ESET Mail Security for Exchange Server Mode d'emploi

Ajouter à Mes manuels
249 Des pages
ESET Mail Security for Exchange Server Mode d'emploi | Fixfr
ESET MAIL SECURITY
POUR MICROSOFT EXCHANGE SERVER
Manuel d'installation et guide de l'utilisateur
Microsoft® Windows® Server 2008 SP2 / 2008 R2 SP1 / 2012 / 2012 R2 / 2016 / 2019
Cliquez ici pour afficher la version de l'aide en ligne de ce document
ESET MAIL SECURITY
Copyright © 2020 ESET, spol. s r.o.
ESET Ma i l Securi ty a été dével oppé pa r ESET, s pol . s r.o.
Pour pl us d'i nforma ti ons , vi s i tez www.es et.com.
Tous droi ts rés ervés . Aucune pa rti e de cette documenta ti on ne peut être reprodui te,
s tockée da ns un s ys tème d'a rchi va ge ou tra ns mi s e s ous quel que forme ou pa r
quel que moyen que ce s oi t, él ectroni que, méca ni que, photocopi e, enregi s trement,
numéri s a ti on ou a utre, s a ns l 'a utori s a ti on écri te de l 'a uteur.
ESET, s pol . s r.o. s e rés erve l e droi t de modi fi er l es a ppl i ca ti ons décri tes s a ns préa vi s .
Servi ce cl i ent : www.es et.com/s upport
RÉV. 17/04/2020
Table des
1. Préface
.......................................................6
2. Présentation
.......................................................8
2.1 Fonctionnalités
....................................................................................................8
principales
2.2 Nouveautés
....................................................................................................10
5.2 Fichiers
....................................................................................................54
journaux
5.2.1
Filtrage
..............................................................................58
des journaux
5.3 Mise
....................................................................................................59
à jour
5.4 Quarantaine
....................................................................................................61
de messages
5.5 Configuration
....................................................................................................64
5.5.1
Serveur
..............................................................................65
2.3 Flux
....................................................................................................11
des messages
5.5.2
Ordinateur
..............................................................................65
2.4 Fonctionnalités de ESET Mail Security et
....................................................................................................11
rôles
d'Exchange Server
5.5.3
Réseau
..............................................................................66
5.5.3.1
Assistant
..................................................................................66
de dépannage du réseau
2.5 Rôles
....................................................................................................13
d'Exchange Server
5.5.4
Internet
..............................................................................66
et messagerie
2.6 Connecteur POP3 et protection
antispam
....................................................................................................13
5.5.5
Outils..............................................................................67
- Journalisation des données de diagnostic
5.5.6
Importer
..............................................................................68
et exporter les paramètres
2.7 Modules
....................................................................................................14
de protection
5.6 Outils
....................................................................................................69
2.8 Sécurité
....................................................................................................15
multicouche
5.6.1
Processus
..............................................................................70
en cours
Protection de la base de données de boîtes aux
lettres
..............................................................................15
5.6.2
Regarder
..............................................................................71
l'activité
5.6.3
Statistiques
..............................................................................73
de protection
5.6.4
Cluster
..............................................................................74
5.6.4.1
Assistant
..................................................................................76
Cluster - Sélectionner des nœuds
5.6.4.2
Assistant
..................................................................................77
Cluster - Paramètres du cluster
5.6.4.3
Assistant Cluster - Paramètres de configuration du
cluster
..................................................................................78
5.6.4.4
Assistant
..................................................................................78
Cluster - Vérification des nœuds
5.6.4.5
Assistant
..................................................................................81
Cluster - Installation des nœuds
5.6.5
ESET Shell
..............................................................................83
5.6.5.1
Utilisation
..................................................................................85
5.6.5.2
Commandes
..................................................................................90
5.6.5.3
Fichiers
..................................................................................92
de commandes/scripts
5.6.6
ESET Dynamic
..............................................................................93
Threat Defense
5.6.7
ESET SysInspector
..............................................................................95
5.6.8
ESET SysRescue
..............................................................................95
Live
5.6.9
Planificateur
..............................................................................96
5.6.9.1
Planificateur
..................................................................................97
- Ajouter une tâche
2.8.1
2.8.2
Protection
..............................................................................16
du transport des messages
2.8.3
Analyse de base de données de boîtes aux lettres à la
demande
..............................................................................18
2.8.4
Analyse
..............................................................................19
des boîtes aux lettres Office 365
3. Préparation
.......................................................20
de l'installation
3.1 Configuration
....................................................................................................21
système requise
3.2 Étapes
....................................................................................................22
d'installation d'ESET Mail Security
3.2.1
Modification
..............................................................................27
d'une installation existante
3.3 Installation
....................................................................................................28
silencieuse/sans assistance
3.3.1
Installation
..............................................................................29
via la ligne de commande
3.4 Activation
....................................................................................................33
du produit
3.4.1
ESET Business
..............................................................................34
Account
3.4.2
Activation
..............................................................................34
réussie
3.4.3
Échec..............................................................................34
de l'activation
3.4.4
Licence
..............................................................................34
3.5 Mise à niveau vers une version plus
récente
....................................................................................................35
3.5.1
Mise..............................................................................36
à niveau via ESET Security Management Center
3.5.2
Mise..............................................................................38
à niveau via ESET Cluster
3.6 Installation dans un environnement à
....................................................................................................41
cluster
........................................................................99
5.6.9.1.1 Type de tâche
........................................................................100
de la tâche
5.6.9.1.2 Planification
........................................................................100
par un événement
5.6.9.1.3 Déclenchée
l’application
5.6.9.1.4 Exécuter........................................................................100
........................................................................101
5.6.9.1.5 Tâche ignorée
........................................................................101
tâches planifiées
5.6.9.1.6 Aperçu des
3.7 Terminal
....................................................................................................41
Server
5.6.10
Soumettre
..............................................................................101
les échantillons pour analyse
3.8 Environnement
....................................................................................................42
multiserveur/DAG
5.6.10.1
Fichier
..................................................................................102
suspect
4. Prise.......................................................43
en main
5.6.10.2
Site
..................................................................................102
suspect
5.6.10.3
Fichier
..................................................................................102
faux positif
4.1 Tâches
....................................................................................................43
de post-installation
5.6.10.4
Site
..................................................................................103
faux positif
4.2 Gérés via ESET Security Management
Center
....................................................................................................44
5.6.10.5
Autre
..................................................................................103
5.6.11
Quarantaine
..............................................................................104
4.3 Supervision
....................................................................................................45
4.3.1
État ..............................................................................46
4.3.2
Mise..............................................................................48
à jour Windows disponible
5. Utilisation
.......................................................49
d'ESET Mail Security
5.1 Analyser
....................................................................................................49
5.1.1
Fenêtre
..............................................................................52
Analyse et journal d'analyse
6. Paramètres
.......................................................106
de protection du serveur
6.1 Configuration
....................................................................................................107
de la priorité des agents
6.2 Antivirus
....................................................................................................107
et antispyware
6.3 Protection
....................................................................................................109
antispam
6.3.1
Filtrage
..............................................................................111
et vérification
6.3.2
Antispam
..............................................................................113
- Configurations avancées
6.3.3
Paramètres
..............................................................................116
de mise en liste grise
7.1.8
Analyses
..............................................................................176
des logiciels malveillants
6.3.4
SPF..............................................................................117
et DKIM
7.1.8.1
Gestionnaire
..................................................................................177
de profils
6.3.5
Protection
..............................................................................120
de rétrodiffusion
7.1.8.2
Cibles
..................................................................................178
du profil
6.4 Protection
....................................................................................................120
antihameçonnage
7.1.8.3
Cibles
..................................................................................179
à analyser
7.1.8.4
Analyse
..................................................................................181
en cas d'inactivité
Condition
..............................................................................124
de règle
7.1.8.5
Analyse
..................................................................................182
au démarrage
6.5.2
Action
..............................................................................129
de règle
........................................................................182
automatique des fichiers de démarrage
7.1.8.5.1 Vérification
6.5.3
Exemples
..............................................................................131
de règle
7.1.8.6
Supports
..................................................................................183
amovibles
7.1.8.7
Protection
..................................................................................183
des documents
7.1.9
Analyse
..............................................................................184
Hyper-V
7.1.10
HIPS..............................................................................185
7.1.10.1
Paramètres
..................................................................................187
de règle HIPS
7.1.10.2
Configurations
..................................................................................190
avancées de HIPS
6.5 Règles
....................................................................................................121
6.5.1
6.6 Protection
....................................................................................................133
du transport des messages
6.6.1
Configurations
..............................................................................136
avancées du transport des messages
6.7 Protection de la base de données de
....................................................................................................137
boîtes
aux lettres
6.7.1
Analyse
..............................................................................138
en arrière-plan
7.2 Configuration
....................................................................................................190
des mises à jour
6.8 Analyse de base de données de boîtes
Restauration
..............................................................................194
des mises à jour
7.2.1
aux
....................................................................................................139
lettres à la demande
6.8.1
Analyse
..............................................................................141
de base de données de boîtes aux lettres
7.2.2
Tâche
..............................................................................194
planifiée : mise à jour
6.8.2
Analyse
..............................................................................143
des boîtes aux lettres Office 365
7.2.3
Miroir
..............................................................................195
de mise à jour
6.8.3
Éléments
..............................................................................144
de boîte aux lettres supplémentaires
6.8.4
Serveur
..............................................................................144
proxy
7.3.1
Exceptions
..............................................................................198
IDS
6.8.5
Détails
..............................................................................144
du compte d'analyse de base de données
7.3.2
Liste..............................................................................199
noire temporaire des adresses IP
7.3 Protection
....................................................................................................197
du réseau
6.9 Types
....................................................................................................146
de quarantaine de messages
7.4 Internet
....................................................................................................199
et messagerie
6.9.1
Quarantaine
..............................................................................147
locale
7.4.1
Filtrage
..............................................................................199
des protocoles
6.9.1.1
Stockage
..................................................................................148
de fichiers
7.4.1.1
Internet
..................................................................................200
et clients de messagerie
6.9.1.2
Interface
..................................................................................148
Web
7.4.2
SSL/TLS
..............................................................................200
6.9.1.2.1
Envoyer les rapports de mise en quarantaine des
messages
........................................................................154
- tâche planifiée
7.4.2.1
Liste
..................................................................................202
des certificats connus
6.9.1.2.2
Interface Web Quarantaine de messages pour les
utilisateurs
........................................................................156
7.4.2.2
Communication
..................................................................................202
SSL chiffrée
7.4.3
Protection
..............................................................................203
du client de messagerie
Protocoles
..................................................................................204
de messagerie
6.9.2
Boîte aux lettres de quarantaine et quarantaine MS
Exchange
..............................................................................157
7.4.3.1
7.4.3.2
Alertes
..................................................................................205
et notifications
6.9.2.1
Paramètres du gestionnaire de la mise en
quarantaine
..................................................................................158
7.4.3.3
Barre
..................................................................................205
d'outils MS Outlook
Serveur
..................................................................................159
proxy
7.4.3.4
Barre
..................................................................................206
d'outils Outlook Express et Windows Mail
6.9.2.2
Détails du compte du gestionnaire de mise en
quarantaine
..............................................................................159
7.4.3.5
Boîte
..................................................................................206
de dialogue de confirmation
6.9.3
7.4.3.6
Analyser
..................................................................................206
à nouveau les messages
7.4.4
Protection
..............................................................................206
de l’accès Web
7.4.4.1
Gestion
..................................................................................207
des adresses URL
6.10 Test
....................................................................................................159
antivirus
6.11 Test
....................................................................................................160
antispam
6.12 Test
....................................................................................................160
anti-hameçonnage
7. Paramètres
.......................................................161
généraux
7.1 Ordinateur
....................................................................................................161
........................................................................208
liste
7.4.4.1.1 Créer une
7.4.5
Protection
..............................................................................210
Web antihameçonnage
7.5 Contrôle
....................................................................................................211
de périphérique
7.5.1
Règles
..............................................................................211
de périphérique
7.5.2
Groupe
..............................................................................213
de périphériques
7.1.1
Exclusions
..............................................................................162
des processus
7.1.2
Exclusions
..............................................................................163
7.1.2.1
Ajouter
..................................................................................164
ou modifier une exclusion
7.6.1
Créneaux
..............................................................................215
horaires
7.1.3
Exclusions
..............................................................................166
automatiques
7.6.2
Microsoft
..............................................................................215
Windows® Mise à jour
7.1.4
Cache
..............................................................................167
local partagé
7.6.3
ESET..............................................................................215
CMD
7.1.5
Une..............................................................................167
infiltration est détectée
7.6.4
ESET..............................................................................217
RMM
7.1.6
Protection
..............................................................................168
en temps réel du système de fichiers
7.6.5
Fournisseur
..............................................................................218
WMI
7.1.6.1
Paramètres
..................................................................................169
ThreatSense
7.6.5.1
Données
..................................................................................218
fournies
7.1.6.1.1
Autres paramètres
........................................................................173
ThreatSense
7.6.5.2
Accès
..................................................................................225
aux données fournies
7.1.6.1.2
Extensions
........................................................................173
de fichier exclues de l'analyse
7.6.6
Cibles
..............................................................................226
à analyser ERA/ESMC
7.1.7
Protection
..............................................................................173
dans le cloud
7.6.7
Mode
..............................................................................226
de remplacement
7.1.7.1
Filtre
..................................................................................175
d’exclusion
7.6.8
Fichiers
..............................................................................230
journaux
7.6 Outils
....................................................................................................214
de configuration
Table des
7.6.8.1
Mappage
..................................................................................233
des événements Syslog
7.6.9
Serveur
..............................................................................235
proxy
7.6.10
Notification
..............................................................................236
7.6.10.1
Notifications
..................................................................................236
d'application
7.6.10.2
Notifications
..................................................................................236
du Bureau
7.6.10.3
Notifications
..................................................................................237
par e-mail
7.6.10.4
Personnalisation
..................................................................................238
7.6.11
Mode
..............................................................................238
de présentation
7.6.12
Diagnostics
..............................................................................239
7.6.13
Cluster
..............................................................................240
7.7 Interface
....................................................................................................241
utilisateur
7.7.1
Alertes
..............................................................................242
et boîtes de message
7.7.2
Configuration
..............................................................................243
de l’accès
7.7.3
ESET..............................................................................243
Shell
7.7.4
Désactivation de l'interface utilisateur graphique sur
Terminal
..............................................................................244
Server
7.7.5
États
..............................................................................244
et messages désactivés
7.7.5.1
Paramètres
..................................................................................245
des états d'application
7.7.6
Icône
..............................................................................246
dans la partie système de la barre des tâches
7.8 Rétablir
....................................................................................................247
les paramètres par défaut
7.9 Aide
....................................................................................................247
et assistance
7.9.1
Envoyer
..............................................................................248
une demande d'assistance
7.9.2
À propos
..............................................................................249
d'ESET Mail Security
7.10 Glossaire
....................................................................................................249
1. Préface
Ce guide a pour objectif de vous aider à optimiser l'utilisation de ESET Mail Security. Pour obtenir des informations
sur une fenêtre du programme dans laquelle vous vous trouvez, appuyez sur la touche F1 du clavier. La page d'aide
relative à la fenêtre actuellement affichée apparaîtra.
Pour des questions de cohérence et afin d'éviter toute confusion, la terminologie employée dans ce guide est
basée sur les noms des paramètres ESET Mail Security. Un ensemble uniforme de symboles est également utilisé
pour souligner des informations importantes.
REMARQUE
Une remarque est une simple observation succincte. Bien que vous puissiez l'ignorer, elle peut fournir des
informations précieuses (fonctionnalités spécifiques ou lien vers une rubrique connexe, par exemple).
IMPORTANT
Ces informations requièrent votre attention et ne doivent pas être ignorées. Les notes importantes
comprennent des informations importantes mais qui ne sont pas critiques.
AVERTISSEMENT
Informations critiques qui requièrent toute votre attention. Les avertissements ont pour but de vous
empêcher de commettre des erreurs préjudiciables. Veuillez lire attentivement le texte des avertissements
car il fait référence à des paramètres système très sensibles ou à des actions présentant des risques.
EXEMPLE
Il s'agit d'un cas pratique dont l'objectif est de vous aider à comprendre l'utilisation d'une fonction spécifique.
Si l'élément ci-dessous apparaît dans le coin supérieur droit d'une page d'aide, il signale une navigation dans les
fenêtres d'une interface utilisateur graphique (GUI) de ESET Mail Security. Suivez ces instructions pour accéder à la
fenêtre décrite dans la page d'aide correspondante.
Ouvrir ESET Mail Security
Cliquez sur Configuration > Serveur > Configuration du scan de OneDrive > Enregistrer
Conventions de mise en forme :
6
Convention
Signification
Gras
Titres des sections, noms des fonctionnalités ou éléments de l'interface utilisateur (boutons, par
exemple).
Italique
Espaces réservés indiquant les informations que vous devez fournir. Par exemple, nom du fichier
ou chemin d'accès indique que vous devez saisir un chemin d'accès ou un nom de fichier.
Courier New
Exemples de code ou commandes.
Convention
Signification
Lien
hypertexte
Permet d'accéder facilement et rapidement à des références croisées ou à une adresse Internet
externe. Les liens hypertexte sont mis en surbrillance en bleu et peuvent être soulignés.
%ProgramFiles Répertoire système de Windows qui contient les programmes Windows et les autres programmes
%
installés.
Les pages d'aide en ligne de ESET Mail Security sont divisées en plusieurs chapitres et sous-chapitres. Vous
trouverez des informations pertinentes en parcourant le Sommaire des pages d'aide. Vous pouvez également
utiliser la recherche en texte intégral en saisissant des mots ou des phrases.
7
2. Présentation
ESET Mail Security 7 pour Microsoft Exchange Server est une solution intégrée qui protège les serveurs de
messagerie et les boîtes aux lettres des utilisateurs de différents types de contenu malveillant, y compris les pièces
jointes infectées par des vers ou des chevaux de Troie, les documents contenant des scripts malveillants, le
hameçonnage et le courrier indésirable. ESET Mail Security fournit quatre types de protection : Antivirus, antispam,
antihameçonnage et règles. ESET Mail Security filtre le contenu malveillant au niveau des bases de données de
boîtes aux lettres et sur la couche de transport des messages, avant qu'il arrive dans la boîte de réception du
destinataire.
ESET Mail Security prend en charge Microsoft Exchange Server versions 2007 et ultérieures, ainsi que Microsoft
Exchange Server dans un environnement en cluster. Les rôles Microsoft Exchange Server spécifiques (mailbox, hub,
edge) sont également pris en charge.
ESET Mail Security fournit non seulement la protection de Microsoft Exchange Server, mais également tous les
fonctionnalités nécessaires à la protection du serveur proprement dit (protection en temps réel du système de
fichiers, protection du réseau, protection de l'accès à Internet et protection du client de messagerie).
Vous pouvez gérer ESET Mail Security à distance dans des réseaux de grande taille grâce à ESET Security
Management Center. De plus, ESET Mail Security peut être utilisé avec des outils de surveillance et d'administration
à distance (RMM) tiers.
2.1 Fonctionnalités principales
Le tableau ci-dessous présente les fonctionnalités disponibles dans ESET Mail Security.
8
Véritable produit 64 bits
Performances et stabilité supérieures des composants principaux du produit.
Antimalware
Une protection récompensée et innovante contre les logiciels malveillants. Cette
technologie de pointe empêche les attaques et élimine tous les types de
menaces, notamment les virus, les rançongiciels, les rootkits, les vers et les logiciels
espions, grâce à une analyse dans le cloud pour des taux de détection plus élevés.
D'un faible encombrement, cette protection utilise peu de ressources système pour
ne pas avoir d'impact négatif sur les performances. Elle utilise un modèle de sécurité
par couches. Chaque couche, ou phase, possède un certain nombre de technologies
de base. La phase de pré-exécution comprend les technologies suivantes : analyseur
UEFI, protection contre les attaques réseau, réputation et cache, sandbox intégré au
produit, détections ADN. Les technologies de la phase d'exécution sont les
suivantes :bloqueur d'exploit, protection antirançongiciels, scanner de mémoire
avancé et analyseur de scripts (AMSI). La phase de post-exécution utilise les
technologies suivantes : protection anti-botnet, système CMPS et sandboxing. Cet
ensemble de technologies riche en fonctionnalités offre un niveau de protection
inégalé.
Antispam
Le composant antispam est essentiel pour n'importe quel serveur de messagerie.
ESET Mail Security utilise un moteur antispam de pointe qui empêche les tentatives
d'hameçonnage et de remise de courrier indésirable avec des taux de capture très
élevés. ESET Mail Security a réussi de manière consécutive un test de filtrage de
courrier indésirable de Virus Bulletin, autorité de test de sécurité de premier plan,
et a reçu la certification VBSpam+ pendant plusieurs années. Le moteur antispam a
atteint un taux de capture de courrier indésirable de 99,99 % sans aucun faux positif,
ce qui en fait une technologie de pointe en matière de protection antispam. La
fonctionnalité antispam de ESET Mail Security intègre plusieurs technologies (RBL et
DNSBL, empreintes digitales, vérification de la réputation, analyse de contenu,
règles, création manuelle de liste blanche/noire, protection de rétrodiffusion et
validation des messages à l'aide de SPF et DKIM) afin d'optimiser la détection. La
protection antispam d'ESET Mail Security est une solution cloud. La plupart des bases
de données de cloud sont situées dans les centres de données ESET. Les services
cloud Antispam permettent une mise à jour rapide des données, ce qui accélère le
temps de réaction en cas d'apparition de nouveau courrier indésirable.
Protection antihameçonnage Fonctionnalité qui empêche les utilisateurs d'accéder à des pages Web connues pour
le hameçonnage. Les e-mails peuvent contenir des liens menant à des pages Web
d'hameçonnage. ESET Mail Security utilise un analyseur sophistiqué qui recherche
ces liens (URL) dans le corps et l'objet des e-mails entrants. Les liens sont comparés
avec la base de données d'hameçonnage.
Règles
Les règles permettent aux administrateurs de filtrer les e-mails indésirables et les
pièces jointes en fonction de la politique de l'entreprise. Les pièces jointes
comprennent les exécutables, les fichiers multimédias, les archives protégées par
mot de passe, etc. Différentes actions peuvent être effectuées sur les e-mails filtrés
et leurs pièces jointes, par exemple une mise en quarantaine, une suppression, un
envoi de notification ou une journalisation des événements.
Exporter vers le serveur
syslog (Arcsight)
Permet la duplication du contenu du journal de la protection du serveur de
messagerie sur le serveur syslog au format CEF (Common Event Format) en vue d'une
utilisation avec des solutions de gestion des journaux telles que Micro Focus
ArcSight. Les événements peuvent être alimentés par le biais de SmartConnector
vers ArcSight ou exportés vers des fichiers. Vous disposez ainsi d'un moyen pratique
de surveillance centralisée et de gestion des événements de sécurité. Vous pouvez
tirer parti de cette fonctionnalité, tout particulièrement si vous disposez d'une
infrastructure complexe comprenant un grand nombre de serveurs Microsoft
Exchange avec la solution ESET Mail Security.
Analyse des boîtes aux
lettres Office 365
Pour les entreprises qui utilisent un environnement Exchange hybride, permet
d'analyser les boîtes aux lettres dans le cloud.
ESET Dynamic Threat
Defense (EDTD)
Service ESET Cloud. Lorsque ESET Mail Security évalue un e-mail comme étant
suspect, celui-ci est placé temporairement dans la quarantaine ESET Dynamic Threat
Defense. Un e-mail suspect est automatiquement soumis au serveur ESET Dynamic
Threat Defense pour analyse à l'aide des moteurs de détection de logiciels
malveillants sophistiqués. ESET Mail Security reçoit ensuite le résultat des analyses.
L'e-mail suspect est traité en fonction du résultat.
Gestionnaire de quarantaine L'administrateur peut inspecter les objets mis en quarantaine et choisir de les
de messages avec interface supprimer ou de les libérer. Cette fonctionnalité offre un outil de gestion facile à
web
utiliser.
L'interface web de la quarantaine permet de gérer à distance le contenu. Il est
possible de choisir ses administrateurs et/ou de déléguer l'accès. En outre, les
utilisateurs peuvent afficher et gérer leur courrier indésirable après s'être connectés
à l'interface Web Quarantaine de messages. Ils ont accès uniquement à leurs
messages.
Rapports de mise en
quarantaine de messages
Les rapports de mise en quarantaine des messages sont des e-mails envoyés aux
utilisateurs ou aux administrateurs sélectionnés afin de leur fournir des
informations sur tous les e-mails mis en quarantaine. Ils leur permettent également
de gérer à distance le contenu mis en quarantaine.
9
Analyse de base de données L'analyse de base de données de boîtes aux lettres à la demande permet aux
de boîtes aux lettres à la
administrateurs d'analyser manuellement des boîtes aux lettres sélectionnées ou de
demande
planifier l'analyse en dehors des heures de bureau. L'analyseur de base de données
de boîtes aux lettres utilise l'API des services Web Exchange pour se connecter à
Microsoft Exchange Server via les protocoles HTTP/HTTPS. L'analyseur utilise
également le parallélisme pendant l'analyse afin d'améliorer les performances.
ESET Cluster
ESET Cluster permet de gérer plusieurs serveurs à partir d'un seul et même
emplacement. À l'instar d'ESET File Security pour Microsoft Windows Server, l'ajout
de nœuds de serveur à un cluster facilite la gestion en raison de la distribution
possible d'une configuration à tous les membres du cluster. ESET Cluster peut être
également utilisé pour synchroniser les bases de données de mise en liste grise et le
contenu de la quarantaine locale des messages.
Exclusions des processus
Exclut des processus spécifiques de l'analyse antimalware à l'accès. L'analyse
antimalware à l'accès peut entraîner des conflits dans certaines situations, par
exemple lors d'une sauvegarde ou de migrations dynamiques de machines
virtuelles. Les exclusions des processus réduisent le risque de ces conflits potentiels
et augmentent les performances des applications exclues, ce qui a un effet positif
sur les performances globales et la stabilité de l'ensemble du système. L'exclusion
d'un processus/d'une application correspond à l'exclusion de son fichier exécutable
(.exe).
eShell (shell ESET)
eShell 2.0 est désormais disponible dans ESET Mail Security. eShell est une interface
à ligne de commande qui offre aux utilisateurs expérimentés et aux administrateurs
des options plus complètes pour gérer les produits serveur ESET.
ESET Security Management
Center
Meilleure intégration à ESET Security Management Center, y compris la possibilité de
planifier diverses tâches . Pour plus d'informations, consultez l'aide en ligne d'ESET
Security Management Center .
Installation basée sur les
composants
L'installation peut être personnalisée pour ne contenir que des composants
sélectionnés du produit.
2.2 Nouveautés
Nouvelles fonctionnalités et améliorations de ESET Mail Security par rapport à la génération
précédente (version 6.x) :
·
·
·
·
·
·
·
·
·
·
·
·
·
10
Véritable produit 64 bits
Analyse des boîtes aux lettres Office 365
Protection anti-hameçonnage des messages
Protection de rétrodiffusion
Amélioration des règles (de nouvelles conditions et actions ont été ajoutées comme la condition Corps du
messages)
Amélioration de la mise en quarantaine des pièces jointes aux e-mails
Rapports administrateur de mise en quarantaine de messages
Synchronisation de la quarantaine locale de messages via ESET Cluster
Journal de protection SMTP
ESET Dynamic Threat Defense
Prise en charge d'ESET Enterprise Inspector
ESET RMM
Exporter vers le serveur syslog (Arcsight)
2.3 Flux des messages
Le diagramme ci-dessous montre le flux des messages dans Microsoft Exchange Server et ESET Mail Security. Pour
plus d'informations sur l'utilisation de ESET Dynamic Threat Defense (EDTD) avec ESET Mail Security, consultez les
pages d'aide EDTD .
2.4 Fonctionnalités de ESET Mail Security et rôles d'Exchange Server
Le tableau ci-après permet d'identifier les fonctionnalités disponibles pour chaque version prise en charge de
Microsoft Exchange Server et des rôles. L'assistant d'installation de ESET Mail Security vérifie votre environnement
pendant l'installation. Une fois installé, ESET Mail Security affiche ses fonctionnalités selon la version détectée
d'Exchange Server et des rôles.
Version d'Exchange Server et rôle
serveur
Protectio Protection
n
antihameç
antispam onnage
Règles
Protection du
transport des
messages
Analyse de
Protection
base de
de la base de
données de
données de
boîtes aux
boîtes aux
lettres à la
lettres
demande
Microsoft Exchange Server 2007
(plusieurs rôles)
11
Version d'Exchange Server et rôle
serveur
Microsoft Exchange Server 2007
(Edge)
Microsoft Exchange Server 2007
(Hub)
Microsoft Exchange Server 2007
(boîte aux lettres)
Microsoft Exchange Server 2010
(plusieurs rôles)
Microsoft Exchange Server 2010
(Edge)
Microsoft Exchange Server 2010
(Hub)
Microsoft Exchange Server 2010
(boîte aux lettres)
Microsoft Exchange Server 2013
(plusieurs rôles)
Microsoft Exchange Server 2013
(Edge)
Microsoft Exchange Server 2013
(boîte aux lettres)
Microsoft Exchange Server
2016(Edge)
Microsoft Exchange Server 2016
(boîte aux lettres)
Microsoft Exchange Server 2019
(Edge)
Microsoft Exchange Server 2019
(boîte aux lettres)
Windows Small Business
Server 2008 SP2
Windows Small Business Server 2011
12
Protectio Protection
n
antihameç
antispam onnage
Règles
Protection du
transport des
messages
Analyse de
Protection
base de
de la base de
données de
données de
boîtes aux
boîtes aux
lettres à la
lettres
demande
2.5 Rôles d'Exchange Server
Rôle Edge et rôle Hub
Par défaut, les fonctionnalités antispam sont désactivées sur les serveurs de transport Edge et Hub. Cette
configuration est à privilégier dans une organisation Exchange avec serveur de transport Edge. Il est recommandé
que le serveur de transport Edge exécute le filtrage antispam ESET Mail Security sur les messages avant leur
transmission dans l'organisation Exchange.
Le rôle Edge reste toutefois l'emplacement privilégié de l'analyse antispam, car il permet à ESET Mail Security de
rejeter les courriers indésirables dans les premières phases du processus sans charger inutilement les couches
réseau. Dans cette configuration, les messages entrants sont filtrés par ESET Mail Security sur le serveur de transport
Edge, afin qu'ils puissent être envoyés en toute sécurité au serveur de transport Hub sans nécessiter de filtrage
supplémentaire.
Si votre organisation n'utilise pas de serveur de transport Edge et ne dispose que d'un serveur de transport Hub, il
est recommandé d'activer les fonctionnalités antispam de ce dernier qui reçoit via SMTP les messages entrants
provenant d'Internet.
REMARQUE
En raison des restrictions techniques de Microsoft Exchange 2013, ESET Mail Security ne prend pas en charge le
déploiement de Microsoft Exchange Server avec le rôle de serveur d'accès au client autonome uniquement
(CAS).
2.6 Connecteur POP3 et protection antispam
Les versions de Microsoft Windows Small Business Server (SBS) contiennent un connecteur POP3 intégré natif qui
permet au serveur de récupérer les messages électroniques des serveurs POP3 externes. La mise en œuvre de ce
connecteur POP3 natif de Microsoft varie selon la version de Microsoft Windows Small Business Server.
ESET Mail Security prend en charge le connecteur POP3 de Microsoft SBS, à condition qu'il soit configuré
correctement. Les messages téléchargés via le connecteur POP3 de Microsoft sont analysés pour rechercher la
présence de courrier indésirable. La protection antispam de ces messages est possible, car le connecteur POP3
transfère les messages électroniques d'un compte POP3 vers Microsoft Exchange Server via SMTP.
ESET Mail Security a été testé avec des services de messagerie courants, tels que Gmail.com, Outlook.com,
Yahoo.com, Yandex.com et gmx.de, sur les systèmes SBS suivants :
· Microsoft Windows Small Business Server 2008 SP2
· Microsoft Windows Small Business Server 2011
IMPORTANT
Si vous utilisez le connecteur POP3 intégré de Microsoft SBS et si tous les e-mails sont analysés pour
rechercher la présence de courrier indésirable, appuyez sur F5 pour accéder à Configuration avancée, Serveur >
Protection du transport des messages > Paramètres avancés. Pour le paramètre Analyser également les
messages reçus des connexions authentifiées ou internes, sélectionnez Protection antivirus, antihameçonnage et antispam dans la liste déroulante. La protection antispam est ainsi assurée pour les messages
récupérés des comptes POP3.
Vous pouvez également utiliser un connecteur POP3 tiers tel que P3SS (au lieu du connecteur POP3 intégré de
Microsoft SBS).
13
2.7 Modules de protection
Les fonctionnalités principales de ESET Mail Security englobent les modules de protection suivants :
Antivirus
La protection antivirus est l'une des fonctions de base d'ESET Mail Security. La protection antivirus vous prémunit
des attaques contre le système en contrôlant les échanges de fichiers et de courrier, ainsi que les communications
Internet. Si une menace comportant un code malveillant est détectée, le module Antivirus peut l'éliminer en la
bloquant dans un premier temps, puis en la nettoyant, en la supprimant ou en lamettant en quarantaine.
Antispam
La protection antispam intègre plusieurs technologies (RBL, DNSBL, empreintes digitales, vérification de la
réputation, analyse de contenu, règles, création manuelle de liste blanche/noire, etc.) afin d'optimiser la détection
des menaces par courrier électronique.
La protection antispam d'ESET Mail Security est une solution cloud. La plupart des bases de données de cloud sont
situées dans les centres de données ESET. Les services cloud Antispam permettent une mise à jour rapide des
données, ce qui accélère le temps de réaction en cas d'apparition de nouveau courrier indésirable. Cela permet
également de supprimer des données incorrectes ou fausses des listes noires ESET. Les communications avec les
services cloud Antispam sont effectuées via un protocole propriétaire sur le port 53535, dans la mesure du possible.
Si les communications ne sont pas possibles via le protocole d'ESET, les services DNS sont utilisés à la place
(port 53). L'utilisation de DNS n'est toutefois pas aussi efficace, car elle nécessite l'envoi de plusieurs requêtes lors
du processus de classification du courrier indésirable d'un seul message électronique.
REMARQUE
Il est recommandé d'ouvrir le port TCP/UDP 53535 pour les adresses IP répertoriées dans cet article de la base
de connaissances . Ce port est utilisé par ESET Mail Security pour envoyer des requêtes.
Normalement, aucun message électronique (ou une partie d'un message) n'est envoyé pendant le processus de
classification du courrier indésirable. Toutefois, si ESET LiveGrid® est activé et que vous avez explicitement autorisé
la soumission d'échantillons pour analyse, seul un message marqué comme courrier indésirable (ou probablement
courrier indésirable) peut être envoyé afin de faciliter l'analyse approfondie et l'amélioration de la base de
données cloud.
Si vous souhaitez signaler un faux positif ou une classification négative, consultez cet article de la base de
connaissances pour plus d'informations.
En outre, ESET Mail Security peut également utiliser la méthode de mise en liste grise (désactivée par défaut) du
filtrage du courrier indésirable.
Antihameçonnage
ESET Mail Security comprend l'anti-hameçonnage qui empêche les utilisateurs d'accéder à des pages Web connues
pour le hameçonnage. Si des e-mails contiennent des liens menant à des pages Web d'hameçonnage, ESET Mail
Security utilise un analyseur sophistiqué qui recherche ces liens (URL) dans le corps et l'objet des e-mails entrants.
Les liens sont comparés avec la base de données d'hameçonnage et les règles avec la condition Corps du message
sont évaluées.
Règles
14
La disponibilité des règles dans votre système pour la protection de la base de données de boîtes aux lettres,
l'analyse de la base de données de boîtes aux lettres à la demande et la protection du transport des messages
dépend de la version de Microsoft Exchange Server installée avec ESET Mail Security sur le serveur.
Les règles permettent de définir manuellement les conditions de filtrage des messages électroniques et les actions
à exécuter sur les messages électroniques filtrés. Il existe différents ensemble de conditions et d'actions. Vous
pouvez créer différentes règles qui peuvent être combinées. Si une règle utilise plusieurs conditions, ces dernières
sont liées à l'aide de l'opérateur logique AND. Par conséquent, la règle n'est exécutée que si toutes ses conditions
sont remplies. Si plusieurs règles sont créées, l'opérateur logique OR est appliqué, ce qui signifie que le programme
exécute la première règle dont les conditions sont remplies.
Dans la séquence d'analyse, la première technique utilisée est la mise en liste grise, si elle est activée. Les
procédures suivantes utilisent toujours les techniques suivantes : protection basée sur des règles définies par
l'utilisateur, suivie d'une analyse antivirus et enfin d'une analyse antispam.
2.8 Sécurité multicouche
ESET Mail Security assure une protection complexe à différents niveaux :
·
·
·
·
Protection de la base de données de boîtes aux lettres
Protection du transport des messages
Analyse de base de données de boîtes aux lettres à la demande
Analyse des boîtes aux lettres Office 365
REMARQUE
Pour obtenir une vue complète, reportez-vous à la matrice des fonctionnalités ESET Mail Security et des
versions de Microsoft Exchange Server et de leurs rôles.
2.8.1 Protection de la base de données de boîtes aux lettres
L'analyse de boîtes aux lettres est déclenchée et contrôlée par le serveur Microsoft Exchange. Les messages stockés
dans la base de données du serveur Microsoft Exchange Server sont analysés en continu. En fonction de la version
de Microsoft Exchange Server, de la version de l'interface VSAPI et des paramètres définis par l'utilisateur, l'analyse
peut être déclenchée dans l'un des cas suivants :
· Lorsque l'utilisateur accède à sa messagerie, dans un client de messagerie par exemple (les messages sont
toujours analysés avec le dernier moteur de détection) ;
· En arrière-plan, lorsque l'utilisation du serveur Microsoft Exchange Server est faible ;
· De manière proactive (en fonction de l'algorithme interne de Microsoft Exchange Server).
REMARQUE
La protection de la base de données de boîtes aux lettres n'est pas disponible pour Microsoft Exchange
Server 2013, 2016 et 2019.
La protection de la base de données de boîtes aux lettres est disponible pour les systèmes suivants :
15
Version d'Exchange Server et rôle
serveur
Protection
Protection
antihameçon
antispam
nage
Règles
Analyse de
Protection
Protection
base de
de la base
du transport données de
de données
des
boîtes aux
de boîtes
messages lettres à la
aux lettres
demande
Microsoft Exchange Server 2007
(boîte aux lettres)
Microsoft Exchange Server 2007
(plusieurs rôles)
Microsoft Exchange Server 2010
(boîte aux lettres)
Microsoft Exchange Server 2010
(plusieurs rôles)
Windows Small Business
Server 2008 SP2
Windows Small Business Server 2011
Ce type d'analyse peut être effectué sur une seule installation de serveur avec plusieurs rôles Exchange Server sur
un ordinateur (s'il comprend le rôle de serveur de boîte aux lettres ou de serveur principal).
2.8.2 Protection du transport des messages
Le filtrage de messages au niveau du serveur SMTP est assuré par un plugin spécialisé. Dans Microsoft Exchange
Server 2007 et 2010, le plugin est enregistré en tant qu'agent de transport dans les rôles Edge ou Hub du serveur
Microsoft Exchange.
Le filtrage au niveau du serveur SMTP effectué par un agent de transport offre une protection sous la forme de
règles antivirus, antispam et définies par l'utilisateur. Contrairement au filtrage VSAPI, le filtrage au niveau du
serveur SMTP est effectué avant l'arrivée des messages analysés dans la boîte aux lettres Microsoft Exchange
Server.
Anciennement appelée filtrage de messages au niveau du serveur SMTP. Cette protection est assurée par l'agent de
transport et est uniquement disponible pour Microsoft Exchange Server 2007 ou version ultérieure avec le rôle
serveur de transport Edge ou serveur de transport Hub. Ce type d'analyse peut être effectué sur une seule
installation de serveur avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend un des rôles de serveur
indiqués).
La protection du transport des messages est disponible pour les systèmes suivants :
Version d'Exchange Server et rôle
serveur
Microsoft Exchange Server 2007
(Hub)
16
Protection
Protection
antihameço
antispam
nnage
Règles
Analyse de
Protection
base de
du transport données de
des
boîtes aux
messages
lettres à la
demande
Protection
de la base
de données
de boîtes
aux lettres
Version d'Exchange Server et rôle
serveur
Protection
Protection
antihameço
antispam
nnage
Règles
Analyse de
Protection
base de
du transport données de
des
boîtes aux
messages
lettres à la
demande
Protection
de la base
de données
de boîtes
aux lettres
Microsoft Exchange Server 2007
(Edge)
Microsoft Exchange Server 2010
(plusieurs rôles)
Microsoft Exchange Server 2013
(plusieurs rôles)
Microsoft Exchange Server 2013
(Edge)
Microsoft Exchange Server 2013
(boîte aux lettres)
Microsoft Exchange Server
2016(Edge)
Microsoft Exchange Server 2016
(boîte aux lettres)
Microsoft Exchange Server 2019
(Edge)
Microsoft Exchange Server 2019
(boîte aux lettres)
Windows Small Business
Server 2008 SP2
Windows Small Business
Server 2011
17
2.8.3 Analyse de base de données de boîtes aux lettres à la demande
Permet d'exécuter ou de planifier une analyse de la base de données de boîtes aux lettres Exchange. Cette
fonctionnalité est uniquement disponible pour Microsoft Exchange Server 2007 ou version ultérieure avec le rôle
serveur de boîte aux lettres ou serveur de transport Hub. Ce type d'analyse s'applique également à une seule
installation de serveur avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend un des rôles de serveur
indiqués).
L'analyse de la base de données de boîtes aux lettres à la demande est disponible pour les systèmes suivants :
Protection
Version d'Exchange Server et rôle Protection antihameço
antispam
serveur
nnage
Microsoft Exchange Server 2007
(plusieurs rôles)
Microsoft Exchange Server 2007
(Hub)
Microsoft Exchange Server 2007
(boîte aux lettres)
Microsoft Exchange Server 2010
(plusieurs rôles)
Microsoft Exchange Server 2010
(Hub)
Microsoft Exchange Server 2010
(boîte aux lettres)
Microsoft Exchange Server 2013
(plusieurs rôles)
Microsoft Exchange Server 2013
(boîte aux lettres)
Microsoft Exchange Server 2016
(boîte aux lettres)
Microsoft Exchange Server 2019
(boîte aux lettres)
Windows Small Business
Server 2008 SP2
Windows Small Business
Server 2011
18
Règles
Analyse de
Protection
base de
du transport données de
des
boîtes aux
messages
lettres à la
demande
Protection de
la base de
données de
boîtes aux
lettres
2.8.4 Analyse des boîtes aux lettres Office 365
ESET Mail Security propose une fonctionnalité d'analyse pour les environnements Office 365 hybrides. Elle n'est
disponible et visible dans ESET Mail Security que si vous disposez d'un environnement Exchange hybride (sur site et
dans le cloud). Les deux scénarios de routage sont pris en charge par Exchange Online ou par le biais de
l'organisation sur site. Pour plus d'informations, consultez Routage du transport dans les déploiements hybrides
d'Exchange .
Vous pouvez analyser les boîtes aux lettres distantes et les dossiers publics Office 365 comme vous le feriez avec
l'analyse de base de données de boîtes aux lettres à la demande.
L'exécution d'une analyse de base de données de messagerie complète peut entraîner une charge système
indésirable dans un environnement de grande taille. Pour éviter ce problème, lancez une analyse sur des bases de
données ou des boîtes aux lettres spécifiques. Pour réduire davantage l'impact sur le système, utilisez le filtre
temporel en haut de la fenêtre. Par exemple, au lieu d'utiliser Analyser tous les messages, vous pouvez
sélectionner Analyser les messages modifiés au cours de la semaine dernière.
Il est recommandé de configurer un compte Office 365. Appuyez sur la touche F5 et accédez à Serveur > Analyse de
base de données de boîtes aux lettres à la demande. Consultez également Détails du compte d'analyse de base de
données.
Pour afficher l'activité de l'analyse des boîtes aux lettres Office 365, consultez Fichiers journaux > Analyse de la base
de données de boîtes aux lettres.
19
3. Préparation de l'installation
Nous vous recommandons de suivre quelques étapes pour préparer l'installation du produit :
· Après l'achat de ESET Mail Security, téléchargez le package d'installation .msi à partir du site Web d'ESET .
· Vérifiez que le serveur sur lequel vous envisagez d'installer ESET Mail Security répond aux exigences du
système.
· Connectez-vous au serveur à l'aide d'un compte Administrateur.
REMARQUE
Notez que vous devez exécuter le programme d'installation à l'aide du compte Administrateur intégré ou d'un
compte Administrateur de domaine (si le compte Administrateur local est désactivé). Tout autre utilisateur,
même s'il est membre du groupe Administrateurs, ne disposera pas de droits d'accès suffisants. Vous devez
donc utiliser le compte Administrateur intégré, car vous ne pourrez pas terminer l'installation avec un autre
compte d'utilisateur que l'administrateur local ou de domaine.
· Si vous allez effectuer une mise à niveau depuis une installation existante de ESET Mail Security, il est
recommandé de sauvegarder la configuration actuelle à l'aide de la fonctionnalité Exporter les paramètres.
· Supprimez/désinstallez les logiciels tiers de votre système, si nécessaire. Il est conseillé d'utiliser ESET AV
Remover . Pour obtenir la liste des logiciels antivirus tiers qu'ESET AV Remover peut supprimer, consultez
cet article de la base de connaissances .
· Si vous effectuez l'installation ESET Mail Security sous Windows Server 2016, Microsoft recommande de
désinstaller les fonctionnalités de Windows Defender et d'annuler l'inscription à Windows Defender ATP
afin d'éviter tout problème lié à la présence de plusieurs antivirus sur un ordinateur.
· Pour obtenir une vue complète, reportez-vous à la matrice des fonctionnalités ESET Mail Security et des
versions de Microsoft Exchange Server et de leurs rôles.
· Vous pouvez vérifier le nombre de boîtes aux lettres en exécutant l'outil de comptage des boîtes aux lettres
(pour plus d'informations, voir cet article de la base de connaissances ). Une fois ESET Mail Security installé,
il affiche le nombre actuel de boîtes aux lettres dans la partie inférieure de la fenêtre Supervision.
Vous pouvez exécuter le programme d'installation de ESET Mail Security dans deux modes d'installation :
· Interface utilisateur graphique (GUI)
Il s'agit du type d'installation recommandé dans un assistant d'installation.
· Installation silencieuse/sans assistance
Outre l'assistant d'installation, vous pouvez choisir d'installer ESET Mail Security de manière silencieuse par le
biais d'une ligne de commande.
IMPORTANT
Il est fortement recommandé, dans la mesure du possible, d'installer ESET Mail Security sur un système
d'exploitation récemment installé et configuré. Si vous n'avez pas besoin de l'installer sur un système existant,
il est recommandé de désinstaller la version précédente d'ESET Mail Security, de redémarrer le serveur et
d'installer ensuite la nouvelle version d'ESET Mail Security.
· Mise à niveau vers une version plus récente
Si vous utilisez une ancienne version d'ESET Mail Security, vous pouvez sélectionner la méthode de mise à
niveau adaptée.
20
Une fois ESET Mail Security, installé ou mis à niveau, les activités suivantes sont présentées ci-dessous.
· Activation du produit
Certains scénarios d'activation proposés dans la fenêtre d'activation peuvent varier en fonction du pays et
selon le mode de distribution.
· Tâches de post-installation
Consultez la liste des tâches recommandées que vous pouvez effectuer une fois ESET Mail Security installé.
· Configuration de la protection du serveur
Vous pouvez affiner la configuration de ESET Mail Security en modifiant les paramètres avancés de chaque
fonctionnalité afin de répondre à vos besoins..
3.1 Configuration système requise
Systèmes d'exploitation pris en charge :
·
·
·
·
·
·
Microsoft Windows Server 2019 (Server Core et Expérience utilisateur)
Microsoft Windows Server 2016
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012
Microsoft Windows Server 2008 R2 SP1
Microsoft Windows Server 2008 SP2 (x64)
· Microsoft Windows Small Business Server 2011 (x64)
· Microsoft Windows Small Business Server 2008 SP2 (x64)
Versions de Microsoft Exchange Server prises en charge :
· Microsoft Exchange Server 2019 CU1, CU2, CU3, CU4, CU5
· Microsoft Exchange Server 2016 CU1, CU2, CU3, CU4, CU5, CU6, CU7, CU8, CU9, CU10, CU11, CU12, CU13, CU14,
CU15, CU16
· Microsoft Exchange Server 2013 CU2, CU3, CU5, CU6, CU7, CU8, CU9, CU10, CU11, CU12, CU13, CU14, CU15, CU16,
CU17, CU18, CU19, CU20, CU21, CU22, CU23
· Microsoft Exchange Server 2010 SP1, SP2, SP3 UR27
· Microsoft Exchange Server 2007 SP1, SP2, SP3
REMARQUE
SP1 ou CU4 sous Microsoft Exchange Server 2013 n'est pas pris en charge par ESET Mail Security.
Configuration matérielle minimale requise :
Composant
Configuration requise
Processeur
Cœur unique Intel ou AMD x86 ou x64
Mémoire
256 Mo de mémoire disponible
Disque dur
700 Mo d'espace disque disponible
Résolution d'écran
800 x 600 pixels ou supérieure
La configuration matérielle recommandée d'ESET Mail Security est identique pour Microsoft Exchange Server. Pour
plus d'informations, consultez les articles techniques Microsoft suivants :
Microsoft Exchange Server 2007
21
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
REMARQUE
Il est vivement recommandé d'installer le dernier Service Pack du système d'exploitation Microsoft Server et
de l'application serveur avant l'installation du produit de sécurité ESET. Il est aussi conseillé d'installer les
dernières mises à jour et les correctifs les plus récents de Windows dès qu'ils sont disponibles.
3.2 Étapes d'installation d'ESET Mail Security
Il s'agit d'un assistant d'installation standard de l'interface utilisateur graphique. Double-cliquez sur le package .msi,
puis suivez les étapes pour installer ESET Mail Security :
1. Cliquez sur Suivant pour continuer ou sur Annuler pour interrompre l'installation.
2. L'assistant d'installation s'exécute dans une langue spécifiée en tant qu'emplacement du domicile ou d'un
paramètre Zone géographique > Emplacement du système d'exploitation (ou emplacement actuel d'une
zone géographique et d'une langue > emplacement dans les anciens systèmes). Dans le menu déroulant,
sélectionnez la langue du produit dans laquelle installer ESET Mail Security. La langue sélectionnée pour
ESET Mail Security est indépendante de la langue utilisée dans l'assistant d'installation.
3. Cliquez sur Suivant. Le Contrat de Licence de l'Utilisateur Final s'affiche. Après avoir accepté les termes du
Contrat de Licence de l'Utilisateur Final et la Politique de confidentialité, cliquez sur Suivant.
22
4. Choisissez l'un des types d'installation disponibles (la disponibilité dépend du système d'exploitation) :
Terminer
Permet d'installer toutes les fonctionnalités d'ESET Mail Security. Également appelée installation intégrale. Il
s'agit du type d'installation recommandé. Il est disponible pour Windows Server 2012, 2012 R2, 2016 et 2019.
REMARQUE
si vous planifiez d'utiliser l'option Quarantaine locale pour les messages électroniques et si vous ne souhaitez
pas que les fichiers des messages en quarantaine soient stockés sur le lecteur C:, remplacez le chemin d'accès
au dossier de données par celui souhaité. Sachez toutefois que tous les fichiers de données ESET Mail Security
seront stockés à cet emplacement.
23
Standard
Permet d'installer toutes les fonctionnalités d'ESET Mail Security recommandées. Disponible pour Windows
Server 2008 SP2, 2008 R2 SP1, Windows Small Business Server 2008 SP2 et 2011.
REMARQUE
Sous Windows Server 2008 SP2 et Windows Server 2008 R2 SP1, l'installation du composant Protection du
réseau est désactivée par défaut (installation Standard). Si vous souhaitez que ce composant soit installé, vous
devez sélectionner l'option d'installation personnalisée.
Personnalisé
24
Permet de sélectionner les fonctionnalités d'ESET Mail Security à installer sur votre système. La liste des
modules et des fonctionnalités disponibles du produit s'affiche avant le démarrage de l'installation. Ce type
d'installation s'avère utile lorsque vous souhaitez personnaliser ESET Mail Security et installer uniquement les
composants dont vous avez besoin.
5. Vous êtes invité à sélectionner l'emplacement d'installation d'ESET Mail Security. Par défaut, le programme
s'installe dans le dossier C:\Program Files\ESET\ESET Mail Security. Cliquez sur Parcourir pour changer
d'emplacement (non recommandé).
25
6. Cliquez sur Installer pour commencer l'installation. Lorsque l'installation est terminée, l'interface utilisateur
graphique d'ESET démarre et l'icône de barre d'état s'affiche dans la zone de notification (partie système
de la barre des tâches).
26
3.2.1 Modification d'une installation existante
Vous pouvez ajouter ou supprimer des composants inclus dans l'installation. Pour ce faire, exécutez le fichier
d'installation .msi que vous avez utilisé lors de l'installation initiale ou accédez à Programmes et fonctionnalités
(accessible à partir du Panneau de configuration Windows), cliquez avec le bouton droit sur ESET Mail Security, puis
sélectionnez Modifier. Suivez ces étapes pour ajouter ou supprimer des composants.
Trois options sont disponibles : Vous pouvez modifier les composants installés, réparer votre installation d'ESET
Mail Security ou la supprimer (désinstaller) entièrement.
Si vous sélectionnez l'option Modifier, la liste des composants disponibles s'affiche. Choisissez les composants à
ajouter ou à supprimer. Vous pouvez ajouter/supprimer simultanément plusieurs composants. Cliquez sur le
composant et sélectionnez une option dans le menu déroulant :
27
Après avoir sélectionné une option, cliquez sur Modifier pour effectuer les modifications.
REMARQUE
vous pouvez modifier à tout moment les composants installés en exécutant le programme d'installation. Pour
la plupart des composants, un redémarrage du serveur n'est pas nécessaire pour prendre en compte la
modification. L'interface utilisateur redémarre et seuls les composants que vous avez choisi d'installer sont
visibles. Pour les composants qui nécessitent un redémarrage du serveur, Windows Installer vous demande de
redémarrer le serveur. Les nouveaux composants seront disponibles une fois que le serveur sera en ligne.
3.3 Installation silencieuse/sans assistance
Exécutez la commande suivante pour lancer l'installation en silence (pas d'interface utilisateur) via une ligne de
commande : msiexec /i <packagename> /qn /l*xv msi.log
REMARQUE
Sous Windows Server 2008 SP2 et Windows Server 2008 R2 SP1, la fonctionnalité Protection du réseau n'est pas
installée.
Pour s'assurer que l'installation a bien été effectuée ou en cas de problèmes liés à l'installation, utilisez
l'observateur d'événements Windows pour consulter le journal des applications (recherchez les entrées dans
Source : MsiInstaller).
EXEMPLE
Installation complète sous un système 64 bits :
msiexec /i emsx_nt64.msi /qn /l*xv msi.log ADDLOCAL=NetworkProtection,RealtimeProtection,^
DeviceControl,DocumentProtection,Cluster,GraphicUserInterface,SysInspector,SysRescue,Rmm,eula
28
Lorsque l'installation est terminée, l'interface utilisateur graphique d'ESET démarre et l'icône de barre d'état
s'affiche dans la zone de notification (partie système de la barre des tâches).
EXEMPLE
Installation du produit dans la langue spécifiée (allemand) :
msiexec /i emsx_nt64.msi /qn ADDLOCAL=NetworkProtection,RealtimeProtection,^
DeviceControl,DocumentProtection,Cluster,GraphicUserInterface,^
SysInspector,SysRescue,Rmm,eula PRODUCT_LANG=1031 PRODUCT_LANG_CODE=de-de
Pour obtenir des informations supplémentaires et la liste des codes de langue, voir Paramètres de langue dans
Installation via la ligne de commande.
IMPORTANT
Lorsque vous spécifiez les valeurs du paramètre REINSTALL, vous devez répertorier les fonctionnalités
restantes qui ne sont pas utilisées en tant que valeurs du paramètre ADDLOCAL ou REMOVE. Pour que
l'installation par ligne de commande s'effectue correctement, vous devez répertorier toutes les
fonctionnalités en tant que valeurs des paramètres REINSTALL, ADDLOCAL et REMOVE. Les opérations d'ajout ou
de suppression peuvent ne pas réussir si vous n'utilisez pas le paramètre REINSTALL.
Pour obtenir la liste complète des fonctionnalités, reportez-vous à la section Installation via la ligne de
commande.
EXEMPLE
Suppression complète (désinstallation) d'un système 64 bits :
msiexec /x emsx_nt64.msi /qn /l*xv msi.log
REMARQUE
Après une désinstallation réussie, le serveur redémarre automatiquement.
3.3.1 Installation via la ligne de commande
Les paramètres suivants doivent être utilisés uniquement avec le niveau Réduit, De base ou Néant de l'interface
utilisateur. Pour connaître les paramètres de ligne de commande appropriés, reportez-vous à la documentation
de la version de msiexec utilisée.
Paramètres pris en charge :
APPDIR=<chemin>
· chemin : chemin d'accès valide au répertoire
· Répertoire d'installation de l'application.
· Par exemple : emsx_nt64.msi /qn APPDIR=C:\ESET\
ADDLOCAL=DocumentProtection
APPDATADIR=<chemin>
· chemin : chemin d'accès valide au répertoire
· Répertoire d'installation des données de l'application.
MODULEDIR=<chemin>
· chemin : chemin d'accès valide au répertoire
· Répertoire d'installation du module.
ADDLOCAL=<liste>
29
· Installation du composant : liste des fonctionnalités non obligatoires à installer localement.
· Utilisation avec les packages .msi ESET : emsx_nt64.msi /qn ADDLOCAL=<list>
· Pour plus d'informations sur la propriété ADDLOCAL, voir https://docs.microsoft.com/en-gb/windows/
desktop/Msi/addlocal
· La liste ADDLOCAL est une liste séparée par des virgules qui contient toutes les fonctionnalités à installer.
· Lors de la sélection d'une fonctionnalité à installer, le chemin d'accès entier (toutes les fonctionnalités
parent) doit être explicitement inclus.
REMOVE=<list>
· Installation de composants : fonctionnalité parente que vous ne souhaitez pas installer localement.
· Utilisation avec les packages .msi ESET : emsx_nt64.msi /qn REMOVE=<list>
· Pour plus d'informations sur la propriété REMOVE, voir https://docs.microsoft.com/en-gb/windows/desktop/
Msi/remove
· La liste REMOVE est une liste séparée par des virgules qui contient les fonctionnalités parentes qui ne seront
pas installées (ou qui seront retirées en cas d'installation existante).
· Elle est suffisante pour spécifier uniquement la fonctionnalité parente. Il n'est pas nécessaire d'inclure
explicitement chaque fonctionnalité enfant dans la liste.
ADDEXCLUDE=<liste>
· La liste ADDEXCLUDE est séparée par des virgules et contient les noms de toutes les fonctionnalités à ne pas
installer.
· Lors de la sélection d'une fonctionnalité à ne pas installer, le chemin d'accès dans son intégralité (c.-à-d.,
toutes ses sous-fonctionnalités) et les fonctionnalités connexes invisibles doivent être explicitement inclus
dans la liste.
· Par exemple : emsx_nt64.msi /qn ADDEXCLUDE=<list>
REMARQUE
ADDEXCLUDE
ne peut pas être utilisé avec ADDLOCAL.
Présence de la fonctionnalité
· Obligatoire : la fonctionnalité est toujours installée.
· Facultative : la fonctionnalité peut être désélectionnée pour l'installation.
· Invisible : fonctionnalité logique obligatoire pour que les autres fonctionnalités fonctionnent correctement.
Liste des fonctionnalités d'ESET Mail Security :
IMPORTANT
Le nom de toutes les fonctionnalités respecte la casse. Par exemple RealtimeProtection n'équivaut pas à
REALTIMEPROTECTION .
30
Nom de la fonctionnalité
Présence de la fonctionnalité
SERVER
Obligatoire
RealtimeProtection
Obligatoire
MAILSERVER
Obligatoire
WMIProvider
Obligatoire
HIPS
Obligatoire
Updater
Obligatoire
eShell
Obligatoire
Nom de la fonctionnalité
Présence de la fonctionnalité
UpdateMirror
Obligatoire
DeviceControl
Facultative
DocumentProtection
Facultative
WebAndEmail
Facultative
ProtocolFiltering
Invisible
NetworkProtection
Facultative
IdsAndBotnetProtection
Facultative
Rmm
Facultative
WebAccessProtection
Facultative
EmailClientProtection
Facultative
MailPlugins
Invisible
Cluster
Facultative
_Base
eula
ShellExt
Facultative
_FeaturesCore
GraphicUserInterface
Facultative
SysInspector
Facultative
SysRescue
Facultative
EnterpriseInspector
Facultative
Si vous souhaitez supprimer l'une des fonctionnalités suivantes, vous devez supprimer l'ensemble du groupe en
spécifiant chaque fonctionnalité appartenant au groupe. Autrement, la fonctionnalité sera pas supprimée. Voici
deux groupes (chaque ligne représente un groupe) :
GraphicUserInterface,ShellExt
NetworkProtection,WebAccessProtection,IdsAndBotnetProtection,ProtocolFiltering,MailPlugins,EmailClientP
EXEMPLE
Excluez la section NetworkProtection (y compris les fonctionnalités enfant) de l'installation en utilisant le
paramètre REMOVE et en spécifiant une fonctionnalité parente uniquement :
msiexec /i emsx_nt64.msi /qn ADDLOCAL=ALL REMOVE=NetworkProtection
Vous pouvez aussi utiliser le paramètre ADDEXCLUDE, mais vous devez également spécifier toutes les
fonctionnalités enfant :
msiexec /i emsx_nt64.msi /qn ADDEXCLUDE=NetworkProtection,WebAccessProtection,IdsAndBotnetProtection,^
ProtocolFiltering,MailPlugins,EmailClientProtection
31
Si vous souhaitez qu'ESET Mail Security soit configuré automatiquement après l'installation, vous pouvez spécifier
des paramètres de configuration de base dans la commande d'installation.
EXEMPLE
Installation d'ESET Mail Security et désactivation d'ESET LiveGrid® :
msiexec /i emsx_nt64.msi /qn /l*xv msi.log CFG_LIVEGRID_ENABLED=0
Liste de toutes les propriétés de configuration :
Basculer
Valeur
CFG_POTENTIALLYUNWANTED_ENABLED=1/0
0 : Désactivé, 1 : Activé
CFG_LIVEGRID_ENABLED=1/0
0 : Désactivé, 1 : Activé
FIRSTSCAN_ENABLE=1/0
0 : Désactiver, 1 : Activer
CFG_PROXY_ENABLED=0/1
0 : Désactivé, 1 : Activé
CFG_PROXY_ADDRESS=<ip>
Adresse IP du proxy.
CFG_PROXY_PORT=<port>
Numéro de port du proxy.
CFG_PROXY_USERNAME=<user>
Nom d'utilisateur pour l'authentification.
CFG_PROXY_PASSWORD=<pass>
Mot de passe pour l'authentification.
Paramètres de langue : Langue du produit (vous devez spécifier les deux paramètres)
Basculer
Valeur
PRODUCT_LANG=
LCID décimal (ID de paramètres régionaux), par exemple 1033 pour English United States. Voir la liste des codes de langue .
PRODUCT_LANG_CODE=
LCID chaîne (nom de culture de la langue) en minuscule, par exemple en-us
pour English - United States. Voir la liste des codes de langue .
32
3.4 Activation du produit
Une fois l'installation terminée, vous êtes invité à activer le produit.
Pour activer ESET Mail Security, vous pouvez utiliser l'une des méthodes suivantes :
Utiliser une clé de licence achetée
Chaîne unique au format XXXX-XXXX-XXXX-XXXX-XXXX qui sert à identifier le propriétaire de la licence et à
activer la licence.
ESET Business Account
Utilisez cette option si vous êtes enregistré et si vous disposez d'un compte ESET Business Account (EBA) dans
lequel la licence ESET Mail Security a été importée. Vous pouvez également saisir les informations
d'identification du compte Administrateur sécurité que vous utilisez sur le portail ESET License Administrator .
Fichier de licence hors ligne
Fichier généré automatiquement qui est transféré au produit ESET afin de fournir des informations de licence.
Ce fichier de licence hors ligne est généré à partir du portail des licences. Il est utilisé dans les environnements
dans lesquelles l'application ne peut pas se connecter à l'autorité de certification.
Cliquez sur Activer ultérieurement dans ESET Security Management Center si votre ordinateur est membre d'un
réseau géré et si votre administrateur effectuera une activation à distance via ESET Security Management Center.
Vous pouvez également utiliser cette option si vous souhaitez activer ultérieurement ce client.
Dans la fenêtre principale du programme, sélectionnez Aide et assistance > Gérer la licence pour gérer les
informations de licence à tout moment. L'ID de licence publique s'affiche ; il sert à identifier votre produit et votre
licence auprès d'ESET. Le nom d'utilisateur sous lequel l'ordinateur est enregistré est stocké dans la section À
propos. Il est visible lorsque vous cliquez avec le bouton droit sur l'icône
dans la partie système de la barre des
tâches.
33
Une fois ESET Mail Security activé, la fenêtre principale du programme s'ouvre et affiche l'état actuel dans la page
Supervision. Au début de l'utilisation, vous devrez indiquer si vous souhaitez faire partie de l'initiative ESET
LiveGrid®.
La fenêtre principale du programme affiche également des notifications sur d'autres éléments tels que les mises à
jour du système (Windows Update) ou les mises à jour du moteur de détection. Lorsque vous avez répondu à tous
ces points, l'état de surveillance devient vert et indique Vous êtes protégé.
Pour activer votre copie d'ESET Mail Security directement à partir du programme, cliquez sur l'icône
dans la partie
système de la barre des tâches, puis sélectionnez Le produit n’est pas activé. dans le menu. Vous pouvez également
activer le produit dans le menu principal sous Aide et assistance > Activer le produit ou État de surveillance > Le
produit n’est pas activé..
REMARQUE
ESET Security Management Center peut activer des ordinateurs clients en silence à l'aide des licences fournies
par l'administrateur.
3.4.1 ESET Business Account
Un compte ESET Business Account permet de gérer plusieurs licences. Si vous n'en avez pas, cliquez sur Créer un
compte pour être redirigé vers le portail ESET Business Account où vous pouvez vous enregistrer.
REMARQUE
Pour plus d'informations, consultez le guide de l'utilisateur ESET Business Account (EBA) .
Si vous utilisez les informations d'identification de l'Administrateur Sécurité et que vous avez oublié votre mot de
passe, cliquez sur J'ai oublié mon mot de passe pour être redirigé vers le portail d'ESET License Administrator.
Saisissez votre adresse e-mail et cliquez sur Envoyer pour la confirmer. Vous recevrez ensuite un message
contenant des instructions pour réinitialiser votre mot de passe.
3.4.2 Activation réussie
L'activation a été effectuée, et ESET Mail Security est désormais activé. À partir de maintenant, ESET Mail Security
recevra des mises à jour régulières pour identifier les menaces les plus récentes et protéger votre ordinateur.
Cliquez sur Terminé pour terminer l'activation du produit.
3.4.3 Échec de l'activation
L'activation de ESET Mail Security n'a pas été effectuée. Vérifiez que vous avez saisi la clé de licence correcte ou que
vous avez attaché une licence hors ligne. Si vous disposez d'une autre licence hors ligne, veuillez l'indiquer. Pour
vérifier la clé de licence que vous avez saisie, cliquez sur vérifier de nouveau la clé de licence ou saisir une autre
licence.
3.4.4 Licence
Vous serez invité à sélectionner une licence associée à votre compte qui sera utilisée pour ESET Mail Security.
Cliquez sur Continuer pour effectuer l'activation.
34
3.5 Mise à niveau vers une version plus récente
Les nouvelles versions d'ESET Mail Security offrent des améliorations ou apportent des solutions aux problèmes que
les mises à jour automatiques des modules ne peuvent pas résoudre.
Méthodes de mise à niveau:
· Désinstallation/installation : suppression de l'ancienne version avant l'installation de la nouvelle.
Téléchargez la dernière version du fichier ESET Mail Security Exportez les paramètres de la version existante
de ESET Mail Security si vous souhaitez conserver la configuration. Désinstallez ESET Mail Security et
redémarrez le serveur. Effectuez une nouvelle installation avec le programme d'installation que vous avez
téléchargé. Importez les paramètres pour charger votre configuration. Cette procédure est recommandée
lorsqu'un seul serveur exécute ESET Mail Security.
· Sur place : méthode de mise à niveau sans suppression de la version existante et avec installation dessus de
la nouvelle version de ESET Mail Security.
IMPORTANT
Il est nécessaire que vous n'ayez aucune mise à jour Windows en attente sur votre serveur, ni aucun
redémarrage en attente en raison de Windows Updates ou de toute autre raison. Si vous essayez d'effectuer
une mise à niveau sur place avec des mises à jour Windows en attente ou de redémarrer l'ordinateur, la
version existante de ESET Mail Security peut ne pas être supprimée correctement. Vous rencontrerez
également des problèmes si vous décidez de supprimer manuellement l'ancienne version de ESET Mail
Security.
REMARQUE
Un redémarrage du serveur sera nécessaire pendant la mise à niveau de ESET Mail Security.
· À distance : à utiliser dans des environnements réseau de grande taille administrés par ESET Security
Management Center. Il s'agit essentiellement d'une nouvelle mise à niveau, mais effectuée à distance. Cette
méthode s'avère utile si plusieurs serveurs exécutent ESET Mail Security.
· Assistant ESET Cluster : peut être également utilisé en tant que méthode de mise à niveau. Cette méthode
est recommandée pour 2 serveurs au minimum avec ESET Mail Security. Il s'agit essentiellement d'une
méthode de mise à niveau sur place, mais effectuée via ESET Cluster. Une fois la mise à niveau terminée,
vous pouvez continuer à utiliser ESET Cluster et tirer parti de ses fonctionnalités.
IMPORTANT
Une mise à niveau depuis la version 4.x ne permet pas de conserver certains paramètres, notamment les
règles qui ne peuvent pas être migrés. Ceci est dû aux modifications apportées aux règles dans les dernières
versions du produit. Il est recommandé de noter les paramètres des règles avant d'effectuer une mise à niveau
depuis la version 4.x. Vous pouvez configurer les règles une fois la mise à niveau terminée. Les nouvelles
règles offrent une plus grande flexibilité et plus de possibilités par rapport à celles de la version précédente
d'ESET Mail Security.
Vous trouverez ci-dessous les paramètres qui sont conservés des versions précédentes d'ESET Mail Security:
· Configuration générale d'ESET Mail Security
Paramètres de protection antispam
· Tous les paramètres identiques dans les versions précédentes ; les nouveaux paramètres utilisent les valeurs
par défaut.
35
· Entrées de liste blanche et de liste noire.
REMARQUE
Une fois le produit ESET Mail Security mis à niveau, il est recommandé d'examiner tous les paramètres pour
vérifier qu'ils sont correctement configurés et qu'ils répondent à vos besoins.
3.5.1 Mise à niveau via ESET Security Management Center
ESET Security Management Center permet de mettre à niveau plusieurs serveurs qui exécutent une version
ancienne de ESET Mail Security. L'avantage de cette méthode est qu'elle permet de mettre simultanément à niveau
un grand nombre de serveurs tout en s'assurant que ESET Mail Security est configuré de manière identique (en cas
de besoin).
La procédure est composée des phases suivantes :
· Mettez à niveau le premier serveur manuellement en installant la dernière version de ESET Mail Security sur
la version existante afin de conserver l'intégralité de la configuration, notamment les règles, les diverses
listes blanches et listes noires, etc. Cette phase est effectuée localement sur le serveur exécutant ESET Mail
Security.
· Demandez la configuration de la version de ESET Mail Security mise à niveau vers la version 7.x, puis
convertissez-la en stratégie dans ESET Security Management Center. La stratégie sera ultérieurement
appliquée à tous les serveurs mis à niveau. Cette phase est effectuée à distance à l'aide d'ESMC, comme
celles présentées ci-dessous.
· Exécutez une tâche de désinstallation de logiciel sur tous les serveurs exécutant l'ancienne version de ESET
Mail Security.
· Exécutez une tâche d'installation de logiciel sur tous les serveurs sur lesquels la dernière version de ESET Mail
Security doit s'exécuter.
· Affectez la stratégie de configuration à tous les serveurs exécutant la dernière version de ESET Mail Security.
Procédure détaillée :
1. Connectez-vous à l'un des serveurs exécutant ESET Mail Security, puis mettez-le à niveau en téléchargeant
et en installant la dernière version sur celle existante. Suivez les étapes d'une installation standard.
L'intégralité de la configuration d'origine de l'ancienne version de ESET Mail Security est conservée pendant
l'installation.
2. Ouvrez ESET Security Management Center Web Console, sélectionnez un ordinateur client dans un groupe
statique ou dynamique, puis cliquez sur Afficher les détails.
36
3. Accédez à l'onglet Configuration et cliquez sur le bouton Demander la configuration pour recueillir
l'intégralité de la configuration du produit administré. L'obtention de la configuration prend quelques
instants. Une fois que la dernière configuration apparaît dans la liste, cliquez sur Produit de sécurité et
choisissez Ouvrir la configuration.
37
4. Créez une stratégie de configuration en cliquant sur le bouton Convertir en stratégie. Saisissez le nom de la
nouvelle stratégie, puis cliquez sur Terminer.
5. Accédez à Tâches client, puis sélectionnez la tâche Désinstaller un logiciel . Lorsque vous créez la tâche de
désinstallation, il est recommandé de redémarrer le serveur après la désinstallation en cochant la case
Redémarrage automatique si nécessaire. Une fois la tâche créée, ajoutez tous les ordinateurs cibles
souhaités pour la désinstallation.
6. Vérifiez que ESET Mail Security est désinstallé sur toutes les cibles.
7. Créez une tâche Installer le logiciel
cibles souhaitées.
pour installer la dernière version de ESET Mail Security sur toutes les
8. Affectez la stratégie de configuration à tous les serveurs exécutant ESET Mail Security (un groupe dans
l'idéal).
3.5.2 Mise à niveau via ESET Cluster
La création d'un ESET Cluster permet de mettre à niveau plusieurs serveurs dont les versions de ESET Mail Security
sont anciennes. Il est recommandé d'utiliser la méthode d'ESET Cluster si votre environnement comporte au moins
2 serveurs avec ESET Mail Security. L'autre avantage de cette méthode de mise à niveau est que vous pouvez
continuer à utiliser l'ESET Cluster pour que la configuration de ESET Mail Security soit synchronisée sur tous les
nœuds membres.
Pour effectuer une mise à niveau à l'aide de cette méthode, procédez comme suit :
1. Connectez-vous à l'un des serveurs exécutant ESET Mail Security, puis mettez-le à niveau en téléchargeant
et en installant la dernière version sur celle existante. Suivez les étapes d'une installation standard.
L'intégralité de la configuration d'origine de l'ancienne version de ESET Mail Security est conservée pendant
l'installation.
38
2. Exécutez l'assistant ESET Cluster et ajoutez des nœuds de cluster (serveurs sur lesquels vous souhaitez
mettre à niveau ESET Mail Security). Si nécessaire, vous pouvez ajouter d'autres serveurs qui n'exécutent pas
encore ESET Mail Security (une installation sera effectuée sur ceux-ci). Il est recommandé de conserver les
paramètres par défaut lors de la spécification du nom du cluster et du type d'installation (veillez à ce que
l'option Transmettre la licence aux nœuds sans produit activé soit sélectionnée).
3. Examinez l'écran Journal de vérification des nœuds. Il répertorie les serveurs qui disposent d'une ancienne
version et pour lesquels le produit sera réinstallé. ESET Mail Security sera également installé sur les serveurs
ajoutés sur lesquels il n'est pas déjà installé.
39
4. L'écran Installation des nœuds et activation du cluster indique l'avancement de l'installation. Lorsque
l'installation est terminée, des résultats similaires aux suivants doivent s'afficher :
Si DNS ou le réseau n'est pas correctement configuré, l'erreur suivante peut s'afficher : Échec de l'obtention du
jeton d'activation du serveur. Essayez de réexécuter l'assistant ESET Cluster. Il détruit le cluster et en crée un autre
(sans réinstaller le produit). L'activation doit alors s'effectuer correctement. Si le problème persiste, vérifiez les
paramètres DNS et réseau.
40
3.6 Installation dans un environnement à cluster
Vous pouvez déployer ESET Mail Security dans un environnement à cluster (un cluster de basculement par
exemple). Nous vous recommandons d'installer ESET Mail Security sur un nœud actif et de redistribuer l'installation
sur un ou plusieurs nœuds passifs à l'aide de la fonctionnalité ESET Cluster de ESET Mail Security. Outre
l'installation, ESET Cluster sert également de réplication de la configuration ESET Mail Security qui garantit la
cohérence entre les nœuds de cluster nécessaires au fonctionnement correct.
3.7 Terminal Server
Si vous installez ESET Mail Security sur un serveur Windows Server agissant comme Terminal Server, vous
souhaiterez peut-être désactiver l'interface utilisateur graphique ESET Mail Security afin d'empêcher son démarrage
à chaque connexion de l'utilisateur. Reportez-vous à la section Désactivation de l'interface utilisateur graphique sur
Terminal Server pour accéder aux étapes de désactivation.
41
3.8 Environnement multiserveur/DAG
ESET Mail Security prend en charge les environnements multiserveur. Si votre infrastructure se compose de
plusieurs serveurs, par exemple un groupe de disponibilité de base de données (DAG), vous pouvez installer ESET
Mail Security sur chaque serveur Exchange Server avec le rôle de boîte aux lettres.
La méthode la plus simple consiste à installer ESET Mail Security sur tous les serveurs à l'aide d'ESET Cluster. Il est
aussi recommandé d'activer l'option Utiliser ESET Cluster pour stocker tous les messages en quarantaine sur un
nœud dans les paramètres de la quarantaine des messages. Si vous envisagez d'utiliser la mise en liste grise, activez
l'option Synchroniser les bases de données de mise en liste grise dans le cluster ESET.
42
4. Prise en main
La partie ci-dessous a pour but de vous aider à commencer à utiliser ESET Mail Security.
Tâches de post-installation
Destinée à vous aider pour la configuration initiale.
Surveillance
Donne une vue d'ensemble immédiate de l'état actuel de ESET Mail Security. En un clin d'œil, vous pouvez
déterminer si des problèmes requièrent votre attention.
Gérés via ESET Security Management Center
Vous pouvez utiliser ESET Security Management Center pour gérer ESET Mail Security à distance.
4.1 Tâches de post-installation
Vous trouverez ci-dessous les tâches recommandées qui couvrent la configuration initiale de ESET Mail Security.
Thème
Description
Activation du produit
Vérifiez que ESET Mail Security est activé. Vous pouvez procéder à l'activation
de plusieurs manières différentes.
Mettre à jour
Une fois le produit activé, la mise à jour des modules s'exécute
automatiquement. Vérifiez l'état de la mise à jour pour déterminer si la mise à
jour a été correctement effectuée.
Gestionnaire de quarantaine de
messages
Découvrez le gestionnaire de quarantaine de messages, accessible depuis
l'interface graphique du programme. Cette fonctionnalité permet de gérer les
messages mis en quarantaine tels que le courrier indésirable, les pièces jointes
infectées contenant des logiciels malveillants, les messages d'hameçonnage et
les messages filtrés par des règles. Vous pouvez afficher les détails de chaque
message et exécuter une action (libérer ou supprimer).
Interface Web Quarantaine de
messages
L'interface Web Quarantaine de messages est une solution que vous pouvez
utiliser à la place du gestionnaire de quarantaine de messages pour gérer à
distance les éléments mis en quarantaine. De plus, elle permet aux utilisateurs
(destinataires d'e-mails) de gérer leurs propres messages mis en quarantaine.
Les utilisateurs peuvent être informés du contenu mis en quarantaine grâce aux
rapports de mise en quarantaine des messages envoyés par e-mail. Il est
recommandé de configurer les rapports.
Rapports de mise en quarantaine Créez une tâche planifiée pour envoyer les rapports de mise en quarantaine à
de messages
vous-même et aux utilisateurs sélectionnés afin qu'ils puissent libérer
(diffuser) certains types de faux positifs et gérer le contenu mis en quarantaine
via l'interface Web Quarantaine de messages. Les utilisateurs pourront accéder
à l'interface Web en cliquant sur un lien contenu dans les rapports de mise en
quarantaine des messages et en se connectant à l'aide de leurs informations
d'identification de domaine.
Antispam - Filtrage et vérification La fonctionnalité Antispam est une fonction sophistiquée basée sur le cloud qui
empêche vos utilisateurs (destinataires d'emails) de recevoir du courrier
indésirable. Il est recommandé d'utiliser le filtrage et la vérification et d'ajouter
vos adresses IP locales à la liste des adresses IP ignorées. Les adresses IP de
votre infrastructure réseau seront alors ignorées lors de la classification. Vous
43
Thème
Description
pouvez configurer et gérer les listes Approuvés, Bloqués et Ignorés pour
personnaliser le filtrage et la vérification. Vous pouvez également activer la
mise en liste grise si vous décidez d'utiliser cette fonctionnalité.
Règles
Fonctionnalité puissante qui permet de filtrer les messages électroniques en
fonction de conditions et d'actions définies. Utilisez des règles prédéfinies
(modifiez-les si nécessaire) ou créez de nouvelles règles personnalisées pour
répondre à vos besoins. Les règles peuvent être configurées pour n'importe
quelle couche de protection (protection du transport des messages, protection
de la base de données de boîtes aux lettres ou analyse de la base de données
de boîtes aux lettres à la demande).
Test antivirus
Vérifiez que la protection antivirus fonctionne correctement.
Test antispam
Vérifiez que la protection antispam fonctionne correctement.
Test anti-hameçonnage
Vérifiez que l'anti-hameçonnage fonctionne correctement.
4.2 Gérés via ESET Security Management Center
ESET Security Management Center (ESMC) est une application qui permet de gérer les produits ESET de manière
centralisée dans un environnement réseau. Le système de gestion des tâches ESET Security Management Center
permet d'installer les solutions de sécurité ESET sur des ordinateurs distants et de réagir rapidement face aux
nouveaux problèmes et menaces. ESET Security Management Center n'offre pas de protection contre les codes
malveillants ; le produit repose sur la présence des solutions de sécurité ESET sur chaque client. Les solutions de
sécurité ESET prennent en charge les réseaux qui comprennent plusieurs types de plateformes. Votre réseau peut
comprendre une combinaison de systèmes d'exploitation actuels mobiles, Microsoft, Linux et Mac OS.
44
Pour plus d'informations sur ESMC, consultez l'aide en ligne d'ESET Security Management Center .
4.3 Supervision
L'état de protection indiqué dans la section Supervision vous informe sur le niveau de protection et de sécurité
actuel de votre ordinateur. La fenêtre principale affiche un résumé de l'état de fonctionnement de ESET Mail
Security.
L'icône verte d'état Vous êtes protégé indique qu'une protection maximale est assurée.
L'icône rouge indique des problèmes critiques ; la protection maximale de votre ordinateur n'est pas assurée.
Pour obtenir la liste des états de protection possibles, consultez la section État.
L'icône orange indique que votre produit ESET nécessite votre attention en raison d'un problème non critique.
Une coche verte s'affiche en regard des modules qui fonctionnent correctement. Un point d'exclamation rouge ou
une icône de notification orange s'affiche à côté des modules qui ne fonctionnent pas correctement. Des
informations supplémentaires sur le module s'affichent dans la partie supérieure de la fenêtre. Une suggestion de
solution pour corriger le module est également affichée. Pour changer l'état d'un module, cliquez sur Configuration
dans le menu principal puis sur le module souhaité.
La page Supervision contient également des informations sur le système :
·
·
·
·
Version du produit : numéro de version de ESET Mail Security.
Nom du serveur : nom d'hôte ou nom FQDN de l'ordinateur.
Système : informations sur le système d'exploitation.
Ordinateur : informations sur le matériel.
45
· Durée d'exécution du serveur : indique la durée d'exécution du système. Il s'agit de l'inverse du temps
d'arrêt.
Nombre de boîtes aux lettres
ESET Mail Security détecte le nombre de boîtes aux lettres et affiche le décompte en fonction de la détection :
· Domaine : nombre de toutes les boîtes aux lettres d'un domaine spécifique auquel appartient Exchange
Server.
· Local : indique le nombre de boîtes aux lettres (le cas échéant) du serveur Exchange Server sur lequel ESET
Mail Security est installé.
Si vous ne parvenez pas à résoudre le problème à l'aide des solutions suggérées, cliquez sur Aide et assistance pour
accéder aux fichiers d'aide ou pour effectuer des recherches dans la base de connaissances ESET . Si vous avez
besoin d'aide, vous pouvez envoyer une demande d'assistance . L'assistance technique ESET répondra très
rapidement à vos questions et vous permettra de trouver une solution.
4.3.1 État
La fenêtre principale affiche un résumé de l'état de ESET Mail Security contenant des informations détaillées sur
votre système. Normalement, lorsque tout fonctionne correctement, l'état de la protection est
vert. Il peut
toutefois changer dans certains cas. L'état de la protection devient
orange ou
d'avertissement s'affiche si l'un des événements suivants se produit :
rouge et un message
Message d'avertissement
Détail du message d'avertissement
Protection antivirus du serveur de
messagerie désactivée
Cliquez sur Activer la protection antivirus dans l'onglet Supervision ou
réactivez l'option Protection antivirus et antispyware dans le volet
Configuration de la fenêtre principale du programme.
Intégration du serveur de
messagerie désactivée
L'intégration du serveur de messagerie a été désactivée par l'utilisateur.
Cliquez sur Modifier la configuration de l'intégration pour activer la protection
du transport des messages.
Le moteur antispam dispose d'une Cette information indique des problèmes de connexion. Vérifiez que les ports
connexion limitée au cloud
adéquats sont activés.
La détection d'applications
Une application potentiellement indésirable est un programme qui contient
potentiellement indésirables n'est un logiciel publicitaire, installe des barres d'outils ou dont les objectifs ne
pas configurée
sont pas clairs. Dans certains cas, un utilisateur peut estimer que les avantages
offerts par une application potentiellement indésirable dépassent de loin les
risques.
Produit non activé ou licence
arrivée à expiration
Cette information est indiquée par l'icône d'état de la protection qui devient
rouge. Le programme ne peut plus effectuer de mise à jour après expiration
de la licence. Suivez les instructions de la fenêtre d'alerte pour renouveler la
licence.
ESET LiveGrid® est désactivé
Le problème est signalé quand ESET LiveGrid® est désactivé dans
Configuration avancée.
Protection en temps réel du
système de fichiers interrompue
Cliquez sur Activer la protection en temps réel dans l'onglet Supervision ou
réactivez l'option Protection en temps réel du système de fichiers dans
l'onglet Configuration de la fenêtre principale du programme.
46
Message d'avertissement
Détail du message d'avertissement
Le système d’exploitation n’est pas La fenêtre Mises à jour système affiche la liste des mises à jour disponibles
à jour
prêtes pour le téléchargement et l'installation.
Un redémarrage de l'ordinateur est Si vous souhaitez redémarrer votre système immédiatement, cliquez sur
nécessaire
Redémarrer l'ordinateur. Si vous envisagez de le redémarrer plus tard, cliquez
sur Ignorer.
Protection contre les attaques
réseau (IDS) interrompue
Cliquez sur Activer la protection contre les attaques réseau (IDS) pour
réactiver cette fonctionnalité.
Protection anti-botnet interrompue Cliquez sur Activer la protection anti-botnet pour réactiver cette
fonctionnalité.
Protection de l'accès Web
interrompue
Cliquez sur Activer la protection de l'accès Web dans l'onglet Supervision ou
réactivez l'option Protection de l'accès Web dans le volet Configuration de la
fenêtre principale du programme.
Protection anti-hameçonnage non
fonctionnelle
Cette fonctionnalité n'est pas fonctionnelle, car d'autres modules du
programme requis ne sont pas actifs.
Remplacement de la stratégie actif La configuration définie par la politique est remplacée de manière
temporaire, probablement jusqu'à la fin du dépannage. Si vous gérez ESET
Mail Security à l'aide d'ESMC et si une stratégie lui est affectée, le lien d'état
sera verrouillé (grisé) selon les fonctionnalités appartenant à la stratégie.
Si vous ne parvenez pas à résoudre un problème, effectuez des recherches dans la base de connaissances ESET . Si
vous avez besoin d'aide, vous pouvez envoyer une demande d'assistance . L'assistance technique ESET répondra
très rapidement à vos questions et vous permettra de trouver une solution.
47
4.3.2 Mise à jour Windows disponible
La fenêtre Mises à jour système affiche la liste des mises à jour disponibles prêtes pour le téléchargement et
l'installation. Le niveau de priorité de chaque mise à jour s'affiche à côté de son nom. Cliquez avec le bouton droit
sur une ligne de mise à jour et cliquez sur Informations supplémentaires pour afficher une fenêtre contextuelle
comportant des informations supplémentaires :
Cliquez sur Exécuter une mise à jour système pour ouvrir la fenêtre Windows Update et effectuer des mises à jour
du système.
48
5. Utilisation d'ESET Mail Security
Cette partie contient une description détaillée de l'interface utilisateur du programme et explique comment
utiliser ESET Mail Security.
L'interface utilisateur permet d'accéder rapidement aux fonctionnalités couramment utilisées :
·
·
·
·
·
·
·
Surveillance
Fichiers journaux
Analyser
Mettre à jour
Quarantaine de messages
Configuration
Outils
5.1 Analyser
L'analyseur à la demande est un composant important d'ESET Mail Security. Il permet d'analyser des fichiers et des
répertoires de votre ordinateur. Pour assurer la protection du réseau, il est essentiel que l'ordinateur soit analysé
non seulement en cas de suspicion d'une infection, mais aussi régulièrement dans le cadre de mesures de sécurité
routinières. Nous vous recommandons d'effectuer des analyses en profondeur de votre système de façon régulière
(une fois par mois, par exemple) afin de détectés les virus qui ne l'ont pas été par la protection en temps réel du
système de fichiers. Cela peut se produire si la protection en temps réel du système de fichiers était désactivée au
moment de l'infection, si le moteur de détection n'a pas été mis à jour ou si le fichier n'a pas été détecté lors de son
enregistrement sur le disque.
Sélectionnez les analyses à la demande disponibles pour ESET Mail Security :
Analyse de base de données de boîtes aux lettres
Permet d'exécuter une analyse de base de données à la demande. Vous pouvez choisir d'analyser des dossiers
publics, des serveurs de messagerie et des boîtes aux lettres. Vous pouvez également utiliser le Planificateur
pour exécuter une analyse de base de données à un moment spécifique ou lors d'un événement en particulier.
REMARQUE
Si vous exécutez Microsoft Exchange Server 2007, 2010, 2013 ou 2016, vous pouvez choisir entre la protection
de la base de données de boîtes aux lettres et une analyse de base de données à la demande. Sachez toutefois
qu'une seule de ces deux protections peut être active à la fois. Si vous choisissez d'utiliser l'analyse de base de
données à la demande, vous devez désactiver l'intégration de la protection de la base de données de boîtes
aux lettres dans Configuration avancée, sous Serveur. Sinon, l'analyse de base de données à la demande ne
sera pas disponible.
Analyse des boîtes aux lettres Office 365
Permet d'analyser les boîtes aux lettres distantes dans les environnements hybrides Office 365. Fonctionne de
la même manière que l'analyse de base de données de boîte aux lettres à la demande.
Analyse du stockage
Analyse tous les dossiers partagés sur le serveur local. Si l'option Analyse du stockage n'est pas disponible,
aucun dossier partagé ne se trouve sur le serveur.
Analyse de l'ordinateur
Permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers infectés sans intervention
de l'utilisateur. L'analyse de l'ordinateur présente l'intérêt d'être facile à utiliser et de ne pas nécessiter de
configuration détaillée. L'analyse vérifie tous les fichiers des disques locaux, et nettoie ou supprime
automatiquement les infiltrations détectées. Le niveau de nettoyage est automatiquement réglé sur sa valeur
par défaut. Pour plus d'informations sur les types de nettoyage, reportez-vous à la section Nettoyage.
49
REMARQUE
Nous recommandons d'exécuter une analyse d'ordinateur au moins une fois par mois. L'analyse peut être
configurée comme tâche planifiée dans Outils > Planificateur.
Analyse personnalisée
L'analyse personnalisée est une solution optimale si vous souhaitez spécifier des paramètres d'analyse tels que
les cibles et les méthodes d'analyse. L'analyse personnalisée a l'avantage de permettre la configuration précise
des paramètres d'analyse. Les configurations peuvent être enregistrées dans des profils d'analyse définis par
l'utilisateur, qui sont utiles pour effectuer régulièrement une analyse avec les mêmes paramètres.
REMARQUE
L'exécution d'analyses personnalisées de l'ordinateur n'est recommandée qu'aux utilisateurs chevronnés qui
maîtrisent l'utilisation de programmes antivirus.
Analyse de supports amovibles
Semblable à l'analyse intelligente, ce type d'analyse lance rapidement une analyse des supports amovibles (par
ex. CD/DVD/USB) qui sont connectés à l'ordinateur. Cela peut être utile lorsque vous connectez une clé USB à
un ordinateur et que vous souhaitez l'analyser pour y rechercher les logiciels malveillants et autres menaces
potentielles. Pour lancer ce type d'analyse, vous pouvez aussi cliquer sur Analyse personnalisée, puis
sélectionner Supports amovibles dans le menu déroulant Cibles à analyser et cliquer sur Analyser.
Analyse Hyper-V
Cette option s'affiche dans le menu uniquement si Hyper-V Manager est installé sur le serveur qui exécute ESET
Mail Security. L'analyse Hyper-V permet d'analyser les disques d'une machine virtuelle sur un serveur Microsoft
Hyper-V sans que le moindre agent ne soit installé sur cette machine virtuelle spécifique.
Répéter la dernière analyse
Répète la dernière opération d'analyse avec les mêmes paramètres.
REMARQUE
L'option Répéter la dernière analyse n'est pas disponible si l'analyse de base de données à la demande est
présente.
50
Vous pouvez utiliser des options et afficher plus d'informations sur les états d'analyse :
Glisser-déposer
des fichiers
Vous pouvez également placer des fichiers par glisser-déposer dans la fenêtre d'analyse de ESET
Mail Security. Ces fichiers seront analysés immédiatement à la recherche de virus.
Fermer/Fermer
tout
Fermeture des messages donnés.
États d'analyse
Permet d'afficher l'état de l'analyse initiale. Cette analyse s'est terminée ou a été interrompue
par l'utilisateur.
Afficher le
journal
Affiche des informations détaillées.
Plus d'infos
Permet, pendant l'analyse, d'afficher des informations détaillées telles que l'utilisateur qui a
exécuté l'analyse, le nombre d'objets analysés et la durée de l'analyse. Si l'analyse de base de
données à la demande est en cours, elle indique l'utilisateur qui a exécuté l'analyse, mais pas le
compte d'analyse de base de données proprement dit qui est utilisé pour établir la connexion à
EWS (Exchange Web Services) pendant l'analyse.
Ouvrir la fenêtre La fenêtre de progression de l'analyse indique l'état actuel de l'analyse, ainsi que des
d'analyse
informations sur le nombre de fichiers contenant du code malveillant qui sont détectés.
51
5.1.1 Fenêtre Analyse et journal d'analyse
La fenêtre d'analyse affiche les objets actuellement analysés, y compris leur emplacement, le nombre de menaces
détectées (le cas échéant), le nombre d'objets analysés et la durée de l'analyse. La partie inférieure de la fenêtre
est un journal d'analyse qui indique le numéro de version du moteur de détection, la date et l'heure du début de
l'analyse et la sélection de la cible.
Une fois l'analyse en cours, vous pouvez cliquer sur Suspendre si vous souhaitez interrompre temporairement
l'analyse. L'option Reprendre est disponible lorsque le processus d'analyse est interrompu.
Faire défiler le journal de l’analyse
Laissez cette option activée pour que les anciens journaux défilent automatiquement et pour consulter les
journaux actifs dans la fenêtre Fichiers journaux.
REMARQUE
il est normal que certains fichiers, protégés par mot de passe ou exclusivement utilisés par le système (en
général pagefile.sys et certains fichiers journaux), ne puissent pas être analysés.
Une fois l'analyse terminée, le journal d'analyse affiche toutes les informations pertinentes liées à l'analyse
spécifique.
52
Cliquez sur l'icône du commutateur
Filtrage pour ouvrir la fenêtre Filtrage du journal dans laquelle vous
pouvez définir des critères de filtrage ou de recherche. Pour afficher le menu contextuel, cliquez avec le bouton
droit sur une entrée de journal spécifique :
Action
Utilisation
Raccourci
Voir aussi
Filtrer les
Cette option active le filtrage des journaux et affiche uniquement Ctrl + Maj +
enregistreme les enregistrements du même type que celui sélectionné.
F
nts
identiques
Filtrer...
Après avoir cliqué sur cette option, la fenêtre Filtrage des journaux
permet de définir des critères de filtrage pour des entrées de
journal spécifiques.
Activer le
filtre
Active les paramètres du filtre. Lorsque vous activez le filtrage pour
la première fois, vous devez définir des paramètres.
Filtrage des
journaux
Désactiver le Désactive le filtrage (cette option revient à cliquer sur le
filtre
commutateur dans la partie inférieure).
Copier
Copie les informations des entrées sélectionnées/en surbrillance
dans le Presse-papiers.
Copier tout
Copie des informations de toutes les entrées dans la fenêtre.
Ctrl + C
53
Action
Utilisation
Exporter...
Exporte les informations des entrées sélectionnées/en surbrillance
dans un fichier XML.
Exporter
tout...
Exporte toutes les informations de la fenêtre dans un fichier XML.
Raccourci
Voir aussi
5.2 Fichiers journaux
Les fichiers journaux contiennent les événements importants qui se sont produits, fournissent un aperçu des
résultats d'analyse, des menaces détectées, etc. Les journaux constituent un outil puissant pour l'analyse système,
la détection de menaces et le dépannage. La consignation est toujours active en arrière-plan sans interaction de
l'utilisateur. Les informations sont enregistrées en fonction des paramètres de détail actifs. Il est possible de
consulter les messages texte et les journaux directement à partir de l'environnement ESET Mail Security ou de les
exporter pour les consulter à un autre endroit.
Sélectionnez le type de journal adéquat à partir du menu déroulant. Les journaux suivants sont disponibles :
Détections
Le journal des menaces contient des informations sur les infiltrations détectées par les modules ESET Mail
Security. Ces informations comprennent l'heure de détection, le nom de l'infiltration, l'emplacement, l'action
exécutée et le nom de l'utilisateur connecté au moment où l'infiltration a été détectée. Double-cliquez sur une
entrée du journal pour afficher son contenu dans une fenêtre distincte.
Événements
Toutes les actions importantes exécutées par ESET Mail Security sont enregistrées dans le journal des
événements. Le journal des événements contient des informations sur les événements qui se sont produits
dans le programme. Il permet aux administrateurs système et aux utilisateurs de résoudre des problèmes. Les
informations qu'il contient peuvent aider à trouver une solution à un problème qui s'est produit dans le
programme.
Analyse de l'ordinateur
Tous les résultats des analyses sont affichés dans cette fenêtre. Chaque ligne correspond à un seul contrôle
d'ordinateur. Double-cliquez sur une entrée pour afficher les détails de l'analyse correspondante.
Fichiers bloqués
Contient les entrées des fichiers ayant été bloqués et inaccessibles. Le protocole indique la raison du blocage et
le module source ayant bloqué le fichier, ainsi que l'application et l'utilisateur ayant exécuté le fichier.
Fichiers envoyés
Contient les entrées des fichiers de la protection dans le cloud, d'ESET Dynamic Threat Defense et d'ESET
LiveGrid®.
HIPS
Contient des entrées de règles spécifiques qui sont marquées pour enregistrement. Le protocole affiche
l'application qui a appelé l'opération, le résultat (si la règle a été autorisée ou bloquée), ainsi que le nom de la
règle créée.
Protection du réseau
Contient les entrées des fichiers qui ont été bloqués par Anti-botnet et le système IDS (protection contre les
attaques réseau).
Sites Web filtrés
Liste des sites Web bloqués par la protection de l'accès Web et l'antihameçonnage des messages. Ces journaux
affichent l'heure, l'URL, l'utilisateur et l'application ayant ouvert une connexion au site Web en question.
Contrôle de périphérique
54
Contient des enregistrements des supports amovibles ou périphériques qui ont été connectés à l'ordinateur.
Seuls les périphériques auxquels correspond une règle de contrôle de périphérique seront enregistrés dans le
fichier journal. Si la règle ne correspond pas à un périphérique connecté, aucune entrée de journal ne sera
créée pour un périphérique connecté. Des détails figurent également tels que le type de périphérique, le
numéro de série, le nom du fournisseur et la taille du support (le cas échéant).
Protection du serveur de messagerie
Tous les messages détectés par ESET Mail Security comme étant une infiltration ou du courrier indésirable sont
enregistrés ici. Ces journaux s'appliquent aux types de protection suivants : antispam, antihameçonnage, règles
et antivirus. Lorsque vous double-cliquez sur un élément, une fenêtre contextuelle s'ouvre. Elle contient des
informations supplémentaires sur le message électronique telles que l'adresse IP, le domaine HELO, l'ID de
message et le type d'analyse indiquant la couche de protection sur laquelle il a été détecté. Vous pouvez
également consulter les résultats de l'analyse antivirus, antihameçonnage et antispam et voir la raison pour
laquelle le message a été détecté et si une règle a été activée.
REMARQUE
Tous les messages traités ne sont pas enregistrés dans un journal de la protection du serveur de messagerie.
Toutefois, tous les messages qui ont été modifiés (pièce jointe supprimée, chaîne personnalisée ajoutée à un
en-tête de message, etc.) sont écrits dans le journal.
Analyse de base de données de boîtes aux lettres
Contient la version du moteur de détection, la date, l'emplacement analysé, le nombre d'objets analysés, le
nombre de menaces détectées, le nombre d'applications des règles et l'heure d'achèvement.
Protection SMTP
Tous les messages qui ont été évalués à l'aide de la méthode de mise en liste grises sont enregistrés dans ce
journal, ainsi que les messages évalués par la protection de rétrodiffusion et SPF. Chaque entrée contient le
domaine HELO, l'adresse IP de l'expéditeur et du destinataire, les états des actions (refusé, refusé (non vérifié)
et messages entrants vérifiés). Il existe une nouvelle action pour ajouter un sous-domaine mise en liste grise
dans la liste blanche (voir le tableau ci-dessous).
Analyse Hyper-V
Contient la liste des résultats d'analyse Hyper-V. Double-cliquez sur une entrée pour afficher les détails de
l'analyse correspondante.
55
Le menu contextuel (clic droit) permet de sélectionner une action sur l'entrée de journal sélectionnée :
Action
Utilisation
Afficher
Affiche des détails supplémentaires sur le journal sélectionné
dans une nouvelle fenêtre (identique à un double-clic).
Filtrer les
enregistrements
identiques
Cette option active le filtrage des journaux et affiche
uniquement les enregistrements du même type que celui
sélectionné.
Filtrer...
Après avoir cliqué sur cette option, la fenêtre Filtrage des
journaux permet de définir des critères de filtrage pour des
entrées de journal spécifiques.
Activer le filtre
Active les paramètres du filtre. Lorsque vous activez le filtrage
pour la première fois, vous devez définir des paramètres.
Raccourci
Ctrl + Maj +
F
Filtrage des
journaux
Désactiver le filtre Désactive le filtrage (cette option revient à cliquer sur le
commutateur dans la partie inférieure).
Copier
Copie les informations des entrées sélectionnées/en
surbrillance dans le Presse-papiers.
Copier tout
Copie des informations de toutes les entrées dans la fenêtre.
Supprimer
Supprime les entrées sélectionnées/en surbrillance. Cette
action requiert des privilèges d'administrateur.
56
Voir aussi
Ctrl + C
Action
Utilisation
Raccourci
Voir aussi
Supprimer tout
Supprime toutes les entrées de la fenêtre. Cette action
requiert des privilèges d'administrateur.
Exporter...
Exporte les informations des entrées sélectionnées/en
surbrillance dans un fichier XML.
Exporter tout...
Exporte toutes les informations de la fenêtre dans un fichier
XML.
Rechercher...
Ouvre la fenêtre Rechercher dans le journal qui permet de
définir des critères de recherche. Vous pouvez utiliser la
fonctionnalité de recherche pour trouver un enregistrement
spécifique même lorsque le filtrage est activé.
Ctrl + F
Rechercher dans le
journal
Suivant
Recherche l'occurrence suivante des critères de recherche
définis.
F3
Précédent
Recherche l'occurrence précédente.
Maj + F3
Ajouter l'adresse
IP à la liste
blanche de mise
en liste grise
Ajoute l'adresse IP de l'expéditeur à la liste blanche des
adresses IP. La liste blanche des adresses IP figure dans la
section Mise en liste grise et SPF de l'option Filtrage et
vérification. Cela s'applique aux éléments consignés par la
mise en liste grise ou SPF.
Ajouter le
domaine à la liste
blanche de mise
en liste grise et
SPF
Ajoute le domaine de l'expéditeur à la liste blanche des
domaines en adresses IP. Seul le domaine est ajouté, le sousdomaine est ignoré. Par exemple, si l'adresse de l'expéditeur
est sub.domain.com, seul domain.com est ajouté à la liste
blanche. La liste blanche des domaines en adresses IP figure
dans la section Mise en liste grise et SPF de l'option Filtrage et
vérification. Cela s'applique aux éléments consignés par la
mise en liste grise.
Ajouter le sousdomaine à la liste
blanche de mise
en liste grise et
SPF
Ajoute le sous-domaine de l'expéditeur à la liste blanche des
domaines en adresses IP. L'ensemble du domaine est ajouté, y
compris le sous-domaine (par exemple, sub.domain.com). Cela
vous donne plus de flexibilité pour le filtrage, si nécessaire. La
liste blanche des domaines en adresses IP figure dans la
section Mise en liste grise et SPF de l'option Filtrage et
vérification. Cela s'applique aux éléments consignés par la
mise en liste grise.
57
5.2.1 Filtrage des journaux
La fonctionnalité de filtrage des journaux vous permet de trouver les informations que vous recherchez, en
particulier lorsqu'il existe de nombreuses entrées. Elle permet de limiter les entrées de journal, par exemple, si
vous recherchez un type spécifique d'événement, d'état ou de période. Vous pouvez filtrer les entrées de journal
en spécifiant certaines options de recherche. Seules les entrées pertinentes (en fonction de ces options de
recherche) sont affichées dans la fenêtre Fichiers journaux.
Saisissez le mot-clé que vous recherchez dans le champ Rechercher le texte. Utilisez le menu déroulant Rechercher
dans les colonnes pour affiner votre recherche. Choisissez une ou plusieurs entrées dans le menu déroulant Types
d'entrée de journal. Définissez la Période à partir de laquelle vous souhaitez afficher les résultats. Vous pouvez
également utiliser d'autres options de recherche, telles que Mot entier ou Respecter la casse.
Rechercher le texte
Saisissez une chaîne (mot ou partie de mot). Seuls les enregistrements contenant cette chaîne sont affichés. Les
autres enregistrements sont omis.
Rechercher dans les colonnes
Sélectionnez les colonnes à prendre en compte lors de la recherche. Vous pouvez cocher une ou plusieurs
colonnes à utiliser pour la recherche.
Types d'enregistrements
Choisissez un ou plusieurs types d'entrée de journal dans le menu déroulant :
58
· Diagnostic - Consigne toutes les informations nécessaires au réglage du programme et de toutes les entrées
ci-dessus.
· Entrées informatives - Enregistre tous les messages d'information, y compris les messages de mises à jour
réussies et toutes les entrées ci-dessus.
· Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
· Erreurs - Enregistre les erreurs du type « Erreur de téléchargement du fichier » et les erreurs critiques.
· Critique - Consigne uniquement les erreurs critiques (erreur de démarrage de la protection antivirus).
Période
Définissez la période pour laquelle vous souhaitez afficher les résultats :
· Non spécifié (option par défaut) - N'effectue aucune recherche dans la période ; effectue une recherche dans
l'intégralité du journal.
· Jour antérieur
· Dernière semaine
· Dernier mois
· Période - Vous pouvez indiquer la période exacte (De : et À :) afin de filtrer les enregistrements
correspondant à la période indiquée.
Mot entier
Utilisez cette case à cocher si vous souhaitez rechercher des mots complets afin d'obtenir des résultats plus
précis.
Respect de la casse
Activez cette option s'il est important que vous utilisiez des majuscules ou des minuscules pendant le filtrage.
Une fois que vous avez configuré vos options de filtrage/recherche, cliquez sur OK pour afficher les entrées de
journal filtrées ou sur Rechercher pour lancer la recherche. La recherche dans les fichiers journaux s'effectue de
haut en bas, à partir de la position actuelle (de l'enregistrement sélectionné). La recherche s'arrête lorsqu'elle
trouve le premier enregistrement correspondant. Appuyez sur F3 pour rechercher l'enregistrement suivant ou
cliquez avec le bouton droit et sélectionnez Rechercher pour affiner vos options de recherche.
5.3 Mise à jour
Dans la section Mise à jour, vous pouvez connaître l'état actuel de la mise à jour de ESET Mail Security, notamment la
date et l'heure de la dernière mise à jour. La mise à jour régulière d'ESET Mail Security est la meilleure méthode
pour conserver le niveau maximum de sécurité de votre serveur. Le module de mise à jour veille à ce que le
programme soit toujours à jour de deux façons : en mettant à jour le moteur de détection et les composants
système. La mise à jour du moteur de détection et celle des composants du programme sont des opérations
importantes de la protection totale contre les attaques des codes malveillants.
REMARQUE
Si vous n'avez pas encore entré la clé de licence, vous ne pourrez pas recevoir de mises à jour et vous serez
invité à activer votre produit. Pour ce faire, accédez à Aide et assistance > Activer le produit.
59
Version actuelle
Version de la build ESET Mail Security.
Dernière mise à jour
Dernière mise à jour - Date de la dernière mise à jour. Vérifiez qu'il s'agit d'une date récente indiquant que les
modules sont à jour.
Dernière recherche de mises à jour
Date de la dernière tentative de mise à jour des modules.
Afficher tous les modules
Permet d'afficher la liste des modules installés.
Rechercher des mises à jour
La mise à jour des modules est une opération importante de la protection totale contre les attaques des codes
malveillants.
Modifier la fréquence des mises à jour
Vous pouvez modifier la fréquence de la tâche du planificateur Mise à jour automatique régulière.
Si vous ne recherchez pas des mises à jour dès que possible, l'un des messages d'erreur suivants s'affiche :
Message d'erreur
Descriptions
La mise à jour des modules
n'est plus à jour
Cette erreur apparaît après plusieurs tentatives infructueuses de mise à jour des
modules. Nous vous conseillons de vérifier les paramètres de mise à jour. Cette
erreur provient généralement de l'entrée incorrecte de données
d'authentification ou de la configuration incorrecte des paramètres de connexion.
60
Message d'erreur
Descriptions
Échec de la mise à jour des
modules : le produit n'est pas
activé
La clé de licence n'a pas été correctement saisie lors de la configuration des mises
à jour. Nous vous recommandons de vérifier vos données d'authentification. La
fenêtre Configuration avancée (F5) contient d'autres options de mise à jour. Dans
le menu principal, cliquez sur Aide et assistance > Gérer la licence pour saisir une
nouvelle clé de licence.
Une erreur s'est produite
Cette erreur peut être due aux paramètres de connexion Internet. Nous vous
pendant le téléchargement des recommandons de vérifier votre connectivité à Internet en ouvrant un site Web
fichiers de mise à jour
dans votre navigateur. Si le site Web ne s'ouvre pas, cela est probablement dû au
fait qu'aucune connexion à Internet n'est établie ou que votre ordinateur a des
problèmes de connectivité. Consultez votre fournisseur de services Internet si
vous n'avez pas de connexion Internet active.
Échec de la mise à jour des
modules
Erreur 0073
Cliquez sur Mise à jour > Rechercher des mises à jour. Pour plus d'informations,
consultez cet article de la base de connaissances .
REMARQUE
Les options du serveur proxy peuvent varier selon les profils de mise à jour. Si c'est le cas, configurez les
différents profils de mise à jour dans Configuration avancée (F5) en cliquant sur Mise à jour > Profil.
5.4 Quarantaine de messages
Les e-mails et leurs composants, comme les pièces jointes, sont mis dans la Quarantaine des messages au lieu de la
quarantaine des fichiers classique. La Quarantaine des messages permet de gérer plus facilement le courrier
indésirable, les pièces jointes infectées contenant des logiciels malveillants ou les messages d'hameçonnage. Il
existe plusieurs raisons différentes pour lesquelles les e-mails sont mis en quarantaine, en fonction du module de
protection ESET Mail Security qui gère le message (Antivirus, Antispam or Règles).
Filtrage par icône
Vous pouvez utiliser des icônes pour filtrer les messages afin d'afficher les pièces jointes, les e-mails ou les emails contenant des pièces jointes uniquement.
Intervalle de temps
Sélectionnez l'intervalle de temps pendant lequel vous souhaitez afficher les e-mails en quarantaine. Lorsque
vous sélectionnez Personnaliser, vous pouvez spécifier une plage (Date de début et Date de fin).
Recherche rapide
Saisissez une chaîne dans la zone de texte pour filtrer les messages électroniques affichés (toutes les colonnes
font l'objet d'une recherche).
Motif
Utilisez les cases à cocher pour filtrer davantage par type (courrier indésirable, logiciel malveillant, règle ou
hameçonnage).
IMPORTANT
Les données du gestionnaire de quarantaine de messages ne sont pas automatiquement mises à jour. Il est
recommandé de cliquer régulièrement sur Actualiser
quarantaine de messages.
pour afficher les éléments les plus récents dans la
61
Libérer
Libère l'e-mail pour le ou les destinataires d'origine à l'aide du répertoire de lecture et le supprime de la
quarantaine. Cliquez sur Oui pour confirmer l'action. Si l'élément mis en quarantaine est une pièce jointe du
dossier public ne prenant pas en charge les e-mails, le bouton Libérer n'est pas disponible.
REMARQUE
Lorsque vous libérez un message électronique de la quarantaine, ESET Mail Security ignore l'en-tête MIME To:,
car il peut être facilement usurpé. Il utilise à la place les informations de destinataire d'origine de la
commande RCPT TO:, acquises pendant la connexion SMTP. Le destinataire correct reçoit ainsi le message qui
est libéré de la quarantaine.
Supprimer
Supprime l'élément de la quarantaine. Cliquez sur Oui pour confirmer l'action. Les éléments supprimés via
l'interface utilisateur graphique sont retirés de la vue Quarantaine, mais toujours stockés. Ceux-ci sont
automatiquement supprimés ultérieurement (après 3 jours par défaut).
Restaurer vers
Cette option permet de restaurer une ou plusieurs pièces jointes à un emplacement spécifié. Elle est
disponible uniquement pour les pièces jointes (elle sera grisée pour les messages). Si vous devez traiter
l'intégralité du message, utilisez la fonction Libérer à cet effet.
Détails du message mis en quarantaine
Double-cliquez sur le message mis en quarantaine ou cliquez avec le bouton droit et sélectionnez Détails. Une
fenêtre indépendante s'ouvre alors. Elle contient des détails sur le message électronique mis en quarantaine.
Des informations supplémentaires sur l'e-mail figurent également dans l'en-tête de courrier électronique RFC.
Détails de la pièce jointe mise en quarantaine
62
Lorsqu'une pièce jointe fait l'objet d'un double-clic, la boîte de dialogue des détails est différente de celle d'un
message. Les en-têtes RFC ne sont pas disponibles, mais une zone comportant un texte d'enveloppe de pièce
jointe est affichée. Vous pouvez saisir un texte personnalisé d'enveloppe de pièce jointe lorsque vous la
libérez de la mise en quarantaine des messages.
Ces actions sont également disponibles dans le menu contextuel. Si vous le souhaitez, cliquez sur Libérer,
Supprimer ou Supprimer définitivement pour exécuter une action sur un message mis en quarantaine. Cliquez sur
Oui pour confirmer l'action. Si vous choisissez Supprimer définitivement, le message est également supprimé du
système de fichiers, contrairement à l'option Supprimer qui supprime l'élément de la vue du gestionnaire de
quarantaine de messages.
63
5.5 Configuration
La fenêtre du menu Configuration contient les sections suivantes :
·
·
·
·
·
Serveur
Ordinateur
Réseau
Internet et messagerie
Outils - Journalisation des données de diagnostic
Pour désactiver temporairement un module, cliquez sur la barre du curseur vert
opération peut diminuer le niveau de protection de l'ordinateur.
située en regard. Cette
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur la barre du curseur rouge
située en regard. Le composant revient à un état activé.
Pour accéder aux paramètres détaillés d'un composant de sécurité spécifique, cliquez sur l'icône représentant un
engrenage .
Importer/exporter les paramètres
Chargez les paramètres de configuration à l'aide d'un fichier de configuration .xml ou enregistrez les paramètres
de configuration actuels dans un fichier de configuration.
Configuration avancée
Configurez les paramètres et les options en fonction de vos besoins. Pour accéder à l'écran Configuration
avancée, appuyez sur F5 depuis n'importe où dans le programme.
64
5.5.1 Serveur
La liste des composants que vous pouvez activer/désactiver à l'aide de la barre du curseur
s'affiche. Pour
configurer les paramètres d'un élément spécifique, cliquez sur l'icône représentant un engrenage .
Protection antivirus
Vous protège des attaques contre le système en contrôlant les échanges de fichiers et de courrier, ainsi que les
communications Internet.
Protection antispam
Intègre différentes technologies (RBL, DNSBL, empreintes digitales, vérification de la réputation, analyse de
contenu, règles, création manuelle de liste blanche/noire, etc.) afin d'optimiser la détection des menaces par
e-mail.
Protection antihameçonnage
Analyse le corps des messages entrants pour les liens de de hameçonnage (URL).
Exclusions automatiques
Identifie les applications serveur et les fichiers du système d'exploitation serveur critiques, puis les ajoute
automatiquement à la liste des exclusions. Cette fonctionnalité réduira le risque de conflits potentiels et
augmentera les performances globales du serveur lors de l'exécution du logiciel antivirus.
Cluster
Permet de configurer et activer ESET Cluster.
5.5.2 Ordinateur
ESET Mail Security possède tous les composants nécessaires pour assurer la protection du serveur en tant
qu'ordinateur. Ce module permet d'activer/de désactiver et de configurer les composants suivants :
Protection en temps réel du système de fichiers
Tous les fichiers ouverts, créés ou exécutés sur l'ordinateur sont analysés pour y rechercher la présence
éventuelle de code malveillant. Pour la protection en temps réel du système de fichiers, il existe également
une option pour configurer ou modifier les exclusions. Cette option ouvre la fenêtre de configuration des
exclusions dans laquelle vous pouvez exclure de l'analyse des fichiers et des dossiers.
Contrôle de périphérique
Ce module permet d'analyser, de bloquer ou d'ajuster les filtres étendus/autorisations, et de définir les
autorisations des utilisateurs à accéder à un périphérique et à l'utiliser.
Système HIPS (Host Intrusion Prevention System)
Le système surveille les événements qui se produisent dans le système d'exploitation et réagit en fonction d'un
ensemble de règles personnalisées.
· Moteur d'analyse de mémoire avancé
· Bloqueur d'exploit
· Protection anti-ransomware
Mode de présentation
Fonctionnalité destinée aux utilisateurs qui ne veulent pas être interrompus lors de l'utilisation de leur logiciel.
Ils ne souhaitent pas être dérangés par des fenêtres contextuelles et veulent réduire les contraintes sur l'UC.
Vous recevez un message d'avertissement (risque potentiel de sécurité) et la fenêtre principale devient orange
lorsque le mode de présentation est activé.
Désactiver la protection antivirus et antispyware
Lorsque vous désactivez temporairement la protection antivirus et antispyware, vous pouvez sélectionner la
durée de désactivation du composant sélectionné dans le menu déroulant et cliquer sur Appliquer pour
65
désactiver le composant de sécurité. Pour réactiver la protection, cliquez sur Activer la protection antivirus et
antispyware ou utilisez la barre du curseur.
5.5.3 Réseau
Il autorise ou refuse les différentes connexions réseau en se basant sur vos règles de filtrage. Il fournit une
protection contre les attaques en provenance d'ordinateurs distants et permet de bloquer certains services
potentiellement dangereux.
Le module Réseau permet d'activer/de désactiver et de configurer les composants suivants :
Protection contre les attaques réseau (IDS)
Analyse le contenu du trafic réseau et protège contre les attaques réseau. Tout trafic considéré comme nuisible
sera bloqué..
Protection Anti-Botnet
Détection et blocage de la communication du botnet. Détecte rapidement et précisément les logiciels
malveillants sur le système.
Liste noire temporaire des adresses IP (adresses bloquées)
Afficher la liste des adresses IP qui ont été détectées comme source d'attaques et ajoutées à la liste noire pour
bloquer les connexions pendant une certaine période
Assistant de dépannage (applications ou périphériques récemment bloqués)
Permet de résoudre les problèmes de connectivité liés à la protection contre les attaques réseau.
5.5.3.1 Assistant de dépannage du réseau
L'Assistant de dépannage surveille toutes les connexions bloquées et vous guide tout au long du processus de
dépannage pour corriger les problèmes de protection contre les attaques réseau liées à des applications ou des
appareils spécifiques. Il vous propose ensuite un nouvel ensemble de règles à appliquer si vous les approuvez.
5.5.4 Internet et messagerie
Le module Internet et messagerie permet d'activer/de désactiver et de configurer les composants suivants :
Protection de l'accès Web
Si cette option est activée, tout le trafic HTTP ou HTTPS est analysé afin d'y rechercher des codes malveillants.
Protection du client de messagerie
Contrôle les communications reçues via les protocoles POP3 et IMAP.
Protection antihameçonnage
Vous protège des tentatives d'acquisition de mots de passe, de données bancaires ou d'autres informations
sensibles par des sites Web non légitimes se faisant passer pour des sites Web dignes de confiance.
66
5.5.5 Outils - Journalisation des données de diagnostic
Vous pouvez activer la journalisation des données de diagnostic lorsque vous avez besoin d'informations détaillées
sur le comportement d'une fonctionnalité spécifique de ESET Mail Security, lors de la résolution de problèmes par
exemple. Lorsque vous cliquez sur l'icône représentant un engrenage
pour lesquelles les journaux de diagnostic doivent être collectés.
, vous pouvez configurer les fonctionnalités
Vous pouvez choisir la durée de l'activation (10 minutes, 30 minutes, 1 heure, 4 heures, 24 heures, jusqu’au
redémarrage suivant du serveur ou de manière permanente). Une fois la journalisation des données de diagnostic
activée, ESET Mail Security collecte des journaux détaillés selon les fonctionnalités activées.
67
5.5.6 Importer et exporter les paramètres
La fonctionnalité Importer/Exporter les paramètres s'avère utile si vous devez sauvegarder la configuration actuelle
d'ESET Mail Security. Vous pouvez également utiliser la fonctionnalité d'importation pour distribuer/appliquer les
mêmes paramètres à d'autre(s) serveur(s) avec ESET Mail Security. Les paramètres sont exportés dans un fichier
.xml.
REMARQUE
Si vous ne disposez pas de suffisamment de droits pour écrire le fichier exporté dans le répertoire spécifié,
vous pouvez rencontrer une erreur lors de l'exportation des paramètres.
68
5.6 Outils
Les fonctionnalités suivantes sont disponibles pour l'administration d'ESET Mail Security :
·
·
·
·
·
·
·
·
·
·
·
Processus en cours
Regarder l'activité
Statistiques de protection
Cluster
ESET Shell
ESET Dynamic Threat Defense
ESET SysInspector
ESET SysRescue Live
Planificateur
Soumettre un échantillon pour analyse
Quarantaine
69
5.6.1 Processus en cours
Les processus en cours affichent les programmes ou processus en cours d'exécution sur votre ordinateur et informe
ESET immédiatement et en permanence de l'existence de nouvelles infiltrations. ESET Mail Security fournit des
informations détaillées sur l'exécution des processus afin de protéger les utilisateurs à l'aide de la technologie ESET
LiveGrid®.
REMARQUE
Les applications connues marquées Meilleure réputation (vert) sont saines (répertoriées dans la liste blanche)
et sont exclues de l'analyse, ce qui améliore la vitesse de l'analyse de l'ordinateur à la demande ou de la
protection en temps réel du système de fichiers sur votre ordinateur.
Réputation
Dans la majorité des cas, ESET Mail Security et la technologie ESET LiveGrid® déterminent la
réputation des objets sur la base d'une série de règles heuristiques qui examinent les
caractéristiques de chaque objet (fichiers, processus, clés de registre, etc.), puis qui évaluent le
potentiel d'activité malveillante. Cette analyse heuristique attribue aux objets un niveau de
réputation allant de 9 - meilleure réputation (vert) à 0 - plus mauvaise réputation (rouge).
Processus
Nom de l'image du programme ou du processus en cours d'exécution sur l'ordinateur. Vous
pouvez également utiliser le Gestionnaire de tâches pour afficher tous les processus en cours
d'exécution sur votre ordinateur. Vous pouvez ouvrir le Gestionnaire de tâches en cliquant avec le
bouton droit de la souris sur une zone vide de la barre des tâches, puis en cliquant sur
Gestionnaire de tâches ou en appuyant sur les touches Ctrl+Maj+Échap du clavier.
PID
ID des processus en cours d'exécution dans les systèmes d'exploitation Windows.
70
Réputation
Dans la majorité des cas, ESET Mail Security et la technologie ESET LiveGrid® déterminent la
réputation des objets sur la base d'une série de règles heuristiques qui examinent les
caractéristiques de chaque objet (fichiers, processus, clés de registre, etc.), puis qui évaluent le
potentiel d'activité malveillante. Cette analyse heuristique attribue aux objets un niveau de
réputation allant de 9 - meilleure réputation (vert) à 0 - plus mauvaise réputation (rouge).
Nombre
d'utilisateurs
Nombre d'utilisateurs utilisant une application donnée. Ces informations sont collectées par la
technologie ESET LiveGrid®.
Heure de la
détection
Durée écoulée depuis la détection de l'application par la technologie ESET LiveGrid®.
Nom de
l'application
Nom attribué à un programme auquel appartient ce processus.
REMARQUE
Une application marquée Inconnu (orange) n'est pas nécessairement un logiciel malveillant. Il s'agit
généralement d'une nouvelle application. Vous pouvez soumettre un échantillon pour analyse au laboratoire
ESET si ce fichier vous semble suspect. Si le fichier s'avère être une application malveillante, sa détection sera
ajoutée à l'une des prochaines mises à jour du moteur de détection.
Afficher les détails
Les informations suivantes apparaissent dans la partie inférieure de la fenêtre :
·
·
·
·
·
·
·
·
Chemin - Emplacement de l'application sur l'ordinateur.
Taille - Taille du fichier en Ko (kilo-octets) ou Mo (méga-octets).
Description - Caractéristiques du fichier basées sur sa description du système d'exploitation.
Réseaux Sociaux - Nom du fournisseur ou du processus de l'application.
Version - Informations fournies par l'éditeur de l'application.
Produit - Nom de l'application et/ou nom de l'entreprise.
Date de création - Date et heure de création d'une application.
Date de modification - Date et heure de dernière modification d'une application.
Ajouter aux exclusions des processus
Cliquez avec le bouton droit sur un processus dans la fenêtre Processus en cours pour l'exclure de l'analyse. Son
chemin sera ajouté à la liste des exclusions des processus.
5.6.2 Regarder l'activité
Pour regarder l'activité sous forme de graphique, sélectionnez une des activités suivantes dans le menu déroulant :
Activité du système de fichiers
Quantité de données lues ou écrites L'axe vertical du graphique représente les données lues (en bleu) et
écrites (en vert).
Activité réseau
Quantité de données envoyées reçues. L'axe vertical du graphique représente les données reçues (en bleu) et
les données envoyées (en vert).
Activité du serveur de messagerie
Quantité de données traitées par la protection du transport (en bleu) et la protection de base de données (en
vert).
71
Au bas du graphique figure une chronologie qui enregistre en temps réel l'activité du système de fichiers sur la base
de l'intervalle sélectionné. Pour modifier la fréquence des mises à jour, utilisez le menu déroulant Taux
d'actualisation.
Les options disponibles sont les suivantes :
1 seconde
Le graphique est actualisé toutes les secondes et la chronologie couvre les 10 dernières
minutes.
1 minute (24
dernières heures)
Le graphique est actualisé toutes les secondes et la chronologie couvre les 24 dernières
heures.
1 heure (dernier
mois)
Le graphique est actualisé toutes les heures et la chronologie couvre le dernier mois.
1 heure (mois
sélectionné)
Le graphique est actualisé toutes les heures et la chronologie couvre le mois sélectionné.
Sélectionnez un mois (et une année) dans le menu déroulant pour voir l'activité. Cliquez sur
Modifier.
72
5.6.3 Statistiques de protection
Pour afficher un graphique des données statistiques relatives aux modules de protection de ESET Mail Security,
sélectionnez le module de protection applicable dans le menu déroulant. Les statistiques comprennent des
informations telles que le nombre total d'objets analysés, le nombre d'objets infectés, le nombre d'objets nettoyés
et le nombre d'objets non infectés. Placez le pointeur de la souris sur un objet en regard du graphique pour afficher
uniquement les données correspondant à cet objet dans le graphique. Pour effacer les informations de statistique
pour le module de protection actuel, cliquez sur Réinitialiser. Pour effacer les données de tous les modules, cliquez
sur Réinitialiser tout.
Les graphiques statistiques suivants sont disponibles dans ESET Mail Security :
Antivirus et antispyware
Affiche le nombre d'objets infectés et nettoyés.
Protection du système de fichiers
Affiche les objets lus ou écrits dans le système de fichiers.
Protection Hyper-V
Affiche le nombre d'objets infectés, nettoyés et non infectés (sur les systèmes dotés d'Hyper-V uniquement).
Protection du client de messagerie
Affiche les objets envoyés ou reçus par les clients de messagerie.
Protection de l'accès Web et anti-hameçonnage
Affiche uniquement les objets téléchargés par des navigateurs Web.
Protection du serveur de messagerie
73
Affiche les statistiques antivirus et antispyware du serveur de messagerie.
Protection antispam du serveur de messagerie
Affiche l'historique des statistiques antispam. Le nombre Non analysé fait référence aux objets qui ont été
exclus de l'analyse (selon les règles, les messages internes, les connexions authentifiées, etc.).
Protection par mise en liste grise du serveur de messagerie
Inclut les statistiques de blocage du courrier indésirable générées par la méthode de liste grise.
Activité de la protection du transport des messages
Affiche les objets vérifiés/bloqués/supprimés par le serveur de messagerie.
Performances de la protection du transport des messages
Affiche les données traitées par VSAPI/l'agent de transport en o/s.
Activité de la protection de la base de données de boîtes aux lettres
Affiche les objets traités par VSAPI (nombre d'objets vérifiés, mis en quarantaine et supprimés).
Performances de la protection de la base de données de boîtes aux lettres
Affiche les données traitées par VSAPI (nombre de moyennes différentes pour aujourd'hui, les 7 derniers jours
et moyennes depuis la dernière réinitialisation).
5.6.4 Cluster
ESET Cluster est une infrastructure de communication P2P de la gamme des produits ESET pour
Microsoft Windows Server. ESET Cluster convient particulièrement bien si vous disposez d'une infrastructure
Exchange avec plusieurs serveurs tels qu'un DAG.
Cette infrastructure permet aux produits serveur d'ESET de communiquer les uns avec les autres et d'échanger des
données (configuration et notifications, par exemple) et peut synchroniser les bases de données de mise en liste
grise et les données nécessaires pour le fonctionnement correct d'un groupe d'instances de produit. Un exemple de
ce type de groupe peut être un groupe de nœuds dans un cluster de basculement Windows ou un cluster
d'équilibrage de la charge réseau doté de produits ESET et dans lequel la configuration des produits doit être
identique dans l'ensemble du cluster. ESET Cluster assure cette cohérence entre les instances.
REMARQUE
Les paramètres de l'interface utilisateur ne sont pas synchronisés entre les nœuds d'ESET Cluster.
Vous pouvez accéder à la page d'état ESET Cluster dans le menu principal en cliquant sur Outils > Cluster. Lorsque ce
produit est configuré correctement, la page d'état a cet aspect :
74
REMARQUE
La création d'ESET Clusters entre ESET Mail Security et ESET File Security pour Linux n'est pas pris en charge.
Lors de la configuration d'ESET Cluster, vous pouvez ajouter des nœuds de deux manières :
Détecter auto.
Ajoute automatiquement à ESET Cluster les nœuds déjà membres d'un cluster de basculement Windows/
d'équilibrage de la charge réseau.
Parcourir
Vous pouvez ajouter manuellement des nœuds en saisissant les noms des serveurs (membres d'un même
groupe de travail ou d'un même domaine).
REMARQUE
Les serveurs ne doivent pas obligatoirement être membres d'un cluster de basculement Windows/
d'équilibrage de la charge réseau pour utiliser la fonctionnalité ESET Cluster. Il n'est pas nécessaire que votre
environnement comporte un cluster de basculement Windows/d'équilibrage de la charge réseau pour que
vous puissiez utiliser les clusters ESET Cluster.
Une fois que vous avez ajouté des nœuds à ESET Cluster, l'étape suivante consiste à installer ESET Mail Security sur
chaque nœud. Cette installation est effectuée automatiquement lors de la configuration d'ESET Cluster.
Informations d'identification nécessaires pour une installation à distance d'ESET Mail Security sur d'autres nœuds du
cluster :
Domaine
Informations d'identification de l'administrateur du domaine.
75
Groupe de travail
Vous devez veiller à ce que tous les nœuds utilisent les mêmes informations d'identification de compte
d'administrateur local.
Dans ESET Cluster, vous pouvez également utiliser une combinaison de nœuds automatiquement ajoutés en tant
que membres d'un cluster de basculement Windows/d'équilibrage de la charge réseau existant et de nœuds
manuellement ajoutés (à condition qu'ils se trouvent dans le même domaine).
IMPORTANT
Il n'est pas possible de combiner des nœuds de domaine et des nœuds de groupe de travail.
L'utilisation d'ESET Cluster exige également que l'option Partage de fichiers et d'imprimantes soit activée dans le
Pare-feu Windows avant que ESET Mail Security ne soit poussé sur les nœuds d'ESET Cluster.
Vous pouvez ajouter à tout moment de nouveaux nœuds à un ESET Cluster existant en exécutant l'Assistant Cluster.
Importer des certificats
Les certificats servent à fournir une authentification forte de machine à machine lorsque le protocole HTTPS est
utilisé. Il existe une hiérarchie de certificats indépendante pour chaque cluster ESET. La hiérarchie possède un
certificat racine et un ensemble de certificats de nœud signés par le certificat racine. La clé privée du certificat
racine est détruite après la création de tous les certificats de nœud. Lorsque vous ajoutez un nouveau nœud au
cluster, une nouvelle hiérarchie de certificats est créée. Accédez au dossier qui contient les certificats (qui ont
été générés pendant l'Assistant Cluster). Sélectionnez le fichier de certificat et cliquez sur Ouvrir.
Détruire le cluster
Vous pouvez démanteler des ESET Cluster. Chaque nœud écrit alors un enregistrement sur la destruction d'ESET
Cluster dans son journal des événements. Ensuite, toutes les règles du pare-feu ESET sont supprimées du Parefeu Windows. Les anciens nœuds reviennent alors à leur état initial et peuvent être réutilisés dans un autre
ESET Cluster, si nécessaire.
5.6.4.1 Assistant Cluster - Sélectionner des nœuds
Lors de la configuration d'un ESET Cluster, la première étape consiste à ajouter des nœuds. Vous pouvez utiliser
l'option Détection automatique ou la commande Parcourir pour ajouter des nœuds. Vous pouvez également saisir le
nom du serveur dans la zone de texte, puis cliquer sur le bouton Ajouter.
Détecter auto.
Ajoute automatiquement les nœuds d'un cluster de basculement Windows/d'équilibrage de la charge réseau
existant. Le serveur à partir duquel vous créez l'ESET Cluster doit être membre de ce cluster de basculement
Windows/d'équilibrage de la charge réseau pour pouvoir ajouter automatiquement les nœuds. La
fonctionnalité Autoriser le contrôle à distance doit être activée dans les propriétés du cluster d'équilibrage de
la charge réseau afin qu'ESET Cluster puisse détecter correctement les nœuds. Une fois que vous disposez de la
liste des nœuds nouvellement ajoutés, vous pouvez supprimer les nœuds indésirables.
Parcourir
Permet de rechercher des ordinateurs et de les sélectionner dans un domaine ou un groupe de travail. Cette
méthode permet d'ajouter manuellement des nœuds à ESET Cluster. Une autre méthode pour ajouter des
nœuds consiste à saisir le nom d'hôte du serveur à ajouter, puis à cliquer sur Ajouter.
Charger
Permet d'importer la liste des nœuds depuis le fichier.
76
Pour modifier des nœuds de cluster dans la liste, sélectionnez le nœud que vous souhaitez supprimer, puis cliquez
sur Supprimer. Pour effacer entièrement la liste, cliquez sur Supprimer tout.
Si vous disposez déjà d'un ESET Cluster, vous pouvez à tout moment y ajouter de nouveaux nœuds. La procédure est
identique à celle décrite ci-dessus.
REMARQUE
Tous les nœuds qui sont conservés dans la liste doivent être en ligne et accessibles. Par défaut, Localhost est
ajouté aux nœuds du cluster.
5.6.4.2 Assistant Cluster - Paramètres du cluster
Définissez le nom d'un cluster et d'autres paramètres propres au réseau (si nécessaire).
Nom du cluster
Saisissez un nom pour le cluster, puis cliquez sur Suivant.
Port d'écoute - Le port par défaut est 9777
Si vous utilisez déjà le port 9777 dans votre environnement réseau, indiquez un autre numéro de port qui ne
sera pas utilisé.
Ouvrir le port dans le Pare-feu Windows
Lorsque cette option est sélectionnée, une règle est créée dans le Pare-feu Windows.
77
5.6.4.3 Assistant Cluster - Paramètres de configuration du cluster
Définissez le mode de distribution des certificats et l'installation ou non du produit sur les autres nœuds.
Distribution de certificats
· Automatique à distance : le certificat est installé automatiquement.
· Manuelle : cliquez sur Générer et sélectionnez le dossier dans lequel stocker les certificats. Les certificats
suivants sont créés : un certificat racine et un certificat pour chaque nœud, notamment pour celui (ordinateur
local) à partir duquel vous configurez ESET Cluster. Pour inscrire le certificat sur l'ordinateur local, cliquez sur
Oui.
Installation du produit sur les autres nœuds
· Automatique à distance - ESET Mail Security est installé automatiquement sur chaque nœud (à condition que
l'architecture des systèmes d'exploitation soit identique).
· Manuelle : installez manuellement ESET Mail Security (lorsque les architectures des systèmes d'exploitation
sont différentes sur certains nœuds, par exemple).
Transmettre la licence aux nœuds sans produit activé
ESET Security active automatiquement les solutions ESET installées sur les nœuds sans licence.
REMARQUE
Pour créer un ESET Cluster avec une architecture de système d'exploitation mixtes (32 et 64 bits), installez ESET
Mail Security manuellement. Les systèmes d'exploitation utilisés sont détectés lors des étapes suivantes. Ces
informations sont alors affichées dans la fenêtre de journal.
5.6.4.4 Assistant Cluster - Vérification des nœuds
Une fois les informations d'installation spécifiées, une vérification des nœuds est exécutée. Les informations
suivantes sont affichées dans le journal de vérification des nœuds :
·
·
·
·
·
·
·
78
Tous les nœuds existants sont en ligne.
Les nouveaux nœuds sont accessibles
Le nœud est en ligne.
Le partage administratif est accessible.
Une exécution à distance est possible.
Les versions de produit correctes (ou aucun produit) sont installées.
Les nouveaux certificats sont présents.
Le rapport est disponible une fois que la vérification des nœuds est terminée :
79
80
5.6.4.5 Assistant Cluster - Installation des nœuds
Lors de l'installation sur une machine distante pendant l'initialisation d'ESET Cluster, l'assistant tente de trouver le
programme d'installation dans le répertoire %ProgramData%\ESET\ESET Security\Installer. Si le package
d'installation ne figure pas dans ce répertoire, le système vous demande de localiser le fichier du programme
d'installation.
REMARQUE
Lorsque vous tentez d'utiliser une installation à distance automatique pour un nœud doté d'une autre
architecture (32 bits par rapport à 64 bits), le programme le détecte et vous invite à effectuer une installation
manuelle.
81
Une fois que vous avez correctement configuré ESET Cluster, il apparaît comme étant activé dans la page
Configuration > Serveur.
REMARQUE
Si une ancienne version de ESET Mail Security est déjà installée sur certains nœuds, le système vous informe
que la version la plus récente est requise sur ces machines. La mise à jour de ESET Mail Security peut entraîner
un redémarrage automatique.
82
Vous pouvez en outre vérifier son état actuel dans la page d'état du cluster (Outils > Cluster).
5.6.5 ESET Shell
eShell (abréviation d'ESET Shell) est une interface à ligne de commande pour ESET Mail Security. eShell s'utilise en
remplacement de l'interface utilisateur graphique et dispose de toutes les fonctionnalités et options proposées
normalement par cette interface. eShell vous permet de configurer et d'administrer l'intégralité du programme sans
avoir à utiliser l'interface utilisateur graphique.
Outre les fonctions et fonctionnalités disponible dans l'interface graphique, l'interface à ligne de commande vous
permet d'automatiser l'exécution de scripts afin de configurer et de modifier la configuration, ou encore d'effectuer
une opération. eShell est également utile pour les utilisateurs qui préfèrent les lignes de commande aux interfaces
graphiques.
REMARQUE
Pour bénéficier de toutes les fonctionnalités, ouvrez eShell en utilisant Exécuter en tant qu'administrateur.
Utilisez la même option lors de l'exécution d'une commande via Windows Command Prompt (cmd). Ouvrez
l'invite de commande en utilisant Exécuter en tant qu'administrateur. Si vous n'exécutez pas l'invite de
commande en tant qu'administrateur, vous ne pourrez pas exécuter des commandes en raison d'un manque
d'autorisations.
Le système eShell peut être exécuté de deux manières :
1. Mode interactif : ce mode est utile lorsque vous souhaitez utiliser régulièrement eShell (pas simplement
exécuter une seule commande), par exemple lorsque vous modifiez la configuration, affichez des journaux,
etc. Vous pouvez utiliser le mode interactif si vous ne connaissez pas encore toutes les commandes. Le
mode interactif simplifie la navigation dans eShell. Il affiche également les commandes que vous pouvez
utilisez dans un contexte défini.
83
2. Commande unique/mode de traitement par lots : vous pouvez utiliser ce mode si vous avez uniquement
besoin d'exécuter une commande sans passer au mode interactif de eShell. Pour ce faire, saisissez eshell
avec les paramètres appropriés dans l'invite de commande Windows.
EXEMPLE
eshell get status ou eshell set antivirus status disabled
Pour pouvoir exécuter certaines commandes (comme celles du deuxième exemple ci-dessus) en mode de
traitement par lots/script, vous devez configurer au préalable certains paramètres. Si vous n'effectuez pas cette
configuration, le message Accès refusé s'affiche pour des raisons de sécurité.
REMARQUE
Il est nécessaire de modifier les paramètres pour que les commandes eShell puissent être utilisées dans une
invite de commande Windows. Pour plus d'informations sur l'exécution de fichiers de commandes, cliquez ici.
Vous pouvez entrer en mode interactif de deux manières différentes dans eShell :
1. Par l'intermédiaire du menu Démarrer de Windows : Démarrer > Tous les programmes > ESET > ESET Mail
Security > ESET Shell
2. Dans une invite de commande Windows, saisissez eshell, puis appuyez sur la touche Entrée.
IMPORTANT
Si l'erreur 'eshell' is not recognized as an internal or external command s'affiche, c'est en raison du
non chargement de nouvelles variables d'environnement par votre système après l'installation de ESET Mail
Security. Vous pouvez ouvrir une nouvelle invite de commandes et réessayer de démarrer eShell. Si une
erreur s'affiche toujours ou si vous avez une installation minimale de ESET Mail Security, démarrez eShell à
l'aide d'un chemin absolu, par exemple "%PROGRAMFILES%\ESET\ESET Mail Security\eShell.exe" (vous devez
utiliser des "" pour que la commande fonctionne).
Lorsque vous exécutez eShell en mode interactif pour la première fois, l'écran de première exécution (guide)
s'affiche.
REMARQUE
Si vous souhaitez afficher ultérieurement cet écran de première exécution, tapez la commande guide. Il
présente des exemples de base concernant l'utilisation d'eShell avec une syntaxe, un préfixe, un chemin
d'accès à une commande, des formes abrégées, des alias, etc.
À la prochaine exécution d'eShell, cet écran s'affiche :
84
REMARQUE
Les commandes ne font pas la distinction entre les majuscules et les minuscules ; que vous saisissiez les noms
de commande en majuscules ou en minuscules, les commandes s'exécutent de la même manière.
Personnalisation d'eShell
Vous pouvez personnaliser eShell dans le contexte ui eshell. Vous pouvez configurer des alias, des couleurs, un
langage, une stratégie d'exécution pour les scripts, des paramètres pour les commandes masquées, etc.
5.6.5.1 Utilisation
Syntaxe
Pour qu'elles fonctionnent correctement, les commandes doivent avec une syntaxe correcte. Elles peuvent être
composées d'un préfixe, d'un contexte, d'arguments, d'options, etc. Voici la syntaxe générale utilisée dans eShell :
[<préfixe>] [<chemin de la commande>] <commande> [<arguments>]
Exemple (cette commande active la protection des documents) :
SET ANTIVIRUS DOCUMENT STATUS ENABLED
SET
- préfixe
- chemin vers une commande particulière, contexte auquel la commande appartient
STATUS - commande proprement dite
ENABLED - argument de la commande
ANTIVIRUS DOCUMENT
L'utilisation de la valeur ? en tant qu'argument pour une commande affiche la syntaxe de cette commande. Par
exemple, STATUS ? affiche la syntaxe de la commande STATUS :
SYNTAXE :
[get] | status
set status enabled | disabled
Vous pouvez constater que [get] est entre crochets. Cela indique que le préfixe get est l'option par défaut de la
commande status. En d'autres termes, lorsque vous exécutez la commande status sans indiquer de préfixe, la
commande utilise le préfixe par défaut (dans ce cas get status). Vous gagnerez du temps en n'indiquant pas de
85
préfixe. La valeur get est généralement le préfixe par défaut pour la plupart des commandes, mais vous devez
effectuer cette vérification pour chaque commande et vous assurer qu'il correspond bien à l'instruction que vous
souhaitez exécuter.
REMARQUE
Les commandes ne font pas la distinction entre les majuscules et les minuscules : que vous saisissiez les noms
de commande en majuscules ou en minuscules, les commandes s'exécutent de la même manière.
Préfixe/Opération
Un préfixe est une opération. Le préfixe GET fournit des informations sur la configuration d'une fonctionnalité de
ESET Mail Security ou indique l'état ( GET ANTIVIRUS STATUS affiche l'état de la protection en cours). La commande
SET (préfixe) configure la fonctionnalité ou change son état ( SET ANTIVIRUS STATUS ENABLED active la protection).
eShell vous permet d'utiliser ces préfixes. Les commandes peuvent prendre en charge ou ne pas prendre en charge
les préfixes :
GET
renvoie le parametre/l'état actuel
SET
définit la valeur/l'état
SELECT
sélectionne un élément
ADD
ajoute un élément
REMOVE
supprime un élément
CLEAR
supprime tous les éléments/fichiers
START
démarre une action
STOP
arrête une action
PAUSE
interrompt une action
RESUME
reprend une action
RESTORE
restaure les parametres/l'objet/le fichier par défaut
SEND
envoie un objet/fichier
IMPORT
importe d'un fichier
EXPORT
exporte dans un fichier
REMARQUE
Les préfixes tels que GET et SET sont utilisés avec de nombreuses commandes (certaines commandes telles
que EXIT n'utilisent pas de préfixe).
Chemin/Contexte de la commande
86
Les commandes sont placées dans des contextes qui constituent une arborescence. Le niveau supérieur de
l'arborescence est la racine. Lorsque vous exécutez eShell, vous vous trouvez au niveau racine :
eShell>
Vous pouvez exécuter la commande depuis cet emplacement ou saisir le nom du contexte dans l'arborescence pour
y accéder. Par exemple, lorsque vous saisissez le contexte TOOLS, toutes les commandes et sous-contextes
disponibles depuis cet emplacement sont répertoriés.
Les éléments en jaune correspondent aux commandes que vous pouvez exécuter et les éléments en gris sont des
sous-contextes que vous pouvez saisir. Un sous-contexte contient des commandes supplémentaires.
Si vous devez remonter d'un niveau, utilisez .. (deux points).
EXEMPLE
Par exemple, imaginons que vous vous trouvez à ce niveau :
eShell antivirus startup>
saisissez .. pour remonter d'un niveau à :
eShell antivirus>
Si vous souhaitez retourner au niveau racine depuis eShell antivirus startup> (soit deux niveaux en dessous de
la racine), tapez simplement .. .. (deux points et deux points séparés par un espace). Vous remontez alors de
deux niveaux, ce qui correspond dans ce cas à la racine. Utilisez une barre oblique inverse \ pour retourner
directement au niveau racine, quel que soit le niveau auquel vous vous trouvez dans l'arborescence. Si vous
souhaitez atteindre un contexte spécifique dans des niveaux supérieurs, utilisez le nombre adéquat de .. pour
accéder au niveau souhaité en employant un espace comme séparateur. Si vous souhaitez par exemple remonter de
trois niveaux, utilisez .. .. ..
Le chemin est relatif au contexte en cours. Si la commande est contenue dans le contexte en cours, n'indiquez pas
de chemin. Par exemple, pour exécuter GET ANTIVIRUS STATUS, saisissez :
- si vous êtes dans le contexte racine (la ligne de commande indique eShell>)
- si vous êtes dans le contexte ANTIVIRUS (la ligne de commande indique eShell antivirus>)
GET ANTIVIRUS STATUS
GET STATUS
87
- si vous êtes dans le contexte ANTIVIRUS
startup> )
.. GET STATUS
antivirus
STARTUP
(la ligne de commande indique eShell
Vous pouvez utiliser un point . au lieu de deux .., car un point est l'abréviation de deux points.
EXEMPLE
. GET STATUS
- si vous êtes dans le contexte ANTIVIRUS
STARTUP
(la ligne de commande indique eShell
antivirus startup> )
Argument
Un argument est une action qui peut être réalisée pour une commande particulière. Par exemple, la commande
CLEAN-LEVEL (située dans ANTIVIRUS REALTIME ENGINE ) peut être utilisée avec les arguments suivants :
- Pas de nettoyage
- Nettoyage normal
strict - Nettoyage strict
no
normal
Les arguments ENABLED ou DISABLED permettent d'activer ou de désactiver une fonctionnalité.
Forme abrégée/Commandes raccourcies
eShell vous permet de raccourcir les contextes, les commandes et les arguments (à condition que l'argument soit un
paramètre ou une autre option). Il n'est pas possible de raccourcir un préfixe ou un argument s'il s'agit d'une valeur
concrète telle qu'un nombre, un nom ou un chemin. Vous pouvez utiliser les chiffres 1 et 0 au lieu des arguments
enabled et disabled.
EXEMPLE
set status enabled
set status disabled
=>
set stat 1
=>
set stat 0
Voici des exemples de forme raccourcie :
EXEMPLE
set status enabled
=>
set stat en
add antivirus common scanner-excludes C:\path\file.ext
\file.ext
=>
add ant com scann C:\path
Si deux commandes ou contextes commencent par la même lettre, ABOUT et ANTIVIRUS, et que vous saisissez la
commande raccourcie A, eShell ne parvient pas à déterminer laquelle de ces deux commandes vous souhaitez
exécuter. Un message d'erreur s'affiche et répertorie les commandes commençant par un « A » pour que vous
puissiez sélectionner celle à exécuter :
eShell>a
La commande suivante n'est pas unique : a
Les commandes suivantes sont disponibles dans ce contexte :
ABOUT
- Affiche les informations sur le programme
ANTIVIRUS
88
- Passe au contexte antivirus
En ajoutant une ou plusieurs lettres ( AB au lieu de A) eShell exécute la commande ABOUT car cette commande est
unique.
REMARQUE
afin d'avoir la garantie qu'une commande s'exécute comme vous le souhaitez, il est recommandé de ne pas
abréger les commandes, les arguments, etc. et d'utiliser plutôt la forme complète. La commande s'exécute
alors exactement comme vous le souhaitez et vous évite de commettre des erreurs. Ce conseil s'applique
notamment pour les fichiers et les scripts de traitement par lots.
Saisie semi-automatique
Cette nouvelle fonctionnalité introduite avec eShell 2.0 ressemble beaucoup à la fonctionnalité de saisie semiautomatique de l'invite de commande Windows. Alors que l'invite de commande Windows effectue une saisie
semi-automatique des chemins d'accès aux fichiers, eShell effectue également une saisie semi-automatique des
noms de commande, de contexte et d'opération. La saisie semi-automatique des arguments n'est pas prise en
charge. Lorsque vous tapez une commande, appuyez sur Tab pour terminer la saisie ou parcourir les variantes
disponibles. Appuyez sur Maj+Tab pour parcourir les variantes dans le sens inverse. Le mélange d'une forme
abrégée et de la saisie semi-automatique n'est pas pris en charge. Utilisez une de ces deux options. Par exemple,
lorsque vous saisissez antivir real scan la frappe de la touche TAB ne donne aucun résultat. Saisissez plutôt
antivir et appuyez sur la touche TAB pour saisir automatiquement antivirus , tapez ensuite real + Tab et scan + Tab.
Vous pouvez ensuite parcourir toutes les variantes disponibles : scan-create, scan-execute, scan-open, etc.
Alias
Un alias est un autre nom qui peut être utilisé pour exécuter une commande (à condition que la commande dispose
d'un alias). Voici quelques alias par défaut :
- exit
- exit
(global) bye - exit
warnlog - tools log events
virlog - tools log detections
antivirus on-demand log - tools log scans
(global) close
(global) quit
"(global)" signifie que la commande peut être utilisée dans tous les emplacements, quel que soit le contexte
actuel. Une commande peut comporter plusieurs alias. Par exemple, la commande EXIT comporte les alias CLOSE,
QUIT et BYE . Si vous souhaitez quitter eShell, vous pouvez utiliser la commande EXIT proprement dite ou l'un de ses
alias. L'alias VIRLOG est attribué à la commande DETECTIONS qui se trouve dans le contexte TOOLS LOG. Les détections
de commande sont ainsi disponibles depuis le contexte ROOT, ce qui facilite l'accès (vous n'avez plus à saisir TOOLS
puis le contexte LOG et l'exécuter directement depuis ROOT).
eShell vous permet de définir vos propres alias. La commande ALIAS est accessible dans le contexte UI
ESHELL .
Paramètres protégés par mot de passe
Les paramètres d'ESET Mail Security peuvent être protégés par mot de passe. Vous pouvez définir un mot de passe à
l'aide de l'interface graphique utilisateur ou d'eShell à l'aide de la commande set ui access lock-password. Vous
devez ensuite saisir ce mot de passe de manière interactive pour certaines commandes (comme celles qui
permettent de modifier des paramètres ou des données). Si vous envisagez d'utiliser eShell pendant une longue
période et si vous ne souhaitez pas saisir le mot de passe de manière répétée, vous pouvez faire en sorte qu'eShell
mémorise le mot de passe à l'aide de la commande set password. Votre mot de passe est alors automatiquement
saisi pour chaque commande exécutée qui le demande. Le mot de passe est mémorisé jusqu'à ce que vous quittiez
eShell. Vous devez donc réutiliser la commande set password lorsque vous démarrez une nouvelle session et que
vous souhaitez qu'eShell mémorise le mot de passe.
Guide / Aide
Lorsque vous exécutez la commande GUIDE ou HELP, l'écran de première exécution apparaît et vous explique
comment utiliser eShell. Cette commande est disponible dans le contexte ROOT ( eShell>).
89
Historique de commande
eShell conserve un historique des commandes exécutées. Cet historique s'applique uniquement à la session
interactive eShell en cours. Lorsque vous quittez eShell, l'historique des commandes est supprimé. Utilisez les
flèches Haut et Bas de votre clavier pour parcourir l'historique. Lorsque vous avez localisé la commande que vous
recherchiez, vous pouvez la réexécuter ou la modifier sans avoir à saisir l'intégralité de la commande depuis le
début.
CLS/Effacement de l'écran
La commande CLS peut être utilisée pour effacer le contenu de l'écran. Cette commande fonctionne de la même
manière que l'invite de commande Windows ou que toute autre interface à ligne de commande.
EXIT/CLOSE/QUIT/BYE
Pour fermer ou quitter eShell, vous pouvez utiliser l'une de ces commandes ( EXIT, CLOSE, QUIT ou BYE).
5.6.5.2 Commandes
Cette section répertorie quelques commandes eShell de base, ainsi que des descriptions.
REMARQUE
Les commandes ne font pas la distinction entre les majuscules et les minuscules : que vous saisissiez les noms
de commande en majuscules ou en minuscules, les commandes s'exécutent de la même manière.
Exemples de commandes (contenues dans le contexte ROOT) :
ABOUT
Répertorie les informations sur le programme. Cette commande permet d'afficher les informations suivantes :
· Nom du produit de sécurité ESET installé et numéro de version
· Système d'exploitation et informations de base sur le matériel
· Nom d'utilisateur (domaine compris), nom complet de l'ordinateur (FQDN si le serveur appartient à un
domaine) et nom du siège
· Composants du produit de sécurité ESET installés et numéro de version de chaque composant
CHEMIN DE CONTEXTE :
root
PASSWORD
Normalement, lorsque vous exécutez des commandes protégées par mot de passe, vous êtes invité à taper un mot
de passe pour des raisons de sécurité. Il concerne les commandes qui désactivent la protection antivirus et qui
peuvent avoir une incidence sur la configuration du produit ESET Mail Security. Vous êtes invité à saisir un mot de
passe chaque fois que vous exécutez une commande de ce type. Afin d'éviter d'avoir à saisir un mot de passe à
chaque fois, vous pouvez définir ce mot de passe. Il sera mémorisé par eShell et saisi automatiquement à chaque
exécution d'une commande protégée par un mot de passe.
REMARQUE
Le mot de passe ne fonctionne que pour la session interactive eShell en cours. Lorsque vous quittez eShell, ce
mot de passe défini est supprimé. Lorsque vous redémarrez eShell, le mot de passe doit être redéfini.
Le mot de passe défini peut être également utilisé lors de l'exécution de fichiers de commandes/scripts non signés.
Veillez à définir la politique d'exécution du ESET Shell sur Accès complet lors de l'exécution de fichiers de
commandes non signés. Voici un exemple de fichier de traitement par lots :
90
eshell set password plain <yourpassword> "&" set status disabled
La commande concaténée ci-dessus définit un mot de passe et désactive la protection.
IMPORTANT
Il est recommandé d'utiliser des fichiers de commandes signés lorsque cela est possible. Vous évitez ainsi que
les mots de passe apparaissent en texte brut dans le fichier de commandes (en cas d'utilisation de la méthode
décrite ci-dessus). Pour plus d'informations, voir Fichiers de commandes/scripts (section Fichiers de
commandes signés).
CHEMIN DE CONTEXTE :
root
SYNTAXE :
[get] | restore password
set password [plain <password>]
OPÉRATIONS :
get
- Affiche le mot de passe
set
- Définit ou efface le mot de passe
restore
- Efface le mot de passe
ARGUMENTS :
plain
- Permet d'entrer le mot de passe en tant que paramètre
password
- Mot de passe
EXEMPLES :
set password plain <votre_mot_de_passe>
- Définit un mot de passe qui sera utilisé pour les commandes
protégées par mot de passe.
restore password
- Efface le mot de passe.
EXEMPLES :
- Utilisez cette commande pour définir si le mot de passe est configuré (le mot de passe
n'apparaît pas clairement ; il est remplacé par une série d'astérisques *). Si vous ne voyez aucun astérisque, cela
signifie qu'aucun mot de passe n'est défini.
get password
set password plain <votre_mot_de_passe>
restore password
- Utilisez cette commande pour configurer le mot de passe défini.
- Cette commande efface le mot de passe défini.
STATUS
Affiche des informations sur l'état en cours de la protection ESET Mail Security (identique à l'interface utilisateur
graphique).
CHEMIN DE CONTEXTE :
root
SYNTAXE :
91
[get] | restore status
set status disabled | enabled
OPÉRATIONS :
get
- Affiche l'état de la protection antivirus
set
- Désactive/Active la protection antivirus
restore
- Restaure les paramètres par défaut
ARGUMENTS :
disabled
enabled
- Désactive la protection antivirus
- Active la protection antivirus
EXEMPLES :
get status
- Affiche l'état de la protection en cours
set status disabled
restore status
- Désactive la protection
- Restaure la protection sur le paramètre par défaut (activée)
VIRLOG
Cette commande est un alias de la commande DETECTIONS. Elle est utile lorsque vous devez afficher des
informations sur les infiltrations détectées.
WARNLOG
Cette commande est un alias de la commande EVENTS. Elle est utile lorsque vous devez afficher des informations sur
différents événements.
5.6.5.3 Fichiers de commandes/scripts
Vous pouvez utiliser eShell comme outil de création de scripts puissant pour l'automatisation. Pour utiliser un
fichier de commandes dans eShell, créez-en un comportant un eShell et une commande.
EXEMPLE
eshell get antivirus status
Vous pouvez également créer une chaîne de commandes, ce qui est parfois nécessaire. Si vous souhaitez par
exemple obtenir le type d'une tâche planifiée spécifique, saisissez la commande suivante :
eshell select scheduler task 4 "&" get scheduler action
La sélection d'un élément (tâche numéro 4 dans le cas présent) ne s'applique généralement qu'à une instance
d'eShell en cours d'exécution. Si vous deviez exécuter ces commandes à la suite, la seconde commande échouerait
en affichant l'erreur « Aucune tâche n'est sélectionnée ou la tâche sélectionnée n'existe plus. »
Pour des raisons de sécurité, la stratégie d'exécution est définie par défaut sur Scripts limités. Vous pouvez ainsi
utiliser eShell comme outil de surveillance (dans ce cas, vous ne pouvez pas apporter de modifications à la
configuration de ESET Mail Security en exécutant un script). Si vous essayez d'exécuter un script avec des
commandes qui ont un impact sur la sécurité, comme la désactivation de la protection, le message Accès refusé
s'affiche. Il est recommandé d'utiliser des fichiers de commandes signés pour exécuter des commandes qui
apportent des modifications de configuration.
92
Pour modifier la configuration à l'aide d'une commande saisie manuellement dans l'invite de commande, vous
devez accorder un accès total à eShell (non recommandé) Pour accorder un accès total, utilisez la commande ui
eshell shell-execution-policy en mode interactif d'eShell ou via l'interface utilisateur graphique dans
Configuration avancée (F5)> Interface utilisateur > ESET Shell.
Fichiers de commandes signés
eShell vous permet de protéger les fichiers de commandes courants (*.bat) à l'aide d'une signature. Les scripts sont
signés à l'aide du mot de passe utilisé pour la protection des paramètres. Pour signer un script, vous devez activer
au préalable la protection des paramètres. Vous pouvez le faire dans l'interface graphique utilisateur ou dans eShell
à l'aide de la commande set ui access lock-password. Une fois que le mot de passe de protection des paramètres
est configuré, vous pouvez commencer à signer les fichiers de commandes.
REMARQUE
Si vous modifiez le mot de passe de protection des paramètres, vous devez resigner tous les scripts (sinon, les
scripts ne peuvent plus être exécutés), car le mot de passe saisi lors de la signature d'un script doit
correspondre au mot de passe de protection des paramètres sur le système cible.
Pour signer un fichier de commandes, exécutez sign <script.bat> à partir du contexte racine d'eShell, où script.bat
correspond au chemin d'accès au script à signer. Saisissez le mot de passe qui sera utilisé pour la signature, puis
confirmez-le. Ce mot de passe doit correspondre au mot de passe de protection des paramètres. Une signature est
placée dans la partie inférieure du fichier de commandes sous forme de commentaire. Si le script a déjà été signé,
sa signature est remplacée par la nouvelle.
REMARQUE
Lorsque vous modifiez un fichier de commandes signé, vous devez le resigner.
Pour exécuter un fichier de commandes signé à partir de l'invite de commande Windows ou en tant que tâche
planifiée, utilisez la commande suivante :
eshell run <script.bat>
, où script.bat correspond au chemin d'accès au fichier de commandes.
EXEMPLE
eshell run d:\myeshellscript.bat
5.6.6 ESET Dynamic Threat Defense
ESET Dynamic Threat Defense (EDTD) offre une autre couche de sécurité en utilisant la technologie ESET Cloud
avancée pour détecter les menaces nouvelles. Il s'agit d'un service payant. Bien qu'il soit similaire à ESET LiveGrid®,
ESET Dynamic Threat Defense permet d'être protégé contre les conséquences possibles liées aux nouvelles
menaces. SiESET Dynamic Threat Defense détecte du code ou un comportement suspect, il empêche toute activité
de la menace en la plaçant temporairement dans la quarantaine ESET Dynamic Threat Defense. Un échantillon
suspect (fichier ou e-mail) est automatiquement envoyé à ESET Cloud où le serveur ESET Dynamic Threat Defense
l'analyse à l'aide de ses moteurs de détection de logiciels malveillants les plus récents. Pendant que les fichiers ou
les e-mails sont dans la quarantaine ESET Dynamic Threat Defense, ESET Mail Security attend les résultats du serveur
ESET Dynamic Threat Defense. Une fois l'analyse terminée, ESET Mail Security reçoit un rapport comportant un
résumé du comportement de l'échantillon observé. Si l'échantillon s'avère inoffensif, il est libéré de la quarantaine
ESET Dynamic Threat Defense, sinon il y reste. S'il s'agit d'un faux positif et que vous êtes sûr que le fichier ou l'email ne constitue pas une menace, vous pouvez le libérer manuellement de la quarantaine ESET Dynamic Threat
Defense avant que ESET Mail Security reçoive les résultats du serveur ESET Dynamic Threat Defense.
93
Les résultats ESET Dynamic Threat Defense pour les échantillons sont généralement donnés en quelques minutes
pour les e-mails. Toutefois, l'intervalle d'attente par défaut est défini sur 5 minutes. Dans de rares cas, lorsque les
résultats ESET Dynamic Threat Defense ne sont pas donnés dans l'intervalle, le message est libéré. Vous pouvez
changer l'intervalle selon vos préférences (entre 5 et 60 minutes, par incréments de 1 minute).
La fonctionnalité ESET Dynamic Threat Defense est visible dans ESET Mail Security, quel que soit son état
d'activation. Si vous ne possédez pas de licence, ESET Dynamic Threat Defense est inactif. La licence ESET Dynamic
Threat Defense est gérée par ESET Security Management Center et l'activation doit être effectuée dans ESET
Security Management Center à l'aide d'une politique.
Une fois ESET Dynamic Threat Defense activé, votre profil ESET Dynamic Threat Defense est créé sur le serveur ESET
Dynamic Threat Defense. Ce profil stocke tous les résultats d'analyse ESET Dynamic Threat Defense pour les
échantillons envoyés par ESET Mail Security.
Pour que la fonction ESET Dynamic Threat Defense soit opérationnelle, les critères suivants doivent être respectés :
ESET Mail Security gérés via ESET Security Management Center
ESET Mail Security est activé à l'aide d'une licence ESET Dynamic Threat Defense
Activez ESET Dynamic Threat Defense dans ESET Mail Security à l'aide d'une politique ESET Security Management
Center
Vous pouvez alors tirer parti de ESET Dynamic Threat Defense et envoyer manuellement un échantillon pour qu'il
soit analysé par ESET Dynamic Threat Defense .
94
5.6.7 ESET SysInspector
ESET SysInspector est une application qui inspecte méticuleusement votre ordinateur, réunit des informations
détaillées sur les composants système, tels que pilotes et applications installés, connexions réseau ou entrées de
registre importantes, puis évalue le niveau de risque de chaque composant. Ces informations peuvent aider à
déterminer la cause d'un comportement suspect du système pouvant être dû à une incompatibilité logicielle ou
matérielle, ou à une infection par un logiciel malveillant.
Cliquez sur Créer et entrez un bref commentaire décrivant le journal à créer. Patientez jusqu'à ce que le journal ESET
SysInspector soit généré (l'état indique Créé). Selon la configuration matérielle et les données système, la création
du journal peut prendre un certain temps.
La fenêtre ESET SysInspector affiche les informations suivantes relatives aux journaux créés :
·
·
·
·
Heure - Heure de création du journal.
Commentaire - Bref commentaire.
Utilisateur - Nom de l'utilisateur qui a créé le journal.
État - État de création du journal.
Les actions disponibles sont les suivantes :
· Afficher - Ouvre le journal créé. Vous pouvez également cliquer avec le bouton droit sur un journal, puis
sélectionner Afficher dans le menu contextuel.
· Comparer - Compare deux journaux existants.
· Créer - Crée un journal. Saisissez un bref commentaire décrivant le journal à créer et cliquez sur Créer.
Veuillez patienter jusqu'à ce que le journal ESET SysInspector soit prêt (l'option État indique Créé).
· Supprimer - Supprime les journaux sélectionnés de la liste.
En cliquant avec le bouton droit de la souris sur un ou plusieurs journaux sélectionnés, vous ouvrez un menu
contextuel qui donne accès aux options suivantes :
· Afficher - Ouvre le journal sélectionné dans ESET SysInspector (équivaut à double-cliquer sur un journal).
· Comparer - Compare deux journaux existants.
· Créer - Crée un journal. Saisissez un bref commentaire décrivant le journal à créer et cliquez sur Créer.
Veuillez patienter jusqu'à ce que le journal ESET SysInspector soit prêt (l'option État indique Créé).
· Supprimer - Supprime les journaux sélectionnés de la liste.
· Supprimer tout - Supprime tous les journaux.
· Exporter - Exporte le journal dans un fichier .xml ou .xml compressé.
5.6.8 ESET SysRescue Live
ESET SysRescue Live est un utilitaire gratuit qui permet de créer un CD/DVD ou un lecteur USB de secours amorçable.
Vous pouvez démarrer un ordinateur infecté à partir de votre support de secours pour rechercher des logiciels
malveillants et nettoyer les fichiers infectés.
Le principal avantage d'ESET SysRescue Live réside dans le fait que la solution est exécutée indépendamment du
système d'exploitation hôte, tout en ayant un accès direct au disque et au système de fichiers. Il est par conséquent
possible de supprimer les menaces qui ne pourraient normalement pas être supprimées (par exemple lorsque le
système d'exploitation est en cours d'exécution, etc.).
95
5.6.9 Planificateur
Le Planificateur gère et lance des tâches planifiées en fonction de paramètres définis. Vous pouvez afficher une
liste de toutes les tâches planifiées sous la forme d'un tableau qui contient leurs paramètres (type et nom de la
tâche, heure de lancement et dernière exécution, par exemple). Vous pouvez également créer des tâches
planifiées en cliquant sur Ajouter une tâche. Pour modifier la configuration d'une tâche planifiée existante, cliquez
sur le bouton Modifier. Restaurez les paramètres par défaut de la liste des tâches planifiées, cliquez sur Par défaut
et sur Rétablir les paramètres par défaut. Toutes les modifications apportées seront perdues (cette opération ne
peut pas être annulée).
Il existe un ensemble de tâches par défaut prédéfinies :
·
·
·
·
·
·
Maintenance des journaux
Mise à jour automatique régulière (utilisez cette tâche pour mettre à jour la fréquence)
Mise à jour automatique après une connexion d’accès à distance
Mise à jour automatique après connexion de l’utilisateur
Vérification des fichiers de démarrage (après l'ouverture de session de l'utilisateur)
Vérification des fichiers de démarrage (après la réussite de la mise à jour des modules)
REMARQUE
Cochez les cases appropriées pour activer ou désactiver les tâches.
Pour effectuer les actions suivantes, cliquez avec le bouton droit sur une tâche :
96
Afficher les
détails des
tâches
Affiche des informations détaillées sur une tâche planifiée lorsque vous double-cliquez ou
cliquez avec le bouton droit sur celle-ci.
Exécuter
maintenant
Exécute une tâche de planificateur sélectionnée et l'effectue immédiatement.
Ajouter...
Lance un assistant qui permet de créer une nouvelle tâche de planificateur.
Modifier...
Permet de modifier la configuration d'une tâche planifiée existante (par défaut et définie par
l'utilisateur).
Supprimer
Supprime une tâche existante.
5.6.9.1 Planificateur - Ajouter une tâche
Pour créer une tâche planifiée :
1. Cliquez sur Ajouter une tâche.
2. Saisissez un nom de tâche et configurez votre tâche planifiée personnalisée.
3. Type de tâche : sélectionnez le type de tâche applicable dans le menu déroulant.
REMARQUE
Pour désactiver une tâche, cliquez sur la barre du curseur en regard de l'option Activée. Pour activer la tâche
ultérieurement, cochez la case de la vue Planificateur.
4. Planification de la tâche : sélectionnez l'une des options à définir lorsque vous souhaitez exécuter votre
tâche. Selon votre choix, vous serez invité à choisir une heure, un jour, un intervalle ou un événement
spécifique.
97
5. Tâche ignorée : si la tâche n'a pas pu être exécutée au moment défini, vous pouvez désigner le moment
auquel elle doit être exécutée.
6. Exécuter l'application : si la tâche est planifiée pour exécuter une application externe, choisissez un fichier
exécutable dans l'arborescence.
7. Si vous devez apporter des modifications, cliquez sur Précédent pour revenir aux étapes précédentes et
modifier les paramètres.
8. Cliquez sur Terminer pour créer la tâche ou appliquer les modifications.
La nouvelle tâche planifiée apparaît dans la vue Planificateur.
98
5.6.9.1.1 Type de tâche
L'assistant de configuration est différent pour chaque type de tâche d'une tâche planifiée. Saisissez le nom de la
tâche, puis sélectionnez le type de tâche de votre choix dans le menu déroulant :
· Exécuter une application externe : permet de planifier l'exécution d'une application externe.
· Maintenance des journaux : les fichiers journaux contiennent également des éléments provenant d'entrées
supprimées. Cette tâche optimise régulièrement les entrées des fichiers journaux pour garantir leur
efficacité.
· Contrôle des fichiers de démarrage du système : vérifie les fichiers autorisés à s'exécuter au démarrage du
système ou lors de l'ouverture de session de l'utilisateur.
· Créer un instantané du statut de l'ordinateur : crée un instantané ESET SysInspector de l'ordinateur et collecte
des informations détaillées sur les composants système (pilotes, applications) et évalue le niveau de risque
de chacun de ces composants.
· Analyse de l'ordinateur à la demande : effectue une analyse des fichiers et des dossiers de votre ordinateur.
· Mise à jour : planifie une tâche de mise à jour pour effectuer une mise à jour du moteur de détection et des
modules de l'application.
· Analyse de base de données de boîtes aux lettres : permet de planifier une analyse de base de données et de
choisir les éléments à analyser. C'est une analyse de base de données à la demande.
REMARQUE
Si la protection de la base de données de boîtes aux lettres est activée, vous pouvez toujours planifier cette
tâche, mais le message d'erreur Analyse de base de données de boîtes aux lettres - Analyse interrompue en
raison d'une erreur s'affichera dans la section Analyse de l'interface utilisateur graphique principale. Pour
éviter cette erreur, assurez-vous que la protection de la base de données de boîtes aux lettres est désactivée
pendant la période au cours de laquelle l'analyse de base de données de boîtes aux lettres est planifiée.
· Envoyer les rapports de mise en quarantaine des messages : planifie l'envoi d'un rapport de mise en
quarantaine des messages par courrier électronique.
· Envoyer les rapports administrateur de mise en quarantaine des messages : planifie l'envoi d'un rapport de
mise en quarantaine des messages par courrier électronique.
· Analyse en arrière-plan : permet à Exchange Server d'exécuter une analyse en arrière-plan de base de
données si nécessaire.
· Analyse Hyper-V : permet de planifier une analyse des disques virtuels dans Hyper-V.
· Analyse Office 365 : permet de planifier une analyse des environnements hybrides Office 365.
Pour désactiver une tâche lorsqu'elle a été créée, cliquez sur le commutateur en regard de l'option Activée. Pour
activer la tâche ultérieurement, cochez la case de la vue Planificateur. Cliquez sur Suivant pour passer à l'étape
suivante.
99
5.6.9.1.2 Planification de la tâche
Sélectionnez l'une des fréquences suivantes :
· Une fois : la tâche n'est exécutée qu'une seule fois, à la date et à l'heure spécifiées. Pour exécuter la tâche
une seule fois, à un moment donné, spécifiez la date et l'heure de début dans Exécution de la tâche.
· Plusieurs fois : la tâche est exécutée aux intervalles indiqués (exprimés en minutes). Indiquez l'heure à
laquelle la tâche sera exécutée tous les jours dans Exécution de la tâche.
· Quotidiennement : la tâche est exécutée tous les jours à l'heure définie.
· Hebdomadaire : la tâche est exécutée une ou plusieurs fois par semaine, au(x) jour(s) et à l'heure indiqués.
Pour exécuter la tâche plusieurs fois certains jours de la semaine uniquement en commençant par le jour et
l'heure spécifiés, indiquez l'heure de début dans l'heure d'exécution de la tâche. Sélectionnez le ou les jours
de la semaine pendant lesquels la tâche doit être exécutée.
· Déclenchée par un événement - La tâche est exécutée après un événement particulier.
Si vous activez l'option Ignorer la tâche en cas d’alimentation par batterie, une tâche ne démarre pas si le système
est alimenté par batterie au moment de l'exécution prévue. Cela s'applique aux systèmes UPS, par exemple.
5.6.9.1.3 Déclenchée par un événement
Lors de la planification d'une tâche déclenchée par un événement, vous pouvez indiquer l'intervalle minimum entre
deux exécutions de la tâche.
La tâche peut être déclenchée par l'un des événements suivants :
· Chaque fois que l'ordinateur démarre
· Chaque jour au premier démarrage de l'ordinateur
· Connexion commutée à Internet/VPN
· Mise à jour du module réussie
· Mise à jour du produit réussie
· Ouverture de session de l'utilisateur : la tâche est déployée lorsque l'utilisateur ouvre une session sur le
système. Si vous ouvrez une session sur l'ordinateur plusieurs fois par jour, choisissez un intervalle de
24 heures afin de réaliser la tâche uniquement à la première ouverture de session de la journée, puis le
lendemain.
· Détection de menaces
5.6.9.1.4 Exécuter l’application
Cette tâche permet de planifier l'exécution d'une application externe.
· Fichier exécutable : choisissez un fichier exécutable dans l'arborescence, cliquez sur Parcourir (...) ou saisissez
le chemin manuellement.
· Dossier de travail : définissez le répertoire de travail de l'application externe. Tous les fichiers temporaires
du fichier exécutable sélectionné sont créés dans ce répertoire.
· Paramètres : paramètres de ligne de commande de l'application (facultatif).
100
5.6.9.1.5 Tâche ignorée
Si la tâche n'a pas pu être exécutée au moment défini, vous pouvez désigner le moment auquel elle doit être
exécutée :
· À la prochaine heure planifiée - La tâche est exécutée à l'heure indiquée (après 24 heures, par exemple).
· Dès que possible - La tâche s'exécute dès que possible, c'est-à-dire dès que les actions qui empêchent son
exécution ne sont plus valides.
· Exécuter la tâche immédiatement si le temps écoulé depuis la dernière exécution dépasse l'intervalle
spécifié - Durée écoulée depuis la dernière exécution (heures) - Lorsque vous sélectionnez cette option,
votre tâche est toujours répétée après le nombre d'heures indiqué.
5.6.9.1.6 Aperçu des tâches planifiées
Cette boîte de dialogue affiche des informations détaillées sur une tâche planifiée lorsque vous double-cliquez sur
celle-ci dans la vue Planificateur. Vous pouvez également afficher ces informations en cliquant avec le bouton droit
sur la tâche et en choisissant Afficher les détails des tâches.
5.6.10 Soumettre les échantillons pour analyse
La boîte de dialogue de soumission d'échantillons permet d'envoyer un fichier ou un site à ESET pour analyse. Si
vous trouvez sur votre ordinateur un fichier dont le comportement est suspect, soumettez-le au laboratoire de
recherche sur les menaces d'ESET pour analyse. Si le fichier s'avère être une application malveillante, la détection
sera intégrée à une prochaine mise à jour.
Pour soumettre le fichier par e-mail, compressez le ou les fichiers à l'aide de WinRAR ou de WinZip, protégez
l'archive à l'aide du mot de passe infected et envoyez-la à [email protected]. Utilisez un objet descriptif et
indiquez le plus d'informations possible sur le fichier (notez par exemple le site Internet à partir duquel vous l'avez
téléchargé).
Avant de soumettre un échantillon à ESET, assurez-vous qu'il répond à l'un ou les deux critères suivants :
· Le fichier ou le site Web n'est pas du tout détecté.
· Le fichier ou le site Web est détecté à tort comme une menace.
Si au moins l'une des exigences ci-dessus n'est pas satisfaite, vous ne recevrez pas de réponse tant que des
informations complémentaires n'auront pas été fournies.
Sélectionnez la description correspondant le mieux à votre message dans le menu déroulant Motif de soumission
de l'échantillon :
·
·
·
·
·
Fichier suspect
Site suspect (site Web infecté par un logiciel malveillant)
Fichier faux positif (fichier détecté à tort comme infecté)
Site faux positif
Autre
Fichier/Site
Chemin d'accès au fichier ou au site Web que vous souhaitez soumettre.
Adresse de contact
L'adresse de contact est envoyée à ESET avec les fichiers suspects. Elle pourra servir à vous contacter si des
informations complémentaires sont nécessaires à l'analyse. La spécification d'une adresse de contact est
facultative. Vous ne recevrez pas de réponse d'ESET, sauf si des informations complémentaires sont nécessaires
101
à l'analyse. En effet, nos serveurs reçoivent chaque jour des dizaines de milliers de fichiers, ce qui ne permet
pas de répondre à tous les envois.
Envoyer de manière anonyme
Cochez la case en regard de l'option Envoyer de manière anonyme pour envoyer le fichier ou le site Web
suspect sans saisir votre adresse e-mail.
5.6.10.1 Fichier suspect
Signes et symptômes observés d'infection par logiciel malveillant
Saisissez une description du comportement du fichier suspect que vous avez observé sur votre ordinateur.
Origine du fichier (adresse URL ou fournisseur)
Indiquez l'origine du fichier (sa source) et comment vous l'avez trouvé.
Notes et autres informations
Saisissez éventuellement d'autres informations ou une description qui faciliteront le processus d'identification
du fichier suspect.
REMARQUE
le premier paramètre (Signes et symptômes observés d'infection par logiciel malveillant) est obligatoire. Les
autres informations faciliteront la tâche de nos laboratoires lors du processus d'identification des échantillons.
5.6.10.2 Site suspect
Dans le menu déroulant Pourquoi ce site est-il suspect ?, sélectionnez l'une des options suivantes :
Infecté
Site Web qui contient des virus ou d'autres logiciels malveillants diffusés par diverses méthodes.
Hameçonnage
Souvent utilisé pour accéder à des données sensibles, telles que numéros de comptes bancaires, codes secrets,
etc. Pour en savoir plus sur ce type d'attaque, consultez le glossaire .
Scam
Site d'escroquerie ou frauduleux.
Autre
Utilisez cette option si aucune des options ci-dessus ne correspond au site que vous allez soumettre.
Notes et autres informations
Saisissez éventuellement d'autres informations ou une description qui pourront faciliter l'analyse du site Web
suspect.
5.6.10.3 Fichier faux positif
Nous vous invitons à soumettre les fichiers qui sont signalés comme infectés alors qu'ils ne le sont pas, afin
d'améliorer notre moteur antivirus et antispyware et contribuer à la protection des autres utilisateurs. Les faux
positifs (FP) peuvent se produire lorsque le motif d'un fichier correspond à celui figurant dans un moteur de
détection.
REMARQUE
les trois premiers paramètres sont nécessaires pour identifier les applications légitimes et les distinguer des
codes malveillants. En fournissant des informations supplémentaires, vous facilitez l'identification et le
traitement des échantillons par nos laboratoires.
Nom et version de l'application
102
Titre et version du programme (par exemple : numéro, alias et nom de code).
Origine du fichier (adresse URL ou fournisseur)
Indiquez l'origine du fichier (sa source) et comment vous l'avez trouvé.
Objectif de l'application
Description générale, type (navigateur, lecteur multimédia, etc.) et fonctionnalité de l'application.
Notes et autres informations
Saisissez éventuellement d'autres informations ou une description qui faciliteront le traitement du fichier
suspect.
5.6.10.4 Site faux positif
Nous vous recommandons de soumettre les sites faussement détectés comme infectés ou signalés à tort comme
scam ou hameçonnage. Les faux positifs (FP) peuvent se produire lorsque le motif d'un fichier correspond à celui
figurant dans un moteur de détection. Veuillez soumettre ce site Web afin d'améliorer notre moteur antivirus et
antihameçonnage, et contribuer à la protection des autres utilisateurs.
Notes et autres informations
Saisissez éventuellement d'autres informations ou une description qui faciliteront le traitement du fichier
suspect.
5.6.10.5 Autre
Utilisez ce formulaire si le fichier ne peut pas être classé par catégorie en tant que fichier suspect ou faux positif.
Motif de soumission du fichier
Décrivez en détail le motif d'envoi du fichier.
103
5.6.11 Quarantaine
La principale fonction de la quarantaine est de stocker les fichiers infectés en toute sécurité. Les fichiers doivent
être placés en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils
sont détectés erronément par ESET Mail Security. Vous pouvez choisir de mettre n'importe quel fichier en
quarantaine. Cette action est conseillée si un fichier se comporte de façon suspecte, mais n'a pas été détecté par
l'analyseur antivirus. Les fichiers en quarantaine peuvent être soumis pour analyse au laboratoire de recherche
d'ESET.
Les fichiers du dossier de quarantaine peuvent être visualisés dans un tableau qui affiche la date et l'heure de mise
en quarantaine, le chemin d'accès à l'emplacement d'origine du fichier infecté, sa taille en octets, la raison (par
exemple, objet ajouté par l'utilisateur) et le nombre de menaces (s'il s'agit d'une archive contenant plusieurs
infiltrations par exemple).
Si des messages sont placés dans la quarantaine des fichiers, un chemin vers la boîte aux lettres/le dossier/le nom
de fichier s'affiche.
Mise en quarantaine de fichiers
ESET Mail Security met automatiquement les fichiers supprimés en quarantaine (si vous n'avez pas désactivé
cette option dans la fenêtre d'alerte). Pour mettre manuellement en quarantaine tout fichier suspect, cliquez
sur Quarantaine. Les fichiers d'origine sont supprimés de leur emplacement initial. Il est également possible
d'utiliser le menu contextuel à cette fin : cliquez avec le bouton droit dans la fenêtre Quarantaine et
sélectionnez l'option Quarantaine.
Restauration depuis la quarantaine
Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement d'origine. L'option Restaurer
est disponible dans le menu contextuel accessible en cliquant avec le bouton droit sur le fichier dans le fenêtre
Quarantaine. Si un fichier est marqué comme étant une application potentiellement indésirable , l'option
Restaurer et exclure de l'analyse est également disponible. Le menu contextuel propose également l'option
104
Restaurer vers qui permet de restaurer des fichiers vers un emplacement autre que celui d'origine dont ils ont
été supprimés.
REMARQUE
Si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer, de l'exclure
de l'analyse et de l'envoyer au service client d'ESET.
Soumission de fichiers mis en quarantaine
Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été
considéré par erreur comme étant infecté (par exemple par l'analyse heuristique du code) et placé en
quarantaine, envoyez ce fichier au laboratoire d'ESET. Pour soumettre un fichier mis en quarantaine, cliquez
avec le bouton droit sur le fichier et sélectionnez l'option Soumettre le fichier pour analyse dans le menu
contextuel.
Suppression d'un élément de la quarantaine
Cliquez avec le bouton droit sur un élément donné, puis sélectionnez Supprimer l'élément en quarantaine.
Vous pouvez également sélectionner les éléments applicables, puis appuyer sur Suppr sur votre clavier.
105
6. Paramètres de protection du serveur
Il s'agit de l'option d'intégration principale. Utilisez la barre du curseur pour activer ou désactiver l'intégration de la
protection de la base de données des boîtes aux lettres ou la protection du transport des messages sur votre
serveur Exchange Server.
REMARQUE
Si vous exécutez Microsoft Exchange Server 2007 ou 2010, vous pouvez choisir entre la protection de la base de
données de boîtes aux lettres et une analyse de base de données de boîtes aux lettres à la demande. Seul un
type de protection peut être activé à la fois. Si vous choisissez d'utiliser l'analyse de base de données de boîtes
aux lettres à la demande, vous devez désactiver l'intégration de la protection de la base de données de boîtes
aux lettres. Sinon, l'analyse de base de données de boîtes aux lettres à la demande ne sera pas disponible.
Vous pouvez également modifier la priorité de l'Agent.
ESET Mail Security offre à votre serveur Microsoft Exchange Server une excellente protection grâce aux
fonctionnalités suivantes :
·
·
·
·
·
·
·
·
106
Antivirus et antispyware
Protection antispam
Protection antihameçonnage
Règles
Protection du transport des messages (Exchange Server 2007, 2010, 2013, 2016, 2019)
Protection de la base de données des boîtes aux lettres (Exchange Server 2007, 2010)
Analyse de base de données de boîtes aux lettres à la demande (Exchange Server 2007, 2010, 2013, 2016, 2019)
Quarantaine de messages (paramètres du type de quarantaine de messages)
6.1 Configuration de la priorité des agents
Si cela s'avère nécessaire, vous pouvez spécifier l'ordre dans lequel les Agents ESET Mail Security deviennent actifs
après le démarrage de Microsoft Exchange Server. Une valeur numérique définit la priorité. Plus la valeur est faible,
plus la priorité est élevée. Cette configuration s'applique à Microsoft Exchange Server 2007 et versions ultérieures.
Monter/Descendre
Augmente ou diminue la priorité de l'Agent sélectionné par son déplacement vers le haut dans la liste des
Agents.
6.2 Antivirus et antispyware
Dans cette section, vous pouvez configurer les options Antivirus et antispyware pour votre serveur de messagerie.
IMPORTANT
la protection du transport des messages est assurée par l'agent de transport et est uniquement disponible
pour Microsoft Exchange Server 2007 ou version ultérieure. Votre serveur Exchange Server doit toutefois avoir
le rôle serveur de transport Edge ou serveur de transport Hub. Cela s'applique également à une seule
installation de serveur avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend le rôle de serveur
de transport Edge ou Hub).
Protection du transport des messages
Si vous désactivez l'option Activer la protection antivirus et antispyware du transport des messages, le plugin
ESET Mail Security du serveur Exchange n'est pas déchargé depuis le processus du serveur Microsoft Exchange. Il
passe uniquement en revue les messages sans rechercher les virus sur la couche de transport. Les messages
font toujours l'objet d'une recherche de virus et de courrier indésirable sur la couche de base de données et les
règles existantes sont appliquées.
107
Protection de la base de données de boîtes aux lettres
108
Si vous désactivez l'option Activer la protection antivirus et antispyware de la base de données de boîtes aux
lettres, le plugin ESET Mail Security du serveur Exchange n'est pas déchargé depuis le processus du serveur
Microsoft Exchange. Il passe uniquement en revue les messages sans rechercher les virus sur la couche de base
de données. Les messages font toujours l'objet d'une recherche de virus et de courrier indésirable sur la couche
de transport et les règles existantes sont appliquées.
Analyse de base de données de boîtes aux lettres à la demande
Cette option est disponible après la désactivation de la protection de la base de données de boîtes aux lettres
dans la section Serveur.
Paramètres ThreatSense
Modifiez les paramètres d'analyse pour la protection du transport des messages, la protection de la base de
données de boîtes aux lettres et l'analyse de base de données de boîtes aux lettres à la demande.
6.3 Protection antispam
La protection antispam de votre serveur de messagerie est activée par défaut. Pour la désactiver, utilisez la barre du
curseur en regard de l'option Activer la protection antispam.
REMARQUE
La désactivation de la protection antispam ne modifie pas l'état de la protection. Bien que la protection
antispam soit désactivée, un état de Vous êtes protégé vert est toujours affiché dans la section Supervision de
l'interface utilisateur graphique principale. La désactivation de la protection antispam n'est pas considérée
comme une baisse du niveau de protection.
109
Utiliser les listes blanches Exchange Server pour contourner la protection antispam
ESET Mail Security peut utiliser les listes blanches spécifiques d'Exchange. Lorsqu'elle est activée, les éléments
suivants sont à prendre en compte :
· L'adresse IP du serveur figure dans la liste des adresses IP autorisées du serveur Exchange Server.
· La boîte aux lettres du destinataire du message comporte un indicateur de non-prise en charge de la
protection antispam.
· Le destinataire du message dispose de l'adresse de l'expéditeur dans la liste des expéditeurs approuvés
(vérifiez que vous avez configuré la synchronisation de la liste des expéditeurs approuvés dans
l'environnement de serveur Exchange Server, y compris Agrégation de listes fiables).
Si l'un des cas ci-dessus s'applique à un message entrant, la vérification antispam est ignorée pour ce message.
Par conséquent, l'éventuelle nature INDÉSIRABLE de ce message n'est pas évaluée et il est remis à la boîte aux
lettres du destinataire.
Accepter l’indicateur de contournement antispam défini sur la session SMTP
Est utile si vous avez authentifié les sessions SMTP entre les serveurs Exchange Server avec le paramètre de
contournement antispam. Par exemple, si vous avez un serveur Edge et un serveur Hub, il n'est pas nécessaire
d'exécuter l'analyse sur le trafic entre ces deux serveurs. L'option Accepter l'indicateur de non-prise en charge
de la protection antispam défini sur la session SMTP est activée par défaut. Elle n'est toutefois appliquée que si
un indicateur de contournement antispam est configuré pour la session SMTP sur le serveur Exchange Server. Si
vous désactivez l'option Accepter l'indicateur de non-prise en charge de la protection antispam défini sur la
session SMTP, ESET Mail Security analyse la session SMTP pour rechercher du courrier indésirable
indépendamment du paramètre de contournement antispam sur le serveur Exchange Server.
REMARQUE
la base de données antispam doit être mise à jour régulièrement pour que le module de blocage de courrier
indésirable offre la meilleure protection. Pour mettre à jour régulièrement la base de données antispam,
110
vérifiez que ESET Mail Security a accès aux adresses IP correctes sur les ports nécessaires. Pour plus
d'informations sur les adresses IP et les ports à activer sur le pare-feu tiers, reportez-vous à cet article de base
de connaissances .
Des paramètres supplémentaires pour chaque fonctionnalité figurent dans la section propre à chacune d'entre elle :
·
·
·
·
·
Filtrage et vérification
Paramètres avancés
Paramètres de mise en liste grise
SPF et DKIM
Protection de rétrodiffusion
6.3.1 Filtrage et vérification
Vous pouvez configurer des listes d'éléments approuvés, bloqués et ignorés en spécifiant des critères tels que
l'adresse IP ou la plage, le nom de domaine, etc. Pour ajouter, modifier ou supprimer un critère, cliquez sur
Modifier pour la liste à gérer.
REMARQUE
Les adresses IP ou les domaines inclus dans les listes Ignorés ne seront pas testés par rapport au RBL ou DNSBL,
mais d'autres techniques de protection antispam seront appliquées.
Les listes Ignorés doivent contenir l'ensemble des adresses IP/noms de domaine de l'infrastructure interne.
Vous pouvez également inclure les adresses IP/noms de domaine de vos FAI ou serveurs de messagerie
externes qui sont actuellement mis en liste noire par l'un des RBL ou DNSBL (Blackhole List ESET ou tiers). Vous
pouvez ainsi recevoir des messages électroniques de sources incluses dans les listes Ignorés, même si elles
sont sur liste noire. Ces messages électroniques entrants sont reçus et leur contenu est davantage inspecté par
d'autres techniques de protection antispam.
Liste des adresses IP Met automatiquement en liste blanche les messages électroniques provenant des adresses
approuvées
IP spécifiées.
Liste des adresses IP Bloque automatiquement les messages électroniques provenant des adresses IP spécifiées.
bloquées
Liste des adresses IP Liste des adresses IP qui sont ignorées pendant la classification. Utilisez la barre du curseur
ignorées
Fait partie de l'infrastructure interne si vous mettez en liste blanche les adresses IP locales
du réseau. Voir l'exemple ci-dessous.
Liste des domaines
de corps bloqués
Bloque les messages électroniques qui contiennent le domaine spécifié dans le corps. Seuls
les domaines avec un vrai domaine de niveau supérieur sont acceptés.
Liste des domaines
de corps ignorés
Les domaines spécifiés dans le corps des messages sont ignorés pendant la classification.
Seuls les domaines avec un vrai domaine de niveau supérieur sont acceptés.
Liste des adresses IP Bloque les messages électroniques qui contiennent une adresse IP spécifiée dans le corps.
de corps bloquées
Liste des adresses IP Les adresses IP spécifiées dans le corps des messages sont ignorées pendant la
de corps ignorées
classification.
Liste des expéditeurs Met en liste blanche les messages électroniques provenant de l'expéditeur spécifié.
approuvés
111
Liste des adresses IP Met automatiquement en liste blanche les messages électroniques provenant des adresses
approuvées
IP spécifiées.
Liste des expéditeurs Bloque les messages électroniques provenant de l'expéditeur spécifié.
bloqués
Liste des domaines
Met en liste blanche les messages électroniques provenant des adresses IP qui sont
approuvés résolus en résolues à partir des domaines spécifiés dans cette liste. Les enregistrements SPF (Sender
adresses IP
Policy Framework) sont reconnus lors de la résolution des adresses IP.
Liste des domaines
bloqués résolus en
adresses IP
Bloque les messages électroniques provenant des adresses IP qui sont résolues à partir des
domaines spécifiés dans cette liste. Les enregistrements SPF sont reconnus lors de la
résolution des adresses IP.
Liste des domaines
ignorés résolus en
adresses IP
Liste des domaines qui sont résolus en adresses IP qui ne sont pas vérifiées pendant la
classification. Les enregistrements SPF sont reconnus lors de la résolution des adresses IP.
Liste des pays
bloqués
Bloque les messages électroniques des pays spécifiés. Le blocage repose sur GeoIP. Si un
courrier indésirable est envoyé à partir d'un serveur de messagerie dont l'adresse IP est
répertoriée dans la base de données de géolocalisation pour un pays que vous avez
sélectionné dans les pays bloqués, il sera automatiquement marqué comme courrier
indésirable et une action sera effectuée selon le paramètre Action à entreprendre sur les
messages de courrier indésirable sous Protection du transport des messages.
REMARQUE
Les listes de domaine du corps n'acceptent que les domaines avec un vrai domaine de premier niveau,
conformément à la liste officielle Base de données de zones racines de domaines de premier niveau .
Si vous souhaitez ajouter plus d'entrées à la fois, cliquez sur Entrer plusieurs valeurs dans la fenêtre contextuelle
Ajouter, puis sélectionnez le séparateur à utiliser : Nouvelle ligne, Virgule ou Point-virgule.
EXEMPLE
Objectif : Exclure les adresses IP locales de votre infrastructure de la protection antispam en les ajoutant à la
liste des adresses IP ignorées
Accédez à Configuration avancée (F5) > Serveur > Protection antispam > Filtrage et vérification.
Cliquez sur Modifier en regard de la liste des adresses IP ignorées.
Cliquez sur Ajouter et spécifiez la plage d'adresses IP de votre infrastructure réseau (format de la plage
d'adresses IP : 1.1.1.1-1.1.1.255). Vous pouvez continuer à ajouter d'autres plages (ou des adresses IP uniques)
à la liste, si nécessaire.
Utilisez la barre du curseur Fait partie de l'infrastructure interne.
Mise en liste grise et SPF
Indiquez la liste blanche des domaines en adresses IP ou la liste des adresses IP pour contourner automatiquement
la mise en liste grise et SPF Vous pouvez consulter les fichiers journaux dans la section Journal de la protection
SMTP. Pour utiliser ces options, vous devez activer Mise en liste grise, SPF ou les deux. Si vous activez SPF, vous
devez activer la configuration Refuser automatiquement les messages en cas d'échec de la vérification SPF et/ou
Ignorer automatiquement la mise en liste grise en cas de réussite de la vérification SPF.
Utiliser les listes antispam pour contourner automatiquement la mise en liste grise et SPF
112
Lorsque cette option est activée, la liste des adresses IP approuvées et ignorées est utilisée avec les listes
blanches des adresses IP et des domaines pour contourner automatiquement la mise en liste grise et SPF.
Liste blanche des adresses IP
Vous pouvez ajouter une adresse IP, une adresse IP avec un masque et une plage d'adresses IP. Vous pouvez
modifier la liste en cliquant sur Ajouter, Modifier ou Supprimer. Vous pouvez aussi importer votre liste
personnalisée à partir d'un fichier plutôt que d'ajouter chaque entrée manuellement, cliquer sur Importer et
accéder au fichier contenant les entrées à ajouter à la liste. De même, si vous devez exporter la liste existante
vers un fichier, sélectionnez Exporter dans le menu contextuel.
Liste blanche des domaines en adresses IP
Cette option permet de spécifier des domaines (domainname.local, par exemple). Pour gérer la liste, utilisez
les commandes Ajouter, Supprimer ou Supprimer tout. Si vous souhaitez importer votre liste personnalisée à
partir d'un fichier plutôt que d'ajouter chaque entrée manuellement, cliquez sur Importer et accédez ensuite au
fichier contenant les entrées à ajouter à la liste. De même, si vous devez exporter la liste existante vers un
fichier, sélectionnez Exporter dans le menu contextuel.
REMARQUE
La mise en liste grise et SPF sont évalués par la protection du transport de courrier et permettent d'utiliser les
listes blanches des adresses IP et des domaines vers les adresses IP, ainsi que la liste des adresses IP
approuvées et ignorées. Toutefois, si vous utilisez des règles SPF, aucune de ces listes blanches n'est prise en
compte pour les règles.
6.3.2 Antispam - Configurations avancées
Ces paramètres permettent la vérification des messages par des serveurs externes (définis comme RBL - Realtime
Blackhole List, DNSBL - DNS Blocklist) selon des critères prédéfinis.
Nombre maximal d'adresses vérifiées à partir des en-têtes Received
Vous pouvez limiter le nombre d'adresses IP vérifiées par l'analyse antispam. Il s'agit des adresses IP écrites
dans les en-têtes Received: from. La valeur par défaut est 0, ce qui correspond à aucune limite.
Vérifiez l'adresse de l'expéditeur dans la liste noire des utilisateurs finaux
Les e-mails qui ne sont pas envoyés à partir de serveurs de messagerie (ordinateurs qui ne sont pas répertoriés
en tant que serveurs de messagerie) sont vérifiés afin de s'assurer que l'expéditeur ne figure pas dans la liste
noire. Cette option est activée par défaut. Si nécessaire, vous pouvez la désactiver. Dans ce cas, les messages
qui ne sont pas envoyés à partir de serveurs de messagerie ne seront pas vérifiés dans la liste noire.
Serveurs RBL supplémentaires
Il s'agit d'une liste de serveurs RBL (Realtime Blackhole List) qui sont interrogés lors de l'analyse des messages.
REMARQUE
Lorsque vous ajoutez un serveur RBL supplémentaire, saisissez le nom de domaine du serveur
( sbl.spamhaus.org, par exemple). Il fonctionnera avec les codes de retour pris en charge par le serveur.
113
Vous pouvez également spécifier un nom de serveur avec un code de retour dans le format serveur:réponse (par
exemple, zen.spamhaus.org:127.0.0.4). Lorsque vous utilisez ce format, il est recommandé d'ajouter chaque nom
de serveur et code de retour séparément ; vous obtiendrez ainsi une liste complète. Cliquez sur Entrer plusieurs
valeurs dans la fenêtre Ajouter pour spécifier tous les noms de serveur avec leur code de retour. Les entrées
doivent ressembler à l'exemple suivant (les noms d'hôte des serveurs RBL et les codes de retour peuvent varier) :
Limite d'exécution de requête RBL (en secondes)
Cette option vous permet de définir une durée maximale pour les requêtes RBL. Les réponses RBL utilisées sont
celles qui proviennent exclusivement des serveurs RBL qui ont répondu dans les temps. Si la valeur est définie
sur 0, aucun délai n'est appliqué.
Nombre maximal d'adresses vérifiées dans la liste noire RBL
Cette option vous permet de limiter le nombre d'adresses IP qui sont interrogées sur le serveur RBL. Notez que
le nombre total d'interrogations RBL correspond au nombre d'adresses IP figurant dans les en-têtes Reçu
(jusqu'à un maximum d'adresses IP maxcheck RBL) multiplié par le nombre de serveurs RBL indiqués dans la
liste RBL. Si la valeur est définie sur 0, un nombre illimité d'en-têtes reçus est vérifié. Notez que les adresses IP
figurant dans la liste des adresses IP ignorées ne sont pas prises en compte dans la limite des adresses IP RBL.
Serveurs DNSBL supplémentaires
Il s'agit d'une liste de serveurs DNSBL (DNS Blocklist) à interroger, avec les domaines et les adresses IP extraits
du corps du message.
114
REMARQUE
Lorsque vous ajoutez un serveur DNSBL supplémentaire, saisissez le nom de domaine du serveur
( dbl.spamhaus.org, par exemple). Il fonctionnera avec les codes de retour pris en charge par le serveur.
Vous pouvez également spécifier un nom de serveur avec un code de retour sous la forme serveur:réponse (par
exemple, zen.spamhaus.org:127.0.0.4). Dans ce cas, il est recommandé d'ajouter chaque nom de serveur et code
de retour séparément ; vous obtiendrez ainsi une liste complète. Cliquez sur Entrer plusieurs valeurs dans la
fenêtre Ajouter pour spécifier tous les noms de serveur avec leur code de retour. Les entrées doivent ressembler à
l'exemple suivant (les noms d'hôte des serveurs DNSBL et les codes de retour peuvent varier) :
Limite d'exécution de requête DNSBL (en secondes)
Permet de définir un délai maximal pour l'exécution de toutes les requêtes DNSBL.
Nombre maximum d'adresses vérifiées par rapport à DNSBL
Cette option vous permet de limiter le nombre d'adresses IP qui sont interrogées sur le serveur DNS Blocklist.
Nombre maximal de domaines vérifiés dans la liste noire DNSBL
Cette option vous permet de limiter le nombre de domaines qui sont interrogés sur le serveur DNS Blocklist.
Taille de message maximale à analyser (kB)
Limite l'analyse antispam des messages plus volumineux que la valeur spécifiée. La valeur par défaut 0 signifie
une analyse de taille de messages illimitée. Normalement, il n'y a aucune raison de limiter l'analyse antispam.
Si vous devez toutefois la limiter dans certaines situations, remplacez la valeur par la taille requise. Une fois
115
cette option définie, le moteur antispam traite les messages dont la taille va jusqu'à celle spécifiée et ignore
les messages plus volumineux.
REMARQUE
La limite la plus petite autorisée est 12 kB. Si vous définissez une valeur de 1 à 12, le moteur antispam
continuera toujours à lire les messages dont la taille est supérieure ou égale à 12 kB.
Activer le rejet temporaire des messages indéterminés
Lorsque le moteur antispam ne parvient pas à déterminer si le message est un COURRIER INDÉSIRABLE ou non,
ce qui signifie que le message comporte des caractéristiques de COURRIER INDÉSIRABLE suspects mais pas
suffisants pour être marqué comme COURRIER INDÉSIRABLE, (premier courrier électronique d'une campagne ou
message provenant d'une plage d'adresses IP avec des évaluations mixtes, par exemple), ce paramètre (s'il est
activé) permet à ESET Mail Security de refuser temporairement ce message, comme les listes grises, et de
continuer à le refuser jusqu'à ce que :
· La période se soit écoulée et que le message soit accepté à la prochaine remise. Ce message conserve la
classification initiale (COURRIER INDÉSIRABLE ou MESSAGE SOUHAITÉ).
· Le cloud antispam recueille suffisamment de données et soit capable de classer correctement le message
avant que la période ne s'écoule.
Le message refusé n'est pas conservé par ESET Mail Security et doit être renvoyé par le serveur de messagerie
d'envoi, conformément au document RFC SMTP.
Activer l'envoi des messages temporairement rejetés pour analyse
Le contenu des messages est automatiquement envoyé pour analyse. La classification des messages est ainsi
améliorée pour les prochains messages électroniques.
IMPORTANT
Il est possible que les messages temporairement refusés qui sont envoyés pour analyse soient en réalité des
MESSAGES SOUHAITÉS. Dans de rares cas, les messages temporairement refusés peuvent être utilisés pour une
évaluation manuelle. Activez uniquement cette fonctionnalité lorsqu'il n'y a aucun risque de fuite de données
sensibles.
6.3.3 Paramètres de mise en liste grise
La fonction Activer la mise en liste grise active une fonctionnalité qui protège les utilisateurs du courrier indésirable
à l'aide de la technique suivante : L'agent de transport envoie une valeur de retour SMTP indiquant un rejet
temporaire (temporarily reject) (la valeur par défaut est 451/4.7.1) pour tout message qui ne provient pas d'un
expéditeur reconnu. Un serveur légitime essaie de renvoyer le message après un délai. Les serveurs de courrier
indésirable n'essaient généralement pas de renvoyer le message, car ils envoient des messages à des milliers
d'adresses électroniques et ne perdent pas de temps à relancer des expéditions. La mise en liste grise est une
couche supplémentaire de protection antispam et n'a aucun effet sur les fonctionnalités d'évaluation du module de
blocage de courrier indésirable.
Lors de l'évaluation de la source du message, la méthode de mise en liste grise prend en compte les listes
d'adresses IP approuvées, ignorées, autorisées et d'expéditeurs sûrs sur le serveur Exchange et les paramètres
AntispamBypass de la boîte aux lettres du destinataire. Les messages de ces listes d'adresses IP/d'expéditeurs ou
ceux remis à une boîte aux lettres dont l'option AntispamBypass est activée sont ignorés par la méthode de
détection de mise en liste grise.
Utiliser uniquement la partie domaine de l'adresse de l'expéditeur
Ignore le nom de l'expéditeur dans l'adresse électronique ; seul le domaine est pris en compte.
Synchroniser les bases de données de mise en liste grise dans le cluster ESET
116
Les entrées de base de données de mise en liste grise sont partagées en temps réel entre les serveurs dans le
cluster ESET. Lorsque l'un des serveurs reçoit un message traité par la mise en liste grise, ces informations sont
diffusées par ESET Mail Security sur les autres nœuds du cluster ESET.
Durée maximale du refus de connexion initiale (min)
Lorsqu'un message est remis pour la première fois et qu'il est refusé temporairement, ce paramètre définit la
période pendant laquelle le message est toujours refusé (mesuré depuis le premier refus). Une fois la période
écoulée, le message est reçu correctement. La valeur minimum que vous entrez est de 1 minute.
Heure d’expiration des connexions non vérifiées (heures)
Ce paramètre définit l'intervalle minimum pendant lequel les données de triplet sont stockées. Un serveur
valide doit renvoyer un message souhaité avant l'expiration de cette période. Cette valeur doit être supérieure
à la valeur Durée limite du refus de connexion initial.
Délai d’expiration des connexions vérifiées (jours)
Nombre minimum de jours pendant lesquels les informations de triplet doivent être stockées et pendant
lesquels les messages d'un expéditeur défini sont reçus sans délai. Cette valeur doit être supérieure à la valeur
Durée avant expiration des connexions non vérifiées.
Réponse SMTP pour les réponses temporairement refusées.
Spécifiez un code de réponse, un code d'état et un message de réponse, qui définissent la réponse de refus
temporaire SMTP envoyée au serveur SMTP si un message est refusé. Exemple de message de réponse de rejet
SMTP :
Code de réponse
Code d'état
Message de réponse
451
4.7.1
Réessayez ultérieurement
AVERTISSEMENT
une syntaxe incorrecte des codes de réponses SMTP peut provoquer un dysfonctionnement de la protection
par mise en liste grise. En conséquence, les messages de courrier indésirable peuvent être remis à des clients
ou des messages ne peuvent pas être délivrés du tout.
REMARQUE
Vous pouvez également utiliser des variables système lors de la définition de la réponse SMTP de rejet.
Tous les messages qui ont été évalués à l'aide de la méthode de mise en liste grises sont enregistrés dans le journal
de la protection SMTP.
6.3.4 SPF et DKIM
SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) servent de méthodes de validation
permettant de vérifier qu'un message électronique entrant déclarant provenir d'un domaine spécifique a été
autorisé par le propriétaire du domaine. Les destinataires sont ainsi protégés contre les messages électroniques
falsifiés. ESET Mail Security utilise également l'évaluation DMARC (Domain-based Message Authentication,
Reporting and Conformance) pour améliorer encore davantage SPF et DKIM.
SPF
Une vérification est effectuée afin de vérifier si un message électronique a été envoyé par un expéditeur légitime.
Une recherche DNS des enregistrements SPF du domaine de l'expéditeur est effectuée afin d'obtenir une liste
d'adresses IP. Si l'une des adresses IP des enregistrements SPF correspond à l'adresse IP de l'expéditeur, la
vérification SPF est réussie. Si l'adresse IP de l'expéditeur ne correspond pas, la vérification a échoué. Tous les
domaines n'ont toutefois pas d'enregistrements SPF définis dans DNS. Si DNS ne contient aucun enregistrement
117
DNS, le résultat de la vérification n'est pas disponible. Une demande DNS peut occasionnellement expirer. Dans ce
cas, le résultat n'est également pas disponible.
DKIM
Est utilisé par les organisations pour empêcher l'usurpation des messages électroniques en ajoutant une signature
numérique aux en-têtes des messages sortants selon la norme DKIM. Cela implique l'utilisation d'une clé de
domaine privée pour chiffrer les en-têtes sortants du domaine et l'ajout d'une version publique de la clé pour les
enregistrements DNS du domaine. ESET Mail Security peut ensuite récupérer la clé publique pour déchiffrer les entêtes entrants et vérifier que le message provient véritablement du domaine et que ses en-têtes n'ont pas été
modifiés.
REMARQUE
Exchange Server 2010 et les versions antérieures ne sont pas entièrement compatibles avec DKIM, car les entêtes inclus dans les messages entrants signés numériquement peuvent être modifiés lors de la validation
DKIM.
DMARC
S'appuie sur les deux mécanismes SPF et DKIM existants. Vous pouvez utiliser les règles de la protection du
transport des messages pour évaluer le résultat DMARC et l'action Appliquer la stratégie DMARC.
Détection automatique des serveurs DNS
Utilise les paramètres de votre carte réseau.
Adresse IP du serveur DNS
Si vous souhaitez utiliser un serveur DNS spécifique pour SPF et DKIM, saisissez l'adresse IP (au format IPv4 ou
IPv6) du serveur DNS à utiliser.
Délai d'expiration des requêtes DNS (en secondes)
118
Indiquez le délai d'expiration de la réponse DNS.
Refuser automatiquement les messages en cas d'échec de la vérification SPF
Si la vérification SPF échoue immédiatement, un message électronique peut être refusé avant son
téléchargement.
EXEMPLE
La vérification SPF est effectuée sur la couche SMTP. Elle peut toutefois être refusée automatiquement sur la
couche SMTP ou pendant l'évaluation des règles.
Il n'est pas possible de consigner les messages refusés dans le journal des événements si vous utilisez le refus
automatique sur la couche SMTP. En effet, la journalisation est effectuée par une action de règle et le refus
automatique est réalisé directement sur la couche SMTP qui a lieu avant l'évaluation des règles. Comme les
messages sont refusés avant l'évaluation des règles, il n'y a aucune information à consigner au moment de
l'évaluation des règles.
Vous pouvez consigner les messages refusés uniquement s'ils ont été refusés par une action de règle. Pour
refuser les messages qui n'ont pas réussi la vérification SPF et les consigner, désactivez l'option Refuser
automatiquement les messages en cas d'échec de la vérification SPF et créez la règle suivante pour la
protection du transport des messages :
Condition
Type : Résultat SPF
Opération : est
Paramètre : Échec
Actions
Type : Refuser le message
Type :Journaliser les événements
Utiliser l'en-tête From : si MAIL FROM est vide
L'en-tête MAIL FROM peut être vide. Il peut être aussi falsifié. Lorsque cette option est activée et que MAIL
FROM est vide, le message est téléchargé et l'en-tête From: est utilisé à la place.
Ignorer automatiquement la mise en liste grise en cas de réussite de la vérification SPF
Il n'y a aucune raison d'utiliser la mise en liste grise pour un message en cas de réussite de la vérification SPF.
Réponse de refus SMTP
Vous pouvez spécifier un code de réponse, un code d'état et un message de réponse, qui définissent la réponse
de refus temporaire SMTP envoyée au serveur SMTP si un message est refusé. Vous pouvez saisir un message
de réponse au format suivant :
Code de réponse
Code d'état
Message de réponse
550
5.7.1
Échec de la vérification SPF
119
6.3.5 Protection de rétrodiffusion
La rétrodiffusion du courrier indésirable correspond aux notifications de non-remise incorrectement adressées,
envoyées par les serveurs de messagerie. La rétrodiffusion est un effet secondaire indésirable du courrier
indésirable. Lorsqu'un courrier indésirable est rejeté par le serveur de messagerie du destinataire, un rapport de
non-remise (NDR), également appelé notification de non-remise, est envoyé à un expéditeur supposé (une adresse
e-mail falsifiée utilisée en tant qu'expéditeur du courrier indésirable d'origine), et non à l'expéditeur réel du
courrier indésirable. Un utilisateur, qui possède l'adresse e-mail, reçoit une notification de non-remise, même s'il
n'était pas du tout impliqué dans l'envoi du courrier indésirable d'origine. C'est à ce moment que la protection de
rétrodiffusion entre en jeu. Vous pouvez empêcher la remise des rapports de non-remise dans les boîtes aux lettres
des utilisateurs au sein de votre organisation à l'aide de la protection de rétrodiffusion de ESET Mail Security.
Lorsque vous activez la vérification NDR, vous devez indiquer une valeur initiale de signature (chaîne comportant au
moins 8 caractères, comme une phrase secrète). La protection de rétrodiffusion de ESET Mail Security écrit la chaîne
X-Eset-NDR: <hash> dans l'en-tête de chaque e-mail sortant. La chaîne <hash> est une signature chiffrée qui
contient également la valeur initiale de la signature spécifiée.
Si un e-mail valable n'a pas pu être remis, votre serveur de messagerie reçoit généralement un rapport de nonremise, qui est vérifié par ESET Mail Security en recherchant la chaîne X-Eset-NDR: <hash> dans l'en-tête. Si la
chaîne X-Eset-NDR: est présente et que la signature <hash> correspond, le rapport de non-remise est remis au
destinataire de l'e-mail valable indiquant l'échec de la remise du message. Si la chaîne Eset-NDR: est absente ou
que la signature <hash> est incorrecte, il s'agit d'une rétrodiffusion et le rapport de non-remise est rejeté.
Ignorer automatiquement les messages NDR si la vérification échoue
Si la vérification NDR échoue immédiatement, un message électronique peut être refusé avant son
téléchargement.
Vous pouvez consulter l'activité Protection de rétrodiffusion dans la section Journal de la protection SMTP.
6.4 Protection antihameçonnage
Le terme hameçonnage désigne une activité qui tente d'obtenir des informations sensibles telles que les noms
d'utilisateur, les mots de passe, les numéros de compte bancaire ou de carte de crédit et les numéros de code PIN
par le biais d'e-mail ou de pages web se faisant passer pour une entité digne de confiance. Cette activité est
généralement frauduleuse. C'est une forme d'ingénierie sociale (manipulation d'utilisateurs dans le but d'obtenir
des informations confidentielles).
ESET Mail Security comprend l'anti-hameçonnage qui empêche les utilisateurs d'accéder à des pages Web connues
pour le hameçonnage. Si des e-mails contiennent des liens menant à des pages Web d'hameçonnage, ESET Mail
Security utilise un analyseur sophistiqué qui recherche ces liens (URL) dans le corps et l'objet des e-mails entrants.
Les liens sont comparés avec la base de données d'hameçonnage. Si le résultat de l'évaluation est positif, l'e-mail
est considéré comme étant un message de hameçonnage. ESET Mail Security le traite alors en fonction du
paramètre Action à entreprendre sur le message de hameçonnage pour chaque couche de protection (protection du
transport des messages, protection de la base de données de boîtes aux lettres et analyse de la base de données de
boîtes aux lettres à la demande). Des actions de règle sont également exécutées.
Normes des formats d'e-mail prises en charge :
·
·
·
·
Texte brut
HTML uniquement
MIME
MIME à plusieurs parties (e-mail qui comprend une partie HTML et une partie Texte brut)
Entités HTML
120
prises en charge :
Les messages de hameçonnage peuvent contenir des entités HTML afin de tromper le moteur anti-hameçonnage.
L'anti-hameçonnage analyse et traduit également les symboles des entités HTML pour trouver et évaluer
correctement les adresses URL obscurcies.
Un caractère unique peut être représenté sous des formes différentes. Par exemple, un point peut prendre les
formes suivantes :
Comment les liens apparaissent
généralement dans les e-mails
adressés aux utilisateurs
Liens obscurcis contenus dans le corps du
Valeur message
Type
http://www.example-phishingdomain.com/Fraud
.
http://www.example-phishing-domain.com/ caractère
Fraud
http://www.example-phishingdomain.com/Fraud
&perio http://www.example-phishingd;
domain.com/Fraud
nom de l'entité
http://www.example-phishingdomain.com/Fraud
http://www.example-phishing&#x000
domain.com/Fraud
2E;
nombre
hexadécimal de
l'entité
http://www.example-phishingdomain.com/Fraud
.
http://www.example-phishingdomain.com/Fraud
nombre décimal de
l'entité
Pour afficher l'activité de la protection anti-hameçonnage des messages, consultez Fichiers journaux > Journal de la
protection du serveur de messagerie. Il contient des informations sur les e-mails et les liens de hameçonnage
détectés.
Signaler un site d'hameçonnage
Le lien Signaler vous permet de signaler un site Web de hameçonnage/malveillant à ESET pour analyse.
6.5 Règles
Permettent de définir manuellement les conditions de filtrage des messages électroniques et les actions à exécuter
sur les messages électroniques filtrés. Vous pouvez également définir des conditions et des actions qui sont
différentes pour les règles propres à la protection du transport des messages, à la protection de la base de données
de boîtes aux lettres et à l'analyse de base de données de boîtes aux lettres à la demande. Chaque type de
protection utilise en effet une approche un peu différente lors du traitement des messages, tout particulièrement
la protection du transport des messages.
REMARQUE
La disponibilité des règles dans votre système pour la protection de la base de données de boîtes aux lettres,
l'analyse de la base de données de boîtes aux lettres à la demande et la protection du transport des messages
dépend de la version de Microsoft Exchange Server installée avec ESET Mail Security sur le serveur.
IMPORTANT
Des règles incorrectement définies pour l'analyse de base de données de boîtes aux lettres à la demande
peuvent entraîner des modifications irréversibles dans les bases de données de boîtes aux lettres. Vérifiez
toujours que vous disposez de la sauvegarde la plus récente de vos bases de données de boîtes aux lettres
avant d'exécuter l'analyse de base de données de boîtes aux lettres à la demande avec des règles mises en
place pour la première fois. Il est aussi vivement recommandé de vérifier que les règles s'exécutent selon les
attentes. Dans le cadre d'une vérification, définissez des règles avec l'action Journaliser les événements
uniquement, car toute autre action peut apporter des modifications à vos bases de données de boîtes aux
121
lettres. Une fois la vérification terminée, vous pouvez ajouter des actions de règle de destruction telles que
Supprimer la pièce jointe.
Les règles sont classées dans trois niveaux et évaluées dans cet ordre :
· Règles de filtrage (1) : règles évaluées avant l'analyse antispam, antivirus et anti-hameçonnage.
· Règles de traitement des pièces jointes (2) : règle évaluée pendant l'analyse antivirus.
· Règles de traitement des résultats (3) : règles évaluées avant l'analyse antispam, antivirus et antihameçonnage.
Les règles d'un même niveau sont évaluées dans le même ordre que celui de leur affichage dans la fenêtre Règles.
Vous pouvez uniquement modifier l'ordre des règles d'un même niveau. Si vous disposez de plusieurs règles de
filtrage, vous pouvez modifier l'ordre de leur application. Vous ne pouvez pas modifier leur ordre en plaçant les
règles de traitement des pièces jointes avant les règles de filtrage (les boutons Monter/Descendre ne sont pas
disponibles). En d'autres termes, vous ne pouvez pas mélanger des règles de niveaux différents.
La colonne Correspondances affiche le nombre de fois que la règle a été appliquée. Si vous décochez une case (à
gauche du nom de chaque règle), la règle correspondante est désactivée jusqu'à ce que vous recochiez la case.
Cliquez sur Réinitialiser pour réinitialiser le compteur de règles (colonne Correspondances). Sélectionnez Afficher
pour afficher une configuration affectée depuis une politique ESET Security Management Center.
IMPORTANT
En règle générale, si les conditions d'une règle sont remplies, l'évaluation des règles s'arrête pour les autres
règles dont la priorité est inférieure. Toutefois, si cela est nécessaire, vous pouvez utiliser une action de règle
spéciale, appelée Évaluer d'autres règles, pour que l'évaluation continue.
Les règles permettent de vérifier un message lorsque celui est traité par la protection du transport des messages, la
protection de la base de données de boîtes aux lettres ou l'analyse de la base de données de boîtes aux lettres à la
demande. Chaque couche de protection possède un ensemble de règles distinct.
122
Lorsque les conditions de la règle Protection de la base de données de boîtes aux lettres ou Analyse de la base de
données de boîtes aux lettres à la demande correspondent, le nombre de règles peut augmenter de 2 ou plus. Ces
couches de protection accèdent en effet séparément au corps et aux pièces jointes d'un message, ce qui signifie
que les règles sont appliquées à chacune de ces parties. Les règles de protection de la base de données de boîtes
aux lettres sont également appliquées lors de l'analyse en arrière-plan (lorsque ESET Mail Security effectue par
exemple une analyse des boîtes aux lettres suite au téléchargement d'une nouvelle base des signatures de virus),
ce qui peut augmenter le compteur de règles (accès).
Assistant Règle
1. Cliquez sur Ajouter (au centre) pour afficher la fenêtre Condition de règle dans laquelle vous pouvez
sélectionner un type de condition, une opération et une valeur. Définissez d'abord les conditions, puis les
actions.
IMPORTANT
Vous pouvez définir plusieurs conditions. Si vous le faites, elles doivent être toutes remplies pour que la règle
soit appliquée. Toutes les conditions sont unies à l'aide de l'opérateur logique ET. Lorsque la plupart des
conditions sont remplies à l'exception d'une seule, le résultat de l'évaluation des conditions est considéré
comme n'étant pas rempli. L'action de la règle ne peut donc pas être exécutée.
2. Cliquez sur Ajouter (au centre) pour ajouter une action de règle.
REMARQUE
Il est possible d'ajouter plusieurs actions pour une règle.
3. Une fois les conditions et les actions définies, saisissez un nom pour la règle (un nom significatif vous
permettant de reconnaître la règle). Ce nom sera affiché dans la liste des règles. Le champ Nom est
obligatoire. S'il est surligné en rouge, tapez le nom de la règle dans la zone de texte, puis cliquez sur OK pour
créer la règle. Le surlignage en rouge ne disparaît pas lorsque vous saisissez le nom de la règle. Vous devez
aussi cliquer sur OK pour qu'il disparaisse.
123
4. Si vous souhaitez préparer des règles en vue d'une utilisation ultérieure, vous pouvez cliquer sur la barre du
curseur en regard de l'option Active pour désactiver la règle. Pour activer une règle, cochez la case en regard
de celle-ci.
REMARQUE
si une nouvelle règle est ajoutée ou une règle existante est modifiée, une nouvelle analyse des messages
démarre automatiquement à l'aide des règles créées/modifiées.
Consultez les exemples de règle qui indiquent comment utiliser les règles.
6.5.1 Condition de règle
Cet assistant permet d'ajouter des conditions pour une règle. Sélectionnez le Type de condition et une Opération
dans la liste déroulante. La liste des opérations change en fonction du type de règle sélectionné. Sélectionnez
ensuite un Paramètre. Les champs de paramètre changent en fonction du type de règle et de l'opération. Choisissez
par exemple Taille de fichier > est supérieur à , puis, sous Paramètre, spécifiez 10 Mo. Avec ces paramètres, un
fichier dont la taille est supérieure à 10 Mo est traité à l'aide des actions de règle que vous avez spécifiées. Pour
cette raison, vous devez spécifier une action à entreprendre lorsqu'une règle donnée est déclenchée si vous ne
l'avez pas fait lors de la définition des paramètres de cette règle.
Si vous souhaitez importer votre liste personnalisée à partir d'un fichier plutôt que d'ajouter chaque entrée
manuellement, cliquez avec le bouton droit au milieu de la fenêtre et sélectionnez Importer dans le menu
contextuel. Accédez ensuite au fichier (.xml ou .txt) contenant les entrées (délimitées par de nouvelles lignes) à
ajouter à la liste. De même, si vous devez exporter la liste existante vers un fichier, sélectionnez Exporter dans le
menu contextuel.
Vous pouvez également spécifier une Expression régulière et sélectionner une opération : correspond à
l'expression régulière ou ne correspond pas à l'expression régulière.
REMARQUE
ESET Mail Security utilise std::regex. Pour créer des expressions régulières, reportez-vous à Syntaxe
ECMAScript . La syntaxe des expressions régulières ne respecte pas la casse, ainsi que le résultat de la
recherche.
IMPORTANT
Vous pouvez définir plusieurs conditions. Si vous le faites, elles doivent être toutes remplies pour que la règle
soit appliquée. Toutes les conditions sont unies à l'aide de l'opérateur logique ET. Lorsque la plupart des
conditions sont remplies à l'exception d'une seule, le résultat de l'évaluation des conditions est considéré
comme n'étant pas rempli. L'action de la règle ne peut donc pas être exécutée.
Les types de conditions suivants sont disponibles pour la protection du transport des messages, la protection de la
base de données de boîtes aux lettres et l'analyse de base de données de boîtes aux lettres à la demande (certaines
options peuvent ne pas s'afficher selon les conditions précédemment sélectionnées) :
124
Nom de la condition
Protecti
Protecti on de la
on du
base de
transpor donnée
t des
s de
messag boîtes
es
aux
lettres
Analyse
de base
de
données
de boîtes Description
aux
lettres à
la
demande
Objet
S'applique aux messages qui contiennent ou non une
chaîne spécifique (ou une expression régulière) dans
l'objet.
Expéditeur
S'applique aux messages envoyés par un expéditeur
spécifique.
Expéditeur SMTP
Attribut d'enveloppe MAIL FROM utilisé pendant la
connexion SMTP. Également utilisé pour la vérification SPF.
Adresse IP de
l'expéditeur
S'applique aux messages envoyés par une adresse IP
spécifique.
Domaine de l'expéditeur
S'applique aux messages provenant d'un expéditeur avec
un domaine spécifique dans son adresse électronique.
Domaine de l'expéditeur
SMTP
S'applique aux messages provenant d'un expéditeur avec
un domaine spécifique dans son adresse électronique.
En-tête De - adresse
Valeur « From: » contenue dans les en-têtes des messages.
Il s'agit de l'adresse visible par le destinataire. Aucune
vérification n'est toutefois effectuée pour s'assurer que le
système d'envoi est autorisé à envoyé le message de la
part de cette adresse. Il est souvent utilisé pour usurper
l'identité de l'expéditeur.
En-tête De - nom
d'affichage
Valeur « From: » contenue dans les en-têtes des messages.
Il s'agit du nom d'affichage visible par le destinataire.
Aucune vérification n'est toutefois effectuée pour s'assurer
que le système d'envoi est autorisé à envoyé le message
de la part de cette adresse. Il est souvent utilisé pour
usurper l'identité de l'expéditeur.
Destinataire
S'applique aux messages envoyés à un destinataire
spécifique.
Unités d'organisation du
destinataire
S'applique aux messages envoyés à un destinataire d'une
unité d'organisation spécifique.
Résultat de la validation
de destinataire
S'applique aux messages envoyés à un destinataire validé
dans Active Directory.
Nom de la pièce jointe
S'applique aux messages qui contiennent des pièces
jointes avec un nom spécifique.
125
Nom de la condition
Protecti
Protecti on de la
on du
base de
transpor donnée
t des
s de
messag boîtes
es
aux
lettres
Analyse
de base
de
données
de boîtes Description
aux
lettres à
la
demande
Taille de la pièce jointe
S'applique aux messages dont la pièce jointe ne
correspond pas à la taille spécifiée, se trouve dans la plage
de tailles spécifiée ou dépasse la taille spécifiée.
Type de la pièce jointe
S'applique aux messages avec un type de fichier joint
spécifique. Les types de fichier sont classés dans des
groupes pour une sélection aisée. Vous pouvez
sélectionner plusieurs types de fichier ou des catégories
entières.
Taille du message
S'applique aux messages dont les pièces jointes ne
correspondent pas à la taille spécifiée, se trouvent dans la
plage de tailles spécifiée ou dépassent la taille spécifiée.
Boîte aux lettres
S'applique aux messages situés dans une boîte aux lettres
spécifique.
En-têtes de message
S'applique aux messages contenant des données
spécifiques dans l'en-tête.
Corps du message
Une expression spécifiée est recherchée dans le corps du
message. Vous pouvez utiliser la fonctionnalité Retirer les
balises HTML pour retirer les attributs, les valeurs et les
balises HTML et conserver le texte uniquement. Le texte du
corps fera ensuite l'objet d'une recherche.
Message interne
S'applique selon qu'un message est interne ou non.
Message sortant
S'applique aux messages sortants.
Message signé
S'applique aux messages signés.
Message chiffré
S'applique aux messages chiffrés.
Résultat de l'analyse
Antispam
S'applique aux messages marqués ou non comme étant
indésirables ou légitimes (voir l'exemple).
Résultat de l'analyse
antivirus
S'applique aux messages marqués comme étant
malveillants ou non.
Résultat de l'analyse antihameçonnage
S'applique aux messages ayant été évalués comme des
messages d'hameçonnage.
Heure de réception
S'applique aux messages reçus avant ou après une date
spécifique ou dans une plage de dates spécifique.
126
Nom de la condition
Contient une archive
protégée par mot de
passe
Contient une archive
endommagée
Protecti
Protecti on de la
on du
base de
transpor donnée
t des
s de
messag boîtes
es
aux
lettres
Analyse
de base
de
données
de boîtes Description
aux
lettres à
la
demande
S'applique aux messages avec des pièces jointes d'archive
qui sont protégées par mot de passe.
S'applique aux messages dont les pièces jointes d'archive
sont endommagées (qui ne peuvent généralement pas
être ouvertes).
La pièce jointe est une
archive protégée par mot
de passe.
S'applique aux pièces jointes qui sont protégées par mot
de passe.
La pièce jointe est une
archive endommagée.
S'applique aux pièces jointes endommagées
(probablement impossible à ouvrir).
Nom du dossier
S'applique aux messages figurant dans un dossier
spécifique. Si le dossier n'existe pas, il est créé. Cela ne
s'applique pas aux dossiers Public.
DKIM résultat
S'applique aux messages qui ont réussi ou non la
vérification par DKIM.
SPF résultat
S'applique aux messages pour lesquels le résultat de
l'évaluation SPF est le suivant :
Réussite : l'adresse IP est autorisée à effectuer des
envois depuis le domaine (qualificateur "+" SPF)
Échec : l'enregistrement SPF ne contient pas le serveur
d'envoi ou l'adresse IP (qualificateur "-" SPF)
Erreur récupérable : l'adresse IP peut être autorisée ou
non à effectuer des envois depuis le domaine
(qualificateur "~" SPF)
Neutre : signifie que le propriétaire du domaine a
indiqué dans l'enregistrement SPF qu'il ne veut pas
affirmer que l'adresse IP est autorisée à effectuer des
envois depuis le domaine (qualificateur "?" SPF)
Non disponible : le résultat None SPF indique qu'aucun
enregistrement n'a été publié par le domaine ou
qu'aucun domaine d'expéditeur vérifiable a pu être
déterminé pour l'identité donnée.
Vous pouvez lire le document RFC 4408
détails sur SPF.
pour plus de
Si vous utilisez le résultat SPF, les listes blanches dans
Filtrage et vérification ne sont pas prises en compte pour
les règles.
127
Nom de la condition
Protecti
Protecti on de la
on du
base de
transpor donnée
t des
s de
messag boîtes
es
aux
lettres
Analyse
de base
de
données
de boîtes Description
aux
lettres à
la
demande
DMARC résultat
S'applique aux messages qui ont réussi ou non la
vérification par SPF ou DKIM les deux.
A un enregistrement DNS
inversé
S'applique aux messages dont le domaine du serveur a un
enregistrement DNS inversé.
NDR résultat
S'applique aux messages pour lesquels la vérification NDR
a échoué.
Le type de condition a associé les opérations suivantes :
· Chaîne : est, n'est pas, contient, ne contient pas, correspond, ne correspond pas, est dans, n'est pas dans,
correspond à l'expression régulière, ne correspond pas à l'expression régulière
· Nombre : est inférieur à, est supérieur à, est compris entre
· Texte : contient, ne contient pas, correspond, ne correspond pas
· Date-heure : est inférieur à, est supérieur à, est compris entre
· Énumération : est, n'est pas, est dans, n'est pas dans
REMARQUE
Si le nom de la pièce jointe ou le type de pièce jointe est fichier Microsoft Office (2007+), elle est traitée par
ESET Mail Security comme une archive. Cela signifie que son contenu est extrait et que chaque fichier contenu
dans l'archive de fichiers Office ( .docx, .xlsx, .xltx, .pptx, .ppsx, .potx, par exemple.) est analysé
séparément.
De plus, si vous désactivez Protection antivirus dans le menu Configuration ou Paramètres avancés (F5) > Serveur >
Antivirus et antispyware pour la couche de protection de la base de données de boîtes aux lettres et de transport
des messages, cela aura une incidence sur ces conditions de règle :
·
·
·
·
·
·
·
·
128
Nom de la pièce jointe
Taille de la pièce jointe
Type de la pièce jointe
Résultat de l'analyse antivirus
La pièce jointe est protégée par mot de passe.
La pièce jointe est une archive endommagée.
Contient une archive endommagée
Contient une archive protégée par mot de passe
6.5.2 Action de règle
Vous pouvez ajouter des actions qui seront entreprises sur des messages et/ou des pièces jointes et qui
correspondent aux conditions de règle.
REMARQUE
Il est possible d'ajouter plusieurs actions pour une règle.
Les actions suivantes sont disponibles pour la protection du transport des messages, la protection de la base de
données de boîtes aux lettres et l'analyse de base de données de boîtes aux lettres à la demande (certaines options
peuvent ne pas s'afficher selon les conditions sélectionnées) :
Nom de l'action
Protect
ion du
transpo
rt des
messag
es
Protecti
on de la
base de
données
de
boîtes
aux
lettres
Analyse
de base
de
données
de boîtes
Description
aux
lettres à
la
demand
e
Message en
quarantaine
Le message ne sera pas remis au destinataire et sera déplacé
vers la quarantaine des messages. Permet d'autoriser les
utilisateurs qui ne sont pas administrateurs de libérer les emails mis en quarantaine par cette règle (à l'aide de l'interface
Web ou des rapports de mise en quarantaine.
Mettre en
quarantaine la pièce
jointe
Place la pièce jointe au message dans la quarantaine des
fichiers. Le message électronique sera remis au destinataire
avec la pièce jointe tronquée à une longueur nulle.
Supprimer la pièce
jointe
Supprime la pièce jointe d'un message. Le message sera remis
au destinataire sans la pièce jointe.
Refuser le message
Supprime un message. Pour les e-mails entrants reçus via
SMTP, un rapport de non-remise (NDR) doit être généré par le
serveur d'envoi.
Supprimer le message
en silence
Supprime un message sans générer de rapport de non-remise.
Définir la valeur SCL
Modifie ou définit une valeur SCL spécifique.
Envoyer des
notifications
d'événement à
l'administrateur
Envoie des notifications d'événement à un destinataire
spécifié dans les notifications par e-mail. Vous devez activer la
fonctionnalité Envoyer des notifications d'événement par email. Vous pouvez ensuite personnaliser le format des
messages d'événement (pour obtenir des suggestions, utilisez
l'info-bulle) pendant la création de la règle. Vous pouvez
également sélectionner le niveau de détail des messages
d'événement. Celui-ci dépend toutefois du paramètre de
verbosité minimale dans la section Notifications par e-mail.
129
Nom de l'action
Protect
ion du
transpo
rt des
messag
es
Protecti
on de la
base de
données
de
boîtes
aux
lettres
Analyse
de base
de
données
de boîtes
Description
aux
lettres à
la
demand
e
Ignorer l'analyse
antispam
Le message n'est pas analysé par le moteur antispam.
Ignorer l'analyse
antivirus
Le message n'est pas analysé par le moteur antivirus.
Ignorer l'analyse antihameçonnage
Le message n'est pas analysé par l'anti-hameçonnage.
Évaluer d'autres
règles
Permet l'évaluation d'autres règles afin que l'utilisateur puisse
définir plusieurs ensembles de conditions et d'actions à
entreprendre en fonction de ces conditions.
Journaliser les
événements
Écrit des informations sur la règle appliquée dans le journal du
programme et définit le format des messages d'événement
(pour obtenir des suggestions, utilisez l'info-bulle).
Si vous configurez le type d'action Journaliser les événements
pour la protection de la base de données de boîtes aux lettres
avec le paramètre %IPAddress%, la colonne Événement des
fichiers journaux est vide pour cet événement spécifique.
Cette situation se produit, car il n'existe pas d'adresse IP au
niveau de la protection de la base de données de boîtes aux
lettres. Certaines options ne sont pas disponibles pour tous les
niveaux de protection :
%IPAddress% : cette option est ignorée par l'analyse de
base de données de boîtes aux lettres à la demande et la
protection de la base de données de boîtes aux lettres.
%Mailbox% : cette option est ignorée par la protection du
transport des messages.
Les options suivantes s'appliquent uniquement aux Règles de
traitement des pièces jointes :
%Attname% : cette option est ignorée par les Règles de
filtrage et les Règles de traitement des résultats.
%Attsize% : cette option est ignorée par les Règles de
filtrage et les Règles de traitement des résultats.
Ajouter un champ
d'en-tête
Ajoute une chaîne personnalisée à un en-tête de message.
Ajouter un préfixe
d'objet
Ajoute un préfixe à un objet.
130
Nom de l'action
Protect
ion du
transpo
rt des
messag
es
Protecti
on de la
base de
données
de
boîtes
aux
lettres
Analyse
de base
de
données
de boîtes
Description
aux
lettres à
la
demand
e
Remplacer la pièce
jointe par des
informations sur
l’action
Remplace la pièce jointe par un fichier texte contenant des
informations détaillées sur une action entreprise.
Supprimer les champs
d'en-tête
Supprime les champs de l'en-tête du message selon les
paramètres spécifiés.
Supprimer le message
Supprime un message infecté.
Déplacer le message
vers le dossier
Le message est déplacé vers le dossier spécifique.
Déplacer le message
vers la corbeille
Place un message électronique dans la corbeille du côté du
client de messagerie.
Appliquer la stratégie
DMARC
Si une condition du résultat DMARC est remplie, le message
électronique est géré selon la politique spécifiée dans
l'enregistrement DNS DMARC du domaine de l'expéditeur.
Si vous désactivez Protection antivirus dans le menu Configuration ou Paramètres avancés (F5) > Serveur > Antivirus
et antispyware pour la protection du transport des messages, cela aura une incidence sur ces actions de règle :
· Mettre en quarantaine la pièce jointe
· Supprimer la pièce jointe
6.5.3 Exemples de règle
Messages en quarantaine contenant un logiciel malveillant ou une pièce jointe protégée par mot de passe,
endommagée ou chiffrée
EXEMPLE
Objectif : Messages en quarantaine contenant un logiciel malveillant ou une pièce jointe protégée par mot de
passe, endommagée ou chiffrée
Créez la règle suivante pour la Protection du transport des messages:
Condition
Type : Résultat de l'analyse antivirus
Opération : n'est pas
Paramètre : Nettoyer
131
Action
Type : Message en quarantaine
Déplacer les messages n'ayant pas réussi la vérification SPF vers un dossier de courrier indésirable
EXEMPLE
Objectif : Déplacer les messages n'ayant pas réussi la vérification SPF vers un dossier de courrier indésirable
Créez la règle suivante pour la Protection du transport des messages:
Condition
Type : Résultat SPF
Opération : est
Paramètre : Échec
Action
Type : Définir la valeur SCL
Valeur : 5 (définissez la valeur sn le paramètre SCLJunkThreshold de la cmdlet Get-OrganizationConfig du
serveur Exchange Server. Pour plus d'informations, voir l'article sur les actions de seuil SCL.)
Supprimer les messages d'expéditeurs spécifiques
EXEMPLE
Objectif : Supprimer les messages d'expéditeurs spécifiques
Créez la règle suivante pour la Protection du transport des messages:
Condition
Type : Expéditeur
Opération : est / appartient à
Paramètre : [email protected], [email protected]
Action
Type : Supprimer le message en silence
Personnaliser une règle prédéfinie
EXEMPLE
Objectif : Personnaliser une règle prédéfinie
Détails : Autoriser les pièces jointes d'archive dans les messages provenant d'adresses IP spécifiées (dans le
cas de systèmes internes, par exemple) lors de l'utilisation de la règle Fichiers d'archive interdits en pièces
jointes
Ouvrez l'ensemble de règles Protection du transport des messages, sélectionnez Fichiers d'archive interdits en
pièces jointes et cliquez sur Modifier.
132
Condition
Type : Adresse IP de l'expéditeur
Opération : n'est pas / n'est aucun des
Paramètre : 1.1.1.2, 1.1.1.50-1.1.1.99
Corps du message
EXEMPLE
Objectif : Messages en quarantaine contenant une chaîne particulière dans le corps du message
Créez la règle suivante pour la protection du transport des messages :
Condition
Type : Corps du message
Opération : contient/contient un des, cliquez sur Ajouter, saisissez l'URL du site Web ou une partie de
celle-ci
Action
Type : Message en quarantaine
Stocker les messages des destinataires qui n'existent pas
EXEMPLE
Objectif : Stocker les messages des destinataires qui n'existent pas
Détails : Si vous souhaitez mettre en quarantaine tous les messages envoyés à des destinataires inexistants
(indépendamment de leur marquage par la protection antivirus ou antispam)
Condition
Type : Résultat de la validation de destinataire
Opération : est
Paramètre : Contient un destinataire non valide
Action
Type : Message en quarantaine
6.6 Protection du transport des messages
Vous pouvez configurer séparément des actions pour les menaces détectées sur la couche de transport de chaque
module ESET Mail Security (antivirus, Anti-hameçonnage et antispam).
Action à entreprendre si le nettoyage est impossible :
· Aucune action : permet de conserver les messages infectés qui ne peuvent pas être nettoyés.
· Mettre le message en quarantaine : permet de placer les messages infectés dans la boîte aux lettres de
quarantaine.
· Refuser le message : permet de refuser un message infecté.
· Supprimer le message en silence : permet de supprimer les messages sans envoyer de rapport de nonremise.
133
REMARQUE
Si vous sélectionnez Aucune action et si l'option Niveau de nettoyage est définie sur Pas de nettoyage dans
les paramètres ThreatSense de Antivirus et antispyware, l'état de protection prend la couleur jaune. Cette
combinaison présente un risque pour la sécurité et il n'est pas recommandé de l'utiliser. Modifiez un
paramètre pour assurer un bon niveau de protection.
Action à entreprendre sur le message de hameçonnage:
· Aucune action : permet de conserver le message même s'il est marqué comme étant un message de
hameçonnage.
· Mettre le message en quarantaine : permet de placer les messages marqués comme étant des messages de
hameçonnage dans la boîte aux lettres de quarantaine.
· Refuser le message : permet de refuser les messages marqués comme étant des messages de hameçonnage.
· Supprimer le message en silence : permet de supprimer les messages sans envoyer de rapport de nonremise.
Action à entreprendre sur le courrier indésirable :
· Aucune action : permet de conserver le message même s'il est marqué comme étant du courrier indésirable.
· Mettre le message en quarantaine : permet de placer les messages marqués comme étant du courrier
indésirable dans la boîte aux lettres de quarantaine.
· Refuser le message : permet de refuser les messages marqués comme étant indésirables.
· Supprimer le message en silence : permet de supprimer les messages sans envoyer de rapport de nonremise.
Réponse de refus SMTP
134
Vous pouvez spécifier un code de réponse, un code d'état et un message de réponse, qui définissent la réponse de
refus temporaire SMTP envoyée au serveur SMTP si un message est refusé. Vous pouvez saisir un message de
réponse au format suivant :
Code de réponse
Code d'état
Message de réponse
250
2.5.0
Requested mail action okay, completed (Action demandée sur courrier
OK, terminée)
451
4.5.1
Requested action aborted:local error in processing (Action demandée
abandonnée : erreur locale dans le traitement)
550
5.5.0
Requested action not taken:mailbox unavailable (Action demandée non
entreprise : boîte aux lettres indisponible)
554
5.6.0
Invalid content (Contenu non valide)
REMARQUE
vous pouvez également utiliser des variables système pour configurer des réponses de rejet SMTP.
Écrire les résultats de l'analyse dans les en-têtes de message
Lorsque cette option est activée, les résultats de l'analyse sont écrits dans des en-têtes de message. Ces entêtes de message commencent par X_ESET, ce qui permet de les reconnaître facilement ( X_EsetResult ou
X_ESET_Antispam , par exemple).
Ajouter une notification au corps des messages analysés offre trois options :
· Ne pas ajouter aux messages : les informations ne seront pas ajoutées.
· Ajouter uniquement aux messages infectés : est uniquement appliqué aux messages infectés.
· Ajouter à tous les messages (ne s'applique pas aux messages internes) : tous les messages seront marqués.
Modifier l'objet
Lorsque cette option est activée, vous pouvez modifier les modèles ajoutés à l'objet des messages infectés, des
courriers indésirables ou des messages de hameçonnage.
Texte ajouté à l'objet des messages infectés
ESET Mail Security ajoute une notification à l'objet du message dont la valeur est définie dans le champ de
texte Texte ajouté à l'objet des messages infectés (le texte prédéfini par défaut est [found threat %VIRUSNAME
%] ). Cette modification peut être utilisée pour automatiser le filtrage des messages infectés en filtrant les
messages avec un objet spécifique, à l'aide par exemple de règles ou du côté client (si cette option est prise en
charge par le client de messagerie) pour placer ces messages dans un dossier distinct.
Modèle ajouté à l’objet des messages indésirables
ESET Mail Security ajoute une notification à l'objet du message dont la valeur est définie dans le champ de
texte Modèle ajouté à l'objet des messages indésirables (le texte prédéfini par défaut est [SPAM]). Cette
modification peut être utilisée pour automatiser le filtrage du courrier indésirable en filtrant les messages avec
un objet spécifique, à l'aide par exemple de règles ou du côté client (si cette option est prise en charge par le
client de messagerie) pour placer ces messages dans un dossier distinct.
Modèle ajouté à l'objet des messages de hameçonnage
ESET Mail Security ajoute une notification à l'objet du message dont la valeur est définie dans le champ de
texte Modèle ajouté à l'objet des messages de hameçonnage (le texte prédéfini par défaut est [PHISH]). Cette
modification peut être utilisée pour automatiser le filtrage du courrier indésirable en filtrant les messages avec
un objet spécifique, à l'aide par exemple de règles ou du côté client (si cette option est prise en charge par le
client de messagerie) pour placer ces messages dans un dossier distinct.
135
REMARQUE
lors de la modification de texte, vous pouvez également utiliser des variables système qui seront ajoutées à
l'objet.
6.6.1 Configurations avancées du transport des messages
Vous pouvez personnaliser davantage les paramètres de la protection du transport des messages.
Analyser également les messages reçus à partir de connexions internes ou authentifiées par
Vous pouvez choisir le type d'analyse à effectuer sur les messages reçus des sources authentifiées ou des
serveurs locaux. L'analyse de ces messages est conseillée car elle optimise la protection. Elle est toutefois
nécessaire si vous utilisez le connecteur POP3 intégré de Microsoft SBS pour récupérer les messages
électroniques des serveurs POP3 externes ou des services de messagerie (Gmail.com, Outlook.com,
Yahoo.com, gmx.dem, par exemple). Pour plus d'informations, reportez-vous à la section Connecteur POP3 et
protection antispam. Sélectionnez le niveau de protection dans le menu déroulant. Il est recommandé d'utiliser
la protection antivirus (paramètre par défaut), tout particulièrement pour les connexions internes, car il est peu
probable que des messages de hameçonnage ou de spam soient diffusés via vos serveurs locaux. Vous pouvez
toutefois renforcer la protection du connecteur Microsoft SBS POP3 en sélectionnant Protection antivirus et
anti-hameçonnage ou même Protection antivirus, anti-hameçonnage et antispam.
REMARQUE
Ce paramètre active ou désactive la protection antispam pour les utilisateurs authentifiés et les connexions
internes. Les messages électroniques des connexions non authentifiées sont toujours analysés par l'antivirus,
même si l'option Ne pas analyser est sélectionnée.
REMARQUE
Les messages internes d'Outlook au sein de l'entreprise sont envoyés au format TNEF (Transport Neutral
Encapsulation Format). Le format TNEF n'est pas pris en charge par l'antispam. Par conséquent, les e-mails
internes au format TNEF ne seront pas analysés en vue de rechercher du courrier indésirable,
indépendamment du paramètre Analyser également les messages reçus à partir de connexions internes ou
authentifiées par.
Supprimer l'en-tête SCL existant avant l'analyse
Cette option est activée par défaut. Vous pouvez la désactiver si l'en-tête SCL (Spam Confidence Level) doit être
conservé.
136
6.7 Protection de la base de données de boîtes aux lettres
Si l'option Analyse proactive est activée, les nouveaux messages entrants sont analysés dans l'ordre dans lequel ils
ont été reçus. Si cette option est activée et qu'un utilisateur ouvre un message qui n'a pas encore été analysé, ce
message est analysé avant les autres messages dans la file d'attente.
Analyse en arrière-plan
Permet l'exécution de l'analyse de tous les messages en arrière-plan (l'analyse s'exécute dans le magasin des boîtes
aux lettres et des dossiers publics, comme la base de données Exchange). En fonction de différents facteurs tels que
la charge actuelle du système, le nombre d'utilisateurs actifs, etc., Microsoft Exchange Server décide si une analyse
en arrière-plan doit s'exécuter ou non. Microsoft Exchange Server conserve la liste des messages analysés et de la
version de la base des signatures de virus utilisée. Si vous ouvrez un message qui n'a pas été analysé par la base des
signatures de virus la plus à jour, Microsoft Exchange Server envoie le message à ESET Mail Security pour qu'il soit
analysé avant d'être ouvert dans le client de messagerie.
Vous pouvez choisir d'analyser uniquement les messages avec pièce jointe et de les filtrer en fonction de leur
heure de réception à l'aide des options Limite de durée de l'analyse suivantes :
·
·
·
·
·
·
Tous les messages
Messages reçus au cours de l’année dernière
Messages reçus au cours des 6 derniers mois
Messages reçus au cours des 3 derniers mois
Messages reçus au cours du dernier mois
Messages reçus au cours de la semaine dernière
L'analyse en arrière-plan pouvant avoir un impact sur la charge du système (elle est effectuée après chaque mise à
jour du moteur de détection), il est recommandé de planifier cette analyse en dehors des heures de travail.
L'analyse en arrière-plan planifiée peut être configurée par l'intermédiaire d'une tâche spécifique dans le
Planificateur. Lorsque vous planifiez une analyse en arrière-plan, vous pouvez définir l'heure de son lancement, le
137
nombre de répétitions et d'autres paramètres disponibles dans le Planificateur. Une fois planifiée, la tâche apparaît
dans la liste des tâches planifiées ; vous pouvez modifier ses paramètres, la supprimer ou la désactiver
temporairement.
Nombre de threads
Le nombre de threads d'analyse peut être compris entre 1 et 21. Vous pouvez définir le nombre de threads
d'analyse indépendants utilisés en même temps. Un nombre de threads supérieur sur des ordinateurs
multiprocesseur peut augmenter le taux d'analyse. Pour optimiser les performances du programme, il est
conseillé d'utiliser le même nombre de moteurs d'analyse ThreatSense et de threads d'analyse.
Analyser le corps des messages au format RTF
Active l'analyse des corps de messages RTF. Les corps de ces messages RTF peuvent contenir des macrovirus.
REMARQUE
les corps des messages en texte brut ne sont pas analysés par VSAPI.
Action à entreprendre si le nettoyage est impossible :
· Aucune action : aucune modification apportée au message n'est appliquée.
· Tronquer à une longueur nulle : la longueur de la pièce jointe sera réduite à zéro.
· Remplacer le contenu par des informations sur l'action : le corps d'origine sera remplacé par des informations
sur l'action. Le contenu de la pièce jointe sera remplacé par des informations sur l'action.
· Supprimer le message : le message sera supprimé.
Action à entreprendre sur le message de hameçonnage:
· Aucune action : aucune modification apportée au message n'est appliquée.
· Supprimer le message : le message sera supprimé.
REMARQUE
les dossiers publics sont traités comme les boîtes aux lettres. Cela signifie qu'ils sont également analysés.
6.7.1 Analyse en arrière-plan
Ce type de tâche permet une analyse en arrière-plan de la base de données via VSAPI. Il permet à Exchange Server
d'exécuter une analyse en arrière-plan en cas de besoin. L'analyse est déclenchée par Exchange Server, ce qui
signifie qu'Exchange Server est responsable de l'exécution de l'analyse dans le délai prévu.
Il est recommandé de permettre à cette tâche d'être exécutée en dehors des heures de pointe lorsqu'Exchange
Server n'est pas trop occupé (pendant la nuit, par exemple). L'analyse en arrière-plan de la base de données peut en
effet ajouter une charge supplémentaire sur le système. De plus, cette tâche ne doit pas être planifiée en même
temps que des sauvegardes d'Exchange Server afin d'éviter tout problème de performances ou de disponibilité.
REMARQUE
La protection de la base de données de boîtes aux lettres doit être activée pour que la tâche planifiée puisse
s'exécuter. Ce type de protection est uniquement disponible pour Microsoft Exchange Server 2010 et 2007 avec
le rôle serveur de boîte aux lettres (Microsoft Exchange 2010 et 2007).
Délai d'expiration (heures)
Indiquez le nombre d'heures durant lesquelles Exchange Server est autorisé à exécuter l'analyse en arrière-plan
de la base de données à partir de l'exécution de cette tâche planifiée. Une fois le délai d'expiration atteint,
Exchange doit arrêter l'analyse en arrière-plan.
138
6.8 Analyse de base de données de boîtes aux lettres à la demande
REMARQUE
Si vous exécutez Microsoft Exchange Server 2007 ou 2010, vous pouvez choisir entre la protection de la base de
données de boîtes aux lettres et une analyse de base de données de boîtes aux lettres à la demande. Seul un
type de protection peut être activé à la fois. Si vous choisissez d'utiliser l'analyse de base de données de boîtes
aux lettres à la demande, vous devez désactiver l'intégration de la protection de la base de données de boîtes
aux lettres dans Configuration avancée (F5), sous Serveur. Sinon, l'analyse de base de données de boîtes aux
lettres à la demande ne sera pas disponible.
Adresse de l'hôte
Nom ou adresse IP du serveur exécutant les services Web Exchange.
Nom d'utilisateur
Indiquez les informations d'identification de l'utilisateur qui dispose d'un accès adéquat aux services Web
Exchange.
Mot de passe utilisateur
Cliquez sur Définir en regard de Mot de passe de l'utilisateur, puis saisissez le mot de passe de ce compte
d'utilisateur.
IMPORTANT
Pour pouvoir analyser les dossiers publics, le compte utilisateur, employé pour l'analyse de base de données
de boîtes aux lettres à la demande, doit avoir une boîte aux lettres. Sinon, le message d'erreur Failed to load
public folders s'affiche dans le journal d'analyse de base de données, avec un message plus spécifique renvoyé
par Exchange.
Méthode d'accès aux boîtes aux lettres
Permet de sélectionner la méthode préférée d'accès aux boîtes aux lettres :
· Emprunt d'identité
Une configuration plus simple et plus rapide est Rôle ApplicationImpersonation qui doit être affecté au compte
d'analyse.
Attribuer le rôle ApplicationImpersonation à l'utilisateur
Si cette option est grisée, vous devez spécifier un nom d'utilisateur. Cliquez sur Attribuer pour attribuer
automatiquement le rôle ApplicationImpersonation à l'utilisateur sélectionné. Vous pouvez également
attribuer manuellement le rôle ApplicationImpersonation à un compte d'utilisateur. Une politique de limitation
EWS illimitée est créée pour le compte d'utilisateur. Pour plus d'informations, consultez Détails du compte
d'analyse de base de données.
· Délégation
Utilisez ce type d'accès si vous voulez exiger un ensemble de droits sur chaque boîte aux lettres, mais offrir des
performances supérieures en matière de vitesse lors de l'analyse de grandes quantités de données.
Accorder un accès délégué à l'utilisateur
Si cette option est grisée, vous devez spécifier un nom d'utilisateur. Cliquez sur Affecter pour accorder
automatiquement à l'utilisateur sélectionné un accès complet à toutes les boîtes aux lettres utilisateur et
partagées. Une politique de limitation EWS illimitée est créée pour le compte d'utilisateur. Pour plus
d'informations, consultez Détails du compte d'analyse de base de données.
Utilliser SSL
139
Cette option doit être activée si les services Web Exchange sont définis sur Exiger SSL dans IIS. Si SSL est activé,
le certificat Exchange Server doit être importé dans le système avec ESET Mail Security (si les rôles Exchange
Server se trouvent sur des serveurs différents). Les paramètres des services Web Exchange figurent dans IIS,
dans Sites/Default web site/EWS/SSL Settings.
REMARQUE
Désactivez l'option Utiliser SSL uniquement si les services Web Exchange sont configurés pour ne pas exiger
SSL dans IIS.
Ignorer l'erreur de certificat de serveur
Si vous utilisez un certificat signé automatiquement, vous pouvez ignorer l'erreur de certificat de serveur.
Certificat client
Ne doit être défini que si les services Web Exchange requièrent le certificat de client. Cliquez sur Sélectionner
pour sélectionner un certificat.
Action à entreprendre si le nettoyage est impossible
Ce champ d'action permet de bloquer le contenu infecté.
· Aucune action : aucune action à entreprendre sur le contenu infecté du message.
· L'action Déplacer le message vers la corbeille n'est pas prise en charge pour les éléments de dossier public.
L'action Supprimer l'objet sera utilisée à la place.
· Supprimer l'objet : supprime le contenu infecté du message.
· Supprimer le message : supprime l'intégralité du message, y compris son contenu infecté.
· Remplacer l’objet par des informations sur l’action : supprime un objet et ajoute des informations indiquant
que l'objet a été supprimé.
Action à entreprendre sur le message de hameçonnage:
· Aucune action : permet de conserver le message même s'il est marqué comme étant de l'hameçonnage.
· L'action Déplacer le message vers la corbeille n'est pas prise en charge pour les éléments de dossier public.
L'action Supprimer l'objet sera utilisée à la place.
· Supprimer le message : supprime l'intégralité du message, y compris son contenu infecté.
Nombre de threads d’analyse
Vous pouvez spécifier le nombre de threads que ESET Mail Security doit utiliser pour analyser les bases de
données. Plus le nombre de threads est élevé, plus les performances sont optimales. Le nombre de threads a
toutefois un impact sur le nombre de ressources utilisées. La valeur par défaut est de 4 threads d'analyse.
REMARQUE
Si l'analyse de base de données de boîtes aux lettres à la demande utilise trop de threads, la charge peut être
trop élevée sur le système, ce qui peut ralentir d'autres processus ou l'ensemble du système. Le message
d'erreur « Trop de connexions simultanées ouvertes » peut alors d'afficher.
Compte Office 365
Visible uniquement si vous disposez d'un environnement Office 365 hybride.
Nom d'utilisateur
Indiquez les informations d'identification de l'utilisateur qui dispose d'un accès adéquat aux services Web
Exchange.
Mot de passe utilisateur
Cliquez sur Définir en regard de Mot de passe de l'utilisateur, puis saisissez le mot de passe de ce compte
d'utilisateur.
140
Attribuer le rôle ApplicationImpersonation à l'utilisateur
Si cette option est grisée, vous devez spécifier un nom d'utilisateur. Cliquez sur Attribuer pour attribuer
automatiquement le rôle ApplicationImpersonation à l'utilisateur sélectionné. Vous pouvez également
attribuer manuellement le rôle ApplicationImpersonation à un compte d'utilisateur. Une politique de limitation
EWS illimitée est créée pour le compte d'utilisateur. Pour plus d'informations, consultez Détails du compte
d'analyse de base de données.
6.8.1 Analyse de base de données de boîtes aux lettres
L'exécution d'une analyse de base de données de messagerie complète peut entraîner une charge système
indésirable. Pour éviter ce problème, lancez une analyse sur des bases de données ou des boîtes aux lettres
spécifiques. Limitez davantage l'impact sur le système du serveur en filtrant les cibles à analyser à l'aide des
horodatages des messages.
IMPORTANT
Des règles incorrectement définies pour l'analyse de base de données de boîtes aux lettres à la demande
peuvent entraîner des modifications irréversibles dans les bases de données de boîtes aux lettres. Vérifiez
toujours que vous disposez de la sauvegarde la plus récente de vos bases de données de boîtes aux lettres
avant d'exécuter l'analyse de base de données de boîtes aux lettres à la demande avec des règles mises en
place pour la première fois. Il est aussi vivement recommandé de vérifier que les règles s'exécutent selon les
attentes. Dans le cadre d'une vérification, définissez des règles avec l'action Journaliser les événements
uniquement, car toute autre action peut apporter des modifications à vos bases de données de boîtes aux
lettres. Une fois la vérification terminée, vous pouvez ajouter des actions de règle de destruction telles que
Supprimer la pièce jointe.
Les types d'élément suivants sont analysés dans les dossiers publics et les boîtes aux lettres des utilisateurs :
·
·
·
·
·
·
Adresse électronique
Publication
Éléments de calendrier (réunions/rendez-vous)
Tâches
Contacts
Journal
Utilisez la liste déroulante pour sélectionner les messages à analyser en fonction de leur horodatage (les messages
modifiés au cours de la semaine dernière, par exemple). Vous avez également la possibilité d'analyser tous les
messages, si cela s'avère nécessaire
Pour activer ou désactiver l'analyse des pièces jointes, cochez la case située en regard de l'option Analyser
uniquement les messages avec pièce jointe. Cliquez sur Modifier pour sélectionner le dossier public à analyser.
141
Cochez les cases en regard des bases de données et des boîtes aux lettres du serveur à analyser. Le filtrage vous
permet de retrouver rapidement les bases de données et les boîtes aux lettres, tout particulièrement si votre
infrastructure Exchange contient un grand nombre de boîtes aux lettres.
Cliquez sur Enregistrer pour enregistrer les cibles à analyser et les paramètres dans le profil d'analyse à la demande.
Vous pouvez maintenant cliquer sur Analyser. Si vous n'avez pas spécifié auparavant les détails du compte d'analyse
142
de base de données une fenêtre contextuelle s'ouvre pour vous demander les identifiants. Si vous ne les indiquez
pas, l'analyse de base de données de boîtes aux lettres à la demande démarrera.
REMARQUE
Si vous exécutez Microsoft Exchange Server 2007 ou 2010, vous pouvez choisir entre la protection de la base de
données de boîtes aux lettres et une analyse de base de données de boîtes aux lettres à la demande. Seul un
type de protection peut être activé à la fois. Si vous choisissez d'utiliser l'analyse de base de données de boîtes
aux lettres à la demande, vous devez désactiver l'intégration de la protection de la base de données de boîtes
aux lettres dans Configuration avancée, sous Serveur. Sinon, l'analyse de base de données de boîtes aux
lettres à la demande ne sera pas disponible.
6.8.2 Analyse des boîtes aux lettres Office 365
ESET Mail Security propose une fonctionnalité d'analyse pour les environnements Office 365 hybrides. Elle n'est
disponible et visible dans ESET Mail Security que si vous disposez d'un environnement Exchange hybride (sur site et
dans le cloud). Les deux scénarios de routage sont pris en charge par Exchange Online ou par le biais de
l'organisation sur site. Pour plus d'informations, consultez Routage du transport dans les déploiements hybrides
d'Exchange .
Vous pouvez analyser les boîtes aux lettres distantes et les dossiers publics Office 365 comme vous le feriez avec
l'analyse de base de données de boîtes aux lettres à la demande.
L'exécution d'une analyse de base de données de messagerie complète peut entraîner une charge système
indésirable dans un environnement de grande taille. Pour éviter ce problème, lancez une analyse sur des bases de
données ou des boîtes aux lettres spécifiques. Pour réduire davantage l'impact sur le système, utilisez le filtre
temporel en haut de la fenêtre. Par exemple, au lieu d'utiliser Analyser tous les messages, vous pouvez
sélectionner Analyser les messages modifiés au cours de la semaine dernière.
143
Il est recommandé de configurer un compte Office 365. Appuyez sur la touche F5 et accédez à Serveur > Analyse de
base de données de boîtes aux lettres à la demande. Consultez également Détails du compte d'analyse de base de
données.
Pour afficher l'activité de l'analyse des boîtes aux lettres Office 365, consultez Fichiers journaux > Analyse de la base
de données de boîtes aux lettres.
6.8.3 Éléments de boîte aux lettres supplémentaires
Les paramètres de l'analyseur de base de données de boîtes aux lettres à la demande permettent d'activer ou de
désactiver l'analyse d'autres types d'élément de boîte aux lettres :
·
·
·
·
Analyser le calendrier
Analyser les tâches
Analyser les contacts
Analyser le journal
REMARQUE
si vous rencontrez des problèmes de performances, vous pouvez désactiver l'analyse de ces éléments. Les
analyses durent plus longtemps lorsque ces éléments sont activés.
6.8.4 Serveur proxy
Si vous utilisez un serveur proxy entre le serveur Exchange Server avec le rôle de serveur d'accès au client et le
serveur Exchange Server sur lequel ESET Mail Security est installé, indiquez les paramètres du serveur proxy. Ces
paramètres sont obligatoires, car ESET Mail Security se connecte à l'API des services Web via HTTP/HTTPS. Si vous ne
les indiquez pas, la boîte aux lettre de quarantaine et la quarantaine MS Exchange ne fonctionneront pas.
Serveur proxy
Saisissez l'adresse IP ou le nom du serveur proxy utilisé.
Port
Saisissez le numéro de port du serveur proxy.
Nom d'utilisateur, mot de passe
Saisissez les informations d'identification si le serveur proxy nécessite une authentification.
6.8.5 Détails du compte d'analyse de base de données
Cette boîte de dialogue s'affiche si vous n'avez pas indiqué un nom d'utilisateur ni un mot de passe pour l'analyse
de base de données. Indiquez les informations d'identification de l'utilisateur ayant accès aux services Web
Exchange dans cette fenêtre indépendante, puis cliquez sur OK. Vous pouvez également accéder à Configuration
avancée en appuyant sur F5 et atteindre Serveur > Analyse de base de données de boîtes aux lettres à la demande.
Tapez un nom d'utilisateur, cliquez sur Définir, tapez un mot de passe, puis cliquez sur OK.
Cliquez sur la case à cocher située en regard de l'option Enregistrer les informations du compte pour enregistrer les
paramètres du compte. Sinon, vous devrez les taper à chaque fois que vous exécutez une analyse de base de
données de boîtes aux lettres à la demande.
144
Si un compte d'utilisateur ne dispose pas d'un accès adéquat aux services Web Exchange, vous pouvez sélectionner
Créer l'attribution du rôle « ApplicationImpersonation » pour attribuer ce rôle au compte d'utilisateur. Vous pouvez
également attribuer manuellement le rôle ApplicationImpersonation (voir la section Remarque ci-dessous).
IMPORTANT
Le compte d'analyse doit disposer du rôle ApplicationImpersonation pour permettre au moteur d'analyse
d'analyser les boîtes aux lettres des utilisateurs dans la ou les bases de données de boîtes aux lettres
Exchange. Si vous exécutez Exchange Server 2010 ou une version ultérieure, une stratégie de limitation EWS
illimitée est créée pour le compte d'utilisateur. Veillez à configurer la stratégie de limitation EWS pour le
compte d'analyse afin d'éviter trop de demandes d'opération par ESET Mail Security, ce qui pourrait entraîner
l'expiration de certaines demandes. Pour plus d'informations sur les stratégies de limitation, voir les articles
Meilleures pratiques EWS et Présentation des stratégies de limitation du client . Pour obtenir des
informations détaillées et des exemples, voir aussi Modifier les paramètres de limitation d'utilisateurs pour
un utilisateur spécifique .
Si vous souhaitez attribuer manuellement le rôle ApplicationImpersonation à un compte d'utilisateur et créer une
politique de bande passante EWS pour ce compte, vous pouvez utiliser les commandes suivantes (remplacez ESETuser par un nom de compte dans votre système ; vous pouvez également définir des limites pour la nouvelle
politique de bande passante EWS en remplaçant $null par des nombres) :
Exchange Server 2007
Get-ClientAccessServer | Add-AdPermission -User ESET-user -ExtendedRights ms-Exch-EPIImpersonation
Get-MailboxDatabase | Add-AdPermission -User ESET-user -ExtendedRights ms-Exch-EPI-MayImpersonate
Exchange Server 2010
New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation -Role:ApplicationImpersonation User ESET-user
L'application de cette commande peut prendre quelques instants.
New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSFindCountLimit $null EWSFastSearchTimeoutInSeconds $null -EWSMaxConcurrency $null -EWSPercentTimeInAD $null EWSPercentTimeInCAS $null -EWSPercentTimeInMailboxRPC $null
Set-ThrottlingPolicyAssociation -Identity user-ESET -ThrottlingPolicy ESET-ThrottlingPolicy
Exchange Server 2013, 2016 et 2019
New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation -Role:ApplicationImpersonation User ESET-user
145
Exchange Server 2007
Get-ClientAccessServer | Add-AdPermission -User ESET-user -ExtendedRights ms-Exch-EPIImpersonation
Get-MailboxDatabase | Add-AdPermission -User ESET-user -ExtendedRights ms-Exch-EPI-MayImpersonate
L'application de cette commande peut prendre quelques instants.
New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSMaxConcurrency Unlimited -EwsCutoffBalance
Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited
Set-ThrottlingPolicyAssociation -Identity ESET-user -ThrottlingPolicy ESET-ThrottlingPolicy
6.9 Types de quarantaine de messages
Le gestionnaire de quarantaine de messages est disponible pour les trois types de quarantaine :
· Quarantaine locale
· Boîte aux lettres de quarantaine
· Quarantaine MS Exchange
Vous pouvez afficher le contenu de la quarantaine de messages dans le gestionnaire de quarantaine de messages
pour tous les types de quarantaine. La quarantaine locale peut être en outre affichée dans l'interface Web
Quarantaine de messages.
Stocker les messages des destinataires qui n'existent pas
Ce paramètre s'applique aux messages qui sont marqués comme mis en quarantaine selon des règles, par la
protection antivirus ou la protection antispam. Lorsque cette option est activée, les messages qui ont été
envoyés aux destinataires qui n'existent pas dans Active Directory sont stockés dans la quarantaine de
messages. Désactivez cette fonctionnalité si vous ne souhaitez pas conserver ces messages dans la quarantaine
de messages. Lorsque la fonctionnalité est désactivée, les messages destinés à des destinataires inconnus sont
supprimés en silence.
Voir l'exemple : si vous souhaitez mettre en quarantaine tous les messages envoyés à des destinataires
inexistants.
Ignorer l'évaluation des règles lors de la libération des messages électroniques
Si vous souhaitez libérer un message de la quarantaine, celui-ci n'est pas évalué par des règles. Ainsi, le
message ne sera pas replacé dans la quarantaine et il sera remis correctement au destinataire. Cette
fonctionnalité est utilisée uniquement lorsque l'administrateur libère le message. Si vous désactivez cette
fonctionnalité ou si un message est libéré par un utilisateur autre qu'un administrateur, celui-ci est évalué par
des règles.
REMARQUE
Les deux paramètres ci-dessus sont disponibles uniquement pour Microsoft Exchange Server 2007 et les
versions ultérieures.
Valeur initiale des signatures de courrier électronique pour un environnement multiserveur
Permet d'ignorer l'évaluation des règles lors de la diffusion d'e-mails dans un environnement multiserveur.
Saisissez la même valeur initiale (chaîne de caractères semblable à une phrase secrète) sur tous les serveurs
lorsque vous souhaitez établir une relation de confiance.
Format de l'enveloppe de la pièce jointe
Lorsque le message électronique est libéré de la quarantaine, il est ajouté en tant que pièce jointe à un
nouveau message (enveloppe de pièce jointe) qui est ensuite remis au destinataire. Le destinataire reçoit le
message d'origine qui est libéré de la quarantaine en tant que pièce jointe. Vous pouvez utiliser le format
prédéfini de l'enveloppe ou le modifier selon vos besoins en utilisant les variables disponibles.
146
Utiliser ESET Cluster pour stocker tous les messages en quarantaine sur un nœud
Si vous utilisez ESET Cluster, cette option devient disponible. Il est recommandé d'utiliser cette fonction, car
elle permet de conserver stocké le fichier de quarantaine locale à un seul emplacement, le nœud principal.
Nœud principal
Sélectionnez le nœud qui deviendra le nœud principal pour le stockage du fichier de quarantaine locale. Vous
gérerez la mise en quarantaine sur le nœud principal (vous pouvez utiliser le gestionnaire de quarantaine de
messages à partir de l'interface utilisateur graphique principale ou l'interface Web Quarantaine de messages).
6.9.1 Quarantaine locale
La quarantaine locale utilise votre système de fichiers local pour stocker les messages électroniques mis en
quarantaine et une base de données SQLite en tant qu'index. Les fichiers de base de données et les fichiers des
messages électroniques mis en quarantaine stockés sont chiffrés pour des raisons de sécurité. Ces fichiers figurent
dans C:\ProgramData\ESET\ESET Mail Security\MailQuarantine (dans Windows Server 2008 SP2 et 2012).
REMARQUE
Si vous souhaitez que les fichiers en quarantaine soient stockés sur un disque autre que le lecteur C: par
défaut, remplacez le chemin d'accès du dossier de données pendant l'installation de ESET Mail Security.
Fonctionnalités de la quarantaine locale :
· Le courrier indésirable et les messages électroniques en quarantaine sont stockés dans un système de
fichiers local, et non dans une base de données de boîtes aux lettres Exchange.
· Chiffrement et compression des fichiers des messages électroniques mis en quarantaine stockés localement.
· Solution Interface Web Quarantaine de messages utilisée à la place du gestionnaire de quarantaine de
messages.
· Les rapports de mise en quarantaine peuvent être envoyés à une adresse électronique spécifiée à l'aide
d'une tâche planifiée.
· Les fichiers des messages électroniques mis en quarantaine supprimés de la fenêtre de quarantaine (au
terme de 21 jours par défaut) sont stockés dans un système de fichiers (jusqu'à ce que la suppression
automatique ait lieu après un nombre spécifié de jours).
· Suppression automatique des anciens fichiers de messages électroniques (au terme de 3 jours par défaut).
Pour plus d'informations, consultez les paramètres de stockage des fichiers.
· Vous pouvez restaurer les fichiers des messages électroniques mis en quarantaine supprimés à l'aide d'eShell
(à condition qu'ils n'aient pas encore été supprimés du système de fichiers).
· Inspectez les messages électroniques mis en quarantaine et décidez de les supprimer ou de les libérer. Pour
afficher et gérer de manière locale les messages électroniques mis en quarantaine, vous pouvez utiliser le
gestionnaire de quarantaine de messages à partir de l'interface utilisateur graphique principale ou l'interface
Web Quarantaine de messages.
REMARQUE
L'option Quarantaine locale présente un désavantage : si vous exécutez plusieurs serveurs ESET Mail Security
dotés du rôle Serveur de transport Hub, vous devez gérer séparément la quarantaine locale de chaque serveur.
Plus vous disposez de serveurs de messagerie, plus le nombre de mises en quarantaine à gérer sera important.
147
6.9.1.1 Stockage de fichiers
Dans cette section, vous pouvez modifier les paramètres du stockage des fichiers utilisé par la quarantaine locale.
Compresser les fichiers mis en quarantaine
Les fichiers mis en quarantaine compressés occupent moins d'espace disque. Si vous ne souhaitez pas
compresser les fichiers, utilisez la barre du curseur pour désactiver la compression.
Effacer les anciens fichiers après (jours)
Lorsque les messages atteignent le nombre de jours spécifié, ils sont supprimés de la fenêtre de quarantaine.
Toutefois, les fichiers ne sont pas supprimés du disque pendant le nombre de jours spécifié dans Effacer les
fichiers supprimés après (jours). Comme les fichiers ne sont pas supprimés du système de fichiers, il est
possible de les récupérer à l'aide d'eShell.
Effacer les fichiers supprimés après (jours)
Supprime les fichiers du disque après le nombre de jours spécifié. Aucune récupération n'est possible après la
suppression des fichiers (à moins qu'une solution de sauvegarde du système ne soit en place).
6.9.1.2 Interface Web
L'interface Web Quarantaine de messages est une solution que vous pouvez utiliser à la place du gestionnaire de
quarantaine de messages. Elle n'est toutefois disponible que pour la quarantaine locale.
REMARQUE
L'interface Web Quarantaine de messages n'est pas disponible sur un serveur avec le rôle serveur de transport
Edge, car Active Directory n'est pas accessible pour l'authentification.
L'interface Web Quarantaine de messages permet d'afficher l'état de la quarantaine des messages. Elle permet
également de gérer les objets des messages électroniques mis en quarantaine. Cette interface Web est accessible
par le biais des liens contenus dans les rapports de mise en quarantaine ou en saisissant une URL dans votre
navigateur Web. Pour accéder à l'interface Web Quarantaine de messages, vous devez vous authentifier à l'aide des
informations d'identification du domaine. Internet Explorer effectue automatiquement l'authentification pour un
utilisateur du domaine. Toutefois, le certificat de la page Web doit être valide, la connexion automatique doit
être activée dans Microsoft Internet Explorer et vous devez ajouter le site Web Quarantaine de messages aux sites
de l'intranet local.
Les utilisateurs qui figurent dans Active Directory peuvent accéder à l'interface Web Quarantaine de messages. Ils
ne peuvent toutefois afficher que les éléments mis en quarantaine qui ont été envoyés à leur adresse électronique
(alias, y compris). L'administrateur peut afficher tous les éléments mis en quarantaine de tous les destinataires.
IMPORTANT
ESET Mail Security n'utilise pas IIS pour exécuter l'interface Web Quarantaine de messages. L'application utilise
à la place l'API Serveur HTTP qui prend en charge SSL pour permettre les échanges de données via des
connexions HTTP sécurisées.
URL de l'interface web
Il s'agit de l'URL à laquelle l'interface Web Quarantaine de messages est disponible. Par défaut, il s'agit du nom de
domaine complet du serveur suivi de /quarantine ( mailserver.company.com/quarantine, par exemple). Vous
pouvez spécifier votre propre répertoire virtuel au lieu du répertoire /quarantine par défaut. Vous pouvez modifier
l'URL Web à tout moment en changeant sa valeur.
La valeur de l'URL Web doit être spécifiée sans schéma (HTTP, HTTPS) et sans numéro de port. Utilisez uniquement
la forme fqdn/virtualdirectory. Vous pouvez également utiliser des caractères génériques au lieu d'un nom de
domaine complet.
148
Une fois l'URL Web modifiée, il n'est pas possible de rétablir la valeur par défaut en cliquant sur l'icône de
rétablissement Supprimez l'entrée et laissez la zone de texte vide. Redémarrez votre serveur. Lorsque ESET Mail
Security démarre et constate que l'URL Web est vide, il remplit automatiquement le champ avec la valeur fqdn/
quarantine par défaut.
REMARQUE
ESET Mail Security prend en charge des URL Web sous quatre formes différentes :
Caractère générique fort ( +/quarantine)
Explicite ( mydomain.com/quarantine)
Caractère générique faible lié à IP ( 192.168.0.0/quarantine)
Caractère générique faible ( */quarantine)
Pour plus d'informations, voir la section Host-Specifier Categories de l'article UrlPrefix Strings
(en anglais).
Langue des rapports et Web
Permet de définir la langue de l'interface Web de la quarantaine et des rapports de mise en quarantaine.
Port HTTPS
Utilisé pour l'interface Web. Le numéro de port par défaut est 443.
Port HTTP
Utilisé pour libérer les messages électroniques de la quarantaine via des rapports sur les messages
électroniques.
IMPORTANT
Si un certificat SSL n'est pas installé sur IIS, configurez la liaison de port HTTPS. Si vous modifiez le numéro de
port pour HTTPS ou HTTP, veillez à ajouter la liaison de port correspondante dans IIS .
Consigner l'action de version dans les événements
Lors de la libération d'éléments de la quarantaine des messages, cette action est écrite dans les fichiers
journaux.
Autoriser les administrateurs par défaut
Par défaut, les membres du groupe Administrateurs se voient accorder un accès administrateur à l'interface
Web Quarantaine de messages. Un accès administrateur n'a aucune limite et permet à l'administrateur
d'afficher tous les éléments mis en quarantaine de tous les destinataires. Si vous désactivez cette option, seul
les comptes d'administrateur ont un accès à l'interface Web Quarantaine de messages.
Droits d'accès supplémentaires
Accordez aux utilisateurs un droit d'accès supplémentaire à l'interface Web Quarantaine de messages et choisir
un type d'accès. Pour ouvrir la fenêtre Droits d'accès supplémentaires, cliquez sur Modifier. Cliquez sur Ajouter
pour accorder l'accès à un utilisateur. Dans la fenêtre contextuelle Nouveau droit d'accès, cliquez sur
Sélectionner, choisissez un utilisateur dans Active Directory (vous pouvez choisir un seul utilisateur), puis le
type d'accès dans la liste déroulante :
· Administrateur : l'utilisateur dispose d'un accès administrateur à l'interface Web Quarantaine de messages.
· Accès délégué : utilisez ce type d'accès si vous souhaitez (déléguer) qu'un utilisateur puisse afficher et gérer
les messages mis en quarantaine d'un autre destinataire. Indiquez l'adresse du destinataire en saisissant
l'adresse électronique d'un utilisateur dont les messages mis en quarantaine seront gérés par le délégué. Si
un utilisateur possède des alias dans Active Directory, vous pouvez ajouter des droits d'accès
supplémentaires à chaque alias, si vous le souhaitez.
149
Exemple d'utilisateurs à qui des droits d'accès supplémentaires ont été accordés pour l'interface Web Quarantaine
de messages :
Pour accéder à l'interface Web Quarantaine de messages, ouvrez votre navigateur Web et utilisez l'URL spécifiée
dans la zone Configuration avancée (F5) > Serveur > Quarantaine de messages > Interface Web > URL Web.
150
Libérer
Libère le ou les messages électroniques pour le ou les destinataires d'origine à l'aide du répertoire de lecture et
le supprime de la quarantaine. Cliquez sur Soumettre pour confirmer l'action.
REMARQUE
Lorsque vous libérez un message électronique de la quarantaine, ESET Mail Security ignore l'en-tête MIME To:,
car il peut être facilement usurpé. Il utilise à la place les informations de destinataire d'origine de la
commande RCPT TO:, acquises pendant la connexion SMTP. Le destinataire correct reçoit ainsi le message qui
est libéré de la quarantaine.
Supprimer
Supprime l'élément de la quarantaine. Cliquez sur Soumettre pour confirmer l'action.
Lorsque vous cliquez sur Objet, une fenêtre indépendante s'ouvre. Elle contient des détails sur le message
électronique mis en quarantaine tels que le type, le motif, l'expéditeur, la date, les pièces jointes, etc.
151
152
Cliquez sur Afficher les en-têtes pour consulter l'en-tête des messages électroniques mis en quarantaine.
Si vous le souhaitez, cliquez sur Libérer ou Supprimer pour exécuter une action sur un message électronique mis en
quarantaine.
REMARQUE
vous devez fermer la fenêtre de votre navigateur pour vous déconnecter complètement de l'interface Web
Quarantaine de messages. Sinon, cliquez sur Atteindre la vue de quarantaine pour revenir à l'écran précédent.
IMPORTANT
153
Si vous rencontrez des problèmes pour accéder à l'interface Web Quarantaine de messages à partir de votre
navigateur ou si l'erreur HTTP Error 403.4 - Forbidden (ou une erreur similaire) s'affiche, vérifiez quel type
de quarantaine est sélectionné et assurez-vous que les options Quarantaine locale et Activer l'interface Web
sont activées.
6.9.1.2.1 Envoyer les rapports de mise en quarantaine des messages - tâche planifiée
Les rapports de mise en quarantaine des messages sont des e-mails de notification envoyés aux utilisateurs et aux
administrateurs sélectionnés afin de les informer de la mise en quarantaine de leurs e-mails par ESET Mail Security.
Ces rapports contiennent des liens qui vous permettent, ainsi qu'aux utilisateurs qui reçoivent les rapports de mise
en quarantaine des messages, de supprimer ou de libérer (envoyer) directement les faux positifs. La diffusion de
certains messages filtrés par des règles ou mis en quarantaine par la protection antivirus n'est pas autorisée pour les
utilisateurs standard.
La tâche Envoyer les rapports de mise en quarantaine des messages / Envoyer les rapports administrateur de mise
en quarantaine des messages envoie un rapport de mise en quarantaine des messages par e-mail selon la tâche
planifiée spécifiée. Voici un exemple de rapport de mise en quarantaine des messages utilisateur :
Le rapport de mise en quarantaine des messages contient aussi un lien vers l'interface Web Quarantaine de
messages pour les utilisateurs (ouvrir la visionneuse en ligne).
154
REMARQUE
La tâche Envoyer les rapports de mise en quarantaine des messages n'est disponible que lorsque vous utilisez
l'option Quarantaine locale. Vous ne pouvez pas l'utiliser avec la boîte aux lettres de quarantaine et la
quarantaine MS Exchange.
Adresse de l’expéditeur
Indiquez une adresse électronique à afficher en tant qu'expéditeur du rapport de mise en quarantaine des
messages.
Nombre maximal d'entrées dans le rapport
Vous pouvez limiter le nombre d'entrées par rapport. Le nombre par défaut est défini sur 50.
URL du site Web
Cette URL est incluse dans le rapport de mise en quarantaine des messages afin que le destinataire puisse
simplement cliquer sur le lien pour accéder à l'interface web Quarantaine de messages.
Destinataires
Sélectionnez les utilisateurs qui recevront les rapports de mise en quarantaine des messages. Cliquez sur
Modifier pour sélectionner les boîtes aux lettres de destinataires spécifiques.
REMARQUE
Le rapport Quarantaine de messages n'est envoyé que si des messages ont été mis en quarantaine. Si la
quarantaine est vide, le rapport n'est pas envoyé.
EXEMPLE
Objectif : Créer une tâche planifiée pour vous envoyer régulièrement des rapports de mise en quarantaine des
messages en tant qu'administrateur ou pour informer les utilisateurs du courrier indésirable stocké dans la
quarantaine des messages
Accédez à Outils > Planificateur > Ajouter une tâche, puis ouvrez l'assistant.
Entrez le nom de la tâche.
Sélectionnez le type de tâche dans le menu déroulant : Envoyer les rapports de mise en quarantaine des
messages (le rapport ne contient que le courrier indésirable d'un utilisateur spécifique) ou Envoyer les
rapports administrateur de mise en quarantaine des messages (le rapport contient tous les messages, à savoir
la totalité de la quarantaine), puis cliquez sur Suivant.
Sélectionnez l'une des options pour définir lorsque vous souhaitez exécuter la tâche. Par exemple,
Hebdomadaire à 10.00.00 le Vendredi.
Indiquez l'adresse de l'expéditeur ([email protected]).
Cliquez sur Modifier pour ajouter des destinataires à partir de la liste Sélectionnez les boîtes aux lettres des
utilisateurs qui recevront les rapports de mise en quarantaine des messages.
155
6.9.1.2.2 Interface Web Quarantaine de messages pour les utilisateurs
Vous avez accès à une interface Web où vous pouvez gérer les messages mis en quarantaine tels que le courrier
indésirable ou les messages de hameçonnage, ainsi que les messages filtrés par des règles définies par
l'administrateur. Normalement, vous pouvez uniquement afficher les messages envoyés à votre adresse e-mail et
mis en quarantaine. Toutefois, si la gestion des messages mis en quarantaine d'autres utilisateurs vous a été
déléguée, vous les afficherez également. Vous pouvez distinguer les messages en fonction des destinataires.
Utilisez la fonction de recherche pour filtrer les messages par destinataire, par exemple.
Vous pouvez choisir une action à exécuter sur un message ou plusieurs messages, telle que libérer, supprimer ou
aucune action. La disponibilité des actions dépend du niveau d'accès et des paramètres de la règle. Par exemple,
vous ne pourrez peut-être pas libérer ou supprimer certains types de messages.
Si un accès administrateur vous a été accordé, vous verrez tous les messages mis en quarantaine pour tous les
utilisateurs et pourrez effectuer n'importe quelle action.
Gestion des messages en quarantaine:
· L'interface Web Quarantaine de messages permet d'afficher ce qui a été mis en quarantaine. Si vous disposez
d'un accès délégué ou du rôle d'administrateur, vous afficherez aussi les autres messages mis en quarantaine.
· Vous pouvez modifier le nombre d'entrées par page (taille de la page) dans le coin inférieur gauche de la
fenêtre.
· Si les messages sont trop nombreux, utilisez la fonctionnalité de recherche dans la barre supérieure pour
rechercher un e-mail spécifique ou filtrez le contenu par Objet, Expéditeur ou Destinataire (l'option
Destinataire est uniquement disponible pour les utilisateurs qui disposent d'un accès délégué ou
administrateur). En outre, vous pouvez utiliser les cases à cocher pour afficher uniquement un message d'un
certain type (courrier indésirable, logiciel malveillant, règle, hameçonnage).
· Pour libérer (remettre) un message qui a été mis en quarantaine parce qu'il a été marqué comme faux positif
pendant la classification, utilisez les boutons radio sur la droite et sélectionnez Libérer. Pour supprimer un
156
message, sélectionnez l'action Supprimer. Vous pouvez sélectionner plusieurs messages en même temps.
Une fois votre sélection terminée, cliquez sur Envoyer. Les messages marqués comme devant être libérés
sont ensuite remis dans votre boîte aux lettres ou dans celle du destinataire d'origine si vous disposez d'un
accès délégué et libérez des messages pour d'autres utilisateurs. Les messages marqués comme devant être
supprimés sont définitivement supprimés de la quarantaine.
REMARQUE
Une fois que vous avez cliqué sur Envoyer, les deux actions Libérer et Supprimer sont irréversibles.
· L'affichage est actualisé automatiquement lorsque vous cliquez sur Envoyer. Vous pouvez aussi l'actualiser
manuellement à l'aide du bouton d'actualisation de votre navigateur Web ou en appuyant sur la touche F5 du
clavier.
REMARQUE
Seuls le courrier indésirable et les messages de hameçonnage peuvent être libérés. La libération des messages
de type logiciel malveillant et type de règle n'est pas autorisée. Si vous devez libérer un message de ce type,
demandez de l'aide à votre administrateur.
· Il n'est pas nécessaire de supprimer régulièrement les messages mis en quarantaine. Ils sont supprimés
automatiquement après une période spécifiée par l'administrateur.
REMARQUE
Vous devez fermer la fenêtre de votre navigateur Web pour vous déconnecter complètement de l'interface
Web Quarantaine de messages. Sinon, cliquez sur Atteindre la vue de quarantaine pour revenir à l'écran
précédent.
6.9.2 Boîte aux lettres de quarantaine et quarantaine MS Exchange
Si vous choisissez de ne pas utiliser l'option Quarantaine locale, vous disposez de deux autres options : Boîte aux
lettres de quarantaine et Quarantaine MS Exchange. Quelle que soit l'option choisie, vous devez créer un utilisateur
dédié avec une boîte aux lettres (par exemple quarantaine [email protected]) qui sera utilisée pour
stocker les messages électroniques mis en quarantaine. Cet utilisateur et la boîte aux lettres seront également
utilisés par le gestionnaire de quarantaine de messages pour afficher et gérer les éléments en quarantaine. Vous
devez indiquer les détails du compte de cet utilisateur dans les Paramètres du gestionnaire de la mise en
quarantaine.
REMARQUE
L'avantage de l'utilisation des options Boîte aux lettres de quarantaine/ Quarantaine MS Exchange par rapport à
l'option Quarantaine locale réside dans le fait que les éléments de quarantaine de messages sont gérés à partir
d'un seul et même emplacement, indépendamment du nombre de serveurs dotés du rôle Serveur de transport
Hub. Contrairement à la quarantaine locale, le courrier indésirable et les messages électroniques en
quarantaine des options Boîte aux lettres de quarantaine/ Quarantaine MS Exchange sont stockés dans la ou
les bases de données de boîtes aux lettres Exchange. Toute personne disposant d'un accès à la boîte aux lettres
de quarantaine peut gérer les messages en quarantaine.
Lorsque l'on compare Boîte aux lettres de quarantaine et Quarantaine MS Exchange, les deux options utilisent une
boîte aux lettres dédiée comme mécanisme sous-jacent pour stocker les messages mis en quarantaine, mais
diffèrent légèrement dans la façon dont les messages électroniques sont remis dans la boîte aux lettres. Boîte aux
lettres de quarantaine et Quarantaine MS Exchange :
Boîte aux lettres de quarantaine
157
ESET Mail Security crée un courrier électronique de wrapper distinct avec des informations supplémentaires et les
messages électroniques d'origine sous forme de pièce jointe et les envoie à la boîte aux lettres.
Indiquez l'adresse de quarantaine des messages (par exemple quarantaine [email protected]).
IMPORTANT
Il n'est pas recommandé d'utiliser le compte d'utilisateur Administrateur en tant que boîte aux lettres de
quarantaine.
Quarantaine MS Exchange
Exchange Server est chargé d'envoyer le courrier électronique à la boîte aux lettres. La boîte aux lettres doit être
définie en tant que quarantaine au niveau de l'organisation dans Active Directory (par une commande PowerShell
indiquée ci-dessous).
REMARQUE
Par défaut, cette quarantaine interne n'est pas activée dans Microsoft Exchange Server. S'il n'est pas activé,
ouvrez l'environnement de ligne de commande Exchange Management Shell et entrer la commande suivante
(remplacez [email protected] par l'adresse réelle de la boîte aux lettres dédiée) :
Set-ContentFilterConfig -QuarantineMailbox [email protected]
ESET Mail Security utilise le système de quarantaine Microsoft Exchange (cela s'applique à Microsoft Exchange
Server 2007 et version ultérieure). Dans ce cas, le mécanisme interne Exchange stocke les messages
potentiellement infectés et le courrier potentiellement indésirable.
6.9.2.1 Paramètres du gestionnaire de la mise en quarantaine
Adresse de l'hôte
Apparaît automatiquement si le serveur Exchange Server avec le rôle de serveur d'accès au client est présent
localement. Si le rôle de serveur d'accès au client n'est pas présent sur le serveur sur lequel ESET Mail Security
est installé mais s'il peut être détecté dans Active Directory, l'adresse de l'hôte apparaît aussi
automatiquement. Si elle n'apparaît pas, vous pouvez saisir manuellement le nom de l'hôte. La détection
automatique ne fonctionne pas avec le rôle de serveur de transport Edge. L'adresse IP n'est pas prise en charge.
Vous devez utiliser le nom de l'hôte du serveur d'accès au client.
Nom d'utilisateur
Compte d'utilisateur de quarantaine dédié que vous avez créé pour stocker les messages mis en quarantaine
(ou compte ayant accès à cette boîte aux lettres via la délégation d'accès). Pour le rôle de serveur de transport
Edge qui n'appartient pas au domaine, il est nécessaire d'utiliser l'adresse électronique complète
([email protected], par exemple).
Mot de passe
Saisissez le mot de passe de votre compte de quarantaine.
Utilliser SSL
Cette option doit être activée si les services Web Exchange sont définis sur Exiger SSL dans IIS. Si SSL est activé,
le certificat Exchange Server doit être importé dans le système avec ESET Mail Security (si les rôles Exchange
Server se trouvent sur des serveurs différents). Les paramètres des services Web Exchange figurent dans IIS,
sous Sites/Default web site/EWS/SSL Settings.
REMARQUE
Désactivez l'option Utiliser SSL uniquement si les services Web Exchange sont configurés pour ne pas exiger
SSL dans IIS.
Ignorer les erreurs de certificat de serveur
158
Ignore les états suivants : self-signed, wrong name in certificate, wrong usage, expired.
6.9.2.2 Serveur proxy
Si vous utilisez un serveur proxy entre le serveur Exchange Server avec le rôle de serveur d'accès au client et le
serveur Exchange Server sur lequel ESET Mail Security est installé, indiquez les paramètres du serveur proxy. Ces
paramètres sont obligatoires, car ESET Mail Security se connecte à l'API des services Web via HTTP/HTTPS. Si vous ne
les indiquez pas, la boîte aux lettre de quarantaine et la quarantaine MS Exchange ne fonctionneront pas.
Serveur proxy
Saisissez l'adresse IP ou le nom du serveur proxy utilisé.
Port
Saisissez le numéro de port du serveur proxy.
Nom d'utilisateur, mot de passe
Saisissez les informations d'identification si le serveur proxy nécessite une authentification.
6.9.3 Détails du compte du gestionnaire de mise en quarantaine
Cette boîte de dialogue s'affiche si vous n'avez pas spécifié de détails de compte (nom d'utilisateur et mot de passe)
pour le Gestionnaire de mise en quarantaine. Indiquez les informations d'identification d'un utilisateur disposant
d'un accès à la boîte aux lettres de quarantaine, puis cliquez sur OK. Vous pouvez également appuyer sur F5 pour
accéder à Configuration avancée et atteindre Serveur > Quarantaine des messages > Paramètres du gestionnaire de
la mise en quarantaine. Saisissez le nom d'utilisateur et le mot de passe de la boîte aux lettres de quarantaine.
Cliquez sur la case à cocher située en regard de l'option Enregistrer les informations du compte pour enregistrer les
paramètres du compte pour une utilisation ultérieure lors de l'accès au gestionnaire de mise en quarantaine.
6.10 Test antivirus
Pour vérifier que la protection en temps réel fonctionne et détecte les virus, utilisez un fichier de test d'eicar.com.
Ce fichier de test est un fichier inoffensif détectable par tous les programmes antivirus. Le fichier a été créé par la
société EICAR (European Institute for Computer Antivirus Research) et permet de tester la fonctionnalité des
programmes antivirus. Le fichier est téléchargeable à partir de la page http://2016.eicar.org/85-0-Download.html .
159
6.11 Test antispam
À l'aide d'une chaîne de test spéciale connue sous le nom de GTUBE (Generic Test for Unsolicited Bulk Email), vous
pouvez vérifier que la fonctionnalité antispam de ESET Mail Security fonctionne et détecte le courrier indésirable
entrant.
Pour tester la fonctionnalité antispam, envoyez un e-mail avec la chaîne de 68 octets suivante dans le corps du
message :
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
Utilisez la chaîne telle quelle (une seule ligne, sans espace ni saut de ligne). Vous pouvez télécharger
adéquat au format RFC-822.
un e-mail
6.12 Test anti-hameçonnage
Pour tester la fonctionnalité anti-hameçonnage, envoyez un e-mail avec le lien (URL) suivant dans le corps ou l'objet
du message :
https://www.amtso.org/check-desktop-phishing-page/
Pour afficher l'activité de la protection anti-hameçonnage des messages, consultez Fichiers journaux > Journal de la
protection du serveur de messagerie. Il contient des informations sur les e-mails et les liens de hameçonnage
détectés.
160
7. Paramètres généraux
Vous pouvez configurer des paramètres généraux et des options en fonction de vos besoins. Le menu situé à gauche
se compose des catégories suivantes :
Ordinateur
Permet d'activer ou de désactiver la détection des applications potentiellement indésirables, suspectes et
susceptibles d'être dangereuses et la protection Anti-Stealth. Spécifiez les exclusions des processus ou des
fichiers et dossiers. Configurez la protection en temps réel du système de fichiers, les paramètres de
ThreatSense, la protection dans le cloud (ESET LiveGrid®), les analyses des logiciels malveillants (analyse de
l'ordinateur à la demande et autres options d'analyse), analyse Hyper-V et HIPS.
Mettre à jour
Configurez les options de mise à jour telles que les profils, l'âge du moteur de détection, les captures
instantanées pour la restauration des modules, le type de mise à jour, le serveur de mise à jour personnalisé, le
serveur de connexion/proxy, le miroir de mise à jour, l'accès aux fichiers de mise à jour, le serveur HTTP, les
détails du compte utilisateur pour la connexion réseau, etc.
Internet et messagerie
Permet de configurer le filtrage des protocoles et les exclusions (applications et adresses IP exclues), les
options de filtrage du protocole SSL/TLS, la protection du client de messagerie (intégration, protocoles de
messagerie, alertes et notifications), la protection de l'accès Web (protocoles web HTTP/HTTPS et gestion des
adresses URL) ) et l'anti-hameçonnage du client de messagerie.
Contrôle de périphérique
Permet l'intégration ainsi que la configuration du contrôle de périphérique, des règles et des groupes.
Outils de configuration
Permet de personnaliser des outils tels que ESET CMD, ESET RMM, le fournisseur WMI, les cibles à analyser ESET
Security Management Center, les notifications Windows Update, les fichiers journaux, le serveur proxy, les
notifications par e-mail, les diagnostics, le cluster, etc.
Interface utilisateur
Permet de configurer le comportement de l'interface utilisateur graphique, les états, les informations de
licence, les alertes et les notifications, la protection par mot de passe, la politique d'exécution d'eShell, etc.
7.1 Ordinateur
La protection antivirus et antispyware vous protège des attaques contre le système en scannant les échanges de
fichiers et d'e-mails, ainsi que les communications Internet. Si une menace est détectée, le module antivirus peut
l'éliminer en la bloquant dans un premier temps, puis en nettoyant l'objet infecté, en le supprimant ou en le
mettant en quarantaine.
Option du moteur d’analyse
Pour tous les modules de protection (par exemple, protection en temps réel du système de fichiers, protection de
l'accès Web, etc.), les options du scanner permettent d'activer ou de désactiver la détection des éléments suivants :
Applications potentiellement indésirables
Une application potentiellement indésirable est un logiciel dont l'objectif n'est pas nécessairement
malveillant. Il peut toutefois installer d'autres logiciels non souhaités, modifier le comportement de l'appareil
numérique, effectuer des activités non approuvées ou non attendues par l'utilisateur ou avoir d'autres objectifs
flous.
Cette catégorie comprend : logiciels qui affichent des publicités, wrappers de téléchargement, diverses barres
d'outils de navigateur, logiciels avec un comportement trompeur, bundleware, trackware, etc.
Pour en savoir plus sur ces types d'applications, consultez le glossaire .
Applications potentiellement dangereuses
161
Cette classification s'utilise pour des logiciels authentiques du commerce susceptibles d'être utilisés à des fins
malveillantes. Les applications potentiellement dangereuses sont des logiciels commerciaux authentiques
susceptibles d'être utilisés à des fins malveillantes.
Cette catégorie englobe : les outils de craquage, les générateurs de clés de licence, les outils de piratage, les
programmes d'accès à distance, les applications de résolution de mot de passe ou les keyloggers (programmes
qui enregistrent chaque frappe au clavier de l'utilisateur). Cette option est désactivée par défaut.
Pour en savoir plus sur ces types d'applications, consultez le glossaire .
Applications potentiellement suspectes
Une application suspecte est un logiciel compressé par des compresseurs ou des programmes de protection
qui est souvent utilisée pour décourager l'ingénierie inverse ou pour obfusquer le contenu de l'exécutable
(pour masquer la présence de logiciels malveillants par exemple) par des méthodes propriétaires de
compression et/ou chiffrement.
Cette catégorie comprend les éléments suivants : toutes les applications inconnues compressées à l'aide d'un
compresseur ou d'un programme de protection fréquemment utilisées pour compresser les logiciels
malveillants.
Activer l'analyse initiale
Pour détecter tout logiciel malveillant et accélérer les prochaines analyses du système, une analyse complète
du système sera effectuée après l'installation et les mises à jour du produit. Tout comme les autres analyses,
cette analyse peut être interrompue ou annulée dans la fenêtre principale Analyse.
Protection Anti-Stealth
Système sophistiqué assurant la détection de programmes dangereux tels que les rootkits , qui sont à même
de se cacher du système d'exploitation. Il est impossible de les détecter à l'aide de techniques de test
ordinaires.
Exclusions
Permet d'exclure des fichiers et dossiers de l'analyse. Pour que la détection des menaces s'applique bien à tous
les objets, il est recommandé de ne créer des exclusions que lorsque cela s'avère absolument nécessaire.
Certaines situations justifient l'exclusion d'un objet. Par exemple, lorsque les entrées de bases de données
volumineuses risquent de ralentir l'ordinateur pendant l'analyse ou lorsqu'il peut y avoir conflit entre le logiciel
et l'analyse.
AMSI
Permet de laisser l'interface AMSI (Antimalware Scan Interface) analyser des scripts PowerShell exécutés par
l'environnement d'exécution de scripts WSH (Windows Script Host).
7.1.1 Exclusions des processus
La fonctionnalité Exclusions des processus permet d'exclure des processus d'application de l'analyse des logiciels
malveillants à l'accès uniquement. En raison du rôle essentiel que jouent les serveurs dédiés (serveur
d'applications, serveur de stockage, etc.), des sauvegardes régulières sont obligatoires pour garantir une reprise
après incident dans les meilleurs délais. Pour accélérer les sauvegardes et garantir l'intégrité du processus et la
disponibilité du service, certaines techniques, qui entrent en conflit avec la protection contre les logiciels
malveillants au niveau des fichiers, sont utilisées pendant les sauvegardes. Des problèmes identiques peuvent se
produire lors des migrations dynamiques de machines virtuelles. La seule solution efficace pour éviter ces
situations consiste à désactiver le logiciel de protection contre les logiciels malveillants. En excluant des processus
spécifiques (ceux de la solution de sauvegarde, par exemple), toutes les opérations sur les fichiers de ces processus
exclus sont ainsi ignorées et considérées comme étant sûres, ce qui limite l'interférence avec le processus de
sauvegarde. Il est recommandé de faire preuve de prudence lors de la création des exclusions. En effet, un outil de
sauvegarde qui a été exclus peut accéder à des fichiers infectés sans déclencher d'alerte. C'est d'ailleurs la raison
pour laquelle des autorisations étendues ne sont permises que dans le module de protection en temps réel.
Les exclusions des processus réduisent le risque de conflits potentiels et augmentent les performances des
applications exclues, ce qui a un effet positif sur les performances et la stabilité globales du système d'exploitation.
L'exclusion d'un processus/d'une application est l'exclusion de son fichier exécutable (.exe).
162
Vous pouvez ajouter des fichiers exécutables à la liste des processus exclus via Configuration avancée (F5) >
Ordinateur > Protection en temps réel du système de fichiers> Exclusion des processus ou en utilisant la liste des
processus en cours dans le menu principal Outils > Processus en cours.
Cette fonctionnalité a été conçue pour exclure les outils de sauvegarde. L'exclusion de l'outil de sauvegarde du
processus d'analyse garantit non seulement la stabilité du système, mais aussi les performances de la sauvegarde,
car celle-ci n'est pas ralentie pendant son exécution.
EXEMPLE
Cliquez sur Modifier pour ouvrir la fenêtre de gestion Exclusions des processus, dans laquelle vous pouvez
ajouter des exclusions et recherchez un fichier exécutable (Backup-tool.exe, par exemple) qui sera exclu de
l'analyse.
Dès que le fichier .exe est ajouté aux exclusions, l'activité du processus exclu n'est pas surveillée par ESET Mail
Security et aucune analyse n'est effectuée sur les opérations sur les fichiers exécutées par ce processus.
IMPORTANT
Si vous n'utilisez pas la fonction de navigation lorsque vous sélectionnez un exécutable de processus, vous
devez entrer manuellement un chemin d'accès complet à l'exécutable. Sinon, l'exclusion ne fonctionnera pas
correctement. De plus, HIPS peut signaler des erreurs.
Vous pouvez également modifier des processus existants ou les retirer des exclusions.
REMARQUE
La protection de l'accès Web ne prend pas en compte ces exclusions. Par conséquent, si vous excluez le fichier
exécutable de votre navigateur Web, les fichiers téléchargés sont toujours analysés. Une infiltration peut ainsi
être toujours détectée. Ce scénario est utilisé à titre d'exemple uniquement. Il n'est pas recommandé de créer
des exclusions pour les navigateurs Web.
7.1.2 Exclusions
Les exclusions permettent d'exclure des fichiers et dossiers de l'analyse. Pour que la détection des menaces
s'applique bien à tous les objets, il est recommandé de ne créer des exclusions que lorsque cela s'avère absolument
nécessaire. Certaines situations justifient l'exclusion d'un objet. Par exemple, lorsque les entrées de bases de
données volumineuses risquent de ralentir l'ordinateur pendant l'analyse ou lorsqu'il peut y avoir conflit entre le
logiciel et l'analyse (par exemple, logiciel de sauvegarde).
AVERTISSEMENT
À ne pas confondre avec Extensions exclues.
163
Pour exclure un objet de l'analyse, cliquez sur Ajouter et entrez le chemin d'un objet ou sélectionnez-le dans
l'arborescence. Vous pouvez également modifier ou retirer des entrées sélectionnées.
REMARQUE
une menace présente dans un fichier n'est pas détectée par le module de protection du système de fichiers en
temps réel ou par le module d'analyse de l'ordinateur si le fichier en question répond aux critères d'exclusion
de l'analyse.
La fenêtre Exclusions affiche le Chemin d'accès aux fichiers et dossiers exclus.
Menace
Si le nom d'une menace est affiché en regard d'un fichier exclu, cela signifie que ce fichier n'est exclu que pour
cette menace. Si le fichier est infecté ultérieurement par un autre logiciel malveillant, il est détecté par le
module antivirus. Ce type d'exclusion ne peut être utilisé que pour certains types d'infiltrations. Il peut être
créé soit dans la fenêtre des alertes de menaces qui signale l'infiltration (cliquez sur Afficher les options
avancées et sélectionnez Exclure de la détection), soit en sélectionnant Outils > Quarantaine, en cliquant avec
le bouton droit sur le fichier placé en quarantaine et en sélectionnant Restaurer et exclure de la détection dans
le menu contextuel.
7.1.2.1 Ajouter ou modifier une exclusion
Cette boîte de dialogue permet d'ajouter ou de modifier des exclusions. Sélectionnez le Type d'exclusion dans le
menu déroulant :
Exclure le chemin
Exclut un chemin d'accès spécifique (fichier ou répertoire) pour cet ordinateur. N'utilisez pas de caractères
génériques ni d'astérisque (*) au milieu d'un chemin. Pour plus d'informations, consultez cet article de la base
de connaissances .
REMARQUE
Si vous souhaitez exclure le contenu d'un dossier, n'oubliez pas d'ajouter un astérisque (*) à la fin du chemin
(C:\Tools\*). C:\Tools ne sera pas exclu, car du point de vue du scanner, Tools peut également être un nom de
fichier.
Exclure la menace
Un nom de détection ESET/menace valide doit être fourni. Il n'y a aucune restriction à l'utilisation de caractères
génériques au milieu d'un chemin. Pour un nom de détection valide, consultez Fichiers journaux > Détections.
Les exclusions pour des infiltrations réelles sont très dangereuses. Envisagez d'exclure uniquement les fichiers/
répertoires affectés en parcourant leur emplacement dans le masque de chemin. Les exclusions s'appliquent
aux applications potentiellement indésirables, aux applications potentiellement dangereuses et aux
applications suspectes.
Exclure le hachage
Exclut un fichier selon le hachage spécifié (SHA1), indépendamment du type, de l'emplacement, du nom ou de
l'extension du fichier.
Vous pouvez utiliser des caractères génériques pour indiquer un groupe de fichiers. Un point d'interrogation (?)
représente un seul caractère variable tandis qu'un astérisque (*) représente une chaîne variable de zéro caractère
ou plus.
EXEMPLE
Si vous souhaitez exclure tous les fichiers d'un dossier, tapez le chemin d'accès au dossier et utilisez le
masque *.*
164
· Pour exclure un disque complet avec tous ses fichiers et sous-dossiers, utilisez le masque D:\*
· Si vous ne souhaitez exclure que les fichiers doc, utilisez le masque *.doc
· Si le nom d'un fichier exécutable comporte un certain nombre de caractères variables dont vous ne
connaissez que le premier (par exemple « D »), utilisez le format suivant :
D????.exe (Les points d'interrogation remplacent les caractères manquants/inconnus.)
EXEMPLE
Exclusions de chemin utilisant un astérisque :
C:\Tools\* : le chemin doit se terminer par une barre oblique inverse (\) et un astérisque (*) pour indiquer
qu'il s'agit d'un dossier. Tout le contenu du dossier (fichiers et sous-dossiers) sera exclu.
C:\Tools\*.* : même comportement que C:\Tools\*, ce qui signifie un fonctionnement récursif.
C:\Tools\*.dat : exclura les fichiers dat du dossier Tools.
C:\Tools\sg.dat : exclura ce fichier spécifique, situé sur le chemin exact.
EXEMPLE
Vous pouvez utiliser des variables système telles que %PROGRAMFILES% pour définir des exclusions de scan.
· Pour exclure le dossier Program Files à l'aide de cette variable système, utilisez le chemin d'accès %
PROGRAMFILES%\ (veillez à ajouter la barre oblique inverse à la fin du chemin lors de l'ajout aux
exclusions).
· Pour exclure tous les fichiers d'un sous-répertoire %PROGRAMFILES%, utilisez le chemin d'accès %
PROGRAMFILES%\Excluded_Directory\*.*
Les variables suivantes peuvent être utilisées au format d'exclusion de chemin :
%ALLUSERSPROFILE%
%COMMONPROGRAMFILES%
%COMMONPROGRAMFILES(X86)%
%COMSPEC%
%PROGRAMFILES%
%PROGRAMFILES(X86)%
%SystemDrive%
%SystemRoot%
%WINDIR%
%PUBLIC%
Les variables système spécifiques à l'utilisateur (comme %TEMP% ou %USERPROFILE%) et les variables
d'environnement (comme %PATH%) ne sont pas prises en charge.
EXEMPLE
Si vous souhaitez exclure une menace, entrez un nom de détection valide au format suivant :
@NAME=Win32/Adware.Optmedia
@NAME=Win32/TrojanDownloader.Delf.QQI
@NAME=Win32/Bagle.D
165
7.1.3 Exclusions automatiques
Les développeurs d'applications et de systèmes d'exploitation serveur recommandent d'exclure des analyses
antivirus les ensembles de dossiers et fichiers de travail critiques pour la plupart de leurs produits. Les analyses
antivirus peuvent avoir une influence négative sur les performances d'un serveur, ce qui peut provoquer des
conflits et même empêcher l'exécution de certaines applications sur le serveur. Les exclusions permettent de
réduire le risque de conflits potentiels et d'augmenter les performances globales du serveur lors de l'exécution du
logiciel antivirus. Consultez la liste complète des fichiers exclus de l'analyse des produits serveur ESET.
ESET Mail Security identifie les applications serveur et les fichiers du système d'exploitation serveur critiques, puis
les ajoute automatiquement à la liste des exclusions. La section Exclusions automatiques à générer répertorie les
applications serveur détectées pour lesquelles des exclusions ont été créées. Toutes les exclusions automatiques
sont activées par défaut. Vous pouvez désactiver/activer chaque application serveur en cliquant sur le bouton
bascule afin d'obtenir le résultat suivant :
· Si l'exclusion d'une application/d'un système d'exploitation reste activée, les fichiers et dossiers critiques
correspondants sont ajoutés à la liste des fichiers exclus de l'analyse (Configuration avancée (F5) > Ordinateur
> Général > Exclusions > Edit). À chaque redémarrage du serveur, le système vérifie automatiquement les
exclusions et restaure celles qui auraient pu être supprimées de la liste. Ce paramètre est recommandé si
vous souhaitez vous assurer que les exclusions automatiques conseillées sont toujours appliquées.
· Si l'exclusion d'une application/d'un système d'exploitation est désactivée, les fichiers et dossiers critiques
correspondants restent dans la liste des fichiers exclus de l'analyse (Configuration avancée (F5) > Ordinateur >
Général > Exclusions > Modifier). Toutefois, ils ne sont pas vérifiés et renouvelés automatiquement dans la
liste Exclusions à chaque redémarrage du serveur (reportez-vous à la première puce ci-dessus). Ce paramètre
est recommandé pour les utilisateurs avancés qui souhaitent supprimer ou modifier certaines des exclusions
standard.
Si vous souhaitez supprimer les exclusions de la liste sans redémarrer le serveur, vous devez les supprimer de la
liste manuellement. Toutes les exclusions définies par l'utilisateur et saisies manuellement ne sont pas concernées
par les paramètres décrits ci-dessus.
Les exclusions automatiques pour les serveurs Exchange Server reposent sur les recommandations de Microsoft.
ESET Mail Security applique uniquement des exclusions de répertoire/fichier (les exclusions des processus et les
exclusions des extensions de nom de fichier ne sont pas appliquées). Pour plus d'informations, consultez les
articles suivants de la base de connaissances Microsoft :
· Recommandations d'analyse antivirus pour les ordinateurs d'entreprise qui exécutent les versions de
Windows prises en charge
· Recommandations pour dépanner un ordinateur Exchange Server avec un logiciel antivirus installé
· Analyse antivirus au niveau fichier sur Exchange 2007
· Analyse antivirus au niveau fichier sur Exchange 2010
· Logiciel antivirus du système d'exploitation sur les serveurs Exchange (Exchange 2013)
· Exécution d'un logiciel antivirus Windows sur les serveurs Exchange 2016
REMARQUE
Il existe également des exclusions de fichier de base de données Exchange pour les bases de données actives
et passives du groupe de disponibilité de base de données hébergé sur le serveur local. Si un fichier de base
de données Exchange est créé, il est automatiquement exclu indépendamment de son état, qu'il soit actif ou
passif.
166
7.1.4 Cache local partagé
Le cache local partagé ESET permet d'accroître considérablement les performances dans les environnements
virtualisés en éliminant les analyses en double sur le réseau. Cela permet de s'assurer que chaque fichier est
analysé une seule fois et stocké dans le cache partagé. Activez le bouton bascule Option de mise en cache pour
enregistrer dans le cache local des informations sur les analyses des fichiers et des dossiers sur le réseau. Si vous
effectuez une nouvelle analyse, ESET Mail Security recherche les fichiers analysés dans le cache. Si les fichiers
correspondent, ils sont exclus de l'analyse.
La configuration du serveur de cache comprend les éléments suivants :
· Nom de l'hôte - Nom ou adresse IP de l'ordinateur sur lequel se trouve le cache.
· Port - Numéro de port utilisé pour les communications (identique à celui défini dans le cache local partagé).
· Mot de passe - Indiquez le mot de passe du cache local partagé si nécessaire.
7.1.5 Une infiltration est détectée
Des infiltrations peuvent atteindre le système à partir de différents points d'entrée : pages Web, dossiers partagés,
courrier électronique ou périphériques amovibles (USB, disques externes, CD, DVD, disquettes, etc.).
Comportement standard
Pour illustrer de manière générale la prise en charge des infiltrations par ESET Mail Security, celles-ci peuvent être
détectées à l'aide de :
·
·
·
·
Protection en temps réel du système de fichiers
Protection de l'accès Web
Protection du client de messagerie
Analyse de l’ordinateur à la demande
Chaque fonction utilise le niveau de nettoyage standard et tente de nettoyer le fichier et de le déplacer en
Quarantaine ou met fin à la connexion. Une fenêtre de notification s'affiche dans la zone de notification, dans
l'angle inférieur droit de l'écran. Pour plus d'informations sur les niveaux et le comportement de nettoyage, voir
Nettoyage.
Nettoyage et suppression
Si aucune action n'est prédéfinie pour le module de protection en temps réel du système de fichiers, vous êtes
invité à sélectionner une option dans une fenêtre d'avertissement. Généralement, les options Nettoyer, Supprimer
et Aucune action sont disponibles. Il n'est pas recommandé de sélectionner Aucune action, car cette option laissera
les fichiers infectés non nettoyés. La seule exception concerne les situations où vous êtes sûr qu'un fichier est
inoffensif et qu'il a été détecté par erreur.
Utilisez le nettoyage si un fichier sain a été attaqué par un virus qui y a joint du code malveillant. Dans ce cas,
essayez de nettoyer le fichier infecté pour le restaurer dans son état d'origine. Si le fichier se compose uniquement
de code malveillant, il est supprimé.
Si un fichier infecté est « verrouillé » ou utilisé par un processus système, il n'est généralement supprimé qu'après
avoir été déverrouillé (normalement, après un redémarrage du système).
Menaces multiples
Si des fichiers infectés n'ont pas été nettoyés durant une analyse de l'ordinateur (ou si le niveau de nettoyage a été
défini sur Pas de nettoyage), une fenêtre d'alerte s'affiche ; elle vous invite à sélectionner des actions pour ces
fichiers. Sélectionnez dans la liste une action distincte pour chaque menace. Vous pouvez également utiliser
l'option Sélectionnez une action pour toutes les menaces répertoriées, choisir dans la liste une action à exécuter sur
toutes les menaces et cliquer sur Terminer.
Suppression de fichiers dans les archives
167
En mode de nettoyage par défaut, l'archive complète n'est supprimée que si elle ne contient que des fichiers
infectés et aucun fichier sain. Autrement dit, les archives ne sont pas supprimées si elles contiennent également
des fichiers sains. Soyez prudent si vous choisissez un nettoyage strict ; dans ce mode, une archive sera supprimée si
elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient.
7.1.6 Protection en temps réel du système de fichiers
La protection en temps réel du système de fichiers contrôle tous les événements liés à l'antivirus dans le système.
Lorsque ces fichiers sont ouverts, créés ou exécutés sur l'ordinateur, elle les analyse pour y rechercher la présence
éventuelle de code malveillant. Par défaut, la protection en temps réel du système de fichiers est lancée au
démarrage du système et assure une analyse ininterrompue. Dans certains cas particuliers (par exemple, en cas de
conflit avec un autre scanner en temps réel), la protection en temps réel peut être désactivée en désélectionnant
Démarrer automatiquement la protection en temps réel du système de fichiers sous Protection en temps réel du
système de fichiers > Général dans Configuration avancée. (F5)
Supports à analyser
Par défaut, tous les types de supports font l'objet de recherches de menaces potentielles :
· Disques locaux - Contrôle tous les disques durs système.
· Supports amovibles - Contrôle les CD/DVD, les périphériques USB, les périphériques Bluetooth, etc.
· Disques réseau - Analyse tous les lecteurs mappés.
Il est recommandé d'utiliser les paramètres par défaut et de ne les modifier que dans des cas spécifiques, par
exemple lorsque l'analyse de certains supports ralentit de manière significative les transferts de données.
Analyser quand
Par défaut, tous les fichiers sont analysés lors de leur ouverture, création ou exécution. Il est recommandé de
conserver ces paramètres par défaut, car ils offrent le niveau maximal de protection en temps réel pour votre
ordinateur :
·
·
·
·
Ouverture de fichier - L'analyse est effectuée lorsque des fichiers sont ouverts.
Création de fichier - L'analyse est effectuée lorsque des fichiers sont créés.
Exécution de fichier - L'analyse est effectuée lorsque des fichiers sont exécutés.
Accès aux supports amovibles - L'analyse est effectuée lors de l'accès à des unités de stockage amovibles.
Exclusions des processus
Permet d'exclure des processus spécifiques. Vous pouvez par exemple exclure les processus de la solution de
sauvegarde. Toutes les opérations sur les fichiers de ces processus exclus sont ainsi ignorées et considérées
comme étant sûres, ce qui limite l'interférence avec le processus de sauvegarde.
Paramètres ThreatSense
La protection en temps réel du système de fichiers vérifie tous les types de supports. Elle est déclenchée par
différents événements système, tels que l'accès à un fichier. La protection du système de fichiers en temps réel
peut être configurée pour traiter différemment les nouveaux fichiers et les fichiers existants. Par exemple,
vous pouvez configurer la protection en temps réel du système de fichiers pour surveiller plus étroitement les
nouveaux fichiers.
Pour garantir un impact minimal de la protection en temps réel sur le système, les fichiers déjà analysés ne sont
pas analysés plusieurs fois (sauf s'ils ont été modifiés). Les fichiers sont immédiatement réanalysés après
chaque mise à jour de la base du moteur de détection. Ce comportement est contrôlé à l'aide de l'optimisation
intelligente. Si l'optimisation intelligente est désactivée, tous les fichiers sont analysés à chaque accès. Pour
modifier ce paramètre, appuyez sur F5 pour ouvrir Configuration avancée, puis développez Ordinateur >
Protection en temps réel du système de fichiers. Cliquez sur Paramètres ThreatSense > Autre, puis sélectionnez
ou désélectionnez Activer l'optimisation intelligente.
Autres paramètres ThreatSense
168
Vous pouvez modifier des options détaillées des Autres paramètres ThreatSense pour les nouveaux fichiers et
les fichiers modifiés ou des Autres paramètres ThreatSense pour les fichiers exécutés.
7.1.6.1 Paramètres ThreatSense
ThreatSense est une technologie constituée de nombreuses méthodes complexes de détection de menaces. C'est
une technologie proactive : elle fournit une protection dès le début de la propagation d'une nouvelle menace. Elle
utilise une combinaison d'analyse de code, d'émulation de code, de signatures génériques et de signatures de virus
qui se conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur d'analyse est capable de
contrôler plusieurs flux de données simultanément, ce qui maximise l'efficacité et le taux de détection. La
technologie ThreatSense élimine avec succès les rootkits.
REMARQUE
pour plus de détails sur la vérification automatique des fichiers au démarrage, consultez la section Analyse au
démarrage.
Les options de configuration du moteur ThreatSense permettent de spécifier plusieurs paramètres d'analyse :
· Les types de fichiers et les extensions à analyser
· La combinaison de plusieurs méthodes de détection
· Les niveaux de nettoyage, etc.
Pour ouvrir la fenêtre de configuration, cliquez sur Configuration des paramètres du moteur ThreatSense dans la
fenêtre Configuration avancée (F5) de chaque module utilisant la technologie ThreatSense (voir ci-dessous).
Chaque scénario de sécurité peut exiger une configuration différente. ThreatSense est configurable
individuellement pour les modules de protection suivants :
·
·
·
·
·
·
·
·
·
·
·
Protection du transport des messages
Protection de la base de données de boîtes aux lettres à la demande
Protection de la base de données de boîtes aux lettres
Analyse Hyper-V
Protection en temps réel du système de fichiers
Analyses des logiciels malveillants
Analyse en cas d’inactivité
Analyse au démarrage
Protection des documents
Protection du client de messagerie
Protection de l'accès Web
Les paramètres ThreatSense sont spécifiquement optimisés pour chaque module et leur modification peut avoir
une incidence significative sur le fonctionnement du système. Par exemple, en modifiant les paramètres pour
toujours analyser les fichiers exécutables compressés par un compresseur d'exécutables ou pour autoriser
l'heuristique avancée dans la protection en temps réel du système de fichiers, vous pouvez dégrader les
performances du système (normalement, seuls les fichiers nouvellement créés sont analysés par ces méthodes). Il
est donc recommandé de ne pas modifier les paramètres par défaut de ThreatSense pour tous les modules, à
l'exception du module Analyse de l'ordinateur.
Objets à analyser
Cette section permet de définir les fichiers et les composants de l'ordinateur qui vont faire l'objet d'une analyse
visant à rechercher les éventuelles infiltrations.
Mémoire vive
Lance une analyse visant à rechercher les menaces qui attaquent la mémoire vive du système.
Secteurs d'amorçage/UEFI
169
Analyse les secteurs d'amorçage afin de détecter la présence éventuelle de virus dans le MBR (Master Boot
Record, enregistrement d'amorçage principal). Dans le cas d'une machine virtuelle Hyper-V, le MBR du disque
est analysé en mode lecture seule.
Fichiers de courrier électronique
Prend en charge les extensions suivantes : DBX (Outlook Express) et EML.
Archives
Le programme prend en charge les extensions suivantes : ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA,
MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE et de nombreuses autres extensions.
Archives auto-extractibles
Les archives auto-extractibles (SFX) n'ont pas besoin de programmes spécialisés, archives, pour être
décompressées.
Fichiers exécutables compressés
Contrairement aux archiveurs standard, ces fichiers se décompressent en mémoire. Outre les compacteurs
statiques standard (UPX, yoda, ASPack, FSG, etc.), l'analyseur peut reconnaître plusieurs autres types de
compacteurs via l'utilisation de l'émulation de code.
REMARQUE
Pour la fonctionnalité de protection de la base de données de boîtes aux lettres, les fichiers joints aux
messages électroniques (.eml files, par exemple) sont analysés quel que soit le paramètre sous Objets à
analyser. En effet, Exchange Server analyse un fichier .eml joint avant qu'il ne soit soumis pour analyse par
ESET Mail Security. Le plug-in VSAPI obtient les fichiers extraits de la pièce jointe .eml au lieu de recevoir le
fichier .eml d'origine.
Options d'analyse
Sélectionnez les méthodes à utiliser lors de la recherche d'infiltrations dans le système. Les options disponibles
sont les suivantes :
Heuristique
La méthode heuristique utilise un algorithme d'analyse de l'activité (malveillante) des programmes. Elle
présente l'avantage d'identifier un code malveillant qui n'existait pas ou qui n'était pas connu par le moteur de
détection précédent.
Heuristique avancée/Signatures ADN
La méthode heuristique avancée utilise un algorithme heuristique développé par ESET, optimisé pour la
détection des vers informatiques et des chevaux de Troie, et écrit dans un langage de programmation de haut
niveau. L'utilisation de la méthode heuristique avancée accroît de manière significative les possibilités de
détection des menaces des produits ESET. Les signatures peuvent détecter et identifier les virus avec grande
efficacité. Grâce au système de mise à jour automatique, les nouvelles signatures peuvent être disponibles
dans les quelques heures qui suivent la détection des menaces. L'inconvénient des signatures est qu'elles ne
détectent que les virus qu'elles connaissent (ou leurs versions légèrement modifiées).
Nettoyage
Les paramètres de nettoyage déterminent le comportement de l'analyseur lors du nettoyage des fichiers infectés.
Trois niveaux de nettoyage sont possibles :
Pas de nettoyage
170
Les fichiers infectés ne sont pas nettoyés automatiquement. Le programme affiche alors une fenêtre
d'avertissement et laisse l'utilisateur choisir une action. Ce niveau est conçu pour les utilisateurs expérimentés
qui connaissent les actions à entreprendre en cas d'infiltration.
Nettoyage normal
Le programme tente de nettoyer ou de supprimer automatiquement tout fichier sur la base d'une action
prédéfinie (dépendant du type d'infiltration). La détection et la suppression d'un fichier infecté sont signalées
par une notification affichée dans l'angle inférieur droit de l'écran. S'il n'est pas possible de sélectionner
automatiquement l'action correcte, le programme propose plusieurs actions de suivi. C'est le cas également si
une action prédéfinie ne peut pas être menée à bien.
Nettoyage strict
Le programme nettoie ou supprime tous les fichiers infectés. Les seules exceptions sont les fichiers système. Si
un fichier ne peut pas être nettoyé, l'application demande à l'utilisateur le type d'opération à effectuer.
AVERTISSEMENT
si une archive contient un ou plusieurs fichiers infectés, elle peut être traitée de deux façons. En mode
Nettoyage normal par défaut, toute l'archive est supprimée si tous ses fichiers sont infectés. En mode de
nettoyage strict, l'archive est supprimée si elle contient au moins un fichier infecté, quel que soit l'état des
autres fichiers contenus.
IMPORTANT
Si un hôte Hyper-V s'exécute sous Windows Server 2008 R2 SP1, les options Nettoyage normal et Nettoyage
strict ne sont pas prises en charge. L'analyse des disques des machines virtuelles est effectuée en mode
lecture seule. Aucun nettoyage ne sera effectué. Quel que soit le niveau de nettoyage sélectionné, l'analyse
est toujours effectuée en mode lecture seule.
Exclusions
L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette
section de la configuration des paramètres ThreatSense vous permet de définir les types de fichiers à exclure de
l'analyse.
Autre
Lorsque vous configurez les paramètres du moteur ThreatSense pour l'analyse à la demande d'un ordinateur, vous
disposez également des options de la section Autre suivantes :
Analyser les flux de données alternatifs (ADS)
Les flux de données alternatifs (ADS) utilisés par le système de fichiers NTFS sont des associations de fichiers et
de dossiers que les techniques d'analyse ordinaires ne permettent pas de détecter. De nombreuses infiltrations
tentent d'éviter la détection en se faisant passer pour des flux de données alternatifs.
Exécuter les analyses en arrière-plan avec une priorité faible
Toute séquence d'analyse consomme une certaine quantité de ressources système. Si vous utilisez des
programmes qui exigent une grande quantité de ressources système, vous pouvez activer l’analyse en arrièreplan à faible priorité de manière à réserver des ressources pour vos applications.
Consigner tous les objets
Si cette option est sélectionnée, le fichier journal affiche tous les fichiers analysés, même ceux qui ne sont pas
infectés.
Activer l’optimisation intelligente
171
Lorsque cette option est sélectionnée, les paramètres optimaux sont utilisés de manière à garantir le niveau
d'analyse le plus efficace tout en conservant la meilleure vitesse d'analyse. Les différents modules de
protection proposent une analyse intelligente en utilisant différentes méthodes et en les appliquant à des
types de fichiers spécifiques. Si l'option Optimisation intelligente est désactivée, seuls les paramètres définis
par l'utilisateur dans le noyau ThreatSense de ces modules particuliers sont appliqués lors de la réalisation
d'une analyse.
Conserver la date et l’heure du dernier accès
Sélectionnez cette option pour conserver l'heure d'accès d'origine des fichiers analysés au lieu de les mise à
jour (par exemple, pour les utiliser avec des systèmes de sauvegarde de données).
Limites
La section Limites permet de spécifier la taille maximale des objets et les niveaux d'imbrication des archives à
analyser :
Paramètres d'objet par défaut
Permet d'utiliser les paramètres par défaut (aucune limite). ESET Mail Security ignorera les paramètres
personnalisés.
Taille d’objet maximale
Définit la taille maximale des objets à analyser. Le module antivirus n'analyse que les objets d'une taille
inférieure à celle spécifiée. Cette option ne doit être modifiée que par des utilisateurs expérimentés et qui ont
des raisons particulières d'exclure de l'analyse des objets de plus grande taille. Valeur par défaut : illimité.
Durée d'analyse maximale par l'objet
Définit la durée maximum attribuée à l'analyse d'un objet. Si la valeur de ce champ a été définie par
l'utilisateur, le module antivirus cesse d'analyser un objet une fois ce temps écoulé, que l'analyse soit terminée
ou non. Valeur par défaut : illimité.
Configuration de l'analyse d'archive
Pour modifier les paramètres d'analyse d'archive, désélectionnez l'option Paramètres d'analyse d'archive par
défaut.
Niveau d’imbrication des archives
Niveau d'imbrication des archives - Spécifie la profondeur maximale d'analyse des archives. Valeur par défaut :
10. Pour les objets détectés par la protection du transport des messages, le niveau d'imbrication actuel est +1,
car la pièce jointe d'archive dans un message est considérée comme étant du premier niveau.
EXEMPLE
Si le niveau d'imbrication est défini sur 3, un fichier d'archive avec un niveau d'imbrication de 3 ne sera analysé
sur une couche de transport que jusqu'à son niveau 2. Par conséquent, si vous souhaitez que les archives
soient analysées jusqu'au niveau 3, définissez la valeur de Niveau d'imbrication des archives sur 4.
Taille maximale du fichier dans l'archive
Cette option permet de spécifier la taille maximale des fichiers (après extraction) à analyser contenus dans les
archives. Valeur par défaut : illimité.
REMARQUE
il n'est pas recommandé de modifier les valeurs par défaut. Dans des circonstances normales, il n'y a aucune
raison de le faire.
172
7.1.6.1.1 Autres paramètres ThreatSense
Autres paramètres ThreatSense pour les nouveaux fichiers et les fichiers modifiés
La probabilité d'infection des nouveaux fichiers ou des fichiers modifiés est comparativement plus élevée que
dans les fichiers existants. C'est la raison pour laquelle le programme vérifie ces fichiers avec des paramètres
d'analyse supplémentaires. Outre les méthodes d'analyse basées sur les signatures, le système utilise
également l'heuristique avancée qui permet de détecter les nouvelles menaces avant la mise à disposition de
la mise à jour des modules. Outre les nouveaux fichiers, l'analyse porte également sur les fichiers autoextractibles (.sfx) et les compresseurs (fichiers exécutables compressés en interne). Par défaut, les archives
sont analysées jusqu'au dixième niveau d'imbrication et sont contrôlées indépendamment de leur taille réelle.
Pour modifier les paramètres d'analyse d'archive, désactivez Paramètres d'analyse d'archive par défaut.
Autres paramètres ThreatSense pour les fichiers exécutés
Par défaut, l'heuristique avancée n'est pas utilisée lors de l'exécution des fichiers. Lorsque ce paramètre est
activé, il est vivement recommandé de conserver les options Optimisation intelligente et ESET LiveGrid®
activées pour limiter l'impact sur les performances système.
7.1.6.1.2 Extensions de fichier exclues de l'analyse
L'extension est la partie du nom de fichier située après le point. Elle définit le type du fichier. Normalement, tous
les fichiers sont analysés. Si vous devez toutefois exclure des fichiers dotés d'une extension spécifique, la
configuration du paramètre ThreatSense permet d'exclure des fichiers de l'analyse selon leur extension. L'exclusion
peut être utile si l'analyse de certains types de fichiers provoque un dysfonctionnement de l'application.
EXEMPLE
Pour ajouter une nouvelle extension à la liste, cliquez sur Ajouter. Tapez l'extension dans le champ
correspondant ( tmp, par exemple), puis cliquez sur OK. Lorsque vous sélectionnez Entrer plusieurs valeurs,
vous pouvez ajouter plusieurs extensions de fichier en les séparant par des lignes, des virgules ou des pointsvirgules (sélectionnez par exemple Point-virgule en tant que séparateur dans le menu déroulant, puis tapez
edb;eml;tmp ).
Vous pouvez utiliser le symbole spécial ? (point d'interrogation). Le point d'interrogation symbolise n'importe
quel caractère ( ?db, par exemple).
REMARQUE
Pour afficher l'extension (type de fichier) de tous les fichiers sous un système d'exploitation Windows,
décochez Masquer les extensions des fichiers dont le type est connu dans Panneau de configuration > Options
des dossiers > Affichage.
7.1.7 Protection dans le cloud
ESET LiveGrid® est un système avancé d'avertissement anticipé constitué de plusieurs technologies de cloud. Il
contribue à la détection des nouvelles menaces en s'appuyant sur l'évaluation de la réputation et améliore les
performances d'analyse par la mise en liste blanche. Les informations sur les nouvelles menaces sont envoyées en
temps réel dans le cloud, ce qui permet aux laboratoires d'ESET de lutte contre les logiciels malveillants d'assurer en
permanence une protection à jour et constante. Les utilisateurs peuvent s'informer de la réputation des processus
et des fichiers en cours d'exécution depuis l'interface du programme ou à partir d'un menu contextuel comprenant
des informations supplémentaires mises à disposition par ESET LiveGrid®.
Lors de l'installation d'ESET Mail Security, sélectionnez l'une des options suivantes :
· Vous pouvez décider de ne pas activer ESET LiveGrid®. Le logiciel ne perd aucune fonctionnalité, mais ESET
Mail Security peut répondre dans certains cas plus lentement aux nouvelles menaces que la mise à jour de la
base du moteur de détection.
173
· Vous pouvez configurer ESET LiveGrid® afin d'envoyer des informations anonymes qui concernent les
nouvelles menaces et indiquent l'endroit où a été détecté le code dangereux. Ce fichier peut être envoyé à
ESET pour une analyse détaillée. En étudiant ces menaces, ESET améliore ses capacités à détecter les
menaces.
Le système ESET LiveGrid® collecte sur votre ordinateur des informations concernant les nouvelles menaces
détectées. Ces informations comprennent un échantillon ou une copie du fichier dans lequel la menace est
apparue, le chemin et le nom du fichier, la date et l'heure, le processus par lequel la menace est apparue sur votre
ordinateur et des informations sur le système d'exploitation de votre ordinateur.
Par défaut, ESET Mail Security est configuré pour soumettre les fichiers suspects au laboratoire d'ESET pour analyse.
Les fichiers ayant une extension définie (.doc ou .xls par exemple) sont toujours exclus. Vous pouvez également
ajouter d'autres extensions si vous ou votre entreprise souhaitez éviter d'envoyer certains fichiers.
Activer le système de réputation ESET LiveGrid® (recommandé)
Le système de réputation ESET LiveGrid® améliore l'efficacité des solutions de protection contre les logiciels
malveillants en comparant les fichiers analysés à une base de données d'éléments mis en liste blanche et noire
dans le cloud.
Activer le système de commentaires ESET LiveGrid®
Les données seront envoyées au laboratoire ESET pour analyse.
Envoyer les rapports de défaillance et les données de diagnostic
Permet d'envoyer des données telles que des rapports de défaillance, des modules ou des images mémoire.
Soumettre des statistiques anonymes
Autorise ESET à collecter des informations anonymes concernant les nouvelles menaces détectées (nom, date
et l'heure de détection, méthode de détection et métadonnées associées), les fichiers analysés (hachage, nom
du fichier, origine du fichier, télémétrie), les URL suspectes et bloquées et la version et la configuration du
produit, notamment des informations sur votre système.
Courriel de contact (facultative)
Votre adresse électronique peut être incluse avec les fichiers suspects. Nous pourrons l'utiliser pour vous
contacter si des informations complémentaires sont nécessaires pour l'analyse. Notez que vous ne recevrez pas
de réponse d'ESET, sauf si des informations complémentaires s'avèrent nécessaires.
Soumission des échantillons
Soumission automatique des échantillons infectés
Cette option permet de soumettre tous les échantillons infectés à ESET pour analyse afin d'améliorer les prochaines
détections.
· Tous les échantillons infectés
· Tous les échantillons à l'exception des documents
· Ne pas envoyer
Soumission automatique des échantillons suspects
Les échantillons suspects ressemblant à des menaces et/ou des échantillons aux caractéristiques ou au
comportement inhabituels peuvent être envoyés pour analyse à ESET.
· Exécutable : comprend les fichiers exécutables suivants : .exe, .dll, .sys
· Archives : comprend les types de fichier d'archive
suivants : .zip, .rar, .7z, .arch, .arj, .bzip2, .gzip, .ace, .arc, .cab
· Scripts : comprend les types de fichier de script suivants : .bat, .cmd, .hta, .js, .vbs, .js, .ps1
174
· Autre : comprend les types de fichier suivants : .jar, .reg, .msi, .swf, .lnk
· Courrier indésirable possible : améliore la détection globale du courrier indésirable.
· Documents : comprend des documents Microsoft Office ou des fichiers PDF avec du contenu actif.
Exclusions
L'option Modifier en regard d'Exclusions dans ESET LiveGrid® permet de configurer le mode de soumission des
menaces au laboratoire des virus d'ESET pour analyse.
Taille maximale des échantillons (Mo)
Définissez la taille maximale des échantillons à analyser.
7.1.7.1 Filtre d’exclusion
Le filtre Exclusion permet d'exclure certains fichiers/dossiers de l'envoi (par exemple, il peut être utile d'exclure
des fichiers qui peuvent comporter des informations confidentielles, tels que des documents ou des feuilles de
calcul). Les fichiers de la liste ne seront jamais envoyés aux laboratoires d'ESET pour analyse, même s'ils
contiennent un code suspect. Les fichiers les plus ordinaires sont exclus par défaut (.doc, etc.). Vous pouvez ajouter
des fichiers à la liste des fichiers exclus si vous le souhaitez.
Si vous avez déjà utilisé le système ESET LiveGrid® et l'avez désactivé, il est possible qu'il reste des paquets de
données à envoyer. Même après la désactivation, ces paquets sont envoyés à ESET. Une fois toutes les informations
actuelles envoyées, plus aucun paquet ne sera créé.
175
Si vous trouvez un fichier suspect, vous pouvez le soumettre à notre laboratoire de recherche sur les menaces pour
analyse. S'il s'agit d'une application malveillante, sa détection est ajoutée à la prochaine mise à jour du module de
détection.
7.1.8 Analyses des logiciels malveillants
Cette section indique les options pour sélectionner les paramètres d'analyse.
REMARQUE
Ce sélecteur de profil d'analyse s'applique à l'analyse à la demande et à l'analyse Hyper-V.
Profil sélectionné
Ensemble spécifique de paramètres utilisés par l'analyse à la demande. Vous pouvez utiliser l'un des profils
d'analyse prédéfinis ou créer un nouveau profil. Les profils d'analyse utilisent différents paramètres du moteur
ThreatSense.
Liste des profils
Pour créer un profil, cliquez sur Modifier. Saisissez le nom du profil et cliquez sur Ajouter. Le nouveau profil
sera affiché dans le menu déroulant Profil sélectionné qui répertorie les profils d'analyse existants.
Cibles à analyser
Pour analyser une cible spécifique, cliquez sur Modifier, puis sélectionnez une option dans le menu déroulant
ou choisissez des cibles spécifiques dans la structure (arborescence) des dossiers.
Paramètres ThreatSense
Permet de modifier les paramètres d'analyse pour l'analyse de l'ordinateur à la demande.
Fenêtre contextuelle Analyse Hyper-V :
176
Le menu déroulant Cibles à analyser pour Hyper -V permet de sélectionner des cibles à analyser prédéfinies :
Par les paramètres de profil
Permet de sélectionner les cibles indiquées dans le profil d'analyse sélectionné.
Toutes les machines virtuelles
Permet de sélectionner toutes les machines virtuelles.
Machines virtuelles sous tension Permet de sélectionner toutes les machines virtuelles en ligne.
Machines virtuelles hors tension Permet de sélectionner toutes les machines virtuelles hors ligne.
Aucune sélection
Efface toutes les sélections.
Cliquez sur Analyser pour exécuter l'analyse avec les paramètres personnalisés que vous avez définis. Une fois que
toutes les analyses sont terminées, cliquez sur Fichiers journaux > Analyse Hyper-V.
7.1.8.1 Gestionnaire de profils
Le menu déroulant Profil d'analyse permet de sélectionner des profils d'analyse prédéfinis.
·
·
·
·
Analyse intelligente
Analyse via le menu contextuel
Analyse approfondie
Mon profil (s'applique à Analyse Hyper-V, Profils de mise à jour)
Pour plus d'informations sur la création d'un profil d'analyse correspondant à vos besoins, reportez-vous à la
section ThreatSenseConfiguration du moteur ; vous y trouverez une description de chaque paramètre de
configuration de l'analyse.
Le gestionnaire de profils est utilisé à trois emplacements différents dans ESET Mail Security.
Analyse de l’ordinateur à la demande
177
Vos paramètres d'analyse préférés peuvent être enregistrés pour les prochaines analyses. Il est recommandé
de créer autant de profils (avec différentes cibles et méthodes, et d'autres paramètres d'analyse) que
d'analyses utilisées régulièrement.
Mise à jour
L'éditeur de profils permet aux utilisateurs de créer de nouveaux profils de mise à jour. Vous devez créer des
profils de mise à jour personnalisés uniquement si votre ordinateur utilise plusieurs moyens de connexion aux
serveurs de mise à jour.
Analyse Hyper-V
Créez un profil, sélectionnez Modifier en regard de Liste des profils. Le nouveau profil sera affiché dans le
menu déroulant Profil sélectionné qui répertorie les profils d'analyse existants.
7.1.8.2 Cibles du profil
Vous pouvez spécifier les cibles qui seront analysées pour les infiltrations. Choisissez des objets (mémoire,
secteurs d'amorçage et UEFI, lecteurs, fichiers et dossiers ou réseau) dans l'arborescence qui répertorie toutes les
cibles disponibles sur votre système.
REMARQUE
Ce sélecteur de profil d'analyse s'applique à l'analyse à la demande et à l'analyse Hyper-V.
Cliquez sur l'icône représentant un engrenage dans le coin supérieur gauche pour accéder aux menus déroulants
Cibles à analyser et Profil d'analyse.
Le menu déroulant Cibles à analyser permet de sélectionner des cibles à analyser prédéfinies :
178
Par les
paramètres de
profil
Permet de sélectionner les cibles indiquées dans le profil d'analyse sélectionné.
Supports
amovibles
Permet de sélectionner les disquettes, les périphériques USB, les CD/DVD, etc.
Lecteurs locaux
Permet de sélectionner tous les disques durs du système.
Lecteurs réseau Analyse tous les lecteurs réseau mappés.
Dossiers
partagés
Sélectionne tous les dossiers partagés sur le serveur local.
Sélection
personnalisée
Efface toutes les sélections. Une fois qu'elles ont été effacées, vous pouvez effectuer votre
sélection personnalisée.
Pour accéder rapidement à une cible à analyser (fichier ou dossier) afin de l'inclure dans l'analyse, entrez son
chemin dans le champ de texte sous l'arborescence. L'entrée de chemin respecte la casse.
Le menu déroulant Profil d'analyse permet de sélectionner des profils d'analyse prédéfinis :
· Analyse intelligente
· Analyse via le menu contextuel
· Analyse approfondie
Ces profils d'analyse utilisent différents paramètres du moteur ThreatSense.
Afficher la progression de l'analyse
Si vous souhaitez effectuer uniquement une analyse du système sans actions de nettoyage supplémentaires,
sélectionnez Analyse sans nettoyage. Cette option s'avère utile lorsque vous souhaitez obtenir une vue
d'ensemble des éléments infectés et des informations détaillées sur ces infections, le cas échéant. Vous
pouvez aussi choisir parmi trois niveaux de nettoyage en cliquant sur Configuration > Paramètres ThreatSense >
Nettoyage. Les informations de l'analyse sont enregistrées dans un journal d'analyse.
Ignorer les exclusions
L'option Ignorer les exclusions permet d'effectuer une analyse tout en ignorant les exclusions qui s'appliquent
autrement.
7.1.8.3 Cibles à analyser
Si vous souhaitez uniquement analyser une cible spécifique, vous pouvez utiliser une Analyse personnalisée et
sélectionner une option dans le menu déroulant Cibles à analyser ou choisir des cibles spécifiques dans la structure
(arborescence) des dossiers.
Le sélecteur de profil des cibles à analyser s'applique à :
· Analyse à la demande
· Analyse Hyper-V
Pour accéder rapidement à une cible à analyser ou ajouter un dossier ou un fichier cible, entrez cet élément dans le
champ vide sous la liste de dossiers. Aucune cible ne doit être sélectionnée dans la structure arborescente et le
menu Cibles à analyser doit être défini sur Aucune sélection.
179
Le menu déroulant Cibles à analyser permet de sélectionner des cibles à analyser prédéfinies.
Par les
paramètres de
profil
Permet de sélectionner les cibles indiquées dans le profil d'analyse sélectionné.
Supports
amovibles
Permet de sélectionner les disquettes, les périphériques USB, les CD/DVD, etc.
Lecteurs locaux
Permet de sélectionner tous les disques durs du système.
Lecteurs réseau Analyse tous les lecteurs réseau mappés.
Dossiers
partagés
Sélectionne tous les dossiers partagés sur le serveur local.
Sélection
personnalisée
Efface toutes les sélections. Une fois qu'elles ont été effacées, vous pouvez effectuer votre
sélection personnalisée.
Vous pouvez choisir un profil à utiliser pour l'analyse des cibles sélectionnées dans le menu déroulant Profil
d'analyse. Le profil par défaut est Analyse intelligente. Il existe deux autres profils d'analyse prédéfinis nommés
Analyse approfondie et Analyse via le menu contextuel. Ces profils d'analyse utilisent différents paramètres de
moteur ThreatSense.
Fenêtre contextuelle Analyse personnalisée :
180
Afficher la progression de l'analyse
Si vous souhaitez effectuer uniquement une analyse du système sans actions de nettoyage supplémentaires,
sélectionnez Analyse sans nettoyage. Cette option s'avère utile lorsque vous souhaitez obtenir une vue
d'ensemble des éléments infectés et des informations détaillées sur ces infections, le cas échéant. Vous
pouvez aussi choisir parmi trois niveaux de nettoyage en cliquant sur Configuration > Paramètres ThreatSense >
Nettoyage. Les informations de l'analyse sont enregistrées dans un journal d'analyse.
Ignorer les exclusions
Vous pouvez effectuer une analyse tout en ignorant les exclusions qui s'appliquent autrement.
Analyser
Permet d'exécuter l'analyse avec les paramètres personnalisés que vous avez définis.
Analyser en tant qu'administrateur
Permet d'exécuter l'analyse sous le compte administrateur. Cliquez sur cette option si l'utilisateur actuel ne
dispose pas des privilèges suffisants pour accéder aux fichiers à analyser. Remarquez que ce bouton n'est pas
disponible si l'utilisateur actuel ne peut pas appeler d'opérations UAC en tant qu'administrateur.
7.1.8.4 Analyse en cas d'inactivité
Lorsque l'ordinateur n'est pas utilisé, une analyse silencieuse de l'ordinateur est effectuée sur tous les disques
locaux. La détection en cas d'inactivité s'exécute lorsque votre ordinateur se trouve dans l'un des états suivants :
· Écran ou économiseur d'écran désactivé
· Ordinateur verrouillé
· Utilisateur déconnecté
Exécuter même si l’ordinateur est alimenté par batterie
Par défaut, l'analyse en cas d'inactivité n'est pas exécutée lorsque l'ordinateur (portable) fonctionne sur
batterie.
Activer la journalisation
181
Permet d'enregistrer les sorties d'analyse d'ordinateur dans la section Fichiers journaux (dans la fenêtre
principale du programme, cliquez sur Fichiers journaux et sélectionnez Analyse de l'ordinateur dans le menu
déroulant).
Paramètres ThreatSense
Modifiez les paramètres d'analyse pour l'analyse en cas d'inactivité.
7.1.8.5 Analyse au démarrage
Par défaut, la vérification automatique des fichiers au démarrage est effectuée au démarrage du système
(ouverture de session de l'utilisateur) et après une mise à jour des modules. Cette analyse dépend de la
configuration et des tâches du Planificateur.
Les options d'analyse au démarrage font partie de la tâche planifiée Contrôle des fichiers de démarrage du système.
Pour modifier les paramètres d'analyse au démarrage, accédez à Outils > Planificateur, sélectionnez l'une des tâches
appelées Vérification automatique des fichiers de démarrage (ouverture de session de l'utilisateur ou mise à jour
des modules), puis sur Modifier. À la dernière étape de l'assistant, vous pouvez modifier les options détaillées de
Vérification des fichiers de démarrage.
7.1.8.5.1 Vérification automatique des fichiers de démarrage
Lorsque vous créez une tâche planifiée de contrôle des fichiers au démarrage du système, plusieurs options
s'offrent à vous pour définir les paramètres suivants :
Le menu déroulant Cible à analyser indique le niveau d'analyse appliqué aux fichiers exécutés au démarrage du
système. Les fichiers sont organisés par ordre croissant suivant ces critères :
·
·
·
·
·
Tous les fichiers enregistrés (la plupart des fichiers sont analysés)
Fichiers rarement utilisés
Fichiers couramment utilisés
Fichiers fréquemment utilisés
Seulement les fichiers utilisés fréquemment (nombre minimum de fichiers analysés)
Il existe en outre deux groupes de Cible à analyser :
Fichiers exécutés avant la connexion de l'utilisateur
Contient des fichiers situés à des emplacements accessibles sans qu'une session ait été ouverte par l'utilisateur
(englobe pratiquement tous les emplacements de démarrage tels que services, objets Application d'assistance
du navigateur, notification Winlogon, entrées de planificateur Windows, DLL connues, etc.).
Fichiers exécutés après la connexion de l’utilisateur
Contient des fichiers situés à des emplacements accessibles uniquement après l'ouverture d'une session par
l'utilisateur (englobe des fichiers qui ne sont exécutés que pour un utilisateur spécifique, généralement les
fichiers de HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run).
Les listes des fichiers à analyser sont fixes pour chaque groupe précité.
Priorité de l'analyse
Niveau de priorité servant à déterminer le démarrage d'une analyse :
·
·
·
·
182
Normale - lorsque le système est moyennement chargé,
Faible - lorsque le système est faiblement chargé,
La plus faible - lorsque la charge du système est la plus faible possible,
En période d'inactivité - la tâche n'est accomplie que lorsque le système n'est pas utilisé.
7.1.8.6 Supports amovibles
ESET Mail Security permet d'analyser automatiquement les supports amovibles (CD/DVD/USB). Ce module permet
d'analyser un support inséré. Cela peut être utile si l'administrateur souhaite empêcher les utilisateurs d'utiliser
des supports amovibles avec du contenu non sollicité.
Action effectuée après l'insertion d'un support amovible
Sélectionnez l’action à exécuter lors de l’insertion d’un supports amovible dans l’ordinateur (CD/DVD/USB).
· Ne pas analyser - Aucune action n'est exécutée et la fenêtre Nouveau périphérique détecté se ferme.
· Analyse automatique de périphérique - Le support amovible inséré fait l'objet d'une analyse à la demande.
· Afficher les options d'analyse - Ouvre la section de configuration des supports amovibles.
Lorsqu'un support amovible est inséré, la boîte de dialogue suivante s'affiche :
·
·
·
·
Analyser maintenant - Cette option déclenche l'analyse du support amovible.
Analyser ultérieurement - L'analyse du support amovible est reportée.
Configuration - Ouvre la boîte de dialogue Configuration avancée.
Toujours utiliser l'option sélectionnée - Lorsque cette option est sélectionnée, la même action sera exécutée
lorsqu'un support amovible sera inséré plus tard.
En outre, ESET Mail Security offre le contrôle des périphériques qui permet de définir des règles d'utilisation de
périphériques externes sur un ordinateur donné. Pour plus de détails sur le contrôle des périphériques, reportezvous à la section Contrôle des périphériques.
7.1.8.7 Protection des documents
La fonctionnalité de protection des documents analyse les documents Microsoft Office avant leur ouverture, ainsi
que les fichiers téléchargés automatiquement par Internet Explorer, tels que des éléments Microsoft ActiveX. La
protection des documents fournit une couche de protection supplémentaire qui vient s'ajouter à la protection en
temps réel du système de fichiers. Elle peut être désactivée pour améliorer la performance des systèmes qui ne
sont pas exposés à un grand nombre de documents Microsoft Office.
Intégrer dans le système
Cette option renforce la protection des documents Microsoft Office (elle n’est pas requise dans des conditions
normales).
Paramètres ThreatSense
Modifiez les paramètres de la protection des documents.
REMARQUE
Cette fonctionnalité est activée par des applications utilisant Microsoft Antivirus API (par exemple Microsoft
Office 2000 et versions ultérieures, ou Microsoft Internet Explorer 5.0 et versions ultérieures).
183
7.1.9 Analyse Hyper-V
La version actuelle de l'analyse Hyper-V prend en charge l'analyse du système virtuel en ligne ou hors ligne dans
Hyper-V. Les types d'analyse pris en charge selon le système Windows Hyper-V hébergé et l'état du système virtuel
sont présentés ci-dessous :
Systèmes virtuels
Windows
avec la
Server 2008 R2
fonctionnalité
SP1 Hyper-V
Hyper-V
Windows Server
2012 Hyper-V
Windows Server
2012 R2 Hyper-V
Windows Server Windows Server
2016 Hyper-V
2019 Hyper-V
Machine virtuelle aucune analyse
en ligne
lecture seule
lecture seule
lecture seule
lecture seule
Machine virtuelle lecture seule/
hors ligne
nettoyage
lecture seule/
nettoyage
lecture seule/
nettoyage
lecture seule/
nettoyage
lecture seule/
nettoyage
Configuration matérielle requise
Le serveur ne doit pas rencontrer de problèmes de performance lorsqu'il exécute des machines virtuelles. L'activité
d'analyse utilise principalement des ressources processeur. Pour analyser les machines virtuelles en ligne, de
l'espace disque disponible est nécessaire. L'espace disque disponible doit être au moins deux fois supérieur à
l'espace utilisé par les points de contrôle/instantanés et les disques virtuels.
Limites spécifiques
· En raison de la nature des disques dynamiques, l'analyse des systèmes de stockage RAID, des volumes
fractionnés et des disques dynamiques n'est pas prise en charge. Il est donc recommandé d'éviter, si
possible, d'utiliser des disques dynamiques dans les machines virtuelles.
· L'analyse est toujours effectuée sur la machine virtuelle actuelle et n'a aucun impact sur les points de
contrôle ou les instantanés.
· La configuration dans laquelle Hyper-V s'exécute sur un hôte dans un cluster n'est actuellement pas prise en
charge par ESET Mail Security.
· Les machines virtuelles sur un hôte Hyper-V s'exécutant sous Windows Server 2008 R2 SP1 ne peuvent être
analysées qu'en mode lecture seule (Pas de nettoyage), quel que soit le niveau de nettoyage sélectionné
dans Paramètres ThreatSense.
REMARQUE
Bien qu'ESET Security prenne en charge l'analyse des MBR des disques virtuels, seule une analyse en lecture
seule est prise en charge pour ces cibles. Ce paramètre peut être modifié dans Configuration avancée (F5) >
Ordinateur > Analyse Hyper-V > Paramètres ThreatSense > Secteurs d’amorçage.
La machine virtuelle à analyser est hors ligne - État Désactivée
ESET Mail Security utilise Hyper-V Management pour détecter les disques virtuels et pour s'y connecter. Ainsi, ESET
Mail Security accède au contenu des disques virtuels comme il le ferait pour les données et fichiers des disques
génériques.
La machine virtuelle à analyser est en ligne - État En cours d'exécution, En pause, Enregistrée
ESET Mail Security utilise Hyper-V Management pour détecter les disques virtuels. Comme la connexion à ces
disques n'est pas possible, ESET Mail Security créée un point de contrôle/instantané de la machine virtuelle, puis se
connecte à ce dernier. Lorsque l'analyse est terminée, le point de contrôle/instantané est supprimé. Cela signifie
qu'une analyse en lecture seule peut être effectuée, car la ou les machines virtuelles en cours d'exécution ne sont
pas affectées par l'activité d'analyse.
184
ESET Mail Security a besoin d'une minute pour créer un instantané ou un point de contrôle lors de l'analyse. Vous
devez tenir compte de ce point lorsque vous exécutez une analyse Hyper-V sur un nombre élevé de machines
virtuelles.
Convention d'affectation de noms
Le module de l'analyse Hyper-V utilise la convention d'affectation de noms suivante :
VirtualMachineName\DiskX\VolumeY
Où X correspond au nombre de disques et Y au nombre de volumes.
Computer\Disk0\Volume1
Le suffixe du nombre est ajouté en fonction de l'ordre de détection, qui est identique à l'ordre que l'on retrouve
dans le Gestionnaire de disques de la machine virtuelle. Cette convention d'affectation de noms est utilisée dans la
liste arborescente des cibles à analyser, dans la barre de progression et dans les fichiers journaux.
Exécution d'une analyse
· À la demande - Cliquez sur Analyse Hyper-V pour afficher la liste des machines virtuelles et des volumes
disponibles à analyser. Sélectionnez les machines virtuelles, disques ou volumes à analyser, puis cliquez sur
Analyser.
· Pour créer une tâche du planificateur.
· Via ESET Security Management Center en tant que tâche client appelée Analyse du serveur .
· Une analyse Hyper-V peut être gérée et lancée via eShell.
Il est possible d'exécuter simultanément plusieurs analyses Hyper-V. Lorsqu'une analyse est terminée, vous
recevez une notification comportant un lien vers des fichiers journaux.
Problèmes éventuels
· Lors de l'exécution de l'analyse d'une machine virtuelle en ligne, un point de contrôle/instantané de cette
machine virtuelle doit être créé. Par ailleurs, au cours de la création d'un point de contrôle/instantané, il se
peut que certaines actions génériques de la machine virtuelle soient limitées ou désactivées.
· Si une machine virtuelle hors ligne est analysée, elle ne peut pas être mise en ligne avant la fin de l'analyse.
· Hyper-V Manager vous permet de donner un nom identique à deux machines virtuelles, ce qui peut s'avérer
problématique pour distinguer les machines pendant la consultation des journaux d'analyse.
7.1.10 HIPS
Le système HIPS (Host Intrusion Prevention System) protège votre système des logiciels malveillants et de toute
activité non souhaitée qui pourrait avoir une incidence sur votre ordinateur. Il utilise l'analyse avancée des
comportements, associée aux fonctionnalités de détection du filtre réseau qui surveille les processus en cours, les
fichiers et les clés de registre. Le système HIPS diffère de la protection en temps réel du système de fichiers et ce
n'est pas un pare-feu. Il surveille uniquement les processus en cours d'exécution au sein du système d'exploitation.
AVERTISSEMENT
Les modifications apportées aux paramètres HIPS ne sont effectuées que par un utilisateur expérimenté. Une
configuration incorrecte des paramètres HIPS peut en effet entraîner une instabilité du système.
Activer l’auto-défense
ESET Mail Security intègre la technologie Auto-défense qui empêche les logiciels malveillants d'endommager
ou de désactiver la protection antivirus et antispyware ; vous avez la garantie que votre système est protégé en
permanence. Les modifications apportées aux paramètres Activer HIPS et Activer l'auto-défense entrent en
185
vigueur après le redémarrage du système d'exploitation Windows. La désactivation de l'intégralité du système
HIPS nécessite également un redémarrage de l'ordinateur.
Activer le service protégé
Microsoft a introduit un concept de services protégés avec Microsoft Windows Server 2012 R2. Il protège un
service contre les attaques de logiciels malveillants. Le noyau de ESET Mail Security fonctionne en tant que
service protégé par défaut. Cette fonctionnalité est disponible sous Microsoft Windows Server 2012 R2 et les
nouveaux systèmes d'exploitation serveur.
Active le moteur d'analyse de mémoire avancée
Fonctionne avec le bloqueur d'exploit afin de renforcer la protection contre les logiciels malveillants qui ne
sont pas détectés par les produits anti-logiciels malveillants grâce à l'obscurcissement ou au chiffrement. Le
scanner de mémoire avancé est désactivé par défaut. Pour en savoir plus sur ce type de protection, consultez le
glossaire .
Activer le bloqueur d'exploit
Est conçu pour renforcer les types d'applications connues pour être très vulnérables aux exploits (navigateurs,
lecteurs de fichiers PDF, clients de messagerie et composants MS Office). Le bloqueur d'exploit est désactivé
par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire .
Activer la protection anti-ransomware
Pour utiliser cette fonctionnalité, activez HIPS et ESET Live Grid. Lisez des informations supplémentaires sur les
ransomwares dans le glossaire .
Mode de filtrage
Vous pouvez choisir l'un des modes de filtrage suivants :
· Mode automatique - Les opérations sont autorisées, à l'exception de celles bloquées par des règles
prédéfinies qui protègent votre système. Tout est autorisé, à l'exception des actions refusées par la règle.
· Mode intelligent - L'utilisateur n'est averti que lors d'événements très suspects.
· Mode interactif - L'utilisateur est invité à confirmer les opérations. Autoriser/refuser l'accès, Créer une règle,
Mémoriser temporairement cette action.
· Mode basé sur des règles personnalisées - Les opérations sont bloquées. Accepte uniquement les règles
utilisateur/prédéfinies.
· Mode d'apprentissage - Les opérations sont autorisées et une règle est créée après chaque opération. Les
règles créées dans ce mode peuvent être affichées dans l'éditeur de règles, mais leur niveau de priorité est
inférieur à celui des règles créées manuellement ou en mode automatique. Lorsque vous sélectionnez
l'option Mode d'apprentissage dans le menu déroulant Mode de filtrage HIPS, le paramètre Le mode
d'apprentissage prend fin le devient disponible. Sélectionnez la durée du mode d'apprentissage. La durée
maximale est de 14 jours. Lorsque la durée spécifiée est arrivée à son terme, vous êtes invité à modifier les
règles créées par HIPS en mode d'apprentissage. Vous pouvez également choisir un autre mode de filtrage ou
continuer à utiliser le mode d'apprentissage.
Règles
Les règles déterminent les applications qui auront accès aux fichiers, parties du Registre ou autres applications.
Le système HIPS surveille les événements dans le système d'exploitation et réagit en fonction de règles qui
sont semblables à celles utilisées par le pare-feu personnel. Cliquez sur Modifier pour ouvrir la fenêtre de
gestion des règles HIPS. Si l'action par défaut d'une règle est définie sur Demander, une boîte de dialogue
apparaît à chaque déclenchement de la règle. Vous pouvez choisir de refuser ou d'autoriser l'opération. Si vous
ne choisissez aucune action dans la période donnée, une nouvelle action est sélectionnée en fonction des
règles.
La boîte de dialogue permet de créer une règle en fonction de toute nouvelle action détectée par le système HIPS,
puis de définir les conditions dans lesquelles autoriser ou bloquer cette action. Cliquez sur Détails pour afficher des
informations supplémentaires. Les règles créées de cette manière sont équivalentes aux règles créées
186
manuellement ; la règle créée à partir d'une boîte de dialogue peut être moins spécifique que celle qui a déclenché
l'affichage de la boîte de dialogue. En d'autres termes, après la création d'une règle, la même opération peut
déclencher la même fenêtre.
Demander à chaque fois
Une boîte de dialogue apparaît à chaque déclenchement de la règle. Vous pouvez choisir de refuser ou
d'autoriser l'opération.
Mémoriser jusqu'à la fermeture de l'application
Choisir une action Refuser ou Autoriser crée une règle HIPS temporaire qui sera utilisée jusqu'à la fermeture de
l'application en question. Si vous modifiez le mode de filtrage, modifiez les règles ou que le module HIPS est
mis à jour, et si vous redémarrez le système, les règles temporaires sont supprimées.
Créer une règle et l'enregistrer de manière permanente
Créez une nouvelle règle HIPS. Vous pouvez la modifier ultérieurement dans la section Gestion des règles HIPS.
7.1.10.1 Paramètres de règle HIPS
Cette fenêtre vous donne une vue d'ensemble des règles HIPS existantes.
Règle
Nom de règle défini par l'utilisateur ou sélectionné automatiquement.
Activé
Désactivez ce commutateur si vous souhaitez conserver la règle dans la liste, mais ne souhaitez pas
l'utiliser.
Action
La règle spécifie une action (Autoriser, Bloquer ou Demander) à exécuter, si les conditions sont
remplies.
187
Règle
Nom de règle défini par l'utilisateur ou sélectionné automatiquement.
Sources
La règle est utilisée uniquement si l'événement est déclenché par une ou des applications.
Cibles
La règle est utilisée uniquement si l'opération est liée à un fichier, une application ou une entrée de
registre spécifique.
Gravité
Si vous activez cette option, les informations sur cette règle sont écrites dans lejournal HIPS.
journalisée
Notifier
Une petite fenêtre contextuelle apparaît dans le coin inférieur droit si un événement est déclenché.
Créez une règle, cliquez sur Ajouter de nouvelles règles HIPS ou sur Modifier les entrées sélectionnées.
Nom de la règle
Nom de règle défini par l'utilisateur ou sélectionné automatiquement.
Action
La règle spécifie une action (Autoriser, Bloquer ou Demander) à exécuter, si les conditions sont remplies.
Opérations affectant
Vous devez sélectionner le type d'opération auquel s'applique la règle. La règle est utilisée uniquement pour
ce type d'opération et pour la cible sélectionnée. La règle est composée d'éléments qui décrivent les conditions
déclenchant cette règle.
Applications source
La règle est utilisée uniquement si l'événement est déclenché par ces applications. Dans le menu déroulant,
sélectionnez des applications spécifiques, puis cliquez sur Ajouter pour ajouter de nouveaux fichiers ou
dossiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter
toutes les applications.
REMARQUE
Le fonctionnement de certaines règles prédéfinies par HIPS ne peut pas être bloqué et est autorisé par défaut.
En outre, les opérations système ne sont pas toutes surveillées par le système HIPS. Ce système surveille les
opérations qui peuvent être considérées comme dangereuses.
Description des opérations importantes :
Opérations sur le fichier:
Supprimer le
fichier
L'application demande l'autorisation de supprimer le fichier cible.
Écrire dans le
fichier
L'application demande l'autorisation d'écrire dans le fichier cible.
Accès direct au
disque
L'application essaie de lire des informations du disque ou d'écrire sur le disque d'une manière
inhabituelle, non conforme aux procédures Windows classiques. Les fichiers peuvent être
modifiés sans que les règles correspondantes soient appliquées. Cette opération peut provenir
d'un logiciel malveillant qui essaie de contourner la détection, d'un logiciel de sauvegarde qui
tente de faire une copie exacte d'un disque ou encore d'un gestionnaire de partition qui essaie
de réorganiser les volumes du disque.
Installer
l'élément hook
Fait référence à l'appel de la fonction SetWindowsHookEx depuis la bibliothèque MSDN.
188
Supprimer le
fichier
L'application demande l'autorisation de supprimer le fichier cible.
global
Charger le pilote Installation et chargement de pilotes dans le système.
La règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant, sélectionnez Fichiers
spécifiques, puis cliquez sur Ajouter pour ajouter des dossiers ou des fichiers. Vous pouvez également sélectionner
Tous les fichiers dans le menu déroulant pour ajouter toutes les applications.
Opérations sur l'application:
Déboguer une autre
application
Ajout d'un système de débogage au processus. Lors du débogage d'une
application, de nombreux détails concernant son comportement peuvent être
affichés et modifiés. Vous pouvez également accéder à ses données.
Intercepter les événements
d'une autre application
L'application source essaie de récupérer les événements destinés à une
application spécifique (il peut s'agir par exemple d'un programme keylogger
d'enregistrement des touches qui essaie de capturer les événements d'un
navigateur).
Terminer/Mettre en attente
une autre application
Met un processus en attente, le reprend ou l'arrête (accessible directement depuis
l'explorateur des processus ou la fenêtre des processus).
Démarrer une nouvelle
application
Démarrage de nouvelles applications et de nouveaux processus.
Modifier l'état d'une autre
application
L'application source essaie d'écrire dans la mémoire de l'application cible ou
d'exécuter du code en son nom. Cette fonctionnalité peut être utile pour protéger
une application importante : vous la configurez en tant qu'application cible dans
une règle qui bloque l'utilisation de cette opération.
La règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant, sélectionnez
Applications spécifiques, puis cliquez sur Ajouter pour ajouter des dossiers ou des fichiers. Vous pouvez également
sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications.
Opérations sur le Registre:
Modifier les
paramètres de
démarrage
Toute modification apportée aux paramètres qui définissent les applications à exécuter au
démarrage de Windows. Elles peuvent notamment être recherchées à l'aide de la clé Run du
registre Windows.
Supprimer du
registre
Suppression d'une clé de registre ou de sa valeur.
Renommer la clé Changement du nom des clés de registre.
de registre
Modifier le
registre
Création de nouvelles valeurs de clés de registre, modification de valeurs existantes,
déplacement de données dans l'arborescence de base de données ou configuration des droits
d'utilisateur ou de groupe pour les clés de registre.
189
La règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant, sélectionnez Entrées
spécifiques, puis cliquez sur Ajouter pour ajouter des dossiers ou des fichiers. Vous pouvez également sélectionner
Toutes les entrées dans le menu déroulant pour ajouter toutes les applications.
REMARQUE
Vous pouvez utiliser des caractères génériques qui peuvent présenter des restrictions lors le la saisie d'un
dossier. Au lieu d'utiliser une clé particulière, vous pouvez utiliser un astérisque (*) dans les chemins de
registre. Par exemple HKEY_USERS\*\software can mean HKEY_USER\.default\software, mais pas HKEY_USERS
\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system
\ControlSet* n'est pas un chemin valide de clé de registre. Un chemin de clé de registre contenant le symbole
\* signifie « ce chemin ou tout autre niveau après ce symbole ». C'est le seul moyen d'utiliser des caractères
génériques pour les cibles séjour. L'évaluation porte tout d'abord sur la partie spécifique du chemin, puis sur
celle figurant après le symbole (*).
AVERTISSEMENT
Une notification peut s'afficher si vous créez une règle trop générique.
7.1.10.2 Configurations avancées de HIPS
Les options suivantes sont utiles au débogage et à l'analyse d'un comportement d'application :
Pilotes dont le chargement est toujours autorisé
Le chargement des pilotes sélectionnés est toujours autorisé, quel que soit le mode de filtrage configuré,
excepté en cas de blocage explicite par une règle utilisateur. Le chargement des pilotes répertoriés dans cette
liste est toujours autorisé quel que soit le mode de filtrage HIPS, sauf s'il est bloqué explicitement par une
règle de l'utilisateur. Vous pouvez ajouter un nouveau pilote, modifier un pilote sélectionné dans la liste ou le
retirer.
REMARQUE
cliquez sur Réinitialiser si vous ne souhaitez pas que les pilotes que vous avez ajoutés manuellement soient
inclus. Cette commande peut s'avérer utile lorsque vous avez ajouté plusieurs pilotes et que vous ne pouvez
pas les supprimer manuellement de la liste.
Consigner toutes les connexions bloquées
Toutes les opérations bloquées sont inscrites dans le journal HIPS.
Avertir en cas de changements dans les applications de démarrage
Affiche une notification sur le Bureau chaque fois qu'une application est ajoutée au démarrage du système ou
en est supprimée.
7.2 Configuration des mises à jour
Cette section fournit des informations sur la source des mises à jour telles que les serveurs de mise à jour utilisés et
les données d'authentification pour ces serveurs.
REMARQUE
Il est essentiel de remplir tous les paramètres de mise à jour avec précision afin de télécharger correctement
les mises à jour. Si vous utilisez un pare-feu, vérifiez que le programme ESET est autorisé à accéder à Internet
(communication HTTP, par exemple).
Général
190
Sélectionner le profil de mise à jour par défaut
Sélectionnez un profil existant ou créez-en un qui sera appliqué par défaut pour les mises à jour.
Effacer le cache de mise à jour
En cas de problème de mise à jour, cliquez sur Effacer pour effacer le cache de mise à jour temporaire.
Définir automatiquement l'âge maximal du moteur de détection / Âge maximal du moteur de détection (jours)
Permet de définir le nombre maximum de jours au terme desquels l'âge du moteur de détection est signalé
comme étant obsolète. La valeur par défaut est de 7.
Restauration du module
Si vous pensez qu'une mise à jour du moteur de détection ou des modules du programme est instable ou
endommagée, vous pouvez restaurer la version précédente et désactiver les mises à jour pendant une période
donnée. Il est également possible d'activer les mises à jour précédemment désactivées si vous les avez
reportées pour une durée indéterminée. ESET Mail Security enregistre des instantanés de moteur de détection
et de modules du programme à utiliser avec la fonctionnalité de restauration. Pour permettre la création
d'instantanés de moteur de détection, conservez l'option Créer des instantanés des modules activés.
Nombre d’instantanés stockés localement
Définit le nombre d'instantanés précédents de module qui sont stockés.
Profils
Pour créer un profil de mise à jour personnalisé, sélectionnez Modifier en regard de Liste des profils, saisissez un
nom dans Nom du profil, puis cliquez sur Ajouter. Sélectionnez le profil à modifier et changez les paramètres pour
les types des mises à jour de module ou créez un miroir de mise à jour.
Mises à jour
Sélectionnez le type de mise à jour à utiliser dans le menu déroulant :
· Mise à jour régulière - Par défaut, l'option Type de mise à jour est définie sur Mise à jour régulière pour que
les fichiers de mise à jour soient téléchargés automatiquement du serveur ESET lorsque le trafic réseau est le
moins surchargé.
· Mise à jour des versions bêta - Ces mises à jour ont subi des tests internes poussés et seront disponibles très
prochainement. Vous pouvez activer ces versions bêta afin d'accéder aux dernières méthodes de détection et
aux derniers correctifs. Toutefois, ces versions ne sont peut-être pas suffisamment stables pour être utilisées
en permanence et NE DOIVENT PAS être utilisées sur des serveurs de production et des stations de travail qui
exigent les plus grandes disponibilité et stabilité.
· Mise à jour retardée : permet d'effectuer la mise à jour à partir de serveurs de mise à jour spéciaux
fournissant les nouvelles versions de bases de virus après un délai d'au moins X heures (bases testées dans
un environnement réel et donc considérées comme stables).
Demander avant de télécharger une mise à jour
Lorsqu'une nouvelle mise à jour est disponible, le système vous demande si vous souhaitez la télécharger.
Demander si un fichier de mise à jour a une taille supérieure à (Ko)
Si la taille du fichier de mise à jour est supérieure à la valeur spécifiée dans le champ, une notification s'affiche.
Désactiver la notification de réussite de la mise à jour
Désactive les notifications qui apparaissent dans la barre d'état système, dans l'angle inférieur droit de l'écran.
Cette option est utile si une application s'exécute en mode plein écran. Notez que le mode de présentation
désactive toutes les notifications.
Mises à jour des modules
191
Les mises à jour des modules sont définies par défaut sur Choisir automatiquement. Le serveur de mise à jour
est l'emplacement où sont stockées les mises à jour. Si vous utilisez un serveur ESET, il est recommandé de
conserver l'option par défaut.
Si un serveur local HTTP, appelé également miroir, est utilisé, le serveur de mise à jour doit être configuré comme
suit :
http://nom_ordinateur_ou_son_adresse_IP:2221
Si vous utilisez un serveur local HTTP avec SSL, le serveur de mise à jour doit être configuré comme suit :
https://nom_ordinateur_ou_son_adresse_IP:2221
Si vous utilisez un dossier partagé local, le serveur de mise à jour doit être configuré comme suit :
\\nom_ordinateur_ou_son_adresse_IP\dossier_partagé
Permettre des mises à jour plus fréquentes des signatures de détection
Le moteur de détection sera mis à jour à un intervalle plus fréquent. La désactivation de cette option peut avoir
un impact négatif sur le taux de détection.
Autoriser les mises à jour des modules à partir des supports amovibles
Permet d'effectuer une mise à jour à partir de supports amovibles s'ils contiennent un miroir créé. Lorsque
l'option Automatique est sélectionnée, les mises à jour s'exécutent en arrière-plan. Si vous souhaitez afficher
les boîtes de dialogue de mise à jour, sélectionnez l'option Toujours demander.
Mise à jour des composants du programme
Utilisez le menu déroulant Mode de mise à jour pour choisir comment appliquer les mises à jour des
composants de ESET Mail Security lorsqu'une nouvelle mise à jour est disponible. Les mises à jour des
composants modifient généralement les fonctionnalités existantes, mais peuvent également inclure de
nouvelles fonctionnalités. En fonction du mode de mise à jour choisi, la mise à jour des composants peut être
effectuée automatiquement sans intervention ni confirmation. Vous pouvez également choisir d'être averti
avant l'installation des mises à jour. Un redémarrage du serveur peut être requis après la mise à jour du
composant. Les modes de mise à jour suivants sont disponibles :
· Demander avant d'effectuer une mise à jour : vous êtes invité à confirmer ou à refuser les mises à jour du
produit lorsqu'elles sont disponibles. Il s'agit de l'option par défaut. Un redémarrage du serveur peut être
nécessaire après la mise à jour du composant.
· Mise à jour automatique : les mises à jour des composants seront téléchargées et installées
automatiquement. Cette option n'est pas recommandée, car ESET Mail Security redémarre votre serveur une
fois la mise à jour des composants terminée.
· Ne jamais mettre à jour : les mises à jour des composants ne seront pas effectuées. Cette option est
recommandée, car elle permet d'exécuter les mises à jour des composants manuellement et de redémarrer
le serveur pendant la fenêtre de maintenance planifiée.
IMPORTANT
Le mode Mise à jour automatique redémarre automatiquement votre serveur une fois la mise à jour du
composant terminée.
Options de connexion
Serveur proxy
192
Pour accéder aux options de configuration du serveur proxy pour un profil de mise à jour donné. Cliquez sur
l'onglet Mode proxyet sélectionnez l'une des trois options suivantes :
· Ne pas utiliser de serveur proxy : aucun serveur proxy ne sera utilisé par ESET Mail Security lors des mises à
jour.
· Utiliser les paramètres globaux de serveur proxy : la configuration de serveur proxy indiquée dans
Configuration avancée (F5)> Outils > Serveur proxy sera utilisée.
· Connexion via un serveur proxy : utilisez cette option si :
Un serveur proxy doit être utilisé pour mettre à jour ESET Mail Security et ce serveur doit être différent de celui
indiqué dans les paramètres globaux (Outils > Serveur proxy). Si c'est le cas, des paramètres supplémentaires
doivent être spécifiés : l'adresse du serveur proxy, le port de communication (3128 par défaut), ainsi que le nom
d'utilisateur et le mot de passe du serveur proxy si nécessaire.
Les paramètres de serveur proxy n'ont pas été définis globalement, mais ESET Mail Security se connecte à un
serveur proxy pour les mises à jour.
Votre ordinateur est connecté à Internet par l'intermédiaire d'un serveur proxy. Les paramètres sont pris d'Internet
Explorer pendant l'installation du programme, mais s'ils sont modifiés par la suite (par exemple, en cas de
changement de fournisseur de services Internet), vérifiez que les paramètres du proxy HTTP figurant dans la
fenêtre sont corrects. Dans le cas contraire, le programme ne pourra pas se connecter aux serveurs de mise à jour.
REMARQUE
Les données d'authentification telles que Nom d'utilisateur et Mot de passe permettent d'accéder au serveur
proxy. Ne remplissez ces champs que si un nom d'utilisateur et un mot de passe sont requis. Notez que ces
champs ne sont pas ceux du mot de passe/nom d'utilisateur d'ESET Mail Security et ne doivent être remplis
que si vous savez que vous avez besoin d'un mot de passe pour accéder à Internet via un serveur proxy.
Utiliser une connexion directe si le serveur proxy n'est pas disponible
Si un produit est configuré pour utiliser le proxy HTTP et que ce dernier est injoignable, le produit ignore le
proxy et communique directement avec les serveurs ESET.
Partages Windows
Lors d'une mise à jour depuis un serveur local exécutant Windows, une authentification est par défaut exigée
pour chaque connexion réseau.
Se connecter au reseau local en tant que
Pour configurer votre compte, sélectionnez l'une des options suivantes :
· Compte système (par défaut) : permet d'utiliser le compte système pour l'authentification. En règle générale,
aucun traitement d'authentification n'a lieu si les données d'authentification ne sont pas fournies dans la
section de configuration des mises à jour.
· Utilisateur actuel : sélectionnez cette option pour vous assurer que le programme s'authentifie à l'aide du
compte de l'utilisateur connecté. L'inconvénient de cette solution est que le programme ne peut pas se
connecter au serveur de mise à jour si aucun utilisateur n'est connecté.
· Utilisateur spécifié : sélectionnez cette option pour utiliser un compte d'utilisateur spécifique pour
l'authentification. Utilisez cette méthode en cas d'échec de la connexion avec le compte système. Notez que
le compte de l'utilisateur spécifié doit avoir accès au dossier des fichiers de mise à jour du serveur local. Dans
le cas contraire, le programme serait incapable d'établir une connexion ou de télécharger les mises à jour.
193
AVERTISSEMENT
Si l'une des options Utilisateur actuel ou Utilisateur spécifié est activée, une erreur peut se produire en cas de
changement de l'identité du programme pour l'utilisateur souhaité. C'est pour cette raison que nous
recommandons d'entrer les données d'authentification du réseau local dans la section de configuration des
mises à jour. Dans cette section de configuration des mises à jour, les données d'authentification doivent être
entrées comme suit : domain_name\user (dans le cas d'un groupe de travail, entrez workgroup_name\name)
et le mot de passe. La mise à jour de la version HTTP du serveur local n'exige aucune authentification.
Se déconnecter du serveur après la mise à jour
Permet de forcer une déconnexion si la connexion au serveur reste active, même après le téléchargement des
mises à jour.
Miroir de mise à jour
Les options de configuration du serveur Miroir local se trouvent dans Configuration avancée (F5), sous l'onglet Mise
à jour > Profils > Miroir de mise à jour.
7.2.1 Restauration des mises à jour
Si vous cliquez sur Restaurer, vous devez sélectionner une durée dans le menu déroulant qui représente la période
durant laquelle les mises à jour de la base du moteur de détection et celles des modules de programme sont
suspendues.
Sélectionnez Jusqu'à son retrait pour différer indéfiniment les mises à jour régulières jusqu'à ce que vous restauriez
manuellement cette fonctionnalité. Nous ne recommandons pas de sélectionner cette option qui présente un
risque potentiel pour la sécurité de l'ordinateur.
La base du moteur de détection revient à la version la plus ancienne disponible, stockée sous forme d'instantané
dans le système de fichiers de l'ordinateur local.
7.2.2 Tâche planifiée : mise à jour
Pour mettre à jour le programme à partir de deux serveurs de mise à jour, vous devez créer deux profils de mise à
jour distincts. Si le premier ne permet pas de télécharger les fichiers de mise à jour, le programme bascule
automatiquement vers le second. Ce procédé est notamment adapté aux portables dont la mise à jour s'effectue
normalement depuis un serveur de mise à jour du réseau local, mais dont les propriétaires se connectent souvent à
Internet à partir d'autres réseaux. Par conséquent, en cas d'échec du premier profil, le second télécharge
automatiquement les fichiers de mise à jour à partir des serveurs de mise à jour d'ESET.
EXEMPLE
La procédure décrite ci-après vous permet d'utiliser une tâche pour modifier une mise à jour automatique
régulière existante.
1. Dans l'écran principal Planificateur, sélectionnez la tâche de mise à jour portant le nom Mise à jour
automatique régulière et cliquez sur Modifier pour ouvrir l'assistant de configuration.
2. Définissez la tâche du planificateur à exécuter et sélectionnez l'une des options de fréquence suivantes à
définir lorsque vous souhaitez exécuter la tâche planifiée :
3. Si vous souhaitez empêcher l'exécution de la tâche lorsque le système fonctionne sur batterie (système
UPS, par exemple), cliquez sur le commutateur situé en regard de l'option Ignorer la tâche en cas
d’alimentation par batterie.
194
4. Sélectionnez le profil de mise à jour à utiliser pour la mise à jour. Sélectionnez une action à effectuer en cas
de non-exécution de la tâche planifiée, quel qu'en soit le motif.
5. Cliquez sur Terminer pour appliquer la tâche.
7.2.3 Miroir de mise à jour
Ouvrir ESET Mail Security
Appuyez sur F5 > Mise à jour > Profils > Miroir de mise à jour
ESET Mail Security permet de créer des copies des fichiers de mises à jour afin de les utiliser pour la mise à jour
d'autres postes de travail du réseau. L'utilisation d'un miroir, copie des fichiers de mise à jour dans l'environnement
du réseau local, s'avère pratique puisque les fichiers de mise à jour doivent être téléchargés du serveur de mise à
jour du fournisseur de manière répétée, pour toutes les stations de travail. Les mises à jour sont téléchargées sur le
serveur miroir local puis distribuées à toutes les stations de travail pour éviter tout risque de surcharge du réseau.
La mise à jour de postes de travail à partir d'un miroir optimise l'équilibre de la charge réseau et libère les bandes
passantes des connexions Internet.
Miroir de mise à jour
Créer un miroir de mise à jour
Active les options de configuration du miroir.
Dossier de stockage
Cliquez sur Effacer si vous souhaitez changer un dossier par défaut défini pour stocker des fichiers en miroir (C:
\ProgramData\ESET\ESET Security\mirror). Cliquez sur Modifier pour accéder à un dossier sur l'ordinateur local
ou à un dossier réseau partagé. Si une autorisation pour le dossier spécifié est requise, les données
d'authentification doivent être entrées dans les champs Nom d'utilisateur et Mot de passe. Si le dossier de
destination sélectionné se trouve sur un disque réseau exécutant le système d'exploitation Windows NT/2000/
XP, le nom d'utilisateur et le mot de passe spécifiés doivent disposer du droit d'écriture sur ce dossier.
Le nom d'utilisateur et le mot de passe doivent être entrés au format Domain/User ou Workgroup/User.
N'oubliez pas de fournir les mots de passe correspondants.
Mise à jour des composants du programme
Fichiers
Lors de la configuration du miroir, vous pouvez indiquer les versions linguistiques des mises à jour à
télécharger. Les langues sélectionnées doivent être prises en charge par le serveur miroir configuré par
l'utilisateur.
Mettre à jour les composants automatiquement
Permet l'installation de nouvelles fonctionnalités et de mises à jour des fonctionnalités existantes. Une mise à
jour peut s'effectuer sans intervention de l'utilisateur ou après sa notification. Le redémarrage de l'ordinateur
peut être nécessaire après la mise à jour du produit.
Mettre à jour les composants maintenant
Met à jour les composants du programme avec la nouvelle version.
Serveur HTTP
Port du serveur
Le port par défaut est 2221. Changez cette valeur si vous utilisez un autre port.
Authentification
Définit la méthode d'authentification utilisée pour accéder aux fichiers de mise à jour. Les options disponibles
sont les suivantes : Aucune, Général et NTLM.
195
· Sélectionnez Général pour utiliser le codage base64 avec l'authentification de base du nom d'utilisateur et
mot de passe.
· L'option NTLM fournit un codage utilisant une méthode de codage fiable. L'utilisateur créé sur le poste de
travail partageant les fichiers de mise à jour est utilisé pour l'authentification.
· L'option par défaut est Aucune. Elle autorise l'accès aux fichiers des mises à jour sans exiger
d'authentification.
AVERTISSEMENT
L'accès aux fichiers des mises à jour au moyen du serveur HTTP exige que le dossier miroir soit sur le même
ordinateur que l'instance ESET Mail Security qui l'a créé.
SSL pour serveur HTTP
Ajoutez votre fichier de chaîne de certificat ou générez un certificat signé automatiquement si vous souhaitez
exécuter le serveur HTTP avec la prise en charge HTTPS (SSL). Les types de certificats suivants sont disponibles :
PEM, PFX et ASN. Pour plus de sécurité, vous pouvez utiliser le protocole HTTPS pour télécharger les fichiers de
mise à jour. Il est pratiquement impossible d'identifier des transferts de données et des informations de
connexion lorsque ce protocole est utilisé.
L'option Type de clé privée est définie sur Intégrée par défaut (ainsi, l'option Fichier de clé privée est
désactivée par défaut), ce qui signifie que la clé privée fait partie du fichier de chaîne de certificat sélectionné.
Options de connexion
Partages Windows
Lors d'une mise à jour depuis un serveur local exécutant Windows, une authentification est par défaut exigée
pour chaque connexion réseau.
Se connecter au reseau local en tant que
Pour configurer votre compte, sélectionnez l'une des options suivantes :
· Compte système (par défaut) : permet d'utiliser le compte système pour l'authentification. Normalement,
aucun traitement d'authentification n'a lieu si les données d'authentification ne sont pas fournies dans la
section de configuration des mises à jour.
· Utilisateur actuel : sélectionnez cette option pour vous assurer que le programme s'authentifie à l'aide du
compte de l'utilisateur connecté. L'inconvénient de cette solution est que le programme ne peut pas se
connecter au serveur de mise à jour si aucun utilisateur n'est connecté.
· Utilisateur spécifié : sélectionnez cette option pour utiliser un compte d'utilisateur spécifique pour
l'authentification. Utilisez cette méthode en cas d'échec de la connexion avec le compte système. Notez que
le compte de l'utilisateur spécifié doit avoir accès au dossier des fichiers de mise à jour du serveur local. Dans
le cas contraire, le programme serait incapable d'établir une connexion et de télécharger les mises à jour.
AVERTISSEMENT
Si l'une des options Utilisateur actuel ou Utilisateur spécifié est activée, une erreur peut se produire en cas de
changement de l'identité du programme pour l'utilisateur souhaité. C'est pour cette raison que nous
recommandons d'entrer les données d'authentification du réseau local dans la section de configuration des
mises à jour. Dans cette section de configuration des mises à jour, les données d'authentification doivent être
entrées comme suit : domain_name\user (dans le cas d'un groupe de travail, entrez workgroup_name\name)
et le mot de passe. La mise à jour de la version HTTP du serveur local n'exige aucune authentification.
Se déconnecter du serveur après la mise à jour
Permet de forcer une déconnexion si la connexion au serveur reste active, même après le téléchargement des
mises à jour.
196
7.3 Protection du réseau
REMARQUE
Sous Windows Server 2008 SP2, Windows Server 2008 R2 SP1, Small Business Server 2008 SP2 et Small Business
Server 2011, l'installation du composant Protection du réseau est désactivée par défaut. Si vous souhaitez que
ce composant soit installé, vous devez sélectionner l'option d'installation personnalisée. Si ESET Mail Security
est déjà installé, vous pouvez réexécuter le programme d'installation pour modifier l'installation existante en
ajoutant le composant Protection du réseau.
Activer la protection contre les attaques réseau (IDS)
Permet de configurer l'accès à certains services exécutés sur votre ordinateur à partir de la zone Fiable et
d'activer/désactiver la détection de plusieurs types d'attaques pouvant être utilisés pour porter atteinte à votre
ordinateur.
Activer la protection anti-botnet
Détecte et bloque les communications avec des serveurs de contrôle et de commande malveillants selon les
modèles classiques lorsque l'ordinateur est infecté et qu'un robot tente de communiquer.
Exceptions IDS
Vous pouvez comparer les exceptions IDS (Intrusion Detection System) à des règles de protection du réseau.
Cliquez sur modifier pour définir des exceptions IDS.
Détection d’intrusion:
Protocole SMB : détecte et bloque divers problèmes de sécurité dans le protocole SMB.
Protocole RPC : détecte et bloque divers CVE dans le système d'appel des procédures à distance développé pour
l'environnement Distributed Computing Environment (DCE).
Protocole RDP : détecte et bloque divers CVE dans le protocole RDP (voir ci-dessus).
Bloquer l'adresse non sûre après une détection d'attaque : les adresses IP qui ont été identifiées comme sources
d'attaques sont ajoutées à la liste noire pour prévenir toute connexion pendant une certaine période.
Afficher une notification après la détection d'une attaque : active les notifications qui apparaissent dans la barre
d'état système, dans l'angle inférieur droit de l'écran.
Afficher également des notifications pour les attaques entrantes contre les trous de sécurité : vous avertit si des
attaques contre des trous de sécurité sont détectées ou si une menace tente d'accéder au système de cette
manière.
Vérification des paquets:
Autoriser les connexions entrantes aux partages administratifs du protocole SMB : les partages administratifs sont
les partages réseau par défaut qui partagent les partitions de disque dur (C$, D$, ...) au sein du système, ainsi que
le répertoire système (ADMIN$). Désactiver la connexion aux partages administratifs peut limiter de nombreux
risques de sécurité. Par exemple, le ver Conficker effectue des attaques par dictionnaire afin de se connecter aux
partages administratifs.
Refuser les dialectes SMB anciens (non pris en charge) : refuse des sessions SMB qui utilisent un ancien dialecte
SMB non pris en charge par IDS. Les systèmes d'exploitation Windows modernes prennent en charge les anciens
197
Autoriser les connexions entrantes aux partages administratifs du protocole SMB : les partages administratifs sont
les partages réseau par défaut qui partagent les partitions de disque dur (C$, D$, ...) au sein du système, ainsi que
le répertoire système (ADMIN$). Désactiver la connexion aux partages administratifs peut limiter de nombreux
risques de sécurité. Par exemple, le ver Conficker effectue des attaques par dictionnaire afin de se connecter aux
partages administratifs.
dialectes SMB en raison de la rétrocompatibilité avec les anciens systèmes d'exploitation tels que Windows 95. Le
pirate peut utiliser un ancien dialecte dans une session SMB dans le but d'échapper à l'inspection du trafic. Refusez
les anciens dialectes SMB si votre ordinateur n'a pas besoin de partager des fichiers (ou d'utiliser des
communications SMB en général) avec un ordinateur équipé d'une ancienne version de Windows.
Refuser les sessions SMB sans sécurité étendue : la sécurité étendue peut être utilisée au cours de la négociation
de session SMB, afin de fournir un mécanisme d'authentification plus sécurisé que l'authentification par challenge/
réponse du gestionnaire LAN (LM). Le schéma LM est considéré comme faible et son utilisation n'est pas
recommandée.
Autoriser la communication avec le service Security Account Manager : pour plus d'informations sur ce service, voir
[MS-SAMR] .
Autoriser la communication avec le service Local Security Authority : pour plus d'informations sur ce service, voir
[MS-LSAD] et [MS-LSAT] .
Autoriser la communication avec le service Remote Registry : pour plus d'informations sur ce service, voir [MS-RRP]
.
Autoriser la communication avec le service Service Control Manager : pour plus d'informations sur ce service, voir
[MS-SCMR] .
Autoriser la communication avec le service Server : pour plus d'informations sur ce service, voir [MS-SRVS] .
Autoriser la communication avec les autres services : autres services MSRPC.
7.3.1 Exceptions IDS
Les exceptions IDS (Intrusion Detection System) sont essentiellement des règles de protection du réseau. Elles sont
évaluées de haut en bas. L'éditeur d'exceptions IDS permet de personnaliser le comportement de la protection
réseau en fonction de différentes exceptions IDS. La première exception correspondante est appliquée, pour
chaque type d'action (Bloquer, Notifier, Consigner) séparément. Haut/Monter/Bas/Descendrepermet d'ajuster le
niveau de priorité des exceptions. Pour créer une exception, cliquez sur Ajouter. Cliquez sur Modifier pour modifier
une exception IDS ou sur Supprimer pour la retirer.
Sélectionnez le type Alerte dans la liste déroulante. Indiquez le nom de la menace et la direction. Accédez à
l'application pour laquelle vous souhaitez créer l'exception. Indiquez une liste d'adresses IP (IPv4 ou IPv6) ou de
sous-réseaux. Pour plusieurs entrées, utilisez une virgule comme délimiteur.
Configurez l'action de l'exception IDS en sélectionnant une des options dans le menu déroulant (Par défaut, Oui,
Non). Effectuez cette opération pour chaque type d'action (Bloquer, Notifier, Consigner).
EXEMPLE
Si vous souhaitez qu'une notification soit affichée en cas d'alerte d'exception IDS et que l'heure de
l'événement soit enregistrée, laissez le type d'action, conservez le type d'action Bloquer sur Par défaut. Pour
les deux autres types d'actions (Notifier et Consigner), sélectionnez Oui dans le menu déroulant.
198
7.3.2 Liste noire temporaire des adresses IP
Affichez la liste des adresses IP qui ont été détectées comme source d'attaques et ajoutées à la liste noire pour
bloquer les connexions pendant une certaine période. Cette option permet d'afficher l'adresse IPqui a été bloquée.
Motif du blocage
Indique le type d'attaque qui a été empêché à partir de l'adresse (par exemple, attaque par scan de port TCP).
Délai dépassé
Indique l'heure et la date auxquelles l'adresse arrivera à expiration dans la liste noire.
Supprimer/Supprimer tout
Supprime l'adresse IP sélectionnée de la liste noire temporaire avant son expiration ou supprime
immédiatement toutes les adresses de la liste noire.
Ajouter une exception
Ajoute une exception de pare-feu dans le filtrage IDS pour l'adresse IP sélectionnée.
7.4 Internet et messagerie
Vous pouvez configurer le filtrage des protocoles, la protection du client de messagerie, la protection de l'accès
Web et l'anti-hameçonnage pour protéger votre serveur lors des communications Internet.
Protection du client de messagerie
Contrôle toute la communication par e-mail, protège des codes malveillants et vous permet de choisir l'action à
entreprendre en cas de détection d'infection.
Protection de l'accès Web
Surveille la communication entre les navigateurs Internet et les serveurs distants, conformément aux règles
des protocoles HTTP et HTTPS. Cette fonctionnalité permet également de bloquer, d'autoriser et d'exclure
certaines adresses URL.
Filtrage des protocoles
Offre une protection avancée destinée aux protocoles d'application et fournie par le moteur d'analyse
ThreatSense. Ce contrôle fonctionne automatiquement, que le programme utilisé soit un navigateur Internet
ou un client de messagerie. Il fonctionne également pour la communication chiffrée (SSL/TLS).
Protection antihameçonnage
Permet de bloquer les pages Web connues pour diffuser du contenu d'hameçonnage.
7.4.1 Filtrage des protocoles
La protection antivirus des protocoles d'application est fournie par le moteur d'analyse ThreatSense qui intègre
plusieurs techniques avancées d'analyse des logiciels malveillants. Le filtrage des protocoles fonctionne
automatiquement, indépendamment du navigateur Internet ou du client de messagerie utilisés. Si le filtrage des
protocoles est activé, ESET Mail Security vérifie les communications qui utilisent le protocole SSL/TSL. Accédez à
Internet et messagerie > SSL/TLS.
Activer le filtrage de contenu des protocoles d'application
Si vous désactivez le filtrage des protocoles, notez que la plupart des composants d'ESET Mail Security
(protection de l'accès Web, protection des protocoles de messagerie et protection antihameçonnage)
dépendent de ce filtrage et que leurs fonctionnalités ne seront pas disponibles.
Applications exclues
Pour exclure du filtrage de contenu la communication de certaines applications sensibles au réseau,
sélectionnez ces applications dans la liste. Aucune recherche de menace n'est effectuée sur la communication
HTTP/POP3 des applications sélectionnées. Cette option permet d'exclure des applications spécifiques du
199
filtrage des protocoles. Cliquez sur Modifier et Ajouter pour sélectionner un exécutable dans la liste des
applications afin de l'exclure du filtrage des protocoles.
IMPORTANT
Il est recommandé d'utiliser cette option uniquement pour les applications qui ne fonctionnent pas
correctement lorsque leur communication est vérifiée.
Adresses IP exclues
Permet d'exclure des adresses distantes spécifiques du filtrage des protocoles. Les adresses IP figurant dans
cette liste sont exclues du filtrage du contenu des protocoles. Les menaces ne sont pas détectées sur les
communications HTTP/POP3/IMAP liées aux adresses sélectionnées.
IMPORTANT
Il est recommandé d'utiliser cette option uniquement pour les adresses que vous savez être fiables.
Cliquez sur Modifier et Ajouter pour indiquer l'adresse IP, la plage d'adresses ou le sous-réseau auquel l'exclusion
sera appliquée. Lorsque vous sélectionnez Entrer plusieurs valeurs, vous pouvez ajouter plusieurs adresses IP en les
séparant par des nouvelles lignes, des virgules ou des points-virgules. Lorsque la sélection multiple est activée, les
adresses s'affichent dans la liste des adresses IP exclues.
REMARQUE
Les exclusions s'avèrent utiles lorsque le filtrage des protocoles entraîne des problèmes de compatibilité.
7.4.1.1 Internet et clients de messagerie
À cause du nombre considérable de codes malveillants circulant sur Internet, la sécurisation de la navigation sur
Internet est un aspect très important de la protection des ordinateurs. Les vulnérabilités des navigateurs Internet et
les liens frauduleux contribuent à faciliter l'accès imperceptible au système par des codes malveillants. C'est
pourquoi ESET Mail Security se concentre sur la sécurité des navigateurs Internet. Chaque application accédant au
réseau peut être marquée comme étant un navigateur Internet. Les applications qui ont déjà utilisé des protocoles
pour les communications ou les applications des chemins d'accès sélectionnés peuvent être ajoutées à la liste
Internet et clients de messagerie.
REMARQUE
Depuis Windows Vista Service Pack 1 et Windows Server 2008 SP2, la nouvelle architecture de plateforme de
filtrage Windows permet de vérifier les communications réseau. Étant donné que la technologie WFP utilise
des techniques de surveillance spéciales, la section Internet et clients de messagerie est indisponible.
7.4.2 SSL/TLS
ESET Mail Security peut rechercher des menaces dans les communications qui utilisent le protocole SSL (Secure
Sockets Layer)/TLS (Transport Layer Security).
Vous pouvez utiliser plusieurs modes d'analyse pour examiner les communications SSL protégées à l'aide de
certificats approuvés, de certificats inconnus ou de certificats exclus de la vérification des communications SSL
protégées.
Activer le filtrage du protocole SSL/TLS
Si le filtrage des protocoles est désactivé, le programme n'analyse pas les communications sur le protocole SSL/
TLS. Le mode de filtrage du protocole SSL/TLS est disponible dans les options suivantes :
200
· Mode automatique - Sélectionnez cette option pour analyser toutes les communications SSL/TLS protégées, à
l'exception de celles protégées par des certificats exclus de la vérification. Si une nouvelle communication
utilisant un certificat signé inconnu est établie, vous n'êtes pas informé et la communication est
automatiquement filtrée. Lorsque vous accédez à un serveur disposant d'un certificat non approuvé indiqué
comme fiable (il figure dans la liste des certificats approuvés), la communication vers le serveur est autorisée
et le contenu du canal de communication est filtré.
· Mode interactif - Si vous entrez un nouveau site protégé par SSL/TLS (avec un certificat inconnu), une boîte de
dialogue de sélection d'action s'affiche. Ce mode vous permet de créer la liste des certificats SSL/TLS qui
seront exclus de l'analyse.
· Mode de politique - Toutes les connexions SSL/TLS sont filtrées, à l'exception des exclusions configurées.
Liste des applications filtrées par le protocole SSL/TLS
Ajoutez une application filtrée et définissez l'une des actions d'analyse. La liste des applications filtrées SSL/TSL
peut être utilisée pour personnaliser le comportement d'ESET Mail Security pour des applications SSL/TLS
spécifiques et mémoriser les actions choisies en cas de sélection du mode interactif dans le mode de filtrage de
protocole SSL/TLS.
Liste des certificats connus
Permet de personnaliser le comportement d'ESET Mail Security pour des certificats SSL spécifiques. Pour
afficher et gérer la liste, cliquez sur l'option Modifier située en regard de Liste des certificats connus.
Exclure la communication avec les domaines approuvés
Permet d'exclure les communications utilisant les certificats de validation étendue de la vérification des
protocoles (banque en ligne).
Bloquer les communications chiffrées à l’aide du protocole obsolète SSL v2
Les communications utilisant cette version antérieure du protocole SSL sont automatiquement bloquées.
Certificat racine
Pour que la communication SSL/TLS fonctionne correctement dans les navigateurs/clients de messagerie, il est
essentiel d'ajouter le certificat racine pour ESET à la liste des certificats racines connus (éditeurs). L'option
Ajouter le certificat racine aux navigateurs connus doit être activée. Sélectionnez cette option pour ajouter
automatiquement le certificat racine d'ESET aux navigateurs connus (Opera et Firefox par exemple). Pour les
navigateurs utilisant le magasin de certification système, le certificat est ajouté automatiquement
(Internet Explorer par exemple).
Pour appliquer le certificat à des navigateurs non pris en charge, cliquez sur Afficher le certificat > Détails > Copier
dans un fichier, puis importez-le manuellement dans le navigateur.
Validité du certificat
S'il est impossible de vérifier le certificat à l'aide de la bibliothèque de certificats TRCA
Dans certains cas, il est impossible de vérifier le certificat d'un site Web à l'aide du magasin d'Autorités de
certification racine de confiance. Cela signifie que le certificat est signé par un utilisateur (l'administrateur d'un
serveur Web ou d'une petite entreprise, par exemple) et que le fait de le considérer comme fiable n'est pas
toujours un risque. La plupart des grandes entreprises (les banques par exemple) utilisent un certificat signé
par TRCA. Si l'option Interroger sur la validité du certificat est activée (sélectionnée par défaut), l'utilisateur est
invité à sélectionner une action à entreprendre lorsque la communication chiffrée est établie. Vous pouvez
sélectionner Bloquer toute communication utilisant le certificat pour mettre toujours fin aux connexions
chiffrées aux sites avec des certificats non vérifiés.
Si le certificat est non valide ou endommagé
Cela signifie qu'il est arrivé à expiration ou que sa signature est incorrecte. Dans ce cas, il est recommandé de
conserver l'option Bloquer toute communication utilisant le certificat activée.
201
7.4.2.1 Liste des certificats connus
Permet de personnaliser le comportement d'ESET Mail Security pour des certificats SSL/TLS spécifiques et de
mémoriser les actions choisies en cas de sélection du mode interactif dans le mode de filtrage de protocole SSL/TLS.
Vous pouvez configurer un certificat sélectionné ou ajouter un certificat depuis une URL ou un fichier. Dans la
fenêtre Ajouter un certificat, cliquez sur URL ou Fichier, puis indiquez l'URL du certificat ou accédez à un fichier de
certificat. Les champs suivants seront automatiquement renseignés avec les données du certificat :
· Nom du certificat : nom du certificat.
· Émetteur du certificat : nom du créateur du certificat.
· Objet du certificat : le champ d'objet identifie l'entité associée à la clé publique stockée dans le champ
d'objet de la clé publique.
Action d’accès
· Automatique : permet d'autoriser les certificats approuvés et demander quelle action effectuer pour les
certificats non approuvés.
· Autoriser ou Bloquer : permet d'autoriser/bloquer les communications sécurisées par ce certificat
indépendamment de sa fiabilité.
· Demander : permet de recevoir une invite lorsqu'un certificat spécifique est rencontré.
Action d’analyse
· Automatique : permet d'effectuer une analyse en mode automatique et de demander quelle action
entreprendre en mode interactif.
· Analyser ou Ignorer : permet d'analyser ou d'ignorer les communications sécurisées par ce certificat.
· Demander : permet de recevoir une invite lorsqu'un certificat spécifique est rencontré.
7.4.2.2 Communication SSL chiffrée
Si votre système est configuré pour utiliser l'analyse du protocole SSL, une boîte de dialogue vous invitant à choisir
une action peut s'afficher dans les deux cas suivants :
Lorsqu'un site Web utilise un certificat non valide ou ne pouvant pas être vérifié et qu'ESET Mail Security est
configuré pour demander à l'utilisateur l'action à effectuer dans ce cas (par défaut, oui pour les certificats ne
pouvant pas être vérifiés, non pour les certificats non valides), une boîte de dialogue s'affiche pour autoriser ou
bloquer la connexion.
Lorsque l'option Mode de filtrage du protocole SSL est définie sur Mode interactif, une boîte de dialogue demande
pour chaque site Web d'analyser ou d'ignorer le trafic. Certaines applications vérifient que le trafic SSL n'est ni
modifié ni inspecté par quelqu'un. Dans ce cas, ESET Mail Security doit ignorer ce trafic pour que les applications
continuent de fonctionner.
202
Dans les deux cas, l'utilisateur peut choisir de mémoriser l'action sélectionnée. Les actions enregistrées sont
stockées dans la liste des certificats connus.
7.4.3 Protection du client de messagerie
L'intégration d'ESET Mail Security aux clients de messagerie augmente le niveau de protection active contre les
codes malveillants dans les messages électroniques. Si votre client de messagerie est pris en charge, l'intégration
peut être activée dans ESET Mail Security. Lorsque l'intégration est activée, la barre d'outils d'ESET Mail Security est
insérée directement dans le client de messagerie (la barre d'outils pour les nouvelles versions de Windows Live
Mail n'est pas insérée), ce qui permet une protection plus efficace des messages.
Intégration aux clients de messagerie
Les clients de messagerie actuellement pris en charge sont Microsoft Outlook, Outlook Express, Windows Mail
et Windows Live Mail. Ce module fonctionne comme un plug-in pour ces programmes. L'avantage principal du
plug-in réside dans le fait qu'il est indépendant du protocole utilisé. Lorsqu'un client de messagerie reçoit un
message chiffré, il le déchiffre et l'envoie au scanner de virus. Même si l'intégration n'est pas activée, les
communications par e-mail sont toujours protégées par le module de protection du client de messagerie (POP3,
IMAP).Pour obtenir la liste complète des clients de messagerie pris en charge, avec leur version, reportez-vous
à cet article de la base de connaissances .
Désactiver la vérification au changement de contenu de la boîte aux lettres
Si vous constatez un ralentissement du système lors de l'utilisation du client de messagerie (MS Outlook
uniquement). Ce cas de figure peut survenir lors de la récupération d'un e-mail à partir du magasin Kerio
Outlook Connector.
Activer la protection de messagerie par les plug-ins clients
Permet de désactiver la protection du client de messagerie sans supprimer l'intégration dans votre client de
messagerie. Vous pouvez désactiver tous les plug-ins à la fois ou désactiver les éléments suivants de manière
sélective :
203
· Courrier reçu - Active/désactive la vérification des messages reçus.
· Courrier envoyé - Active/désactive la vérification des messages envoyés.
· Courrier lu - Active/désactive la vérification des messages lus.
Action à exécuter sur le courrier électronique infecté
· Aucune action - Si cette option est activée, le programme identifie les pièces jointes infectées, mais
n'entreprend aucune action sur les messages concernés.
· Supprimer les courriers - Le programme avertit l'utilisateur à propos d'une infiltration et supprime le
message.
· Déplacer les courriers vers le dossier Éléments supprimés - Les courriers infectés sont automatiquement
placés dans le dossier Éléments supprimés.
· Déplacer les courriers vers le dossier - Les courriers infectés sont automatiquement placés dans le dossier
spécifié.
· Dossier - Spécifiez le dossier personnalisé vers lequel les messages infectés doivent être déplacés lorsqu'ils
sont détectés.
Répéter l’analyse après mise à jour
Active/désactive une nouvelle analyse après la mise à jour du moteur de détection.
Accepter les résultats d’analyse d’autres modules
Si cette option est activée, le module de protection de messages accepte les résultats d'analyse d'autres
modules de protection (analyse des protocoles IMAP, POP3).
7.4.3.1 Protocoles de messagerie
Activer la protection de messagerie par le filtrage de protocoles
Les protocoles IMAP et POP3 sont les protocoles les plus répandus pour la réception de messages dans un client
de messagerie. ESET Mail Security protège ces protocoles, quel que soit le client de messagerie utilisé.
ESET Mail Security prend également en charge l'analyse des protocoles IMAPS et POP3S qui utilisent un canal chiffré
pour transférer des informations entre un serveur et un client. ESET Mail Security contrôle la communication à l'aide
des protocoles SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme analyse uniquement le
trafic sur les ports définis dans les ports utilisés par le protocole IMAPS/POP3S, quelle que soit la version du
système d'exploitation.
Configuration du moteur d'analyse IMAPS/POP3S
Les communications chiffrées ne sont pas analysées lorsque les paramètres par défaut sont utilisés. Pour
activer l'analyse des communications chiffrées, accédez à l'option Contrôle de protocole SSL/TLS.
Le numéro de port identifie le type du port. Voici les ports de messagerie par défaut pour :
Nom du port
Numéros de Description
port
POP3
110
Port non chiffré POP3 par défaut.
IMAP
143
Port non chiffré IMAP par défaut.
IMAP sécurisé
(IMAP4-SSL)
585
Activer le filtrage du protocole SSL/TLS. Les différents numéros de ports
doivent être séparés par une virgule.
IMAP4 sur SSL
(IMAPS)
993
Activer le filtrage du protocole SSL/TLS. Les différents numéros de ports
doivent être séparés par une virgule.
POP3 sécurisé (SSLPOP)
995
Activer le filtrage du protocole SSL/TLS. Les différents numéros de ports
doivent être séparés par une virgule.
204
7.4.3.2 Alertes et notifications
La protection de la messagerie permet de contrôler les communications reçues via les protocoles POP3 et IMAP.
ESET Mail Security utilise le plug-in pour Microsoft Outlook et d'autres clients de messagerie pour contrôler toutes
les communications impliquant le client de messagerie (POP3, MAPI, IMAP, HTTP). Lorsqu'il examine les messages
entrants, le programme utilise toutes les méthodes d'analyse avancées comprises dans le moteur d'analyse
ThreatSense. Autrement dit, la détection des programmes malveillants s'effectue avant la comparaison avec la base
de détection de virus. L'analyse des communications via le protocole POP3 et IMAP est indépendante du client de
messagerie utilisé.
Après la vérification d'un courrier, une notification avec le résultat de l'analyse peut être ajoutée au message. Vous
pouvez sélectionner Ajouter une notification aux messages reçus et lus, Ajouter une note à l'objet des messages
infectés reçus et lus ou Ajouter une notification aux messages envoyés. Gardez à l'esprit qu'en de rares occasions,
les notifications peuvent être omises en cas de messages HTML problématiques ou de messages élaborés par un
logiciel malveillant. Les notifications peuvent être ajoutées aux messages reçus et lus, aux messages envoyés, ou
aux deux catégories. Les options disponibles sont les suivantes :
· Jamais - Aucune notification n'est ajoutée.
· Aux e-mails infectés seulement - Seuls les messages contenant un code malveillant sont marqués comme
contrôlés (valeur par défaut).
· Aux e-mails infectés seulement - Le programme ajoute des messages à tout courrier analysé.
Ajouter une note à l’objet des messages infectés envoyés
Désactivez cette option si vous ne souhaitez pas que la protection de la messagerie ajoute un avertissement de
virus dans l'objet d'un message infecté. Cette fonctionnalité permet tout simplement de filtrer les courriers
infectés en fonction de son objet (s'il est pris en charge par le programme de messagerie). Elle augmente
également la crédibilité du destinataire et, en cas de détection d'une infiltration, fournit des informations
précieuses sur le niveau de menace d'un message ou d'un expéditeur.
Texte ajouté à l'objet des messages infectés
Modifiez ce texte si vous souhaitez modifier le format du préfixe de l'objet d'un e-mail infecté. Cette fonction
remplace l'objet du message Hello par le préfixe [virus] au format suivant : [virus] Hello. La variable %
VIRUSNAME% représente la menace détectée.
7.4.3.3 Barre d'outils MS Outlook
La protection Microsoft Outlook fonctionne comme un module plugin. Après l'installation d'ESET Mail Security, cette
barre d'outils contenant les options de protection antivirus est ajoutée à Microsoft Outlook :
ESET Mail Security
Cliquez sur l'icône pour ouvrir la fenêtre principale du programme ESET Mail Security.
Analyser à nouveau les messages
Permet de lancer manuellement la vérification des messages. Vous pouvez indiquer les messages à vérifier et
activer une nouvelle analyse du message reçu. Pour plus d'informations, consultez la section Protection du
client de messagerie.
Configuration de l'analyseur
Affiche les options de configuration de la Protection du client de messagerie.
205
7.4.3.4 Barre d'outils Outlook Express et Windows Mail
La protection pour Outlook Express et Windows Mail fonctionne comme un module plugin. Après l'installation
d'ESET Mail Security, cette barre d'outils contenant les options de protection antivirus est ajoutée à Outlook Express
ou à Windows Mail :
ESET Mail Security
Cliquez sur l'icône pour ouvrir la fenêtre principale du programme ESET Mail Security.
Analyser à nouveau les messages
Permet de lancer manuellement la vérification des messages. Vous pouvez indiquer les messages à vérifier et
activer une nouvelle analyse du message reçu. Pour plus d'informations, consultez la section Protection du
client de messagerie.
Configuration de l'analyseur
Affiche les options de configuration de la Protection du client de messagerie.
Personnaliser l'apparence
Vous pouvez modifier l'apparence de la barre d'outils pour votre client de messagerie. Désactivez cette option pour
personnaliser l'apparence indépendamment des paramètres du programme de messagerie.
· Afficher le texte - Affiche des descriptions des icônes.
· Texte à droite - Les descriptions d'options sont déplacées du bas vers le côté droit des icônes.
· Grandes icônes - Affiche des icônes de grande taille pour les options de menu.
7.4.3.5 Boîte de dialogue de confirmation
Cette notification permet de vérifier que l'utilisateur veut vraiment exécuter l'action sélectionnée, ce qui devrait
éliminer des erreurs possibles. La boîte de dialogue offre également la possibilité de désactiver les confirmations.
7.4.3.6 Analyser à nouveau les messages
La barre d'outils d'ESET Mail Security intégrée dans les clients de messagerie permet aux utilisateurs de spécifier
plusieurs options pour la vérification du courrier électronique. L'option Analyser à nouveau les messages offre deux
modes d'analyse :
· Tous les messages du dossier en cours : analyse les messages du dossier affiché.
· Messages sélectionnés uniquement : analyse uniquement les messages marqués par l'utilisateur.
· Réanalyser les messages déjà analysés : permet d'exécuter une autre analyse sur des messages déjà analysés.
7.4.4 Protection de l’accès Web
La protection de l'accès Web opère par surveillance des communications entre les navigateurs Internet et les
serveurs distants pour vous protéger des menaces en ligne, conformément aux règles des protocoles HTTP et HTTPS
(communications chiffrées).
L'accès aux pages Web connues pour comporter du contenu malveillant est bloqué avant le téléchargement du
contenu. Toutes les autres pages Web sont analysées par le moteur d'analyse ThreatSense lors de leur chargement
et sont bloquées en cas de détection de contenu malveillant. La protection de l'accès Web offre deux niveaux de
protection : un blocage par liste noire et un blocage par contenu.
Général
Il est vivement recommandé de conserver l'option de protection de l'accès Web activée. Cette option est accessible
dans la fenêtre principale de ESET Mail Security depuis Configuration > Internet et messagerie > Protection de
l'accès Web.
Activer l'analyse avancée des scripts de navigateur
206
Par défaut, tous les programmes JavaScript exécutés par les navigateurs web sont contrôlés par le moteur de
détection.
Protocoles Web
Permet de configurer le contrôle de ces protocoles standard qui sont utilisés par la plupart des navigateurs Internet.
Par défaut, ESET Mail Security est configuré pour contrôler le protocole HTTP utilisé par la plupart des navigateurs
Internet.
ESET Mail Security prend également en charge le contrôle de protocole HTTPS. Les communications HTTPS utilisent
un canal chiffré pour transférer des informations entre un serveur et un client. ESET Mail Security contrôle les
communications à l'aide des protocoles SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme
analyse uniquement le trafic sur les ports définis dans les ports utilisés par le protocole HTTPS, quelle que soit la
version du système d'exploitation.
Les communications chiffrées ne sont pas analysées lorsque les paramètres par défaut sont utilisés. Pour activer
l'analyse des communications chiffrées, accédez à Configuration avancée (F5) > Internet et messagerie > SSL/TLS.
Paramètres ThreatSense
Permet de configurer des paramètres tels que les types d'analyses (courriers électroniques, archives,
exclusions, limites, etc.) et les méthodes de détection pour la protection de l'accès Web.
7.4.4.1 Gestion des adresses URL
La gestion des adresses URL permet de spécifier des adresses HTTP qui seront bloquées, autorisées ou exclues de la
vérification. Les sites Web qui figurent dans la liste des adresses bloquées ne sont pas accessibles, sauf s'ils sont
également inclus dans la liste des adresses autorisées. Les sites Web qui se trouvent dans la liste des adresses
exclues de la vérification ne font pas l'objet d'une analyse de code malveillant lors de leur accès. L'option Filtrage
du protocole SSL/TLS doit être activée si vous souhaitez filtrer les adresses HTTPS en plus des pages Web HTTP.
Sinon, seuls les domaines des sites HTTPS que vous avez visités sont ajoutés et non l'URL complète.
Une liste d'adresses bloquées peut contenir les adresses d'une liste noire publique externe et une autre liste peut
comporter votre propre liste noire, ce qui simplifie la mise à jour de la liste externe tout en conservant la vôtre
intacte.
Cliquez sur Modifier et Ajouter pour créer une liste d'adresses en plus des listes prédéfinies. Cela peut s'avérer
utile si vous souhaitez diviser de manière logique des groupes différents d'adresses. Par défaut, les trois listes
suivantes sont disponibles :
· Liste des adresses exclues de la vérification - Aucune vérification de la présence de code malveillant n'est
effectuée pour les adresses répertoriées dans la liste.
· Liste des adresses autorisées - Si l'option N'autoriser l'accès qu'aux adresses HTTP figurant dans la liste des
adresses autorisées est activée et si la liste des adresses bloquées contient un astérisque (correspond à tout),
l'utilisateur n'est autorisé à accéder qu'aux adresses répertoriées dans cette liste. Les adresses de cette liste
sont autorisées même si elles sont incluses dans la liste des adresses bloquées.
· Liste des adresses bloquées - L'utilisateur n'est pas autorisé à accéder aux adresses répertoriées dans cette
liste, à moins qu'elles ne figurent également dans la liste des adresses autorisées.
207
Vous pouvez ajouter une nouvelle adresse URL à la liste. Vous pouvez également saisir plusieurs valeurs avec un
séparateur. Cliquez sur Modifier pour changer une adresse existante dans la liste ou sur Supprimer pour la
supprimer. La suppression n'est possible que pour les adresses créées avec l'option Ajouter, pas pour celles ayant
été importées.
Dans toutes les listes, vous pouvez utiliser les symboles spéciaux « * » (astérisque) et « ? » (point d'interrogation).
L'astérisque représente n'importe quel chiffre ou caractère, alors que le point d'interrogation symbolise un seul
caractère. Un soin particulier doit être apporté à la spécification des adresses exclues, car la liste ne doit contenir
que des adresses sûres et fiables. De la même manière, veillez à employer correctement les symboles « * » et « ? »
dans cette liste.
REMARQUE
Si vous souhaitez bloquer toutes les adresses HTTP, à l'exception des adresses figurant dans la liste active des
adresses autorisées, ajoutez un astérisque (*) à la liste active des adresses bloquées.
7.4.4.1.1 Créer une liste
La liste contiendra les masques d'URL/de domaine souhaités qui seront bloqués, autorisés ou exclus de la
vérification. Lors de la création d'une liste, indiquez les paramètres suivants :
· Type de liste d’adresses : sélectionnez le type (Exclues de la vérification, Bloquées ou Autorisées) de la liste
déroulante.
· Nom de liste : indiquez le nom de la liste. Ce champ apparaît grisé lors de la modification de l'une des trois
listes prédéfinies.
· Description de la liste : tapez une brève description de la liste (facultatif). Ce champ apparaît en grisé lors de
la modification de l'une des trois listes prédéfinies.
· List active : utilisez le commutateur pour désactiver la liste. Vous pouvez la réactiver ultérieurement en cas
de besoin.
208
· Notifier lors de l'application : si vous souhaitez être averti lorsqu'une liste est utilisée pour l'évaluation d'un
site HTTP/HTTPS visité. Une notification est émise lorsqu'un site Web est bloqué ou autorisé en raison de son
inclusion dans la liste des adresses bloquées ou autorisées. La notification contient le nom de la liste dans
laquelle figure le site Web spécifié.
· Niveau de verbosité : sélectionnez le niveau de verbosité (Aucun, Diagnostic, Informations ou
Avertissement) dans la liste déroulante. Les entrées avec le niveau de verbosité Avertissement peuvent être
collectées par ESET Security Management Center.
ESET Mail Security permet de bloquer l'accès à des sites Web spécifiques et d'empêcher le navigateur Internet d'en
afficher le contenu. Par ailleurs, il permet à l'utilisateur de spécifier des adresses à exclure de la vérification. Si
l'utilisateur ignore le nom complet du serveur distant ou s'il souhaite spécifier un groupe de serveurs distants, il
peut employer des « masques ».
Ces masques peuvent contenir les symboles ? et * :
· utilisez ?? pour représenter un caractère quelconque ;
· utilisez * pour représenter une chaîne de caractères.
EXEMPLE
*.c?m désigne toutes les adresses dont la dernière partie commence par la lettre c et se termine par la lettre
m, avec un caractère inconnu entre les deux (.com, .cam, etc.).
Une séquence initiale *. est traitée spécialement si elle est utilisée au début d'un nom de domaine. Pour
commencer, le caractère générique * ne peut pas représenter un caractère barre oblique (('/')) dans ce cas. Cela a
pour but d'éviter de contourner le masque. Par exemple, le masque *.domain.com ne correspondra pas à https://
anydomain.com/anypath#.domain.com (un tel suffixe peut être ajouté à toute adresse URL sans affecter le
téléchargement). Ensuite, le *. correspond également à une chaîne vide dans ce cas spécial. Elle vise à permettre
une correspondance avec tout le domaine, y compris tous les éventuels sous-domaines en utilisant un seul et
unique masque. Par exemple, le masque *.domain.com correspond également à https://domain.com. L'utilisation
de *domain.com serait incorrecte, car ce masque correspondrait aussi à https://anotherdomain.com.
Entrez plusieurs valeurs
Ajoutez plusieurs adresses URL en les séparant par des nouvelles lignes, des virgules ou des points-virgules.
Lorsque la sélection multiple est activée, les adresses s'affichent dans la liste.
Importer
Fichier texte comportant des adresses URL à importer (séparez les valeurs par un saut de ligne, par exemple
*.txt utilisant le codage UTF-8).
209
7.4.5 Protection Web antihameçonnage
Le terme d'hameçonnage (phishing en anglais) désigne une activité frauduleuse qui consiste à manipuler les
utilisateurs pour obtenir des informations confidentielles. L'hameçonnage est souvent utilisé pour accéder à des
données sensibles, telles que des numéros de comptes bancaires, des codes secrets, etc.
ESET Mail Security comprend la protection antihameçonnage qui bloque les pages Web connues pour diffuser ce
type de contenu. Il est vivement recommandé d'activer la fonctionnalité antihameçonnage dabs ESET Mail Security.
Pour plus d'informations sur la protection antihameçonnage dans ESET Mail Security, consultez notre article de la
base de connaissances .
Lorsque vous accédez à un site Web d'hameçonnage reconnu, la boîte de dialogue suivante s'affiche dans votre
navigateur Web. Si vous souhaitez toujours accéder au site Web, cliquez sur Ignorer la menace (non recommandé).
REMARQUE
Par défaut, les sites Web d'hameçonnage potentiels que vous avez ajoutés à la liste blanche expirent plusieurs
heures après. Pour autoriser un site Web de manière permanente, utilisez l'outil Gestion des adresses URL.
210
Signaler un site d'hameçonnage
Si vous rencontrez un site Web suspect qui semble effectuer des activités d'hameçonnage ou malveillantes,
vous pouvez le signaler à ESET pour analyse. Avant de soumettre un site Web à ESET, assurez-vous qu'il répond à
au moins l'un des critères suivants :
· Le site Web n'est pas du tout détecté.
· Le site Web est détecté à tort comme une menace. Dans ce cas, vous pouvez signaler un site faux positif de
hameçonnage .
Vous pouvez également soumettre le site Web par e-mail. Envoyez votre message à l'adresse [email protected].
Veillez à utiliser un objet descriptif et indiquez le plus d'informations possible sur le site Web (notez, par exemple,
le site Web référant, comment vous avez appris l'existence du site Web, etc.).
7.5 Contrôle de périphérique
ESET Mail Security permet un contrôle automatique des périphériques (CD/DVD/USB). Ce module permet
d'analyser, de bloquer ou d'ajuster les filtres étendus/autorisations, et de définir les autorisations des utilisateurs à
accéder à un périphérique et à l'utiliser. Ce procédé peut être utile si l'administrateur souhaite empêcher
l'utilisation de périphériques avec du contenu indésirable.
REMARQUE
Lorsque vous activez le contrôle de périphérique à l'aide du commutateur Intégrer au système, la
fonctionnalité de contrôle de ESET Mail Security est activée. Vous devrez toutefois redémarrer votre
ordinateur pour que cette modification soit prise en compte
Le contrôle de périphérique devient actif, ce qui vous permet de modifier les paramètres. Si un périphérique
bloqué par une règle existante est détecté, une fenêtre de notification s'affiche et l'accès au périphérique n'est pas
accordé.
Règles
Une règle de contrôle de périphérique définit l'action qui sera exécutée lorsqu'un périphérique répondant aux
critères de la règle est connecté à l'ordinateur.
Groupes
Lorsque vous cliquez sur Modifier, vous pouvez gérer les groupes de périphériques. Créez un groupe de
périphériques ou sélectionnez un groupe existant pour ajouter ou supprimer des périphériques dans la liste.
REMARQUE
Vous pouvez consulter les entrées du journal du contrôle de périphérique dans Fichiers journaux.
7.5.1 Règles de périphérique
Des périphériques spécifiques peuvent être autorisés ou bloqués par utilisateur, groupe d'utilisateurs ou tout autre
paramètre supplémentaire pouvant être spécifié dans la configuration des règles. La liste des règles contient
plusieurs éléments descriptifs des règles, comme leur nom, le type de périphérique externe, l'action à réaliser
lorsqu'un nouveau périphérique est détecté et la gravité journalisée.
Vous pouvez ajouter une nouvelle règle ou modifier les paramètres d'une règle existante. Entrez une description
de la règle dans le champ Nom afin de mieux l'identifier. Cliquez sur le bouton bascule situé en regard de l'option
Règle activée pour désactiver ou activer cette règle ; cette option peut être utile si vous ne souhaitez pas retirer la
règle de façon définitive.
Appliquer pendant
211
Vous pouvez limiter des règles en créant des créneaux horaires. Créez un créneau horaire ; il apparaîtra ensuite
dans le menu déroulant.
Type de périphérique
Choisissez le type de périphérique externe dans le menu déroulant (Stockage disque/Périphérique portable/
Bluetooth/FireWire...). Les types de périphériques sont hérités du système d'exploitation et sont visibles dans
le Gestionnaire de périphériques système si le périphérique est connecté à l'ordinateur. Les périphériques de
stockage comprennent les disques externes ou les lecteurs de carte mémoire conventionnels connectés via USB
ou FireWire. Les lecteurs de carte à puce regroupent tous les lecteurs de carte avec circuit intégré embarqué,
telles que les cartes SIM ou d'authentification. Les scanners ou les appareils photo constituent des exemples de
périphériques d'imagerie. Ces périphériques ne fournissent pas d'informations sur les utilisateurs, uniquement
sur leurs actions. Cela signifie que les périphériques d'imagerie peuvent être bloqués uniquement de façon
globale.
Action
L'accès aux périphériques autres que ceux de stockage peut être autorisé ou bloqué. En revanche, les règles
s'appliquant aux périphériques de stockage permettent de sélectionner l'un des paramètres des droits
suivants :
·
·
·
·
Lire/Écrire - L'accès complet au périphérique est autorisé.
Bloquer - L'accès au périphérique est bloqué.
Lecture seule - L'accès en lecture seule au périphérique est autorisé.
Avertir - À chaque connexion d'un périphérique, l'utilisateur est averti s'il est autorisé/bloqué, et une entrée
est enregistrée dans le journal. Comme les périphériques ne sont pas mémorisés, une notification s'affiche
lors des connexions suivantes d'un même périphérique.
REMARQUE
Notez que tous les droits (actions) ne sont pas disponibles pour tous les périphériques. Si un périphérique
comprend un espace de stockage, les quatre actions sont disponibles. Pour les périphériques sans stockage,
seules deux options sont disponibles (par exemple, l'action Lecture seule n'étant pas disponible pour
Bluetooth, un tel périphérique ne peut être qu'autorisé ou bloqué).
Les autres paramètres indiqués ci-dessous peuvent être utilisés pour optimiser les règles et les adapter à des
périphériques. Tous les paramètres sont indépendants de la casse :
· Fabricant - Permet de filtrer par nom ou ID de fabricant.
· Modèle - Nom du périphérique.
· N° de série - Les périphériques externes ont généralement leur propre numéro de série. Dans le cas d'un CD/
DVD, Il s'agit du numéro de série du support et pas du lecteur.
REMARQUE
Si ces trois descripteurs sont vides, la règle ignore ces champs lors de la recherche de correspondances. Les
paramètres de filtrage de tous les champs de texte ne respectent pas la casse et les caractères génériques
(*, ?) ne sont pas pris en charge.
pour déterminer les paramètres d'un périphérique, créez une règle d'autorisation pour ce type de périphérique,
connectez le périphérique à votre ordinateur, puis vérifiez les détails du périphérique dans le journal du contrôle
de périphérique.
Sélectionner le Niveau de verbosité dans la liste déroulante :
· Toujours - Consigne tous les événements.
· Diagnostic - Consigne les informations nécessaires au réglage du programme.
· Informations - Enregistre tous les messages d'information, y compris les messages de mises à jour réussies et
toutes les entrées ci-dessus.
· Avertissement - Enregistre les erreurs critiques et les messages d'avertissement.
212
· Aucun - Aucun journal n'est enregistré.
Les règles peuvent être limitées à certains utilisateurs ou groupes d'utilisateurs en les ajoutant à la Liste des
utilisateurs. Cliquez sur Modifier pour gérer la liste des utilisateurs.
· Ajouter - Ouvre la boîte de dialogue Types d'objet : utilisateurs ou groupes qui permet de sélectionner les
utilisateurs voulus.
· Supprimer - Supprime l'utilisateur sélectionné du filtre.
REMARQUE
tous les périphériques peuvent être filtrés par les règles de l'utilisateur (par exemple, les périphériques
d'image ne fournissent pas d'informations sur les utilisateurs, uniquement sur les actions effectuées).
Les fonctions disponibles sont les suivantes :
Modifier
Permet de modifier le nom de la règle sélectionnée ou les paramètres de l'appareil inséré (fabricant, modèle,
numéro de série, etc.).
Copier
Crée une règle à partir des paramètres de la règle sélectionnée.
Supprimer
Permet de supprimer la règle sélectionnée. Vous pouvez également utiliser la case à cocher située en regard
d'une règle donnée pour la désactiver. La désactivation d'une règle peut s'avérer utile si vous ne souhaitez pas
la supprimer définitivement en vue de la réutiliser ultérieurement.
Renseigner
Permet de donner une vue d'ensemble de tous les périphériques actuellement connectés avec les informations
suivantes : le type de périphérique, le fournisseur, le modèle et le numéro de série (le cas échéant). Si vous
sélectionnez un périphérique (dans la liste des périphériques détectés) et cliquez sur OK, une fenêtre d'éditeur
de règles s'affiche avec des informations prédéfinies (vous pouvez ajuster tous les paramètres).
Les règles sont classées par ordre de priorité ; les règles de priorité supérieure sont dans la partie supérieure de la
liste. Vous pouvez sélectionner plusieurs règles et appliquer des actions, par exemple les supprimer ou les déplacer
vers le haut ou le bas de la liste, en cliquant sur Haut/Monter/Bas/Descendre (boutons fléchés).
7.5.2 Groupe de périphériques
La fenêtre Groupes de périphériques se divise en deux parties. La partie droite de la fenêtre contient la liste des
périphériques appartenant à un groupe donné. La partie gauche répertorie la liste des groupes existants.
Sélectionnez le groupe contenant les périphériques que vous souhaitez afficher dans le volet droit.
Vous pouvez créer des groupes de périphériques différents auxquels différentes règles sont appliquées. Vous
pouvez également créer un groupe unique de périphériques définis sur Lire/Écrire ou Lecture seule. Les
périphériques non reconnus sont ainsi bloqués par le contrôle de périphérique lorsqu'ils sont connectés à votre
ordinateur.
AVERTISSEMENT
Un périphérique connecté à votre ordinateur peut présenter un risque de sécurité.
Les fonctions disponibles sont les suivantes :
Ajouter
213
Créez un groupe de périphériques en saisissant son nom ou ajoutez un périphérique à un groupe existant. Vous
pouvez éventuellement indiquer des informations détaillées (le nom du fabricant, le modèle et le numéro de
série, par exemple) selon l'endroit de la fenêtre sur lequel vous avez cliqué.
Modifier
Permet de modifier le nom du groupe sélectionné ou les paramètres du périphérique inséré (fabricant,
modèle, numéro de série, etc.).
Supprimer
Permet de supprimer le groupe ou le périphérique sélectionné en fonction de l'emplacement sur lequel vous
avez cliqué dans la fenêtre. Vous pouvez également utiliser la case à cocher située en regard d'une règle
donnée pour la désactiver. La désactivation d'une règle peut s'avérer utile si vous ne souhaitez pas la supprimer
définitivement en vue de la réutiliser ultérieurement.
Importer
Permet d'importer la liste des numéros de série des périphériques à partir d'un fichier.
Renseigner
Permet de donner une vue d'ensemble de tous les périphériques actuellement connectés avec les informations
suivantes : le type de périphérique, le fournisseur, le modèle et le numéro de série (le cas échéant). Si vous
sélectionnez un périphérique (dans la liste des périphériques détectés) et cliquez sur OK, une fenêtre d'éditeur
de règles s'affiche avec des informations prédéfinies (vous pouvez ajuster tous les paramètres).
Une fois la personnalisation terminée, cliquez sur OK. Cliquez sur Annuler pour fermer la fenêtre Groupes de
périphériques sans enregistrer les modifications.
REMARQUE
Veuillez noter que tous les droits (actions) ne sont pas disponibles pour tous les périphériques. Si un
périphérique comprend un espace de stockage, les quatre actions sont disponibles. Pour les périphériques
sans stockage, seules deux options sont disponibles (par exemple, l'action Lecture seule n'étant pas disponible
pour Bluetooth, un tel périphérique ne peut être qu'autorisé ou bloqué).
7.6 Outils de configuration
Vous pouvez personnaliser les paramètres avancés des éléments suivants :
·
·
·
·
·
·
·
·
·
·
·
·
214
Créneaux horaires
Cibles à analyser ERA/ESMC
Mode de remplacement
ESET CMD
ESET RMM
Fournisseur WMI
Fichiers journaux
Serveur proxy
Notifications par e-mail
Mode de présentation
Diagnostics
Cluster
7.6.1 Créneaux horaires
Les créneaux horaires sont utilisés au sein des règles du contrôle de périphériques, ce qui limite celles-ci lors de
leur application. Créez un fuseau horaire et sélectionnez-le lors de l'ajout de nouvelles règles ou de la modification
de règles existantes (paramètre Appliquer pendant). Vous pouvez ainsi définir des créneaux horaires couramment
utilisés (heure de travail, week-end, etc.) et les réutiliser facilement sans avoir à redéfinir les périodes pour chaque
règle. Un créneau horaire doit être applicable à n'importe quel type de règle adéquat prenant en charge le contrôle
temporel.
7.6.2 Microsoft Windows® Mise à jour
Les mises à jour de Windows apportent des corrections importantes aux vulnérabilités potentiellement
dangereuses et améliorent le niveau général de sécurité de votre ordinateur. C'est pourquoi il est essentiel
d'installer les mises à jour de Microsoft Windows dès qu'elles sont disponibles. ESET Mail Security vous informe des
mises à jour manquantes en fonction du niveau que vous spécifiez. Les niveaux suivants sont disponibles :
· Pas de mise à jour - Aucune mise à jour système n'est proposée au téléchargement.
· Mises à jour optionnelles - Les mises à jour marquées comme étant faiblement prioritaires et au-dessus sont
proposées au téléchargement.
· Mises à jour recommandées - Les mises à jour marquées comme étant courantes et au-dessus sont proposées
au téléchargement.
· Mises à jour importantes - Les mises à jour marquées comme étant importantes et au-dessus sont proposées
au téléchargement.
· Mises à jour critiques - Seules les mises à jour critiques sont proposées pour le téléchargement.
Cliquez sur OK pour enregistrer les modifications. La fenêtre Mises à jour système s'affiche après la vérification de
l'état à l'aide du serveur de mise à jour. Les informations de mise à jour système ne sont peut-être pas
immédiatement disponibles après l'enregistrement des modifications.
7.6.3 ESET CMD
Il s'agit d'une fonctionnalité qui permet d'utiliser des commandes ecmd avancées. Elle vous offre la possibilité
d'exporter et d'importer des paramètres à l'aide d'une ligne de commande (ecmd.exe). Auparavant, il n'était
possible d'exporter et d'importer des paramètres que dans l'interface utilisateur graphique. La configuration de
ESET Mail Security peut être exportée dans un fichier .xml.
Lorsqu'ESET CMD est activé, deux méthodes d'autorisation sont disponibles :
· Aucun : aucune autorisation. Il n'est pas recommandé d'utiliser cette méthode car elle permet l'importation
de n'importe quelle configuration non signée, ce qui constitue un risque potentiel.
· Mot de passe de configuration avancée : un mot de passe est nécessaire pour importer une configuration à
partir d'un fichier .xml devant être signé (reportez-vous à la section relative à la signature d'un fichier de
configuration .xml plus bas). Le mot de passe spécifié dans la configuration de l'accès doit être fourni avant
l'importation d'une nouvelle configuration. Si la configuration de l'accès n'est pas activée, que le mot de
passe ne correspond pas ou que le fichier de configuration .xml n'est pas signé, la configuration n'est pas
importée.
Une fois qu'ESET CMD est activé, vous pouvez utiliser la ligne de commande pour exporter ou importer des
configurations de ESET Mail Security. Vous pouvez le faire manuellement ou créer un script pour l'automatisation.
IMPORTANT
215
Pour utiliser les commandes ecmd avancées, vous devez les exécuter avec des privilèges d'administrateur ou
ouvrir une invite de commandes Windows (cmd) à l'aide de la commande Exécuter en tant qu'administrateur.
Si vous ne procédez pas ainsi, le message Error executing command. s'affiche. Le dossier de destination doit
aussi exister lors de l'exportation d'une configuration. La commande d'exportation fonctionne toujours lorsque
le paramètre ESET CMD est désactivé.
EXEMPLE
Commande d'exportation des paramètres :
ecmd /getcfg c:\config\settings.xml
Commande d'importation des paramètres :
ecmd /setcfg c:\config\settings.xml
REMARQUE
Les commandes ecmd ne peuvent être exécutées que localement. L'exécution de la tâche client Exécuter une
commande à l'aide d'ESET Security Management Center ne fonctionnera pas.
Signature d'un fichier de configuration .xml :
1. Téléchargez l'exécutable XmlSignTool.
2. Ouvrez une invite de commandes Windows (cmd) en utilisant Exécuter en tant qu'administrateur.
3. Accédez à l'emplacement de xmlsigntool.exe
4. Exécutez une commande pour signer le fichier de configuration .xml : xmlsigntool
/version 1|2
<xml_file_path>
IMPORTANT
La valeur du paramètre /version dépend de la version de ESET Mail Security. Utilisez /version
Mail Security 7 et les versions ultérieures.
2
pour ESET
5. Lorsque l'utilitaire XmlSignTool vous y invite, saisissez le mot de passe de la configuration avancée et
saisissez-le de nouveau. Le fichier de configuration .xml est à présent signé. Il peut être utilisé pour
importer une autre instance de ESET Mail Security avec ESET CMD à l'aide de la méthode d'autorisation du
mot de passe.
EXEMPLE
Commande de signature du fichier de configuration exporté : xmlsigntool
\settings.xml
216
/version 2 c:\config
REMARQUE
Si le mot de passe de la configuration de l'accès change et si vous souhaitez importer une configuration qui a
été signée avec un ancien mot de passe, vous pouvez signer de nouveau le fichier de configuration .xml à l'aide
du mot de passe actuel. Vous pouvez ainsi utiliser un ancien fichier de configuration sans l'exporter sur un
autre ordinateur exécutant ESET Mail Security avant l'importation.
7.6.4 ESET RMM
La surveillance et l'administration à distance (RMM, Remote Monitoring and Management) est le processus qui
consiste à surveiller et contrôler les systèmes logiciels (comme ceux des postes de travail, serveurs et
périphériques mobiles) à l'aide d'un agent installé localement qui est accessible par un fournisseur de services
d'administration.
Activer RMM
Active la surveillance et l'administration à distance. Vous devez disposer des droits d'administrateur pour
utiliser l'utilitaire RMM.
Mode de fonctionnement
Sélectionnez le mode de fonctionnement de RMM dans le menu déroulant :
· Séparation sûre uniquement
· Toutes les opérations
Méthode d'autorisation
Définissez la méthode d'autorisation RMM à partir du menu déroulant :
· Aucune : aucune vérification de chemin d'application ne sera effectuée. Vous pouvez exécuter ermm.exe
depuis n'importe quelle application.
· Chemin de l'application : indiquez l'application qui est autorisée à exécuter ermm.exe.
L'installation d'ESET Endpoint Security par défaut contient le fichier ermm.exe situé dans ESET Mail Security (chemin
d'accès par défaut : c:\Program Files\ESET\ESET Mail Security ). ermm.exe échange des données avec RMM Plugin,
qui communique avec RMM Agent, associé à un serveur RMM Server.
217
· ermm.exe : utilitaire de ligne de commande développé par ESET qui permet de gérer les produits Endpoint et
les communications avec un RMM Plugin.
· RMM Plugin : application tierce exécutée localement sur le système du terminal Windows. Le plugin a été
conçu pour communiquer avec un RMM Agent spécifique (Kaseya, par exemple) et ermm.exe.
· RMM Agent : application tierce (de Kaseya, par exemple) exécutée localement sur le système du terminal
Windows. L'Agent communique avec RMM Plugin et RMM Server.
· RMM Server : s'exécute en tant que service sur un serveur tiers. Les systèmes RMM pris en charge le sont par
Kaseya, Labtech, Autotask, Max Focus et Solarwinds N-able.
7.6.5 Fournisseur WMI
Windows Management Instrumentation (WMI) est la mise en œuvre Microsoft de WBEM (Web-Based Enterprise
Management), l'initiative du secteur visant à développer une norme de technologie pour l'accès aux informations
de gestion dans les environnements d'entreprise.
Pour plus d'informations sur WMI, reportez-vous à la page http://msdn.microsoft.com/en-us/library/windows/
desktop/aa384642(v=vs.85).aspx
Fournisseur WMI ESET
Le fournisseur WMI d'ESET a pour objectif de permettre la surveillance à distance des produits ESET dans un
environnement d'entreprise sans exiger de logiciel ou d'outils ESET. En soumettant le produit de base, l'état et les
statistiques par l'intermédiaire de WMI, nous améliorons considérablement la capacité de surveillance des produits
ESET par les administrateurs d'entreprise. Les administrateurs peuvent profiter des différentes méthodes d'accès
proposées par WMI (ligne de commande, scripts et outils de surveillance d'entreprise tiers) pour surveiller l'état de
leurs produits ESET.
La mise en œuvre actuelle fournit un accès en lecture seule aux informations de base sur les produits et les
fonctionnalités installées, l'état et les statistiques de protection des différents scanners, ainsi que les fichiers
journaux du produit.
Le fournisseur WMI permet d'utiliser les outils et l'infrastructure WMI Windows standard pour lire l'état du produit
et les journaux correspondants.
7.6.5.1 Données fournies
Toutes les classes WMI liées au produit ESET se trouvent dans l'espace de noms « root\ESET ». Les classes suivantes,
décrites plus en détail ci-dessous, sont actuellement mises en œuvre :
Général
· ESET_Product
· ESET_Features
· ESET_Statistics
Journaux
218
·
·
·
·
·
·
·
·
·
·
·
·
·
ESET_ThreatLog
ESET_EventLog
ESET_ODFileScanLogs
ESET_ODFileScanLogRecords
ESET_ODServerScanLogs
ESET_ODServerScanLogRecords
ESET_HIPSLog
ESET_URLLog
ESET_DevCtrlLog
ESET_GreylistLog
ESET_MailServeg
ESET_HyperVScanLogs
ESET_HyperVScanLogRecords
Classe ESET_Product
Il ne peut y avoir qu'une seule instance de la classe ESET_Product. Pour connaître les propriétés de cette classe,
reportez-vous aux informations générales concernant le produit ESET installé :
·
·
·
·
·
·
·
·
·
·
ID - Identifiant du type de produit, par exemple « emsl »
Name - Nom du produit, « ESET Mail Security » par exemple
FullName - Nom complet du produit, « ESET Mail Security pour IBM Domino » par exemple
Version - Version du produit, « 6.5.14003.0 » par exemple
VirusDBVersion - Version de la base des virus, « 14533 (20161201) » par exemple
VirusDBLastUpdate - Horodatage de la dernière mise à jour de la base des virus. La chaîne contient
l'horodatage au format WMI, par exemple « 20161201095245.000000+060 »
LicenseExpiration - Expiration de la licence. La chaîne contient l'horodatage au format WMI
KernelRunning - Valeur booléenne indiquant si le service ekrn est en cours d'exécution sur la machine, par
exemple « TRUE »
StatusCode - Nombre indiquant l'état de protection du produit : 0 - Vert (OK), 1 - Jaune (avertissement), 2 Rouge (erreur)
StatusText - Message indiquant la raison d'un code d'état différent de zéro ; dans les autres cas, la valeur est
Null
Classe ESET_Features
La classe ESET_Features comporte plusieurs instances en fonction du nombre de fonctionnalités du produit. Chaque
instance contient :
· Name - Nom de la fonctionnalité (les noms sont répertoriés ci-dessous)
· Status - État de la fonctionnalité : 0 - Inactif, 1 - Désactivé, 2 - Activé
La liste des chaînes représente les fonctionnalités du produit actuellement reconnues :
CLIENT_FILE_AV - Protection antivirus en temps réel du système de fichiers
CLIENT_WEB_AV - Protection antivirus Web du client
CLIENT_DOC_AV - Protection antivirus des documents du client
CLIENT_NET_FW - Pare-feu personnel du client
CLIENT_EMAIL_AV - Protection antivirus de la messagerie du client
CLIENT_EMAIL_AS - Protection antispam de la messagerie du client
SERVER_FILE_AV - Protection antivirus en temps réel des fichiers stockés sur le serveur de fichiers protégé,
par exemple les fichiers d'une base de données de contenus SharePoint dans le cas d'ESET Mail Security
· SERVER_EMAIL_AV - Protection antivirus de la messagerie du serveur protégé, par exemple courriers dans
MS Exchange ou dans IBM Domino
· SERVER_EMAIL_AS - Protection antispam de la messagerie du serveur protégé, par exemple couriers dans
MS Exchange ou dans IBM Domino
· SERVER_GATEWAY_AV - Protection antivirus des protocoles réseau protégés sur la passerelle
·
·
·
·
·
·
·
219
· SERVER_GATEWAY_AS - Protection antispam des protocoles réseau protégés sur la passerelle
Classe ESET_Statistics
La classe ESET_Statistics comporte plusieurs instances en fonction du nombre de scanners du produit. Chaque
instance contient :
Scanner - Code chaîne du scanner, par exemple « CLIENT_FILE »
Total - Nombre total de fichiers analysés
Infected - Nombre de fichiers infectés détectés
Cleaned - Nombre de fichiers nettoyés
Timestamp - Horodatage de la dernière modification des statistiques. Format WMI, par exemple
« 20130118115511.000000+060 »
· ResetTime - Horodatage de la dernière réinitialisation des compteurs statistiques. Format WMI, par exemple
« 20130118115511.000000+060 »
·
·
·
·
·
La liste des chaînes représente les scanners actuellement reconnus :
·
·
·
·
·
·
CLIENT_FILE
CLIENT_EMAIL
CLIENT_WEB
SERVER_FILE
SERVER_EMAIL
SERVER_WEB
Classe ESET_ThreatLog
La classe ESET_ThreatLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal
Menaces détectées. Chaque instance contient :
· ID - Identifiant unique de cette entrée de journal d'analyse
· Timestamp - Horodatage de création du journal (au format WMI).
· LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs
correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error,
SecurityWarning, Error-Critical, SecurityWarning-Critical
· Scanner - Nom du scanner qui a créé cet événement de journal.
· ObjectType - Type de l'objet qui a produit cet événement de journal.
· ObjectName - Nom de l'objet qui a produit cet événement de journal.
· Threat - Nom de la menace qui a été détectée dans l'objet décrit par les propriétés ObjectName et
ObjectType
· Action - Action exécutée après l'identification de la menace
· User - Compte utilisateur qui a provoqué la génération de cet événement de journal
· Information - Description complémentaire de l'événement
· Hash - Hachage de l'objet qui a produit cet événement de journal.
ESET_EventLog
La classe ESET_EventLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal
Événements. Chaque instance contient :
· ID - Identifiant unique de cette entrée de journal d'analyse
· Timestamp - Horodatage de création du journal (au format WMI).
· LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs
correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error,
SecurityWarning, Error-Critical, SecurityWarning-Critical
· Module - Nom du module qui a créé cet événement de journal.
· Event - Description de l'événement.
· User - Compte utilisateur qui a provoqué la génération de cet événement de journal
220
ESET_ODFileScanLogs
La classe ESET_ODFileScanLogs comporte plusieurs instances, chacune d'entre elles représentant une entrée
d'analyse de fichier à la demande. Elle équivaut à la liste de journaux Analyse de l'ordinateur à la demande de
l'interface utilisateur graphique. Chaque instance contient :
·
·
·
·
·
·
·
ID - Identifiant unique de cette entrée de journal d'analyse
Timestamp - Horodatage de création du journal (au format WMI).
Targets - Dossiers/Objets cibles de l'analyse
TotalScanned - Nombre total d'objets analysés
Infected - Nombre d'objets infectés détectés
Cleaned - Nombre d'objets nettoyés
Status - État de l'analyse
ESET_ODFileScanLogRecords
La classe ESET_ODFileScanLogRecords comporte plusieurs instances, chacune d'entre elles représentant une entrée
de l'un des journaux d'analyse représentés par les instances de la classe ESET_ODFileScanLogs. Les instances de
cette classe fournissent les entrées de journal de toutes les analyses à la demande/tous les journaux. Lorsqu'une
seule instance de journal d'analyse est requise, les instances doivent être filtrées par la propriété LogID. Chaque
instance de classe contient :
· LogID - Identifiant du journal d'analyse auquel appartient cette entrée (identifiant de l'une des instances de
la classe ESET_ODFileScanLogs)
· ID - Identifiant unique de cette entrée de journal d'analyse
· Timestamp - Horodatage de création du journal (au format WMI).
· LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs
correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error,
SecurityWarning, Error-Critical, SecurityWarning-Critical
· Log - Message proprement dit du journal
ESET_ODServerScanLogs
La classe ESET_ODServerScanLogs comporte plusieurs instances, chacune d'entre elles représentant une exécution
de l'analyse de serveur à la demande. Chaque instance contient :
·
·
·
·
·
·
·
·
ID - Identifiant unique de cette entrée de journal d'analyse
Timestamp - Horodatage de création du journal (au format WMI).
Targets - Dossiers/Objets cibles de l'analyse
TotalScanned - Nombre total d'objets analysés
Infected - Nombre d'objets infectés détectés
Cleaned - Nombre d'objets nettoyés
RuleHits - Nombre total d'applications des règles
Status - État de l'analyse
ESET_ODServerScanLogRecords
La classe ESET_ODServerScanLogRecords comporte plusieurs instances, chacune d'entre elles représentant une
entrée de l'un des journaux d'analyse représentés par les instances de la classe ESET_ODServerScanLogs. Les
instances de cette classe fournissent les entrées de journal de toutes les analyses à la demande/tous les journaux.
Lorsqu'une seule instance de journal d'analyse est requise, les instances doivent être filtrées par la propriété LogID.
Chaque instance de classe contient :
· LogID - Identifiant du journal d'analyse auquel appartient cette entrée (identifiant de l'une des instances de
la classe ESET_ ODServerScanLogs)
· ID - Identifiant unique de cette entrée de journal d'analyse
· Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
221
· LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs
correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error,
SecurityWarning, Error-Critical, SecurityWarning-Critical
· Log - Message proprement dit du journal
ESET_SmtpProtectionLog
La classe ESET_SmtpProtectionLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du
journal Protection SMTP. Chaque instance contient :
· ID - Identifiant unique de cette entrée de journal d'analyse
· Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
· LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs
correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error,
SecurityWarning, Error-Critical, SecurityWarning-Critical
· HELODomain - Nom du domaine HELO
· IP - Adresse IP de la source
· Sender - Expéditeur du courrier électronique
· Recipient - Destinataire du courrier électronique
· ProtectionType - Type de protection utilisé
· Action - Action effectuée
· Reason - Motif de l'action
· TimeToAccept - Nombre de minutes après lesquelles le courrier électronique est accepté
ESET_HIPSLog
La classe ESET_HIPSLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal
HIPS. Chaque instance contient :
· ID - Identifiant unique de cette entrée de journal
· Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
· LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs
correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error,
SecurityWarning, Error-Critical, SecurityWarning-Critical
· Application - Application source
· Target - Type d'opération
· Action - Action entreprise par HIPS (autoriser, refuser, etc.)
· Rule - Nom de la règle responsable de l'action
· AdditionalInfo
ESET_URLLog
La classe ESET_URLLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal Sites
Web filtrés. Chaque instance contient :
· ID - Identifiant unique de cette entrée de journal
· Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
· LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs
correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error,
SecurityWarning, Error-Critical, SecurityWarning-Critical
· URL - URL
· Status - Ce qui est arrivé à l'URL, par exemple « Bloqué par le filtrage web »
· Application - Application ayant essayé d'accéder à l'URL
· User - Compte utilisateur sous lequel l'application était exécutée
ESET_DevCtrlLog
222
La classe ESET_DevCtrlLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal
Contrôle de périphérique. Chaque instance contient :
· ID - Identifiant unique de cette entrée de journal
· Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
· LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs
correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error,
SecurityWarning, Error-Critical, SecurityWarning-Critical
· Device - Nom de l'appareil
· User - Nom du compte utilisateur
· UserSID - SID du compte utilisateur
· Group - Nom du groupe d'utilisateurs
· GroupSID - SID du groupe d'utilisateurs
· Status - Ce qui est arrivé à l'appareil, par exemple « Écriture bloquée »
· DeviceDetails - Informations supplémentaires sur l'appareil
· EventDetails - Informations supplémentaires sur l'événement
ESET_MailServerLog
La classe ESET_MailServerLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du
journal Serveur de messagerie. Chaque instance contient :
· ID - Identifiant unique de cette entrée de journal
· Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
· LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs
correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error,
SecurityWarning, Error-Critical, SecurityWarning-Critical
· IPAddr - Adresse IP de la source
· HELODomain - Nom du domaine HELO
· Sender - Expéditeur du courrier électronique
· Recipient - Destinataire du courrier électronique
· Subject - Objet de l'e-mail
· ProtectionType - Type de protection effectué par l'action décrite par l'entrée de journal actuel, à savoir
antivirus, antispam ou règles.
· Action - Action effectuée
· Reason - Raison pour laquelle l'action a été effectuée sur l'objet par le type de protection donné.
ESET_HyperVScanLogs
La classe ESET_HyperVScanLogs comporte plusieurs instances, chacune d'entre elles représentant une exécution de
l'analyse de fichier Hyper-V. Elle équivaut à la liste de journaux Analyse Hyper-V de l'interface utilisateur
graphique. Chaque instance contient :
·
·
·
·
·
·
·
ID - Identifiant unique de cette entrée de journal
Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
Targets - Machines/disques/volumes cibles de l'analyse
TotalScanned - Nombre total d'objets analysés
Infected - Nombre d'objets infectés détectés
Cleaned - Nombre d'objets nettoyés
Status - État de l'analyse
ESET_HyperVScanLogRecords
La classe ESET_HyperVScanLogRecords comporte plusieurs instances, chacune d'entre elles représentant une entrée
de l'un des journaux d'analyse représentés par les instances de la classe ESET_HyperVScanLogs. Les instances de
cette classe fournissent les entrées de journal de toutes les analyses/tous les journaux Hyper-V. Lorsqu'une seule
instance de journal d'analyse est requise, les instances doivent être filtrées par la propriété LogID. Chaque instance
de classe contient :
223
· LogID - Identifiant du journal d'analyse auquel appartient cette entrée (identifiant de l'une des instances de
la classe ESET_HyperVScanLogs)
· ID - Identifiant unique de cette entrée de journal
· Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
· LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs
correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error,
SecurityWarning, Error-Critical, SecurityWarning-Critical
· Log - Message proprement dit du journal
ESET_NetworkProtectionLog
La classe ESET_NetworkProtectionLog comporte plusieurs instances, chacune d'entre elles représentant une entrée
du journal Protection du réseau. Chaque instance contient :
· ID - Identifiant unique de cette entrée de journal
· Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
· LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs
correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error,
SecurityWarning, Error-Critical, SecurityWarning-Critical
· Event - Événement déclenchant une action de protection du réseau
· Action - Action effectuée par la protection du réseau
· Source - Adresse source du périphérique réseau
· Target - Adresse cible du périphérique réseau
· Protocol - Protocole de communication réseau
· RuleOrWormName - Nom du ver ou de la règle associé à l'événement
· Application - Application ayant initié la communication réseau
· User - Compte utilisateur qui a provoqué la génération de cet événement de journal
ESET_SentFilesLog
La classe ESET_SentFilesLog comporte plusieurs instances, chacune d'entre elles représentant une entrée du journal
Fichiers envoyés. Chaque instance contient :
· ID - Identifiant unique de cette entrée de journal
· Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
· LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs
correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error,
SecurityWarning, Error-Critical, SecurityWarning-Critical
· Sha1 - Hachage Sha-1 du fichier envoyé
· File - Fichier envoyé
· Size - Taille du fichier envoyé
· Category - Catégorie du fichier envoyé
· Reason - Motif de l'envoi du fichier
· SentTo - Service ESET auquel le fichier a été envoyé
· User - Compte utilisateur qui a provoqué la génération de cet événement de journal
ESET_OneDriveScanLogs
La classe ESET_OneDriveScanLogs comporte plusieurs instances, chacune d'entre elles représentant une exécution
du scan de OneDrive. Elle équivaut à la liste de journaux Scan de OneDrive de l'interface utilisateur graphique.
Chaque instance contient :
·
·
·
·
·
·
224
ID - Identifiant unique de ce journal OneDrive
Timestamp - Horodatage de création du journal (au format WMI).
Targets - Dossiers/Objets cibles de l'analyse
TotalScanned - Nombre total d'objets analysés
Infected - Nombre d'objets infectés détectés
Cleaned - Nombre d'objets nettoyés
· Status - État de l'analyse
ESET_OneDriveScanLogRecords
La classe ESET_OneDriveScanLogRecords comporte plusieurs instances, chacune d'entre elles représentant une
entrée de l'un des journaux d'analyse représentés par les instances de la classe ESET_OneDriveScanLogs. Les
instances de cette classe fournissent les entrées de journal de tous les scans/journaux OneDrive. Lorsqu'une seule
instance de journal d'analyse est requise, les instances doivent être filtrées par la propriété LogID. Chaque instance
contient :
· LogID - Identifiant du journal d'analyse auquel appartient cette entrée (identifiant de l'une des instances de
la classe ESET_OneDriveScanLogs)
· ID - Identifiant unique de ce journal OneDrive
· Timestamp - Horodatage de création du journal (au format WMI).
· LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris entre 0 et 8. Les valeurs
correspondent aux niveaux nommés suivants : Debug, Info-Footnote, Info, Info-Important, Warning, Error,
SecurityWarning, Error-Critical, SecurityWarning-Critical
· Log - Message proprement dit du journal
7.6.5.2 Accès aux données fournies
Voici quelques exemples indiquant comment accéder aux données WMI ESET depuis la ligne de commande
Windows et PowerShell. Ces méthodes devraient fonctionner sur n'importe quel système d'exploitation Windows
actuel. Il existe néanmoins de nombreuses autres manières d'accéder aux données depuis d'autres outils et
langages de script.
Ligne de commande sans script
L'outil de ligne de commande wmic peut être utilisé pour accéder à différentes classes VMI prédéfinies ou
personnalisées.
Pour afficher les informations complètes sur le produit sur la machine locale :
wmic /namespace:\\root\ESET Path ESET_Product
Pour afficher uniquement la version du produit sur la machine locale :
wmic /namespace:\\root\ESET Path ESET_Product Get Version
Pour afficher les informations complètes sur le produit sur une machine distante dont l'adresse IP est IP
10.1.118.180 :
wmic /namespace:\\root\ESET /node:10.1.118.180 /user:Administrator Path ESET_Product
PowerShell
Pour obtenir et afficher les informations complètes sur le produit sur la machine locale :
Get-WmiObject ESET_Product -namespace 'root\ESET'
Pour obtenir et afficher les informations complètes sur le produit sur une machine distante dont l'adresse IP est IP
10.1.118.180 :
$cred = Get-Credential # invite l'utilisateur à fournir des informations d'identification et les
stocke dans la variable
Get-WmiObject ESET_Product -namespace 'root\ESET' -computername '10.1.118.180' -cred $cred
225
7.6.6 Cibles à analyser ERA/ESMC
Cette fonctionnalité permet à ESET Security Management Center d'utiliser des cibles à analyser (analyse de base de
données de boîtes aux lettres à la demande et analyse Hyper-V) lors de l'exécution de la tâche client Analyse du
serveur sur un serveur à l'aide de ESET Mail Security. La configuration des cibles d'analyse ERA/ESMC n'est
disponible que si ESET Management Agent est installé.
Lorsque vous activez Générer la liste des cibles, ESET Mail Security crée une liste de cibles à analyser disponibles.
Cette liste est régulièrement générée, en fonction de la Période de mise à jour.
REMARQUE
Lorsque vous utilisez l'option Générer la liste des cibles pour la première fois, ESET Security Management
Center a besoin d'environ la moitié de la période de mise à jour spécifiée pour obtenir la liste. Par exemple, si
la période de mise à jour est définie sur 60 minutes, ESMC aura besoin d'environ 30 minutes pour recevoir la
liste des cibles à analyser. Si ESET Security Management Center doit obtenir la liste plus rapidement, définissez
la période de mise à jour sur une valeur inférieure. Vous pourrez toujours l'augmenter ultérieurement.
Lorsque ESET Security Management Center exécute une tâche client Analyse du serveur, il va collecter la liste et
vous demander de sélectionner des cibles à analyser pour l'analyse Hyper-V sur ce serveur spécifique.
7.6.7 Mode de remplacement
Si une stratégie ESET Security Management Center est appliquée à ESET Mail Security, une icône représentant un
verrou
s'affiche à la place du commutateur Activer/désactiver sur la page de configuration et d'une icône
représentant un verrou en regard du commutateur dans la fenêtre Configuration avancée.
226
Normalement, les paramètres configurés via la stratégie ESET Security Management Center ne peuvent pas être
modifiés. Le mode de remplacement permet de déverrouiller temporairement ces paramètres. Vous devez
toutefois activer le mode de remplacement à l'aide d'une stratégie ESET Security Management Center.
Connectez-vous à la console Web ESMC Web Console , accédez à Politiques, sélectionnez la politique appliquée à
ESET Mail Security et modifiez-la ou créez-en une autre. Dans Paramètres, cliquez sur Mode de remplacement,
activez ce mode et configurez les paramètres restants, notamment le type d'authentification (Utilisateur Active
Directory ou Mot de passe).
227
Une fois que la stratégie est modifiée ou qu'une nouvelle stratégie est appliquée à ESET Mail Security, le bouton
Remplacer la stratégie apparaît dans la fenêtre Configuration avancée.
Cliquez sur le bouton Remplacer la stratégie, définissez la durée et cliquez sur Appliquer.
228
Si vous sélectionnez Mot de passe comme type d'authentification, saisissez le mot de passe de remplacement de la
stratégie.
229
Une fois que mode de remplacement est arrivé à expiration, toute modification de configuration effectuée est
remplacée par les paramètres de la stratégie ESET Security Management Center d'origine. Une notification s'affiche
avant l'expiration du mode de remplacement.
Vous pouvez arrêter le mode de remplacement à tout moment avant son expiration dans la page Supervision ou
dans la fenêtre Configuration avancée.
7.6.8 Fichiers journaux
Cette section permet de modifier la configuration de la journalisation ESET Mail Security.
Entrées du journal
Les entrées sont écrites dans le journal des événements (C:\ProgramData\ESET\ESET Security\Logs) et peuvent être
affichées dans la visionneuse des fichiers journaux. Utilisez les commutateurs pour activer ou désactiver une
fonctionnalité spécifique :
Consigner les erreurs de transport des messages
Si cette option est activée et si un problème se produit sur la couche de transport des messages, les messages
d'erreur sont écrits dans le journal des événements.
Consigner les exceptions de transport des messages
Si une exception est levée sur la couche de transport des messages, les détails de celle-ci sont écrits dans le
journal des événements.
Filtre de journalisation
Produit une quantité importante de données, car toutes les options de journalisation sont activées par défaut. Il est
recommandé de désactiver de manière sélective les composants qui ne sont pas utiles ou liés au problème.
REMARQUE
Pour démarrer la journalisation, vous devez activer la journalisation des données de diagnostic générale au
niveau du produit dans le menu principal Configuration > Outils. Une fois la journalisation activée, ESET Mail
Security collecte des journaux détaillés selon les fonctionnalités de cette section qui sont activées.
Utilisez les commutateurs pour activer ou désactiver une fonctionnalité spécifique. Ces options peuvent aussi être
combinées selon la disponibilité de chaque composant dans ESET Mail Security.
· Journalisation des données de diagnostic du transport des messages
IMPORTANT
Si l'analyse de base de données s'exécute normalement pendant la résolution des problèmes, il est
recommandé de désactiver l'option Journalisation des données de diagnostic du transport des messages.
Sinon, le journal obtenu peut comprendre un trop grand nombre d'entrées, ce qui peut le rendre difficile à
analyser.
· Journalisation des données de diagnostic des analyses de base de données à la demande : écrit des
informations détaillées dans les journaux, notamment lorsqu'un dépannage est nécessaire.
· Journalisation des données de diagnostic du cluster - La journalisation des clusters est incluse dans la
journalisation des données générales de diagnostic.
230
· Journalisation des données de diagnostic du moteur antispam : lorsque vous devez résoudre des problèmes,
vous trouverez des informations détaillées sur le moteur antispam dans les journaux. Écrit des informations
détaillées sur le moteur antispam dans le fichier journal à des fins de diagnostic. Le moteur antispam n'utilise
pas le journal des événements (fichier warnlog.dat) et ne peut donc pas être affiché dans la visionneuse des
fichiers journaux. Il écrit des entrées directement dans un fichier dédié ( C:\ProgramData\ESET\ESET Mail
Security\Logs\antispam.0.log , par exemple) afin que les données de diagnostic du moteur antispam soient
conservées à un seul emplacement. Ainsi, les performances de ESET Mail Security ne sont diminuées en cas
de trafic important de messages.
Fichiers journaux
Permettent de définir le mode de gestion des journaux. Cette option est importante, principalement pour éviter
toute utilisation excessive du disque. Les paramètres par défaut permettent la suppression automatique des
anciens journaux pour économiser de l'espace disque.
Supprimer automatiquement les entrées plus anciennes que (jours)
Les entrées des journaux plus anciennes que le nombre de jours spécifié sont supprimées.
Supprimer automatiquement les anciennes entrées si la taille du journal est dépassée
Lorsque la taille du journal dépasse Taille maximale du journal [Mo], les anciennes entrées sont supprimées
jusqu'à ce que la taille Taille réduite du journal [Mo] soit atteinte.
Sauvegarder automatiquement les entrées effacées
Les entrées de journal et les fichiers effacés automatiquement sont sauvegardés dans le répertoire spécifié et,
éventuellement, compressés au format ZIP.
Sauvegarder les journaux de diagnostic
Les journaux de diagnostic supprimés sont sauvegardés automatiquement. Si cette option n'est pas activée, les
entrées de journal de diagnostic ne sont pas sauvegardées.
Dossier de sauvegarde
Dossier dans lequel les sauvegardes du journal sont stockées. Vous pouvez activer les sauvegardes de journal
compressées à l'aide de l'outil ZIP.
Optimiser automatiquement les fichiers journaux
Lorsque cette option est activée, les fichiers journaux sont automatiquement défragmentés si le pourcentage
de fragmentation est supérieur à la valeur spécifiée dans le champs Si le nombre d'entrées inutilisées dépasse
(%). Cliquez sur Optimiser pour démarrer la défragmentation des fichiers journaux. Toutes les entrées vides des
journaux sont supprimées pour améliorer les performances et accélérer le traitement des journaux. Cette
amélioration se constate notamment si les journaux comportent un grand nombre d'entrées.
Activer le protocole texte
Permet le stockage des journaux dans un autre format de fichier séparé des fichiers journaux :
· Répertoire cible - Répertoire dans lequel les fichiers journaux sont stockés (s'applique uniquement aux
formats Texte/CSV). Chaque section de journal dispose de son propre fichier avec un nom de fichier prédéfini
(par exemple virlog.txt pour la section Menaces détectées des fichiers journaux si vous utilisez le format de
fichier texte brut pour stocker les journaux).
· Type - Si vous sélectionnez le format de fichier Texte, les journaux sont stockés dans un fichier texte dans
lequel les données sont séparées par des tabulations. Le même processus s'applique au format de fichier CSV
(fichier séparé par des virgules). Si vous choisissez Événement, les journaux sont stockés dans le journal des
événements Windows (qui peut être affiché dans Observateur d'événements accessible à partir du Panneau
de configuration) au lieu d'un fichier.
231
· Supprimer tous les fichiers journaux : efface tous les fichiers journaux sélectionnés dans le menu déroulant
Type.
REMARQUE
Pour résoudre les problèmes plus rapidement, l'assistance technique ESET peut vous demander de fournir les
journaux de votre ordinateur. ESET Log Collector facilite la collecte des informations nécessaires. Pour plus
d'informations sur ESET Log Collector, consultez l'article de la base de connaissances .
Exportation des journaux
Exporter vers les journaux de l'application et des services Windows
Permet de dupliquer les entrées du Journal de la protection du serveur de messagerie dans les journaux des
applications et des services. Pour consulter le journal de la protection du serveur de messagerie, ouvrez
l'Observateur d'événements Windows, puis accédez à Journaux des applications et des services > ESET >
Sécurité > ExchangeServer > MailProtection. Les journaux des applications et des services sont pris en charge
sous Microsoft Windows Server 2008 R2 SP1 ou version ultérieure.
Exporter vers le serveur syslog
Il est possible de dupliquer les journaux de la protection du serveur de messagerie sur le serveur syslog au
format CEF (Common Event Format). Le format CEF est un format texte normalisé extensible qui peut être
utilisé pour faciliter la collecte et l'agrégation de données en vue d'une analyse ultérieure par un système de
gestion d'entreprise. Dans ce cas, vous pouvez l'utiliser avec les solutions SIEM (Security Information and Event
Management) et de gestion des journaux telles que Micro Focus ArcSight. Pour plus d'informations sur les
champs d'événement exportés et leur description, voir Mappage des événements Syslog.
Adresse du serveur
Saisissez l'adresse IP ou le nom d'hôte du serveur. Dans le cas d'ArcSight, spécifiez le serveur sur lequel
SmartConnector est installé.
Protocole
Sélectionnez le protocole à utiliser : TCP ou UDP.
Port
La valeur par défaut est 514 pour les deux protocoles.
Exporter vers un fichier
Permet l'exportation locale des journaux dans un fichier au format CEF. La capacité de stockage de la
journalisation étant limitée, une journalisation circulaire est utilisée. Les entrées sont écrites séquentiellement
dans les fichiers (de mailserver.0.log à mailserver.9.log). Les dernières entrées sont stockées dans
mailserver.0.log . Une fois sa taille limite atteint, le fichier le plus ancien mailserver.9.log est supprimé et
les autres fichiers journaux sont renommés en séquence ( mailserver.0.log est renommé en
mailserver.1.log , etc.).
Chemin d'accès au fichier
Le chemin d'accès par défaut est C:\ProgramData\ESET\ESET Security\Logs. Vous pouvez modifier
l'emplacement si nécessaire.
232
7.6.8.1 Mappage des événements Syslog
The following tables show ESET Mail Security event mapping to ArcSight data fields. You can use these tables as a
reference of what is being fed to ArcSight via SmartConnector.
Header
Device
Vendor
"ESET"
Device
Product
"EMSX"
Device
Version
e.g. "7.1.10005.0"
"EMSX" or "ESET Mail Security for MS Exchange Server"
Device Event
e.g. "101"
Class ID
Device Event Category unique identifier:
100-199 malware
200-299 phish
300-399 spam
400-499 policy
Event Name
A brief description of what happened in the event:
MailScanResult: malware
MailScanResult: phishing link
MailScanResult: spam
MailScanResult: policy
e.g. "MailScanResult: malware"
CEF Key Name
CEF Key Full Name Field Description
(Size)
Detailed Field Description
rt
deviceReceiptTime Time event was
generated
The time at which the event was generated, in
milliseconds since Jan 1st 1970
src
sourceAddress
Sender's IP
IP address of the sending mail server
shost
sourceHostName
(1023)
Sender's HELO domain
HELO domain of the sending mail server
flexString1
flexString1
Message-ID
Message-ID header from the email
dhost
destinationHostNa Receiving server
me (1023)
Hostname of the machine that received the
communication
msg
message (1023)
Message subject
Subject of the message, from the RFC5233 header
"Subject:"
suser
sourceUserName
(1023)
SMTP sender
SMTP sender of the email (MAIL FROM)
duser
destinationUserNa SMTP recipient(s)
me (1023)
SMTP recipient(s) of the email (RCPT TO)
act
deviceAction (63)
Action taken (cleaned, quarantined, etc.)
Action taken
233
CEF Key Name
CEF Key Full Name Field Description
(Size)
Detailed Field Description
cat
deviceEventCatego Detection category
ry (1023)
Most significant detection (malware >> phish >>
spam >> SPF/DKIM >> policy)
sourceServiceNa sourceServiceNam Type of protection
me
e
"SMTP Transport agent", "On-demand database
scan", etc.
deviceExternalId deviceExternalId
Anti-Malware engine version, antispam engine
version, e.g. "18620,7730"
Engine version
cs1
deviceCustomStrin Anti-Malware result
g1
cs1Label
deviceCustomStrin "Anti-Malware result"
g1Label
cs2
deviceCustomStrin Antispam result
g2
cs2Label
deviceCustomStrin "Antispam result"
g2Label
cs3
deviceCustomStrin Anti-Phishing result
g3
cs3Label
deviceCustomStrin "Anti-Phishing result"
g3Label
cs4
deviceCustomStrin SPF/DKIM/DMARC result Result of SPF/DKIM/DMARC check, in RFC7601
g4
format
cs4Label
deviceCustomStrin "SPF/DKIM/DMARC
g4Label
result"
cs5
deviceCustomStrin "From:" sender
g5
cs5Label
deviceCustomStrin "From header"
g5Label
cs6
deviceCustomStrin "To:" and "Cc:"
g6
recipients
cs6Label
deviceCustomStrin "To and Cc headers"
g6Label
fname
filename (1023)
Attachment name
Name of the first detected attachment
fileHash
fileHash (255)
Attachment hash
Hash of the first detected attachment
fsize
fileSize
Attachment size
Size of the first detected attachment
234
Result of Anti-Malware scan, including threat
name
Result of Antispam scan, including reason for
marking as spam
Result of Anti-Phishing scan, including detected
URL
Sender address from RFC5322 header "From:"
Recipients addresses from RFC5322 headers "To:"
and "Cc:"
CEF Key Name
CEF Key Full Name Field Description
(Size)
Detailed Field Description
reason
reason (1023)
Name of the policy triggered by the email or it's
content
Rule/policy activated
ESETEMSXFileDet ESETEMSXFileDetai File details
ails
ls
Information about all detected attachments, their
names, hashes and sizes
Optional
CEF Key
Name
CEF Key Full Name Field Description Detailed Field Description
(Size)
end
endTime
Time event has
ended
dtz
deviceTimeZone
(255)
Timezone of the
server
request
requestURL
Detected URL
The time at which the activity ended, in milliseconds since Jan
1st 1970. Useful only if sand boxing technology is used, i.e.
ESET Dynamic Threat Defense.
Malign or blacklisted URL extracted from mail body or mail
headers.
Note: ESET Mail Security does not provide single URL in logs
due to the fact that multiple URL's can be detected in email
messages by various detection components.
7.6.9 Serveur proxy
Dans les grands réseaux locaux, la connexion de votre ordinateur à Internet peut s'effectuer par l'intermédiaire d'un
serveur proxy. Si c'est le cas, les paramètres suivants doivent être définis. Si vous ne définissez pas les paramètres,
le programme ne pourra pas se mettre à jour automatiquement. Dans ESET Mail Security, il est possible de
configurer le serveur proxy à partir de deux sections dans la fenêtre Configuration avancée (F5).
1. Configuration avancée (F5) > Mise à jour > Profils > Mises à jour > Options de connexion > Proxy HTTP
Ce paramètre s'applique au profil de mise à jour donné et est recommandé pour les ordinateurs portables,
car il permet de recevoir les mises à jour des modules depuis différents emplacements.
2. Configuration avancée (F5) > Outils > Serveur proxy
La spécification du serveur proxy à ce niveau définit les paramètres de serveur proxy globaux pour
l'intégralité d'ESET Mail Security. Les paramètres définis ici seront utilisés par tous les modules qui se
connectent à Internet.
Pour spécifier des paramètres de serveur proxy à ce niveau, activez l'option Utiliser un serveur proxy, puis entrez
l'adresse du serveur proxy dans le champ Serveur proxy, ainsi que le numéro de port de celui-ci.
Le serveur proxy exige une authentification
Si la communication réseau via le serveur proxy exige une authentification, activez cette option et indiquez le
nom d'utilisateur et le mot de passe.
Détecter le serveur proxy
Cliquez sur Détecter pour détecter et renseigner automatiquement les paramètres du serveur proxy. Les
paramètres indiqués dans Internet Explorer sont copiés.
235
REMARQUE
Cette fonctionnalité ne récupère pas les données d'authentification (nom d'utilisateur et mot de passe) ; vous
devez donc les fournir.
Utiliser une connexion directe si le serveur proxy n'est pas disponible
Si un produit est configuré pour utiliser le proxy HTTP et que ce dernier est injoignable, le produit ignore le
proxy et communique directement avec les serveurs ESET.
7.6.10 Notification
Les notifications sur le Bureau et les info-bulles sont fournies à titre d'information uniquement et n'exigent aucune
interaction avec l'utilisateur. Elles s'affichent dans la partie système de la barre d'état, dans l'angle inférieur droit de
l'écran. D'autres options détaillées (la durée d'affichage des notifications et la transparence de la fenêtre) peuvent
être modifiées en dessous. Activez l'option Ne pas afficher les notifications en cas d'exécution d'applications en
mode plein écran pour supprimer toutes les notifications non interactives.
Afficher la notification de réussite de la mise à jour
Lorsqu'une mise à jour est réussie, une notification contextuelle s'affiche.
Envoyer des notifications d'événement par e-mail
Activez cette option pour activer les notifications par e-mail.
Notifications d'application
Cliquez sur Modifier pour activer ou désactiver l'affichage des notifications d'application.
7.6.10.1 Notifications d'application
Vous pouvez configurer des notifications ESET Mail Security à afficher sur le bureau et/ou à envoyer par e-mail.
REMARQUE
Pour les notifications par e-mail, veillez à activer l'option Envoyer des notifications d'événement par e-mail
dans la section Général, puis configurez le serveur SMTP et d'autres paramètres au besoin.
7.6.10.2 Notifications du Bureau
Vous pouvez configurer la manière dont ESET Mail Security traite les alertes de menace et les notifications système
(messages indiquant une mise à jour réussie, par exemple). Vous pouvez par exemple configurer la Durée et la
Transparence des notifications dans la barre d'état système (cela ne s'applique qu'aux systèmes prenant en charge
ces notifications).
Le menu déroulant Verbosité minimale des événements à afficher permet de sélectionner le niveau de gravité des
alertes et notifications. Les options disponibles sont les suivantes :
· Diagnostic - Consigne toutes les informations nécessaires au réglage du programme et de toutes les entrées
ci-dessus.
· Entrées informatives - Enregistre tous les messages d'information, y compris les messages de mises à jour
réussies et toutes les entrées ci-dessus.
· Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
· Erreurs - Enregistre les erreurs du type « Erreur de téléchargement du fichier » et les erreurs critiques.
· Critique - Consigne uniquement les erreurs critiques (erreur de démarrage de la protection antivirus, etc.).
236
Le champ Sur les systèmes multi-utilisateurs, afficher les notifications sur l'écran de l'utilisateur suivant indique
l'utilisateur qui recevra les notifications système et les autres notifications lorsque le système autorise la connexion
simultanée de plusieurs utilisateurs. Normalement, il doit s'agir de l'administrateur système ou de l'administrateur
réseau. Cette option est particulièrement utile pour les serveurs Terminal Server, à condition que toutes les
notifications système soient envoyées à l'administrateur.
7.6.10.3 Notifications par e-mail
ESET Mail Security peut automatiquement envoyer des courriers électroniques de notification si un événement
avec le niveau de verbosité sélectionné se produit. Activez l'option Envoyer des notifications d'événement par email pour activer les notifications par e-mail.
REMARQUE
Les serveurs SMTP avec chiffrement TLS sont pris en charge par ESET Mail Security.
Serveur SMTP
Nom du serveur SMTP utilisé pour envoyer des alertes et des notifications. Il s'agit généralement du nom de votre
serveur de messagerie.
Nom d'utilisateur et mot de passe
Si le serveur SMTP exige une authentification, ces champs doivent être remplis avec un nom d'utilisateur et un
mot de passe valides donnant accès au serveur SMTP.
Adresse de l’expéditeur
Saisissez l'adresse de l'expéditeur qui apparaît dans l'en-tête des mails de notification. Il s'agit de l'adresse que
le destinataire pourra voir dans le champ De.
Adresse du destinataire
Indiquez l'adresse du destinataire (À) à laquelle les notifications seront envoyées.
Activer TLS
Permet d'activer les messages d'alerte et de notification pris en charge par le chiffrement TLS.
Configurations des e-mails
Verbosité minimale des notifications
Indique le niveau de verbosité minimal des notifications à envoyer.
Intervalle après lequel les nouveaux e-mails de notification seront envoyés (min)
Intervalle en minutes après lequel de nouvelles notifications seront envoyées par e-mail. Définissez cette
valeur sur 0 si vous souhaitez envoyer ces notifications immédiatement.
Envoyer chaque notification dans un e-mail séparé
Lorsque cette option est activée, le destinataire recevra un nouvel e-mail pour chaque notification spécifique.
Cela peut se traduire par la réception d'un nombre important d'e-mails dans une courte période de temps.
Format des messages
Les communications entre le programme et l'utilisateur ou l'administrateur système distants se font via la
messagerie ou le réseau local (au moyen du service Windows Messenger). Le format par défaut des messages
d'alerte et des notifications est optimal dans la plupart des situations. Dans certaines situations, le format des
messages d'événement doit être changé.
Format des messages d’événement
Format des messages d'événement qui s'affichent sur les ordinateurs distants.
Format des messages d’avertissement de menace
237
Messages d'alerte et de notification de menace dont le format par défaut est prédéfini. Il est déconseillé de
modifier ce format. Toutefois, dans certaines circonstances (par exemple, si vous avez un système automatisé
de traitement des messages), vous serez peut-être amené à modifier le format des messages.
Les mots-clés (chaînes entourées de signes %) sont remplacés dans le message par les informations réelles
spécifiées. Les mots-clés suivants sont disponibles :
·
·
·
·
·
·
·
%TimeStamp% - Date et heure de l'événement.
%Scanner% - Module concerné.
%ComputerName% - Nom de l'ordinateur sur lequel l'alerte s'est produite.
%ProgramName% - Programme ayant généré l'alerte.
%InfectedObject% - Nom du fichier, message infecté, etc.
%VirusName% - Identification de l'infection.
%ErrorDescription% - Description d'un événement autre qu'un virus.
Les mots-clés %InfectedObject% et %VirusName% ne sont utilisés que dans les messages d'alerte de menace,
tandis que le mot-clé %ErrorDescription% n'est utilisé que dans les messages d'événement.
Jeu de caractères
Vous pouvez choisir le codage dans le menu déroulant. L'e-mail sera converti en fonction du codage de
caractères sélectionné.
Utiliser le codage Quoted-printable
L'e-mail source est codé au format Quoted-printable (QP) qui utilise les caractères ASCII et peut correctement
transmettre les caractères spéciaux par e-mail au format 8 bits (áéíóú).
7.6.10.4 Personnalisation
Ce message sera affiché dans le pied de page de toutes les notifications sélectionnées.
Message de notification par défaut
Message par défaut à afficher dans le pied de page des notifications.
Menaces
Ne pas fermer automatiquement les notifications de logiciels malveillants
Les notifications de logiciels malveillants restent affichées à l'écran jusqu'à ce qu'elles soient fermées
manuellement.
Utiliser le message défaut
Vous pouvez désactiver le message par défaut et spécifier le Message de notification de menace personnalisé
qui sera affiché lors du blocage d'une menace.
Message de notification de menace
Entrez un message personnalisé à afficher lorsqu'une menace est bloquée.
7.6.11 Mode de présentation
Le mode de présentation est une fonctionnalité destinée aux utilisateurs qui ne veulent pas être interrompus lors
de l'utilisation de leur logiciel. Ils ne souhaitent pas être dérangés par des fenêtres contextuelles et veulent réduire
les contraintes sur l'UC. Il peut également être utilisé au cours de présentations qui ne peuvent pas être
interrompues par l'activité antivirus. Lorsqu'il est activé, toutes les fenêtres contextuelles sont désactivées et les
tâches planifiées ne sont pas exécutées. La protection du système continue à fonctionner en arrière-plan, mais
n'exige aucune interaction de la part de l'utilisateur.
Activer automatiquement le mode de présentation lors de l’exécution d’applications en mode plein écran
Le mode de présentation est automatiquement activé lorsque vous exécutez une application en mode plein
écran. Lorsque ce mode est activé, vous n'êtes plus en mesure d'afficher les notifications ou le changement
d'état de ESET Mail Security.
238
Désactiver automatiquement le mode de présentation après
Permet de définir une durée en minutes après laquelle le mode de présentation est automatiquement
désactivé.
7.6.12 Diagnostics
L'option Diagnostics fournit un fichier d'image mémoire en cas de défaillance d'une application lors des processus
ESET (par exemple ekrn). Dès qu’une application présente une défaillance, un fichier d’image mémoire est généré.
Ce fichier permet aux développeurs de déboguer et de résoudre différents ESET Mail Security problèmes.
Cliquez sur le menu déroulant en regard de l'option Type de fichier d'image mémoire, puis sélectionnez l'une des
trois options disponibles :
· Désactiver - Permet de désactiver cette fonctionnalité.
· Mini - (Valeur par défaut) Enregistre le plus petit ensemble d'informations utiles qui peut permettre
d'identifier les raisons de l'arrêt inopiné de l'application. Ce type de fichier d'image mémoire peut être utile
lorsque l'espace disponible est limité. Toutefois, en raison des informations limitées qui figurent dans ce
fichier, les erreurs qui n'étaient pas directement provoquées par la menace (car cette dernière ne s'exécutait
pas au moment du problème) risquent de ne pas être détectées par l'analyse de ce fichier.
· Complet - Enregistre tout le contenu de la mémoire système en cas d'arrêt inopiné de l'application. Un fichier
d'image mémoire complet peut contenir des données provenant des processus en cours au moment de sa
collecte.
Répertoire cible
Répertoire dans lequel est généré le fichier d’image mémoire lors de la défaillance.
Ouvrir le dossier de diagnostics
Cliquez sur " Ouvrir " pour ouvrir ce répertoire dans une nouvelle fenêtre de l'Explorateur Windows.
Créer un fichier d'image mémoire de diagnostics
Cliquez sur Créer pour créer des fichiers d'image mémoire de diagnostics dans le répertoire cible.
Journalisation avancée
Activer la journalisation avancée du contrôle des appareils
Enregistrez tous les événements qui se produisent dans le contrôle des appareils pour permettre un diagnostic
et la résolution des problèmes.
Activer la journalisation avancée des licences
Enregistrez toutes les communications du produit avec le serveur de licences.
Activer la journalisation avancée de la protection du réseau
Enregistrez toutes les données réseau qui passent par la protection du réseau au format PCAP. Les
développeurs peuvent ainsi diagnostiquer et résoudre les problèmes liés à la protection du réseau.
Activer la journalisation avancée du système d'exploitation
Des informations supplémentaires sur le système d'exploitation telles que les processus en cours, l'activité de
l'UC et les opérations du disque sont recueillies.
Activer la journalisation avancée du filtrage des protocoles
Enregistrez toutes les données qui passent par le moteur de filtrage des protocoles au format PCAP. Les
développeurs peuvent ainsi diagnostiquer et résoudre les problèmes liés au filtrage des protocoles.
Activer la journalisation avancée du moteur de mise à jour
Enregistrez tous les événements qui se produisent pendant le processus de mise à jour. Les développeurs
peuvent ainsi diagnostiquer et résoudre les problèmes liés au moteur de mise à jour.
239
Assistance technique
Envoyer les données de configuration système
Sélectionnez Toujours soumettre pour que le système ne vous demande pas si vous souhaitez soumettre les
données de configuration d'ESET Mail Security au service client. Utilisez sinon Demander avant soumission.
7.6.13 Cluster
L'option Activer le cluster est activée automatiquement lorsqu'ESET Cluster est configuré. Vous pouvez la désactiver
manuellement dans la fenêtre Configuration avancée (F5) en cliquant sur l'icône de commutateur (lorsque vous
devez modifier la configuration sans affecter les autres nœuds d'ESET Cluster, par exemple). Ce commutateur active
ou désactive uniquement la fonctionnalité ESET Cluster. Pour configurer ou détruire le cluster, utilisez l'Assistant
Cluster ou la commande Détruire le cluster située dans la section Outils > Cluster de la fenêtre principale du
programme.
Fonctionnalité ESET Cluster non configurée et désactivée :
Fonctionnalité ESET Cluster correctement configurée avec ses informations et options :
240
7.7 Interface utilisateur
Configurez le comportement de l'interface utilisateur graphique (GUI) de ESET Mail Security. Vous pouvez ajuster
l'apparence du programme et l'utilisation des effets.
Éléments de l'interface utilisateur
Utilisez le menu déroulant Mode de démarrage de l'interface utilisateur graphique pour sélectionner un mode de
démarrage de l'interface utilisateur graphique (GUI) parmi les suivants :
· Complet - L'intégralité de l'interface utilisateur graphique est affichée.
· Terminal - Aucune notification ni alerte n'est affichée. L'interface utilisateur graphique peut être uniquement
démarrée par l'administrateur. L'interface utilisateur doit être définie sur le mode Terminal si les éléments
graphiques ralentissent les performances de votre ordinateur ou entraînent d'autres problèmes. Vous
souhaiterez peut-être également désactiver l'interface utilisateur graphique sur un serveur Terminal Server.
Pour plus d'informations sur l'installation de ESET Mail Security sur un serveur Terminal Server, reportez-vous
à la rubriqueDésactiver l'interface utilisateur graphique sur un serveur Terminal Server.
Afficher l’écran de démarrage
Désactivez cette option si vous préférez ne pas afficher l'écran de démarrage lorsque l'interface graphique de
ESET Mail Security démarre, par exemple lors de la connexion au système.
Émettre un signal sonore
ESET Mail Security émet un signal sonore en cas d'événement important lors d'une analyse, par exemple
lorsqu'une menace est découverte ou lorsque l'analyse est terminée.
Intégrer dans le menu contextuel
241
Lorsque cette option est activée, les éléments de commande de ESET Mail Security sont intégrés dans le menu
contextuel. Le menu contextuel est le menu qui s'affiche lorsque vous cliquez avec le bouton droit sur un objet
(fichier). Il répertorie toutes les actions que vous pouvez effectuer sur un objet.
États d'application
Cliquez sur Modifier pour sélectionner les états affichés dans la fenêtre Supervision. Vous pouvez également
utiliser les politiques d'ESET Security Management Center pour configurer les états de votre application. Un
état d'application est également affiché si votre produit n'est pas activé ou si la licence est arrivée à expiration.
Informations de licence/Afficher les informations de la licence
Lorsque cette option est activée, des messages et des notifications concernant votre licence s'affichent.
Alertes et boîtes de message
En configurant Alertes and notifications, vous pouvez modifier le comportement des alertes concernant les
menaces détectées et les notifications système. Ces alertes peuvent être personnalisées en fonction de vos
besoins. Si vous choisissez de ne pas afficher certaines notifications, ces dernières apparaissent dans la zone
États et messages désactivés. Vous pouvez vérifier leur état, afficher des détails supplémentaires ou supprimer
des notifications de cette fenêtre.
Configuration de l'accès
Vous pouvez empêcher toute modification non autorisée à l'aide de l'outil Configuration de l'accès afin
d'assurer un niveau élevé de sécurité.
ESET Shell
Vous pouvez configurer les droits d'accès aux données, fonctionnalités et paramètres du produit par
l'intermédiaire d'eShell en changeant la Politique d'exécution du ESET Shell.
Icône dans la partie système de la barre des tâches
Rétablir tous les paramètres de cette section
7.7.1 Alertes et boîtes de message
Vous pouvez configurer la manière dont ESET Mail Security traite les alertes de menace et les notifications système
(messages indiquant une mise à jour réussie, par exemple). Vous pouvez par exemple configurer la Durée et la
Transparence des notifications dans la barre d'état système (cela ne s'applique qu'aux systèmes prenant en charge
ces notifications).
Afficher les alertes
La désactivation de cette fonctionnalité empêche ESET Mail Security d'afficher des alertes dans la zone de
notification Windows.
Les zones de message servent à afficher de courts messages de texte ou des questions.
Fermer automatiquement les zones de message
Permet de fermer automatiquement les fenêtres d'alerte après un certain délai. Si les fenêtres d'alerte ne sont
pas fermées manuellement, le système les ferme automatiquement une fois le laps de temps écoulé.
Messages de confirmation
Lorsque vous cliquez sur Modifier, une fenêtre contextuelle s'affiche. Elle contient la liste des messages de
confirmation que ESET Mail Security affiche avant l'exécution d'une action. Utilisez les cases à cocher pour
personnaliser vos préférences pour les messages de confirmation.
242
7.7.2 Configuration de l’accès
Il est essentiel que ESET Mail Security soit correctement configuré pour garantir la sécurité maximale du système.
Tout changement inapproprié peut entraîner des problèmes, voire même la perte de données importantes. Pour
éviter des modifications non autorisées, la configuration de ESET Mail Security peut être protégée par mot de passe.
IMPORTANT
Si vous désinstallez ESET Mail Security alors que vous utilisez la protection par mot de passe de la configuration
d'accès, vous serez invité à saisir le mot de passe. Si vous ne le saisissez pas, vous ne pourrez pas désinstaller
ESET Mail Security.
Protéger les paramètres par un mot de passe
Verrouille ou déverrouille les paramètres de configuration du programme. Cliquez sur cette option pour ouvrir
la fenêtre Configuration du mot de passe.
Définir le mot de passe
Pour définir ou modifier un mot de passe visant à protéger les paramètres de configuration, cliquez sur Définir.
Pour protéger les paramètres de configuration d'ESET Mail Security afin d'éviter toute modification non
autorisée, vous devez définir un nouveau mot de passe. Si vous souhaitez modifier un mot de passe existant,
tapez votre ancien mot de passe dans le champ Ancien mot de passe, saisissez votre nouveau mot de passe
dans les champs Nouveau mot de passe et Confirmer le mot de passe, puis cliquez sur OK. Ce mot de passe sera
nécessaire à toute modification apportée à ESET Mail Security.
Demander des droits d’administrateur complets pour des comptes Administrateur limités
Sélectionnez cette option pour inviter l'utilisateur actuel (qui ne possède pas les autorisations
d'administrateur) à saisir les informations d'identification du compte administrateur lors de la modification de
certains paramètres du système, comme la désactivation des modules de protection.
REMARQUE
Si le mot de passe de la configuration de l'accès change et si vous souhaitez importer un fichier de
configuration .xml existant (qui a été signé avant la modification du mot de passe) à l'aide de la ligne de
commande ESET CMD, veillez à signer de nouveau le fichier à l'aide du mot de passe actuel. Vous pouvez ainsi
utiliser un ancien fichier de configuration sans avoir besoin de l'exporter sur un autre ordinateur exécutant
ESET Mail Security avant l'importation.
7.7.3 ESET Shell
Vous pouvez configurer les droits d'accès aux données, fonctionnalités et paramètres du produit par l'intermédiaire
d'eShell en changeant la Politique d'exécution du ESET Shell. Le paramètre par défaut est Scripts limités, mais vous
pouvez le modifier et choisir Désactivé, Lecture seule ou Accès complet, si nécessaire.
Désactivé
eShell ne peut pas être utilisé. Seule la configuration d'eShell est autorisée dans le contexte ui eshell. Vous
pouvez personnaliser l'aspect d'eShell, mais vous ne pouvez pas accéder aux paramètres ou données du
produit.
Lecture seule
eShell peut être utilisé comme outil de surveillance. Vous pouvez afficher tous les paramètres dans les modes
de traitement par lots et interactif. Vous ne pouvez toutefois pas modifier les paramètres, les fonctionnalités ni
les données.
Scripts limités
En mode interactif, vous pouvez afficher l'ensemble des paramètres, des fonctionnalités et des données. En
mode de traitement par lots, eShell fonctionne comme si vous étiez en mode de lecture seule. Toutefois, si
vous utilisez des fichiers de commandes signés, vous ne pouvez pas modifier les paramètres ni les données.
243
Accès complet
L'accès à tous les paramètres est illimité dans les modes interactif et de traitement par lots (lors de l'exécution
de fichiers de commandes). Vous pouvez afficher et modifier les paramètres. Pour exécuter eShell avec un
accès complet, vous devez utiliser un compte d'administrateur. Si la fonctionnalité Contrôle de compte
d'utilisateur (UAC) est activée, une élévation est également requise.
7.7.4 Désactivation de l'interface utilisateur graphique sur Terminal Server
Ce chapitre indique comment désactiver l'interface utilisateur graphique d'ESET Mail Security sur Windows Terminal
Server pour les sessions utilisateur.
Normalement, l'interface utilisateur graphique d'ESET Mail Security démarre chaque fois qu'un utilisateur distant se
connecte au serveur et crée une session de terminal. Cet affichage n'est généralement pas conseillé sur les serveurs
Terminal Server. Si vous souhaitez désactiver l'interface utilisateur graphique pour les sessions de terminal, vous
pouvez le faire par le biais d'eShell en exécutant la commande set ui ui gui-start-mode none. L'interface
utilisateur graphique passe ainsi en mode terminal. Il existe deux modes pour le démarrage de l'interface
utilisateur graphique :
set ui ui gui-start-mode full
set ui ui gui-start-mode none
Si vous souhaitez connaître le mode actuellement utilisé, exécutez la commande get
ui ui gui-start-mode .
REMARQUE
Si vous avez installé ESET Mail Security sur un serveur Citrix, il est recommandé d'utiliser les paramètres décrits
dans cet article de la base de connaissances .
7.7.5 États et messages désactivés
Messages de confirmation
Affiche la liste des messages de confirmation que vous pouvez choisir d'afficher ou non.
Paramètres des états d'application
Permet d'activer ou de désactiver l'affichage de l'état dans la page Supervision du menu principal.
244
7.7.5.1 Paramètres des états d'application
Cette boîte de dialogue permet de sélectionner les états d'application à afficher ou non, par exemple lorsque vous
interrompez la protection antivirus et antispyware, ce qui entraînera une modification de l'état de la protection
dans la page Supervision. Un état d'application est également affiché si votre produit n'est pas activé ou si la licence
est arrivée à expiration.
Les états d'application peuvent être modifiés par le biais des stratégies d'ESET Security Management Center . Les
catégories et états sont affichés dans une liste comportant deux options : Afficher et Envoyer l'état. La colonne
d'envoi des états d'application est visible uniquement dans la configuration de la politique de ESET Security
Management Center . ESET Mail Security affiche les paramètres avec une icône représentant un verrou. Vous
pouvez utiliser le mode de remplacement pour modifier les états d'application de façon temporaire.
245
7.7.6 Icône dans la partie système de la barre des tâches
Permet d'accéder rapidement à des fonctionnalités et des éléments d'ESET Mail Security souvent utilisés. Ces
éléments sont accessibles en cliquant avec le bouton droit sur l'icône
dans la partie système de la barre des
tâches.
Plus d'informations
Permet d'afficher la page Supervision pour montrer l'état actuel de la protection et les messages.
Désactiver la protection
Affiche la boîte de dialogue de confirmation qui désactive la protection antivirus et antispyware ; cette dernière
protège des attaques malveillantes en contrôlant les fichiers et les communications par messagerie et Internet.
Chaque fois que vous désactivez temporairement les modules antivirus ou antispyware à l'aide de l'icône
dans la partie système de la barre des tâches, la boîte de dialogue Désactiver la protection s'affiche. La
protection contre les logiciels malveillants est alors désactivée pendant la période sélectionnée (pour
désactiver la protection de manière permanente, vous pouvez utiliser l'option Configuration avancée). Soyez
prudent. La désactivation de la protection peut exposer votre système à des menaces.
Configuration avancée
Utilisez cette option pour accéder à Configuration avancée.
Fichiers journaux
Contiennent tous les événements importants qui se sont produits et fournissent un aperçu des menaces
détectées.
Masquer ESET Mail Security
Masque la fenêtre ESET Mail Security.
Réinitialiser la présentation des fenêtres
Rétablit la taille et la position par défaut de la fenêtre ESET Mail Security.
Rechercher des mises à jour
Commence la mise à jour des modules afin de garantir un niveau optimal de protection contre les codes
malveillants.
À propos
246
Les informations système fournissent des détails sur la version installée d'ESET Mail Security, sur les modules
installés et sur la date d'expiration de votre licence. Des informations sur votre système d'exploitation et les
ressources système figurent dans la partie inférieure de la page.
7.8 Rétablir les paramètres par défaut
Vous pouvez rétablir les valeurs par défaut des paramètres dans Configuration avancée. Deux options sont
disponibles. Vous pouvez rétablir les valeurs par défaut de tous les paramètres ou ce ceux d'une section spécifique
uniquement (les paramètres des autres sections ne sont pas modifiés).
Rétablir tous les paramètres
Tous les paramètres de toutes les sections de la configuration avancée seront restaurés à l'état qu'ils avaient
après l'installation de ESET Mail Security. Cette option peut être comparée à Restaurer les paramètres d'usine.
REMARQUE
Une fois que vous cliquez sur Rétablir les paramètres par défaut, les modifications apportées sont perdues.
Cette action ne peut pas être annulée.
Rétablir tous les paramètres de cette section
Rétablit les valeurs des paramètres du module dans la section sélectionnée. Toutes les modifications que vous
avez apportées dans cette section seront perdues.
Rétablir le contenu des tables
Lorsque cette option est activée, les règles, les tâches ou les profils ajoutés automatiquement ou
manuellement sont perdus.
7.9 Aide et assistance
ESET Mail Security contient des outils de dépannage et des informations d'assistance qui vous aideront à résoudre
les problèmes que vous pouvez rencontrer.
Aide
Rechercher la Base de connaissances ESET
La base de connaissances ESET contient des réponses aux questions les plus fréquentes et les solutions
recommandées pour résoudre divers problèmes. Régulièrement mise à jour par les spécialistes techniques
d'ESET, la base de connaissances est l'outil le plus puissant pour résoudre différents types de problèmes.
Ouvrir l'aide
247
Lance les pages d'aide en ligne de ESET Mail Security.
Trouver une solution rapide
Cette option permet de trouver les solutions aux problèmes les plus fréquents. Nous vous recommandons de
lire cette section avant de contacter le service d'assistance technique.
Assistance technique
Envoyer une demande d'assistance
Si vous ne trouvez pas de réponse à votre problème, vous pouvez également utiliser le formulaire situé sur le
site Web d'ESET pour prendre rapidement contact avec notre service d'assistance technique.
Informations détaillées pour l'assistance technique
Affiche des informations détaillées (nom du produit, version du produit, etc.) pour l'assistance technique.
Outils d'assistance
Encyclopédie des menaces
Permet d'accéder à l'encyclopédie des menaces ESET, qui contient des informations sur les dangers et les
symptômes de différents types d'infiltration.
ESET Log Collector
Établit un lien vers la page de téléchargement ESET Log Collector. Log Collector est une application qui collecte
automatiquement les informations de configuration et les journaux d'un serveur pour permettre de résoudre
plus rapidement les problèmes.
Historique du moteur de détection
Mène à ESET Virus radar, qui contient des informations sur les versions des modules de détection ESET.
ESET Specialized Cleaner
L'outil de nettoyage spécialisé ESET est un outil de suppression des infections courantes par logiciels
malveillants tels que Conficker, Sirefef, Necurs, etc.
Informations sur le produit et la licence
Activer le produit / Changer de licence
Cliquez sur cette option pour ouvrir la fenêtre Activation du produit. Sélectionnez l'une des méthodes
disponibles pour activer ESET Mail Security.
À propos de ESET Mail Security
Affiche des informations sur votre copie de ESET Mail Security.
7.9.1 Envoyer une demande d'assistance
Pour offrir l'assistance adéquate le plus rapidement possible, ESET requiert des informations sur la configuration de
ESET Mail Security, sur le système et les processus en cours (fichier journal ESET SysInspector), ainsi que les données
du Registre. ESET utilise ces données uniquement pour fournir une assistance technique au client. Ce paramètre
peut être également configuré dans Configuration avancée (F5) > Outils > Diagnostics > Assistance technique.
REMARQUE
Si vous choisissez d'envoyer les données système, vous devez remplir le formulaire Web et l'envoyer. Sinon,
votre ticket n'est pas créé et vos données système sont perdues.
Lorsque vous envoyez le formulaire Web, les données de configuration de votre système sont également envoyées
à ESET. Sélectionnez Toujours envoyer ces informations si vous souhaitez mémoriser cette action pour ce processus.
Ne pas envoyer les données
Utilisez cette option si vous ne souhaitez pas envoyer de données. Vous serez redirigé vers la page Web de
l'assistance technique ESET.
248
7.9.2 À propos d'ESET Mail Security
Cette fenêtre fournit des informations sur la version installée de ESET Mail Security. La partie supérieure de la
fenêtre contient des informations sur le système d'exploitation et les ressources système, ainsi que sur l'utilisateur
actuellement connecté et le nom de l'ordinateur.
Composants installés
Permet d'obtenir des informations sur les modules, d'afficher la liste des composants installés et les
informations associées. Cliquez sur Copier pour copier la liste dans le Presse-papiers. Ce procédé peut être
utile pour la résolution des problèmes ou lorsque vous contactez l'assistance technique.
7.10 Glossaire
Pour plus d'informations sur les termes techniques, les menaces et la sécurité sur Internet, consultez la page du
glossaire .
249

Manuels associés