ESET Endpoint Antivirus 7 Manuel du propriétaire

Ajouter à Mes manuels
184 Des pages
ESET Endpoint Antivirus 7 Manuel du propriétaire | Fixfr
ESET Endpoint Antivirus
Guide de l'utilisateur
Cliquez ici pour consulter la version de l'aide en ligne de ce document
Copyright ©2021 ESET, spol. s r.o.
ESET Endpoint Antivirus a été développé par ESET, spol. s r.o.
Pour plus de détails, visitez www.eset.com.
Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système
d'archivage ou transmise sous quelque forme ou par quelque moyen que ce soit, y compris sous forme
électronique, mécanique, photocopie, enregistrement, numérisation ou autre sans l'autorisation écrite de l'auteur.
ESET, spol. s r.o. se réserve le droit de changer les applications décrites sans préavis.
Assistance à la clientèle : www.eset.com/support
RÉV. 2021-01-20
1 ESET Endpoint Antivirus 7
.................................................................................................................... 1
1.1 Nouveautés de la version 7 ...................................................................................................................
1.2 Exigences système ..................................................................................................................................
1.2.1 Langues prises en charge ............................................................................................................................
1.3 Prévention ................................................................................................................................................
1.4 Pages d'aide .............................................................................................................................................
2 Documentation pour les terminaux gérés à distance
2
3
4
5
6
.......................................................... 7
2.1
2.2
2.3
2.4
Introduction à ESET Security Management Center ............................................................................ 8
Introduction à ESET PROTECT Cloud .................................................................................................... 8
Paramètres protégés par mot de passe .............................................................................................. 8
Qu'est-ce qu'une politique? ................................................................................................................. 10
2.4.1 Fusion des politiques ................................................................................................................................ 10
2.5 Fonctionnement des indicateurs ......................................................................................................... 10
3 Utilisation de ESET Endpoint Antivirus tout seul
................................................................... 11
3.1 Méthode d'installation .......................................................................................................................... 12
3.1.1 Installation avec ESET AV Remover .............................................................................................................. 12
3.1.1.1 ESET AV Remover ................................................................................................................................. 12
3.1.1.2 Erreur lors de la désinstallation à l'aide d'ESET AV Remover. ............................................................................ 15
3.1.2 Installation (.exe) .................................................................................................................................... 15
3.1.2.1 Modifier le dossier d'installation (.exe) ........................................................................................................ 17
3.1.3 Installation (.msi) .................................................................................................................................... 18
3.1.3.1 Installation avancée (.msi) ...................................................................................................................... 20
3.1.4 Installation par ligne de commande .............................................................................................................. 21
3.1.5 Déploiement à l'aide de GPO ou de SCCM ...................................................................................................... 25
3.1.6 Mise à niveau à une version plus récente ....................................................................................................... 25
3.1.7 Problèmes courants d'installation ................................................................................................................ 26
3.1.7.1 Échec de l'activation .............................................................................................................................. 26
3.2 Activation de produit ............................................................................................................................ 27
3.3 Analyse de l'ordinateur ........................................................................................................................ 27
3.4 Guide du débutant ................................................................................................................................. 27
3.4.1 L'interface utilisateur ............................................................................................................................... 27
3.4.2 Configuration des mises à jour .................................................................................................................... 30
4 Utiliser ESET Endpoint Antivirus
...................................................................................................... 32
4.1 Ordinateur .............................................................................................................................................. 34
4.1.1 Moteur de détection (7.2 et versions ultérieures) ............................................................................................. 36
4.1.1.1 Options avancées du moteur de détection ................................................................................................... 40
4.1.2 Moteur de détection (7.1 et antérieur) .......................................................................................................... 40
4.1.3 Une infiltration est détectée ....................................................................................................................... 41
4.1.4 Cache local partagé ................................................................................................................................. 43
4.1.5 Protection en temps réel du système de fichiers .............................................................................................. 43
4.1.5.1 Vérification de la protection en temps réel ................................................................................................... 45
4.1.5.2 Quand faut-il modifier la configuration la protection en temps réel ..................................................................... 45
4.1.5.3 Que faire si la protection en temps réel ne fonctionne pas ............................................................................... 45
4.1.6 Analyse de l'ordinateur ............................................................................................................................. 46
4.1.6.1 Analyse personnalisée ............................................................................................................................ 48
4.1.6.2 Progression de l'analyse ......................................................................................................................... 49
4.1.6.3 Journal de l'analyse de l'ordinateur ............................................................................................................ 50
4.1.6.4 Analyses de logiciels malveillants .............................................................................................................. 51
4.1.6.4.1 Analyse à l'état de repos ...................................................................................................................... 51
4.1.6.4.2 Profils d'analyse ................................................................................................................................. 51
4.1.6.4.3 Cibles à analyser ................................................................................................................................ 52
4.1.6.4.4 Options d'analyse avancée .................................................................................................................... 52
4.1.7 Contrôle de périphériques ......................................................................................................................... 53
4.1.7.1 Éditeur des règles du contrôle de périphérique ............................................................................................. 53
4.1.7.1.1 Périphériques détectés ........................................................................................................................ 54
............................................................................................................................... 54
4.1.7.3 Ajout de règles du contrôle de périphérique ................................................................................................. 55
4.1.8 Host-based Intrusion Prevention System (HIPS) ............................................................................................... 58
4.1.8.1 Fenêtre interactive HIPS ......................................................................................................................... 60
4.1.8.1.1 Comportement d'un rançongiciel potentiel détecté ...................................................................................... 61
4.1.8.2 Gestion des règles HIPS .......................................................................................................................... 61
4.1.8.2.1 Paramètres de règle HIPS ..................................................................................................................... 62
4.1.8.3 Configuration avancée de HIPS ................................................................................................................. 65
4.1.8.3.1 Le chargement des pilotes est toujours autorisé ......................................................................................... 65
4.1.9 Mode présentation ................................................................................................................................... 66
4.1.10 Analyse au démarrage ............................................................................................................................ 66
4.1.10.1 Vérification automatique des fichiers de démarrage ..................................................................................... 66
4.1.11 Protection des documents ........................................................................................................................ 67
4.1.12 Exclusions ........................................................................................................................................... 67
4.1.12.1 Exclusions de performance .................................................................................................................... 68
4.1.12.1.1 Ajouter ou modifier des exclusions de performance ................................................................................... 69
4.1.12.1.2 Format d'exclusion de chemin .............................................................................................................. 70
4.1.12.2 Exclusions de détection ........................................................................................................................ 71
4.1.12.2.1 Ajouter ou modifier une exclusion de détection ......................................................................................... 73
4.1.12.2.2 Assistant de création d'exclusion de détection .......................................................................................... 74
4.1.12.3 Exclusions (version 7.1 et inférieure) ........................................................................................................ 75
4.1.12.4 Exclusions de processus ........................................................................................................................ 75
4.1.12.4.1 Ajouter ou modifier des exclusions de processus ....................................................................................... 76
4.1.12.5 Exclusions HIPS ................................................................................................................................... 76
4.1.13 ThreatSense paramètres ......................................................................................................................... 76
4.1.13.1 Niveaux de nettoyage .......................................................................................................................... 79
4.1.13.2 Extension de fichiers exclus de l'analyse ................................................................................................... 81
4.1.13.3 Autres paramètres ThreatSense .............................................................................................................. 81
4.2 Réseau ..................................................................................................................................................... 82
4.2.1 Protection contre les attaques réseau ........................................................................................................... 83
4.2.1.1 Options avancées de filtrage .................................................................................................................... 83
4.2.1.2 Exceptions IDS ..................................................................................................................................... 85
4.2.1.3 Présumée menace bloquée ...................................................................................................................... 86
4.2.1.4 Dépannage de la protection du réseau ....................................................................................................... 87
4.2.2 Adresse IP ajoutées temporairement à la liste noire .......................................................................................... 87
4.2.3 Résolution de problèmes de pare-feu d'ESET .................................................................................................. 88
4.2.3.1 Assistant de dépannage .......................................................................................................................... 88
4.2.3.2 Journalisation et création de règles ou d'exceptions à partir du journal ................................................................ 88
4.2.3.2.1 Créer une règle à partir du journal .......................................................................................................... 88
4.2.3.3 Création d'exceptions à partir des notifications du pare-feu ............................................................................. 89
4.2.3.4 Journalisation PCAP avancée .................................................................................................................... 89
4.2.3.5 Résolutions des problèmes de filtrage des protocoles ..................................................................................... 89
4.3 Web et messagerie ................................................................................................................................ 90
4.3.1 Filtrage de protocole ................................................................................................................................ 91
4.3.1.1 Applications exclues .............................................................................................................................. 92
4.3.1.2 Adresses IP exclues ............................................................................................................................... 92
4.3.1.3 SSL/TLS .............................................................................................................................................. 93
4.3.1.3.1 Certificats ......................................................................................................................................... 94
4.3.1.3.1 Trafic réseau chiffré ............................................................................................................................ 95
4.3.1.3.2 Liste des certificats connus ................................................................................................................... 95
4.3.1.3.3 Liste des applications SSL/TLS filtrées ...................................................................................................... 96
4.3.2 Protection du client de messagerie .............................................................................................................. 96
4.3.2.1 Protocoles de messagerie ....................................................................................................................... 98
4.3.2.2 Alertes et notifications par courriel ............................................................................................................ 99
4.3.2.3 Intégration aux clients de messagerie ...................................................................................................... 100
4.3.2.3.1 Barre d'outils Microsoft Outlook ............................................................................................................ 100
4.3.2.3.2 Barre d'outils Outlook Express et Windows Mail ........................................................................................ 100
4.3.2.3.3 Boîte de dialogue de confirmation ......................................................................................................... 100
4.1.7.2 Groupes d'appareils
......................................................................................................... 101
4.3.3 Protection de l'accès Web ........................................................................................................................ 101
4.3.3.1 Configuration avancée de la protection de l'accès Web ................................................................................. 103
4.3.3.2 Protocoles Web .................................................................................................................................. 103
4.3.3.3 Gestion d'adresses URL ........................................................................................................................ 104
4.3.3.3.1 Liste d'adresses URL ......................................................................................................................... 105
4.3.3.3.2 Créer une nouvelle liste d'adresses URL ................................................................................................. 106
4.3.3.3.3 Comment ajouter un masque URL ......................................................................................................... 107
4.3.4 Protection anti-hameçonnage ................................................................................................................... 107
4.4 Mise à jour du programme ................................................................................................................. 108
4.4.1 Configuration des mises à jour .................................................................................................................. 112
4.4.1.1 Annulation de la mise à jour ................................................................................................................... 115
4.4.1.2 Mise à jour des composants du programme ............................................................................................... 116
4.4.1.3 Option de connexion ............................................................................................................................ 117
4.4.1.4 Miroir de mise à jour ............................................................................................................................ 118
4.4.1.4.1 Serveur HTTP .................................................................................................................................. 120
4.4.1.4.2 Mise à jour à partir du miroir ............................................................................................................... 121
4.4.1.4.3 Résolution des problèmes de miroir de mise à jour .................................................................................... 123
4.4.2 Comment créer des tâches de mise à jour ................................................................................................... 124
4.5 Outils ..................................................................................................................................................... 124
4.5.1 Fichiers journaux ................................................................................................................................... 125
4.5.1.1 Filtrage des journaux ........................................................................................................................... 128
4.5.1.2 Configuration de connexion ................................................................................................................... 129
4.5.1.3 Journaux d'audit ................................................................................................................................. 130
4.5.2 Planificateur ......................................................................................................................................... 131
4.5.3 Statistiques de protection ........................................................................................................................ 133
4.5.4 Surveiller l'activité ................................................................................................................................. 134
4.5.5 ESET SysInspector ................................................................................................................................. 135
4.5.6 Protection basée sur le nuage ................................................................................................................... 136
4.5.6.1 Filtre d'exclusion pour la protection basée sur le nuage ................................................................................ 138
4.5.7 Processus en cours ................................................................................................................................ 139
4.5.8 Rapport de sécurité ............................................................................................................................... 141
4.5.9 ESET SysRescue Live .............................................................................................................................. 142
4.5.10 Soumission d'échantillons pour analyse ..................................................................................................... 142
4.5.10.1 Sélectionner un échantillon pour analyse - fichier suspect ............................................................................ 143
4.5.10.2 Sélectionner un échantillon pour analyse - site suspect ............................................................................... 144
4.5.10.3 Sélectionner un échantillon pour analyse - fichier faux positif ........................................................................ 144
4.5.10.4 Sélectionner un échantillon pour analyse - site faux positif ........................................................................... 144
4.5.10.5 Sélectionner un échantillon pour analyse - autre ........................................................................................ 145
4.5.11 Notifications ....................................................................................................................................... 145
4.5.11.1 Notifications d'application .................................................................................................................... 146
4.5.11.2 Notifications sur le bureau ................................................................................................................... 147
4.5.11.3 Notifications par courriel ..................................................................................................................... 147
4.5.11.4 Personnalisation des notifications .......................................................................................................... 149
4.5.12 Quarantaine ....................................................................................................................................... 150
4.5.13 Configuration du serveur mandataire ........................................................................................................ 151
4.5.14 Créneaux temporels ............................................................................................................................. 152
4.5.15 Microsoft Windows Update ..................................................................................................................... 153
4.5.16 Vérification d'intervalle de licence ............................................................................................................ 154
4.6 Interface utilisateur ............................................................................................................................ 154
4.6.1 Éléments de l'interface utilisateur .............................................................................................................. 154
4.6.1.1 États de l'application ........................................................................................................................... 156
4.6.2 Configuration de l'accès .......................................................................................................................... 157
4.6.2.1 Mot de passe pour la configuration avancée ............................................................................................... 158
4.6.3 Fenêtres de notifications et d'alertes .......................................................................................................... 158
4.6.3.1 Alertes interactives ............................................................................................................................. 160
4.6.3.2 Messages de confirmation ..................................................................................................................... 161
4.6.3.3 Erreur de conflit de paramètres avancés ................................................................................................... 161
4.3.2.3.4 Analyser à nouveau les messages
.............................................................................................................. 162
4.6.3.5 Un redémarrage est recommandé ........................................................................................................... 163
4.6.3.6 Supports amovibles ............................................................................................................................. 164
4.6.4 Icône de la barre d'état système ............................................................................................................... 165
4.6.5 Menu contextuel ................................................................................................................................... 166
4.6.6 Aide et assistance ................................................................................................................................. 167
4.6.6.1 À propos de ESET Endpoint Antivirus ........................................................................................................ 168
4.6.6.2 Soumettre les données de configuration du système .................................................................................... 168
4.6.7 Gestionnaire de profils ............................................................................................................................ 169
4.6.8 Raccourcis clavier ................................................................................................................................. 170
4.6.9 Diagnostic ........................................................................................................................................... 170
4.6.10 Analyseur de ligne de commande ............................................................................................................ 171
4.6.11 ESET CMD .......................................................................................................................................... 173
4.6.12 Détection de l'état inactif ....................................................................................................................... 176
4.6.12.1 Importer et exporter les paramètres ....................................................................................................... 176
4.6.12.2 Rétablir tous les paramètres par défaut ................................................................................................... 177
4.6.12.3 Rétablir tous les paramètres dans la section en cours ................................................................................. 177
4.6.12.4 Erreur lors de l’enregistrement de la configuration ..................................................................................... 177
4.6.13 Surveillance et gestion à distance ............................................................................................................ 178
4.6.3.4 Un redémarrage est nécessaire
ESET Endpoint Antivirus 7
ESET Endpoint Antivirus 7 constitue une nouvelle approche à la sécurité informatique véritablement intégrée. Elle
s'appuie notamment sur la rapidité et la précision de la dernière version du moteur d'analyse ThreatSense® pour
protéger votre ordinateur. Il en résulte un système intelligent et constamment en alerte pour protéger votre
ordinateur des attaques et des programmes malveillants.
ESET Endpoint Antivirus 7 est une solution de sécurité complète qui est le résultat d'un effort de longue haleine
pour tenter d'allier protection maximale et encombrement minimal. Des technologies avancées basées sur
l'intelligence artificielle, capables de bloquer de manière proactive la pénétration de virus, de logiciels espions, de
chevaux de Troie, de vers, de logiciels publicitaires, de rootkits et d'autres attaques provenant d'Internet, sans
atténuer les performances ni perturber votre ordinateur.
ESET Endpoint Antivirus 7 est principalement conçu pour être utilisé sur des postes de travail dans un
environnement de petite entreprise.
Dans la section Utilisation de ESET Endpoint Antivirus, vous pouvez trouver des rubriques d'aide divisées en
plusieurs chapitres et sous-chapitres qui fournissent une orientation et un contexte, notamment le téléchargement,
l'installation et l'activation.
L'utilisation de ESET Endpoint Antivirus et de ESET Security Management Center dans un environnement
d'entreprise vous permet de gérer facilement des postes de travail clients, quel que soit leur nombre, d'appliquer
les politiques et les règles, de surveiller la détection et d'effectuer une configuration à distance à partir de
n'importe quel ordinateur connecté au réseau.
Le chapitre Questions fréquentes couvre les questions les plus fréquemment posées et les problèmes les plus
fréquents.
Fonctionnalités et avantages
Interface utilisateur renouvelée
L'interface utilisateur de cette version a été considérablement renouvelée
et simplifiée en fonction des résultats des tests effectués sur sa
convivialité. Tous les termes et notifications IUG ont été examinés
attentivement et l'interface prend désormais en charge les langues
s'écrivant de droite à gauche comme l'hébreu et l'arabe. L'assistance en
ligne est désormais intégrée dans ESET Endpoint Antivirus et offre un
contenu d'assistance mis à jour dynamiquement.
Antivirus et anti-logiciel espion
Détecte et supprime de manière proactive un grand nombre de virus, vers,
chevaux de Troie et rootkits, tant connus qu'inconnus. La technologie
d'heuristique avancée indiquera même les logiciels malveillants encore
jamais vus pour ainsi protéger votre ordinateur contre les menaces
inconnues et les neutraliser avant même qu'elles ne puissent s'attaquer à
votre ordinateur. La protection de l'accès Web et la protection antihameçonnage utilisent la surveillance des communications entre les
navigateurs Web et les serveurs distants (y compris SSL). La protection du
client de messagerie offre le contrôle de la communication par courriel
effectuée par l'entremise des protocoles POP3(S) et IMAP(S).
Mises à jour régulières
Mettre régulièrement à jour le moteur de détection (précédemment appelé
« base de données des signatures de virus ») et les modules du
programme constitue la meilleure méthode pour obtenir le niveau maximal
de sécurité pour votre ordinateur.
ESET LiveGrid®
(réputation utilisant le nuage)
Vous pouvez vérifier la réputation de processus en cours d'exécution
directement à partir de ESET Endpoint Antivirus.
1
Gestion à distance
ESET Security Management Center vous permet de gérer des produits
ESET sur des stations de travail, des serveurs et des appareils mobiles
dans un environnement en réseau à partir d'un emplacement central.
Grâce à la console Web de ESET Security Management Center (console
Web de ESMC), vous pouvez déployer les solutions ESET, gérer des tâches,
appliquer les politiques de sécurité, surveiller l'état du système et
répondre rapidement aux problèmes ou réagir aux menaces sur les
ordinateurs à distance.
Protection contre les attaques
réseau
Analyse le contenu du trafic réseau et protège le réseau contre les
attaques. Tout trafic considéré comme dangereux sera bloqué.
Contrôle Web (ESET Endpoint
Security uniquement)
Le contrôle Web vous permet de bloquer des pages Web dont le contenu
est potentiellement offensant. En outre, les employeurs ou les
administrateurs systèmes peuvent interdire l'accès à plus de 27 catégories
de sites Web prédéfinies et à plus de 140 sous-catégories.
Nouveautés de la version 7
ESET Endpoint Antivirus 7 a été publié et est téléchargeable.
Quoi de neuf dans ESET Endpoint Antivirus 7.0
• Nouvelle conception de l'interface utilisateur graphique.
• Analyse de fichiers par gliser-déposer – Vous pouvez analyser un fichier ou un dossier manuellement,
simplement en déplaçant le fichier ou le dossier sur la zone marquée.
• La protection contre les attaques réseau est désormais disponible dans ESET Endpoint Antivirus. Pour plus de
renseignements, consultez la section Protection contre les attaques réseau.
• Dans État de la protection, le lien d'action rapide peut être désactivé par une politique de ESET Security
Management Center.
• Les règles de contrôle des appareils peut être appliqué maintenant pour une certaine période de temps. Pour
plus d'informations, consultez la rubrique Créneaux temporels.
Quoi de neuf dans ESET Endpoint Antivirus 7.1
• Nouveau type de journalisation - Le type de journalisation avancé est maintenant disponible. Pour plus
d'informations, voir Journaux d'audit.
Quoi de neuf dans ESET Endpoint Antivirus 7.2
• L'apprentissage automatique avancé est une couche de protection avancée qui améliore la détection basée sur
l'apprentissage automatique. Pour en savoir plus sur ce type de protection, consultez le glossaire. La
configuration du moteur de détection ne fournit plus d'interrupteurs ON/OFF comme c'était le cas dans les
versions 7.1 et inférieures. Les boutons ON/OFF ont été remplacés par quatre seuils : « Agressif », « Équilibré »,
« Prudent » et « Désactivé ».
• La localisation en letton a été ajoutée.
• Modifications apportées aux exclusions. Les exclusions de performance vous permettent d'exclure les fichiers
et les dossiers de l'analyse. Les exclusions de détection vous permettent d'exclure des objets du nettoyage à
l'aide du nom de détection, du chemin ou de son hachage.
• Le nouveau module du programme HIPS comprend une inspection approfondie du comportement, qui analyse
le comportement de tous les programmes en cours d'exécution sur l'ordinateur et vous avertit si le
comportement du processus est malveillant. Pour en savoir plus sur HIPS, consultez nos pages d'aide.
• Les alertes interactives configurables vous permettent d'ajuster le comportement des alertes interactives
configurables (par exemple, masquer l'alerte « Un redémarrage est recommandé » sur les postes de travail).
2
Quoi de neuf dans ESET Endpoint Antivirus 7.3
• Cette version mineure est accompagnée de diverses corrections de bogues et d'améliorations des
performances.
Pour plus d'informations et des captures d'écran sur les nouvelles fonctionnalités de ESET Endpoint Antivirus,
veuillez consulter l'article suivant dans la base de connaissances d'ESET :
• Quoi de neuf dans ESET Endpoint Antivirus 7?
Configuration minimale requise
Pour assurer le bon fonctionnement de ESET Endpoint Antivirus, la configuration système matérielle et logicielle
minimale requise est la suivante (paramètres par défaut du produit) :
Processeurs pris en charge
Processeur 32 bits (x86) avec jeu d'instructions SSE2 ou 64 bits (x64), 1 GHz ou plus
Systèmes d’exploitation
Microsoft® Windows® 10
Microsoft® Windows® 8.1
Microsoft® Windows® 8
Microsoft® Windows® 7 SP1 avec les dernières mises à jour de Windows (au moins KB4474419 et KB4490628)
Windows XP et Windows Vista ne sont plus pris en charge par la version 7.
Autre
• La configuration requise pour le système d'exploitation et pour d'autres logiciels installés sur l'ordinateur
respectée
• 0,3 Go de mémoire système libre (voir Remarque 1)
• 1 Go de d'espace libre sur le disque (voir Remarque 2)
• Résolution d'affichage minimale 1024x768
• Connexion Internet ou connexion de réseau local à une source (voir Remarque 3) de mise à jour de produits
Bien qu'il puisse être possible d'installer et d'utiliser le produit sur des systèmes qui ne répondent pas à ces
exigences, nous recommandons d'effectuer des tests d'utilisation préalables en fonction des exigences de
performance.
3
REMARQUE
(1) : Le produit pourrait utiliser plus de mémoire si la mémoire serait dans d'autres circonstances
inutilisée sur un ordinateur lourdement infectés ou lorsque d'énormes listes de données sont
importées dans le produit (par exemple, des listes blanches d'URL ).
(2) : L'espace disque nécessaire pour télécharger le programme d'installation, installer le produit
et conserver une copie de l'ensemble d'installation dans les données du programme ainsi que des
sauvegardes des mises à jour de produits pour soutenir la fonctionnalité de restauration. Le
produit pourrait utiliser plus d'espace disque selon différents paramètres (par exemple, lorsque
plusieurs versions de sauvegardes des mises à jour du produit sont stockées, lors des vidages de
mémoire ou lorsque d'énormes quantités d'enregistrements du journal sont conservées) ou sur un
ordinateur infecté (par exemple, en raison de la fonction de mise en quarantaine). Nous vous
recommandons de garder assez d'espace libre sur le disque pour les mises à jour du système
d'exploitation et pour les mises à jour des produits ESET.
(3) : Bien que cela ne soit pas recommandé, le produit peut être mis à jour manuellement à partir
d'un support amovible.
Langues prises en charge
ESET Endpoint Antivirus est disponible pour l'installation et le téléchargement dans les langues suivantes :
Langue
Code de langue LCID
Anglais (États-Unis)
en-US
1033
Arabe (Égypte)
ar-EG
3073
Bulgare
bg-BG
1026
Chinois simplifié
zh-CN
2052
Chinois traditionnel
zh-TW
1028
Croate
hr-HR
1050
Tchèque
cs-CZ
1029
Estonien
et-EE
1061
Finlandais
fi-FI
1035
Français (France)
fr-FR
1036
Français (Canada)
fr-CA
3084
Allemand (Allemagne) de-DE
1031
Grec
el-GR
1032
*Hébreux
he-IL
1037
Hongrois
hu-HU
1038
*Indonésien
id-ID
1057
Italien
it-IT
1040
Japonais
ja-JP
1041
Kazakh
kk-KZ
1087
Coréen
ko-KR
1042
*Letton
lv-LV
1062
Lituanien
lt-LT
1063
Norvégien
nn-NO
1044
Polonais
pl-PL
1045
Portugais (Brésil)
pt-BR
1046
Roumain
ro-RO
1048
Russe
ru-RU
1049
Espagnol (Chili)
es-CL
13322
Espagnol (Espagne)
es-ES
3082
Suédois (Suède)
sv-SE
1053
Slovaque
sk-SK
1051
4
Slovène
sl-SI
1060
Thaï
th-TH
1054
Turc
tr-TR
1055
Vietnamien
vi-VN
1066
* ESET Endpoint Antivirus est disponible dans cette langue, mais le guide de l’utilisateur en ligne n’est pas
disponible (redirections vers la version anglaise).
Pour changer la langue de ce guide de l’utilisateur en ligne, voir la boîte de sélection de la langue (dans le coin
supérieur droit).
Prévention
Lorsque vous travaillez avec votre ordinateur et particulièrement lorsque vous naviguez sur Internet, gardez
toujours à l'esprit qu'aucun antivirus au monde ne peut complètement éliminer le risque d'infiltration et des
attaques à distance. Pour assurer une protection et une convivialité maximales, il est essentiel d’utiliser
correctement votre solution antivirus et de respecter plusieurs règles utiles :
Effectuer des mises à jour régulières
Selon les statistiques de ESET LiveGrid®, des milliers de nouvelles infiltrations sont créées chaque jour pour
contourner les dispositifs de sécurité existants et servir leurs auteurs, aux dépens des autres utilisateurs. Les
spécialistes du laboratoire d'ESET analysent ces menaces chaque jour et conçoivent des mises à jour pour
améliorer continuellement le niveau de protection de nos utilisateurs. Pour garantir l'efficacité maximale de ces
mises à jour, il est important que celles-ci soient configurées de façon appropriée sur votre système. Pour plus
d'information sur la configuration des mises à jour, voir la rubrique Configuration des mises à jour.
Télécharger les correctifs de sécurité
Les auteurs de programmes malveillants exploitent souvent diverses failles du système pour assurer une meilleure
propagation du code malveillant. C'est pour cette raison que les sociétés qui commercialisent des logiciels
recherchent activement l'apparition de nouvelles failles dans leurs applications pour concevoir les mises à jour de
sécurité afin d'éliminer les menaces potentielles sur une base régulière. Il est important de télécharger ces mises à
jour de sécurité au moment de leur sortie. Microsoft Windows et les navigateurs Web comme Internet Explorer sont
deux exemples de programmes pour lesquels des mises à jour de sécurité sont régulièrement émises.
Sauvegarde des données importantes
Les concepteurs de programmes malveillants ne se soucient généralement pas des besoins des utilisateurs et
l'activité de leurs programmes entraîne souvent un dysfonctionnement total du système d'exploitation et la perte
de données importantes. Il est important de sauvegarder régulièrement vos données importantes et sensibles sur
une source externe, telle que DVD ou disque dur externe. Vous pourrez ainsi récupérer vos données beaucoup plus
facilement et rapidement en cas de défaillance du système.
Rechercher régulièrement les virus sur votre ordinateur
La détection d'un plus grand nombre de virus, de vers, de chevaux de Troie et de rootkits, tant connus
qu'inconnus, est effectuée par le module de protection du système de fichiers en temps réel. Ainsi, chaque fois que
vous accédez à un fichier ou ouvrez un fichier, il sera analysé pour y déceler toute activité malveillante. Nous
recommandons d'effectuer une analyse complète de l'ordinateur au moins une fois par mois, car les signatures des
logiciels malveillants peuvent varier et le moteur de détection se met à jour quotidiennement.
Suivre les règles de sécurité de base
Cette règle est la plus utile et la plus efficace de toutes : soyez toujours prudent. Actuellement, de nombreuses
infiltrations nécessitent l'intervention de l'utilisateur pour être exécutées et propagées. Si vous êtes prudent
lorsque vous ouvrez de nouveaux fichiers, vous éviterez de perdre un temps et une énergie considérable à
nettoyer les infiltrations. Voici quelques directives utiles :
5
• Ne consultez pas les sites Web suspects comportant de nombreuses fenêtres publicitaires et annonces
clignotantes.
• Soyez vigilant lorsque vous installez des logiciels gratuits, des ensembles de codec, etc. N'utilisez que des
programmes sécurisés et ne consultez que les sites Web sécurisés.
• Soyez prudent lorsque vous ouvrez les pièces jointes aux courriels, en particulier celles provenant de
publipostage ou d'expéditeurs inconnus.
• N'utilisez pas de compte Administrateur pour le travail de tous les jours sur votre ordinateur.
Pages d'aide
Bienvenue dans les fichiers d'aide de ESET Endpoint Antivirus. L'information présentée ici vous aidera à vous
familiariser avec le produit et à rendre votre ordinateur plus sécuritaire.
Démarrage
Avant de commencer à utiliser ESET Endpoint Antivirus, veuillez prendre note que notre produit peut être utilisé
grâce à une connexion par ESET Security Management Center ou tout seul. Nous vous recommandons de vous
familiariser avec les divers types de détections et les attaques à distance que peut subir votre ordinateur.
Voir la section Nouvelles fonctionnalités pour en apprendre davantage sur les nouvelles fonctionnalités de la
version actuelle de ESET Endpoint Antivirus. Nous également préparé un guide qui vous aidera à configurer et à
personnaliser les paramètres de base de ESET Endpoint Antivirus.
Comment utiliser les pages d'aide de ESET Endpoint Antivirus
Pour vous aider à vous orienter et vous donner plus de contexte, les rubriques d'aide sont subdivisées en chapitres
et sous-chapitres. Vous pouvez trouver de l'information apparentée en parcourant la structure des pages d'aide.
Pour en apprendre plus sur les fenêtres du programme, appuyez sur la touche F1. La page d'aide relative à la
fenêtre actuellement affichée s'ouvrira.
Vous pouvez effectuer des recherches dans les pages de l'Aide en saisissant des mots ou des phrases. La
différence entre ces deux méthodes est qu'un mot clé peut être associé à des pages d'aide qui ne contiennent pas
le mot clé précis dans le texte. La recherche de mots et de phrases fouillera le contenu de toutes les pages et
n'affichera que les pages contenant effectivement le mot ou la phrase en question.
Par souci de cohérence et afin d'éviter toute confusion, la terminologie utilisée dans ce guide est basée sur les
noms de paramètres de ESET Endpoint Antivirus. Nous avons également utilisé un ensemble uniforme de symboles
afin de mettre en évidence des sujets ayant une importance ou un intérêt particuliers.
REMARQUE
Une remarque est une courte observation. Bien qu'il soit possible de les ignorer, les remarques
offrent de précieux renseignements comme des caractéristiques spécifiques ou un lien vers un
sujet apparenté.
Important
Ce titre indique des renseignements qui réclament votre attention; il n'est pas recommandé de les
ignorer. Habituellement, ce titre indique des renseignements non essentiels, mais importants.
6
Avertissement
Ce titre indique des renseignements qui exigent une attention et des précautions
supplémentaires. Les avertissements sont placés spécialement pour vous dissuader de commettre
des erreurs potentiellement dangereuses. Veuillez lire et comprendre tout texte placé entre les
crochets d'avertissement, car il fait référence à des paramètres système très sensibles ou quelque
chose de risqué.
Exemple :
Il s'agit d'un cas d'utilisation ou d'un exemple pratique qui vise à vous aider à comprendre
comment une certaine fonction ou fonctionnalité peut être utilisée.
Convention
Signification
Texte en gras Noms d'éléments d'interface comme les boîtes ou les boutons d'options.
Texte en italiqueEspaces réservés pour les renseignements que vous fournissez. Par exemple, nom de fichier ou
chemin indique que vous devrez saisir les renseignements exacts de chemin ou de nom du
fichier.
Courier New
Exemples de code ou de commandes.
Lien hypertexte Fournit un accès rapide et facile aux références croisées ou aux emplacements Web externes. Les
hyperliens sont mis en évidence à l'aide de la couleur bleue et peuvent être soulignés.
%ProgramFiles%Le répertoire système Windows où les programmes installés sur Windows sont stockés.
Aide en ligne est la principale source de contenu d'aide. La version la plus récente de l'Aide en ligne s'affiche
automatiquement lorsque vous avez une connexion à Internet fonctionnelle.
Documentation pour les terminaux gérés à
distance
Les produits professionnels ESET ainsi que ESET Endpoint Antivirus peuvent être gérés à distance sur des postes
de travail clients, des serveurs et des périphériques mobiles dans un environnement en réseau à partir d'un
emplacement central. Les administrateurs système qui gèrent plus de 10 postes de travail clients peuvent
envisager de déployer l'un des outils de gestion à distance ESET pour déployer des solutions ESET, gérer des
tâches, appliquer des politiques de sécurité, surveiller l'état du système et réagir rapidement aux problèmes ou
aux menaces sur les ordinateurs distants à partir d'un emplacement central.
Outils de gestion à distance ESET
Il est possible de gérer ESET Endpoint Antivirus à distance en utilisant ESET Security Management Center ou ESET
PROTECT Cloud.
• Introduction à ESET Security Management Center
• Introduction à ESET PROTECT Cloud
Outils de gestion à distance tiers
• Surveillance et gestion à distance (RMM)
Meilleures pratiques
• Connectez tous les terminaux à l'aide de ESET Endpoint Antivirus à ESET Security Management Center
• Protégez les paramètres de configuration avancés sur les ordinateurs clients connectés pour éviter toute
modification non autorisée
• Appliquer une politique recommandée pour appliquer les fonctionnalités de sécurité disponibles
• Réduisez au minimum l'interface utilisateur pour réduire ou limiter les interactions de l'utilisateur avec ESET
7
Endpoint Antivirus
Guides pratiques
• Comment utiliser le mode prioritaire
• Comment effectuer le déploiement de ESET Endpoint Antivirus en utilisant GPO ou SCCM
Introduction à ESET Security Management Center
ESET Security Management Center vous permet de gérer les produits ESET sur des postes de travail, des serveurs
et des périphériques mobiles dans un environnement en réseau à partir d'un emplacement central.
ESET Security Management Center (ESMC) est une nouvelle génération de système de gestion à distance qui
diffère grandement des versions précédentes de ESET Remote Administrator (ERA). Puisque l'architecture est
complètement différente, ESET Security Management Center 7 n'est que partiellement compatible avec ERA 6 et il
n'existe pas de rétrocompatibilité avec ERA 5. Toutefois, la compatibilité avec les versions précédentes des
produits de sécurité ESET reste inchangée.
Pour déployer entièrement l'ensemble des solutions de sécurité ESET, les composants suivants doivent être
installés (sur les plateformes Windows ou Linux) :
• Serveur ESMC
• ESMC Console Web
• Agent ESET Management
Les composants suivants sont facultatifs. Nous en recommandons toutefois l'installation pour favoriser le
rendement maximal de l'application sur le réseau :
• Capteur RD
• Mandataire Apache HTTP
• Connecteur d'appareil mobile
À l'aide de la console Web de ESET Security Management Center (console Web de ESMC), vous pouvez déployer
des solutions ESET, gérer des tâches, appliquer des politiques de sécurité, surveiller l'état du système et réagir
rapidement aux problèmes ou aux menaces sur les ordinateurs distants.
Plus d'information
Pour plus de détails, consultez le guide d'utilisateur en ligne de ESET Security Management
Center.
Introduction à ESET PROTECT Cloud
ESET PROTECT Cloud vous permet de gérer des produits ESET sur des stations de travail et des serveurs dans un
environnement en réseau à partir d'un emplacement central sans avoir besoin d'avoir un serveur physique ou
virtuel comme c'est le cas avec ESMC. Grâce à la console Web d'ESET PROTECT Cloud, vous pouvez déployer les
solutions ESET, gérer des tâches, appliquer les politiques de sécurité, surveiller l'état du système et répondre
rapidement aux problèmes ou réagir aux menaces sur les ordinateurs à distance.
• Pour en savoir plus à ce sujet, consultez le guide d'utilisateur en ligne de ESET PROTECT Cloud
Paramètres protégés par mot de passe
Pour assurer une sécurité maximale à votre système, ESET Endpoint Antivirus doit être configuré correctement.
Toute modification ou tout paramètre non vérifié peut entraîner une diminution de la sécurité du client et de son
niveau de protection. Pour limiter l'accès des utilisateurs aux paramètres avancés, un administrateur peut protéger
8
les paramètres à l'aide d'un mot de passe.
L'administrateur peut créer une politique pour protéger à l'aide d'un mot de passe les paramètres de
configurations avancées de ESET Endpoint Antivirus sur les ordinateurs clients connectés. Pour créer une nouvelle
politique :
1.Dans la console Web d'ESMC, cliquez sur Politiques dans le menu principal de gauche.
2.Cliquez sur Nouvelle politique.
3.Nommez votre nouvelle politique et, éventuellement, donnez-lui une courte description. Cliquez sur le
bouton Continuer.
4.Dans la liste des produits, sélectionnez ESET Endpoint pour Windows.
5.Cliquez sur Interface utilisateur dans la liste des paramètres et développez Configuration de l'accès.
6.En fonction de la version de ESET Endpoint Antivirus, cliquez sur la barre de défilement pour activer
Paramètres protégés par mot de passe. Notez que les produits ESET Endpoint version 7 offrent une
protection renforcée. Si vous disposez à la fois de la version 7 et de la version 6 des produits Endpoint sur le
réseau, définissez un mot de passe différent pour chacun. La définition du mot de passe uniquement dans le
champ pour la version 6 est déconseillée, car cela réduirait la sécurité sur les produits Endpoint de la version
7.
7.Dans la fenêtre contextuelle, créez un nouveau mot de passe, confirmez-le et cliquez sur OK. Cliquez sur
Continuer.
8.Attribuer la politique aux clients. Cliquez sur Attribuer et sélectionnez les ordinateurs ou groupes
d'ordinateurs à protéger par mot de passe. Cliquez sur OK pour confirmer.
9.Vérifiez que tous les ordinateurs clients souhaités figurent dans la liste cible et cliquez sur Continuer.
10.Vérifiez les paramètres de stratégie dans le résumé et cliquez sur Terminer pour enregistrer la nouvelle
politique.
9
Qu'est-ce qu'une politique?
L'administrateur peut envoyer par poussée des configurations précises aux produits ESET exécutés sur les
ordinateurs clients à l'aide des politiques de la console Web ESMC. Une politique peut être appliquée directement à
des ordinateurs individuels ainsi qu'à des groupes d'ordinateurs. Vous pouvez également affecter plusieurs
politiques à un ordinateur ou à un groupe.
Un utilisateur doit disposer des autorisations suivantes pour créer une nouvelle politique : Lecture pour lire la liste
des politiques, Utilisation pour attribuer des politiques aux ordinateurs cibles et Écriture pour créer, modifier ou
changer des politiques.
Les politiques sont appliquées dans l'ordre dans lequel les groupes statiques sont organisés. Cela n'est pas le cas
pour les groupes dynamiques, où les politiques sont d'abord appliquées aux groupes dynamiques enfants. Cela
vous permet d'appliquer des politiques ayant un impact plus important sur le haut de l'arborescence des groupes
et d'appliquer des politiques plus précises aux sous-groupes. À l'aide de indicateurs, un utilisateur de ESET
Endpoint Antivirus disposant d'un accès à des groupes situés plus haut dans l'arborescence peut contourner les
politiques des groupes inférieurs. L'algorithme est expliqué dans l'Aide en ligne d'ESMC.
Attribuer des politiques plus génériques
Il est recommandé d'attribuer des politiques plus génériques (la politique de mise à jour du
serveur, par exemple) aux groupes de niveau supérieur dans l'arborescence des groupes. Des
politiques plus précises (par exemple, les paramètres de contrôle des appareils) doivent être
affectées plus bas dans l'arborescence des groupes. La politique de niveau inférieur remplace
généralement les paramètres des politiques de niveau supérieur lors de la fusion (à moins que des
indicateurs de politique n'aient été définis).
Fusion des politiques
Une politique appliquée à un client est généralement le résultat de plusieurs politiques fusionnées en une seule
politique finale. Lors de la fusion des politiques, la dernière politique remplace toujours les paramètres définis par
la précédente. Pour modifier ce comportement, vous pouvez utiliser les indicateurs de politique (disponibles pour
chaque paramètre).
Lors de la création de politiques, vous remarquerez que certains paramètres ont une règle supplémentaire
(remplacer/ajouter/annexer) que vous pouvez configurer.
• Remplacer : la liste entière est remplacée; de nouvelles valeurs sont ajoutées et toutes les précédentes
sont supprimées.
• Annexer : les éléments sont ajoutés au bas de la liste actuellement appliquée (ça doit être une autre
politique, la liste locale est toujours remplacée).
• Annexer : les éléments sont ajoutés au bas de la liste actuellement appliquée (il doit s'agir d'une autre
politique, la liste locale est toujours remplacée).
ESET Endpoint Antivirus prend en charge la fusion des paramètres locaux avec les politiques distantes d'une
nouvelle manière. Si le paramètre est une liste (par exemple une liste de sites Web bloqués) et que la politique
distante entre en conflit avec un paramètre local existant, la politique distante la remplace. Vous pouvez choisir
comment combiner des listes locales et distantes en sélectionnant les différentes règles de fusion pour :
•
Fusion des paramètres pour les politiques distantes
•
Fusion de politiques distantes et locales - paramètres locaux avec la politique distante résultante.
Pour en savoir plus sur la fusion de politiques, lisez le guide de l'utilisateur en ligne d'ESMC et consultez l'exemple.
Fonctionnement des indicateurs
La politique appliquée à un ordinateur client résulte généralement de la fusion de plusieurs politiques en une seule
10
politique finale. Lors de la fusion des politiques, vous pouvez ajuster le comportement attendu de la politique
finale, en fonction de l'ordre des politiques appliquées, en utilisant des indicateurs de politiques. Les drapeaux
définissent la manière dont la politique va gérer un paramètre précis.
Pour chaque paramètre, vous pouvez sélectionner l'un des indicateurs suivants :
Ne pas appliquer
Un paramètre associé à cet indicateur n'est pas défini par la politique. Le paramètre n'étant pas défini par la
politique, il peut être modifié par d'autres politiques appliquées ultérieurement.
Appliquer
Appliquer : les paramètres associés à l'indicateur Appliquer seront appliqués à l'ordinateur client. Toutefois,
lors de la fusion des politiques, ils peuvent être remplacés par d'autres politiques appliquées ultérieurement.
Lorsqu'une politique est envoyée à un ordinateur client contenant des paramètres marqués à l'aide de cet
indicateur, ces paramètres modifient la configuration locale de l'ordinateur client. Les paramètres n'étant pas
forcés, ils peuvent toujours être modifiés par d'autres politiques appliquées ultérieurement.
Forcer
Forcer : les paramètres avec l'indicateur Forcer ont la priorité et ne peuvent pas être remplacés par une
politique appliquée ultérieurement (même si elle comporte également un indicateur Forcer). Cela garantit
que les autres politiques appliquées ultérieurement ne pourront pas modifier ce paramètre lors de la fusion.
Lorsqu'une politique est envoyée à un ordinateur client contenant des paramètres marqués à l'aide de cet
indicateur, ces paramètres modifient la configuration locale de l'ordinateur client.
EXEMPLE : Autoriser les utilisateurs à afficher toutes les politiques
Scenario: l'administrateur veut autoriser l'utilisateur John à créer ou à modifier des politiques
dans son groupe d'accueil et à voir toutes les politiques créées par l'administrateur, y compris les
politiques marquées à l'aide de l'indicateur
Forcer. L'administrateur veut que John soit capable
d'afficher toute les politiques, mais sans pouvoir modifier les politiques existantes crées par
l'administrateur. John peut seulement modifier ou créer des politiques dans son groupe d'accueil,
San Diego.
Solution. L'administrateur doit procéder comme suit :
créer des groupes statiques personnalisés et des jeux d'autorisations
1.Il doit créer un groupe statique appelé San Diego.
2.Il doit créer un jeu d'autorisations appelé Politique - Tous John avec un accès au groupe statique
Tous et une autorisation Lecture pour Politiques.
3.Il doit créer un jeu d'autorisations appelé Politique John avec un accès au groupe statique San
Diego et une autorisation Écrire pour Groupe et ordinateurs et Politiques. Ce jeu
d'autorisations permet à John de créer ou de modifier des politiques dans son groupe d'accueil,
San Diego.
4.Il doit créer l'utilisateur John et sélectionner dans la section Jeux d’autorisations Politique Tous John et Politique John.
Créer les politiques
5.Il doit créer la politique Tous- Activer le pare-feu, développer la section Paramètres,
sélectionner ESET Endpoint pour Windows, accéder à Pare-feu personnel > Général et
appliquer tous les paramètres à l'aide de l'indicateur Forcer. Développez la section Affecter et
sélectionnez le groupe statique Tous.
6.Il doit créer la politique Groupe de John - Activer le pare-feu, développer la section Paramètres,
sélectionner ESET Endpoint pour Windows, accéder à Pare-feu personnel > Général et
appliquer tous les paramètres à l'aide de l'indicateur
Appliquer. Développez la section
Affecter et sélectionnez le groupe statique San Diego.
Résultat
Les politiques créées par l'administrateur seront appliquées en premier, car
l'indicateur Forcer
a été appliqué aux paramètres de la politique. Les paramètres sur lesquels l'indicateur Forcer est
appliqué sont prioritaires et ne peuvent pas être remplacés par une autre politique appliquée
ultérieurement. Les politiques créées par l'utilisateur John seront appliquées après les politiques
créées par l'administrateur.
Pour afficher l'ordre final des politiques, accédez à Plus > Groupes > San Diego. Cliquez sur
l'ordinateur et sélectionnez Afficher les détails. Dans la section Configuration, cliquez sur
Appliquer les politiques.
Utilisation de ESET Endpoint Antivirus tout seul
Cette section et la section Travailler avec ESET Endpoint Antivirus du guide de l'utilisateur est destinée aux
personnes qui utilisent ESET Endpoint Antivirus sans ESET Security Management Center ou ESET PROTECT Cloud.
Chaque fonctionnalité de ESET Endpoint Antivirus est entièrement accessible selon les droits du compte utilisateur.
11
Méthode d'installation
Il existe plusieurs méthodes d'installation de ESET Endpoint Antivirus version 7.x sur un poste de travail client, sauf
si vous déployez ESET Endpoint Antivirus à distance sur des postes de travail clients à l'aide de ESET Security
Management Center ou de ESET PROTECT Cloud.
• Cliquez ici si vous souhaitez installer ou mettre à niveau ESET Endpoint Antivirus vers la version 6.6.x
Méthodes
Objectif
Installation avec ESET AV Remover
L'outil ESET AV Remover vous aidera à supprimer presque tous les
Télécharger la version 64 bits
logiciels antivirus déjà installés sur votre système avant d'effectuer
Télécharger la version 32 bits
l'installation.
Lien pour le téléchargement
Installation (.exe)
Processus d'installation sans ESET AV Remover.
N/A
Installation (.msi)
Dans les environnements professionnels, le programme
d'installation .msi est le paquet d'installation préféré. Cela est
principalement dû aux déploiements hors ligne et à distance qui
utilisent divers outils tels que ESET Security Management Center.
Télécharger la version 64 bits
Télécharger la version 32 bits
Installation par ligne de commande
ESET Endpoint Antivirus peut être installé localement à l'aide d'une
ligne de commande ou à distance à l'aide d'une tâche client à partir N/A
de ESET Security Management Center.
Déploiement à l'aide de GPO ou de
SCCM
Utilisez des outils de gestion tels que GPO ou SCCM pour déployer
ESET Management Agent et ESET Endpoint Antivirus sur des
stations de travail clients.
N/A
Déploiement à l'aide d'outils RMM
Les plugiciels ESET DEM pour l'outil de gestion et de surveillance à
distance (RMM) vous permettent de déployer ESET Endpoint
Antivirus sur des postes de travail clients.
N/A
ESET Endpoint Antivirus est disponible dans plus de 30 langues.
Installation avec ESET AV Remover
Avant de poursuivre le processus d'installation, il est important que vous désinstalliez toute application de sécurité
déjà existante sur l'ordinateur. Sélectionnez la case à cocher située à côté de Je veux désinstaller les
applications antivirus non désirées à l'aide d'ESET AV Remover pour qu'ESET AV Remover analyse votre
système et supprime toute application de sécurité prise en charge. Laissez la case à cocher vide et cliquez sur
Continuer pour installer ESET Endpoint Antivirus sans exécuter ESET AV Remover.
ESET AV Remover
L'outil ESET AV Remover vous aidera à supprimer presque tous les logiciels antivirus déjà installés sur votre
système. Suivez les instructions ci-dessous pour supprimer un programme antivirus à l'aide d'ESET AV Remover :
12
1.Pour afficher la liste des logiciels antivirus qu'il est possible de supprimer à l'aide d'ESET AV Remover,
consultez l'article sur la Base de connaissances ESET.
2.Veuillez lire le Contrat de licence pour l'utilisateur final, puis cliquez sur Accepter pour confirmer votre
acceptation du Contrat de licence d'utilisation. En cliquant sur Refuser, l'installation de ESET Endpoint
Antivirus se poursuivra sans que ne soit supprimée l'application de sécurité déjà existante sur l'ordinateur.
3.ESET AV Remover lancera la recherche de logiciels antivirus sur votre système.
4.Sélectionnez une application antivirus et cliquez sur Supprimer. La suppression peut prendre un certain
temps.
13
5.Une fois la suppression réussie, cliquez sur Continuer.
6.Redémarrez votre ordinateur pour appliquer les modifications et poursuivez l'installation de ESET Endpoint
Antivirus. Si la désinstallation a échoué, consultez la section Erreur lors de la désinstallation à l'aide d'ESET AV
Remover de ce guide.
14
Erreur lors de la désinstallation à l'aide d'ESET AV Remover.
Si vous êtes incapable de supprimer un programme antivirus à l'aide d'ESET AV Remover, vous recevrez une
notification vous informant que l'application que vous tentez de supprimer puisse ne pas être pris en charge par
ESET AV Remover. Consultez la liste des produits pris en charge ou désinstallateurs pour les logiciels antivirus sous
Windows dans la Base de connaissances ESET pour vérifier s'il est possible de supprimer le programme en
question.
Lors de l'échec de la désinstallation d'un produit de sécurité ou de la désinstallation partielle de certains de ses
composants, vous recevez l'invite Redémarrer et analyser de nouveau. Confirmez l'UAC après le démarrage et
poursuivez le processus d'analyse et de désinstallation.
Au besoin, contacter le service d'assistance technique d'ESET pour initier une demande d'aide et obtenir le fichier
AppRemover.log disponible afin de faciliter le travail des techniciens ESET. Le fichier AppRemover.log se
trouve dans le dossier eset. À partir de Windows Explorer, allez à %TEMP% pour accéder à ce dossier. Le service
d'assistance technique d'ESET vous répondra le plus rapidement possible pour vous aider à résoudre le problème.
Installation (.exe)
Une fois le programme d'installation .exe lancé, l'Assistant d'installation vous guidera tout au long du processus
d'installation.
Important
Assurez-vous qu'aucun autre programme antivirus n'est installé sur votre ordinateur. Si plusieurs
solutions antivirus sont installées sur un même ordinateur, elles peuvent entrer en conflit. Nous
recommandons de désinstaller tout autre antivirus de votre système. Voir notre article sur la base
de connaissances pour une liste des outils de désinstallation pour les logiciels antivirus communs
(disponible en anglais et dans plusieurs autres langues).
15
1.Lisez le Contrat de licence d'utilisateur final qui s'affiche. Ensuite, cliquez sur J'accepte pour confirmer votre
acceptation du Contrat de licence d'utilisateur final. Cliquez sur Suivant après avoir accepté les conditions
pour poursuivre l'installation.
2.Choisissez ou non d' activer le système de rétroaction de ESET LiveGrid®. ESET LiveGrid® veille à ce qu'ESET
soit immédiatement et continuellement informé de toutes les nouvelles infiltrations, ce qui nous permet de
mieux protéger nos clients. Le système permet de soumettre de nouvelles menaces à ESET Virus Lab où elles
seront alors analysées, traitées puis ajoutées au moteur de détection.
3.L'étape suivante de l'installation est la configuration de la détection des applications potentiellement
indésirables. Consultez le chapitre Applications potentiellement indésirables pour plus de détails.
16
Vous pouvez installer ESET Endpoint Antivirus dans un dossier spécifique en cliquant sur Changer de dossier
d'installation.
5.La dernière étape consiste à confirmer l'installation en cliquant sur Installer. Une fois l'installation terminée,
vous serez invité à activer ESET Endpoint Antivirus.
Modifier le dossier d'installation (.exe)
Après avoir sélectionné votre préférence pour la détection des applications potentiellement indésirables, cliquez
sur Modifier le dossier d'installation pour recevoir une invite à sélectionner un emplacement pour le dossier
d'installation du produit ESET Endpoint Antivirus. Le programme s'installe, par défaut, dans le répertoire suivant :
C:\Program Files\ESET\ESET Security\
Vous pouvez indiquer un emplacement pour les modules et données du programme. Ils sont, par défaut, installés
respectivement dans les répertoires suivants :
C:\Program Files\ESET\ESET Security\Modules\
C:\ProgramData\ESET\ESET Security\
Cliquez sur Parcourir pour changer cette destination (cette option n'est pas recommandée).
17
Cliquez sur Continuer, puis sur Installer pour démarrer l'installation.
Installation (.msi)
Une fois le programme d'installation .msi lancé, l'Assistant d'installation vous guidera tout au long du processus
d'installation.
Objectif du programme d'installation .msi
Dans les environnements professionnels, le programme d'installation .msi est le paquet
d'installation préféré. Cela est principalement dû aux déploiements hors ligne et à distance qui
utilisent divers outils tels que ESET Security Management Center.
Important
Assurez-vous qu'aucun autre programme antivirus n'est installé sur votre ordinateur. Si plusieurs
solutions antivirus sont installées sur un même ordinateur, elles peuvent entrer en conflit. Nous
recommandons de désinstaller tout autre antivirus de votre système. Voir notre article sur la base
de connaissances pour une liste des outils de désinstallation pour les logiciels antivirus communs
(disponible en anglais et dans plusieurs autres langues).
1.Sélectionnez la langue souhaitée et cliquez sur Suivant.
18
2.Lisez le Contrat de licence d'utilisateur final. Ensuite, cliquez sur J'accepte les conditions du contrat pour
confirmer votre acceptation du Contrat de licence d'utilisateur final. Cliquez sur Suivant après avoir accepté
les conditions pour poursuivre l'installation.
3.Choisissez ou non d' activer le système de rétroaction de ESET LiveGrid®. ESET LiveGrid® veille à ce qu'ESET
soit immédiatement et continuellement informé de toutes les nouvelles infiltrations, ce qui nous permet de
mieux protéger nos clients. Le système permet de soumettre de nouvelles menaces à ESET Virus Lab où elles
seront alors analysées, traitées puis ajoutées au moteur de détection.
19
4.L'étape suivante de l'installation est la configuration de la détection des applications potentiellement
indésirables. Consultez le chapitre Applications potentiellement indésirables pour plus de détails.
Cliquez sur Paramètres avancés si vous souhaitez continuer avec Installation avancée (.msi).
5.La dernière étape consiste à confirmer l'installation en cliquant sur Installer. Une fois l'installation terminée,
vous serez invité à activer ESET Endpoint Antivirus.
Installation avancée (.msi)
L'installation avancée vous permet de personnaliser un certain nombre de paramètres d'installation qui ne sont
pas disponibles lors d'une installation typique.
5.Après avoir sélectionné votre préférence pour la détection des applications potentiellement indésirables,
cliquez sur Paramètres avancés pour recevoir une invite à sélectionner un emplacement pour le dossier
d'installation de ESET Endpoint Antivirus. Le programme s'installe, par défaut, dans le répertoire suivant :
C:\Program Files\ESET\ESET Security\
20
Vous pouvez indiquer un emplacement pour les modules et données du programme. Ils sont, par défaut, installés
respectivement dans les répertoires suivants :
C:\Program Files\ESET\ESET Security\Modules\
C:\ProgramData\ESET\ESET Security\
Cliquez sur Parcourir pour changer cette destination (cette option n'est pas recommandée).
7.La dernière étape consiste à confirmer l'installation en cliquant sur Installer.
Installation par ligne de commande
Vous pouvez installer ESET Endpoint Antivirus localement à l'aide de la ligne de commande ou à distance à l'aide
d'une tâche client à partir de ESET Security Management Center.
Paramètres pris en charge
APPDIR=<path>
• Path - chemin de répertoire valide
• Répertoire d'installation de l'application.
APPDATADIR=<path>
• Path - chemin de répertoire valide
• Répertoire d'installation des données de l'application.
MODULEDIR=<path>
• Path - chemin de répertoire valide
• Répertoire d'installation du module.
ADDLOCAL=<list>
• Installation du composant - liste des fonctions non-obligatoires à installer localement.
• Utilisation avec les paquets .msi ESET : ees_nt64_ENU.msi /qn ADDLOCAL=<list>
21
• Pour en savoir plus sur la propriété ADDLOCAL, voir
http://msdn.microsoft.com/en-us/library/aa367536%28v=vs.85%29.aspx
ADDEXCLUDE=<list>
• La liste ADDEXCLUDE est une liste séparée par des virgules de tous les noms de fonctions à ne pas
installer; elle remplace REMOVE qui est maintenant obsolète.
• Lorsque vous sélectionnez une fonctionnalité à ne pas installer, l'ensemble du chemin (c'est-à-dire toutes
ses sous-fonctionnalités) et les fonctionnalités invisibles associées doivent être explicitement inclus dans la
liste.
• Utilisation avec les paquets .msi ESET : ees_nt64_enu.msi /qn ADDEXCLUDE=Firewall,Network
REMARQUE
ADDEXCLUDE ne peut pas être utilisé avec ADDLOCAL.
Consultez la documentation pour connaître la version de msiexec utilisée pour les commutateurs de ligne de
commande appropriés.
Règles
• La liste ADDLOCAL list est une liste séparée par des virgules contenant le nom de toutes les
fonctionnalités à installer.
• Lors de la sélection d'une fonctionnalité à installer, le chemin complet (toutes les fonctionnalités parentes)
doit être explicitement inclus dans la liste.
• Voir les règles supplémentaires pour bien l'utiliser.
Composants et fonctionnalités
REMARQUE
L'installation d'un composant à l'aide des paramètres ADDLOCAL/ADDEXCLUDE ne fonctionnera
pas avec ESET Endpoint Antivirus.
Les fonctionnalités sont divisées en 4 catégories :
• Obligatoire - la fonctionnalité sera toujours installée.
• Facultatif – la fonctionnalité peut être désélectionnée afin qu'elle ne soit pas installée.
• Invisible - La fonctionnalité logique est obligatoire pour le bon fonctionnement des autres fonctionnalités
• Paramètre fictif - La fonctionnalité est présente sans avoir aucun effet sur le produit, mais doit être listée
avec les sous-fonctionnalités
Les fonctionnalités de ESET Endpoint Antivirus sont les suivantes :
Description
Nom de la fonctionnalité Parent de la fonctionnalité Présence
Composants du programme de base
Computer
Moteur de détection
Antivirus
Computer
Obligatoire
Moteur de détection/Analyse de logiciels
malveillants
Scan
Computer
Obligatoire
Moteur de détection/Protection en temps
réel du système de fichiers
RealtimeProtection
Computer
Obligatoire
Moteur de détection/Analyse de logiciels
malveillants/Protection des documents
DocumentProtection
Antivirus
Facultative
22
Paramètre fictif
Contrôle de périphériques
DeviceControl
Computer
Facultative
Protection du réseau
Network
Protection du réseau/Pare-feu
Firewall
Network
Facultative
Protection du réseau/ Protection contre les
attaques réseau/...
IdsAndBotnetProtection Network
Facultative
Web et courriel
WebAndEmail
Paramètre fictif
Web et courriel/Filtrage des protocoles
ProtocolFiltering
WebAndEmail
Invisible
Web et courriel/Protection de l'accès Web
WebAccessProtection
WebAndEmail
Facultative
Web et courriel/Protection des clients de
messagerie
EmailClientProtection
WebAndEmail
Facultative
Web et courriel/Protection des clients de
messagerie/Clients de messagerie
MailPlugins
EmailClientProtection
Invisible
Web et courriel/Protection du client de
messagerie/Protection antipourriel
Antispam
EmailClientProtection
Facultative
Web et courriel/Contrôle Web
WebControl
WebAndEmail
Facultative
Outils/ESET RMM
Rmm
Facultative
Mise à jour/Profils/Miroir de mise à jour
UpdateMirror
Facultative
Plugiciel de ESET Enterprise Inspector
EnterpriseInspector
Invisible
Paramètre fictif
Ensemble de fonctionnalités de groupe :
Description
Nom de la fonctionnalité Présence de la fonctionnalité
Toutes les fonctionnalités obligatoires _Base
Invisible
Toutes les fonctionnalités disponibles ALL
Invisible
Règles supplémentaires
• Si l'une des fonctionnalités de WebAndEmail est sélectionnée pour l'installation, la fonctionnalité invisible
ProtocolFiltering doit être incluse dans la liste.
• Les noms de toutes les fonctionnalités sont sensibles à la casse, par exemple UpdateMirror n'est pas égal à
UPDATEMIRROR.
Liste des propriétés de configuration
Propriété
Valeur
Fonctionnalité
CFG_POTENTIALLYUNWANTED_ENABLED=
0 - Désactivé
1 - Activé
Détection d'applications potentiellement
indésirables (PUA)
CFG_LIVEGRID_ENABLED=
Voir ci-dessous
Voir la propriété de LiveGrid ci-dessous
FIRSTSCAN_ENABLE=
0 - Désactivé
1 - Activé
Planifiez et exécutez une analyse de l'ordinateur
après l'installation
CFG_PROXY_ENABLED=
0 - Désactivé
1 - Activé
Paramètres du serveur mandataire
CFG_PROXY_ADDRESS=
<ip>
Adresse IP du serveur mandataire
CFG_PROXY_PORT=
<port>
Numéro de port du serveur mandataire
CFG_PROXY_USERNAME=
<nom d'utilisateur> Nom d'utilisateur pour fins d'authentification
CFG_PROXY_PASSWORD=
<mot de passe>
Mot de passe pour l'authentification
ACTIVATION_DATA=
Voir ci-dessous
Activation du produit, clé de licence ou fichier de
licence hors connexion
ACTIVATION_DLG_SUPPRESS=
0 - Désactivé
1 - Activé
Lorsque cette option est mise sur « 1 », la boîte
de dialogue d'activation du produit ne s'affiche
pas après le premier démarrage
ADMINCFG=
<path>
Chemin d'accès à la configuration XML exportée
(valeur par défaut cfg.xml)
23
LiveGrid® propriété
Lors de l'installation de ESET Endpoint Antivirus avec CFG_LIVEGRID_ENABLED, le comportement du produit
après l'installation sera le suivant :
Fonctionnalité
CFG_LIVEGRID_ENABLED=0 CFG_LIVEGRID_ENABLED=1
Système de réputation d\'ESET LiveGrid®
Activé
Activé
Système de rétroaction ESET LiveGrid®
Désactivé
Activé
Envoyer des données statistiques anonymes Désactivé
Activé
ACTIVATION_DATA property
Format
Méthodes
ACTIVATION_DATA=key:AAAA-BBBB-CCCC-DDDD-EEEE
Activation à l'aide de la clé de licence
ESET (la connexion Internet doit être
active)
ACTIVATION_DATA=offline:C:\ProgramData\ESET\ESET Security\license.lf
Activation à l'aide d'un fichier de licence
hors ligne
Propriétés de langue
Langue de ESET Endpoint Antivirus (vous devez préciser les deux propriétés).
Propriété
Valeur
PRODUCT_LANG=
Décimal LCID (ID de paramètres régionaux), par exemple 1033 pour l'anglais
(États-Unis), voir la liste des codes de langue.
PRODUCT_LANG_CODE=
Chaîne LCID (Language Culture Name) en minuscules, par exemple en-us
pour l'anglais - États-Unis, voir la liste des codes de langue.
Exemples d'installation à l'aide de la ligne de commande
Important
Assurez-vous de lire le Contrat de licence utilisateur final et de disposer des privilèges
d'administrateur avant d'exécuter l'installation.
Exemple :
Excluez la section NetworkProtection de l'installation (vous devez également spécifier toutes les
fonctionnalités enfants) :
msiexec /qn /i ees_nt64.msi ADDEXCLUDE=Network,Firewall,IdsAndBotnetProtection
Exemple :
Si vous souhaitez que votre ESET Endpoint Antivirus soit configuré automatiquement après
l'installation, vous pouvez spécifier des paramètres de configuration de base dans la commande
d'installation.
Installez ESET Endpoint Antivirus avec ESET LiveGrid® activé :
msiexec /qn /i ees_nt64.msi CFG_LIVEGRID_ENABLED=1
Exemple :
Faites l'installation dans un répertoire d'installation d'application différent de celui par défaut.
msiexec /qn /i ees_nt64_enu.msi APPDIR=C:\ESET\
24
Exemple :
Installez et activez ESET Endpoint Antivirus avec votre clé de licence ESET.
msiexec /qn /i ees_nt64_enu.msi ACTIVATION_DATA=key:AAAA-BBBB-CCCC-DDDD-EEEE
Exemple :
Installation silencieuse avec journalisation détaillée (utile pour le dépannage), et RMM uniquement
avec les composants obligatoires :
msiexec /qn /i ees_nt64.msi /l*xv msi.log ADDLOCAL=_Base,Rmm
Exemple :
Installation complète silencieuse forcée avec une langue spécifiée.
msiexec /qn /i ees_nt64.msi ADDLOCAL=ALL PRODUCT_LANG=1033 PRODUCT_LANG_CODE=en-us
Options de ligne de commande post-installation
• ESET CMD – importer un fichier de configuration .xml ou activer/désactiver une fonction de sécurité
• Analyseur de ligne de commande – lancer une analyse de l'ordinateur à partir de la ligne de commande
Déploiement à l'aide de GPO ou de SCCM
En plus d'installer ESET Endpoint Antivirus directement sur un poste de travail client ou de déployer à distance à
l'aide d'une tâche serveur dans ESMC, vous pouvez également l'installer à l'aide d'outils de gestion tels qu'Objet de
politique de groupe (GPO), Software Center Configuration Manager (SCCM), Symantec Altiris ou Puppet.
Géré (recommandé)
Pour les ordinateurs gérés, nous installons d'abord l'Agent ESET Management, puis nous déployons ESET Endpoint
Antivirus à l'aide de ESET Security Management Center (ESMC). ESMC doit être installé sur votre réseau.
1.Téléchargez le programme d'installation autonome pour l'Agent ESET Management.
2.Préparez le script de déploiement à distance GPO/SCCM.
3.Déployez l'Agent ESET Management en utilisant GPO ou SCCM.
4.Assurez-vous que les ordinateurs clients ont été ajoutés à ESMC.
5.Déployez et activez ESET Endpoint Antivirus sur vos ordinateurs clients.
Instructions illustrées
Les articles suivants de la base de connaissances ESET peuvent n'être disponibles qu'en anglais :
• Déployer ESET Management Agent à l'aide de SCCM ou de GPO (7.x)
• Déployer ESET Management Agent en utilisant un objet de stratégie de groupe (GPO)
˄˅
Mise à niveau à une version plus récente
Les nouvelles versions de ESET Endpoint Antivirus sont diffusées afin d'apporter des améliorations ou de corriger
des problèmes qui ne peuvent être réglés par la mise à jour automatique des modules du programme. La mise à
niveau à une version plus récente peut être effectuée de plusieurs façons :
25
1.Automatiquement en utilisant ESET Security Management Center, ESET Remote Administrator (produits ESET
Endpoint version 6.x uniquement) ou ESET PROTECT Cloud.
2.manuellement, en téléchargeant la mise à niveau et en installant une version plus récente par-dessus
l'installation antérieure.
Scénarios de mise à niveau recommandés
Mise à niveau à distance
Si vous gérez plus de 10 produits ESET Endpoint, envisagez de gérer les mises à niveau à l'aide d'ESET Security
Management Center ou d'ESET PROTECT Cloud , veuillez vous référer à la documentation suivante :
• ESET Security Management Center | Construction et dimensionnement des infrastructures
• ESET Remote Administrator | Mise à niveau, migration et procédures de réinstallation
• ESET Security Management Center | Mise à niveau, migration et procédures de réinstallation
• Présentation de ESET PROTECT Cloud
Mise à niveau manuelle sur une station de travail client
Si vous prévoyez d'effectuer manuellement les mises à niveau sur des station de travail clients individuels :
1.Vérifiez d'abord les conditions préalables à la mise à niveau de ESET Endpoint Antivirus :
Mettre à niveau à partir
Mettre à niveau vers
de
Configuration requise pour la mise à niveau
6.x
7.x
• Aucune configuration requise
• Remarque : ESET Endpoint Antivirus version 7 ne peut pas être géré par ESET Remote Administrator
6.x
6.6.x
• Aucune configuration requise
5.x
7.x
• Assurez-vous que votre système d'exploitation est pris en charge. Par exemple, Windows XP n'est pas pris en
charge pour la version 7.
• Vérifiez si vos versions des produits de ESET Endpoint prennent en charge la mise à niveau à partir de la version
5.x.
4.x
7.x
• Assurez-vous que votre système d'exploitation est pris en charge.
• Désinstallez ESET NOD32 Antivirus Business Edition ou ESET Smart Security Business Edition. N'installez pas la
version 7 sur une version 4.x.
2.Téléchargez et installez une version plus récente par rapport à la précédente.
Problèmes courants d'installation
Si des problèmes surviennent pendant l'installation, veuillez consulter notre liste d'erreurs courantes lors de
l'installation et résolutions pour trouver une solution à votre problème.
Échec de l'activation
Dans le cas où l'activation de ESET Endpoint Antivirus échoue, les scénarios les plus courants sont :
• La clé de licence est déjà en cours d'utilisation.
• La clé de licence est non valide. Erreur du formulaire d'activation du produit
• Des informations supplémentaires nécessaires à l'activation sont manquantes ou invalides
• Échec de la communication avec la base de données d'activation. Veuillez réessayer dans 15 minutes
• Aucune connexion ou connexion désactivée aux serveurs d'activation ESET
Assurez-vous d'avoir entré la clé de licence appropriée ou joint une licence hors ligne, puis essayez de l'activer à
nouveau.
26
Si vous ne parvenez pas à l'activer, notre trousse de bienvenue vous guidera à l'aide des réponses aux questions
courantes, aux erreurs, aux problèmes d'activation et aux questions sur les licences (disponible en anglais et dans
plusieurs autres langues).
• Démarrer le dépannage de l'activation du produit ESET
Activer votre produit
Une fois l'installation terminée, vous serez invité à activer votre produit.
Sélectionnez l'une des méthodes offertes pour activer ESET Endpoint Antivirus. Voir Comment activer ESET
Endpoint Antivirus pour plus d'informations.
Analyse de l'ordinateur
En plus de l'analyse initiale, nous vous recommandons d'effectuer des analyses régulières de votre ordinateur ou
de planifier une analyse régulière pour vérifier les menaces. Dans la fenêtre principale du programme, cliquez sur
Analyse de l'ordinateur puis sur Analyse intelligente. Pour plus d'information sur l'analyse de l'ordinateur,
consultez la section Analyse de l'ordinateur.
Guide du débutant
Cette rubrique présente un aperçu initial de ESET Endpoint Antivirus et de ses paramètres de base.
L'interface utilisateur
La fenêtre principale de ESET Endpoint Antivirus est divisée en deux sections principales. La fenêtre principale, du
côté droit, affiche l'information qui correspond à l'option sélectionnée à partir du menu principal de gauche.
Voici une description des options disponibles dans le menu principal :
27
État de la protection - Donne de l'information sur l'état de protection de ESET Endpoint Antivirus.
Analyse de l'ordinateur - Permet de configurer et de démarrer l'Analyse intelligente, l'Analyse personnalisée, ou
l'Analyse des supports amovibles. Vous pouvez aussi répéter la dernière analyse exécutée.
Mise à jour - Affiche l'information sur le moteur de détection et permet de vérifier les mises à jour manuellement.
Configuration - Sélectionnez cette option pour régler les paramètres de sécurité ou Web et messagerie de votre
ordinateur.
Outils - Donne accès aux fichiers journaux, aux statistiques sur la protection, à la surveillance de l'activité, aux
processus en cours d'exécution, au planificateur, à la mise en quarantaine,, à ESET SysInspector et à ESET
SysRescue pour créer un disque de secours. Vous pouvez aussi soumettre un échantillon pour analyse.
Aide et assistance - Donne accès aux fichiers d'aide de la base de connaissances ESET et au site Web de
l'entreprise ESET. Des liens pour ouvrir une demande d'assistance technique ainsi que des outils de soutien et
d'informations sur l'activation du produit sont également disponibles.
L'écran État de la protection vous informe du niveau actuel de sécurité et de protection de l'ordinateur. L'état
vert Protection maximale indique que la protection maximale est assurée.
La fenêtre d'état affiche également des liens rapides vers les fonctions fréquemment utilisées dans ESET Endpoint
Antivirus et des informations sur la dernière mise à jour.
Que faire lorsque le programme ne fonctionne pas correctement?
Une coche verte sera affichée à côté de tous les modules de programme entièrement fonctionnels. Un point
d'exclamation rouge ou une icône de notification orange s'affiche si un module a besoin d'attention. Des
informations supplémentaires sur le module, y compris nos recommandations sur la façon de restaurer les
fonctionnalités complètes, sont affichées dans la partie supérieure de la fenêtre. Pour changer l'état d'un module,
cliquez sur Configuration dans le menu principal puis sur le module souhaité.
28
L'icône de point d'exclamation rouge (!) indique que la protection maximale de votre ordinateur n'est
pas assurée. Vous pouvez rencontrer ce type de notification dans les scénarios suivants :
• La protection antivirus et anti-logiciel espion est suspendue - Cliquez sur Démarrer tous les
modules de protection antivirus et anti-logiciel espion pour réactiver la protection antivirus et anti-logiciel
espion dans le volet État de la protection ou Activer la protection antivirus et anti-logiciel espion dans
le volet Configuration de la fenêtre principale du programme.
• La protection antivirus ne fonctionne pas - Échec de l'initialisation de l'analyseur de virus. La plupart des
modules de ESET Endpoint Antivirus ne fonctionneront pas correctement.
• La protection anti-hameçonnage ne fonctionne pas - Cette fonctionnalité ne marche pas car les autres
modules requis du programme ne sont pas actifs.
• Le moteur de détection n'est plus à jour - Cette erreur apparaît après plusieurs tentatives infructueuses
de mise à jour du moteur de détection (anciennement appelée base de données des signatures de virus). Nous
recommandons de vérifier les paramètres de mise à jour. La cause la plus courante de cette erreur est une
entrée incorrecte des données d'authentification ou une configuration incorrecte des paramètres de connexion.
• Produit non activé ou Licence expirée - Ce problème est signalé par une icône d'état de la protection
rouge. Une fois votre licence expirée, le programme ne pourra plus effectuer de mise à jour. Suivez les
instructions indiquées dans la fenêtre d'alerte pour renouveler votre licence.
• Le Host Intrusion Prevention System (HIPS) est désactivé - Ce problème survient lorsque HIPS est
désactivé dans la configuration avancée. Votre ordinateur n'est pas protégé contre certains types de menaces et
la protection doit être réactivée immédiatement en cliquant sur Activer HIPS.
• ESET LiveGrid® est désactivé - Ce problème survient lorsque ESET LiveGrid® est désactivé dans la
configuration avancée.
• Aucune mise à jour régulière planifiée - ESET Endpoint Antivirus ne vérifiera pas la disponibilité des mises
à jour ou ne recevra pas les mises à jour importantes à moins que vous ne programmiez la tâche de mise à jour.
29
• Anti-programme furtif est désactivé - Cliquez sur Activer l'anti-programme furtif pour activer cette
fonctionnalité.
• Accès réseau bloqué - S'affiche lorsque la tâche client Isoler l'ordinateur du réseau de ce poste de travail
de ESMC est déclenchée. Contactez votre administrateur système pour plus d'informations.
• Protection du système de fichiers en temps réel suspendue - La protection en temps réel a été
désactivée par l'utilisateur. Votre ordinateur n'est pas protégé contre les menaces. Cliquez sur Activer la
protection en temps réel pour réactiver cette fonctionnalité.
Le « i » orange indique que votre produit ESET nécessite une attention pour un problème non critique.
Les raisons possibles sont :
• Protection de l'accès Web désactivée - Vous pouvez réactiver la protection de l'accès Web en cliquant
sur la notification de sécurité, puis en sélectionnant Activer la protection de l'accès Web.
• Votre licence expirera bientôt - Pour vous le signaler, l'icône d'état de la protection affiche un point
d'exclamation. Une fois votre licence expirée, le programme ne pourra plus se mettre à jour et l'icône de
l'état de protection du logiciel deviendra rouge.
• La protection contre les pourriels est suspendue - Cliquez sur Activer la protection contre les
pourriels pour réactiver cette fonctionnalité.
• Le contrôle Web est suspendu - Cliquez sur Activer le contrôle Web pour réactiver cette
fonctionnalité.
• Priorité sur la politique active - La configuration définie par la politique est temporairement ignorée,
peut-être jusqu'à ce que le dépannage soit terminé. Seul un utilisateur autorisé peut ignorer les paramètres
de politique. Pour plus d'information, consultez la rubrique Comment utiliser le mode prioritaire.
• Le contrôle du périphérique est suspendu - Cliquez sur Activer le contrôle du périphérique pour
réactiver cette fonctionnalité.
Pour ajuster les états de visibilité des produits dans le premier volet de ESET Endpoint Antivirus, consultez la
rubrique États de l'application.
S'il vous est impossible de régler un problème à l'aide des solutions suggérées, cliquez sur Aide et assistance
pour accéder aux fichiers d'aide ou effectuez une recherche dans la base de connaissances d'ESET. Pour obtenir
plus d'assistance, vous pouvez envoyer une demande au service d'assistance technique d'ESET. Le service
d'assistance technique d'ESET répondra rapidement à vos questions et essaiera de trouver une solution à votre
problème.
REMARQUE
Si un état appartient à une fonctionnalité qui est bloquée par la politique ESMC, le lien ne sera pas
cliquable.
Configuration des mises à jour
La mise à jour des modules est une partie importante de la protection complète contre les codes malveillants. Il
faut donc accorder une grande attention à la configuration et au fonctionnement de la mise à jour. À partir du
menu principal, sélectionnez Mettre à jour puis cliquez sur Vérifier les mis à jour pour vérifier si une mise à
jour plus récente de module est disponible.
Si votre clé de licence n'est pas encore entrée, vous ne recevrez pas les nouvelles mises à jour et vous serez
invité à activer votre produit.
30
La fenêtre Configuration avancée (cliquez sur Configuration dans le menu principal, puis sur Configuration
avancée, ou appuyez sur la touche F5 de votre clavier) contient d'autres options de mise à jour. Pour configurer
les options avancées de mise à jour comme les paramètres du mode de mise à jour, de l'accès au serveur
mandataire, des connexions par réseau local et de création de copie du moteur de détection, cliquez sur Mettre à
jour dans l'arborescence de configuration avancée.
• Si vous rencontrez des problèmes avec une mise à jour, cliquez sur Effacer pour effacer le cache de mise à
jour temporaire.
31
• L'option Choisir automatiquement dans Profils > Mises à jour > Mises à jour des modules est activée
par défaut. Nous recommandons de garder ce paramètre inchangé lorsque vous utilisez un serveur de mise à
jour ESET pour recevoir des mises à jour.
• Si vous ne souhaitez pas que la notification de mise à jour réussie de la barre d'état système s'affiche dans le
coin inférieur droit de l'écran, développez Profils > Mises à jour, cliquez sur Modifier en regard de
Sélectionner les notifications de mise à jour reçues, puis cochez ou décochez les cases correspondantes
pour les notifications Le moteur de détection a bien été mis à jour.
Le programme doit être mis à jour automatiquement pour assurer un fonctionnement optimal. Cela n'est possible
que si la clé de licence appropriée est entrée dans Aide et assistance> Activer le produit.
Si vous n'avez pas entré votre Clé de licence après l'installation, vous pouvez le faire à tout moment. Pour plus de
détails sur l'activation, consultez la rubrique Comment activer ESET Endpoint Antivirus, puis entrez l'authentifiant
que vous avez reçu avec votre produit de sécurité ESET dans la fenêtre Détails de la licence.
Utiliser ESET Endpoint Antivirus
Les options de configuration de ESET Endpoint Antivirus permettent de régler les niveaux de protection de votre
ordinateur, de vos connexions Internet et de votre messagerie.
REMARQUE
Lors de la création d'une politique à partir de la console Web de ESET Security Management
Center, vous pouvez sélectionner l'indicateur pour chaque paramètre. Les paramètres ayant
l'indicateur Forcer ont la priorité et ne peuvent être remplacés par une politique ultérieure (même
si la politique ultérieure possède un indicateur Forcer). Cela permet de s'assurer que ce paramètre
ne sera pas modifié (par exemple, par un utilisateur ou par des politiques ultérieures au cours de
la fusion). Pour plus de détails, consultez la rubrique Indicateurs dans l'Aide en ligne d'ESMC.
32
Le menu Configuration contient les options suivantes :
• Ordinateur
• Réseau
• Web et messagerie
La section Ordinateur vous permet d'activer ou de désactiver les composants suivants :
• Protection en temps réel du système de fichiers - Elle analyse tous les fichiers à la recherche de code
malveillant au moment de l'ouverture, de la création ou de l'exécution de ces fichiers.
• Contrôle des périphériques - Fournit un contrôle automatique des périphériques (CD/DVD/USB/...). Ce
module vous permet de bloquer ou de régler les filtres ou permissions étendus et de définir la capacité d'un
utilisateur d'accéder à un périphérique donné et travailler avec celui-ci.
• Host Intrusion Prevention System (HIPS) - Le système HIPS surveille les événements qui se produisent
dans le système d'exploitation et réagit à ces derniers, en fonction d'un ensemble personnalisé de règles.
• L'Analyseur avancé de la mémoire fonctionne avec Exploit Blocker pour renforcer la protection contre
les logiciels malveillants qui ont été conçus pour contourner la détection par les protection anti-logiciels
malveillants en utilisant l'obscurcissement ou le chiffrement. L'analyseur avancé de la mémoire est activé par
défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire.
• Activer le Bloqueur d'exploit - cette fonction est conçue pour protéger les types d'applications souvent
exploités, comme les navigateurs, les lecteurs les PDF, les clients de messagerie et les composants MS Office.
Le bloqueur d'exploit est activé par défaut. Pour en savoir plus sur ce type de protection, consultez le
glossaire.
• Le Bouclier anti-rançongiciels est une autre couche de protection qui fait partie de la fonctionnalité
33
HIPS. Le système de réputation ESET LiveGrid® doit être activé pour que le bouclier anti-rançongiciels
fonctionne. Pour en savoir plus sur ce type de protection, consultez le lien suivant.
• Mode de présentation - Le mode de présentation est une fonctionnalité destinée aux utilisateurs qui
exigent une utilisation interrompue de leur logiciel, qui ne veulent pas être dérangés par des fenêtres
contextuelles et qui veulent minimiser la charge sur l'UC. Un message d'avertissement s'affichera (risque
potentiel à la sécurité) et la fenêtre principale deviendra orange après l'activation du Mode de présentation.
La section Protection du réseau vous permet de configurer la protection contre les attaques réseau (IDS) et la
protection contre les réseaux d'ordinateurs zombies.
La configuration de la protection Web et messagerie permet d'activer ou de désactiver les composants suivants :
• Protection de l'accès Web - Si cette option est activée, tout le trafic HTTP est analysé à la recherche de
codes malveillants.
• La protection du client de messagerie surveille la communication effectuée par l'entremise des
protocoles POP3 et IMAP.
• Protection anti-hameçonnage - Protège contre les tentatives de vol de vos mots de passe, de vos
données bancaires et d'autres informations sensibles par des sites malveillants déguisés en sites légitimes.
Pour désactiver temporairement des modules individuels, cliquez sur le commutateur vert
module désiré. Notez que cela peut réduire le niveau de protection de l'ordinateur.
situé à côté du
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur le commutateur rouge
rétablir le composant à son état activé.
pour
Lorsque la politique ESMC/ERA est appliquée, l'icône de verrouillage
s'affiche à côté du composant en
question. La politique appliquée par ESET Security Management Center peut être annulée localement après
l'authentification par un utilisateur connecté (p. ex., l'administrateur). Pour plus de détails, consultez l'Aide en ligne
de ESMC.
REMARQUE
Toutes les mesures de protection désactivées de la sorte sont réactivées au redémarrage de
l'ordinateur.
Pour accéder aux paramètres détaillés d'un composant de sécurité en particulier, cliquez sur la roue dentée
située à côté du composant.
.
On trouve également des options supplémentaires au bas de la fenêtre de configuration. Pour charger les
paramètres de configuration à l'aide d'un fichier de configuration .xml ou pour enregistrer les paramètres de
configuration actuels dans un fichier de configuration, utilisez l'option Importer/Exporter les paramètres.
Veuillez consulter la section Importer/Exporter les paramètres pour plus de détails.
Pour des options plus détaillés, cliquez sur Configuration avancée ou appuyez sur la touche F5.
Ordinateur
Le module Ordinateur se trouve sous Configuration > Ordinateur. Il affiche une vue d'ensemble des modules
de protection décrits dans le chapitre précédent. Dans cette section, les paramètres suivants sont disponibles :
Cliquez sur la roue dentée
située à côté de Protection en temps réel du système de fichiers, puis sur
Modifier les exclusions pour ouvrir la fenêtre de configuration des exclusions, qui vous permet d'exclure des
fichiers et des dossiers de l'analyse.
34
La section Ordinateur vous permet d'activer ou de désactiver les composants suivants :
• Protection en temps réel du système de fichiers - Elle analyse tous les fichiers à la recherche de code
malveillant au moment de l'ouverture, de la création ou de l'exécution de ces fichiers sur l'ordinateur.
• Contrôle des périphériques - Fournit un contrôle automatique des périphériques (CD/DVD/USB/...). Ce
module vous permet de bloquer ou de régler les filtres ou permissions étendus et de définir la capacité d'un
utilisateur d'accéder à un périphérique donné et travailler avec celui-ci.
• Host Intrusion Prevention System (HIPS) - Le système HIPS surveille les événements qui se produisent
dans le système d'exploitation et réagit à ces derniers, en fonction d'un ensemble personnalisé de règles.
• L'Analyseur avancé de la mémoire fonctionne avec Exploit Blocker pour renforcer la protection contre
les logiciels malveillants qui ont été conçus pour contourner la détection par les protection anti-logiciels
malveillants en utilisant l'obscurcissement ou le chiffrement. L'analyseur avancé de la mémoire est activé par
défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire.
• Activer le Bloqueur d'exploit - cette fonction est conçue pour protéger les types d'applications souvent
exploités, comme les navigateurs, les lecteurs les PDF, les clients de messagerie et les composants MS Office.
Le bloqueur d'exploit est activé par défaut. Pour en savoir plus sur ce type de protection, consultez le
glossaire.
• Le Bouclier anti-rançongiciels est une autre couche de protection qui fait partie de la fonctionnalité
HIPS. Le système de réputation ESET LiveGrid® doit être activé pour que le bouclier anti-rançongiciels
fonctionne. Pour en savoir plus sur ce type de protection, consultez le lien suivant.
• Mode de présentation - Le mode de présentation est une fonctionnalité destinée aux utilisateurs qui
exigent une utilisation interrompue de leur logiciel, qui ne veulent pas être dérangés par des fenêtres
contextuelles et qui veulent minimiser la charge sur l'UC. Un message d'avertissement s'affichera (risque
potentiel à la sécurité) et la fenêtre principale deviendra orange après l'activation du Mode de présentation.
Suspendre la protection antivirus et anti-logiciel espion - Chaque fois que vous désactivez temporairement
la protection antivirus et anti-logiciel espion, vous pouvez sélectionner la durée pendant laquelle vous voulez que
le composant sélectionnez soit désactivé en utilisant le menu déroulant puis en cliquant sur Appliquer pour
désactiver le composant de sécurité. Pour réactiver la protection, cliquez sur Activer la protection antivirus et
antispyware.
35
Moteur de détection (7.2 et versions ultérieures)
Le moteur de détection protège contre les attaques de systèmes malveillants en contrôlant les communications
par fichiers, par courriels et par Internet. Par exemple, si un objet classé comme logiciel malveillant est détecté, la
correction débute immédiatement. Le moteur de détection peut l'éliminer en le bloquant d'abord, puis en le
nettoyant, en le supprimant ou en le mettant en quarantaine.
Pour configurer les paramètres du moteur de détection en détail, cliquez sur Configuration avancée ou appuyez
sur la touche F5.
Dans cette section :
• Catégories de protection en temps réel et d'apprentissage automatique
• Analyses de logiciels malveillants
• Configuration des signalements
• Configuration de la protection
• Meilleures pratiques
Modifications de la configuration de l'analyseur du moteur de détection
A partir de la version 7.2, la section Moteur de détection ne propose plus de commutateurs
ACTIVÉ/DÉSACTIVÉ comme dans la version 7.1 et les versions antérieures. Les commutateurs
ACTIVÉ/DÉSACTIVÉ ont été remplacés par quatre seuils - Agressif, Équilibré, Prudent et Désactivé.
Catégories de protection en temps réel et d'apprentissage
automatique
La protection en temps réel et apprentissage automatique pour tous les modules de protection (par
exemple, protection en temps réel du système de fichiers, protection de l'accès Web, ...) vous permet de
configurer les niveaux de signalement et de protection pour les catégories suivantes :
• Logiciel malveillant – Un virus informatique est un code malveillant ajouté en début ou à la fin des fichiers
existants sur votre ordinateur. Cependant, le terme « virus » est souvent mal utilisé. Logiciel malveillant est une
expression plus précise. La détection des logiciels malveillants est effectuée par le module du moteur de
détection combiné au composant d'apprentissage automatique.
Pour en savoir plus sur ces types d'application, consultez le glossaire.
• Applications potentiellement indésirables – Un logiciel gris ou une application potentiellement indésirable
(PUA) désigne une vaste catégorie de logiciels, dont l'intention malveillante n'est pas aussi clairement établie
qu'avec d'autres types de logiciels malveillants, tels que les virus ou les chevaux de Troie. Il peut cependant
installer des logiciels indésirables supplémentaires, modifier le comportement ou les paramètres du périphérique
numérique ou effectuer des activités non approuvées ou prévues par l'utilisateur.
Pour en savoir plus sur ces types d'application, consultez le glossaire.
• Les applications potentiellement dangereuses sont des logiciels commerciaux légitimes susceptibles
d'être utilisés à des fins malveillantes. Elles comprennent des programmes comme des outils d'accès à distance,
les applications de craquage de mot de passe et les enregistreurs de frappe.
Pour en savoir plus sur ces types d'application, consultez le glossaire.
• Les applications potentiellement suspectes incluent les programmes comprimés à l'aide de logiciels de
compression ou de protecteurs. Ces types de protecteurs sont souvent exploités par des créateurs de logiciels
36
malveillants pour contourner leur détection.
Protection améliorée
L'apprentissage automatique avancé fait maintenant partie du moteur de détection en tant que
couche de protection avancée qui améliore la détection basée sur l'apprentissage automatique.
Pour en savoir plus sur ce type de protection, consultez le glossaire.
Analyses de logiciels malveillants
Les paramètres de l'analyseur peuvent être configurés séparément pour l'analyseur en temps réel et l'analyseur à
la demande. Par défaut, Utiliser les paramètres de protection en temps réel est activé. Lorsque cette option
est activée, les paramètres d'analyse à la demande pertinents sont hérités de la section Protection en temps
réel et apprentissage automatique.
Configuration des signalements
Lorsqu'une détection se produit (par exemple, une menace est détectée et classée comme logiciel malveillant), les
informations sont enregistrées dans le journal de détection et des notifications de bureau s'affichent si elles sont
configurées dans ESET Endpoint Antivirus.
Le seuil de signalement est configuré pour chaque catégorie (appelée « CATÉGORIE ») :
37
1.Logiciel malveillant
2.Applications potentiellement indésirables
3.Potentiellement dangereux
4.Applications suspectes
Signalement effectué avec le moteur de détection, y compris le composant d'apprentissage automatique. Il est
possible de fixer un seuil de signalement plus élevé que le seuil actuel de protection. Ces paramètres de
signalement n'influencent pas le blocage, le nettoyage ou la suppression des objets.
Lisez ce qui suit avant de modifier un seuil (ou un niveau) pour le signalement de CATÉGORIE :
Seuil
Explication
Agressif
Signalement de la CATÉGORIE configurée avec une sensibilité maximale. Plus de détections sont
signalées. Le paramètre Agressif peut identifier à tort des objets comme étant CATÉGORIE.
Équilibré
Signalement de la CATÉGORIE configurée sur Équilibré. Ce paramètre est optimisé pour équilibrer les
performances et la précision des taux de détection et du nombre d'objets faux positifs.
Prudent
Signalement de la CATÉGORIE configurée pour réduire au minimum les objets faux positifs tout en
maintenant un niveau de protection suffisant. Les objets ne sont signalés que lorsque la probabilité est
évidente et correspond au comportement de CATÉGORIE.
Le signalement d'une CATÉGORIE n'est pas actif et les détections de ce type ne sont pas trouvées,
signalées ou nettoyées. Par conséquent, ce paramètre désactive la protection de ce type de détection.
Désactivé
Désactivé n'est pas disponible pour les signalements de logiciels malveillants et c'est la valeur par
défaut pour les applications potentiellement dangereuses.
Disponibilité des modules de protection de ESET Endpoint Antivirus
La disponibilité (activé ou désactivé) d'un module de protection pour un seuil de CATÉGORIE sélectionné
est la suivante :
Agressif
Équilibré
Prudent Désactivé**
Module d'apprentissage automatique avancé*
✓
✓
X
(mode agressif) (mode conservateur)
X
Module du moteur de détection
✓
✓
✓
X
Autres modules de protection
✓
✓
✓
X
* Offert dans ESET Endpoint Antivirus version 7.2 et ultérieures.
** Non recommandé
Déterminer la version du produit, les versions des modules du programme et les dates de construction
1.Cliquez sur Aide et assistance > À propos de ESET Endpoint Antivirus.
2.Dans la fenêtre À propos de, la première ligne de texte affiche le numéro de version de votre produit ESET.
3.Cliquez sur Composants installés pour accéder à des informations sur des modules particuliers.
Conseils
Quelques conseils pour établir un seuil approprié à votre environnement :
• Le seuil Équilibré est recommandé pour la plupart des configurations.
• Le seuil Prudent représente un niveau de protection comparable à celui des versions précédentes de ESET
Endpoint Antivirus (7.1 versions inférieures). Cette option est recommandée dans les environnements où la
priorité est de réduire au minimum les faux positifs identifiés par les logiciels de sécurité.
• Plus le seuil de signalement est élevé, plus le taux de détection est élevé, mais plus il y a de chances que
des objets soient faussement identifiés.
• En pratique, il n'est pas possible de garantir un taux de détection de 100 %. De même il n'est pas possible
d'éviter toute classification erronée des objets propres comme logiciels malveillants.
38
• Conservez ESET Endpoint Antivirus et ses modules à jour pour optimiser l’équilibre entre les performances
et la précision des taux de détection et le nombre de faux positifs.
Configuration de la protection
Si un objet classé comme CATÉGORIE est signalé, le programme bloque l'objet, puis le nettoie, le supprime ou le
déplace vers la quarantaine.
Lisez ce qui suit avant de modifier un seuil (ou un niveau) pour la protection contre les CATÉGORIE :
Seuil
Explication
Agressif
Les détections de niveau agressif (ou inférieur) signalées sont bloquées et la correction automatique
(c'est-à-dire le nettoyage) est lancée. Ce paramètre est recommandé lorsque tous les terminaux ont
été analysés avec des paramètres agressifs et que des objets faussement signalés ont été ajoutés aux
exclusions de détection.
Équilibré
Les détections de niveau équilibré (ou inférieur) signalées sont bloquées et la correction automatique
(c'est-à-dire le nettoyage) est lancée.
Prudent
Les détections de niveau prudent signalées sont bloquées et la correction automatique (c'est-à-dire le
nettoyage) est lancée.
Cette option est utile pour identifier et exclure les objets faussement signalés.
Désactivé Désactivé n'est pas disponible pour la protection contre les logiciels malveillants et c'est la valeur par
défaut pour les applications potentiellement dangereuses.
Tableau de conversion des politiques d'ESMC pour ESET Endpoint Antivirus 7.1 et les versions inférieures
A partir d'ESMC, l'éditeur de politiques pour les paramètres de l'analyseur
ne contient plus d'interrupteur ON/OFF pour chaque CATÉGORIE. Le tableau
suivant présente une conversion entre le seuil de protection et l'état final du
commutateur dans ESET Endpoint Antivirus 7.1 et les versions inférieures.
État du seuil de la CATÉGORIE
Agressif Équilibré Prudent Désactivé
Commutateur de CATÉGORIE appliqué
Lors de la mise à niveau des versions 7.1 et inférieures à la version 7.2 et
ultérieures, le nouvel état de seuil sera le suivant :
Catégorie du commutateur avant la mise à niveau
Nouvelle catégorie de seuil après la mise à niveau Équilibré Désactivé
Meilleures pratiques
NON GÉRÉ (Poste client individuel)
Conservez les valeurs recommandées par défaut telles quelles.
ENVIRONNEMENT GÉRÉ
Ces paramètres sont généralement appliqués aux postes de travail à l'aide d'une politique.
1. Phase initiale
Cette phase peut prendre jusqu'à une semaine.
• Mettez tous les seuils de signalement à Équilibré.
39
REMARQUE : Si nécessaire, configurez-les sur Aggressif.
• Mettez ou conservez la protection contre les logiciels malveillants sur Équilibré.
• Mettez la protection pour les autres CATÉGORIES sur Prudent.
REMARQUE : Il n'est pas recommandé de mettre le seuil de protection sur Agressif au cours de cette
phase, car toutes les détections seraient corrigées, y compris les faux positifs.
• Repérez les objets faussement identifiés à partir du journal de détections et ajoutez-les d'abord aux
exclusions de détection.
2. Phase de transition
• Mettez en œuvre la « phase de production » sur certains postes de travail à titre de test (pas pour tous les
postes sur le réseau).
3. Phase de production
• Configurez tous les seuils de protection sur Équilibré.
• Lorsque la gestion est effectuée à distance, utilisez une politique antivirus appropriée prédéfinie pour ESET
Endpoint Antivirus.
• Le seuil de protection agressif peut être défini si les taux de détection les plus élevés sont requis et qu'il n'y
a pas de problèmes à avoir des objets faussement identifiés.
• Consultez le journal des détections ou les rapports d'ESMC pour voir d'éventuelles détections manquées.
Options avancées du moteur de détection
La technologie Anti-Stealth est un système évolué assurant la détection de programmes dangereux, comme les
rootkits qui sont à même de se cacher du système d'exploitation. Ils sont donc impossibles à détecter avec les
techniques de test ordinaires.
Activer l'analyse avancée par AMSI – Outil Microsoft Antimalware Scan Interface qui offre aux développeurs de
nouveaux moyens de défense contre les programmes malveillants (Windows 10 uniquement)
Moteur de détection (7.1 et antérieur)
Le moteur de détection protège contre les attaques de systèmes malveillants en contrôlant les communications
par fichiers, par courriels et par Internet. Par exemple, si un objet classé comme logiciel malveillant est détecté, la
correction débute immédiatement. Le moteur de détection peut l'éliminer en le bloquant d'abord, puis en le
nettoyant, en le supprimant ou en le mettant en quarantaine.
Pour configurer les paramètres du moteur de détection en détail, cliquez sur Configuration avancée ou appuyez
sur la touche F5.
Modifications de la configuration de l'analyseur du moteur de détection
A partir de la version 7.2, la section Moteur de détection a une apparence différente.
Les options de l'analyseur pour tous les modules de protection (par exemple, la protection en temps réel du
système de fichiers, la protection de l'accès Web, etc.) vous permettent d'activer ou de désactiver la détection des
éléments suivants :
• Applications potentiellement indésirables – Un logiciel gris ou une application potentiellement indésirable
(PUA) désigne une vaste catégorie de logiciels, dont l'intention n'est pas aussi clairement malveillante qu'avec
d'autres types de logiciels malveillants, tels que les virus ou les chevaux de Troie. Il peut cependant installer des
logiciels indésirables supplémentaires, modifier le comportement ou les paramètres de l'appareil numérique ou
effectuer des activités non approuvées ou prévues par l'utilisateur.
Pour en savoir plus sur ces types d'application, consultez le glossaire.
40
• Les applications potentiellement dangereuses sont des logiciels commerciaux légitimes susceptibles
d'être utilisés à des fins malveillantes. Elles comprennent des programmes comme des outils d'accès à distance,
les applications de craquage de mot de passe et les enregistreurs de frappe. Cette option est désactivée par
défaut.
Pour en savoir plus sur ces types d'application, consultez le glossaire.
• Les applications potentiellement suspectes incluent les programmes comprimés à l'aide de logiciels de
compression ou de protecteurs. Ces types de protecteurs sont souvent exploités par des créateurs de logiciels
malveillants pour contourner leur détection.
La technologie Anti-Stealth est un système évolué assurant la détection de programmes dangereux, comme les
rootkits qui sont à même de se cacher du système d'exploitation. Ils sont donc impossibles à détecter avec les
techniques de test ordinaires.
Exclusions vous permet d'exclure des objets de l'analyse. Consultez la rubrique Exclusions pour obtenir plus
d'informations.
Activer l'analyse avancée par AMSI – Outil Microsoft Antimalware Scan Interface qui offre aux développeurs de
nouveaux moyens de défense contre les programmes malveillants (Windows 10 uniquement)
Une infiltration est détectée
Des infiltrations peuvent utiliser différents points d'entrée pour attaquer votre système, comme les pages Web,
dossiers partagés, courriel ou périphériques amovibles (USB, disques externes, CD, DVD, etc.).
Comportement normal
À titre d'exemple général de la façon dont les infiltrations sont traitées par ESET Endpoint Antivirus, elles peuvent
notamment être détectées en utilisant :
• Protection en temps réel du système de fichiers
• Protection de l'accès Web
41
• Protection du client de messagerie
• Analyse de l'ordinateur à la demande
Chacun de ces modules utilise le niveau de nettoyage standard et tentera de nettoyer le fichier et de le mettre en
quarantaine ou de mettre fin à la connexion. Une fenêtre de notification s'affiche dans la zone de notification, dans
le coin inférieur droit de l'écran. Pour plus d'information sur les niveaux de nettoyage et le comportement,
consultez la rubrique Nettoyage.
Nettoyage et suppression
Si aucune action n'est prédéfinie pour la protection en temps réel, vous serez invité à sélectionner une option dans
une fenêtre d'avertissement. Les options Nettoyer, Supprimer et Aucune action sont généralement
disponibles. Sélectionner Aucune action n'est pas recommandé puisque cela ne nettoiera pas les fichiers infectés.
La seule exception concerne les situations où vous êtes sûr que le fichier est inoffensif et a été détecté par erreur.
Utilisez le nettoyage si un fichier a été attaqué par un virus qui y a joint du code malveillant. Dans ce cas, tentez
d'abord de nettoyer le fichier infecté pour le restaurer à son état d'origine. Si le fichier se compose uniquement de
code malveillant, il sera alors supprimé.
Si un fichier infecté est « verrouillé » ou utilisé par un processus du système, il ne sera généralement supprimé
qu'après avoir été déverrouillé (le plus souvent, après un redémarrage du système).
Menaces multiples
Si aucun des fichiers infectés n'a été nettoyé pendant l'analyse de l'ordinateur (ou le Niveau de nettoyage a été
42
défini à Aucun nettoyage), une fenêtre d'alerte vous invitant à choisir l'action pour ces fichiers s'affichera.
Suppression de fichiers dans des archives
En mode de nettoyage par défaut, l'archive entière n'est supprimée que si elle ne contient que des fichiers infectés
et aucun fichier sain. Autrement dit, les archives ne sont pas supprimées si elles contiennent aussi des fichiers
sains. Soyez cependant prudent si vous choisissez un nettoyage strict : dans ce mode, l'archive sera supprimée si
elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient.
Si votre ordinateur montre des signes d'une infection par un logiciel malveillant (ralentissement, blocages
fréquents, etc.), il est recommandé d'effectuer les opérations suivantes :
• Ouvrir ESET Endpoint Antivirus et cliquer sur Analyse de l'ordinateur,
• Cliquer sur Analyse intelligente (pour plus d'information, se reporter à la rubrique Analyse de
l'ordinateur).
• Lorsque l'analyse est terminée, consultez le journal pour connaître le nombre de fichiers analysés, infectés
et nettoyés.
Si vous ne voulez analyser qu'une certaine partie de votre disque, cliquez sur Analyse personnalisée et
sélectionnez les cibles à analyser.
Cache local partagé
Shared Local Cache peut améliorer les performances dans les environnements isolés (par exemple, les ordinateurs
virtuels) en éliminant une double analyse sur le réseau. Cela garantit que chaque fichier ne sera analysé qu'une
seule fois et stocké dans le cache partagé.
ESET Shared Local Cache doit d'abord être installé et configuré.
• Télécharger ESET Shared Local Cache.
• Pour plus d'informations, consultez le manuel d'ESET Shared Local Cache.
Activez le commutateur Option de mise en cache pour enregistrer les informations relatives aux analyses des
fichiers et des dossiers de votre réseau dans ESET Shared Local Cache. Si vous effectuez une nouvelle analyse,
ESET Endpoint Antivirus recherchera les fichiers analysés dans ESET Shared Local Cache. Si les fichiers
correspondent, ils seront exclus de l'analyse.
La configuration du Serveur de mémoire cache contient les éléments suivants :
• Nom d'hôte – Nom d'hôte ou l'adresse IP de l'ordinateur sur lequel ESET Shared Local Cache se trouve.
• Port – Numéro de port utilisé pour la communication (le même que celui défini dans ESET Shared Local
Cache).
• Mot de passe – Spécifiez le mot de passe pour ESET Shared Local Cache si cela est requis.
Protection en temps réel du système de fichiers
La protection en temps réel du système de fichiers contrôle tous les fichiers du système pour détecter les codes
malveillants lorsqu'ils sont ouverts, créés ou exécutés.
43
Par défaut, la protection en temps réel du système de fichiers est lancée au démarrage du système d'exploitation
et assure une analyse ininterrompue. Nous recommandons de ne pas désactiver Activer la protection en temps
réel du système de fichiers dans Configuration avancée sous Moteur de détection > Protection en
temps réel du système de fichiers > Basique.
Supports à analyser
Par défaut, tous les types de supports sont analysés pour y détecter la présence potentielle de menaces :
• Disques locaux – Analyse tous les disques durs système et fixes (exemple : C:\, D:\).
• Supports amovibles – Analyse les CD/DVDs, les mémoires USB, les cartes mémoires, etc.
• Lecteurs réseau – Analyse tous les lecteurs réseau mappés (exemple : H:\ en tant que \\store04) ou des
lecteurs réseau d'accès direct (exemple : \\store08).
Il est recommandé de ne modifier les paramètres par défaut que dans des cas particuliers, par exemple lorsque
l'analyse de certains supports ralentit de manière significative les transferts de données.
Date de l'analyse
Par défaut, tous les fichiers sont analysés lorsqu'ils sont ouverts, exécutés ou créés. Il est recommandé de
conserver ces paramètres par défaut, car ils offrent le niveau maximum de protection en temps réel pour votre
ordinateur :
• Ouverture de fichier – Effectue un analyse lorsqu'un fichier est ouvert.
• Création de fichier - Analyse un fichier créé ou modifié.
• Exécution de fichier – Effectue une analyse lorsqu'un fichier est exécuté ou en cours d'exécution.
• Accès au secteur de démarrage du support amovible - Lorsqu'un support amovible contenant un
secteur de démarrage est inséré dans le périphérique, celui-ci est immédiatement analysé. Cette option
44
n'active pas l'analyse du fichier de média amovible. L'analyse des fichiers de support amovible se trouve
dans Support à analyser > Supports amovibles. Pour que l'accès au secteur de démarrage du
support amovible fonctionne correctement, laissez Secteurs d'amorçage/UEFI activé dans les
paramètres de ThreatSense.
Processus à exclure de l'analyse – Pour en savoir plus sur ce type d'exclusion consultez le chapitre Exclusions
des processus.
La protection en temps réel du système de fichiers vérifie tous les types de supports et est déclenchée par
différents événements comme tenter d'accéder à un fichier. En raison des méthodes de détection de la technologie
ThreatSense (décrites dans la section Configuration du moteur ThreatSense), la protection en temps réel du
système de fichiers peut être configurée pour traiter différemment les fichiers nouvellement créés et les fichiers
existants. Par exemple, vous pouvez configurer la protection en temps réel du système de fichiers afin qu'elle
surveille plus attentivement les fichiers nouvellement créés.
Pour assurer le minimum d'empreinte système lorsque la protection en temps réel est utilisée, les fichiers ayant
déjà été analysés ne seront pas analysés de nouveau (à moins qu'ils n'aient été modifiés). Les fichiers sont
analysés immédiatement après chaque mise à jour du moteur de détection. Ce comportement est contrôlé grâce à
l'optimisation intelligente. Si la fonction d’optimisation intelligente est désactivée, tous les fichiers seront
analysés chaque fois que l'ordinateur y accédera. Pour modifier ce paramètre, appuyez sur F5 pour ouvrir la
fenêtre de Configuration avancée. Ouvrez ensuite Moteur de détection > Protection en temps réel du
système de fichiers. Cliquez sur Paramètres de ThreatSense > Autre et sélectionnez ou désélectionnez
l'option Activer l'optimisation intelligente.
Vérification de la protection en temps réel
Pour s'assurer que la protection en temps réel fonctionne et détecte bien les virus, utilisez un fichier de test
d'eicar.com. Ce fichier de test est un fichier inoffensif que détecteront tous les programmes antivirus. Le fichier a
été créé par la société EICAR (European Institute for Computer Antivirus Research) pour tester la fonctionnalité des
programmes antivirus.
Vous pouvez le télécharger sur le site http://www.eicar.org/download/eicar.com
Après avoir entré cette URL dans votre navigateur, vous devriez voir un message indiquant que la menace a été
supprimée.
Quand faut-il modifier la configuration la protection en temps réel
La protection en temps réel du système de fichier est le composant le plus important de la sécurisation du
système. Il faut être très attentif lorsqu'on modifie les paramètres de ce module. Il est recommandé de ne changer
les paramètres de ce module que dans des cas précis.
Après l'installation de ESET Endpoint Antivirus, tous les paramètres sont optimisés pour garantir le niveau maximal
de sécurité système pour les utilisateurs. Pour restaurer les paramètres par défaut, cliquez sur
à côté de
chaque onglet de la fenêtre (Configuration avancée > Moteur de détection > Protection du système de
fichier en temps réel).
Que faire si la protection en temps réel ne fonctionne pas
Dans cette rubrique, nous décrivons des problèmes qui peuvent survenir avec la protection en temps réel et la
façon de les résoudre.
La protection en temps réel est désactivée
Si la protection en temps réel a été désactivée par mégarde par un utilisateur, elle doit être réactivée. Pour
réactiver la protection en temps réel, accédez à Configuration dans la fenêtre principale du programme et cliquez
sur Protection en temps réel du système de fichiers.
Si la protection en temps réel n'est pas lancée au démarrage du système, cela découle généralement du fait que
l'option Lancer automatiquement la protection en temps réel du système de fichiers est désélectionnée.
45
Pour activer cette option, allez à Configuration avancée (touche F5) et cliquez sur Moteur de détection >
Protection du système de fichier en temps réel > Basic. Assurez-vous que le commutateur Lancer
automatiquement la protection en temps réel du système de fichiers est activé.
Si la protection en temps réel ne détecte pas et ne nettoie pas les infiltrations
Assurez-vous qu'aucun autre programme antivirus n'est installé sur votre ordinateur. Si deux programmes de
protection en temps réel sont activés en même temps, il peut y avoir conflit entre les deux. Nous recommandons
de désinstaller tout autre antivirus de votre système avant d'installer ESET.
La protection en temps réel ne démarre pas
Si la protection en temps réel n'est pas lancée au démarrage du système (et que l'option Activer la protection
en temps réel du système de fichiers est activée), le problème peut provenir de conflits avec d'autres
programmes. Pour de l'assistance dans la résolution de ce problème, veuillez communiquer avec l'assistance
technique d'ESET.
Analyse de l'ordinateur
L'analyseur à la demande est un élément important de ESET Endpoint Antivirus. Il permet d'analyser les fichiers et
répertoires stockés sur votre ordinateur. Pour votre sécurité, il est essentiel que l'ordinateur soit analysé non
seulement en cas de suspicion d'une infection, mais aussi régulièrement dans le cadre de mesures de sécurité
routinières. Nous vous recommandons d'effectuer régulièrement (par exemple, une fois par mois) des analyses en
profondeur de votre système pour détecter les virus non détectés par la protection en temps réel du système de
fichiers. Cela peut arriver si la protection en temps réel du système de fichiers a été désactivée à un moment, si le
moteur de détection est obsolète ou si le fichier n'a pas été détecté comme un virus au moment où il a été
enregistré sur le disque.
Deux types d'analyse de l'ordinateur sont disponibles. Analyse de votre ordinateur analyse rapidement le
système sans exiger de reconfiguration des paramètres d'analyse. Analyse personnalisée permet, quant à elle,
de sélectionner l'un des profils d'analyse prédéfinis ainsi que de choisir les cibles particulières de l'analyse.
46
Voir la section Progression de l'analyse pour plus de détails sur le processus d'analyse.
Analyse de votre ordinateur
L'analyse intelligente vous permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers
infectés sans intervention de l'utilisateur. L'avantage de l'analyse intelligente est qu'elle est facile à utiliser et
n'exige pas une configuration détaillée de l'analyse. Cette vérification analyse tous les fichiers sur les disques durs
locaux et nettoie ou supprime automatiquement les infiltrations détectées. Le niveau de nettoyage est
automatiquement réglé à sa valeur par défaut. Pour plus de détails sur les types de nettoyage, consultez la
rubrique Nettoyage.
Analyse personnalisée
L'analyse personnalisée est une solution optimale si vous souhaitez préciser des paramètres d'analyse tels que les
cibles et les méthodes d'analyse. L'avantage de l'analyse personnalisée est la possibilité de configurer les
paramètres de manière détaillée. Les configurations peuvent être enregistrées comme des profils d'analyse définis
par l'utilisateur, ce qui peut être utile pour effectuer régulièrement une analyse avec les mêmes paramètres.
Pour sélectionner les cibles à analyser, sélectionnez Analyse de l'ordinateur > Analyse personnalisée puis
sélectionnez une option à partir du menu déroulant Cibles à analyser ou de certaines cibles particulières dans la
structure de l'arborescence. Une cible d'analyse peut aussi être indiquée en entrant le chemin du dossier ou des
fichiers à inclure. Si vous ne voulez qu'analyser le système sans effectuer de nettoyage supplémentaire,
sélectionnez Analyser sans nettoyer. Pendant une analyse, vous pouvez choisir parmi trois niveaux de
nettoyage en cliquant sur Configuration... > Paramètres ThreatSense > Nettoyage.
L'exécution des analyses personnalisées est appropriée pour les utilisateurs avancés ayant une expérience
antérieure avec l'utilisation de programmes antivirus.
Vous pouvez également utiliser la fonction Glisser-déposer pour analyser pour analyser un fichier ou un dossier
manuellement en cliquant sur le fichier ou le dossier, en déplaçant le pointeur de la souris sur la zone marquée
tout en maintenant le bouton de la souris enfoncé, puis en le relâchant. Après cela, l'application est déplacée au
premier plan.
Analyse des supports amovibles
Semblable à Analyse de votre ordinateur - lance rapidement une analyse des supports amovibles (comme les
CD/DVD/USB) actuellement connectés à l'ordinateur. Cela peut être utile lorsque vous connectez une clé USB à un
ordinateur et que vous souhaitez l'analyser pour y rechercher les logiciels malveillants et autres menaces
potentielles.
Ce type d'analyse peut aussi être lancé en cliquant sur Analyse personnalisée, puis sur Supports amovibles
dans le menu déroulant Cibles à analyser, avant de cliquer sur Analyser.
Répéter la dernière analyse utilisée
Vous permet de lancer rapidement la dernière analyse utilisée, avec les même paramètres qui avaient été utilisés.
Vous pouvez sélectionner Aucune action, Arrêt ou Redémarrer dans le menu déroulant Action après analyse.
Les actions Veille ou Veille prolongée sont disponibles en fonction des paramètres du système d’exploitation de
votre ordinateur et des capacités de votre ordinateur. L'action sélectionnée commencera une fois que toutes les
analyses en cours sont terminées. Lorsque Arrêt est sélectionné, une boîte de dialogue de confirmation de l'arrêt
affichera un compte à rebours de 30 secondes (cliquez sur Annuler pour désactiver l'arrêt demandé). Voir Options
d'analyse avancées pour plus de détails.
47
REMARQUE
Il est recommandé d'exécuter une analyse de l'ordinateur au moins une fois par mois. Cette
analyse peut être configurée comme tâche planifiée dans Outils > Planificateur. Comment
planifier une analyse hebdomadaire d'un ordinateur?
Analyse personnalisée
Si souhaitez analyser une cible particulière, vous pouvez utiliser l'outil d'analyse personnalisée en cliquant sur
Analyse d'ordinateur > Analyse personnalisée et sélectionner une option dans le menu déroulant Cibles à
analyser ou des cibles particulières dans l'arborescence des dossiers.
La fenêtre des cibles à analyser permet de définir les objets (mémoire, lecteurs, secteurs, fichiers et dossiers) dans
lesquels rechercher des infiltrations. Sélectionnez les cibles dans l'arborescence qui dresse la liste de tous les
périphériques de l'ordinateur qui sont disponibles. Le menu déroulant Cibles à analyser permet de sélectionner
des cibles à analyser prédéfinies :
• Par paramètres de profil - Sélectionne les cibles dans le profil d'analyse sélectionné.
• Supports amovibles - Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD.
• Disques locaux - Sélectionne tous les disques durs du système.
• Lecteurs réseau - Sélectionne tous les disques réseau mappés.
• Sélection personnalisée – Permet à l'utilisateur de créer une sélection personnalisée de cibles.
Pour accéder rapidement à une cible d'analyse ou pour ajouter un dossier ou des fichiers cibles, entrez le
répertoire cible dans le champ vide sous la liste de dossiers. Cela n'est possible que si aucune cible n'a été
sélectionnée dans l'arborescence et que le menu Cibles à analyser est défini à Aucune sélection.
Les éléments infectés ne sont pas nettoyés automatiquement. L'analyse sans nettoyage peut être utilisée pour
obtenir une vue d'ensemble de l'état actuel de la protection. En outre, vous pouvez choisir parmi trois niveaux de
nettoyage en cliquant sur Configuration avancée > Moteur de détection > Analyse à la demande >
Paramètres ThreatSense > Nettoyage. Si vous souhaitez uniquement analyser le système sans actions de
nettoyage supplémentaires, sélectionnez Analyser sans nettoyer. L'historique d'analyse est enregistré dans le
journal d'analyse.
48
Lorsque l'option Ignorer les exclusions est sélectionnée, les fichiers avec des extensions qui étaient auparavant
exclues de l'analyse sont analysés, sans aucune exception.
Vous pouvez choisir le profil à utiliser pour analyser les cibles visées dans le menu déroulant Profil d'analyse. Le
profil par défaut est celui de l'analyse intelligente. Il existe deux autres profils d'analyse prédéfinis appelés
Analyse approfondie et Analyse par menu contextuel. Ces profils d'analyse utilisent différents paramètres
ThreatSense. Les options disponibles sont décrites dans Configuration avancée > Moteur de détection >
Analyse de logiciels malveillants > Analyse de l'ordinateur à la demande > Paramètres ThreatSense.
Cliquez sur Analyse pour exécuter l'analyse avec les paramètres personnalisés que vous avez définis.
L'option Analyser en tant qu'administrateur permet d'exécuter l'analyse avec le compte d'administrateur.
Cliquez ici si l'utilisateur actuel n'a pas les privilèges requis pour accéder aux fichiers appropriés devant être
analysés. À noter que ce bouton n'est pas disponible si l'utilisateur actuel ne peut appeler les opérations UAC en
tant qu'administrateur.
Remarque
Vous pouvez afficher le journal d'analyse de l'ordinateur lorsqu'une analyse est
terminée en cliquant sur Afficher le journal.
Progression de l'analyse
La fenêtre de progression de l'analyse affiche l'état actuel de l'analyse ainsi que de l'information sur le nombre de
fichiers contenant du code malveillant trouvés.
Remarque
Il est normal que certains fichiers, comme les fichiers protégés par mot de passe
ou les fichiers utilisés exclusivement par le système (généralement, les fichiers
pagefile.sys et certains fichiers journaux), ne puissent pas être analysés.
49
Progression de l'analyse - La barre de progression indique le pourcentage d'objets déjà analysés par rapport
aux objets encore en attente d'analyse. L'état de progression de l'analyse découle du nombre total d'objets inclus
dans l'analyse.
Cible - Le nom de l'objet en cours d'analyse et son emplacement.
Menaces trouvées - Indique le nombre total de menaces trouvées pendant l'analyse.
Pause - Met l'analyse en pause.
Reprendre - Cette option est visible seulement lorsque l'analyse est suspendue. Cliquez sur Reprendre pour
poursuivre l'analyse.
Arrêter - Met fin à l'analyse.
Faire défiler le journal de l'analyse - Si cette option est activée, le journal d'analyse défilera
automatiquement lorsque de nouvelles entrées seront ajoutées afin que les entrées les plus récentes soient
visibles.
Journal de l'analyse de l'ordinateur
Le journal de l'analyse de l'ordinateur vous donne des renseignements généraux sur l'analyse tels que :
• Date et heure de l'analyse
• Disques, dossiers et fichiers analysés
• Nombre d'objets analysés
• Nombre de menaces détectées
• Heure d’achèvement
50
• Temps d'analyse total
Analyses de logiciels malveillants
La section Analyses de logiciels malveillants est accessible dans le menu Configuration avancée. Appuyez sur
la touche F5, cliquez sur Moteur de détection > Analyses de logiciels malveillants et fournit des options
pour sélectionner les paramètres d'analyse. Cette section comprend les options suivantes :
• Profil sélectionné – Un ensemble précis de paramètres utilisés par l'analyseur à la demande.
Pour créer un nouveau profil, cliquez sur Modifier situé à côté de la liste des profils. Pour plus de détails,
consultez la section Profils d'analyse.
• Protection à la demande et apprentissage automatique – see Moteur de détection (7.2 et versions
ultérieures).
• Cibles à analyser – Si vous ne souhaitez analyser qu'une cible en particulier, vous pouvez cliquer sur
Modifier à côté de Cibles à analyser et choisir une option dans le menu déroulant ou choisir des cibles
spécifiques dans la structure des dossiers (arborescence). Pour plus de détails, consultez la section Cibles à
analyser.
• Paramètres ThreatSense - Cette section contient des options de configuration avancées, telles que les
extensions des fichiers que vous souhaitez contrôler, les méthodes de détection utilisées, etc. Cliquez ici pour
ouvrir un onglet avec des options d'analyse avancées.
Analyse à l'état de repos
Vous pouvez activer l'analyseur à l'état inactif dans Configuration avancée sous Moteur de détection >
Analyses de logiciels malveillants > Analyse à l'état inactif.
Analyse à l'état de repos
Activez le commutateur à côté de Activer l'analyse à l'état inactif pour activer cette fonctionnalité. Lorsque
l'ordinateur est inactif, une analyse silencieuse de l'ordinateur est effectuée sur tous les disques locaux.
Par défaut, l'analyseur en état actif ne sera pas exécuté lorsque l'ordinateur (portable) est alimenté par batterie.
Vous pouvez annuler ce paramètre en activant l'interrupteur à côté de l'option Exécuter même si l'ordinateur
est alimenté par batterie dans Configuration avancée.
Mettez en marche le commutateur Activer la journalisation dans la Configuration avancée pour enregistrer les
résultats des analyses dans la section Fichiers journaux (dans la fenêtre du programme principal, cliquez sur
Outils > Fichiers journaux, puis sélectionnez Analyse de l'ordinateur dans le menu déroulant Journal).
Détection de l'état inactif
Consulter la rubrique Déclencheurs de détection de l'état inactif pour une liste complète des conditions requises
pour que soit déclenché l'analyseur en état actif.
Cliquez sur configuration des paramètres du moteur de ThreatSense pour modifier les paramètres d'analyse (par
exemple, les méthodes de détection) pour l'analyseur en état inactif.
Profils d'analyse
Vos paramètres d'analyse préférés peuvent être enregistrés pour analyse future. Nous vous recommandons de
créer un profil différent (avec différentes cibles et méthodes ainsi que d'autres paramètres d'analyse) pour
chacune des analyses utilisées régulièrement.
Pour créer un nouveau profil, ouvrez la fenêtre Configuration avancée (F5) et cliquez sur Moteur de détection >
Analyse de logiciels malveillants > Analyse de l'ordinateur à la demande > Liste des profils. La fenêtre
Gestionnaire de profils comprend le menu déroulant Profil sélectionné qui affiche les profils d'analyse
existants, ainsi que l'option permettant d'en créer un nouveau. Pour vous aider à créer un profil d'analyse
51
répondant à vos besoins, consultez la rubrique Configuration des paramètres du moteur ThreatSense pour une
description de chacun des paramètres de configuration de l'analyse.
REMARQUE
Imaginez que vous vouliez créer votre propre profil d'analyse et que la configuration associée au
profil Analyse de l'ordinateur vous convienne en partie, mais que vous ne voulez ni analyser les
fichiers exécutables compressés par un compresseur d'exécutables ni les applications
potentiellement dangereuses et que vous voulez également utiliser un nettoyage strict. Entrez
le nom de votre nouveau profil dans la fenêtre Gestionnaire de profil, puis cliquez sur Ajouter.
Sélectionnez votre nouveau profil à partir du menu déroulant de Profil sélectionné, puis ajustez
les paramètres restants pour répondre à vos exigences; cliquez ensuite sur OK pour enregistrer
votre nouveau profil.
Cibles à analyser
La fenêtre des cibles à analyser permet de définir les objets (mémoire, lecteurs, secteurs, fichiers et dossiers) dans
lesquels rechercher des infiltrations. Sélectionnez les cibles dans l'arborescence qui dresse la liste de tous les
périphériques de l'ordinateur qui sont disponibles. Le menu déroulant Cibles à analyser permet de sélectionner
des cibles à analyser prédéfinies :
• Par paramètres de profil - Sélectionne les cibles dans le profil d'analyse sélectionné.
• Supports amovibles - Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD.
• Disques locaux - Sélectionne tous les disques durs du système.
• Lecteurs réseau - Sélectionne tous les disques réseau mappés.
• Sélection personnalisée – Permet à l'utilisateur de créer une sélection personnalisée de cibles.
Options d'analyse avancée
Dans cette fenêtre, vous pouvez préciser les options avancées d'une tâche d'analyse d'ordinateur planifiée. Vous
pouvez définir une action à effectuer automatiquement à la fin de l'analyse en utilisant le menu déroulant :
• Éteindre - L'ordinateur s'éteint après l'analyse.
• Redémarrer - Ferme tous les programmes et redémarre l'ordinateur après l'analyse.
• Mettre en veille - Enregistre votre session et met l'ordinateur dans un état de basse consommation afin
que vous puissiez reprendre rapidement votre travail.
• Hiberner - Met tout ce qui est en cours d'exécution sur la RAM dans un fichier spécial de votre disque dur.
Votre ordinateur s'éteint, mais retrouvera son état précédent au prochain démarrage.
• Aucune action - À la fin de l'analyse, aucune action ne sera effectuée.
Remarque
Gardez présent à l'esprit qu'un ordinateur en veille fonctionne toujours. Les
fonctions de base s'exécutent toujours et votre ordinateur reste alimenté lorsqu'il
fonctionne sur batterie. Pour préserver la batterie, par exemple lorsque vous êtes
en dehors de votre bureau, nous vous recommandons d'utiliser l'option Hiberner.
Sélectionnez L'action ne peut être annulée par l'utilisateur pour empêcher les utilisateurs non autorisés
d'annuler des actions après l'analyse.
Sélectionnez L'analyse pourra être suspendue par l'utilisateur pendant (min) pour permettre aux
utilisateurs non autorisés de suspendre l'analyse de l'ordinateur pendant une période précise.
52
Voir aussi la section Progression de l'analyse.
Contrôle de périphérique
ESET Endpoint Antivirus fournit un contrôle automatique des périphériques (CD/DVD/USB/...). Ce module vous
permet de bloquer ou de régler les filtres ou permissions étendus et de définir la capacité d'un utilisateur
d'accéder à un périphérique donné et travailler avec celui-ci. Cela peut être utile si l'administrateur de l'ordinateur
veut empêcher l'utilisation de périphériques comportant un contenu non sollicité par des utilisateurs.
Périphériques externes pris en charge :
• Stockage sur disque (Disque dur, Disque amovible USB)
• CD/DVD
• Imprimante USB
• Stockage FireWire
• Périphérique Bluetooth
• Lecteur de carte à puce
• Périphérique d'acquisition d'images
• Modem
• Port LPT/COM
• Appareil portable
• Tous les types de périphériques
Les options de contrôle de périphérique peuvent être modifiées dans Configuration avancée (touche F5) >
Contrôle de périphérique.
Activez le commutateur à côté de Intégration au système pour activer la fonctionnalité de contrôle du
périphérique de ESET Endpoint Antivirus; vous devrez redémarrer votre ordinateur pour que cette modification
prenne effet. Une fois le Contrôle de périphérique activé, l'option Règles est activée, ce qui vous permet d'ouvrir
la fenêtre Éditeur des règles.
Si un périphérique bloqué par une règle existante est inséré, une fenêtre de notification s'affiche et l'accès à au
périphérique est refusé.
Éditeur des règles du contrôle de périphérique
La fenêtre Éditeur des règles du contrôle de périphérique affiche les règles existantes et permet un contrôle
précis des périphériques externes que les utilisateurs utilisent pour se connecter à l'ordinateur.
53
Un périphérique particulier peut être autorisé ou bloqué en fonction de son utilisateur, de son groupe d'utilisateurs
ou de l'un des paramètres supplémentaires pouvant être précisés dans la configuration de la règle. La liste de
règles contient plusieurs éléments descriptifs d'une règle comme le nom, le type de périphérique externe, l'action
à effectuer après la connexion d'un périphérique externe à l'ordinateur et la gravité, tels que consignés dans le
journal.
Cliquez sur Ajouter ou Modifier pour gérer une règle. Décochez la case Activée située à côté de la règle pour la
désactiver jusqu'à ce que vous souhaitiez l'utiliser à nouveau. Sélectionnez une ou plusieurs règles et cliquez sur
Supprimer pour supprimer ces règles définitivement.
Copier - Crée une nouvelle règle avec les options prédéfinies utilisées pour une autre règle sélectionnée.
Cliquez sur l'option Alimenter pour remplir automatiquement les paramètres du support amovible connecté à
votre ordinateur.
Les règles sont classées par ordre de priorité; les règles ayant une priorité plus élevée sont plus près du sommet.
Les règles peuvent être déplacées en cliquant sur
Au dessus/Vers le haut/Vers le bas/En
dessous et peuvent être déplacées individuellement ou en groupes.
Le journal de contrôle des périphériques enregistre toutes les occurrences où le contrôle de périphérique est
déclenché. Les entrées de journal peuvent être affichées à partir de la fenêtre principale de ESET Endpoint
Antivirus dans Outils > Fichiers journaux.
Périphériques détectés
Le bouton Alimenter donne un aperçu de tous les périphériques actuellement connectés avec les informations
sur : le type de périphérique, le fournisseur du périphérique, le modèle et le numéro de série (si disponible).
Si un périphérique est sélectionné (à partir de la liste des périphériques détectés), cliquer sur OK ouvre une
fenêtre de l'éditeur de règle avec des informations prédéfinies (tous les paramètres peuvent être modifiés).
Groupes d'appareils
Avertissement
Le périphérique connecté à votre ordinateur peut présenter un risque pour la
sécurité.
54
La fenêtre Groupes de périphériques est divisée en deux sections. La partie droite de la fenêtre contient une liste
des périphériques appartenant au groupe respectif et la partie gauche de la fenêtre contient des groupes créés.
Sélectionnez un groupe avec une liste de périphériques que vous souhaitez afficher dans le volet de droite.
Lorsque vous ouvrez la fenêtre Groupes de périphériques et sélectionnez un groupe, vous pouvez ajouter ou
supprimer des périphériques dans la liste. Une autre façon d'ajouter des périphériques au groupe est de les
importer depuis un fichier. Vous pouvez aussi cliquer sur le bouton Remplir et tous les périphériques connectés à
votre ordinateur apparaitront dans la fenêtre Périphériques détectés. Sélectionnez un périphérique de la liste
remplie et ajoutez-le au groupe en cliquant sur OK.
Éléments de contrôle
Ajouter - Vous pouvez ajouter un groupe en entrant son nom ou un périphérique à un groupe existant (de
manière facultative, vous pouvez spécifier des détails comme le nom du vendeur, le modèle et le numéro de
série) selon la section de la fenêtre dans laquelle vous avez cliquez sur le bouton.
Modifier - Vous permet de modifier le nom du groupe sélectionné ou les paramètres du périphérique
(fournisseur, modèle, numéro de série).
Supprimer : Supprime le groupe ou le périphérique sélectionné en fonction de la partie de la fenêtre ou vous
avez cliqué sur le bouton.
Importer - Importe une liste de périphériques à partir d'un fichier.
Le bouton Alimenter donne un aperçu de tous les périphériques actuellement connectés avec les informations
sur : le type de périphérique, le fournisseur du périphérique, le modèle et le numéro de série (si disponible).
Une fois que vous avez terminé avec la personnalisation, cliquez sur OK. Cliquez sur Annuler si vous voulez
quitter la fenêtre Groupes de périphériques sans enregistrer les modifications.
Exemple
Vous pouvez créer différents groupes de périphériques pour lesquels des règles
différentes seront appliquées. Vous pouvez également créer un seul groupe de
périphériques pour lesquels la règle avec l'action Lecture/Écriture ou Lecture
seule sera appliquée. Cela garantit le blocage des périphériques non reconnus
par le contrôle des périphériques lorsqu'il est connecté à votre ordinateur.
À noter que seules certaines actions (autorisations) sont disponibles pour tous les types de périphériques. Si c'est
un périphérique de stockage, toutes les quatre actions sont disponibles. Pour les périphériques autres que de
stockage, seules trois actions sont disponibles (par exemple, l'action Lecture seule n'est pas disponible pour
Bluetooth, ce qui signifie que les périphériques Bluetooth ne peut qu'être autorisés, bloqués ou avertis).
Ajout de règles du contrôle de périphérique
Une règle de contrôle des périphériques définit l'action qui sera effectuée lorsqu'un périphérique conforme aux
critères énoncés dans la règle est branché à l'ordinateur.
55
Entrez une description de la règle dans le champ Nom pour pouvoir l'identifier plus facilement. Cliquez sur le
commutateur à côté de Règle activée pour activer ou désactiver cette règle, ce qui peut être utile si vous ne
voulez pas supprimer définitivement la règle.
Appliquer pendant : Cette option vous permet d'appliquer la règle créée pendant un certain temps. Dans le
menu déroulant, sélectionnez le créneau horaire créé. Pour plus de renseignements, cliquez ici.
Type de périphérique
Choisissez le type de périphérique externe dans le menu déroulant (Stockage sur disque/Dispositif
portable/Bluetooth/FireWire/etc.). Les renseignements de types de périphériques sont tirés du système
d'exploitation et peuvent être affichés dans le Gestionnaire de périphériques lorsqu'un périphérique est branché à
l'ordinateur. Les périphériques de stockage incluent les disques externes ou les lecteurs conventionnels de cartes
mémoires branchés à un port USB ou FireWire. Les lecteurs de cartes à puce comprennent les lecteurs de cartes à
puce avec circuit intégré, comme les cartes SIM ou les cartes d'authentification. Les numériseurs ou les appareils
photos sont des exemples de périphériques d'acquisition d'images. Parce que ces périphériques ne fournissent que
des renseignements sur leurs actions et ne fournissent pas de renseignements sur les utilisateurs, ils ne peuvent
être bloqués que globalement.
Remarque
La fonctionnalité de liste des utilisateurs n'est pas disponible pour le type de
périphérique modem. la règle sera appliquée à tous les utilisateurs et la liste des
utilisateurs actuelle sera supprimée.
Action
L'accès aux appareils autres que de stockage peut être autorisé ou bloqué. À l'inverse, les règles connexes aux
périphériques de stockage permettent de sélectionner l'un des droits suivants :
• Lecture et écriture - L'accès complet au périphérique sera autorisé.
• Bloquer - L'accès au périphérique sera bloqué.
• Lecture seule - Seule l'accès en lecture à partir du périphérique sera autorisée.
• Avertir - Chaque fois qu'un périphérique est connecté, l'utilisateur sera informé s'il est autorisé ou bloqué,
56
et une entrée de journal sera effectuée. Les périphériques ne sont pas mémorisés; une notification sera
toujours affichée pour les connexions ultérieures du même périphérique.
À noter que seules certaines actions (autorisations) sont disponibles pour tous les types de périphériques. Si c'est
un périphérique de stockage, toutes les quatre actions sont disponibles. Pour les périphériques autres que de
stockage, seules trois actions sont disponibles (par exemple, l'action Lecture seule n'est pas disponible pour
Bluetooth, ce qui signifie que les périphériques Bluetooth ne peut qu'être autorisés, bloqués ou avertis).
Type de critère - Sélectionnez Groupe de périphériques ou
Périphérique.
D'autres paramètres présentés ci-dessous peuvent être utilisés pour affiner les règles et les personnaliser en
fonction des périphériques. Aucun des paramètres n'est sensible à la casse :
• Fournisseur - Filtrer par nom de fournisseur ou par identifiant.
• Modèle - Nom donné au périphérique.
• Numéro de série - Les périphériques externes ont généralement leur propre numéro de série. Dans le cas
des CD/DVD, il s'agit du numéro de série du périphérique, non du lecteur de CD.
Remarque
Si ces paramètres ne sont pas définis, la règle ignorera ces champs lors de la
recherche de correspondance. Les paramètres de filtrage des champs de texte ne
respectent pas la casse et les caractères génériques (*, ?) ne sont pas pris en
charge.
Remarque
Pour afficher des informations sur un périphérique, créez une règle pour ce type
de périphérique, connectez-le à votre ordinateur, puis vérifiez les détails le
concernant dans le journal de contrôle du périphérique.
Journalisation de la gravité
• Toujours - Consigne tous les événements.
• Diagnostic - Consigne les données requises pour affiner le programme.
• Information - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi
que toutes les entrées préalables.
• Avertissements : Enregistre les erreurs critiques et les messages d'avertissement, puis les envoie à ERA
Server.
• Aucun - Aucune journalisation ne sera faite.
Les règles peuvent être restreintes à certains utilisateurs ou groupes d'utilisateurs en les ajoutant dans la liste
des utilisateurs :
• Ajouter - Ouvre la boîte de dialogue Types d'objet : Utilisateurs ou groupes qui permet de sélectionner
les utilisateurs voulus.
• Retirer - Retire l'utilisateur sélectionné du filtre.
Remarque
Ce ne sont pas tous les périphériques qui peuvent être filtrés par des règles
utilisateur (par exemple, les périphériques d'imagerie ne fournissent aucun
renseignement sur les utilisateurs, seulement sur les actions).
57
Host-based Intrusion Prevention System (HIPS)
Avertissement
Seul un utilisateur d'expérience devrait apporter des modifications aux
paramètres de HIPS. Une mauvaise configuration des paramètres HIPS peut
rendre le système instable.
Le Système de prévention des intrusions sur l'ordinateur hôte (HIPS) protège votre système des logiciels
malveillants ou de toute activité indésirable qui tentent de de nuire à votre ordinateur. Il utilise, pour ce faire, une
analyse comportementale évoluée combinée aux fonctionnalités de détection de filtrage du réseau utilisées dans
la surveillance des processus en cours, fichiers et clés de registre. Le système HIPS diffère de la protection en
temps réel du système de fichiers et ce n'est pas un pare-feu. Il surveille uniquement les processus en cours
d'exécution au sein du système d'exploitation.
Vous pouvez accéder aux paramètres de HIPS dans Configuration avancée (touche F5) Moteur de détection >
HIPS > Général. L'état du HIPS (activé/désactivé) s'affiche dans la fenêtre principale du programme ESET
Endpoint Antivirus sous Configuration > Ordinateur.
De base
Activer HIPS – HIPS est activé par défaut dans ESET Endpoint Antivirus. La désactivation de HIPS désactivera le
reste des fonctionnalités HIPS telles que le Bloqueur d'exploit.
Activer Autodéfense – ESET Endpoint Antivirus comporte une technologie d'autodéfense intégrée faisant partie
de HIPS qui empêche les logiciels malveillants de corrompre ou de désactiver votre protection antivirus et
antispyware. L'autodéfense protège le système crucial et les processus d'ESET, les clés de registre et les fichiers
contre les falsifications. L'agent ESET Management est également protégé lorsqu'il est installé.
Activer le service protégé - Active la protection du Service ESET (ekrn.exe). Lorsqu'il est activé, le service est
démarré en tant que processus Windows protégé pour défendre les attaques de logiciels malveillants. Cette option
58
est disponible dans Windows 8.1 et dans Windows 10.
Activer l'analyseur avancé de la mémoire - fonctionne avec le Bloqueur d'exploit pour renforcer la protection
contre les logiciels malveillants qui ont été conçus pour contourner la détection par les protection anti-logiciels
malveillants en utilisant l'obscurcissement ou le chiffrement. L'analyseur avancé de la mémoire est activé par
défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire.
Activer le Bloqueur d'exploit - cette fonction est conçue pour protéger les types d'applications souvent
exploités, comme les navigateurs, les lecteurs les PDF, les clients de messagerie et les composants MS Office. Le
bloqueur d'exploit est activé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire.
Inspection approfondie de comportement
Activer l'inspection approfondie de comportement - Il s'agit d'une autre couche de protection qui fait partie
de la fonctionnalité HIPS. Cette extension de HIPS analyse le comportement de tous les programmes en cours
d'exécution sur l'ordinateur et vous avertit si le comportement du processus est malveillant.
Les exclusions HIPS de l'inspection approfondie de comportement vous permettent d'exclure des processus de
l'analyse. Pour s'assurer que tous les processus sont analysés à la recherche de menaces possibles, nous
recommandons de ne créer des exclusions que lorsque cela est absolument nécessaire.
Bouclier anti-rançongiciel
Activer le Bouclier anti-rançongiciels - il s'agit d'une autre couche de protection qui fait partie de la
fonctionnalité HIPS. Le système de réputation ESET LiveGrid® doit être activé pour que le bouclier antirançongiciels fonctionne. Pour en savoir plus sur ce type de protection, cliquez sur ce lien.
Activer le mode d'audit - Tout ce qui est détecté par le bouclier contre les rançongiciels n'est pas
automatiquement bloqué, mais enregistré avec une gravité d'avertissement et envoyé à la console de gestion
avec l'indicateur « AUDIT MODE ». L'administrateur peut décider soit d'exclure une telle détection pour empêcher
toute détection ultérieure, soit de la garder active, ce qui signifie qu'une fois le mode Audit terminé, elle sera
bloquée et supprimée. L'activation ou la désactivation du mode Audit sera également enregistrée dans ESET
Endpoint Antivirus. Cette option est disponible uniquement dans ESMC ou dans l'éditeur de configuration de la
politique d'ESET PROTECT Cloud.
Configuration HIPS
Le filtrage peut être effectué selon l'un des modes suivants :
Mode de filtrage
Description
Mode automatique
Les opérations sont activées, à l'exception de celles bloquées par des règles prédéfinies qui protègent votre
système.
Mode intelligent
L'utilisateur ne sera informé que des événements vraiment suspects.
Mode interactif
L'utilisateur sera invité à confirmer les opérations.
Mode basé sur des règles
personnalisées
Boque toutes les opérations qui ne sont pas définies par une règle précise qui les autorise.
Mode d'apprentissage
Les opérations sont activées et une règle est créée après chaque opération. Les règles créées dans ce mode
peuvent être consultées dans l'éditeur des Règles HIPS, mais leur priorité est inférieure à celle des règles créées
manuellement ou des règles créées en mode automatique. Lorsque vous sélectionnez un Mode d'apprentissage a
partir du menu déroulant du Mode de filtrage, le réglage Le mode d'apprentissage se terminera à devient
disponible. Sélectionnez la plage de temps pendant laquelle vous souhaitez que le mode d'apprentissage soit
activé; la durée maximale est de 14 jours. Une fois que la durée indiquée sera écoulée, vous serez invité à
modifier les règles créées par HIPS alors qu'il était en mode d'apprentissage. Vous pouvez également choisir un
mode de filtrage différent, ou reporter la décision et continuer à utiliser le mode d'apprentissage.
Mode défini après l'expiration du mode d'apprentissage - Sélectionnez le mode de filtrage qui sera utilisé
après l'expiration du mode d'apprentissage. Après expiration, l'option Demander à l'utilisateur nécessite des
privilèges administratifs pour effectuer une modification du mode de filtrage HIPS.
Le système HIPS surveille les événements qui se produisent dans le système d'exploitation et réagit à ces derniers
en fonction des règles semblables à celles utilisées par le pare-feu. Cliquez sur Modifier à côté de Règles pour
ouvrir l'éditeur des règles HIPS. Dans la fenêtre des règles HIPS, vous pouvez sélectionner, ajouter, modifier ou
supprimer des règles. Plus de détails sur la création de règles et les opérations HIPS sont disponibles dans Modifier
59
une règle HIPS.
Fenêtre interactive HIPS
La fenêtre de notification HIPS vous permet de créer une règle basée sur les nouvelles actions détectées par HIPS,
puis de définir les conditions dans lesquelles autoriser ou refuser cette action.
Les règles créées à partir de la fenêtre de notification sont jugées équivalentes aux règles créées manuellement.
Une règle créée à partir d'une fenêtre de notification peut être moins précise que la règle qui a déclenché la
fenêtre de dialogue. Cela signifie qu'après la création d'une règle dans la boîte de dialogue, la même opération
peut déclencher la même fenêtre. Pour plus d'informations, consultez Priorité pour les règles HIPS.
Si l'action par défaut pour une règle est mise à Demander chaque fois, une boîte de dialogue s'affichera chaque
fois que la règle est déclenchée. Vous pouvez choisir de Refuser ou d'Autoriser l'opération. Si aucune action
n'est sélectionnée dans le temps imparti, une nouvelle action sera sélectionnée, en fonction des règles.
Mémoriser jusqu'à la fermeture de l'application provoque le recours à une action (Autoriser/Refuser) qui
devra être utilisée jusqu'à la modification des règles ou du mode de filtrage, une mise à jour du module HIPS ou le
redémarrage du système. À l'issue de l'une de ces trois actions, les règles temporaires seront supprimées.
L'option Créer une règle et se souvenir de manière permanente créera une nouvelle règle HIPS qui pourra
être modifiée ultérieurement dans la section Gestion des règles IHPS (requiert des privilèges d'administration).
Cliquez sur Détails en bas pour voir quelle application déclenche l'opération, quelle est la réputation du fichier ou
quel type d'opération il vous est demandé d'autoriser ou de refuser.
Vous pouvez accéder aux paramètres de règle plus détaillés en cliquant sur Options avancées. Les options cidessous sont disponibles si vous choisissez Créer une règle et se souvenir de manière permanente :
• Créer une règle valide seulement pour cette application - Si vous décochez cette case, la règle sera
créée pour toutes les applications source.
• Uniquement pour l'opération – Choisissez un fichier de règles / une application/une ou plusieurs opérations
de registre. Voir les descriptions pour toutes les opérations HIPS.
• Uniquement pour la cible - Choisissez un fichier de règles, une application ou des cibles de registre.
Notifications HIPS sans fin?
Pour que les notifications n'apparaissent pas, mettez le mode de filtrage sur Mode automatique
dans Configuration avancée (F5)> Moteur de détection > HIPS > Général.
60
Comportement d'un rançongiciel potentiel détecté
Cette fenêtre interactive apparaîtra lorsque le comportement d'un potentiel rançongiciel est détecté. Vous pouvez
choisir de Refuser ou d'Autoriser l'opération.
Cliquez sur Détails pour afficher des paramètres de détection spécifiques. La boîte de dialogue vous
permet d'envoyer pour analyse ou d'exclure de la détection.
Important
ESET LiveGrid® doit être activé pour que la protection contre les rançongiciels fonctionne
correctement.
Gestion des règles HIPS
Il s'agit d'une liste de règles définies par l'utilisateur et ajoutées automatiquement dans le système HIPS. Pour plus
de renseignements sur la création de règles et les opérations HIPS, reportez-vous au chapitre Paramètres des
règles HIPS. Vous pouvez consultez aussi Principe général des HIPS.
Colonnes
Règle - Nom de la règle défini par l'utilisateur ou choisi automatiquement.
Activée - Désactivez ce commutateur si vous voulez que la règle reste inscrite sur la liste, mais sans l'utiliser.
Action - La règle spécifie une action - Autoriser, Bloquer ou Demander - qui devrait être exécutée lorsque les
conditions sont satisfaites.
Sources - La règle ne sera utilisée que si l'événement est déclenché par cette ou ces applications.
Cibles - La règle sera utilisée uniquement si l'opération est liée à un fichier, à une application ou à une entrée de
registre spécifique.
Journal - Si vous activez cette option, l'information connexe à cette règle sera inscrite dans le journal HIPS.
Notifier - Une petite fenêtre contextuelle s'affichera dans le coin inférieur droit, lorsqu'un événement est
déclenché.
61
Éléments de contrôle
Ajouter - Crée une nouvelle règle.
Modifier - Permet de modifier les entrées sélectionnées.
Supprimer - Supprime les entrées sélectionnées.
Priorité pour les règles HIPS
Il n'y a pas d'options pour ajuster le niveau de priorité des règles HIPS à l'aide des boutons haut/bas.
• Toutes les règles que vous créez ont la même priorité
• Plus la règle est spécifique, plus la priorité est élevée (par exemple, la règle qui s'applique à une application
en particulier a une priorité supérieure à celle qui s'applique à toutes les applications).
• En interne, le système HIPS contient des règles de priorité supérieure qui ne vous sont pas accessibles (par
exemple, vous ne pouvez pas écraser les règles définies pour l'autodéfense).
• Une règle que vous créez et qui pourrait geler votre système d'exploitation ne sera pas appliquée (aura la
priorité la plus basse)
Paramètres de règle HIPS
Consultez d'abord Gestion des règles HIPS.
Nom de la règle - Nom de la règle défini par l'utilisateur ou choisi automatiquement.
Action - La règle précise une action - Autoriser, Bloquer ou Demander - qui doit être effectuée lorsque les
conditions sont satisfaites.
Opérations concernées - Vous devez sélectionner le type d'opérations auquel s'appliquera la règle. La règle ne
sera utilisée pour ce type d'opération et pour la cible sélectionnée.
Activé - Désactiver ce commutateur si vous voulez conserver la règle dans la liste sans l'appliquer.
Journal - Si vous activez cette option, l'information connexe à cette règle sera inscrite dans le journal HIPS.
Avertir l'utilisateur - Une petite fenêtre contextuelle s'affichera dans le coin inférieur droit, lorsqu'un événement
est déclenché.
La règle comporte plusieurs parties qui décrivent les conditions qui la déclenchent :
Applications sources - La règle ne sera utilisée que si l'événement est déclenché par cette ou ces applications.
Sélectionnez Applications spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux
fichiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter
toutes les applications.
Fichiers - La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Fichiers spécifiques dans
le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également
sélectionner Tous les fichiers dans le menu déroulant pour ajouter toutes les fichiers.
Applications - La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Applications
spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous
pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les
applications.
Entrées du régistre - La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Entrées
spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous
62
pouvez également sélectionner Toutes les entrées dans le menu déroulant pour ajouter toutes les applications.
Remarque
Certaines opérations de règles spécifiques prédéfinies par HIPS ne peuvent pas
être bloquées et sont autorisées par défaut. En plus, toutes les opérations
système ne sont pas contrôlées par HIPS. HIPS contrôle les opérations qui peuvent
être considérées comme dangereuses.
Description d'opérations importantes :
Opérations sur le fichier
• Supprimer le fichier - L'application vous invite à autoriser la suppression du fichier cible.
• Écrire dans le fichier - L'application vous invite à autoriser l'écriture dans le fichier cible.
• Accès direct au disque - L'application tente de lire ou d'écrire sur le disque d'une manière non standard,
qui contournera les procédures courantes de Windows. Cela peut entraîner la modification de fichiers sans
application des règles correspondantes. Cette opération peut découler d'un logiciel malveillant qui tente
d'éviter la détection, d'un logiciel de sauvegarde qui essaie de faire une copie exacte d'un disque ou d'un
gestionnaire de partitions qui tente de réorganiser des volumes de disque.
• Installer le crochet global - Se réfère à l'appel de la fonctionSetWindowsHookEx de la bibliothèque MSDN.
• Charger pilote - Installation et chargement de pilotes dans le système.
Activités de l'application
• Déboguer une autre application - Joindre un débogueur au processus. Lors du débogage d'une
application, de nombreux détails de son comportement peuvent être affichés et modifiés et ses données
deviennent accessibles.
• Intercepter des événements à partir d'une autre application - L'application source tente d'intercepter
des événements destinés à une application spécifique (par exemple un enregistreur de frappe qui tente de
capturer les événements d'un navigateur).
• Mettre fin à une autre application/la suspendre - Suspendre, reprendre ou arrêter un processus (accès
direct par l'explorateur de processus ou le volet Processus).
• Lancer une nouvelle application - Lancement de nouvelles applications ou de nouveaux processus.
• Modifier l'état d'une autre application - L'application source tente d'écrire dans la mémoire de
l'application cible ou d'exécuter du code en son nom. Cette fonctionnalité peut être utile pour protéger une
application essentielle en la configurant comme application cible dans une règle qui bloque l'utilisation de
cette opération.
Remarque
il n'est pas possible d'intercepter les opérations sur la version 64 bits de Windows
XP.
Opérations sur le registre
• Modifier les paramètres de démarrage - Toutes les modifications des paramètres qui définissent quelles
applications seront exécutées au démarrage de Windows. Il est possible de les trouver, par exemple, en
recherchant la cléRun dans le registre de Windows.
• Supprimer du registre - Supprimer une clé de registre ou sa valeur.
• Renommer la clé de registre - Renomme les clés de registre.
• Modifier le registre - Créer de nouvelles valeurs de clés de registre, modifier des valeurs existantes,
déplacer des données dans l'arborescence de la base de données ou définir les droits du groupe ou de
l'utilisateur à l'égard de clés de registre.
63
Remarque
Utiliser des caractères génériques dans les règles
Un astérisque ne peut être utilisé dans les règles que pour remplacer une clé particulière, par
exemple « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\*\Start ». Les autres utilisations des
caractères génériques ne sont pas prises en charge.
Création de règles ciblant la clé HKEY_CURRENT_USER
Cette clé sert simplement de lien vers la sous-clé appropriée de HKEY_USERS propre à l'utilisateur
identifié par le SID (identifiant sécurisé). Pour créer une règle uniquement pour l'utilisateur actuel,
utilisez un chemin pointant vers HKEY_USERS\%SID% au lieu du chemin d'accès à
HKEY_CURRENT_USER. En tant que SID, vous pouvez utiliser un astérisque pour rendre la règle
applicable à tous les utilisateurs.
Avertissement
Si vous créez une règle très générique, l'avertissement sur ce type de règle
s'affiche.
Dans l'exemple suivant, nous allons illustrer comment limiter le comportement indésirable d'une application
précise :
1.Nommez la règle et sélectionnez Bloquer (ou Demander si vous désirez choisir plus tard) dans le menu
déroulant Action.
2.Activez le commutateur Avertir l'utilisateur pour afficher une notification chaque fois qu'une règle est
appliquée.
3.Sélectionnez au moins une opération dans la section Opérations concernées pour laquelle la règle sera
appliquée.
4.Cliquez sur Suivant.
5.Dans la fenêtre Applications sources, sélectionnez Applications précises dans le menu déroulant
pour appliquer la nouvelle règle à toutes les applications qui tentent d'effectuer l'une des opérations
sélectionnées parmi celles spécifiées.
6.Cliquez sur Ajouter puis sur ... pour choisir le chemin d'accès à une application spécifique et appuyez sur
OK. Ajoutez d'autres applications si vous le souhaitez.
Par exemple : C:\Program Files (x86)\Untrusted application\application.exe
7.Sélectionnez l'opérationÉcrire dans un fichier
8.Sélectionnez Tous les fichiers dans le menu déroulant. Cela bloquera toute tentative d'écriture dans un
fichier par l'application ou les applications sélectionnées à l'étape précédente.
9.Cliquez sur Terminer pour enregistrer la nouvelle règle.
64
Configuration avancée de HIPS
Les options suivantes sont utiles pour déboguer et analyser le comportement d'une application :
Le chargement des pilotes est toujours autorisé - Le chargement des pilotes sélectionnés est toujours
autorisé, indépendamment du mode de filtrage défini, à l'exception des cas où un pilote est explicitement bloqué
par une règle de l'utilisateur.
Consigner toutes les opérations bloquées - Toutes les opérations bloquées seront consignées dans le journal
HIPS.
Aviser lorsqu'un changement est effectué dans les applications de démarrage - Affiche une notification
sur le bureau chaque fois qu'une application est ajoutée au démarrage du système ou supprimée lors de celui-ci.
Le chargement des pilotes est toujours autorisé
Les pilotes affichés dans cette liste pourront toujours être chargés indépendamment du mode de filtrage HIPS, à
moins qu'ils soient explicitement bloqués par une règle de l'utilisateur.
Ajouter - Permet d'ajouter un nouveau pilote.
Modifier - Permet de modifier le pilote sélectionné.
Supprimer - Permet de supprimer des pilotes de la liste.
Réinitialiser - Permet de recharger un ensemble de pilotes système.
REMARQUE
Cliquez sur Réinitialiser si vous ne voulez pas que les pilotes que vous avez ajoutés
manuellement soient inclus. Cela peut être utile si vous avez ajouté plusieurs pilotes et ne pouvez
pas les supprimer de la liste manuellement.
65
Mode présentation
Le mode présentation est une fonctionnalité destinée aux utilisateurs qui exigent une utilisation interrompue de
leur logiciel, qui ne veulent pas être dérangés par des fenêtres contextuelles et qui veulent minimiser la charge sur
l'UC. Le mode présentation peut aussi être utilisé lors de présentations qui ne peuvent être interrompues par
l'activité de l'antivirus. Lorsque ce mode est activé, toutes les fenêtres contextuelles sont désactivées et les tâches
programmées ne sont pas exécutées. La protection du système s'exécute toujours en arrière-plan, mais n'exige
aucune interaction de l'utilisateur.
Cliquez sur Configuration > Ordinateur, puis cliquez sur le commutateur à côté de Mode présentation pour
activer le mode présentation manuellement. Dans Configuration avancée (touche F5), cliquez sur Outils >
Mode présentation, puis cliquez sur le commutateur à côté de Activer automatiquement le mode
présentation lorsque les applications s'exécutent en mode plein écran pour que ESET Endpoint
Antivirus passe en mode présentation automatiquement lorsque les applications s'exécutent en mode
plein écran. Activer le mode présentation entraîne un risque potentiel; pour cette raison, l'icône de l'état de la
protection dans la barre des tâches devient orange en plus d'afficher un avertissement. Vous pouvez aussi voir cet
avertissement dans la fenêtre principale du programme où le mode présentation activé sera indiqué en orange.
En cochant la case Activer automatiquement le mode présentation lorsque ces applications s'exécutent
en mode plein écran, le mode présentation démarrera dès que vous lancerez une application en mode plein
écran et s'arrêtera automatiquement, dès que vous quitterez l'application. Cela est particulièrement utile pour
lancer le mode présentation immédiatement après le lancement d'un jeu, après le lancement d'une application en
plein écran ou après le démarrage d'une présentation.
Vous pouvez également sélectionner Désactiver le mode présentation automatiquement après pour définir
le temps en minutes après lequel le mode présentation sera automatiquement désactivée.
Analyse au démarrage
La vérification automatique des fichiers de démarrage sera effectuée par défaut au démarrage du système et
pendant la mise à jour des modules. Cette analyse dépend de la configuration et des tâches du Planificateur.
Les options pour l'analyse au démarrage font partie de la tâche du planificateur qu'est le contrôle des fichiers
de démarrage du système. Pour modifier les paramètres d'analyse au démarrage, il faut aller dans Outils >
Planificateur, puis cliquer sur Vérification automatique des fichiers de démarrage et sur Modifier. Une
fenêtre Vérification automatique des fichiers de démarrage s'affichera ensuite (consultez le chapitre suivant pour
plus de détails).
Pour des instructions détaillées sur la création et la gestion des tâches dans le Planificateur, consultez la section
Création de nouvelles tâches.
Vérification automatique des fichiers de démarrage
Lorsque vous créez une tâche planifiée de contrôle des fichiers au démarrage du système, plusieurs options
s'offrent à vous pour définir les paramètres suivants :
Le menu déroulant Cibles à analyser indique la profondeur de l'analyse pour les fichiers exécutés au démarrage
du système selon un algorithme sophistiqué confidentiel. Les fichiers sont classés en ordre décroissant, selon les
critères suivants :
• Tous les fichiers enregistrés (le plus grand nombre de fichiers analysés)
• Fichiers rarement utilisés
• Fichiers couramment utilisés
• Fichiers fréquemment utilisés
• Seulement les fichiers les plus fréquemment utilisés (le plus petit nombre de fichiers analysés)
Deux groupes spécifiques sont aussi inclus :
• Fichiers exécutés avant la connexion de l'utilisateur - Contient les fichiers enregistrés dans des
66
emplacements qui permettent d'y accéder sans que l'utilisateur n'ait ouvert de session (comprend presque
tous les emplacements de démarrage comme les services, les objets application d'assistance du navigateur, la
notification winlogon, les entrées dans le planificateur de Windows, les dll connus, etc.).
• Fichiers exécutés après la connexion de l'utilisateur - Contient les fichiers enregistrés dans des
emplacements qui permettent d'y accéder seulement que lorsque l'utilisateur a ouvert une session. Comprend
généralement les fichiers enregistrés dans le dossier
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)
Les listes de fichiers à analyser sont fixes, pour chacun des groupes susmentionnés.
Priorité de l'analyse - Le niveau de priorité à utiliser pour déterminer à quel moment débutera l'analyse :
• Quand inactif - La tâche ne sera exécutée que lorsque le système sera inactif,
• Minimale - Lorsque la charge système est la plus faible possible.
• Faible - Lorsque la charge système est faible.
• Normal - Pour une charge système moyenne.
Protection des documents
La fonctionnalité de protection des documents analyse les documents Microsoft Office avant leur ouverture,
comme les fichiers téléchargés automatiquement par Internet Explorer, tels que les éléments Microsoft ActiveX. La
protection des documents offre une couche de protection, en plus de la protection en temps réel du système de
fichiers et peut être désactivée afin d'améliorer la performance de systèmes qui ne gèrent pas un volume élevé de
documents Microsoft Office.
Pour activer la protection de documents, ouvrez la fenêtre Configuration avancée (F5) > Moteur de détection
> Analyse de logiciels malveillants > Protection des documents et cliquez sur le commutateur Intégrer
dans le système.
REMARQUE
Cette fonctionnalité est activée par des applications utilisant Antivirus API de Microsoft (par ex.,
Microsoft Office 2000et versions ultérieures, ou Microsoft Internet Explorer 5.0 et versions
ultérieures).
Exclusions
Les exclusions permettent d'exclure des objets de l'analyse du moteur de détection. Pour que la détection des
menaces s'applique à tous les objets, il est recommandé de ne créer des exclusions que lorsque cela est
absolument nécessaire. Certaines situations justifient l'exclusion d'un objet. Par exemple, lorsque les entrées de
bases de données volumineuses risquent de ralentir l'ordinateur pendant l'analyse ou lorsqu'il peut y avoir conflit
entre le logiciel et l'analyse (par exemple, le logiciel de sauvegarde).
Les exclusions de performance vous permettent d'exclure des fichiers et les dossiers de l'analyse. Les exclusions
de performance permettent d'exclure l'analyse au niveau du fichier des applications de jeu ou celles qui
provoquent un comportement anormal du système ou demandent des performances accrues.
Les exclusions de détection vous permettent d'exclure des objets du nettoyage à l'aide du nom de détection, du
chemin ou de son hachage. Les exclusions de détection n'excluent pas les fichiers et les dossiers de l'analyse
comme le font les exclusions de performance. Les exclusions de détection n'excluent les objets que lorsqu'ils sont
détectés par le moteur de détection et qu'une règle appropriée figure dans la liste d'exclusion.
Dans la version 7.1 et les versions inférieures, les exclusions relatives à la performance et les exclusions relatives à
la détection sont fusionnées en une seule.
Ne pas confondre avec d'autres types d'exclusions :
• Exclusions de processus : Toutes les opérations sur les fichiers attribuées à des processus d'application exclus
sont exclues de l'analyse (cela peut être nécessaire pour améliorer la vitesse de sauvegarde et la disponibilité
du service).
67
• Extensions de fichiers exclus
• Exclusions HIPS
• Filtre d'exclusion pour la protection basée sur le nuage
Exclusions de performance
Les exclusions de performance vous permettent d'exclure les fichiers et les dossiers de l'analyse.
Pour que la détection des menaces s'applique à tous les objets, il est recommandé de ne créer des exclusions de
performance que lorsque cela est absolument nécessaire. Certaines situations justifient l'exclusion d'un objet. Par
exemple, lorsque les entrées de bases de données volumineuses risquent de ralentir l'ordinateur pendant l'analyse
ou lorsqu'il peut y avoir conflit entre le logiciel et l'analyse.
Vous pouvez ajouter des fichiers et des dossiers à exclure de l'analyse dans la liste des exclusions grâce à
Configurations avancées (F5) > Moteur de détection > Exclusion > Exclusions de performance >
Modifier.
Pour exclure un objet (chemin: fichier ou dossier) de l'analyse, cliquez sur Ajouter et entrez le chemin d'accès
applicable ou sélectionnez-le dans l'arborescence.
REMARQUE
Une menace présente dans un fichier n'est pas détectée par le module de
Protection en temps réel du système de fichiers ou par le module
d'analyse de l'ordinateur si le fichier en question répond aux critères
d'exclusion de l'analyse.
Éléments de contrôle
• Ajouter – Permet d'ajouter une nouvelle entrée pour exclure les objets de l'analyse.
• Modifier - Permet de modifier les entrées sélectionnées.
• Supprimer - Supprime les entrées sélectionnées (utilisez CTRL + clic pour sélectionner plusieurs entrées).
• Importer/Exporter – L'importation et l'exportation des exclusions de performance sont utiles si vous
devez faire une copie de sauvegarde de vos exclusions actuelles pour pouvoir les utiliser par la suite.
L'option d'exportation des paramètres est aussi pratique pour les utilisateurs qui se trouvent dans des
68
environnements non gérés et qui veulent utiliser la configuration préférée sur plusieurs systèmes. Ils
peuvent alors importer facilement un fichier .txt pour transférer ces paramètres.
Afficher un exemple de format de fichier d'importation/exportation
# {"product":"endpoint","version":"7.2.2055","path":"plugins.01000600.settings.PerformanceExclusions","columns":["Path","Description"]}
C:\Backup\*,custom comment
C:\pagefile.sys,
Ajouter ou modifier des exclusions de performance
Cette fenêtre de dialogue exclut un chemin précis (fichier ou répertoire) pour cet ordinateur.
Choisissez le chemin ou saisissez-le manuellement
Pour choisir un chemin approprié, cliquez sur ... dans le champs Chemin d'accès.
Si vous choisissez de saisir le chemin manuellement, consultez les exemples de formats
d'exclusion supplémentaires ci-dessous.
Vous pouvez utiliser des caractères génériques pour exclure un groupe de fichiers. Un point d'interrogation (?)
représente un seul caractère tandis qu'un astérisque (*) représente une chaîne de zéro caractère ou plus.
Format d'exclusion
• Si vous souhaitez exclure tous les fichiers d'un dossier, tapez le chemin d'accès de ce dossier et
utilisez le masque *.*.
• Si vous ne souhaitez exclure que les fichiers .doc, utilisez le masque *.doc.
• Si le nom d'un fichier exécutable comporte un certain nombre de caractères variables dont vous
ne connaissez que le premier (p. ex « D »), utilisez le format suivant :
D????.exe (les points d'interrogation remplacent les caractères manquants/inconnus)
69
Variables système dans les exclusions
Vous pouvez utiliser des variables système telles que %PROGRAMFILES% pour définir des
exclusions d'analyse.
• Pour exclure le dossier Program Files à l'aide de cette variable système, utilisez le chemin
%PROGRAMFILES%\* (n'oubliez pas d'ajouter une barre oblique inverse et un astérisque à la fin du
chemin) lors de l'ajout aux exclusions
• Pour exclure tous les fichiers et les dossiers d'un sous-dossier %PROGRAMFILES%, utilisez le
chemin %PROGRAMFILES%\Excluded_Directory\*
Développez la liste des variables système prises en charge
Les variables suivantes peuvent être utilisées dans le format d'exclusion de chemin :
• %ALLUSERSPROFILE%
• %COMMONPROGRAMFILES%
• %COMMONPROGRAMFILES(X86)%
• %COMSPEC%
• %PROGRAMFILES%
• %PROGRAMFILES(X86)%
• %SystemDrive%
• %SystemRoot%
• %WINDIR%
• %PUBLIC%
Les variables système spécifiques à l'utilisateur (telles que %TEMP% ou %USERPROFILE%) ou les
variables d'environnement (telles que %PATH%) ne sont pas prises en charge.
Exclusions de chemin d'accèes utilisant un astérisque
Quelques exemples d'exclusion supplémentaires utilisant un astérisque :
C:\Tools\* – Le chemin doit se terminer par la barre oblique inverse et l'astérisque pour indiquer
que c'est un dossier et tous ses sous-dossiers qui sont exclus.
C:\Tools\*.dat exclura les fichiers .dat du dossier Tools.
C:\Tools\sg.dat exclura ce fichier particulier situé à l'emplacement indiqué par le chemin d'accès.
Une exception pour les exclusions de performance :
C:\Tools\*.* – Même comportement que C:\Tools\* (n'oubliez pas que le masque *.* n'exclura que
les fichiers ayant des extensions dans le dossier Tools).
Un exemple d'exclusion mal saisi manuellement :
C:\Tools – le dossier Tools ne sera pas exclu. Du point de vue de l'analyseur, Tools peut aussi être
un nom de fichier.
C:\Tools\ – N'oubliez pas d'ajouter l'astérisque à la fin du chemin : C:\Tools\*
Caractères génériques au milieu d'un chemin
Il est vivement recommandé de ne pas utiliser de caractères génériques au milieu d'un chemin
(par exemple, C:\Tools\*\Data\file.dat) sauf si votre infrastructure système le requiert. Consultez
l'article de la base de connaissances suivant pour plus de renseignements.
Il n'y a aucune restriction à l'utilisation de caractères génériques au milieu d'un chemin lorsque
vous utilisez l'exclusions de détection.
Ordre des exclusions
• Il n'y a pas d'options pour modifier le niveau de priorité des exclusions à l'aide des boutons
haut/bas
• Lorsque la première règle applicable est satisfaite par l'analyseur, la deuxième règle applicable
est ignorée
• Moins il y a de règles, meilleures sont les performances de l'analyse
• Évitez de créer des règles concurrentes
Format d'exclusion de chemin
Vous pouvez utiliser des caractères génériques pour exclure un groupe de fichiers. Un point d'interrogation (?)
représente un seul caractère tandis qu'un astérisque (*) représente une chaîne de zéro caractère ou plus.
70
Format d'exclusion
• Si vous souhaitez exclure tous les fichiers d'un dossier, tapez le chemin d'accès de ce dossier et
utilisez le masque *.*.
• Si vous ne souhaitez exclure que les fichiers .doc, utilisez le masque *.doc.
• Si le nom d'un fichier exécutable comporte un certain nombre de caractères variables dont vous
ne connaissez que le premier (p. ex « D »), utilisez le format suivant :
D????.exe (les points d'interrogation remplacent les caractères manquants/inconnus)
Variables système dans les exclusions
Vous pouvez utiliser des variables système telles que %PROGRAMFILES% pour définir des
exclusions d'analyse.
• Pour exclure le dossier Program Files à l'aide de cette variable système, utilisez le chemin
%PROGRAMFILES%\* (n'oubliez pas d'ajouter une barre oblique inverse et un astérisque à la fin du
chemin) lors de l'ajout aux exclusions
• Pour exclure tous les fichiers et les dossiers d'un sous-dossier %PROGRAMFILES%, utilisez le
chemin %PROGRAMFILES%\Excluded_Directory\*
Développez la liste des variables système prises en charge
Les variables suivantes peuvent être utilisées dans le format d'exclusion de chemin :
• %ALLUSERSPROFILE%
• %COMMONPROGRAMFILES%
• %COMMONPROGRAMFILES(X86)%
• %COMSPEC%
• %PROGRAMFILES%
• %PROGRAMFILES(X86)%
• %SystemDrive%
• %SystemRoot%
• %WINDIR%
• %PUBLIC%
Les variables système spécifiques à l'utilisateur (telles que %TEMP% ou %USERPROFILE%) ou les
variables d'environnement (telles que %PATH%) ne sont pas prises en charge.
Exclusions de détection
Les exclusions de détection vous permettent d'exclure des objets du nettoyage en filtrant le nom de détection, le
chemin de l'objet ou son hachage.
Comment fonctionnent les exclusions de détection
Les exclusions de détection n'excluent pas les fichiers et les dossiers de l'analyse comme le font
les exclusions de performance. Les exclusions de détection n'excluent les objets que lorsqu'ils sont
détectés par le moteur de détection et qu'une règle appropriée figure dans la liste d'exclusion.
Par exemple (voir la première ligne de l'image ci-dessous), lorsqu'un objet est détecté comme
Win32/Adware.Optmedia et que le fichier détecté est C:\Recovery\file.exe. Sur la deuxième ligne,
chaque fichier qui possède le hachage SHA-1 approprié sera toujours exclu peu importe le nom de
la détection.
71
Pour s'assurer que toutes les menaces sont détectées, nous recommandons de ne créer des exclusions de
détection que lorsque cela est absolument nécessaire.
Pour ajouter des fichiers et des dossiers à la liste des exclusions, accédez à Configurations avancées (F5) >
Moteur de détection > Exclusions > Exclusions de détection > Modifier.
Pour exclure un objet (par son nom de détection ou son hachage) du nettoyage, cliquez sur Ajouter.
Critères d'objet des exclusions de détection
• Chemin d'accès : Permet de limiter une exclusion de détection pour un chemin spécifié (ou tout autre).
• Nom de la détection - Si un nom de détection est indiqué à côté d'un fichier exclu, cela signifie que le
fichier est exclu pour la détection en question et non pour toutes les détection. Si ce fichier devient ensuite
infecté par d'autres logiciels malveillants, ceux-ci seront détectés. Ce type d'exclusions ne peut être utilisé
que pour certains types d'infiltrations et peut être créé soit dans la fenêtre d'alerte signalant l'infiltration
(cliquez sur Afficher les options avancées, puis en sélectionnant Exclure de la détection), ou en
cliquant sur Outils > Quarantaine, puis en faisant un clic droit sur le fichier mis en quarantaine.
Sélectionnez ensuite Restaurer et exclure de l'analyse dans le menu contextuel.
• Hachage – Exclut un fichier basé sur le hachage spécifié (SHA1), indépendamment du type de fichier, de
l'emplacement, du nom ou de son extension.
Éléments de contrôle
• Ajouter – Permet d'ajouter une nouvelle entrée pour exclure les objets du nettoyage.
• Modifier - Permet de modifier les entrées sélectionnées.
• Supprimer - Supprime les entrées sélectionnées (utilisez CTRL + clic pour sélectionner plusieurs entrées).
• Importer/Exporter – L'importation et l'exportation de fichiers exclus de la détection sont utiles si vous
devez faire une copie de sauvegarde de vos exclusions actuelles pour pouvoir les utiliser par la suite.
L'option d'exportation des paramètres est aussi pratique pour les utilisateurs qui se trouvent dans des
environnements non gérés et qui veulent utiliser la configuration préférée sur plusieurs systèmes. Ils
peuvent alors importer facilement un fichier .txt pour transférer ces paramètres.
Afficher un exemple de format de fichier d'importation/exportation
# {"product":"endpoint","version":"7.2.2055","path":"Settings.ExclusionsManagement.DetectionExclusions","columns":["Id","Path","ThreatName","Description","FileHash"]}
4c59cd02-357c-4b20-a0ac-ca8400000001,,,SuperApi.exe,00117F70C86ADB0F979021391A8AEAA497C2C8DF
2c362ac8-a630-496e-9665-c76d00000001,C:\Recovery\*.*,Win32/Adware.Optmedia,,
72
Configuration des exclusions de détection dans ESMC
ESMC 7.1 inclut un nouvel assistant pour la gestion des exclusions de détection : créez une exclusion de détection
et appliquez-la à un plus grand nombre d'ordinateurs ou de groupes.
Priorité éventuelle des exclusions de détection dans ESMC
Lorsqu'il existe déjà une liste locale d'exclusions de détection, l'administrateur doit appliquer une politique avec
Autoriser l'ajout d'exclusions de détection à une liste définie localement. Après cela, l'ajout des exclusions
de détection de ESMC fonctionnera comme prévu.
Ajouter ou modifier une exclusion de détection
Exclure la détection
Un nom de détection ESET valide doit être fournis. Pour un nom de détection valide, consultez les fichiers journaux,
puis sélectionnez Détections dans le menu déroulant Fichiers journaux. Cela est utile lorsqu'un faux échantillon
positif est détecté dans ESET Endpoint Antivirus. Les exclusions pour les infiltrations réelles sont très dangereuses;
envisagez d'exclure uniquement les fichiers ou les répertoires concernés en cliquant sur ... dans le champ Chemin
d'accès ou uniquement pendant une période de temps limitée. Les exclusions s'appliquent également aux
applications potentiellement indésirables, aux applications potentiellement dangereuses et aux applications
suspectes.
Voir aussi Format de chemin d'exclusion.
Voir l'exemple d’exclusion de détection ci-dessous.
73
Exclure le hachage
Exclut un fichier basé sur le hachage spécifié (SHA1), indépendamment du type de fichier, de l'emplacement, du
nom ou de son extension.
Exclusions par nom de détection
Pour exclure une détection précise en utilisant son nom, entrez un nom de
détection valide :
Win32/Adware.Optmedia
Vous pouvez également utiliser le format suivant lorsque vous excluez une
détection de la fenêtre d'alerte de ESET Endpoint Antivirus :
@NAME=Win32/Adware.Optmedia@TYPE=ApplicUnwnt
@NAME=Win32/TrojanDownloader.Delf.QQI@TYPE=Trojan
@NAME=Win32/Bagle.D@TYPE=worm
Éléments de contrôle
• Ajouter - Exclut des objets de la détection.
• Modifier - Permet de modifier les entrées sélectionnées.
• Supprimer - Supprime les entrées sélectionnées (utilisez CTRL + clic pour sélectionner plusieurs entrées).
Assistant de création d'exclusion de détection
Une exclusion de détection peut également être créée à partir du menu contextuel Fichiers journaux (non
disponible pour la détection de logiciels malveillants) :
1.Dans la fenêtre principale du programme, cliquez sur Outils > Fichiers journaux.
2.Cliquez avec le bouton droit de la souris sur une détection dans le journal des détections.
3.Cliquez sur Créer une exclusion.
Pour exclure une ou plusieurs détections basées sur les critères d'exclusion, cliquez sur Modifier le critère :
• Fichiers exacts : Exclure chaque fichier selon son hachage SHA-1.
• Détection : Permet d'exclure chaque fichier selon son nom de détection.
• Chemin + Détection : Exclure chaque fichier selon son nom de détection et son chemin, y compris le nom
du fichier (par exemple, file:///C:/Users/user/AppData/Local/Temp/34e1824e/ggdsfdgfd.pdf.exe).
L'option recommandée est présélectionnée en fonction du type de détection.
Vous pouvez éventuellement ajouter un Commentaire avant de cliquer sur Créer une exclusion.
74
Exclusions (version 7.1 et inférieure)
Dans la version 7.1 et les versions inférieures, les exclusions relatives à la performance et les exclusions relatives à
la détection sont fusionnées en une seule.
Exclusions de processus
La fonctionnalité Exclusions de processus vous permet d'exclure des processus d'application de la protection en
temps réel du système de fichiers. Pour améliorer la vitesse de sauvegarde, l'intégrité des processus et la
disponibilité du service, certaines techniques connues pour entrer en conflit avec la protection contre les logiciels
malveillants au niveau du fichier sont utilisées pendant la sauvegarde. Des problèmes similaires peuvent survenir
lors d'une tentative de migration en temps réel de machines virtuelles. Le seul moyen efficace d'éviter les deux
situations est de désactiver l'anti-logiciel malveillant. En excluant des processus spécifiques (par exemple ceux de
la solution de sauvegarde), toutes les opérations sur les fichiers attribuées à ce processus exclu sont ignorées et
considérées comme sûres, minimisant ainsi les interférences avec le processus de sauvegarde. Nous vous
recommandons de faire preuve de prudence lors de la création d'exclusions - un outil de sauvegarde exclu peut
accéder aux fichiers infectés sans déclencher une alerte. C'est pourquoi les autorisations étendues ne sont
autorisées que dans le module de protection en temps réel.
Les exclusions de processus aident à minimiser le risque de conflits potentiels et à améliorer les performances des
applications exclues, ce qui a un effet positif sur les performances globales et la stabilité du système
d'exploitation. L'exclusion d'un processus ou d'une application est une exclusion de son fichier exécutable (.exe).
Vous pouvez ajouter des fichiers exécutables dans la liste des processus exclus grâce à Configurations
avancées (F5) > Moteur de détection > Protection en temps réel du système de fichiers > Exclusion de
processus.
Cette fonctionnalité a été conçue pour exclure les outils de sauvegarde. Exclure le processus de l'outil de
sauvegarde de l'analyse garantit non seulement la stabilité du système, mais n'affecte pas non plus les
performances de la sauvegarde car elle n'est pas ralentie pendant son exécution.
75
Exemple :
Cliquez sur Modifier pour ouvrir la fenêtre de gestion Exclusions de processus, dans laquelle
vous pouvez ajouter des exclusions et rechercher un fichier exécutable (par exemple Backuptool.exe), qui sera exclu de l'analyse.
Dès que le fichier .exe est ajouté aux exclusions, l'activité de ce processus n'est pas contrôlée par
ESET Endpoint Antivirus et aucune analyse n'est exécutée sur les opérations sur les fichiers
effectuées par ce processus.
Important
Si vous n'utilisez pas la fonction de navigation lors de la sélection de l'exécutable de processus,
vous devez entrer manuellement le chemin complet de l'exécutable. Sinon, l'exclusion ne
fonctionnera pas correctement et HIPS pourra signaler des erreurs.
Au besoin, vous pouvez également modifier des processus existants ou les supprimer des exclusions.
REMARQUE
La protection de l'accès Web ne prend pas en compte cette exclusion. Par conséquent, si vous
excluez le fichier exécutable de votre navigateur Web, les fichiers téléchargés sont toujours
analysés. De cette façon, une infiltration peut toujours être détectée. Ce scénario n'est qu'un
exemple et nous vous déconseillons de créer des exclusions pour les navigateurs Web.
Ajouter ou modifier des exclusions de processus
Cette boîte de dialogue vous permet d'ajouter des processus exclus du moteur de détection. Les exclusions de
processus aident à minimiser le risque de conflits potentiels et à améliorer les performances des applications
exclues, ce qui a un effet positif sur les performances globales et la stabilité du système d'exploitation. L'exclusion
d'un processus ou d'une application est une exclusion de son fichier exécutable (.exe).
Exemple :
Sélectionnez le chemin du fichier d'une application qui fait partie des exceptions en cliquant sur ...
(par exemple C:\Program Files\Firefox\Firefox.exe). N'entrez PAS le nom de l'application.
Dès que le fichier .exe est ajouté aux exclusions, l'activité de ce processus n'est pas contrôlée par
ESET Endpoint Antivirus et aucune analyse n'est exécutée sur les opérations sur les fichiers
effectuées par ce processus.
Important
Si vous n'utilisez pas la fonction de navigation lors de la sélection de l'exécutable de processus,
vous devez entrer manuellement le chemin complet de l'exécutable. Sinon, l'exclusion ne
fonctionnera pas correctement et HIPS pourra signaler des erreurs.
Au besoin, vous pouvez également modifier des processus existants ou les supprimer des exclusions.
Exclusions HIPS
Les exclusions vous permettent d'exclure des processus de l'inspection comportementale approfondie HIPS (HIPS
Deep Behavioral Inspection).
Pour exclure un objet, cliquez sur Ajouter et entrez le chemin d'accès à un objet ou sélectionnez-le dans
l'arborescence. Vous pouvez également modifier ou supprimer les entrées sélectionnées.
ThreatSense paramètres
ThreatSense combine de nombreuses méthodes de détection de menaces complexes. Cette technologie proactive
fournit également une protection durant les premières heures de propagation d'une nouvelle menace. Elle utilise
une combinaison d'analyse de code, d'émulation de code, de signatures génériques et de signatures de virus qui
76
se conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur d'analyse est capable de contrôler
simultanément plusieurs flux de données, maximisant ainsi l'efficacité et le taux de détection. La technologie
ThreatSense élimine également avec succès les rootkits.
Les options de configuration du moteur ThreatSense permettent également de préciser plusieurs paramètres
d'analyse :
• Les types de fichiers et extensions à analyser
• La combinaison de plusieurs méthodes de détection
• les niveaux de nettoyage, etc.
Pour ouvrir la fenêtre de configuration, cliquez sur paramètres ThreatSense dans la fenêtre de configuration
avancée de tout module qui utilise la technologie ThreatSense (voir ci-dessous). Chaque scénario de sécurité peut
exiger une configuration différente. Sachant cela, ThreatSense peut être configuré individuellement pour les
modules de protection suivants :
• Protection en temps réel du système de fichiers
• Analyse en état inactif
• Analyse au démarrage
• Protection des documents
• Protection du client de messagerie
• Protection de l'accès Web
• Analyse de l'ordinateur
Les paramètres de ThreatSense sont hautement optimisés pour chaque module et leur modification peut
grandement affecter le fonctionnement du système. Par exemple, en modifiant les paramètres afin d'analyser à
chaque fois les compacteurs exécutables ou d'autoriser l'heuristique avancée dans la protection en temps réel du
système de fichiers, vous pouvez diminuer les performances du système (normalement, seuls les fichiers
nouvellement créés sont analysés par ces méthodes). Il est recommandé de laisser inchangés les paramètres par
défaut de ThreatSense pour tous les modules, à l'exception du module Analyse de l'ordinateur.
77
Objets à analyser
Cette section vous permet de définir quels éléments et fichiers de l'ordinateur seront analysés à la recherche
des infiltrations.
Mémoire vive - Activez cette option pour détecter les menaces qui s'attaquent à la mémoire vive du système.
Secteurs d'amorçage/UEFI - Analyse les secteurs d'amorçage à la recherche des logiciels malveillants dans
l'enregistrement de démarrage principal. Pour en savoir plus sur l'UEFI, consultez le glossaire.
Fichiers courriel - Le programme prend en charge les extensions suivantes : DBX (Outlook Express) et EML.
Archives – Le programme prend en charge les extensions suivantes : ARJ, BZ2, CAB, CHM, DBX, GZIP,
ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE, et beaucoup d'autres.
Archives à extraction automatique - Les archives à extraction automatique (SFX) sont des archives qui
peuvent s'extraire toutes seules.
Logiciels de compression exécutables - Après l'exécution, les logiciels de compression exécutables
(contrairement aux archiveurs standard) se décompressent dans la mémoire. En plus des compacteurs statiques
standards (UPX, yoda, ASPack, FSG, etc.), l'analyseur est capable der reconnaitre beaucoup d'autres types de
compacteurs grâce à l'utilisation de l'émulation de code.
Options d'analyse
Sélectionnez les méthodes utilisées lors de l'analyse du système à la recherche d'infiltrations. Les options
suivantes sont disponibles :
Heuristiques - La méthode heuristique utilise un algorithme d'analyse de l'activité (malveillante) des
programmes. Le principal avantage de cette technologie est sa capacité à identifier un code malveillant qui
n'existait pas ou n'était pas connu par le moteur de détection. L'inconvénient de cette méthode est la probabilité
(très faible) de fausses alarmes.
Heuristique avancée/Signatures ADN - La méthode heuristique avancée utilise un algorithme heuristique
développé par ESET, optimisé pour la détection des vers d'ordinateur et les chevaux de Troie et écrit dans un
langage de programmation de haut niveau. L'utilisation de l'heuristique avancée augmente considérablement les
capacités de détection de menaces des produits ESET. Les signatures peuvent détecter et identifier les virus de
façon fiable. Grâce au système de mise à jour automatique, de nouvelles signatures peuvent être disponibles
dans les quelques heures de la découverte d'une menace. L'inconvénient des signatures est qu'elles ne
détectent que les virus qu'elles connaissent (ou une version légèrement modifiée de ces virus).
Nettoyage
Les paramètres de nettoyage déterminent le comportement de ESET Endpoint Antivirus lors du nettoyage des
objets.
Exclusions
L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette
section de la configuration des paramètres ThreatSense vous permet de définir les types de fichiers à analyser.
Autre
Au moment de configurer les paramètres du moteur ThreatSense pour une analyse de l'ordinateur à la demande,
les options suivantes dans la section Autre seront aussi offertes :
Analyser les flux de données alternatifs (ADS) - Les flux de données alternatifs (ADS) utilisés par le
système de fichiers NTFS sont des associations de fichiers et de dossiers que les techniques d'analyse ordinaires
ne permettent pas de détecter. De nombreuses infiltrations tentent d'éviter la détection en se faisant passer
pour des flux de données alternatifs.
Exécuter les analyses en arrière-plan avec une priorité faible - Toute séquence d'analyse consomme une
certaine quantité de ressources système. Si vous utilisez des programmes qui exigent beaucoup de ressources
système, vous pouvez activer l'analyse en arrière-plan à faible priorité de manière à réserver des ressources
pour vos applications.
Consigner tous les objets – Le journal d'analyse affichera tous les fichiers analysés dans des archives autoextractibles, même ceux qui ne sont pas infectés (peut générer beaucoup de données de journal d'analyse et
78
augmenter la taille du fichier journal d'analyse).
Activer l'optimisation intelligente - Lorsque la fonction Optimisation intelligente est activée, les paramètres
les plus optimaux sont utilisés pour assurer le niveau d'analyse le plus efficient tout en conservant la vitesse
d'analyse la plus élevée. Les différents modules de protection effectuent une analyse intelligente, utilisant pour
ce faire différentes méthodes d'analyse et les appliquant à différents types de fichiers. Si l'optimisation Smart est
activée, seuls les paramètres définis par l'utilisateur dans le moteur ThreatSense utilisé pour ces modules
particuliers seront appliqués au moment de l'analyse.
Conserver la date et l'heure du dernier accès - Activez cette option pour conserver la date et l'heure
d'accès d'origine des fichiers analysés au lieu de la mettre à jour (par ex., pour l'utiliser avec des systèmes de
sauvegarde de données).
Limites
La section Limites permet de préciser la taille maximale des objets et les niveaux d'imbrication des archives à
analyser :
Paramètres de l'objet
Taille maximale de l'objet - Définit la taille maximale des objets à analyser. Le module antivirus donné
n'analysera alors que les objets d'une taille inférieure à celle indiquée. Cette option ne devrait être modifiée
que par des utilisateurs expérimentés ayant des raisons précises d'exclure de l'analyse des objets de plus
grande taille. Valeur par défaut : illimité.
Durée d'analyse maximale pour l'objet (en secondes) - Précise la valeur de temps maximale pour
l'analyse d'un objet. Si la valeur de ce champ a été définie par l'utilisateur, le module antivirus cessera
d'analyser un objet une fois ce temps écoulé, que l'analyse soit finie ou non. Valeur par défaut : illimité.
Configuration de l'analyse d'archive
Niveau d'imbrication des archives - Précise la profondeur maximale de l'analyse des archives. Valeur par
défaut : 10.
Taille maximale du fichier dans l'archive - Cette option permet de préciser la taille maximale des
fichiers (après extraction) à analyser, contenus dans les archives. Valeur par défaut : illimité.
Remarque
il n'est pas recommandé de modifier les valeurs par défaut. Dans des circonstances normales, il n'y a
aucune raison de le faire.
Niveaux de nettoyage
Pour accéder aux paramètres de niveau de nettoyage d'un module de protection, développez Paramètres
ThreatSense (par exemple, Protection en temps réel du système de fichiers), puis cliquez sur Nettoyage.
Les modules de protection en temps réel et les autres modules de protection disposent des niveaux de correction
(c'est-à-dire de nettoyage) suivants.
Correction dans ESET Endpoint Antivirus 7.2 et les versions ultérieures
Niveau de nettoyage
Description
Toujours corriger la détection
Cette option permet de tenter de corriger la détection
lors du nettoyage des objets sans aucune intervention
de l'utilisateur final. Dans de rares cas (fichiers
système, par exemple), si la détection ne peut pas
être corrigée, l'objet signalé est laissé à son
emplacement d'origine. Toujours corriger
l'infection est le paramètre par défaut recommandé
dans un environnement géré.
79
Corriger la détection si cela ne présente pas de danger,
conserver sinon
Cette option permet de tenter de corriger la détection
lors du nettoyage des objets sans aucune intervention
de l'utilisateur final. Dans certains cas (fichiers
système ou archives contenant à la fois des fichiers
propres et des fichiers infectés), si la détection ne peut
pas être corrigée, l'objet signalé est laissé à son
emplacement d'origine.
Corriger la détection si cela ne présente pas de danger,
demander sinon
Cette option permet de tenter de corriger la détection
lors du nettoyage des objets. Dans certains cas, si
aucune action ne peut être effectuée, l'utilisateur final
reçoit une alerte interactive et doit sélectionner une
action de correction (par exemple, supprimer ou
ignorer). Ce paramètre est recommandé dans la
plupart des cas.
Toujours demander à l'utilisateur final
Lors du nettoyage des objets, une fenêtre interactive
s'ouvre et l'utilisateur final doit sélectionner une action
de correction (par exemple, supprimer ou ignorer). Ce
niveau est conçu pour les utilisateurs plus avancés qui
savent quelles mesures prendre lorsqu'une détection
se produit.
Niveaux de nettoyage dans ESET Endpoint Antivirus 7.1 et les
version inférieures
Niveau de nettoyage
Description
Pas de nettoyage
Les détections ne sont pas nettoyés automatiquement. Le programme affiche alors une fenêtre d'avertissement et
laisse l'utilisateur choisir une action. Ce niveau est conçu pour les utilisateurs expérimentés qui savent quoi faire avec
chaque type d'infiltration.
Nettoyage normal
Le programme tente de nettoyer ou de supprimer automatiquement tout fichier infecté sur la base d'une action
prédéfinie (selon le type d'infiltration). La détection et la suppression d'un fichier infecté sont signalées par une
notification affichée dans l'angle inférieur droit de l'écran. S'il n'est pas possible de sélectionner automatiquement
l'action appropriée, le programme proposera d'autres actions de suivi. La même chose se produit lorsqu'une action
prédéfinie n'a pas pu être menée à bien.
80
Nettoyage rigoureux
Le programme nettoie ou supprime toutes les détections. Les seules exceptions sont les fichiers système. S'il n'est
pas possible de les nettoyer, une fenêtre avertissement invite l'utilisateur à sélectionner une action.
Le niveau de nettoyage mentionné est appliqué lors de la mise en place d'une politique ESMC pour les versions
plus anciennes de ESET Endpoint Antivirus :
Niveau de nettoyage dans la politique de ESMC
Niveau de nettoyage appliqué
Toujours corriger la détection
Nettoyage rigoureux
Corriger la détection si cela ne présente pas de danger, conserver sinon Nettoyage normal
Corriger la détection si cela ne présente pas de danger, demander sinon* Nettoyage normal
Toujours demander à l'utilisateur final
Pas de nettoyage
* La valeur par défaut lors de la mise à niveau vers la version 7.2 et ultérieure avec l'option Nettoyage normal
définie dans ESET Endpoint Antivirus.
Extension de fichiers exclus de l'analyse
L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette
section de la configuration des paramètres ThreatSense vous permet de définir les types de fichiers à analyser.
REMARQUE
Ne pas confondre avec d'autres types d'Exclusions.
Par défaut, les fichiers sont analysés. N'importe quelle extension peut être ajoutée à la liste des fichiers exclus de
l'analyse.
L'exclusion de fichiers peut parfois être utile lorsque l'analyse de certains types de fichiers empêche le
fonctionnement approprié du programme utilisant ces extensions. Par exemple, il peut être judicieux d'exclure les
extensions .edb, .eml et .tmp lorsque vous utilisez les serveurs Microsoft Exchange.
Exemple :
Pour ajouter une nouvelle extension à la liste, cliquez sur Ajouter, puis entrez
l'extension dans le champ vide, (par exemple, tmp); cliquez ensuite sur OK.
Lorsque vous sélectionnez Entrez plusieurs valeurs, vous pouvez ajouter
plusieurs extensions de fichier séparées par des lignes, des virgules ou des
points-virgules (Par exemple, choisissez Points-virgules dans le menu
déroulant comme séparateur et tapez edb;eml;tmp).
Vous pouvez utiliser le symbole spécial ? (point d'interrogation). Le point
d'interrogation représente n'importe quel symbole (par exemple ?db).
REMARQUE
Pour affiche l'extension exacte (le cas échéant) d'un fichier dans le système d'exploitation
Windows, vous devez décocher l'option Masquer l'extension des fichiers dont le type est
connu sous Panneau de configuration > Options des dossiers > Afficher (onglet) et
appliquez cette modification.
Autres paramètres ThreatSense
Autres paramètres ThreatSense pour les fichiers nouvellement créés et modifiés - La probabilité qu'un
fichier nouvellement créé ou modifié soit infecté est plus grande comparativement aux fichiers existants. C'est
pour cette raison que le programme utilise des paramètres d'analyse supplémentaires pour vérifier ces fichiers.
Outre les méthodes d'analyse basées sur les signatures, l'heuristique avancée est aussi utilisée, ce qui permet de
détecter les nouvelles menaces avant la diffusion de la mise à jour du moteur de détection. En plus des fichiers
nouvellement créés, l'analyse est aussi effectuée sur les fichiers à extraction automatique (.sfx) et les fichiers
81
exécutables compressés par un compresseur d'exécutables (interne). Par défaut, les archives sont analysées
jusqu'au dixième niveau d'imbrication et vérifiées indépendamment de leur taille réelle. Désactivez l'option
Paramètres d'analyse d'archive par défaut pour modifier les paramètres d'analyse de l'archive.
Pour plus de détails sur les fichiers exécutables compressés par un compresseur d'exécutables, les
archives à extraction automatique et l'heuristiques avancées, consultez la rubrique Configuration des
paramètres du moteur ThreatSense.
Autres paramètres ThreatSense pour les fichiers exécutés - Par défaut, les heuristiques avancées sont
utilisées lorsque des fichiers sont exécutés. Lorsque cette option est activée, nous vous recommandons fortement
de conserver l' optimisation intelligente et ESET LiveGrid® activés afin de réduire l'incidence sur la performance du
système.
Réseau
La section Réseau vous permet d'accéder rapidement aux composants ou paramètres suivants dans la
configuration avancée :
• Protection contre les attaques réseau (IDS) – Analyse le contenu du trafic réseau et protège contre les
attaques réseau. Tout trafic considéré comme nuisible sera bloqué. ESET Endpoint Antivirus vous informera
lorsque vous vous connectez à un réseau sans fil non protégé ou à un réseau dont la protection est faible.
• Protection contre un réseau d'ordinateurs zombies - Détecte rapidement et avec précision les
logiciels malveillants sur le système. Vous pouvez désactiver la protection contre les réseaux de zombies
pour une période de temps déterminée en cliquant sur
. (non recommandé)
• Adresse IP ajoutées temporairement à la liste noire - Voir une liste des adresses IP ayant été
détectées comme des sources d'attaque et ajoutées à la liste noire pour éviter toute connexion pendant un
certain temps. Pour plus d'informations, cliquez sur cette option et appuyez sur F1.
• Assistant de dépannage - Permet de résoudre les problèmes de connectivité causées par le pare-feu
d'ESET. Pour de plus amples renseignements, voir Assistant de dépannage.
82
Protection contre les attaques réseau
Activer la protection contre les attaques réseau (IDS) – Analyse le
contenu du trafic réseau et protège le réseau contre les attaques.
Tout trafic considéré comme dangereux sera bloqué.
Activer la protection de réseaux de zombies - Détecte et bloque les communications avec les commandes
malveillantes et les serveurs de contrôle en se basant sur les modèles types lorsque l'ordinateur est infecté et
qu'un bot tente d'établir une communication.Pour en savoir plus sur la protection contre les réseaux de zombies,
consultez le glossaire.
Exceptions IDS : cette option vous permet de configurer des options de filtrage avancées pour détecter plusieurs
types d'attaques et d'exploits susceptibles d'être utilisés pour endommager votre ordinateur.
Options avancées de filtrage
La section Protection contre les attaques réseau vous permet de configurer des options de filtrage avancées pour
détecter plusieurs types d’attaques et de vulnérabilités pouvant être perpétrés contre votre ordinateur.
Notification et journalisation
Dans certains cas, vous ne recevrez pas de notification de menace sur les
communications bloquées. Voir la section Journalisation et création de règles ou
d'exceptions à partir du journal pour des instructions sur la consultation de
toutes les communications bloquées dans le journal de pare-feu.
83
Disponibilité d'options particulières dans cette page d'aide
La disponibilité d’options particulières dans Configuration avancée (F5) > Protection du réseau
> Protection contre les attaques réseau peut varier en fonction du type ou de la version de
votre produit de terminal ESET et du module pare-feu, ainsi que la version de votre système
d'exploitation. Certains d'entre eux peuvent être disponibles uniquement pour ESET Endpoint
Security.
Détection d'intrusion
• Protocole SMB - Détecte et bloque les divers problèmes de sécurité dans le protocole SMB, à savoir :
• Détection d'attaque par détection de serveurs non autorisés - Cette option protège l'ordinateur
contre une attaque qui utilise un serveur non autorisé pendant l'authentification afin d'obtenir les
identifiants de l'utilisateur.
• Détection d'évasion IDS pendant l'ouverture d'un canal nommé - Détection de techniques d'évasion
connues pour ouvrir les canaux nommés MSRPC dans le protocole SMB.
• Détection CVE (Common Vulnerabilities and Exposures) - Méthodes de détection mises en œuvre de
diverses attaques, formes, trous de sécurité et exploits sur le protocole SMB. Voir le site Web CVE
cve.mitre.org pour plus de détails sur les identificateurs CVE (CVE).
• Protocole RPC - Détecte et bloque divers CVE dans le système d'appel de la procédure distante développé
pour le Distributed Computing Environment (DCE).
• Protocole RDP - Détecte et bloque divers CVE dans le protocole RDP (voir ci-haut).
• Bloquer l'adresse dangereuse après la détection d'une attaque - Les adresses IP ayant été détectées
comme des sources d'attaque sont ajoutées à la liste noire pour éviter toute connexion pendant un certain
temps.
• Afficher une notification à la détection d'une attaque - Active la notification dans la barre d'état
système, dans le coin inférieur droit de l'écran.
• Afficher également des notifications à la détection d'une attaque sur des failles de sécurité - Vous
averti lorsque des attaques sur des failles de sécurité sont détectées ou si une menace tente d'entrer dans le
système en utilisant des failles de sécurité.
Inspection des paquets
• Autoriser les connexions entrantes sur les partages admin dans le protocole SMB- Les partages
d'administration constituent les partages réseau par défaut qui partagent par défaut les partitions du disque dur
(C$, D$, ...) du système, et du dossier de fichiers (ADMIN$). Désactiver la connexion aux partages
d'administration devrait réduire bon nombre de risques pour la sécurité. Par exemple, le ver Conficker utilise les
attaques par dictionnaire pour se connecter aux partages d'administration.
• Refuser les anciens dialectes SMB (non pris en charge) - Refuser des sessions SMB utilisant un ancien
dialecte SMB, non pris en charge par IDS. Les systèmes d'exploitation Windows modernes prennent en charge
les anciens dialectes SMB en raison de la rétrocompatibilité avec les anciens systèmes d'exploitation comme
Windows 95. L'attaquant peut utiliser un ancien dialecte dans une session SMB pour éviter l'inspection. Refusez
les anciens dialectes SMB si votre ordinateur n'a pas à partager de fichiers (ou utiliser la communication SMB en
général) avec un ordinateur utilisant une version antérieure de Windows.
• Refuser les sessions SMB sans sécurité étendue - La sécurité étendue peut être utilisée pendant la
négociation de session SMB afin de fournir un mécanisme d'authentification plus sécurisé que l'authentification
par question/réponse du gestionnaire du réseau local (LM). Le schéma LM est jugé faible et son utilisation n'est
pas recommandée.
• Autoriser les communications avec le service Security Account Manager - Pour de plus amples
84
renseignements sur ces services, voir [MS-SAMR].
• Autoriser les communications avec le service Local Security Authority - Pour de plus amples
renseignements sur ces services, voir [MS-LSAD] et [MS-LSAT].
• Autoriser les communications avec le service Remote Registry - Pour de plus amples renseignements
sur ces services, voir [MS-RRP].
• Autoriser les communications avec le service Service Control Manager - Pour de plus amples
renseignements sur ces services, voir [MS-SCMR].
• Autoriser les communications avec le service Server - Pour de plus amples renseignements sur ces
services, voir [MS-SRVS].
• Autoriser les communications avec les autres services –.MSRPC est la version Microsoft du mécanisme
DCE RPC. MSRPC peut également utiliser des canaux nommés intégrés dans le protocole SMB (partage de
fichiers réseau) pour le transport (ncacn_np transport). Les services MSRPC fournissent les interfaces permettant
d'accéder à distance à vos systèmes Windows et de les gérer. Plusieurs vulnérabilités connexes à la sécurité ont
été découvertes dans le système MSRPC de Windows puis utilisées à mauvais escient (vers Conficker, Sasser,
etc.). Désactiver la communication avec les services MSRPC dont vous n'avez pas besoin peut permettre de
réduire bon nombre de risques pour la sécurité (comme l'exécution de code à distance ou des attaques par déni
de service).
• Vérifier l'état de la connexion TCP - Vérifie si tous les paquets TCP appartiennent à une connexion
existante. Si un paquet n'existe pas dans une connexion, il est abandonné.
• Maintenir les connexions TCP inactives - Pour fonctionner, certaines applications exigent que la connexion
TCP qu'elles établissent soit maintenue, même si elle peut être inactive. Sélectionnez cette option pour éviter de
mettre fin à des connexions TCP inactives.
• Détection de la surcharge du protocole TCP - Le principe derrière cette méthode consiste à soumettre
l'ordinateur/serveur à plusieurs demandes. Voir également Attaques par déni de service (DoS).
• Contrôle des messages par protocole ICMP - Empêche les attaques qui exploitent les faiblesses du
protocole ICMP, ce qui pourrait conduire à un état ou aucune réponse n'est reçue de l'ordinateur - voir
également DoS (attaque par déni de service).
• Données cachées dans la détection du protocole ICMP - Vérifie si le protocole ICMP n'est pas utilisé pour
le transfert de données. De nombreuses techniques malveillantes utilisent le protocole ICMP pour contourner le
pare-feu.
Voir cet article de la base de connaissances d'ESET pour une version à jour de cette page d'aide.
Exceptions IDS
Dans certaines situations, l'Intrusion Detection Service (service de détection d'intrusion) (IDS) peut détecter la
communication entre les routeurs ou d'autres périphériques réseau internes comme une attaque potentielle. Par
exemple, vous pouvez ajouter une adresse connue, sans danger, aux adresses exclues de la zone IDS pour
contourner l'IDS.
Instructions illustrées
Les articles suivants de la base de connaissances ESET peuvent n'être disponibles qu'en anglais :
• Créer des exclusions IDS sur les stations de travail clients dans ESET Endpoint Antivirus
• Créer des exclusions IDS pour les stations de travail clients dans ESET Security Management
Center
Colonnes
• Alerte - Type d'alerte.
85
• Application – Sélectionnez le chemin du fichier d'une application qui fait partie des exceptions en cliquant
sur ... (par exemple C:\Program Files\Firefox\Firefox.exe). N'entrez PAS le nom de l'application.
• IP distante - Liste d'adresses, de plages d'adresses ou de sous-réseaux IPv4 ou IPv6 distants. Lorsqu'il y a
plusieurs adresses, elles doivent être séparées par des virgules.
• Bloquer - Chaque processus du système a son propre comportement par défaut et sa propre action
attribuée (bloquer ou autoriser). Pour écraser le comportement par défaut de ESET Endpoint Antivirus, vous
pouvez choisir de la bloquer ou de l'autoriser à partir du menu déroulant.
• Notifier – Sélectionnez Oui pour afficher Notifications sur le bureau sur votre ordinateur. Sélectionnez Non
si vous ne voulez pas de notifications sur le bureau. Les valeurs disponibles sontpar défaut/Oui/Non.
• Journaliser – Sélectionnez Oui pour enregistrer les événements dans les fichiers journaux de ESET
Endpoint Antivirus. Sélectionnez Nonsi vous ne voulez pas enregistrer les événements. Les valeurs
disponibles sont par défaut/Oui/Non.
Gestion des exceptions IDS
• Ajouter - Cliquez pour créer une nouvelle exception IDS.
• Modifier - Cliquez pour modifier une exception IDS existante.
• Retirer - Sélectionnez et cliquez si vous voulez retirer une exception IDS de la liste.
•
Au dessus/Vers le haut/Vers le bas/En dessous - Permet de définir le niveau de
priorité des exceptions (les exceptions sont évaluées du haut vers le bas).
Exemple :
Vous souhaitez afficher une notification et faire une inscription au journal chaque fois que
l'événement se produit :
1.Cliquez sur Ajouter pour ajouter une nouvelle exception IDS.
2.Sélectionnez une alerte particulière dans le menu déroulant Alerte.
3.Cliquez sur... et sélectionnez le chemin de fichierde l'application à laquelle vous souhaitez
appliquer la notification.
4.Laissez la valeur par défaut dans le menu déroulant Bloquer. L'action par défaut appliquée
par ESET Endpoint Antivirus sera alors héritée.
5.Mettez les menus déroulants Notifier et Journaliser à Oui.
6.Cliquez sur OK pour enregistrer cette notification.
Exemple :
Vous souhaitez supprimer les notifications récurrentes pour un type d'alerte que vous ne
considérez pas comme une menace :
1.Cliquez sur Ajouter pour ajouter une nouvelle exception IDS.
2.Sélectionnez une alerte particulière dans le menu déroulant Alerte par exemple, Session SMB
sans extension de sécurité..
3.Sélectionnez Entrant dans le menu déroulant de direction dans le cas où il s'agit d'une
communication entrante.
4.Mettez le menu déroulant Notifier sur Non.
5.Mettez le menu déroulant Journaliser sur Oui.
6.LaissezApplication vide.
7.Si la communication ne provient pas d'une adresse IP particulière, laissez Adresse IP distante
vide.
8.Cliquez sur OK pour enregistrer cette notification.
Présumée menace bloquée
Cette situation peut se produire lorsqu'une application sur votre ordinateur tente de transmettre un trafic
malveillant à un autre ordinateur sur le réseau en exploitant une faille de sécurité ou si quelqu'un essaie d'analyser
les ports.
86
Menace - Nom de la menace.
Source - Adresse réseau source.
Cible - Adresse réseau cible.
Arrêter de bloquer - Crée une exception IDS pour la menace présumée avec les paramètres permettant la
communication.
Continuer de bloquer - Bloque la menace détectée. Pour créer une exception IDS avec les paramètres
permettant de bloquer la communication de cette menace, sélectionnez Ne plus m'envoyer de notification.
REMARQUE
Les informations affichées dans la fenêtre de notification peuvent varier selon le
type de menace détectée.
Pour plus de renseignements au sujet des menaces et d'autres termes associés,
consultez les rubriques Types d'attaques à distance ou Types de détection.
Dépannage de la protection du réseau
L'assistant de dépannage vous aide à résoudre les problèmes de connectivité causés par le pare-feu d'ESET. À
partir du menu déroulant, sélectionnez une période pendant laquelle la communication a été bloquée. Une liste
des communications récemment bloquées vous donne un aperçu au sujet du type d'application ou de périphérique,
de la réputation et du nombre total d'application et de périphériques bloqués pendant cette période. Pour en savoir
plus sur les communications bloquées, cliquez sur Détails. La prochaine étape consiste à débloquer l'application
ou le périphérique avec lequel vous éprouvez des problèmes de connectivité.
Lorsque vous cliquez sur Débloquer, la communication qui a été bloquée précédemment sera maintenant
autorisée. Si vous continuez à rencontrer des problèmes avec une application, ou si votre périphérique ne
fonctionne pas comme prévu, cliquez sur L'application ne fonctionne toujours pas et toutes les
communications qui ont été bloquées précédemment pour ce périphérique seront maintenant autorisées. Si le
problème persiste, redémarrez l'ordinateur.
Cliquez sur Afficher les modifications pour afficher les règles créés par l'assistant. De plus, vous pouvez afficher
les règles créées par l'assistant en passant par Configuration avancée > Protection du réseau > Pare-feu >
Avancé > Règles.
Cliquez sur Débloquer autre pour résoudre les problèmes de communications sur un autre périphérique
ou une autre application.
Adresse IP ajoutées temporairement à la liste noire
Pour afficher les adresses IP ayant été détectées comme des sources d'attaque et ajoutées à la liste noire pour
éviter toute connexion pendant un certain temps à partir de ESET Endpoint Antivirus, allez à Configuration >
Protection du réseau > Liste noire temporaire des adresses IP.
Colonnes
Adresse IP - une adresse IP ayant été bloquée.
Raison du blocage - montre le type d'attaque bloquée à partir de l'adresse (par exemple, une attaque de
balayage des ports TCP).
Délai - indique l'heure et la date où l'adresse expirera de la liste noire.
Éléments de contrôle
Supprimer - cliquez pour supprimer une adresse de la liste noire avant qu'elle n'expire.
Supprimer tout - cliquez pour retirer immédiatement toutes les adresses de la liste noire.
Ajouter une exception - cliquez pour ajouter une exception au pare-feu dans le filtrage IDS.
87
Résolution de problèmes de pare-feu d'ESET
Si vous rencontrez des problèmes de connectivité alors que ESET Endpoint Antivirus est installé, il y a plusieurs
façons de déterminer si le pare-feu d'ESET est l'origine du problème. En outre, le pare-feu peut vous aider à créer
de nouvelles règles ou exceptions pour résoudre les problèmes de connectivité.
Consultez les rubriques suivantes pour de l'aide sur la résolution des problèmes avec le pare-feu d'ESET :
• Assistant de dépannage
• Journalisation et création de règles ou d'exceptions à partir du journal
• Création d'exceptions à partir des notifications du pare-feu
• Journalisation PCAP avancée
• Résolutions des problèmes de filtrage des protocoles
Assistant de dépannage
L'assistant de dépannage surveille en silence toutes les connexions bloquées, et vous guide à travers le processus
de dépannage pour corriger les problèmes de pare-feu sur des applications ou des dispositifs précis. Ensuite,
l'assistant vous propose un nouvel ensemble de règles à appliquer si vous les approuvez. L'assistant de
dépannage se trouve dans le menu principal sous Configuration > Réseau.
Journalisation et création de règles ou d'exceptions à partir du journal
Par défaut, le pare-feu d'ESET ne consigne pas au journal toutes les connexions bloquées. Si vous voulez voir ce
qui a été bloqué par le pare-feu, activez la journalisation avancée de la protection réseau dans la section
Configuration avancée sous Outils > Diagnostics. Si vous voyez quelque chose dans le journal que vous ne
voulez pas que le pare-feu bloque, vous pouvez créer une règle ou une exception IDS en faisant un clic droit sur
cet élément et en sélectionnant Ne pas bloquer des événements semblables à l'avenir. Veuillez noter que le
journal de toutes les connexions bloquées peut contenir des milliers d'éléments et qu'il peut être difficile de
trouver une connexion en particulier dans ce journal. Vous pouvez désactiver la journalisation une fois le problème
résolu.
Pour de plus amples renseignements sur le journal, voir Fichiers journaux.
Remarque
Utilisez la journalisation pour voir l'ordre dans lequel le pare-feu bloque des
connexions spécifiques. En outre, la création de règles à partir du journal vous
permet de créer des règles qui font exactement ce que vous voulez.
Créer une règle à partir du journal
La nouvelle version de ESET Endpoint Antivirus permet de créer des règles à partir du journal. À partir du menu
principal, cliquez sur Outils > Fichiers journaux. Choisissez Protection du réseau dans le menu déroulant,
cliquez du droit sur l'entrée de journal désirée et sélectionnez Ne pas bloquer les événements semblables à
l'avenir dans le menu contextuel. Une fenêtre de notification affiche votre nouvelle règle.
Pour permettre la création de nouvelles règles à partir du journal, ESET Endpoint Antivirus doit être configuré avec
les paramètres suivants :
• mettez la verbosité minimale à Diagnostic dans Configuration avancée (touche F5) > Outils > Fichiers
journaux,
• activez Afficher également des notifications à la détection d'une attaque sur des failles de
sécurité dans Configuration avancée (touche F5) > Protection réseau > Protection contre les
88
attaques réseau > Options avancées > Détection d'intrusion.
Création d'exceptions à partir des notifications du pare-feu
Lorsque le pare-feu d'ESET détecte une activité malveillante sur le réseau, une fenêtre de notification décrivant
l'événement s'affiche. Cette notification contient un lien qui vous permettra d'en apprendre plus sur l'événement
et de créer une exception pour cet événement si vous le voulez.
Remarque
Si une application ou un périphérique réseau n'applique pas correctement les
normes du réseau, cela peut déclencher des notifications IDS de pare-feu
répétitives. Vous pouvez créer une exception directement à partir de la
notification afin d'empêcher le pare-feu d'ESET de détecter cette application ou ce
périphérique.
Journalisation PCAP avancée
Cette fonctionnalité est destinée à fournir des fichiers journaux plus complexes pour le soutien à la clientèle ESET.
Utilisez cette fonctionnalité uniquement si le soutien à la clientèle d'ESET vous le demande, car il peut générer un
fichier journal volumineux et ralentir votre ordinateur.
1.Allez à Configuration avancée > Outils > Diagnostics et activez Activer la journalisation avancée du
filtrage de protocole.
2.Essayez de reproduire le problème que vous rencontrez.
3.Désactivez la journalisation PCAP avancée.
4.Le fichier journal du PCAP se trouve dans le même répertoire où les vidages de mémoire de diagnostic sont
générés :
• Microsoft Windows Vista ou ultérieure
C:\ProgramData\ESET\ESET Security\Diagnostics\
• Microsoft Windows XP
C:\Documents and Settings\All Users\...
Résolutions des problèmes de filtrage des protocoles
Si vous rencontrez des problèmes avec votre navigateur ou votre client de messagerie, la première étape consiste
à déterminer si le filtrage de protocoles en est responsable. Pour ce faire, essayez de désactiver temporairement le
filtrage des protocoles d'application dans la configuration avancée (n'oubliez pas de le reactiver une fois que vous
aurez terminé, sinon votre navigateur et votre client de messagerie ne seront pas non protégés). Si votre problème
disparaît après cette désactivation, voici une liste des problèmes communs et un moyen de les résoudre :
Problèmes de mise à jour ou de communications sécurisées
Si votre application signale qu'elle ne peut pas effectuer de mise à jour ou qu'un canal de communication n'est pas
sécurisé :
• Si le filtrage de protocole SSL est activé, essayez de le désactiver temporairement. Si cette action règle le
problème, vous pouvez continuer à utiliser le filtrage SSL et effectuer la mise à jour en excluant la
communication problématique :
Mettez le mode de filtrage de protocole SSL à interactif. Exécutez à nouveau la mise à jour. Une boîte de
dialogue devrait vous informer sur le trafic réseau chiffré. Assurez-vous que l'application correspond à celle que
vous êtes en train de dépanner et que le certificat semble provenir du serveur à partir duquel la mise à jour est
89
effectuée. Ensuite, choisissez de mémoriser l'action de ce certificat et cliquez sur ignorer. Si aucune autre boîte
de dialogue pertinente ne s'affiche, vous pouvez changer le mode de filtrage et revenir à automatique et le
problème devrait être résolu.
• Si l'application en question n'est pas un navigateur ou un client de messagerie, vous pouvez complètement
l'exclure du filtrage de protocole (le faire pour un navigateur ou le client de messagerie vous exposerait). Toute
application dont les communications étaient déjà filtrées devrait être dans la liste qui vous est fournie lors de
l'ajout de l'exception; un ajout manuel ne devrait donc pas être nécessaire.
Problème d'accès à un périphérique sur votre réseau
Si vous ne parvenez pas à utiliser une fonctionnalité d'un périphérique sur votre réseau (il peut s'agir de
l'ouverture d'une page Web de votre webcam ou de la lecture vidéo sur un lecteur multimédia de maison), essayez
d'ajouter ses adresses IPv4 et IPv6 à la liste des adresses exclues.
Problèmes avec un site Web en particulier
Vous pouvez exclure des sites Web précis du filtrage de protocoles en utilisant la gestion d'adresse URL. Par
exemple, si vous ne parvenez pas à accéder à la page https://www.gmail.com/intl/en/mail/help/about.html, essayez
d'ajouter *gmail.com* à la liste des adresses exclues.
Erreur « Certaines des applications capables d'importer le certificat racine s'exécutent encore »
Lorsque vous activez le filtrage de protocole SSL, ESET Endpoint Antivirus veille à ce que les applications installées
fassent confiance à sa façon de filtrer le protocole SSL en important un certificat dans leurs magasins de
certificats. Pour certaines applications, cela n'est pas possible lorsqu'elles sont en cours d'exécution. Ces
applications incluent Firefox et Opera. Assurez-vous qu'aucune d'entre elles n'est en cours d'exécution (la
meilleure façon de le faire est d'ouvrir le Gestionnaire des tâches et de s'assurer qu'il n'y a pas de firefox.exe ou
d'opera.exe sous l'onglet Processus), puis essayez de nouveau.
Erreur sur un émetteur non fiable ou une signature non valide
Cela signifie probablement que l'importation décrite ci-dessus a échoué. D'abord, assurez-vous qu'aucune des
applications mentionnées n'est en cours d'exécution. Ensuite, désactivez le filtrage de protocole SSL et réactivezle. L'importation s'exécute alors de nouveau.
Web et messagerie
La configuration Web et messagerie se trouve sous Configuration > Web et messagerie. Elle permet d’accéder
à des paramètres plus détaillés du programme.
90
La connectivité Internet est un élément standard des ordinateurs personnels. Internet est malheureusement
devenu le principal mode de transfert du code malveillant. Il est donc essentiel de prêter une grande attention aux
paramètres de protection de l'accès Web.
La protection du client de messagerie offre le contrôle des communications par courriel effectuées par
l'entremise des protocoles POP3(S) et IMAP(S). À l'aide du plugiciel pour votre client de messagerie, ESET Endpoint
Antivirus assure le contrôle de toutes les communications utilisant le client de messagerie.
La protection anti-hameçonnage est une autre couche de protection qui offre une défense accrue contre les
sites Web malveillants qui tente d'obtenir les mots de passe ou d'autres informations sensibles. La protection antihameçonnage se trouve sur le volet Configuration, sous Web et messagerie. Voir Protection anti-hameçonnage
pour de plus amples renseignements.
Vous pouvez désactiver temporairement le module de protection Web/de la messagerie/anti-hameçonnage en
cliquant sur
.
Filtrage de protocole
La protection antivirus, pour les protocoles d'application, est fournie par le moteur d'analyse ThreatSense qui
intègre toutes les techniques d'analyse avancée des logiciels malveillants. Le filtrage des protocoles fonctionne
automatiquement, indépendamment du navigateur Internet et du client de messagerie utilisés. Pour modifier les
paramètres chiffrés (SSL), allez à Configuration avancée (F5) > Web et messagerie > SSL/TLS.
Activer le filtrage du contenu des protocoles d'application - Peut être utilisé pour désactiver le filtrage de
protocole. Notez que beaucoup de composants de ESET Endpoint Antivirus (protection de l'accès Web, protection
des protocoles de messagerie, anti-hameçonnage, contrôle Web) dépendent de cette option et ne fonctionneront
pas sans elle.
Adresses IP exclues - Permet d'exclure des applications spécifiques du filtrage de protocole. Cette option est
utile lorsque le filtrage de protocole crée des problèmes de compatibilité.
91
Applications exclues - Permet d'exclure des adresses distantes spécifiques du filtrage de protocole. Cette option
est utile lorsque le filtrage de protocole crée des problèmes de compatibilité.
Exemple d'adresses IP exclues
Adresses IPv4 et masque :
• 192.168.0.10 - Ajoute l'adresse IP d'un ordinateur individuel à laquelle appliquer la règle.
• 192.168.0.1 to 192.168.0.99 - Entrez la première et la dernière adresse IP pour préciser une
plage IP (de plusieurs ordinateurs) à laquelle appliquer la règle.
• Sous-réseau (un groupe d'ordinateurs) défini par une adresse IP et un masque. Par exemple,
255.255.255.0 est le masque réseau pour le préfixe 192.168.1.0/24, ce qui signifie que la plage
d'adresses va de 192.168.1.1 à 192.168.1.254.
Adresses IPv6 et masque :
• 2001:718:1c01:16:214:22ff:fec9:ca5 – l'adresse IPv6 d'un ordinateur individuel sur lequel la
règle doit être appliquée
• 2002:c0a8:6301:1::1/64 – Une adresse IPv6 avec une longueur de préfixe de 64 bits, ce qui
signifie 2002:c0a8:6301:0001:0000:0000:0000:0000 to 2002:c0a8:6301:0001:ffff:ffff:ffff:ffff
Applications exclues
Pour exclure du filtrage de protocole les communications de certaines applications sensibles au réseau, vous devez
les ajouter à la liste. Les communications HTTP/POP3/IMAP pour les applications sélectionnées ne seront pas
vérifiées à la recherche des menaces. Nous vous recommandons de n'utiliser cette technique que dans les cas où
les applications ne fonctionnent pas correctement lorsque le filtrage de protocole est activé.
Lorsque vous cliquez sur Ajouter, les applications et les services déjà concernés par le filtrage de protocole sont
automatiquement affichés.
Modifier - Modifie les entrées sélectionnées de la liste.
Retirer - Supprime des entrées de la liste.
Adresses IP exclues
Les adresses IP dans cette liste seront exclues du filtrage du contenu des protocoles. Les communications
envoyées à ces adresses ou reçues de celles-ci par les protocoles HTTP/POP3/IMAP ne seront pas vérifiées pour
savoir si elles contiennent des menaces. Il est recommandé de n'utiliser cette option que pour les adresses
connues pour être fiables.
92
Ajouter - Cliquez pour ajouter une adresse IP, une plage d'adresses ou un sous-réseau d'un point distant auquel la
règle doit être appliquée.
Modifier - Modifie les entrées sélectionnées de la liste.
Retirer - Supprime des entrées de la liste.
SSL/TLS
ESET Endpoint Antivirus est capable de vérifier les menaces dans les communications utilisant le protocole SSL.
Vous pouvez utiliser différents modes d'analyse pour les communications protégées par SSL à l'aide des certificats
fiables, des certificats inconnus ou des certificats exclus de la vérification des communications protégées par SSL.
Activer le filtrage des protocoles SSL/TLS - Le filtrage des protocoles est activé par défaut. Vous pouvez
désactiver le filtrage des protocoles SSL/TLS dans Configuration avancée > Web et messagerie > SSL/TLS ou
à l'aide d'une politique. Si le filtrage des protocoles est désactivé, le programme n'analysera pas les
communications via SSL.
Les options suivantes peuvent s'appliquer au mode de filtrage du protocole SSL/TLS :
Mode de filtrage
Description
Mode automatique
Le mode par défaut qui n'analysera que les applications appropriées comme les navigateurs Web et les clients de
messagerie. Vous pouvez modifier ce mode en sélectionnant les applications pour lesquelles les communications
seront analysées.
Mode interactif
Si vous entrez un nouveau site protégé par SSL (avec un certificat inconnu), une boite de dialogue de sélection
d'action s'affiche. Ce mode permet de créer une liste de certificats ou d'applications SSL qui seront exclus de
l'analyse.
Mode de politique
Sélectionnez cette option pour analyser toutes les communications protégées par SSL à l'exception des
communications protégées par des certificats exclus de la vérification. Si une nouvelle communication utilisant un
certificat signé, mais inconnu est établie, vous n'en serez pas avisé et la communication sera automatiquement
filtrée. Lorsque vous accédez à un serveur en utilisant un certificat non fiable indiqué comme étant fiable (ajouté
à la liste des certificats fiables), la communication avec le serveur est permise et le contenu du canal de
communication est filtré.
La Liste des applications SSL/TLS filtrées vous permet de personnaliser le comportement de ESET Endpoint
Antivirus pour des applications en particulier.
Liste des certificats connus vous permet de personnaliser le comportement de ESET Endpoint Antivirus pour
des certificats SSL spécifiques.
Exclure la communication avec les domaines de confiance – Lorsque cette option est activée, la
93
communication avec les domaines de confiance sera exclue de la vérification. La fiabilité des domaines est
déterminée par une liste blanche intégrée
Bloquer les communications chiffrées à l'aide du protocole obsolète SSL v2 - Les communications utilisant
la version antérieure du protocole SSL sont automatiquement bloquées.
Remarque
Les adresses ne seront pas filtrées si le paramètre Exclure la communication
avec les domaines de confiance est activé et que le domaine est considéré
comme domaine de confiance.
Certificat racine
Certificat racine - Pour que la communication SSL fonctionne correctement dans les navigateurs/clients de
messagerie, il est essentiel d'ajouter le certificat racine pour ESET à la liste des certificats racines connus
(éditeurs). L'option Ajouter le certificat racine aux navigateurs connus doit donc être activée. Activez
cette option pour ajouter automatiquement le certificat racine d'ESET aux navigateurs connus (par ex., Opera
et Firefox). Pour les navigateurs utilisant le magasin de certification système, le certificat sera
automatiquement ajouté (par ex., Internet Explorer).
Pour appliquer le certificat à des navigateurs non pris en charge, cliquez sur Afficher le certificat > Détails
> Copier dans un fichier..., puis importez-le manuellement dans le navigateur.
Validité du certificat
Si le certificat ne peut pas être vérifié à l'aide du magasin de certificats TRCA - Dans certains cas, le
certificat d'un site Web ne peut être vérifié à l'aide du magasin de certificats Autorités de certification racines
de confiance (TRCA). Cela veut dire que le certificat a été signé automatiquement par une personne
(l'administrateur d'un serveur Web ou d'une petite entreprise par exemple) et considérer ce certificat comme
étant un certificat fiable ne présente pas toujours de risque. Bon nombre de grandes entreprises (les banques,
par ex.) utilisent un certificat signé par le TRCA. Si l'option Interroger sur la validité du certificat (valeur
par défaut) est sélectionnée, l'utilisateur sera invité à sélectionner une action à prendre lorsqu'une
communication encryptée est établie. Vous pouvez sélectionner Bloquer toute communication utilisant le
certificat afin de toujours mettre fin aux connexions chiffrées vers des sites utilisant des certificats non
vérifiés.
Si le certificat est non valide ou incorrect - Cela signifie qu'il est expiré ou a été signé de façon incorrecte.
Dans un tel cas, il est recommandé de bloquer la communication qui utilise le certificat sélectionné.
Exemples illustrés
Les articles suivants de la base de connaissances ESET peuvent n'être disponibles qu'en anglais :
• Notifications de certificat dans les produits ESET
• « Trafic réseau chiffré : Certificat non approuvé » s'affiche lors de la visite de pages Web
Certificats
Pour que la communication SSL fonctionne correctement dans les navigateurs/clients de messagerie, il est
essentiel d'ajouter le certificat racine pour ESET à la liste des certificats racines connus (éditeurs). L'option Ajouter
le certificat racine aux navigateurs connus doit donc être activée. Activez cette option pour ajouter
automatiquement le certificat racine d'ESET aux navigateurs connus (par ex., Opera et Firefox). Pour les
navigateurs utilisant le magasin de certification système, le certificat sera automatiquement ajouté (par ex.,
Internet Explorer). Pour appliquer le certificat à des navigateurs non pris en charge, cliquez sur Afficher le
certificat > Détails > Copier dans un fichier..., puis importez-le manuellement dans le navigateur.
Dans certains cas, le certificat ne peut être vérifié à l'aide du magasin d'Autorités de certification de racine de
confiance (VeriSign, par ex.). Cela veut dire que le certificat été signé automatiquement par une personne
(l'administrateur d'un serveur Web ou d'une petite entreprise, par ex.) et voir ce certificat comme étant un
certificat fiable ne présente pas toujours de risque. Bon nombre de grandes entreprises (les banques, par ex.)
utilisent un certificat signé par TRCA. Si l'option Interroger sur la validité du certificat (valeur par défaut) est
sélectionnée, l'utilisateur sera invité à sélectionner une action à prendre lorsqu'une communication encryptée est
94
établie. Une boîte de dialogue de sélection d'une action dans laquelle vous pouvez décider de marquer le certificat
comme fiable ou exclus s'affichera. Dans les cas où le certificat ne fait pas partie de la liste TRCA, la fenêtre sera
rouge. Si le certificat fait partie de la liste TRCA, la fenêtre sera verte.
Vous pouvez sélectionner Bloquer toute communication utilisant le certificat pour qu'elle mette toujours fin
à une connexion chiffrée à un site qui utilise un certificat non vérifié.
Si le certificat est non valide ou incorrect, cela signifie qu'il est expiré ou a été autosigné de façon incorrecte. Dans
un tel cas, il est recommandé de bloquer la communication qui utilise le certificat.
Trafic réseau chiffré
Si votre système est configuré pour utiliser l'analyse du protocole SSL, une fenêtre de dialogue vous invitant à
choisir une action s'affichera dans deux situations :
Premièrement, si un site utilise un certificat invérifiable ou non valide, et que ESET Endpoint Antivirus est configuré
pour demander l'avis de l'utilisateur dans de tels cas (par défaut oui pour les certificats invérifiables et non pour
les certificats non valides), une boîte de dialogue vous demandera d'autoriser ou de bloquer la connexion. Si le
certificat ne se trouve pas dans le Trusted Root Certification Authorities store (TRCA), il est considéré comme non
approuvé.
Deuxièmement, si le mode de filtrage du protocole SSL est réglé sur le mode interactif, une boîte de
dialogue pour chaque site vous demandera si vous voulez analyser ou ignorer le trafic. Certaines applications
vérifient que leur trafic SSL n'est ni modifié ni consulté par quiconque; dans de tels cas ESET Endpoint Antivirus
doit ignorer ce trafic pour que l'application continue de fonctionner.
Exemples illustrés
Les articles suivants de la base de connaissances ESET peuvent n'être disponibles qu'en anglais :
• Notifications de certificat dans les produits ESET
• « Trafic réseau chiffré : Certificat non approuvé » s'affiche lors de la visite de pages Web
Dans les deux cas, l'utilisateur peut choisir de mémoriser l'action sélectionnée. Les actions sont enregistrées dans
la Liste des certificats connus.
Liste des certificats connus
La Liste des certificats connus peut être utilisée pour personnaliser le comportement de ESET Endpoint
Antivirus pour des certificats SSL spécifiques, et pour mémoriser les actions choisies si le Mode interactif est
sélectionné dans Mode de filtrage du protocole SSL/TLS. La liste peut être affichée et modifiée dans
Configuration avancée (touche F5) > Web et messagerie > SSL/TLS > Liste des certificats connus.
La fenêtre Liste des certificats connus comprends :
Colonnes
Nom - Le nom du certificat.
Émetteur du certificat - Nom du créateur du certificat.
Objet du certificat - Le champ Objet du certificat identifie l'entité associée à la clé publique stockée dans le
champ d'objet de clé publique.
Accès - Sélectionnez Autoriserou Bloquer comme Action d'accès pour autoriser ou bloquer toute
communication sécurisée par ce certificat indépendamment de sa fiabilité. Sélectionnez Auto pour autoriser
les certificats fiables et demander l'action à entreprendre pour les certificats non fiables. Sélectionnez
Demander pour toujours demander à l'utilisateur l'action à entreprendre.
Analyser - Sélectionnez Analyser ou Ignorer comme action d'analyse pour analyser ou ignorer toute
communication sécurisée par ce certificat. Sélectionnez Auto pour activer le mode d'analyse automatique et
demander l'action à entreprendre en mode interactif. Sélectionnez Demander pour toujours demander à
95
l'utilisateur l'action à entreprendre.
Éléments de contrôle
Ajouter - Il est possible de charger un certificat manuellement en tant que fichier avec l'extension .cer, .crt ou
.pem. Cliquez sur Fichier pour téléverser un certificat local ou cliquez sur URL pour spécifier l'emplacement
d'un certificat en ligne.
Modifier - Sélectionnez le certificat que vous voulez configurer et cliquez sur Modifier.
Supprimer : Sélectionnez le certificat que vous voulez supprimer et cliquez sur Supprimer.
OK/Annuler - Cliquez sur OK si vous voulez enregistrer les modifications ou cliquez sur Annuler pour quitter
sans enregistrer.
Liste des applications SSL/TLS filtrées
La liste des applications SSL/TLS filtrées peut être utilisée pour personnaliser le comportement de ESET
Endpoint Antivirus pour des applications spécifiques, et pour se rappeler des actions choisies si le mode interactif
est sélectionné dans le mode de filtrage du protocole SSL/TLS. La liste peut être affichée et modifiée dans
Configuration avancée (F5) > Web et messagerie > SSL/TLS > Liste des applications SSL/TLS filtrées.
La fenêtre liste des applications SSL/TLS filtrées comprend :
Colonnes
Application - Nom de l'application.
Action d'analyse - Sélectionnez Analyser ou Ignorer pour procéder à l'analyse ou ignorer la
communication. Sélectionnez Auto pour activer le mode d'analyse automatique et demander l'action à
entreprendre en mode interactif. Sélectionnez Demander pour toujours demander à l'utilisateur l'action à
entreprendre.
Éléments de contrôle
Ajouter - Ajouter l'application filtrée.
Modifier - Sélectionnez le certificat que vous voulez configurer et cliquez sur Modifier.
Retirer : Sélectionnez le certificat que vous voulez supprimer et cliquez sur Retirer.
OK/Annuler - Cliquez sur OK si vous souhaitez enregistrer les modifications ou cliquez sur Annuler si vous
souhaitez quitter sans enregistrer.
Protection du client de messagerie
L'intégration de ESET Endpoint Antivirus dans votre client de messagerie augmente le niveau de protection active
contre le code malveillant dans les courriels. Si votre client de messagerie est pris en charge, l'intégration peut
être activée dans ESET Endpoint Antivirus. Lorsque l'intégration dans votre client de messagerie est faite, la barre
d'outils de ESET Endpoint Antivirus est insérée directement dans le client de messagerie, permettant une
protection plus efficace des courriels. Les paramètres d'intégration sont situés sous Configuration avancée (F5)
> Web et messagerie > Protection du client de messagerie > Clients de messagerie.
96
Intégration des clients de messagerie
Les clients de messagerie actuellement pris en charge sont Microsoft Outlook, Outlook Express, Windows Mail
et Windows Live Mail. La protection de la messagerie fonctionne comme un plugiciel pour ces programmes.
L'avantage principal du plugiciel est qu'il est indépendant du protocole utilisé. Ainsi, quand un client de
messagerie reçoit un message chiffré, il le déchiffre et l'envoie à l'analyseur de virus. Pour la liste complète des
clients de messagerie et de leurs versions pris en charge, reportez-vous à l'article Base de connaissances
d'ESET.
Activez l'option Désactiver la vérification au changement de contenu de la boîte aux lettres si vous
constatez un ralentissement du système lors de la récupération des courriels.
Messages à analyser
Activer la protection du courriel par des modules d'extension client – Lorsque cette option est désactivée,
la protection par les modules d'extension du client de messagerie est désactivée.
Courriel reçu - Les courriels reçus sont vérifiés lorsque cette option est activée.
Courriel envoyés - Les courriels envoyés sont vérifiés lorsque cette option est activée.
Courriel lus - Les courriels lus sont vérifiés lorsque cette option est activée.
REMARQUE
Nous vous recommandons de conserver l'option Activer la protection du courriel par les
modules d'extension des clients activée. Même si l'intégration n'est pas activée ni
fonctionnelle, la communication par courriel est toujours protégée par le filtrage des protocoles
(IMAP/IMAPS et POP3/POP3S).
Action à effectuer sur les messages infectés
Aucune action - Si cette option est activée, le programme identifiera les messages infectés, les laissera tels quels
et n'effectuera aucune action.
97
Supprimer les messages - Le programme avertit l'utilisateur à propos des infiltrations et supprime le message.
Déplacer le message vers le dossier Éléments supprimés - Les messages infectés seront automatiquement
déplacés vers le dossier Éléments supprimés.
Déplacer le message vers le dossier (action par défaut) - Les messages infectés seront automatiquement
déplacés vers le dossier indiqué.
Dossier - Indiquez le dossier personnalisé dans lequel vous voulez placer les courriels infectés lorsqu'ils sont
détectés.
Répéter l'analyse après la mise à jour - Réanalyse les courriels infectés après une mise à jour du moteur de
détection lorsque cette option est activée.
Accepter les résultats d'analyse des autres modules - Permet au module de protection de courriels
d'utiliser les résultats d'analyse reçus des autres modules de protection au lieu de procéder à une nouvelle
analyse.
Protocoles de messagerie
IMAP et POP 3 sont les protocoles les plus couramment utilisés pour recevoir des courriels à l'aide d'une application
de client de messagerie. Le protocole Internet Message Access Protocol (IMAP) est un autre protocole Internet
utilisé pour la récupération des courriels. L'IMAP offre quelques avantages par rapport à POP3 : par exemple,
plusieurs clients peuvent se connecter simultanément à la même boîte aux lettres et conserver l'information sur
l'état des messages tel que le fait de savoir si le message a été lu ou non, si une réponse a été envoyée ou s'il a
été supprimé. Le module de protection assurant ce contrôle est automatiquement lancé au démarrage du système
et est alors actif en mémoire.
ESET Endpoint Antivirus fournit une protection pour ces protocoles, indépendamment du client de messagerie
utilisé, et sans nécessiter la reconfiguration du client de messagerie. Par défaut, toutes les communications via les
protocoles POP3 et IMAP sont analysées, quels que soient les numéros de port POP3 / IMAP par défaut.
Le protocole MAPI n'est pas analysé. Cependant, la communication avec le serveur Microsoft Exchange peut être
analysée par le module d'intégration dans les clients de messagerie tels que Microsoft Outlook.
Nous vous recommandons de conserver l'option Activer la protection courriel par filtrage des protocoles
activée. Pour configurer la vérification des protocoles IMAP/IMAPS et POP3/POP3S, accédez à Configuration
avancée > Web et messagerie > Protection du client de messagerie > Protocoles de messagerie.
ESET Endpoint Antivirus prend également en charge l'analyse des protocoles IMAPS (585,993) et POP3S (995) qui
utilisent un canal chiffré pour transférer des données entre un serveur et un client. ESET Endpoint Antivirus vérifie
les communications utilisant les protocoles SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le
programme analysera uniquement le trafic sur les ports définis dans Ports utilisés par le protocole
IMAPS/POP3S, indépendamment de la version du système d'exploitation.
Les communications chiffrées seront analysées par défaut. Pour visualiser la configuration de l'analyseur, allez
jusqu'à l'option SSL/TLS dans la section Configuration avancée, cliquez sur Web et messagerie > SSL/TLS et
activez l'option Activer le filtrage par protocole SSL/TLS.
98
Alertes et notifications par courriel
Vous pouvez configurer les options de cette fonctionnalité dans Configuration avancée > Web et messagerie
> Protection du client de messagerie > Alertes et notifications.
Après la vérification du courriel, une notification avec le résultat de l'analyse peut être ajoutée au message. Vous
pouvez sélectionner Ajouter une étiquette aux messages reçus et lus ou Ajouter une étiquette aux
messages envoyés. Sachez cependant qu'en de rares occasions, les étiquettes de messages peuvent être
omises dans des messages HTML problématiques ou si le message a été falsifié par des logiciels malveillants. Les
étiquettes peuvent être ajoutées tant aux messages reçus et lus que sortants (ou aux deux). Les options suivantes
sont disponibles :
• Jamais - Aucune étiquette de message ne sera ajoutée.
• Lorsqu'une détection se produit - Seuls les messages contenant des logiciels malveillants seront
marqués comme vérifiés (par défaut).
• Tout courriel analysé - Le programme ajoutera des messages à tout courriel analysé.
Modifier l'objet des messages envoyés - Désactivez cette option si vous voulez que la protection de la
messagerie ajoute un message d'avertissement de virus dans l'objet des courriels infectés. Cette fonctionnalité
permet un filtrage simple, selon l'objet, des messages infectés (si ce filtrage est pris en charge par le programme
de messagerie). Elle augmente le niveau de crédibilité des messages pour le destinataire et, en cas de détection
d'une infiltration, fournit de précieuses données sur le niveau de menace d'un message ou d'un expéditeur donné.
Texte à ajouter à l'objet d'un message détecté - Modifier ce modèle si vous voulez modifier le format du
préfixe d'objet d'un courriel infecté. Cette fonction remplacera l'objet du message « Hello » par une valeur au
format suivant : « [detection %DETECTIONNAME%] Hello ». La variable %DETECTIONNAME% représente la menace
détectée.
99
Intégration aux clients de messagerie
Les clients de messagerie actuellement pris en charge sont Microsoft Outlook, Outlook Express, Windows Mail et
Windows Live Mail. La protection de la messagerie fonctionne comme un plugiciel pour ces programmes.
L'avantage principal du plugiciel est qu'il est indépendant du protocole utilisé. Ainsi, quand un client de messagerie
reçoit un message chiffré, il le déchiffre et l'envoie à l'analyseur de virus. Pour la liste complète des clients de
messagerie et de leurs versions pris en charge, reportez-vous à l'article Base de connaissances d'ESET.
Barre d'outils Microsoft Outlook
La protection de Microsoft Outlook fonctionne comme un plugiciel. Après l'installation de ESET Endpoint Antivirus,
cette barre d'outils contenant les options du module antivirus/ est ajoutée à Microsoft Outlook :
ESET Endpoint Antivirus - Cliquez sur l'icône pour ouvrir la fenêtre de programme principale de ESET Endpoint
Antivirus.
Analyser à nouveau les messages - Permet de lancer une vérification manuelle du courriel. Vous pouvez
préciser les messages à analyser et activer la nouvelle analyse des messages reçus. Pour plus d'information,
consultez la rubrique Protection du client de messagerie.
Configuration de l'analyseur - Affiche les options de configuration de la Protection du client de messagerie.
Barre d'outils Outlook Express et Windows Mail
La protection pour Outlook Express et Windows Mail fonctionne comme un plugiciel. Après l'installation de ESET
Endpoint Antivirus, cette barre d'outils contenant les options du module antivirus/ est ajoutée à Microsoft Outlook
Express ou Windows Mail :
ESET Endpoint Antivirus - Cliquez sur l'icône pour ouvrir la fenêtre de programme principale de ESET Endpoint
Antivirus.
Analyser à nouveau les messages - Permet de lancer une vérification manuelle du courriel. Vous pouvez
préciser les messages à analyser et activer la nouvelle analyse des messages reçus. Pour plus d'information,
consultez la rubrique Protection du client de messagerie.
Configuration de l'analyseur - Affiche les options de configuration de la Protection du client de messagerie.
Interface utilisateur
Personnaliser l'apparence - Vous pouvez modifier l'apparence de la barre d'outils pour votre client de
messagerie. Désactivez cette option pour personnaliser l'apparence indépendamment des paramètres du
programme de messagerie.
Afficher le texte - Affiche les descriptions des icônes.
Texte à droite - Les descriptions des options sont déplacées du bas vers le côté droit des icônes.
Grandes icônes - Affiche des icônes de plus grande taille pour les options de menu.
Boîte de dialogue de confirmation
Cette notification permet de vérifier que l'utilisateur veut vraiment exécuter l'action sélectionnée, ce qui devrait
éliminer des erreurs possibles.
Par ailleurs, la boîte de dialogue offre également la possibilité de désactiver les confirmations.
100
Analyser à nouveau les messages
La barre d'outils de ESET Endpoint Antivirus intégrée dans les clients de messagerie permet aux utilisateurs de
préciser plusieurs options pour la vérification du courriel. L'option Analyser à nouveau les messages offre deux
modes d'analyse :
Tous les messages du dossier en cours - Analyse les messages dans le dossier actuellement affiché.
Messages sélectionnés uniquement - N'analyse que les messages marqués par l'utilisateur.
La case à cocher Réanalyser les messages déjà analysés offre à l'utilisateur une option permettant d'effectuer
une autre analyse sur les messages ayant déjà été analysés.
Protection de l'accès Web
La connectivité Internet est un élément standard des ordinateurs personnels. Malheureusement, c'est aussi devenu
le principal moyen de transférer et disséminer du code malveillant. La protection de l'accès Web utilise la
surveillance des communication entre les navigateurs Internet et des serveurs distants, conformément aux règles
des protocoles HTTP et HTTPS (communications chiffrées).
L'accès aux pages Web contenant du code malveillant est bloqué avant que le contenu ne soit téléchargé. Toutes
les autres pages Web sont analysées par le moteur de ThreatSense lorsqu'elles sont chargées et bloquées en cas
de détection de contenu malveillant. La protection de l'accès Web offre deux niveaux de protection : le blocage
selon la liste noire et le blocage selon le contenu.
Il est fortement recommandé d'activer la protection de l'accès Web. Vous pouvez accéder à cette option à partir de
la fenêtre principale de ESET Endpoint Antivirus en allant dans Configuration > Protection sur Internet >
Protection de l'accès Web.
101
La protection de l'accès Web affiche le message suivant dans votre navigateur lorsque le site Web est bloqué :
Instructions illustrées
Les articles suivants de la base de connaissances ESET peuvent n'être disponibles qu'en anglais :
• Débloquez un site Web sécurisé sur un poste de travail individuel dans ESET Endpoint Antivirus
• Débloquer un site Web sécurisé sur un terminal à l'aide d'ESET Security Management Center
Les options suivantes sont disponibles dans Configuration avancée (touche F5) > Web et messagerie >
Protection de l'accès Web :
• De base : Permet d'activer ou de désactiver cette fonction à partir de la configuration avancée.
• Protocoles Web : les protocoles Web permettent de configurer la surveillance de ces protocoles standards
qui sont utilisés par la plupart des navigateurs Internet.
• Gestion d'adresses URL : la gestion d'adresses URL vous permet de préciser les adresses URL à bloquer, à
autoriser ou à exclure de la vérification.
• ThreatSense paramètres - Configuration avancée de l'analyseur de virus - Permet de configurer les
paramètres tels que les types d'objets à analyser (courriels, archives, etc.), les méthodes de détection de la
protection de l'accès Web, etc.
102
Configuration avancée de la protection de l'accès Web
Les options suivantes sont disponibles dans Configuration avancée (touche F5) > Web et messagerie >
Protection de l'accès Web > De base :
Activer la protection de l'accès Web : Lorsque cette option est désactivée, la protection de l'accès Web et la
protection antihameçonnage ne fonctionnent pas.
Activer l'analyse avancée des scripts du navigateur - Lorsque cette option est activée, tous les programmes
JavaScript exécutés par les navigateurs Web sont vérifiés par le moteur de détection.
Remarque
Il est fortement recommandé de laisser la protection de l'accès Web activée.
Protocoles Web
Par défaut, ESET Endpoint Antivirus est configuré pour surveiller le protocole HTTP utilisé par la plupart des
navigateurs Internet.
Configuration de l'analyseur HTTP
Le trafic HTTP est toujours surveillé sur tous les ports pour toutes les applications.
Configuration de l'analyseur HTTP
ESET Endpoint Antivirus prend en charge le contrôle de protocole HTTPS. La communication HTTPS utilise un
canal chiffré pour transférer des données entre un serveur et un client. ESET Endpoint Antivirus vérifie les
communications à l'aide des méthodes de chiffrement SSL (Secure Socket Layer) et TLS (Transport Layer
Security). Le programme analysera uniquement le trafic sur les ports (443, 0-65535) définis dans Ports utilisés
par le protocole HTTPS, indépendamment de la version du système d'exploitation.
Les communications chiffrées seront analysées par défaut. Pour visualiser la configuration de l'analyseur, allez
jusqu'à l'option SSL/TLS dans la section Configuration avancée, cliquez sur Web et messagerie > SSL/TLS et
103
activez l'option Activer le filtrage par protocole SSL/TLS.
Gestion d'adresses URL
La section de gestion d'adresses URL vous permet de préciser les adresses HTTP à bloquer, à autoriser ou à
exclure de l'analyse de contenu.
Activer le filtrage de protocole SSL doit être sélectionné si vous voulez filtrer les adresses HTTPS en plus des
pages Web HTTP. Sinon, seuls les domaines des sites HTTPS que vous avez visités seront ajoutés, l'URL complète
ne le sera pas.
Les sites Web de la liste des adresses bloquées ne seront pas accessibles, sauf s'ils sont également inclus dans
la liste des adresses autorisées. Les sites Web de la liste des adresses exclues de l'analyse de contenu
ne sont pas analysés à la recherche de code malveillant lorsqu'un utilisateur y accède.
Si vous voulez bloquer toutes les adresses HTTP à l'exception des adresses indiquées dans la Liste des adresses
autorisées, ajoutez * à la Liste des adresses bloquées active.
Les symboles spéciaux * (astérisque) et ? (point d'interrogation) peuvent être utilisés dans les listes. L'astérisque
remplace n'importe quelle chaîne de caractères, tandis que le point d'interrogation remplace n'importe quel autre
caractère individuel. Vous devez faire attention lorsque vous indiquez les adresses exclues, car la liste ne doit
contenir que des adresses sûres et fiables. De même, assurez-vous d'employer correctement les symboles * et ?
dans cette liste. Voir Ajouter des adresses/masques de domaine HTTP pour en savoir plus sur la façon dont un
domaine entier incluant tous les sous-domaines peut être jumelé en toute sécurité. Pour activer une liste,
sélectionnez l'option Liste active. Si vous voulez être notifié quand une adresse est entrée à partir de la liste
actuelle, sélectionnez l'option Notifier une fois appliqué.
Bloquer ou autoriser des extensions de fichiers précis
La gestion des adresses URL vous permet également de bloquer ou d'autoriser l'ouverture de
types de fichier spécifiques lors de la navigation sur Internet. Par exemple, si vous ne voulez pas
que les fichiers exécutables soient ouverts, sélectionnez la liste dans laquelle vous voulez bloquer
ces fichiers à partir du menu déroulant, puis entrez le masque « "**.exe" ».
Domaines de confiance
Les adresses ne seront pas filtrées si le paramètre Web et messagerie > SSL/TLS > Exclure la
communication avec les domaines de confiance est activé et que le domaine est considéré
comme domaine de confiance.
104
Éléments de contrôle
Ajouter - Permet de créer un nouvelle liste en plus de celles prédéfinies. Cette option peut être utile si vous
souhaitez séparer logiquement différents groupes d'adresses. Par exemple, une liste des adresses bloquées
peut contenir des adresses d'une liste noire publique externe et une seconde peut contenir votre propre liste
noire, ce qui rend plus facile la mise à jour de la liste externe tout en gardant la vôtre intact.
Modifier - Permet de modifier les listes existantes. Utilisez cette option pour ajouter ou retirer des adresses.
Supprimer - Permet de supprimer des listes existantes. Disponible uniquement pour des listes créées avec
l'option Ajouter, non pour les listes par défaut.
Liste d'adresses URL
Cette section permet de préciser des listes d'adresses HTTP qui seront bloquées, autorisées ou exclues de la
vérification.
Par défaut, les trois listes suivantes sont disponibles :
• Liste des adresses exclues de l'analyse de contenu - Aucune vérification de la présence de
programmes malveillants n'est effectuée pour les adresses indiquées dans la liste.
• Liste des adresses autorisées - Si l'option N'autoriser l'accès qu'aux adresses HTTP figurant dans la liste
des adresses autorisées est activée et que la liste des adresses bloquées contient * (correspond à tout),
l'utilisateur n'est autorisé à accéder qu'aux adresses indiquées dans cette liste. Les adresses de cette liste
sont autorisées même si elle sont incluses dans la liste des adresses bloquées.
• Liste des adresses bloquées- L'utilisateur n'est pas autorisé à accéder aux adresses indiquées dans
cette liste.
Cliquez sur Ajouter pour créer une liste. Pour supprimer les listes sélectionnées, cliquez sur Supprimer.
105
Instructions illustrées
Les articles suivants de la base de connaissances ESET peuvent n'être disponibles qu'en anglais :
• Débloquez un site Web sécurisé sur un poste de travail individuel dans ESET Endpoint Antivirus
• Débloquer un site Web sécurisé sur un terminal à l'aide d'ESET Security Management Center
Pour en savoir plus, voir Gestion des adresses URL.
Créer une nouvelle liste d'adresses URL
Cette section permet d'indiquer des listes d'adresses ou de masques d'URL qui seront bloqués, autorisés ou exclus
de la vérification.
Lors de la création d'une nouvelle liste, les options suivantes sont disponibles pour la configuration :
Type de liste d'adresse - Trois types de listes dont disponibles :
• Liste des adresses exclues de la vérification - Aucune vérification de la présence de programmes
malveillants n'est effectuée pour toutes les adresses indiquées dans la liste.
• Bloquées - L'utilisateur n'est pas autorisé à accéder aux adresses indiquées dans cette liste.
• Autorisé – Si votre politique est configurée pour utiliser cette fonctionnalité et que la valeur de caractère
générique (*) est ajoutée à cette liste, vous pourrez accéder aux adresses de cette liste même si ces adresses
sont également présentes dans la liste bloquée.
Nom de la liste - Précisez le nom de la liste. Ce champ sera indisponible lors de la modification de l'une des trois
listes prédéfinies.
Description de la liste – Tapez une courte description de la liste (facultatif). Ce champ ne sera pas disponible
lors de la modification de l'une des trois listes prédéfinies.
Liste active – Actionnez le curseur pour activer la liste.
Notifier lors de la demande - Actionnez le curseur si vous voulez être informé lorsque cette liste est utilisée
dans l'évaluation d'un site HTTP que vous avez visité. Par exemple, une notification sera émise si un site est bloqué
ou autorisé parce qu'il est inclus dans la liste des adresses bloquées ou autorisées. La notification affiche le nom de
la liste pour la liste qui spécifie le site.
Gravité de journalisation - Sélectionnez le niveau de gravité de journalisation dans le menu déroulant. Les
106
enregistrements avec verbosité d'avertissement peuvent être collectés par Remote Administrator.
Éléments de contrôle
Ajouter - Ajouter une nouvelle adresse URL à la liste (entrez plusieurs valeurs avec des séparateurs).
Modifier - Modifie les adresses existantes dans la liste. Seulement possible pour les adresses créées avec
Ajouter.
Retirer - Supprime les adresses existantes dans la liste. Seulement possible pour les adresses créées avec
Ajouter.
Importer - Importer un fichier avec des adresses URL (valeurs séparées avec un saut de ligne, par exemple
*.txt en utilisant l'encodage UTF-8).
Comment ajouter un masque URL
Veuillez vous reporter aux instructions de cette boîte de dialogue avant d'entrer l'adresse ou le masque de
domaine souhaité.
ESET Endpoint Antivirus permet de bloquer l'accès à des sites Web particuliers et d'empêcher le navigateur
Internet d'en afficher le contenu. Qui plus est, il permet à l'utilisateur de préciser des adresses à exclure de la
vérification. Si l'utilisateur ignore le nom complet du serveur distant ou s'il souhaite préciser un groupe de serveurs
distants, il peut aussi utiliser des « masques ». Ces masques peuvent contenir les symboles « ? » et « * » :
• utiliser ? pour représenter un caractère quelconque
• utiliser * pour représenter une chaîne de caractères.
Par exemple, *.c?m s'applique à toutes les adresses dont la dernière partie commence par la lettre c et se termine
par la lettre m, avec un caractère inconnu entre les deux (.com, .cam, etc.)
Une séquence de « * » est traitée spécialement lorsqu'elle est utilisée au début d'un nom de domaine. D'abord, le
caractère générique * ne correspond pas au caractère barre oblique (/) dans ce cas. Cela permet d'éviter le
contournement du masque, par exemple le masque *.domain.com ne correspondra pas à
http://anydomain.com/anypath#.domain.com (un tel suffixe peut être ajouté à n'importe quel URL sans incidence
sur le téléchargement). Ensuite, le « * » correspond également à une chaîne vide dans ce cas spécial. Cela permet
de faire correspondre le domaine entier, y compris tous les sous-domaines en utilisant un seul masque. Par
exemple le masque *.domain.com correspond aussi à http://domain.com. L'utilisation de *domain.com serait
incorrect, puisqu'il correspondrait aussi à http://anotherdomain.com.
Protection anti-hameçonnage
Le terme hameçonnage (« phishing » en anglais) désigne une activité frauduleuse qui utilise le piratage
psychologique (manipuler les utilisateurs pour obtenir des données confidentielles). Le hameçonnage est souvent
utilisé pour accéder à des données sensibles, telles que numéros de comptes bancaires, NIP, etc. Consultez le
glossaire pour en savoir plus sur cette activité. ESET Endpoint Antivirus contient une protection anti-hameçonnage
qui bloque les pages Web connues pour distribuer ce type de contenu.
Nous recommandons fortement d'activer la protection anti-hameçonnage dans ESET Endpoint Antivirus. Vous
pouvez accéder à cette option dans Configuration avancée (touche F5), Web et messagerie > Protection
anti-hameçonnage.
Consultez l'article de notre base de connaissances à ce sujet pour plus de renseignements sur la protection antihameçonnage de ESET Endpoint Antivirus.
Accéder à un site Web de hameçonnage
Lorsque vous accéderez à un site Web reconnu comme pratiquant du hameçonnage, la boîte de dialogue suivante
s'affichage dans votre navigateur Web. Si vous voulez quand même accéder au site Web, cliquez sur Se rendre
sur le site (non recommandé).
107
Remarque
Les sites Web présentant des possibilités de hameçonnage qui ont été ajoutés à la
liste blanche expireront par défaut plusieurs heures après l'ajout. Pour autoriser
un site de façon permanente, utilisez l'outil Gestion d'adresse URL. À partir de
Configuration avancée (touche F5) cliquez sur Web et messagerie >
Protection de l'accès Web > Gestion d'adresses URL> Liste d'adresse et
cliquez sur Modifier, puis ajoutez le site Web que vous voulez modifier à la liste.
Déclaration d'un site de hameçonnage
Le lien Signaler vous permet de signaler un site Web de hameçonnage ou malveillant à ESET qui l'analysera par la
suite.
Remarque
Avant de soumettre un site Web à ESET, assurez-vous qu'il répond à un ou à
plusieurs des critères suivants :
• le site Web n'est pas du tout détecté,
• le site Web est erronément détecté comme une menace. Dans ce cas, vous pouvez rapporter un
faux positif pour le hameçonnage.
Vous pouvez également soumettre le site Web par courriel. Envoyez votre message à [email protected].
N'oubliez pas d'utiliser un objet clair et compréhensible et fournissez le plus de détails possible sur le site Web (par
ex., le site Web d'où vous y avez accédé, comment vous en avez entendu parler, etc.).
Mise à jour du programme
La mise à jour régulière de ESET Endpoint Antivirus constitue la meilleure méthode pour obtenir le niveau maximal
de sécurité pour votre ordinateur. Le module de mise à jour veille à ce que le programme soit toujours à jour de
deux façons : en mettant à jour le moteur de détection et les composants système. Les mises à jour sont
108
automatiques par défaut lorsque le programme est activé.
En cliquant sur Mettre à jour dans la fenêtre principale du programme, vous pourrez obtenir l'état actuel des
mises à jour, y compris la date et l'heure de la dernière mise à jour réussie et si une nouvelle mise à jour est
requise. Vous pouvez également cliquer sur le lien Afficher tous les modules pour ouvrir la liste des modules
installés et vérifier la version et la dernière mise à jour d'un module
De plus, l'option Vérifier les mises à jour permettant de lancer manuellement le processus de mise à jour est
également disponible. Mettre à jour le moteur de détection et les composants du programme est un élément
important pour assurer une protection totale contre les attaques des codes malveillants. Il faut donc accorder une
grande attention à sa configuration et à son fonctionnement. Si vous n'avez pas entré les détails de la licence
pendant l'installation, vous pouvez entrer la clé de licence en cliquant sur Activer le produit au moment de la
mise à jour d'accès aux serveurs de mise à jour d'ESET.
Si vous activez ESET Endpoint Antivirus à l'aide d'une licence hors ligne sans nom d'utilisateur ni mot de passe et
tentez d'effectuer une mise à jour, l'information en rouge Échec de la mettre à jour des modules indique que
vous pouvez télécharger les mises à jour seulement à partir du miroir.
Remarque
Votre clé de licence est fournie par ESET à l'achat de ESET Endpoint Antivirus.
Version actuelle – Numéro de version de ESET Endpoint Antivirus.
Dernière mise à jour réussie - Date et heure de la dernière mise à jour réussie. Assurez-vous qu'il s'agit d'une
date récente indiquant que le moteur de détection est à jour.
Dernière vérification réussie des mises à jour - Date et heure de la dernière tentative réussie de mise à jour
des modules.
109
Afficher tous les modules - Vous pouvez également cliquer sur ce lien pour ouvrir la liste des modules installés
et vérifier la version et la dernière mise à jour d'un module
Processus de mise à jour
Une fois que vous aurez cliqué sur le bouton Vérifier les mises à jour, le téléchargement commence. Une barre
de progression s'affiche indiquant le temps de téléchargement restant. Pour interrompre la mise à jour, cliquez sur
Annuler la mise à jour.
Important
Dans des circonstances normales, les modules sont mis à jour plusieurs fois par
jour. Si ce n'est pas le cas, le programme n'est pas à jour; il est donc plus
vulnérable à une infection. Veuillez mettre à jour les modules dès que possible.
Le moteur de détection n'est plus à jour - Cette erreur apparaît après plusieurs tentatives infructueuses de
mise à jour des modules. Nous recommandons de vérifier les paramètres de mise à jour. La cause la plus courante
de cette erreur est une entrée incorrecte des données d'authentification ou une configuration incorrecte des
paramètres de connexion.
La notification précédente est liée aux deux messages suivants (Échec de la mise à jour des modules)
concernant les mises à jour infructueuses :
1.Licence non valide - La clé de licence a été entrée avec une erreur dans la configuration des mises à jour.
Veuillez vérifier vos données d'authentification. La fenêtre Configuration avancée (cliquez sur Configuration
dans le menu principal, puis sur Configuration avancée, ou appuyez sur la touche F5 de votre clavier)
contient d'autres options de mise à jour. Cliquez sur Aide et assistance > Gérer les licences à partir du
menu principal pour entrer une nouvelle clé de licence.
110
2.Une erreur s'est produite pendant le téléchargement des fichiers de mise à jour. - Des paramètres
de connexion Internet incorrects sont une cause possible de cette erreur. Nous vous recommandons de vérifier
votre connectivité à Internet (en ouvrant un site Web dans votre navigateur). Si le site Web ne s'ouvre pas, il
est probable qu'aucune connexion à Internet ne soit établie ou que votre ordinateur ait des problèmes de
connectivité. Consultez votre fournisseur de services Internet si vous ne disposez pas d'une connexion Internet
active.
111
REMARQUE
Pour de plus amples renseignements, veuillez lire cet article de la base de
connaissance d'ESET.
Configuration des mises à jour
Vous pouvez accéder aux options de configuration des mises à jour à partir de l'arborescence de Configuration
avancée (touche F5), Mettre à jour Cette section permet de préciser l'information sur les sources des mises à
jour, comme les serveurs de mise à jour utilisés et les données d'authentification donnant accès à ces serveurs.
Ajuster les paramètres de mise à jour correctement
Il est essentiel d'inscrire correctement tous les paramètres de mise à jour afin de télécharger
correctement les mises à jour. Si un pare-feu est utilisé, assurez-vous que le programme ESET est
autorisé à accéder à Internet (par exemple. communication HTTPS).
De base
Le profil de mise à jour actuellement utilisé s'affiche dans le menu déroulant Sélectionner le profil de mise à
jour par défaut.
Pour créer un nouveau profil, consultez la section Profils de mise à jour.
Configurer les notifications de mise à jour (anciennement Sélectionner les notifications de mise à jour
reçues) - Cliquez sur Modifier pour sélectionner les notifications d'application à afficher. Vous pouvez choisir si
les notifications seront affichées sur le bureau ou envoyées par courriel.
Si vous éprouvez de la difficulté à télécharger les mises à jour des modules, cliquez sur Supprimer situé à côté de
Effacer le cache de mise à jour pour supprimer les fichiers ou le cache de mise à jour temporaire.
112
Alertes de moteur de détection obsolète
Définir l'âge maximal du moteur de détection automatiquement - Permet de définir la durée maximale (en
jour) après laquelle le moteur de détection sera déclaré obsolète. La valeur par défaut de l'âge maximal du
moteur de détection (jours) est 7.
Annulation du module
Si vous soupçonnez qu'une nouvelle mise à jour du moteur de détection et/ou des modules du programme peut
être instable ou endommagée, vous pouvez retourner à la version antérieure et désactiver toutes les mises à jour
pour une durée choisie.
Profils
Les profils de mise à jour peuvent être créés pour différentes configurations et tâches de mise à jour. Les
propriétés des connexions Internet étant variables, la création de profils de mise à jour est particulièrement utile
pour les utilisateurs mobiles.
Le menu déroulant Sélectionner le profil à modifier affiche le profil actuellement sélectionné et est réglé par
défaut à Mon profil.
Pour créer un nouveau profil, cliquez sur Modifier à côté de Liste des profils, entrez votre propre nom de profil,
puis cliquez sur Ajouter.
Mises à jour
Par défaut, le menu Type de mises à jour est réglé à Mise à jour régulière afin de s'assurer que les fichiers de
mise à jour sont automatiquement téléchargés à partir du serveur ESET avec le moins de trafic réseau possible.
Les préversions des mises à jour (l'option Préversion de la mise à jour) sont des mises à jour ayant subi des
tests internes approfondis et qui seront bientôt offertes au public. Vous pouvez profiter de l'activation des
préversions des mises à jour en accédant aux méthodes de détection et les solutions les plus récentes. Cependant,
il est possible que les préversions des mises à jour ne soient pas toujours stables et elles ne DEVRAIENT PAS être
113
utilisées sur les serveurs et postes de travail de production où une disponibilité et une stabilité maximales sont
requises. La mise à jour différée permet une mise à jour à partir de serveurs de mise à jour particuliers offrant
de nouvelles versions des bases de données de virus dans un délai d'au moins X heures (c'est-à-dire qu'ils
téléchargeront des bases de données testées dans un environnement réel, donc jugées stables).
Activer l'optimisation de la livraison des mises à jour – Lorsque ce paramètre est activé, les fichiers de mise
à jour peuvent être téléchargés à partir de CDN (réseau de diffusion de contenu). La désactivation de ce paramètre
peut entraîner des interruptions et des ralentissements du téléchargement lorsque les serveurs de mise à jour
d'ESET dédiés sont surchargés. La désactivation est utile lorsqu'un pare-feu ne peut accepter que des adresses IP
du serveur de mise à jour d'ESET ou lorsqu'une connexion aux services CDN ne fonctionnent pas.
Demander avant de télécharger une mise à jour – Le programme affichera une notification dans laquelle vous
pouvez choisir de confirmer ou de refuser le téléchargement du fichier de mise à jour. Si la taille du fichier de mise
à jour est supérieure à la valeur précisée dans le champs Demander si un fichier de mise à jour a une taille
supérieure (ko), le programme affichera une boîte de dialogue de confirmation. Si la taille du fichier de mise à
jour est fixée à 0 ko, le programme affichera toujours une boîte de dialogue de confirmation.
Mises à jour des modules
L'option Choisir automatiquement est activé par défaut. L'option Serveur personnalisé est l'emplacement
où les mises à jour sont stockées. Si vous utilisez un serveur de mise à jour ESET, nous vous recommandons de
laisser l'option par défaut sélectionnée.
Activer une mise à jour plus fréquente des signatures de détection – Les signatures de détection seront
mises à jour dans un intervalle plus court. La désactivation de ce paramètre peut avoir un impact négatif sur le
taux de détection.
Autoriser les mises à jour du module à partir des supports amovible - Permet de mettre à jour à partir
d'un support amovible s'il contient le miroir créé. Lorsque Automatique est sélectionné, la mise à jour
s'exécutera à l'arrière-plan. Si vous voulez afficher les boîtes de dialogue de mise à jour, sélectionnez Toujours
demander.
Si un serveur local HTTP est utilisé - aussi appelé Miroir - le serveur de mise à jour doit être configuré comme
114
suit :
http://nom_ordinateur_ou_son_adresse_IP:2221
Si un serveur local HTTP avec SSL est utilisé - le serveur de mise à jour doit être configuré comme suit :
https://nom_ordinateur_ou_son_adresse_IP:2221
Si un dossier partagé local est utilisé - le serveur de mise à jour doit être configuré comme suit :
\\nom_ordinateur_ou_son_adresse_IP\dossier_partagé
HTTP numéro de port du serveur
Le numéro de port du serveur HTTP spécifié dans les exemples ci-dessus dépend du
port écouté par votre serveur HTTP/HTTPS.
Mise à jour des composants du programme
Voir Mise à jour des composants du programme.
Miroir de mise à jour
Voir Miroir de mise à jour
Annulation de la mise à jour
Si vous soupçonnez qu'une nouvelle mise à jour du moteur de détection et/ou des modules du programme peut
être instable ou endommagée, vous pouvez retourner à la version antérieure et désactiver toutes les mises à jour
pour une durée choisie. Vous pouvez également activer les mises à jour déjà désactivées, si vous les avez déjà
reportées indéfiniment.
ESET Endpoint Antivirus enregistre des instantanés du moteur de détection et des modules du programme à
utiliser avec la fonctionnalité d'annulation. Pour créer des images de la base de données de virus, laissez le
commutateur Créer une image instantanée des modules activé. Le champ Nombre d'instantanés stockés
localement définit le nombre d'instantanés du moteur de détection précédent stockés.
Si vous cliquez sur Annuler les modifications (Configuration avancée (touche F5) > Mettre à jour >
Général > Annuler les modifications du module), vous devez sélectionner un intervalle dans le menu
déroulant représentant la durée pendant laquelle les mises à jour du moteur de détection et des modules du
programme seront suspendues.
Sélectionnez Jusqu'à son retrait pour reporter indéfiniment les mises à jour régulières jusqu'à ce que vous
restauriez manuellement cette fonctionnalité. Nous ne recommandons pas de sélectionner cette option, puisqu'elle
présente un risque potentiel au niveau de la sécurité.
La version du moteur de détection sera rétablie à la plus ancienne image disponible et stockée comme image dans
le système de fichiers de l'ordinateur local.
115
REMARQUE
Disons que le numéro 19959 correspond à la version la plus récente du moteur de détection. Les
numéros 19958 et 19956 sont enregistrés comme des images du moteur de détection. À noter que le
numéro 19957 n'est pas disponible, car, par exemple, l'ordinateur était éteint et une mise à jour plus
récente fut rendue disponible avant que le numéro 19957 ait été téléchargé. Si le champ Nombre
d'images instantanées stockées localement est défini sur 2 et que vous cliquez sur Annuler les
modifications, la version numéro 19956 du moteur de détection sera restaurée. Veuillez cependant
noter que ce processus peut prendre un certain temps. Vérifiez ensuite si la version du moteur de
détection a été rétablie dans la fenêtre principale de ESET Endpoint Antivirus, dans la section Mise à
jour.
Mise à jour des composants du programme
La section Mise à jour des composants du programme contient les options concernant la mise à jour des
composants du programme. Le programme vous permet d'en contrôler le comportement lors de la mise à jour des
composants du programme.
Les mises à jour des composants du programme ajoutent de nouvelles fonctionnalités aux fonctionnalités
existantes ou les modifient. Elle peut s'effectuer sans intervention de l'utilisateur ou après notification de ce
dernier. Le redémarrage d'un ordinateur peut être exigé après la mise à jour des composants du programme.
Dans le menu déroulant Mode de mise à jour, trois options sont disponibles :
• Demander avant la mise à jour - L'option par défaut. Vous serez invité à confirmer ou à refuser les mises
à jour des composants du programme lorsqu'elles sont disponibles.
• Mise à jour automatique - Une mise à jour des composants du programme sera automatiquement
téléchargée et installée. Notez que cela peut exiger le redémarrage du système.
• Ne jamais mettre à jour - Aucune mise à jour des composants du programme ne sera effectuée. Cette
option convient surtout aux serveurs car ces derniers ne doivent être redémarrés qu'en cas de maintenance.
Par défaut, les mises à jour des composants du programme sont téléchargées à partir des serveurs du répertoire
ESET. Dans les environnements de grande taille ou hors ligne, le trafic peut être distribué pour permettre la mise
en cache interne des fichiers de composants du programme.
Définir un serveur personnalisé pour les mises à jour des composants du programme
1.Définissez le chemin d'accès à la mise à jour des composants du programme dans le champ Serveur
personnalisé.
Il peut s'agir d'un lien HTTP(S), d'un lien de partage de réseau SMB, d'un lecteur de disque local ou d'un chemin
de support amovible. Pour les lecteurs réseau, utilisez le chemin d'accès UNC au lieu d'une lettre de lecteur
mappé.
2.Laissez les champs Nom d'utilisateur et Mot de passe vides s'ils ne sont pas obligatoires.
Si nécessaire, définissez ici les informations d'identification appropriées pour l'authentification HTTP sur le
serveur Web personnalisé.
3.Confirmez les modifications et testez la présence d'une mise à jour de composant du programme à l'aide
d'une mise à jour ESET Endpoint Antivirus standard.
Remarque
La sélection des options les plus appropriées dépend des stations de travail sur
lesquelles les paramètres seront appliqués. Notez qu'il existe des différences
entre les postes de travail et les serveurs. Par exemple, le redémarrage
automatique d'un serveur après une mise à jour du programme peut causer de
graves dommages.
116
Option de connexion
Pour accéder aux options de configuration du serveur mandataire pour un profil de mise à jour donné, cliquez sur
Mettre à jour dans l'arborescence de Configuration avancée (touche F5), puis cliquez sur Profils > Mises à
jour > Options de connexion.
Serveur mandataire
Cliquez sur le menu déroulant Mode du mandataire et sélectionnez l'une des trois options suivantes :
• Ne pas utiliser de serveur mandataire
• Connexion par serveur mandataire
• Utiliser les paramètres globaux de serveur mandataire
Sélectionnez l'option Utiliser les paramètres globaux de serveur mandataire pour utiliser les options de
configuration du serveur mandataire déjà indiquées dans la branche Outils > Serveur mandataire de
l'arborescence de la configuration avancée.
Sélectionnez Ne pas utiliser de serveur mandataire pour préciser qu'aucun serveur mandataire ne sera utilisé
pour mettre ESET Endpoint Antivirus à jour.
L'option Connexion par un serveur mandataire devrait être sélectionnée si :
• Un serveur mandataire différent de celui défini dans Outils > Serveur mandataire est utilisé pour
mettre à jour ESET Endpoint Antivirus. Dans cette configuration, les renseignements du nouveau mandataire
doivent être indiqués pour l'adresse du serveur mandataire, le port de communication (3128 par défaut)
ainsi que le nom d'utilisateur et le mot de passe pour le serveur mandataire si nécessaire.
• Les paramètres du serveur mandataire ne sont pas définis globalement, mais ESET Endpoint Antivirus se
connectera à un serveur mandataire pour les mises à jour.
• Votre ordinateur est connecté à Internet par un serveur mandataire. Les paramètres utilisés sont ceux
d'Internet Explorer, pris au moment de l'installation du programme, mais s'ils sont modifiés (par exemple, si
vous changez de FAI), vous devez vous assurer que les paramètres du serveur mandataire indiqués dans
cette fenêtre sont exacts. En l'absence de modification, le programme ne pourra pas se connecter aux
serveurs de mise à jour.
L'option par défaut pour le serveur mandataire est Utiliser les paramètres globaux du serveur mandataire.
Utiliser une connexion directe si le mandataire n'est pas disponible - Le serveur mandataire sera
contourné pendant la mise à jour s'il n'est pas joignable.
Partages Windows
Lors de la mise à jour depuis un serveur local avec une version du système d'exploitation Windows NT, une
authentification est exigée par défaut pour chaque connexion réseau.
Pour configurer un tel compte, sélectionnez à partir du menu déroulant Se connecter au réseau local comme :
• Compte système (par défaut),
• Utilisateur actuel,
• Utilisateur spécifié.
Sélectionnez Compte système (par défaut) pour utiliser le compte système pour l'authentification.
Normalement, aucune authentification ne sera effectuée si des données d'authentification ne sont pas inscrites
dans la section de configuration des mises à jour.
Pour s'assurer que le programme s'authentifie à l'aide du compte de l'utilisateur actuellement connecté,
sélectionnez Utilisateur actuel. L'inconvénient de cette solution est que le programme est dans l'impossibilité de
se connecter au serveur de mise à jour si aucun utilisateur n'est actuellement connecté.
117
Sélectionnez Utilisateur spécifié si vous voulez que le programme utilise un compte utilisateur précisé pour
l'authentification. Cette méthode doit être utilisée lorsque la connexion avec le compte système par défaut n'a pas
fonctionné. À noter que le compte de l'utilisateur spécifié doit avoir le droit d'accès au dossier des fichiers de mise
à jour du serveur local. Dans le cas contraire, le programme serait incapable d'établir une connexion et de
télécharger les mises à jour.
Les paramètres Nom d'utilisateur et Mot de passe sont facultatifs.
Avertissement
Si l'une des options Utilisateur actuel ou Utilisateur spécifié est
sélectionnée, une erreur peut se produire si l'identité du programme est
changée pour l'utilisateur souhaité. Il est recommandé d'entrer les données
d'authentification du réseau local dans la section de configuration des mises à
jour. Dans cette section, les données d'authentification doivent être entrées
comme suit : domain_name\user (si c'est un groupe de travail, entrez
workgroup_name\name) et le mot de passe. La mise à jour de la version HTTP
du serveur local n'exige aucune authentification.
Sélectionnez Déconnecter du serveur après la mise à jour pour forcer la déconnexion si la connexion au
serveur reste active même après le téléchargement des mises à jour.
Miroir de mise à jour
ESET Endpoint Antivirus permet de créer des copies des fichiers de mise à jour qui peuvent être utilisées pour
mettre à jour les autres stations de travail se trouvant sur le réseau. Utilisation d'un « miroir » - Puisqu'il n'est pas
nécessaire que les fichiers de mise à jour soient téléchargés à plusieurs reprises à partir du serveur de mise à jour
du fournisseur pour chacun des postes de travail, il serait pratique d'en conserver une copie dans l'environnement
du réseau local. Les mises à jour sont alors téléchargées sur le serveur miroir local puis distribuées à toutes les
stations de travail, ce qui évitera tout risque de surcharge du réseau. La mise à jour des postes de travail à partir
d'un miroir optimise l'équilibre de la charge réseau et libère les bandes passantes des connexions Internet.
Les options de configuration du serveur miroir local sont situées dans la configuration avancée sous Mettre à
jour. Pour accéder à cette section, appuyez sur la touche F5 pour accéder à la configuration avancée et cliquez
sur Mettre à jour > Profils, puis sélectionnez l'onglet Miroir de mise à jour.
118
Pour créer un miroir sur une station de travail cliente, activez Créer un miroir de mise à jour. Cocher cette
option active d'autres options de configuration du miroir, telles que la manière d'accéder aux fichiers de mise à
jour et le chemin des fichiers miroirs.
Accéder aux fichiers de mise à jour
Activer le serveur HTTP - Si cette option est activée, les fichiers de mise à jour seront tout simplement
accessibles par l'intermédiaire d'un serveur HTTP et aucune donnée d'identification ne sera requise ici.
Les méthodes d'accès au serveur miroir sont décrits en détail dans la section Mise à jour à partir du miroir. Il existe
deux méthodes de base pour accéder au miroir : le dossier contenant les fichiers de mise à jour peut être vu
comme un dossier réseau partagé ou les clients peuvent accéder au miroir situé sur un serveur HTTP.
Le dossier réservé à l'enregistrement des fichiers de mise à jour du miroir peut être défini dans la section Dossier
de stockage des fichiers miroir. Pour choisir un dossier différent, cliquez sur Effacer pour supprimer le dossier
prédéfini C:\ProgramData\ESET\ESET Endpoint Antivirus\mirror, puis cliquez sur Modifier pour rechercher un
dossier sur l'ordinateur local ou sur un dossier réseau partagé. Si une autorisation pour le dossier indiqué est
requise, les données d'authentification doivent être entrées dans les champs Nom d'utilisateur et Mot de
passe. Si le dossier destination sélectionné se trouve sur un disque réseau utilisant le système d'exploitation
Windows NT/2000/XP, le nom d'utilisateur et le mot de passe indiqués doivent avoir les droits d'écriture pour ce
dossier. Le nom d'utilisateur et le mot de passe doivent être entrés dans le format Domaine/Utilisateur ou
Workgroup/Utilisateur. N'oubliez pas de fournir les mots de passe correspondants.
Mise à jour des composants du programme
Fichiers - Lors de la configuration du miroir, vous pouvez spécifier les versions linguistiques des mises à jour que
vous souhaitez télécharger. Les langues sélectionnées doivent être prises en charge par le serveur du miroir
configuré par l'utilisateur.
Mise à jour automatique des composants : Permet d’installer de nouvelles fonctionnalités et d’effectuer la
mise à jour des fonctionnalités existantes. Une mise à jour peut s'effectuer sans intervention de l'utilisateur ou
après notification de ce dernier. Le redémarrage d'un ordinateur peut être exigé après la mise à jour des
119
composants du programme.
Mettre le composant à jour maintenant - Met à jour les composants du programme à l'aide de la dernière
version.
Serveur HTTP
Port du serveur - Par défaut, le port du serveur est défini à 2221.
Authentification - Définit la méthode d'authentification utilisée pour accéder aux fichiers de mise à jour. Les
options suivantes sont disponibles : None, Basic et NTLM. Sélectionnez Basic pour utiliser le codage base64 avec
l'authentification de base du nom d'utilisateur et mot de passe. L'option NTLM fournit un codage utilisant une
méthode de codage fiable. L'utilisateur créé sur le poste de travail partageant les fichiers de mise à jour sera
utilisé pour l'authentification. L'option par défaut est None. Elle autorise l'accès aux fichiers des mises à jour sans
exiger d'authentification.
Ajoutez-le à votre Fichier de chaîne du certificat ou générez un certificat auto-signé si vous voulez utiliser un
serveur HTTP prenant HTTPS (SSL) en charge. Les types de certificats suivants sont offerts : ASN, PEM et PFX.
Pour plus de sécurité, vous pouvez utiliser le protocole HTTPS pour télécharger les fichiers de mise à jour. Il est
presque impossible de retracer les transferts de données et les informations d'identification lorsque ce protocole
est utilisé. L'option Type de clé privée est mise à Intégré par défaut (le Fichier de clé privée est donc
désactivé par défaut). Cela signifie que la clé privée fait partie du fichier de chaîne de certificat sélectionné.
120
Remarque
Les données d'authentification, comme le nom d'utilisateur et le mot de
passe, sont conçues pour permettre d'accéder au serveur mandataire. Ne
remplissez ces champs que si un nom d'utilisateur et un mot de passe sont requis.
Notez que ces champs ne sont pas ceux du mot de passe/nom d'utilisateur de
ESET Endpoint Antivirus et ne doivent être indiqués que si vous savez que vous
avez besoin d'un mot de passe pour accéder à Internet par l'entremise d'un
serveur mandataire.
Mise à jour à partir du miroir
Il existe deux méthodes de base pour configurer un miroir, qui est essentiellement un référentiel où les clients
peuvent télécharger les fichiers de mise à jour. Le dossier contenant les fichiers de mise à jour peut être vu comme
un dossier réseau partagé ou comme un serveur HTTP.
Accès au miroir au moyen d'un serveur HTTP interne
Il s'agit de la configuration par défaut, indiquée dans la configuration prédéfinie du programme. Pour accéder au
miroir à l'aide du serveur HTTP, allez à Configuration avancée > Mise à jour > Profils > Miroir et sélectionnez
Créer un miroir de mise à jour.
Dans la section Serveur HTTP de l'onglet Miroir, vous pouvez préciser le port du serveur où le serveur HTTP
écoutera, ainsi que le type d'authentification utilisé par le serveur HTTP. Ce port est configuré, par défaut, à
2221. L'option d'authentification définit la méthode d'authentification utilisée pour accéder aux fichiers de mise
à jour. Les options suivantes sont disponibles : NONE, Basic et NTLM. Sélectionnez Basic pour utiliser le codage
base64 avec l'authentification de base du nom d'utilisateur et mot de passe. L'option NTLM fournit un codage
utilisant une méthode de codage fiable. L'utilisateur créé sur le poste de travail partageant les fichiers de mise à
jour sera utilisé pour l'authentification. L'option par défaut est NONE. Elle autorise l'accès aux fichiers des mises à
jour sans exiger d'authentification.
Avertissement
L'accès aux fichiers de mise à jour à l'aide du serveur HTTP exige que le dossier
miroir soit sur le même ordinateur que l'instance de ESET Endpoint Antivirus qui
l'a créé.
SSL pour serveur HTTP
Ajoutez-le à votre Fichier de chaîne du certificat ou générez un certificat auto-signé si vous voulez utiliser un
serveur HTTP prenant HTTPS (SSL) en charge. Les types de certificats suivants sont offerts : PEM, PFX et ASN.
Pour plus de sécurité, vous pouvez utiliser le protocole HTTPS pour télécharger les fichiers de mise à jour. Il est
presque impossible de retracer les transferts de données et les informations d'identification lorsque ce protocole
est utilisé. Le Type de clé privée est mis à Intégré par défaut, ce qui veut dire que la clé privée fait partie du
fichier de chaine du certificat sélectionné.
Remarque
Une erreur Nom d'utilisateur ou mot de passe non valide apparaitra dans le
volet Mettre à jour du menu principal après plusieurs tentatives infructueuses de
mise à jour, depuis le miroir, du moteur de détection. Nous vous recommandons
d'accéder à Configuration avancée > Mise à jour > Profils > Miroir et de
vérifier le nom d'utilisateur et le mot de passe. La cause la plus courante de cette
erreur est une mauvaise saisie des données d'authentification.
121
Après la configuration de votre serveur miroir, vous devez ajouter le nouveau serveur de mise à jour sur les
stations de travail client. Pour ce faire, suivez les étapes indiquées ci-dessous :
• Accédez à la Configuration avancée (touche F5) et cliquez sur Mise à jour > Profils > Basique.
• Désélectionnez Choisir automatiquement et ajoutez un nouveau serveur au champ Serveur de mise à
jour en utilisant l'un des formats suivants :
http://adresse_IP_de_votre_serveur:2221
https://adresse_IP_de_votre_serveur:2221 (si SSL est utilisé)
Accès au miroir par le partage des systèmes
Un dossier partagé doit d'abord être créé sur un lecteur local ou réseau. Lors de la création du dossier pour le
miroir, il est nécessaire d'octroyer le droit d'« écriture » à l'utilisateur qui va sauvegarder les fichiers dans le
dossier et le droit de « lecture » aux utilisateurs qui vont utiliser le dossier miroir pour la mise à jour d'ESET
Endpoint Antivirus.
Configurez ensuite l'accès au miroir dans l'onglet Configuration avancée > Mise à jour> Profils > Miroir en
désactivant l'option Fournir les fichiers de mise à jour par l’intermédiaire d'un serveur HTTP interne.
Cette option est activée par défaut lors de l'installation du programme.
Si le dossier partagé se trouve sur un autre ordinateur du réseau, vous devez saisir des données d'authentification
pour accéder à l'autre ordinateur. Pour saisir les données d'authentification, ouvrez ESET Endpoint Antivirus
Configuration avancée (touche F5) et cliquez sur Mise à jour > Profils > Se connecter au réseau local
comme. Ce paramètre est le même que celui de la mise à jour, comme décrit dans la section Se connecter au
réseau local comme.
Pour accéder au dossier miroir, vous devez utiliser le même compte que celui qui sert à se connecter à l'ordinateur
sur lequel le miroir est créé. Dans le cas où l'ordinateur est dans un domaine, le nom d'utilisateur
« domaine\utilisateur » doit être employé. Si l'ordinateur n'est pas dans un domaine, il faut utiliser
« adresse_IP_de_votre_serveur\utilisateur » ou « nom d'hôte\utilisateur ».
Une fois la configuration du miroir terminée, définissez sur les postes de travail \UNC\PATH comme serveur de mise
122
à jour en suivant les étapes suivantes :
1.Ouvrez ESET Endpoint Antivirus Configuration avancée et cliquez sur Mise à jour > Profils > Mises à
jour.
2.DésélectionnezChoisir automatiquement à côté de Mise à jour de module et ajoutez un nouveau
serveur au champ Serveur de mise à jour en utilisant le format \\UNC\PATH.
Remarque
Pour un fonctionnement correct des mises à jour, le chemin du dossier miroir doit
être précisé comme chemin UNC. Les mises à jour à partir de lecteurs mappés
pourraient ne pas fonctionner.
Création du miroir à l'aide de l'outil miroir
L'outil Miroir crée une structure de dossiers différente de celle utilisée par le
miroir d'Endpoint. Chaque dossier contient des fichiers de mise à jour pour un
groupe de produits. Vous devez spécifier le chemin d'accès complet au bon
dossier dans les paramètres de mise à jour du produit à l'aide du miroir.
Par exemple, pour mettre à jour ESMC 7 à partir du miroir, définissez (en
fonction de l'emplacement racine de votre serveur HTTP) le serveur de mise à
jour sur :
http://your_server_address/mirror/eset_upd/era6
La dernière section contrôle les composants du programme. Par défaut, les composants de programme ayant été
téléchargés seront préparés pour ensuite être copiés sur le miroir local. Si l'option Mettre à jour les composants
du programme est cochée, il n'est pas nécessaire de cliquer sur Mettre à jour, car les fichiers seront
automatiquement copiés sur le miroir local lorsqu'ils seront disponibles. Consultez la section Mode de mise à jour
pour plus de détails sur les mises à jour des composants du programme.
Résolution des problèmes de miroir de mise à jour
Dans la plupart des cas, les problèmes lors d'une mise à jour depuis un serveur miroir découlent d'une ou de
plusieurs des causes suivantes : une mauvaise spécification des options du dossier miroir, des données
d'authentification incorrectes pour l'accès au dossier miroir, une mauvaise configuration des postes de travail qui
cherchent à télécharger des fichiers de mise à jour du miroir ou une combinaison de ces raisons. Nous donnons cidessous un aperçu des problèmes les plus fréquents qui peuvent se produire lors d'une mise à jour depuis le
miroir :
ESET Endpoint Antivirus signale une erreur de connexion au serveur miroir - Probablement causée par un
serveur de mise à jour incorrect (chemin réseau du dossier miroir) à partir duquel les postes de travail locaux
téléchargent les mises à jour. Pour vérifier le dossier, cliquez sur Démarrer puis sur Exécuter avant d'entrer le
nom du dossier et de cliquer sur OK. Le contenu du dossier doit s'afficher.
ESET Endpoint Antivirus exige un nom d'utilisateur et un mot de passe - Probablement causée par
l'entrée, dans la section mise à jour, de données d'authentification incorrectes (Nom d'utilisateur et Mot de passe).
Le nom d'utilisateur et le mot de passe donnent accès au serveur de mise à jour, à partir duquel le programme se
télécharge. Assurez-vous que les données d'authentification sont correctes et entrées dans le bon format. Par
exemple, Domaine/Nom d'utilisateur ou Workgroup/Nom d'utilisateur, en plus des mots de passe correspondants.
Si le serveur miroir est accessible à « Tous », cela ne veut pas dire que tout utilisateur est autorisé à y accéder.
« Tous » ne veut pas dire tout utilisateur non autorisé, cela veut tout simplement dire que le dossier est accessible
à tous les utilisateurs du domaine. Par conséquent, si le dossier est accessible à « Tous », un nom d'utilisateur du
domaine et un mot de passe sont toujours nécessaires et doivent être entrés dans la configuration des mises à
jour.
ESET Endpoint Antivirus signale une erreur de connexion au serveur miroir - Le port de communication
123
défini pour l'accès au miroir par HTTP est bloqué.
ESET Endpoint Antivirus signale une erreur lors du téléchargement des fichiers de mise à jour.
Probablement causé par une spécification incorrecte du serveur de mise à jour (chemin d'accès réseau vers le
dossier Miroir) à partir duquel les stations de travail locales téléchargent les mises à jour.
Comment créer des tâches de mise à jour
Les mises à jour peuvent être déclenchées manuellement en cliquant sur Vérifier les mises à jour dans la
principale fenêtre d'information qui s'affiche après avoir cliqué sur Mise à jour dans le menu principal.
Les mises à jour peuvent également être exécutées comme tâches planifiées. Pour configurer une tâche planifiée,
cliquez sur Outils > Planificateur. Par défaut, les tâches suivantes sont activées dans ESET Endpoint Antivirus :
• Mise à jour automatique régulière
• Mise à jour automatique après une connexion commutée
• Mise à jour automatique après ouverture de session utilisateur
Chaque tâche de mise à jour peut être modifiée en fonction de vos besoins. Outre les tâches de mise à jour par
défaut, vous pouvez en créer des nouvelles avec vos propres paramètres. Pour plus de détails sur la création et la
configuration des tâches de mise à jour, consultez la rubrique Planificateur.
Outils
Le menu Outils comprend des modules qui contribuent à simplifier l'administration du programme et offrent des
options supplémentaires aux utilisateurs expérimentés.
Ce menu comprend les outils suivants :
• Fichiers journaux
• Rapport de sécurité
• Processus en cours (si ESET LiveGrid® est activé dans ESET Endpoint Antivirus)
• Surveiller l'activité
• Planificateur
• ESET SysInspector
• ESET SysRescue Live - Vous redirige vers la page d'ESET SysRescue Live, où vous pouvez télécharger
l'image sur CD/DVD d'ESET SysRescue Live .iso.
• Quarantaine
• Soumettre un échantillon pour analyse - Permet de soumettre un fichier suspect pour fins d'analyse au
ESET Research Lab. La fenêtre de dialogue qui s'affiche après avoir cliqué sur cette option est décrite dans
cette section.
124
Fichiers journaux
Les fichiers journaux contiennent tous les événements importants qui ont eu lieu et donnent un aperçu des
menaces détectées. Les journaux sont des outils essentiels pour l'analyse système, la détection de menaces et le
dépannage. Elle est toujours active en arrière-plan, sans interaction de l'utilisateur. Les données sont enregistrées
en fonction des paramètres actifs de verbosité. Il est possible d'afficher les messages textes et les journaux
directement à partir de l'environnement ESET Endpoint Antivirus. Il est aussi possible d'archiver les fichiers
journaux.
Les fichiers journaux sont accessibles à partir de la fenêtre principale du programme en cliquant sur Outils >
Fichiers journaux. Sélectionnez le type de journal souhaité dans le menu déroulant Journal. Les journaux
suivants sont disponibles :
• Détections - Ce journal contient de l'information détaillée sur les détections et les infiltrations détectées par
les modules ESET Endpoint Antivirus. Cela inclut l'heure de la détection, le nom de la détection, l'emplacement,
l'action exécutée et le nom de l'utilisateur connecté au moment où l'infiltration a été détectée. Double-cliquez
sur une entrée du journal pour afficher ses détails dans une fenêtre séparée. Les infiltrations non nettoyées sont
toujours marquées d'un texte rouge sur fond rouge clair, les infiltrations nettoyées sont marquées d'un texte
jaune sur fond blanc. Les applications potentiellement dangereuses ou indésirables non nettoyées sont signalées
par un texte jaune sur fond blanc.
• Événements - Toutes les actions importantes exécutées par ESET Endpoint Antivirus sont enregistrées dans le
journal des événements. Le journal des événements contient de l'information sur les événements qui se sont
produits dans le programme. Il permet aux administrateurs système et aux utilisateurs de résoudre des
problèmes. L'information qu'on y trouve peut souvent permettre de trouver une solution à un problème qui s'est
produit dans le programme.
• Analyse d'ordinateur - Tous les résultats d'analyse s'affichent dans cette fenêtre. Chaque ligne correspond à
un seul contrôle d'ordinateur. Double-cliquez sur n'importe quelle entrée pour afficher les détails de l'analyse
correspondante.
125
• Fichiers bloqués – Contient des enregistrements de fichiers bloqués et auxquels il est impossibles d'accéder.
Le protocole indique la raison et le module source qui a bloqué le fichier, ainsi que l'application et l'utilisateur qui
a exécuté le fichier.
• Envoyer les fichiers – Contient des enregistrements de fichiers envoyés à ESET LiveGrid® ou à ESET
Dynamic Threat Defense pour analyse.
• Journaux d'audit - Chaque journal contient des informations sur la date et l'heure auxquelles le changement
a été effectué, le type de changement, la description, la source et l'utilisateur. Voir Journaux Audits pour plus de
détails.
• HIPS - Contient des enregistrements de règles particulières marquées pour enregistrement. Ce protocole
affiche l'application ayant appelé l'opération, le résultat (si la règle a été autorisée ou non) et le nom de la règle
créée.
• Protection du réseau – Le journal de pare-feu affiche toutes les attaques à distance détectées par Protection
contre les attaques de réseau. Il comprend des renseignements sur toutes les attaques lancées contre votre
ordinateur. La colonne Événement reprend la liste des attaques détectées. La colonne Source fournit des
renseignements sur l'attaquant. La colonne Protocole indique le Protocole de communication utilisé pour
l'attaque. L'analyse du journal de pare-feu peut vous permettre de détecter à temps les tentatives d'infiltration
du système pour ainsi empêcher l'accès non autorisé à votre système. Pour plus d'information sur les attaques
réseau particulières, consultez la section Options IDS et avancées.
• Sites Web traités par le filtre - Cette liste est utile pour afficher la liste des sites Web bloqués par la
protection de l'accès Web. Ces journaux permettent de voir le moment, l'URL, l'utilisateur et l'application ayant
établie une connexion au site Web en question.
• Contrôle de périphérique – Contient les enregistrements relatifs aux supports amovibles ou périphériques
ayant été connectés à l'ordinateur. Seuls les périphériques liés à une règle de contrôle des périphériques seront
inscrits dans le fichier journal. Si un périphérique connecté ne satisfait pas les critères de la règle, aucune entrée
journal ne sera créée à la connexion de ce périphérique. Vous pouvez aussi y voir différents détails, comme le
type de périphérique, le numéro de série, le nom du fournisseur et la taille du support (si elle est disponible).
126
Sélectionnez le contenu de n'importe quel journal et appuyez sur Ctrl + C pour le copier dans le presse-papier.
Appuyez à la fois sur Ctrl + Shift pour sélectionner plusieurs entrées.
Cliquez sur
Filtrage pour ouvrir la fenêtre Filtrage des journaux dans laquelle vous pourrez définir les
critères de filtrage.
Faites un clic droit sur un enregistrement en particulier pour ouvrir le menu contextuel. Les options suivantes sont
disponibles dans le menu contextuel :
• Afficher - Affiche plus des informations plus détaillées sur le journal sélectionné dans une nouvelle fenêtre.
• Filtrer les enregistrements du même type - Après avoir activé ce filtre, vous ne verrez que les entrées
de même type (diagnostics, avertissements, etc.).
• Filtrer.../Rechercher - Après avoir cliqué sur cette option, la fenêtre Filtrage du journal vous permettra de
définir les critères de filtrage à utiliser pour des entrées particulières du journal.
• Activer le filtre - Active les paramètres du filtre.
• Désactiver le filtrage - Efface tous les paramètres du filtre (comme décrit ci-dessus).
• Copier/Copier tout - Copie les informations sur tous les enregistrements affichés dans la fenêtre.
• Supprimer/Supprimer tout - Supprime les enregistrements sélectionnés ou tous les enregistrements
affichés - cette action exige des privilèges administrateur.
• Exporter... - Exporte les informations à propos des enregistrements, en format XML.
• Tout exporter... - Exporter les renseignements à propos des tous les enregistrements en format XML.
• Filtrer/Rechercher suivant/Rechercher précédent - Après avoir cliqué sur cette option, la fenêtre
127
Filtrage du journal vous permettra de définir les critères de filtrage à utiliser pour des entrées particulières du
journal.
• Créer une exclusion – Permet de créer une exclusion de détection à l'aide d'un assistant (cette option
n'est pas disponible pour la détection de logiciels malveillants).
Filtrage des journaux
Cliquez sur
Filtrage dans Outils > Fichiers journaux pour définir le critère de filtrage.
La fonctionnalité de filtrage des journaux vous aidera à trouver les informations que vous recherchez, en particulier
lorsque les enregistrements sont nombreux. Il vous permet de limiter les enregistrements de journal, par exemple,
si vous recherchez un type d’événement, un état ou une période précise. Vous pouvez filtrer les enregistrements
de journal en spécifiant certaines options de recherche. Seuls les enregistrements pertinents (en fonction de ces
options de recherche) seront affichés dans la fenêtre Fichiers journaux.
Tapez le mot-clé que vous recherchez dans le champ Recherche de texte. Utilisez le menu déroulant
Rechercher dans les colonnes pour affiner votre recherche. Choisissez un ou plusieurs enregistrements dans le
menu déroulant Types d'enregistrement de journaux . Définissez la période à partir de laquelle vous
souhaitez afficher les résultats. Vous pouvez également utiliser d'autres options de recherche, telles que
Correspondre uniquement aux mots entiers ou Sensible à la casse.
Rechercher texte
Tapez une chaîne (mot ou partie de mot). Seuls les enregistrements contenant cette chaîne seront affichés.
Les autres enregistrements seront omis.
Rechercher dans les colonnes
Sélectionnez les colonnes à prendre en compte lors de la recherche. Vous pouvez cocher une ou plusieurs
colonnes à utiliser pour la recherche.
Types d'enregistrement
Choisissez un ou plusieurs types d'enregistrement de journaux dans le menu déroulant :
• Diagnostic - Consigne l'information requise pour mettre au point le programme et tous les
enregistrements préalables.
• Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi
que toutes les entrées préalables.
• Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
• Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et les erreurs critiques seront
enregistrées.
• Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus.
Période
Définir la période pendant laquelle vous voulez que les résultats soient affichés:
• Non spécifié (valeur par défaut) - Ne recherche pas dans la période, recherche dans tout le journal.
• Dernier jour
• Dernière semaine
• Dernier mois
• Période - Vous pouvez spécifier la période exacte (De : et À :) pour ne filtrer que les enregistrements de
la période spécifiée.
Mots entiers seulement
Cochez cette case si vous voulez rechercher des mots entiers particuliers pour obtenir des résultats de
recherche plus précis.
128
Sensible à la casse
Activez cette option si vous devez utiliser des majuscules ou des minuscules lors du filtrage. Une fois que vous
avez configuré vos options de filtrage/recherche, cliquez sur OK pour afficher les enregistrements de journal
filtrés ou sur Rechercher pour lancer la recherche. La recherche des fichiers journaux s'effectue de haut en
bas, à partir de votre position actuelle (l’enregistrement en surbrillance). La recherche s'arrête lorsqu'elle
trouve le premier enregistrement correspondant. Appuyez sur F3 pour rechercher le prochain enregistrement
ou faites un clic droit et sélectionnez Rechercher pour affiner vos options de recherche.
Configuration de connexion
Vous pouvez accéder à la configuration de ESET Endpoint Antivirus à partir de la fenêtre principale du programme.
Cliquez sur Configuration > Configuration avancée > Outils > Fichiers journal. La section journaux permet
de définir la manière dont les journaux sont gérés. Le programme supprime automatiquement les anciens fichiers
journaux pour gagner de l'espace disque. Vous pouvez préciser les options suivantes pour les fichiers journaux :
Verbosité minimale de journalisation - Précise le niveau minimal de verbosité des événements à consigner :
• Diagnostic - Consigne l'information requise pour mettre au point le programme et tous les
enregistrements préalables.
• Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi
que toutes les entrées préalables.
• Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
• Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et les erreurs critiques seront
enregistrées.
• Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus, etc.).
REMARQUE
Toutes les connexions bloquées seront enregistrées lors de la sélection du
niveau de verbosité du diagnostic.
Les entrées journal plus vieilles que le nombre de jours indiqué dans le champ Supprimer automatiquement les
entrées après (jours) seront automatiquement supprimées.
Optimiser automatiquement les fichiers journaux - Si cette fonction est activée, les fichiers journaux seront
automatiquement défragmentés si le pourcentage de fragmentation est supérieur à la valeur indiquée dans le
champ Si le nombre d'entrées inutilisées dépasse (%).
Cliquez sur Optimiser pour lancer la défragmentation des journaux. Toutes les entrées de journal vides sont
supprimés pour améliorer la performance et la vitesse de traitement des entrées de journal. Cette amélioration
peut être notable, tout particulièrement lorsque les journaux contiennent un grand nombre d'entrées.
Activez l'option Activer le protocole de texte pour permettre le stockage des journaux dans un autre format de
fichier différent des fichiers journaux :
• Répertoire cible - Sélectionnez le répertoire où les fichiers journaux seront stockés (s'applique
uniquement aux fichiers texte/CSV). Vous pouvez copier le chemin ou sélectionner un répertoire différent en
cliquant sur Effacer. Chaque section du journal a son propre fichier avec un nom prédéfini (par exemple,
virlog.txt pour la section Menaces détectées des fichiers journaux, si vous utilisez le format de fichier texte
brut pour stocker les journaux).
• Type - Si vous sélectionnez le format de fichier Texte, les journaux seront stockés dans un fichier texte et
les données seront séparées en onglets. La même chose s'applique au format de fichier CSV contenant des
données séparées par des virgules. Si vous sélectionnez Événement, les journaux seront stockés dans le
129
journal d'événement de Windows (peuvent être consultés à l'aide de l'observateur d'événements dans
Panneau de contrôle) contrairement aux fichiers.
• Supprimer tous les journaux - Supprime tous les journaux stockés et sélectionnés dans le menu
déroulant Type. Une notification s'affiche une fois la suppression des journaux effectuée.
Activer le suivi des changements de configuration dans le journal d'audit – Cette option vous permet
d'être informé au sujet de chaque changement de configuration. Consultez les journaux d'audit pour plus de
renseignements.
ESET Log Collector
Pour permettre une résolution plus rapide des problèmes, ESET pourrait vous
demander de fournir des journaux de votre ordinateur. ESET Log Collector
facilite la collecte des informations nécessaires. Pour plus de détails sur ESET
Log Collector, consultez notre article de la Base de connaissances.
Journaux d'audit
Dans un environnement d'entreprise, il existe généralement plusieurs utilisateurs avec des droits d'accès définis
pour la configuration des terminaux. Étant donné que la modification de la configuration du produit peut affecter
considérablement le fonctionnement du produit, il est essentiel que les administrateurs suivent les modifications
apportées par les utilisateurs pour les aider à identifier et à résoudre rapidement les même problèmes ou des
problèmes similaires et à les éviter.
Le journal d'audit est un nouveau type de journalisation à partir de ESET Endpoint Antivirus version 7.1 et une
solution pour l'identification de l'origine du problème. Le journal d'audit suit les modifications de l'état de la
configuration ou de la protection et enregistre les instantanés pour référence ultérieure.
Pour consulter le Journal d'audit, cliquez sur Outils dans le menu principal, puis sur Fichiers journaux et
sélectionnez Journaux d'audit dans le menu déroulant.
Le journal d'audit contient des informations suivantes :
• Heure : le moment où le changement a été effectué
• Type : le type de paramètre ou de fonctionnalité qui a été modifié
• Description : la modification exacte qui a eu lieu, la partie du paramètre qui a été modifiée ainsi que le
nombre de paramètres qui ont été modifiés
• Source : la source de la modification
• Utilisateur : la personne ayant effectuer la modification
130
Cliquez avec le bouton droit de la souris sur le type de journal d'audit Paramètres modifiés dans la fenêtre
Fichiers journaux et sélectionnez Afficher les modifications dans le menu contextuel pour afficher des
informations détaillées sur la modification effectuée. Vous pouvez par ailleurs annuler la modification d'un
paramètre en cliquant sur Restaurer dans le menu contextuel (non disponible pour les produits gérés par ESMC).
Si vous sélectionnez Retirer tout dans le menu contextuel, un journal contenant les informations relatives à cette
action sera créé.
Si Optimisez les fichiers journaux automatiquement est activé dans Configuration avancée > Outils >
Fichiers journaux, les journaux d'audit seront automatiquement défragmentés comme d'autres journaux.
Si l'option Retirer automatiquement les entrées après (jours) est activé dans Configuration avancée >
Outils > Fichiers journaux, les entrées de journaux dont l'âge est supérieur au nombre de jours indiqués seront
automatiquement supprimées.
Planificateur
Le planificateur gère et lance les tâches planifiées qui ont été préalablement définies et configurées.
Vous pouvez accéder au Planificateur à partir de la fenêtre principale de ESET Endpoint Antivirus, en cliquant sur
Outils > Planificateur. Le Planificateur contient une liste de toutes les tâches planifiées avec leurs propriétés
de configuration telles que la date prédéfinie, l'heure et le profil d'analyse utilisé.
Le Planificateur à planifier les tâches suivantes : la mise à jour du moteur de détection, les tâches d'analyse, le
contrôle des fichiers de démarrage du système et la maintenance des journaux. Vous pouvez ajouter ou supprimer
des tâches directement à partir de la fenêtre principale du Planificateur (cliquez sur Ajouter une tâche ou
Supprimer, dans le bas). Cliquez avec le bouton droit en un point quelconque de la fenêtre du planificateur pour
effectuer les actions suivantes : afficher de l'information détaillée, exécuter la tâche immédiatement, ajouter une
nouvelle tâche et supprimer une tâche existante. Utilisez les cases à cocher au début de chaque entrée pour
activer ou désactiver les tâches.
Par défaut, les tâches planifiées suivantes s'affichent dans le Planificateur :
131
• Maintenance des journaux
• Mise à jour automatique régulière
• Mise à jour automatique après une connexion commutée
• Mise à jour automatique après ouverture de session utilisateur
• Vérification automatique des fichiers de démarrage (après ouverture de session utilisateur)
• Vérification automatique des fichiers de démarrage (Après une mise à jour réussie du module)
Pour modifier la configuration d'une tâche planifiée existante (tant par défaut que définie par l'utilisateur), cliquez
avec le bouton droit sur la tâche, puis sur Modifier... ou sélectionnez la tâche que vous voulez modifier, puis
cliquez sur le bouton Modifier.
Ajouter une nouvelle tâche
1.Cliquez sur Ajouter une tâche au bas de la fenêtre.
2.Entrez un nom pour la tâche.
3.Sélectionnez la tâche souhaitée dans le menu déroulant :
• Exécuter une application externe - Planifie l'exécution d'une application externe.
• Maintenance des journaux - Les fichiers journaux contiennent les restes des enregistrements supprimés.
Cette tâche optimise les enregistrements dans les fichiers journaux de façon régulière, afin qu'ils puissent
fonctionner de façon efficace.
• Contrôle des fichiers de démarrage du système - Vérifie les fichiers qui peuvent être exécutés au
démarrage du système ou lors de l'ouverture de session.
• Créer un instantané de l'état de l'ordinateur – Crée un instantané de l'ordinateur ESET SysInspector 132
recueille des renseignements détaillés sur les composants du système (pilotes, applications, par ex.) et évalue le
niveau de risque de chacun des composants.
• Analyse de l'ordinateur à la demande - Effectue l'analyse des fichiers et dossiers de votre ordinateur.
• Mise à jour - Planifie une tâche de mise à jour en mettant à jour le moteur de détection et les modules du
programme.
4.Mettez le commutateur Activé en position activé si vous voulez activer la tâche (vous pouvez le faire
ultérieurement en cochant ou en décochant la case située dans la liste des tâches planifiées); cliquez sur
Suivant et sélectionnez l'une des options de périodicité :
• Une fois - La tâche sera exécutée à la date et l'heure prédéfinies.
• Plusieurs fois - La tâche sera exécutée à chaque intervalle précisé
• Quotidiennement - La tâche sera exécutée plusieurs fois, chaque jour, à l'heure indiquée.
• Chaque semaine - La tâche sera exécutée une ou plusieurs fois par semaine, à l'heure et au jour prédéfinis.
• Déclenchée par un événement - La tâche sera exécutée lorsque l'événement précisé se produira.
5.Sélectionnez Ignorer la tâche lors du fonctionnement sur batterie afin de minimiser les ressources
systèmes lorsqu'un portable est alimenté par batterie. La tâche sera exécutée à la date et à l'heure indiquées
dans les champs Exécution de la tâche. Si une tâche n'a pas pu être exécutée à l'heure définie, il est possible
de préciser le moment où elle sera exécutée de nouveau :
• À la prochaine heure planifiée
• Dès que possible
• Immédiatement, si le temps écoulé depuis la dernière exécution dépasse une valeur spécifique
(l'intervalle peut être défini à l'aide de la zone de liste déroulante Heure depuis la dernière exécution).
Vous pouvez consulter la tâche planifiée en faisant un clic droit et en cliquant sur Afficher les détails de la
tâche.
Statistiques de protection
Pour afficher un graphique des données statistiques relatives aux modules de protection de ESET Endpoint
Antivirus, cliquez sur Outils > Statistiques de la protection. Dans le menu déroulant Statistiques de
protection, sélectionnez le module de protection applicable pour afficher le graphique et la légende
133
correspondants. Si vous faites glisser le pointeur de la souris sur un élément de la légende, seules les données
correspondant à celui-ci sont représentées dans le graphique.
Un nouveau type de rapport a été introduit à partir de la version 7.1 de ESET Endpoint Antivirus (rapport de
sécurité. La section Statistiques de protection ne sera plus offerte.
Les graphiques statistiques suivants sont disponibles :
• Protection antivirus et anti-logiciel espion - Affiche le nombre d'objets infectés et nettoyés.
• Protection du système de fichiers - Affiche uniquement les objets lus ou écrits dans le système de
fichiers.
• Protection du client de messagerie - Affiche uniquement les objets envoyés ou reçus par les clients de
messagerie.
• Protection de l'accès Web et anti-hameçonnage - Affiche uniquement les objets téléchargés par des
navigateurs Web.
À côté des graphiques statistiques, vous pouvez voir le nombre d'objets analysés, le nombre d'objets infectés, le
nombre d'objets nettoyés et le nombre d'objets propres. Cliquez sur Réinitialiser pour effacer les informations
statistiques ou cliquez sur Tout réinitialiser pour effacer et supprimer toutes les données existantes.
Surveiller l'activité
Pour voir l'activité actuelle du Système de fichiers sous forme graphique, cliquez sur Outils > Regarder
l'activité. Au bas du graphique se trouve une chronologie qui enregistre l'activité du système de fichiers en temps
réel sur la base de l'intervalle de temps sélectionné. Pour changer la durée, utilisez le menu déroulant Taux de
rafraîchissement.
134
Les options suivantes sont disponibles :
• Étape : 1 seconde - Le graphique est actualisé toutes les secondes et la chronologie couvre les
10 dernières minutes.
• Étape : 1 minute (24 dernières heures) - Le graphique est actualisé toutes les minutes et la chronologie
couvre les 24 dernières heures.
• Étape : 1 heure (dernier mois) - Le graphique est actualisé toutes les heures et la chronologie couvre le
dernier mois.
• Étape : 1 heure (mois sélectionné) - Le graphique est actualisé toutes les heures et la chronologie
couvre les derniers X mois sélectionnés.
L'axe vertical du Graphique d'activité du système de fichiers représente la quantité de données lues (en bleu)
et écrites (en turquoise). Les deux valeurs sont exprimées en Ko (kilo-octets)/Mo/Go. Si vous faites glisser la souris
sur les données lues ou écrites dans la légende sous le graphique, celui-ci n'affiche que les données relatives à ce
type d'activité.
ESET SysInspector
ESET SysInspector est une application qui inspecte complètement votre ordinateur et collige de l'information
détaillée sur les composants système, tels que les pilotes et applications, les connexions réseau ou des entrées de
registre importantes, et évalue le niveau de risque de chacun des composants. Ces données peuvent aider à
déterminer la cause d'un comportement suspect du système pouvant être dû à une incompatibilité logicielle ou
matérielle, ou à une infection par logiciel malveillant. Consultez également le Guide de l'utilisateur en ligne de
ESET SysInspector.
La fenêtre SysInspector affiche les données suivantes sur les journaux créés :
• Heure - L'heure de création du journal.
• Commentaire - Un bref commentaire.
• Utilisateur - Le nom de l'utilisateur ayant créé le journal.
• État - L'état de création du journal.
Les actions suivants sont disponibles :
• Ouvrir - Ouvre le journal créé. Vous pouvez aussi cliquer à l'aide du bouton droit de la souris sur un fichier
journal donné et sélectionner Afficher à partir du menu contextuel.
• Comparer - Compare deux journaux existants.
• Créer... - Crée un journal. Veuillez attendre que ESET SysInspector se termine (l'état du journal devient
alors Créé) avant d'essayer d'accéder au journal.
• Supprimer - Supprime les journaux sélectionnés de la liste.
Les éléments suivants sont disponibles dans le menu contextuel lorsqu'un ou plusieurs fichiers journaux sont
sélectionnés:
• Afficher - Ouvre le journal sélectionné dans ESET SysInspector (ou double-cliquez sur un journal pour la
même fonction).
• Comparer - Compare deux journaux existants.
• Créer... - Crée un journal. Veuillez attendre que ESET SysInspector se termine (l'état du journal devient
alors Créé) avant d'essayer d'accéder au journal.
135
• Supprimer – Supprimer les journaux sélectionnés.
• Supprimer tout - Supprime tous les journaux.
• Exporter... - Exporte le journal vers un fichier .xml ou un fichier .xml zippé.
Protection basée sur le nuage
ESET LiveGrid® (fondé sur le système avancé d'avertissement anticipé ESET ThreatSense.Net ) utilise les données
soumises par les utilisateurs ESET de partout dans le monde avant de les envoyer au laboratoire de recherche
d'ESET. En fournissant des métadonnées et des échantillons suspects provenant de partout, ESET LiveGrid® nous
permet de réagir immédiatement aux besoins de nos clients et de préserver la réactivité d'ESET aux menaces les
plus récentes.
Il existe trois options :
Option 1 : Activer le système de réputation de ESET LiveGrid®
Le système de réputation ESET LiveGrid® fournit une liste blanche et une liste noire basées sur le nuage.
Vérifiez la réputation des processus en cours d'exécution et des fichiers directement à partir de l'interface du
programme ou du menu contextuel grâce à des informations supplémentaires disponibles à partir de ESET
LiveGrid®.
Option 2 : Activer le système de rétroaction de ESET LiveGrid®
En plus du système de réputation d'ESET LiveGrid®, le système de rétroaction d'ESET LiveGrid® recueille sur
votre ordinateur des données concernant de nouvelles menaces détectées. Ces données comprennent un
échantillon ou une copie du fichier dans lequel la menace est apparue, le chemin du fichier, le nom du fichier, la
date et l'heure, le processus par lequel la menace est apparue sur votre ordinateur et de l'information sur le
système d'exploitation de votre ordinateur.
Par défaut, ESET Endpoint Antivirus est configuré pour envoyer les fichiers suspects pour une analyse détaillée au
laboratoire de virus d'ESET. Les fichiers portant certaines extensions comme .doc ou .xls sont toujours exclus. Vous
pouvez ajouter d'autres extensions à la liste d'exclusion, dont vous ou votre organisation souhaitez éviter l'envoi.
Option 3 : Choisir de ne pas activer ESET LiveGrid®
Vous ne perdrez aucune fonctionnalité dans le logiciel, mais, dans certains cas, ESET Endpoint Antivirus peut
répondre plus rapidement aux nouvelles menaces que la mise à jour du moteur de détection lorsque ESET
LiveGrid® est activé.
Renseignements connexes
Pour en savoir plus sur ESET LiveGrid®, consultez le glossaire.
Consultez nos instructions illustrées disponibles en anglais et dans plusieurs
autres langues pour savoir comment activer ou désactiver ESET LiveGrid® dans
ESET Endpoint Antivirus.
Configuration de la protection basée sur le nuage dans la configuration avancée
Pour accéder aux paramètres de ESET LiveGrid®, appuyez sur F5 pour accéder à la configuration avancée, puis
développez Moteur de détection > Protection basée sur le nuage.
Activer le système de réputation d'ESET LiveGrid® (recommandé) - Le système de réputation d'ESET
LiveGrid® améliore l'efficacité des solutions de protection contre les logiciels malveillants d'ESET en comparant les
fichiers analysés à une base de données d'éléments d'une liste blanche et d'une liste noire dans le nuage.
136
Activer le système de rétroaction d'ESET LiveGrid® - Envoie les données de soumission pertinentes (décrites
dans la section Soumission d'échantillons ci-dessous) ainsi que les rapports d'incident et les statistiques au
laboratoire de recherche ESET pour une analyse plus approfondie.
Activer ESET Dynamic Threat Defense (invisible dans ESET Endpoint Antivirus) – ESET Dynamic Threat Defense
est un service payant fourni par ESET. Il a pour but d'ajouter une couche de protection spécifiquement conçue pour
atténuer les menaces qui font nouvellement leur apparition. Les fichiers suspects sont automatiquement envoyés à
ESET cloud. Dans le nuage, ils sont analysés par nos performants moteurs de détection de logiciels malveillants.
L'utilisateur ayant fourni l'échantillon recevra un rapport qui donne un aperçu du comportement de l'échantillon
observé.
Envoyer les rapports de plantage et les données de diagnostic – Permet envoyer des données de
diagnostic associées d'ESET LiveGrid® telles que les rapports de plantage et les vidages de mémoire des modules.
Nous recommandons de laisser cette option activée pour aider l'ESET à diagnostiquer les problèmes, à améliorer
les produits et à assurer une meilleure protection de l'utilisateur final.
Envoyer des données statistiques anonymes - Autoriser ESET à collecter des renseignements sur les menaces
nouvellement détectées comme le nom de la menace, la date et l'heure de la détection, la méthode et les
métadonnées associées à la détection, ainsi que la version du produit et sa configuration dont les renseignements
sur votre système.
Adresse de courriel du contact (facultatif) - Votre adresse de courriel peut également être incluse avec tout
fichier suspect et pourra être utilisée pour communiquer avec vous si nous avons besoin de plus d'information pour
l'analyse. Veuillez noter que vous ne recevrez pas de réponse d'ESET sauf si d'autres renseignements sont requis.
Envoi d'échantillons
Envoi automatique des échantillons détectés
Sélectionnez le type d'échantillons qui sera envoyé à ESET pour être analysé afin d'améliorer les détections
futures. Les options suivantes sont disponibles :
137
• Tous les échantillons détectés – Tous les objets détecté par le moteur de détection (y compris les
applications potentiellement indésirables lorsque cette option est activée dans les paramètres de
l'analyseur).
• Tous les échantillons sauf les documents – Tous les objets détectés à l'exception des documents.
(voir ci-dessous).
• Ne pas envoyer – Les objets détectés ne seront pas envoyés à ESET.
Envoi automatique des échantillons suspects
Ces échantillons seront également envoyés à ESET au cas où le moteur de détection ne les aurait pas détectés. Par
exemple, les échantillons qui ont presque été détectés, ou ceux dont l'un des modules de protection de ESET
Endpoint Antivirus considèrent comme suspects ou ayant un comportement douteux.
• Fichiers exécutables : Inclut des fichiers tels que .exe, .dll, .sys.
• Archives : Inclut des fichiers tels que .zip, .rar, .7z, .arch, .arj, .bzip, .gzip, .ace, .arc, .cab.
• Scripts : Inclut les types de fichiers tels que .bat, .cmd, .hta, .js, .vbs, .ps1.
• Autre : Inclut les types de fichiers .jar, .reg, .msi, .sfw, .lnk.
• Pourriels éventuels - Cette option permet d'envoyer des parties d'un éventuel pourriel ou des éventuels
pourriels en entier avec une pièce jointe à ESET pour une analyse plus approfondie. L'activation de cette
option améliore la détection des pourriels par tous les autres utilisateurs dans le monde et vous permet
d'avoir une meilleure protection contre les pourriels à l'avenir.
• Documents – Inclut les documents Microsoft Office ou PDF avec ou sans contenu actif.
Développer la liste de tous les types de fichiers de document inclus
ACCDB, ACCDT, DOC, DOC_OLD, DOC_XML, DOCM, DOCX, DWFX, EPS, IWORK_NUMBERS, IWORK_PAGES,
MDB, MPP, ODB, ODF, ODG, ODP, ODS, ODT, OLE2, OLE2_ENCRYPTED, OLE2_MACRO, OLE2_PROTECTED,
ONE, ONEPKG, PDF, PPT, PPT_XML, PPTM, PPTX, PS, PSD, RTF, SYLK, THMX, VSD, VSD_XML, WPC, WPS, XLS,
XLS_XML, XLSB, XLSM, XLSX, XPS
Exclusions
Le filtre d'exclusion permet d'exclure certains fichiers/dossiers de l'envoi (par exemple, il peut être utile d'exclure
les fichiers contenant des informations confidentielles comme des documents ou des classeurs). Les fichiers de
cette liste ne seront jamais envoyés aux laboratoires d'ESET pour analyse, même s'ils contiennent du code
suspect. Les types de fichiers les plus courants sont exclus par défaut (.doc, etc.). Vous pouvez ajouter des fichiers
à cette liste, au besoin.
ESET Dynamic Threat Defense
Pour activer le service ESET Dynamic Threat Defense sur un ordinateur client utilisant la console Web de ESMC,
consultez la section sur la configuration EDTD de ESET Endpoint Antivirus.
Si vous avez déjà utilisé le système ESET LiveGrid® et l'avez désactivé, il est possible qu'il reste des paquets de
données à envoyer. Même après la désactivation, ces paquets seront envoyés à ESET. Une fois toutes les
informations actuelles envoyées, aucun autre paquet ne sera créé.
Filtre d'exclusion pour la protection basée sur le nuage
Le filtre d'exclusion permet d'exclure certains fichiers ou dossiers de la soumission d'échantillons. Les fichiers de la
liste ne seront jamais envoyés aux laboratoires ESET pour analyse, même s'ils contiennent du code suspect. Les
types de fichiers courants (par exemple, .doc, etc.) sont exclus par défaut.
138
Remarque
Cette fonctionnalité permet d'exclure des fichiers qui peuvent comporter des
données confidentielles, tels que des documents ou des feuilles de calcul.
Processus en cours
Processus en cours affiche les programmes ou processus en cours d'exécution sur votre ordinateur et s'assure
qu'ESET est continuellement avisé des nouvelles infiltrations, et ce, dès qu'elles se produisent. ESET Endpoint
Antivirus donne de l'information détaillée sur les processus en cours d'exécution pour protéger les utilisateurs
grâce à la technologie ESET LiveGrid®.
Réputation : le plus souvent, ESET Endpoint Antivirus affecte, grâce à la technologie ESET LiveGrid®, des niveaux
de risque aux objets (fichiers, processus, clés de registre, etc.) à l'aide d'une série de règles heuristiques qui
examinent les caractéristiques de chaque objet, puis pondèrent son potentiel d'activité nuisible. Sur la base de
cette heuristique, une réputation de sera attribuée aux objets : 9 - Meilleure réputation (vert) à 0 - Mauvaise
réputation (rouge).
Processus - Nom de l'image du programme ou du processus actuellement en cours d'exécution sur votre
ordinateur. Vous pouvez aussi utiliser le Gestionnaire des tâches de Windows pour afficher tous les processus en
cours d'exécution sur votre ordinateur. Vous pouvez ouvrir le Gestionnaire des tâches en cliquant à l'aide du
bouton droit de la souris dans une zone vide de la barre des tâches, puis sur Gestionnaire des tâches ou en
appuyant sur les touches Ctrl+Maj.+Esc de votre clavier.
PID - C'est un identifiant des processus s'exécutant sur les systèmes d'exploitation Windows.
139
Remarque
Les applications connues marquées en vert sont absolument propres (ajoutées à
la liste blanche) et seront exclues de l'analyse, puisque cela permettra
d'améliorer la vitesse de l'analyse à la demande ou de la protection en temps réel
du système de fichiers sur votre ordinateur.
Nombre d'utilisateurs - Le nombre d'utilisateurs qui utilisent une application donnée. Cette information est
colligée par la technologie ESET LiveGrid®.
Heure de découverte - Période depuis que l'application a été découverte par la technologie ESET LiveGrid®.
Remarque
Lorsque l'application est marquée comme ayant un niveau de sécurité Inconnu
(orange), elle ne contient pas obligatoirement de logiciels malveillants. C'est
souvent simplement une nouvelle application. Si vous avez des doutes au sujet du
fichier, utilisez la fonction soumettre le fichier pour analyse pour envoyer le fichier
aux laboratoires d'ESET. Si le fichier se révèle être une application malveillante,
sa détection sera ajoutée à l'une des mises à jour suivantes du moteur de
détection.
Nom de l'application - Le nom d'un programme ou d'un processus donné.
En cliquant sur une application donnée indiquée au bas, l'information suivante s'affichera dans le bas de la
fenêtre :
• Chemin - Emplacement d'une application sur votre ordinateur.
• Taille - Taille du fichier indiquée en Ko (kilooctets) ou en Mo (mégaoctets).
• Description - Caractéristiques du fichier, en fonction de la description provenant du système
d'exploitation.
• Société - Nom du fournisseur ou du processus d'application.
• Version - Information de l'éditeur de l'application.
• Produit - Nom de l'application et/ou nom de l'entreprise.
• Date de création - Date et heure auxquelles une application a été créée.
• Date de modification - Date et heure auxquelles une application a été modifiée pour la dernière fois.
Remarque
La vérification de la réputation peut également être effectuée sur des fichiers qui
ne se comportent pas comme des programmes/processus en cours - marquez les
fichiers à vérifier, cliquez à droite sur ceux-ci, puis dans le menu contextuel,
sélectionnez Options avancées > Vérifier la réputation des fichiers à l'aide
de ESET LiveGrid®.
140
Rapport de sécurité
Cette fonctionnalité donne un aperçu des statistiques pour les catégories suivantes :
Pages Web bloquées - Affiche le nombre de pages Web bloquées (dont l'URL se trouve sur la liste noire pour
PUA, hameçonnage, routeur, adresse IP ou certificat piratés).
Objets de courriel infectés détectés - Affiche le nombre d'objets de courriel infectés qui ont été détectés.
PUA détecté – Affiche le nombre d'applications potentiellement indésirables (PUA)
Documents vérifiés – Affiche le nombre d'objets de document analysés.
Applications analysées – Affiche le nombre d'objets exécutables analysés.
Autres objets analysés – Affiche le nombre d'autres objets analysés.
Page Web analysées – Affiche le nombre d'objets de pages Web analysés.
Objets de courriel analysés – Affiche le nombre d'objets de courriels analysés.
L'ordre de ces catégories est basé sur la valeur numérique du plus élevé au plus bas. Les catégories avec des
valeurs nulles ne sont pas affichées. Cliquez sur Afficher plus pour développer et afficher les catégories
masquées.
En dessous des catégories, vous pouvez voir la situation réelle du virus avec la carte du monde. La présence de
virus dans chaque pays est indiquée par la couleur (plus la couleur est foncée, plus le nombre est élevé). Les pays
qui n'ont pas de données sont grisés. Passez la souris sur un pays pour afficher les données pour le pays
sélectionné. Sélectionnez un continent en particulier pour le zoomer automatiquement.
Cliquez sur l'icône de l'engrenage
dans le coin supérieur droit. vous pouvez Activer ou Désactiver les
notifications de rapport de sécurité ou choisir d'afficher les données des 30 derniers jours ou celles
enregistrées depuis l'activation du produit. Si ESET Endpoint Antivirus est installé depuis moins de 30 jours, seul le
nombre de jours à partir de l'installation peut être sélectionné. Le délai de 30 jours est fixé par défaut.
141
Réinitialiser les données effacera toutes les statistiques et supprimera les données existantes du rapport de
sécurité. Cette action doit être confirmée à l'exception des cas où vous désélectionnez l'option Demander avant
de réinitialiser les statistiques dans Configuration avancée > Interface utilisateur > Fenêtres de
notifications et d'alertes > Messages de confirmation.
ESET SysRescue Live
ESET SysRescue Live est un utilitaire gratuit qui vous permet de créer un CD/DVD ou une clé USB de secours
amorçable. Vous pouvez démarrer un ordinateur infecté à partir de votre support de secours afin de rechercher les
logiciels malveillants et de nettoyer les fichiers infectés.
Le principal avantage d'ESET SysRescue Live est qu'il s'exécute indépendamment du système d'exploitation hôte,
tout en ayant un accès direct au disque et au système de fichier. Cela permet de supprimer des infiltrations qui,
dans des circonstances normales, ne pourraient pas être supprimées (par exemple lorsque le système
d'exploitation est en cours d'exécution, etc.).
• Aide en ligne pour ESET SysRescue Live
Soumission d'échantillons pour analyse
Si vous trouvez un fichier ayant un comportement suspect sur votre ordinateur ou un site suspect sur Internet,
vous pouvez l'envoyer à ESET Research Lab pour analyse.
142
Avant d'envoyer des échantillons à ESET
N'envoyez des échantillons que s'ils répondent au moins à l'un des critères suivants :
• L'échantillon n'est pas du tout détecté par votre produit ESET.
• L'échantillon est identifié à tort comme une menace
• Nous n'acceptons pas vos fichiers personnels (que vous souhaitez analyser à la recherche de
logiciels malveillants par ESET) comme échantillons (ESET Research Lab n'effectue pas d'analyses
à la demande pour les utilisateurs).
• Pensez à utiliser un objet clair et compréhensible et fournissez le plus de détails possible sur le
fichier (par ex., une capture d'écran ou le site Web à partir duquel vous l'avez téléchargé)
L'envoi d'échantillons vous permet d'envoyer un fichier ou un site à ESET qui l'analyse à l'aide de l'une des
méthodes suivantes :
1.La boîte de dialogue d'envoi d’échantillon est accessible à partir de Outils > Soumettre un échantillon
pour analyse.
2.Vous pouvez également envoyer le fichier par courriel. Si vous préférez cette option, compressez le ou les
fichiers avec WinRAR/ZIP, protégez l'archive avec le mot de passe « infected », puis envoyez-la à
[email protected].
3.Pour signaler un pourriel ou un faux positifveuillez consulter cet article de la base de connaissances d'ESET.
Ouvrez Sélectionner un échantillon pour analyse, puis, dans Raison de la soumission de l'échantillon,
sélectionnez la description qui correspond le mieux à votre message dans le menu déroulant :
• Fichier suspect
• Site suspect (un site Web infecté par quelque logiciel malveillant que ce soit)
• Fichier faux positif (fichier jugé infecté, mais qui ne l'est pas),
• Site faux positif
• Autre
Fichier/site - Le chemin d'accès vers le fichier ou le site Web que vous voulez soumettre.
Adresse courriel du contact : L'adresse courriel du contact est envoyée avec les fichiers suspects à ESET et
peut être utilisée pour communiquer avec vous si des informations complémentaires sont nécessaires pour
l'analyse. L'entrée de l'adresse courriel est facultative. Sélectionnez Envoyer anonymement pour laisser ce
champ vide.
Vous ne recevrez peut-être pas de réponse d'ESET
Vous ne recevrez pas de réponse d'ESET, sauf si des informations complémentaires sont
nécessaires. Il en est ainsi parce que nos serveurs reçoivent, chaque jour, des dizaines de milliers
de fichiers; nous ne pouvons donc pas répondre à tous ces envois.
Si le fichier se révèle être une application ou un site Web malveillant, il sera ajoutée à l'une des
mises à jour suivantes.
Sélectionner un échantillon pour analyse - fichier suspect
Signes et symptômes d'une infection par un logiciel malveillant - Entrez une description du comportement
du fichier suspect observé sur votre ordinateur.
Origine du fichier (URL ou fournisseur) - Veuillez entrer l'origine du fichier (source) et indiquer comment vous
avez obtenu ce fichier.
Remarques et renseignements supplémentaires - Ici, vous pouvez ajouter de des renseignements ou des
descriptions supplémentaires qui faciliteront le processus d'identification du fichier suspect.
143
REMARQUE
Le premier paramètre - Signes et symptômes d'une infection observés Est requis, mais le fait de fournir de l'information supplémentaire aidera
grandement nos laboratoires lors du processus d'identification et du traitement
des échantillons.
Sélectionner un échantillon pour analyse - site suspect
Veuillez sélectionner l'une des options suivantes du menu déroulant Qu'est-ce qui ne va pas avec ce site :
• Infecté - Un site Web qui contient des virus ou d'autres logiciels malveillants diffusés par différentes
méthodes.
• Hameçonnage - Souvent utilisé pour accéder à des données sensibles, telles que numéros de comptes
bancaires, NIP, etc. Pour en savoir plus sur ce type d'attaque, consultez le glossaire.
• Fraude - Un site d'arnaques ou un site frauduleux spécialement conçu pour réaliser des profits rapides.
• Sélectionnez Autre si les options susmentionnées ne décrivent pas le site que vous allez soumettre.
Remarques et renseignements supplémentaires - Ici, vous pouvez ajouter une description ou des
renseignements supplémentaires qui faciliteront l'analyse du site Web suspect.
Sélectionner un échantillon pour analyse - fichier faux positif
Nous vous demandons de soumettre les fichiers qui sont détectés comme étant infectés, alors qu'ils ne le sont pas,
et ce, afin de nous aider à améliorer notre moteur antivirus et anti-logiciel espion et augmenter la protection des
autres. Les faux positifs peuvent se produire lorsque le modèle d'un fichier correspond au modèle contenu dans un
moteur de détection.
Nom et version de l'application - Titre et version du programme (numéro, alias ou nom de code, par ex.).
Origine du fichier (URL ou fournisseur) - Veuillez entrer l'origine du fichier (source) et indiquer comment vous
avez obtenu ce fichier.
Objectifs de l'application - La description générale de l'application, le type d'application (navigateur, lecteur
média, par ex.) et sa fonctionnalité.
Remarques et renseignements supplémentaires - Ici, vous pouvez ajouter des renseignements ou des
descriptions supplémentaires qui faciliteront le traitement du fichier suspect.
REMARQUE
Les trois premiers paramètres sont requis pour identifier les applications
légitimes et les distinguer du code malveillant. Le fait de fournir de l'information
supplémentaire aidera grandement nos laboratoires lors du processus
d'identification et du traitement des échantillons.
Sélectionner un échantillon pour analyse - site faux positif
Nous vous demandons de nous soumettre des sites qui sont détectés comme étant infectés, des sites de fraude ou
de hameçonnage, et qui ne le sont pas. Les faux positifs peuvent se produire lorsque le modèle d'un fichier
correspond au modèle contenu dans un moteur de détection. Veuillez nous soumettre ce site Web afin de nous
aider à améliorer notre moteur antivirus et antispyware et augmenter la protection des autres.
Remarques et renseignements supplémentaires - Ici, vous pouvez ajouter des renseignements ou des
descriptions supplémentaires qui faciliteront le traitement du fichier suspect.
144
Sélectionner un échantillon pour analyse - autre
Utilisez ce formulaire si le fichier ne peut être catégorisé comme un Fichier suspect ou comme un Faux positif.
Raison de l'envoi du fichier - Veuillez entrer une description détaillée ainsi que la raison de l'envoi du fichier.
Notifications
Pour gérer la manière dont ESET Endpoint Antivirus communique les événements à l'utilisateur, accédez à
Configuration avancée (F5) > Outils > Notifications. Cette fenêtre de configuration vous permet de définir les
types de notifications suivants :
• Notifications d'application – S'affiche directement dans la fenêtre principale du programme.
• Notifications sur le bureau – Une notification de bureau affichée sous la forme d'une petite fenêtre contextuelle
à côté de la barre des tâches du système.
• Notifications par courriel – Les notifications par courriel sont envoyées à l'adresse de courriel indiquée.
• Personnalisation des notifications – Ajoute un message personnalisé à une notification de bureau, par exemple.
Dans la section Général, utilisez les commutateurs correspondants pour régler les éléments suivants :
Commutateur
Par défaut
Description
Afficher les notifications sur le Bureau
Pour masquer les notifications contextuelles à côté de la barre des tâches
système, vous devez désactiver cette option. Nous vous recommandons
de laisser cette option activée pour que le produit puisse vous informer
lorsqu'un nouvel événement se produit.
Ne pas afficher les notifications lorsque...
Laissez Ne pas afficher les notifications lors de l'exécution
d'applications en mode plein écran activé pour supprimer toutes les
notifications non interactives.
Afficher les notifications du rapport de
sécurité
Activez cette option pour recevoir une notification quand une nouvelle
version de Rapport de sécurité est généré.
Afficher la notification de la mise à jour
réussie
Activez cette option pour recevoir une notification lorsque le produit met
à jour ses composants et les modules du moteur de détection.
Envoyer des notifications d'événement par
courriel
Activez cette option pour activer les notifications par courriel.
Pour activer ou désactiver des notifications d'application précises, cliquez sur Modifier en regard de Notifications
d'application.
145
Notifications d'application
Pour régler la visibilité des notifications d'application (affichées en bas à droite de l'écran), accédez à Outils >
Notifications > Général > Notifications d'application de l'arborescence de configuration avancée de ESET
Endpoint Antivirus.
La liste des notifications est divisée en trois colonnes. Les noms de notifications sont triés par catégories dans la
première colonne. Pour modifier la manière dont le produit envoie des notifications au sujet des nouveaux
événements de l'application, cochez les cases dans les colonnes correspondantes Afficher sur le bureau et
Envoyer par courriel.
146
Pour définir les paramètres généraux des notifications sur le bureau, par exemple, la durée d'affichage d'un
message ou la verbosité minimale des événements à afficher, consultez Notifications sur le bureau dans
Configuration avancée > Outils > Notifications.
Pour définir le format des courriels et configurer les paramètres du serveur SMTP, consultez Notifications par
courriel dans Configuration avancée > Outils > Notifications.
Notifications sur le bureau
Les notifications sur bureau s'affichent dans une petite fenêtre contextuelle à côté de la barre des tâches du
système. Par défaut, elles sont configurées pour s'afficher pendant 10 secondes, puis disparaître lentement. C'est
le principal moyen par lequel ESET Endpoint Antivirus informe l'utilisateur des mises à jour réussies de produit, des
nouveaux périphériques connectés, de la fin des analyses antivirus ou de la découverte d'une nouvelle menace.
La section Notifications sur le bureau permet de personnaliser le comportement des notifications contextuelles.
Les attributs suivants peuvent être définis :
Durée – Permet de définir la durée pendant laquelle le message de notification s'affiche. La valeur doit être
comprise entre 3 et 30 secondes.
Transparence – Permet de définir la transparence du message de notification en pourcentage. La plage prise en
charge est comprise entre 0 (pas de transparence) et 80 (transparence très élevée).
Verbosité minimale des événements à afficher – Dans le menu déroulant, vous pouvez sélectionner le niveau
de gravité de départ des notifications à afficher :
• Diagnostic - Consigne l'information requise pour mettre au point le programme et tous les
enregistrements préalables.
• Informative - Enregistre des messages informatifs, comme les événements de réseau non standard, y
compris les messages de mise à jour réussie, ainsi que tous les enregistrements préalables.
• Avertissement - Enregistre les erreurs critiques et les messages d'avertissement (Antistealth ne
fonctionne pas correctement ou la mise à jour a échoué)
• Erreurs - Des erreurs comme « La protection du document n'a pas démarrée » et autres erreurs critiques
seront enregistrées.
• Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus ou système
infecté).
Sur les systèmes multi-utilisateurs, afficher les notifications sur l'écran de cet utilisateur – Tapez le
nom complet du compte des utilisateurs qui devraient être autorisés à recevoir des notifications de poste de
travail. Par exemple, si vous utilisez votre ordinateur avec un autre compte que le compte administrateur et que
vous souhaitez continuer à être informé des nouveaux événements du produit.
Notifications par courriel
ESET Endpoint Antivirus prend en charge l'envoi automatique de courriels de notification, si un événement ayant le
niveau de verbosité sélectionné se produit. Dans la section Général, activez Envoyer des notifications
d'événement par courriel pour envoyer des notifications par courriel.
147
Serveur SMTP
Serveur SMTP - Le serveur SMTP utilisé pour envoyer des notifications (par ex. smtp.provider.com:587, le port
prédéfini est 25).
Remarque
ESET Endpoint Antivirus prend en charge les serveurs SMTP avec chiffrement
TLS.
Nom d'utilisateur et mot de passe - Si le serveur SMTP exige une authentification, ces champs doivent être
remplis avec un nom d'utilisateur et un mot de passe valides pour accéder au serveur SMTP.
Adresse de l'expéditeur - Ce champ indique l'adresse de l'expéditeur qui sera affichée dans l'en-tête des
courriels de notification.
Adresses des destinataires - Ce champ indique les adresses des destinataires qui seront affichées dans l'entête des courriels de notification. Utilisez un point-virgule « ; » pour séparer les différentes adresses.
Activer TLS - Activez l'envoi des messages d'alerte et de notification pris en charge par le chiffrement TLS.
Paramètres de courriel
À partir du menu déroulant Verbosité minimale pour les notifications, vous pouvez sélectionner le niveau de
sévérité de départ des notifications à envoyer.
• Diagnostic - Consigne l'information requise pour mettre au point le programme et tous les enregistrements
préalables.
• Informative - Enregistre des messages informatifs, comme les événements de réseau non standard, y
compris les messages de mise à jour réussie, ainsi que tous les enregistrements préalables.
• Avertissement - Enregistre les erreurs critiques et les messages d'avertissement (Antistealth ne fonctionne
pas correctement ou la mise à jour a échoué)
• Erreurs - Des erreurs comme « La protection du document n'a pas démarrée » et autres erreurs critiques
seront enregistrées.
• Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus ou système
148
infecté).
Envoyer chaque notification dans un courriel distinct – Lorsque cette option est activée, le destinataire
recevra un nouveau courriel pour chaque notification. Cela peut entrainer la réception d'un grand nombre de
courriels dans un court laps de temps.
Intervalle après lequel les nouveaux courriels de notification seront envoyés (min) - Intervalle en
minutes, après lequel de nouvelles notifications seront envoyées par courriel. Mettez cette valeur à 0 si vous
souhaitez envoyer ces notifications immédiatement.
Format des messages
Les communications entre le programme et l'utilisateur ou l'administrateur de système distant se font par la
messagerie ou le réseau local (au moyen du service de messagerie Windows). Le format par défaut des
messages d'alerte et des notifications est optimal dans la plupart des situations. Dans certaines situations, le
format des messages d'événement doit être changé.
Format des messages d'événement - Format des messages d'événements qui s'affichent sur les ordinateurs
distants.
Format des messages d'avertissement de menace - Les messages d'alerte de menace et de notification ont
un format par défaut prédéfini. Il est déconseillé de modifier ce format. Toutefois, dans certaines circonstances
(par exemple, si vous avez un système automatisé de traitement des messages), vous serez peut-être amené à
modifier le format des messages.
Jeu de caractères – Convertit un courriel en un codage de caractères ANSI basé sur les paramètres régionaux
de Windows (par exemple, windows-1250, Unicode (UTF-8), ACSII 7-bit, ou japonais (ISO-2022-JP)). en
conséquence, "á" sera changé en "a" et un symbole inconnu en "?".
Utiliser l'encodage Quoted-Printable – Le courriel source sera encodé au format Quoted-Printable (QP) qui
utilise les caractères ASCII et peut transmettre correctement par courriel les caractères nationaux spéciaux en
format 8 bits (áéíóú).
Les mots-clés (chaînes entourées de signes %) sont remplacés dans le message par les données réelles
indiquées. Les mots-clés suivants sont disponibles :
• %TimeStamp% - Date et heure de l'événement
• %Scanner% - Module concerné
• %ComputerName% - Nom de l'ordinateur où l'alerte s'est produite
• %ProgramName% - Module ayant généré l'alerte
• %InfectedObject% - Nom du fichier ou message infecté, etc.
• %VirusName% - Identification de l'infection
• %Action% – Mesures prises contre l'infiltration
• %ErrorDescription% - Description d'un événement autre qu'un virus
Les mots-clés %InfectedObject% et %VirusName% ne sont utilisés que dans les messages d'alerte de menace,
tandis que le mot-clé %ErrorDescription% n'est utilisé que dans les messages d'événement.
Personnalisation des notifications
Dans cette fenêtre, vous pouvez personnaliser la messagerie utilisée dans les notifications.
Notification par défaut - Un message par défaut sera affiché dans le pied de page des notifications.
Menaces
Activer Ne pas désactiver les notifications sur les logiciels malveillants automatiquement pour que les
149
notifications sur les logiciels malveillants demeurent affichées à l'écran jusqu'à ce que l'utilisateur les ferment
manuellement.
Désactiver Utilisez le message par défaut et entrez votre propre message dans le champ Notification de
menaces pour utiliser la messagerie de notifications personnalisée.
Quarantaine
La quarantaine vise principalement à stocker les fichiers infectés de façon sécuritaire. Ces fichiers doivent être mis
en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont
détectés par erreur par ESET Endpoint Antivirus.
Vous pouvez accéder à la quarantaine à partir de la fenêtre principale de ESET Endpoint Antivirus, en cliquant sur
Outils > Quarantaine.
Vous pouvez choisir de mettre n’importe quel fichier en quarantaine, ou vous pouvez également utiliser la fonction
glisser-déposer pour mettre manuellement un fichier en quarantaine. Il suffit pour cela de cliquer sur le fichier, de
déplacer le pointeur de la souris sur la zone délimitée tout en maintenant le bouton de la souris enfoncé, puis de
relâcher le bouton. L'application est ensuite déplacée au premier plan. Cette méthode est conseillée si un fichier se
comporte de manière suspecte sans pour autant avoir été détecté par l'analyseur de virus. Les fichiers mis en
quarantaine peuvent être soumis pour analyse au Laboratoire de recherche ESET.
Les fichiers stockés dans le dossier de quarantaine peuvent être visualisés dans un tableau indiquant la date et
l'heure de mise en quarantaine, le chemin de l'emplacement d'origine du fichier infecté, sa taille en octets, la
raison (par exemple, un objet ajouté par l'utilisateur) et le nombre de détections.
Mise de fichiers en quarantaine
ESET Endpoint Antivirus envoie automatiquement les fichiers supprimés en quarantaine (si l'utilisateur n'a pas
désactivé cette option dans la fenêtre d'alerte). Au besoin, vous pouvez mettre manuellement en quarantaine tout
fichier suspect en cliquant sur le bouton Déplacer vers la Quarantaine. Le fichier d'origine sera supprimé de son
150
emplacement initial. Il est également possible d'utiliser le menu contextuel à cette fin. Il suffit de cliquer avec le
bouton droit dans la fenêtre Quarantaine et de sélectionner Fichier en Quarantaine.
Restaurer depuis la quarantaine
Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement d'origine. Pour restaurer un
fichier en quarantaine, faites un clic droit dans la fenêtre de quarantaine et sélectionnez Restaurer dans le menu
contextuel qui s'affiche. Si un fichier est signalé comme application potentiellement indésirable, l'option
Restaurer et exclure de l'analyse sera également offerte. Le menu contextuel offre également l'option
Restaurer vers... qui permet de restaurer des fichiers vers un emplacement autre que celui d'où ils ont été
supprimés.
Suppression du dossier de quarantaine - Cliquez à droite sur un élément donné et sélectionnez Supprimer
du dossier de quarantaine, ou sélectionnez l'élément que vous voulez supprimer et cliquez sur la touche
Supprimer de votre clavier. Vous pouvez également sélectionner plusieurs éléments et les supprimer ensemble.
REMARQUE
Si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer, de
l'exclure de l'analyse et de l'envoyer au service d'assistance technique d'ESET.
Soumission d'un fichier de quarantaine
Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été jugé
infecté par erreur et mis en quarantaine, envoyez ce fichier au laboratoire d'ESET. Pour soumettre un fichier mis en
quarantaine, cliquez sur ce dernier avec le bouton droit de la souris, puis, dans le menu contextuel, sélectionnez
Soumettre pour analyse.
Configuration du serveur mandataire
Dans les grands réseaux locaux, la communication entre votre ordinateur et Internet peut s'effectuer par
l'intermédiaire d'un serveur mandataire. En utilisant cette configuration, les paramètres suivants doivent être
définis. En l'absence de modification, le programme ne pourra pas effectuer de mise à jour automatique. Dans
ESET Endpoint Antivirus, le serveur mandataire peut être configuré dans deux sections différentes de
l'arborescence de configuration avancée.
Vous pouvez tout d'abord configurer les paramètres du serveur mandataire dans Configuration avancée sous
Outils > Serveur mandataire. La sélection du serveur mandataire à ce niveau définit les paramètres de serveur
mandataire globaux pour l'ensemble de ESET Endpoint Antivirus. Les paramètres définis ici seront utilisés par tous
les modules exigeant une connexion Internet.
Pour préciser des paramètres de serveur mandataire à ce niveau, Sélectionnez Utiliser un serveur mandataire,
puis entrez l'adresse du serveur mandataire dans le champ Serveur mandataire, ainsi que le numéro de Port de
ce serveur mandataire.
Si la communication avec le serveur mandataire exige une authentification, sélectionnez Le serveur mandataire
exige une authentification et entrez un nom d'utilisateur et un mot de passe valides dans les champs
correspondants. Cliquez sur Détecter le serveur mandataire pour détecter et remplir automatiquement les
paramètres du serveur mandataire. Les paramètres définis dans Options Internet pour Internet Explorer ou Google
Chrome seront copiés.
REMARQUE
Vous devez entrer votre nom d'utilisateur et votre mot de passe manuellement dans les
paramètres du serveur mandataire.
Utiliser une connexion directe si le mandataire n'est pas disponible - Si ESET Endpoint Antivirus est
configuré pour utiliser le mandataire et que ce dernier n'est pas joignable, ESET Endpoint Antivirus contournera le
mandataire et communiquera directement avec les serveurs d'ESET.
151
Les paramètres de serveur mandataire peuvent aussi être définis dans la configuration de mise à jour avancée
(Configuration avancée > Mettre à jour > Profils > Mises à jour > Options de connexion en sélectionnant
Connexion par un serveur mandataire dans le menu déroulant Mode mandataire). Ce paramètre s'applique
au profil de mise à jour donné et est recommandé pour les ordinateurs portables qui reçoivent souvent des mises à
jour du moteur de détection d'emplacements distants. Pour plus d'information sur ce paramètre, consultez la
section Configuration avancée des mises à jour.
Créneaux temporels
Des créneaux temporels peuvent être créés, puis affectés à des règles pour le contrôle des appareils. Le
paramètre Créneaux temporels se trouve dans Configuration avancée > Outils. Cela vous permet de définir
des créneaux temporels fréquemment utilisées (par exemple, heures de travail, fin de semaine, etc.) et de les
réutiliser facilement sans redéfinir les plages horaires pour chaque règle. Le créneau temporel est applicable à tout
type de règle pertinent prenant en charge le contrôle temporel.
152
Pour créer un créneau temporel, procédez comme suit :
1.Cliquez sur Modifier > Ajouter.
2.Tapez le nom et la description du créneau temporel, puis cliquez sur Ajouter.
3.Spécifiez le jour et l’heure de début/fin du créneau temporel ou sélectionnez Toute la journée.
4.Cliquez sur OK pour confirmer.
Un seul créneau temporel peut être défini avec une ou plusieurs plages horaires en fonction des jours et des
heures. Lorsque le créneau temporel est créé, il s'affiche dans le menu déroulant Appliquer pendant dans
l'éditeur de règles du contrôle des appareils.
Microsoft Windows Update
La fonctionnalité Windows Update est un élément important de la protection des utilisateurs contre les logiciels
malveillants. C'est pourquoi il est essentiel que vous installiez les mises à jour de Microsoft Windows dès qu'elles
sont disponibles. ESET Endpoint Antivirus vous informe des mises à jour manquantes en fonction du niveau
indiqué. Les niveaux suivants sont disponibles :
• Aucune mise à jour - Aucune mise à jour du système ne pourra être téléchargée.
• Mises à jour facultatives - Les mises à jour de faible priorité pourront minimalement être téléchargées.
• Mises à jour recommandées - Les mises à jour courantes pourront minimalement être téléchargées.
• Mises à jour importantes - Les mises à jour importantes pourront minimalement être téléchargées.
• Mises à jour critiques - Seules les mises à jour critiques pourront être téléchargées.
Cliquez sur OK pour enregistrer les modifications. La fenêtre Mises à jour système s'affiche après vérification de
l'état avec le serveur de mise à jour. Il se peut donc que les données de mise à jour système ne soient pas
immédiatement disponibles après l'enregistrement des modifications.
153
Vérification d'intervalle de licence
ESET Endpoint Antivirus doit se connecter automatiquement aux serveurs ESET. Pour modifier ce paramètre,
accédez à Configuration avancée (F5) > Outils > Licence. Par défaut, l'option Vérification d'intervalle est
définie sur Automatique et le serveur de licences ESET vérifie le produit plusieurs fois par heure. En cas
d’augmentation du trafic réseau, définissez les paramètres sur Limité pour réduire la surcharge. Lorsque Limité
est sélectionné, ESET Endpoint Antivirus ne vérifie le serveur de licences qu'une fois par jour ou au redémarrage de
l'ordinateur.
Important
Si le paramètre Vérification d'intervalle est défini sur Limité, toutes les modifications liées à la
licence effectuées par l'intermédiaire de ESET Business Account /ESET MSP Administrator peuvent
prendre jusqu'à un jour pour être appliquées aux paramètres ESET Endpoint Antivirus.
Interface utilisateur
La section Interface utilisateur vous permet de configurer le comportement des éléments de l'interface
graphique du programme (IUG).
À l'aide de l'outil Éléments de l'interface utilisateur, vous pouvez régler l'apparence visuelle du programme et les
effets utilisés.
Pour assurer la sécurité maximale de votre logiciel de sécurité, vous pouvez empêcher toute modification non
autorisée à l'aide de l'outil Configuration de l'accès.
Fenêtres d’avis et d'alertes et Avis vous permettent de modifier le comportement des alertes de détection et les
avis système. Ces options peuvent être personnalisées selon vos besoins.
Si vous choisissez de ne pas afficher certaines notifications, elles seront affichées dans la zone Éléments
d'interface utilisateur > États de l'application. Ici, vous pouvez vérifier leur état ou encore empêcher
l'affichage de ces notifications.
L'intégration du menu contextuel s'affiche après avoir cliqué à l'aide du bouton droit sur l'objet sélectionné. Utilisez
cet outil pour intégrer les éléments de contrôle de ESET Endpoint Antivirus dans le menu contextuel.
Mode Présentation est utile aux utilisateurs qui veulent utiliser une application sans être interrompus par des
fenêtres contextuelles, des tâches planifiées ou tout composant qui pourrait utiliser le processeur et la mémoire
vive.
Consultez également la rubrique Comment réduire l'interface utilisateur de ESET Endpoint Antivirus (utile pour les
environnements gérés).
Éléments de l'interface utilisateur
Les options de configuration de l'interface utilisateur incluses dans ESET Endpoint Antivirus permettent d'ajuster
l'environnement de travail selon vos besoins. Vous pouvez accéder à ces options à partir de la branche Interface
utilisateur > Éléments de l'interface utilisateur de l'arborescence de Configuration avancée de ESET Endpoint
Antivirus.
La section Éléments de l'interface utilisateur permet de modifier l'environnement de travail. Cliquez sur le
menu déroulant Mode de démarrage pour sélectionner les modes de démarrage de l'interface utilisateur
graphique suivants :
Complet - L'IUG s'affichera au complet.
Minimal - L'interface utilisateur graphique fonctionne, mais seules les notifications sont affichées à l'utilisateur.
Manuel – L'interface utilisateur graphique ne démarre pas automatiquement lors de la connexion. Tout utilisateur
peut la démarrer manuellement.
154
Silence - Les notifications et les alertes ne seront pas affichées. L'interface graphique ne peut être démarrée que
par l'administrateur. Ce mode peut être utile dans les environnements gérés ou dans les cas où vous devez
préserver les ressources du système.
Remarque
Une fois que le mode de démarrage graphique minimale est sélectionné et que
votre ordinateur est redémarré, les notifications s'affichent, mais pas l'interface
graphique. Pour revenir au mode interface utilisateur graphique complet,
exécutez l'IUG à partir du menu Démarrer sous Tous les programmes > ESET >
ESET Endpoint Antivirus en tant qu'administrateur ou par l'intermédiaire de ESET
Security Management Center en utilisant une politique.
Pour désactiver l'écran de démarrage de ESET Endpoint Antivirus, désactivez Afficher l'écran de démarrage.
Pour qu'ESET Endpoint Antivirus émette un son lorsque des événements importants se produisent pendant une
analyse, par exemple lorsqu'une menace est détectée ou lorsque l'analyse prend fin, sélectionnez Émettre un
signal sonore.
Intégrer au menu contextuel - Intègre les éléments de contrôle de ESET Endpoint Antivirus dans le menu
contextuel.
États
États de l'application - Cliquez sur le bouton Modifier pour gérer (désactiver) les états affichés dans la
fenêtre État de la protection qui se trouve dans le menu principal.
Information sur la licence
Afficher les renseignements sur la licence - Lorsque cette option est désactivée, la date d'expiration de la
licence dans la fenêtre État de protection et Aide et soutient n'apparaîtra pas.
Afficher les messages et les notifications de la licence - Lorsque désactivée, les notifications et les
messages seront seulement lorsque la licence sera expirée.
Remarque
Les paramètres des renseignements sur la licence sont appliqués, mais ils sont
inaccessible à ESET Endpoint Antivirus activé avec une licence MSP.
155
États de l'application
Pour régler les états du produit dans le premier volet de ESET Endpoint Antivirus, naviguez jusqu'à Interface
utilisateur > Éléments de l'interface utilisateur > États de l'application de l'arborescence de configuration
avancée de ESET Endpoint Antivirus.
Activez ou désactivez les états d'application qui seront affichés ou non. Par exemple, lorsque vous mettez la
protection antivirus et antispyware en pause ou lorsque vous activez le mode de présentation. Un état de
l'application s'affiche également si votre produit n'est pas activé ou si vous avez une licence qui a expiré. Ce
156
paramètre peut être modifié à l'aide des politiques d'ESET Security Management Center.
Configuration de l'accès
Il est essentiel que ESET Endpoint Antivirus soit correctement configuré pour garantir la sécurité maximale du
système. Tout changement inapproprié peut entraîner une perte de données importantes. Pour éviter les
modifications non autorisées, les paramètres de configuration de ESET Endpoint Antivirus peuvent être protégés
par mot de passe.
Environnements gérés
L'administrateur peut créer une politique pour protéger à l'aide d'un mot de passe les paramètres de ESET
Endpoint Antivirus sur les ordinateurs clients connectés. Pour créer une nouvelle politique, consultez la section
Paramètres protégés par mot de passe.
Non géré
Les paramètres de configuration pour la protection par mot de passe se trouvent dans Configuration avancée
(F5) sous Interface utilisateur > Configuration de l'accès.
Paramètres de protection de mot de passe - Indiquez les paramètres du mot de passe. Cliquez pour ouvrir la
fenêtre de configuration de mot de passe.
Pour définir ou modifier un mot de passe visant à protéger les paramètres de configuration, cliquez sur Définir.
Demander des droits d'administrateur complets pour des comptes Administrateur limités - Gardez cette
option active pour inviter l'utilisateur actuel (s'il ne possède pas les droits d'administration) à fournir un nom
d'utilisateur et un mot de passe lorsqu'il modifie certains paramètres système (similaire au contrôle de compte
d'utilisateur (UAC) dans Windows Vista). Ces modifications incluent la désactivation des modules de protection.
Pour Windows XP uniquement :
157
Demander des droits d'administrateur (système sans prise en charge UAC) - Activez cette option pour que
ESET Endpoint Antivirus demande les données d'identification administrateur.
Mot de passe pour la configuration avancée
Pour protéger les paramètres de configuration de ESET Endpoint Antivirus et ainsi éviter une modification non
autorisée, un nouveau mot de passe devra être défini.
Environnements gérés
L'administrateur peut créer une politique pour protéger à l'aide d'un mot de passe les paramètres de ESET
Endpoint Antivirus sur les ordinateurs clients connectés. Pour créer une nouvelle politique, consultez la section
Paramètres protégés par mot de passe.
Non géré
Lorsque vous souhaitez modifier un mot de passe existant :
1.Tapez votre ancien mot de passe dans le champ Ancien mot de passe.
2.Entrez votre nouveau mot de passe dans les champs Nouveau mot de passe et Confirmer le mot de
passe.
3.Cliquez sur OK.
Ce mot de passe sera requis pour toute modification future de ESET Endpoint Antivirus.
Si vous oubliez votre mot de passe, l'accès aux paramètres avancés peut être restauré.
• Restauration par la méthode « Restaurer le mot de passe » (version 7.1 et supérieure)
• Restauration à l'aide de l'outil ESET Unlock Tool (version 7.0 et inférieures)
Cliquez ici si vous avez oublié votre clé de licence émise par ESET, la date d'expiration de votre licence ou d'autres
informations relatives à la licence de ESET Endpoint Antivirus.
Fenêtres de notifications et d'alertes
Vous recherchez des informations sur les alertes et les notifications courantes?
• Menace détectée
• L'adresse a été bloquée.
• Produit non activé
• La mise à jour est disponible
• L'information de mise à jour n'est pas cohérente
• Dépannage lorsque le message « Échec de la mise à jour des modules » s'affiche
• « Fichier corrompu » ou « Impossible de renommer le fichier »
• Certificat du site Web révoqué
• Menace réseau bloquée
La section Alertes et boîtes de message (anciennement Alertes et notifications) sous Interface utilisateur
vous permet de configurer la manière dont les détections sont gérées par ESET Endpoint Antivirus, lorsqu'un
utilisateur doit décider (par exemple, des sites Web d'hameçonnage potentiels).
158
Alertes interactives
Des fenêtres d'alerte interactives sont affichées si une détection est trouvée ou si l'intervention de l'utilisateur est
requise.
Afficher les alertes interactives
ESET Endpoint Antivirus versions 7.2 et ultérieures :
• Pour les utilisateurs non gérés, nous recommandons de laisser le paramètre par défaut (activé) pour cette
option.
• Pour les utilisateurs gérés, laissez ce paramètre activé et sélectionnez une action prédéfinie pour les
utilisateurs dans la Liste des alertes interactives.
La désactivation de l'option Afficher les alertes interactives masquera toutes les fenêtres d'alerte et les
boîtes de dialogue du navigateur. Une action par défaut prédéfinie sera automatiquement sélectionnée (par
exemple, « site de hameçonnage potentiel » sera bloqué).
ESET Endpoint Antivirus versions 7.1 et antérieures :
Le nom de ce paramètre est Afficher les alertes, et il n'est pas possible de personnaliser des actions
prédéfinies pour des fenêtres d'alerte interactives spécifiques.
Notifications sur le bureau
Les notifications sur le bureau et les info-bulles sont uniquement informatives et ne nécessitent aucune
intervention de l'utilisateur. La section Notifications du bureau a été déplacée sous Outils > Notifications
dans la configuration avancée (version 7.1 et ultérieure).
Fenêtres de notification
Pour fermer automatiquement les fenêtres d'alerte après un certain temps, sélectionnez l'option Fermer
159
automatiquement la boîte de message. Si les fenêtres d'alerte ne sont pas fermées manuellement, elles le
sont automatiquement, une fois le laps de temps écoulé.
Messages de confirmation - Affiche une liste de messages de confirmation que vous pouvez choisir d'afficher ou
de ne pas afficher.
Alertes interactives
Cette section décrit plusieurs fenêtres d’alerte interactives que ESET Endpoint Antivirus affichera avant toute
action.
Pour ajuster le comportement des alertes interactives configurables, accédez à Interface utilisateur > Fenêtres
de notifications et d'alertes > Liste des alertes interactives de l'arborescence de la configuration avancée
de ESET Endpoint Antivirus, puis cliquez sur Modifier.
Objectif
Utile pour les environnements gérés où l'administrateur peut désélectionner Demander à
l'utilisateur partout et sélectionner une action prédéfinie appliquée lorsque des fenêtres d'alertes
interactives sont affichées.
Voir également les états des applications dans le produit.
Consultez d'autres sections d'aide pour obtenir des références concernant une fenêtre d'alerte interactive précise :
Supports amovibles
• Nouveau périphérique détecté
Protection du réseau
• Accès réseau bloqué s'affiche lorsque la tâche client Isoler l'ordinateur du réseau de ce poste de travail de
ESMC est déclenchée.
• Communication réseau bloquée
• Menace réseau bloquée
160
Alertes du navigateur Web
• Contenu potentiellement indésirable détecté
• Site Web bloqué pour cause d'hameçonnage
Ordinateur
La présence de ces alertes fait passer l'interface utilisateur à l'orange :
• Redémarrer l'ordinateur (requis)
• Redémarrer l'ordinateur (recommandé)
Limitations
Les alertes interactives ne contiennent pas de fenêtres interactives du moteur de détection, de
HIPS ou du pare-feu, car leur comportement peut être configuré individuellement dans la fonction
donnée.
Messages de confirmation
Pour régler les messages de confirmation, accédez à Interface utilisateur > Alertes et boîtes de message >
Messages de confirmation de l'arborescence de configuration avancée de ESET Endpoint Antivirus et cliquez sur
Modifier.
Cette boîte de dialogue affiche les messages de confirmation que ESET Endpoint Antivirus affiche avant qu'une
action ne soit effectuée. Cochez ou décochez la case à côté de chaque message de confirmation pour autoriser ou
désactiver.
Erreur de conflit de paramètres avancés
Cette erreur peut se produire si un composant (par exemple HIPS) et l'utilisateur créent les règles en mode
interactif ou d'apprentissage en même temps.
161
Important
Nous vous recommandons de changer le mode de filtrage et d'utiliser le
paramètre par défaut Mode automatique pour créer vos propres règles.
Découvrez-en plus sur les modes de filtrage HIPS et sur HIPS.
Un redémarrage est nécessaire
Si les postes de travail reçoivent l'alerte rouge « Un Un redémarrage est nécessaire », vous pouvez désactiver
l'affichage de ces alertes.
Pour désactiver l'alerte « Un redémarrage est nécessaire » ou « Un redémarrage est recommandé », suivez les
étapes ci-dessous :
1.Appuyez sur la touche F5 pour accéder à la configuration avancée et développer la fenêtres de
notifications et d'alertes.
2.Cliquez sur Modifier situé à côté de la liste des alertes interactives. Dans la section Ordinateur,
décochez les cases en regard de Redémarrer l'ordinateur (requis) et de Redémarrer l'ordinateur
(recommandé).
3.Cliquez sur OK pour enregistrer vos modifications dans les deux fenêtres ouvertes.
4.Les alertes n'apparaîtront plus sur le poste de travail.
5.(facultatif) Pour désactiver l'état de l'application dans la fenêtre principale du programme ESET Endpoint
Antivirus, accédez à la fenêtre des états de l'application, décochez les cases situées à côté de Un
redémarrage de l'ordinateur est nécessaire et Un redémarrage de l'ordinateur est recommandé.
162
Un redémarrage est recommandé
Si les postes de travail reçoivent l'alerte jaune « Un redémarrage est recommandé », vous pouvez désactiver
l'affichage de ces alertes.
Pour désactiver l'alerte « Un redémarrage est nécessaire » ou « Un redémarrage est recommandé », suivez les
étapes ci-dessous :
1.Appuyez sur la touche F5 pour accéder à la configuration avancée et développer la fenêtres de
notifications et d'alertes.
2.Cliquez sur Modifier situé à côté de la liste des alertes interactives. Dans la section Ordinateur,
décochez les cases en regard de Redémarrer l'ordinateur (requis) et de Redémarrer l'ordinateur
(recommandé).
163
3.Cliquez sur OK pour enregistrer vos modifications dans les deux fenêtres ouvertes.
4.Les alertes n'apparaîtront plus sur le poste de travail.
5.(facultatif) Pour désactiver l'état de l'application dans la fenêtre principale du programme ESET Endpoint
Antivirus, accédez à la fenêtre des états de l'application, décochez les cases situées à côté de Un
redémarrage de l'ordinateur est nécessaire et Un redémarrage de l'ordinateur est recommandé.
Supports amovibles
ESET Endpoint Antivirus effectue une analyse automatique des supports amovibles (CD/DVD/USB/...). Ce module
permet d'analyser le support inséré dans un ordinateur. Cela peut être utile si l'administrateur de l'ordinateur veut
empêcher les utilisateurs d'utiliser des supports amovibles comportant un contenu non sollicité.
Lorsqu'un support amovible est inséré, et que l'option Afficher les options d'analyse est activée dans ESET
Endpoint Antivirus la boîte de dialogue suivante s'affiche :
Options pour cette boîte de dialogue :
• Analyser maintenant - Déclenche l'analyse du support amovible.
• Analyser plus tard - Reporte l'analyse du support amovible.
• Configuration - Ouvre la section Configuration avancée.
• Toujours utiliser l'option sélectionnée - Lorsque cette case est cochée, la même action sera effectuée
la prochaine fois qu'un support amovible sera inséré.
164
De plus, ESET Endpoint Antivirus comprend également la fonctionnalité de contrôle du périphérique qui offre la
possibilité de définir des règles pour l'utilisation des périphériques externes sur un ordinateur particulier. Vous
trouverez plus de détails sur le contrôle de périphérique dans la section Contrôle de périphérique.
ESET Endpoint Antivirus 7.2 et versions ultérieures
Pour accéder aux paramètres d'analyse de supports amovibles, ouvrez Configuration avancée (touche F5) >
Interface utilisateur > Alertes et boîtes de messages > Alertes interactives > Liste des alertes
interactives > Modifier > Nouveau périphérique détecté.
Si l'option Demander à l'utilisateur n'est pas sélectionné, choisissez l'action souhaitée lorsqu'un support
amovible est inséré dans un ordinateur :
• Ne pas analyser - Aucune action ne sera effectuée et la fenêtre Nouveau périphérique détecté ne
s'ouvrira pas.
• Analyse automatique du périphérique - Une analyse informatique du support amovible inséré sera
effectuée.
• Afficher les options d'analyse – Cette option ouvre la section de configuration des alertes interactives.
ESET Endpoint Antivirus version 7.1 et inférieure
Pour accéder aux paramètres d'analyse des supports amovibles, ouvrez Configuration avancée (F5) > Moteur de
détection > Recherche de logiciels malveillants > Supports amovibles.
Action à effectuer après l'insertion d'un support amovible - Sélectionnez l'action par défaut qui sera
effectuée lorsqu'un support amovible est inséré dans l'ordinateur (CD/DVD/USB). Choisissez l'action souhaitée
lorsqu'un support amovible est inséré dans un ordinateur :
• Ne pas analyser - Aucune action ne sera effectuée et la fenêtre Nouveau périphérique détecté ne
s'ouvrira pas.
• Analyse automatique du périphérique - Une analyse informatique du support amovible inséré sera
effectuée.
• Afficher les options d'analyse - Ouvre la section de configuration du supports amovibles.
Icône de la barre d'état système
Certaines des options de configuration les plus importantes ainsi que des fonctions sont disponibles en cliquant à
l'aide du bouton droit de la souris sur l'icône de la barre d'état système
165
.
Suspendre la protection - Affiche la boîte de dialogue de confirmation qui désactive le Moteur de détection, ce
qui protège contre les attaques en contrôlant la communication par fichiers, au moyen du Web et par courriel.
Le menu déroulant Intervalle représente la période pendant laquelle toute la protection sera désactivée.
Configuration avancée - Cochez cette option pour entrer dans l'arborescence de Configuration avancée. Vous
pouvez aussi accéder à la configuration avancée en appuyant sur la touche F5 ou en allant à Configuration >
Configuration avancée.
Fichiers journaux - Les Fichiers journaux contiennent des informations sur tous les événements de programme
importants qui se sont produits et donnent un aperçu des détections.
Ouvrir ESET Endpoint Antivirus – Ouvre la fenêtre principale du programme ESET Endpoint Antivirus à partir de
l'icône de la barre des tâches.
Rétablir la disposition de fenêtre - Réinitialise la fenêtre de ESET Endpoint Antivirus à sa taille et position par
défaut, à l'écran.
Rechercher des mises à jour... – Démarre la mise à jour des modules du programme afin d'assurer un niveau
de protection élevé contre les codes malveillants.
À propos - Fournit de l'information sur le système, les détails à propos de la version installée de ESET Endpoint
Antivirus, les modules du programme installés et la date d'expiration de votre licence. Les informations sur votre
système d'exploitation et sur les ressources du système se trouvent au bas de la page.
Menu contextuel
Le menu contextuel s'affiche après avoir cliqué à droite sur un objet (fichier). Le menu donne la liste de toutes les
166
actions que vous pouvez effectuer sur un objet.
Il est possible d'intégrer les éléments de contrôle de ESET Endpoint Antivirus dans le menu contextuel. Les options
de configuration de cette fonctionnalité sont disponibles dans l'arborescence de Configuration avancée sous
Interface utilisateur > Éléments d'interface utilisateur.
Intégrer au menu contextuel - Intègre les éléments de contrôle de ESET Endpoint Antivirus dans le menu
contextuel.
Aide et assistance
ESET Endpoint Antivirus contient des outils de dépannage et de l'information d'assistance qui vous aideront à
régler les problèmes auxquels vous pourriez devoir faire face.
Aide
Rechercher la base de connaissances ESET - La Base de connaissances ESET contient des réponses aux
questions les plus fréquentes, ainsi que les solutions recommandées pour résoudre divers problèmes. Des mises à
jour régulières effectuées par les conseillers techniques d'ESET font de la base de connaissances l'outil le plus
puissant pour résoudre différents problèmes.
Ouvrir l'aide - Cliquez sur ce lien pour lancer les pages d'aide de ESET Endpoint Antivirus.
Trouver une solution rapide - Cliquez sur ce lien pour trouver les solutions aux problèmes les plus fréquents.
Nous vous recommandons de lire cette section avant de communiquer avec le service d'assistance technique.
Assistance technique
Envoyer une demande d'assistance - Si vous ne trouvez pas de réponse à votre problème, vous pouvez utiliser
le formulaire qui se trouve sur le site Web d'ESET pour communiquer rapidement avec notre service d'assistance
technique.
Détails sur le service d'assistance technique – Lorsque vous y êtes invité, vous pouvez copier et envoyer de
l'information (comme les noms de produit, les versions de produit, le système d'exploitation et le type de
processeur).
Outils d'assistance
Encyclopédie de menaces - Lien vers l'encyclopédie de menaces ESET, qui contient des informations sur les
dangers et symptômes de différent types d'infiltration.
Historique du moteur de détection – Liens vers ESET Virus radar qui contient des informations sur chaque
version de la base de données de détection ESET (précédemment appelée « base de données de signature de
virus »).
ESET Log Collector - Établit la liaison avec la base de connaissances d'ESET, où vous pouvez télécharger ESET Log
Collector, une application permettant de rassembler automatiquement les informations et les journaux d'un
ordinateur afin de résoudre les problèmes plus rapidement. Pour en savoir plus, consultez le guide de l'utilisateur
167
en ligne d'ESET Log Collector.
ESET Specialized Cleaner - Outils de suppression pour les infections malveillantes communes. Pour obtenir plus
de détails, consultez cet article de la base de connaissances ESET.
Informations de produit et de licence
À propos de ESET Endpoint Antivirus - Affiche des informations sur votre copie de ESET Endpoint Antivirus.
Activer le produit/Modifier la licence - Cliquez sur cette option pour lancer la fenêtre d'activation et activer
votre produit.
À propos de ESET Endpoint Antivirus
Cette fenêtre donne des renseignements détaillés sur la version de ESET Endpoint Antivirus installée, votre
système d'exploitation et les ressources systèmes.
Cliquez sur Composants installés pour afficher des renseignements sur la liste des modules de programme
installés. Vous pouvez copier l'information à propos des modules dans le bloc-notes en cliquant sur Copier. Cela
peut être utile lorsque vous dépannez le logiciel ou que vous devez communiquer avec le service d'assistance
technique.
Soumettre les données de configuration du système
Afin d'offrir l'assistance la plus rapide et la plus précise possible, ESET a besoin des renseignements sur la
configuration de ESET Endpoint Antivirus sur la configuration du système et sur les processus en cours d'exécution
(fichier journal ESET SysInspector) ainsi que sur les données du registre. ESET utilisera ces données uniquement
pour fournir une assistance technique au client.
Lorsque vous soumettez le formulaire Web, vos données de configuration du système sont envoyées à ESET.
168
Sélectionnez Toujours soumettre ces informations si vous voulez mémoriser cette action pour ce processus.
Pour soumettre le formulaire sans envoyer de données, cliquez sur Ne pas soumettre les données. Vous pouvez
alors communiquer avec le service d'assistance technique d'ESET à l'aide du formulaire d'assistance en ligne.
Ce paramètre peut également être configuré dans Configuration avancée > Outils > Diagnostics >
Assistance technique.
Remarque
Si vous avez décidé de soumettre les données du système, il est nécessaire de
remplir et de soumettre le formulaire Web, sinon votre billet ne sera pas créé et
vos données système seront perdues.
Gestionnaire de profils
Le gestionnaire de profils est utilisé à deux endroits dans ESET Endpoint Antivirus - dans la section Analyse de
l'ordinateur à la demande et dans la section Mise à jour.
Analyse de l'ordinateur à la demande
Vos paramètres d'analyse préférés peuvent être enregistrés pour analyse future. Nous vous recommandons de
créer un profil différent (avec différentes cibles et méthodes ainsi que d'autres paramètres d'analyse) pour
chacune des analyses utilisées régulièrement.
Pour créer un nouveau profil, ouvrez la fenêtre Configuration avancée (touche F5) et cliquez sur Antivirus >
Analyse de l'ordinateur à la demande ensuite Modifierà côté de Liste de profils. Le menu déroulant Profil
de mise à jour qui donne la liste des profils d'analyse existants. Pour vous aider à créer un profil d'analyse
répondant à vos besoins, consultez la rubrique Configuration du moteur ThreatSense pour une description de
chacun des paramètres de configuration de l'analyse.
REMARQUE
Imaginez que vous vouliez créer votre propre profil d'analyse et que la configuration associée au
profil Analyse de l'ordinateur vous convienne en partie, mais que vous ne voulez ni analyser les
fichiers exécutables compressés par un compresseur d'exécutables ni les applications
potentiellement dangereuses et que vous voulez également utiliser un nettoyage strict. Entrez
le nom de votre nouveau profil dans la fenêtre Gestionnaire de profil, puis cliquez sur Ajouter.
Sélectionnez votre nouveau profil à partir du menu déroulant de Profil sélectionné, puis ajustez
les paramètres restants pour répondre à vos exigences; cliquez ensuite sur OK pour enregistrer
votre nouveau profil.
Mettre à jour
L'éditeur de profils de la section de configuration des mises à jour permet aux utilisateurs de créer de nouveaux
profils de mise à jour. Il est opportun de créer et d'utiliser des profils personnalisés (autres que l'option par défaut
Mon profil) si votre ordinateur utilise plusieurs moyens pour se connecter aux serveurs de mise à jour.
Par exemple, un ordinateur portable qui se connecte normalement à un serveur local (miroir) sur le réseau local,
mais qui télécharge les mises à jour directement à partir des serveurs de mise à jour d'ESET lorsqu'il est
déconnecté du réseau local (voyage d'affaires) pourrait utiliser deux profils : le premier pour se connecter au
serveur local, le second pour se connecter aux serveurs d'ESET. Une fois ces profils configurés, allez dans Outils >
Planificateur, puis modifiez les paramètres de mise à jour de la tâche. Désignez un profil comme principal et
l'autre comme secondaire.
Profil de mise à jour - Le profil de mise à jour actuellement sélectionné. Pour le changer, choisissez un profil
dans le menu déroulant.
Liste des profils - Créer un nouveau profil ou modifier des profils de mise à jour existants.
169
Raccourcis clavier
Pour une navigation plus facile dans ESET Endpoint Antivirus, les raccourcis clavier suivants peuvent être utilisés :
Raccourcis clavier Action entreprise
F1
ouvre les pages d'aide
F5
ouvre la configuration avancée
Up/Down
permet de naviguer dans le produit par l'entremise des composants
TAB
déplace le curseur dans une fenêtre
Esc
ferme la boîte de dialogue active
Ctrl+U
affiche des informations sur la licence ESET et votre ordinateur (Détails pour le soutien
technique)
Ctrl+R
rétablit la fenêtre du produit à sa taille et à sa position par défaut à l'écran
Diagnostic
Les diagnostics fournissent des vidages sur incident des processus d'ESET (par exemple, ekrn). Si une application
se bloque, un fichier de vidage sera généré. Cela peut aider les développeurs à déboguer et résoudre divers ESET
Endpoint Antivirus problèmes.
Cliquez sur le menu déroulant à côté de Type de vidage et sélectionnez l'une des trois options disponibles :
• Sélectionnez Désactiver pour désactiver cette fonctionnalité.
• Mini (par défaut) - Enregistre le plus petit ensemble d'information utile pouvant aider à identifier la raison
pour laquelle l'application s'est arrêtée inopinément. Ce type de fichier de vidage peut être utile lorsque
l'espace est limité. Cependant, en raison de l'information limitée incluse dans ce fichier, des erreurs n'ayant
pas été causées directement par la menace en cours au moment du problème pourraient ne pas être
découvertes lors d'une analyse de ce fichier.
• Complet - Enregistre tout le contenu de la mémoire système, au moment où l'application s'est arrêtée
inopinément. Un vidage complet de mémoire peut contenir des données liées aux processus en cours
d'exécution au moment de la création du vidage mémoire.
Dossier cible - Répertoire où sera généré le fichier de vidage lors du plantage.
Ouvrir le dossier de diagnostic - Cliquez sur Ouvrir pour ouvrir ce répertoire dans une nouvelle fenêtre de
l'Explorateur Windows.
Créer un vidage de diagnostique - Cliquez sur Créer pour créer des fichiers de vidage de diagnostique dans le
répertoire cible.
Journalisation avancée
Activer la journalisation avancée du contrôle de périphériques – Enregistre tous les événements qui se
produisent dans Contrôle de périphériques. Cela peut aider les développeurs à diagnostiquer et résoudre les
problèmes liés au contrôle de périphériques.
Activer la journalisation avancée du noyau - Enregistre tous les événements survenant dans le service du
noyau ESET (ekrn) pour permettre le diagnostic et la résolution des problèmes (disponible dans les versions 7.2 et
supérieures).
Activer la journalisation avancée de l'octroi de licences – Enregistre toutes les communications du produit
avec l'activation ESET et les serveurs ESET Business Account.
Activer la journalisation avancée de la protection réseau - Enregistre toutes les données relatives au réseau
traversant le pare-feu au format PCAP afin d'aider les développeurs à diagnostiquer et à résoudre les problèmes
liés au pare-feu.
170
Activer la journalisation avancée du système d'exploitation : Des informations supplémentaires sur le
système d'exploitation, telles que les processus en cours, l'activité du processeur et les opérations sur les disques,
seront collectées. Cela peut aider les développeurs à diagnostiquer et à résoudre les problèmes liés au produit
ESET s'exécutant sur votre système d'exploitation.
Activer la journalisation avancée du filtrage de protocole : Enregistre toutes les données traversant le
moteur de filtrage de protocole en format PCAP afin d'aider les développeurs à diagnostiquer et à résoudre les
problèmes liés au filtrage de protocole.
Activer la journalisation avancée de l'analyseur – Enregistrer les problèmes qui surviennent lors de l'analyse
de fichiers et de dossiers à l'aide de l'analyse de l’ordinateur ou de la protection en temps réel du système de
fichiers (disponible en versions 7.2 et ultérieures).
Activer la journalisation avancée du moteur de mise à jour : Enregistre tous les événements qui se
produisent au cours du processus de mise à jour. Cela peut aider les développeurs à diagnostiquer et à résoudre
les problèmes liés au moteur de mise à jour.
Activer la journalisation avancée du contrôle Web : Enregistre tous les événements qui se produisent dans le
contrôle parental. Cela peut aider les développeurs à diagnostiquer et résoudre les problèmes liés au contrôle
parental.
Emplacement des fichiers journaux
Système d’exploitation
Répertoire des fichiers journaux
Windows Vista et versions ultérieures. C:\ProgramData\ESET\ESET Endpoint Antivirus\Diagnostics\
Versions précédentes de Windows
C:\Documents and Settings\All Users\...
Analyseur de ligne de commande
Le module antivirus de ESET Endpoint Antivirus peut être lancé en utilisant la ligne de commande - manuellement
(avec la commande « ecls ») ou avec un fichier de commandes (« bat »). Utilisation de l'analyseur de ligne de
commande d'ESET:
ecls [OPTIONS..] FILES..
Les paramètres et commutateurs suivants peuvent être utilisés lors de l'exécution de l'analyseur à la demande à
partir de la ligne de commande :
Options
/base-dir=FOLDER
charger les modules du DOSSIER
/quar-dir=FOLDER
DOSSIER de quarantaine
/exclude=MASK
exclure les fichiers correspondants à MASQUE de l'analyse
/subdir
analyser les sous-dossiers (valeur par défaut)
/no-subdir
ne pas analyser les sous-dossiers
/max-subdir-level=LEVEL
sous-niveau maximal de sous-dossiers dans les dossiers à analyser
/symlink
suivre les liens symboliques (valeur par défaut)
/no-symlink
ignorer les liens symboliques
/ads
analyser ADS (valeur par défaut)
/no-ads
ne pas analyser ADS
/log-file=FILE
consigner les résultats dans le FICHIER
/log-rewrite
Écraser le fichier de sortie (par défaut - ajouter)
/log-console
consigner les résultats dans la console (valeur par défaut)
/no-log-console
ne pas consigner les résultats dans la console
/log-all
consigner également les fichiers nettoyés
/no-log-all
ne pas consigner les fichiers nettoyés (valeur par défaut)
171
/aind
afficher l'indicateur d'activité
/auto
analyser et nettoyer automatiquement tous les disques locaux
Options de l'analyseur
/files
analyser les fichiers (valeur par défaut)
/no-files
ne pas analyser les fichiers
/memory
analyser la mémoire
/boots
analyser les secteurs d'amorçage
/no-boots
ne pas analyser les secteurs d'amorçage (valeur par défaut)
/arch
analyser les archives (valeur par défaut)
/no-arch
ne pas analyser les archives
/max-obj-size=SIZE
analyser uniquement les fichiers plus petits que TAILLE Mo (valeur par défaut 0 =
illimité)
/max-arch-level=LEVEL
sous-niveau maximal d'archives à analyser dans les archives (archives
imbriquées)
/scan-timeout=LIMIT
analyser les archives pendant un maximum de LIMITE secondes
/max-arch-size=SIZE
n'analyser les fichiers contenus dans une archive que s'ils sont plus petits que
TAILLE (valeur par défaut 0 = illimité)
/max-sfx-size=SIZE
n'analyser les fichiers d'une archive à extraction automatique que s'ils sont plus
petits que TAILLE Mo (valeur par défaut 0 = illimité)
/mail
analyser les fichiers courriel (valeur par défaut)
/no-mail
ne pas analyser les fichiers courriel
/mailbox
analyser les boîtes aux lettres (valeur par défaut)
/no-mailbox
ne pas analyser les boîtes aux lettres
/sfx
analyser les archives à extraction automatique (valeur par défaut)
/no-sfx
ne pas analyser les archives à extraction automatique
/rtp
analyser les fichiers exécutables compressés (valeur par défaut)
/no-rtp
ne pas analyser les fichiers exécutables compressés
/unsafe
rechercher les applications potentiellement dangereuses
/no-unsafe
ne pas rechercher les applications potentiellement dangereuses (valeur par
défaut)
/unwanted
rechercher les applications potentiellement indésirables
/no-unwanted
ne pas rechercher les applications potentiellement indésirables (valeur par défaut)
/suspicious
analyser pour déceler la présence d'applications suspectes (par défaut)
/no-suspicious
ne pas analyser pour déceler la présence d'applications suspectes
/pattern
utiliser les signatures (valeur par défaut)
/no-pattern
ne pas utiliser les signatures
/heur
activer l'heuristique (valeur par défaut)
/no-heur
désactiver l'heuristique
/adv-heur
activer l'heuristique avancée (valeur par défaut)
/no-adv-heur
désactiver l'heuristique avancée
/ext-exclude=EXTENSIONS
exclure de l'analyse les EXTENSIONS délimitées par deux-points
172
utiliser le MODE de nettoyage pour les objets infectés
/clean-mode=MODE
Les options suivantes sont disponibles :
• aucun - aucun nettoyage automatique n'est effectué.
• standard (valeur par défaut) - ecls.exe tentera de nettoyer ou de supprimer
automatiquement les fichiers infectés.
• strict - ecls.exe tentera de nettoyer ou de supprimer automatiquement les
fichiers infectés sans l'intervention de l'utilisateur (vous ne recevrez aucune invite
avant la suppression des fichiers).
• rigoureux - ecls.exe supprimera les fichiers sans aucune tentative de nettoyage
quel que soit le fichier en question.
• supprimer - ecls.exe supprimera les fichiers sans aucune tentative de nettoyage,
mais ne supprimera pas les fichiers sensibles comme les fichiers systèmes de
Windows.
/quarantine
copier les fichiers infectés (si nettoyés) vers Quarantaine
(complète l'action effectuée pendant le nettoyage)
/no-quarantine
ne pas copier les fichiers infectés dans la quarantaine
Options générales
/help
afficher l'aide et quitter
/version
afficher l'information sur la version et quitter
/preserve-time
conserver la date et l'heure du dernier accès
Codes de sortie
0
aucune menace détectée
1
menace détectée et nettoyée
10
certains fichiers ne peuvent pas être analysés (peuvent être des menaces)
50
menace trouvée
100
erreur
Remarque
Un code de sortie supérieur à 100 indique un fichier non analysé, qui peut donc
être infecté.
ESET CMD
Il s'agit d'une fonctionnalité qui permet des commandes avancées ecmd. Elle vous permet d'exporter et d'importer
des paramètres en utilisant la ligne de commande (ecmd.exe). Jusqu'à présent, il était possible d'exporter et
d'importer des paramètres uniquement à l'aide de l'IUG. La configuration de ESET Endpoint Antivirus peut être
exportée à l'aide d'un fichier .xml.xml.
Lorsque ESET CMD est activé, deux méthodes d'autorisation vous sont offertes :
• Aucune – aucune autorisation Nous ne recommandons pas cette méthode car elle permet l'importation de
toute configuration non signée, ce qui comporte un risque.
• Mot de passe de configuration avancée – un mot de passe est requis lors de l'importation de la
configuration d'un fichier .xml; le fichier doit être signé (voir signature de la configuration .xml plus bas). Le mot
de passe spécifié dans Configuration de l'accès doit être fourni avant qu'une nouvelle configuration puisse être
importée. Si la configuration de l'accès n'est pas activée, le mot de passe ne correspond pas ou le fichier de
configuration .xml n'est pas signé, la configuration ne sera pas importée.
Une fois qu'ESET CMD est activé, vous pouvez utiliser la ligne de commande pour importer ou exporter les
configurations de ESET Endpoint Antivirus. Vous pouvez le faire manuellement ou créer un script pour
l'automatiser.
173
Important
Pour utiliser les commandes avancées d'ecmd, vous devez les exécuter avec des privilèges
d'administrateur ou ouvrir l'invite de commandes (cmd) de Windows en utilisant Exécuter en tant
qu'administrateur. Sinon, vous obtiendrez le message Error executing command.. En outre, lors
de l'exportation de la configuration, le dossier de destination doit exister. La commande Export
fonctionne même lorsque le paramètre ESET CMD est désactivé.
REMARQUE
Les commandes ecmd avancées ne peuvent être exécutées que localement. L'exécution d'une tâche
de client Exécuter la commande en utilisant ESMC ne fonctionnera pas.
Exemple
Commande d'exportation des paramètres :
ecmd /getcfg
c:\config\settings.xml
Commande d'importation des paramètres :
ecmd /setcfg c:\config\settings.xml
Signature d'un fichier de configuration .xml :
1.Téléchargez l'exécutable XmlSignTool.
2.Ouvrez l'invite de commande Windows (cmd) en utilisant l'option Exécuter en tant qu'administrateur.
3.Accédez à l'emplacement de sauvegarde de xmlsigntool.exe
4.Exécutez la commande pour signer le fichier de configuration .xml : xmlsigntool /version 1|2
<xml_file_path>
Important
La valeur du paramètre /version dépend de la version de ESET Endpoint Antivirus. Utilisez
/version 2 pour la version 7 et les versions plus récentes.
5.Entrez deux fois le mot de passe de la configuration avancée lorsque XmlSignTool le demande. Votre fichier
de configuration .xml est maintenant signé et peut être utilisé pour l'importation sur une autre instance de
ESET Endpoint Antivirus avec ESET CMD en utilisant la méthode d'autorisation de mot de passe de
configuration avancée.
174
Exemple :
Commande de signature de fichier de configuration exportée :
xmlsigntool /version 2 c:\config\settings.xml
REMARQUE
Si le mot de passe de la configuration d'accès change et que vous souhaitez importer la
configuration qui a été signée précédemment avec un ancien mot de passe, vous devez signer le
fichier de configuration .xml à nouveau à l'aide du mot de passe actuel. Cela vous permet d'utiliser
un fichier de configuration plus ancien sans avoir besoin de l'exporter sur une autre machine
exécutant ESET Endpoint Antivirus avant l'importation.
Avertissement
L'activation d'ESET CMD sans une autorisation n'est pas recommandé, car cela
permettra l'importation de toute configuration non signée. Définissez le mot de
passe dans Configuration avancée > Interface utilisateur > Configuration
de l'accès pour empêcher des modifications non autorisées par les utilisateurs.
Liste des commandes ecmd
Des fonctions de sécurité individuelles peuvent être activées et temporairement désactivées à l'aide de la
commande ESMC Client Task Run. Les commandes ne remplacent pas les paramètres de politique et tous les
paramètres suspendus reviendront à leur état d'origine après l'exécution de la commande ou après le
redémarrage d'un appareil. Pour utiliser cette fonctionnalité, indiquez la ligne de commande à exécuter dans le
champ du même nom.
Consultez la liste des commandes pour chaque fonction de sécurité ci-dessous :
Fonction de sécurité
Commande Temporary Pause
Commande Enable
Protection en temps réel du système
de fichiers
ecmd /setfeature onaccess pause
ecmd /setfeature onaccess enable
Protection des documents
ecmd /setfeature document pause
ecmd /setfeature document enable
Contrôle de périphériques
ecmd /setfeature devcontrol pause
ecmd /setfeature devcontrol enable
Mode présentation
ecmd /setfeature presentation pause
ecmd /setfeature presentation
enable
Technologie antifurtif
ecmd /setfeature antistealth pause
ecmd /setfeature antistealth enable
175
Pare-feu personnel
ecmd /setfeature firewall pause
ecmd /setfeature firewall enable
Protection contre les attaques sur le
réseau (IDS)
ecmd /setfeature ids pause
ecmd /setfeature ids enable
Protection contre les botnets
ecmd /setfeature botnet pause
ecmd /setfeature botnet enable
Contrôle Web
ecmd /setfeature webcontrol pause
ecmd /setfeature webcontrol enable
Protection de l'accès Web
ecmd /setfeature webaccess pause
ecmd /setfeature webaccess enable
Protection du client de messagerie
ecmd /setfeature email pause
ecmd /setfeature email enable
Protection antipourriel
ecmd /setfeature antispam pause
ecmd /setfeature antispam enable
Protection anti-hameçonnage
ecmd /setfeature antiphishing pause
ecmd /setfeature antiphishing
enable
Détection de l'état inactif
Vous pouvez configurer les paramètres de détection de l'état inactif dans Configuration avancée sous Moteur
de détection > Analyses de logiciels malveillants > Analyse à l'état inactif > Détection de l'état inactif.
Ces paramètres définissent un déclencheur pour l'analyse en état inactif lorsque :
• l'économiseur d'écran est activé
• l'ordinateur est verrouillé,
• un utilisateur ferme sa session.
Utilisez les commutateurs pour chacun des états pour activer ou désactiver les déclencheurs de détection de l'état
inactif.
Importer et exporter les paramètres
Vous pouvez importer ou exporter votre fichier de configuration ESET Endpoint Antivirus .xml personnalisé à partir
du menu Configuration.
L'importation et l'exportation de fichiers de configuration sont utiles si vous devez faire une copie de sauvegarde
de la configuration actuelle de ESET Endpoint Antivirus pour pouvoir l'utiliser par la suite. L'option d'exportation
des paramètres est aussi pratique pour les utilisateurs qui veulent utiliser la configuration préférée sur plusieurs
systèmes. Ils peuvent alors importer facilement un fichier .xml pour transférer ces paramètres.
Il est très facile d'importer une configuration. Dans la fenêtre principale du programme, cliquez sur Configuration
> Importer et exporter les paramètres, puis sélectionnez Importer les paramètres. Entrez ensuite le nom
du fichier de configuration ou cliquez sur le bouton ... pour parcourir et trouver le fichier de configuration que vous
voulez importer.
La procédure d'exportation d'une configuration est très semblable à la procédure d'importation. Dans la fenêtre
principale du programme, cliquez sur Configuration > Importer/Exporter les paramètres. Sélectionnez
Exporter les paramètres et entrez le nom du fichier de configuration (par exemple, export.xml). Utilisez le
navigateur pour sélectionner l'emplacement sur votre ordinateur où enregistrer le fichier de configuration.
Remarque
Une erreur peur se produire lors de l'exportation de paramètres si vous n'avez pas
assez de droits pour écrirer le fichier exporté dans le répertoire spécifié.
176
Rétablir tous les paramètres par défaut
Cliquez sur Par défaut dans Configuration avancée (F5) pour rétablir tous les paramètres du programme, pour
tous les modules. Tous les paramètres du programme, pour tous les modules, seront réinitialisés à l'état qu'ils
devraient avoir après une nouvelle installation.
Consultez également Importer et exporter les paramètres.
Rétablir tous les paramètres dans la section en cours
Cliquez sur la flèche incurvée ⤴ pour rétablir tous les paramètres de la section actuelle aux paramètres par défaut
définis par ESET.
Veuillez noter que tous les changements qui ont été effectués seront perdus après que vous aurez cliquez sur
Revenir aux paramètres par défaut.
Rétablir le contenu des tableaux - Lorsque cette option est activée, les règles, les tâches ou les profils qui ont
été ajoutés manuellement ou automatiquement seront perdus.
Consultez également Importer et exporter les paramètres.
Erreur lors de l’enregistrement de la configuration
Ce message d'erreur indique qu'en raison d'une erreur, les paramètres n'ont pas été enregistrés correctement.
Cela signifie généralement que l'utilisateur qui a tenté de modifier les paramètres du programme :
• dispose de droits d'accès insuffisants ou ne dispose pas des privilèges système nécessaires pour modifier
les fichiers de configuration et le registre du système.
> Pour effectuer les modifications souhaitées, l'administrateur système doit se connecter.
• a récemment activé le mode d’apprentissage dans HIPS ou le pare-feu et a tenté d’apporter des
modifications à la configuration avancée.
> Pour enregistrer la configuration et éviter le conflit de configuration, fermez la configuration avancée sans
177
enregistrer et essayez à nouveau d'effectuer les modifications souhaitées.
La deuxième cause la plus commune est peut-être que le programme ne fonctionne plus correctement, est
corrompu et doit donc être réinstallé.
Surveillance et gestion à distance
La surveillance et la gestion à distance (RMM) est le processus de supervision et de contrôle des systèmes logiciels
à l'aide d'un agent installé localement auquel un fournisseur de services de gestion peut accéder.
ERMM - plugiciel ESET pour RMM
• L'installation par défaut de ESET Endpoint Antivirus contient le fichier ermm.exe situé dans l'application
Endpoint dans le répertoire :
C:\Program Files\ESET\ESET Security\ermm.exe
• ermm.exe est un utilitaire de ligne de commande conçu pour faciliter la gestion des terminaux et des
communications avec n’importe quel plugiciel RMM.
• ermm.exe échange des données avec le plugiciel RMM, qui communique avec l'agent RMM lié à un serveur
RMM. Par défaut, l'outil ESET RMM est désactivé.
Ressources supplémentaires
178

Manuels associés