ESET Mail Security for Microsoft Exchange Server
Transcription
ESET Mail Security for Microsoft Exchange Server
ESET MAIL SECURITY POUR MICROSOFT EXCHANGE SERVER Manuel d'installation et Guide de l'utilisateur Microsoft® Windows® Server 2000 / 2003 / 2008 / 2008 R2 / 2012 / 2012 R2 Veuillez cliquer ici pour obtenir la version la plus récente de ce document. ESET MAIL SECURITY Copyright ©2014 ESET, spol. s r.o. ESET Mail Security a été développé par ESET, spol. s r.o. Pour plus de détails, visitez www.eset.com. Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système d'archivage ou transmise sous quelque forme ou par quelque moyen que ce soit, y compris sous forme électronique, mécanique, photocopie, enregistrement, numérisation ou autre sans l'autorisation écrite de l'auteur. ESET, spol. s r.o. se réserve le droit de changer les applications décrites sans préavis. Assistance à la clientèle : www.eset.com/support RÉV. 5/2/2014 Contenu 3.3.2.1 1. Introduction ..................................................5 1.1 Nouveautés ........................................................................5 de la version 4.5 1.2 Configuration ........................................................................5 minimale requise 1.3 Méthodes ........................................................................6 utilisées 1.3.1 1.3.2 Analyse .........................................................................6 des boîtes aux lettres par VSAPI Filtrage .........................................................................6 de message STMP au niveau du serveur 1.4 Types........................................................................6 de protection 1.4.1 1.4.2 1.4.3 Protection .........................................................................6 antivirus Protection .........................................................................6 antipourriel Application .........................................................................7 des règles définies par l'utilisateur 1.5 Interface ........................................................................7 utilisateur 2. Installation ..................................................8 2.1 Installation ........................................................................9 standard 2.2 Installation ........................................................................10 personnalisée 2.3 Serveur ........................................................................12 de terminal 2.4 Mise........................................................................12 à niveau vers une version plus récente 2.5 Rôles........................................................................13 du serveur Exchange - Edge et Hub 2.6 Rôles........................................................................13 Exchange Server 2013 2.7 Installation ........................................................................14 dans un environnement avec grappes 2.8 Licence ........................................................................15 2.9 Configuration ........................................................................17 post-installation 3. ESET Mail Security - Protection de Microsoft Exchange Server ..................................................19 3.1 Paramètres ........................................................................19 généraux 3.1.1 3.1.1.1 3.1.1.2 3.1.2 3.1.2.1 3.1.2.2 3.1.3 3.1.4 3.1.4.1 3.1.5 Microsoft .........................................................................19 Exchange Server VSAPI ........................................................................19 Agent ........................................................................20 de transport Règles .........................................................................21 Ajouter ........................................................................22 une nouvelle règle Actions ........................................................................23 prises au moment d'appliquer les règles Fichiers .........................................................................24 journaux Quarantaine .........................................................................26 des messages Ajout ........................................................................27 d'une nouvelle règle de mise en quarantaine Performance .........................................................................28 3.2 Paramètres ........................................................................28 antivirus et antispyware 3.4 3.2.1 Microsoft .........................................................................29 Exchange Server 3.2.1.1 VSAPI ........................................................................29 4. 3.2.1.1.1 Microsoft ..........................................................................29 Exchange Server 5.5 (VSAPI 1.0) 3.2.1.1.1.1 Actions .........................................................................30 3.2.1.1.1.2 Performance .........................................................................30 4.1 3.2.1.1.2 Microsoft ..........................................................................30 Exchange Server 2000 (VSAPI 2,0) 3.2.1.1.2.1 Actions .........................................................................31 3.2.1.1.2.2 Performance .........................................................................31 3.2.1.1.3 Microsoft ..........................................................................32 Exchange Server 2003 (VSAPI 2,5) 3.2.1.1.3.1 Actions .........................................................................32 3.2.1.1.3.2 Performance .........................................................................33 3.2.1.1.4 Microsoft ..........................................................................33 Exchange Server 2007/2010 (VSAPI 2.6) 3.2.1.1.4.1 Actions .........................................................................34 3.2.1.1.4.2 Performance .........................................................................34 3.2.1.1.5 Agent ..........................................................................35 de transport 3.2.2 Actions .........................................................................36 3.2.3 Alertes .........................................................................36 et notifications 3.2.4 Exclusions .........................................................................37 automatiques 3.3 Protection ........................................................................38 antipourriel 3.3.1 3.3.1.1 3.3.1.2 3.3.2 Microsoft .........................................................................39 Exchange Server Agent ........................................................................39 de transport Connecteur ........................................................................40 POP3 et protection antipourriel Moteur .........................................................................41 antipourriel 3.3.2.1.1 3.3.2.1.1.1 3.3.2.1.1.2 3.3.2.1.1.1 3.3.2.1.2 3.3.2.1.3 3.3.2.1.3.1 3.3.2.1.3.1 3.3.2.1.3.2 3.3.2.1.3.3 3.3.2.1.3.1 3.3.2.1.3.4 3.3.2.1.4 3.3.2.1.4.1 3.3.2.1.4.2 3.3.2.1.4.3 3.3.2.1.4.4 3.3.2.1.4.5 3.3.2.1.4.6 3.3.2.1.4.7 3.3.2.1.4.8 3.3.2.1.4.9 3.3.2.1.5 3.3.2.1.5.1 3.3.2.1.5.1 3.3.2.1.5.2 3.3.2.1.5.1 3.3.2.1.5.2 3.3.2.1.5.3 3.3.2.1.5.1 3.3.2.1.6 3.3.2.1.7 3.3.2.1.8 3.3.2.1.8.1 3.3.2.1.8.2 3.3.2.1.9 3.3.2.1.10 3.3.2.1.11 3.3.2.1.11.1 3.3.2.1.11.2 3.3.2.1.11.3 3.3.2.1.11.4 3.3.2.1.12 3.3.2.1.13 3.3.2.1.14 3.3.3 Configuration des paramètres du moteur antipourriel ........................................................................41 Analyse ..........................................................................41 Échantillons .........................................................................42 SpamCompiler .........................................................................42 Liste .........................................................................42 des fichiers de mémoire cache Apprentissage ..........................................................................43 Règles ..........................................................................43 Pondération .........................................................................44 des règles Ajout .........................................................................44 d'une pondération de règle Liste .........................................................................44 des fichiers de règles téléchargés Pondération .........................................................................44 de catégories Ajout .........................................................................44 d'une pondération de catégorie Liste .........................................................................45 des règles personnalisées Filtrage ..........................................................................45 Expéditeurs .........................................................................45 autorisés Expéditeurs .........................................................................45 bloqués Adresses .........................................................................45 IP autorisées Adresses .........................................................................46 IP ignorées Adresses .........................................................................46 IP bloquées Domaines .........................................................................46 autorisés Domaines .........................................................................46 ignorés Domaines .........................................................................46 bloqués Faux .........................................................................46 expéditeurs Vérification ..........................................................................46 RBL .........................................................................47 (Liste noire en temps réel) Liste .........................................................................47 de serveurs RBL LBL .........................................................................47 (Liste noire des dernières IP) Liste .........................................................................47 des serveurs LBL Liste .........................................................................47 des adresses IP sautées DNSBL .........................................................................47 (Liste de blocage DNS) Liste .........................................................................48 de serveurs DNSBL DNS ..........................................................................48 Note ..........................................................................48 Appâts ..........................................................................49 pour le pourriel Adresses .........................................................................49 appâts pour le pourriel Adresses .........................................................................49 considérées comme inexistantes Communication ..........................................................................49 Performance ..........................................................................49 Paramètres ..........................................................................50 régionaux Liste .........................................................................50 des langues d'origine Liste .........................................................................51 des pays d'origine Liste .........................................................................56 des adresses bloquées Liste .........................................................................56 des jeux de caractères bloqués Fichiers ..........................................................................56 journaux Statistiques ..........................................................................56 Options ..........................................................................56 Alertes .........................................................................57 et notifications FAQ........................................................................57 ESET Mail Security - Protection du serveur ..................................................61 Protection ........................................................................61 antivirus et antispyware 4.1.1 Protection .........................................................................61 en temps réel du système de fichiers 4.1.1.1 Configuration ........................................................................61 du contrôle 4.1.1.1.1 Supports ..........................................................................62 à analyser 4.1.1.1.2 Date de l'analyse (analyse déclenchée par un événement) ..........................................................................62 4.1.1.1.3 Options ..........................................................................62 d'analyse avancée 4.1.1.2 Niveaux ........................................................................63 de nettoyage 4.1.1.3 Quand faut-il modifier la configuration la protection ........................................................................63 en temps réel 4.1.1.4 Vérification ........................................................................64 de la protection en temps réel 4.1.1.5 Que faire si la protection en temps réel ne fonctionne ........................................................................64 pas 4.1.2 Protection .........................................................................65 du client de messagerie 4.1.2.1 Contrôle ........................................................................65 POP3 4.1.2.1.1 Compatibilité ..........................................................................66 4.1.2.2 Intégration ........................................................................66 aux clients de messagerie 4.1.2.2.1 Ajout ..........................................................................67 d'une étiquette au corps d'un message 4.1.2.3 Suppression ........................................................................67 d'infiltrations 4.1.3 4.1.3.1 4.1.3.1.1 4.1.3.1.2 4.1.4 4.1.4.1 4.1.4.1.1 4.1.4.1.2 4.1.4.2 4.1.4.3 4.1.4.4 4.1.5 4.1.6 4.1.6.1 4.1.6.1.1 4.1.6.1.2 4.1.7 4.1.7.1 4.1.7.2 4.1.7.3 4.1.7.4 4.1.7.5 4.1.7.6 4.1.8 Protection .........................................................................68 de l'accès Web HTTP, ........................................................................68 HTTPS Gestion ..........................................................................69 d'adresse Mode ..........................................................................70 actif Analyse .........................................................................71 de l'ordinateur à la demande Type ........................................................................72 d'analyse Analyse ..........................................................................72 intelligente Analyse ..........................................................................72 personnalisée Cibles ........................................................................73 à analyser Profils ........................................................................73 d'analyse Ligne ........................................................................74 de commande Performance .........................................................................76 Filtrage .........................................................................76 des protocoles SSL........................................................................76 Certificats ..........................................................................77 approuvés Certificats ..........................................................................77 exclus Configuration .........................................................................77 du moteur ThreatSense Configuration ........................................................................78 des objets Options ........................................................................78 Nettoyage ........................................................................80 Extensions ........................................................................81 Limites ........................................................................81 Autre ........................................................................82 Une .........................................................................82 infiltration est détectée 4.2 Mise........................................................................83 à jour du programme 4.2.1 4.2.1.1 4.2.1.2 4.2.1.2.1 4.2.1.2.2 4.2.1.2.3 4.2.1.2.4 4.2.1.2.4.1 4.2.1.2.4.2 4.2.2 Configuration .........................................................................85 des mises à jour Profils ........................................................................86 de mise à jour Configuration ........................................................................86 avancée des mises à jour Mode ..........................................................................86 de mise à jour Serveur ..........................................................................87 mandataire Connexion ..........................................................................89 au réseau local Création ..........................................................................90 de copies de mises à jour - miroir Mise .........................................................................91 à jour à partir du miroir Résolution .........................................................................92 des problèmes de miroir de mise à jour Comment .........................................................................92 créer des tâches de mise à jour 4.3 Planificateur ........................................................................93 4.3.1 Pourquoi .........................................................................94 planifier des tâches 4.3.2 Création .........................................................................94 de nouvelles tâches 4.4 Quarantaine ........................................................................95 4.4.1 Mise .........................................................................95 de fichiers en quarantaine 4.4.2 Restaurer .........................................................................96 depuis la quarantaine 4.4.3 Soumission .........................................................................96 de fichiers de quarantaine 4.5 Fichiers ........................................................................97 journaux 4.5.1 4.5.2 4.5.3 Filtrage .........................................................................101 des journaux Trouver .........................................................................102 dans le journal Maintenance .........................................................................104 des journaux 4.6 ESET ........................................................................105 SysInspector 4.6.1 4.6.1.1 4.6.2 4.6.2.1 4.6.2.2 4.6.2.2.1 4.6.2.3 4.6.3 4.6.4 4.6.4.1 4.6.4.2 4.6.4.3 4.6.5 4.6.6 Introduction .........................................................................105 à ESET SysInspector Lancement ........................................................................105 de ESET SysInspector Interface .........................................................................106 utilisateur et utilisation de l'application Contrôles ........................................................................106 du programme Naviguer ........................................................................107 dans ESET SysInspector Raccourcis ..........................................................................108 clavier Comparer ........................................................................110 Paramètres .........................................................................111 de la ligne de commande Script .........................................................................111 de service Génération ........................................................................112 d'un script de service Structure ........................................................................112 du script de service Exécution ........................................................................114 des scripts de service FAQ .........................................................................114 ESET .........................................................................116 SysInspector dans ESET Mail Security 4.7 ESET ........................................................................116 SysRescue 4.7.1 4.7.2 4.7.3 4.7.4 4.7.4.1 4.7.4.2 Configuration .........................................................................116 requise Comment .........................................................................117 créer un CD de sauvetage Sélection .........................................................................117 de cible Paramètres .........................................................................117 Dossiers ........................................................................117 Antivirus ........................................................................118 ESET 4.7.4.3 4.7.4.4 4.7.4.5 4.7.4.6 4.7.5 4.7.5.1 Paramètres ........................................................................118 avancés Protocole ........................................................................118 Internet Périphérique ........................................................................119 USB d'amorçage Graver ........................................................................119 Utilisation .........................................................................119 de ESET SysRescue Utilisation ........................................................................119 de ESET SysRescue 4.8 Options ........................................................................120 de l'interface utilisateur 4.8.1 4.8.2 Alertes .........................................................................121 et notifications Désactiver l'interface graphique sur le serveur de terminal .........................................................................122 4.9 eShell ........................................................................123 4.9.1 4.9.2 Utilisation .........................................................................124 Commandes .........................................................................127 4.10 Importer ........................................................................129 et exporter les paramètres 4.11 ThreatSense.Net ........................................................................129 4.11.1 4.11.2 4.11.3 Fichiers .........................................................................131 suspects Statistiques .........................................................................132 Soumission .........................................................................133 4.12 Administration ........................................................................134 à distance 4.13 Licences ........................................................................135 5. Glossaire ..................................................136 5.1 Types ........................................................................136 d'infiltrations 5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 5.1.7 5.1.8 Virus .........................................................................136 Vers .........................................................................136 Chevaux .........................................................................137 de Troie Rootkits .........................................................................137 Logiciels .........................................................................137 publicitaires Logiciel .........................................................................138 espion Applications .........................................................................138 potentiellement dangereuses Applications .........................................................................138 potentiellement indésirables 5.2 Courriel ........................................................................139 5.2.1 5.2.2 5.2.3 5.2.4 5.2.4.1 5.2.4.2 5.2.4.3 5.2.4.4 5.2.4.5 Publicités .........................................................................139 Canulars .........................................................................139 Hameçonnage .........................................................................140 Reconnaissance .........................................................................140 des pourriels Règles ........................................................................140 Filtre ........................................................................141 bayésien Liste ........................................................................141 blanche Liste ........................................................................141 noire Contrôle ........................................................................141 côté serveur 1. Introduction ESET Mail Security 4 pour Microsoft Exchange Server est une solution intégrée qui protège les boîtes aux lettres contre différents types de contenu malveillant, y compris les pièces jointes infectées par des vers ou des chevaux de Trois, les documents contenant des scripts nuisibles, le hameçonnage et le pourriel. ESET Mail Security comprend trois types de protection : antivirus, antipourriel et l'application de règles définies par l'utilisateur. ESET Mail Security filtre le contenu malveillant au niveau du serveur de messagerie, avant qu'il n'entre dans la boîte de réception du client de messagerie. ESET Mail Security prend en charge les versions 2000 et ultérieures de Microsoft Exchange Server, ainsi qu'un serveur Microsoft Exchange dans un environnement avec grappes. Les rôles particuliers (boîte aux lettres, Hub, Edge) sont également pris en charge dans les versions plus récentes du logiciel (Microsoft Exchange Server 2007 et versions ultérieures). Vous pouvez utiliser ESET Remote Administrator pour gérer également ESET Mail Security à distance. En plus d'offrir une protection à Microsoft Exchange Server, ESET Mail Security comprend également tous les outils pour assurer la protection du serveur lui-même (protection résidence, protection de l'accès Web, protection du client de messagerie et antipourriel). 1.1 Nouveautés de la version 4.5 Comparé à la version 4.3 de ESET Mail Security, les nouveautés et améliorations suivantes ont été introduites dans la version 4.5 : Paramètres antipourriel - facilement accessibles à partir de l'interface utilisateur graphique, ce qui permet aux administrateurs d'effectuer beaucoup plus simplement les modifications requises Prise en charge de Microsoft Exchange Server 2013 Prise en charge de Microsoft Windows Server 2012 / 2012 R2 1.2 Configuration minimale requise Systèmes d'exploitation pris en charge : Microsoft Windows 2000 Server Microsoft Windows Server 2003 (x86 et x64) Microsoft Windows Server 2008 (x86 et x64) Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Small Business Server 2003 (x86) Microsoft Windows Small Business Server 2003 R2 (x86) Microsoft Windows Small Business Server 2008 (x64) Microsoft Windows Small Business Server 2011 (x64) Versions de Microsoft Exchange Server prises en charge : Microsoft Exchange Server 2000 SP1, SP2, SP3 Microsoft Exchange Server 2003 SP1, SP2 Microsoft Exchange Server 2007 SP1, SP2, SP3 Microsoft Exchange Server 2010 SP1, SP2, SP3 Microsoft Exchange Server 2013 La configuration matérielle requise dépend des versions du système d'exploitation et de Microsoft Exchange Server utilisées. Veuillez lire la documentation de produit de Microsoft Exchange Server pour obtenir plus de détails sur la configuration matérielle requise. 5 1.3 Méthodes utilisées Deux méthodes indépendantes sont utilisées pour analyser les courriels : Analyse des boîtes aux lettres par VSAPI 6 Filtrage de message STMP au niveau du serveur 6 1.3.1 Analyse des boîtes aux lettres par VSAPI Le processus d'analyse des boîtes aux lettres est déclenché et contrôlé par le serveur Microsoft Exchange. Les messages conservés dans la base de données du magasin Microsoft Exchange Server sont continuellement analysés. Le processus d'analyse peut être déclenché par l'une des situations suivantes, en fonction de la version de Microsoft Exchange Server et de l'interface VSAPI utilisées et des paramètres définis par l'utilisateur : lorsque l'utilisateur accède à sa messagerie, par exemple, dans un client de messagerie (le courriel est toujours analysé en fonction de la base de données des signatures de virus la plus récente). En arrière-plan, lorsque le taux d'utilisation de Microsoft Exchange Server est bas. De façon proactive (en fonction de l'algorithme interne de Microsoft Exchange Server). L'interface VSAPI est actuellement utilisée pour l'analyse antivirus et la protection basée sur les règles. 1.3.2 Filtrage de message STMP au niveau du serveur Le filtrage STMP de niveau serveur est effectué par un plugiciel spécialisé. Dans Microsoft Exchange Server 2000 et 2003, le plugiciel en question (Récepteur d'événement) est enregistré sur le serveur SMTP dans le cadre des services Internet IIS. Dans Microsoft Exchange Server 2007/2010, le plugiciel est plutôt enregistré comme un agent de transport selon le rôle Edge ou Hub attribué à Microsoft Exchange Server. Le filtrage SMTP au niveau du serveur effectué par un agent de transport offre une protection antivirus, antipourriel et en fonction des règles définies par l'utilisateur. Contrairement au filtrage par VSAPI, le filtrage par SMTP au niveau du serveur est effectué avant que les messages analysés ne soient remis dans la boîte aux lettres du serveur Microsoft Exchange. 1.4 Types de protection Il existe trois types de protection : 1.4.1 Protection antivirus La protection antivirus est l'une des fonctions de base du produit ESET Mail Security. La protection antivirus protège le système des attaques malveillantes en contrôlant les échanges de fichiers et de courrier, ainsi que les communications Internet. Si une menace comportant du code malveillant est détectée, le module Antivirus peut alors l'éliminer en la bloquant, avant de nettoyer, de supprimer ou de déplacer le fichier dans la Quarantaine 95 . 1.4.2 Protection antipourriel La protection antipourriel intègre plusieurs technologies (RBL, DNSBL, empreintes, vérification de la réputation, analyse du contenu, filtre bayésien, règles, ajout manuel à la liste blanche et à la liste noire, etc.) pour détecter le plus grand nombre possible de menaces par courriel. Le débit du moteur antipourriel est la valeur de probabilité de pourriel d'un message donné, exprimée en pourcentage (0 à 100). Un autre composant du module de protection antipourriel est la technique d'ajout à la liste grise (désactivée par défaut). Cette technique s'appuie sur la spécification RFC 821 qui énonce que puisque SMTP est un protocole de communication non fiable, tout agent de transfert de messages (MTA) devrait tenter, à plusieurs reprises, de remettre un message après un échec temporaire de remise. Une caractéristique importante du pourriel consiste dans des livraisons uniques (grâce à des outils spécialisés) vers une liste globale d'adresses courriel générée automatiquement. Un serveur qui utilise les listes grises calcule une valeur de contrôle (code de hachage) pour l'adresse de l'expéditeur de l'enveloppe, l'adresse du destinataire de l'enveloppe et l'adresse IP du MTA de l'expéditeur. Si le serveur ne peut trouver de valeur de contrôle pour ce triplet dans sa propre base de données, il refusera alors le message et enverra un code d'échec temporaire (échec temporaire, 451, par ex.). Un serveur légitime essayera de nouveau de livrer le message après un certain temps. La valeur de contrôle du triplet sera alors 6 ajoutée à la base de données des connexions vérifiées lors de la deuxième tentative, ce qui permettra aux messages présentant les caractéristiques appropriées de pouvoir être ensuite remis au destinataire. 1.4.3 Application des règles définies par l'utilisateur La protection basée sur des règles définies par l'utilisateur est disponible pour l'analyse effectuée tant par VSAPI que par l'agent de transport. Vous pouvez utiliser l'interface utilisateur de ESET Mail Security pour créer des règles individuelles pouvant aussi être combinées. Si une règle utilise plusieurs conditions, ces conditions seront liées à l'aide de l'opérateur logique ET. Par conséquent, la règle ne sera exécutée que si toutes les conditions sont remplies. Si plusieurs règles sont crées, l'opérateur logique OU sera appliqué, ce qui signifie que le programme exécutera la première règle auxquelles satisfont les conditions. Dans la séquence d'analyse, la première technique utilisée est l'ajout à la liste grise - si elle est activée. Les procédures suivantes exécuteront toujours les techniques suivantes : protection basée sur des règles définies par l'utilisateur, suivie d'une analyse antivirus et, en dernier lieu, de l'analyse antipourriel. 1.5 Interface utilisateur ESET Mail Security possède une interface utilisateur graphique (IUG) conçue pour être aussi intuitive que possible. Elle offre aux utilisateurs un accès rapide et facile aux principales fonctions du programme. En plus de l'IUG principale, le logiciel comprend également une arborescence de configuration avancée à laquelle l'utilisateur peut accéder où qu'il se trouve dans le programme en appuyant sur la touche F5. Dès que vous appuyez sur la touche F5, la fenêtre de l'arborescence de configuration avancée s'ouvre et affiche une liste des fonctions du logiciel pouvant être configurées. Vous pourrez alors configurer les paramètres et options selon vos besoins. La section de l'arborescence est divisée en deux sections : Protection du serveur et Protection de l'ordinateur. La section Protection du serveur contient des éléments liés aux paramètres de ESET Mail Security, des paramètres particuliers axés sur la protection du serveur Microsoft Exchange. La section Protection de l'ordinateur contient les éléments configurables de la protection du serveur. 7 2. Installation Après l'achat, le programme d'installation de ESET Mail Security, peut être téléchargé du site web d'ESET (www. eset.com) comme paquet .msi. Veuillez noter que vous devez exécuter le fichier d'installation à partir du compte Administrateur intégré Tout autre utilisateur, malgré le fait qu'il soit membre du groupe Administrateurs, n'aura pas des droits d'accès suffisants. Vous devez donc utiliser le compte Administrateur intégré, car vous ne pourrez pas terminer l'installation si vous utilisez un compte autre que Administrateur. Il y a deux façons d'exécuter le fichier d'installation : Vous pouvez ouvrir localement une session en utilisant les identifiants du compte Administrateur, puis exécuter le fichier d'installation. Vous pouvez avoir ouvert une session avec les identifiants d'un autre utilisateur, mais vous devez ouvrir l'invite de commandes avec Exécuter comme... et entrer les identifiants du compte Administrateur pour que cmd fonctionne en mode Administrateur. Vous devez ensuite entrer la commande pour exécuter le fichier d'installation (soit msiexec /i emsx_nt64_ENU.msi , mais vous devez remplacer emsx_nt64_ENU.msi par le nom de fichier exact du fichier d'installation msi que vous avez téléchargé) Une fois le programme d'installation lancé, l'Assistant Installation vous guidera dans les opérations de configuration de base à effectuer. Deux types d'installation sont disponibles, avec différents niveaux de détails de configuration : 1. Installation standard 2. Installation personnalisée REMARQUE : Il est fortement recommandé que vous installiez ESET Mail Security sur un système d'exploitation nouvellement configuré et installé, si possible. Cependant, si vous devez l'installer sur un système existant, le mieux à faire consiste à désinstaller la version antérieure de ESET Mail Security, à redémarrer le serveur et à installer par la suite la nouvelle version de ESET Mail Security. 8 2.1 Installation standard Le mode d'installation standard installe rapidement la configuration minimale de ESET Mail Security lors de l'installation. L'installation standard est le mode d'installation par défaut, donc l'option recommandée si vous n'avez encore aucune exigence particulière quant aux paramètres. Une fois que ESET Mail Security a été installé sur votre système, vous pouvez modifier en tout temps les options et paramètres de configuration. Ce guide d'utilisateur décrit ces paramètres et fonctionnalités en détail. Les paramètres du mode d'installation standard garantissent un excellent niveau de sécurité combiné à une simplicité d'installation et à une performance élevée du système. Après avoir sélectionné le mode d'installation et avoir cliqué sur suivant, vous serez invité à entrer votre nom d'utilisateur et votre mot de passe. Ces deux éléments jouent un rôle important dans la protection continue de votre système puisque tant le nom d'utilisateur que le mot de passe permettent d'effectuer la mise à niveau 83 automatique de la base de données des signatures de virus. Entrez le nom d'utilisateur et le mot passe que vous avez reçus, après l'achat ou l'enregistrement du produit, dans les champs correspondants. Si vos nom d'utilisateur et mot de passe ne sont pas disponibles, vous pourrez les entrer directement dans le programme, plus tard. Dans la prochaine étape - Gestionnaire de licences - Ajoutez le fichier de licence que vous avez reçu par courriel, une fois le produit acheté. La prochaine étape permettra de configurer le système d'avertissement anticipé de ThreatSense.Net. Le système d'avertissement anticipé ThreatSense.Net contribue à garantir qu'ESET est immédiatement et continuellement informé des nouvelles infiltrations dans le but de protéger ses clients. Le système permet de soumettre de nouvelles menaces au laboratoire d'ESET où elles seront alors analysées, traitées puis ajoutées à la base de données des signatures de virus. Par défaut, la case Activer le système d'avertissement anticipé de ThreatSense.Net est cochée. Cliquez sur Configuration avancée pour modifier les paramètres détaillés de soumission de fichiers suspects. La prochaine étape du processus d'installation consiste à configurer la Détection des applications potentiellement indésirables. Les applications potentiellement indésirables ne sont pas nécessairement malveillantes, mais peuvent souvent affecter le comportement du système d'exploitation. Veuillez consulter la section Applications potentiellement indésirables 138 pour plus de détails. Ces applications sont souvent associées à d'autres programmes et peuvent être difficiles à remarquer lors de l'installation. Bien que ces applications affichent habituellement une notification pendant l'installation, elles peuvent facilement s'installer sans votre consentement. Cochez l'option Activer la détection d'applications potentiellement indésirables pour permettre à ESET Mail Security de détecter ce type d'application. Si vous ne voulez pas utiliser cette fonctionnalité, cochez plutôt la case Désactiver la détection des applications potentiellement indésirables. La dernière étape de l'installation standard consiste à confirmer l'installation en cliquant sur le bouton Installer. 9 2.2 Installation personnalisée L'installation personnalisée est conçue pour les personnes qui voudraient configurer ESET Mail Security pendant le processus d'installation. Après avoir choisi le mode d'installation et avoir cliqué sur Suivant, vous serez invité à sélectionner une destination pour l'installation. Le programme s'installe, par défaut, dans C:\Program Files\ESET\ESET Mail Security. Cliquez sur Parcourir… pour changer la destination (cette option n'est pas recommandée). Entrez ensuite votre nom d'utilisateur et votre mot de passe. Cette étape est la même que dans le mode d'installation standard (voir la rubrique Installation standard 9 ). À l'étape suivante, celle du Gestionnaire de licences, ajoutez le fichier de licence que vous avez reçu par courriel après avoir acheté le produit. Après avoir entrés vos nom d'utilisateur et mot de passe, cliquez sur Suivant pour configurer votre connexion Internet. Si vous utilisez un serveur mandataire, assurez-vous qu'il soit correctement configuré pour que les mises à jour du programme fonctionnent correctement. Si vous souhaitez que le serveur mandataire soit automatiquement configuré, sélectionnez le paramètre par défaut J'ignore si ma connexion Internet utilise un serveur mandataire. Utiliser les mêmes paramètres qu'Internet Explorer (option recommandée) et cliquez sur Suivant. Si vous n'utilisez pas de serveur mandataire, sélectionnez l'option Je n'utilise pas de serveur mandataire. 10 Vous pouvez configurer manuellement les détails du serveur mandataire, si vous préférez le faire vous-même. Pour configurer les paramètres de votre serveur mandataire, sélectionnez J'utilise un serveur mandataire, puis cliquez sur Suivant. Entrez l'adresse IP ou l'adresse URL de votre serveur mandataire dans le champ Adresse. Dans le champ Port, précisez le port sur lequel le serveur mandataire accepte les connexions (3128 par défaut). Si votre serveur mandataire exige une authentification, entrez un nom d'utilisateur et un mot de passe valides donnant accès à ce serveur. Les paramètres du serveur mandataire peuvent être copiés depuis Internet Explorer. Une fois les détails du serveur mandataire entrés, cliquez sur Appliquer et confirmez la sélection. Cliquez sur Suivant pour passer à Configurer les paramètres de mise à jour automatique. Cette étape vous permet de choisir de quelle façon les mises à jour automatiques des composants du programme seront effectuées sur votre système. Cliquez sur Changer... pour accéder aux paramètres avancés. Si vous ne voulez pas que les composants du programme soient mis à jour, sélectionnez Ne jamais mettre à jour les composants du programme. Sélectionnez l'option Demander avant de télécharger les composants du programme pour qu'une fenêtre de confirmation s'affiche avant que les composants du programme ne soient téléchargés. Pour télécharger automatiquement les mises à niveau des composants du programme, sélectionnez l'option Toujours mettre à jour les composants du programme. REMARQUE : Le redémarrage du système est généralement nécessaire après la mise à jour des composants du programme. Il est recommandé de cocher l'option Ne jamais redémarrer l'ordinateur. Les plus récentes mises à jour des composants n'entreront en vigueur qu'après le prochain redémarrage du serveur (qu'il soit planifié 93 , manuel ou autrement). Vous pouvez choisir Proposer le redémarrage de l'ordinateur si nécessaire si vous voulez recevoir un rappel vous invitant à redémarrer le serveur, une fois les composants mis à jour. Ce paramètre vous permet de redémarrer immédiatement le serveur ou de retarder le redémarrage pour l'effectuer à un autre moment. La fenêtre d'installation suivante comprend l'option vous permettant de définir un mot de passe pour protéger les paramètres de votre programme. Cochez l'option Protéger la configuration par mot de passe et choisissez un mot de passe que vous entrerez dans les champs Nouveau mot de passe et Confirmez le mot de passe. Les deux prochaines étapes de l'installation, Système d'avertissement anticipé ThreatSense.Netet Détection des applications potentiellement indésirables sont les mêmes que dans l'installation standard (voir la rubrique Installation standard 9 ). Cliquez sur Installer dans la fenêtre Prêt pour l'installation pour terminer l'installation. 11 2.3 Serveur de terminal Si vous avez installé ESET Mail Security sur Windows Server utilisé comme serveur de terminal, vous pourriez vouloir désactiver l'interface graphique de ESET Mail Security pour l'empêcher de démarrer chaque fois qu'un utilisateur ouvre une session. Se reporter à la section Désactiver l'interface graphique sur le serveur de terminal 122 pour connaître les étapes précises à effectuer pour la désactiver. 2.4 Mise à niveau vers une version plus récente Des versions plus récentes de ESET Mail Security sont émises afin d'améliorer le logiciel ou de corriger des problèmes qui ne peuvent être résolus par les mises à niveau automatiques du module du programme. Vous pouvez utiliser les méthodes suivantes pour effectuer la mise à niveau vers la version la plus récente d'ESET Mail Security : 1. mise à niveau automatique par l'entremise de la mise à jour de composants du programme (PCU) Puisque les mises à jour de composants du programme sont envoyées à tous les utilisateurs et qu'elles peuvent avoir certaines répercussions sur les configurations système, elles ne sont émises qu'après une longue période de test pour assurer une mise à niveau sans heurts pour toutes les configurations système possibles. 2. Manuellement, par exemple lorsque vous devez effectuer une mise à niveau vers une nouvelle version immédiatement après l'émission de celle-ci ou si vous voulez passer à la prochaine génération de ESET Mail Security (en passant, par exemple, de la version 4.2 ou 4.3 à la version 4.5). Il existe deux façons d'effectuer une mise à niveau manuelle vers une nouvelle version, soit par remplacement (la version la plus récente sera installée par-dessus la version actuelle) ou effectuant une nouvelle installation (la version antérieure sera d'abord désinstallée avant que la nouvelle version ne soit installée). Pour effectuer une mise à niveau manuelle : 1. Mise à niveau par remplacement : Installez la plus récente version sur la version actuelle de ESET Mail Security en suivant les étapes présentées dans le chapitre Installation 8 . Tous les paramètres actuels (y compris les paramètres antipourriel) seront automatiquement importés dans la nouvelle version lors de l'installation de cette dernière. 2. Nouvelle installation : a) Utilisez la fonctionnalité Importation et exportation des paramètres 129 pour exporter votre configuration/ vos paramètres dans un fichier xml. b) Ouvrez ce fichier xml dans un éditeur xml ou dans un éditeur de texte prenant xml en charge (par exemple, WordPad, Nodepad++, etc.) avant de modifier le numéro SECTION ID "1000404" afin qu'il corresponde à ceci : <SECTION ID="1000404"> c) Consultez cet article de la base de connaissances d'où vous pourrez télécharger l'outil EMSX AntispamSettingsExport. Enregistrer EMSX_AntispamSettingsExport.exe sur le serveur Exchange sur lequel vous effectuez la mise à niveau à la plus récente version de ESET Mail Security. d) Exécutez l'outil EMSX_AntispamSettingsExport.exe , ce qui créera un fichier.cfg.xml contenant les paramètres antipourriel configurés dans votre version actuelle de ESET Mail Security. e) Téléchargez ensuite le fichier d'installation msi pour obtenir la plus récente version de ESET Mail Security. f) Copiez le fichier cfg.xml créé par l'outil EMSX AntispamSettingsExport dans le dossier où vous avez enregistré le fichier d'installation msi pour ESET Mail Security (par ex., emsx_nt64_ENU.msi). g) Désinstallez ensuite votre version actuelle de ESET Mail Security. h) Exécutez le fichier d'installation msi pour ESET Mail Security 4.5. Les paramètres de la protection antipourriel exportés dans le fichier cfg.xml seront alors automatiquement importés dans la nouvelle version. i) Une fois l'installation terminée, utilisez la fonctionnalité Importation et exportation des paramètres 129 pour importer la configuration/les paramètres que vous avez modifiés et enregistrés aux étapes a) et b). Modifiez ensuite les paramètres avec l'éditeur xml pour pouvoir les utiliser dans la nouvelle version de ESET Mail Security. 12 Une fois effectuées les différentes étapes indiquées ci-dessus, la nouvelle version d'ESET Mail Security sera installée sur votre système, avec vos paramètres de configuration personnalisés antérieurs. Pour plus de détails sur le processus de mise à niveau, consultez cet article de la base de connaissances. REMARQUE : les deux processus de mise à niveau manuelle (remplacement et nouvelle installation) ne s'appliquent qu'à la mise à niveau de la version 4.2 ou 4.3 de ESET Mail Security à la version 4.5 de ESET Mail Security. 2.5 Rôles du serveur Exchange - Edge et Hub Par défaut, les fonctionnalités antipourriel sont activées sur le serveur de Transport Edge, alors qu'elles sont désactivées sur le serveur de Transport Hub. Dans une organisation Exchange comprenant un serveur de Transport Edge, cette configuration est la plus appropriée. Il est recommandé que le serveur de Transport Edge exécutant la protection antipourriel de ESET Mail Security soit configuré afin de filtrer les messages avant qu'ils ne soient acheminés vers l'organisation Exchange. Le rôle Edge, cependant, est l'endroit de choix pour l'analyse antipourriel, parce qu'il permet à ESET Mail Security de rejeter le pourriel tôt dans le processus sans charger inutilement les couches du réseau. Grâce à cette configuration, les messages entrants seront filtrés par ESET Mail Security sur le serveur Transport Edge pour qu'ainsi, ils puissent être déplacés vers le serveur Transport Hub sans devoir être filtrés de nouveau. Cependant, si votre organisation n'utilise pas de serveur de Transport Edge et ne possède qu'un serveur de Transport Hub, nous vous recommandons d'activer les fonctionnalités antipourriel du serveur de Transport Hub qui reçoit les messages entrants de l'Internet par SMTP. 2.6 Rôles Exchange Server 2013 L'architecture de Exchange Server 2013 est différente de celle des versions antérieures de Microsoft Exchange. Exchange 2013 ne comprend que deux rôles pour le serveur, soit serveur d'accès au client et serveur de boîte aux lettres. Si vous comptez protéger Microsoft Exchange 2013 avec ESET Mail Security, assurez-vous de l'installer sur un système exécutant Microsoft Exchange 2013 avec le rôle serveur de boîtes aux lettres. Le rôle serveur d'accès au client n'est pas pris en charge par ESET Mail Security. Il existe une exception si vous comptez installer ESET Mail Security sur Windows SBS (Small Business Server). Dans le cas de Windows SBS, tous les rôles Exchange s'exécutent sur le même serveur. ESET Mail Security fonctionnera donc correctement et fournira tous ses types de protection, y compris celles du serveur de messagerie. Cependant, si vous installez ESET Mail Security sur un système exécutant uniquement le rôle serveur d'accès au client (serveur d'accès au client dédié), les fonctionnalités les plus importantes de ESET Mail Security ne fonctionneront pas, en particulier celles du serveur de messagerie. Dans ce cas, seule la protection en temps réel du système de fichiers fonctionnera et certains composants qui appartiennent à la Protection de l'ordinateur/ 61 . Il n'y aura alors aucune protection du serveur de messagerie. C'est pour cette raison qu'il n'est pas recommandé d'installer ESET Mail Security sur un serveur avec le rôle serveur d'accès au client. Comme indiqué ci-dessus, cela ne s'applique pas à Windows SBS (Small Business Server). REMARQUE: En raison de certaines restrictions techniques de Microsoft Exchange 2013, ESET Mail Security ne prend pas en charge le rôle serveur d'accès au client (CAS). 13 2.7 Installation dans un environnement avec grappes Une grappe est un groupe de serveurs (un serveur relié à une grappe est appelé un « nœud ») qui fonctionne comme un seul serveur. Ce type d'environnement offre accessibilité élevé et fiabilité des services disponibles. Si un des nœuds de la grappe tombe en panne ou devient inaccessible, son fonctionnement est automatiquement couvert par un autre nœud de la grappe. ESET Mail Security prend complètement en charge les serveurs Microsoft Exchange connectés en grappe. Afin que ESET Mail Security fonctionne correctement, il est important que chaque nœud de la grappe contienne la même configuration. Pour ce faire, on peut appliquer une politique à l'aide de ESET Remote Administrator (ERA). Nous décrirons, dans les sections suivantes, la façon d'installer et de configurer ESET Mail Security afin qu'il utilise ERA sur des serveurs dans un environnement avec grappes. Installation Cette section explique la méthode d'installation poussée. Cette méthode n'est cependant pas la seule permettant d'installer un produit sur l'ordinateur cible. Pour plus d'information sur les autres méthodes d'installation, se reporter au guide d'utilisateur de ESET Remote Administrator. 1) Téléchargez le module d'installation msi ESET Mail Security du site Web d'ESET sur l'ordinateur où ERA est installé. Dans ERA > Installation à distance (Remote Install) tab > Ordinateurs, cliquez à droite sur tout ordinateur dans la liste avant de sélectionner Gestion des modules dans le menu contextuel. Dans le menu déroulant Type, sélectionnez Modules des produits de sécurité ESET et cliquez sur Ajouter... Dans Source, trouvez le module d'installation de ESET Mail Security que vous avez téléchargé et cliquez sur Créer. 2) Dans Modifier/sélectionner la configuration associée à ce module, cliquez sur Modifier et configurez les paramètres de ESET Mail Security selon vos besoins. Les paramètres de ESET Mail Security se trouvent dans les branches suivantes : ESET Smart Security, ESET NOD32 Antivirus > Protection du serveur de messagerie et Protection du serveur de messagerie pour Microsoft Exchange Server. Vous pouvez aussi configurer les paramètres des autres modules inclus dans ESET Mail Security (module de mise à jour, analyse de l'ordinateur, etc.). Il est recommandé d'exporter les paramètres configurés dans un fichier xml que vous pourrez utiliser par la suite, par exemple, au moment de créer un module d'installation, d'appliquer une tâche ou stratégie de configuration. 3) Cliquez sur Fermer. Dans la boîte de dialogue suivante (Voulez-vous enregistrer le module sur le serveur?), sélectionnez Oui et entrez le nom du module d'installation. Le module d'installation complet (y compris le nom et la configuration) sera alors enregistré sur le serveur. Ce module sera plus souvent utilisé dans les installations poussées, mais il est également possible de l'enregistrer comme module d'installation msi standard dans une installation directe, sur le serveur (dans Éditeur du module d'installation > Enregistrer sous...). 4) Maintenant que le module d'installation est prêt, vous pouvez lancer l'installation à distance sur les nœuds d'une grappe. Dans l'onglet ERA > Installation à distance (Remote Install) > Ordinateurs, sélectionnez les nœuds sur lesquels installer ESET Mail Security (Ctrl + Clic gauche ou Maj + clic gauche). Cliquez à droite sur l'un des ordinateurs sélectionnés puis choisissez Installation poussée dans le menu contextuel. Utilisez les boutons Définir / Définir tout pour inscrire le nom d'utilisateur et le mot de passe d'un utilisateur sur l'ordinateur cible (cet utilisateur doit avoir les droits administrateur). Cliquez ensuite sur Suivant pour choisir le module d'installation voulu et lancez l'installation à distance en cliquant sur Terminer. Le module d'installation contenant ESET Mail Security et des paramètres de configuration personnalisés sera alors installé sur les ordinateurs ou nœuds cibles visés. Après quelques minutes, les clients utilisant ESET Mail Security s'afficheront dans l'onglet ERA > Clients. Vous pourrez alors gérer ces clients à distance. REMARQUE: pour que l'installation à distance puisse être transparente, tant les ordinateurs cibles que le serveur ERA doivent satisfaire certaines conditions. Pour plus de détails à cet égard, se reporter au guide d'utilisateur de ESET Remote Administrator. Configuration Pour que ESET Mail Security fonctionne de façon appropriée sur les nœuds d'une grappe, ces derniers doivent toujours avoir la même configuration. Cette condition sera satisfaite si vous suivez la méthode d'installation poussée présentée ci-dessus. Il y a cependant toujours une possibilité que la configuration soit modifiée par erreur, ce qui entraînera des incohérences entre les produits ESET Mail Security dans une grappe. Vous pouvez éviter cela en utilisant une stratégie dans ERA. Une stratégie ressemble beaucoup à une tâche de configuration standard - sauf qu'elle envoie la configuration définie dans l'éditeur de configuration aux différents clients. Une stratégie diffère cependant d'une tâche de configuration du fait qu'elle est continuellement appliquée aux clients. La stratégie peut donc être définie comme une configuration envoyée de force à un client ou groupe de clients. 14 ERA > Outils > Gestionnaire de stratégies... comprend un certain nombre d'options à configurer pour utiliser une stratégie. L'option la plus simple consiste à utiliser la Stratégie parent par défaut qui sert également généralement de Stratégie principale de clients par défaut. Une stratégie de ce type sera automatiquement appliquée à tous les clients connectés (dans ce cas, à tous les produits ESET Mail Security dans une grappe). Vous pouvez configurer la stratégie en cliquant sur Modifier... ou en utilisant la configuration actuelle enregistrée dans le fichier xml, si vous en avez déjà créé un. La deuxième option consiste à créer une nouvelle stratégie (Ajouter une nouvelle stratégie enfant) et à utiliser l'option Ajouter clients... pour ajouter tous les produits ESET Mail Security à cette stratégie. Cette configuration permet de s'assurer qu'une seule stratégie utilisant les mêmes paramètres sera alors appliquée à tous les clients. Pour modifier les paramètres existants d'un serveur ESET Mail Security dans une grappe, il suffit de modifier la stratégie actuelle. Les modifications seront alors appliquées à tous les clients régis par cette stratégie. REMARQUE : se reporter au guide d'utilisateur de ESET Remote Administrator pour plus d'information sur les stratégies. 2.8 Licence La saisie du fichier de licence de ESET Mail Security pour Microsoft Exchange Server est une étape très importante. Sans ce fichier, la protection de la messagerie ne fonctionnera pas correctement sur Microsoft Exchange Server. Si vous n'ajoutez pas le fichier de licence durant l'installation, vous pouvez toutefois le faire par la suite, dans les paramètres avancés, sous Divers > Licences. ESET Mail Security vous permet d'utiliser simultanément plusieurs licences en les fusionnant, comme décrit cidessous : 1) deux ou plusieurs licences appartenant à un client (par exemple, des licences portant le nom du même client) seront fusionnées, ce qui permettra d'augmenter le nombre de boîtes aux lettres analysées. Le gestionnaire de licences continuera à afficher les deux licences. 2) Deux ou plusieurs licences appartenant à différents clients sont fusionnées. Cette fusion sera effectuée comme dans le premier scénario (point 1 ci-dessus), à la différence qu'au moins une de ces licences doit comporter un attribut spécial, soit l'attribut requis pour fusionner les licences de clients différents. Si vous aimeriez utiliser une telle licence, demandez à votre distributeur local d'en générer une pour vous. REMARQUE : la période de validité de la nouvelle licence est déterminée par la date d'expiration la plus rapprochée de ses composants. ESET Mail Security pour Microsoft Exchange Server (EMSX) compare le nombre de boîtes aux lettres d'Active Directory au nombre de licences. Chaque Active Directory du serveur Exchange sera ensuite vérifié pour déterminer le nombre total de boîtes aux lettres. Les boîtes aux lettres système, désactivées et les alias de messagerie ne sont 15 pas inclus dans le nombre de boîtes aux lettres. Dans un environnement avec grappe, les nœuds qui jouent le rôle de boîtes aux lettres en grappe ne seront pas non plus inclus dans le nombre de boîtes aux lettres. Pour déterminer le nombre de boîtes aux lettres activées pour Exchange que vous utilisez, ouvrez Utilisateurs et ordinateurs Active Directory sur le serveur. Cliquez à droite sur le domaine puis sur Trouver.... Du menu déroulant Trouver, sélectionnez l'option Recherche personnalisée puis cliquez sur l'onglet Avancé. Copiez-y la requête LDAP suivante avant de cliquer sur Trouver maintenant : (&(objectClass=user)(objectCategory=person)(mailNickname=*)(|(homeMDB=*)(msExchHomeServerName=*))(! (name=SystemMailbox{*))(!(name=CAS_{*))(msExchUserAccountControl=0)(! userAccountControl:1.2.840.113556.1.4.803:=2)) Si le nombre de boîtes aux lettres dans votre Active Directory dépasse le nombre de boîtes accepté par votre licence, le message « Protection status changed due to exceeded number of mailboxes (count) covered by your license (count) » sera alors ajouté à votre journal Microsoft Exchange Server pour indiquer que l'état de la protection a été modifié puisque le nombre de boîtes aux lettres (nombre) dépasse le nombre de boîtes aux lettres couvert par votre licence (nombre). ESET Mail Security vous avisera également de cet état de fait en changeant l'État de la protection qui sera désormais orange et en affichant un message pour vous aviser qu'il vous reste 42 jours avant que votre protection ne soit désactivée. Si vous voyez cette notification, veuillez communiquer avec votre représentant des ventes pour acheter des licences supplémentaires. Si la période de 42 jours est terminée et que vous n'avez pas ajouté les licences requises pour couvrir les boîtes aux lettres supplémentaires, l'État de la protection passera alors au rouge. Un message vous avisera que votre protection a été désactivée. Si vous voyez cette notification, veuillez communiquer immédiatement avec votre représentant des ventes pour acheter des licences supplémentaires. 16 2.9 Configuration post-installation Plusieurs options doivent être configurées après l'installation du produit. Configuration de la protection antipourriel Cette section décrit les paramètres, les méthodes et les techniques que vous pouvez utiliser pour protéger votre réseau du pourriel. Il est recommandé de lire attentivement les instructions suivantes avant de choisir la combinaison la plus appropriée de paramètres pour votre réseau. Gestion du pourriel Pour garantir un niveau élevé de protection antipourriel, vous devez définir les actions qui seront effectuées sur les messages déjà marqués comme POURRIEL. Trois options sont disponibles: 1. Suppression du pourriel Les critères pour que ESET Mail Security marque un message comme POURRIEL sont assez élevés pour réduire la possibilité que des courriels légitimes ne soient supprimés. Plus vos paramètres antipourriel sont précis, moins il est probable que du courriel légitime soit supprimé. Les avantages de cette méthode incluent une très faible consommation de ressources system et moins d'administration. Le désavantage de cette méthode est que si un courriel légitime est supprimé, il ne pourra être être restauré localement. 2. Quarantaine Cette option exclut tout risque de suppression des courriels légitimes. Les messages peuvent également être restaurés et renvoyés immédiatement aux destinataires orignaux. Les désavantages de cette méthode sont une consommation plus élevée de ressources système et plus de temps requis pour la maintenance de la quarantaine. Vous pouvez utiliser deux méthodes pour mettre des messages en quarantaine : A. quarantaine interne de Microsoft Exchange Server (ne s'applique qu'à Microsoft Exchange Server 2007/2010) : - si vous voulez utiliser la quarantaine interne du serveur, vous devez vous assurer que le champ Message commun de mise en quarantaine dans le volet de droite du menu des paramètres avancés (sous Protection du serveur > Quarantaine) est vide. Assurez-vous également que l'option Mettre le message en quarantaine dans la quarantaine système du serveur de messagerie est cochée, dans le menu déroulant du bas. Cette méthode ne peut être utilisée que lorsqu'une quarantaine interne a été créée pour Exchange. Par défaut, cette quarantaine interne n'est pas activée dans Exchange. Si vous voulez l'activer, vous devez ouvrir l'environnement de ligne de commande Exchange Management Shell et saisir la commande suivante : Set-ContentFilterConfig -QuarantineMailbox [email protected] (remplacer [email protected] par la boîte aux lettres que Microsoft Exchange devra utiliser comme quarantaine interne, par exemple exchangequarantine@société.com B. Boîte aux lettres de mise en quarantaine perosnnalisée : - Si vous entrez le nom de la boîte aux lettres voulue dans le champ Message commun de mise en quarantaine, ESET Mail Security déplacera alors tout nouveau message avec pourriel dans cette boîte personnalisée. Pour plus de détails sur la mise en quarantaine et les différentes méthodes permettant de l'activer, se reporter à la section Mise en quarantaine des messages 26 . 3. Réacheminement du pourriel Le pourriel sera réacheminé à son destinataire. Cependant, ESET Mail Security ajoutera la valeur SCL dans l'entête MIME de chacun des messages. La fonctionnalité IMF du serveur Exchange exécutera une action appropriée, en fonction de la valeur SCL du message. Filtrage du pourriel 17 Ajout à la liste grise L'ajout à la liste grise est une méthode qui protège les utilisateurs du pourriel à l'aide de la technique suivante : l'agent de transport envoie une valeur de retour SMTP de rejet temporaire (la valeur par défaut étant 451/4.7.1) pour tout message reçu, provenant d'un expéditeur non reconnu. Un serveur légitime enverra de nouveau le message. De façon générale, les expéditeurs de pourriel ne tentent pas de renvoyer le message puisqu'ils utilisent des milliers d'adresses courriel et n'ont donc pas de temps à perdre à essayer de renvoyer un message. Lorsque le module doit évaluer la source du message, il utilise, pour ce faire, une méthode qui tient compte de la configuration des listes suivantes, soit Adresses IP approuvées, Adresses IP ignorées, Expéditeurs sûrs et IP autorisé pour le serveur Exchange et les paramètres de contournement de la protection antipourriel de la boîte aux lettres du destinataire. L'ajout à la liste grise doit être configurée de façon approfondie sinon cela pourrait entraîner des problèmes de fonctionnement (par exemple, des retards dans la livraison de messages légitimes, etc.). Ces conséquences négatives seront de moins en moins courantes puisque cette méthode inscrit les connexions fiables dans la liste blanche interne. Si vous ne connaissez pas bien cette méthode ou si ses répercussions négatives vous semblent inacceptables, il est recommandé que vous désactiviez cette méthode dans le menu Paramètres avancés sous Protection antipourriel> Microsoft Exchange Server > Agent de transport > Activer l'ajout à la liste grise. Il est recommandé de désactiver l'ajout à la liste grise si vous voulez tester les fonctionnalités de base du produit et ne voulez pas configurer les fonctionnalités avancées du programme. REMARQUE: L'ajout à la liste grise est une autre couche de protection antipourriel, mais elle n'a aucun effet sur les capacités d'évaluation du pourriel du module antipourriel. Configuration de la protection antivirus Quarantaine Selon le type de nettoyage que vous utilisez, il est recommandé de configurer l'exécution d'une action sur les messages infectés (non nettoyés). Cette option peut être définie dans la fenêtre des Paramètres avancés Protection du serveur > Antivirus et antispyware > Microsoft Exchange Server > Agent de transport. Si l'option de déplacer les messages dans la quarantaine du courriel est activée, vous devrez configurer la mise en quarantaine sous Protection du serveur> Quarantaine des messages dans la fenêtre des Paramètres avancés. Performance S'il n'y a aucune autre restriction, il est recommandé que vous augmentiez le nombre de ThreatSense moteurs d'analyse dans la fenêtre Paramètres avancés (touche F5) dans Protection de l'ordinateur > Antivirus et antispyware > Performance, selon la formule indiquée cid-essous : ThreatSensenombre de fils d'analyse = (nombre d'unités centrales x 2) + 1. Le nombre de fils d'analyse devrait également être égal au nombre de moteurs d'analyse ThreatSense. Vous pouvez également configurer le nombre de moteurs d'analyse dans Protection de l'ordinateur > Antivirus et antispyware > Microsoft Exchange Server > VSAPI >Performance. Voici un exmeple : Disons que vous avez un serveur comportant 4 unités centrales. Pour obtenir la meilleure performance, selon la formule ci-dessus, vous devriez utiliser 9 fils d'analyse et 9 moteurs d'analyse. REMARQUE : La valeur acceptable se situe entre 1 et 20, de sorte que le nombre maximum de moteurs d'analyse ThreatSense que vous pouvez utiliser est de 20. La modification ne sera appliquée qu'après le redémarrage. REMARQUE : Il est recommandé que le nombre de moteurs d'analyse ThreatSense soit égal au nombre de fils d'analyse utilisé. Le fait d'utiliser un plus grand nombre de fils d'analyse que de moteur d'analyse n'aura cependant aucun effet sur la performance. REMARQUE : Si vous utilisez ESET Mail Security sur un Windows Server utilisé comme serveur de terminal et que vous ne voulez pas que l'interface graphique de ESET Mail Security démarre chaque fois qu'un utilisateur ouvre une session, se reporter à la section Désactiver l'interface graphique sur le server de terminal 122 pour connaître les étapes précises à effectuer pour la désactiver. 18 3. ESET Mail Security - Protection de Microsoft Exchange Server ESET Mail Security fournit une protection importante au Microsoft Exchange Server. Il existe trois types essentiels de protection : antivirus, antipourriel et applications de règles définies par l'utilisateur. ESET Mail Security protège les boîtes de réception contre différents types de contenu malveillant, y compris les pièces jointes infectées par des vers ou des chevaux de Troie, les documents contenant des scripts nuisibles, le hameçonnage et le pourriel. ESET Mail Security filtre le contenu malveillant au niveau du serveur de messagerie, avant qu'il n'entre dans la boîte de réception du client de messagerie. Les sections suivantes décrites chacune des options et chacun des paramètres que vous pouvez utiliser pour affiner la protection du serveur Microsoft Exchange. 3.1 Paramètres généraux Cette section décrit la façon d'administrer les règles, les fichiers journaux, la mise en quarantaine des messages et les paramètres de performance. 3.1.1 Microsoft Exchange Server 3.1.1.1 VSAPI Microsoft Exchange Server offre un mécanisme permettant de s'assurer que chaque composant de message est analysé en fonction de la base de données actuelle des signatures des virus. Si un composant de message n'est pas analysé, ses composants correspondants seront soumis à l'analyse avant que le message ne soit remis au client. Toutes les versions prises en charge de Microsoft Exchange Server (2000/2003/2007/2010) comprennent une version différente de VSAPI. Cochez ou décochez la case pour activer ou désactiver le lancement automatique de la version VSAPI utilisée par votre serveur Exchange. 19 3.1.1.2 Agent de transport Dans cette section, vous pouvez configurer l'agent de transport pour qu'il démarre automatiquement ainsi que définir sa priorité de chargement. Pour Microsoft Exchange Server 2007 et les versions ultérieures, vous ne pourrez installer d'agent de transport que si le serveur a été configuré pour jouer l'un des deux rôles suivants : Transport Edge ou Transport Hub. REMARQUE : l'agent de transport n'est pas disponible dans Microsoft Exchange Server 5.5 (VSAPI 1.0). Le menu Configuration de la priorité de l'agent vous permet de définir la priorité des agents de ESET Mail Security. La plage de numéro de priorité des agents dépend de la version utilisée de Microsoft Exchange Server (plus le chiffre est bas, plus la priorité est élevée). Écrire le seuil de probabilité du pourriel dans les messages analysés en fonction de la note attribuée au pourriel - SCL est une valeur normalisée attribuée à un message. Elle indique la possibilité que le message soit un pourriel (selon les caractéristiques de l'en-tête du message, du sujet, du contenu, etc.). Une note de 0 indique qu'il est fort probable que le message ne soit pas du pourriel alors qu'une note de 9 indique que le message est très probablement du pourriel. Les valeurs SCL peuvent être traitées de façon plus approfondie par le filtre IMF de Microsoft Exchange Server (ou l'agent de filtrage du contenu). Pour de l'information supplémentaire, veuillez consulter la documentation de Microsoft Exchange Server. 20 Option Lors de la suppression des messages, envoyer une réponse de rejet SMTP : Si elle est décochée, le serveur enverra une réponse SMTP OK au MTA de l'expéditeur dans le format « 250 2.5.0 Requested mail action okay » indiquant que l'action demandée pour le message a été acceptée, avant d'effectuer une suppression automatique. Si l'option est cochée, une réponse de rejet SMTP sera alors envoyée au MTA de l'expéditeur. Vous pouvez entrer un message de réponse au format suivant : Code de réponse principal Code d'état complémentaire 250 2.5.0 Description Action demandée pour le message acceptée, terminée 451 4.5.1 Action demandée abandonnée : erreur locale de traitement 550 5.5.0 Action demandée non prise : boîte aux lettres non disponible Avertissement: Une syntaxe incorrecte pour les codes de réponse SMTP peut entraîner un mauvais fonctionnement des composants du programme et en réduire l'efficacité. REMARQUE : Vous pouvez aussi utiliser les variables système au moment de configurer les réponses de rejet SMTP. 3.1.2 Règles L'élément de menu Règles permet aux administrateurs de définir manuellement les conditions de filtrage des messages et les actions à effectuer sur les messages filtrés. Les règles sont appliquées en fonction d'un ensemble de conditions combinées. De multiples conditions sont combinée avec l'opérateur logique AND, ce qui n'appliquera que la règle que si toutes les conditions sont satisfaites. La colonne Nombre (à côté du nom de chacune des règles) indique le nombre de fois que la règle a été appliquée avec succès. Un message est vérifié en fonction des règles lorsqu'il est traité par l'agent de transport ou VSAPI. Lorsque l'agent de transport et VSAPI sont activés et que le message satisfait aux conditions d'une règle, le compteur de règles pourrait indiquer une augmentation de deux ou plus. Cela découle du fait que VSAPI accède aux éléments individuels du message (corps, pièce jointe), ce que signifie que les règles sont appliquées individuellement, à chacune des parties du message. Les règles peuvent également être appliquées pendant une analyse en arrière-plan (par exemple, plusieurs analyses du magasin-boîte aux lettres après la mise à jour de la base de données des signatures de virus), ce qui peut faire augmenter le nombre indiqué par le compteur de règles. 21 Ajouter... - ajoute nouvelle règle. Modifier... : modifie une règle existante Supprimer - supprime la règle sélectionnée. Effacer - efface le compteur de règles (colonne Résultats). Monter - déplace la règle sélectionnée vers le haut de la liste. Descendre - déplace la règle sélectionnée vers le bas de la liste. Décocher une case (à gauche de chaque nom de règle) désactive la règle actuelle. Cela permet de réactiver la règle à nouveau au besoin. REMARQUE: vous pouvez également utiliser des variables système (par exemple, %PATHEXT%) au moment de configurer les règles. REMARQUE : si une nouvelle règle a été ajoutée ou qu'une règle existante a été modifiée, une nouvelle analyse du message sera automatiquement lancée à l'aide des nouvelles règles ou des règles modifiées. 3.1.2.1 Ajouter une nouvelle règle Cet assistant vous aider à ajouter les règles définies par l'utilisateur comportant une combinaison de conditions. REMARQUE: Seules certaines conditions pourront s'appliquer lorsque le message est analysés par l'agent de transport. Par boîte aux lettres cible S'applique au nom de la boîte aux lettres (VSAPI). Par destinataire du message S'applique à un message envoyé à un destinataire particulier (VSAPI + agent de transport) Par expéditeur du message S'applique à un message reçu d'un destinataire particulier (VSAPI + agent de transport) Par objet du message S'applique à un message comportant un objet particulier (VSAPI + agent de transport) Par corps du message S'applique à un message comportant du texte particulier dans le corps du message (VSAPI) Par nom de pièce jointe s'applique à un message comportant un nom de pièce jointe particulier (VSAPI dans Exchange 2000 et 2003, VSAPI + agent de transport dans Exchange 2007 et 2010) Par taille de pièce jointe s'applique à un message comportant une pièce jointe dont la taille dépasse une limite définie (VSAPI dans Exchange 2000 et 2003, VSAPI + agent de transport dans Exchange 2007 et 2010) Par fréquence d'occurrence S'applique aux objets (corps du courriel ou pièce jointe) pour lesquels le nombre d'occurrences dans l'intervalle précisé dépasse le nombre précisé (VSAPI). Cela est particulièrement utile si vous recevez constamment des pourriels ayant le même corps ou comprend la même pièce jointe. Par type de pièce jointe s'applique à un message dont le type de pièce jointe est spécifique (le type de fichier est détecté en fonction de son contenu, pas de l'extension du fichier) (VSAPI). 22 Au moment de préciser les conditions indiquées ci-dessus (à l'exception de Par taille de la pièce jointe), il suffit de n'indiquer qu'une partie de la phrase, tant que l'option Mots entiers est sélectionnée. Les valeurs ne sont pas sensibles à la casse, à moins que l'option Sensible à la casse ne soit sélectionnée. Utilisez des parenthèses et des guillemets lorsque vous utilisez des caractères autres qu'alphanumériques. Vous pouvez aussi créer des conditions avec les opérateurs logiques AND, OR et NOT. REMARQUE : La liste des règles disponibles dépend de la version installée de Microsoft Exchange Server. REMARQUE : Microsoft Exchange Server 2000 (VSAPI 2.0) n'évalue que le nom du destinataire ou expéditeur affiché, non l'adresse courriel. Les adresses courriel ne sont évaluées que si vous utilisez Microsoft Exchange Server 2003 (VSAPI 2.5) et les versions ultérieures. Exemple d'entrée de conditions : Par boîte aux lettres cible :smith Par expéditeur du message : [email protected] Par destinataire du message : « J.Smith » ou « [email protected] » Par objet du message : "" Par nom de la pièce jointe : « .com » OU « .exe » Par le corps (contenu) du (« gratuit » ou « loterie ») ET (« gagner » ou « acheter ») message : 3.1.2.2 Actions prises au moment d'appliquer les règles Cette section vous permet de sélectionner les actions à effectuer sur les messages ou pièces jointes qui satisfont les conditions définies dans les règles. Vous pouvez n'effectuer aucune action, marquer les messages comme s'ils contenaient une menace ou du pourriel ou supprimer l'ensemble du message. Lorsqu'un message ou sa pièce jointe satisfait aux conditions d'une règle, il n'est alors pas analysé, par défaut, par les modules antivirus ou antipourriel, à moins que l'analyse ne soit activée explicitement en cochant les cases respectives dans le bas (l'action prise dépend alors des paramètres antivirus et antipourriel). 23 Aucune action - Aucune action ne sera effectuée sur le message. Prendre une action à l'égard de la menace non nettoyée - Le message sera marqué comme s'il contenait une menace non nettoyée (qu'il contienne ou non la menace). Prendre une action à l'égard des courriels non sollicités - Le message sera marqué comme si c'était un pourriel (qu'il en soit un ou non). Cette option ne pourra être utilisée que si la protection antipourriel 38 est activée et que l'action est effectuée au niveau de l'agent de transport. Dans le cas contraire, l'action ne sera pas effectuée. Supprimer le message - supprime l'intégralité du message dont le contenu répond aux conditions. Cette action ne fonctionne toutefois qu'avec VSAPI 2.5 et les versions plus récentes (VSAPI 2.0 et les versions antérieures ne peuvent exécuter cette action). Mettre le fichier en quarantaine - le ou les fichiers qui répondent aux critères de la règle seront mis en quarantaine dans ESET Mail Security, à ne pas confondre avec la mise en quarantaine des courriels (pour plus d'information sur la mise en quarantaine des courriels, reportez-vous au chapitre Quarantaine de messages 26 ). Soumettre le fichier pour analyse - Envoie les pièces jointes suspectes au laboratoire d'ESET pour analyse. Envoyer des notifications d'événement - Envoie une notification à l'administrateur (en fonction des paramètres définis dans Outils > Alertes et notifications) Consigner - Écrit de l'information sur la règle appliquée dans le journal du programme. Évaluer d'autres règles - Permet d'évaluer en fonction d'autres règles, ce qui permet à l'utilisateur de définir de multiples ensembles de conditions et d'actions à prendre, en fonction des conditions. Analyser avec la protection antivirus et antispyware - Analyse le massage et ses pièces jointes pour y déceler des menaces. Analyser avec la protection antipourriel - Analyse le message pour voir si c'est un pourriel. REMARQUE : Cette option n'est disponible que pour Microsoft Exchange Server 2000 et versions ultérieures dans lesquelles l'agent de transport est activé. La dernière étape de l'assistant de création d'une nouvelle règle consiste à nommer la règle créée. Vous pouvez également ajouter un Commentaires sur la règle. Cette information sera stockée dans le journal de Microsoft Exchange Server. 3.1.3 Fichiers journaux Les paramètres des fichiers journaux vous permettent de choisir la façon dont le fichier journal sera créé. Un protocole plus détaillé pourra contenir un plus grand nombre de détails, mais cela pourrait également réduire la performance du serveur. 24 Si l'option Écriture synchronisée n'utilisant pas le cache est activée, toutes les entrées du journal seront immédiatement écrites dans le fichier journal, sans être d'abord mises dans le cache du journal. Par défaut, les composants de ESET Mail Security qui s'intègrent dans Microsoft Exchange Server stockent les messages journaux dans leur cache interne avant de les envoyer dans le journal de l'application à des intervalles périodiques pour ainsi préserver la performance de l'ordinateur. Dans ce cas, cependant, les entrées de diagnostic indiquées dans le journal pourraient ne pas être dans l'ordre approprié. Nous vous recommandons de laisser ce paramètre désactivé à moins qu'il ne soit nécessaire à des fins de diagnostic. Le menu Contenu permet de préciser le type d'information stockée dans les fichiers journaux. Consigner les règles de l'application - lorsque cette option est activée, ESET Mail Security écrit le nom de toutes les règles activées dans le fichier journal. Consigner la note attribuée au pourriel - utilisez cette option pour que les activités liées au pourriel soient ajoutées au Journal antipourriel 97 . Lorsque le serveur de messagerie reçoit un pourriel, l'information à cet égard est ajoutée au journal, y compris des détails comme l'heure/la date, l'expéditeur, le destinataire, l'objet, la notre attribuée au pourriel, la raison et l'action. Cela peut être utile lorsque vous devez retracer quels pourriels ont été reçus, à quel moment et la mesure prise. Consigner l'activité d'ajout à la liste grise- activez cette option si vous voulez que les activités connexes à l'ajout à la liste grise soient ajoutées au Journal d'ajout à la liste grise 97 . L'information telle l'heure/la date, le domaine HELO, l'adresse IP, l'expéditeur, le destinataire, l'action prise, etc. y sera ajoutée. REMARQUE: cette option ne peut être utilisée que lorsque l'ajout à la liste grise est activé dans les options de l' agent de transport 39 sousProtection du serveur > Protection antipourriel > Microsoft Exchange Server > Agent de transport dans l'arborescence de la configuration avancée complète (F5). Consigner la performance - consigne l'information sur l'intervalle d'exécution d'une tâche, la taille de l'objet analysé, le taux de transfert (kbit/s) et l'évaluation de la performance. Consigner l'information de diagnostic - consigne l'information de diagnostic requise pour affiner le programme en fonction du protocole. Cette option est particulièrement utilisée dans le débogage et l'identification des problèmes. Nous ne recommandons pas d'activer cette option. Pour voir l'information de diagnostic fournie par cette fonction, vous devrez régler le Niveau de détails minimum dans les journaux à Entrées de diagnostic dans les paramètres Outils > Fichiers journaux> Niveau de détails minimum dans les journaux. 25 3.1.4 Quarantaine des messages La Quarantaine des messages est une boîte aux lettres spéciale, définie par l'administrateur système, dans laquelle stocker les messages potentiellement infectés et le POURRIEL. Les messages mis en quarantaine peuvent être analysés ou nettoyés par la suite à l'aide d'une nouvelle base de données des signatures de virus. Deux types de systèmes de mise en quarantaine des messages peuvent être utilisés. Une option consiste à utiliser le système de quarantaine de Microsoft Exchange (ne s'applique qu'à Microsoft Exchange Server 2007/2010). Dans ce cas, le mécanisme interne d'Exchange sera utilisé pour stocker les messages potentiellement infectés et les POURRIELS. Au besoin, vous pouvez également ajouter une boîte aux lettres de quarantaine distincte (ou un certain nombre de boîtes aux lettres) pour différents destinataires. Ainsi les messages potentiellement infectés qui, à l'origine, étaient envoyés à un destinataire particulier, seraient remis dabs une boîte aux lettres de quarantaine distincte plutôt que d'être remis dans la boîte aux lettres de quarantaine interne d'Exchange. Cela peut être utile dans certains cas pour que les messages potentiellement infectés et le POURIEL soient mieux classifiés. L'autre option consiste à utiliser la quarantaine commune pour les messages. Si vous utilisez une version antérieure de Microsoft Exchange Server (5.5, 2000 ou 2003), il suffit de préciser la quarantaine commune pour les messages, la boîte aux lettres utilisée pour stocker les messages potentiellement infectés. Dans ce cas, le système interne de mise en quarantaine d'Exchange ne sera pas utilisé. Une boîte aux lettres particulière, précisée par l'administrateur système, sera plutôt utilisée à cette fin. Au besoin, comme dans la première option, vous pouvez également ajouter une boîte aux lettres de quarantaine distincte (ou un certain nombre de boîtes aux lettres) pour différents destinataires. Ainsi, les messages potentiellement infectés seront remis dans une boîte aux lettres de quarantaine distincte plutôt que d'être remis dans la boîte aux lettres de quarantaine commune. 26 Message commun de mise en quarantaine - vous pouvez préciser ici l'adresse de la quarantaine commune pour les messages (par exemple, main_quarantaine@société.com) ou utiliser la quarantaine système interne de Microsoft Exchange Server 2007/2010 plutôt que de laisser ce champ vide et choisir Mettre le message en quarantaine dans la quarantaine système du serveur de messagerie (à la condition que la quarantaine d'Exchange existe, dans votre environnement) dans le menu déroulant, au bas. Les messages seront alors remis dans le dossier de quarantaine par le mécanisme interne d'Exchange conformément à ses paramètres propres. REMARQUE: Par défaut, cette quarantaine interne n'est pas activée dans Exchange. Si vous voulez l'activer, vous devez ouvrir l'environnement de ligne de commande Exchange Management Shell et saisir la commande suivante : Set-ContentFilterConfig -QuarantineMailbox [email protected] (remplacer [email protected] par la boîte aux lettres que Microsoft Exchange devra utiliser comme quarantaine interne, par exemple exchangequarantine@société.com Message mis en quarantaine par destinataire - cette option permet de définir les boîtes aux lettres de quarantaine des messages pour plusieurs destinataires. Chacune des règles de mise en quarantaine peut être activée ou désactivée en cochant ou en décochant la case dans la rangée correspondante. Ajouter... - vous pouvez ajouter une nouvelle règle de mise en quarantaine en entrant l'adresse du destinataire et l'adresse courriel de la quarantaine vers laquelle les messages seront transférés. Modifier... - modifier une règle de mise en quarantaine particulière Supprimer - supprimer une règle de mise en quarantaine particulière Préférer le message commun de mise en quarantaine - lorsque cette option est activée, le message sera envoyé dans la quarantaine commune pour les messages indiquée si plus d'une règle de mise en quarantaine est satisfaite (par exemple, si un message comprend plusieurs destinataires et que certains sont définis dans plusieurs règles de mise en quarantaine) Message destiné à la quarantaine des messages inexistante (si vous n'avez pas précisé de quarantaine commune pour les messages, vous aurez accès aux options suivantes à savoir quelle action sera effectuée sur les messages possiblement infectés et le POURRIEL) Aucune action - le message sera traité de la façon habituelle - remis au destinataire (non recommandé) Supprimer le message - un message sera supprimé s'il est adressé à un destinataire pour lequel il n'existe aucune règle de mise en quarantaine et pour lequel quarantaine commune n'est précisée, ce qui signifie que tous les messages potentiellement infectés et POURRIELS seront automatiquement supprimés, sans être enregistrés quelque part Mettre le message en quarantaine dans la quarantaine système du serveur de messagerie- un message sera remis dans la quarantaine système interne d'Exchange et y sera conservé (non disponible dans Microsoft Exchange Server 2003 et les versions antérieures) REMARQUE : vous pouvez également utiliser des variables système (par exemple, %USERNAME%) au moment de configurer les paramètres de mise en quarantaine des messages. 3.1.4.1 Ajout d'une nouvelle règle de mise en quarantaine Entrez l'adresse courriel du destinataire ainsi que l'adresse courriel du dossier Quarantaine dans les champs appropriés. Si vous voulez supprimer un courriel adressé à un destinataire auquel la règle de mise en quarantaine ne s'applique pas, vous pouvez sélectionner l'option Supprimer le message dans le menu déroulant Message destiné à la quarantaine des messages inexistante. 27 3.1.5 Performance Dans cette section, vous pouvez définir un dossier dans lequel stocker temporairement les fichiers pour améliorer la performance du programme. Si aucun dossier n'est précisé, ESET Mail Security créera des fichiers temporaires dans le dossier temporaire du système. REMARQUE : Pour réduire les entrées sorties potentielles et les répercussions de la fragmentation, il est recommandé de mettre le dossier temporaire sur un disque distinct que celui sur lequel est installé le serveur Microsoft Exchange. Il est fortement recommandé d'éviter de choisir un dossier temporaire situé sur un support amovible comme une disquette, clé USB, DVD, etc. REMARQUE : vous pouvez utiliser des variables système (par exemple, %SystemRoot%\TEMP) au moment de configurer les paramètres de performance. 3.2 Paramètres antivirus et antispyware Vous pouvez activer la Protection antivirus et antispyware de votre serveur de messagerie en cochant la case Activer la protection antivirus et antispyware du serveur. À noter que la protection antivirus et antispyware est activée automatiquement après tout redémarrage du service ou de l'ordinateur. Vous pouvez accéder à la configuration des paramètres du moteur ThreatSense en cliquant sur le bouton Configuration…. 28 3.2.1 Microsoft Exchange Server En ce qui concerne la protection antivirus et anti-pourriel, ESET Mail Security pour Microsoft Exchange Server utilise deux types d'analyse. L'une analyse les messages par VSAPI alors que l'autre utilise plutôt l'agent de transport. La protection utilisant VSAPI 29 analyse les messages directement, dans le magasin du serveur Exchange server. La protection par agent de transport 35 analyse, quant à elle, le trafic SMTP plutôt que le magasin du serveur Exchange lui-même. Si ce type de protection est activée, cela signifie que tous les messages et leurs composants seront analysés lors du transport, avant même qu'ils n'atteignent le magasin du serveur Exchange ou avant qu'ils ne soient envoyés par SMTP. Le filtrage STMP de niveau serveur est effectué par un plugiciel spécialisé. Dans Microsoft Exchange Server 2000 et 2003, le plugiciel en question (Récepteur d'événement) est enregistré sur le serveur SMTP dans le cadre des services Internet IIS. Dans Microsoft Exchange Server 2007/2010, le plugiciel est plutôt enregistré comme un agent de transport selon le rôle Edge ou Hub attribué à Microsoft Exchange Server. REMARQUE: L'agent de transport n'est pas disponible dans Microsoft Exchange Server 5.5 (VSAPI 1.0), mais est cependant disponible dans toutes les versions ultérieures de Microsoft Exchange Server (version 2000 et ultérieures). Les protections antivirus et antispyware par VSAPI et l'agent de transport peuvent fonctionner être utilisées en même temps (la configuration recommandée et par défaut). Vous pourriez également choisir de n'utiliser qu'un des deux types de protection (par VSAPI ou par agent de transport). Elles peuvent être activées ou désactivées indépendamment l'une de l'autre. Il est recommandé d'utiliser les deux pour ainsi assurer une protection antivirus et antispyware maximale. Il n'est pas recommandé que les deux soient désactivées. 3.2.1.1 VSAPI Microsoft Exchange Server offre un mécanisme permettant de s'assurer que chaque composant de message est analysé en fonction de la base de données actuelle des signatures des virus. Si un message n'a encore jamais été analysé, ses composants correspondants seront alors soumis à l'analyse avant que le message ne puisse être remis au client. Toutes les versions prises en charge de Microsoft Exchange Server (5.5/2000/2003/2007/2010) comprennent une version différente de VSAPI. 3.2.1.1.1 Microsoft Exchange Server 5.5 (VSAPI 1.0) Cette version de Microsoft Exchange Server comprend VSAPI version 1.0. Si l'option Analyse en arrière-plan est cochée, cela permet l'analyse de tous les messages dans le système, en arrière-plan. Microsoft Exchange Server décide si l'analyse en arrière-plan sera ou non effectuée, en fonction de différents facteurs comme la charge actuelle du système, le nombre d'utilisateurs actifs, etc. Microsoft Exchange Server garde un journal des messages analysés et de la version de la base de données des signatures de virus utilisée. Si vous ouvrez un message qui n'a pas été analysé par la base de données des signatures de virus la plus actuelle, Microsoft Exchange Server enverra le message à ESET Mail Security qui l'analysera avant que celui-ci ne soit ouvert dans votre client de messagerie. Puisque l'analyse en arrière-plan peut avoir des répercussions sur la charge du système (l'analyse est effectuée après chaque mise à jour de la base de données des signatures de virus), nous vous recommandons d'utiliser l'analyse planifiée en dehors des heures de travail. L'analyse planifiée ou en arrière-plan peut être configurée par une tâche spéciale dans le planificateur. Lorsque vous planifiez une tâche d'analyse en arrière-plan, vous pouvez définir l'heure de début, le nombre de répétitions ainsi que d'autres paramètres disponibles dans le Planificateur. Une fois la tâche planifiée, elle s'affichera dans la liste des tâches planifiées et, tout comme les autres tâches, vous pourrez en modifier les paramètres, la supprimer ou la désactiver temporairement. 29 3.2.1.1.1.1 Actions Dans cette section, vous pouvez préciser les actions à effectuer lorsqu'un message ou une pièce jointe est vu comme étant infecté. Le champ Action à exécuter si le nettoyage est impossible vous permet de Bloquer le contenu infecté, de Supprimer le message ou de n'effectuer Aucune action sur le contenu infecté du message. Cette action ne sera appliquée que si le nettoyage automatique (défini dans Paramètres du moteur ThreatSense> Nettoyage 80 ) n'a pu nettoyer le message. Le champ Suppression vous permet toujours de configurer le Mode de suppression des messages selon l'une des deux options suivantes : Tronquer le fichier à une longueur de zéro - ESET Mail Security Tronque la pièce jointe à une taille de zéro, tout en permettant au destinataire de voir le nom et le type de fichier Remplacer la pièce jointe par l'information sur l'action - ESET Mail Security Remplace le fichier infecté par une description de la règle ou du protocole utilisé pour ce virus. Cliquer sur le bouton Analyser à nouveau permettra d'effectuer une autre analyse des messages et fichiers ayant déjà été analysés. 3.2.1.1.1.2 Performance Pendant une analyse, Microsoft Exchange Server vous permet de limiter la durée d'ouverture des pièces jointes aux messages. Cette durée, définie dans le champ Délai de réponse (en ms), représente le délai après lequel le client essaiera de nouveau d'accéder au fichier auparavant inaccessible en raison de l'analyse. 3.2.1.1.2 Microsoft Exchange Server 2000 (VSAPI 2,0) Cette version de Microsoft Exchange Server comprend VSAPI version 2.0. Si vous décochez l'option Activer la protection antivirus et antispyware de VSAPI 2,0, le plugiciel de ESET Mail Security pour le serveur Exchange ne sera pas déchargé des processus du serveur Microsoft Exchange. Il ne fera que passer à travers les messages sans les analyser à la recherche de virus. Les messages seront cependant analysés pour y détecter du pourriel 39 et les règles 21 seront appliquées. Si l'option Analyse proactive est cochée, les nouveaux messages entrants seront analysés dans l'ordre de réception. Si cette option est activée et qu'un utilisateur ouvre un message qui n'a pas encore été analysé, ce message sera analysé avant les autres messages de la file d'attente. L'option Analyse en arrière-plan permet d'analyser tous les messages en arrière-plan. Microsoft Exchange Server décide si l'analyse en arrière-plan sera ou non effectuée, en fonction de différents facteurs comme la charge actuelle du système, le nombre d'utilisateurs actifs, etc. Microsoft Exchange Server garde un journal des messages analysés et de la version de la base de données des signatures de virus utilisée. Si vous ouvrez un message qui n'a pas été analysé par la base de données des signatures de virus la plus actuelle, Microsoft Exchange Server enverra le message à ESET Mail Security qui l'analysera avant que celui-ci ne soit ouvert dans votre client de messagerie. Puisque l'analyse en arrière-plan peut avoir des répercussions sur la charge du système (l'analyse est effectuée après chaque mise à jour de la base de données des signatures de virus), nous vous recommandons d'utiliser l'analyse planifiée en dehors des heures de travail. L'analyse planifiée ou en arrière-plan peut être configurée par une tâche spéciale dans le planificateur. Lorsque vous planifiez une tâche d'analyse en arrière-plan, vous pouvez définir l'heure de début, le nombre de répétitions ainsi que d'autres paramètres disponibles dans le Planificateur. Une fois la tâche planifiée, elle s'affichera dans la liste des tâches planifiées et, tout comme les autres tâches, vous pourrez en modifier les paramètres, la supprimer ou la désactiver temporairement. Si vous voulez analyser les messages en texte brut, cochez l'option Analyser les corps des messages en texte brut . Cocher l'option Analyser les corps des messages en RTF active l'analyse des corps des messages en RTF. Les corps des messages en RTF peuvent contenir des virus intégrés dans des macros. 30 3.2.1.1.2.1 Actions Dans cette section, vous pouvez préciser les actions à effectuer lorsqu'un message ou une pièce jointe est jugé infecté. Le champ Action à exécuter si le nettoyage est impossible vous permet de Bloquer le contenu infecté, de Supprimer le message ou de n'effectuer Aucune action sur le contenu infecté du message. Cette action ne sera appliquée que si le nettoyage automatique (défini dans Paramètres du moteur ThreatSense > Nettoyage 80 ) n'a pas nettoyé le message. L'option Suppression vous permet toujours de choisir le Mode de suppression des messages et le Mode de suppression de la pièce jointe. Vous pouvez configurer les options suivantes, dans le Mode de suppression de la pièce Mode de suppression des messages : Supprimer le corps du message - Supprime le corps du message infecté; le destinataire recevra alors un message vide et toute pièce jointe non infectée Récrire le corps du message avec l'information sur l'action - Réécrit le corps du message en y ajoutant de l'information sur les actions effectuées. Vous pouvez configurer les options suivantes dans Mode de suppression de la pièce jointe : Tronquer le fichier à une longueur de zéro - ESET Mail Security Tronque la pièce jointe à une taille de zéro, tout en permettant au destinataire de voir le nom et le type de fichier Remplacer la pièce jointe par l'information sur l'action - ESET Mail Security Remplace le fichier infecté par une description de la règle ou du protocole utilisé pour ce virus. Cliquer sur le bouton Analyser à nouveau permettra d'effectuer une autre analyse des messages et fichiers ayant déjà été analysés. 3.2.1.1.2.2 Performance Dans cette section, vous pouvez définir le nombre de fils d'analyse indépendants utilisés en même temps. Un plus grand nombre de fils d'analyse sur des machines multiprocesseurs peut faire augmenter le taux d'analyse. Cependant, pour vous assurer d'obtenir la meilleure performance, il est conseillé d'utiliser un nombre égal de moteurs d'analyse ThreatSense et de fils d'analyse. L'option Délai de réponse (en secondes) vous permet de définir le temps maximal qu'un fil attendra avant que ne se termine l'analyse d'un message. Si l'analyse n'est pas terminée dans ce délai, Microsoft Exchange Server refusera l'accès du client au courriel. L'analyse ne sera pas interrompue, mais il sera possible d'accéder au fichier dès qu'elle sera terminée. CONSEIL : Pour déterminer le nombre de fils d'analyse recommandé par le fournisseur de Microsoft Exchange Server, utilisez la formule suivante : [nombre de processeurs physiques] x 2 + 1. REMARQUE: La performance n'augmentera de façon importante si le nombre de moteurs d'analyse ThreatSense est supérieur au nombre de fils d'analyse. 31 3.2.1.1.3 Microsoft Exchange Server 2003 (VSAPI 2,5) Cette version de Microsoft Exchange Server comprend VSAPI version 2.5. Si vous décochez l'option Activer la protection antivirus et antispyware de VSAPI 2.5, le plugiciel de ESET Mail Security pour le serveur Exchange ne sera pas déchargé des processus du serveur Microsoft Exchange. Il ne fera que passer à travers les messages sans les analyser à la recherche de virus. Les messages seront cependant analysés pour y détecter du pourriel 39 et les règles 21 seront appliquées. Si l'option Analyse proactive est cochée, les nouveaux messages entrants seront analysés dans l'ordre de réception. Si cette option est activée et qu'un utilisateur ouvre un message qui n'a pas encore été analysé, ce message sera analysé avant les autres messages de la file d'attente. L'option Analyse en arrière-plan permet d'analyser tous les messages en arrière-plan. Microsoft Exchange Server décide si l'analyse en arrière-plan sera ou non effectuée, en fonction de différents facteurs comme la charge actuelle du système, le nombre d'utilisateurs actifs, etc. Microsoft Exchange Server garde un journal des messages analysés et de la version de la base de données des signatures de virus utilisée. Si vous ouvrez un message qui n'a pas été analysé par la base de données des signatures de virus la plus actuelle, Microsoft Exchange Server enverra le message à ESET Mail Security qui l'analysera avant que celui-ci ne soit ouvert dans votre client de messagerie. Puisque l'analyse en arrière-plan peut avoir des répercussions sur la charge du système (l'analyse est effectuée après chaque mise à jour de la base de données des signatures de virus), nous vous recommandons d'utiliser l'analyse planifiée en dehors des heures de travail. L'analyse planifiée ou en arrière-plan peut être configurée par une tâche spéciale dans le planificateur. Lorsque vous planifiez une tâche d'analyse en arrière-plan, vous pouvez définir l'heure de début, le nombre de répétitions ainsi que d'autres paramètres disponibles dans le Planificateur. Une fois la tâche planifiée, elle s'affichera dans la liste des tâches planifiées et, tout comme les autres tâches, vous pourrez en modifier les paramètres, la supprimer ou la désactiver temporairement. Cocher l'option Analyser les corps des messages en RTF active l'analyse des corps des messages en RTF. Les corps des messages en RTF peuvent contenir des virus intégrés dans des macros. L'option Analyser les messages transportés permet l'analyse des messages qui ne sont pas stockés sur le serveur Microsoft Exchange local et qui sont envoyés vers d'autres serveurs de messagerie par l'entremise du serveur Microsoft Exchange local. Le serveur Microsoft Exchange peut être configuré comme passerelle, ce qui fait qu'il ne fait que transmettre les messages à d'autres serveurs de messagerie. Si l'analyse des messages transportés est activée, ESET Mail Security analysera également ces messages. Cette option n'est disponible que lorsque l'agent de transport est désactivé. REMARQUE: Les corps des messages en texte brut ne seront pas analysés par VSAPI. 3.2.1.1.3.1 Actions Dans cette section, vous pouvez préciser les actions à effectuer lorsqu'un message ou une pièce jointe est jugé infecté. Le champ Action à exécuter si le nettoyage est impossible vous permet de Bloquer le contenu infecté, de Supprimer le contenu infecté du message, de Supprimer le message entier, y compris le contenu infecté, ou de n'effectuer Aucune action. Cette action ne sera appliquée que si le nettoyage automatique (défini dans Paramètres du moteur ThreatSense > Nettoyage 80 ) n'a pas nettoyé le message. L'option Suppression vous permet toujours de choisir le Mode de suppression des messages et le Mode de suppression de la pièce jointe. Vous pouvez configurer les options suivantes, dans le Mode de suppression de la pièce Mode de suppression des messages : Supprimer le corps du message - Supprime le corps du message infecté; le destinataire recevra alors un message vide et toute pièce jointe non infectée. Récrire le corps du message avec l'information sur l'action - Réécrit le corps du message en y ajoutant de l'information sur les actions effectuées Supprimer le message entier - Supprime tout le message, y compris les pièces jointes; vous pouvez configurer l'action à effectuer au moment de supprimer les pièces jointes. 32 Vous pouvez configurer les options suivantes dans Mode de suppression de la pièce jointe : Tronquer le fichier à une longueur de zéro - ESET Mail Security Tronque la pièce jointe à une taille de zéro, tout en permettant au destinataire de voir le nom et le type de fichier. Remplacer la pièce jointe par l'information sur l'action - ESET Mail Security Remplace le fichier infecté par une description de la règle ou du protocole utilisé pour ce virus Supprimer le message entier - Supprime tout le message, y compris les pièces jointes; vous pouvez configurer l'action à effectuer au moment de supprimer les pièces jointes. Cliquer sur le bouton Analyser à nouveau permettra d'effectuer une autre analyse des messages et fichiers ayant déjà été analysés. 3.2.1.1.3.2 Performance Dans cette section, vous pouvez définir le nombre de fils d'analyse indépendants utilisés en même temps. Un plus grand nombre de fils d'analyse sur des machines multiprocesseurs peut faire augmenter le taux d'analyse. Cependant, pour vous assurer d'obtenir la meilleure performance, il est conseillé d'utiliser un nombre égal de moteurs d'analyse ThreatSense et de fils d'analyse. L'option Délai de réponse (en secondes) vous permet de définir le temps maximal qu'un fil attendra avant que ne se termine l'analyse d'un message. Si l'analyse n'est pas terminée dans ce délai, Microsoft Exchange Server refusera l'accès du client au courriel. L'analyse ne sera pas interrompue, mais il sera possible d'accéder au fichier dès qu'elle sera terminée. Conseil : Pour déterminer le nombre de fils d'analyse recommandé par le fournisseur de Microsoft Exchange Server, utilisez la formule suivante : [nombre de processeurs physiques] x 2 + 1. REMARQUE : La performance n'augmentera de façon importante si le nombre de moteurs d'analyse ThreatSense est supérieur au nombre de fils d'analyse. 3.2.1.1.4 Microsoft Exchange Server 2007/2010 (VSAPI 2.6) Cette version de Microsoft Exchange Server comprend VSAPI version 2,6. Si vous décochez l'option Activer la protection antivirus et antispyware de VSAPI 2.6, le plugiciel de ESET Mail Security pour le serveur Exchange ne sera pas déchargé des processus du serveur Microsoft Exchange. Il ne fera que passer à travers les messages sans les analyser à la recherche de virus. Les messages seront cependant analysés pour y détecter du pourriel 39 et les règles 21 seront appliquées. Si l'option Analyse proactive est cochée, les nouveaux messages entrants seront analysés dans l'ordre de réception. Si cette option est activée et qu'un utilisateur ouvre un message qui n'a pas encore été analysé, ce message sera analysé avant les autres messages de la file d'attente. L'option Analyse en arrière-plan permet d'analyser tous les messages en arrière-plan. Microsoft Exchange Server décide si l'analyse en arrière-plan sera ou non effectuée, en fonction de différents facteurs comme la charge actuelle du système, le nombre d'utilisateurs actifs, etc. Microsoft Exchange Server garde un journal des messages analysés et de la version de la base de données des signatures de virus utilisée. Si vous ouvrez un message qui n'a pas été analysé par la base de données des signatures de virus la plus actuelle, Microsoft Exchange Server enverra le message à ESET Mail Security qui l'analysera avant que celui-ci ne soit ouvert dans votre client de messagerie. Vous pouvez choisir d'analyser seulement les messages avec pièces jointes et de les filtrer en fonction de l'heure de réception, en utilisant les options du niveau d'analyse suivantes : Tous les messages Messages reçus au cours de la dernière année Messages reçus au cours des six derniers mois Messages reçus au cours des trois derniers mois Messages reçus au cours du dernier mois Messages reçus au cours de la dernière semaine Puisque l'analyse en arrière-plan peut avoir des répercussions sur la charge du système (l'analyse est effectuée après chaque mise à jour de la base de données des signatures de virus), nous vous recommandons d'utiliser l'analyse planifiée en dehors des heures de travail. L'analyse planifiée ou en arrière-plan peut être configurée par une tâche spéciale dans le planificateur. Lorsque vous planifiez une tâche d'analyse en arrière-plan, vous pouvez définir l'heure de début, le nombre de répétitions ainsi que d'autres paramètres disponibles dans le Planificateur. Une fois la tâche planifiée, elle s'affichera dans la liste des tâches planifiées et, tout comme les autres tâches, vous pourrez en 33 modifier les paramètres, la supprimer ou la désactiver temporairement. Cocher l'option Analyser les corps des messages en RTF active l'analyse des corps des messages en RTF. Les corps des messages en RTF peuvent contenir des virus intégrés dans des macros. REMARQUE : Les corps des messages en texte brut ne seront pas analysés par VSAPI. 3.2.1.1.4.1 Actions Dans cette section, vous pouvez préciser les actions à effectuer lorsqu'un message ou une pièce jointe est jugé infecté. Le champ Action à exécuter si le nettoyage est impossible vous permet de Bloquer le contenu infecté, de Supprimer l'objet, soit le contenu infecté du message, de Supprimer le message entier ou de n'effectuer Aucune action. Cette action ne sera appliquée sur le le nettoyage automatique (défini dans Paramètres du moteur ThreatSense>Nettoyage 80 ) n'a pas nettoyé le message. Comme cela est décrit ci-haut, vous pouvez sélectionner l'Action à exécuter si le nettoyage est impossible : Aucune action - aucune action n'est effectuée sur le contenu infecté du message Bloquer - bloque le message avant qu'il n'entre dans l'espace de stockage de Microsoft Exchange Supprimer l'objet - supprime le contenu infecté du message Supprimer le message entier - supprime l'ensemble du message, y compris le contenu infecté L'option Suppression vous permet toujours de choisir le Mode de suppression des messages et le Mode de suppression de la pièce jointe. Vous pouvez sélectionner les options suivantes dans le Mode de suppression du corps du message : Supprimer le corps du message - Supprime le corps du message infecté; le destinataire recevra alors un message vide et toute pièce jointe non infectée Récrire le corps du message avec l'information sur l'action - Réécrit le corps du message en y ajoutant de l'information sur les actions effectuées Supprimer le message entier - Supprime tout le message, y compris les pièces jointes; vous pouvez configurer l'action à effectuer au moment de supprimer les pièces jointes. Vous pouvez configurer les options suivantes dans Mode de suppression de la pièce jointe : Tronquer le fichier à une longueur de zéro - ESET Mail Security Tronque la pièce jointe à une taille de zéro, tout en permettant au destinataire de voir le nom et le type de fichier Remplacer la pièce jointe par l'information sur l'action - ESET Mail Security Remplace le fichier infecté par une description de la règle ou du protocole utilisé pour ce virus Supprimer le message entier - Supprime la pièce jointe. Si l'option Utiliser la quarantaine de VSAPI est cochée, les messages infectés seront conservés dans le dossier de quarantaine, sur le serveur de messagerie. Veuillez noter que nous faisons ici référence au dossier de quarantaine de VASPI géré par le serveur et non au dossier de quarantaine du client ou à celui de la boîte aux lettres. Les messages infectés, stockés dans le dossier de quarantaine du serveur de messagerie, seront inaccessibles, tant qu'ils n'auront pas été nettoyés par la plus récente base de données des signatures de virus. Cliquer sur le bouton Analyser à nouveau permettra d'effectuer une autre analyse des messages et fichiers ayant déjà été analysés. 3.2.1.1.4.2 Performance Dans cette section, vous pouvez définir le nombre de fils d'analyse indépendants utilisés en même temps. Un plus grand nombre de fils d'analyse sur des machines multiprocesseurs peut faire augmenter le taux d'analyse. Cependant, pour vous assurer d'obtenir la meilleure performance, il est conseillé d'utiliser un nombre égal de moteurs d'analyse ThreatSense et de fils d'analyse. Conseil : Pour déterminer le nombre de fils d'analyse recommandé par le fournisseur de Microsoft Exchange Server, utilisez la formule suivante : [nombre de processeurs physiques] x 2 + 1. REMARQUE : La performance n'augmentera de façon importante si le nombre de moteurs d'analyse ThreatSense est supérieur au nombre de fils d'analyse. 34 3.2.1.1.5 Agent de transport Dans cette section, vous pouvez activer ou désactiver la protection antivirus et antispyware assurée par l'agent de transport. Pour Microsoft Exchange Server 2007 et les versions ultérieures, vous ne pourrez installer d'agent de transport que si le serveur a été configuré pour jouer l'un des deux rôles suivants : Transport Edge ou Transport Hub. Si un message ne peut être nettoyé, il sera alors traité conformément aux paramètres de la section Agent de transport. Le message peut être supprimé, envoyé dans la boîte aux lettres de la mise en quarantaine ou conservé. Si vous décochez l'option Activer la protection antivirus et antispyware par l'entremise de l'agent de transport, le plugiciel de ESET Mail Security pour le serveur Exchange ne sera pas déchargé des processus du serveur Microsoft Exchange. Il ne fera que passer à travers les messages sans les analyser à la recherche de virus. Les messages seront cependant analysés pour y détecter du pourriel 39 et les règles 21 seront appliquées. Lorsque l'option Activer la protection antivirus et antispyware par l'entremise de l'agent de transport est activée, vous pouvez définir les actions à exécuter si le nettoyage est impossible : Conserver le message - Conserve le message infecté qui ne peut pas être effacé Mettre en quarantaine - Envoie un message infecté dans la boîte aux lettres de la mise en quarantaine Supprimer message - Supprime un message infecté. Lorsqu'une menace est trouvée, écrire la note attribuée au pourriel dans l'en-tête des messages analysés (%) - Attribue une valeur de pourriel (la possibilité que le message soit un pourriel) particulière, exprimée en pourcentage. Ainsi, si une menace est trouvée, la note attribuée au pourriel (précisé en %) sera indiquée dans le message analysé. Puisque des réseaux de zombies sont chargés d'envoyer la majorité des messages infectés, les messages remis de cette façon seront catégorisés comme des pourriels. Pour que cette fonctionnalité soit utilisée de façon efficace, l'option Écrire le seuil de probabilité du pourriel dans les messages analysés en fonction de la note attribuée au pourriel de Protection du serveur> Microsoft Exchange Server > Agent de transport 20 doit être activée. Si l'option Analyser également les messages reçus des connexions authentifiées ou internes est aussi activée, ESET Mail Security analysera également les messages reçus de sources ou de serveurs locaux authentifiés. L'analyse de ces messages est recommandée puisqu'elle augmente encore la protection, mais cette option est toutefois facultative. 35 3.2.2 Actions Dans cette section, vous pouvez choisir d'ajouter une ID de tâche d'analyse ou l'information sur le résultat de l'analyse dans l'en-tête des messages analysés. 3.2.3 Alertes et notifications ESET Mail Security permet également d'ajouter du texte à l'objet ou au corps original des messages infectés. 36 Ajouter au corps des messages analysés : trois options sont offertes : Ne pas ajouter aux messages Ajouter aux messages infectés seulement Ajouter à tous les messages analysés (ne s'applique pas aux messages internes) Lorsque l'option Ajouter aux messages infectés seulement est activée,ESET Mail Security ajoutera une étiquette de notification à l'objet du message contenant la valeur définie dans le champ de texte Texte ajouté à l'objet des messages infectés (par défaut [virus %VIRUSNAME%]). Ces modifications peuvent automatiser le filtrage des messages infectés en filtrant les messages comportant un sujet particulier (si le client de messagerie prend en charge cette fonctionnalité) pour les envoyer dans un dossier distinct. REMARQUE : Vous pouvez également utiliser les variables système au moment d'ajouter un modèle à l'objet du message. 3.2.4 Exclusions automatiques Les développeurs d'applications serveur et de systèmes d'exploitation recommandent d'exclure de l'analyse antivirus les ensembles de fichiers et de dossiers de travail critiques de bon nombre de leurs produits. Les analyses antivirus peuvent avoir des répercussions négatives sur la performance d'un serveur, ce qui générera des conflits et pourrait même empêcher certaines applications d'être exécutées sur le serveur. Les exclusions aident à minimiser le risque de conflits potentiels et augmentent la performance globale du serveur sur lequel s'exécute un logiciel antivirus. ESET Mail Security identifie les applications serveur critiques et les fichiers du système d'exploitation du serveur et les ajoute automatiquement à la liste d'exclusions. Une fois ajouté à la liste, le processus serveur ou l'application peut alors être activé (par défaut) en cochant la case appropriée ou désactivé en décochant la case, ce qui aura l'effet suivant : 1) Si une exclusion pour l'application ou le système d'exploitation reste activée, n'importe lequel de ses fichiers ou dossiers critiques sera alors ajouté à la liste de fichiers exclus de l'analyse (Configuration avancée > Protection de l'ordinateur > Antivirus et antispyware > Exclusions). Chaque fois que le serveur est redémarré, le système vérifie automatiquement les exclusions et restaure toute exclusion pouvant avoir été supprimée de la liste. Ce paramètre constitue le réglage recommandé si vous voulez vous assurer que les extensions automatiques recommandées sont toujours appliquées. 2) Si l'utilisateur désactive une exclusion pour une application ou un système d'exploitation, ses fichiers et dossiers critiques resteront dans la liste des fichiers exclus de l'analyse (Configuration avancée > Protection de l'ordinateur > Antivirus et antispyware > Exclusions). Cependant, ils ne seront désormais plus vérifiés automatiquement ni ajoutés automatiquement à la liste des exclusions chaque fois que le serveur est redémarré (voir le point 1 ci-dessus). Seuls les utilisateurs avancés qui veulent retirer ou modifier certaines des exclusions standards devraient utiliser ce paramètre. Si vous voulez retirer des exclusions de la liste sans redémarrer le serveur, vous devrez les retirer manuellement de la liste (Configuration avancée > Protection de l'ordinateur > Antivirus et antispyware > Exclusions). Toute exclusion définie par l'utilisateur et entrée manuellement dans Configuration avancée > Protection de l'ordinateur > Antivirus et antispyware > Exclusions ne sera pas modifiée par les paramètres décrits ci-dessus. Les exclusions automatiques pour les applications serveur et le système d'exploitation du serveur seront définies en fonction des recommandations de Microsoft. Pour plus de détails à ce sujet, veuillez consulter les liens suivants : http://support.microsoft.com/kb/822158 http://support.microsoft.com/kb/245822 http://support.microsoft.com/kb/823166 http://technet.microsoft.com/fr-fr/library/bb332342(EXCHG.80).aspx http://technet.microsoft.com/fr-fr/library/bb332342.aspx 37 3.3 Protection antipourriel Dans la section Protection antipourriel, vous pouvez activer ou désactiver la protection antipourriel pour le serveur de messagerie installé, configurer les paramètres du moteur antipourriel et définir d'autres niveaux de protection. REMARQUE: Il est nécessaire que la base de données antipourriel mise à jour régulièrement pour que le module antipourriel puisse fournir la meilleure protection possible. Pour permettre les mises à jour régulières correctes de la base de données antipourriel, vous devrez vous assurer queESET Mail Security a accès à certaines adresses IP sur des ports particuliers. Pour plus d'informations les IP et les ports à activer sur votre pare-feu de tierce partie, lisez cet article de la base de connaissances. REMARQUE: De plus, les miroirs 90 ne peuvent pas être utilisés pour mettre à jour les bases de données antipourriel. Pour que les mises à jour de bases de données antipourriel fonctionnent correctement, ESET Mail Security doit avoir accès aux adresses IP répertoriées dans l'article mentionné ci-dessus. S'il ne peut pas accèder à ces IP, le module antipourriel ne sera pas en mesure de fournir des résultats plus précis, et donc la meilleure protection possible. 38 3.3.1 Microsoft Exchange Server 3.3.1.1 Agent de transport Dans cette section, vous pouvez configurer les options de la protection antipourriel utilisant l'agent de transport. REMARQUE : L'agent de transport n'est pas disponible dans Microsoft Exchange Server 5.5. Lorsque vous choisissez d'Activer la protection antipourriel par l'agent de transport, vous devez sélectionner l'une des options suivantes comme Action à exécuter sur les pourriels : Conserver le message - Conserve le message, même s'il est marqué comme pourriel Mettre en quarantaine - Envoie un message marqué comme pourriel dans la boîte aux lettres de la mise en quarantaine Supprimer le message - Supprime un message marqué comme pourriel. Si vous voulez inclure de l'information sur la note attribuée au pourriel dans l'en-tête du message, sélectionnez l'option Écrire la note attribuée au pourriel dans l'en-tête des messages analysés. La fonction Utiliser les listes blanches Exchange Server pour contourner la protection antipourriel permet à ESET Mail Security d'utiliser les « listes blanches » Exchange particulières. Lorsqu'elle est activée, les points suivants sont pris en compte : L'envoi de l'adresse IP du serveur est sur la liste des adresses IP autorisées du serveur Exchange L'indicateur de contournement antipourriel est configuré sur la boîte aux lettres du destinataire du message L'adresse de l'expéditeur figure sur la liste des expéditeurs approuvés du destinataire du message (assurez-vous que vous avez configuré la synchronisation de la liste des expéditeurs fiables au sein de votre environnement de serveur Exchange, y compris l'agrégation de listes fiables) Si l'un de ces cas s'applique à un message entrant, la vérification antipourriel ne sera pas effectuée sur ce message, et il ne sera pas évalué comme POURRIEL et sera livré dans la boîte aux lettres du destinataire. L'indicateur d'acceptation du contournement antipourriel configuré sur la session SMTP est utile lorsque vous avez des sessions SMTP authentifiées entre les serveurs Exchange avec configuration du contournement antipourriel. Par exemple, lorsque vous avez un serveur Edge et un serveur Hub, il n'est pas nécessaire pour l'analyser le trafic entre ces deux serveurs à la recherche de pourriel. L'indicateur d'acceptation du contournement antipourriel configuré sur la session SMTP est activé par défaut et il s'applique quand iindicateur de contournement antipourriel est configuré pour la session SMTP sur le serveur Exchange. Si vous désactivez l' indicateur d'acceptation du contournement antipourriel configuré sur la session SMTP en décochant la case, 39 ESET Mail Security analysera la session SMTP à la recherche de pourriel sans tenir compte de la configuration du contournement antipourriel du serveur Exchange. La fonction Activer l'ajout à la liste grise active une fonctionnalité qui protège les utilisateurs de la façon suivante contre les pourriels : l'agent de transport envoie une valeur de retour SMTP de « rejet temporaire » (la valeur par défaut étant 451/4.7.1) pour tout message reçu, ne provenant pas d'un expéditeur reconnu. Après un certain temps, un serveur légitime tentera de renvoyer le message. De façon générale, les serveurs de pourriel ne tentent pas de renvoyer le message puisqu'ils utilisent des milliers d'adresses courriel et ne perdront donc pas de temps à essayer de renvoyer un message. L'ajout à la liste grise est une autre couche de protection antipourriel, mais elle n'a aucun effet sur les capacités d'évaluation du pourriel du module antipourriel. Lorsque le module doit évaluer la source du message, il utilise, pour ce faire, une méthode qui tient compte de la configuration des listes suivantes, soit Adresses IP approuvées, Adresses IP ignorées, Expéditeurs sûrs et IP autorisé pour le serveur Exchange et les paramètres de contournement de la protection antipourriel de la boîte aux lettres du destinataire. Les messages provenant de ces listes d'adresses IP ou d'expéditeurs ou les courriels remis dans une boîte aux lettres pour laquelle l'option de contournement de la protection antipourriel a été activée, ne seront pas évalués par la méthode de détection par ajout à la liste grise. Le champ Réponse SMTP pour les connexions temporairement refusées définit la réponse de déni temporaire de SMTP envoyée au serveur SMTP lorsqu'un message est rejeté. Exemple d'un message de réponse SMTP : Code de réponse principal Code d'état complémentaire 451 4.7.1 Description Action demandée abandonnée : erreur locale de traitement Avertissement: Une syntaxe incorrecte des codes de réponse SMTP pourrait entraîner un mauvais fonctionnement de la protection par ajout à la liste grise. Ainsi, les pourriels pourraient être remis aux clients alors que d'autres messages pourraient ne jamais être remis à leurs destinataires. Délai pour le refus de la connexion initiale (min) - Lors de la première tentative de livraison d'un message temporairement refusé, ce paramètre définit la durée pendant laquelle le message sera toujours refusé (calculé à partir du premier refus). Une fois le délai écoulé, le message sera accepté. La valeur minimale que vous pouvez entrer est 1 minute. Délai d'expiration pour les connexions non vérifiées (heures) - Ce paramètre définit la durée minimale pendant laquelle le triplet de données sera conservé. Un serveur valide doit renvoyer tout message voulu avant l'expiration de cette période. Cette valeur doit être supérieure à la valeur du Délai pour le refus de la connexion initiale. Délai d'expiration pour les connexions vérifiées (jours) - le nombre minimal de jours pendant lequel le triplet de données sera conservé, soit le délai pendant lequel les messages envoyés par un expéditeur particulier seront immédiatement acceptés. Cette valeur doit être supérieure à la valeur du Délai d'expiration pour les connexions non vérifiées. REMARQUE : Vous pouvez également utiliser les variables système au moment de définir la réponse de refus SMTP. 3.3.1.2 Connecteur POP3 et protection antipourriel Les versions de Microsoft Windows Small Business Server (SBS) comprennent un connecteur POP3 qui permet au serveur d'aller chercher le courriel se trouvant sur des serveurs POP3 externes. La mise en œuvre de ce connecteur POP3 standard varie entre les différentes versions de SBS. ESET Mail Security prend en charge le connecteur POP3 pour Microsoft SBS sur SBS 2008 et les messages téléchargés par l'entremise de ce connecteur POP3 sont analysés afin de détecter le pourriel. Cela fonctionne parce que les messages sont transportés par SMTP dans Microsoft Exchange. ESET Mail Security ne prend cependant pas en charge le connecteur POP3 de Microsoft SBS 2003, ce qui veut dire que les messages ne seront pas analysés pour y détecter la présence de pourriel, simplement parce qu'ils contournent la file SMTP. Il existe également un certain nombre d'autres connecteurs POP3 tiers. Que les messages recueillis par l'entremise de certains connecteurs POP3 soient analysés ou non dépend de la méthode qu'utilise le connecteur POP pour aller chercher les messages. Par exemple, GFI POP2Exchange utilise le répertoire de collecte pour transporter les messages, ce qui fait qu'ils ne sont pas analysés pour y déceler la présence de pourriel. Des problèmes semblables peuvent apparaître avec les produits qui utilisent les sessions authentifiées pour transporter les messages (comme 40 IGetMail), notamment quand Microsoft Exchange marque ces messages comme des messages internes qui contournent, par défaut, la détection du pourriel. Ce paramètre peut être modifié dans le fichier de configuration. Exportez la configuration en xml, remplacez la valeur du paramètre AgentASScanSecureZone par "1" et réimportez la configuration (pour plus de détails sur la façon d'importer et d'exporter le fichier de configuration, consultez le chapitre Importation et exportation des paramètres 129 ). Vous pouvez également essayer de désactiver l'option Accepter l'indicateur de contournement de l'antipourriel réglé pour la session SMTP dans l'arborescence de la configuration avancée (touche F5) sous Protection du serveur > Protection antipourriel > Microsoft Exchange Server > Agent de transport. De ce fait, ESET Mail Security analysera la session SMTP pour y déceler la présence de pourriel, sans tenir compte du paramètre de contournement du pourriel configuré sur le serveur Exchange. 3.3.2 Moteur antipourriel Ici, vous pouvez configurer les paramètres du moteur antipourriel. Vous pouvez le faire en cliquant sur le bouton Configurer.... Une fenêtre dans laquelle vous pourrez configurer les paramètres du moteur antipourriel s'ouvrira alors. Catégorisation des messages Le moteur antipourriel de ESET Mail Security donne une note attribuée au pourriel variant entre 0 et 100 à tous les messages analysés. Modifier les limites des notes attribuées aux pourriels dans cette section aura les effets suivants : 1) déterminera si un message sera classé ou non comme POURRIEL ou n'étant PAS du pourriel. Tous les messages dont la note de pourriel est supérieur ou égal à la valeur Note attribuée au message pour qu'il soit traité comme pourriel sont considérés comme du pourriel. De ce fait, les actions définies dans l'agent de transport 39 s'appliqueront à ces messages. 2) Si un message est inscrit dans le journal antipourriel 97 (Outils > Fichiers journaux > Antipourriel). Tous les messages dont la note de pourriel est égale ou supérieure au Seuil à partir duquel un message sera traité comme pourriel ou message propre probable : seront inscrits dans le journal. 3) la section de statistiques de blocage du pourriel dans laquelle sera inscrit le message visé (État de la protection > Statistiques > Protection antipourriel du serveur de messagerie) : Message considéré comme n'étant PAS DU POURRIEL - la note attribuée au pourriel de ce message est égale ou supérieure à la valeur de la Note attribuée au message pour qu'il ne soit pas traité comme pourriel Message considéré comme POURRIEL probable : - la note attribuée au pourriel est égale ou supérieure à la valeur du Seuil à partir duquel un message sera traité comme pourriel ou message propre probable Message considéré comme n'étant probablement PAS DU POURRIEL - la note attribuée au pourriel de ce message est inférieure à la valeur du Seuil à partir duquel un message sera traité comme pourriel ou message propre probable Message considéré comme n'étant PAS DU POURRIEL - la note attribuée au pourriel de ce message est égale ou inférieure à la valeur de la Note attribuée au message pour qu'il ne soit pas traité comme pourriel 3.3.2.1 Configuration des paramètres du moteur antipourriel 3.3.2.1.1 Analyse Dans cette section, vous pouvez configurer la manière dont les messages sont analysés et traités pour le POURRIEL. Analyser les pièces jointes au message - Cette option vous permet de choisir si le moteur antipourriel analysera et examinera les pièces jointes lors du calcul de la note de pourriel. Utiliser les deux sections MIME - Le moteur antipourriel analysera les sections MIME texte/brut et texte/html du message. Si vous désirez davantage de performance, il est possible d'analyser seulement une section. Si cette option est décochée (désactivée), seule une section sera anlysée. Taille de la mémoire pour le calcul de la note (en octets) : - Cette option indique au moteur antipourriel de ne pas lire plus d'un nombre configurable d'octets du tampon d'un message lors du traitement des règles. Taille de la mémoire pour le calcul de l'échantillon (en octets) : - Cette option indique au moteur antipourriel de ne pas lire plus que les octets définis lors du calcul de l'empreinte du message. Elle permet d'obtenir des empreintes 41 cohérentes. Utiliser la mémoire cache LegitRepute - Cette fonction permet d'utiliser un cache LegitRepute pour réduire les faux positifs, en particulier pour les bulletins. Convertir en UNICODE - Cette fonction améliore la précision et le débit pour les corps de courriels en unicode, en particulier pour les langues codées sur deux octets, en convertissant le message en code sur un seul octet. Utiliser la mémoire cache du domaine - Cette fonction permet d'utiliser un cache de la réputation des domaines. Si elle est activée, les domaines sont extraits des messages et comparés par rapport au cache de réputation des domaines. 3.3.2.1.1.1 Échantillons Utiliser la mémoire cache - Cette fonction permet d'utiliser un cache d'empreintes (activé par défaut). Activer MSF - Cette fonction permet l'utilisation d'un autre algorithme de génération d'empreintes connu sous le nom de MSF. Lorsqu'elle est activée, vous pouvez configurer les limites et seuils suivants : Nombre de messages désignant un message en vrac : - Cette option précise combien de messages similaires sont nécessaires afin de considérer une message comme un envoi en vrac. Fréquence de vidage de la mémoire cache : - Cette option permet de préciser une variable interne qui détermine la fréquence à laquelle le cache MSF en mémoire est effacé. Sensibilité de correspondance de deux échantillons : - Cette option précise le seuil de pourcentage de correspondance entre deux empreintes. Si le pourcentage de correspondance est supérieur à ce seuil, les messages sont considérés comme étant identiques. Nombre d'échantillons enregistrés en mémoire : - Cette option précise le nombre d'empreintes MSF à garder en mémoire. Plus le nombre est élevé, plus la mémoire est utilisée, mais également plus élevée est l'exactitude. 3.3.2.1.1.2 SpamCompiler Activer SpamCompiler - Cette fonction permet d'accélérer le traitement des règles mais nécessite davantage de mémoire. Version préférée : - Cette fonction permet de préciser quelle version de SpamCompiler utiliser. Lorsqu'elle est configurée à Automatique, le moteur antipourriel choisira la meilleure version à utiliser. Utiliser la mémoire cache - Si cette option est activée, SpamCompiler stockera les données compilées sur le disque plutôt qu'en mémoire afin de réduire l'utilisation de mémoire. Liste des fichiers de mémoire cache : - Cette option permet de préciser les fichiers de règles sont compilés sur le disque plutôt qu'en mémoire. Configurez les indices des fichiers de règles qui seront stockés dans la mémoire cache du disque. Pour gérer les indices des fichiers de règles, vous pouvez : Ajouter... Modifier... Retirer REMARQUE: Les seuls caractères acceptés sont des chiffres. 42 3.3.2.1.2 Apprentissage Utiliser l'apprentissage pour la note d'empreinte des messages - Cette fonction active l'apprentissage pour la compensation de la note d'empreinte. Utiliser les mots d'apprentissage - Cette option détermine si l'analyse bayésienne des mots est utilisée. La précision peut en être considérablement améliorée, mais la quantité de mémoire utilisée est supérieure et l'analyse légèrement plus lente. Nombre de mots en mémoire cache : - Cette option précise le nombre de mots du cache à tout moment. Plus le nombre est élevé, plus la mémoire est utilisée, mais également plus élevée est l'exactitude. Pour saisir le nombre, activez l'option d'abord Utiliser les mots d'apprentissage. Utiliser la base de données d'apprentissage seulement pour la lecture : - Cette option détermine si le mot, les règles et les bases de données d'apprentissage des empreintes peuvent être modifiées ou sont en lecture seule après le chargement initial. Une base de données en lecture seule est plus rapide. Sensibilité d'apprentissage automatique : - Cette fonction permet de configurer un seuil pour l'autoapprentissage. Si un message a une note supérieure ou égale au seuil supérieur, ce message est considéré comme un pourriel défini et est ensuite utilisé pour former tous les modules bayésiens activés (règles ou mot), mais pas l'expéditeur ou l'empreinte. Si un message a une note inférieure ou égale au seuil inférieur, ce message est considéré comme un message légitime défini et est ensuite utilisé pour former tous les modules bayésiens activés (règles ou mot), mais pas l'expéditeur ou l'empreinte. Pour saisir les seuils supérieur et inférieur, activez d'abord l'option Utiliser la base de données d'apprentissage seulement pour la lecture. Quantités minimales de données d'apprentissage : - Initialement, seuls les pondérations de règles sont utilisées pour calculer la note de courriel. Une fois qu'un ensemble minimum de données d'apprentissage est constitué, les données d'apprentissage des règles/mots remplacent les pondérations de règles. Le minimum est de 100 par défaut ce qui signifie que la base doit être formée d'au moins 100 messages équivalents reconnus légitimes et 100 messages de pourriel équivalents (soit un total de 200 messages) avant que les données d'apprentissage ne remplacent les pondérations de règles. Si le nombre est trop faible, la précision sera médiocre en raison de données insuffisantes. Si le nombre est trop élevé, les données d'apprentissage ne seront pas pleinement mises à profit. Une valeur de 0 entrainera l'ignorance systèmatique des pondérations de règles. Utiliser seulement les données d'apprentissage - Cette fonction permet de choisir s'il faut accorder la préséance complète aux données d'apprentissage. Si elle est activée, la note sera basée uniquement sur les données d'apprentissage. Si elle est désactivée (non cochée), les règles et les données d'apprentissage seront utilisées en même temps. Nombre de messages analysés avant de les écrire sur le disque : - Pendant l'apprentissage, le moteur antipourriel traitera un nombre configurable de messages avant d'écrire la base de données d'apprentissage sur le disque. Cette option détermine le nombre de messages à traiter avant d'écrire sur le disque. Pour des performances optimales, ce nombre doit être aussi élevé que possible. Dans un cas inhabituel, quand un programme est interrompu de manière inattendue avant que le tampon soit écrit sur le disque, l'apprentissage acquis depuis la dernière écriture sur le disque sera perdu. Le tampon est écrit sur le disque lors de la fermeture normale. Utiliser les données des pays pour l'apprentissage - Cette fonction détermine si les informations d'acheminement du pays doivent être considérés lors de l'apprentissage et de la notation des messages. 3.3.2.1.3 Règles Utiliser les règles - Cette option permet de choisir d'utiliser les régles d'heuristique plus lente ou non. La précision peut en être considérablement améliorée, mais la quantité de mémoire utilisée est supérieure et l'analyse beaucoup plus lente. Utiliser l'extension de l'ensemble de règles - Cette fonction permet d'activer l'ensemble de règles étendu. Utiliser la seconde extension de l'ensemble de règles - Cette fonction permet d'activer le second ensemble de règles étendu. Pondération des règles : - Cette option permet de contourner les pondérations liées aux règles individuelles. Liste des fichiers de règles téléchargés : - Cette option précise quels sont les fichiers de règles téléchargés. Pondération de catégories : - Cette fonction permet à l'utilisateur de régler les pondérations des catégories utilisées dans SC18 et dans les fichiers utilisés dans la liste des règles personnalisées. Catégorie : Les noms des catégories sont actuellement limités à SPAM, PHISH, BOUNCE, ADULT, FRAUD, BLANK, FORWARD et REPLY. Le champ est sensible à la casse. Note : Tout entier ou BLOQUER ou APPROUVER. La pondération des règles 43 correspondant à la catégorie est multipliée par le facteur d'échelle afin de produire une nouvelle pondération efficace. Liste des règles personnalisées : - Cette fonction permet à l'utilisateur de préciser une liste de règles personnalisées (pourriel, légitime ou mots/phrases d'hameçonnage). Les fichiers de règles contiennent des expressions au format suivant sur des lignes distinctes : expression, type, confiance, caseSensitivity. Les expressions peuvent comprendre n'importe quel texte sauf des virgules. Toutes les virgules de l'expression doivent être supprimées. Le type peut être SPAM, PHISH, BOUNCE, ADULT, ou FRAUD. Si rien d'autre n'est précisé, le type est automatiquement considéré comme SPAM (pourriel). La confiance peut être un nombre de 1 à 100. Si le type est SPAM, 100 indique le degré le plus élevé de confiance en sa nature de pourriel. Si le type est PHISH, 100 indique le degré le plus élevé de confiance en sa nature d'hameçonnage. Si le type est BOUNCE, 100 indique le degré le plus élevé de confiance dans le fait que l'expression est liée à des renvois. Un plus haut degré de confiance est susceptible d'affecter davantage la note finale. Une valeur de 100 est un cas spécial. Si le type est SPAM, 100 donnera la note 100 au message. Si le type est PHISH, 100 donnera la note 100 au message. Si le type est BOUNCE, 100 donnera la note 100 au message. Comme toujours, toute liste blanche contourne toute liste noire. Une valeur de 1 pour CaseSensitivity signifie que l'analyse des expressions sera sensible à la casse, 0 signifie qu'elle ne le sera pas. Exemples : j'aime les pourriels, SPAM, 100,0 j'aime l'hameçonnage, PHISH, 90,1 retour à l'expéditeur, BOUNCE, 80,0 La première ligne signifie que toutes les variantes de « j'aime les pourriels » sont considérées comme pourriel avec une confiance de 100. L'expression est insensible à la casse. La deuxième ligne signifie que toutes les variantes de « j'aime l'hameçonnage » sont considérées comme hameçonnage avec une confiance de 90. L'expression est sensible à la casse. La troisième ligne signifie que toutes les variantes de « retour à l'expéditeur » sont considérées comme renvoi avec une confiance de 80. L'expression est insensible à la casse. Effacer les anciennes règles après leur mise à jour - Le moteur antipourriel, par défaut, efface les fichiers de règles les plus anciens du répertoire de configuration lorsqu'un nouveau fichier est récupéré depuis le réseau SpamCatcher. Cependant, certains utilisateurs du moteur antipourriel voudront archiver les fichiers de règles plus anciens. Pour ce faire, il suffit de désactiver cette fonction d'effacement. Afficher la notification après mise à jour réussie des règles 3.3.2.1.3.1 Pondération des règles Configurez les indices de fichiers de règles et leur pondération. Pour ajouter une pondération de règle, cliquez sur le bouton Ajouter.... Pour la modifier, cliquez sur le bouton Modifier. Pour la supprimer, cliquez sur le bouton Retirer . Précisez les valeurs Indice et Pondération. 3.3.2.1.3.2 Liste des fichiers de règles téléchargés Configurez les indice sde fichiers de règles qui doivent être téléchargés sur le disque. Utilisez les boutons Ajouter, Modifier et Retirer pour gérer les indices de fichiers de règles. 3.3.2.1.3.3 Pondération de catégories Configurez les catégories de règles et leur pondération. Utilisez les boutons Ajouter..., Modifier... et Retirer pour gérer les catégories et leur pondération. Pour ajouter une pondération de catégorie, sélectionnez une Catégorie : dans la liste. Les catégories suivantes sont disponibles : POURRIEL Hameçonnage Rapport de non-livraison Messages avec un contenu adulte Messages frauduleux Messages vides Messages réacheminés Messages de réponse 44 Puis sélectionnez une action : Autoriser Bloquer Pondération : 3.3.2.1.3.4 Liste des règles personnalisées Vous pouvez utiliser des fichiers de règles personnalisées contenant certaines phrases. Ce sont, en fait, des fichiers . txt files. Pour plus de détails et pour connaître les formats des phrases, consultez la rubrique Règles 43 (section Liste des règles personnalisées). Pour utiliser des fichiers contenant les règles personnalisées qui seront utilisés pour analyser les messages, vous devez les déposer dans l'emplacement suivant : si vous utilisez Windows Server 2008 ou une version ultérieure, le chemin est le suivant : C:\ProgramData\ESET\ESET Mail Security\ServerAntispam si vous utilisez Windows Server 2003 ou une version précédente, le chemin est le suivant : C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam Pour charger les fichiers, appuyez sur le bouton ... (parcourir), rendez-vous jusqu'à l'emplacement indiqué cidessus, et sélectionnez le fichier texte (*.txt). Utilisez les boutons Ajouter, Modifier et Retirer pour gérer la liste des règles personnalisées. REMARQUE : Le fichier .txt contenant les règles personnalisées doit être placé dans le dossier ServerAntispam sinon ce fichier ne pourra être chargé. 3.3.2.1.4 Filtrage Dans cette section, vous pouvez configurer les listes d'expéditeurs autorisés, bloqués et ignorés en précisant des critères tels que l'adresse IP ou la plage d'adresses IP, le nom de domaine, l'adresse de courriel, etc. Pour ajouter, modifier ou supprimer des critères, il suffit d'accéder à la liste que vous voulez gérer et de cliquer sur le bouton approprié. 3.3.2.1.4.1 Expéditeurs autorisés La liste blanche des expéditeurs et des domaines peut contenir une adresse courriel ou un domaine. Les adresses sont saisies au format « boite@domaine » et les domaines simplement au format « domaine ». REMARQUE: Les espaces blancs en tête et en fin de ligne sont ignorés, les expressions régulières ne sont pas prises en charge et l'astérisque (*) est également ignoré. 3.3.2.1.4.2 Expéditeurs bloqués La liste noire des expéditeurs et des domaines peut contenir une adresse courriel ou un domaine. Les adresses sont saisies au format « boite@domaine » et les domaines simplement au format « domaine ». REMARQUE: Les espaces blancs en tête et en fin de ligne sont ignorés, les expressions régulières ne sont pas prises en charge et l'astérisque (*) est également ignoré. 3.3.2.1.4.3 Adresses IP autorisées Cette option vous permet de préciser les adresses IP qui doivent être autorisées. Les plages peuvent être précisées de trois façons : a) IP de début - IP de fin b) Adresse IP et masque de réseau c) Adresse IP Si la première des adresses IP non ignorées des en-têtes Reçu correspond à l'un des éléments de cette liste, le message est marqué d'un 0 et aucune autre vérification n'est effectuée. 45 3.3.2.1.4.4 Adresses IP ignorées Cette option vous permet de préciser les IP qui doivent être ignorées lors des vérifications RBL. Les adresses IP suivantes sont toujours implicitement ignorées : 10.0.0.0/8, 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0 Les plages peuvent être précisées de trois façons : a) IP de début - IP de fin b) Adresse IP et masque de réseau c) Adresse IP 3.3.2.1.4.5 Adresses IP bloquées Cette option vous permet de préciser les adresses IP qui doivent être bloquées. Les plages peuvent être précisées de trois façons : a) IP de début - IP de fin b) Adresse IP et masque de réseau c) Adresse IP Si l'une des adresses IP des en-têtes Reçu correspond à l'un des éléments de cette liste, le message est alors marqué d'un 100 et aucune autre vérification n'est effectuée. 3.3.2.1.4.6 Domaines autorisés Cette option vous permet de préciser les domaines et les adresses IP du corps qui doivent toujours être approuvés. 3.3.2.1.4.7 Domaines ignorés Cette option vous permet de préciser les domaines du corps qui doivent toujours être exclus des vérifications DNSBL et ignorés. 3.3.2.1.4.8 Domaines bloqués Cette option vous permet de préciser les domaines et les adresses IP du corps qui doivent toujours être bloqués. 3.3.2.1.4.9 Faux expéditeurs Cette fonction permet de bloquer les polluposteurs qui usurpent votre nom de domaine et d'autres noms de domaine. Par exemple, les polluposteurs utilisent souvent le nom de domaine du destinataire dans le champ du nom de domaine expéditeur. Cette liste vous permet de préciser quels serveurs de messagerie sont autorisés à utiliser quels noms de domaine dans le champ De. 3.3.2.1.5 Vérification La vérification est une fonction supplémentaire de la protection antipourriel. Elle permet de vérifier les messages au moyen de serveurs externes selon des critères définis. Choisissez une liste dans l'arborescence de configuration pour configurer ses critères. Les listes sont les suivantes : RBL (Liste noire en temps réel) LBL (Liste noire des dernières IP) DNSBL (Liste noire de serveurs DNS) 46 3.3.2.1.5.1 RBL (Liste noire en temps réel) Serveurs RBL : - Cette fonction permet de préciser une liste noire en temps réel (RBL) pour interroger les serveurs lors de l'analyse des messages. Veuillez consulter la section RBL dans le présent document pour plus d'informations. Sensibilité de vérification RBL : - Comme les vérifications RBL peuvent entrainer des temps de latence et une diminution des performances, cette option permet de lancer des vérifications RBL conditionnelles en fonction de la note avant d'effectuer les vérifications RBL. Si la note est supérieure à la valeur « supérieure » alors seuls les serveurs RBL qui ont une note inférieure à la valeur « supérieure » sont interrogés. Si la note est inférieure à la valeur « inférieure » alors seuls les serveurs RBL qui ont une note supérieure à la valeur « inférieure » sont interrogés. Si la note se situe entre les valeurs supérieure et inférieure, tous les serveurs RBL sont interrogés. Limite d'exécution de la requête RBL (en secondes) : - Cette option permet de définir un délai d'attente maximal pour terminer toutes les requêtes RBL. Les réponses RBL ne sont utilisées que si elles proviennent de serveurs RBL qui ont répondu à temps. Si la valeur est 0, il n'y a pas de délai d'attente maximal. Nombre maximum de domaines vérifiés par rapport à la liste RBL : - Cette option permet de limiter le nombre d'adresses IP interrogées par rapport au serveur RBL. Veuillez noter que le nombre total de requêtes RBL sera le nombre d'adresses IP dans les en-têtes Reçu (jusqu'à un maximum d'adresses IP vérifiées par rapport à la liste RBL) multiplié par le nombre de serveurs RBL précisés dans la liste RBL. Si la valeur est 0, un nombre illimité d'en-têtes sera vérifié. Veuillez noter que les adresses IP qui correspondent à la liste d'adresses IP ignorées ne comptent pas dans la limite des adresses IP RBL. Pour gérer la liste, utilisez les boutons Ajouter..., Modifier... ou Retirer. La liste comprend trois colonnes : Adresse Réponse Note 3.3.2.1.5.2 LBL (Liste noire des dernières IP) Serveurs LBL : - La fonctionne compare la dernière IP en cours de connexion à la liste des serveurs LBL. Vous pouvez préciser une recherche DNS différente pour la dernière adresse IP en cours de connexion. La dernière adresse IP en cours de connexion est comparée à la liste LBL plutôt qu'à la liste RBL. Par ailleurs, les options de la liste RBL comme le seuil RBL sont également appliqués à la liste LBL. Adresses IP qui ne seront pas vérifiées par rapport à la liste LBL : - Si la dernière IP en cours de connexion correspond à une adresse IP de la liste, elle est alors comparée aux serveurs RBL plutôt que LBL. Pour gérer la liste, utilisez les boutons Ajouter..., Modifier... ou Retirer. La liste comprend trois colonnes : Adresse Réponse Note Vous pouvez préciser ici les adresses IP qui ne seront pas vérifiées par rapport à la liste LBL. Pour gérer la liste, utilisez les boutons Ajouter..., Modifier... ou Retirer. 3.3.2.1.5.3 DNSBL (Liste de blocage DNS) Serveurs DNSBL : - Cette fonction permet de préciser une liste de serveurs DNS bloqués (DNSBL) à comparer avec les domaines et IP extraits du corps du message. Sensibilité de vérification DNSBL : - Si la note est supérieure à la valeur « supérieure » alors seuls les serveurs DNSBL qui ont une note inférieure à la valeur « supérieure » sont interrogés. Si la note est inférieure à la valeur « inférieure » alors seuls les serveurs DNSBL qui ont une note supérieure à la valeur « inférieure » sont interrogés. Si la note se situe entre les valeurs supérieure et inférieure, tous les serveurs DNSBL sont interrogés. Limite d'exécution de la requête DNSBL (en secondes) : - Permet de définir un délai d'attente maximal pour terminer toutes les requêtes DNSBL. Nombre maximum de domaines vérifiés par rapport à la liste DNSBL : - Permet de limiter le nombre de 47 domaines et d'adresses IP interrogés par rapport à la liste noire de serveurs DNS. Pour gérer la liste, utilisez les boutons Ajouter..., Modifier... ou Retirer. La liste comprend trois colonnes : Adresse Réponse Note 3.3.2.1.6 DNS Utiliser la mémoire cache - Cette fonction permet d'activer la mise en cache interne des requêtes DNS. Nombre de requêtes DNS enregistrées en mémoire : - Limite le nombre d'entrées du cache DNS interne. Enregistrer la mémoire cache sur le disque - Si cette fonction est activée, le cache DNS enregistre les entrées sur le disque lors de l'arrêt et les relit depuis le disque lors de l'initialisation. Adresse de serveur DNS : - Les serveurs DNS peuvent maintenant être explitement précisés pour contourner les valeurs par défaut. Accès DNS direct : - Lorsque cette option est réglée sur oui et que le serveur DNS n'est pas précisé, alors le moteur antipourriel enverra les requêtes LiveFeed directement aux serveurs LiveFeed. Cette option est ignorée si le serveur DNS est précisé, car celui-ci a la priorité. Cette option doit être réglée sur Oui lorsque les requêtes directes sont plus efficaces que les serveurs DNS par défaut. Durée de vie des requêtes DNS (en secondes) : - Cette option permet de définir un TTL minimum pour les entrées du cache DNS interne du moteur antipourriel. Cette option doit être précisée en seconde. Pour les réponses DNS dont la valeur TTL est inférieure au TTL minimum précisé, le cache interne du moteur antipourriel utilisera le TTL précisé à la place de la valeur TTL de la réponse DNS. 3.3.2.1.7 Note Activer l'historique des notes - Cette fonction permet de suivre l'historique des notes pour les expéditeurs réguliers. Arrêter l'analyse lorsque le seuil de la note de POURRIEL a été atteint - cette option permet d'indiquer au moteur de blocage du pourriel d'arrêter l'analyse du message lorsque cette note a été atteinte. Ce procédé peut réduire le nombre de règles et d'autres vérifications et, par conséquent, améliore le résultat. Utiliser l'analyse accélérée avant d'atteindre le seuil d'un message propre - Cette option vous permet de dire au moteur antipourriel d'ignorer les vérifications de règles lentes si le message est susceptible d'être légitime. Catégorisation des messages Note à partir de laquelle un message est considéré comme POURRIEL : - Le moteur antipourriel attribue au message analysé une note de 0 à 100. Régler des valeurs limites permet de déterminer quels messages sont considérés comme pourriel et quels messages ne le sont pas. Si vous définissez des valeurs incorrectes, la qualité des résultats de détection du moteur antipourriel peut en être affectée. Note qui représente la limite pour considérer un message comme possible pourriel ou probablement légitime : - Le moteur antipourriel attribue au message analysé une note de 0 à 100. Régler des valeurs limites permet de déterminer quels messages sont considérés comme pourriel et quels messages ne le sont pas. Si vous définissez des valeurs incorrectes, la qualité des résultats de détection du moteur antipourriel peut en être affectée. Note jusqu'à laquelle un message est considéré comme certainement légitime : - Le moteur antipourriel attribue au message analysé une note de 0 à 100. Régler des valeurs limites permet de déterminer quels messages sont considérés comme pourriel et quels messages ne le sont pas. Si vous définissez des valeurs incorrectes, la qualité des résultats de détection du moteur antipourriel peut en être affectée. 48 3.3.2.1.8 Appâts pour le pourriel Adresses de pourriel : - Si l'adresse RCPT TO de l'enveloppe SMTP correspond à une adresse courriel de cette liste, le fichier de statistiques enregistre les données du courriel comme envoyées à une adresse appât de pourriel. Les adresses doivent correspondre exactement (sauf la casse), les caractères génériques ne sont pas pris en charge. Adresses considérées comme inexistantes : - Si l'adresse RCPT TO de l'enveloppe SMTP correspond à une adresse courriel de cette liste, le fichier de statistiques enregistre les données du courriel comme envoyées à une adresse inexistante. Les adresses doivent correspondre exactement (sauf la casse), les caractères génériques ne sont pas pris en charge. 3.3.2.1.8.1 Adresses appâts pour le pourriel Vous pouvez définir des adresses courriels qui ne reçoivent que du POURRIEL. Pour ajouter une adresse de courriel, saisissez-la au format standard et cliquez sur le bouton Ajouter. Pour modifier une adresse de courriel existante, utilisez le bouton Modifier. Pour la supprimer, cliquez sur le bouton Retirer. 3.3.2.1.8.2 Adresses considérées comme inexistantes Vous pouvez définir des adresses courriels qui apparaîtront comme inexistantes pour l'extérieur. Pour ajouter une adresse de courriel, saisissez-la au format standard et cliquez sur le bouton Ajouter. Pour modifier une adresse de courriel existante, utilisez le bouton Modifier. Pour la supprimer, cliquez sur le bouton Retirer. 3.3.2.1.9 Communication Durée de la requête SpamLabs unique (en secondes) : - Cette fonction permet de limiter la durée de la requête unique auprès de la protection antipourriel que SpamLabs peut prendre. La valeur doit être précisée en secondes entières. La valeur 0 désactive la fonction et aucune limite n'est alors imposée. Utiliser le protocole v.4x : - Cette fonction permet de communiquer avec les SpamLabs de protection antipourriel pour déterminer la note à l'aide de l'ancien protocole v4.x, plus lent. Lorsque vous configurez cette option à Automatiquement, elle permet au moteur antipourriel pour utiliser automatiquement la fonction NetCheck comme solution de repli aux requêtes LiveFeed. Plage d'usage du protocole v4.x : - Comme les réseaux peuvent subir des temps de latence et une diminution des performances, cette option permet de lancer des vérifications de réseau conditionnelles en fonction de la note. Le réseau n'est interrogé que si la note se situe entre les valeurs inférieure et supérieure de la plage précisée au moyen de cette option. Adresse du serveur LiveFeed : - Cette fonction permet de préciser quel serveur interroger pour les requêtes LiveFeed. Durée de vie des requêtes LiveFeed (en secondes) : - Cette option permet de définir un TTL minimum pour les entrées du cache LiveFeed interne du moteur antipourriel. Cette option doit être précisée en seconde. Pour les réponses LiveFeed dont la valeur TTL est inférieure au TTL minimum précisé, le cache interne du moteur antipourriel utilisera le TTL précisé à la place de la valeur TTL de la réponse LiveFeed. Type d'authentification du serveur mandataire : - Cette option permet de préciser le type d'authentification du serveur mandataire HTTP à utiliser. 3.3.2.1.10 Performance Taille maximum de la pile de fils utilisée : - Cette fonction définit la taille maximale de la pile de fils à utiliser. Si la taille de la pile des fils est fixée à 64 Ko, cette variable devrait être fixée à 100 ou moins. Si la taille de la pile des fils est supérieure à 1 Mo, cette variable devrait être fixée à 10 000 ou moins. Si cette variable est configurée en dessous de 200, la précision peut être réduite par quelques pourcentages. Débit requis (en messages par seconde) : - Cette option vous permet de préciser le débit souhaité en messages par seconde. Le moteur antipourriel tentera d'atteindre ce niveau en optimisant les règles exécutées. Cette précision peut être réduite. La valeur 0 désactive l'option. Fusionner les fichiers incrémentiels en un seul - Le moteur antipourriel, par défaut, fusionne plusieurs fichiers incrémentiels et un fichier complet dans un seul fichier complet à jour. Cette fusion permet de réduire l'encombrement de fichiers dans le répertoire de configuration. 49 Télécharger seulement les fichiers incrémentiels - Le moteur antipourriel, par défaut, tentera de télécharger la combinaison la plus efficace de fichiers complets et incrémentiels. Il est possible d'obliger le moteur antipourriel à ne télécharger que les fichiers incrémentiels en configurant cette option à Oui. Taille maximale des fichiers incrémentiels : - Afin de réduire l'utilisation du processeur pendant que les fichiers de règles sont mis à jour, les fichiers du cache sur disque (sc*.tmp) ne sont plus générés à nouveau à chaque mise à jour de règle unique. Au contraire, ils sont générés à nouveau lorsqu'un nouveau fichier sc*.bin.full ou lorsque la somme des fichiers sc*.bin.incr augmente au-delà du nombre d'octets précisé dans la taille maximale des fichiers incrémentiels. Emplacement des fichiers temporaires : - Ce paramètre contrôle l'l'emplacement où le moteur antipourriel crée les fichiers temporaires. 3.3.2.1.11 Paramètres régionaux Liste des langues d'origine : - Cette option vous permet de régler vos langues préférées pour vos courriels. Les codes de pays sont les codes de langues à deux caractères de la liste ISO-639. Liste des pays d'origine : - Cette option vous permet de configurer une liste de pays qui sont considérés comme pays « d'origine ». Messages acheminés par un pays qui n'est pas sur cette liste seront notés de façon plus agressive. Si cette option est vide, aucune pénalité n'est mise en œuvre. Liste des pays bloqués : - Cette fonction permet de bloquer les messages par pays. Si une adresse IP de l'en-tête reçu correspond à un pays de la liste, le courriel sera considéré comme POURRIEL. Les codes de pays ne s'appliquent pas aux adresses des expéditeurs. Veuillez noter qu'il est possible pour un message d'avoir voyagé à travers différents pays avant d'atteindre la destination finale. Cette option n'atteint que 98 % de précision, le blocage de pays pouvant entraîner de faux positifs. Liste des jeux de caractères bloqués : - Cette fonction permet de bloquer les messages par jeu de caractères. La note de POURRIEL par défaut est fixée à 100, mais vous pouvez la régler séparément pour chaque jeu de caractère bloqué. Veuillez noter que la correspondance entre la langue et le jeu de cractère n'est pas précise à 100 % et que le blocage jeux de caractères peut entraîner des faux positifs. 3.3.2.1.11.1 Liste des langues d'origine Configurez les langues que vous considérez comme langues d'origine et dans lesquelles vous préférez recevoir des messages. Pour ajouter une langue d'origine sélectionnez-la dans la colonne Codes de langue : et cliquez sur le bouton Ajouter, afin de la déplacer dans la colonne des Langues d'origine. Pour supprimer la langue de la liste des Langues d'origine, sélectionnez son code et cliquez sur le bouton Retirer. Bloquer les langues autres que celles d'origine : - Cette option permet de choisir si les langues qui ne figurent pas parmi les langues d'origine seront bloquées ou non. Trois options sont offertes : Oui Non Automatiquement Liste des codes de langues (fondée sur la liste ISO 639) : Afrikaans Amharique Arabe Biélorusse Bulgare Catalan Tchèque Gallois Danois Allemand Grec Anglais Esperanto Espagnol Estonien Basque 50 af am ar be bg ca cs cy da de el en eo es et eu Perse Finois Français Frison Irlandais Gaëlique Hébreux Hindi Croate Hongrois Arménien Indonésien Islandais Italien Japonais Géorgien Coréen Latin Lituanien Letton Marathi Malais Népalais Néerlandais Norvégien Polonais Portugais Quechua Rhéto-roman Roumain Russe Sanskrit Écossais Slovaque Slovène Albanais Serbe Suédois Swahili Tamoul Thaï Tagalog Turque Ukrainien Vietnamien Yiddish Chinois fa fi fr fy ga gd he hi hr hu hy id is it ja ka ko la lt lv mr ms ne nl no pl pt qu rm ro ru sa sco sk sl sq sr sv sw ta th tl tr uk vi yi zh 3.3.2.1.11.2 Liste des pays d'origine Configurez les pays que vous considérez comme pays d'origine et à partir desquels vous préférez recevoir des messages. Pour ajouter un pays d'origine sélectionnez-le dans la colonne Code de pays : et cliquez sur le bouton Ajouter, afin de le déplacer dans la colonne des Pays d'origine. Pour supprimer le pays de la liste des Pays d'origine , sélectionnez le code de pays et cliquez sur le bouton Retirer. Liste des codes de pays (fondée sur la liste ISO 3166) : AFGHANISTAN ÅLAND ALBANIE ALGÉRIE SAMOA AMÉRICAINES ANDORRE ANGOLA AF AX AL DZ AS AD AO 51 ANGUILLA ANTARTIQUE ANTIGUA ET BARBUDA ARGENTINE ARMÉNIE ARUBA AUSTRALIE AUTRICHE AZERBAÏDJAN BAHAMAS BAHREÏN BANGLADESH BARBADE BIÉLORUSSIE BELGIQUE BÉLIZE BÉNIN BERMUDES BHOUTAN BOLIVIE BOSNIE-HERZÉGOVINE BOTSWANA ÎLE BOUVET BRÉSIL TERRITOIRE BRITANNIQUE DE L'OCÉAN INDIEN BRUNÉI DARUSSALAM BULGARIE BURKINA FASO BURUNDI CAMBODGE CAMEROUN CANADA CAP VERT ÎLES CAYMAN RÉPUBLIQUE DE CENTRAFRIQUE TCHAD CHILI CHINE ÎLE CHRISTMAS ÎLES COCOS (KEELING) COLOMBIE COMORES CONGO CONGO, RÉPUBLIQUE DÉMOCRATIQUE ÎLES COOK COSTA RICA CÔTE D'IVOIRE CROATIA CUBA CHYPRE RÉPUBLIQUE TCHÈQUE DANEMARK DJIBOUTI DOMINIQUE RÉPUBLIQUE DOMINICAINE ÉQUATEUR ÉGYPTE SALVADOR GUINÉE ÉQUATORIALE ÉRYTHRÉE ESTONIE 52 AI AQ AG AR AM AW AU AT AZ BS BH BD BB BY BE BZ BJ BM BT BO BA BW BV BR IO BN BG BF BI KH CM CA CV KY CF TD CL CN CX CC CO KM CG CD CK CR CI HR CU CY CZ DK DJ DM DO EC EG SV GQ ER EE ÉTHIOPIE ÎLES MALOUINES ÎLES FÉROÉ FIDJI FINLANDE FRANCE GUYANE FRANÇAISE POLYNÉSIE FRANÇAISE TERRES AUSTRALES FRANÇAISES GABON GAMBIE GÉORGIE ALLEMAGNE GHANA GIBRALTAR GRÈCE GROENLAND GRENADE GUADELOUPE GUAM GUATÉMALA GUINÉE GUINÉE-BISSAU GUYANE HAÏTI ÎLES HEARD-ET-MACDONALD SAINT-SIÈGE (ÉTAT DE LA CITÉ DU VATICAN) HONDURAS HONG KONG HONGRIE ISLANDE INDE INDONÉSIE IRAN, RÉPUBLIQUE ISLAMIQUE IRAQ IRLANDE ISRAËL ITALIE JAMAÏQUE JAPON JORDANIE KAZAKHSTAN KÉNYA KIRIBATI CORÉE, RÉPUBLIQUE POPULAIRE DÉMOCRATIQUE CORÉE, RÉPUBLIQUE KOWEÏT KIRGHIZISTAN RÉPUBLIQUE DÉMOCRATIQUE POPULAIRE DU LAOS LETTONIE LIBAN LESOTHO LIBÉRIA JAMAHIRIYA ARABE LIBYENNE LIECHTENSTEIN LITUANIE LUXEMBOURG MACAO ET FK FO FJ FI FR GF PF TF GA GM GE DE GH GI GR GL GD GP GU GT GN GW GY HT HM VA HN HK HU IS IN ID IR IQ IE IL IT JM JP JO KZ KE KI KP KR KW KG LA LV LB LS LR LY LI LT LU MO 53 MACÉDOINE, ANCIENNE RÉPUBLIQUE YOUGOSLAVE MADAGASCAR MALAWI MALAYSIE MALDIVES MALI MALTE ÎLES MARSHALL MARTINIQUE MAURITANIE MAURICE MAYOTTE MEXIQUE MICRONÉSIE, ÉTATS FÉDÉRÉS MOLDAVIE, RÉPUBLIQUE MONACO MONGOLIE MONTSERRAT MAROC MOZAMBIQUE MYANMAR (BIRMANIE) NAMIBIE NAURU NÉPAL PAYS-BAS ANTILLES NÉERLANDAISES NOUVELLE CALÉDONIE NOUVELLE ZÉLANDE NICARAGUA NIGER NIGÉRIA NIUE ÎLE NORFOLK ÎLES MARIANNES DU NORD NORVÈGE OMAN PAKISTAN PALAU TERRITOIRES PALESTINIENS, OCCUPÉS PANAMA PAPOUASIE NOUVELLE GUINÉE PARAGUAY PÉROU PHILIPPINES PITCAIRN POLOGNE PORTUGAL PUERTO RICO QATAR RÉUNION ROUMANIE FÉDÉRATION RUSSE RWANDA SAINTE-HÉLÈNE SAINT-CHRISTOPHE-ET-NIÉVÈS SAINTE LUCIE SAINT PIERRE ET MIQUELON SAINT VINCENT ET GRENADINES SAMOA SAINT-MARIN SAO TOMÉ-ET-PRINCIPE 54 MK MG MW MY MV ML MT MH MQ MR MU YT MX FM MD MC MN MS MA MZ MM NA NR NP NL AN NC NZ NI NE NG NU NF MP NO OM PK PW PS PA PG PY PE PH PN PL PT PR QA RE RO RU RW SH KN LC PM VC WS SM ST ARABIE SAOUDITE SÉNÉGAL SERBIE ET MONTÉNÉGRO SEYCHELLES SIERRA LEONE SINGAPOUR SLOVAQUIE SLOVÉNIE ÎLES SALOMON SOMALIE AFRIQUE DU SUD GÉORGIE DU SUD-ET-LES ÎLES SANDWICH DU SUD ESPAGNE SRI LANKA SOUDAN SURINAM SVALBARD ET JAN MAYEN SWAZILAND SUÈDE SUISSE RÉPUBLIQUE ARABE SYRIENNE TAÏWAN, PROVINCE DE CHINE TADJIKISTAN TANZANIE, RÉPUBLIQUE UNIE THAÏLANDE TIMOR ORIENTAL TOGO TOKELAU TONGA TRINIDAD ET TOBAGO TUNISIE TURQUIE TURKMÉNISTAN ÎLES TURQUES-ET-CAÏQUES TUVALU OUGANDA UKRAINE ÉMIRATS ARABES UNIS ROYAUME-UNI ÉTATS-UNIS ÎLES MINEURES ÉLOIGNÉES DES ÉTATSUNIS URUGUAY OUZBEKISTAN VANUATU ÉTAT DE LA CITÉ DU VATICAN (SAINTSIÈGE) VÉNÉZUÉLA VIET-NAM ÎLES VIERGES BRITANNIQUES ÎLES VIERGES AMÉRICAINES WALLIS ET FUTUNA SAHARA ORIENTAL YÉMEN ZAÏRE (CONGO, RÉPUBLIQUE DÉMOCRATIQUE) ZAMBIE ZIMBABWE SA SN CS SC SL SG SK SI SB SO ZA GS ES LK SD SR SJ SZ SE CH SY TW TJ TZ TH TL TG TK TO TT TN TR TM TC TV UG UA AE GB US UM UY UZ VU VA VE VN VG VI WF EH YE CD ZM ZW 55 3.3.2.1.11.3 Liste des adresses bloquées Choisissez les pays que vous souhaitez bloquer et à partir desquels vous ne voulez pas recevoir de messages. Pour ajouter un pays à la liste des Pays bloqués :, sélectionnez-le dans la colonne Code de pays : et cliquez sur le bouton Ajouter. Pour supprimer le pays de la liste des Pays bloqués :, sélectionnez le code de pays et cliquez sur le bouton Retirer. Pour consulter la liste des codes de pays particuliers, voyez la section Liste des pays d'origine 51 . 3.3.2.1.11.4 Liste des jeux de caractères bloqués Configurez les jeux de caractères que vous souhaitez bloquer. Les messages rédigés à l'aide de ce jeu de caractères ne seront pas reçus. Pour ajouter un jeu de caractère, sélectionnez-le dans la colonne Jeux de caractères : et cliquez sur le bouton Ajouter afin de le déplacer dans la colonne des Jeux de caractères bloqués :. Pour supprimer le jeu de caractères de la colonne Jeux de caractères bloqués :, sélectionnez le jeu de caractères et cliquez sur le bouton Retirer. Lorsque vous ajoutez un jeu de caractères aux jeux de caractères bloqués, vous pouvez préciser votre propre valeur pour la note de POURRIEL particulière de ce jeu de caractère. Par défaut, il est de 100, mais vous pouvez définir une note pour chaque jeu de caractères. 3.3.2.1.12 Fichiers journaux Activer la journalisation détaillée - Cette fonction permet d'obtenir une journalisation plus détaillée. Fichiers de réacheminement des sorties : - Cette fonction redirige le fichier journal vers le répertoire précisé dans ce domaine. Appuyez sur le bouton ... pour parcourir les répertoires au lieu de taper le chemin manuellement. 3.3.2.1.13 Statistiques Activer la journalisation des données statistiques - Cette fonction permet d'enregistrer un journal des IP, domaines, URL, mots suspects, etc. sur le système de fichiers de configuration. Les journaux peuvent être automatiquement chargés vers les serveurs d'analyse du moteur antipourriel. Ils peuvent également être convertis au format texte simple pour être visualisés. Envoyer les données statistiques pour l'analyse - Cette option lance un fil pour charger automatiquement les fichiers de statistiques vers les serveurs d'analyse du moteur antipourriel. Adresse du serveur d'analyse : - URL vers laquelle les fichiers de statistiques seront chargés. 3.3.2.1.14 Options Configuration automatique : - Cette fonction permet de configurer les options en fonction des exigences de système, de performance et de ressources saisies par l'utilisateur. Créer le fichier de configuration - Cette fonction crée un fichier antispam.cfg qui contient la configuration du moteur antipourriel. Il se trouve dans C:\ProgramData\ESET\ESET Mail Security\ServerAntispam (Windows Server 2008) ou C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam (Windows Server 2000 et 2003). 56 3.3.3 Alertes et notifications Chaque courriel analysé par ESET Mail Security et marqué comme pourriel peut ensuite être identifié comme tel en ajoutant une étiquette de notification dans l'objet du courriel. L'étiquette par défaut est [SPAM], bien que l'utilisateur puisse choisir sa propre chaîne de caractères. REMARQUE : Vous pouvez également utiliser les variables système au moment d'ajouter un modèle à l'objet du message. 3.4 FAQ Q : Après avoir installé EMSX avec le module Antipourriel, aucun message n'entrait dans mes boîtes aux lettres. R : Si la fonction Ajout à la liste grise est activée, c'est normal. Dans les premières heures de fonctionnement, il est possible que vous receviez les messages avec plusieurs heures de retard. Si vous continuez à éprouvez ce problème par la suite, il est recommandé de désactiver (ou de reconfigurer) la fonctionnalité d'Ajout à la liste grise. Q : Lorsque VSAPI analyse les pièces jointes, analyse-t-il également le corps du courriel? R : Dans Microsoft Exchange Server 2000 SP2 et dans ses versions ultérieures, VSAPI analyse également le corps des messages. Q : Pourquoi l'analyse des messages continue-t-elle une fois l'option VSAPI désactivée? R : Les modifications apportées aux paramètres de VSAPI s'exécutent de façon asynchrone, ce qui signifie que les paramètres de VSAPI doivent être appelés par Microsoft Exchange Server pour être en vigueur. Ce processus cyclique s'exécute à des intervalles d'environ une minute. C'est la même chose pour tous les autres paramètres de VSAPI. Q : VSAPI peut-il supprimer un message entier si celui-ci contient une pièce jointe infectée? R : Oui, VSAPI peut supprimer un message entier. Cependant, vous devez, pour cela, cocher d'abord l'option Supprimer le message entier dans la section Actions des paramètres de VSAPI. Cette option n'est disponible que pour Microsoft Exchange Server 2003 et ses versions ultérieures. Les versions antérieures de Microsoft Exchange Server ne prennent pas en charge la suppression de messages entiers. 57 Q : Les messages sortants sont-ils aussi analysés par VSAPI pour y détecter la présence de virus? R : Oui, VSAPI analyse les messages sortants à moins que le serveur SMTP configuré dans votre client de messagerie diffère de celui qu'utilise Microsoft Exchange Server. Cette option n'est disponible que pour Microsoft Exchange Server 2000 Service Pack 3 et versions ultérieures. Q : Est-il possible d'ajouter du texte avec une étiquette de notification par l'entremise de VSAPI à chacun des messages, comme le fait l'agent de transport? R : L'ajout de texte aux messages analysés par VSAPI n'est pas une fonctionnalité prise en charge par Microsoft Exchange Server. Q : J'ai remarqué qu'il m'était parfois impossible d'ouvrir un message particulier dans Microsoft Outlook. Pouvezvous me dire pourquoi? R : L' Action à exécuter si le nettoyage est impossible dans vos paramètres VSAPI (section Actions) est probablement définie à Bloquer ou vous avez créé une règle qui inclut l'action Bloquer. L'un ou l'autre de ces paramètres marquera et bloquera tant les messages infectés que ceux qui satisfont la règle susmentionnée. Q : Que signifie l'élément Délai de réponse dans la section Performance? R : Si vous utilisez Microsoft Exchange Server 2000 SP2 ou une version ultérieure, la valeur Délai de réponse représente le délai maximal en secondes requis pour finir le traitement d'un fil par VSAPI. Si l'analyse n'est pas terminée dans ce délai, Microsoft Exchange Server refusera l'accès du client au courriel. L'analyse ne sera pas interrompue, mais il sera possible d'accéder au fichier dès qu'elle sera terminée. Si vous utilisez Microsoft Exchange Server 5.5 SP3 ou SP4, la valeur sera exprimée en millisecondes et représente la période après laquelle le client réessayera d'accéder au fichier qui était auparavant inaccessible en raison de l'analyse. Q : Quelle longueur peut avoir la liste de types de fichiers dans une règle? R : Une règle dans la liste des extensions de fichiers peut contenir un maximum de 255 caractères. Q : J'ai activé l'option Analyse en arrière-plan dans VSAPI. Jusqu'à maintenant, les messages provenant de Microsoft Exchange Server étaient analysés après chacune des mises à jour de la base de données de signatures de virus. Mais depuis la dernière mise à jour, ce n'est plus le cas. Quel est le problème? R : La décision d'analyser immédiatement les messages ou lorsqu'un utilisateur tente d'accéder à un message dépend de plusieurs facteurs, y compris la charge du serveur, le temps que l'unité centrale doit passer à analyser tous les messages en vrac et le nombre total de messages. Microsoft Exchange Server analysera chacun des messages avant qu'il ne soit remis dans la boîte de réception du client. Q : Pour quelle raison est-ce que le compteur de règles augmente d'un nombre supérieur à un après la réception d'un seul message? R :Un message est vérifié en fonction des règles lorsqu'il est traité par l'agent de transport ou VSAPI. Lorsque l'agent de transport et VSAPI sont activés et que le message satisfait aux conditions d'une règle, le compteur de règles pourra indiquer une augmentation de deux ou plus. VSAPI accède aux éléments individuels du message (corps, pièce jointe), ce que signifie que les règles sont appliquées individuellement, à chacune des parties du message. En outre, les règles peuvent être appliquées pendant une analyse en arrière-plan (par exemple, plusieurs analyses du magasin-boîte aux lettres après la mise à jour de la base de données des signatures de virus), ce qui peut faire augmenter le nombre indiqué par le compteur de règles. Q : ESET Mail Security 4 pour Microsoft Exchange Server est-il compatible avec le IMF? R : Oui, ESET Mail Security 4 pour Microsoft Exchange Server est compatible avec le IMF. Les courriels sont traités de la façon suivante, lorsque les messages sont évalués comme des pourriels : - Si l'option Supprimer le message (ou Mettre le message en quarantaine) est activée dans le module Antipourriel de ESET Mail Security, l'action sera effectuée, quelle que soit l'action configurée dans Microsoft Exchange IMF. - Si l'option Aucune action est activée dans le module Antipourriel de ESET Mail Security, les paramètres IMF de Microsoft Exchange seront utilisés et l'action appropriée exécutée (par exemple, Supprimer, Refuser, Archiver, etc.). Pour que cette fonctionnalité soit utilisée de façon efficace, l'option Écrire le seuil de probabilité du pourriel dans les messages analysés en fonction de la note attribuée au pourriel (Protection du serveur > Microsoft Exchange Server > Agent de transport) doit être activée. 58 Q : Comment puis-je configurer ESET Mail Security pour que les messages non sollicités soient déplacés dans le dossier Courrier indésirable de Microsoft Outlook configuré par l'utilisateur? R : Les paramètres par défaut de ESET Mail Security forcent Microsoft Outlook à conserver les courriels non sollicités dans le dossier Courrier indésirable. Pour que cette fonction puisse être utilisée, désélectionnez l'option Écrire la note attribuée au pourriel dans l'en-tête du message analysé (touche F5 > Protection du serveur > Protection antipourriel > Microsoft Exchange Server > Agent de transport). Si vous voulez que le courriel non sollicité soit conservé dans un dossier différent, veuillez lire les instructions suivantes : 1) Dans ESET Mail Security : - ouvrez l'arborescence de configuration avancée touche F5, - allez jusqu'à Protection du serveur > Protection antipourriel > Microsoft Exchange Server > Agent de transport - sélectionnez Conserver le message dans le menu déroulant Action à exécuter sur les pourriels - décochez la case Écrire la note attribuée au pourriel dans l'en-tête des messages analysés - rendez-vous jusqu'à Alertes et notifications sous Protection antipourriel - définissez le texte de l'étiquette qui sera ajoutée au champ objet du message indésirable, par exemple « [SPAM] », dans le champ Modèle ajouté à l'objet des pourriels 2) Dans Microsoft Outlook : - configurer une règle pour s'assurer que les messages contenant du texte particulier dans l'objet (« [SPAM] ») seront déplacés dans le dossier souhaité. Pour des instructions plus détaillées, consultez cet article de la base de connaissances. Q : Selon les statistiques de la protection antipourriel, bon nombre de messages entrent dans la catégorie Non analysé. Parmi les différents messages, lesquels ne seront pas analysés par la protection antipourriel? R : La catégorie Non analysé comprend ce qui suit : Général : tous les messages qui ont été analysés même si la protection antipourriel avait été désactivée sur l'une des couches (serveur de messagerie, agent de transport). Microsoft Exchange Server 2003 : tous les messages en provenance d'une adresse IP inscrite dans l'IMF, sur la liste d'acceptation globale Messages en provenance d'expéditeurs authentifiés Microsoft Exchange Server 2007 : Tous les messages envoyés dans l'organisation (ils seront tous analysés par la protection antivirus) Messages en provenance d'expéditeurs authentifiés Messages en provenance d'utilisateurs configurés pour contourner la protection antipourriel Tous les messages envoyés dans la boîte aux lettres et pour lesquels l'option de contournement de la protection antipourriel a été activée. Tous les messages provenant d'expéditeurs inscrits sur la liste des expéditeurs sûrs. REMARQUE : les adresses inscrites dans la liste blanche et les paramètres du moteur antipourriel n'entrent pas dans la catégorie non analysé puisque ce groupe ne comprend que des messages qui n'ont jamais été traités par la protection antipourriel. 59 Q : Les utilisateurs téléchargent des messages dans leurs clients de messagerie par le protocole POP3 (contournant ainsi le serveur Microsoft Exchange), mais les boîtes aux lettres sont sur le serveur Microsoft Exchange. Ces messages feront-ils l'objet de l'analyse antivirus et antipourriel de ESET Mail Security? R : Dans ce type de configuration, ESET Mail Security n'analysera les messages stockés sur le serveur Microsoft Exchange que pour y détecter la présence de virus (par VSAPI). L'analyse antipourriel ne sera pas effectuée puisque cela exige un serveur SMTP. Q : Puis-je définir la note attribuée au pourriel que doit obtenir un message pour être classé comme POURRIEL? R : Oui, vous pouvez fixer cette limite dans ESET Mail Security version 4.3 et ultérieures (se reporter à la section Moteur antipourriel 41 ). Q : Le module de protection antipourriel de ESET Mail Security analyse-t-il aussi les messages téléchargés par l'entremise du connecteur POP3? R : ESET Mail Security prend en charge le connecteur POP3 standard pour Microsoft SBS sur SBS 2008. Les messages téléchargés par l'entremise de ce connecteur POP3 seront donc analysés afin de détecter la présence de pourriels. Le connecteur POP3 de Microsoft SBS 2003 n'est cependant pas pris en charge. Cela existe également avec des connecteurs POP3 tiers. Que les messages recueillis par l'entremise de ces connecteurs POP3 tiers soient analysés ou non pour y déceler la présence de pourriels dépend de la façon dont ce connecteur POP3 est conçu et de la façon dont il va chercher les messages. Pour plus de détails, veuillez consulter la rubrique Connecteur POP3 et protection antipourriel 40 . 60 4. ESET Mail Security - Protection du serveur En plus d'offrir une protection à Microsoft Exchange Server, ESET Mail Security comprend également tous les outils nécessaires pour assurer la protection du serveur lui-même (bouclier résident, protection de l'accès Web, protection du client de messagerie et antipourriel). 4.1 Protection antivirus et antispyware La protection antivirus protège le système des attaques malveillantes en contrôlant les échanges de fichiers et de courrier, ainsi que les communications Internet. Si une menace comportant du code malveillant est détectée, le module Antivirus peut l'éliminer en la bloquant dans un premier temps, puis en nettoyant, en supprimant ou en mettant en quarantaine l'objet infecté. 4.1.1 Protection en temps réel du système de fichiers La protection en temps réel du système de fichiers contrôle tous les événements liés à l'antivirus dans le système. Elle analyse tous les fichiers à la recherche de code malveillant au moment où ces fichiers sont ouverts, créés ou exécutés sur votre ordinateur. La protection en temps réel du système de fichiers est lancée au démarrage du système. 4.1.1.1 Configuration du contrôle La protection en temps réel du système de fichiers vérifie tous les types de supports et le contrôle est déclenché par différents événements. À l'aide des méthodes de détection de la technologie ThreatSense, (décrites dans la rubrique configuration du moteur ThreatSense 77 ), la protection en temps réel du système de fichiers peut différer pour les fichiers nouvellement créés et les fichiers existants. Ainsi, pour les fichiers nouvellement créés, il est possible d'appliquer un niveau de contrôle plus approfondi. Pour ne laisser que le minimum d'empreinte système lorsque la protection en temps réel est utilisée, les fichiers ayant déjà été analysés ne seront pas analysés de nouveau (à moins qu'ils n'aient été modifiés). Les fichiers seront cependant immédiatement réanalysés après chaque mise à jour de la base de données des signatures de virus. Ce comportement est configuré à l'aide de l'optimisation Smart. Si cette fonction est désactivée, tous les fichiers seront analysés chaque fois que l'ordinateur y accédera. Pour modifier cette option, ouvrez la fenêtre Configuration avancée et cliquez sur Antivirus et antispyware > Protection en temps réel du système de fichiers l'arborescence de la configuration avancée complète. Cliquez ensuite sur le bouton Configuration... à côté de Configuration du moteur ThreatSense, cliquez sur Autre et sélectionnez ou désélectionnez l'option Activer l'optimisation Smart. Par défaut, la protection en temps réel est lancée au démarrage du système d'exploitation et assure une analyse ininterrompue. Dans certains cas (par ex., en cas de conflit avec un autre analyseur en temps réel), il est possible d'arrêter la protection en temps réel du système de fichiers en désactivant l'option Lancer automatiquement la protection en temps réel du système de fichiers. 61 4.1.1.1.1 Supports à analyser Par défaut, tous les types de supports sont analysés pour y détecter la présence potentielle de menaces. Disques locaux - Contrôle tous les disques durs du système. Supports amovibles - Disquettes, périphériques de stockage USB, etc. Lecteurs réseau - Tous les disques mappés. Il est recommandé de ne modifier ces paramètres par défaut que dans des cas particuliers, par exemple lorsque l'analyse de certains supports ralentit de manière significative les transferts de données. 4.1.1.1.2 Date de l'analyse (analyse déclenchée par un événement) Par défaut, tous les fichiers sont analysés lorsqu'ils sont ouverts, exécutés ou créés. Il est recommandé de conserver les paramètres par défaut, car ils offrent le niveau maximum de protection en temps réel pour votre ordinateur. L'option Accès disquette contrôle le secteur d'amorçage des disquettes lors de l'accès au lecteur. L'option Arrêt de l'ordinateur contrôle les secteurs d'amorçage du disque dur lors de l'arrêt de l'ordinateur. Bien que les virus d'amorçage soient rares de nos jours, il est recommandé de laisser ces options activées, car le risque d'une infection par un virus d'amorçage provenant d'autres sources est toujours réel. 4.1.1.1.3 Options d'analyse avancée Vous pourrez obtenir plus de détails sur les options de configuration dans Protection de l'ordinateur > Antivirus et antispyware > Protection en temps réel du système de fichiers > Configuration avancée. Autres paramètres ThreatSense pour les fichiers nouveaux et modifiés - Les fichiers nouvellement créés ou les fichiers modifiés ont une probabilité d'infection supérieure à celle des fichiers existants. C'est pour cette raison que le programme utilise des paramètres d'analyse supplémentaires pour vérifier ces fichiers. Outre les méthodes d'analyse basées sur les signatures, l'heuristique avancée est aussi utilisée, ce qui améliore sensiblement les taux de détection. En plus des fichiers nouvellement créés, l'analyse est aussi effectuée sur les fichiers à extraction automatique (.sfx) et les fichiers exécutables compressés par un compresseur d'exécutables (interne). Par défaut, les archives sont analysées jusqu'au dixième niveau d'imbrication et vérifiées indépendamment de leur taille réelle. Désactivez l'option Paramètres d'analyse d'archive par défaut pour modifier les paramètres d'analyse d'archive. Autres paramètres ThreatSense pour les fichiers nouveaux et modifiés - Par défaut, l'heuristique avancée n'est pas utilisée lors de l'exécution de fichiers. Toutefois, dans certains cas, il peut être utile d'activer cette option (en 62 cochant l'option Heuristique avancée à l'exécution du fichier). Notez que l'heuristique avancée peut ralentir l'exécution de certains programmes en raison de la plus grande utilisation des ressources système. 4.1.1.2 Niveaux de nettoyage La protection en temps réel comprend trois niveaux de nettoyage. Pour sélectionner un niveau de nettoyage, cliquez sur le bouton Configuration... dans la section Protection en temps réel du système de fichiers puis sur la branche Nettoyage. Le premier niveau, Pas de nettoyage, affiche une fenêtre d'avertissement qui propose des options pour chacune des infiltrations détectées. Vous devez choisir une action pour chacune. Ce niveau est conçu pour les utilisateurs expérimentés qui savent quoi faire avec chaque type d'infiltration. Le niveau par défaut choisit et exécute automatiquement une action prédéfinie (selon le type d'infiltration). La détection et la suppression d'un fichier infecté sont signalées par un message affiché dans le coin inférieur droit de l'écran. Les actions automatiques ne seront cependant pas exécutées si l'infiltration se trouve dans une archive (qui contient aussi des fichiers sains) ou s'il n'y a pas d'action prédéfinie pour l'objet infecté. Le troisième niveau, Nettoyage strict, est le plus « agressif » : tous les fichiers infectés sont nettoyés. Ce niveau pouvant éventuellement entraîner la perte de fichiers valides, il n'est recommandé que dans des situations particulières. 4.1.1.3 Quand faut-il modifier la configuration la protection en temps réel La protection en temps réel est le composant le plus essentiel de la sécurisation du système. Il faut donc être très attentif lorsqu'on modifie les paramètres de ce module. Il est recommandé de ne changer les paramètres de ce module que dans des cas précis. Par exemple, lorsqu'il y a conflit avec une autre application ou avec l'analyseur en temps réel d'un autre logiciel antivirus. Après l'installation de ESET Mail Security, tous les paramètres sont optimisés pour garantir le niveau maximal de sécurité système pour les utilisateurs. Pour restaurer les paramètres par défaut, cliquez sur le bouton Défaut dans le coin inférieur droit de la fenêtre Protection en temps réel du système de fichiers (Configuration avancée > Antivirus et antispyware > Protection en temps réel du système de fichiers). 63 4.1.1.4 Vérification de la protection en temps réel Pour s'assurer que la protection en temps réel fonctionne et détecte bien les virus, utilisez un fichier de test d'eicar. com, soit un fichier de test spécial et inoffensif que détecteront tous les programmes antivirus. Le fichier a été créé par la société EICAR (European Institute for Computer Antivirus Research) pour tester la fonctionnalité des programmes antivirus. Vous pouvez le télécharger du site http://www.eicar.org/download/eicar.com REMARQUE : Avant d'effectuer une vérification de la protection en temps réel, il faut désactiver le pare-feu. S'il est activé, il détectera le fichier et empêchera le téléchargement des fichiers de test. 4.1.1.5 Que faire si la protection en temps réel ne fonctionne pas Dans le chapitre suivant, nous décrivons des problèmes qui peuvent survenir lors de l'utilisation de la protection en temps réel et la façon de les résoudre. Protection en temps réel est désactivée Si la protection en temps réel a été désactivée par mégarde par un utilisateur, elle doit être réactivée. Pour réactiver la protection en temps réel, naviguez jusqu'à Configuration > Antivirus et antispyware et cliquez sur Activer la protection en temps réel du système de fichiers de la fenêtre principale du programme. Si la protection en temps réel n'est pas lancée au démarrage du système, c'est probablement dû au fait que l'option Démarrage de la protection automatique en temps réel du système de fichiers est désactivée. Pour activer cette option, ouvrez la Configuration avancée (F5) et cliquez sur Protection en temps réel du système de fichiers dans l'arborescence de la Configuration avancée. Dans la section Configuration avancée au bas de la fenêtre, assurez-vous que la case Lancer automatiquement la protection en temps réel du système de fichiers est cochée. Si la protection en temps réel ne détecte ni ne nettoie les infiltrations Assurez-vous qu'aucun autre programme antivirus n'est installé sur votre ordinateur. Si deux programmes de protection en temps réel sont activés en même temps, il peut y avoir un conflit entre les deux. Nous recommandons de désinstaller tout autre antivirus de votre système. La protection en temps réel ne démarre pas Si la protection en temps réel n'est pas lancée au démarrage du système (et si l'option Lancer automatiquement la protection en temps réel du système de fichiers est activée), le problème peut provenir de conflits avec d'autres programmes. Dans ce cas, consultez les spécialistes de l'assistance à la clientèle d'ESET. 64 4.1.2 Protection du client de messagerie La protection de la messagerie offre le contrôle de la communication par courriel par l'entremise du protocole POP3. À l'aide du plugiciel pour Microsoft Outlook, ESET Mail Security assure le contrôle de toutes les communications utilisant le client de messagerie (POP3, MAPI, IMAP, HTTP). Lorsqu'il examine les messages entrants, le programme utilise toutes les méthodes d'analyse avancées offertes par le moteur d'analyse ThreatSense . Autrement dit, la détection des programmes malveillants a lieu avant même que s'effectue la comparaison avec la base de données des signatures de virus. L'analyse des communications par le biais du protocole POP3 est indépendante du client de messagerie utilisé. 4.1.2.1 Contrôle POP3 Le protocole POP3 est le protocole le plus répandu pour la réception de messages dans un client de messagerie. ESET Mail Security assure la protection de ce protocole, quel que soit le client de messagerie utilisé. Le module qui assure ce contrôle est automatiquement lancé au démarrage du système d'exploitation et reste ensuite actif en mémoire. Pour que le module fonctionne correctement, assurez-vous qu'il est activé – le contrôle POP3 s'effectue automatiquement sans qu'il faille reconfigurer le client de messagerie. Par défaut, toute communication sur le port 110 est soumise à une analyse, mais d'autres ports de communication peuvent être ajoutés au besoin. Les numéros de ports doivent être séparés par des virgules. Les communications cryptées ne sont pas contrôlées. Pour pouvoir utiliser le filtrage POP3/POP3S, vous devez tout d'abord activer lefiltrage des protocoles. Si les options POP3/POP3S sont grisées, naviguez jusqu'à Protection de l'ordinateur > Antivirus et antispyware > Filtrage des protocoles à partir de l'arborescence de la configuration avancée complète et cochez Activer le filtrage du contenu des protocoles d'application. Se reporter à la rubrique Filtrage des protocoles pour plus de détails sur le filtrage et la configuration. 65 4.1.2.1.1 Compatibilité Le filtrage POP3 peut engendrer des problèmes dans certains programmes de messagerie (p. ex. si vous recevez des messages sur une connexion Internet lente, la vérification peut entraîner des dépassements de délai). Dans ce cas, essayez de modifier la façon dont le contrôle est effectué. Réduire le niveau de contrôle peut augmenter la rapidité du processus de nettoyage. Pour régler le niveau de contrôle du filtrage POP3, de l'arborescence de la configuration avancée, naviguez jusqu'à Antivirus et antispyware > Protection de la messagerie > POP3, POP3S > Compatibilité. Si vous activez l'option Efficacité maximale, les infiltrations sont supprimées des messages infectés et l'information concernant l'infiltration sera insérée au début de l'objet initial du message (les options Supprimer ou Nettoyer doivent être activées, tout comme le niveau de nettoyage Strict ou Par défaut doit être activé). Une compatibilité moyenne modifie la façon dont les messages sont reçus. Les messages sont progressivement envoyés au client de messagerie -- une fois le message transféré, il sera alors analysé à la recherche d'infiltrations. Cependant, avec ce niveau de contrôle, le risque d'infection est accru. Le niveau de nettoyage et la gestion des « étiquettes » (notes d'alerte ajoutées à l'objet et au corps des messages) sont identiques à ceux utilisés avec le paramètre d'efficacité maximale. Avec la Compatibilité maximale, vous serez averti par l'affichage d'une fenêtre qui signale la réception d'un message infecté. Aucune information concernant les fichiers infectés n'est ajoutée à l'objet ou au corps des messages livrés et les infiltrations ne sont pas automatiquement supprimées - vous devez supprimer les infiltrations à partir du client de messagerie. 4.1.2.2 Intégration aux clients de messagerie L'intégration de ESET Mail Security dans les clients de messagerie augmente le niveau de protection active contre le code malveillant dans les courriels. Si votre client de messagerie est pris en charge, cette intégration peut être activée dans ESET Mail Security. Si l'intégration est activée, la barre d'outils de ESET Mail Security est insérée directement dans le client de messagerie pour offrir une protection plus efficace pour le courriel. Les paramètres d'intégration se trouvent dans Configuration > Accéder à la configuration avancée complète > Divers > Intégration au client de messagerie. L'intégration au client de messagerie permet d'activer l'intégration avec les clients de messagerie pris en charge. Les clients de messagerie actuellement pris en charge sont Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail et Mozilla Thunderbird. Activez l'option Désactiver la vérification au changement de contenu de la boîte aux lettres si vous constatez un ralentissement du système lors de l'utilisation du client de messagerie. Une telle situation peut se produire lors du téléchargement de messages à partir de Kerio Outlook Connector. 66 La protection de la messagerie est activée en cliquant sur Configuration >Accéder à l'arborescence de la configuration avancée complète... > Antivirus et antispyware > Protection du client de messagerie et en sélectionnant l'option Activer la protection antivirus et antispyware du client de messagerie. 4.1.2.2.1 Ajout d'une étiquette au corps d'un message Chaque message analysé par ESET Mail Security peut être marqué en ajoutant une étiquette dans le sujet ou le corps du message. Cette fonction augmente le niveau de crédibilité des messages et, en cas de détection d'une infiltration, fournit de précieuses données sur le niveau de menace du message. Vous pouvez configurer les options de cette fonctionnalité dans Configuration avancée > Antivirus et antispyware > Protection du client de messagerie. Vous pouvez également choisir d'Ajouter une note aux messages reçus et lus, ainsi que d'Ajouter une note aux messages envoyés. Vous pouvez également décider si les étiquettes de messages seront ajoutées à tous les messages analysés, seulement aux messages infectés ou à aucun message. ESET Mail Security permet également d'ajouter des messages à l'objet initial des messages infectés. Pour ce faire, sélectionnez tant les options Ajouter une note à l'objet des messages infectés reçus et lus que Ajouter une note à l'objet des messages infectés envoyés. Vous pouvez modifier le contenu des notifications dans le champ Texte ajouté à l'objet des messages infectés. Ces modifications permettent d'automatiser le filtrage des messages infectés puisqu'ils vous permettent de filtrer les messages comportant un sujet particulier (si le client de messagerie prend en charge cette fonctionnalité) pour les envoyer dans un dossier distinct. 4.1.2.3 Suppression d'infiltrations En cas de réception d'un message infecté, une fenêtre d'alerte s'affiche. Cette fenêtre indique le nom de l'expéditeur, son adresse courriel et le nom de l'infiltration. La partie inférieure de la fenêtre présente les options disponibles pour l'objet détecté, soit Nettoyer, Supprimer ou Laisser. Dans la plupart des cas, il est recommandé de sélectionner Nettoyer ou Supprimer. Dans certaines situations, si vous voulez recevoir le fichier infecté, sélectionnez Laisser. Si l'option Nettoyage strict est activée, une fenêtre d'information sans option s'affichera. 67 4.1.3 Protection de l'accès Web La connectivité Internet est un élément standard des ordinateurs personnels. Malheureusement, c'est aussi devenu le principal moyen de transférer et disséminer du code malveillant. C'est pourquoi il est essentiel que vous évaluiez attentivement la protection de votre accès Web. Nous vous recommandons fortement de sélectionner l'option Activer la protection antivirus et antispyware pour l'accès Web. Cette option se trouve dans la Configuration avancée (F5) > Antivirus et antispyware > Protection de l'accès Web. 4.1.3.1 HTTP, HTTPS La protection de l'accès Web utilise la surveillance des communications entre les navigateurs Internet et des serveurs distants, conformément aux règles des protocoles HTTP et HTTPS (communications chiffrées). Par défaut, ESET Mail Security est configuré pour utiliser les normes de la plupart des navigateurs Internet. Vous pouvez toutefois modifier les options de configuration de l'analyseur HTTP dans Configuration avancée (F5) > Antivirus et antispyware > Protection de l'accès Web > HTTP, HTTPS. Dans la fenêtre principale du filtre HTTP, vous pouvez activer ou désactiver l'option Activer le contrôle HTTP. Vous pouvez également définir les numéros de port utilisés pour la communication HTTP. Par défaut, les numéros de ports 80, 8080 et 3128 sont prédéfinis. La vérification HTTPS peut être effectuée dans les modes suivants : Ne pas utiliser de contrôle de protocole HTTPS - Les communications chiffrées ne seront pas vérifiées. Utiliser le contrôle de protocole HTTPS pour les ports sélectionnés - La vérification HTTPS ne visera que les ports définis dans Ports utilisés par le protocole HTTP. 68 4.1.3.1.1 Gestion d'adresse Cette section permet de préciser des listes d'adresses HTTP qui seront bloquées, autorisées ou exclues de la vérification. Les boutons Ajouter..., Modifier..., Supprimer et Exporter... sont utilisés pour gérer les listes d'adresses. Les sites Web figurant dans la liste des adresses bloquées ne seront pas accessibles. Les sites Web figurant dans la liste des adresses exclues sont accessibles sans aucune analyse de code malveillant. Si vous sélectionnez l'option N'autoriser l'accès qu'aux adresses HTTP figurant dans la liste des adresses autorisées, seules les adresses figurant dans la liste des adresses autorisées sont accessibles, tandis que toutes les autres adresses HTTP sont bloquées. Dans toutes les listes, vous pouvez utiliser les symboles spéciaux * (astérisque) et ? (point d'interrogation). L'astérisque remplace n'importe quelle chaîne de caractères, tandis que le point d'interrogation remplace n'importe quel autre caractère individuel. Vous devez faire attention lorsque vous indiquez les adresses exclues car la liste ne doit contenir que des adresses sûres et fiables. De même, assurez-vous d'employer correctement les symboles * et ? dans cette liste. Pour activer une liste, sélectionnez l'option Liste active. Pour être informé lors de l'entrée d'une adresse à partir de la liste actuelle, activez l'option Aviser lors de l'application d'une adresse de la liste. 69 4.1.3.1.2 Mode actif ESET Mail Security contient également une fonction Navigateurs Web qui permet de définir si une application donnée est un navigateur ou non. Si une application est marquée par l'utilisateur comme étant un navigateur, toutes les communications provenant de cette application sont contrôlées, quels que soient les numéros de ports utilisés dans la communication. La fonction Navigateurs Web complète la fonction de contrôle HTTP, laquelle ne s'applique qu'à des ports prédéfinis. Or, de nombreux services Internet utilisent des numéros de ports qui changent de manière dynamique ou sont inconnus. C'est pour s'adapter à cette réalité que la fonction Navigateurs Web peut contrôler les communications sur les ports, et ce, quels que soient les paramètres de connexion. La liste des applications désignées comme navigateurs est accessible directement à partir du sous-menu 70 Navigateurs Web de la branche HTTP, HTTPS. Cette section contient également le sous-menu Mode actif qui définit le mode de contrôle des navigateurs Internet. L'intérêt du Mode actif est que les données transférées sont examinées dans leur ensemble. Si l'option n'est pas activée, la communication des applications est contrôlée progressivement, par lots. La vérification des données est alors moins efficace, mais la compatibilité avec les applications répertoriées est meilleure. Si le Mode actif ne pose pas de problèmes, il est recommandé d'activer ce mode de vérification en cochant la case à côté de l'application voulue. 4.1.4 Analyse de l'ordinateur à la demande Si vous pensez que votre ordinateur peut être infecté (en raison d'un comportement anormal), exécutez une analyse à la demande pour rechercher d'éventuelles infiltrations. Pour votre sécurité, il est essentiel que l'ordinateur soit analysé non seulement en cas de suspicion d'une infection, mais aussi régulièrement dans le cadre de mesures de sécurité routinières. Une analyse régulière pourra détecter des infiltrations n'ayant pas été détectées par l'analyseur en temps réel lors de leur enregistrement sur le disque. Cela peut se produire si l'analyseur en temps réel est désactivé au moment de l'infection ou si la base de données des signatures de virus est obsolète. Il est recommandé d'exécuter une analyse à la demande au moins une fois par mois. Cette analyse peut être configurée comme tâche planifiée dans Outils > Planificateur. 71 4.1.4.1 Type d'analyse Deux types d'analyse de l'ordinateur à la demande sont disponibles. L'analyse intelligente analyse rapidement le système sans exiger de reconfiguration des paramètres d'analyse. L'analyse personnalisée permet, quant à elle, de sélectionner l'un des profils d'analyse prédéfinis ainsi que de choisir les cibles particulières de l'analyse. 4.1.4.1.1 Analyse intelligente L'analyse intelligente vous permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers infectés sans intervention de l'utilisateur. Ses principaux avantages incluent sa facilité d'utilisation et l'absence d'une configuration détaillée de l'analyse. Cette vérification analyse tous les fichiers sur les disques durs locaux et nettoie ou supprime automatiquement les infiltrations détectées. Le niveau de nettoyage est automatiquement réglé à sa valeur par défaut. Pour plus de détails sur les types de nettoyage, consultez la rubrique Nettoyage 80 . 4.1.4.1.2 Analyse personnalisée L'analyse personnalisée est une solution optimale si vous souhaitez préciser des paramètres d'analyse tels que les cibles et les méthodes d'analyse. L'avantage de l'analyse personnalisée est la possibilité de configurer les paramètres de manière détaillée. Les configurations peuvent être enregistrées comme profils d'analyse définis par l'utilisateur, ce qui peut être utile pour effectuer régulièrement une analyse avec les mêmes paramètres. Pour sélectionner les cibles à analyser, sélectionnez Analyse de l'ordinateur > Analyse personnalisée puis sélectionnez une option à partir du menu déroulant Cibles à analyser ou de certaines cibles particulières dans la structure de l'arborescence. Une cible d'analyse peut aussi être indiquée plus précisément en entrant le chemin du dossier ou des fichiers à inclure. Si vous ne voulez qu'analyser le système sans effectuer de nettoyage supplémentaire, sélectionnez l'option Analyser sans nettoyer. Vous pouvez aussi choisir parmi trois niveaux de nettoyage en cliquant sur Configuration... > Nettoyage. 72 4.1.4.2 Cibles à analyser Le menu déroulant Cibles à analyser vous permet de sélectionner les fichiers, dossiers et périphériques (disques) à analyser pour y détecter la présence de virus. Par paramètres du profil - Sélectionne les cibles dans le profil d'analyse sélectionné Supports amovibles - Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD. Disques locaux - Sélectionne tous les disques durs du système Lecteurs réseau - Sélectionne tous les lecteurs mappés Aucune sélection - Annule toutes les sélections Une cible d'analyse peut aussi être précisée de façon spécifique en entrant le chemin du dossier ou des fichiers à inclure dans l'analyse. Sélectionnez les cibles dans l'arborescence qui dresse la liste de tous les périphériques de l'ordinateur qui sont disponibles. 4.1.4.3 Profils d'analyse Vos paramètres d'analyse préférés peuvent être enregistrés pour analyse future. Nous vous recommandons de créer un profil différent (avec différentes cibles et méthodes ainsi que d'autres paramètres d'analyse) pour chacune des analyses utilisées régulièrement. Pour créer un nouveau profil, ouvrez la fenêtre Configuration avancée (F5) et cliquez sur Analyse de l'ordinateur à la demande > Profils... La fenêtre Profils de configuration comprend un menu déroulant affichant les profils d'analyse existants, ainsi que l'option permettant d'en créer un nouveau. Pour vous aider à créer un profil d'analyse répondant à vos besoins, consultez la rubrique Configuration des paramètres du moteur ThreatSense 77 pour une description de chacun des paramètres de configuration de l'analyse. EXEMPLE: Imaginez que vous vouliez créer votre propre profil d'analyse et que la configuration associée au profil Smart Scan vous convienne en partie, mais que vous ne voulez ni analyser les fichiers exécutables compressés par un compresseur d'exécutables ni les applications potentiellement dangereuses et que vous voulez également utiliser un nettoyage strict. De la fenêtre Profils de configuration, cliquez sur le bouton Ajouter.... Entrez le nom du nouveau profil dans le champ Nom du profil et sélectionnez Smart scan dans le menu déroulant Copier les paramètres depuis le profil. Adaptez ensuite les autres paramètres à vos besoins. 73 4.1.4.4 Ligne de commande Il est possible de lancer le module antivirus de ESET Mail Security à partir de la ligne de commande, donc manuellement (avec la commande « ecls ») ou à partir d'un fichier de traitement par lots (« bat »). Les paramètres et commutateurs suivants peuvent être utilisés lors de l'exécution de l'analyseur à la demande à partir de la ligne de commande : Options générales : - help afficher l'aide et quitter - version afficher l'information sur la version et quitter - base-dir = FOLDER charger les modules du DOSSIER - quar-dir = FOLDER DOSSIER de quarantaine - aind afficher l'indicateur d'activité Cibles : - files analyser les fichiers (valeur par défaut) - no-files ne pas analyser les fichiers - boots analyser les secteurs d'amorçage (valeur par défaut) - no-boots ne pas analyser les secteurs d'amorçage - arch analyser les archives (valeur par défaut) - no-arch ne pas analyser les archives - max-archive-level = LEVEL NIVEAU d'imbrication maximal des archives - scan-timeout = LIMIT analyser les archives pendant un maximum de LIMITE secondes. Si la durée de l'analyse atteint cette limite, elle sera alors arrêtée et l'analyse passera au fichier suivant. - max-arch-size=SIZE analyser uniquement les TAILLE premiers octets des archives (valeur par défaut 0 = illimité) - mail analyser les fichiers courriel - no-mail ne pas analyser les fichiers courriel - sfx analyser les archives à extraction automatique - no-sfx ne pas analyser les archives à extraction automatique - rtp analyser les fichiers exécutables compressés - no-rtp ne pas analyser les fichiers exécutables compressés - exclude = FOLDER exclure le DOSSIER de l'analyse - subdir analyser les sous-dossiers (valeur par défaut) - no-subdir ne pas analyser les sous-dossiers - max-subdir-level = LEVEL NIVEAU d'imbrication maximum de sous-dossiers (valeur par défaut 0 = illimité) - symlink suivre les liens symboliques (valeur par défaut) - no-symlink ignorer les liens symboliques - ext-remove = EXTENSIONS - ext-exclude = EXTENSIONS 74 exclure de l'analyse les EXTENSIONS délimitées par un deux-points Méthodes : - adware rechercher les logiciels espions/publicitaires/à risque - no-adware ne pas rechercher les antispyware/publicitaires/à risque - unsafe rechercher les applications potentiellement dangereuses - no-unsafe ne pas rechercher les applications potentiellement dangereuses - unwanted rechercher les applications potentiellement indésirables - no-unwanted ne pas rechercher les applications potentiellement indésirables - pattern utiliser les signatures - no-pattern ne pas utiliser les signatures - heur activer l'heuristique - no-heur désactiver l'heuristique - adv-heur activer l'heuristique avancée - no-adv-heur désactiver l'heuristique avancée Nettoyage : - action = ACTION appliquer l'ACTION aux objets infectés. Actions disponibles : aucune, nettoyer, demander - quarantine copier les fichiers infectés vers Quarantaine (complète ACTION) - no-quarantine ne pas copier les fichiers infectés dans la quarantaine Journaux : - log-file=FILE consigner les résultats dans le FICHIER - log-rewrite écraser le fichier de résultats (ajouter - valeur par défaut) - log-all consigner également les fichiers nettoyés - no-log-all ne pas consigner les fichiers nettoyés (valeur par défaut) Codes de sortie d'analyse possibles : 0 - aucune menace détectée 1 - menace détectée, mais non nettoyée 10 - il reste quelques fichiers infectés 101 - erreur liée à l'archive 102 - erreur d'accès 103 - erreur interne REMARQUE : Un code de sortie supérieur à 100 indique un fichier non analysé, qui peut donc être infecté. 75 4.1.5 Performance Dans cette section, vous pourrez définir le nombre de moteurs d'analyse ThreatSense qui seront utilisés dans l'analyse antivirus. Un plus grand nombre de moteurs d'analyse ThreatSense sur des machines multiprocesseurs pourra augmenter le taux d'analyse. La valeur acceptable va de 1 à 20. S'il n'y a aucune autre restriction, il est recommandé que vous augmentiez le nombre de ThreatSense moteurs d'analyse dans la fenêtre Paramètres avancés (touche F5) dans Protection de l'ordinateur > Antivirus et antispyware > Performance, selon la formule indiquée cid-essous : ThreatSensenombre de fils d'analyse = (nombre d'unités centrales x 2) + 1. Le nombre de fils d'analyse devrait également être égal au nombre de moteurs d'analyse ThreatSense. Vous pouvez également configurer le nombre de moteurs d'analyse dans Protection de l'ordinateur > Antivirus et antispyware > Microsoft Exchange Server > VSAPI >Performance. Voici un exmeple : Disons que vous avez un serveur comportant 4 unités centrales. Pour obtenir la meilleure performance, selon la formule ci-dessus, vous devriez utiliser9 fils d'analyse et 9 moteurs d'analyse. REMARQUE : Il est recommandé que le nombre de moteurs d'analyse ThreatSense soit égal au nombre de fils d'analyse utilisé. Le fait d'utiliser un plus grand nombre de fils d'analyse que de moteur d'analyse n'aura cependant aucun effet sur la performance. REMARQUE : Les modifications apportées ici ne seront appliquées qu'après le redémarrage du système. 4.1.6 Filtrage des protocoles La protection antivirus, pour les protocoles d'application POP3 et HTTP, est fournie par le moteur d'analyse ThreatSense qui intègre toutes les techniques d'analyse avancées des logiciels malveillants. Le contrôle fonctionne automatiquement, indépendamment du navigateur Internet et du client de messagerie utilisés. Les options suivantes sont disponibles pour le filtrage des protocoles (lorsque l'option Activer le filtrage du contenu des protocoles d'application est sélectionnée) : Ports HTTP et POP3 - Limite l'analyse des communications aux ports HTTP et POP3 connus. Applications marquées comme navigateurs Internet et clients de messagerie - Activer cette option pour ne filtrer que la communication des applications indiquées comme navigateurs (Protection de l'accès Web > HTTP, HTTPS > Navigateurs Web) et clients de messagerie (Protection du client de messagerie > POP3, POP3S > Clients de messagerie). Ports et applications marquées comme navigateurs Internet et clients de messagerie - Tant les ports que les navigateurs feront l'objet d'une vérification visant à détecter la présence de logiciels malveillants. REMARQUE : Depuis Windows Vista Service Pack 1 et Windows Server 2008, une nouvelle méthode de filtrage des communications est utilisée. C'est pour cette raison que la section du filtrage des protocoles n'est pas disponible. 4.1.6.1 SSL ESET Mail Security vous permet de vérifier les protocoles encapsulés dans le protocole SSL. Vous pouvez utiliser différents modes d'analyse pour les communications protégées par SSL à l'aide des certificats exclus, des certificats inconnus ou des certificats exclus de la vérification des communications protégées par SSL. Toujours analyser le protocole SSL - Sélectionnez cette option pour analyser toutes les communications protégées par des certificats exclus de la vérification. Si une nouvelle communication utilisant un certificat signé, mais inconnu est établie, vous n'en serez pas avisé et la communication sera automatiquement filtrée. Lorsque vous accédez à un serveur en utilisant un certificat non fiable que vous avez marqué comme étant fiable (ajouté à la liste des certificats fiables), la communication avec le serveur est permise et le contenu du canal de communication est filtré. Interroger sur les sites non visités (possibilité de définir des exclusions) - Si vous accédez à un nouveau site protégé par SSL (dont le certificat est inconnu), une boîte de dialogue de sélection s'affichera. Ce mode vous permet de créer une liste de certificats SSL qui seront exclus de l'analyse. Ne pas analyser le protocole SSL - Si cette option est sélectionnée, le programme n'analysera pas les communications SSL. 76 S'il est impossible de vérifier le certificat à l'aide du magasin d'Autorités de certification de racine de confiance ( Filtrage des protocoles > SSL > Certificats) : Interroger sur la validité du certificat - Vous invite à choisir une action à exécuter. Bloquer toute communication utilisant le certificat Met fin à la connexion au site utilisant le certificat. Si le certificat est non valide ou endommagé (Filtrage des protocoles > SSL > Certificats) : Interroger sur la validité du certificat - Vous invite à choisir une action à exécuter. Bloquer toute communication utilisant le certificat Met fin à la connexion au site utilisant le certificat. 4.1.6.1.1 Certificats approuvés En plus du magasin d'Autorités de certification de racine de confiance (TRCA) où ESET Mail Security conserve les certificats approuvés, vous pouvez créer une liste personnalisée de certificats approuvés qui pourra être affichée dans Configuration avancée (F5) > Filtrage des protocoles > SSL > Certificats > Certificats approuvés. 4.1.6.1.2 Certificats exclus La section Certificats exclus contient des certificats jugés sûrs. Le contenu des communications cryptées utilisant les certificats inscrits sur cette liste ne feront pas l'objet d'une vérification visant à détecter les menaces. Il est recommandé de n'exclure que les certificats Web dont la sécurité est garantie et dont les communications utilisant ces certificats n'ont pas à être vérifiées. 4.1.7 Configuration du moteur ThreatSense La technologie ThreatSense combine des méthodes de détection de menaces complexes. Cette technologie proactive fournit également une protection durant les premières heures de propagation d'une nouvelle menace. Elle utilise une combinaison de plusieurs méthodes (analyse de code, émulation de code, signatures génériques, signatures de virus) qui se conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur d'analyse est capable de contrôler simultanément plusieurs flux de données, maximisant ainsi l'efficacité et le taux de détection. La technologie ThreatSense élimine également les rootkits. Les options de configuration de la technologie ThreatSense vous permettent également de préciser plusieurs paramètres d'analyse : les types de fichiers et extensions à analyser; la combinaison de plusieurs méthodes de détection; les niveaux de nettoyage, etc. Pour ouvrir la fenêtre de configuration, cliquez sur le bouton Configuration... situé dans toute fenêtre de configuration de module qui utilise la technologie ThreatSense (voir ci-dessous). Chaque scénario de sécurité peut exiger une configuration différente. Sachant cela, ThreatSense peut être configuré individuellement pour les modules de protection suivants : Protection en temps réel du système de fichiers Contrôle des fichiers de démarrage du système Protection du courrier 65 Protection de l'accès Web 68 Analyse de l'ordinateur à la demande 71 61 Les paramètres ThreatSense sont hautement optimisés pour chaque module et leur modification peut grandement affecter le fonctionnement du système. Par exemple, en modifiant les paramètres pour toujours analyser compacteurs exécutables ou pour autoriser l'heuristique avancée dans la protection en temps réel du système de fichiers, vous pouvez diminuer les performances du système (normalement, seuls les fichiers nouvellement créés sont analysés par ces méthodes). Il est donc recommandé de laisser inchangés les paramètres par défaut de ThreatSense pour tous les modules, à l'exception du module Analyse de l'ordinateur à la demande. 77 4.1.7.1 Configuration des objets La section Objets vous permet de définir quels éléments et fichiers de l'ordinateur seront analysés pour y détecter les infiltrations. Mémoire vive - Activez cette option pour détecter les menaces qui s'attaquent à la mémoire vive du système. Secteurs d'amorçage - Activez cette option pour analyser les secteurs d'amorçage pour détecter la présence de virus dans l'enregistrement de démarrage principal. Fichiers - Activez cette option pour analyser tous les types de fichiers courants (programmes, images, musiques, vidéos, bases de données, etc.). Fichiers courriel - Activez cette option pour analyser les fichiers spéciaux contenant les messages. Archives - Activez cette option pour analyser les fichiers compressés dans des archives (.rar, .zip, .arj, .tar, etc.). Archives à extraction automatique - Activez cette option pour analyser les fichiers contenus dans des fichiers d'archive à extraction automatique comportant généralement l'extension .exe Fichiers exécutables compressés par un compresseur d'exécutables - À la différence des types d'archives standard, ces fichiers se décompriment en mémoire, tout comme les compacteurs statiques standard (UPX, yoda, ASPack, FGS, etc.). REMARQUE: Lorsqu'un point bleu se trouve à côté d'un paramètre, cela signifie que le réglage actuel pour ce paramètre diffère du réglage indiqué dans d'autres modules utilisant aussi ThreatSense. Puisque vous pouvez configurer le même paramètre différemment dans chacun des modules, ce point bleu vise seulement à vous indiquer que ce même paramètre est configuré différemment dans d'autres modules. Si vous ne voyez aucun point bleu, cela signifie que ce réglage est ainsi configuré dans tous les modules. 4.1.7.2 Options Dans la section Options, vous pouvez choisir les méthodes utilisées lors de l'analyse du système pour y détecter des infiltrations. Les options suivantes sont disponibles : Heuristique - L'heuristique utilise un algorithme qui analyse l'activité (malveillante) des programmes. Le principal avantage de la détection heuristique est la possibilité de détecter de nouveaux logiciels malveillants qui n'existaient pas précédemment ou ne figuraient pas sur la liste des virus connus (base de données des signatures de virus). Heuristique avancée - L'heuristique avancée désigne un algorithme heuristique unique développé par ESET et optimisé pour la détection de vers informatiques et de chevaux de Troie écrits dans des langages de programmation de haut niveau. Grâce à l'heuristique avancée, les capacités de détection intelligente du programme sont beaucoup plus élevées. Applications potentiellement indésirables- Les applications potentiellement indésirables ne sont pas conçues 78 pour être malveillantes mais peuvent avoir des répercussions négatives sur la performance de l'ordinateur. Ces applications exigent généralement le consentement de l'utilisateur avant leur installation. Si elles sont présentes sur votre ordinateur, votre système se comportera différemment (par rapport à son état avant l'installation). Les changements les plus significatifs concernent les fenêtres contextuelles, l'activation et l'exécution de processus cachés, l'utilisation accrue des ressources système, des changements dans les résultats de recherche et des applications communiquant avec des serveurs distants. Applications potentiellement dangereuses - Cette catégorie inclut les logiciels commerciaux légitimes. Elle inclut également des programmes tels que des outils d'accès à distance, raison pour laquelle cette option est désactivée par défaut. Pièces jointes potentiellement dangereuses L'option Pièces jointes potentiellement dangereuses fournit une protection contre les menaces malveillantes qui se propagent généralement sous la forme d'une pièce jointe à un courriel, comme les chevaux de Troie rançongiciels. Une telle menace peut se présenter comme un fichier exécutable ressemblant à un fichier de document standard (ex : PDF) qui, à son ouverture par l'utilisateur, permet à la menace de s'infiltrer dans le système. La menace tentera alors d'accomplir ses desseins malveillants. REMARQUE: Lorsqu'un point bleu se trouve à côté d'un paramètre, cela signifie que le réglage actuel pour ce paramètre diffère du réglage indiqué dans d'autres modules utilisant aussi ThreatSense. Puisque vous pouvez configurer le même paramètre différemment dans chacun des modules, ce point bleu vise seulement à vous indiquer que ce même paramètre est configuré différemment dans d'autres modules. Si vous ne voyez aucun point bleu, cela signifie que ce réglage est ainsi configuré dans tous les modules. 79 4.1.7.3 Nettoyage Les paramètres de nettoyage déterminent le comportement de l'analyseur lors du nettoyage des fichiers infectés. Trois niveaux de nettoyage sont possibles : Ne pas nettoyer - Les fichiers infectés ne sont pas nettoyés automatiquement. Le programme affiche alors une fenêtre d'avertissement et vous laisse choisir une action. Nettoyage standard - Le programme tente de nettoyer ou de supprimer automatiquement tout fichier infecté. S'il n'est pas possible de sélectionner automatiquement l'action correcte, le programme propose différentes actions de suivi. Cette sélection s'affiche également si une action prédéfinie ne peut être menée à bien. Nettoyage strict - Le programme nettoie ou supprime tous les fichiers infectés (y compris les archives). Les seules exceptions sont les fichiers système. S'il n'est pas possible de les nettoyer, une fenêtre d'avertissement s'affiche avec une proposition d'action. Avertissement : En mode de nettoyage par défaut, le fichier d'archive n'est supprimé que si tous les fichiers qu'il contient sont infectés. Si l'archive contient aussi des fichiers légitimes, elle n'est pas supprimée. Si un fichier d'archive infecté est détecté en mode Nettoyage strict, le fichier entier est supprimé, même s'il contient également des fichiers intacts. REMARQUE: Lorsqu'un point bleu se trouve à côté d'un paramètre, cela signifie que le réglage actuel pour ce paramètre diffère du réglage indiqué dans d'autres modules utilisant aussi ThreatSense. Puisque vous pouvez configurer le même paramètre différemment dans chacun des modules, ce point bleu vise seulement à vous indiquer que ce même paramètre est configuré différemment dans d'autres modules. Si vous ne voyez aucun point bleu, cela signifie que ce réglage est ainsi configuré dans tous les modules. 80 4.1.7.4 Extensions L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette section de la configuration des paramètres ThreatSense vous permet de définir les types de fichiers à analyser. Par défaut, tous les fichiers sont analysés, quelle que soit leur extension. N'importe quelle extension peut être ajoutée à la liste des fichiers exclus de l'analyse. Si l'option Analyser tous les fichiers est désélectionnée, la liste change pour afficher les extensions de tous les fichiers actuellement analysés. Les boutons Ajouter et Supprimer permettent d'activer ou d'empêcher l'analyse des fichiers portant certaines extensions. Pour activer l'analyse de fichiers sans extension, activez l'option Analyser les fichiers sans extension. L'exclusion de fichiers de l'analyse peut parfois être utile lorsque l'analyse de certains types de fichiers empêche le fonctionnement approprié du programme utilisant ces extensions. Par exemple, il peut être judicieux d'exclure les extensions .edb, .eml et .tmp lorsque vous utilisez les serveurs Microsoft Exchange. REMARQUE: Lorsqu'un point bleu se trouve à côté d'un paramètre, cela signifie que le réglage actuel pour ce paramètre diffère du réglage indiqué dans d'autres modules utilisant aussi ThreatSense. Puisque vous pouvez configurer le même paramètre différemment dans chacun des modules, ce point bleu vise seulement à vous indiquer que ce même paramètre est configuré différemment dans d'autres modules. Si vous ne voyez aucun point bleu, cela signifie que ce réglage est ainsi configuré dans tous les modules. 4.1.7.5 Limites La section Limites permet de préciser la taille maximale des objets et les niveaux d'imbrication des archives à analyser : Taille maximale de l'objet - Définit la taille maximale des objets à analyser. Le module antivirus donné n'analysera alors que les objets d'une taille inférieure à celle indiquée. Il n'est pas recommandé de modifier la valeur par défaut et il n'y a généralement aucune raison de le faire. Cette option ne devrait être modifiée que par des utilisateurs expérimentés ayant des raisons précises d'exclure de l'analyse des objets de plus grande taille. Durée d'analyse maximale pour l'objet (en secondes) - Précise la valeur de temps maximale pour l'analyse d'un objet. Si la valeur de ce champ a été définie par l'utilisateur, le module antivirus cessera d'analyser un objet une fois ce temps écoulé, que l'analyse soit finie ou non. Niveau d'imbrication des archives - Précise la profondeur maximale d'analyse des archives. Il n'est pas recommandé de modifier la valeur par défaut (10). Dans des circonstances normales, il n'y a aucune raison de le faire. Si l'analyse prend fin prématurément en raison du nombre d'archives imbriquées, l'archive restera non vérifiée. Taille maximale du fichier dans l'archive - Cette option permet de préciser la taille maximale des fichiers contenus dans les archives qui doivent être analysés (après extraction). Si l'analyse prend fin prématurément en raison du nombre d'archives imbriquées, l'archive restera non vérifiée. 81 REMARQUE: Lorsqu'un point bleu se trouve à côté d'un paramètre, cela signifie que le réglage actuel pour ce paramètre diffère du réglage indiqué dans d'autres modules utilisant aussi ThreatSense. Puisque vous pouvez configurer le même paramètre différemment dans chacun des modules, ce point bleu vise seulement à vous indiquer que ce même paramètre est configuré différemment dans d'autres modules. Si vous ne voyez aucun point bleu, cela signifie que ce réglage est ainsi configuré dans tous les modules. 4.1.7.6 Autre Analyser les flux de données alternatifs (ADS) - Les flux de données alternatifs (ADS) utilisés par le système de fichiers NTFS sont des associations de fichiers et de dossiers que les techniques d'analyse ordinaires ne permettent pas de détecter. De nombreuses infiltrations tentent d'éviter la détection en se faisant passer pour des flux de données alternatifs. Exécuter les analyses en arrière-plan avec une priorité faible - Toute séquence d'analyse consomme une certaine quantité de ressources système. Si vous utilisez des programmes qui exigent beaucoup de ressources système, vous pouvez activer l'analyse en arrière-plan à faible priorité de manière à réserver des ressources pour vos applications. Consigner tous les objets - Si cette option est sélectionnée, le fichier journal affichera tous les fichiers analysés, même ceux qui ne sont pas infectés. Activer l'optimisation Smart - Sélectionnez cette option afin que les fichiers qui ont déjà été analysés ne soient pas analysés de nouveau (à moins qu'ils n'aient été modifiés). Les fichiers seront cependant immédiatement réanalysés après chaque mise à jour de la base de données des signatures de virus. Conserver la date et l'heure du dernier accès - Activez cette option pour conserver la date et l'heure d'accès d'origine des fichiers analysés au lieu de la mettre à jour (par ex., pour l'utiliser avec des systèmes de sauvegarde de données). Faire défiler le journal - Cette option permet d'autoriser ou d'interdire le défilement du journal. Si cette option est sélectionnée, l'information défile vers le haut dans la fenêtre d'affichage. Afficher la notification de fin d'analyse dans une fenêtre séparée - Ouvre une fenêtre indépendante contenant l'information sur les résultats d'analyse. REMARQUE: Lorsqu'un point bleu se trouve à côté d'un paramètre, cela signifie que le réglage actuel pour ce paramètre diffère du réglage indiqué dans d'autres modules utilisant aussi ThreatSense. Puisque vous pouvez configurer le même paramètre différemment dans chacun des modules, ce point bleu vise seulement à vous indiquer que ce même paramètre est configuré différemment dans d'autres modules. Si vous ne voyez aucun point bleu, cela signifie que ce réglage est ainsi configuré dans tous les modules. 4.1.8 Une infiltration est détectée Des infiltrations peuvent utiliser différents points d'entrée pour attaquer votre système, y compris les pages Web, dossiers partagés, courriel ou périphériques amovibles (USB, disques externes, CD, DVD, disquettes, etc.). Si votre ordinateur montre des signes d'une infection par un logiciel malveillant (ralentissement, blocages fréquents, etc.), il est recommandé d'effectuer les opérations suivantes : Ouvrez ESET Mail Security et cliquez sur Analyse de l'ordinateur. Cliquez sur Smart scan (pour plus d'information, se reporter à la rubriqueAnalyse intelligente 72 ) Lorsque l'analyse est terminée, consultez le journal pour connaître le nombre de fichiers analysés, infectés et nettoyés. Si vous ne souhaitez analyser qu'une certaine partie de votre disque, cliquez sur Analyse personnalisée et sélectionnez les cibles à analyser. À titre d'exemple général de la façon dont les infiltrations sont traitées dans ESET Mail Security, supposons qu'une infiltration est détectée par la protection en temps réel du système de fichiers qui utilise le niveau de nettoyage par défaut. Le programme tentera alors de nettoyer ou de supprimer le fichier. Si aucune action n'est prédéfinie pour le module de protection en temps réel, vous serez invité à sélectionner une option dans une fenêtre d'avertissement. Les options Nettoyer, Supprimer et Laisser sont généralement offertes. Il n'est pas recommandé de sélectionner Laisser puisque le ou les fichiers infectés seraient laissés tels quels. La seule exception concerne les situations où vous êtes sûr que le fichier est inoffensif et a été détecté par erreur. Nettoyage et suppression - Utilisez le nettoyage si un fichier a été attaqué par un virus qui y a joint du code 82 malveillant. Dans ce cas, tentez d'abord de nettoyer le fichier infecté pour le restaurer à son état d'origine. Si le fichier se compose uniquement de code malveillant, il sera alors supprimé. Si un fichier infecté est « verrouillé » ou utilisé par un processus du système, il ne sera généralement supprimé qu'après avoir été déverrouillé (le plus souvent, après un redémarrage du système). Suppression de fichiers dans des archives En mode de nettoyage par défaut, l'archive entière n'est supprimée que si elle ne contient que des fichiers infectés et aucun fichier sain. Autrement dit, les archives ne sont pas supprimées si elles contiennent aussi des fichiers sains. Cependant, soyez prudent si vous choisissez un nettoyage strict : dans ce mode, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient. 4.2 Mise à jour du programme La mise à jour régulière de ESET Mail Security constitue la prémisse de base pour obtenir le maximum de sécurité. Le module de mise à jour veille à ce que le programme soit toujours à jour de deux façons : en mettant à jour la base de données des signatures de virus et celle des composants système. En cliquant sur Mettre à jour dans le menu principal, vous pourrez obtenir l'état actuel des mises à jour, y compris la date et l'heure de la dernière mise à jour réussie et si une nouvelle mise à jour est requise. La fenêtre principale contient également la version de la base de données des signatures de virus. Cet indicateur numérique est un lien actif vers le site Web d'ESET qui permet de voir toutes les signatures ajoutées pendant cette mise à jour. De plus, l'option permettant de lancer manuellement le processus de mise à jour - Mettre à jour la base des signatures de virus est aussi disponible, tout comme les options de configuration de base de la mise à jour comme le nom d'utilisateur et le mot de passe pour accéder aux serveurs de mise à jour d'ESET. Cliquez sur le lien Activation de produit pour ouvrir un formulaire d'inscription qui activera votre produit de sécurité ESET et générera l'envoi d'un message contenant vos données d'authentification (nom d'utilisateur et mot de passe). 83 REMARQUE : le nom d'utilisateur et le mot de passe vous seront fournis par ESET après l'achat de ESET Mail Security. 84 4.2.1 Configuration des mises à jour La section de la configuration des mises à jour permet de préciser l'information sur les sources des mises à jour, comme les serveurs de mise à jour et les données d'authentification donnant accès à ces serveurs. Par défaut, le menu déroulant Serveur de mise à jour est défini à Choisir automatiquement pour s'assurer que tous les fichiers de mise à jour sont automatiquement téléchargés du serveur ESET ayant le plus faible trafic réseau. Vous pouvez accéder aux options de configuration des mises à jour à partir de l'arborescence de configuration avancée (touche F5), sous Mettre à jour. La liste des serveurs de mise à jour disponibles est accessible par l'entremise du menu déroulant Serveurs de mise à jour. Pour ajouter un nouveau serveur de mise à jour, cliquez sur Modifier... dans la section Mettre à jour les paramètres du profil sélectionné puis cliquez sur le bouton Ajouter. L'authentification d'accès aux serveurs de mise à jour est fondée sur le nom d'utilisateur et le mot de passe qui ont été générés et envoyés à l'utilisateur après l'achat. 85 4.2.1.1 Profils de mise à jour Les profils de mise à jour peuvent être créés pour différentes configurations et tâches de mise à jour. Les propriétés des connexions Internet étant variables, la création de profils de mise à jour devient particulièrement utile pour les utilisateurs mobiles. Le menu déroulant Profil sélectionné affiche le profil actuellement sélectionné, soit Mon profil, par défaut. Pour créer un nouveau profil, cliquez sur le bouton Profils... puis sur le bouton Ajouter... et entrez votre propre nom de profil. Lors de création d'un nouveau profil, il est possible de Copier les paramètres depuis le profil. Dans la fenêtre de configuration du profil, vous pouvez préciser le serveur de mise à jour dans une liste de serveurs disponibles ou ajouter un nouveau serveur. La liste des serveurs de mise à jour existants est accessible par l'entremise du menu déroulant Serveurs de mise à jour. Pour ajouter un nouveau serveur de mise à jour, cliquez sur Modifier... dans la section Mettre à jour les paramètres du profil sélectionné, puis cliquez sur le bouton Ajouter. 4.2.1.2 Configuration avancée des mises à jour Pour afficher la Configuration avancée des mises à jour, cliquez sur le bouton Configuration.... Les options de configuration avancée des mises à jour comprennent la configuration du mode de mise à jour Proxy HTTP, Réseau local et Miroir. 4.2.1.2.1 Mode de mise à jour L'onglet Mode de mise à jour contient les options concernant la mise à jour des composants du programme. Dans la section Mise à jour des composants du programme, trois options sont disponibles : Ne jamais mettre à jour les composants du programme Les nouvelles mises à jour des composants du programme ne seront pas téléchargées. Toujours mettre à jour les composants du programme : Les nouvelles mises à jour des composants du programme seront effectuées automatiquement. Demander avant de télécharger les composants de programme : L'option par défaut. Vous serez invité à confirmer ou à refuser les mises à jour des composants du programme lorsqu'elles sont disponibles. 86 Après la mise à jour des composants du programme, il peut être nécessaire de redémarrer votre ordinateur pour ainsi assurer le fonctionnement complet de tous les modules. La section Redémarrage de l'ordinateur après une mise à jour des composants du programme vous permet de sélectionner l'une des options suivantes : Ne jamais redémarrer l'ordinateur Proposer le redémarrage de l'ordinateur si nécessaire Si nécessaire, redémarrer l'ordinateur sans avertissement L'option par défaut est Proposer le redémarrage de l'ordinateur si nécessaire La sélection des options les plus appropriées dépend des stations de travail sur lesquelles les paramètres seront appliqués. Notez qu'il existe des différences entre les postes de travail et les serveurs. P. ex., le redémarrage d'un serveur automatiquement après une mise à jour du programme peut causer de sérieux dommages. 4.2.1.2.2 Serveur mandataire Dans ESET Mail Security, le serveur mandataire peut être configuré dans deux sections différentes de l'arborescence de la configuration avancée. Les paramètres du serveur mandataire peuvent tout d'abord être configurés sous Divers > Serveur mandataire. La sélection du serveur mandataire à ce niveau définit les paramètres de serveur mandataire globaux pour l'ensemble de ESET Mail Security. Les paramètres définis ici seront utilisés par tous les modules exigeant une connexion Internet. Pour préciser des paramètres de serveur mandataire à ce niveau, cochez la case Utiliser un serveur mandataire, puis entrez l'adresse du serveur mandataire dans le champ Serveur mandataire, en y ajoutant le numéro de port du serveur mandataire. 87 Si la communication avec le serveur mandataire exige une authentification, cochez la case Le serveur mandataire exige une authentification et entrez un nom d'utilisateur et un mot de passe valides dans les champs correspondants. Cliquez sur le bouton Détecter le serveur mandataire pour détecter automatiquement les paramètres du serveur mandataire. Les paramètres définis dans Internet Explorer seront copiés. REMARQUE : Cette fonctionnalité ne permet pas de récupérer les données d'authentification (nom d'utilisateur et mot de passe) que vous devez entrer. Les paramètres du serveur mandataire peuvent aussi être définis dans la Configuration avancée des mises à jour. Ce paramètre s'applique au profil de mise à jour donné. Vous pouvez accéder aux options de configuration du serveur mandataire pour un profil donné en cliquant sur l'onglet Proxy HTTP dans Configuration avancée des mises à jour. Vous aurez accès à l'une des trois options suivantes : Utiliser les paramètres globaux de serveur mandataire Ne pas utiliser de serveur mandataire Connexion via un serveur mandataire (connexion définie par les propriétés de la connexion) Sélectionner l'option Utiliser les paramètres globaux de serveur mandataire utilisera les options de configuration du serveur mandataire déjà configurées dans la branche Divers > Serveur mandataire de l'arborescence de la configuration avancée (comme elle décrite ci-haut, dans cet article). Sélectionnez l'option Ne pas utiliser de serveur mandataire pour préciser qu'aucun serveur mandataire ne sera utilisé pour mettre ESET Mail Security à jour. L'option Connexion via un serveur mandataire devrait être sélectionnée si un serveur mandataire devrait être 88 utilisé pour mettre ESET Mail Security à jour et que ce serveur diffère du serveur indiqué dans les paramètres globaux (Divers > Serveur mandataire). Dans un tel cas, les paramètres devraient être indiqués ici : adresse du serveur mandataire, port de communication et nom d'utilisateur et mot de passe utilisés par le serveur mandataire, au besoin. Cette option devrait également être sélectionnée si les paramètres du serveur mandataire n'ont pas été configurés globalement, mais que ESET Mail Security se connectera à un serveur mandataire pour obtenir les mises à jour. Le paramètre par défaut pour le serveur mandataire est Utiliser les paramètres globaux de serveur mandataire. 4.2.1.2.3 Connexion au réseau local Lors de la mise à jour depuis un serveur local sous le système d'exploitation NT, une authentification est exigée par défaut pour chaque connexion réseau. Dans la plupart des cas, un compte système local n'a pas suffisamment de droits pour accéder au dossier miroir (contenant des copies des fichiers de mise à jour). Dans ce cas, entrez un nom d'utilisateur et un mot de passe dans la section de configuration des mises à jour ou précisez le compte avec lequel le programme peut accéder au serveur de mise à jour - miroir. Pour configurer un tel compte, cliquez sur l'onglet Réseau local. La Se connecter au réseau local comme offre les options Compte système (par défaut), Utilisateur actuel et Utilisateur spécifié. Sélectionnez l'option Compte système (par défaut) pour utiliser le compte système pour l'authentification. Normalement, aucune authentification ne sera effectuée si des données d'authentification ne sont pas inscrites dans la section de configuration des mises à jour. Pour s'assurer que le programme s'authentifie à l'aide du compte de l'utilisateur actuellement connecté, sélectionnez Utilisateur actuel. L'inconvénient de cette solution est que le programme est dans l'impossibilité de se connecter au serveur de mise à jour si aucun utilisateur n'est actuellement connecté. Sélectionnez Utilisateur spécifié si vous voulez que le programme utilise un compte utilisateur précisé pour l'authentification. Avertissement : Si l'une des options Utilisateur actuel ou Utilisateur spécifié est activée, une erreur peut se produire si l'identité du programme est changée pour l'utilisateur souhaité. Il est recommandé d'entrer les données d'authentification du réseau local dans la section de configuration des mises à jour. Dans cette section, les données d'authentification doivent être entrées comme suit : nom_de_domaine\utilisateur (dans le cas d'un groupe de travail, entrez nom_de_groupe_de_travail\utilisateur) et le mot de passe de l'utilisateur. La mise à jour de la version HTTP du serveur local n'exige aucune authentification. 89 4.2.1.2.4 Création de copies de mises à jour - miroir ESET Mail Security vous permet de créer des copies des fichiers de mise à jour qui peuvent être utilisées pour mettre à jour les autres stations de travail se trouvant sur le réseau. La mise à jour des postes de travail à partir d'un miroir optimise l'équilibre de la charge réseau et libère les bandes passantes des connexions Internet. Les options de configuration du serveur miroir local sont accessibles dans la section (après avoir ajouté une clé de licence valide dans le gestionnaire de licences qui se trouve dans la section Configuration avancée des mises à jour ESET Mail Security) dans la section Configuration avancée des mises à jour. Pour accéder à cette section, appuyez sur la touche F5 et cliquez sur Mettre à jour dans l'arborescence de la configuration avancée, puis cliquez sur le bouton Configuration... à côté de Configuration avancée des mises à jour et sélectionnez l'onglet Miroir). La première étape de la configuration du miroir consiste à sélectionner l'option Créer un miroir de mise à jour. Cocher cette option active d'autres options de configuration du miroir, telles que la manière d'accéder aux fichiers de mise à jour et le chemin des fichiers miroir. Les méthodes d'activation du miroir sont décrites en détail dans la section Mise à jour à partir du miroir 91 . Veuillez noter qu'il existe deux méthodes de base pour configurer le miroir - le dossier miroir des fichiers de mise à jour qui peut se présenter comme un fichier réseau partagé ou comme un serveur HTTP. Le dossier réservé au stockage des fichiers de mise à jour du miroir est défini dans la section Dossier de stockage des fichiers miroir. Cliquez sur Dossier... pour naviguer jusqu'au dossier souhaité sur un ordinateur local ou un dossier réseau partagé. Si une autorisation pour le dossier indiqué est requise, les données d'authentification doivent être entrées dans les champs Nom d'utilisateur et Mot de passe. Le nom d'utilisateur et le mot de passe doivent être entrés dans le format Domaine/Utilisateur ou Workgroup/Utilisateur. N'oubliez pas de fournir les mots de passe correspondants. Lors de la configuration du miroir, vous pouvez également préciser les différentes langues des copies de mises à jour à télécharger. La configuration de la langue de version est accessible dans la section Fichiers - Versions disponibles . REMARQUE : Il n'est pas possible de mettre à jour la base antipourriel à partir du miroir. Pour plus de détails sur la façon de permettre des mises à jour appropriées de la base de données antipourriel, cliquez ici 38 . 90 4.2.1.2.4.1 Mise à jour à partir du miroir Il existe deux méthodes de base pour configurer le miroir puisque le dossier miroir des fichiers de mise à jour peut se présenter comme un fichier réseau partagé ou comme un serveur HTTP. Accès au miroir au moyen d'un serveur HTTP interne La configuration par défaut, indiquée dans la configuration prédéfinie du programme. Pour accéder au miroir à l'aide du serveur HTTP, naviguez jusqu'à Configuration avancée des mises à jour (l'onglet Miroir) et sélectionnez l'option Créer un miroir de mise à jour. Dans la section Configuration avancée de l'onglet Miroir, vous pouvez préciser le port du serveur où le serveur HTTP écoutera, ainsi que le type d'authentification utilisé par le serveur HTTP. Ce port est configuré, par défaut, à 2221. L'option d'authentification définit la méthode d'authentification utilisée pour accéder aux fichiers de mise à jour. Les options suivantes sont disponibles : NONE, Basic et NTLM. Sélectionnez Basic pour utiliser le codage base64 avec l'authentification de base du nom d'utilisateur et mot de passe. L'option NTLM fournit un codage utilisant une méthode de codage fiable. L'utilisateur créé sur le poste de travail partageant les fichiers de mise à jour sera utilisé pour l'authentification. L'option par défaut est NONE. Elle autorise l'accès aux fichiers des mises à jour sans exiger d'authentification. Avertissement : L'accès aux fichiers de mise à jour à l'aide du serveur HTTP exige que le dossier miroir soit sur le même ordinateur que l'instance de ESET Mail Security qui l'a créé. Une fois la configuration du miroir terminée, ouvrez les stations de travail et ajoutez un nouveau serveur de mise à jour au format http://adresse_IP_de votre_serveur:2221. Pour ce faire, suivez les étapes indiquées ci-dessous : Ouvrez Configuration avancée dans ESET Mail Security et cliquez sur la branche Mettre à jour. Cliquez sur Modifier… à la droite du menu déroulant Serveurs de mise à jour et ajoutez un nouveau serveur, au format suivant : http://adresse_IP_de_votre_serveur:2221 Sélectionnez, dans la liste Serveur de mise à jour, le serveur nouvellement ajouté. Accès au miroir par le partage des systèmes Un dossier partagé doit d'abord être créé sur un lecteur local ou réseau. Lors de la création du dossier pour le miroir, il est nécessaire d'octroyer le droit d'« écriture » à l'utilisateur qui va sauvegarder les fichiers dans le dossier et le droit de « lecture » aux utilisateurs qui vont utiliser le dossier miroir pour la mise à jour d'ESET Mail Security. Configurez ensuite l'accès au miroir dans la section Configuration avancée des mises à jour (onglet Miroir) en désactivant l'option Fournir les fichiers de mise à jour par le biais d'un serveur HTTP interne. Cette option est activée par défaut lors de l'installation du programme. 91 Si le dossier partagé se trouve sur un autre ordinateur du réseau, vous devez préciser les données d'authentification pour accéder à l'autre ordinateur. Pour préciser les données d'authentification, ouvrez la branche de Configuration avancée de ESET Mail Security et cliquez sur Mettre à jour. Cliquez sur le bouton Configuration... puis sur l'onglet Réseau local. Ce paramètre est le même que celui de la mise à jour, comme décrit dans la section Se connecter au réseau local 89 . Une fois la configuration du miroir terminée, continuez avec les postes de travail en précisant \\UNC\CHEMIN comme serveur de mise à jour. Cette opération peut être effectuée à l'aide des opérations suivantes : Ouvrez Configuration avancée dans ESET Mail Security puis cliquez sur Mettre à jour Cliquez sur Modifier… à côté de Serveur de mise à jour et ajoutez un nouveau serveur au format \\UNC\PATH. Sélectionnez, dans la liste Serveurs de mise à jour, le serveur nouvellement ajouté REMARQUE : Pour un fonctionnement correct, le chemin du dossier miroir doit être précisé comme chemin UNC. Les mises à jour à partir de lecteurs mappés pourraient ne pas fonctionner. 4.2.1.2.4.2 Résolution des problèmes de miroir de mise à jour Dans la plupart des cas, les problèmes lors d'une mise à jour depuis un serveur miroir découlent d'une ou de plusieurs des causes suivantes : une mauvaise spécification des options du dossier miroir, des données d'authentification incorrectes pour l'accès au dossier miroir, une mauvaise configuration des postes de travail qui cherchent à télécharger des fichiers de mise à jour du miroir ou une combinaison de ces raisons. Nous donnons cidessous un aperçu des problèmes les plus fréquents qui peuvent se produire lors d'une mise à jour depuis le miroir : ESET Mail Security signale une erreur de connexion au serveur miroir - probablement causée par un serveur de mise à jour incorrect (chemin réseau du dossier miroir) à partir duquel les postes de travail locaux téléchargent les mises à jour. Pour vérifier le dossier, cliquez sur Démarrer puis sur Exécuter avant d'entrer le nom du dossier et de cliquer sur OK. Le contenu du dossier doit s'afficher. ESET Mail Security exige un nom d'utilisateur et un mot de passe - probablement causée par l'entrée, dans la section mise à jour, de données d'authentification incorrectes (Nom d'utilisateur et Mot de passe). Le nom d'utilisateur et le mot de passe donnent accès au serveur de mise à jour, à partir duquel le programme se télécharge. Assurez-vous que les données d'authentification sont correctes et entrées dans le bon format. Par exemple, Domaine/Nom d'utilisateur ou Workgroup/Nom d'utilisateur, en plus des mots de passe correspondants. Si le serveur miroir est accessible à « Tous », cela ne veut pas dire que tout utilisateur est autorisé à y accéder. « Tous » ne veut pas dire tout utilisateur non autorisé, cela veut tout simplement dire que le dossier est accessible à tous les utilisateurs du domaine. Par conséquent, si le dossier est accessible à « Tous », un nom d'utilisateur du domaine et un mot de passe sont toujours nécessaires et doivent être entrés dans la configuration des mises à jour. ESET Mail Security signale une erreur de connexion au serveur miroir - le port de communication défini pour l'accès au miroir par l'entremise de HTTP est bloqué. 4.2.2 Comment créer des tâches de mise à jour Les mises à jour peuvent être déclenchées manuellement en cliquant sur Mettre à jour la base de signature de virus dans la principale fenêtre d'information qui s'affiche après avoir cliqué sur Mettre à jour, dans le menu principal. Les mises à jour peuvent également être exécutées comme tâches planifiées. Pour configurer une tâche planifiée, cliquez sur Outils > Planificateur. Par défaut, les tâches suivantes sont activées dans ESET Mail Security : Mise à jour automatique régulière Mise à jour automatique après une connexion commutée Mise à jour automatique après ouverture de session utilisateur Chaque tâche de mise à jour peut être modifiée en fonction de vos besoins. Outre les tâches de mise à jour par défaut, vous pouvez en créer de nouvelles avec vos propres paramètres. Pour plus d'information sur la création et la configuration des tâches de mise à jour, se reporter à la section Planificateur 93 . 92 4.3 Planificateur Le Planificateur est disponible si le mode Avancé est activé dans ESET Mail Security. Le Planificateur se trouve dans le menu principal de ESET Mail Security, sous Outils. Le Planificateur contient une liste de toutes les tâches planifiées avec leurs propriétés de configuration telles que la date prédéfinie, l'heure et le profil d'analyse utilisé. Par défaut, les tâches planifiées suivantes s'affichent dans le Planificateur : Mise à jour automatique régulière Mise à jour automatique après une connexion commutée Mise à jour automatique après ouverture de session utilisateur Vérification automatique des fichiers de démarrage (après la connexion de l'utilisateur) Vérification automatique des fichiers de démarrage (après la mise à jour réussie de la base des signatures de virus) Pour modifier la configuration d'une tâche planifiée existante (tant par défaut que définie par l'utilisateur), cliquez avec le bouton droit sur la tâche, puis sur Modifier... ou sélectionnez la tâche à modifier, puis cliquez sur le bouton Modifier.... 93 4.3.1 Pourquoi planifier des tâches Le planificateur gère et lance les tâches planifiées qui ont été préalablement définies et configurées. La configuration et les propriétés de ces tâches comprennent des informations telles que la date et l'heure ainsi que des profils particuliers à utiliser pendant l'exécution de ces tâches. 4.3.2 Création de nouvelles tâches Pour créer une nouvelle tâche dans le Planificateur, cliquez sur le bouton Ajouter... ou cliquez à droite et sélectionnez Ajouter... dans le menu contextuel. Cinq types de tâches planifiées sont disponibles : Exécuter une application externe Contrôle des fichiers de démarrage du système Créer un instantané de l'état de l'ordinateur Analyse de l'ordinateur à la demande Mettre à jour Puisque la mise à jour est l'une des tâches planifiées les plus souvent utilisées, nous expliquerons comment ajouter une nouvelle tâche de mise à jour. Du menu déroulant Tâches planifiées, sélectionnez Mettre à jour. Cliquez sur Suivant et entrez le nom de la tâche dans le champ Nom de la tâche. Sélectionnez la fréquence de la tâche. Les options suivantes sont disponibles : Une fois, Plusieurs fois, Quotidiennement, Chaque semaine et Déclenchée par un événement. Selon la fréquence sélectionnée, vous serez invité à choisir différents paramètres de mise à jour. On peut ensuite définir l'action à entreprendre si la tâche ne peut pas être effectuée ou terminée à l'heure planifiée. Les trois options suivantes sont disponibles : Attendre le prochain moment planifié Exécuter la tâche dès que possible Exécuter immédiatement la tâche si le temps écoulé depuis la dernière exécution excède l'intervalle précisé (l'intervalle peut être défini à l'aide de la zone de liste déroulante d'intervalle de la tâche) Dans l'étape suivante, une fenêtre sommaire avec l'information sur la tâche planifiée actuelle est affichée. L'option Exécuter la tâche avec des paramètres spécifiques devrait être automatiquement activée. Cliquez sur le bouton Terminer. Une boîte de dialogue s'ouvre pour permettre de choisir le profil à utiliser avec la tâche planifiée. Vous pouvez préciser ici un profil primaire et un profil secondaire qui sera utilisé si la tâche ne peut s'exécuter à l'aide du profil primaire. Confirmez en cliquant sur OK dans la fenêtre Profils de mise à jour. La nouvelle tâche planifiée sera ajoutée à la liste des tâches planifiées. 94 4.4 Quarantaine La quarantaine vise principalement à stocker en toute sécurité les fichiers infectés. Ces fichiers doivent être mis en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont détectés par erreur par ESET Mail Security. Vous pouvez choisir de mettre n'importe quel fichier en quarantaine. Il est conseillé de le faire si un fichier se comporte de façon suspecte, mais n'a pas été détecté par l'analyseur antivirus. Les fichiers en quarantaine peuvent ensuite être soumis pour analyse au laboratoire d'ESET. Les fichiers stockés dans le dossier de quarantaine peuvent être visualisés dans un tableau indiquant la date et l'heure de mise en quarantaine, le chemin de l'emplacement d'origine du fichier infecté, sa taille en octets, la raison ( ajoutée par l'utilisateur…) et le nombre de menaces (s'il s'agit d'une archive contenant plusieurs infiltrations, par ex.). 4.4.1 Mise de fichiers en quarantaine ESET Mail Security envoie automatiquement les fichiers supprimés en quarantaine (si l'utilisateur n'a pas annulé cette option dans la fenêtre d'alerte). Au besoin, vous pouvez mettre manuellement en quarantaine tout fichier suspect en cliquant sur le bouton Quarantaine.... Dans ce cas, le fichier d'origine n'est pas supprimé de son emplacement initial. Il est également possible d'utiliser le menu contextuel à cette fin. Il suffit de cliquer avec le bouton droit dans la fenêtre Quarantaine et de sélectionner Ajouter.... 95 4.4.2 Restaurer depuis la quarantaine Les fichiers mis en quarantaine peuvent être restaurés dans leur emplacement d'origine. Utilisez la fonction Restaurer pour ce faire. La fonctionnalité Restaurer est disponible dans le menu contextuel en cliquant sur le fichier donné, dans la fenêtre Quarantaine. Le menu contextuel offre également l'option Restaurer vers qui permet de restaurer des fichiers vers un emplacement autre que celui d'où ils ont été supprimés. REMARQUE: Si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer, de l'exclure de l'analyse et de l'envoyer au service à la clientèle d'ESET. 4.4.3 Soumission de fichiers de quarantaine Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été jugé infecté par erreur (par l'analyse heuristique du code, par ex.) et mis en quarantaine, envoyez ce fichier au laboratoire d'ESET. Pour soumettre un fichier à la quarantaine, cliquez à droite sur le fichier et sélectionnez Soumettre pour analyse à partir du menu contextuel. 96 4.5 Fichiers journaux Les journaux stockent les données connexes à des événements importants : les infiltrations détectées, les journaux des analyseurs à la demande et résidents et les informations système. Les journaux antipourriel et d'ajout à la liste grise (qui se trouvent sous d'autres journaux, dans Outils > Fichiers journaux) contiennent de l'information détaillée sur les messages ayant été analysés et les actions qui ont ensuite été effectuées sur ces messages. Les journaux peuvent très utiles lorsque vous cherchez des messages non livrés, lorsque vous tentez de savoir pour quelle raison un message a été indiqué comme pourriel, etc. 97 Antipourriel Tous les messages catégorisés par ESET Mail Security comme pourriels ou pourriels probables sont indiqués ici. Description des colonnes : Heure - Heure d'entrée dans le journal antipourriel. Expéditeur - Adresse de l'expéditeur. Destinataire - Adresse du destinataire. Objet - Objet du message. Note - Note de pourriel attribuée au message (entre 0 et 100). Motif - Indicateur qui fait que le message a été classifié comme pourriel. L'indicateur affiché est le plus élevé. Si vous voulez voir les autres indicateurs, double-cliquez sur l'entrée. La fenêtre Motif s'ouvrira et affichera tous les autres indicateurs, triés par ordre descendant d'importance. URL réputée celle d'un polluposteur Les URL dans des messages peuvent souvent indiquer qu'il s'agit d'un pourriel. Formatage HTML (polices de caractères, couleurs, etc.) Le formatage des éléments dans la partie HTML du message montre des signes caractéristiques du pourriel (types et taille des polices de caractères, couleur, etc.) Astuces de courrier indésirable : obscurcissement Les mots que l'on retrouve généralement dans le pourriel tendent à être masqués en utilisant d'autres caractères. Un exemple type est le mot « Viagra » souvent écrit « V1agra » pour éviter la détection antipourriel. Pourriel avec type d'image HTML Les pourriels sont souvent envoyés sous forme d'image puisqu'il s'agit là d'une autre stratégie de dissimulation visant à contourner les méthodes de détection antipourriel. Ces images contiennent généralement des liens interactifs vers des pages Web. Formatage de l'URL avec domaine du service d'hébergement Les adresses URL contiennent le domaine du service d'hébergement. Mot-clé dans les pourriels... Le message contient des mots que l'on retrouve généralement dans les pourriels. Incohérence dans l'en-tête du courriel L'information indiquée dans l'en-tête a été modifiée pour pouvoir passer pour une source autre que celle de l'expéditeur original. 98 Virus Le message contient une pièce jointe suspecte. Hameçonner Le message contient du texte que l'on retrouve généralement dans les messages à des fins de hameçonnage. Réplique Le message contient du texte que l'on retrouve généralement dans les pourriels visant généralement à offrir des copies de produits. Indice de pourriel générique Le message contient des mots ou des caractères que l'on retrouve généralement dans les pourriels, par exemple « Cher ami », « Cher gagnant », « !!! », etc. Indice de courriel légitime Un indicateur ayant un effet contraire aux autres indicateurs mentionnés ici. Il analyse les caractéristiques afin d'y trouver des messages réguliers, sollicités. Il abaisse la note globale attribuée au pourriel. Indice de pourriel non spécifique Le message contient d'autres éléments de pourriel, comme du codage base64. Phrases communes dans les pourriels D'autres phrases types que l'on retrouve dans les pourriels. Cette URL est inscrite sur la liste noire L'URL indiquée dans le message est indiquée sur la liste noire. Cette adresse IP %s est inscrite sur la liste rouge en temps réel (%d%%) L'adresse IP ... est indiquée sur une liste RBL. URL %s est inscrite sur la liste noire des L'adresse URL ... est indiquée sur la liste noire des DNS. DNS URL %s est inscrite sur la liste rouge en L'adresse URL ... est inscrite sur la liste rouge en temps réel ou le serveur temps réel ou le serveur n'a pas n'a pas l'autorisation requise pour expédier des messages. Les adresses l'autorisation d'expédier le message faisant partie du chemin que prend le message sont vérifiées en fonction de la liste rouge en temps réel (RBL). La vérification de la dernière adresse visera les droits de connectivité aux serveurs de messagerie publics. S'il est impossible de détecter des droits de connectivité valides, l'adresse sera alors ajoutée à la liste LBL. Le texte suivant sera indiqué dans le champ Motif des messages marqués comme pourriel, en raison d'un indicateur LBL : « server is not entitled to send mail » (le serveur n'a pas le droit d'expédier du courriel). Action - Action effectuée sur le message. Actions possibles : Conservé Aucune action n'a été effectuée sur le message. Mis en quarantaine Le message a été mis en quarantaine. Nettoyé et mis en quarantaine Le virus a été supprimé du message et le message a été mis en quarantaine. Refusé Le message a été refusé et la réponse de refus SMTP l'expéditeur. Supprimé Le message a été supprimé par suppression automatique 20 a été envoyée à 20 . Reçu - Heure à laquelle le serveur a reçu le message. REMARQUE : Si les messages ont été reçus par l'entremise d'un serveur de messagerie, les heures indiqués dans les champs Heure et Reçu seront pratiquement identiques. 99 Ajout à la liste grise Tous les messages évalués à l'aide de la méthode d'ajout à la liste grise sont inscrits dans ce journal. Description des colonnes : Heure - Heure d'entrée dans le journal antipourriel. Domaine HELO - Nom de domaine utilisé par le serveur d'expédition pour s'identifier par rapport au serveur de réception. Adresse IP - Adresse IP de l'expéditeur. Expéditeur - Adresse de l'expéditeur. Destinataire - Adresse du destinataire. Action - Peut contenir les états suivants : Refusé Le message entrant a été refusé conformément aux caractéristiques de base de l'ajout à la liste grise (première tentative de livraison). Refusé (pas encore vérifié) Le message entrant a été livré de nouveau par le serveur d'envoi, mais le délai de rejet de la connexion n'est pas encore écoulé (Délai pour le refus de la connexion initiale (min)). Vérifié Le message entrant a été livré à plusieurs reprises par le serveur d'envoi, le Délai pour le refus de la connexion initiale (min) est écoulé et le message a donc été vérifié et livré. Se reporter aussi à la rubriqueAgent de transport 39 . Temps restant - Délai restant avant que le Délai pour le refus de la connexion initiale ne soit écoulé. Menaces détectées Le journal des menaces contient de l'information sur les infiltrations détectées par les modules de ESET Mail Security. Cela inclut l'heure de détection, le type d'analyseur, le type d'objet, le nom de l'objet, le nom de l'infiltration, l'emplacement, l'action exécutée et le nom de l'utilisateur connecté au moment où l'infiltration a été détectée. Utilisez le menu contextuel (cliquez avec le bouton droit sur l'élément) pour copier ou supprimer une ou plusieurs lignes du journal (ou supprimer tout le journal). Événements Le journal d'événements contient de l'information sur les événements qui se sont produits dans le programme. Cela peut souvent permettre de trouver une solution à un problème qui s'est produit dans le programme. 100 Analyse de l'ordinateur à la demande Le journal d'analyses stocke l'information sur les résultats des analyses manuelles et planifiées. Chaque ligne correspond à un seul contrôle d'ordinateur. Il comprend les détails suivants : date et heure d'analyse, nombre total de fichiers analysés, infectés et nettoyés ainsi que l'état actuel de l'analyse. Dans les Journaux d'analyses à la demande, double-cliquez sur une entrée du journal pour afficher son contenu détaillé dans une fenêtre séparée. Utilisez le menu contextuel (cliquez avec le bouton droit) pour copier une ou plusieurs entrées marquées (dans tous les types de journaux). 4.5.1 Filtrage des journaux Le filtrage des journaux est cette fonctionnalité utile qui vous permet de trouver des enregistrements dans les fichiers journaux, tout particulièrement lorsqu'il y a un très grand nombre d'enregistrements et qu'il est difficile de trouver l'information particulière dont vous avez besoin. Pour utiliser le filtrage, vous pouvez saisir une chaîne de caractères indiquant les données à filtrer, préciser les colonnes dans lesquelles chercher, sélectionner les types d'enregistrements et définir la période pour limiter le nombre d'enregistrements. Lorsque vous précisez certaines options de filtrage, seuls les enregistrements pertinents (selon ces critères de recherche) seront affichés dans la fenêtre Fichiers journaux pour vous permettre d'y accéder rapidement et facilement. Pour ouvrir la fenêtre Filtrage des journaux, appuyez une fois sur le bouton Filtrer... dans Outils > Fichiers journaux ou utilisez le raccourci Ctrl + Maj + F. REMARQUE : Pour trouver un enregistrement particulier, vous pouvez utiliser la fonctionnalité Trouver dans le journal 102 seule ou la combiner avec le filtrage des journaux. Lorsque vous précisez certaines options de filtrage, seuls les enregistrements pertinents (selon ces critères de recherche) seront affichés dans la fenêtre des fichiers journaux. Cela permettra de filtrer et de limiter les enregistrements affichés, ce qui vous permettra de trouver plus facilement ce que vous cherchez. Plus les options de filtrage utilisées sont précises, moins vous obtiendrez de résultats. Quoi : - Saisissez une chaîne de caractères (mot ou partie d'un mot). Seuls les enregistrements contenant cette chaîne de caractères seront affichés. Le reste des enregistrements sera masqué pour une meilleure lisibilité. Rechercher dans les colonnes : - Sélectionnez les colonnes dans lesquelles le filtrage sera effectué. Vous pouvez cocher une ou plusieurs colonnes à utiliser dans le filtrage. Par défaut, toutes les colonnes seront cochées : Heure Module Événement Utilisateur 101 Types d'enregistrement : - Vous permet de choisir le type d'enregistrement à afficher. Vous pouvez choisir un type d'enregistrement particulier, plusieurs types d'enregistrements à filtrer en même temps ou tous les types d'enregistrements (valeur par défaut) : Diagnostic Informations Avertissement Erreur Critique Période : - Utilisez cette option pour que les enregistrements soient filtrés par période. Vous pouvez choisir l'une des options suivantes : Journal entier (valeur par défaut) - Ne limite pas le filtrage à la période et affiche plutôt l'ensemble du journal. Dernier jour Dernière semaine Dernier mois Intervalle - Lorsque vous sélectionnez cette option, vous pouvez également préciser la période exacte (date et heure) de création des enregistrements à afficher. En plus des paramètres de filtrage indiqués ci-dessus, vous avez aussi accès à d'autres options : Mots entiers seulement - N'affiche que les enregistrements qui comprennent la chaîne complète de caractères indiquée dans la boîte de texte Quoi. Sensible à la casse - N'affiche que les enregistrements qui correspondent parfaitement à la chaîne de caractères indiquée dans la boîte de texte Quoi (majuscules et minuscules incluses). Activer le filtrage intelligent - Utilisez cette option pour laisser ESET Mail Security effectuer le filtrage en utilisant ses propres méthodes. Une fois toutes les options de filtrage configurées, appuyez sur le bouton OK pour appliquer le filtre. La fenêtre Fichiers journaux n'affichera que les enregistrements qui correspondent aux options de filtrage. 4.5.2 Trouver dans le journal En plus du filtrage des journaux 101 , vous pouvez également utiliser la fonctionnalité de recherche dans les fichiers journaux, ainsi que l'utiliser indépendamment du filtrage des journaux. Cela est utile lorsque vous cherchez des enregistrements particuliers dans les journaux. Tout comme le filtrage des journaux, cette fonctionnalité de recherche vous aidera à trouver l'information que vous cherchez, tout particulièrement lorsqu'il y a un très grand nombre d'enregistrements. Lorsque vous utilisez la fonction Trouver dans le journal, vous pouvez saisir une chaîne de caractères indiquant quoi trouver, préciser les colonnes dans lesquelles chercher, sélectionner les types d'enregistrement à chercher ainsi que définir la période dans laquelle effectuer une recherche pour trouver les enregistrements correspondant à différents événements. Lorsque vous précisez certaines options de recherche, seuls les enregistrements pertinents (selon ces critères de recherche) feront l'objet d'une recherche dans la fenêtre des fichiers journaux. Pour effectuer une recherche dans les journaux, ouvrez la fenêtre Trouver dans le journal en appuyant sur les touches CTRL et F. REMARQUE : Vous pouvez aussi utiliser conjointement la fonctionnalité Trouver dans le journal avec le filtrage des journaux 101 . Vous pouvez d'abord limiter le nombre d'enregistrements à l'aide de la fonction de filtrage des journaux puis effectuer une recherche dans les enregistrements filtrés. 102 Quoi : - Saisissez une chaîne de caractères (mot ou partie d'un mot). Seuls les enregistrements contenant cette chaîne de caractères seront affichés. Le reste des enregistrements sera omis. Rechercher dans les colonnes : - Sélectionnez les colonnes dans lesquelles la recherche sera effectuée. Vous pouvez cocher une ou plusieurs colonnes à utiliser dans la recherche. Par défaut, toutes les colonnes seront cochées : Heure Module Événement Utilisateur Types d'enregistrement : - Vous permet de choisir le type d'enregistrement à chercher. Vous pouvez choisir un type d'enregistrement particulier, plusieurs types d'enregistrements parmi lesquels effectuer la recherche en même temps ou tous les types d'enregistrements (valeur par défaut) : Diagnostic Informations Avertissement Erreur Critique Période : - Utilisez cette option pour trouver des enregistrements créés uniquement pendant cette période précise. Vous pouvez choisir l'une des options suivantes : Journal entier (valeur par défaut) - ne limite pas la recherche à la période, cherche plutôt dans l'ensemble du journal Dernier jour Dernière semaine Dernier mois Intervalle - lorsque vous sélectionnez cette option, vous pouvez également préciser la période exacte (date et heure) pendant laquelle les enregistrements ont été créés. En plus des paramètres de recherche indiqués ci-dessus, vous avez aussi accès à d'autres options : Mots entiers seulement - Ne trouve que les enregistrements qui comprennent la chaîne complète de caractères indiquée dans la boîte de texte Quoi. Sensible à la casse - Ne trouve que les enregistrements qui correspondent parfaitement à la chaîne de caractères indiquée dans la boîte de texte Quoi (majuscules et minuscules inclus). Rechercher vers le haut - Effectue la recherche, de la position actuelle du curseur vers le haut. Une fois que vous aurez configuré les options de recherche, cliquez sur le bouton Trouver pour lancer la recherche. La recherche s'arrête lorsqu'elle trouve le premier enregistrement correspondant. Cliquez de nouveau sur le bouton Trouver pour poursuivre la recherche. La recherche dans les fichiers journaux s'effectue du haut vers le bas, à partir de la position actuelle du curseur (l'enregistrement surligné). 103 4.5.3 Maintenance des journaux Vous pouvez accéder à la configuration de journalisation de ESET Mail Security à partir de la fenêtre principale du programme. Cliquez sur Configuration > Accéder à l'arborescence de la configuration avancée complète... > Outils > Fichiers journaux. Vous pouvez préciser les options suivantes pour les fichiers journaux : Supprimer automatiquement les entrées - Les entrées de journal plus anciennes que le nombre de jours précisé sont automatiquement supprimées. Optimiser automatiquement les fichiers journaux Active la défragmentation automatique des fichiers journaux en cas de dépassement du pourcentage indiqué d'entrées non utilisées. Niveau de détails minimum dans les journaux Précise le niveau de verbosité de la journalisation. Options disponibles : - Entrées de diagnostic - Consigne l'information requise pour affiner le programme et toutes les entrées préalables. - Entrées informatives - Enregistre des messages informatifs, y compris les messages de mise à jour réussie ainsi que toutes les entrées préalables. - Avertissements - Enregistre les erreurs critiques et les messages d'avertissement. - Erreurs - Seuls les messages tels que « Erreur de téléchargement de fichier » et erreurs critiques sont enregistrés. - Avertissements critiques - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus, etc.). 104 4.6 ESET SysInspector 4.6.1 Introduction à ESET SysInspector ESET SysInspector est une application qui inspecte complètement l'ordinateur et affiche les données recueillies de façon exhaustive. Des données telles que les pilotes et applications installés, les connexions réseau ou les entrées de registre importantes peuvent vous aider à élucider un comportement suspect du système, qu'il soit dû à une incompatibilité logicielle ou matérielle, ou à une infection par logiciel malveillant. Il existe deux façons d'accéder à ESET SysInspector : à partir de la version intégrée de la solution ESET Security ou en téléchargeant la version autonome (SysInspector.exe) du site Web d'ESET. Les deux versions offrent les mêmes fonctions et les mêmes contrôles de programme. La seule différence réside dans la façon dont les sorties sont gérées. Tant la version téléchargée que la version intégrée permettent d'exporter des instantanés du système vers un fichier .xml pour ensuite enregistrer le tout sur le disque. Cependant, la version intégrée vous permet de stocker vos instantanés directement dans Outils > ESET SysInspector (sauf ESET Remote Administrator). Pour plus de détails, consultez la section ESET SysInspector dans ESET Mail Security 116 . Veuillez laisser du temps à ESET SysInspector pour analyser votre ordinateur. Cela peut exiger de 10 secondes à quelques minutes selon la configuration matérielle de votre ordinateur, son système d'exploitation et le nombre d'applications installées. 4.6.1.1 Lancement de ESET SysInspector Pour lancer ESET SysInspector, exécutez simplement le fichier exécutable SysInspector.exe que vous avez téléchargé du site Web d'ESET. Si vous avez déjà installé une des solutions ESET Security, vous pouvez exécuter ESET SysInspector directement du menu Démarrer (Programmes > ESET > ESET Mail Security). Veuillez patienter pendant que l'application inspecte votre système, ce qui pourrait prendre quelques minutes selon le matériel et les données qui doivent être colligées. 105 4.6.2 Interface utilisateur et utilisation de l'application À des fins de clarté, la fenêtre principale est divisée en quatre sections principales, soit les Contrôles du programme (1) situés dans le haut de la fenêtre principale, la fenêtre Navigation (3) à la gauche, la fenêtre Description (2) à droite, au centre, et la fenêtre Détails (4) qui se trouve à droite, dans le bas de la fenêtre principale. La section État du journal énumère les paramètres de base d'un journal (filtre utilisé, type de filtre, journal résultat d'une comparaison, etc.). 4.6.2.1 Contrôles du programme Cette section contient la description de tous les contrôles de programme disponibles dans ESET SysInspector. Fichier En cliquant sur Fichier, vous pouvez enregistrer l'état actuel de votre système à des fins d'investigation ultérieure ou ouvrir un journal enregistré précédemment. À des fins de diffusion, il est recommandé de générer un journal approprié pour envoi. Sous cette forme, le journal omettra tous les renseignements sensibles (nom d'utilisateur actuel, nom de l'ordinateur, privilèges utilisateurs actuels, variables d'environnement, etc.). REMARQUE : Vous pouvez ouvrir des rapports de ESET SysInspector précédemment stockés en les glissantdéplaçant vers la fenêtre principale. Arborescence Permet de développer ou de fermer tous les nœuds et d'exporter des sections sélectionnées vers le script de service. Liste Contient des fonctions permettant de faciliter la navigation dans le programme, ainsi que d'autres telles que la recherche de données en ligne. Aide Contient des données sur l'application et ses fonctions. 106 Détail Ce paramètre influence l'information affichée dans la fenêtre principale pour rendre l'information plus facile à utiliser. En mode « de base », vous avez accès aux données utilisées pour trouver des solutions à des problèmes courants de votre système. En mode « Moyen », le programme affiche des détails moins utilisés, tandis qu'en mode Complet, ESET SysInspector affiche toutes les données nécessaires pour résoudre des problèmes très précis. Filtrage des éléments Le filtrage des éléments convient parfaitement pour rechercher des fichiers suspects ou des entrées de registre dans votre système. En réglant le curseur, vous pouvez filtrer les éléments en fonction de leur niveau de risque. Si le curseur est positionné à gauche (Niveau de risque 1), tous les éléments sont affichés. En déplaçant le curseur vers la droite, le programme filtre tous les éléments présentant un risque inférieur au niveau de risque actuel, et n'affiche que ceux qui sont plus suspects que le niveau affiché. Lorsque le curseur est positionné à droite, le programme n'affiche que les éléments nuisibles connus. Tous les éléments dans la plage de risques de 6 à 9 peuvent constituer un risque pour la sécurité. Si vous n'utilisez pas une solution de sécurité d'ESET, il est recommandé que vous analysiez votre système avec ESET Online Scanner si ESET SysInspector a trouvé un tel élément. ESET Online Scanner est un service gratuit. REMARQUE : Vous pouvez rapidement déterminer le niveau de risque d'un élément en comparant sa couleur à celle du curseur Niveau de risque. Rechercher La fonction Rechercher permet de trouver rapidement un élément particulier à l'aide de son nom ou d'une partie de celui-ci. Les résultats de la demande de recherche s'affichent dans la fenêtre Description. Retour En cliquant sur la flèche Précédent ou Suivant, vous pouvez revenir aux données affichées précédemment dans la fenêtre Description. Vous pouvez utiliser la touche Retour arrière et la barre d'espace au lieu de cliquer sur Précédent et Suivant. Section d'état Affiche le nœud actuel dans la fenêtre Navigation. Important : Les éléments en surbrillance de couleur rouge sont inconnus, c'est pourquoi le programme les marque comme potentiellement dangereux. Si un élément s'affiche en rouge, cela ne signifie pas forcément que vous pouvez supprimer le fichier. Avant de supprimer des fichiers, assurez-vous qu'ils sont vraiment dangereux ou inutiles. 4.6.2.2 Naviguer dans ESET SysInspector ESET SysInspector divise plusieurs types de données en plusieurs sections de base appelées nœuds. Si des détails supplémentaires sont disponibles, vous pouvez les afficher en développant chaque nœud en sous-nœuds. Pour ouvrir ou réduire un nœud, double-cliquez sur son nom ou cliquez à côté de son nom. Tandis que vous parcourez l'arborescence des nœuds et sous-nœuds dans la fenêtre Navigation, il se peut que vous découvriez des détails pour chacun des nœuds affichés dans la fenêtre Description. Si vous parcourez les éléments de la fenêtre Description, il se peut que des détails supplémentaires sur chacun des éléments s'affichent dans la fenêtre Détails. Les descriptions des principaux nœuds de la fenêtre Navigation et les informations correspondantes dans les fenêtres Description et Détails sont présentées ci-dessous. Processus en cours Ce nœud contient de l'information sur les applications et processus en cours d'exécution lors de la génération du rapport. Il se peut que la fenêtre Description affiche des détails supplémentaires pour chaque processus, tels que les bibliothèques dynamiques utilisées et leur emplacement dans le système, le nom du fournisseur de l'application, le niveau de risque du fichier, etc. La fenêtre Détails contient des données supplémentaires sur les éléments sélectionnés dans la fenêtre Description, telles que la taille du fichier ou son hachage. REMARQUE : Un système d'exploitation comprend plusieurs composants noyaux importants fonctionnant 24 heures sur 24 et 7 jours sur 7 et assurant des fonctions de base et vitales pour d'autres applications utilisateur. Dans 107 certains cas, de tels processus s'affichent dans l'outil ESET SysInspector avec le chemin d'accès du fichier commençant par \??\. Ces symboles permettent d'optimiser ces processus avant leur lancement; ils sont sûrs pour le système. Connexions réseau La fenêtre Description contient la liste des processus et applications communiquant sur le réseau à l'aide du protocole sélectionné dans la fenêtre Navigation (TCP ou UDP), ainsi que l'adresse distante à laquelle l'application est connectée. Vous pouvez également vérifier les adresses IP des serveurs DNS. La fenêtre Détails contient des données supplémentaires sur les éléments sélectionnés dans la fenêtre Description, telles que la taille du fichier ou son hachage. Entrées de registre importantes Contient la liste des entrées de registre sélectionnées qui sont souvent liées à différents problèmes dans le système, telles que celles précisant les programmes à lancer au démarrage, des objets application d'assistance du navigateur (BHO), etc. Il se peut que la fenêtre Description indique les fichiers liés à des entrées de registre particulières. La fenêtre Détails peut également présenter des détails supplémentaires. Services La fenêtre Description contient la liste des fichiers enregistrés en tant que Services Windows. Vous pouvez contrôler la manière dont le démarrage du service est paramétré, ainsi que des détails du fichier dans la fenêtre Détails. Pilotes Liste des pilotes installés dans le système. Fichiers critiques La fenêtre Description affiche le contenu des fichiers critiques liés au système d'exploitation Microsoft Windows. Tâches du planificateur système Contient une liste des tâches déclenchées par le Planificateur de tâches de Windows à un intervalle/une heure spécifié. Informations système Contient des détails sur le matériel et les logiciels, ainsi que des données sur les variables d'environnement, les droits de l'utilisateur définis et les journaux d'événements système. Détails du fichier Liste des fichiers et des fichiers système importants dans le dossier Program Files. Des données précises sur les fichiers s'affichent dans les fenêtres Description et Détails. À propos de Information sur la version de ESET SysInspector et la liste des modules du programme. 4.6.2.2.1 Raccourcis clavier Raccourcis clavier utilisables dans ESET SysInspector : Fichier Ctrl + O Ctrl + S Ouvre le journal existant Enregistre les journaux créés Générer Ctrl + G Ctrl + H 108 crée un instantané de l'état de l'ordinateur crée un instantané de l'état de l'ordinateur qui peut également contenir des renseignements sensibles Filtrage des éléments 1, O 2 3 4, U 5 6 7, B 8 9 + Ctrl + 9 Ctrl + 0 Bon, les éléments présentant un niveau de risque de 1 à 9 s'affichent Bon, les éléments présentant un niveau de risque de 2 à 9 s'affichent Bon, les éléments présentant un niveau de risque de 3 à 9 s'affichent Inconnu, les éléments présentant un niveau de risque de 4 à 9 s'affichent Inconnu, les éléments présentant un niveau de risque de 5 à 9 s'affichent Inconnu, les éléments présentant un niveau de risque de 6 à 9 s'affichent Risqué, les éléments présentant un niveau de risque de 7 à 9 s'affichent Risqué, les éléments présentant un niveau de risque de 8 à 9 s'affichent Risqué, les éléments présentant un niveau de risque de 9 s'affichent Abaisse le niveau de risque Augmente le niveau de risque Mode de filtrage, niveau équivalent ou supérieur Mode de filtrage, niveau équivalent uniquement Affichage Ctrl + 5 Ctrl + 6 Ctrl + 7 Ctrl + 3 Ctrl + 2 Ctrl + 1 Retour arrière Barre d'espace Ctrl + W Ctrl + Q Affichage par fournisseur, tous les fournisseurs Affichage par fournisseur, uniquement Microsoft Affichage par fournisseur, tous les autres fournisseurs Affiche tous les détails Affiche un niveau de détail moyen Affichage de base Revient un pas en arrière Avance d'un pas Développe l'arborescence Réduit l'arborescence Autres contrôles Ctrl + T Ctrl + P Ctrl+A Ctrl + C Ctrl + X Ctrl + B Ctrl + L Ctrl + R Ctrl + Z Ctrl + F Ctrl + D Ctrl + E Accède à l'emplacement d'origine de l'élément après sélection de celui-ci dans les résultats de la recherche Affiche des données de base sur un élément Affiche les données complètes sur un élément Copie l'arborescence des éléments actuelle Copie des éléments Recherche des données concernant les fichiers sélectionnés sur Internet Ouvre le dossier dans lequel se trouve le fichier sélectionné Ouvre l'entrée correspondante dans l'Éditeur du registre Copie le chemin d'accès d'un fichier (si l'élément est lié à un fichier) Bascule vers le champ de recherche Ferme les résultats de la recherche Exécute le script de service Comparaison Ctrl + Alt + O Ctrl + Alt + R Ctrl + Alt + 1 Ctrl + Alt + 2 Ctrl + Alt + 3 Ctrl + Alt + 4 Ctrl + Alt + 5 Ctrl + Alt + C Ctrl + Alt + N Ctrl + Alt + P Ouvre le journal d'origine/comparatif Annule la comparaison Affiche tous les éléments N'affiche que les éléments ajoutés; le journal contient les éléments présents dans le journal actuel N'affiche que les éléments supprimés; le journal contient les éléments présents dans le journal précédent N'affiche que les éléments remplacés (fichiers inclus) N'affiche que les différences entre journaux Affiche la comparaison Affiche le journal actuel Affiche le journal précédent Divers F1 Affiche l'aide 109 Alt + F4 Alt + Maj + F4 Ctrl + I Ferme le programme Ferme le programme sans demander de confirmation Consigne les statistiques 4.6.2.3 Comparer La fonctionnalité Comparer permet de comparer deux journaux existants. Elle génère un ensemble d'éléments non communs aux deux journaux. Elle est utile lorsque vous voulez conserver une trace des modifications apportées au système. Elle peut, par exemple, être utilisée pour détecter l'activité d'un code malveillant. Une fois lancée, l'application crée un journal qui s'affiche dans une nouvelle fenêtre. Accédez à Fichier > Enregistrer le journal pour enregistrer le journal dans un fichier. Vous pourrez ensuite ouvrir et afficher ces fichiers journaux. Pour ouvrir un journal existant, utilisez Fichier > Ouvrir le journal. Dans la fenêtre principale du programme, ESET SysInspector affiche toujours un seul journal à la fois. L'avantage de comparer deux journaux est que vous pouvez voir un journal courant actif ainsi qu'un journal enregistré dans un fichier. Pour comparer des journaux, utilisez l'option Fichier > Comparer les journaux, puis cliquez sur Sélectionner un fichier. Le journal sélectionné sera comparé au journal actif dans les fenêtres principales du programme. Le journal comparatif n'affichera que les différences entre les deux journaux. REMARQUE : Si vous comparez deux fichiers journaux, sélectionnez Fichier > Enregistrer le journal, puis enregistrez le fichier en format ZIP, ce qui enregistrera les deux fichiers. Si vous ouvrez ensuite ce fichier, les journaux qu'il contient seront alors automatiquement comparés. À côté des éléments affichés, ESET SysInspector présente des symboles identifiant les différences entre les journaux comparés. Les éléments marqués du signe Les éléments marqués du signe ne figurent que dans le journal actif et sont absents du journal comparatif ouvert. ne figurent que dans le journal actif et sont absents du journal comparatif ouvert. Description de tous les symboles qui peuvent s'afficher à côté des éléments : Nouvelle valeur, absente du journal précédent. La section de l'arborescence contient de nouvelles valeurs. Valeur supprimée, présente uniquement dans le journal précédent. La section de l'arborescence contient des valeurs supprimées. La valeur ou le fichier a été modifié. La section de l'arborescence contient des valeurs ou fichiers modifiés. Le niveau de risque a augmenté; il était inférieur dans le journal précédent. Le niveau de risque a augmenté; il était inférieur dans le journal précédent. La section d'explication, dans le coin inférieur gauche, décrit tous les symboles et affiche les noms des journaux comparés. Tout journal comparatif peut être enregistré dans un fichier, puis ouvert ultérieurement. Exemple : générez et enregistrez un journal consignant des données originales sur le système dans un fichier nommé précédent.xml. Une fois les modifications apportées au système, ouvrez ESET SysInspector et laissez-le générer un nouveau journal. Enregistrez-le dans un fichier nommé actuel.xml. Pour suivre les différences entre ces deux journaux, accédez à Fichier > Comparer les journaux. Le programme crée alors un journal comparatif montrant les différences entre les journaux. Vous pouvez obtenir le même résultat en utilisant l'option de ligne de commande suivante : 110 SysIsnpector.exe actuel.xml précédent.xml 4.6.3 Paramètres de la ligne de commande ESET SysInspector permet de générer des rapports à partir de la ligne de commande, à l'aide des paramètres suivants : /gen /privacy /zip /silent /help, /? Génère un rapport directement à partir de la ligne de commande sans lancer la GUI. Génère un rapport excluant les renseignements sensibles. Enregistre le rapport obtenu directement sur le disque, dans un fichier compressé. Supprime l'affichage de la barre de progression de génération du journal. Affiche des données sur les paramètres de ligne de commande. Exemples Pour charger un journal particulier directement dans le navigateur, utilisez la commande suivante : SysInspector.exe "c:\clientlog.xml" Pour générer un rapport dans l'emplacement actuel, utilisez la commande suivante : SysInspector.exe /gen Pour générer un rapport dans un dossier particulier, utilisez la commande suivante : SysInspector.exe /gen="c:\folder\" Pour générer un rapport dans un fichier/emplacement particulier, utilisez la commande suivante : SysInspector.exe / gen="c:\folder\mynewlog.xml" Pour générer un rapport excluant des renseignements sensibles directement dans un fichier compressé, utilisez la commande suivante : SysInspector.exe /gen="c:\mynewlog.zip" /privacy /zip Pour comparer deux journaux, utilisez la commande suivante : SysInspector.exe "current.xml" "original.xml" REMARQUE : Si le nom du fichier ou du dossier contient une espace, il convient de le mettre entre guillemets. 4.6.4 Script de service Un script de service est un outil permettant de fournir de l'aide aux clients qui utilisent ESET SysInspector en retirant facilement les objets indésirables du système. Un script de service permet à l'utilisateur d'exporter le journal de ESET SysInspector ou des parties de celui-ci. Après l'exportation, vous pouvez marquer des objets indésirables pour suppression. Vous pouvez ensuite exécuter le journal modifié pour supprimer les objets marqués. Un script de service convient pour des utilisateurs chevronnés disposant d'une expérience dans le domaine du diagnostic des incidents système. Des modifications non qualifiées peuvent entraîner des dommages au système d'exploitation. Exemple : si vous soupçonnez une infection de votre ordinateur par un virus non détecté par votre programme antivirus, suivez les instructions pas à pas ci-dessous : Exécutez ESET SysInspector pour générer un nouvel instantané système. Sélectionnez le premier élément de la section à gauche (dans l'arborescence), appuyez sur Ctrl, puis sélectionnez le dernier élément pour les marquer tous. Cliquez à droite sur les objets sélectionnés et sélectionnez l'option de menu contextuel Exporter les sections sélectionnées dans un script de service. Les objets sélectionnés sont exportés dans un nouveau journal. Voici l'étape la plus importante de la procédure : ouvrez le nouveau journal, puis modifiez l'attribut en + pour tous les objets à supprimer. Faites bien attention de ne pas marquer d'objets ou de fichiers importants pour le fonctionnement du système d'exploitation. Ouvrez ESET SysInspector, cliquez sur Fichier > Exécuter le script et entrez le chemin vers votre script. Cliquez sur OK pour exécuter le script. 111 4.6.4.1 Génération d'un script de service Pour générer un script, cliquez à droite sur tout élément de l'arborescence de menu (dans le volet de gauche) de la fenêtre principale de ESET SysInspector . Du menu contextuel, sélectionnez soit l'option Exporter toutes les sections dans un script de service ou Exporter les sections sélectionnées dans un script de service. REMARQUE : Il n'est pas possible d'exporter un script de service lorsque deux journaux sont comparés. 4.6.4.2 Structure du script de service Dans la première ligne de l'en-tête du script se trouve de l'information à propos de la version du moteur (ev), de l'interface graphique (gv) et du journal (lv). Vous pouvez utiliser ces données pour suivre les changements indiqués dans un fichier .xml qui génère le script, et empêcher toute incohérence dans l'exécution. Cette partie du script ne devrait pas être modifiée. Le reste du fichier est divisé en sections dans lesquelles certains éléments peuvent être modifiés (en remplacement de ceux qui seront traités par le script). Vous pouvez marquer des éléments pour traitement en remplaçant le caractère « - » se trouvant devant un élément par le caractère « + ». Les sections du script sont séparées l'une de l'autre par une ligne vide. Chaque section comporte un numéro et un titre. 01) Processus en cours Cette section contient une liste de tous les processus en cours d'utilisation dans le système. Chaque processus est identifié par son chemin UNC puis par un code de hachage CRC16 entre astérisques (*). Exemple : 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...] Dans cet exemple, un processus, module32.exe, a été sélectionné (indiqué par le caractère « + »); le processus s'arrêtera à l'exécution du script. 02) Modules chargés Cette section dresse la liste des modules système actuellement utilisés. Exemple : 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...] Dans cet exemple, le module khbekhb.dll est précédé d'un « + ». Lors de l'exécution du script, ce dernier reconnaîtra les processus utilisant ce module particulier et les arrêtera. 03) Connexions TCP Cette section contient de l'information sur les connexions TCP existantes. Exemple : 03) TCP connections: - Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe - Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006, - Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...] Lors de l'exécution du script, ce dernier isolera le propriétaire de l'interface de connexion dans les connexions TCP marquées et fermera alors l'interface, ce qui libérera des ressources système. 04) Points d'extrémité UDP Cette section contient de l'information sur les points d'extrémité UDP. 112 Exemple : 04) UDP endpoints: - 0.0.0.0, port 123 (ntp) + 0.0.0.0, port 3702 - 0.0.0.0, port 4500 (ipsec-msft) - 0.0.0.0, port 500 (isakmp) [...] Lors de l'exécution du script, ce dernier isolera le propriétaire de l'interface de connexion aux points d'extrémité UDP marqués et fermera l'interface. 05) Entrées de serveur DNS Cette section contient de l'information sur la configuration actuelle du serveur DNS. Exemple : 05) DNS server entries: + 204.74.105.85 - 172.16.152.2 [...] Les entrées du serveur DNS marquées seront supprimées lors de l'exécution du script. 06) Entrées de registre importantes Cette section contient de l'information sur les entrées de registre importantes. Exemple : 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = http://thatcrack.com/ [...] Les entrées marquées seront supprimées, réduites à une valeur de 0 octet ou remises à leur valeur par défaut lors de l'exécution du script. Cette action qui doit être effectuée sur une entrée particulière variera selon la catégorie d'entrée et la valeur clé, dans le registre particulier. 07) Services Cette section dresse la liste des services enregistrés dans le système. Exemple : 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...] Les services marqués et leurs dépendants seront arrêtés et désinstallés lors de l'exécution du script. 08) Pilotes Cette section dresse la liste des pilotes installés. Exemple : 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32 \drivers\adihdaud.sys, state: Running, startup: Manual [...] Lorsque vous exécuterez le script, les pilotes sélectionnés seront alors arrêtés. À noter que certains pilotes ne s'autorisent pas à être arrêtés. 113 09) Fichiers critiques Cette section contient de l'information sur les fichiers critiques au système d'exploitation. Exemple : 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts - 127.0.0.1 localhost - ::1 localhost [...] Les éléments sélectionnés seront supprimés ou remis à leurs valeurs d'origine. 4.6.4.3 Exécution des scripts de service Marquez tous les éléments voulus avant d'enregistrer et de fermer le script. Exécutez le script modifié directement à partir de la fenêtre principale de ESET SysInspector en sélectionnant l'option Exécuter le script de service du menu Fichier. Lorsque vous ouvrez un script, le programme affiche l'invite suivante : Voulez-vous vraiment exécuter le script de service « %Scriptname% »? Une fois la sélection confirmée, un autre avertissement peut s'afficher pour vous indiquer que le script de service que vous tentez d'exécuter n'a pas été signé. Cliquez sur Exécuter pour lancer le script. Une boîte de dialogue confirmera que le script a bien été exécuté. Si le script ne peut être que partiellement traité, une fenêtre de dialogue comportant le message suivant s'affichera : Le script de service n'a été exécuté que partiellement. Voulez-vous voir le rapport d'erreur? Sélectionnez Oui pour afficher un rapport d'erreurs indiquant les opérations n'ayant pas été exécutées. Si le script n'a pas été reconnu, une fenêtre de dialogue comportant le message suivant s'affichera : Le script de service sélectionné n'est pas signé. L'exécution de scripts non signés et inconnus peut endommager gravement les données de votre ordinateur. Voulez-vous vraiment exécuter le script et en effectuer les actions? Cela peut découler des incohérences dans le script (en-tête endommagé, titre de section endommagé, ligne vide manquante entre les sections, etc.). Vous pourrez soit rouvrir le fichier de script et corriger les erreurs du script ou créer un nouveau script de service. 4.6.5 FAQ L'exécution de ESET SysInspector exige-t-elle des privilèges d'administrateur? Si l'exécution de ESET SysInspector n'exige pas de privilèges d'administrateur, certaines données recueillies ne sont accessibles qu'à partir d'un compte Administrateur. À noter que si vous l'exécutez en tant qu'utilisateur standard ou utilisateur avec accès restreint, il colligera moins de données sur l'environnement d'exploitation. ESET SysInspector crée-t-il un fichier journal? ESET SysInspector peut créer un fichier journal de la configuration de votre ordinateur. Pour en enregistrer un, sélectionnez Fichier > Enregistrer le journal, à partir du menu principal. Les journaux sont enregistrés en format XML. Par défaut, les fichiers sont enregistrés dans le dossier %USERPROFILE%\Mes documents\, conformément à la convention de dénomination de fichier « SysInpsector-%COMPUTERNAME%-AAMMJJ-HHMM.XML ». Vous pouvez modifier l'emplacement et le nom du fichier journal avant de l'enregistrer. Comment afficher le fichier journal de ESET SysInspector? Pour afficher un fichier journal créé par ESET SysInspector, exécutez le programme, puis, dans le menu principal, sélectionnez Fichier > Ouvrir le journal. Vous pouvez également glisser et déplacer des fichiers journaux vers l'application ESET SysInspector . Si vous devez consulter souvent les fichiers journaux de ESET SysInspector, il est recommandé de créer un raccourci vers l'exécutable SYSINSPECTOR.EXE sur le Bureau; vous pourrez ensuite glisser et déplacer des fichiers journaux sur le raccourci pour les afficher. Pour des raisons de sécurité, Windows Vista/7 114 peut ne pas permettre le glisser-déplacer entre des fenêtres qui ont des autorisations de sécurité différentes. Existe-t-il une spécification pour le format du fichier journal? Existe-t-il un kit de développement logiciel (SDK)? À l'heure actuelle, il n'existe ni spécification pour le fichier journal ni SDK, car le développement du programme se poursuit. Après la publication du programme, il est possible que nous proposions ces éléments en fonction des commentaires et de la demande de la clientèle. Comment ESET SysInspector évalue-t-il le risque lié à un objet particulier? Le plus souvent, ESET SysInspector affecte des niveaux de risque aux objets (fichiers, processus, clés de registre, etc.) à l'aide d'une série de règles heuristiques qui tiennent compte des caractéristiques de chaque objet, puis pondèrent son potentiel d'activité nuisible. Un niveau de risque variant entre 1 - Bon (vert) et 9 - Risqué (rouge) sera ensuite attribué aux objets, en fonction de cette heuristique. Les sections du volet de navigation de gauche portent des couleurs indiquant le niveau de risque le plus élevé des objets qu'elles contiennent. Un niveau de risque « 6 - Inconnu (rouge) » signifie-t-il qu'un objet est dangereux? Les appréciations de ESET SysInspector ne garantissent pas qu'un objet est malveillant puisqu'une telle détermination relève plutôt de la compétence d'un expert en sécurité. ESET SysInspector est conçu pour fournir une appréciation rapide destinée aux experts en sécurité, afin de leur indiquer les objets au comportement inhabituel qui nécessitent un examen plus approfondi. Pourquoi ESET SysInspector se connecte-t-il à Internet lors de son exécution? Comme de nombreuses applications, ESET SysInspector est porteur d'une signature numérique, appelée « certificat », garantissant que ce logiciel a été publié par ESET et n'a fait l'objet d'aucune modification. Pour vérifier la validité du certificat, le système d'exploitation contacte une autorité de certification pour vérifier l'identité de l'éditeur du logiciel. Ce comportement est normal pour tous les programmes porteurs d'une signature numérique sous Microsoft Windows. Qu'est-ce que la technologie Anti-Stealth? La technologie Anti-Stealth permet une détection efficace des rootkits. Si le système est attaqué par un code malveillant se comportant comme un rootkit, l'utilisateur peut être exposé à la perte ou au vol de données. À défaut d'outil approprié, il est quasiment impossible de détecter les rootkits. Pourquoi des fichiers marqués comme « Signé par MS » ont-ils parfois aussi une entrée « CompanyName » différente? Lors d'une tentative d'identification de la signature numérique d'un fichier exécutable, ESET SysInspector vérifie d'abord si le fichier contient une signature numérique. Si une signature numérique est détectée, cette information sera utilisée pour valider le fichier. Si aucune signature numérique n'est trouvée, ESI commence à rechercher le fichier CAT correspondant (Security Catalog - %systemroot%\system32\catroot) qui contient l'information sur le fichier exécutable traité. Si le fichier CAT approprié est détecté, sa signature numérique est appliquée dans le processus de validation de l'exécutable. C'est pourquoi des fichiers marqués comme « Signé par MS » ont parfois une entrée « CompanyName » différente. Exemple : Windows 2000 comprend l'application HyperTerminal située dans C:\Program Files\Windows NT. Le principal fichier exécutable de l'application n'inclut aucune signature numérique, mais ESET SysInspector le marque comme un fichier signé par Microsoft. La raison en est la présence d'une référence dans C:\WINNT\system32\CatRoot\{F750E6C338EE-11D1-85E5-00C04FC295EE}\sp4.cat qui pointe vers C:\Program Files\Windows NT\hypertrm.exe (le principal fichier exécutable de l'application HyperTerminal) et sp4.cat est signé numériquement par Microsoft. 115 4.6.6 ESET SysInspector dans ESET Mail Security Pour ouvrir la section ESET SysInspector dans ESET Mail Security, cliquez sur Outils > ESET SysInspector . Le système de gestion qui s'affiche dans la fenêtre ESET SysInspector est semblable à celui des journaux d'analyse de l'ordinateur ou des tâches planifiées. Toutes les opérations relatives aux instantanés (créer, afficher, comparer, supprimer et exporter) sont accessibles en un ou deux clics. La fenêtre de ESET SysInspector contient des données de base sur les instantanés créés, telles que l'heure de création, un bref commentaire, le nom de leur auteur et leur état. Pour comparer, Créer ou Retirer des instantanés, utilisez les boutons correspondants situés sous la liste des instantanés dans la fenêtre de ESET SysInspector . Ces options sont également offertes dans le menu contextuel. Pour afficher l'instantané système sélectionné, utilisez l'option Afficher du menu contextuel. Pour exporter l'instantané sélectionné dans un fichier, cliquez dessus avec le bouton droit, puis sélectionnez Exporter.... Une description détaillée des options disponibles est présentée ci-dessous : Comparer - Compare deux journaux existants. Cette option est appropriée si vous voulez suivre les différences entre le journal actuel et un journal plus ancien. Pour qu'elle fonctionne, vous devez sélectionner deux instantanés à comparer. Créer...- Crée un enregistrement. Au préalable, vous devez entrer un bref commentaire sur l'enregistrement. Pour suivre la progression de la création de l'instantané (en cours de génération) exprimée en pourcentage, consultez la colonne État. Tous les instantanés générés présentent l'état Créé. Supprimer/supprimer tout - Supprime les entrées de la liste. Exporter... - Enregistre l'entrée sélectionnée dans un fichier XML (ainsi que dans une version compressée). 4.7 ESET SysRescue ESET SysRescue est un utilitaire qui permet de créer un disque d'amorçage contenant l'une des solutions ESET Security - ce peut être ESET NOD32 Antivirus, ESET Smart Security ou même un autre produit pour serveur. Le principal avantage de ESET SysRescue est le fait que la solution ESET Security s'exécute indépendamment du système d'exploitation hôte, tout en ayant un accès direct au disque et au système complet de fichiers. Cela permet de supprimer des infiltrations qui, dans des circonstances normales, ne pourraient pas être détruites, par exemple lorsque le système d'exploitation est en cours d'exécution, etc. 4.7.1 Configuration requise ESET SysRescue opère dans l'Environnement de préinstallation Microsoft Windows (Windows PE) version 2.x, qui est basé sur Windows Vista. Windows PE faisant partie des ensembles gratuits, soit le Kit d’installation automatisée (Windows AIK) gratuit ou le Windows Assessment and Deployment Kit (Windows ADK), Windows AIK ou ADK doit être installé avant de créer le CD de ESET SysRescue (<%http://go.eset.eu/AIK%>) ou (<%http://go.eset.eu/ADK%>). L'ensemble à installer sur votre système dépend du système d'exploitation utilisé. En raison de la prise en charge de la version 32 bit de Windows PE, il est nécessaire d'utiliser le module d'installation 32 bit de ESET Security au moment de créer ESET SysRescue sur les systèmes 64 bit. ESET SysRescue prend en charge Windows AIK 1.1 et ses versions ultérieures ainsi que Windows ADK. REMARQUE : Puisque Windows AIK fait plus de 1 Go, une connexion Internet à haut débit est requise pour pouvoir le télécharger sans problème. ESET SysRescue est offert dans les solutions ESET Security 4.0 et ses versions ultérieures.. ESET SysRescue prend en charge les systèmes d'exploitation suivants : Windows Server 2003 Service Pack 1 avec KB926044 Windows Server 2003 Service Pack 2 Windows Server 2008 Windows Server 2012 Windows AIK prend en charge : Windows Server 2003 Windows Server 2008 116 Windows ADK prend en charge : Windows Server 2012 4.7.2 Comment créer un CD de sauvetage Pour lancer l'Assistant ESET SysRescue, cliquez sur Démarrer > Programmes > ESET > ESET Mail Security > ESET SysRescue. Tout d'abord, l'Assistant vérifie la présence de Windows AIK ou Windows ADK et d'un périphérique adapté pour la création d'un support d'amorçage. Si Windows AIK ou Windows ADK n'est pas installé sur l'ordinateur (ou s'il est endommagé ou mal installé), l'assistant offre l'option de l'installer ou d'entrer le chemin d'accès du dossier de Windows AIK (<%http://go.eset.eu/AIK%>) ou Windows ADK (<%http://go.eset.eu/ADK%>). REMARQUE : Puisque Windows AIK fait plus de 1 Go, une connexion Internet à haut débit est requise pour pouvoir le télécharger sans problème. À l'étape suivante 117 , sélectionnez le support cible pour ESET SysRescue. 4.7.3 Sélection de cible Outre les supports CD/DVD/USB, vous pouvez enregistrer ESET SysRescue dans un fichier ISO. Ensuite, vous pouvez graver l'image ISO sur un CD/DVD, ou l'utiliser d'une autre manière (par ex., dans un environnement virtuel tel que VmWare ou Virtualbox). Si vous sélectionnez USB comme support cible, il se peut que le démarrage ne fonctionne pas sur certains ordinateurs. Certaines versions du BIOS peuvent signaler des problèmes de BIOS, y compris en ce qui concerne la communication avec le gestionnaire de démarrage (par ex., sous Windows Vista) et l'interruption du démarrage avec le message d'erreur suivant : fichier : \boot\bcd état : 0xc000000e info : une erreur s’est produite lors de la lecture des données de configuration de démarrage Si ce message s'affiche, il est recommandé de sélectionner le CD au lieu du support USB. 4.7.4 Paramètres Avant de lancer la création de ESET SysRescue, l'Assistant d'installation affiche les paramètres de compilation dans la dernière étape de l'assistant ESET SysRescue. Ils peuvent être modifiés en cliquant sur le bouton Modifier.... Les options disponibles sont les suivantes : Dossiers 117 Antivirus ESET 118 Avancé 118 Protocole Internet 118 Périphérique USB d'amorçage 119 (lorsque le périphérique USB cible est sélectionné) Gravure 119 (lorsque le lecteur CD/DVD est sélectionné) Le bouton Créer est inactif si aucune trousse d'installation de MSI n'est précisée ou si aucune solution ESET Security n'est installée sur l'ordinateur. Pour sélectionner une trousse d'installation, cliquez sur le bouton Changer, puis sur l'onglet Antivirus ESET. Si vous n'entrez pas un nom d'utilisateur et un mot de passe (Changer > Antivirus ESET), le bouton Créer est grisé. 4.7.4.1 Dossiers Le dossier temporaire est un répertoire de travail pour les fichiers requis durant la compilation de ESET SysRescue . Un dossier ISO est un dossier dans lequel le fichier ISO obtenu est enregistré une fois la compilation terminée. La liste présentée dans cet onglet affiche tous les lecteurs réseau locaux et mappés ainsi que l'espace libre disponible. Si certains de ces dossiers se trouvent sur un lecteur dont l'espace libre est insuffisant, il est recommandé de sélectionner un autre lecteur disposant de davantage d'espace libre disponible. Sinon, la compilation pourra prendre fin prématurément en raison de l'insuffisance d'espace disque libre. Applications externes - Permet de préciser plusieurs programmes supplémentaires qui seront exécutés ou installés après le réamorçage à partir d'un support contenant ESET SysRescue. 117 Inclure les applications externes - Permet d'ajouter des programmes externes à la compilation ESET SysRescue. Dossier sélectionné - Dossier dans lequel les programmes seront ajoutés sur le disque où se trouve ESET SysRescue. 4.7.4.2 Antivirus ESET Pour créer un CD de ESET SysRescue, vous pouvez sélectionner deux sources de fichiers ESET que le compilateur doit utiliser. Dossier ESS/EAV - Fichiers figurant déjà dans le dossier dans lequel le produit ESET Security est installé sur l'ordinateur. Fichier MSI - Les fichiers du programme d'installation de MSI sont utilisés. Vous pouvez ensuite choisir l'emplacement des fichiers (.nup). En temps normal, l'option par défaut, ESS/dossier EAV/fichier MSI, devrait être utilisée. Dans certains cas, un Dossier de mise à jour peut être choisi, par exemple, pour utiliser une version de la base de données des signatures de virus plus ancienne ou plus nouvelle. Vous pouvez utiliser l'une des deux sources suivantes de nom d'utilisateur et de mot de passe : ESS/EAV installé - Le nom d'utilisateur et le mot de passe sont copiés à partir de la version installée de la solution ESET Security. De l'utilisateur - Le nom d'utilisateur et le mot de passe entrés dans les zones de texte correspondantes sont utilisés. REMARQUE : ESET Security présent sur le CD de ESET SysRescue est mis à jour à partir d'Internet ou de la solution de sécurité ESET Security installée sur l'ordinateur sur lequel le CD de ESET SysRescue est exécuté. 4.7.4.3 Paramètres avancés L'onglet Avancé permet d'optimiser le CD de ESET SysRescue selon la taille de la mémoire de votre ordinateur. Sélectionnez 576 Mo et plus pour écrire le contenu du CD dans la mémoire vive (RAM). Si vous sélectionnez Moins de 576 Mo, le CD de récupération fera l'objet d'un accès permanent lors de l'exécution de WinPE. Dans la section Pilotes externes, vous pouvez insérer des pilotes pour votre matériel précis (généralement une carte réseau). Bien que WinPE soit basé sur Windows Vista SP1, qui prend en charge un vaste éventail de composants matériels, il arrive que certains composants ne soient pas reconnus et que vous deviez ajouter le pilote manuellement. Il y a deux manières d'introduire le pilote dans la compilationESET SysRescue : manuellement (bouton Ajouter) et automatiquement (bouton Aut. recherche). En cas d'inclusion manuelle, vous devez sélectionner le chemin d'accès du fichier .inf correspondant (le fichier *.sys applicable doit également être présent dans ce dossier). En cas d'introduction automatique, le pilote sera automatiquement trouvé dans le système d'exploitation de l'ordinateur. Il est recommandé de n'utiliser l'inclusion automatique que si ESET SysRescue est utilisé sur un ordinateur disposant de la même carte réseau que l'ordinateur sur lequel le CD de ESET SysRescue a été créé. Durant la création de ESET SysRescue, le pilote est introduit dans la compilation, de façon à ce que l'utilisateur ne doive pas le rechercher ensuite. 4.7.4.4 Protocole Internet Cette section permet de configurer l'information de base sur le réseau et de configurer les connexions prédéfinies après ESET SysRescue. Sélectionnez Adresse IP privée automatique pour obtenir automatiquement l'adresse IP du serveur DHCP (Dynamic Host Configuration Protocol). La connexion réseau peut aussi utiliser une adresse IP spécifiée (aussi appelée adresse IP statique). Sélectionnez Personnalisé pour configurer les paramètres IP appropriés. Si vous sélectionnez cette option, vous devez préciser une Adresse IP et, pour les connexions par réseau local et connexions Internet à haut débit, un masque de sousréseau. Dans les champs Serveur DNS préféré et Autre serveur DNS, entrez les adresses de serveur DNS primaire et secondaire. 118 4.7.4.5 Périphérique USB d'amorçage Si vous avez sélectionné un périphérique USB comme support cible, vous pouvez sélectionner l'un des périphériques USB disponibles dans l'onglet Périphérique USB d'amorçage (s'il y a d'autres périphériques USB). Sélectionnez la cible appropriée, soit le Périphérique dans lequel ESET SysRescue sera installé. Avertissement: Le périphérique USB sélectionné sera formaté pendant la création de ESET SysRescue. Toute autre donnée se trouvant sur le périphérique sera effacée. Si vous sélectionnez l'option Formatage rapide, le formatage supprime tous les fichiers de la partition, mais n'analyse pas le disque pour y déceler les secteurs endommagés. Utilisez cette option si votre périphérique USB a déjà été formaté et que vous êtes certain qu'il n'est pas endommagé. 4.7.4.6 Graver Si vous avez sélectionné CD/DVD comme support cible, vous pouvez préciser des paramètres de gravure supplémentaires dans l'onglet Graver. Supprimer fichier ISO - Activez cette option pour supprimer les fichiers ISO après la création du CD de ESET SysRescue. Suppression activée - Permet de sélectionner un effacement rapide et un effacement complet. Graveur - Sélectionnez le lecteur à utiliser pour la gravure. Avertissement : Il s'agit de l'option par défaut. En cas d'utilisation d'un CD/DVD réinscriptible, toutes les données qu'il contient sont effacées. La section Support contient des données sur le support inséré dans le périphérique CD/DVD. Vitesse de gravure - Sélectionnez la vitesse souhaitée dans le menu déroulant. Pour sélectionner la vitesse de gravure, vous devez tenir compte des capacités du graveur et du type de CD/DVD utilisé. 4.7.5 Utilisation de ESET SysRescue Pour utiliser efficacement les supports de sauvetage CD/DVD/USB, vous devez vous assurer que l'ordinateur démarrera à partir des supports d'amorçage de ESET SysRescue. Vous pouvez modifier la priorité d'amorçage dans le BIOS. Vous pouvez également utiliser le menu d'amorçage au démarrage de l'ordinateur (généralement à l'aide de l'une des touches F9 à F12) en fonction de la version de la carte mère ou du BIOS. Une fois l'amorçage à partir du support amovible terminé, la solution ESET Security démarrera. Comme ESET SysRescue n'est utilisé que dans certaines situations particulières, certains modules de protection et fonctionnalités de programme présents d'ordinaire dans ESET Security ne sont pas nécessaires; leur liste est limitée à l'analyse de l'ordinateur, à la mise à jour et à certaines sections de la configuration. La capacité de mettre à jour la base de données des signatures de virus est la fonctionnalité la plus importante de ESET SysRescue. Il est recommandé que vous mettiez le programme à jour avant de lancer l'analyse de l'ordinateur. 4.7.5.1 Utilisation de ESET SysRescue Si l'on présuppose que les ordinateurs d'un réseau ont été infectés par un virus qui modifie les fichiers exécutables (. exe). La solution ESET Security est capable de nettoyer tous les fichiers infectés à l'exception d'explorer.exe qu'il est impossible de nettoyer, même en mode sans échec. Cela est dû au fait que explorer.exe, processus Windows essentiel, est également lancé en mode sans échec. La solution ESET Security ne serait donc pas capable d'effectuer une action sur ce fichier et il resterait infecté. Dans ce type de scénario, vous pourriez utiliser ESET SysRescue pour résoudre le problème. ESET SysRescue ne requiert pas de composant du système d'exploitation hôte et est donc capable de traiter (nettoyer, supprimer) tout fichier enregistré sur le disque. 119 4.8 Options de l'interface utilisateur Les options de configuration de l'interface utilisateur incluses dans ESET Mail Security vous permettent d'ajuster l'environnement de travail selon vos besoins. Vous pouvez accéder à ces configurations à partir de la branche Interface utilisateur de l'arborescence de configuration avancée de ESET Mail Security. Dans la section Éléments de l'interface utilisateur, l'option Mode Avancé permet à l'utilisateur de basculer en mode avancé. Le mode Avancé affiche des paramètres plus détaillés et des commandes supplémentaires pour ESET Mail Security. L'option Interface utilisateur graphique devrait être désactivée si les éléments graphiques diminuent la performance de votre ordinateur ou causent d'autres problèmes. De même, il est possible que l'interface utilisateur graphique doive être désactivée pour les utilisateurs malvoyants, car elle peut entrer en conflit avec des applications spéciales utilisées pour la lecture de textes affichés à l'écran. Si vous voulez désactiver l'écran de démarrage de ESET Mail Security, décochez la case Afficher l'écran de démarrage. En haut de la fenêtre principale de ESET Mail Security figure un menu standard qui peut être activé ou désactivé en fonction de l'option Utiliser le menu standard. Si l'option Afficher les infobulles est activée, une brève description de toute option s'affiche si le curseur est placé sur celle-ci. L'option Sélectionner l'élément de contrôle actif forcera le système à surligner tout élément se trouvant dans la zone active du pointeur de la souris. L'élément surligné sera activé dès que vous cliquerez sur celuici, avec votre souris. Pour augmenter ou réduire la vitesse des effets animés, sélectionnez l'option Utiliser les commandes animées et faites glisser la barre du curseur Vitesse vers la gauche ou la droite. Pour pouvoir afficher les différentes opérations à l'aide des icônes animées, sélectionnez l'option Utiliser les icônes animées pour indiquer la progression. Si vous voulez que le programme émette un son pour vous avertir qu'un événement important se produit, sélectionnez l'option Émettre un signal sonore. L'interface utilisateur offre également l'option de protéger les paramètres de configuration de ESET Mail Security à l'aide d'un mot de passe. Cette option se trouve dans le sous-menu Protection des paramètres sous Interface utilisateur. Il est essentiel que le programme soit correctement configuré pour garantir la sécurité maximale du système. Tout changement non autorisé peut faire perdre des données importantes. Pour définir un mot de passe visant à protéger les paramètres de configuration, cliquez sur Définir le mot de passe… 120 4.8.1 Alertes et notifications La section Configurer les alertes et notifications de l'interface utilisateur permet de configurer le mode de traitement des messages d'alerte et des notifications système par ESET Mail Security. Le premier élément à configurer est l'affichage des alertes. Lorsque cette option est désactivée, aucune fenêtre d'alerte ne s'affiche, ce qui ne convient qu'à un nombre limité de situations particulières. Il est recommandé à la majorité des utilisateurs de conserver l'option par défaut (activée). Pour fermer automatiquement les fenêtres de notification après une certaine période, cochez l'option Fermer automatiquement la boîte de message après (en secondes). Si les fenêtres d'alerte ne sont pas fermées manuellement, elles le sont automatiquement, une fois le laps de temps écoulé. Les notifications sur le bureau et les infobulles sont des messages informatifs ne permettant ou n'exigeant aucune interaction avec l'utilisateur. Elles s'affichent dans la zone de notification, dans le coin inférieur droit de l'écran. Pour activer l'affichage des notifications sur le bureau, sélectionnez l'option Afficher les notifications sur le bureau. D'autres options détaillées - la durée d'affichage des notifications et la transparence de la fenêtre - peuvent être modifiées en cliquant sur le bouton Configurer les notifications. Pour prévisualiser le comportement des notifications, cliquez sur le bouton Aperçu. Pour configurer la durée d'affichage des infobulles, utilisez l'option Afficher les infobulles dans la barre des tâches (en secondes). 121 Cliquez sur Configuration avancée... pour entrer des options de configuration supplémentaires pour les alertes et notifications, y compris l'option Afficher seulement les notifications exigeant une intervention de l'utilisateur. Cette option permet d'activer ou de désactiver l'affichage des alertes et des notifications qui n'exigent aucune intervention de l'utilisateur. Sélectionnez Afficher seulement les notifications exigeant une intervention de l'utilisateur lorsque ces applications s'exécutent en mode plein écran pour supprimer toutes les notifications non interactives. Du menu déroulant Verbosité minimale des événements à afficher, vous pouvez sélectionner le niveau de gravité de base des alertes et notifications à afficher. La dernière fonctionnalité de cette section vous permet de configurer la destination des notifications dans un environnement multi-utilisateurs. Le champ Sur les systèmes multi-utilisateurs, afficher les notifications sur l'écran de l'utilisateur vous permet de définir qui recevra les notifications importantes envoyées par ESET Mail Security. Normalement, il doit s'agir de l'administrateur système ou de l'administrateur réseau. Cette option est particulièrement utile pour les serveurs de terminaux, pourvu que toutes les notifications système soient envoyées à l'administrateur. 4.8.2 Désactiver l'interface graphique sur le serveur de terminal Cette section décrit la façon de désactiver l'interface graphique de ESET Mail Security utilisée dans les sessions utilisateur ouvertes sur les serveurs de terminaux Windows. En temps normal, l'interface graphique de ESET Mail Security s'affiche chaque fois qu'un utilisateur distant ouvre une session sur le serveur pour créer une session de terminal, un élément non souhaité sur les serveurs de terminaux. Si vous voulez désactiver l'interface graphique pour les sessions de terminaux, effectuez les étapes suivantes : 1. Exécutez regedit.exe 2. Naviguez jusqu'à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 3. Cliquez à droite sur la valeur egui et sélectionnez Modify... 4. Ajoutez un paramètre /terminal à la fin d'une chaîne existante Voici un exemple de la façon d'écrire les données Value pour egui : "C:\Program Files\ESET\ESET Mail Security\egui.exe" /hide /waitservice /terminal Si vous voulez désactiver ce paramètre et activer le démarrage automatique de l'interface utilisateur de ESET Mail Security, supprimez le paramètre /terminal . Pour atteindre la Valeur egui dans le registre, répétez les étapes 1 à 3. 122 4.9 eShell eShell (nom abrégé de ESET Shell) est une interface de ligne de commande pour ESET Mail Security. C'est une solution de rechange à l'interface utilisateur graphique (IUG). eShell offre toutes les fonctionnalités et options que l'on trouve généralement dans une IUG. eShell vous permet en outre de configurer et d'administrer l'ensemble du programme sans devoir utiliser d'IUG. En plus de toutes les fonctionnalités et fonctions incluses dans l'IUG, elle vous offre également la possibilité d'automatiser certaines commandes en exécutant des scripts pour configurer, modifier la configuration ou effectuer une action. eShell peut aussi être utile pour les personnes qui préfère utiliser la ligne de commande plutôt que l'IUG. REMARQUE : Un manuel distinct pour eShell est disponible pour téléchargement ici. Il dresse la liste de toutes les commandes, avec leur syntaxe et une description. Cette section explique comment naviguer dans eShell et l'utiliser, en plus de dresser la liste de toutes les commandes, avec une description de l'utilisation de chacune des commandes et de ce qu'elle permet d'effectuer. eShell peut être exécuté dans deux modes : Mode interactif - ce mode est utile lorsque vous voulez travailler avec eShell (pas seulement pour exécuter une commande unique) et effectuer des tâches comme modifier la configuration, afficher les journaux, etc. Vous pouvez également utiliser le mode interactif si vous ne connaissez pas bien les commandes. Le mode interactif vous permettra de naviguer plus facilement dans eShell. Il vous montrera également les commandes disponibles que vous pouvez utiliser dans un contexte particulier. Commande unique / mode de commandes - vous pouvez utiliser ce mode si vous ne devez exécuter qu'une commande sans devoir entrer dans le mode interactif de eShell. De l'invite de commande Windows en entrant eshell avec les paramètres appropriés. Par exemple : eshell set av document status enabled REMARQUE : Pour exécuter les commandes eShell à partir de l'invite de commande de Windows ou pour exécuter des fichiers de commande, vous devez d'abord activer cette fonction (la commande set general access batch doit toujours être exécutée en mode interactif). Pour plus de détails sur la commande set batch, cliquez ici 127 . Pour entrer dans le mode interactif de eShell, vous pouvez utiliser l'une des deux méthodes suivantes : Par le menu Démarrer de Windows : Démarrer > Programmes > ESET > ESET File Security > ESET shell De l'invite de commande Windows en entrant eshell et en appuyant sur la touche Entrée La première fois que vous exécutez eShell en mode interactif, un écran de première exécution s'affichera. 123 Il affichera certains exemples de base de la façon d'utiliser eShell avec la syntaxe, les préfixes, le chemin d'accès, les formes abrégées, les alias, etc. C'est, en fait, un guide rapide pour eShell. REMARQUE : Si vous voulez afficher l'écran de première exécution par la suite, entrez la commande guide . REMARQUE : Les commandes ne sont pas sensibles à la casse. La commande s'exécutera, que vous utilisiez des majuscules ou des minuscules. 4.9.1 Utilisation Syntaxe Pour pouvoir être utilisées, les commandes doivent être formatées avec la syntaxe appropriée. Elles peuvent comprendre un préfixe, un contexte, des arguments, des options, etc. Voici la syntaxe générale utilisée dans l'ensemble d'eShell : [<préfixe>] [<chemin de commande>] <commande> [<arguments>] Exemple (permet d'activer la protection du document) : SET AV DOCUMENT STATUS ENABLED SET - un préfixe AV DOCUMENT - le chemin d'accès vers une commande particulière, le contexte de la commande STATUS - la commande elle-même ENABLED - un argument pour la commande Utiliser HELP ou ? avec une commande affichera la syntaxe de cette commande particulière. Par exemple, le préfixe CLEANLEVEL HELP affichera la syntaxe pour la commande CLEANLEVEL : SYNTAXE : [get] | restore cleanlevel set cleanlevel none | normal | strict Vous pouvez remarquer que le préfixe [get] est indiqué entre crochets. Indique que le préfixe get est la valeur par défaut pour la commande cleanlevel , ce qui signifie que lorsque vous exécutez la commande cleanlevel sans préciser de préfixe, elle utilisera le préfixe par défaut (dans ce cas, get cleanlevel). Utiliser des commandes sans préfixe exige moins de temps au moment de l'entrée des données. Le préfixe get est la valeur par défaut généralement utilisée dans bon nombre de commandes. Il faut cependant vérifier en quoi consiste le préfixe par défaut pour une commande particulière, puisque c'est précisément cette commande que vous voulez exécuter. REMARQUE : Les commandes ne sont pas sensibles à la casse. La commande s'exécutera, que vous utilisiez des majuscules ou des minuscules. Préfixe / opération Un préfixe est une opération. Le préfixe GET donnera de l'information à savoir comment est configurée une certaine fonctionnalité de ESET Mail Security ou affichera l'état (comme GET AV STATUS , par exemple, affichera l'état actuel de la protection). Le préfixe SET configurera une fonctionnalité ou changera l'état (SET AV STATUS ENABLED qui, par exemple, activera la protection). Ce sont les préfixes qu'eShell vous laisse utiliser. Une commande peut ou non prendre en charge l'un des préfixes suivants : GET - Renvoie le paramètre ou l'état actuel SET - Règle la valeur ou l'état SELECT - Entraîne la sélection d'un élément ADD - Ajoute un élément REMOVE - Supprime un élément CLEAR - Supprime tous les éléments ou fichiers START - Lance une action STOP - Arrête une action PAUSE - Met une action en pause RESUME - Reprend une action RESTORE - Restaure les paramètres, l'objet ou le fichier par défaut SEND - Envoie un objet ou un fichier IMPORT - Importe à partir d'un fichier EXPORT - Exporte dans un fichier Des préfixes comme GET et SET sont utilisés avec bon nombre de commandes, bien que certaines comme EXIT 124 n'utilisent aucun préfixe. Chemin d'accès / contexte Les commandes sont placées dans des contextes formant une structure arborescente. La racine est présentée dans le haut de l'arborescence. Lorsque vous exécutez eShell, vous êtes au niveau de la racine : eShell> De là, vous pouvez soit exécuter une commande ou entrer un nom de contexte pour vous déplacer dans l'arborescence. Par exemple, lorsque vous entrez le contexte TOOLS , vous pourrez alors voir la liste de toutes les commandes et de tous les sous-contextes auxquels vous pouvez accéder à partir de ce contexte. Les éléments en jaune sont ceux que vous pouvez exécuter alors que ceux qui sont affichés en gris représentent des sous-contextes dans lesquels vous pouvez entrer. Un sous-contexte contient d'autres commandes. Si vous devez retourner à un niveau supérieur, utilisez .. (deux points). Si, par exemple, vous vous trouvez ici : eShell av options> type .. et vous remonterez alors d'un niveau, jusqu'à : eShell av> Si vous voulez retourner à la racine à partir de eShell av options> (qui deux trouve deux niveaux sous la racine), entrez simplement .. .. (deux points et deux points séparés par une espace). Vous remonterez de deux niveaux, soit jusqu'à la racine, dans ce cas-ci. Vous pouvez utiliser cette commande quelle que soit la profondeur où vous vous trouvez dans le contexte. Utilisez le nombre approprié de .. dont vous avez besoin pour atteindre le niveau voulu. Le chemin d'accès varie selon le contexte actuel. Si la commande est contenue dans le contexte actuel, n'entrez pas de chemin d'accès. Par exemple, pour exécuter GET AV STATUS entrez : GET AV STATUS - si vous êtes dans le contexte racine (la ligne de commande indique eShell>) GET STATUS - si vous êtes dans le contexte AV (la ligne de commande indique eShell av>) .. GET STATUS - si vous êtes dans le contexte AV OPTIONS (la ligne de commande indique eShell av options>) Argument Un argument vers une action qui est effectuée pour une commande particulière. Par exemple, la commande CLEANLEVEL peut être utilisée avec les arguments suivants : none - Ne pas nettoyer normal - Nettoyage standard strict - Nettoyage strict Un autre exemple comprend les arguments ENABLED ou DISABLED qui sont utilisés pour activer ou désactiver certaines fonctionnalités ou caractéristiques. Forme abrégée / commandes raccourcies eShell vous permet de raccourcir les contextes, commandes et arguments (à la condition que l'argument soit un commutateur ou une option de rechange). Il n'est pas possible de raccourcir un préfixe ou un argument comportant des valeurs concrètes comme un numéro, un nom ou un chemin d'accès. 125 Exemples de formes abrégées : set status enabled => set stat en add av exclusions C:\path\file.ext => add av exc C:\path\file.ext Dans le cas où deux commandes ou contextes commencent par les mêmes lettres (par exemple ABOUT et AV et que vous entrez A comme commande abrégée), eShell ne pourra pas décider de la commande à exécuter. Un message d'erreur sera alors affiché, tout comme la liste des commandes commençant par un « A », parmi lesquelles vous pourrez faire un choix : eShell>a La commande suivante n'est pas unique : a Les commandes suivantes sont disponibles dans ce contexte : ABOUT - Affiche l'information sur le programme AV - Modifications au contexte av Si vous ajoutez une ou plusieurs lettres (par exemple, AB plutôt que simplement A) eShell exécutera la commande ABOUT puisqu'elle est maintenant unique. REMARQUE : Lorsque vous voulez être certain qu'une commande fait l'action que vous voulez qu'elle fasse, nous vous recommandons de ne pas abréger les commandes, arguments, etc. et d'utiliser plutôt la forme complète. De cette façon, vous serez certain qu'elle exécutera exactement ce que vous voulez et empêchera les erreurs non voulues. C'est particulièrement vrai pour les fichiers de commandes et scripts. Alias Un alias est un autre nom qui peut être utilisé pour exécuter une commande (à la condition qu'un alias ait été attribué à la commande). Voici quelques alias par défaut : (global) help - ? (global) close - quitter (global) quit - quitter (global) bye - quitter warnlog - événements dans le journal des outils virlog - détections dans le journal des outils « (global) » signifie que la commande peut être utilisée n'importe où, quel que soit le contexte actuel. Plusieurs alias peuvent être attribués à une commande, par exemple, la commande EXIT comprend les alias CLOSE, QUIT et BYE. Lorsque vous voulez sortir de eShell, vous pouvez utiliser la commande EXIT même ou l'un de ses alias. L'alias VIRLOG est utilisé pour la commande DETECTIONS qui est située dans le contexte TOOLS LOG . De cette façon, la commande de détection est disponible à partir du contexte ROOT , ce qui permet d'y accéder plus facilement (vous n'aurez pas à entrer TOOLS puis le contexte LOG et pourrez l'exécuter directement à partir de ROOT). eShell vous permet de définir vos propres alias. Commandes protégées Certaines commandes sont protégées ne peuvent être exécutées qu'après l'entrée d'un mot de passe. Guide Exécuter la commande GUIDE affichera l'écran de « première exécution » expliquant comment utiliser eShell. Cette commande est disponible à partir du contexte ROOT (eShell>). Aide Lorsque la commande HELP est utilisée seule, elle affiche une liste des commandes disponibles avec les préfixes et les sous-contextes dans le contexte actuel. Elle donne aussi une courte description de chacune des commandes et de chacun des sous-contextes. Lorsque vous utilisez HELP comme argument avec une commande particulière (par exemple, CLEANLEVEL HELP), vous verrez les détails pour cette commande. Cela affichera la SYNTAXE, les OPÉRATIONS, les ARGUMENTS et les ALIAS pour la commande, accompagnés d'une courte description de chacun. Historique des commandes eShell conserve l'historique des commandes déjà exécutées. Cela ne s'applique qu'à la session interactive actuelle de eShell. Lorsque vous quittez eShell, l'historique des commandes est alors effacé. Utilisez les touches flèches Haut et Bas de votre clavier pour naviguer dans l'historique. Une fois que vous aurez trouvé la commande que vous cherchiez, vous pourrez l'exécuter de nouveau ou la modifier, sans avoir à répéter entièrement la commande du début. 126 CLS / effacer l'écran La commande CLS peut être utilisée pour vider l'écran. Elle fonctionne de la même façon que dans l'invite de commande de Windows ou dans une autre interface avec ligne de commande semblable. EXIT / CLOSE / QUIT / BYE Pour fermer eShell ou en sortir, vous pouvez utiliser n'importe laquelle de ces commandes (EXIT, CLOSE, QUIT ou BYE). 4.9.2 Commandes Cette section dresse une liste de quelques commandes de base d'eShell avec une description à titre d'exemple. Pour la liste complète des commandes, consultez le manuel d'eShell qui peut être téléchargé ici. REMARQUE : Les commandes ne sont pas sensibles à la casse. La commande s'exécutera, que vous utilisiez des majuscules ou des minuscules. Commandes contenues dans le contexte ROOT : ABOUT Affiche de l'information sur le programme. Affiche le nom du produit installé, le numéro de version, les composants installés (y compris le numéro de version de chacun des composants) et l'information de base sur le serveur et le système d'exploitation sur lequel s'exécute ESET Mail Security. CHEMIN DE CONTEXTE : root BATCH Lance eShell en mode de traitement par lots. Cela peut être très utile lorsque vous exécutez des fichiers ou scripts de commandes. Il est recommandé de l'utiliser avec des fichiers de commande. Mettez START BATCH comme première commande dans le fichier ou script de commande pour activer le mode de traitement par lots. Lorsque vous activez cette fonction, aucune invite interactive ne s'affiche (entrez un mot de passe, par exemple) et les arguments manquants sont remplacés par les valeurs par défaut. Cela garantit que le fichier de commandes ne s'arrêtera pas en milieu d'exécution, car eShell s'attend à ce que l'utilisateur fasse quelque chose. De cette façon, le fichier de commandes devrait s'exécuter sans s'arrêter (à moins qu'il n'y ait une erreur ou que les commandes incluses dans le fichiers soient incorrectes). CHEMIN DE CONTEXTE : root SYNTAXE : [start] batch OPÉRATIONS : start - Lance eShell en mode de traitement par lots CHEMIN DE CONTEXTE : root EXEMPLES : start batch - Lance le mot de traitement par lots de eShell GUIDE Affiche l'écran de première exécution. CHEMIN DE CONTEXTE : root PASSWORD En temps normal, pour pouvoir exécuter des commandes protégées par mot de passe, vous serez invité à entrer un mot de passe, et ce, à des fins de sécurité. Cela s'applique à des commandes comme celles qui désactivent la protection antivirus et à celles qui peuvent avoir des répercussions sur la fonctionnalité de ESET Mail Security. Vous 127 serez invité à entrer un mot de passe chaque fois que vous exécuterez une telle commande. Vous pouvez définir ce mot de passe pour ainsi ne pas avoir à l'entrer chaque fois. eShell le gardera en mémoire et l'utilisera automatiquement, lorsqu'une commande protégée par mot de passe est exécutée. Ainsi, vous n'aurez pas à entrer le mot de passe chaque fois. REMARQUE : les mots de passe définis ne peuvent être utilisés que dans la session interactive d'eShell en cours. Lorsque vous quitterez eShell, ce mot de passe défini sera supprimé. Lorsque vous redémarrerez eShell, vous devrez définir de nouveau le mot de passe. Ce mot de passe défini est aussi très utile lorsque vous exécutez des fichiers ou des scripts de commandes. Voici un exemple d'un tel fichier : eshell start batch "&" set password plain <votre mot de passe> "&" set status disabled Cette commande concaténée lancera un mode de commandes, définira un mot de passe qui sera utilisé et désactivera la protection. CHEMIN DE CONTEXTE : root SYNTAXE : [get] | restore password set password [plain <mot de passe>] OPÉRATIONS : get - Afficher le mot de passe set - Régler ou effacer le mot de passe restore - Effacer le mot de passe ARGUMENTS : plain - Basculer pour entrer le mot de passe comme paramètre password - Mot de passe EXEMPLES : set password plain <votre mot de passe> - Règle un mot de passe qui sera utilisé pour les commandes protégées par mot de passe restore password - Efface le mot de passe EXEMPLES : get password - Cette commande permet de voir si le mot de passe est configuré ou non (n'affiche que des étoiles « * », n'indique pas le mot de passe lui-même). Lorsqu'aucune étoile n'est visible, cela signifie qu'aucun mot de passe n'a été réglé set password plain <votre mot de passe> - Utilisé pour régler le mot de passe défini restore password - Cette commande efface le mot de passe défini STATUS Affiche l'information sur l'état actuel de la protection de ESET Mail Security (semblable à l'interface graphique utilisateur). CHEMIN DE CONTEXTE : root SYNTAXE : [get] | restore status set status disabled | enabled 128 OPÉRATIONS : get - Affiche l'état de la protection antivirus set - Désactive ou active la protection antivirus restore - Restaure les paramètres par défaut ARGUMENTS : disabled - Désactive la protection antivirus enabled - Active la protection antivirus EXEMPLES : get status - Affiche l'état actuel de la protection set status disabled - Désactive la protection restore status - Restaure la protection à la valeur par défaut (activée) VIRLOG L'alias de la commande DETECTIONS . Il est utile pour afficher de l'information sur les infiltrations ayant été détectées. WARNLOG L'alias de la commande EVENTS . Il est utile pour afficher de l'information sur différents événements. 4.10 Importer et exporter les paramètres Pour importer et exporter des configurations de ESET Mail Security, cliquez sur Configuration puis sur Importation et exportation des paramètres. L'importation et l'exportation utilisent tous deux des fichiers de type .xml. Ces fonctions sont utiles si vous devez faire une copie de sauvegarde de la configuration actuelle de ESET Mail Security pour pouvoir l'utiliser par la suite. L'option d'exportation des paramètres est aussi pratique pour les utilisateurs qui veulent utiliser la configuration préférée de ESET Mail Security sur plusieurs systèmes; ils peuvent alors importer facilement un fichier .xml pour transférer les paramètres voulus. 4.11 ThreatSense.Net Le système d'avertissement anticipé ThreatSense.Net s'assure que ESET est continuellement avisé des nouvelles infiltrations, et ce, dès qu'elles se produisent. Le système d'avertissement anticipé bidirectionnel ThreatSense.Net n'a qu'un objectif : améliorer la protection que nous vous offrons. Le meilleur moyen d'être sûr de voir les nouvelles menaces dès qu'elles apparaissent est d'être en contact permanent avec le plus grand nombre de nos clients et de les utiliser comme des éclaireurs pour les menaces. Deux options sont offertes : 1. Vous pouvez décider de ne pas activer le système d'avertissement anticipé ThreatSense.Net. Vous ne perdrez aucune fonctionnalité du logiciel et vous continuerez à recevoir la meilleure protection que nous pussions vous offrir. 2. Vous pouvez configurer le système d'avertissement anticipé ThreatSense.Net pour qu'il envoie des données 129 anonymes concernant de nouvelles menaces et l'endroit où se trouve le code menaçant. Ce fichier peut être envoyé à ESET pour une analyse détaillée. En étudiant ces menaces, ESET améliore sa capacité à détecter les menaces. Le système d'avertissement anticipé ThreatSense.Net recueille sur votre ordinateur des données concernant les nouvelles menaces détectées. Ces données comprennent un échantillon ou une copie du fichier dans lequel la menace est apparue, le chemin du fichier, le nom du fichier, la date et l'heure, le processus par lequel la menace est apparue sur votre ordinateur et de l'information sur le système d'exploitation de votre ordinateur. Bien qu'il soit possible que cela entraîne la divulgation de certaines données connexes à vous ou à votre ordinateur (nom d'utilisateur dans un chemin de dossiers, etc.) au laboratoire d'ESET, vous devez savoir que ces données ne seront utilisées à AUCUNE autre fin autre que celle de nous aider à répondre immédiatement aux menaces. Par défaut, ESET Mail Security est configuré pour demander avant de soumettre les fichiers suspects pour une analyse détaillée dans le laboratoire d'ESET. Les fichiers portant certaines extensions comme .doc ou .xls sont toujours exclus. Vous pouvez ajouter d'autres extensions à la liste d'exclusion, dont vous ou votre compagnie souhaitez éviter l'envoi. Vous pouvez accéder à la configuration de ThreatSense.Net à partir de l'arborescence de configuration avancée, sous Outils > ThreatSense.Net. Sélectionnez l'option Activer le système d'avertissement anticipé ThreatSense pour l'activer puis cliquez sur le bouton Configuration avancée. 130 4.11.1 Fichiers suspects L'onglet Fichiers suspects vous permet de configurer la façon dont les menaces seront soumises aux laboratoires d'ESET pour analyse. Si vous trouvez un fichier suspect, vous pouvez le soumettre à notre laboratoire pour analyse. S'il contient une application malveillante, il sera ajouté à la prochaine mise à jour des signatures de virus. Les soumissions de fichiers peuvent être effectuées automatiquement ou vous pouvez sélectionner l'option Demander avant de soumettre si vous voulez savoir quels fichiers ont été soumis pour analyse et confirmer la soumission. Si vous ne voulez soumettre aucun fichier, sélectionnez l'option Ne pas soumettre pour analyse. Choisir de ne pas soumettre de fichiers pour analyse n'aura aucune incidence sur la soumission des données statistiques qui sont configurées de façon distincte (voir la section Statistiques 132 ). Quand soumettre - Par défaut, l'option Dès que possible est sélectionnée pour que les fichiers suspects soient envoyés aux laboratoires d'ESET. Ceci est recommandé lorsqu'une connexion Internet permanente est disponible et que les fichiers suspects peuvent être livrés très rapidement. Sélectionnez l'option Pendant la mise à jour pour que les fichiers suspects soient téléversés dans ThreatSense.Net au moment de la prochaine mise à jour. Filtre d'exclusion - Le filtre d'exclusion permet d'exclure certains fichiers/dossiers de la soumission. Ainsi, il est utile d'exclure des fichiers qui peuvent comporter des données confidentielles, tels que des documents ou des feuilles de calcul. Les types de fichiers les plus courants sont exclus par défaut (.doc, etc.). Vous pouvez ajouter des fichiers à cette liste, au besoin. Adresse courriel du contact - L'adresse courriel du contact (facultative) peut également être envoyée avec tout fichier suspect et pourra être utilisée pour communiquer avec vous si nous avons besoin de plus d'information pour l'analyse. Veuillez noter que vous ne recevrez pas de réponse d'ESET sauf si d'autres renseignements sont requis. 131 4.11.2 Statistiques Le système d'avertissement anticipé ThreatSense.Net recueille de l'information anonyme sur votre ordinateur, à propos des menaces nouvellement détectées. Ces données peuvent inclure le nom de l'infiltration, la date et l'heure de détection, la version du produit de sécurité d'ESET ainsi que des données sur la version du système d'exploitation de votre ordinateur et ses paramètres régionaux. Les statistiques sont généralement envoyées au serveur d'ESET une ou deux fois par jour. Voici un exemple de données statistiques envoyées : # # # # # # # # # utc_time=2005-04-14 07:21:28 country="Slovakia" language="ENGLISH" osver=5.1.2600 NT engine=5417 components=2.50.2 moduleid=0x4e4f4d41 filesize=28368 filename=C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8NS7\rdgFR1 Quand soumettre - Vous pouvez définir le moment où les données statistiques seront soumises. Si vous choisissez de les envoyer Dès que possible, les données statistiques seront envoyées dès leur création. Ce choix convient si une connexion Internet permanente est disponible. Si l'option Pendant la mise à jour est sélectionnée, les données statistiques seront conservées puis envoyées simultanément pendant la prochaine mise à jour. 132 4.11.3 Soumission Vous pouvez choisir la façon dont les fichiers et les données statistiques seront soumis à ESET. Sélectionnez l'option Par le biais de la Console d'administration à distance (RA) ou directement à ESET pour les fichiers et les statistiques qui doivent être soumis par tous les moyens disponibles. Sélectionnez l'option Par la Console d'administration à distance (RA) pour soumettre les fichiers et les statistiques au serveur d'administration à distance, ce qui assurera leur soumission subséquente aux laboratoires d'ESET. Si l'option Directement à ESET est sélectionnée, tous les fichiers et données statistiques suspects seront envoyés au laboratoire de virus d'ESET à partir du programme. Si des fichiers sont en attente de soumission, le bouton Soumettre maintenant sera activé. Cliquez sur ce bouton pour soumettre immédiatement les fichiers et les données statistiques. Sélectionnez l'option Activer la journalisation pour créer un journal dans lequel enregistrer les fichiers et données statistiques soumis. 133 4.12 Administration à distance ESET Remote Administrator (ERA) est un puissant outil utilisé pour gérer la politique de sécurité et obtenir un aperçu de la sécurité globale d'un réseau. Il est particulièrement utile pour les grands réseaux. ERA augmente non seulement le niveau de sécurité, mais il offre une facilité d'utilisation tout en gérant ESET Mail Security sur les postes de travail clients. Les options de configuration de l'administration à distance sont accessibles à partir de la fenêtre principale de ESET Mail Security. Cliquez sur Configuration > Accéder à l'arborescence de la configuration avancée complète... > Divers > Administration à distance (Remote Administration). Activez l'administration à distance en sélectionnant l'option Connecter au serveur d'administration à distance (Remote Administration). D'autres options sont également disponibles : Intervalle entre deux connexions au serveur (min.) : Précise la fréquence avec laquelle ESET Mail Security se connecte au serveur ERA pour envoyer les données. Si la valeur est 0, les données sont envoyées toutes les 5 secondes. Adresse du serveur : Adresse réseau du serveur où est installé le serveur ERA. Port : ce champ contient un port de serveur prédéfini utilisé pour la connexion. Il est recommandé de laisser le paramètre de port 2222, par défaut. Remote Administrator Server exige une authentification : Vous permet d'entrer un mot de passe pour la connexion au serveur ERA, si requis. Cliquez sur OK pour confirmer les modifications et appliquer les paramètres qu'utilise ESET Mail Security pour se connecter au serveur ERA. 134 4.13 Licences La branche Licences vous permet de gérer les clés de licence pour ESET Mail Security et d'autres produits d'ESET comme ESET Mail Security, etc. Après l'achat, vous recevrez les clés de licence, ainsi que votre nom d'utilisateur et votre mot de passe. Pour Ajouter/Supprimer une clé de licence, cliquez sur le bouton correspondant dans la fenêtre du gestionnaire de licences. Le gestionnaire de licences est accessible à partir de l'arborescence de configuration avancée complète sous Divers > Licences. Une clé de licence est un fichier texte contenant de l'information sur le produit acheté : le propriétaire, le nombre de licences et la date d'expiration. La fenêtre du gestionnaire de licences permet à l'utilisateur de charger et de voir le contenu de la clé de licence à l'aide du bouton Ajouter…. L'information contenue sera affichée dans la fenêtre du gestionnaire. Pour supprimer des clés de licence de la liste, sélectionnezRetirer. Si une clé de licence est expirée et que vous voulez la renouveler, cliquez sur le bouton Commander…; vous serez dirigé vers le site Web de la boutique en ligne. 135 5. Glossaire 5.1 Types d'infiltrations Une infiltration est un morceau de logiciel malveillant qui tente de s'introduire dans l'ordinateur d'un utilisateur ou de l'endommager. 5.1.1 Virus Un virus est une infiltration qui endommage les fichiers existants de votre ordinateur. Les virus informatiques sont comparables aux virus biologiques parce qu'ils utilisent des techniques similaires pour se propager d'un ordinateur à l'autre. Les virus informatiques attaquent principalement les fichiers et documents exécutables. Pour proliférer, un virus attache son « corps » à la fin d'un fichier cible. En bref, un virus informatique fonctionne comme ceci : après l'exécution du fichier infecté, le virus s'active lui-même (avant l'application originale) et exécute une tâche prédéfinie. Ce n'est qu'après cela que l'application originale pourra s'exécuter. Un virus ne peut pas infecter un ordinateur à moins qu'un utilisateur exécute ou ouvre lui-même (accidentellement ou délibérément) le programme malveillant. L'activité et la gravité des virus varient. Certains sont extrêmement dangereux parce qu'ils ont la capacité de supprimer délibérément des fichiers du disque dur. D'autres, en revanche, ne causent pas de véritables dommages : ils ne servent qu'à ennuyer l'utilisateur et à démontrer les compétences techniques de leurs auteurs. Il est important de noter que les virus sont (par rapport aux chevaux de Troie et aux logiciels espions) de plus en plus rares, parce qu'ils ne sont pas commercialement très attrayants pour les auteurs de programmes malveillants. En outre, le terme « virus » est souvent utilisé de façon inappropriée pour couvrir tout type d'infiltrations. On tend aujourd'hui à le remplacer progressivement par le terme plus précis « logiciel malveillant » ou « malware » en anglais. Si votre ordinateur est infecté par un virus, il est nécessaire de restaurer les fichiers infectés à leur état original, c'est-à-dire de les nettoyer à l'aide d'un programme antivirus. Dans la catégorie des virus, on peut citer :: OneHalf, Tenga et Yankee Doodle. 5.1.2 Vers Un ver est un programme contenant un code malveillant qui attaque les ordinateurs hôtes et se répand par un réseau. La différence de base entre un virus et un ver est que les vers ont la capacité de se répliquer et de voyager par eux-mêmes. Ils ne dépendent pas des fichiers hôtes (ou des secteurs d'amorçage). Ils se répandent par l'entremise des adresses courriel enregistrées dans votre liste de contacts ou exploitent les failles de sécurité de diverses applications réseau. Les vers sont ainsi susceptibles de vivre beaucoup plus longtemps que les virus. Grâce à Internet, ils peuvent se propager à travers le monde en quelques heures ou minutes après leur lancement. Leur capacité à se répliquer indépendamment et rapidement les rend plus dangereux que les autres types de programmes malveillants. Un ver activé dans un système peut être à l'origine de plusieurs dérèglements : il peut supprimer des fichiers, dégrader les performances du système ou même désactiver des programmes. De par sa nature, il est qualifié pour servir de « moyen de transport » à d'autres types d'infiltrations. Si votre ordinateur est infecté par un ver, il est recommandé de supprimer les fichiers infectés parce qu'ils contiennent probablement du code malicieux. Parmi les vers les plus connus, on peut citer :: Lovsan/Blaster, Stration/Warezov, Bagle et Netsky. 136 5.1.3 Chevaux de Troie Dans le passé, les chevaux de Troie ont été définis comme une catégorie d'infiltrations ayant comme particularité de se présenter comme des programmes utiles pour duper ensuite les utilisateurs qui acceptent de les exécuter. Il est cependant important de remarquer que cette définition s'applique aux anciens chevaux de Troie. Aujourd'hui, il ne leur est plus utile de se déguiser. Ils n'ont qu'un objectif : trouver la manière la plus facile de s'infiltrer pour accomplir leurs desseins malveillants. « Cheval de Troie » est donc devenu un terme très général qui décrit toute infiltration qui n'entre pas dans une catégorie spécifique. La catégorie étant très vaste, elle est souvent divisée en plusieurs sous-catégories : téléchargeur - Programme malveillant qui est en mesure de télécharger d'autres infiltrations sur l'Internet. injecteur - Type de cheval de Troie conçu pour déposer d'autres types de logiciels malveillants sur des ordinateurs infectés. porte dérobée - Application qui communique à distance avec les pirates et leur permet d'accéder à un système et d'en prendre le contrôle. enregistreur de frappe (« keystroke logger ») - Programme qui enregistre chaque touche sur laquelle l'utilisateur appuie avant d'envoyer l'information aux pirates. composeur - Programme destiné à se connecter à des numéros surfacturés. Il est presque impossible qu'un utilisateur remarque qu'une nouvelle connexion a été créée. Les composeurs ne peuvent porter préjudice qu'aux utilisateurs ayant des modems par ligne commutée, qui sont de moins en moins utilisés. Les chevaux de Troie prennent généralement la forme de fichiers exécutables avec l'extension .exe. Si un fichier est identifié comme cheval de Troie sur votre ordinateur, il est recommandé de le supprimer, car il contient sans doute du code malveillant. Parmi les chevaux de Troie les plus connus, on peut citer :: NetBus, Trojandownloader. Small.ZL, Slapper 5.1.4 Rootkits Les rootkits offrent aux pirates un accès illimité à un système tout en dissimulant leur présence. Après avoir accédé au système (généralement en exploitant une faille), ces programmes utilisent des fonctions du système d'exploitation pour se protéger des logiciels antivirus : ils cachent des processus, des fichiers et des données du registre Windows. C'est pour cette raison qu'il est presque impossible de les détecter à l'aide des techniques de vérification ordinaires. Il y a deux niveaux de détection permettant d'éviter les rootkits : 1) lorsqu'ils essaient d'accéder au système. Ils ne sont pas encore installés et sont donc inactifs. La plupart des antivirus sont en mesure de les éliminer à ce niveau (en supposant qu'ils détectent effectivement les fichiers comme infectés). 2) lorsqu'ils sont inaccessibles aux tests habituels. Les utilisateurs de ESET Mail Security bénéficient de la technologie Anti-Stealth qui permet de détecter et d'éliminer les rootkits en activité. 5.1.5 Logiciels publicitaires L'expression « logiciels publicitaires » désigne les logiciels soutenus par la publicité. Les programmes qui affichent des publicités entrent donc dans cette catégorie. Souvent, les logiciels publicitaires ouvrent automatiquement une nouvelle fenêtre contextuelle contenant de la publicité dans un navigateur Internet ou modifient la page de démarrage de ce dernier. Ils sont généralement associés à des programmes gratuits et permettent à leurs créateurs de couvrir les frais de développement de leurs applications (souvent utiles). En eux-mêmes, les logiciels publicitaires ne sont pas dangereux; tout au plus dérangent-ils les utilisateurs par l'affichage de publicités. Le danger tient au fait qu'ils peuvent aussi inclure des fonctions d'espionnage (comme les logiciels espions). Si vous décidez d'utiliser un logiciel gratuit, soyez particulièrement attentif au programme d'installation. La plupart des programmes d'installation vous avertiront en effet qu'ils installent en plus un programme publicitaire. Souvent, vous pourrez désactiver cette installation supplémentaire et n'installer que le programme, sans logiciel publicitaire. Certains programmes refuseront cependant de s'installer sans leur logiciel publicitaire ou verront leurs 137 fonctionnalités limitées. Cela signifie que les logiciels publicitaires peuvent souvent accéder au système d'une manière « légale », dans la mesure où les utilisateurs ont accepté qu'ils soient installés. Dans ce cas, mieux vaut jouer la carte de la prudence. Si un logiciel publicitaire est détecté sur votre ordinateur, il est préférable de le supprimer, car le risque est grand qu'il contienne du code malveillant. 5.1.6 Logiciel espion Cette catégorie englobe toutes les applications qui envoient des données confidentielles sans le consentement des utilisateurs et à leur insu. Ces applications utilisent des fonctions de traçage pour envoyer diverses données statistiques telles qu'une liste des sites Web consultés, les adresses courriel de la liste de contacts de l'utilisateur ou une liste des touches de frappe utilisées. Les auteurs de ces logiciels espions affirment que ces techniques ont pour but d'en savoir plus sur les besoins et intérêts des utilisateurs afin de mieux cibler les offres publicitaires. Le problème est qu'il n'y a pas de distinction claire entre les applications utiles et les applications malveillantes, et que personne ne peut garantir que les données récupérées ne seront pas utilisées à des fins frauduleuses. Les données récupérées par les logiciels espions peuvent être des codes de sécurité, des NIP, des numéros de compte bancaire, etc. Les logiciels espions sont souvent intégrés aux versions gratuites d'un programme dans le but de générer des gains ou d'inciter à l'achat du logiciel. Les utilisateurs sont souvent informés de la présence d'un logiciel espion au cours de l'installation d'un programme afin de les inciter à acquérir la version payante qui en est dépourvue. Parmi les produits logiciels gratuits bien connus qui contiennent des logiciels espions, on trouve les applications clients de réseaux P2P (poste-à-poste). Spyfalcon ou Spy Sheriff (et beaucoup d'autres) appartiennent à une souscatégorie particulière de logiciels espions : ils semblent être des programmes anti-logiciels espions alors qu'en réalité, ils sont eux-mêmes des logiciels espions. Si un fichier est indiqué comme logiciel publicitaire sur votre ordinateur, il est préférable de le supprimer, car le risque est grand qu'il contienne du code malveillant. 5.1.7 Applications potentiellement dangereuses Il existe de nombreux programmes authentiques qui permettent de simplifier l'administration des ordinateurs en réseau. Toutefois, s'ils tombent entre de mauvaises mains, ces programmes sont susceptibles d'être utilisés à des fins malveillantes. ESET Mail Security vous offre l'option de détecter de telles menaces. La classification « applications potentiellement dangereuses » désigne les logiciels commerciaux légitimes. Elle inclut également les programmes d'accès à distance, les applications de craquage de mots de passe ou les enregistreurs de frappe 137 . Si vous découvrez qu'une application potentiellement dangereuse est présente et fonctionne sur votre ordinateur (sans que vous l'ayez installée), consultez votre administrateur réseau et supprimez l'application. 5.1.8 Applications potentiellement indésirables Les applications potentiellement indésirables ne sont pas nécessairement malveillantes, mais elles sont susceptibles d'affecter les performances de votre ordinateur. Ces applications exigent généralement le consentement de l'utilisateur avant leur installation. Si elles sont présentes sur votre ordinateur, votre système se comportera différemment (par rapport à son état avant l'installation). Les changements les plus significatifs sont : l'apparition de nouvelles fenêtres qui n'existaient pas auparavant des processus cachés qui sont activés et exécutés une plus grande utilisation des ressources système la modification des résultats de recherche le fait que l'application communique avec des serveurs distants 138 5.2 Courriel Le courriel est une forme de communication moderne qui offre beaucoup d'avantages. Il est souple, rapide et direct et a joué un rôle crucial dans l'expansion d'Internet au début des années 1990. Malheureusement, le grand anonymat des courriels et d'Internet a laissé libre champ à beaucoup d'activités illégales telles que le pollupostage. Le pourriel comprend les publicités indésirables, les canulars et les logiciels malveillants. Les désagréments et le danger pour l'utilisateur ont augmenté tout simplement du fait que l'envoi de tels messages ne coûte presque rien et que les auteurs du pourriel disposent de bon nombre d'outils pour acquérir facilement de nouvelles adresses de courriel. En plus, le volume et les différents types de pourriel ne facilitent pas la règlementation. Plus longtemps vous utilisez votre adresse courriel, plus vous augmentez la possibilité qu'elle finisse par être ajoutée dans la base de données d'un moteur de pourriel. Quelques conseils à titre de prévention : Si possible, n'indiquez pas votre adresse de courriel sur Internet. Ne donnez votre adresse de courriel qu'à des personnes fiables. N'utilisez pas de pseudonymes communs, si possible. Lorsque les pseudonymes sont compliqués, la probabilité de les retracer est plus faible. Ne répondez pas aux pourriels déjà entrés dans votre boîte de réception. Faites attention lorsque vous remplissez des formulaires Internet : soyez particulièrement attentif aux cases à cocher du type « Oui, je voudrais recevoir des informations concernant... ». Utilisez des adresses de messagerie « spécialisées », par ex., une pour le travail, une pour communiquer avec vos amis, etc. Changez vos adresses courriel de temps en temps. Utilisez une solution antipourriel. 5.2.1 Publicités La publicité par Internet est une des formes de publicité les plus en vogue. Ses coûts minimaux et sa grande efficacité en sont les principaux avantages marketing, tout comme le fait que ces messages soient transmis presque immédiatement. Nombre d'entreprises utilisent des outils de marketing par courriel pour communiquer de manière efficace avec leurs clients et clients éventuels. Ce type de publicité est légitime, car l'utilisateur pourrait souhaiter recevoir des informations commerciales sur certains produits. Mais de nombreuses entreprises envoient également en masse des messages commerciaux non sollicités. La publicité par courriel dépasse alors les limites et devient du pourriel. La quantité de messages publicitaires non sollicités est devenue un réel problème, car elle ne montre aucun signe d'accalmie. Les auteurs de messages non sollicités tentent souvent de déguiser le pourriel sous des dehors de messages légitimes. 5.2.2 Canulars Un canular se définit comme de la désinformation diffusée sur Internet. Les canulars sont généralement envoyés par courriel ou par des outils de communication tels ICQ et Skype. Le message en lui-même est souvent une blague ou une légende urbaine. Les canulars essaient de provoquer chez les destinataires de la peur, de l'incertitude et du doute, les amenant à croire qu'ils ont un « virus indétectable » en train de supprimer tous les fichiers et de récupérer les mots de passe, ou d'effectuer une activité nuisible sur leur système. Certains canulars se propagent parce qu'ils invitent les destinataires à réacheminer les messages reçus à leurs contacts, ce qui perpétue le cycle de vie des canulars. On y retrouve notamment des canulars liés aux téléphones cellulaires, des « demandes d'aide », des personnes qui vous proposent de vous envoyer de l'argent de l'étranger, etc. Dans la plupart des cas, il est impossible de traquer l'intention du créateur. En un mot, si un message vous demande de le réacheminer à toutes vos connaissances, il est fort possible qu'il s'agisse d'un canular. On retrouve, sur Internet, bon nombre de sites qui permettent de vérifier si un message est légitime ou non. Avant de réacheminer un message, faites une recherche sur Internet si vous avez des doutes quant 139 à un message reçu. 5.2.3 Hameçonnage Le terme hameçonnage (« phishing » en anglais) désigne une activité frauduleuse utilisant des techniques de piratage psychologique qui consistent à manipuler les utilisateurs pour obtenir des données confidentielles. Son but est d'accéder à des données sensibles, telles que numéros de comptes bancaires, NIP, etc. La technique consiste généralement à envoyer un courriel en se faisant passer pour une personne ou une entreprise digne de confiance (institution financière, compagnie d'assurance). Le message peut sembler très authentique et contenir des graphiques et contenus qui proviennent véritablement de la source dont il se réclame. Vous êtes invité à entrer, sous divers prétextes (vérification de données, opérations financières), certaines de vos données personnelles, vos numéros de compte bancaire ou nom d'utilisateur et mot de passe. Toutes ces données, si elles sont soumises, peuvent facilement être volées et utilisées à des fins illégales. Notez que les banques, compagnies d'assurance et autres sociétés légales ne demandent jamais les noms d'utilisateur et mots de passe dans un message non sollicité. 5.2.4 Reconnaissance des pourriels Peu d'indicateurs permettent généralement d'identifier les pourriels (messages non sollicités) dans une boîte aux lettres. Si un message satisfait au moins l'un des critères suivants, c'est probablement un pourriel. L'adresse de l'expéditeur ne figure pas dans la liste de vos contacts On vous offre une importante somme d'argent, mais vous devez en fournir une petite somme avant. On vous demande d'entrer, sous divers prétextes (vérification de données, opérations financières), certaines de vos données personnelles : numéros de compte bancaire ou noms d'utilisateur et mots de passe. Le message est écrit dans une langue étrangère. On vous demande d'acheter un produit qui ne vous intéresse pas. Si vous décidez de l'acheter quand même, assurez-vous que l'expéditeur du message est un vendeur sérieux (consultez le fabricant original du produit). Quelques mots sont mal écrits pour pouvoir passer à travers le filtre de pourriel. Par exemple « vaigra » au lieu de « viagra », etc. 5.2.4.1 Règles Dans le contexte des solutions antipourriel et des clients de messagerie, les règles sont des outils permettant de manipuler les fonctions de messagerie. Elles se composent de deux parties logiques : 1) la condition (par exemple, un message entrant provenant d'une certaine adresse) 2) l'action (par exemple, la suppression du message ou son déplacement vers un dossier particulier). Le nombre de règles et leurs combinaisons varient en fonction de la solution antipourriel. Ces règles servent de protection contre les pourriels (messages non sollicités). Exemples caractéristiques : condition : un message entrant contient des mots habituellement utilisés dans les pourriels 2. action : supprimer le message condition : un message entrant contient une pièce jointe comportant l'extension .exe 2. action : supprimer la pièce jointe et livrer le message dans la boîte aux lettres condition : un message entrant arrive de votre employeur 2. action : déplacer le message dans le dossier « Travail ». Il est recommandé d'utiliser une combinaison de règles dans les programmes antipourriel afin de faciliter l'administration et mieux filtrer les pourriels. 140 5.2.4.2 Filtre bayésien Le filtrage bayésien est une méthode efficace de filtrage des messages utilisée par la plupart des produits antipourriel. Il permet d'identifier les messages non sollicités avec un haut degré de précision et peut s'adapter à l'utilisateur. Il fonctionne de la façon suivante : tout commence par une phase d'apprentissage. L'utilisateur doit alors désigner un nombre suffisant de messages entrants comme messages légitimes ou pourriel (normalement 200/200). Le filtre analyse les deux catégories et apprend, par exemple, que le pourriel contient généralement les mots « rolex » ou « viagra » et que les messages légitimes sont envoyés par des membres de la famille ou à partir d'adresses se trouvant dans la liste de contacts de l'utilisateur. Si un nombre suffisant de messages est traité, le filtre bayésien peut alors affecter un certain « indice de pourriel » à chaque message pour ainsi déterminer si c'est ou non un pourriel. Le principal avantage du filtrage bayésien est sa souplesse. Par exemple, si un utilisateur est biologiste, tous les messages entrants concernant la biologie ou des champs d'études connexes recevront généralement un indice de probabilité moindre. Si, par contre, un message contient des mots qui le classeraient normalement comme non sollicité, mais qu'il a été envoyé par une personne figurant dans la liste de contacts de l'utilisateur, il sera alors marqué comme légitime dans la mesure où les expéditeurs figurant sur une liste de contacts réduisent la probabilité générale qu'il s'agisse d'un pourriel. 5.2.4.3 Liste blanche En général, une liste blanche est une liste d'éléments ou de personnes qui ont été acceptées ou ont obtenu l'autorisation. Le terme « liste blanche de messagerie » définit une liste de contacts dont l'utilisateur veut recevoir les messages. Ces listes blanches sont basées sur des mots-clés recherchés dans des adresses courriel, des noms de domaines ou des adresses IP. Si une liste blanche fonctionne en « mode exclusif », les messages de toutes les autres adresses, domaines ou adresses IP seront écartés. Si elle fonctionne en mode non exclusif, ces messages ne seront pas supprimés, mais filtrés d'une autre façon. Une liste blanche fonctionne sur le principe inverse d'une liste noire 141 . Les listes blanches sont relativement faciles à maintenir, plus que les listes noires. Pour un meilleur filtrage des pourriels, il est recommandé d'utiliser des listes blanches et des listes noires. 5.2.4.4 Liste noire Une liste noire se définit généralement comme une liste d'éléments ou de personnes non acceptés ou interdits. Dans le monde virtuel, c'est une technique qui permet d'accepter des messages de tous les utilisateurs qui ne figurent pas sur cette liste. Il existe deux types de listes noires : celles qui sont créées par les utilisateurs par l'entremise de leur application antipourriel et les listes noires professionnelles, créées et régulièrement mises à jour par des organismes spécialisés que l'on peut trouver sur Internet. Il est essentiel d'utiliser les listes pour bloquer le pourriel, mais elles peuvent être difficiles à tenir à jour, car de nouveaux éléments à bloquer apparaissent chaque jour. Nous vous recommandons d'utiliser tant une liste blanche 141 qu'une liste noire pour filtrer le pourriel de la façon la plus efficace. 5.2.4.5 Contrôle côté serveur Le contrôle côté serveur est une technique permettant d'identifier le pourriel de masse d'après le nombre de messages reçus et les réactions des utilisateurs. Chaque message laisse sur le serveur une « empreinte » numérique unique en fonction de son contenu. Le numéro d'ID unique ne dit rien à propos du contenu du message. Deux messages identiques auront une empreinte identique, alors que des messages différents auront une empreinte différente. Si un message est marqué comme pourriel, son empreinte est envoyée au serveur. Si le serveur reçoit plusieurs empreintes identiques (correspondant à un certain message de pourriel), cette empreinte est stockée dans la base d'empreintes de pourriel. Lorsqu'il analyse des messages entrants, le programme envoie les empreintes de ces messages au serveur. Le serveur renvoie de l'information indiquant quelles empreintes correspondent à des messages déjà identifiés comme pourriels par d'autres utilisateurs. 141