▼
Scroll to page 2
of
110
00eAVGSttl.doc, printed on 21/06/2004, at 14:41 eTrust Antivirus pour PC de ™ bureau, serveurs, assistants personnels et logiciels de groupware Prise en main 7.1 MAN06102448F G00416-1F eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 La présente documentation et le logiciel correspondant (ci-après nommés « documentation ») sont exclusivement destinés à l’information de l’utilisateur final et peuvent être à tout moment modifiés ou retirés du domaine public par Computer Associates International, Inc (« CA »). Cette documentation ne peut être copiée, transférée, reproduite, divulguée ou dupliquée, de façon intégrale ou partielle, sans autorisation préalable écrite de CA. La présente documentation est la propriété exclusive de CA et est protégée par les lois sur le copyright des Etats-Unis et les traités internationaux. Néanmoins, l’utilisateur peut imprimer un nombre raisonnable de copies de cette documentation pour son propre usage interne, à condition que toutes les notices et mentions relatives aux droits de copyright de CA apparaissent sur chaque copie. Seuls les employés, consultants ou agents autorisés de l’utilisateur tenus aux règles de confidentialité du contrat de licence du logiciel de l’utilisateur pourront avoir accès aux-dites copies. Ce droit d’imprimer des copies est limité à la période pendant laquelle la licence du progiciel demeure pleinement effective. Au cas où cette licence serait résiliée pour une raison quelconque, l’utilisateur est tenu de retourner les copies reproduites à CA ou de certifier à CA qu’elles ont été détruites. Sous réserve des dispositions prévues par la loi applicable, CA fournit la présente documentation « telle quelle » sans aucune garantie, expresse ou implicite, notamment aucune garantie de la qualité marchande, d’une quelconque adéquation à un usage particulier ou de non-violation de droits de tiers. En aucun cas, CA ne sera tenue responsable vis-à-vis de l’utilisateur final ou de tiers en cas de perte ou de dommage, direct ou indirect, résultant de l’utilisation de la présente documentation, notamment et de manière non exhaustive de toute perte de bénéfice, de toute interruption d’activité, de toute perte de données ou de clients, et ce, quand bien même CA aurait été informée de la possibilité de tels dommages. L’utilisation de tout produit référencé dans cette documentation et la présente documentation sont régies par le contrat de licence utilisateur final applicable. L’auteur de la présente documentation est Computer Associates International, Inc. La documentation étant éditée par une société américaine, vous êtes tenu de vous conformer aux lois en vigueur du Gouvernement des Etats-Unis et de la République Française sur le contrôle des exportations des biens à double usage et aux autres réglementations applicables et ne pouvez pas exporter ou ré-exporter la documentation en violant ces lois ou d’autres réglementations éventuellement applicables dans l’Union Européenne. 2004 Computer Associates International, Inc. Tous les noms de produits cités sont la propriété de leurs détenteurs respectifs. eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Table des matières Chapitre 1 : Une protection antivirus à toute épreuve Un logiciel puissant pour éliminer les virus .......................................................................... 1-1 eBusiness — Risque d’infection croissant........................................................................ 1-2 Objectif de ce manuel ......................................................................................................... 1-2 Détection et désinfection efficaces .................................................................................... 1-3 Avantages en matière de sécurité et de protection ........................................................ 1-3 Fonctionnalités exclusives ................................................................................................. 1-4 Services CA : des solutions basées sur l’expérience .............................................................. 1-6 Services éducatifs de CA........................................................................................................... 1-6 Computer Associates : le logiciel qui gère l’eBusiness ......................................................... 1-7 Pour plus d'informations ................................................................................................... 1-7 Chapitre 2 : Bienvenue dans eTrust Antivirus Concepts de base et installation ............................................................................................... 2-1 Composants hautement spécialisés de eTrust Antivirus .............................................. 2-1 Méthodes de protection de eTrust Antivirus .................................................................. 2-3 Eléments à prendre en compte avant l’installation ........................................................ 2-4 Installation ........................................................................................................................... 2-7 Chapitre 3 : Construire des fondations stables Accès au serveur Admin ........................................................................................................... 3-1 Installation de l’utilitaire d’installation à distance ................................................................ 3-4 Création d’un fichier de configuration d’installation ........................................................... 3-5 Table des matières iii eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Chapitre 4 : Empêchez les virus de proliférer dans votre entreprise ! Utilisation de l’arborescence des informations du répertoire.............................................. 4-1 Découverte d’un nouveau sous-réseau............................................................................ 4-1 Gestion des ordinateurs de l’organisation....................................................................... 4-5 Création d’un paramètre de règles................................................................................... 4-8 Configuration et distribution d’une mise à jour de signatures .................................. 4-15 Création et utilisation des ordinateurs de configuration proxy ................................. 4-18 Alerter votre entreprise des infections détectées.......................................................... 4-21 Affichage des rapports ..................................................................................................... 4-27 Chapitre 5 : Recherche et suppression de toute trace d’infection Utilisation des techniques d’analyse ....................................................................................... 5-1 Configuration du moniteur temps réel ............................................................................ 5-1 Utilisation de l’analyseur local.......................................................................................... 5-9 Chapitre 6 : Protégez vos serveurs de messagerie contre les infections de virus Une protection inégalée de la messagerie électronique........................................................ 6-1 Utilisation de l’option Microsoft Exchange..................................................................... 6-2 Onglet Analyse.................................................................................................................... 6-4 Onglet Sélection .................................................................................................................. 6-6 Onglet Notification ............................................................................................................. 6-7 Onglet Options .................................................................................................................... 6-8 Onglet Divers....................................................................................................................... 6-9 Utilisation de l’option Lotus Notes Domino ................................................................. 6-10 Onglet Analyse.................................................................................................................. 6-12 Onglet Sélection ................................................................................................................ 6-13 Onglet Notification ........................................................................................................... 6-14 iv Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Chapitre 7 : Questions fréquentes Questions et réponses................................................................................................................ 7-1 Annexe A : Types de virus Transmission et infection ......................................................................................................... A-1 Annexe B : Glossaire Termes courants concernant les virus informatiques ........................................................... B-1 Table des matières v eAVGS_Master.doc, printed on 24/06/2004, at 08:18 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Chapitre 1 Une protection antivirus à toute épreuve Les menaces d’infection par un virus constituent le problème de sécurité principal pour toute personne utilisant un ordinateur. Si votre organisation ressemble à la plupart des autres, le partage de fichiers sur disquette, l’envoi et la réception de messages électroniques contenant des pièces jointes, l’accès aux informations via Internet et l’utilisation de bases de données constituent des opérations quotidiennes. Cependant, ces opérations communes peuvent également permettre à des virus de se propager facilement d’un ordinateur à l’autre et d’infecter ainsi l’ensemble de l’entreprise. Un logiciel puissant pour éliminer les virus eTrust Antivirus est la nouvelle génération des logiciels antivirus primés de Computer Associates. Il protège, en temps réel, l’ensemble de l’entreprise contre la menace aujourd’hui la plus courante en matière de sécurité : les virus. Basé sur la technologie avancée de Computer Associates, eTrust Antivirus offre une fonctionnalité sans précédent permettant de protéger tous les environnements, des ressources globales eBusiness aux ordinateurs personnels, contre les virus. Une protection antivirus à toute épreuve 1–1 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Un logiciel puissant pour éliminer les virus eBusiness — Risque d’infection croissant Etant donné que l’eBusiness dépasse le cadre de l’entreprise traditionnelle, il faut assurer aux clients, partenaires, fournisseurs et acheteurs un environnement sûr et fiable dans lequel ils peuvent effectuer leurs transactions. La menace accrue que représentent les virus, vers et codes malveillants constitue un risque immense pour l’eBusiness. L’envoi et la réception de messages électroniques, le partage de fichiers, l’utilisation de ressources en ligne et la réalisation de transactions en temps réel sont des activités communes qui peuvent infecter rapidement un environnement non protégé. Les virus informatiques sont responsables de la perte de milliards de dollars et d’innombrables heures improductives. Selon l’ICSA (International Computer Security Association), les incidents dus aux virus infectant les ordinateurs ont augmenté de plus de 50 pour cent au cours des cinq dernières années. L’apparition quotidienne de nouvelles menaces et de leurs variantes ne fait qu’aggraver la situation. Une politique efficace de sécurité du réseau eBusiness doit comprendre une solution antivirus facile à gérer, offrant une fonctionnalité avancée et une protection de tous les systèmes vitaux. Objectif de ce manuel Ce manuel est conçu pour vous faire découvrir eTrust Antivirus dans un ordre logique et de manière visuelle. Il présente globalement le produit et ses fonctionnalités. Nous considérons qu’il est important que vous soyez familiarisé avec eTrust Antivirus avant de l’utiliser. 1–2 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Un logiciel puissant pour éliminer les virus Détection et désinfection efficaces eTrust Antivirus fournit une protection antivirus en temps réel pour l’ensemble de l’entreprise et tous ses systèmes vitaux grâce à la détection et à la désinfection permanentes et pendant votre travail des virus susceptibles de causer des dommages. Au cœur de eTrust Antivirus se trouve le moteur sophistiqué de CA, doté des techniques les plus avancées afin d’assurer la sécurité de votre eBusiness. Avantages en matière de sécurité et de protection eTrust Antivirus permet à votre organisation de déployer des services de réseau en toute confiance. Il fournit une protection complète contre les virus de différentes manières : Réduction des infections par virus Grâce à l’utilisation d’un moteur d’analyse sophistiqué, eTrust Antivirus assure une détection complète des virus. Des techniques avancées permettent de détecter et d’éliminer toutes sortes de virus tandis que des techniques heuristiques incorporées identifient les nouvelles souches de virus dès qu’elles apparaissent. Conservation de vos serveurs hors de toute contamination A l’âge des réseaux hétérogènes où les fichiers passent sans cesse d’une plate-forme à une autre, les virus affectant une plate-forme telle que Windows peuvent être facilement transmis par les serveurs d’un autre type tel que UNIX. Simplification et automatisation des mises à jour eTrust Antivirus répond aux besoins des administrateurs de sécurité par de nombreuses fonctionnalités avancées, notamment la découverte des ordinateurs clients et la distribution automatique de signatures. La mise à jour sans interruption de l’activité assure une protection permanente des systèmes. Une protection antivirus à toute épreuve 1–3 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Un logiciel puissant pour éliminer les virus Simplification de l’administration Une architecture stratifiée et hiérarchique fournit les outils permettant une gestion facile d’une solution pouvant être répartie dans le monde entier. Une stratégie souple de déploiement des règles permet de configurer facilement les paramètres des clients à travers l’ensemble de l’entreprise. Application des règles de sécurité Les configurations des clients peuvent être « verrouillées » pour prévenir de dangereuses défaillances dans la protection antivirus de votre organisation. Gestion depuis n’importe quel ordinateur L’interface de eTrust Antivirus avec le navigateur Web vous permet de gérer la protection antivirus de votre réseau à partir de tout ordinateur possédant un navigateur. Fonctionnalités exclusives Détection heuristique de virus Grâce à l’utilisation d’une méthode de détection avancée à base de règles, eTrust Antivirus est capable de détecter des virus et des variantes inconnus avant qu’ils n’endommagent le réseau. Vous pouvez utiliser la détection à la demande (Analyseur local), la détection à l’accès (Moniteur temps réel) ou les deux. Mise à jour des signatures de virus Pour assurer une protection contre les attaques de nouveaux virus, eTrust Antivirus télécharge automatiquement les mises à jour des signatures de virus à partir d’Internet et distribue ces fichiers aux clients eTrust Antivirus. Soutenu par les travaux des centres de recherche antivirus internationaux de Computer Associates, eTrust Antivirus est continuellement mis à jour au rythme des découvertes de nouvelles menaces. Les mises à jour de signatures incrémentielles limitent l’impact de ces nouvelles menaces sur les réseaux vitaux. 1–4 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Un logiciel puissant pour éliminer les virus Gestion de l’entreprise L’architecture stratifiée et hiérarchique de eTrust Antivirus fournit des outils puissants de gestion pour la protection antivirus. Des mécanismes d’application des règles « verrouillent » la configuration de l’ensemble des clients pour éviter des défaillances dangereuses dans la protection antivirus de votre organisation. Vous pouvez gérer tous les nœuds d’un réseau mixte à partir de la plate-forme de votre choix. Analyse des fichiers compressés eTrust Antivirus fournit une protection contre les virus contenus dans des fichiers compressés tels que les téléchargements d’Internet et les pièces jointes de courriers électroniques. Alerte et consignation des événements centralisées Un journal centralisé de tous les événements des virus (comprenant les fichiers vérifiés, les virus trouvés et les réponses apportées) facilite l’administration. Le gestionnaire Alert de eTrust Antivirus notifie aux administrateurs tous les problèmes importants provoqués par des virus depuis n’importe quel serveur de l’environnement. Mises à jour des signatures Les mises à jour incrémentielles des signatures et leur distribution ininterrompue assurent une protection permanente des systèmes. En plus de la distribution automatique, les clients peuvent télécharger immédiatement les mises à jour des signatures. Options de traitement des virus Vous disposez de diverses approches pour traiter les virus : copier, désinfecter, renommer, déplacer, générer un rapport et supprimer. Une protection antivirus à toute épreuve 1–5 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Services CA : Des solutions basées sur l’expérience Services CA : Des solutions basées sur l’expérience Si vous souhaitez être à la pointe de l’information, les services de CA peuvent recommander et installer une série complète de solutions de gestion des connaissances et des portails pour garantir le succès de votre entreprise. Nos partenaires offrent leur savoir-faire exclusif pour adapter à votre entreprise des solutions couvrant la gestion du cycle de vie, le stockage de données et l’intelligence d’entreprise de nouvelle génération. Nos experts vous fourniront les outils de connaissance et la technologie nécessaires pour collecter, exploiter et tirer parti pleinement de vos ressources de données et de vos applications. Services éducatifs de CA Les services éducatifs globaux de Computer Associates (CA Education) proposent des stages conduits par un formateur ou assistés par ordinateur, des programmes de certification produits, des programmes de formation tiers, des programmes de formation à distance et la simulation de logiciel. Ces services permettent d’accroître la base de connaissances afin que les entreprises puissent utiliser les produits de CA de manière plus efficace et les faire contribuer ainsi à leur succès. Les programmes de formation de CA ont été conçus pour aider les techniciens actuels dans l’ensemble de leurs tâches, allant de la compréhension des fonctions du produit à la mise en œuvre et à l’optimisation des performances. Etant donné la diversité du public intéressé par ces formations, les méthodes de formation de CA sont également très diverses. Les services éducatifs de CA fournissent de nombreuses possibilités. Outre les cours animés par un formateur, vous trouverez également des formations à distance synchrones et asynchrones et la simulation Unicenter. CA propose d’excellents programmes d’éducation à distance pour élargir l’audience. 1–6 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Computer Associates : le logiciel qui gère l’eBusiness Computer Associates : le logiciel qui gère l’eBusiness Avec la nouvelle génération d’eBusiness, d’innombrables opportunités se présentent pour exploiter les infrastructures existantes et adopter de nouvelles technologies. L’extrême complexité de la gestion représente des défis, car elle s’étend de la gestion des ordinateurs à l’intégration et la gestion des applications, des données et des processus métier au sein et hors de l’entreprise. CA répond à tous ces besoins. CA dispose de solutions permettant d’aider les entreprises eBusiness à traiter ces problèmes importants. Grâce à des solutions de pointe, telles que la gestion de processus eBusiness, la gestion des informations eBusiness et la gestion des infrastructures eBusiness, CA fournit les seules solutions complètes d’avant-garde utiles à tous les acteurs de cette économie mondiale. Pour plus d’informations Après avoir parcouru ce manuel de mise en œuvre, vous pouvez vous référer aux nombreuses ressources à votre disposition pour obtenir des informations supplémentaires. Pour accéder à l’assistance technique, visitez notre site Web esupport.ca.com. Votre CD de eTrust Antivirus contient également des explications sur les nombreux composants de ce produit : Fichier README Le fichier README du CD d’installation contient des informations de dernière minute sur le produit. Le fichier Readme comprend des rubriques sur la prise en charge du système d’exploitation, la configuration requise, l’installation et divers problèmes connus. Une protection antivirus à toute épreuve 1–7 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Computer Associates : le logiciel qui gère l’eBusiness Manuel de l’administrateur Un manuel de l’administrateur détaillé au format PDF se trouve sur votre CD d’installation. Reportez-vous à ce manuel pour des informations conceptuelles détaillées destinées à l’administration du produit. Le manuel de l’administrateur comporte également des descriptions détaillées des différentes fonctionnalités du produit. Aide en ligne Le système d’aide en ligne fournit des informations sur les procédures et une vue d’ensemble des rubriques, optimisée pour permettre un accès et une utilisation plus rapides. Vous pouvez cliquer sur le bouton d’aide dans n’importe quelle boîte de dialogue, ou rechercher une rubrique dans le menu Aide en sélectionnant Sommaire. La plupart des rubriques d’aide contiennent des rubriques connexes. D’une manière générale, vous pouvez trouver de plus amples informations en cliquant sur le bouton Rubriques connexes situé en haut de l’écran d’aide. Présentation de la version Reportez-vous aux notes de version pour la liste des nouvelles fonctionnalités et des améliorations apportées aux fonctionnalités déjà existantes de la version actuelle du produit. 1–8 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Chapitre 2 Bienvenue dans eTrust Antivirus eTrust Antivirus de Computer Associates (AV) comporte un jeucomplet de composants fournissant une protection maximale à tous les environnements informatiques, quelle que soit leur envergure. Concepts de base et installation Ce chapitre présente les composants de eTrust Antivirus et décrit leur fonctionnement, ce qui vous permet de personnaliser et d’optimiser la protection de vos ordinateurs contre les virus. Ce chapitre vous aide à démarrer l’installation de eTrust Antivirus sous Windows, UNIX, Mac OS X et NetWare®. Il vous aide aussi à installer l’analyseur du système de fichiers eTrust Antivirus, qui s’intègre au système de fichiers Network Appliance™ (NetApp®). Composants hautement spécialisés de eTrust Antivirus eTrust AV inclut les composants suivants, qui protègent conjointement votre ordinateur des virus : Interface utilisateur graphique L’interface utilisateur graphique fournit une interface familière de type Explorateur qui permet la gestion de tous les aspects de la protection antivirus. Les différents affichages et les différentes options vous permettent d’afficher et de contrôler tous les types d’activité d’analyse. Bienvenue dans eTrust Antivirus 2–1 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Concepts de base et installation Architecture Une architecture hiérarchique fournit les outils permettant la gestion simplifiée d’une solution antivirus pouvant être répartie dans le monde entier. Dans un environnement de réseau utilisant une architecture client/serveur, un ou plusieurs serveurs centralisés gardent une trace des informations concernant les ordinateurs de votre réseau antivirus et peuvent servir de points de distribution pour les mises à jour des signatures et des configurations. Un ordinateur local peut exécuter des analyses. Un administrateur autorisé peut également gérer les ordinateurs à distance. Découverte Toutes les instances du logiciel eTrust Antivirus s’exécutant sur votre réseau peuvent être détectées automatiquement. Analyseur Un moteur d’analyse à base de règles détecte les virus connus. Les virus inconnus sont détectés grâce à l’option proactive Analyse heuristique. Notification De nombreuses fonctionnalités de notification sont intégrées à eTrust Antivirus. Microsoft Exchange, récepteurs d’appels alphanumériques et numériques, protocole SMTP, protocole SNMP, rapports d’incidents (file d’impression) et messages de diffusion réseau. Alert Des messages contenant différents niveaux d’alerte (informations, avertissement et critique) peuvent être émis. Une personne ou des groupes de personnes situés dans différents segments du réseau peuvent ainsi être informés. Rapports Un mécanisme de rapport sophistiqué consigne toutes les opérations d’analyse qui peuvent être passées en revue à des fins de suivi et d’étude. 2–2 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Concepts de base et installation Mises à jour des signatures Les mises à jour de signatures sont disponibles chez Computer Associates. Vous pouvez automatiser le processus de mise à jour des ordinateurs de votre réseau. Méthodes de protection de eTrust Antivirus eTrust Antivirus utilise différentes techniques pour la détection des virus informatiques : Vérification d’intégrité Détermine si la taille du fichier d’un programme a augmenté parce qu’un virus s’y serait joint. Cette méthode est utilisée en premier lieu pour vérifier l’intégrité des informations de la zone critique de disque. Détection polymorphe à base de règles Observe les Surveillance des actions des programmes telles que les fonctions d’appel afin de détecter le comportement suspect d’un programme. Surveillance des interruptions Surveille tous les appels système des programmes pour essayer d’intercepter les séquences d’appels qui pourrait indiquer des activités de virus. Analyse des signatures Recherche un ensemble unique de code hexadécimal (la signature du virus) que celui-ci laisse dans un fichier infecté. En effectuant une recherche à l’aide de ces codes dans les fichiers programme, l’analyseur des signatures peut détecter ce virus connu. Bienvenue dans eTrust Antivirus 2–3 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Concepts de base et installation Eléments à prendre en compte avant l’installation Avant d’installer eTrust Antivirus, il est conseillé de prendre en compte les éléments suivants pour éviter tout problème d’installation : Pour Windows ■ Système d’exploitation Windows 95, Windows 98, Windows NT 4.0, Windows 2000, Windows Server 2003, Windows Me ou Windows XP. Remarque : Les derniers Service Pack disponibles auprès de Microsoft doivent être installés sur tous les ordinateurs ou serveurs exécutant eTrust Antivirus. ■ Les ordinateurs clients exécutant eTrust Antivirus doivent être équipés de IE 4.0 ou d’une version supérieure. Les ordinateurs sur lesquels le serveur Admin de eTrust Antivirus est installé doivent être équipés de IE 6.0 ou d’une version supérieure. ■ Espace disque minimal : 32 Mo ■ Pour donner à un ordinateur le statut de serveur Admin, sélectionnez l’option serveur Admin. ■ Reportez-vous au fichier README de votre CD d’installation pour obtenir la liste à jour des systèmes d’exploitation pris en charge. Les systèmes d’exploitation Linux et UNIX pris en charge comprennent : Pour UNIX Linux Intel Red Hat 7.2, 7.3, 8.0 et Enterprise Linux 2.1 et 3.0, SuSE Intel 7.2, 7.3, 8.0, 9.0 Professional, Desktop Linux 1.0 et SLES 7.0 et 8.0 Linux S390 Red Hat 7.2, SuSE 7.0, 7.2 et SLES 8.1 2–4 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Concepts de base et installation Solaris pour Sparc 2.6, 7, 8 et 9 HP-UX pour PA-RISC 11 et 11i ■ Un serveur HTTP est nécessaire pour tout ordinateur exécutant eTrust Antivirus afin d’accéder à l’interface graphique utilisateur à partir de cet ordinateur. Un navigateur est nécessaire sur les ordinateurs devant avoir accès à l’interface graphique utilisateur (qu’eTrust Antivirus soit installé dessus ou non). Internet Explorer 5.0 ou supérieur ou Netscape 4.5 ou supérieur doit être installé sur ces ordinateurs. ■ Vous devez être un super-utilisateur pour installer le logiciel eTrust Antivirus. ■ Espace disque minimal : 150 Mo ■ Reportez-vous au fichier README de votre CD d’installation pour obtenir la liste à jour des systèmes d’exploitation pris en charge. Le produit prend en charge les versions de NetWare 4.2, 5.0, 5.1, 6.0 et 6.5. ■ La gestion des serveurs NetWare exécutant eTrust Antivirus s’effectue principalement à l’aide de la fonction de serveur Admin depuis une installation UNIX ou Windows de eTrust Antivirus 7.0 ou 7.1. ■ L’installation doit être effectuée depuis un ordinateur exécutant Windows sur lequel le client Novell est installé. ■ Pour garantir le succès de l’installation, les serveurs NetWare cibles doivent être accessibles sur le système Windows à partir duquel vous procédez à l’installation. ■ Pour pouvoir effectuer l’installation, les droits d’administrateur NetWare sont requis sur le serveur cible. ■ Une clé d’activation ou un fichier licence peut aussi être requis. Pour NetWare Bienvenue dans eTrust Antivirus 2–5 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Concepts de base et installation Pour OS X ■ Vous devez disposer des droits d’administrateur pour pouvoir installer le logiciel eTrust Antivirus. ■ Reportez-vous au fichier README de votre CD d’installation pour obtenir la liste à jour des systèmes d’exploitation pris en charge. Les modèles de Macintosh et les systèmes d’exploitation suivants sont pris en charge : — Systèmes d’exploitation OS X 10.2 et 10.3 s’exécutant sur iBook G4, PowerBook G4, iMac, eMac et PowerPC G4 — PowerPC G5 avec OS X version 10.3 ■ Votre serveur d’administration OS X doit disposer d’au moins 150 mégaoctets d’espace disque disponible. Pour l’interface graphique utilisateur d’accès Web ■ Système d’exploitation Windows 4.0, Windows 2000, Windows Server 2003, Windows XP et tout système d’exploitation 64 bits pour PC. Remarque : L’interface graphique utilisateur d’accès Web ne peut pas être installé sur les systèmes d’exploitations 64 bits pour PC. ■ Un serveur HTTP (le serveur Web Microsoft IIS) doit être installé et exécuté sur le système où le logiciel eTrust Antivirus est installé. L’interface graphique utilisateur d’accès Web nécessite la création d’un répertoire virtuel sur le serveur Web Microsoft IIS. ■ L’utilisation de l’interface graphique utilisateur d’accès Web exige l’installation d’un navigateur Web tel qu’Internet Explorer version 5 ou supérieure, Netscape Navigator version 4.5 ou supérieure sur le système sur lequel le logiciel antivirus est exécuté ou sur un système distant que vous utilisez pour accéder à l’interface graphique utilisateur. Cette interface exige aussi l’installation du module Java Remarque : Bien que l’interface graphique utilisateur s’applique aux systèmes d’exploitation Windows, cette fonctionnalité existe sur les plates-formes UNIX et Windows. 2–6 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Concepts de base et installation Pour l’analyseur Antivirus pour un système de fichiers ■ Reportez-vous au fichier README de votre CD d’installation pour les dernières informations concernant l’analyseur de système de fichiers Network Appliance eTrust Antivirus Network Appliance Filer Scanner. ■ Le système de fichier NetApp doit être au format ONTAP™ 6.2 ou supérieur. ■ Les ordinateurs exécutant l’analyseur de système de fichiers Network Appliance de eTrust Antivirus et le système de fichiers NetApp doivent appartenir au même domaine. Installation Les informations suivantes vous aideront à démarrer l’installation de eTrust Antivirus sous Windows, UNIX, Mac OS X et NetWare, ainsi qu’à installer l’analyseur de système de fichiers Network Appliance. Windows eTrust Antivirus s’installe sans difficulté grâce à un assistant d’installation intuitif. L’assistant vous guide tout au long de la procédure pour permettre une installation sans problème. Il est fortement recommandé de quitter tous les programmes Windows avant d’exécuter ce programme d’installation. Bienvenue dans eTrust Antivirus 2–7 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Concepts de base et installation Pour installer eTrust AV pour Windows, procédez comme suit : 1. Sélectionnez l’ordinateur ou le serveur sur lequel vous souhaitez installer le programme. Insérez le CD dans le lecteur de CD-ROM. Si la fenêtre suivante n’apparaît pas, exécutez setup.exe qui se trouve dans la racine du CD. Lorsque l’écran de navigation apparaît, cliquez sur Installer ou Installation de produits. 2–8 Prise en main 2. Suivez les invites jusqu’à ce que l’installation soit terminée. 3. Le système doit être redémarré après l’installation de eTrust Antivirus. eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Concepts de base et installation UNIX Pour installer eTrust AV pour UNIX, procédez comme suit : 1. Sur la machine cible, créez un répertoire à partir duquel vous exécuterez le programme d’installation et allez dans ce répertoire. 2. Insérez le CD du logiciel eTrust Antivirus pour UNIX dans le lecteur de CD-ROM de votre ordinateur. Remarque : Vous pouvez charger l’installation de eTrust Antivirus depuis une autre source. 3. Copiez le fichier setup et le fichier compressé .Z correspondant à votre système dans le répertoire courant. 4. Vérifiez que l’installation est exécutable. Par exemple : chmod +x setup 5. Exécutez le script d’installation. Par exemple : ./setup 6. La procédure d’installation démarre. 7. Suivez les invites jusqu’à ce que l’installation soit terminée. Remarque : Consultez les invites de l’installation pour démarrer les services eTrust Antivirus. Remarque : Pour utiliser l’interface graphique utilisateur du navigateur Web, lancez un navigateur sur n’importe quel système et allez à l’adresse http://<nom_du_nœud>/ino/. Une boîte de dialogue d’ouverture de session s’affiche. Spécifiez un nom d’utilisateur et un mot de passe valides pour le système auquel vous vous connectez. L’applet de eTrust AV apparaît. Vous vous trouvez alors dans l’affichage de l’analyseur local du système auquel vous vous êtes connecté. Reportez-vous à l’annexe « Installation du logiciel antivirus pour UNIX » du Manuel de l’administrateur pour obtenir de plus amples informations sur l’installation et l’administration du produit. Bienvenue dans eTrust Antivirus 2–9 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Concepts de base et installation NetWare Pour installer eTrust AV pour NetWare, procédez comme suit : 1. Insérez le CD dans le lecteur de CD-ROM. La procédure d’installation démarre automatiquement. 2. Sélectionnez l’option eTrust Antivirus 7.1 pour NetWare. Le chargement du programme d’installation démarre. 3. Cliquez sur suivant dans la boîte de dialogue Bienvenue. La boîte de dialogue Licence s’affiche. 4. Dans la boîte de dialogue Licence, cliquez sur Oui, j’accepte. La boîte de dialogue Installation de eTrust AV s’affiche. 5. Dans la boîte de dialogue d’installation de eTrust AV, spécifiez les serveurs NetWare cibles. 6. Lorsque vous avez terminé de spécifier les serveurs NetWare cibles, poursuivez la procédure de l’utilitaire d’installation pour déclencher l’installation de eTrust Antivirus sur ces serveurs. Reportez-vous à l’annexe « Installation du logiciel antivirus pour NetWare » du Manuel de l’administrateur pour obtenir de plus amples informations sur la détection des serveurs NetWare et l’installation du logiciel sur ces serveurs. OS X Pour installer eTrust AV pour OS X, procédez comme suit : 1. Sur la machine cible, insérez le CD de eTrust Antivirus dans le lecteur de CD-ROM de votre ordinateur. 2. A l’aide du Finder, localisez les paquets d’installation. a. Pour installer seulement le client, sélectionnez eTrust_Antivirus_Client.mpkg. b. Pour installer le client et le serveur d’administration, sélectionnez eTrust_Antivirus_Server.mpkg. 3. 2–10 Prise en main Suivez les invites jusqu’à ce que l’installation soit terminée. eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Concepts de base et installation Reportez-vous à l’annexe « Installation et démarrage de eTrust Antivirus pour Macintosh OS X » du Manuel de l’administrateur pour obtenir de plus amples informations sur la détection des ordinateurs OS X et l’installation du logiciel sur ces machines. Interface graphique utilisateur d’accès au Web Installez l’interface graphique utilisateur d’accès au Web en utilisant l’assistant d’installation. Remarque : Bien que l’interface graphique utilisateur s’applique aux systèmes d’exploitation Windows, cette fonctionnalité existe sur les plates-formes UNIX et Windows. 1. Insérez le CD dans le lecteur de CD-ROM. Lorsque l’assistant d’installation apparaît, sélectionnez l’option d’installation eTrust Antivirus. Cliquez sur Installation de produits puis sélectionnez Lorsque l’assistant d’installation apparaît, sélectionnez l’option d’installation eTrust Antivirus. 2. Acceptez les termes de la licence. La boîte de dialogue Sélection des produits s’affiche. 3. Sélectionnez l’option correspondant à l’interface graphique utilisateur Web. 4. Suivez les invites restantes au fur et à mesure que l’assistant d’installation les affiche. 5. Le système doit être redémarré après l’installation de eTrust Antivirus. Remarque : Vous pouvez lancer l’interface graphique utilisateur Web pour eTrust Antivirus depuis votre navigateur Web en saisissant l’URL suivante dans la zone d’adresse : http://<nom ordinateur>/ino/inoplug.html. Spécifiez votre nom d’utilisateur et votre mot de passe dans les champs correspondants lorsque vous y êtes invité. Bienvenue dans eTrust Antivirus 2–11 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Concepts de base et installation Analyseur du système de fichiers Network Appliance Pour installer l’analyseur du système de fichiers Network Appliance, procédez comme suit : 1. Insérez le CD dans le lecteur de CD-ROM et suivez les instructions affichées. Si l’explorateur du produit ne démarre pas automatiquement, sélectionnez Démarrer, Exécuter dans la barre des tâches de Windows. Naviguez ensuite jusqu’au fichier Setup.exe et exécutez-le. 2. Au cours de l’installation, l’assistant demande un compte d’administrateur de domaine. Indiquez un compte avec des droits d’opérateur de sauvegarde sur le système de fichiers et des droits d’administrateur sur l’ordinateur local. 3. De plus, l’assistant demande les informations du système de fichiers pour enregistrer ce dernier auprès de l’analyseur. Ne spécifiez qu’un seul système de fichiers au cours de cette installation. Vous pourrez en ajouter par la suite avec la console. 4. Suivez les invites jusqu’à ce que l’installation soit terminée. Remarque : L’assistant d’installation tente de démarrer le service de l’analyseur lors de l’installation. Si le compte ne dispose pas des droits d’administrateur de domaine, l’installation échoue. Reportez-vous à l’annexe « Installation du logiciel de l’analyseur pour un système de fichiers Network Appliance » du Manuel de l’administrateur pour obtenir de plus amples informations sur l’installation et la gestion. 2–12 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, at 08:18 Chapitre 3 Construire des fondations stables Ce chapitre traite des différentes étapes nécessaires à l’implémentation du logiciel eTrust Antivirus. Accès au serveur Admin Le serveur Admin de eTrust Antivirus garde une trace de toutes les instances de eTrust Antivirus exécutées sur les ordinateurs de votre réseau. Il stocke cette liste basée sur les sous-réseaux qu’il doit interroger. Il conserve également une trace de l’état des comptes utilisateurs et de leurs droits d’accès, surveille la présence des ordinateurs et de tout changement des paramètres des règles. Si vous vous connectez au serveur Admin pour la première fois, procédez comme suit : 1. Dans le menu Affichage de la fenêtre du serveur Admin, cliquez sur Affichage de l’administrateur. La boîte de dialogue Connexion au serveur Admin s’affiche. Construire des fondations stables 3–1 eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Accès au serveur Admin Remarque : Si la fenêtre de l’affichage de l’administrateur est déjà affichée, cliquez sur le bouton Connexion au serveur Admin 3–2 Prise en main dans la barre d’outils. 2. Pour vous connecter au serveur Admin, indiquez le nom du serveur, le nom d’utilisateur et le mot de passe. La première fois que vous vous connectez au serveur Admin, le nom d’utilisateur saisi doit être le nom d’utilisateur de l’administrateur local de l’ordinateur du serveur Admin. Il s’agit normalement de la personne qui a installé l’application (et qui dispose des droits du groupe des administrateurs). Sur les systèmes UNIX et OS X, il s’agit de l’utilisateur root. 3. Cliquez sur Ouvrir session pour vous connecter au serveur. eAVGS_Master.doc, imprimé le 24/06/2004, at 08:18 Accès au serveur Admin La boîte de dialogue Affichage de l’administrateur s’affiche. L’affichage de l’administrateur présente une vue de type Explorateur de votre réseau eTrust Antivirus. Le volet de gauche affiche les informations suivantes : Des paramètres de configuration permettant de configurer votre réseau eTrust Antivirus et de définir les paramètres des règles de configuration, que vous pouvez appliquer à tous les conteneurs des ordinateurs sélectionnés dans l’arborescence de l’organisation. Les domaines hérités contenant des ordinateurs de votre réseau sur lesquels sont installées des instances de eTrust AV héritées ; par exemple, eTrust Inoculate version 4.x ou une version inférieure. L’organisation est présentée sous la forme d’une arborescence contenant les ordinateurs de votre réseau qui exécutent eTrust AV. Vous pouvez appliquer les paramètres des règles aux conteneurs et imposer l’application de ces paramètres. Des rapports contenant des informations basées sur les données collectées à partir des machines de votre réseau eTrust Antivirus. Le volet de droite contient des informations détaillées concernant l’objet sélectionné dans le volet de gauche. Construire des fondations stables 3–3 eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Installation de l’utilitaire d’installation à distance Installation de l’utilitaire d’installation à distance L’utilitaire d’installation à distance permet de distribuer au sein de l’entreprise le logiciel antivirus de Computer Associates et les logiciels de licences sur les systèmes Windows NT 4.0, Windows 2000, Windows Server 2003, Windows XP et les systèmes Windows 64 bits. Vous devez installer l’utilitaire d’installation à distance avant d’installer le client. Pour installer l’utilitaire d’installation à distance, sélectionnez Installation de produits dans le navigateur de produits, puis sélectionnez Installer l’utilitaire d’installation à distance. Enfin, choisissez l’installation approprié et configurez l’utilitaire d’installation à distance selon l’architecture de la machine cible. Après avoir installé l’utilitaire d’installation à distance, vous pouvez le lancer à partir du menu Démarrer. L’utilitaire d’installation à distance est composé de deux sections : un explorateur de réseau sur la gauche et une liste des cibles d’installation sur la droite. 3–4 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, at 08:18 Création d’un fichier de configuration d’installation Création d’un fichier de configuration d’installation Pour Windows, un fichier de configuration d’installation permet aux administrateurs de préconfigurer l’installation de eTrust Antivirus et ses paramètres afin d’automatiser le processus d’installation des clients. Pour créer un fichier de configuration d’installation, procédez comme suit : 1. Dans l’utilitaire d’installation à distance, cliquez sur Fichier, Créer fichier ICF. La boîte de dialogue Configuration initiale s’affiche. Construire des fondations stables 3–5 eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Création d’un fichier de configuration d’installation 2. Lorsque la fenêtre de configuration initiale s’affiche, sélectionnez dans le volet de droite l’option dont vous souhaitez modifier les paramètres. Après avoir modifié toutes les options requises, cliquez sur Enregistrer. Le fichier est enregistré dans le dossier des données par défaut et la fenêtre de configuration initiale se ferme. 3. Pour ajouter une cible, sélectionnez Ajouter dans le menu Cible de la barre de menus. La boîte de dialogue Cible d’installation s’affiche. 3–6 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, at 08:18 Création d’un fichier de configuration d’installation 4. Spécifiez un ID utilisateur et un mot de passe ainsi que le fichier ICF que vous venez de créer et cliquez sur OK. L’ID utilisateur doit être un compte disposant des privilèges d’administrateur. La fenêtre d’installation à distance apparaît et l’ordinateur cible que vous avez ajouté s’affiche dans le volet droit : Après avoir ajouté tous les ordinateurs souhaités, cliquez sur Démarrer, sélectionnez Installer sur cible dans la barre de menus. Le produit est alors transmis du serveur aux clients. Une fois la procédure d’installation à distance terminée avec succès, un message signalant que l’installation a réussi apparaît dans le volet de droite. Construire des fondations stables 3–7 eAVGS_Master.doc, printed on 24/06/2004, at 08:18 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Chapitre 4 Empêchez les virus de proliférer dans votre entreprise ! Afin d’empêcher la prolifération des virus dans votre entreprise, vous devez indiquer à eTrust Antivirus comment réagir si des virus sont détectés. Dans ce chapitre, vous allez organiser les ordinateurs de votre réseau et configurer la réception, l’envoi et le traitement des informations. eTrust Antivirus se met immédiatement à combattre toute infection menaçant un ordinateur et avertit les autres utilisateurs du réseau avant que l’infection n’ait la possibilité de se propager. Utilisation de l’arborescence des informations du répertoire L’arborescence des informations du répertoire (Directory Information Tree - DIT) vous aide à créer un affichage organisé des ordinateurs exécutant des instances de eTrust Antivirus sur votre réseau. Grâce à la DIT, vous pouvez appliquer et contrôler des paramètres des règles. Enfin, cette fonctionnalité organisationnelle vous permet d’identifier un éventuel problème. Découverte d’un nouveau sous-réseau La catégorie Sous-réseaux de la DIT indique au serveur Admin les sous-réseaux que vous souhaitez découvrir et gérer. Lorsque vous spécifiez un sous-réseau, le serveur Admin recherche toutes les instances de eTrust Antivirus exécutées dans ce sous-réseau et affiche les ordinateurs disponibles dans la fenêtre de l’affichage de l’administrateur. Empêchez les virus de proliférer dans votre entreprise ! 4–1 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire Remarque : Vous pouvez créer plusieurs instances de sous-réseaux. La fenêtre suivante affiche tous les ordinateurs découverts dans un sous-réseau spécifié par le serveur Admin. Pour découvrir un sous-réseau devant être géré par le serveur Admin, procédez comme suit : 1. 4–2 Prise en main Dans la fenêtre de l’affichage de l’administrateur, vous pouvez afficher la catégorie Sous-réseaux en développant la catégorie Paramètres de configuration. eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire 2. Cliquez avec le bouton droit sur Sous-réseaux et sélectionnez Nouveau. La boîte de dialogue Sous-réseau s’affiche. Empêchez les virus de proliférer dans votre entreprise ! 4–3 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire 3. Dans l’onglet Sous-réseau, spécifiez une description du sous-réseau. Spécifiez l’adresse IP du sous-réseau que vous souhaitez découvrir et spécifiez les informations de masque correspondantes. 4. Dans l’onglet Découverte, dans le groupe Répéter, spécifiez une planification pour la fréquence de découverte à utiliser avec le sous-réseau en jours, heures et minutes. Remarque : Si vous souhaitez découvrir le sous-réseau immédiatement, sélectionnez l’option Découvrir maintenant. 5. Cliquez sur OK pour accepter les options et fermer la boîte de dialogue. Dans le volet gauche, le nouveau sous-réseau que vous venez de découvrir est affiché dans la catégorie Sous-réseaux. Remarque : Mettez en évidence l’instance du sous-réseau dans la liste du volet gauche de la fenêtre Affichage de l’administrateur pour afficher à droite la liste des ordinateurs découverts. Ces ordinateurs s’affichent dans le volet droit. 4–4 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire Gestion des ordinateurs de l’organisation Pour gérer les ordinateurs de votre organisation, vous devez créer un nouveau conteneur pour l’ordinateur sélectionné. Pour ajouter un nouveau conteneur, procédez comme suit : 1. Dans la fenêtre Affichage de l’administrateur, sous la catégorie Organisation, cliquez avec le bouton droit sur un conteneur existant auquel vous souhaitez ajouter un nouveau conteneur, puis cliquez sur Nouveau. Remarque : S’il n’existe aucun conteneur, sélectionnez la catégorie Organisation pour créer le conteneur. La boîte de dialogue Nouvelle branche s’affiche. Empêchez les virus de proliférer dans votre entreprise ! 4–5 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire 2. Spécifiez un nom pour la nouvelle branche et cliquez sur OK. Le nom de la nouvelle branche apparaît dans la DIT sous le conteneur existant. Pour ajouter un ordinateur au conteneur après la découverte du sous-réseau et après la création du conteneur, procédez comme suit : 1. 4–6 Prise en main Dans la fenêtre Affichage de l’administrateur, développez l’arborescence de l’organisation pour afficher le conteneur auquel vous souhaitez ajouter un ordinateur ; par exemple le sous-réseau USA. eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire 2. Développez la catégorie Sous-réseaux pour afficher la liste des sous-réseaux découverts. 3. Mettez en évidence le sous-réseau qui contient l’ordinateur que vous souhaitez ajouter au conteneur. 4. Sélectionnez/mettez en évidence un ordinateur du sous-réseau sélectionné. Empêchez les virus de proliférer dans votre entreprise ! 4–7 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire 5. Cliquez avec le bouton droit sur l’ordinateur mis en évidence, puis cliquez sur Affecter à la branche. Choisissez la branche souhaitée dans la boîte de dialogue qui s’affiche ensuite. Remarque : Si une boîte de dialogue d’ouverture de session s’affiche, spécifiez un nom d’utilisateur et un mot de passe valides pour cet ordinateur et cliquez ensuite sur Ouvrir session. L’ordinateur devient membre du conteneur sélectionné. Création d’un paramètre de règles La catégorie Règles appliquées permet d’afficher et de gérer les configurations des règles d’analyse que vous pouvez appliquer aux ordinateurs exécutant eTrust Antivirus. Pour créer un paramètre de règles, procédez comme suit : 1. 4–8 Prise en main Dans la fenêtre Affichage de l’administrateur, développez la catégorie Paramètres de configuration pour afficher la catégorie Règles appliquées. eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire 2. Développez la catégorie Règles appliquées pour afficher les catégories de règles disponibles. Empêchez les virus de proliférer dans votre entreprise ! 4–9 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire 3. Cliquez avec le bouton droit sur l’une des catégories de règles, puis cliquez sur Nouveau pour afficher les informations de cette option, par exemple, l’option Règles Alert. Pour chaque type de catégorie, un onglet Règles ainsi que les autres options d’onglet disponibles s’affichent. Ces onglets vous permettent de spécifier les options souhaitées. Vous pouvez appliquer ces spécifications à tout conteneur désigné par un administrateur autorisé. Remarque : Vous pouvez créer des règles pour les catégories suivantes : Alert, Analyseur en temps réel, Jobs planifiés, Envoyer pour analyse et Distribution de signatures. Pour de plus amples informations sur chacune de ces règles, consultez le Manuel de l’administrateur. 4–10 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire 4. Dans l’onglet Règles, saisissez une description facile à identifier pour la règle que vous êtes en train de configurer. Remarque : Pour empêcher l’utilisateur final de modifier les paramètres de l’ordinateur local, cochez l’option Verrouillage des paramètres. Lorsque vous appliquez les paramètres des règles, ils sont prioritaires par rapport aux paramètres de l’ordinateur local. Cela signifie que lorsque vous appliquez des règles à un conteneur, les paramètres de ces règles remplacent les paramètres définis sur l’ordinateur local. Vous ne pouvez pas verrouiller les paramètres des règles d’un job d’analyse planifié. 5. Sélectionnez les onglets supplémentaires et définissez les options pour le type de règles que vous avez choisi. Empêchez les virus de proliférer dans votre entreprise ! 4–11 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire 6. Cliquez sur OK pour enregistrer les paramètres et fermer la boîte de dialogue. Les nouvelles règles s’affichent dans la catégorie Règles appliquées. Si vous cliquez sur les nouvelles règles, une description complète s’affiche dans le volet droit. Application d’une règle à une branche Pour appliquer une règle à une branche ou un conteneur de la DIT, procédez comme suit : 1. 4–12 Prise en main Dans la fenêtre Affichage de l’administrateur, développez les Paramètres de configuration pour afficher la catégorie Règles appliquées. eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire 2. Développez la catégorie Règles appliquées pour afficher les catégories de règles disponibles. 3. Mettez en évidence l’instance de règle souhaitée et cliquez dessus avec le bouton droit pour afficher les options de menu disponibles. Empêchez les virus de proliférer dans votre entreprise ! 4–13 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire 4. Cliquez sur Branche, puis Affecter à la branche. Une fenêtre avec les contenus de l’arborescence de l’organisation (DIT) s’affiche. 5. 4–14 Prise en main Développez l’arborescence dans la nouvelle fenêtre, mettez en évidence la branche à laquelle vous souhaitez appliquer la règle, puis cliquez sur OK. eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire Remarque : Si vous utilisez Windows, vous pouvez appliquer une règle à un conteneur en la mettant en évidence dans le volet droit, puis en la faisant glisser vers le conteneur souhaité. Si vous cliquez sur la branche sélectionnée de l’arborescence de l’organisation de la DIT dans le volet gauche, la nouvelle règle et sa description s’affiche dans le volet droit. Configuration et distribution d’une mise à jour de signatures Les mises à jour de signatures contiennent les dernières versions des fichiers de signatures qui permettent de reconnaître et de combattre les virus les plus récents. Lorsque vous configurez une mise à jour de signatures, vous devez spécifier quand elle doit être exécutée et comment la collecter. Empêchez les virus de proliférer dans votre entreprise ! 4–15 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire Les mises à jour de signatures sont disponibles pour toutes les versions et plates-formes prises en charge. Ces mises à jour sont cumulatives, elles contiennent toutes les précédentes mises à jour de fichiers, ainsi que les dernières informations sur les virus les plus récents. Si vous avez manqué une récente mise à jour, il vous suffit de télécharger le dernier fichier de signatures pour obtenir la protection la plus à jour. Les mises à jour de signatures adaptées à votre configuration sont disponibles par défaut. Remarque : Visitez le site Web d’assistance de Computer Associates à l’adresse ca.com pour obtenir la dernière version des mises à jour des signatures, une liste des menaces récemment détectées et d’autres informations importantes pour protéger votre environnement. Vous pouvez également recevoir des messages d’alerte concernant les nouvelles signatures par des lettres d’informations gratuites diffusées par courrier électronique. Pour utiliser l’option de mise à jour des signatures, procédez comme suit : 1. A partir de la fenêtre de l’analyseur local, cliquez sur le bouton Options de mise à jour des signatures la barre d’outils de la barre de menus. 4–16 Prise en main dans eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire La boîte de dialogue Options de mise à jour des signatures s’affiche. 2. Cochez l’option Activer le téléchargement planifié. 3. Spécifiez vos options entrantes, sortantes et de planification. 4. Cliquez sur OK pour enregistrer les options spécifiées et fermer la boîte de dialogue. Empêchez les virus de proliférer dans votre entreprise ! 4–17 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire Création et utilisation des ordinateurs de configuration proxy L’option de configuration proxy désigne les serveurs proxy que vous pouvez utiliser pour gérer efficacement les modifications de configuration dans votre réseau antivirus. Cette option vous permet de définir et de faire appliquer les règles de configuration dans l’ensemble de l’entreprise d’une manière hiérarchique. Lorsque vous désignez un ordinateur pour servir de serveur proxy, vous créez un mécanisme de distribution efficace dans votre entreprise et réduisez ainsi le trafic et la duplication de tâches. Cet ordinateur sert de point de distribution pour transmettre les paramètres des règles et les modifications à d’autres ordinateurs du conteneur de la DIT. Remarque : Un administrateur autorisé peut affecter un ordinateur comme serveur proxy à partir de la liste des ordinateurs disponibles dans l’arborescence de l’organisation (DIT). 4–18 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire Pour désigner un ordinateur comme serveur proxy, procédez comme suit : 1. Dans la DIT, cliquez avec le bouton droit sur Organisation, puis sur Configuration proxy. La boîte de dialogue Configuration proxy s’affiche. 2. Sélectionnez le nom de l’ordinateur que vous souhaitez désigner comme proxy. Cliquez sur Parcourir pour afficher les serveurs disponibles. Empêchez les virus de proliférer dans votre entreprise ! 4–19 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire Remarque : Si le serveur proxy est arrêté et que le remplacement a été activé, le serveur proxy par défaut ou le serveur proxy du niveau supérieur prendront le relais. Si l’option de remplacement n’est pas activée, les règles ne seront plus distribuées. Cochez Peut être remplacé pour activer le remplacement pour ce proxy. Il est fortement recommandé d’activer cette option. 3. Cliquez sur OK pour confirmer la désignation du serveur proxy. 4. Après la désignation d’un serveur proxy, un indicateur est affiché dans l’icône pour le conteneur et l’ordinateur. Remarque : Tout ordinateur de la DIT peut être un serveur proxy, à l’exception des ordinateurs exécutant Windows 95, Windows Me ou Windows 98. Vous pouvez désigner un nombre quelconque d’ordinateurs comme serveurs proxy. 4–20 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire Grâce aux serveurs proxy, vous pouvez appliquer les paramètres de configuration au niveau racine de la liste des ordinateurs exécutant eTrust Antivirus ou à tout niveau de sous-conteneur de la liste. Les paramètres modifiés sont distribués efficacement sur le réseau, si bien que le serveur Admin n’est pas obligé de transférer individuellement les règles à chaque ordinateur. Alerter votre entreprise des infections détectées Une fois qu’un virus a été détecté, il est possible de l’empêcher d’infecter les ordinateurs du réseau. eTrust Antivirus est équipé pour vous alerter de toutes les infections et les arrêter avant qu’elles ne se propagent de façon incontrôlable à travers vos systèmes. Le gestionnaire Alert est un système de notification qui envoie des messages lorsqu’une infection est détectée. eTrust AV envoie des messages d’alerte à l’administrateur système, à un technicien chargé de la maintenance du matériel ou à toute autre personne ou tout autre groupe de personnes spécifiés. Remarque : L’option Alert ne s’applique pas aux systèmes UNIX, OS X et NetWare. Pour plus d’informations sur les alertes pouvant être générées sur les systèmes UNIX, OS X et NetWare, consultez le Manuel de l’administrateur. Pour générer des messages d’alerte, vous devez spécifier les informations à communiquer. Toutes ces informations doivent être configurées dans le programme Alert sur votre serveur. Remarque : Les options Alert définies sur l’ordinateur local s’appliquent à cet ordinateur. Les administrateurs peuvent définir les règles Alert pour plusieurs ordinateurs dans la fenêtre Affichage de l’administrateur. Alert ne génère pas ses propres messages. Il achemine tous les messages, erreurs ou avertissements qu’il reçoit de différentes sources et distribue ces messages d’alerte à des destinations spécifiques. Empêchez les virus de proliférer dans votre entreprise ! 4–21 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire Les options Alert local vous permettent de spécifier les événements à envoyer, où ils doivent être envoyés et leur fréquence d’envoi. Cette option vous permet de générer des rapports sur les événements concernant l’analyseur local, le moniteur temps réel, le serveur de jobs, le serveur Admin ou des rapports sur les virus détectés. Vous pouvez également envoyer des informations de notification au composant du gestionnaire Alert de l’ordinateur local. Le gestionnaire Alert est conçu pour envoyer aux autres ordinateurs de tous les sous-groupes un avertissement lorsque le gestionnaire Alert local a découvert un virus. Ce système met en garde les employés de votre entreprise contre toute activité suspecte de leurs ordinateurs. Le gestionnaire Alert utilise différentes méthodes de communication pour l’envoi des messages, telles que la diffusion, SMTP, les serveurs de messagerie Exchange et Lotus Notes, les événements Unicenter TNG, l’utilisation d’un récepteur d’appels, etc. Pour utiliser l’option de gestionnaire Alert local, procédez comme suit : 1. 4–22 Prise en main Dans la fenêtre de l’analyseur local, cliquez sur Alert dans la barre d’outils. eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire La boîte de dialogue Options Alert s’affiche. 2. Dans la boîte de dialogue Options Alert, vous pouvez choisir d’envoyer des notifications selon différents niveaux de sécurité : Information Il s’agit d’informations sur les événements tels que le démarrage ou l’arrêt du service et la détection d’infections Avertissement Il s’agit d’informations d’avertissement non cruciales. Critique Il s’agit du message de niveau d’importance le plus élevé, exigeant une attention immédiate. Empêchez les virus de proliférer dans votre entreprise ! 4–23 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire 3. L’option Notification personnalisée vous permet de personnaliser les messages de notification pour différents services. Sélectionnez l’un des modules de service disponibles et sélectionnez l’un des messages de notification associés dans une liste. Ces options permettent de spécifier les messages que vous souhaitez envoyer sous forme de notification afin de limiter le nombre de messages envoyés par Alert. Pour chaque module de service, vous pouvez sélectionner les messages spécifiques qui doivent être envoyés dans les rapports. Les modules de service suivants sont disponibles : ■ Analyseur local ■ Moniteur temps réel ■ Serveur de jobs ■ Serveur Admin ■ Rapport de virus Utilisation du gestionnaire Alert Vous devez configurer le gestionnaire Alert afin que les autres ordinateurs de l’entreprise soient protégés contre les infections virales. Pour utiliser le gestionnaire Alert, procédez comme suit : 1. 4–24 Prise en main Dans le menu Démarrer, cliquez sur Programmes, Computer Associates, eTrust, eTrust Antivirus, Gestionnaire Alert. eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire La fenêtre du gestionnaire Alert s’affiche. 2. Cliquez sur le bouton Démarrer service du gestionnaire Alert. pour démarrer le La boîte de dialogue d’accès au service s’affiche. 3. Spécifiez les informations adéquates, notamment le domaine, le nom d’utilisateur et le mot de passe. 4. Cliquez sur OK. La fenêtre du gestionnaire Alert s’affiche. 5. Dans la DIT, développez la catégorie Configuration et cliquez sur les composants pour lesquels vous souhaitez que le gestionnaire génère des rapports (par exemple eTrust Antivirus). Empêchez les virus de proliférer dans votre entreprise ! 4–25 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire La catégorie eTrust Antivirus se développe. 6. Cliquez avec le bouton droit de la souris sur l’une des méthodes de rapport et sélectionnez Nouvel élément. Une boîte de dialogue s’affiche pour le destinataire. 7. Configurez les options adéquates pour la méthode de rapport souhaitée. Cliquez sur OK pour continuer. L’écran du gestionnaire Alert réapparaît. 4–26 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire 8. Dans le volet droit figure le destinataire de l’alerte , ainsi que la méthode utilisée pour le message. Affichage des rapports Les rapports de détection de virus sont basés sur les données collectées à partir des machines clientes et sont configurés pour chaque machine à l’aide des Options Alert. Pour plus d’informations sur la manière dont les rapports sont générés, reportez-vous à la section « Utilisation du gestionnaire Alert » de ce chapitre. Reportez-vous également au chapitre « Utilisation de l’affichage de l’administrateur » du Manuel de l’administrateur. Remarque : L’interface utilisateur graphique Web et celle d’OS X ne contiennent pas l’option Rapports dans l’affichage de l’administrateur. Empêchez les virus de proliférer dans votre entreprise ! 4–27 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire Pour consulter les rapports antivirus des ordinateurs découverts par le serveur Admin, procédez comme suit : 1. Dans la fenêtre Affichage de l’administrateur, mettez en évidence la catégorie Rapports dans la DIT. La catégorie Rapports se développe. 2. Dans la catégorie Rapports, déterminez les types de rapports que vous souhaitez consulter : Rapports eTrust Antivirus Pour les ordinateurs de votre réseau qui ont été découverts par le serveur Admin et sur lesquels eTrust Antivirus est installé. Rapports sur le domaine Pour les ordinateurs de votre réseau regroupés dans des domaines qui ont été découverts par le serveur Admin et sur lesquels eTrust Antivirus est éventuellement installé. 4–28 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire Remarque : Lorsque vous cliquez sur un type de rapport dans l’arborescence des rapports développée, le rapport s’affiche dans le volet droit. Certains rapports concernent la fonctionnalité de retransmission des messages infectés. Les types de rapports eTrust Antivirus disponibles sont les suivants : Détections de virus Résumé des dix principaux virus et liste de tous les virus détectés, regroupés par plage horaire. Ordinateurs infectés Résumé des dix principaux ordinateurs et liste de tous les ordinateurs sur lesquels un virus a été détecté, regroupés par plage horaire. Utilisateurs infectés Résumé des dix principaux utilisateurs et liste de tous les utilisateurs ayant accédé à un fichier infecté, regroupés par plage horaire. Déploiement Liste de toutes les installations de eTrust Antivirus regroupées par système d’exploitation. Charge par serveur Affichage de la charge de travail affectée à ce serveur pour le téléchargement des signatures eTrust Antivirus. Ce rapport affiche le nombre d’ordinateurs pour lesquels chaque serveur est répertorié comme source de distribution principale ou comme source de distribution secondaire. Charge par règle Affichage de la charge de travail affectée à une règle pour le téléchargement des signatures eTrust Antivirus. Ce rapport affiche le nombre d’ordinateurs pour lesquels chaque règle est répertoriée. Empêchez les virus de proliférer dans votre entreprise ! 4–29 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire Signatures Affichage du nombre d’ordinateurs sur lesquels chaque moteur antivirus est installé, ainsi que le nom du moteur et le nombre d’ordinateurs sur lesquels ce type de moteur est installé, et le nombre de versions de signatures détectées sur les sous-réseaux. Exception de signature Informations résumées concernant les trois dernières versions de signatures périmées, par comparaison à la version des signatures de l’ordinateur du serveur Admin pour chaque moteur. Détails de l’exception de signature Informations détaillées concernant les ordinateurs ayant les trois dernières versions de signatures périmées, par comparaison à la version des signatures de l’ordinateur du serveur Admin pour chaque moteur. Rapports par virus La catégorie Rapports par virus affiche les informations résumées suivantes pour chaque virus trouvé : Par sous-réseau Informations détaillées concernant le virus détecté et utilisant la catégorie sous-réseau. Par branche Informations détaillées concernant le virus détecté et utilisant la catégorie branche. Par utilisateur Informations détaillées concernant le virus détecté et utilisant la catégorie utilisateur. Par ordinateur Informations détaillées concernant le virus détecté et utilisant la catégorie ordinateur. 4–30 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Utilisation de l’arborescence des informations du répertoire Par action Informations détaillées concernant le virus détecté et utilisant la catégorie action. Rapports par ordinateur La catégorie Rapports par ordinateur affiche des informations résumées pour chaque virus trouvé, regroupées par nom d’ordinateur. Rapports par utilisateur La catégorie Rapports par utilisateur affiche des informations résumées pour chaque virus trouvé, regroupées par nom d’utilisateur. Le Rapport des ordinateurs protégés est le seul rapport par domaine disponible. Le rapport des ordinateurs protégés affiche les informations résumées suivantes pour chaque ordinateur découvert sur votre réseau Windows : Résumé de domaine Informations résumées concernant tous les ordinateurs découverts, incluant le nom de domaine, les ordinateurs protégés et les ordinateurs non protégés. Total des ordinateurs protégés Informations concernant les ordinateurs sur lesquels eTrust Antivirus est installé, incluant le nom de domaine, l’adresse IP, le nom de la branche et la version de l’antivirus. Total des ordinateurs non protégés Informations concernant les ordinateurs sur lesquels eTrust Antivirus n’est pas installé, incluant le nom de l’ordinateur et le nom de domaine. Réseau Microsoft Windows Affichage par nom de domaine de la liste des ordinateurs protégés et non protégés par eTrust Antivirus. Empêchez les virus de proliférer dans votre entreprise ! 4–31 eAVGS_Master.doc, printed on 24/06/2004, at 08:18 eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Chapitre 5 Recherche et suppression de toute trace d’infection La convivialité de l’interface eTrust Antivirus permet de traiter avec confiance les infections aléatoires. Ce chapitre contient des informations concernant les procédures d’analyse simples et rapides de eTrust AV. Utilisation des techniques d’analyse Un simple clic de souris suffit pour lancer une analyse dans toute votre entreprise, à tout instant et aussi souvent que vous le souhaitez. Configuration du moniteur temps réel Le moniteur temps réel offre un barrage automatique et permanent contre les infections en les stoppant avant qu’elles ne puissent se propager. Une gamme de composants temps réel protège tous les points d’entrée du réseau antivirus de votre entreprise. Le moniteur temps réel analyse les fichiers d’un poste de travail à chaque exécution, accès ou ouverture d’un fichier. Il surveille également les comportements de type viral de votre ordinateur. Les administrateurs autorisés peuvent définir les règles pour ces options depuis l’affichage de l’administrateur. Recherche et suppression de toute trace d’infection 5–1 eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Utilisation des techniques d’analyse Deux moteurs d’analyse sont disponibles dans le moniteur temps réel. Pour la détection en temps réel, vous avez le choix entre les moteurs antivirus InoculateIT et Vet. L’analyseur heuristique recherche les nouveaux virus ou les éléments qui ne sont pas spécifiés dans la base de données des virus de Computer Associates mais qui se comportent comme des virus. Remarque : Vous pouvez localiser les moteurs d’analyse InoculateIT et Vet dans l’onglet Sélection du menu Moniteur temps réel. Pour configurer le moniteur temps réel, procédez comme suit : Remarque : Vérifiez que l’icône Moniteur temps réel est affichée dans la barre des tâches. Si ce n’est pas le cas, activez le moniteur temps réel depuis le menu Démarrer. 1. Dans la fenêtre de l’analyseur local, cliquez sur Moniteur temps réel 5–2 Prise en main dans la barre d’outils. eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Utilisation des techniques d’analyse La boîte de dialogue Options du moniteur temps réel s’affiche. Vous pouvez configurer le moniteur temps réel en fonction de différents critères, avec ses options de menu intuitives et conviviales. Vous pouvez facilement naviguer dans le menu et sélectionner vos préférences pour l’analyse. Les options d’analyse du moniteur temps réel sont semblables aux options d’analyse locale ou d’analyse planifiée. En plus des options communes à toutes les méthodes d’analyse, le moniteur temps réel vous permet d’effectuer les actions suivantes : ■ Définir la direction de l’analyse. ■ Exclure des processus (ou des threads sous NetWare) de l’analyse en temps réel (non disponible pour Windows 9x et Windows Me). ■ Bloquer tous les accès aux extensions spécifiées de fichiers sans les analyser. ■ Définir des options de protection avancée. ■ Définir des options de quarantaine (disponibles pour Windows NT, Windows 2000, Windows 2003 et Windows XP). Recherche et suppression de toute trace d’infection 5–3 eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Utilisation des techniques d’analyse Remarque : Les paramètres que vous configurez pour le moniteur temps réel ne s’appliquent qu’à l’analyse en temps réel et pas à l’analyse locale. 2. Cliquez sur OK pour enregistrer les paramètres et fermer la boîte de dialogue. L’analyse du moniteur temps réel utilise immédiatement les paramètres spécifiés. Filtrage de vos fichiers Lors de la configuration du moniteur temps réel, vous devez spécifier les fichiers que vous souhaitez analyser. Avec cette option, vous pouvez filtrer des fichiers et des répertoires. Vous pouvez ainsi gagner du temps. Vous ne recevrez des résultats que pour les fichiers et répertoires que vous avez sélectionnés. Vous pouvez modifier la liste des fichiers à analyser en fonction de leur extension. Pour modifier la liste, procédez comme suit : 1. Dans la boîte de dialogue Options du moniteur temps réel, sélectionnez l’onglet Sélection. Les informations de l’onglet Sélection apparaissent. 5–4 Prise en main eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Utilisation des techniques d’analyse 2. Dans la liste déroulante Modifier la liste, sélectionnez Toutes les extensions sauf celles spécifiées, puis cliquez sur le bouton Modifier la liste. La boîte de dialogue Toutes les extensions sauf celles spécifiées apparaît. 3. Saisissez une extension de fichier dans le champ adéquat, puis cliquez sur Ajouter. 4. Cliquez sur OK pour ajouter l’extension à la liste. Vous pouvez exclure des répertoires de l’analyse temps réel au moyen de l’onglet Filtre. Recherche et suppression de toute trace d’infection 5–5 eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Utilisation des techniques d’analyse Procédez comme suit pour filtrer les répertoires dont l’analyse en temps réel est inutile : 1. Sélectionnez l’onglet Filtres dans la boîte de dialogue Moniteur temps réel. Les informations de l’onglet Filtres apparaissent 2. 5–6 Prise en main Cliquez sur Répertoire dans l’option Exclusions pour spécifier les répertoires à exclure de l’analyse temps réel. eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Utilisation des techniques d’analyse La boîte de dialogue Exclusion de répertoires et fichiers apparaît. 3. Indiquez le chemin d’accès du fichier ou du répertoire et cliquez sur Ajouter ou Supprimer pour spécifier les répertoires et fichiers à exclure de l’analyse. L’option Blocage pré-analyse de l’onglet Filtres permet de bloquer l’accès aux extensions de fichier spécifiées. Lorsqu’une extension de fichier est bloquée, les fichiers possédant cette extension ne sont pas analysés et tout accès à ces fichiers est refusé. Recherche et suppression de toute trace d’infection 5–7 eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Utilisation des techniques d’analyse Pour bloquer l’accès à des extensions de fichier spécifiques, procédez comme suit : 1. Sélectionnez l’onglet Filtres dans la boîte de dialogue Moniteur temps réel. Les informations de l’onglet Filtres apparaissent 2. Dans la section Blocage pré-analyse, cliquez sur Bloquer pour spécifier des extensions de fichier à bloquer. Cliquez sur Exempter pour inclure les fichiers spécifiés à l’analyse en temps réel même si l’extension du fichier figure dans la Liste des extensions bloquées. Remarque : Pour une description complète des options des onglets Avancé, Quarantaine et Statistiques pour la configuration du moniteur temps réel, veuillez consulter le Manuel de l’administrateur. 5–8 Prise en main eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Utilisation des techniques d’analyse Utilisation de l’analyseur local L’analyseur local assure la protection antivirus complète d’un poste de travail en vous permettant d’effectuer des recherches à tout moment. Vous pouvez utiliser l’analyseur local sur un ordinateur local à tout moment pour vérifier si les dossiers, fichiers ou disques sont infectés. Remarque : L’analyseur local n’est pas disponible sous NetWare. Utilisez l’application de console ETRUSTAV pour effectuer des analyses sous NetWare. Pour plus d’informations concernant ETRUSTAV, consultez le chapitre « Utilisation du programme de console ETRUSTAV » du Manuel de l’administrateur. Avant d’effectuer l’analyse, vous pouvez configurer plusieurs options pour mettre en œuvre les actions les plus efficaces si une infection est détectée. Configurez l’analyseur local en fonction de vos besoins. Analyse à l’aide de l’analyseur local Pour utiliser l’analyseur local, procédez comme suit : 1. Dans la fenêtre de l’analyseur local, cliquez sur l’élément de la DIT que vous souhaitez analyser. Une coche rouge s’affiche dans chaque case que vous cochez. Vous pouvez sélectionner n’importe quelle combinaison d’éléments. Recherche et suppression de toute trace d’infection 5–9 eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Utilisation des techniques d’analyse Remarque : Si vous sélectionnez une unité, tous les dossiers (ou répertoires) et fichiers de cette unité seront inclus dans l’analyse. Si vous sélectionnez un dossier ou un répertoire à analyser, tous les dossiers et fichiers de ce dossier seront inclus dans l’analyse. 2. Pour lancer l’analyse, cliquez sur Analyseur, Démarrer l’analyse dans la barre de menus ou cliquez sur le bouton Démarrer l’analyse de la barre d’outils. Remarque : Pendant l’analyse, la barre d’outils du bas indique le fichier en cours d’analyse. La barre d’outils indique également le nombre de dossiers et de documents analysés. Enfin, le nombre de fichiers infectés apparaît. 3. Une fois l’analyse terminée, un message Prêt s’affiche. Remarque : Pour interrompre l’analyse en cours, cliquez sur le bouton Arrêter l’analyse dans la barre d’outils. Vous pouvez gérer l’analyse locale et contrôler les types d’éléments devant être analysés en cliquant sur Analyseur, Options de l’analyseur local dans la barre de menus de la fenêtre de l’analyseur local. La boîte de dialogue des options de l’analyseur s’affiche ; elle permet de spécifier les fichiers à analyser, ce qu’il faut faire des fichiers infectés et où déplacer les fichiers une fois l’analyse terminée. 5–10 Prise en main eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Utilisation des techniques d’analyse eTrust Antivirus facilite la configuration de votre solution antivirus pour répondre à vos besoins. Chaque aspect de la protection antivirus peut être adapté à vos besoins spécifiques, qui peuvent varier d’un jour à l’autre. Affichage des résultats La fenêtre de la visionneuse du journal vous permet de consulter les résultats de tous les types d’analyse et d’afficher des informations résumées et détaillées sur les résultats de chaque analyse. Vous pouvez consulter les résultats de l’analyseur local, de l’analyseur en temps réel, de l’analyse planifiée, des événements généraux et des événements de distribution. Recherche et suppression de toute trace d’infection 5–11 eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Utilisation des techniques d’analyse Pour utiliser la visionneuse du journal, cliquez sur Affichage, Visionneuse du journal dans la barre de menus de l’analyseur local. La visionneuse du journal apparaît. Vous pouvez afficher les résultats de différentes analyses en cliquant sur chaque élément. La visionneuse du journal fournit les informations suivantes : 5–12 Prise en main ■ Heure de fin ■ Fichiers analysés (nombre) ■ Fichiers infectés (nombre) ■ Infections détectées (nombres) ■ Erreurs (nombres d’erreurs pendant la procédure d’analyse) ■ Action (toute action que la visionneuse doit effectuer) eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Chapitre 6 Protégez vos serveurs de messagerie contre les infections de virus Les infections de virus ne se limitent pas uniquement aux fichiers et aux systèmes informatiques. Elles infiltrent également les messages électroniques et les pièces jointes. Il est devenu indispensable pour les entreprises de trouver le moyen de protéger les messages entrants et sortants de l’entreprise ainsi que les bases de données de messagerie. Computer Associates a donc développé une protection antivirus à la pointe du progrès, qui est en mesure de protéger aussi bien vos serveurs de messagerie que vos fichiers et vos systèmes informatiques. Remarque : Les options d’analyse de messagerie de eTrust AV décrites dans ce chapitre ne s’appliquent pas aux ordinateurs exécutant UNIX, OS X ou NetWare, et toutes les options ne s’appliquent pas à l’interface graphique utilisateur Web utilisée sur les ordinateurs Windows. Une protection inégalée de la messagerie électronique eTrust Antivirus protège votre système de messagerie avec ses fonctionnalités de détection des virus en temps réel. Il est à présent possible de protéger l’intégralité de votre système contre d’éventuelles infections grâce à un seul produit. Protégez vos serveurs de messagerie contre les infections de virus 6–1 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Une protection inégalée de la messagerie électronique Utilisation de l’option Microsoft Exchange eTrust Antivirus protège les serveurs Microsoft Exchange contre les infections virales des boîtes aux lettres et des messages électroniques de l’entreprise. Après avoir installé l’option Microsoft Exchange, il vous est très facile de la configurer selon les besoins de votre entreprise. Pour configurer l’option Microsoft Exchange, procédez comme suit : 1. Pour accéder aux paramètres de l’option Temps réel de messagerie, cliquez avec le bouton droit de la souris sur , l’icône du moniteur temps réel de eTrust Antivirus située dans la zone de notification de la barre des tâches. Le menu contextuel Options temps réel s’affiche. 2. 6–2 Prise en main Cliquez sur Options de messagerie dans le menu contextuel. eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Une protection inégalée de la messagerie électronique La boîte de dialogue Option Temps réel de messagerie s’affiche. Les onglets suivants sont disponibles pour gérer les analyses de messagerie en temps réel. ■ Analyse ■ Sélection ■ Notification ■ Options ■ Divers Protégez vos serveurs de messagerie contre les infections de virus 6–3 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Une protection inégalée de la messagerie électronique Onglet Analyse Les options d’analyse sont affichées dans l’onglet Analyse. Ces options vous permettent de sélectionner votre moteur d’analyse, de spécifier un niveau de sécurité, d’effectuer les actions sur fichiers souhaitées et d’activer des options spécifiques : Analyseur Cochez la case Messages entrants et sortants pour activer l’analyse en temps réel. Détection La flèche vers le bas permet de sélectionner un moteur d’analyse. Le moteur d’analyse est le traitement spécialisé qui recherche les infections. 6–4 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Une protection inégalée de la messagerie électronique Remarque : Le processus d’installation sélectionne automatiquement le moteur d’analyse adapté à votre configuration. Niveau de sécurité Vous pouvez définir le niveau de sécurité sur le mode Sécurisée ou Approfondie pour chaque analyse. Utilisez le mode Sécurisée comme méthode standard pour une analyse complète des fichiers. Le mode Approfondie peut détecter les virus inactifs ou modifiés. Remarque : Le mode Approfondie peut générer une fausse alerte dans certaines circonstances. Si vous sélectionnez ce mode comme option d’analyse standard, sélectionnez l’option Rapport seulement pour Traitement de l’infection. Traitement de l’infection Détermine comment gérer une infection. Les options de traitement suivantes sont à votre disposition : ■ Rapport seulement ■ Supprimer le fichier ■ Renommer le fichier ■ Déplacer le fichier ■ Désinfecter le fichier Protégez vos serveurs de messagerie contre les infections de virus 6–5 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Une protection inégalée de la messagerie électronique Onglet Sélection Les options de l’onglet Sélection vous permettent de choisir les types d’extensions de fichiers à inclure ou à exclure d’une analyse. Vous pouvez sélectionner des fichiers particuliers en utilisant les options des sections Fichiers ordinaires et Analyser les fichiers compressés. Les options Blocage pré-analyse vous permettent de spécifier les extensions des noms de fichiers joints dont le chargement dans les boîtes aux lettres sera refusé ou qui sont exemptées du refus de livraison. 6–6 Prise en main ■ Cliquez sur Bloquer pour afficher la boîte de dialogue Liste des extensions bloquées. Cette boîte de dialogue permet d’ajouter des fins de noms de fichiers joints à la liste des extensions devant être bloquées. ■ Cliquez sur Exempter pour afficher la boîte de dialogue Exempter du blocage. Cette boîte de dialogue permet d’ajouter des noms de pièces jointes à la liste des éléments à exempter des analyses. eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Une protection inégalée de la messagerie électronique Onglet Notification Les options de notification sont affichées dans l’onglet Notification. Par défaut, le destinataire est toujours notifié. En dehors du destinataire, la notification n’inclut que des informations concernant l’infection, jamais la pièce jointe ni le message infecté. Utilisez ces options pour choisir qui doit être prévenu quand une infection est détectée, ainsi que l’objet de la notification. Informer l’expéditeur du message Cochez cette option pour informer l’expéditeur du message infecté. Informer les administrateurs de la messagerie Avec cette option activée, les administrateurs système sont informés de l’infection. Cliquez sur Administrateurs pour saisir la liste des administrateurs. Retourner à l’adresse Si la notification ne peut pas être distribuée, elle sera réacheminée vers cette adresse. Protégez vos serveurs de messagerie contre les infections de virus 6–7 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Une protection inégalée de la messagerie électronique Onglet Options L’onglet Options vous permet de sélectionner les paramètres personnalisés pour l’analyse des messages électroniques de votre serveur Microsoft Exchange 2000 ou 2003. Vous pouvez utiliser les options suivantes pour maximiser les performances de votre logiciel eTrust AV sur votre serveur Microsoft Exchange 2000. Analyser corps du message Cochez cette option pour analyser le corps des messages électroniques. Analyse proactive Cochez cette case pour activer le classement prioritaire de la file d’attente d’analyse. Si vous désactivez l’analyse proactive, les éléments sont uniquement analysés lorsqu’ils sont traités utilisés directement par un utilisateur ou par un thread d’analyse d’arrière-plan. 6–8 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Une protection inégalée de la messagerie électronique Threads d’analyse Vous pouvez modifier le nombre de threads dans le pool de threads global en effectuant une sélection dans le menu déroulant. Veuillez noter que l’augmentation du nombre de threads d’analyse peut affecter les performances de votre système. Délai d’analyse Spécifiez la valeur du délai (en secondes) à l’aide de la flèche pointant vers le bas. Vous pouvez spécifier une valeur élevée pour augmenter l’attente sur un système très chargé. Onglet Divers L’onglet Divers permet de définir un certain nombre d’options telles que la taille du journal, le nombre de journaux à conserver et le niveau de détail du journal. Vous pouvez aussi activer le journal d’événements système, spécifier la durée de délai et d’activer l’analyse antivirus d’arrière-plan. Protégez vos serveurs de messagerie contre les infections de virus 6–9 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Une protection inégalée de la messagerie électronique Utilisation de l’option Lotus Notes Domino eTrust Antivirus prend également en charge Lotus Notes Domino. En tant que système de messagerie basé sur serveur, Lotus Notes Domino fait transiter tous les messages par la boîte aux lettres de l’antivirus avant d’être de les envoyer au serveur de l’option Lotus Notes Domino. eTrust Antivirus met en place une barrière qui arrête les infections entrant sur le serveur, empêchant ainsi l’infection du serveur et de l’ordinateur de l’utilisateur final. Pour configurer l’option Lotus Notes Domino, procédez comme suit : 1. Accédez aux paramètres de l’option Temps réel de messagerie en cliquant avec le bouton droit de la souris sur l’icône du moniteur temps réel de eTrust Antivirus située dans le coin supérieur droit de votre bureau. Le menu contextuel d’options temps réel s’affiche. 2. 6–10 Prise en main Cliquez sur Options de la messagerie dans le menu contextuel. , eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Une protection inégalée de la messagerie électronique La boîte de dialogue Option Temps réel de messagerie s’affiche. Les onglets suivants sont disponibles pour la gestion en temps réel des analyses de courrier électronique : ■ Analyse ■ Sélection ■ Notification Protégez vos serveurs de messagerie contre les infections de virus 6–11 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Une protection inégalée de la messagerie électronique Onglet Analyse Les options d’analyse vous permettent d’activer l’analyse, de choisir le moteur d’analyse, de spécifier un niveau de sécurité et d’effectuer les actions souhaitées sur les fichiers. Remarque : Pour une description des options de l’onglet Analyse, reportez-vous à la section Utilisation de l’option Microsoft Exchange dans ce chapitre. 6–12 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Une protection inégalée de la messagerie électronique Onglet Sélection Les options de l’onglet Sélection vous permettent de choisir les types d’extensions de fichiers à inclure ou à exclure d’une analyse. Vous pouvez sélectionner des fichiers spécifiques en utilisant les options des sections Fichiers ordinaires et Analyser les fichiers compressés. Les options Blocage pré-analyse vous permettent de spécifier une liste d’extensions de pièces jointes dont le chargement dans une boîte aux lettres sera refusée ou qui seront exemptées du refus de livraison. Remarque : Pour une description des options de l’onglet Sélection, reportez-vous à la section Utilisation de l’option Microsoft Exchange dans ce chapitre. Protégez vos serveurs de messagerie contre les infections de virus 6–13 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Une protection inégalée de la messagerie électronique Onglet Notification L’onglet Notification vous permet de définir des options de notification. Vous pouvez envoyer un message à l’aide du système de messagerie Lotus Notes dès qu’une infection est détectée dans le système de messagerie. Les options de notification sont les suivantes : Informer le propriétaire de la boîte aux lettres Informe le destinataire du message qu’une pièce jointe était infectée. Informer l’expéditeur du message Informe l’utilisateur qui a envoyé le message infecté ou créé la base de données contenant l’infection. Informer l’administrateur de la messagerie Informe l’administrateur que la sécurité du réseau a peut-être été violée. 6–14 Prise en main eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Une protection inégalée de la messagerie électronique Insérer remarque en tant que pièce jointe Ajoute une autre remarque au message électronique sous la forme d’une pièce jointe. Cette remarque fournit des informations sur le fichier infecté, le type d’action entrepris et l’état du fichier. Protégez vos serveurs de messagerie contre les infections de virus 6–15 eAVGS_Master.doc, printed on 24/06/2004, at 08:18 eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Chapitre 7 Questions fréquentes Ce chapitre contient les réponses aux questions les plus fréquemment posées sur eTrust Antivirus. Questions et réponses Question : Qu’est-ce qu’un virus ? Réponse : Un virus informatique est un petit programme conçu pour se multiplier et s’intégrer dans d’autres programmes, en général sans que l’utilisateur en ait connaissance et/ou sans son accord. A chaque fois que le programme infecté par le virus est exécuté, le virus est lui aussi exécuté. Un virus N’EST PAS obligatoirement destructeur. Question : Comment les virus se propagent-ils ? Réponse : Les virus peuvent se propager par l’intermédiaire d’une disquette, d’un réseau, d’un message électronique ou de téléchargements à partir d’Internet. Parfois, ils sont transmis accidentellement via des logiciels commerciaux. Les virus de secteur d’amorçage se propagent lorsqu’un utilisateur amorce par inadvertance son poste de travail avec une disquette infectée. Les virus de macro peuvent se propager simplement par l’ouverture d’un document infecté. Les virus de publipostage utilisent les messages électroniques pour se propager rapidement et recourent généralement à des tactiques psychologiques pour convaincre les utilisateurs peu méfiants d’ouvrir le message infecté. Questions fréquentes 7–1 eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Questions et réponses Question : Quels sont les dommages que les virus peuvent causer ? Réponse : Une fois qu’un virus est exécuté, il peut affecter la mémoire ou les performances du système, modifier des données ou supprimer des fichiers. Certains virus peuvent effacer les disques durs ou les rendre inaccessibles. Les virus peuvent également entraîner la perte de ressources importantes et une immobilisation coûteuse pendant le traitement du problème. Question : Quelle est la gravité du problème des virus ? Réponse : Une étude menée par l’ICSA (International Computer Security Association) auprès de grandes entreprises a révélé que plus de 99 % d’entre elles avaient déjà été infectées par un virus. Le développement d’Internet et l’utilisation d’autres services en ligne ont favorisé la propagation des virus. Question : Est-ce qu’un organisme indépendant teste les logiciels antivirus ? Réponse : Oui. L’ICSA teste et certifie les logiciels antivirus. Pour être certifié, un logiciel doit détecter 100 % des virus « dans la nature » (en distribution générale) et 90 % de 6 000 virus de test. Toutes les versions de eTrust Antivirus sont certifiées par l’ICSA et les résultats peuvent être consultés sur le Web à l’adresse http://www.icsalabs.com. La capacité à détecter tous les virus « dans la nature » est le test décisif pour les logiciels antivirus. Question : Pourquoi ai-je besoin d’un logiciel antivirus sur mon serveur ? Réponse : Etant le point central d’un réseau, un serveur peut facilement transmettre un virus introduit par un PC client sur lequel le logiciel antivirus ne tourne pas. Le logiciel antivirus temps réel du serveur évitera ce cas de figure. En outre, un logiciel antivirus peut empêcher la propagation des virus lors des sauvegardes du serveur. 7–2 Prise en main eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Questions et réponses Question : Pourquoi ai-je besoin d’un logiciel antivirus pour les PC clients ? Réponse : Les PC clients constituent la ligne de front dans la bataille contre les virus. De nombreux documents sont transmis vers un PC puis retransmis aux clients, ce qui permet la propagation des virus sans même qu’ils n’atteignent un serveur de fichiers. Le logiciel antivirus temps réel du PC évitera ce cas de figure. Question : Quelles sont les fonctionnalités dont vous devez tenir compte lors du choix d’un logiciel antivirus ? Réponse : Les fonctionnalités les plus importantes sont généralement la détection des virus, les capacités de gestion, les performances et la facilité d’utilisation. D’autres facteurs importants sont la facilité de maintenance et la distribution automatique des signatures. Question : Quel est le rôle de eTrust Antivirus de CA ? Réponse : eTrust Antivirus est la solution antivirus renommée de Computer Associates. Le produit protège l’ensemble de votre entreprise contre les attaques de virus potentiellement dommageable et coûteuses. eTrust Antivirus fournit tous les outils nécessaires à un administrateur de réseau pour gérer les moyens de lutte contre les virus sur l’ensemble du réseau. Question : Est-ce qu’eTrust Antivirus peut protéger les serveurs et PC clients ? Réponse : Oui. eTrust Antivirus est disponible pour toutes les versions de Windows, notamment Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0, Windows XP et Server 2003 Edition 64 bits pour plates-formes Itanium et AMD 64 bits et Windows 95/98/Me. La protection des serveurs NetWare et des ordinateurs Macintosh et UNIX est fournie par des versions distinctes. Toutes les versions peuvent être exécutées indépendamment et gérées de manière centralisée via un réseau. Questions fréquentes 7–3 eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Questions et réponses Question : Comment eTrust Antivirus gère-t-il les installations clients ? Réponse : L’architecture de gestion hiérarchique à plusieurs niveaux de eTrust Antivirus permet de gérer facilement les nœuds clients. Le serveur Admin de eTrust Antivirus effectue le suivi de toutes les instances du logiciel antivirus découvertes grâce à un processus innovant qui ne requiert que peu de temps système. Les configurations client, notamment les règles de déploiement des signatures, sont gérées et déployées facilement à l’aide de l’interface administrative. Pour garantir que les paramètres ne sont pas modifiés ou que la protection antivirus n’est pas désactivée, les configurations des clients peuvent être « verrouillées », protégeant ainsi votre réseau contre les failles de protection. Question : Comment puis-je protéger mon réseau au niveau de la passerelle ? Réponse : eTrust Antivirus intègre la solution eTrust Antivirus Gateway qui protège le réseau contre les virus entrants et les codes mobiles dangereux (applets Java et ActiveX) sous les protocoles SMTP, FTP et HTTP. Question : Comment eTrust Antivirus détecte-t-il les virus ? Réponse : eTrust Antivirus analyse les fichiers à la recherche des signatures et des empreintes connues de virus. Une fois détecté, un virus peut normalement être supprimé ou son support désinfecté. eTrust Antivirus peut également détecter des virus polymorphes et furtifs qui modifient leurs signatures pour essayer d’éviter d’être détectés. En outre, eTrust Antivirus vérifie le secteur d’amorçage et la mémoire pendant les analyses antivirus. 7–4 Prise en main eAVGS_Master.doc, printed on 24/06/2004, at 08:18 Questions et réponses Question : A quel moment eTrust Antivirus recherche-t-il des virus ? Réponse : Le moniteur temps réel de eTrust Antivirus est exécuté en arrière-plan, analysant les fichiers qui sont exécutés et/ou écrits sur le disque et lus à partir de celui-ci. Les analyses antivirus peuvent être exécutées manuellement ou planifiées automatiquement pour analyser des fichiers. eTrust Antivirus détecte les virus dans les fichiers téléchargés à partir d’Internet, de services en ligne et de systèmes de messagerie électronique, notamment dans les archives de fichiers compressés. Question : Comment puis-je me protéger contre les virus les plus récents ? Réponse : Le fait de maintenir les logiciels antivirus à jour est essentiel pour être sûr d’être protégé contre les virus les plus récents. Dans le monde entier, les centres de recherche antivirus de CA surveillent 24 h/24 les nouvelles menaces et fournissent des mises à jour des fichiers de signatures afin de vous permettre d’y faire face. Les mises à jour des signatures des virus peuvent être téléchargées automatiquement à partir du site FTP de CA et distribuées à tous les nœuds clients de eTrust Antivirus. Questions fréquentes 7–5 eAVGS_Master.doc, printed on 21/06/2004, at 15:13 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Annexe A Types de virus Les virus informatiques sont définis comme un ensemble d’instructions se greffant sur des programmes informatiques, en général dans le système d’exploitation de l’ordinateur. Dans la plupart des cas, les programmes corrompus continuent d’exécuter les fonctions pour lesquelles ils sont conçus, mais ils exécutent aussi clandestinement les instructions du virus. Transmission et infection Un virus est en général conçu pour s’exécuter quand il est chargé dans la mémoire de l’ordinateur. Pendant l’exécution, le virus ordonne à son programme hôte de copier le code viral ou « d’infecter » d’autres programmes et fichiers de l’ordinateur. Ensuite, l’infection peut se transmettre aux fichiers situés sur d’autres ordinateurs via des disques magnétiques ou d’autres unités de stockage de mémoire, des réseaux informatiques ou des systèmes en ligne. Types de virus A–1 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Transmission et infection Voici une liste des types de virus les plus répandus et de leurs effets : A–2 Prise en main Nom du virus Description Virus de secteur d’amorçage Remplace le secteur d’amorçage initial du disque (contenant le code exécuté lors du démarrage du système) par son propre code, si bien que le virus est toujours chargé en mémoire avant tout autre programme. A chaque fois que vous démarrez votre ordinateur, le virus s’exécute. Une fois en mémoire, le virus peut rendre votre disque de démarrage inutilisable ou se propager vers d’autres disques. Virus de secteur d’amorçage maître Remplace le secteur d’amorçage maître principal du disque (table des partitions). Ce type de virus est difficile à détecter car, souvent, les outils d’examen du disque ne vous permettent pas de voir le secteur de partition, qui est le premier secteur du disque dur. eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Transmission et infection Nom du virus Description Virus de macros Ce type de virus est écrit dans le langage de macros de certains programmes informatiques, tels que les logiciels de traitement de texte ou tableurs. Les virus de macros infectent les fichiers (et non le secteur d’amorçage ou la table des partitions) et peuvent se charger en mémoire lors de leur exécution. Ils peuvent être exécutés lorsque vous accédez à un document ou être déclenchés par des actions d’utilisateurs telles que certaines frappes au clavier ou des sélections de menus. Un virus de macros peut être stocké dans des fichiers de toute sorte et être propagé par les transferts de fichiers ou par courrier électronique. Virus de fichier Ces virus s’associent aux fichiers *.COM et *.EXE ou les remplacent ; dans certains cas, ils peuvent également infecter les fichiers ayant des extensions .SYS, .DRV, .BIN, .OVL et .OVY. Les virus de fichier les plus répandus sont des virus qui se chargent dans la mémoire de votre ordinateur lorsque la première copie est exécutée et prennent clandestinement le contrôle de votre ordinateur. Ces virus infectent en général d’autres programmes lorsque vous les exécutez. Cependant, il existe également de nombreux virus non résidents qui infectent un ou plusieurs fichiers à chaque fois qu’un fichier infecté est exécuté. Ces virus modifient souvent les informations des attributs des fichiers, ainsi que la taille, l’heure et la date des fichiers. Types de virus A–3 eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Transmission et infection A–4 Prise en main Nom du virus Description Virus multipartie Ces virus combinent les caractéristiques des virus résidents en mémoire, des virus de fichiers et des virus de secteur d’amorçage. Ver Ce type de virus fait des copies de lui-même, mais n’a pas besoin de s’attacher à des fichiers ou secteurs particuliers. Lorsqu’un ver est exécuté, il recherche d’autres systèmes et copie son code sur ces derniers. Virus furtif Ce type de virus dissimule les modifications qu’il effectue dans le fichier ou l’enregistrement d’amorçage. Il procède en règle générale en analysant les fonctions système utilisées par les programmes pour lire des fichiers ou des blocs physiques de médias de stockage et en falsifiant les résultats de ces fonctions de sorte que les programmes qui essayent de lire ces zones « voient » la forme non infectée initiale du fichier et non la forme infectée réelle. Pour y parvenir, le virus doit résider dans la mémoire lorsque le programme antivirus est exécuté. Virus polymorphe Ce type de virus produit des copies variées (mais opérationnelles) de lui-même, dans le but que les antivirus ne détectent pas toutes ses instances. eAVGS_Master.doc, imprimé le 24/06/2004, à 08:18 Transmission et infection Nom du virus Description Cheval de Troie Programme qui effectue des actions inattendues ou non autorisées (généralement malveillantes), telles que l’affichage de messages, la suppression de fichiers ou le formatage d’un disque. Un cheval de Troie n’infecte pas d’autres fichiers hôtes. Virus de script (VBScript, JavaScript, HTML) Ce type de virus est écrit dans les langages de programmation de scripts tels que VBScript et JavaScript. Les virus écrits en VBScript (Visual Basic Script) et JavaScript utilisent Windows Scripting Host (WHS) de Microsoft pour s’activer et infecter d’autres fichiers. Etant donné que WHS est disponible sous Windows 98 et Windows 2000, il suffit de doublecliquer sur un fichier *.vbs ou *.js dans l’Explorateur Windows pour activer ces virus. Date ou condition de déclenchement Indique la date ou la condition qui déclenche le virus. Les virus qui s’activent selon la date peuvent infecter votre ordinateur 365 jours par an. Votre ordinateur peut également être infecté par ces virus avant la date spécifiée. Types de virus A–5 eAVGS_Master.doc, printed on 21/06/2004, at 15:13 10eAVGSapB.doc, imprimé le 24/06/2004, à 09:04 Annexe B Glossaire Termes courants concernant les virus informatiques CMOS : (Complementary Metal Oxide Semiconductor) Il s’agit d’une zone de mémoire utilisée par les PC AT ou ceux de classe supérieure pour le stockage des informations système. Le CMOS est une mémoire RAM dotée d’une batterie de secours, initialement utilisée pour sauvegarder la date et l’heure lorsque le PC est éteint. La mémoire CMOS ne se trouve pas dans l’espace d’adressage normal de l’unité centrale et ne peut pas être exécutée. Bien qu’un virus puisse introduire des données dans le CMOS et le corrompre, il ne peut pas s’y cacher. Dans la nature : Expression indiquant qu’un virus a été détecté dans plusieurs organisations dans le monde. Cette expression est employée par opposition aux virus qui n’ont été détectés que par des chercheurs. Malgré tout, la plupart des virus sont « dans la nature » et ne se distinguent que par leur fréquence. Certains sont nouveaux et donc extrêmement rares. D’autres sont plus anciens, mais ne se propagent pas très bien et sont donc extrêmement rares aussi. Enregistrement d’amorçage principal : Il s’agit du programme de 340 octets situé dans le secteur d’amorçage principal. Ce programme lance le processus d’amorçage. Il lit la table des partitions, détermine la partition à partir de laquelle l’amorçage doit avoir lieu (en principe C :) et transfère le contrôle au programme stocké dans le secteur d’amorçage. L’enregistrement d’amorçage principal est souvent appelé MBR (Master Boot Record) ou « table des partitions ». L’enregistrement d’amorçage principal est créé au moment de l’exécution de FDISK ou FDISK/MBR. Enregistrement d’amorçage : Correspond au programme enregistré dans le secteur d’amorçage. Toutes les disquettes possèdent un enregistrement d’amorçage, qu’elles soient amorçables ou non. Lorsque vous démarrez ou redémarrez votre ordinateur avec une disquette dans le lecteur A :, DOS (sur les systèmes Windows anciens) lit l’enregistrement d’amorçage de cette disquette. Si un virus d’amorçage infecte le disque, Glossaire B–1 10eAVGSapB.doc, imprimé le 24/06/2004, à 09:04 Termes courants concernant les virus informatiques l’ordinateur lit d’abord le secteur d’amorçage dans lequel se trouve le code du virus, puis passe au secteur dans lequel le virus a stocké l’enregistrement d’amorçage d’origine. Faux positif, faux négatif : Une erreur de type faux positif (ou type-I) est une erreur survenant lorsque le logiciel antivirus indique qu’un fichier donné est infecté par un virus alors qu’il est sain. Une erreur de type faux négatif (ou type-II) est une erreur survenant lorsque le logiciel n’indique pas qu’un fichier est infecté alors qu’il l’est. A l’évidence, les erreurs de type faux négatif sont plus graves que les erreurs faux positif, même si les deux restent indésirables. Infecteur lent : On utilise parfois le terme « infecteur lent » pour désigner les virus qui infectent les fichiers uniquement au moment de leur modification ou de leur création. Infecteur occasionnel : Virus qui n’infecte qu’occasionnellement, par exemple un fichier sur 10 exécutés, ou seulement des fichiers dont la longueur entre dans une plage précise. Parce qu’ils n’infectent que rarement, ces virus sont moins susceptibles d’être remarqués par l’utilisateur. Infecteur rapide : un infecteur de fichier typique (tel que le virus Jérusalem) se copie lui-même dans la mémoire lorsqu’un programme qu’il a infecté est exécuté ; il infecte ensuite d’autres programmes lorsqu’ils sont exécutés. Quand ce type de virus est actif en mémoire, il infecte non seulement les programmes qui sont exécutés, mais également les programmes qui sont simplement ouverts. L’exécution d’une analyse ou d’un contrôle d’intégrité peut infecter simultanément tous les programmes (ou une grande partie). Infection du secteur d’amorçage : Chaque disque logique, que ce soit un disque dur ou une disquette, contient un secteur d’amorçage. Il en est de même pour les disques qui ne sont pas amorçables. Ce secteur d’amorçage contient des informations spécifiques sur le formatage du disque et les données qui y sont stockées ; il contient aussi un programme d’amorçage (qui, sur certains systèmes d’exploitation Windows anciens, charge les fichiers système DOS). Ce programme d’amorçage affiche le message classique « Disque non système ou erreur disque » lorsque les fichiers système DOS font défaut. Par ailleurs, il s’agit du programme que les virus infectent en premier. Un virus de secteur d’amorçage peut vous infecter lorsque vous laissez une disquette infectée dans un lecteur et que vous redémarrez l’ordinateur. Lorsque le programme se trouvant dans le secteur d’amorçage est lu et exécuté, le virus s’introduit dans la mémoire et infecte votre disque dur. Etant donné que chaque disquette possède un secteur d’amorçage, il est possible (et habituel) qu’une disquette de données soit la cause de l’infection de l’ordinateur. Tous les « virus d’amorçage » infectent le secteur d’amorçage des disquettes ; certains, tels que le virus Form, infectent également le secteur d’amorçage des disques durs. D’autres virus d’amorçage infectent le secteur d’amorçage maître des disques durs. B–2 Prise en main 10eAVGSapB.doc, imprimé le 24/06/2004, à 09:04 Termes courants concernant les virus informatiques Injecteur : Programme qui a été modifié pour « installer » un virus sur le système cible. Le code du virus est généralement contenu dans un injecteur afin de ne pas être détecté. Un injecteur est en fait un cheval de Troie. RAM : (Random Access Memory ou Mémoire à accès aléatoire) Emplacement dans lequel les programmes sont chargés pour leur exécution ; pour pouvoir être actifs, les virus doivent s’emparer d’une partie de cet espace. Certains analyseurs de virus peuvent signaler un virus actif à partir du moment où il est détecté dans la RAM, même s’il reste dans une zone tampon de la mémoire RAM. Secteur d’amorçage principal : Premier secteur du disque dur à être lu. Ce secteur se situe sur la face supérieure (« face 0 »), le cylindre extérieur (« cylindre 0 »), le premier secteur (« secteur 1 »). Ce secteur contient l’enregistrement d’amorçage principal. Secteur d’amorçage : Premier secteur logique d’une unité. Sur une disquette, il se situe sur la face 0 (face supérieure), cylindre 0 (extérieur), secteur 1 (le premier secteur). Sur un disque dur, il correspond au premier secteur d’une unité logique, tel que C: ou D:. Ce secteur contient l’enregistrement d’amorçage créé par FORMAT (avec ou sans paramètre /S). Il est également possible de le créer via la commande DOS SYS. Table des partitions : Structure de données de 64 octets définissant la manière dont le disque dur de l’ordinateur est divisé en sections logiques appelées partitions. La plus importante est celle stockée dans l’enregistrement d’amorçage principal (MBR). TSR : (Terminate but Stay Resident) Programmes informatiques restant en mémoire alors que vous utilisez l’ordinateur pour autre chose ; ce sont par exemple les utilitaires contextuels, les logiciels réseau et la plupart des virus. Ils utilisent des utilitaires comme MEM, MAPMEM, PMAP, F-MMAP et INFOPLUS. Virus blindé : Il s’agit d’un virus informatique qui utilise des ruses spéciales pour rendre plus difficile la détection, le désassemblage et la compréhension de son code. Virus compagnon : Virus qui, au lieu de modifier un fichier existant, crée un nouveau programme (inconnu de l’utilisateur) qui est ensuite exécuté par l’interpréteur de ligne de commande et non pas par le programme prévu. A la fermeture, le nouveau programme exécute le programme d’origine, de telle sorte que tout semble normal. Pour cela, le virus crée un fichier .COM infecté portant le même nom qu’un fichier .EXE existant. Virus d’amorçage : Terme désignant les virus qui placent leur code de lancement dans le secteur d’amorçage des disquettes et dans le secteur d’amorçage ou le secteur d’amorçage principal des disques durs. Ce type de virus s’appelle virus multipartie. Virus de cavité : Virus qui remplace une partie du fichier hôte contenant une constante (souvent des caractères nuls) sans augmenter la taille du fichier mais en préservant ses fonctionnalités. Glossaire B–3 10eAVGSapB.doc, imprimé le 24/06/2004, à 09:04 Termes courants concernant les virus informatiques Virus résident en mémoire : C’est le cas des virus informatiques les plus courants. Un virus résident est un virus qui se charge en mémoire, contrôle une ou plusieurs interruptions et reste inactif en mémoire jusqu’à ce qu’un événement le déclenche. Lorsque l’événement déclencheur a lieu, le virus devient actif et infecte un élément du système ou provoque d’autres problèmes (comme l’affichage d’éléments à l’écran). Tous les virus d’amorçage sont des virus résidents, comme la plupart des virus de fichiers. Virus tunnelier : Virus qui trouve et appelle directement les gestionnaires d’interruption en DOS et dans le BIOS, contournant ainsi tout programme de surveillance d’activité qui pourrait être chargé. B–4 Prise en main