Sophos Anti-Virus pour VMware vShield : édition locale Guide de

Sophos Anti-Virus pour
VMware vShield : édition
locale
Guide de configuration
Version du produit : 2
Date du document : août 2016
Table des matières
1 À propos de ce guide.........................................................................................................3
2 Configuration des stratégies...............................................................................................3
2.1 Stratégie antivirus et HIPS...................................................................................3
2.2 Stratégie de mise à jour........................................................................................9
3 Affichage des machines virtuelles clientes protégées......................................................10
4 Contrôle des machines virtuelles clientes........................................................................10
5 Élimination d'une menace................................................................................................11
5.1 Élimination automatique.....................................................................................11
5.2 Élimination manuelle..........................................................................................12
5.3 Récupération d'un fichier nettoyé.......................................................................14
6 Alertes et journalisation....................................................................................................14
7 Support technique............................................................................................................15
8 Mentions légales..............................................................................................................15
2
Guide de configuration
1 À propos de ce guide
Ce guide vous explique comment configurer et utiliser Sophos Anti-Virus pour VMware vShield :
édition locale.
Retrouvez plus de renseignements sur l'installation ou la désinstallation de Sophos Anti-Virus
pour VMware vShield dans le Guide de démarrage de Sophos Anti-Virus pour VMware vShield.
2 Configuration des stratégies
Dès que vous avez installé Sophos Anti-Virus pour VMware vShield et que vous avez placé
votre machine virtuelle de sécurité Sophos dans un groupe Sophos Enterprise Console
conformément aux instructions du Guide de démarrage de Sophos Anti-Virus pour VMware
vShield, vos machines virtuelles clientes sont protégées et mises à jour automatiquement.
Nous vous conseillons d'utiliser les paramètres par défaut lorsque c'est possible car ils vous
garantissent le meilleur compromis entre la protection de votre réseau contre les menaces
et de bonnes performances de tout votre système. Toutefois, vous pouvez modifier les
paramètres dans les stratégies Antivirus et HIPS et Mise à jour si vous le souhaitez. Les
autres stratégies de l'Enterprise Console ne sont pas prises en charge par Sophos Anti-Virus
pour VMware vShield.
Remarque : toutes les machines virtuelles clientes protégées par une machine virtuelle de
sécurité utilisent les mêmes stratégies que celles de l'Enterprise Console sur la machine
virtuelle de sécurité. Si vous voulez appliquer une stratégie différente à certaines de vos
machine virtuelle de sécurité, veuillez les déplacer sur une autre machine virtuelle de sécurité
et placez cette machine virtuelle de sécurité dans un groupe Enterprise Console différent.
Vous pourrez ensuite appliquer une stratégie différente à ce groupe.
Retrouvez une liste de toutes les machines virtuelles clientes administrées par une machine
virtuelle de sécurité à la section Affichage des machines virtuelles clientes protégées à la
page 10.
2.1 Stratégie antivirus et HIPS
Le contrôle sur accès s'exécute par défaut et Sophos Anti-Virus pour VMware vShield élimine
tous les fichiers infectés et supprime automatiquement les menaces détectées. En cas d'échec
de l'opération d'élimination automatique, l'accès au fichier infecté est bloqué afin que la
protection de votre réseau reste assurée.
Veuillez noter que Sophos Anti-Virus pour VMware vShield ne prend pas en charge tous les
paramètres de stratégie. Cette section décrit les options de contrôle qui s'appliquent à Sophos
Anti-Virus pour VMware vShield et qui peuvent être configurées de manière centralisée et
celles qui ne s'appliquent pas. Retrouvez plus de renseignements sur les paramètres dans
la section sur la configuration d'une stratégie antivirus et HIPS de l'Aide de la Sophos Enterprise
Console.
3
Sophos Anti-Virus pour VMware vShield : édition locale
Autorisation
L'autorisation, ainsi que la détection, des adwares et autres applications potentiellement
indésirables (PUA) n'est pas prise en charge.
Messagerie
Seule la messagerie électronique est prise en charge.
Sophos Live Protection
Sophos Live Protection est pris en charge à l'exception de l'envoi de fichiers.
Contrôle sur accès
Les paramètres de contrôle sur accès sont pris en charge comme indiqué ci-dessous. La
surveillance des comportements n'est pas prise en charge.
Pour ouvrir les pages des paramètres du contrôle sur accès sur le volet Stratégies de
l'Enterprise Console, cliquez deux fois sur Antivirus et HIPS. Cliquez deux fois sur la stratégie
que vous désirez modifier. Dans la boîte de dialogue Stratégie antivirus et HIPS, dans le
volet Contrôle sur accès, à côté de la case Activer le contrôle sur accès, cliquez sur le
bouton Configurer. La boîte de dialogue des Paramètres du contrôle sur accès apparaît.
Paramètre
Applicable à
Sophos Anti-Virus
pour VMware
vShield ?
Remarques
Non
Sophos Anti-Virus pour VMware vShield contrôle
toujours les fichiers pendant les appels système
« ouverts » et « fermés » à condition qu'une ou plusieurs
des trois options (À la lecture, Au moment de renommer
et À l'écriture) soient activées.
Onglet Contrôle
Vérifier les fichiers À la
lecture/Au moment de
renommer/À l'écriture
Important : si les trois options sont désactivées, le
contrôle sur accès est désactivé et votre système n'est
plus protégé.
Rechercher les Adwares Non
et PUA/Fichiers
suspects
Autoriser l'accès aux
Non
lecteurs aux secteurs de
démarrage infectés
4
Guide de configuration
Paramètre
Applicable à
Sophos Anti-Virus
pour VMware
vShield ?
Contrôler dans les
fichiers archive
(déconseillé)
Oui
Contrôler la mémoire
système
Non
Remarques
Ce paramètre n'a aucun effet sur Sophos Anti-Virus
pour VMware vShield. Si nécessaire, Sophos Anti-Virus
pour VMware vShield contrôle la mémoire système
pendant l'opération d'élimination.
Onglet Extensions
Contrôler tous les
fichiers (déconseillé)
Oui
Contrôler uniquement
Oui
les exécutables et autres
fichiers vulnérables
Extensions des types de Oui
fichiers supplémentaires
à contrôler
Contrôler les fichiers
sans extension
Oui
Exclure des types de
fichiers du contrôle
Oui
Onglet Exclusions
Windows
Oui
Vous pouvez ajouter des extensions de fichier
supplémentaires qui seront contrôlés par Sophos
Anti-Virus pour VMware vShield.
Pour exclure un dossier du contrôle, veuillez toujours
indiquer le chemin complet vers le dossier, notamment
la lettre du lecteur ou le nom du partage réseau. Par
exemple, « C:\Tools\logs\ » ou « \\Serveur\Tools\logs\ ».
Sophos Anti-Virus pour VMware vShield ne peut pas
exclure les dossiers en se basant uniquement sur leur
nom. Par exemple, « \Tools\logs\ » ne fonctionnera pas.
Retrouvez plus de renseignements sur les exclusions
Windows, comme par exemple la manière d'utiliser des
caractères génériques dans la section sur la
configuration d'une stratégie antivirus et HIPS de l'Aide
de la Sophos Enterprise Console.
Onglet Exclusions Mac Non
Onglet Exclusions
Linux/UNIX
Non
5
Sophos Anti-Virus pour VMware vShield : édition locale
Paramètre
Applicable à
Sophos Anti-Virus
pour VMware
vShield ?
Remarques
Élimination des
virus/spywares
Oui
Les autres actions pouvant être effectuées en cas
d'échec de l'élimination des éléments infectés n'ont
aucun effet sur Sophos Anti-Virus pour VMware vShield.
Sophos Anti-Virus pour VMware vShield refuse toujours
l'accès aux éléments infectés.
Élimination des fichiers
suspects
Non
Onglet Nettoyage
Retrouvez plus de renseignements sur les paramètres à choisir dans l'Aide de l'Enterprise
Console.
Protection Web
Non pris en charge.
Contrôle planifié
Vous pouvez paramétrer ou modifier un contrôle planifié en cliquant sur le bouton Ajouter
ou Modifier du panneau Contrôle planifié dans la boîte de dialogue Stratégie antivirus et
HIPS. Vous pouvez également indiquer d'autres types de fichier à contrôler ou exclure des
éléments du contrôle en cliquant sur Extensions et exclusions.
Les paramètres du contrôle planifié sont pris en charge comme indiqué ci-dessous.
Paramètre
Applicable à
Sophos Anti-Virus
pour VMware
vShield ?
Remarques
Bouton Ajouter/Modifier > Boîte de dialogue Paramètres du contrôle planifié
Éléments à contrôler
6
Disques durs locaux
Oui
Disquettes et lecteurs
amovibles
Oui
Lecteurs de CD-ROM
Oui
Guide de configuration
Paramètre
Applicable à
Sophos Anti-Virus
pour VMware
vShield ?
Planification du contrôle Oui
Remarques
Sophos Anti-Virus pour VMware vShield commencera
le contrôle à l'heure et au jour indiqués. Toutefois, il
contrôlera uniquement deux machines virtuelles clientes
à la fois afin de ne pas affecter les performances de
votre système. Par conséquent, il se peut que le contrôle
de toutes les machines virtuelles clientes soit long à
effectuer.
Bouton Ajouter/Modifier > Boîte de dialogue Paramètres du contrôle planifié > Bouton
Configurer > Boîte de dialogue Paramètres de contrôle et de nettoyage
Onglet Contrôle
Rechercher les Adwares Non
et PUA/Fichiers
suspects/Rootkits
Contrôler dans les
fichiers archive
Oui
Contrôler la mémoire
système
Non
Exécuter un contrôle à
priorité plus basse
Non
Onglet Nettoyage
Élimination des
virus/spywares
Oui
Sophos Anti-Virus pour VMware vShield n'élimine pas
automatiquement les lecteurs de disquette, les lecteurs
de CD-ROM ou les emplacements réseau.
Les actions sur les éléments infectés n'ont aucun effet
sur Sophos Anti-Virus pour VMware vShield si
l'élimination n'a pas eu lieu. Sophos Anti-Virus pour
VMware vShield journalise toujours l'événement lorsque
l'élimination n'a pas eu lieu.
Élimination des adwares Non
et PUA
Élimination des fichiers
suspects
Non
Bouton Extensions et exclusions > Boîte de dialogue Extensions et exclusions du contrôle
planifié
7
Sophos Anti-Virus pour VMware vShield : édition locale
Paramètre
Applicable à
Sophos Anti-Virus
pour VMware
vShield ?
Remarques
Onglet Extensions
Contrôler tous les
fichiers (non
recommandé)
Oui
Contrôler uniquement
Oui
les exécutables et autres
fichiers vulnérables
Extensions des types de Oui
fichiers supplémentaires
à contrôler
Contrôler les fichiers
sans extension
Oui
Exclure des types de
fichiers du contrôle
Oui
Onglet Exclusions
Windows
Oui
Vous pouvez ajouter des extensions de fichier
supplémentaires qui seront contrôlés par Sophos
Anti-Virus pour VMware vShield.
Pour exclure un dossier du contrôle, veuillez toujours
indiquer le chemin complet vers le dossier, notamment
la lettre du lecteur ou le nom du partage réseau. Par
exemple, « C:\Tools\logs\ » ou « \\Serveur\Tools\logs\ ».
Sophos Anti-Virus pour VMware vShield ne peut pas
exclure les dossiers en se basant uniquement sur leur
nom. Par exemple, « \Tools\logs\ » ne fonctionnera pas.
Retrouvez plus de renseignements sur les exclusions
Windows, comme par exemple la manière d'utiliser des
caractères génériques dans la section sur la
configuration d'une stratégie antivirus et HIPS de l'Aide
de la Sophos Enterprise Console.
Onglet Exclusions Mac Non
Onglet Exclusions
Linux/UNIX
Non
Contrôle intégral du système
Sophos Anti-Virus pour VMware vShield prend en charge un contrôle intégral du système
immédiat lancé à partir de l'Enterprise Console. Pour envoyer une demande de contrôle
intégral aux machines virtuelles clientes administrées par une machine virtuelle de sécurité,
sélectionnez la machine virtuelle de sécurité dans la liste des ordinateurs, cliquez dessus
8
Guide de configuration
avec le bouton droit de la souris et sélectionnez Contrôle intégral du système. Autrement,
dans le menu Actions, sélectionnez Contrôle intégral du système.
Le contrôle intégral du système détecte les menaces mais ne les élimine pas.
Remarque : Sophos Anti-Virus pour VMware vShield contrôlera uniquement deux machines
virtuelles clientes à la fois afin de ne pas affecter les performances de votre système. Par
conséquent, il se peut que le contrôle de toutes les machines virtuelles clientes gérées par
la machine virtuelle de sécurité soit long à effectuer.
2.1.1 Extensions de fichier contrôlées
Les extensions de fichier suivantes sont contrôlées par défaut, à l'exception des fichiers
archives qui sont uniquement contrôlés si l'option Contrôler dans les fichiers archive est
activée dans la stratégie antivirus et HIPS appliquée à la machine virtuelle de sécurité. Par
défaut, cette option est désactivée.
Vous pouvez ajouter des extensions supplémentaires pour le contrôle ou exclure des
extensions du contrôle conformément aux instructions de la section de configuration de la
stratégie antivirus et HIPS dans l'Aide de l'Enterprise Console.
386
3gr
7z
7zip
??_
a
add
ani
arj
asp
aspx
asx
bat
bin
bz2
cab
chm
class
cmd
com
cpl
dbx
dex
dll
dmd
doc
docm
docx
dot
drv
eml
exe
fas
flt
fon
fot
gz
hlp
hqx
ht?
hta
html
hxs
i13
ifs
inf
ini
jar
jpeg
jpg
jpz
js
jse
lha
lnk
lsp
lzh
mnl
mod
mpd
mpp
mpt
mso
mui
nws
o
ocx
ov?
pdf
pdr
php
pif
pl
pot
pps
ppt
pptm
pptx
prc
rar
rpm
rtf
scr
sh
shb
shs
src
swf
sys
tar
taz
tbz
tbz2
tgz
uue
vb?
vlx
vs?
vxd
wbk
wma
wmf
wsf
xl?
xlsm
xlsx
xsn
z
zip
zipx
2.2 Stratégie de mise à jour
Tous les paramètres de la stratégie de mise à jour sont pris en charge par Sophos Anti-Virus
pour VMware vShield et peuvent être configurés de manière centralisée dans l'Enterprise
Console. Retrouvez plus d'informations à la section abordant la mise à jour des ordinateurs
et la configuration de la stratégie de mise à jour dans l'Aide de l'Enterprise Console.
9
Sophos Anti-Virus pour VMware vShield : édition locale
3 Affichage des machines virtuelles
clientes protégées
Vous pouvez afficher toutes les machines virtuelles clientes protégées par vos machines
virtuelles de sécurité.
Vous pouvez afficher les machines virtuelles clientes protégées à l'aide de la fonction incluse
dans le programme d'installation que vous avez utilisé pour installer vos machines virtuelles
de sécurité.
1. Rendez-vous dans le répertoire dans lequel vous avez téléchargé le programme
d'installation et cliquez deux fois sur ssvmtool.exe.
Un assistant démarre.
2.
3.
4.
5.
Sélectionnez View protected guest VMs.
Saisissez l'adresse et les codes d'accès de votre vCenter.
Saisissez l'adresse et les codes d'accès de votre vShield Manager.
Sélectionnez le ou les hôtes sur le(s)quel(s) vous souhaitez afficher les machines virtuelle
clientes.
6. Saisissez votre mot de passe dans Support password. Il s'agit du mot de passe que vous
avez créé lorsque vous avez installé vos machines virtuelles de sécurité.
7. Sur la page Ready to find guest VMs, cliquez sur Find.
L'assistant commence à rechercher les machines virtuelles clientes.
8. Lorsque la recherche est terminée, cliquez sur View.
9. Une liste des machines virtuelles clientes protégées apparaît sous Protected guest VMs
found.
Cette liste est également disponible en tant que fichier sur votre disque dur. Pour la
retrouver, cliquez sur Show file location.
4 Contrôle des machines virtuelles
clientes
Sophos Anti-Virus pour VMware vShield contrôle toujours les fichiers sur accès, c'est-à-dire
à leur ouverture et à leur fermeture.
Une machine virtuelle de sécurité peut également effectuer un contrôle intégral de toutes les
machines virtuelles clientes. Vous avez la possibilité d'effectuer un contrôle immédiat ou
programmé.
Le contrôle intégral du système détecte les menaces mais ne les élimine pas.
Remarque : la machine virtuelle de sécurité ne peut pas effectuer un contrôle si elle est
toujours dans le groupe Non affectés de l'Enterprise Console. Elle doit être dans un groupe
auquel vous avez appliqué des stratégies.
10
Guide de configuration
Remarque : la machine virtuelle de sécurité procède à des contrôles décalés afin que l'hôte
ESXi ne soit pas soumis à une trop forte charge de travail. Par défaut, le contrôle est effectué
sur deux machines virtuelles clientes à la fois. Par conséquent, il se peut que le contrôle de
toutes les machines virtuelles clientes gérées par la machine virtuelle de sécurité soit long à
effectuer.
Contrôle immédiat des machines virtuelles clientes
Pour exécuter un contrôle intégral immédiat de toutes les machines virtuelles clientes :
1. Dans l'Enterprise Console, recherchez la machine virtuelle de sécurité dans la liste des
ordinateurs.
2. Cliquez avec le bouton droit de la souris sur la machine virtuelle de sécurité et sélectionnez
Contrôle intégral du système.
Remarque : autrement, dans le menu Actions, sélectionnez Contrôle intégral du
système.
Contrôle programmé des machines virtuelles clientes
Pour exécuter un contrôle intégral programmé de toutes les machines virtuelles clientes :
1. Allez dans l'Enterprise Console.
2. Créez un contrôle planifié, conformément aux explications de la section sur la configuration
d'une stratégie antivirus et HIPS de l'Aide de l'Enterprise Console.
Pour voir les détails du contrôle suite à son exécution :
Dans l'Enterprise Console, dans la liste des ordinateurs de la partie inférieure droite de la
fenêtre, cliquez deux fois sur la machine virtuelle de sécurité pour afficher la boîte de dialogue
Détails de l'ordinateur.
5 Élimination d'une menace
5.1 Élimination automatique
La machine virtuelle de sécurité peut éliminer automatiquement les menaces qu'elle détecte
à condition que l'élimination automatique soit prise en charge sur le système de la machine
virtuelle cliente et que vous ayez installé Sophos Guest VM Agent sur la machine virtuelle
cliente.
L'élimination automatique est pris en charge sur :
■
Windows Vista et supérieur.
■
Les systèmes de fichiers NTFS.
L'élimination automatique n'est pas prise en charge sur :
■
Les versions de Windows antérieures à Windows Vista comme Windows XP et Windows
Server 2003. Sur ces systèmes, veuillez éliminer les menaces manuellement conformément
aux instructions des sections suivantes.
■
Les systèmes de fichiers ReFS, CDFS, UDF ou FAT.
■
Les CD-ROM ou les systèmes de fichiers et lecteurs multimédias en lecture seule.
11
Sophos Anti-Virus pour VMware vShield : édition locale
■
Les systèmes de fichiers à distance.
Que se passe-t-il en cas d'élimination automatique ?
Lorsqu'une menace est détectée et éliminée automatiquement, l'Enterprise Console :
■
Indique que la menace a été bloquée (voir la section « Historique » de la boîte de dialogue
Détails de l'ordinateur).
■
Affiche une alerte qui indique l'identité de la menace et si elle peut être éliminée.
■
Efface l'alerte si l'opération d'élimination a réussi.
Il peut parfois être nécessaire de redémarrer une machine virtuelle cliente pour terminer
l'opération d'élimination. Dans ce cas, une alerte « Redémarrage requis » s'affiche à propos
de la machine virtuelle de sécurité. Pour savoir à quelle machine virtuelle cliente s'applique
l'alerte, cliquez deux fois sur la machine virtuelle de sécurité pour ouvrir la boîte de dialogue
Détails de l'ordinateur et recherchez la description de l'alerte sous la section Alertes et
erreurs à traiter.
Remarque : si une machine virtuelle cliente est déplacée d'un serveur physique à un autre
à l'aide de VMware vSphere vMotion, ou si elle est déplacée d'une machine virtuelle de
sécurité à une autre pendant l'opération d'élimination, l'état final de l'élimination ne sera pas
communiqué à l'Enterprise Console et l'alerte ne disparaîtra pas de la console même en cas
de succès de l'opération d'élimination. Dans ce cas, veuillez effacer l'alerte manuellement.
Si l'élimination échoue, votre machine virtuelle cliente sera toujours protégée et l'opération
d'élimination sera tentée à nouveau à la prochaine détection d'une menace.
5.2 Élimination manuelle
Si l'élimination automatique échoue, n'est pas prise en charge ou si vous ne l'avez pas activée,
vous pouvez traiter les menaces manuellement.
Pour éliminer une menace de la machine virtuelle invitée affectée :
1. Renseignez-vous sur la menace qui a été détectée.
Ceci vous permettra de décider si la machine virtuelle cliente doit être restaurée ou si la
menace doit être éliminée du « snapshot » en cours.
2. Vous pouvez éliminer une menace de la machine virtuelle cliente affectée en utilisant l'une
des méthodes suivantes :
■
Restaurer la machine virtuelle cliente.
■
Éliminer une menace avec Sophos Virus Removal Tool.
La méthode utilisée dépend de votre choix d'accepter de perdre des données ou non sur
votre « snapshot » en cours et de la manière dont la machine virtuelle a été affectée.
Certains virus ne laissent aucun effet secondaire. D'autres peuvent entraîner des
modifications ou corrompre des données.
3. Effacez l'alerte sur la détection de la menace dans l'Enterprise Console.
12
Guide de configuration
5.2.1 Recherche d'informations sur une menace
Pour rechercher plus d'informations sur une menace et sur la manière de la traiter :
1. Dans l'Enterprise Console, dans la liste des ordinateurs de la partie inférieure droite de la
fenêtre, cliquez deux fois sur la machine virtuelle de sécurité pour afficher la boîte de
dialogue Détails de l'ordinateur.
La section Historique affiche une liste des Éléments détectés. Le nom de la menace
s'affiche dans la colonne Nom tandis que la machine virtuelle cliente affectée et le fichier
sont affichés dans la colonne Détails.
2. Cliquez sur le nom de la menace.
Vous allez être directement connecté au site Web de Sophos où vous retrouverez une
description et des conseils sur la marche à suivre.
5.2.2 Restauration d'une machine virtuelle cliente
Si vous acceptez la perte de données, restaurez simplement la machine virtuelle. Utilisez
l'une des méthodes suivantes :
■
Restaurez le dernier « snapshot » sain sur la machine virtuelle cliente affectée.
■
Supprimez la machine virtuelle cliente affectée et créez un nouveau clone à partir de
l'image du modèle.
Assurez-vous que tous les outils VMware et Sophos sont installés sur l'image. Retrouvez
plus d'informations dans le Guide de démarrage de Sophos Anti-Virus pour VMware
vShield.
Quelle que soit la méthode que vous utilisez, procédez ensuite au contrôle intégral de la
machine virtuelle cliente afin de vérifier qu'elle n'est pas infectée.
5.2.3 Élimination avec Sophos Virus Removal Tool
Vous utilisez généralement Sophos Virus Removal Tool pour éliminer les menaces sur des
systèmes sur lesquels l'élimination automatique n'est pas prise en charge comme par exemple
Windows XP ou Windows Server 2003.
1. Sur la machine virtuelle cliente affectée, arrêtez VMware Guest Introspection Agent. Ouvrez
une Invite de commandes en tant qu'administrateur et saisissez :
net stop vsepflt
2. Si l'outil Sophos Virus Removal Tool est installé sur la machine virtuelle cliente,
désinstallez-le.
Remarque : une version plus récente de Sophos Virus Removal Tool, avec un nouveau
moteur de détection des menaces ou de nouvelles données sur les menaces, a
probablement été publiée depuis que vous avez installé votre version.Veuillez la désinstaller
et installez la version la plus récente.
3. Installez l'utilitaire gratuit Sophos Virus Removal Tool sur la machine virtuelle cliente
affectée afin de supprimer la menace. Téléchargez cet outil sur
www.sophos.com/fr-fr/products/free-tools/virus-removal-tool.aspx.
4. Éliminez la menace.
13
Sophos Anti-Virus pour VMware vShield : édition locale
5. Redémarrez VMware Guest Introspection Agent Saisissez :
net start vsepflt
5.2.4 Suppression d'une alerte à partir de l'Enterprise Console
Lorsque vous êtes sûr que la machine virtuelle cliente affectée n'est plus infectée, supprimez
l'alerte à partir de l'Enterprise Console :
1. Dans l'Enterprise Console, dans la liste des ordinateurs de la partie inférieure droite de la
fenêtre, cliquez avec le bouton droit de la souris sur la machine virtuelle de sécurité et
sélectionnez Résoudre les alertes et les erreurs.
2. Dans la boîte de dialogue Résoudre les alertes et les erreurs, sur l'onglet Alertes,
sélectionnez l'alerte et cliquez sur Approuver.
L'alerte n'apparaît plus dans l'Enterprise Console.
5.3 Récupération d'un fichier nettoyé
Sophos Anti-Virus pour VMware vShield inclut la fonctionnalité SafeClean de Sophos qui
permet de récupérer les fichiers ayant été nettoyés récemment. Par conséquent, vous pouvez
récupérer un fichier qui a été nettoyé soit automatiquement soit manuellement.
Retrouvez une présentation de SafeClean sur
www.sophos.com/fr-fr/support/knowledgebase/119988.aspx.
Veuillez noter que si vous décidez d'extraire un fichier contenant un programme malveillant
de la corbeille SafeClean, la machine virtuelle de sécurité le détectera et le nettoiera de
nouveau. Le fichier ne sera pas récupéré. Si vous voulez récupérer le fichier, vous allez devoir
désactiver le contrôle sur accès avant de pouvoir récupérer ce fichier. Réactivez-le après
avoir récupéré le fichier.
Important : si vous désactivez le contrôle sur accès, vos machines virtuelles clientes restent
sans protection jusqu'à ce vous le réactiviez.
Retrouvez plus d'instructions sur la récupération d'un fichier récemment nettoyé sur
www.sophos.com/fr-fr/support/knowledgebase/119981.aspx.
6 Alertes et journalisation
Alerte
Si une machine virtuelle de sécurité détecte une menace sur l'une des machines virtuelles
clientes, elle envoie une alerte à l'Enterprise Console. Une alerte apparaît sur le tableau de
bord de l'Enterprise Console. Une icône rouge d'avertissement apparaît dans la liste des
ordinateurs sur l'onglet État, à côté de la machine virtuelle de sécurité dans la colonne Alertes
et erreurs.
Si la machine virtuelle de sécurité détecte une menace lorsqu'un utilisateur essaye d'accéder
à un fichier, un message peut également apparaître sur la machine virtuelle cliente informant
l'utilisateur que le fichier est inaccessible. Le message peut varier en fonction de l'application
utilisée pour accéder au fichier.
14
Guide de configuration
Si la menace a été nettoyée, l'alerte de détection de la menace disparaît de l'Enterprise
Console. L'opération de nettoyage est également signalée dans l'Enterprise Console. Pour
voir le rapport, cliquez deux fois sur la machine virtuelle de sécurité dans la liste des ordinateurs
pour ouvrir la boîte de dialogue Détails de l'ordinateur et recherchez l'Historique.
Si la menace a été partiellement supprimée, mais que la machine virtuelle cliente doit être
redémarrée pour terminer le nettoyage, une alerte « Redémarrage requis » apparaît.
Pour savoir à quelle machine virtuelle cliente s'applique l'alerte, cliquez deux fois sur la
machine virtuelle de sécurité dans la liste des ordinateurs pour ouvrir la boîte de dialogue
Détails de l'ordinateur et recherchez la description de l'alerte sous la section Alertes et
erreurs à traiter. Le nom de la banque de données sur laquelle se trouve la machine virtuelle
cliente et le nom de la machine virtuelle cliente apparaissent avant le chemin vers la menace
(et ils sont séparés par une barre oblique). Par exemple :
NomBanqueDonnées\NomMachine/C:\menace.exe
Journalisation
Sur une machine virtuelle cliente, les journaux sont écrits dans le journal des événements
des applications Windows.
Retrouvez plus d'informations sur la journalisation dans l'Aide de l'Enterprise Console.
7 Support technique
Vous bénéficiez du support technique des produits Sophos de l'une des manières suivantes :
■
Rendez-vous sur le forum de la communauté Sophos en anglais sur
community.sophos.com/ et recherchez d'autres utilisateurs rencontrant le même problème
que le vôtre.
■
Rendez-vous sur la base de connaissances du support de Sophos sur
www.sophos.com/fr-fr/support.aspx.
■
Téléchargez la documentation des produits sur
www.sophos.com/fr-fr/support/documentation.aspx.
■
Ouvrez un incident support sur
https://secure2.sophos.com/fr-fr/support/contact-support/support-query.aspx.
8 Mentions légales
Copyright © 2016 Sophos Limited. Tous droits réservés. Aucune partie de cette publication
ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise,
sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie,
enregistrement ou autre sauf si vous possédez une licence valide, auquel cas vous pouvez
reproduire la documentation conformément aux termes de cette licence ou si vous avez le
consentement préalable écrit du propriétaire du copyright.
Sophos, Sophos Anti-Virus et SafeGuard sont des marques déposées de Sophos Limited,
Sophos Group et de Utimaco Safeware AG, partout ou ceci est applicable. Tous les autres
noms de produits et d'entreprises cités dans ce document sont des marques ou des marques
déposées de leurs propriétaires respectifs.
15
Sophos Anti-Virus pour VMware vShield : édition locale
Licences tierces
Les licences tierces s’appliquant à l’utilisation de ce produit sont disponibles dans le dossier
suivant de la machine virtuelle de sécurité Sophos : /usr/share/doc
16