du journal ou de la fenêtre de notification IDS et attribuer des profils aux interfaces réseau. Filtrage Internet : bloque les pages Web dont le contenu est susceptible d'être choquant ou inapproprié. Protection de l'accès Web : surveille la communication entre les navigateurs et les serveurs distants. Protection de la messagerie : permet de contrôler la communication par courrier électronique effectuée via les protocoles POP3 et IMAP. 4 Protection antihameçonnage : vous protège des tentatives d’acquisition de mots de passe et d'autres informations sensibles en limitant l'accès des sites Web malveillants se faisant passer pour des sites légitimes. Mode de présentation : permet d'exécuter ESET Endpoint Security à l'arrière-plan et de désactiver les fenêtres contextuelles et les tâches planifiées. Le cache local partagé permet d'accélérer la vitesse des analyses dans les environnements virtualisés. 1.2 Configuration système Pour garantir le fonctionnement correct de ESET Endpoint Security, le système doit répondre à la configuration suivante : Architecture du processeur Système d'exploitation Mémoire Espace disponible Configuration système : Intel 32-bit, 64-bit Mac OS X 10.6 et versions ultérieures 300 MB 200 MB 2. Utilisateurs se connectant par le biais d'ESET Remote Administrator ESET Remote Administrator (ERA) version 6 est une application qui permet de gérer les produits ESET de manière centralisée dans un environnement réseau. Le système de gestion des tâches ESET Remote Administrator offre la possibilité d'installer les solutions de sécurité ESET sur des ordinateurs distants et de réagir rapidement face aux nouveaux problèmes et menaces. ESET Remote Administrator n'offre pas de protection contre les codes malveillants ; le produit repose sur la présence d'une solution de sécurité ESET sur chaque client. Les solutions de sécurité ESET prennent en charge les réseaux qui comprennent plusieurs types de plateformes. Votre réseau peut comprendre une combinaison de systèmes d'exploitation Microsoft, Linux et MAC OS X et de systèmes d'exploitation qui s'exécutent sur des périphériques mobiles (téléphones mobiles et tablettes). L'illustration suivante montre un exemple d'architecture pour un réseau protégé par les solutions de sécurité ESET gérées par ERA : accessible à partir d'Internet pour permettre l'utilisation d'ESET Remote Administrator à partir de presque n'importe quel emplacement ou périphérique. Tableau de bord de la console Web : REMARQUE : pour plus d'informations, reportez-vous à la documentation en ligne d'ESET Remote Administrator. 2.1 ESET Remote Administrator Server ESET Remote Administrator Server est le composant d'exécution d'ESET Remote Administrator. Il traite toutes les données reçues des clients se connectant au serveur (par le biais d'ERA Agent 6 ). ERA Agent simplifie la communication entre le client et le serveur. Les données (journaux clients, configuration, réplication de l'agent et autres) sont stockées dans une base de données à laquelle ERA accède pour créer des rapports. Pour traiter correctement les données, ERA Server requiert une connexion stable à un serveur de base de données. Pour des performances optimales, Il est recommandé d'installer ERA Server et la base de données sur des serveurs distincts. L'ordinateur sur lequel ERA Server est installé doit être configuré pour accepter toutes les connexions des Agent/Proxy/RD Sensor qui sont vérifiées à l'aide de certificats. Une fois ERA Server installé, vous pouvez ouvrir ERA Web Console 5 qui vous permet de gérer les stations de travail de point de terminaison à l'aide des solutions ESET installées. 2.2 Console Web ERA Web Console est une application dotée d'une interface utilisateur Web qui présente les données d' ERA Server 5 et qui vous permet de gérer les solutions de sécurité ESET dans votre réseau. La console Web est accessible à l'aide d'un navigateur. Elle affiche une vue d'ensemble de l'état des clients sur le réseau et peut être utilisée pour déployer à distance les solutions ESET sur des ordinateurs non gérés. Vous pouvez décider de rendre le serveur Web L'outil Recherche rapide figure dans la partie supérieure de la console Web. Dans le menu déroulant, sélectionnez Nom de l'ordinateur, Adresse IPv4/IPv6 ou Nom de la menace, saisissez votre chaîne de recherche dans le champ de texte, puis cliquez sur le symbole de loupe ou appuyez sur Entrée pour lancer la recherche. Vous êtes alors redirigé vers la section Groupes dans laquelle le résultat de votre recherche est affiché. 2.3 Proxy ERA Proxy est un autre composant d'ESET Remote Administrator qui a un double objectif. Dans le cas d'un réseau d'entreprise de taille moyenne qui comprend de nombreux clients (10 000 clients ou plus), ERA Proxy peut servir à répartir la charge entre plusieurs ERA Proxy, et décharger ainsi ERA Server 5 . L'autre avantage d'ERA Proxy est que vous pouvez l'utiliser lors de la connexion à une filiale distante qui possède une liaison faible. Cela signifie qu'ERA Agent sur chaque client ne se connecte pas directement à ERA Server mais par le biais d'ERA Proxy qui se trouve sur le même réseau local que la filiale. Il libère ainsi la liaison de la filiale. ERA Proxy accepte les connexions de tous les ERA Agents locaux, compile leurs données et les charge sur ERA Server (ou un autre ERA Proxy). Votre réseau peut ainsi prendre en charge davantage de clients sans compromettre les performances du réseau et des requêtes de base de données. Selon votre configuration réseau, ERA Proxy peut être connecté à un autre ERA Proxy puis à ERA Server. Pour qu'ERA Proxy fonctionne correctement, l'ordinateur hôte sur lequel vous avez installé ERA Proxy doit disposer d'un ESET Agent et être connecté au niveau supérieur (ERA Server ou ERA Proxy 5 supérieur, le cas échéant) du réseau. 2.4 Agent ERA Agent est un composant essentiel du produit ESET Remote Administrator. Les solutions de sécurité ESET (ESET Endpoint security, par exemple) sur les ordinateurs clients communiquent avec ERA Server par le biais de l'Agent. Ces communications permettent de centraliser la gestion des solutions de sécurité ESET sur tous les clients distants à partir d'un seul emplacement. L'Agent collecte les informations du client et les envoie au serveur. Lorsque le serveur envoie une tâche au client, celle-ci passe par l'Agent qui communique ensuite avec le client. Toutes les communications réseau s'effectuent entre l'Agent et la partie supérieure du réseau ERA, à savoir le serveur et le proxy. 3. Installation Deux méthodes permettent de lancer le programme d'installation d'ESET Endpoint Security pour Mac : Si vous effectuez l'installation à partir du CD/DVD d'installation, insérez le disque dans le lecteur CD/ DVD-ROM, puis double-cliquez sur l'icône d'installation ESET Endpoint Security pour lancer le programme d'installation. Si vous effectuez l'installation depuis un fichier que vous avez téléchargé, double-cliquez sur ce fichier pour lancer le programme d'installation. L'Agent ESET utilise l'une des trois méthodes suivantes pour se connecter au serveur : 1. L'Agent du client est directement connecté au serveur. 2. L'Agent du client se connecte par le biais d'un proxy connecté au serveur. 3. L'Agent du client se connecte au serveur par le biais de plusieurs proxys. L'Agent ESET communique avec les solutions ESET installées sur un client, collecte les informations des programmes du client et transmet les informations de configuration reçues du serveur au client. REMARQUE : le proxy ESET possède son propre Agent qui gère toutes les tâches de communication entre les clients, les autres proxys et le serveur. 2.5 RD Sensor RD (Rogue Detection) Sensor est un composant d'ESET Remote Administrator conçu pour rechercher des ordinateurs sur votre réseau. Il offre un moyen pratique d'ajouter de nouveaux ordinateurs à ESET Remote Administrator sans avoir à les rechercher et à les ajouter manuellement. Chaque ordinateur trouvé sur le réseau est affiché dans la console Web et ajouté au groupe Tous par défaut. À ce stade, vous pouvez effectuer d'autres actions sur les ordinateurs clients. RD Sensor est un écouteur passif qui détecte les ordinateurs qui se trouvent sur le réseau et envoie des informations sur ces derniers à ERA Server. ERA Server évalue ensuite si les ordinateurs trouvés sur le réseau sont inconnus ou déjà gérés. 6 L'assistant d'installation vous accompagne pendant le processus. Pendant la première phase de l'installation, le programme d'installation recherchera automatiquement la dernière version du produit en ligne. S'il détecte une version plus récente, vous pourrez télécharger la dernière version avant de poursuivre l'installation. Après avoir accepté les termes du contrat de licence de l'utilisateur final, vous pouvez choisir les types d'installations suivants : Installation standard 6 Installation personnalisée 7 Installation distante 8 3.1 Installation standard Le mode d'installation standard comprend des options de configuration qui correspondent à la plupart des utilisateurs. Ces paramètres offrent une sécurité maximale tout en permettant de conserver d'excellentes performances système. L'installation standard est l'option par défaut qui est recommandée si vous n'avez pas d'exigence particulière pour certains paramètres. ESET Live Grid Le système d'alerte anticipé ESET Live Grid veille à ce qu'ESET soit immédiatement et continuellement informé des nouvelles infiltrations afin de protéger rapidement nos clients. Le système permet aux nouvelles menaces d'être soumises au laboratoire d'ESET où elles seront alors analysées, traitées puis ajoutées à la base de signatures de virus. Cliquez sur Configuration pour modifier les paramètres détaillés de soumission des fichiers suspects. Pour plus d'informations, reportez-vous à la section Live Grid 30 . Applications potentiellement indésirables La dernière étape de l'installation consiste à configurer la détection des applications potentiellement indésirables. De tels programmes ne sont pas nécessairement malveillants, mais peuvent avoir une incidence négative sur le comportement du système d'exploitation. Ces applications sont souvent associées à d'autres programmes et peuvent être difficiles à remarquer lors de l'installation. Bien que ces applications affichent habituellement une notification pendant l'installation, elles peuvent facilement s'installer sans votre consentement. Après l'installation de ESET Endpoint Security, vous devez effectuer une analyse de l'ordinateur afin de rechercher tout code malveillant éventuel. Dans la fenêtre principale du programme, cliquez sur Analyse de l'ordinateur, puis sur Analyse intelligente. Pour plus d'informations sur l'analyse de l'ordinateur à la demande, reportez-vous à la section Analyse de l'ordinateur à la demande 14 . 3.2 Installation personnalisée Le mode d'installation personnalisée est destiné aux utilisateurs expérimentés qui souhaitent modifier les paramètres avancés pendant l'installation. Composants du programme ESET Endpoint Security vous permet d'installer le produit sans certains de ses principaux composants (comme la protection Internet et messagerie). Décochez la case située en regard d'un composant du produit pour le retirer de l'installation. Mise à jour Saisissez votre nom d'utilisateur et votre mot de passe (les données d'authentification que vous avez reçues après l'achat ou l'enregistrement de votre produit) dans les champs correspondants. Si votre nom d'utilisateur et votre mot de passe ne sont pas disponibles, cliquez sur Continuer pour poursuivre l'installation. Vous pourrez les saisir ultérieurement. ESET Endpoint Security vous permet de définir un autre serveur de mise à jour ou un serveur de mise à jour de basculement. Par exemple, votre serveur principal peut être votre serveur miroir, et votre serveur secondaire, le serveur de mise à jour ESET standard. Le serveur secondaire doit être différent du serveur principal ; sinon, il ne sera pas utilisé. Si vous n'indiquez pas de serveur de mise à jour secondaire, de nom d'utilisateur et de mot de passe, le serveur de mise à jour secondaire ne fonctionne pas. Si vous indiquez le nom d'utilisateur et le mot de passe que vous avez reçus dans le courrier de licence et que vous sélectionnez l'option Choisir automatiquement les mises à jour sont effectuées. Serveur proxy Si vous utilisez un serveur proxy, vous pouvez définir ses paramètres en sélectionnant l'option J'utilise un serveur proxy. Dans la fenêtre suivante, entrez l'adresse IP ou l'adresse URL de votre serveur proxy dans le champ Adresse. Dans le champ Port, spécifiez le port sur lequel le serveur proxy accepte les connexions (3128 par défaut). Si le serveur proxy exige une authentification, saisissez un nom d'utilisateur et un mot de passe pour accorder l'accès au serveur proxy. Si vous n'utilisez pas de serveur proxy, sélectionnez Je n'utilise pas de serveur proxy. Si vous ne savez pas si vous utilisez un serveur proxy ou non, vous pouvez utiliser vos paramètres système en cours en sélectionnant l'option Utiliser les paramètres système (recommandée). Privilèges Dans l'étape suivante, vous pouvez définir les utilisateurs privilégiés qui pourront modifier la configuration du programme. Dans la liste des utilisateurs figurant à gauche, sélectionnez les utilisateurs et l'option Ajouter pour les ajouter à la liste Utilisateurs privilégiés. Pour afficher tous les utilisateurs du système, sélectionnez Afficher tous les utilisateurs. Si la liste Utilisateurs privilégiés est vide, tous les utilisateurs sont considérés comme étant privilégiés. 7 ESET Live Grid Le système d'alerte anticipé ESET Live Grid veille à ce qu'ESET soit immédiatement et continuellement informé des nouvelles infiltrations afin de protéger rapidement nos clients. Le système permet aux nouvelles menaces d'être soumises au laboratoire d'ESET où elles seront alors analysées, traitées puis ajoutées à la base de signatures de virus. Cliquez sur Configuration pour modifier les paramètres détaillés de soumission des fichiers suspects. Pour plus d'informations, reportez-vous à la section Live Grid 30 . Applications potentiellement indésirables L'étape suivante de l'installation consiste à configurer la détection des applications potentiellement indésirables. De tels programmes ne sont pas nécessairement malveillants, mais peuvent avoir une incidence négative sur le comportement du système d'exploitation. Ces applications sont souvent associées à d'autres programmes et peuvent être difficiles à remarquer lors de l'installation. Bien que ces applications affichent habituellement une notification pendant l'installation, elles peuvent facilement s'installer sans votre consentement. Pare-feu personnel Lors de la dernière étape, il est possible de sélectionner un mode de filtrage pour le pare-feu personnel. Pour plus d'informations, voir Modes de filtrage 19 . Après l'installation de ESET Endpoint Security, vous devez effectuer une analyse de l'ordinateur afin de rechercher tout code malveillant éventuel. Dans la fenêtre principale du programme, cliquez sur Analyse de l'ordinateur, puis sur Analyse intelligente. Pour plus d'informations sur l'analyse de l'ordinateur à la demande, reportez-vous à la section Analyse de l'ordinateur à la demande 14 . 3.3 Installation distante L'installation distante permet de créer un module d'installation qui peut être installé sur les ordinateurs cibles à l'aide du logiciel de bureau distant. Lorsque l'installation est terminée, ESET Endpoint Security peut être géré à distance par le biais d'ESET Remote Administrator. L'installation distante s'effectue en deux phases : 1. Création d'un module d'installation distante à l'aide du programme d'installation d'ESET 8 2. Installation distante à l'aide d'un logiciel de bureau distant 9 8 À l'aide de la dernière version d'ESET Remote Administrator 6, vous pouvez également effectuer une installation distante sur des ordinateurs clients OS X. Pour obtenir des instructions détaillées, suivez les étapes indiquées dans cet article de la base de connaissances. (Cet article peut ne pas être disponible dans votre langue.) 3.3.1 Création d'un module d'installation distante Composants du programme ESET Endpoint Security vous permet d'installer le produit sans certains de ses principaux composants (comme la protection Internet et messagerie). Décochez la case située en regard d'un composant du produit pour le retirer de l'installation. Mise à jour Saisissez votre nom d'utilisateur et votre mot de passe (les données d'authentification que vous avez reçues après l'achat ou l'enregistrement de votre produit) dans les champs correspondants. Si votre nom d'utilisateur et votre mot de passe ne sont pas disponibles, cliquez sur Continuer pour poursuivre l'installation. Vous pourrez les saisir ultérieurement. ESET Endpoint Security vous permet de définir un autre serveur de mise à jour ou un serveur de mise à jour de basculement. Par exemple, votre serveur principal peut être votre serveur miroir, et votre serveur secondaire, le serveur de mise à jour ESET standard. Le serveur secondaire doit être différent du serveur principal ; sinon, il ne sera pas utilisé. Si vous n'indiquez pas de serveur de mise à jour secondaire, de nom d'utilisateur et de mot de passe, le serveur de mise à jour secondaire ne fonctionne pas. Si vous indiquez le nom d'utilisateur et le mot de passe que vous avez reçus dans le courrier de licence et que vous sélectionnez l'option Choisir automatiquement les mises à jour sont effectuées. Serveur proxy Si vous utilisez un serveur proxy, vous pouvez définir ses paramètres en sélectionnant l'option J'utilise un serveur proxy. Dans la fenêtre suivante, entrez l'adresse IP ou l'adresse URL de votre serveur proxy dans le champ Adresse. Dans le champ Port, spécifiez le port sur lequel le serveur proxy accepte les connexions (3128 par défaut). Si le serveur proxy exige une authentification, saisissez un nom d'utilisateur et un mot de passe pour accorder l'accès au serveur proxy. Si vous n'utilisez pas de serveur proxy, sélectionnez Je n'utilise pas de serveur proxy. Si vous ne savez pas si vous utilisez un serveur proxy ou non, vous pouvez utiliser vos paramètres système en cours en sélectionnant l'option Utiliser les paramètres système (recommandée). Privilèges Dans l'étape suivante, vous pouvez définir les utilisateurs privilégiés qui pourront modifier la configuration du programme. Dans la liste des utilisateurs figurant à gauche, sélectionnez les utilisateurs et l'option Ajouter pour les ajouter à la liste Utilisateurs privilégiés. Pour afficher tous les utilisateurs du système, sélectionnez Afficher tous les utilisateurs. Si la liste Utilisateurs privilégiés est vide, tous les utilisateurs sont considérés comme étant privilégiés. ESET Live Grid Le système d'alerte anticipé ESET Live Grid veille à ce qu'ESET soit immédiatement et continuellement informé des nouvelles infiltrations afin de protéger rapidement nos clients. Le système permet aux nouvelles menaces d'être soumises au laboratoire d'ESET où elles seront alors analysées, traitées puis ajoutées à la base de signatures de virus. Cliquez sur Configuration pour modifier les paramètres détaillés de soumission des fichiers suspects. Pour plus d'informations, reportez-vous à la section Live Grid 30 . Applications potentiellement indésirables L'étape suivante de l'installation consiste à configurer la détection des applications potentiellement indésirables. De tels programmes ne sont pas nécessairement malveillants, mais peuvent avoir une incidence négative sur le comportement du système d'exploitation. Ces applications sont souvent associées à d'autres programmes et peuvent être difficiles à remarquer lors de l'installation. Bien que ces applications affichent habituellement une notification pendant l'installation, elles peuvent facilement s'installer sans votre consentement. Pare-feu personnel Lors de la prochaine étape, il est possible de sélectionner un mode de filtrage pour le pare-feu personnel. Pour plus d'informations, voir Modes de filtrage 19 . Fichiers d'installation à distance Dans la dernière étape de l'assistant d'installation, sélectionnez un dossier de destination pour le paquet d'installation (esets_rem ote_Insta ll.pkg ), le script de shell de configuration (esets_setup.sh) et le script de shell de désinstallation (esets_rem ote_U nInsta ll.sh). 3.3.2 Installation distante sur les ordinateurs cibles ESET Endpoint Security peut être installé sur les ordinateurs cibles à l'aide d'Apple Remote Desktop ou de tout autre outil prenant en charge l'installation de paquets Mac standard ( .pkg) ; il suffit de copier les fichiers et d'exécuter les scripts de shell sur les ordinateurs cibles. Pour installer ESET Endpoint Security à l'aide d'Apple Remote Desktop : 1. Cliquez sur l'icône Copier dans Apple Remote Desktop. 2. Cliquez sur +, accédez au script de shell d'installation (esets_setup.sh) et sélectionnez-le. 3. Sélectionnez /tmp dans le menu déroulant Placer les éléments dans, puis cliquez sur Copier. 4. Cliquez sur Installer pour envoyer le module aux ordinateurs cibles. Pour obtenir des instructions détaillées sur l'administration des ordinateurs clients à l'aide d'ESET Remote Administrator, reportez-vous à Guide de l'utilisateur d'ESET Remote Administrator. 3.3.3 Désinstallation distante Pour désinstaller ESET Endpoint Security sur les ordinateurs clients : 1. À l'aide de la commande Copier les éléments dans Apple Remote Desktop, localisez le script de shell de désinstallation ( esets_rem ote_unInsta ll.sh créé avec le module d'installation) et copiez le script de shell dans le répertoire /tmp sur les ordinateurs cibles (par exemple /tm p/esets_rem ote_uninsta ll.sh ). 2. Sélectionnez Utilisateur dans Exécuter la commande en tant que et saisissez root dans le champ Utilisateur. 3. Cliquez sur Envoyer. Lorsque le produit est désinstallé, l'historique de la console est arrêté. 3.3.4 Mise à niveau distante Utilisez la commande Installer les paquets dans Apple Remote Desktop pour installer la dernière version de ESET Endpoint Security lorsque celle-ci est disponible. 4. Activation de produit Une fois l'installation terminée, vous êtes invité à activer le produit. Plusieurs méthodes d'activation vous sont proposées. La disponibilité d'une méthode d'activation en particulier peut varier en fonction du pays et selon le mode de distribution (CD/DVD, page Web ESET, etc.) de votre produit. 9 Pour activer votre copie d'ESET Endpoint Security directement à partir du programme, cliquez sur l'icône ESET Endpoint Security située dans la barre de menus OS X (partie supérieure de l'écran), puis sur Activation du produit. Vous pouvez également activer le produit dans le menu principal sous Aide > Gérer la licence ou État de la protection > Activer le produit. Pour activer ESET Endpoint Security, vous pouvez utiliser l'une des méthodes suivantes : Activer avec la clé de licence : chaîne unique au format XXXX-XXXX-XXXX-XXXX-XXXX qui sert à l'identification du propriétaire de la licence et à l'activation de cette dernière. Administrateur Sécurité : compte créé sur le portail ESET License Administrator à l'aide d'informations d'identification (adresse électronique + mot de passe). Cette méthode permet de gérer plusieurs licences à partir d'un seul emplacement. Licence hors ligne : fichier généré automatiquement qui est transféré au produit ESET afin de fournir des informations de licence. Ce fichier de licence hors ligne est généré à partir du portail ESET License Administrator. Il est utilisé dans les environnements dans lesquels l'application ne peut pas se connecter à l'autorité de certification. Cliquez sur Activer ultérieurement avec RA si votre ordinateur est membre du réseau géré et si votre administrateur envisage d'utiliser ESET Remote Administrator pour activer votre produit. Vous pouvez également utiliser cette option si vous souhaitez activer ultérieurement ce client. REMARQUE : ESET Remote Administrator peut activer des ordinateurs clients en silence à l'aide des licences fournies par l'administrateur. 10 5. Désinstallation Plusieurs méthodes permettent de lancer le programme de désinstallation d'ESET Endpoint Security pour Mac : insérez le CD/DVD d'installation ESET Endpoint Security dans votre ordinateur, ouvrez-le à partir du Bureau ou de la fenêtre Finder, puis double-cliquez sur Désinstaller, ouvrez le fichier d'installation de ESET Endpoint Security ( .dm g) et double-cliquez sur Désinstaller, lancez le Finder, ouvrez le dossier Applications sur le disque dur, appuyez sur la touche CTRL et cliquez sur l'icône ESET Endpoint Security, puis sélectionnez l'option d'affichage du contenu du paquet. Ouvrez le dossier Resources et double-cliquez sur l'icône de désinstallation. 6. Brève présentation La fenêtre principale d'ESET Endpoint Security est divisée en deux sections principales. La fenêtre principale de droite affiche les informations correspondant à l'option sélectionnée dans le menu principal à gauche. Les sections suivantes sont accessibles à partir du menu principal : État de la protection : fournit des informations sur l'état de protection de votre ordinateur, du pare-feu, d'Internet et de la messagerie. Analyse de l'ordinateur : cette section permet de configurer et de lancer l'analyse de l'ordinateur à la demande 14 . Mise à jour : affiche des informations sur les mises à jour de la base des signatures de virus. Configuration : sélectionnez cette section pour ajuster le niveau de sécurité de votre ordinateur. Outils : permet d'accéder aux fichiers journaux 26 , au planificateur 27 , à la quarantaine 29 , aux processus en cours 30 et à d'autres fonctions du programme. Aide : permet d'accéder aux fichiers d'aide, à la base de connaissances sur Internet, au formulaire de demande d'assistance et à d'autres informations sur le programme. 6.1 Raccourcis clavier Raccourcis clavier disponibles avec ESET Endpoint Security : cm d+, : affiche les préférences d'ESET Endpoint Security, cm d+O : redimensionne la fenêtre de l'interface utilisateur graphique principale d'ESET Endpoint Security pour lui redonner sa taille par défaut et la place au centre de l'écran. cm d+Q : masque la fenêtre principale d'ESET Endpoint Security. Vous pouvez aussi l'ouvrir en cliquant sur l'icône ESET Endpoint Security dans la barre de menus OS X (en haut de l'écran), cm d+W : ferme la fenêtre principale d'ESET Endpoint Security. Les raccourcis clavier suivants ne fonctionnent que si l'option Utiliser le menu standard est activée sous Configuration > Saisie des préférences de l'application... > Interface : cm d+a lt+L : ouvre la fenêtre Fichiers journaux ; cm d+a lt+S : ouvre la fenêtre Planificateur ; cm d+a lt+Q : ouvre la fenêtre Quarantaine. 6.2 Contrôle du fonctionnement du système Pour afficher l'état de la protection, cliquez sur État de la protection dans le menu principal. La fenêtre principale affiche un résumé de l'état de fonctionnement des modules de ESET Endpoint Security. 6.3 Que faire lorsque le programme ne fonctionne pas correctement ? Lorsqu'un module fonctionne correctement, une icône représentant une coche verte est affichée. Lorsqu'un module ne fonctionne pas correctement, une icône représentant un point d'exclamation rouge ou de notification orange est affichée. Des informations supplémentaires sur le module et une suggestion de solution du problème sont alors présentées dans la fenêtre principale du programme. Pour changer l'état des différents modules, cliquez sur le lien bleu affiché sous chaque message de notification. Si vous ne parvenez pas à résoudre le problème à l'aide des solutions suggérées, vous pouvez chercher une autre solution dans la base de connaissances ESET ou contacter le Service client ESET. Ce dernier répondra rapidement à vos questions et vous aidera à trouver une solution pour ESET Endpoint Security. 7. Protection de l'ordinateur La configuration de l'ordinateur se trouve sous Configuration > Ordinateur. Elle affiche l'état de la protection en temps réel du système de fichiers et du blocage des supports amovibles. Pour désactiver des modules individuels, réglez le module en question sur DÉSACTIVÉ. Notez que cela pourrait abaisser le niveau de protection de l'ordinateur. Pour accéder aux paramètres détaillés de chaque module, cliquez sur Configuration. 7.1 Protection antivirus et antispyware La protection antivirus protège des attaques contre le système en modifiant les fichiers représentant des menaces potentielles. Si une menace comportant du code malveillant est détectée, le module Antivirus peut l'éliminer en la bloquant. Il peut ensuite la nettoyer, la supprimer ou la placer en quarantaine. 7.1.1 Général Dans la section Général (Configuration > Saisie des préférences de l'application... > Général), vous pouvez activer la détection des types d'applications suivants : Applications potentiellement indésirables : ces applications ne sont pas nécessairement malveillantes, mais elles peuvent avoir une incidence négative sur les performances de votre ordinateur. Ces applications sont habituellement installées après consentement. Si elles sont présentes sur votre ordinateur, votre système se comporte différemment (par rapport à son état avant l'installation de ces applications). Les changements les plus significatifs concernent l'affichage indésirable de fenêtres contextuelles, l'activation et l'exécution de processus cachés, l'utilisation accrue des ressources système, les changements dans les résultats de recherche et les applications communiquant avec des serveurs distants. 11 Applications potentiellement dangereuses : cette appellation fait référence à des logiciels commerciaux légitimes qui peuvent être mis à profit par des pirates, s'ils ont été installés à l'insu de l'utilisateur. Cette classification inclut des programmes tels que des outils d'accès à distance. Pour cette raison, cette option est désactivée par défaut. Applications suspectes : ces applications comprennent les programmes compressés à l'aide d'empaqueteurs ou de protecteurs. Ces types de protecteurs sont souvent exploités par les auteurs de logiciels malveillants, afin d'échapper à la détection. Un empaqueteur est un programme exécutable compressé auto-extractible qui contient plusieurs sortes de logiciels malveillants dans un seul package. Les empaqueteurs les plus courants sont au format UPX, PE_Compact, PKLite ou ASPack. Un même logiciel malveillant peut être détecté différemment suivant l'empaqueteur dans lequel il est compressé. Les empaqueteurs ont également la possiblité de modifier leur « signature » au fil du temps, rendant ainsi le logiciel malveillant plus difficile à détecter et à supprimer. Pour configurer le système de fichiers ou les exclusions Web et messagerie 12 , cliquez sur Configuration. 7.1.1.1 Exclusions Dans la section Exclusions, vous pouvez exclure de l'analyse certains fichiers/dossiers, applications ou adresses IP/IPv6. Les fichiers et les dossiers répertoriés dans l'onglet Système de fichiers seront exclus de tous les analyseurs : au démarrage, en temps réel et à la demande (analyse de l'ordinateur). Chemin : chemin d'accès aux fichiers et dossiers exclus. Menace : si le nom d'une menace figure en regard d'un fichier exclu, cela signifie que ce fichier n'est exclu que pour cette menace spécifique : il n'est pas exclu complètement. Si le fichier est infecté ultérieurement par un autre logiciel malveillant, il est détecté par le module antivirus. Ajouter... : crée une exclusion. Saisissez le chemin d'accès à l'objet (vous pouvez également utiliser les caractères génériques * et ?) ou sélectionnez le dossier ou le fichier dans la structure arborescente. Modifier... : permet de modifier des entrées sélectionnées. Supprimer : supprime les entrées sélectionnées. Par défaut : annule toutes les exclusions. Dans l'onglet Web et messagerie, il est possible d'exclure certaines applications ou adresses IP/IPv6 de l'analyse des protocoles. 7.1.2 Protection au démarrage La vérification des fichiers de démarrage analyse automatiquement les fichiers lors du démarrage du système. Par défaut, cette analyse s'exécute régulièrement à intervalles planifiés, après la connexion d'un utilisateur ou une mise à jour de la base de signatures de virus. Pour modifier les réglages des paramètres du moteur ThreatSense applicables à l'analyse au démarrage, cliquez sur Configuration. Vous trouverez dans cette section 16 des informations complémentaires sur la configuration du moteur ThreatSense. 7.1.3 Protection en temps réel du système de fichiers La protection en temps réel du système de fichiers vérifie tous les types de supports et déclenche une analyse en fonction de différents événements. La protection en temps réel du système de fichiers utilise la technologie ThreatSense (décrite dans la section Configuration des paramètres du moteur ThreatSense 16 ) et peut être différente pour les nouveaux fichiers et les fichiers existants. Les fichiers nouvellement créés peuvent être plus précisément contrôlés. 12 Par défaut, la protection en temps réel est lancée au démarrage du système d'exploitation, assurant ainsi une analyse ininterrompue. Dans certains cas (par exemple, en cas de conflit avec un autre analyseur en temps réel), il est possible de mettre fin à la protection en temps réel en cliquant sur l'icône ESET Endpoint Security dans la barre de menus (en haut de l'écran) et en sélectionnant l'option Désactiver la protection en temps réel du système de fichiers. Il est également possible de désactiver la protection en temps réel du système de fichiers depuis la fenêtre principale du programme (sélectionnez Configuration > Ordinateur et réglez Protection en temps réel du système de fichiers sur DÉSACTIVÉ). Pour modifier les paramètres avancés de la protection en temps réel du système de fichiers, sélectionnez Configuration > Saisie des préférences de l'application... (ou appuyez sur cm d+,) > Protection en temps réel et cliquez sur l'option Configuration... située en regard de l'option Options avancées (reportez-vous à la section Options d'analyse avancées 13 ). 7.1.3.1 Analyser quand (analyse déclenchée par un événement) Par défaut, tous les fichiers sont analysés à l'ouverture, à la création ou à l'exécution. Il est recommandé de conserver ces paramètres par défaut, car ils offrent le niveau maximal de protection en temps réel pour votre ordinateur. 7.1.3.2 Options d'analyse avancées Vous pouvez définir dans cette fenêtre les types d'objet que le moteur ThreatSense doit analyser, activer/désactiver l'option Heuristique avancée et modifier les paramètres des archives et du cache de fichiers. Il n'est pas recommandé de modifier les valeurs par défaut de la section Paramètres d'archive par défaut, à moins que vous n'ayez besoin de résoudre un problème spécifique, car l'augmentation des valeurs d'imbrication des archives peut avoir une incidence sur les performances. Vous pouvez activer ou désactiver l'analyse heuristique avancée ThreatSense de chacun des fichiers exécutés, créés et modifiés en cochant la case Heuristique avancée de chaque section de paramètres de ThreatSense. Pour réduire l'impact de la protection en temps réel sur le système, vous pouvez définir la taille du cache d'optimisation. Le cache d'optimisation est utilisé lorsque l'option Activer le cache des fichiers nettoyés est activée. Si cette fonction est désactivée, tous les fichiers sont analysés à chaque accès. Les fichiers ne sont analysés qu'une seule fois après leur mise en cache (sauf s'ils ont été modifiés), jusqu'à ce que la taille définie pour le cache soit atteinte. Les fichiers sont immédiatement réanalysés après chaque mise à jour de la base des signatures de virus. Cliquez sur Activer le cache des fichiers nettoyés pour activer/désactiver cette fonction. Pour indiquer la taille du cache, saisissez la valeur souhaitée dans le champ situé en regard de l'option Taille du cache. D'autres paramètres d'analyse peuvent être définis dans la fenêtre Configuration du moteur ThreatSense. Vous pouvez définir le type des objets à analyser, les options à utiliser et le niveau de nettoyage, les extensions et les limites de taille de fichiers pour la protection du système de fichiers en temps réel. Vous pouvez ouvrir la fenêtre de configuration du moteur ThreatSense en cliquant sur Configuration en regard de l'option Moteur ThreatSense dans la fenêtre Configuration avancée. Pour plus d'informations sur les paramètres du moteur ThreatSense, reportez-vous à la section Configuration des paramètres du moteur ThreatSense 16 . 7.1.3.3 Quand faut-il modifier la configuration de la protection en temps réel ? La protection en temps réel est le composant essentiel de la sécurisation du système. Procédez avec prudence lorsque vous modifiez les paramètres de protection en temps réel. Il est recommandé de ne modifier ces paramètres que dans des cas très précis. Vous pouvez les modifier par exemple lorsqu'il y a conflit avec une autre application ou avec l'analyseur en temps réel d'un autre logiciel antivirus. Après l'installation de ESET Endpoint Security, tous les paramètres sont optimisés pour garantir le niveau maximum de système de sécurité aux utilisateurs. Afin de restaurer les paramètres par défaut, cliquez sur le bouton Par défaut situé dans la partie inférieure gauche de la fenêtre Protection en temps réel ( Configuration > Saisie des préférences de l'application... > Protection en temps réel). 13 7.1.3.4 Vérification de la protection en temps réel Pour vérifier que la protection en temps réel fonctionne correctement et qu'elle détecte les virus, utilisez le fichier de test eicar.com. Ce fichier de test est un fichier inoffensif particulier qui est détectable par tous les programmes antivirus. Le fichier a été créé par l'institut EICAR (European Institute for Computer Antivirus Research) pour tester la fonctionnalité des programmes antivirus. Afin de vérifier l'état de la protection en temps réel sans utiliser ESET Remote Administrator, connectezvous à distance à l'ordinateur client en utilisant le terminal et saisissez la commande suivante : /Applications/.esets/Contents/MacOS/esets_daemon --status L'état de l'analyseur en temps réel indique RTPStatus=Enabled ou RTPStatus=Disabled . La sortie de la commande Bash sur le terminal comprend les états suivants : version de ESET Endpoint Security installée sur l'ordinateur client ; date et version de la base de signatures de virus ; chemin vers le serveur de mise à jour. REMARQUE : l'utilisation du terminal est recommandée uniquement pour les utilisateurs expérimentés. La protection en temps réel ne détecte et ne nettoie pas les infiltrations Assurez-vous qu'aucun autre programme antivirus n'est installé sur votre ordinateur. Si deux programmes de protection en temps réel sont activés en même temps, il peut y avoir un conflit entre les deux. Il est recommandé de désinstaller tout autre antivirus de votre système. La protection en temps réel ne démarre pas Si la protection en temps réel n'est pas initialisée au démarrage du système, cela peut provenir de conflits avec d'autres programmes. Si vous rencontrez ce problème, contactez le service client ESET. 7.1.4 Analyse de l’ordinateur à la demande Si vous pensez que votre ordinateur peut être infecté (en raison d'un comportement anormal), exécutez une analyse intelligente pour rechercher d'éventuelles infiltrations. Pour une protection maximum, les analyses d'ordinateur doivent être exécutées régulièrement dans le cadre de mesures de sécurité de routine. Elles ne doivent pas être exécutées uniquement lorsqu'une infection est suspectée. Une analyse régulière peut détecter des infiltrations n'ont détectées par l'analyseur en temps réel au moment de leur enregistrement sur le disque. Cela peut se produire si l'analyseur en temps réel est désactivé au moment de l'infection ou si la base des signatures de virus n'est plus à jour. 7.1.3.5 Que faire si la protection en temps réel ne fonctionne pas ? Dans ce chapitre, nous décrivons des problèmes qui peuvent survenir lors de l'utilisation de la protection en temps réel et la façon de les résoudre. La protection en temps réel est désactivée Si la protection en temps réel est désactivée par inadvertance par un utilisateur, elle doit être réactivée. Pour réactiver la protection en temps réel, dans le menu principal, cliquez sur Configuration > Ordinateur et réglez l'option Protection en temps réel du système de fichiers sur ACTIVÉ. Vous pouvez également activer la protection en temps réel du système de fichiers dans la fenêtre des préférences de l'application : sous Protection en temps réel, sélectionnez Activer la protection en temps réel du système de fichiers. 14 Nous recommandons d'exécuter une analyse d'ordinateur à la demande au moins une fois par mois. L'analyse peut être configurée comme tâche planifiée dans Outils > Planificateur. Vous pouvez également faire glisser les fichiers et dossiers sélectionnés sur votre Bureau ou dans la fenêtre du Finder et les faire glisser dans l'écran principal de ESET Endpoint Security, sur l'icône du Dock, de la barre de menus (en haut de l'écran) ou de l'application (dans le dossier /A pplica tions). 7.1.4.1 Type d'analyse Deux types d'analyses de l'ordinateur à la demande sont disponibles. L'analyse intelligente analyse le système sans exiger de reconfiguration des paramètres d'analyse. L'analyse personnalisée permet de sélectionner l'un des profils d'analyse prédéfinis, ainsi que de choisir des cibles spécifiques à analyser. 7.1.4.1.1 Analyse intelligente L'analyse intelligente permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers infectés sans intervention de l'utilisateur. Elle présente l'avantage d'être facile à utiliser, sans aucune configuration d'analyse détaillée. L'analyse intelligente vérifie tous les fichiers de tous les dossiers, et nettoie ou supprime automatiquement les infiltrations détectées. Le niveau de nettoyage est automatiquement réglé sur sa valeur par défaut. Pour plus d'informations sur les types de nettoyage, reportez-vous à la section Nettoyage 17 . Une cible à analyser peut aussi être définie plus précisément en entrant le chemin du dossier ou des fichiers à inclure dans l'analyse. Sélectionnez les cibles dans l'arborescence qui répertorie tous les dossiers disponibles sur l'ordinateur en cochant la case qui correspond à un fichier ou dossier donné. 7.1.4.3 Profils d'analyse Vos paramètres d'analyse préférés peuvent être enregistrés pour les prochaines analyses. Il est recommandé de créer autant de profils (avec différentes cibles et méthodes, et d'autres paramètres d'analyse) que d'analyses utilisées régulièrement. Pour créer un profil, sélectionnez dans le menu principal Configuration > Saisie des préférences de l'application... (ou appuyez sur cm d+,) > Analyse de l'ordinateur et cliquez sur l'option Modifier en regarde de la liste des profils en cours. 7.1.4.1.2 Analyse personnalisée L'analyse personnalisée vous permet de spécifier des paramètres d'analyse tels que les cibles et les méthodes d'analyse. L'analyse personnalisée présente l'avantage de permettre de configurer les paramètres d'analyse avec grande précision. Les configurations peuvent être enregistrées sous forme de profils d'analyse définis par l'utilisateur, utiles pour effectuer régulièrement une analyse à l'aide des mêmes paramètres. Pour sélectionner des cibles à analyser, sélectionnez Analyse de l'ordinateur > Analyse personnalisée, puis des cibles à analyser spécifiques dans l'arborescence. Une cible à analyser peut aussi être spécifiée plus précisément : vous devez indiquer le chemin d'accès au dossier ou aux fichiers à inclure. Si vous souhaitez effectuer uniquement une analyse du système sans actions de nettoyage supplémentaires, sélectionnez Analyse sans nettoyage. Vous pouvez aussi choisir parmi trois niveaux de nettoyage en cliquant sur Configuration... > Nettoyage. REMARQUE : l'exécution d'analyses personnalisées de l'ordinateur est recommandée uniquement pour les utilisateurs expérimentés qui maîtrisent l'utilisation de programmes antivirus. 7.1.4.2 Cibles à analyser L'arborescence des cibles à analyser permet de sélectionner les fichiers et dossiers à soumettre à l'analyse antivirus. Les dossiers peuvent également être sélectionnés, en fonction des paramètres d'un profil. Pour plus d'informations sur la création d'un profil d'analyse, reportez-vous à la section Configuration du moteur ThreatSense 16 ; vous y trouverez une description de chaque paramètre de configuration de l'analyse. Exemple : Supposons la situation suivante : vous souhaitez créer votre propre profil d'analyse, la configuration d'analyse intelligente est partiellement adéquate, mais vous ne souhaitez analyser ni les fichiers exécutables compressés par un compresseur d'exécutables, ni les applications potentiellement dangereuses. Vous souhaitez effectuer un nettoyage strict. Dans la fenêtre Liste des profils de l'analyseur à la demande, saisissez le nom du profil, cliquez sur Ajouter, puis confirmez en cliquant sur OK. Réglez les paramètres pour qu'ils correspondent à vos besoins à l'aide des paramètres Moteur ThreatSense et Cibles à analyser. Si vous souhaitez désactiver le système d'exploitation et arrêter l'ordinateur une fois l'analyse à la demande terminée, utilisez l'option Arrêter l'ordinateur après l'analyse. 15 7.1.5 Configuration des paramètres du moteur ThreatSense ThreatSense est une technologie ESET exclusive, constituée de plusieurs méthodes complexes de détection des menaces. C'est une technologie proactive : elle fournit également une protection dès les premières heures de propagation d'une nouvelle menace. Elle utilise une combinaison de plusieurs méthodes (analyse de code, émulation de code, signatures génériques, signatures de virus) qui se conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur d'analyse est capable de contrôler plusieurs flux de données simultanément, optimisant ainsi l'efficacité et le taux de détection. La technologie ThreatSense parvient également à bloquer les rootkits. Les options de configuration de la technologie ThreatSense permettent de spécifier plusieurs paramètres d'analyse : les types de fichiers et les extensions à analyser ; la combinaison de plusieurs méthodes de détection ; les niveaux de nettoyage, etc. Pour configurer les paramètres du moteur ThreatSense pour les différents modules du produit, cliquez sur Configuration > Saisie des préférences de l'application, puis sur Protection au démarrage, Protection en temps réel ou Analyse de l'ordinateur, selon le module pour lequel vous souhaitez modifier les paramètres. Cliquez sur Configuration en regard de l'option Moteur ThreatSense pour apporter des modifications de configuration propres à un module donné du produit. Les paramètres de configuration de ThreatSense sont répartis dans cinq onglets, dans lesquels vous pouvez configurer les types d'objets à analyser, les méthodes d'analyse, les paramètres de nettoyage, les extensions de fichier à exclure, les limites de taille de fichier lors de l'analyse, ainsi qu'utiliser l'optimisation intelligente. Les paramètres de chaque onglet sont décrits dans les sections suivantes. Lorsque vous avez terminé d'apporter des modifications, cliquez sur OK pour les appliquer au module sélectionné. Protection au démarrage : vérification automatique des fichiers de démarrage Protection en temps réel : protection en temps réel du système de fichiers Analyse de l'ordinateur : analyse de l'ordinateur à la demande 16 Les paramètres ThreatSense sont optimisés pour chaque module et leur modification peut avoir une incidence significative sur le fonctionnement du système. Par exemple, en modifiant les paramètres pour toujours analyser les fichiers exécutables compressés par un compresseur d’exécutables ou pour activer l'heuristique avancée dans la protection en temps réel du système de fichiers, vous pouvez dégrader les performances du système. Il est donc recommandé de ne pas modifier les paramètres par défaut de ThreatSense pour tous les modules, à l'exception du module Analyse de l'ordinateur. 7.1.5.1 Objets La section Objets permet de définir les fichiers qui vont faire l'objet d'une recherche d'infiltrations. Fichiers : analyse tous les types de fichiers courants (programmes, images, musiques, vidéos, bases de données, etc.). Liens symboliques : (analyse de l'ordinateur uniquement) analyse les fichiers qui contiennent une chaîne de texte interprétée comme un chemin d'accès à un fichier ou répertoire. Fichiers de messagerie : (non disponible dans la protection en temps réel) analyse les fichiers de messagerie. Boîtes aux lettres : (non disponible dans la protection en temps réel) analyse les boîtes aux lettres de l'utilisateur stockées dans le système. L'utilisation inadéquate de cette option peut provoquer des conflits avec votre client de messagerie. Pour en savoir plus sur les avantages et les inconvénients de cette option, reportez-vous à cet article de base de connaissances. Archives : (non disponible dans la protection en temps réel) analyse les fichiers compressés dans les archives (.rar, .zip, .arj, .tar, etc.). Archives auto-extractibles : (non disponible dans la protection en temps réel) analyse les fichiers contenus dans des fichiers d'archives autoextractibles. Fichiers exécutables compressés : contrairement aux types d'archives standard, les fichiers exécutables compressés sont décompressés en mémoire. Lorsque cette option est sélectionnée, les fichiers exécutables compressés statiques standard (ex. : UPX, yoda, ASPack, FGS) sont également analysés. 7.1.5.2 Options 7.1.5.3 Nettoyage Dans la section Options, vous pouvez sélectionner les méthodes utilisées lors d'une analyse du système. Les options suivantes sont disponibles : Les paramètres de nettoyage déterminent la façon dont l'analyseur nettoie les fichiers infectés. Trois niveaux de nettoyage sont possibles : Heuristique : l'heuristique est un algorithme qui analyse l'activité (malveillante) des programmes. La détection heuristique présente l'avantage de détecter les nouveaux logiciels malveillants qui n'existaient pas auparavant ou qui ne figurent pas dans la liste des virus connus (base des signatures de virus). Heuristique avancée : cette option utilise un algorithme heuristique unique, développé par ESET, optimisé pour la détection de vers informatiques et de chevaux de Troie écrits dans des langages de programmation de haut niveau. L'heuristique avancée améliore de manière significative la capacité de détection du programme. ESET Live Grid : le système d'avertissement anticipé Live Grid contribue à veiller à ce qu'ESET soit immédiatement et continuellement informé des nouvelles infiltrations dans le but de protéger rapidement nos clients. Pour en savoir plus, consultez la section Live Grid 30 . Pas de nettoyage : les fichiers infectés ne sont pas nettoyés automatiquement. Le programme affiche une fenêtre d'avertissement et permet à l'utilisateur de choisir une action. Nettoyage standard : le programme essaie de nettoyer ou de supprimer automatiquement tout fichier infecté. S'il n'est pas possible de sélectionner automatiquement l'action correcte, le programme propose une sélection d'actions de suivi. Cette sélection s'affiche également si une action prédéfinie ne peut pas être menée à bien. Nettoyage strict : le programme nettoie ou supprime tous les fichiers infectés (y compris les archives). Les seules exceptions sont les fichiers système. Si un fichier ne peut pas être nettoyé, une notification s'affiche, et le système vous demande de sélectionner le type d'action à entreprendre. Avertissem ent : dans le mode de nettoyage standard par défaut, les fichiers d'archive ne sont entièrement supprimés que si tous les fichiers qu'ils contiennent sont infectés. Si une archive contient des fichiers légitimes ainsi que des fichiers infectés, elle n'est pas supprimée. Si un fichier d'archive infecté est détecté dans le mode Nettoyage strict, le fichier entier est supprimé, même s'il contient également des fichiers intacts. 7.1.5.4 Extensions L'extension est la partie du nom d'un fichier située après le point. Elle définit le type et le contenu d'un fichier. Cette section de la configuration des paramètres ThreatSense vous permet de définir les types de fichiers à exclure de l'analyse. Par défaut, tous les fichiers sont analysés, quelle que soit leur extension. Toutes les extensions peuvent être ajoutées à la liste des fichiers exclus de l'analyse. Les boutons Ajouter et Supprimer permettent d'activer ou d'empêcher l'analyse d'extensions spécifiques. L'exclusion de certains fichiers de l'analyse peut être utile si l'analyse de ces fichiers provoque un dysfonctionnement du programme. Par exemple, il peut être judicieux d'exclure les extensions log, cfg et tm p. Le format correct de saisie des extensions de fichiers est le suivant : * .log, * .cfg , *.tm p. 17 7.1.5.5 Limites La section Limites permet de spécifier la taille maximale des objets et les niveaux d'imbrication des archives à analyser : Taille maximale : définit la taille maximum des objets à analyser. Le module antivirus n'analyse que les objets d'une taille inférieure à celle spécifiée. Il n'est pas recommandé de modifier la valeur par défaut et il n'y a généralement aucune raison de le faire. Cette option ne doit être modifiée que par des utilisateurs expérimentés ayant des raisons spécifiques d'exclure de l'analyse des objets plus volumineux. Durée maximale d'analyse : définit la durée maximum attribuée à l'analyse d'un objet. Si la valeur de ce champ a été définie par l'utilisateur, le module antivirus cesse d'analyser un objet une fois ce temps écoulé, que l'analyse soit terminée ou non. Niveau d'imbrication maximal : indique la profondeur maximale d'analyse des archives. Il n'est pas recommandé de modifier la valeur par défaut (10). Dans des circonstances normales, il n'y a aucune raison de le faire. Si l'analyse prend fin prématurément en raison du nombre d'archives imbriquées, l'archive reste non vérifiée. Taille de fichiers maximale : cette option permet de spécifier la taille maximale (après extraction) des fichiers à analyser qui sont contenus dans les archives. Si l'analyse prend fin prématurément en raison de cette limite, l'archive reste non vérifiée. 7.1.5.6 Autres Activer l'optimisation intelligente Lorsque l'option Optimisation intelligente est activée, les paramètres sont optimisés de manière à garantir le niveau d'analyse le plus efficace sans compromettre la vitesse d'analyse. Les modules de protection proposent une analyse intelligente en utilisant différentes méthodes. L'option Optimisation intelligente n'est pas définie de manière fixe dans le produit. L'équipe de développement d'ESET Development Team met en œuvre en permanence de nouvelles modifications qui sont ensuite intégrées dans ESET Endpoint Security par l'intermédiaire de mises à jour régulières. Si l'option Optimisation intelligente est désactivée, seuls les paramètres définis par l'utilisateur dans le noyau ThreatSense de ce module particulier sont appliqués lors de la réalisation d'une analyse. 18 Analyser l'autre flux de données (analyseur à la demande uniquement) Les flux de données alternatifs (branchements de ressources/données) utilisés par le système de fichiers sont des associations de fichiers et de dossiers invisibles pour les techniques ordinaires d'analyse. De nombreuses infiltrations tentent d'éviter la détection en se faisant passer pour d'autres flux de données. 7.1.6 Une infiltration est détectée Des infiltrations peuvent atteindre le système à partir de différents points d'entrée : pages Web, dossiers partagés, courrier électronique ou périphériques amovibles (USB, disques externes, CD, DVD, etc.). Si votre ordinateur montre des signes d'infection par un logiciel malveillant (par exemple des ralentissement, des blocages fréquents, etc.), nous vous recommandons d'effectuer les opérations suivantes : 1. Cliquez sur Analyse de l'ordinateur. 2. Cliquez sur Analyse intelligente (pour plus d'informations, reportez-vous à la sectionAnalyse intelligente 15 ). 3. Lorsque l'analyse est terminée, consultez le journal pour connaître le nombre de fichiers analysés, infectés et nettoyés. Si vous ne souhaitez analyser qu'une certaine partie de votre disque, cliquez sur Analyse personnalisée et sélectionnez des cibles à analyser. Pour donner un exemple général du traitement des infiltrations par ESET Endpoint Security, supposons qu'une infiltration soit détectée par la protection en temps réel du système de fichiers, qui utilise le niveau de nettoyage par défaut. La protection en temps réel va tenter de nettoyer ou de supprimer le fichier. Si aucune action n'est prédéfinie pour le module de protection en temps réel, vous êtes invité à sélectionner une option dans une fenêtre d'alerte. Généralement, les options Nettoyer, Supprimer et Aucune action sont disponibles. Il n'est pas recommandé de sélectionner Aucune action, car les fichiers infectés seraient conservés dans leur état infecté. Cette option concerne les situations où vous êtes sûr que le fichier est inoffensif et a été détecté par erreur. Nettoyage et suppression : utilisez le nettoyage si un fichier a été attaqué par un virus qui y a joint du code malveillant. Dans ce cas, essayez d'abord de nettoyer le fichier infecté pour le restaurer dans son état d'origine. Si le fichier se compose uniquement de code malveillant, il sera supprimé. Suppression de fichiers dans des archives : en mode de nettoyage par défaut, l'archive complète n'est supprimée que si elle ne contient que des fichiers infectés et aucun fichier sain. Autrement dit, les archives ne sont pas supprimées si elles contiennent aussi des fichiers sains. Soyez prudent si vous choisissez un nettoyage strict : dans ce mode, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient. 7.2 Blocage de supports amovibles ESET Endpoint Security peut exécuter une analyse à la demande du support amovible inséré (CD, DVD, USB, périphériques iOS, etc.). 8. Antihameçonnage Le terme ha m eçonna g e (en anglais : phishing) définit une activité criminelle basée sur l'ingénierie sociale (c'est-à-dire la manipulation des personnes pour leur soutirer des informations confidentielles). Le hameçonnage est souvent utilisé pour obtenir l'accès à des données sensibles telles que des numéros de comptes bancaires, des numéros de cartes de paiement, des codes PIN ou des noms d'utilisateur ainsi que leur mot de passe. Nous vous recommandons de maintenir activé l'antihameçonnage (Configuration > Saisie des préférences de l'application... > Protection Antihameçonnage). Toutes les attaques par hameçonnage potentielles en provenance de sites Web ou de domaines référencés dans la base de logiciels malveillants d'ESET seront bloquées. Une notification d'avertissement sera également affichée pour vous informer de l'attaque. 9. Pare-feu Le pare-feu personnel contrôle tout le trafic réseau entrant et sortant sur le système en autorisant ou refusant des connexions réseau individuelles en fonction de règles de filtrage spécifiées. Il offre une protection contre les attaques provenant d'ordinateurs distants et permet de bloquer certains services. Il assure aussi une protection antivirus pour les protocoles HTTP, POP3 et IMAP. Les supports amovibles peuvent contenir du code malveillant et constituer un risque pour votre ordinateur. Pour bloquer des supports amovibles, cliquez sur Configuration du blocage des supports (voir l'illustration ci-dessus) ou sur Configuration > Saisie des préférences de l'application... > Supports dans la fenêtre principale du programme et sélectionnez Activer le blocage des supports amovibles. Pour autoriser l'accès à certains types de supports, désélectionnez les volumes souhaités. REMARQUE : pour autoriser l'accès à un lecteur de CDROM externe connecté à votre ordinateur par le biais d'un câble USB, désélectionnez l'option CD-ROM. La configuration du pare-feu personnel se trouve sous Configuration > Pare-feu. Elle permet d'ajuster le mode de filtrage, les règles et les paramètres détaillés. Elle permet aussi d'accéder à des paramètres plus détaillés du programme. Si vous activez Bloquer l'intégralité du trafic réseau : déconnecter le réseau, toutes les communications entrantes et sortantes sont bloquées par le pare-feu personnel. N'utilisez cette option qu'en cas de soupçon de risques critiques de sécurité qui nécessitent la déconnexion du système du réseau. 9.1 Modes de filtrage Trois modes de filtrage sont disponibles pour le parefeu personnel de ESET Endpoint Security. Les paramètres des modes de filtrage figurent dans Configuration > Préférences de l'application > Pare-feu . Le comportement du pare-feu change en fonction du mode sélectionné. Les modes de filtrage influencent aussi le niveau d'intervention requis de la part de l'utilisateur. 19 Tout le trafic est bloqué : toutes les connexions entrantes et sortantes sont bloquées. Automatique avec exceptions : c'est le mode par défaut. Il convient aux utilisateurs qui préfèrent une utilisation simple et pratique du pare-feu, sans devoir définir de règles. Le mode automatique autorise le trafic sortant standard pour le système concerné et bloque toutes les connexions non lancées provenant du côté réseau. Vous pouvez aussi ajouter des règles personnalisées définies par l'utilisateur. Interactif : permet une configuration personnalisée de votre pare-feu personnel. Lorsqu'une communication est détectée et qu'aucune règle existante ne s'applique à cette communication, une boîte de dialogue s'affiche pour signaler une connexion inconnue. Cette boîte de dialogue permet d'autoriser ou de refuser la communication, cette décision pouvant être mémorisée comme nouvelle règle pour le pare-feu personnel. Si vous choisissez de créer une règle, toutes les connexions ultérieures de ce type sont autorisées ou refusées, conformément à la règle. Les connexions entrantes sont initiées par un ordinateur distant qui tente d'établir une connexion avec le système local. Les connexions sortantes fonctionnent en sens inverse : c'est le système local qui contacte un ordinateur distant. Si une nouvelle communication inconnue est détectée, vous devez bien réfléchir à savoir si vous voulez l'autoriser ou la refuser. Des connexions non sollicitées, non sécurisées ou inconnues constituent un risque pour la sécurité du système. Si une telle connexion est établie, nous recommandons de prêter une attention particulière à l'ordinateur distant et à l'application qui tentent de se connecter à votre ordinateur. Nombre d'infiltrations tentent d'obtenir et d'envoyer des données privées ou de télécharger d'autres applications malveillantes sur des postes de travail hôtes. Le pare-feu personnel permet de détecter et de mettre fin à ces connexions. 9.2.1 Création de nouvelles règles L'onglet Règles contient une liste de toutes les règles appliquées au trafic généré par les différentes applications. Des règles sont ajoutées automatiquement en fonction des réactions de l'utilisateur face à une nouvelle communication. Pour créer une règle, cliquez sur Ajouter... , saisissez le nom de la règle et effectuez un glisser-déposer de l'icône de l'application dans le champ vide ou cliquez sur Parcourir pour rechercher le programme dans le dossier /A pplica tions. Pour appliquer la règle à toutes les applications installées sur votre ordinateur, sélectionnez l'option Toutes les applications. Si vous souhaitez enregistrer dans un fichier journal des informations détaillées sur toutes les connexions bloquées, sélectionnez Consigner toutes les connexions bloquées. Pour consulter les fichiers journaux du pare-feu, cliquez dans le menu principal sur Outils > Journaux, puis sélectionnez Pare-feu dans le menu déroulant Journal. 9.2 Règles de pare-feu Les règles représentent un ensemble de conditions utilisées pour tester toutes les connexions réseau et déterminer les actions affectées à ces conditions. Les règles du pare-feu personnel permettent de définir le type d'action à entreprendre lorsqu'une connexion définie par une règle est établie. 20 Dans la fenêtre suivante, spécifiez l'action (autoriser ou refuser la communication entre l'application sélectionnée et le réseau) et la direction de la communication (entrante, sortante ou les deux). Sélectionnez Règle de consignation pour enregistrer toutes les communications qui impliquent cette règle. Pour consulter les journaux du pare-feu, cliquez sur Outils > Journaux dans le menu principal de ESET Endpoint Security, puis sélectionnez Pare-feu dans le menu déroulant Journal. Dans la section Protocole/Ports, définissez le protocole et le port qu'utilise l'application (si le protocole TCP ou UDP est sélectionné) pour communiquer. La couche du protocole de transport assure le transfert sûr et efficace des données. Indiquez enfin les critères de destination (adresse IP, plage, sous-réseau, Ethernet ou Internet) de la règle. 9.3 Zones de pare-feu Une zone est un ensemble d'adresses réseau constituant un groupe logique. Chaque adresse d'un groupe donné se voit assigner des règles similaires définies de manière centralisée pour l'ensemble du groupe. Ces zones peuvent être créées en cliquant sur Ajouter. Entrez le nom et la description (facultative) de la zone, sélectionnez un profil à associer à la zone et ajoutez une adresse IPv4/IPv6, une plage d'adresses, un sousréseau, un réseau WiFi ou une interface. 9.4 Profils de pare-feu Les profils permettent de contrôler le comportement du pare-feu personnel de ESET Endpoint Security. Lorsque vous créez ou modifiez une règle de pare-feu personnel, vous pouvez l'affecter à un profil spécifique. Lorsque vous sélectionnez un profil, seules les règles globales (sans profil spécifié) et les règles assignées à ce profil sont appliquées. Vous pouvez créer plusieurs profils avec des règles différentes pour modifier facilement le comportement du pare-feu personnel. 9.5 Journaux de pare-feu Le pare-feu personnel de ESET Endpoint Security enregistre tous les événements importants dans un fichier journal. Pour accéder aux journaux du pare-feu, cliquez dans le menu principal sur Outils > Journaux, puis sélectionnez Pare-feu dans le menu déroulant Journal. Les fichiers journaux sont un outil précieux pour détecter les erreurs et révéler les intrusions dans votre système. Le pare-feu personnel d'ESET contient les données suivantes : Date et heure de l'événement Nom de l'événement Source Adresse réseau cible Protocole de communication réseau Règle appliquée ou nom du ver éventuellement identifié Application impliquée Utilisateur Une analyse approfondie de ces données peut aider à détecter des tentatives visant à compromettre la sécurité du système. De nombreux autres facteurs indiquent des risques de sécurité éventuels qui peuvent être évités à l'aide du pare-feu personnel, notamment : connexions fréquentes en provenance de sites inconnus, multiples tentatives d'établissement de connexion, communications issues d'applications inconnues ou numéros de ports inhabituels. 10. Protection Web et messagerie Pour accéder à la protection Web et messagerie, cliquez dans le menu principal sur Configuration > Internet et messagerie. Vous pouvez également accéder aux paramètres détaillés de chaque module en cliquant sur Configuration. Protection de l'accès Web : surveille la communication entre les navigateurs et les serveurs distants. Protection du client de messagerie : permet de contrôler la communication par courrier électronique effectuée via les protocoles POP3 et IMAP. Protection antihameçonnage : bloque les éventuelles attaques de hameçonnage en provenance de sites Web ou domaines répertoriés dans la base de données ESET des logiciels malveillants. 10.1 Protection de l’accès Web La protection de l'accès Web surveille la communication entre les navigateurs Web et les serveurs distants pour la conformité avec le protocole HTTP (Hypertext Transfer Protocol). 10.1.1 Ports L'onglet Ports permet de définir les numéros de port utilisés pour la communication HTTP. Par défaut, les numéros de port 80, 8080 et 3128 sont prédéfinis. 10.1.2 Mode actif ESET Endpoint Security contient également le sousmenu Mode actif, qui définit le mode de contrôle des navigateurs Web. Le mode actif examine les données transférées des applications qui accèdent à Internet, qu'elles soient des navigateurs Web ou non. S'il n'est pas activé, les communications des applications sont surveillées progressivement par lots. Cela réduit l'efficacité de la vérification des données, mais assure aussi une plus grande compatibilité des applications. Si le Mode actif ne pose pas de problèmes, il est recommandé d'activer la vérification active en cochant la case située à côté de l'application souhaitée. 21 Lorsqu'une application contrôlée télécharge des données, celles-ci sont d'abord enregistrées dans un fichier temporaire créé par ESET Endpoint Security. À ce stade, les données ne sont pas disponibles pour l'application en question. Une fois que le téléchargement est terminé, les données sont soumises à une recherche de code malveillant. Si aucune infiltration n'est détectée, les données sont envoyées à l'application d'origine. Ce processus assure un contrôle complet des communications d'une application contrôlée. Si le mode passif est activé, les données sont fournies peu à peu à l'application d'origine pour éviter les expirations de délais. Moteur ThreatSense : la configuration avancée de l'analyseur de virus permet de configurer les cibles à analyser, les méthodes de détection, etc. Cliquez sur Configuration... pour afficher la fenêtre de configuration détaillée de l'analyseur. Après l'analyse d'un message, une notification peut y être ajoutée avec les résultats de l'analyse. Vous pouvez sélectionner Ajouter les notifications à l'objet des messages. Ne vous fiez pas aveuglément à ces notifications, car elles peuvent ne pas figurer dans des messages HTML problématiques et être contrefaites par certains virus. Les options suivantes sont disponibles : 10.1.3 Listes d'URL La section Listes d'URL permet de spécifier des adresses HTTP à bloquer, à autoriser ou à exclure du contrôle. Les sites Web figurant dans la liste des adresses bloquées ne seront pas accessibles. Les sites Web répertoriés dans la liste des adresses exclues sont accessibles sans recherche de code malveillant. Jamais : aucune notification ne sera ajoutée. Courriers infectés uniquement : seuls les messages contenant des logiciels malveillants seront marqués comme vérifiés. Tous les courriers analysés : le programme ajoute une notification à chaque message analysé. Pour autoriser uniquement l'accès aux URL répertoriées dans la liste URL autorisée, sélectionnez Limiter les adresses URL. Modèle ajouté à l'objet du courrier infecté : modifiez ce modèle pour changer le format du préfixe ajouté à l'objet d'un message infecté. Pour activer une liste, sélectionnez Activé en regard du nom de la liste. Si vous souhaitez être averti lors de la saisie d'une adresse figurant dans la liste actuelle, sélectionnez l'option Notifiée. Ajouter la notification à la note de bas de page du message : cochez cette case pour insérer une alerte de virus dans le message infecté. Cette fonctionnalité permet un filtrage simple des messages infectés. Elle augmente aussi le niveau de crédibilité vis-à-vis du destinataire et, en cas de détection d'une infiltration, elle fournit des informations précieuses sur le niveau de menace d'un message ou d'un expéditeur donné. Vous pouvez utiliser les symboles spéciaux * (astérisque) et ? (point d'interrogation) lors de la création de listes d'URL. L'astérisque remplace toute chaîne de caractères, tandis que le point d'interrogation remplace n'importe quel caractère. Soyez particulièrement prudent dans la définition des adresses exclues, car la liste ne doit contenir que des adresses fiables et sûres. De même, il faut veiller à utiliser correctement les symboles * et ? dans cette liste. 10.2 Protection de la messagerie La protection de la messagerie permet de contrôler la communication par courrier électronique effectuée via les protocole POP3 et IMAP. Lorsqu'il examine les messages entrants, le programme utilise toutes les méthodes d'analyse avancées comprises dans le moteur d'analyse ThreatSense. La détection des programmes malveillants s'effectue donc avant même leur comparaison avec la base des signatures de virus. L'analyse des communications suivant les protocoles POP3 et IMAP est indépendante du client de messagerie utilisé. 22 10.2.1 Vérification par protocole POP3 Le protocole POP3 est le protocole le plus répandu pour la réception de courrier électronique dans un client de messagerie. ESET Endpoint Security assure la protection de ce protocole quel que soit le client de messagerie utilisé. Le module de protection assurant cette vérification est automatiquement lancé au démarrage du système et reste ensuite actif en mémoire. Pour que le module fonctionne correctement, assurez-vous qu'il est activé pour le filtrage de protocole ; la vérification par le protocole POP3 est effectuée automatiquement sans qu'il soit nécessaire de reconfigurer le client de messagerie. Par défaut, toutes les communications sur le port 110 sont analysées, mais vous pouvez y ajouter d'autres ports de communication au besoin. Les numéros de ports doivent être séparés par des virgules. Si l'option Activer la vérification par protocole POP3 est sélectionnée, tout le trafic POP3 fait l'objet d'un contrôle des logiciels malveillants. 10.2.2 Vérification par protocole IMAP Le protocole IMAP (Internet Message Access Protocol) est un autre protocole Internet destiné à la récupération de courrier électronique. Le protocole IMAP présente un certain nombre d'avantages par rapport au protocole POP3 : par exemple, plusieurs clients peuvent se connecter simultanément à la même boîte aux lettres et tenir à jour les informations sur l'état du message (s'il a été lu, supprimé, ou encore si une réponse a été envoyée). ESET Endpoint Security fournit une protection pour ce protocole, quel que soit le client de messagerie utilisé. Le module de protection assurant cette vérification est automatiquement lancé au démarrage du système et reste ensuite actif en mémoire. Pour que le module fonctionne correctement, assurez-vous que la vérification par protocole IMAP est activée ; le contrôle du protocole IMAP est effectué automatiquement sans qu'il soit nécessaire de reconfigurer le client de messagerie. Par défaut, toutes les communications sur le port 143 sont analysées, mais vous pouvez y ajouter d'autres ports de communication au besoin. Les numéros de ports doivent être séparés par des virgules. Si l'option Activer la vérification par protocole IMAP est sélectionnée, tout le trafic IMAP fait l'objet d'un contrôle des logiciels malveillants. 11. Contrôle de l'accès Web La fonctionnalité Contrôle de l'accès Web permet de configurer des paramètres qui contribuent à protéger votre entreprise contre les responsabilités juridiques. Le filtrage Internet peut réglementer l'accès aux sites Web qui enfreignent les droits de propriété intellectuelle. L'objectif est d'empêcher les employés d'accéder à des pages au contenu inapproprié ou nuisible ou qui sont susceptibles d'avoir une incidence négative sur leur productivité. Les employés ou les administrateurs système peuvent interdire l'accès à plus de 27 catégories de sites Web prédéfinies et à plus de 140 sous-catégories. Par défaut, le filtrage Internet est désactivé. Pour l'activer, cliquez sur Configuration > Saisie des préférences de l'application > Filtrage Internet, puis cochez la case en regard de l'option to Activer le filtrage Internet. La fenêtre Éditeur de règles affiche les règles existantes basées sur l'URL ou la catégorie. La liste des règles contient plusieurs descriptions des règles, telles que le nom, le type de blocage, l'action à effectuer après l'application d'une règle de filtrage Internet et le niveau de gravité d'après le journal. Pour créer une règle, cliquez sur le bouton +. Doublecliquez sur le champ Nom et saisissez une description de la règle pour mieux l'identifier. La case à cocher du champ Activé permet d'activer et de désactiver la règle. Cela peut s'avérer utile si vous souhaitez utiliser la règle ultérieurement et ne pas la supprimer définitivement. Type : Action basée sur l'URL : accès à un site Web donné. Double-cliquez sur le champ URL/Catégorie et saisissez l'adresse URL adéquate. Action basée sur la catégorie : double-cliquez sur le champ URL/Catégorie et sélectionnez les catégories. Dans la liste d'URL, vous ne pouvez pas utiliser les symboles spéciaux « * » (astérisque) et « ? » (point d'interrogation). Les adresses de page Web avec plusieurs domaines de niveau supérieur doivent être entrées dans le groupe créé (pa g eexem ple.com, pa g eexem ple.fr, etc.). Lorsque vous ajoutez un domaine dans la liste, tout le contenu situé dans ce domaine et dans ses sous-domaines (par exemple sous.pa g eexem ple.com) sera bloqué ou autorisé en fonction du choix d'action basée sur l'URL. 23 Identité : Permet de sélectionner les utilisateurs auxquels la règle sera appliquée. Action : Autoriser : l'accès à l'adresse URL/catégorie est autorisé. Bloquer : bloque l'adresse URL/la catégorie. Gravité : Aucune : aucun journal n'est créé. Diagnostic : consigne les informations nécessaires au réglage du programme. Informations : enregistre tous les messages d'information, y compris les messages de mises à jour réussies et toutes les entrées ci-dessus. Avertissement : enregistre les erreurs critiques et les messages d'avertissement. 12.1 Configuration des mises à jour La section de la configuration des mises à jour permet de spécifier les informations concernant les sources des mises à jour, telles que les serveurs de mise à jour et les données d'authentification donnant accès à ces serveurs. Par défaut, le menu déroulant Serveur de mise à jour est défini sur l'option Choisir automatiquement, ce qui garantit que les fichiers de mise à jour sont téléchargés automatiquement depuis le serveur ESET en utilisant le moins de ressources réseau possible. 12. Mise à jour Des mises à jour régulières de ESET Endpoint Security sont nécessaires pour conserver le niveau maximum de sécurité. Le module de mise à jour garantit que le programme est toujours à jour en téléchargeant la dernière version de la base de signatures de virus. Cliquez sur Mise à jour dans le menu principal pour afficher l'état actuel de la mise à jour, notamment la date et l'heure de la dernière mise à jour. Vous pouvez également vérifier si une mise à jour est nécessaire. Pour démarrer manuellement la mise à jour, cliquez sur Mettre à jour la base de signatures de virus. Dans des circonstances normales, lorsque des mises à jour sont correctement téléchargées, le message La m ise à jour n'est pa s nécessa ire : la ba se de sig na tures de virus insta llée est à jour apparaît dans la fenêtre Mettre à jour si vous disposez de la dernière base des signatures de virus. Si la base des signatures de virus ne peut pas être mise à jour, il est recommandé de vérifier les paramètres de mise à jour 24 - la cause la plus courante de cette erreur est une entrée incorrecte des données de licence ou une configuration incorrecte des paramètres de connexion 33 . La fenêtre Mettre à jour contient également la version de la base de signatures de virus. L'indicateur numérique est un lien actif vers le site Web ESET où toutes les signatures de virus ajoutées dans une mise à jour donnée sont affichées. La liste des serveurs de mise à jour disponibles est accessible par l'intermédiaire du menu déroulant Serveur de mise à jour. Pour ajouter un nouveau serveur de mise à jour, cliquez sur Modifier, saisissez la nouvelle adresse du serveur dans le champ Serveur de mise à jour, puis cliquez sur Ajouter. Si vous sélectionnez manuellement le serveur de mise à jour, vous devez saisir le nom d'utilisateur et le mot de passe envoyés par courrier électronique suite à votre achat pour que les mises à jour puissent être téléchargées. ESET Endpoint Security vous permet de définir un autre serveur de mise à jour que vous pouvez utiliser par exemple en cas de défaillance du premier. Le serveur Principal peut être le serveur miroir et le serveur secondaire, le serveur de mise à jour ESET standard. Le serveur secondaire doit être différent du serveur principal ; sinon, il ne sera pas utilisé. Si vous n'indiquez pas de serveur de mise à jour secondaire, de nom d'utilisateur et de mot de passe, le serveur de mise à jour de basculement ne fonctionne pas. Vous pouvez également sélectionner l'option Choisir automatiquement, puis saisir vos nom d'utilisateur et mot de passe dans les champs correspondants pour que ESET Endpoint Security sélectionne automatiquement le serveur de mise à jour à utiliser. Si vous rencontrez des problèmes lors du téléchargement des mises à jour de la base des signatures de virus, cliquez sur Effacer le cache de mise à jour pour supprimer les fichiers de mise à jour temporaires. 24 12.1.1 Configuration avancée Pour désactiver les notifications affichées après chaque mise à jour, sélectionnez Ne pas afficher de notification de réussite de la mise à jour. Activez l'option Mise à jour des versions bêta pour télécharger des modules de développement toujours en phase de test. Cela peut s'avérer utile pour résoudre les problèmes liés au produit. Activez l'option Mises à jour retardées (différées) pour télécharger les mises à jour quelques heures après leur publication. ESET Endpoint Security enregistre des instantanés de base des signatures de virus et de modules du programme à utiliser avec la fonctionnalité de Restauration des mises à jour. Conservez l'option Créer des instantanés des fichiers de mise à jour activée pour que ESET Endpoint Security enregistre automatiquement ces instantanés. Si vous pensez qu'une mise à jour de la base de virus ou des modules du programme est instable ou corrompue, vous pouvez restaurer la version précédente et désactiver les mises à jour pendant une période donnée. D'un autre côté, il est aussi possible d'activer les mises à jour précédemment désactivées si vous les avez reportées pour une durée indéterminée. Lorsque vous restaurez une mise à jour précédente, utilisez le menu déroulant Définir la période d'interruption sur pour indiquer la durée d'interruption des mises à jour. Si vous sélectionnez l'option Jusqu’à révocation, les mises à jour normales ne reprennent pas tant que vous ne les avez pas restaurées manuellement. Soyez prudent lorsque vous sélectionnez ce paramètre. Chacune des tâches de mise à jour peut être modifiée selon les besoins de l'utilisateur. Outre les tâches de mise à jour par défaut, vous pouvez en créer des nouvelles avec vos propres paramètres. Pour plus d'informations sur la création et la configuration des tâches de mise à jour, reportez-vous à Planificateur 27 . 12.3 Mise à niveau vers une nouvelle version Pour bénéficier d'une protection maximale, il est important d'utiliser la dernière version d'ESET Endpoint Security. Pour vérifier si une nouvelle version est disponible, cliquez sur Mettre à jour dans le menu principal situé à gauche. Si une nouvelle version est disponible, une notification s'affiche au bas de la fenêtre. Cliquez sur En savoir plus pour afficher une nouvelle fenêtre contenant le numéro de la nouvelle version et la liste des modifications. Cliquez sur Télécharger pour télécharger la dernière version. Cliquez sur Fermer pour fermer la fenêtre et télécharger la mise à niveau ultérieurement. Si vous avez cliqué sur Télécharger, le fichier est téléchargé dans le dossier des téléchargements (ou dans le dossier par défaut défini par votre navigateur). Lorsque le téléchargement du fichier est terminé, lancez le fichier et suivez les instructions d'installation. Votre nom d'utilisateur et votre mot de passe sont transférés automatiquement vers la nouvelle installation. Il est recommandé de vérifier régulièrement si des mises à niveau sont disponibles, en particulier si vous installez ESET Endpoint Security depuis un CD/DVD. 12.4 Mises à jour du système 12.2 Comment créer des tâches de mise à jour Cliquez sur Mise à jour > Mettre à jour la base des signatures de virus pour déclencher manuellement une mise à jour de la base des signatures de virus. Les mises à jour peuvent également être exécutées sous forme de tâches planifiées. Pour configurer une tâche planifiée, cliquez sur Outils > Planificateur. Par défaut, les tâches suivantes sont activées dans ESET Endpoint Security : Mise à jour automatique régulière Mise à jour automatique après connexion de l’utilisateur La fonctionnalité de mise à jour du système Mac OS X est un composant important conçu pour protéger les utilisateurs des logiciels malveillants. Pour une sécurité maximale, nous vous recommandons d'installer ces mises à jour dès qu'elles sont disponibles. En fonction du niveau d'importance, ESET Endpoint Security vous indiquera les mises à jour manquantes. Vous pouvez régler le niveau d'importance des mises à jour pour lesquelles des notifications sont affichées dans le menu déroulant Configuration > Saisie des préférences de l'application > Alertes et notifications > Configuration à l'aide du menu déroulant Conditions d'affichage en regard de l'option Mises à jour du système d'exploitation. 25 Afficher toutes les mises à jour : une notification s'affiche dès qu'une mise à jour système est manquante Afficher uniquement les mises à jour recommandées : vous êtes informé des mises à jour recommandées uniquement Si vous ne souhaitez pas être informé de l'absence de mises à jour, désélectionnez la case située à côté de Mises à jour du système d'exploitation. La fenêtre de notification présente les mises à jour disponibles pour le système d'exploitation OS X, ainsi que les applications mises à jour par l'outil Software updates natif d'OS X. Vous pouvez exécuter la mise à jour directement depuis la fenêtre de notification ou à partir de la section Accueil de ESET Endpoint Security en cliquant sur l'option d'installation des mises à jour manquantes. La fenêtre de notification contient le nom, la version, la taille et les propriétés (marqueurs) de l'application, ainsi que d'autres informations sur les mises à jour disponibles. La colonne Marqueurs contient les informations suivantes : [recommended] : le fabricant du système d'exploitation recommande d'installer cette mise à jour pour améliorer la sécurité et la stabilité du système. [restart] : l'ordinateur doit être redémarré après l'installation. [shutdown] : l'ordinateur doit être arrêté, puis redémarré après l'installation. La fenêtre de notification indique les mises à jour récupérées par l'outil de ligne de commande 'softwareupdate'. Les mises à jour récupérées par cet outil peuvent être différentes de celles affichées par l'application Software updates. Si vous souhaitez installer toutes les mises à jour disponibles qui sont répertoriées dans la fenêtre des mises à jour système manquantes, vous devez utiliser l'outil de ligne de commande 'softwareupdate'. Pour en savoir plus sur cet outil, consultez le manuel « softwareupdate » en saisissant man softwareupdate dans une fenêtre de terminal. Cette option est recommandée uniquement pour les utilisateurs expérimentés. 13. Outils Le menu Outils contient des modules qui simplifient l'administration du programme et offrent des options supplémentaires pour les utilisateurs expérimentés. 26 13.1 Fichiers journaux Les fichiers journaux contiennent tous les événements importants qui se sont produits et fournissent un aperçu des menaces détectées. La consignation représente un puissant outil pour l'analyse système, la détection de menaces et le dépannage. La consignation est toujours active en arrière-plan sans interaction de l'utilisateur. Les informations sont enregistrées en fonction des paramètres de détail actifs. Il est possible de consulter les messages texte et les journaux directement à partir de l'environnement ESET Endpoint Security, ainsi que d'archiver les journaux. Vous pouvez accéder aux fichiers journaux depuis le menu principal ESET Endpoint Security en cliquant sur Outils > Fichiers journaux. Sélectionnez le type de journal souhaité dans le menu déroulant Journal, en haut de la fenêtre. Les journaux suivants sont disponibles : 1. Menaces détectées : cette option permet de consulter toutes les informations concernant les événements liés à la détection d'infiltrations. 2. Événements : cette option permet aux administrateurs système et aux utilisateurs de résoudre des problèmes. Toutes les actions importantes exécutées par ESET Endpoint Security sont enregistrées dans les journaux des événements. 3. Analyse de l'ordinateur : cette fenêtre affiche toutes les analyses effectuées. Double-cliquez sur une entrée pour afficher les détails de l'analyse de l'ordinateur correspondante. 4. Pare-feu : le journal du pare-feu contient toutes les attaques distantes détectées par le pare-feu personnel. Il comprend des renseignements sur les attaques détectées sur votre ordinateur. La colonne Événement répertorie les attaques détectées. La colonne Source fournit des informations sur l'attaquant. La colonne Protocole indique le protocole de communication utilisé pour l'attaque. 5. Filtrage Internet : affiche les adresses URL bloquées ou autorisées et les détails sur leurs catégories. Cliquez avec le bouton droit sur un fichier journal, puis cliquez sur Copier pour en copier le contenu dans le Presse-papiers. 13.1.1 Maintenance des journaux La configuration de la consignation d'ESET Endpoint Security est accessible à partir de la fenêtre principale du programme. Cliquez sur Configuration > Saisie des préférences de l'application... > Outils > Fichiers journaux. Les options suivantes peuvent être spécifiées pour les fichiers journaux : Supprimer les anciennes entrées du journal automatiquement : les entrées de journal plus anciennes que le nombre de jours spécifié sont automatiquement supprimées. Optimiser automatiquement les fichiers journaux : permet la défragmentation des fichiers journaux si le pourcentage spécifié d'enregistrements inutilisés est dépassé. Toutes les informations pertinentes affichées dans l'interface graphique (messages de menace et d'événement) peuvent être stockées dans des formats lisibles par l'œil humain tels que le format en texte brut ou CSV (valeurs séparées par des virgules). Si vous souhaitez que ces fichiers puissent être traités par des outils tiers, cochez la case à côté de Activer la consignation dans des fichiers texte. Pour définir le dossier cible dans lequel les fichiers journaux sont enregistrés, cliquez sur Configuration à côté de l'option Configuration avancée. En fonction des options sélectionnées dans Fichiers journaux texte : Modifier), vous pouvez enregistrer les journaux avec les informations suivantes : Les événements tels que N om d'utilisa teur et m ot de pa sse non va lides, La ba se de sig na tures de virus n'a pa s pu être m ise à jour etc. sont écrits dans le fichier eventslog .txt. Les menaces détectées par l'analyseur au démarrage, la protection en temps réel ou l'analyse de l'ordinateur sont stockées dans le fichier threa tslog .txt. Les résultats de toutes les analyses sont enregistrés au format sca nlog .N U M BER.txt. Tous les événements liés aux communications par l'intermédiaire du pare-feu sont écrits dans le fichier firewalllog.txt Les pages Web bloquées par le filtrage Internet sont indiquées dans le fichier webctllog.txt Pour configurer les filtres Entrées du journal d'analyse de l'ordinateur par défaut, cliquez sur Modifier et sélectionnez/désélectionnez les types de journaux en fonction de vos besoins. Vous trouverez des explications plus détaillées de ces types de journaux dans la section Filtrage des journaux 27 . 13.1.2 Filtrage des journaux Les journaux stockent des informations sur les événements système importants. La fonctionnalité de filtrage des journaux permet d'afficher des entrées concernant des événements spécifiques. Les types de journaux les plus fréquents sont répertoriés ci-dessous : Avertissements critiques : erreurs système critiques (par exemple, le démarrage de la protection antivirus a échoué). Erreurs : messages d'erreur du type Erreur de télécha rg em ent de fichier et erreurs critiques. Avertissements : messages d'avertissement. Entrées informatives : messages d'informations concernant des mises à jour, des alertes, etc. Entrées de diagnostic : informations nécessaires au réglage du programme et de toutes les entrées décrites ci-dessus. 13.2 Planificateur Le planificateur est accessible depuis le menu principal de ESET Endpoint Security, dans Outils. Le planificateur contient la liste de toutes les tâches planifiées et des propriétés de configuration telles que la date et l'heure prédéfinies, ainsi que le profil d'analyse utilisé. 27 13.2.1 Création de nouvelles tâches Pour créer une nouvelle tâche dans le planificateur, cliquez sur Ajouter une tâche ou appuyez sur la touche CTRL et cliquez dans le champ vierge, puis sélectionnez Ajouter dans le menu contextuel. Cinq types de tâches planifiées sont disponibles : Le planificateur gère et lance les tâches planifiées qui ont été préalablement définies et configurées. La configuration et les propriétés comprennent des informations telles que la date et l'heure, ainsi que des profils spécifiques à utiliser pendant l'exécution de ces tâches. Par défaut, les tâches planifiées suivantes sont affichées dans le planificateur : Maintenance des journaux (une fois que l'option Afficher les tâches système est activée dans la configuration du planificateur) Vérification des fichiers de démarrage après ouverture de session utilisateur Vérification des fichiers de démarrage après mise à jour réussie de la base de signatures de virus Mise à jour automatique régulière Mise à jour automatique après connexion de l’utilisateur Pour modifier la configuration d'une tâche planifiée existante (par défaut ou définie par l'utilisateur), appuyez sur la touche Ctrl, cliquez sur la tâche à modifier et sélectionnez Modifier. Vous pouvez également sélectionner la tâche et cliquer sur Modifier la tâche. Exécuter l’application Mise à jour Maintenance des journaux Analyse de l’ordinateur à la demande Contrôle des fichiers de démarrage du système REMARQUE : en choisissant Exécuter l'application, vous pouvez exécuter des programmes en tant qu'utilisateur système appelé « nobody ». Les autorisations d'exécution des applications par l'intermédiaire du Planificateur sont définies par Mac OS X. Dans l'exemple ci-dessous, nous allons utiliser le Planificateur pour ajouter une nouvelle tâche de mise à jour, car c'est l'une des tâches planifiées les plus utilisées : 1. Dans le menu déroulant Tâche planifiée, sélectionnez Mettre à jour. 2. Saisissez le nom de la tâche dans le champ Nom de la tâche. 3. Sélectionnez la fréquence de la tâche dans le menu déroulant Exécuter la tâche. Selon la fréquence sélectionnée, vous êtes invité à indiquer différents paramètres de mise à jour. Si vous sélectionnez Définie par l'utilisateur, le système vous invite à indiquer la date et l'heure au format cron (pour plus d'informations, reportez-vous à la section Création d'une tâche définie par l'utilisateur 29 ). 4. À l'étape suivante, définissez l'action à entreprendre si la tâche ne peut pas être effectuée ou terminée à l'heure planifiée. 5. Cliquez sur Terminer. La nouvelle tâche planifiée sera ajoutée à la liste des tâches planifiées. Par défaut, ESET Endpoint Security contient les tâches planifiées prédéfinies qui garantissent le fonctionnement correct du produit. Ces tâches ne doivent pas être modifiées et sont masquées par défaut. Pour rendre ces tâches visibles, cliquez dans le menu principal sur Configuration > Saisie des préférences de l'application > Planificateur, puis sélectionnez Afficher les tâches système. 28 13.2.2 Création d'une tâche définie par l'utilisateur Lorsque vous sélectionnez l'option Défini par l'utilisateur en tant que type de tâche dans le menu déroulant Exécuter la tâche, vous devez définir quelques paramètres spéciaux. La date et l'heure de la tâche Définie par l'utilisateur doivent être indiquées au format cron sur l'année (chaîne composée de 6 champs séparés par un espace vierge) : minute(0-59) heure(0-23) jour du mois(1-31) mois (1-12) année(1970-2099) jour de la semaine(0-7) (dimanche = 0 ou 7) Par exemple : 30 6 22 3 2012 4 Les caractères spéciaux suivants sont pris en charge dans les expressions cron : astérisque ( *) - l'expression correspond à toutes les valeurs du champ ; par exemple, un astérisque dans le 3e champ (jour du mois) signifie « tous les jours » tiret ( -) - définit des plages ; par exemple, 3-9 virgule ( ,) - sépare les éléments d'une liste ; par exemple, 1,3,7,8 barre oblique ( /) - définit des incréments de plages ; par exemple, 3-28/5 dans le 3e champ (jour du mois) indique le 3e jour du mois, puis une fréquence tous les 5 jours. Les noms de jour (Monday-Sunday ) et de mois ( January-December) ne sont pas pris en charge. REMARQUE : si vous définissez un jour du mois et un jour de la semaine, la commande n'est exécutée que si les deux champs correspondent. 13.3 Quarantaine Le principal objectif de la quarantaine est de stocker les fichiers infectés en toute sécurité. Les fichiers doivent être placés en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont détectés erronément par ESET Endpoint Security. Vous pouvez choisir de mettre n'importe quel fichier en quarantaine. Cette action est conseillée si un fichier se comporte de façon suspecte mais n'a pas été détecté par l'analyseur antivirus. Les fichiers en quarantaine peuvent être soumis pour analyse au laboratoire de recherche d'ESET. Les fichiers du dossier de quarantaine peuvent être visualisés dans un tableau qui affiche la date et l'heure de mise en quarantaine, le chemin d'accès à l'emplacement d'origine du fichier infecté, sa taille en octets, la raison de sa mise en quarantaine (par exemple, objet ajouté par l'utilisateur) et le nombre de menaces détectées. Le dossier de quarantaine ( / Libra ry/A pplica tion Support/Eset/esets/ca che/ qua ra ntine) reste dans le système même après la désinstallation de ESET Endpoint Security. Les fichiers en quarantaine sont stockés en toute sécurité dans un format crypté et peuvent être restaurés après l'installation d'ESET Endpoint Security. 13.3.1 Mise en quarantaine de fichiers ESET Endpoint Security met automatiquement en quarantaine les fichiers supprimés (si vous n'avez pas désélectionné cette option dans la fenêtre d'alerte). Dans la fenêtre Quarantaine, vous pouvez cliquer sur Quarantaine pour mettre manuellement un fichier en quarantaine. Vous pouvez également cliquer avec le bouton droit sur un fichier à tout moment et sélectionner Services > ESET Endpoint Security - Mettre des fichiers en quarantaine dans le menu contextuel pour placer le fichier en quarantaine. 13.3.2 Restauration d'un fichier en quarantaine Les fichiers en quarantaine peuvent être restaurés à leur emplacement d'origine ; il suffit de sélectionner un fichier en quarantaine et de cliquer sur Restaurer. La commande Restaurer est également disponible dans le menu contextuel. Appuyez sur CTRL et cliquez sur un fichier donné dans la fenêtre Quarantaine, puis cliquez sur Restaurer. Vous pouvez utiliser la commande Restaurer vers pour restaurer un fichier à un emplacement autre que celui depuis lequel il a été mis en quarantaine. 13.3.3 Soumission d'un fichier de quarantaine Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été considéré infecté par erreur (par l'analyse heuristique du code, par exemple) et placé en quarantaine, envoyez ce fichier au laboratoire de recherche sur les menaces d'ESET. Pour soumettre un fichier de la quarantaine, appuyez sur CTRL et cliquez sur le fichier, puis sélectionnez l'option Soumettre le fichier pour analyse dans le menu contextuel. 29 13.4 Processus en cours La liste des processus en cours répertorie les processus en cours sur votre ordinateur. ESET Endpoint Security fournit des informations détaillées sur les processus en cours pour protéger les utilisateurs à l'aide de la technologie ESET Live Grid. Processus : nom du processus en cours d'exécution sur l'ordinateur. Vous pouvez également utiliser Activity Monitor (dans /A pplica tions/U tilities) pour afficher tous les processus en cours sur votre ordinateur. Niveau de risque : dans la majorité des cas, ESET Endpoint Security et la technologie ESET Live Grid attribuent des niveaux de risque aux objets (fichiers, processus, etc.) sur la base d'une série de règles heuristiques qui examinent les caractéristiques de chaque objet, puis évaluent le potentiel d'activité malveillante. Cette analyse heuristique attribue aux objets un niveau de risque. Les applications connues marquées en vert sont saines (répertoriées dans la liste blanche) et sont exclues de l'analyse. Cela permet d'accroître la rapidité des analyses à la demande et en temps réel. Une application marquée comme étant inconnue (jaune) n'est pas nécessairement un logiciel malveillant. Il s'agit généralement d'une nouvelle application. Si un fichier vous semble suspect, vous pouvez le soumettre pour analyse au laboratoire de recherche sur les menaces d'ESET. Si le fichier s'avère être une application malveillante, sa signature sera intégrée à une prochaine mise à jour. Nombre d'utilisateurs : nombre d'utilisateurs utilisant une application donnée. Ces informations sont collectées par la technologie ESET Live Grid. Temps de découverte : durée écoulée depuis la détection de l'application par la technologie ESET Live Grid. ID du progiciel : nom du fournisseur ou du processus de l'application. Lorsque vous cliquez sur un processus, les informations suivantes apparaissent dans la partie inférieure de la fenêtre : Fichier : emplacement de l'application sur l'ordinateur. Taille du fichier : taille physique du fichier sur le disque. Description du fichier : caractéristiques du fichier basées sur la description émanant du système d'exploitation. ID du progiciel : nom du fournisseur ou du processus de l'application. 30 Version du fichier : informations fournies par l'éditeur de l'application. Nom du produit : nom de l'application et/ou nom de l'entreprise. 13.5 Live Grid Le système d'alerte anticipée Live Grid veille à ce qu'ESET soit immédiatement et continuellement informé des nouvelles infiltrations. Ce système bidirectionnel remplit un seul objectif : améliorer la protection que nous vous offrons. Le meilleur moyen de voir les nouvelles menaces dès qu'elles apparaissent est d'être en contact permanent avec le plus grand nombre de nos clients et d'utiliser les informations qu'ils recueillent pour maintenir nos informations de signature de virus à jour. Sélectionnez l'une des deux options proposées pour Live Grid : 1. Vous pouvez choisir de ne pas activer le système d'alerte anticipée Live Grid. Vous ne perdrez aucune fonctionnalité du logiciel et continuerez de recevoir la meilleure protection que nous offrons. 2. Vous pouvez configurer le système d'alerte anticipée Live Grid afin de nous soumettre des informations anonymes sur les nouvelles menaces et l'emplacement du nouveau code menaçant. Ces informations peuvent être envoyées à ESET pour une analyse détaillée. En étudiant ces menaces, ESET met à jour sa base de données des menaces et améliore ses capacités à détecter les menaces dans le programme. Le système d'alerte anticipée Live Grid collecte des informations sur votre ordinateur concernant des menaces nouvellement détectées. Ces informations comprennent un échantillon ou une copie du fichier dans lequel la menace est apparue, le chemin et le nom du fichier, la date et l'heure, le processus par lequel la menace est apparue sur votre ordinateur et des informations sur le système d'exploitation de votre ordinateur. Ce processus peut dévoiler occasionnellement au Laboratoire de menaces ESET certaines informations sur vous ou votre ordinateur (noms d'utilisateur dans un chemin de répertoires, etc.), mais ces informations ne seront utilisées à AUCUNE autre fin que celle de nous permettre de réagir immédiatement aux nouvelles menaces. Pour accéder à la configuration de Live Grid, cliquez dans le menu principal sur Configuration > Saisie des préférences de l'application... > Live Grid. Sélectionnez l'option Activer le système d'alerte anticipé Live Grid pour l'activer, puis cliquez sur l'option Configuration en regard de l'intitulé Options avancées. Filtre d'exclusion : cette option permet d'exclure certains types de fichiers de la soumission. Par exemple, il peut être utile d'exclure des fichiers qui peuvent comporter des informations confidentielles, telles que des documents ou des feuilles de calcul. Les fichiers les plus ordinaires sont exclus par défaut (.doc, .rtf, etc.). Vous pouvez ajouter des types de fichiers à la liste des fichiers exclus. 13.5.1 Fichiers suspects Par défaut, ESET Endpoint Security est configuré pour demander une confirmation avant de soumettre les fichiers suspects au laboratoire d'ESET pour une analyse détaillée. Si vous souhaitez soumettre ces fichiers automatiquement, désélectionnez Soumission des fichiers suspects (Configuration > Saisie des préférences de l'application > Live Grid > Configuration ). Si vous trouvez un fichier suspect, vous pouvez le soumettre à notre laboratoire de recherche sur les menaces pour analyse. Pour cela, cliquez sur Outils > Soumettre le fichier pour analyse à partir de la fenêtre du programme principal. S'il s'avère d'une application malveillante, sa signature sera ajoutée à la prochaine mise à jour de la base des signatures de virus. Soumission des informations statistiques anonymes : le système d'avertissement anticipé ESET Live Grid collecte des informations anonymes sur votre ordinateur concernant des menaces nouvellement détectées. Ces informations incluent le nom de l'infiltration, la date et l'heure de détection, la version du produit de sécurité ESET, ainsi que des informations sur la version du système d'exploitation de votre ordinateur et ses paramètres régionaux. Ces statistiques sont normalement fournies aux serveurs ESET une ou deux fois par jour. Voici un exemple d'informations statistiques envoyées : # utc_time=2005-04-14 07:21:28 # country="Slovakia" # language="ENGLISH" # osver=9.5.0 # engine=5417 # components=2.50.2 # moduleid=0x4e4f4d41 # filesize=28368 # filename=Users/UserOne/Documents/Incoming/ rdgFR1463[1].zip Email de la personne à contacter (facultatif) : votre adresse électronique est utilisée si l'analyse exige des informations complémentaires. Notez que vous ne recevrez pas de réponse d'ESET, sauf si des informations complémentaires s'avèrent nécessaires. 14. Interface utilisateur Les options de configuration de l'interface utilisateur permettent d'adapter l'environnement de travail selon vos besoins. Vous pouvez accéder à ces options depuis le menu principal en cliquant sur Configuration > Saisie des préférences de l'application > Interface. Pour afficher l'écran d'accueil de ESET Endpoint Security au démarrage du système, sélectionnez Afficher l'écran de démarrage. L'option Application présente dans le Dock permet d'afficher l'icône de ESET Endpoint Security dans le Dock de Mac OS et de basculer entre ESET Endpoint Security et d'autres applications actives en appuyant sur cm d-ta b. Les modifications entrent en vigueur après le redémarrage de ESET Endpoint Security (généralement provoqué par un redémarrage de l'ordinateur). L'option Utiliser le menu standard permet d'utiliser certains raccourcis clavier (voir Raccourcis clavier 11 ) et d'afficher des éléments de menu standard (interface utilisateur, Configuration et Outils) sur la barre de menus Mac OS (en haut de l'écran). Activez l'option Afficher les info-bulles pour afficher des info-bulles lorsque le curseur est placé sur certaines options de ESET Endpoint Security. L'option Afficher les fichiers masqués permet d'afficher et de sélectionner les fichiers masqués dans la configuration des cibles à analyser d'une analyse de l'ordinateur. 14.1 Alertes et notifications La section Alertes et notifications vous permet de configurer le mode de traitement des alertes en cas de menace et des notifications système dans ESET Endpoint Security. 31 La désactivation de l'option Afficher les alertes désactive les fenêtres d'alerte et n'est recommandée que dans des situations très précises. Nous recommandons à la majorité des utilisateurs de conserver l'option par défaut (activée). La sélection de l'option Afficher les notifications sur le Bureau active l'affichage des fenêtres d'alerte sur le bureau (par défaut dans l'angle supérieur droit de votre écran) sans aucune intervention de l'utilisateur. Vous pouvez définir la période pour laquelle une notification est affichée en réglant la valeur Fermer automatiquement les notifications après X secondes. 14.1.1 Configuration avancée des alertes et notifications ESET Endpoint Security affiche des boîtes d'alerte vous informant de la disponibilité de nouvelles versions du programme, de mises à jour du système d'exploitation, de la désactivation de certains composants du programme, de la suppression de journaux, etc. Vous pouvez éviter l'affichage de chaque notification en sélectionnant l'option Ne plus afficher cette boîte de dialogue dans le dialogue correspondant. Liste des boîtes de dialogue (Configuration > Saisie des préférences de l'application... > Alertes et notifications > Configuration) affiche la liste de toutes les boîtes d'alerte déclenchées par ESET Endpoint Security. Pour activer ou désactiver chaque notification, cochez la case située à gauche du nom de la boîte de dialogue. Vous pouvez aussi définir des conditions d'affichage des notifications sur les nouvelles versions du programme et mises à jour du système d'exploitation. 14.2 Privilèges Les paramètres ESET Endpoint Security peuvent être très importants pour la stratégie de sécurité de votre organisation. Des modifications non autorisées peuvent mettre en danger la stabilité et la protection de votre système. Par conséquent, vous pouvez choisir les utilisateurs qui sont autorisés à modifier la configuration du programme. Vous pouvez configurer des utilisateurs avec privilèges dans Configuration > Saisie des préférences de l'application > Utilisateur > Privilèges. 32 Il est essentiel que le programme soit correctement configuré pour garantir le maximum de sécurité au système. Tout changement non autorisé peut provoquer la perte de données importantes. Pour définir la liste des utilisateurs privilégiés, sélectionnez les utilisateurs dans la liste Utilisateurs dans la partie gauche et cliquez sur Ajouter. Pour supprimer un utilisateur, sélectionnez son nom dans la liste Utilisateurs privilégiés située à droite, puis cliquez sur Supprimer. Pour afficher tous les utilisateurs du système, sélectionnez Afficher tous les utilisateurs. REMARQUE : Si la liste des utilisateurs privilégiés est vide, tous les utilisateurs du système sont autorisés à modifier les paramètres du programme. 14.3 Mode de présentation Le mode de présentation est une fonctionnalité destinée aux utilisateurs qui ne veulent pas être interrompus lors de l'utilisation de leur logiciel. Ils ne souhaitent pas être dérangés par des fenêtres contextuelles et veulent réduire les contraintes sur l'UC. Il peut également être utilisé au cours de présentations qui ne peuvent pas être interrompues par l'activité antivirus. Lorsqu'il est activé, toutes les fenêtres contextuelles sont désactivées et les tâches planifiées ne sont pas exécutées. La protection du système continue à fonctionner en arrière-plan, mais n'exige aucune interaction de la part de l'utilisateur. Pour activer manuellement le mode de présentation, cliquez sur Configuration > Saisie des préférences de l'application... > Mode de présentation > Activer le mode de présentation. Cochez la case en regard de l'option Activer automatiquement le mode de présentation en mode plein écran pour déclencher automatiquement le mode de présentation lorsque les applications sont exécutées en mode plein écran. Lorsque cette fonctionnalité est activée, le mode de présentation démarre dès que vous lancez une application en mode plein écran et s'arrête automatiquement lorsque vous la quittez. Cela s'avère particulièrement utile pour démarrer une présentation. Vous pouvez également sélectionner Désactiver automatiquement le mode de présentation après pour définir une durée en minutes après laquelle le mode de présentation est automatiquement désactivé. L'activation du mode de présentation constitue un risque potentiel pour la sécurité. C'est la raison pour laquelle l'icône d'état de la protection ESET Endpoint Security devient orange et affiche un symbole d'avertissement. REMARQUE : si le pare-feu personnel est en mode interactif et que le mode de présentation est activé, vous risquez de rencontrer des difficultés pour vous connecter à Internet. Cela peut être problématique si vous démarrez une application qui se connecte à Internet. Dans un tel cas, vous devriez normalement recevoir une demande de confirmation de cette action (si aucune règle de communication ni exception n'a été définie), mais l'interaction utilisateur est désactivée en mode de présentation. La solution consiste à définir une règle de communication pour chaque application pouvant entrer en conflit avec ce comportement. Il est également possible d'utiliser un autre mode de filtrage dans le pare-feu personnel. Notez que si le mode de présentation est activé, et que vous accédez à une page Web ou à une application qui peut constituer un risque pour la sécurité, cette page peut être bloquée. En revanche, vous ne recevez aucune explication ni avertissement, car l'interaction utilisateur est désactivée. 14.4 Menu contextuel Pour que les fonctionnalités de ESET Endpoint Security soient disponibles dans le menu contextuel, cliquez sur Configuration > Saisie des préférences de l'application > Menu contextuel, puis cochez la case en regard de l'option Intégrer dans le menu contextuel. Les modifications seront prises en compte une fois que vous vous déconnectez ou redémarrez l'ordinateur. Les options du menu contextuel sont disponibles sur le Bureau et dans la fenêtre du Finder lorsque vous appuyez sur la touche CTRL en cliquant sur n'importe quel fichier. 15. Divers 15.1 Importer et exporter les paramètres Pour importer une configuration existante ou exporter votre configuration de ESET Endpoint Security, cliquez sur Configuration > Importer et exporter les paramètres. Ces opérations sont utiles si vous devez sauvegarder votre configuration actuelle de ESET Endpoint Security pour l'utiliser ultérieurement. Exporter les paramètres est également pratique pour les utilisateurs qui souhaitent utiliser leur configuration préférée de ESET Endpoint Security sur plusieurs systèmes. Il est facile d'importer un fichier de configuration afin de transférer les paramètres souhaités. 15.1.1 Importer les paramètres Pour importer une configuration, cliquez sur Configuration > Importer et exporter les paramètres à partir du menu principal, puis sélectionnez l'option Importer les paramètres. Cliquez sur Parcourir pour rechercher le fichier de configuration que vous souhaitez importer. 15.1.2 Exporter les paramètres Pour exporter une configuration, cliquez sur Configuration > Importer et exporter les paramètres... à partir du menu principal, puis sélectionnez l'option Exporter les paramètres. Utilisez le navigateur pour sélectionner un emplacement sur votre ordinateur pour enregistrer le fichier de configuration. 15.2 Configuration du serveur proxy Pour configurer les paramètres du serveur proxy, cliquez sur Configuration > Saisie des préférences de l'application > Serveur proxy. La spécification du serveur proxy à ce niveau définit les paramètres de serveur proxy globaux pour toutes les fonctions de ESET Endpoint Security. Les paramètres définis ici seront utilisés par tous les modules nécessitant une connexion à Internet. ESET Endpoint Security prend en charge les authentifications Accès de base et NTLM (NT LAN Manager). Pour spécifier des paramètres de serveur proxy à ce niveau, cochez la case Utiliser le serveur proxy, puis entrez l'adresse IP ou l'URL du serveur proxy dans le champ Serveur proxy. Dans le champ Port, spécifiez le port sur lequel le serveur proxy accepte les connexions (3128 par défaut). 33 Si la communication avec le serveur proxy exige une authentification, entrez un nom d'utilisateur et un mot de passe valides dans les champs correspondants. 15.3 Cache local partagé Pour activer l'utilisation du cache local partagé, cliquez sur Configuration > Saisie des préférences de l'application > Cache local partagé, puis cochez la case en regard de l'option Activer la mise en cache à l'aide du cache local partagé ESET. L'utilisation de cette fonctionnalité permet d'accroître considérablement les performances dans les environnements virtualisés en éliminant les analyses en double sur le réseau. Cela permet de s'assurer que chaque fichier est analysé une seule fois et stocké dans le cache partagé. Lorsque cette fonctionnalité est activée, les informations sur les analyses des fichiers et dossiers de votre réseau sont enregistrées dans le cache local. Si vous effectuez une nouvelle analyse, ESET Endpoint Security recherche les fichiers analysés dans le cache. Si les fichiers correspondent, ils sont exclus de l'analyse. Les paramètres du cache local partagé sont les suivants : Adresse du serveur : nom ou adresse IP de l'ordinateur sur lequel se trouve le cache. Port : numéro de port utilisé pour les communications (3537 par défaut). Mot de passe : mot de passe du cache local partagé (facultatif). 34 ">
Lien public mis à jour
Le lien public vers votre chat a été mis à jour.
Caractéristiques clés
- Protection antivirus et antispyware avancée
- Pare-feu personnel personnalisable
- Filtrage Internet pour bloquer les sites web inappropriés
- Protection de la messagerie via les protocoles POP3 et IMAP
- Protection anti-hameçonnage contre les tentatives d'escroquerie
- Mode de présentation pour une utilisation discrète
- Cache local partagé pour des analyses plus rapides
Questions fréquemment posées
L'interface utilisateur graphique a été repensée, un pare-feu personnel permet de créer directement des règles à partir du journal, le filtrage Internet bloque les pages web au contenu choquant ou inapproprié.
Il vous protège des tentatives d’acquisition de mots de passe et d'autres informations sensibles en limitant l'accès des sites Web malveillants se faisant passer pour des sites légitimes.
Il permet d'exécuter ESET Endpoint Security à l'arrière-plan et de désactiver les fenêtres contextuelles et les tâches planifiées.
Activer avec la clé de licence, Administrateur Sécurité, Licence hors ligne, Activer ultérieurement avec RA.