VirusScan Enterprise version 8.0i
Transcription
VirusScan Enterprise version 8.0i
VirusScan® Enterprise version 8.0i Carte de référence VirusScan Enterprise 8.0, qui intègre la protection contre les intrusions et la technologie de pare-feu à des fonctionnalités puissantes d’analyse, constitue un moyen de défense contre les virus, les vers, les chevaux de Troie et les programmes potentiellement indésirables. Console VirusScan Barre de menus — Utilisez les options du menu pour créer des tâches, configurer des propriétés et accéder à des informations supplémentaires. 1 Tâche — Permet de créer et de configurer des tâches telles que la recherche de menaces ou la mise à jour des fichiers DAT. Édition — Permet de copier, coller, supprimer ou renommer la tâche sélectionnée. Affichage — Permet d’afficher la barre d’outils et/ou la barre d’état et actualise l’affichage. Outils — Permet de configurer des options d’interface utilisateur, de verrouiller ou déverrouiller la sécurité de l’interface utilisateur, d’activer le service de notification d’erreurs, de configurer des alertes, d’accéder à la visionneuse d’événements, d’ouvrir une session sur un ordinateur distant, d’importer ou modifier la liste des référentiels et d’annuler des fichiers dat. Aide — Permet d’accéder aux rubriques de l’Aide en ligne, à la bibliothèque d’informations sur les virus, à la page Web Soumettre un échantillon et au site Web de support technique. Vous pouvez également réparer l’installation du produit et afficher la boîte de dialogue À propos de pour visualiser les informations de copyright et savoir quelles versions du produit, de la licence, des fichiers de définition, du moteur d’analyse, du pilote supplémentaire et du correctif sont installées. 1 2 3 4 Barre d’outils — Utilisez les icônes pour accéder aux fonctions les plus fréquemment utilisées. Vous pouvez, par exemple, vous connecter à un ordinateur, créer une nouvelle tâche d’analyse à la demande, afficher les propriétés de la tâche sélectionnée, lancer ou interrompre la tâche sélectionnée, ouvrir la visionneuse d’événements ou configurer les options d’alerte. 2 mcafee.com Liste des tâches — Affiche les tâches par défaut et toutes les nouvelles tâches que vous créez, ainsi que l’état et le dernier résultat obtenu pour chaque tâche. 3 4 Barre d’état — Affiche l’état des activités en cours. À faire en priorité une fois l’installation de VirusScan Enterprise terminée Nous vous conseillons de prendre les mesures suivantes immédiatement après avoir installé VirusScan Enterprise et avant de déployer le produit. 1. Mettre en place des moyens de sécurité Établissez une sécurité par affichage et mot de passe pour les fonctions de VirusScan Enterprise. Protection à l’accès Restreignez l’accès aux ports entrants et sortants ainsi qu’aux fichiers, éléments partagés et dossiers. Pour configurer la fonction Protection à l’accès, ouvrez les pages de propriétés qui s’y rapportent dans la Console VirusScan. Pour configurer des options de sécurité, sélectionnez Options d’interface utilisateur dans le menu Outils de la Console VirusScan. Conseil 2. Mettre à jour VirusScan Enterprise Créez et configurez des tâches AutoUpdate planifiées pour maintenir votre produit, vos fichiers DAT, votre moteur d’analyse et vos correctifs à jour. Ces tâches précisent les éléments à mettre à jour, quand les mises à jour sont effectuées et quels programmes doivent être exécutés une fois la mise à jour effectuée. Vous pouvez également configurer la liste des référentiels pour qu’elle indique les sites de téléchargement à partir desquels les mises à jour sont récupérées. VirusScan Enterprise propose un certain nombre de règles pré-configurées aussi bien pour le Blocage des ports que pour la Protection des fichiers, des éléments partagés et des dossiers. Il est important que vous passiez en revue chacune de ces règles pour vous assurer qu’elles ne restreignent pas l’accès à des ports, des processus, des programmes, des fichiers, des éléments partagés ou des dossiers utilisés par votre entreprise. Dans l’onglet Blocage des ports, nous vous recommandons de : Vous assurer que l’accès à votre client de messagerie électronique n’est pas bloqué. Il existe par exemple une règle de Blocage des ports par défaut, Empêcher les vers à diffusion massive d’envoyer des messages, qui est configurée de manière à empêcher les processus sortants d’accéder au port 25 sur le réseau. Assurez-vous que vous avez bien ajouté votre client de messagerie électronique à la liste autorisée de Processus exclus afin que son accès ne soit pas bloqué. Vous assurer que l’accès à tous les processus de communication IRC que vous utilisez n’est pas bloqué. Il existe par exemple deux règles de Blocage des ports par défaut qui bloquent l’accès entrant et sortant aux ports 6666 à 6669. Assurez-vous que vous avez bien ajouté tous les processus IRC que vous utilisez à la liste autorisée de Processus exclus afin que leur accès ne soit pas bloqué. Pour configurer une tâche AutoUpdate, ouvrez les pages de propriétés qui s’y rapportent dans la Console VirusScan. Pour créer une nouvelle tâche de mise à jour, sélectionnez Nouvelle tâche de mise à jour dans le menu Tâche de la Console VirusScan. Conseil Pour configurer la liste de référentiels AutoUpdate, sélectionnez Modifier la liste de référentiels AutoUpdate dans le menu Outils de la Console VirusScan. Conseil Affichez la boîte de dialogue À propos de pour savoir quelles versions du produit, de la licence, des fichiers de définition, du moteur d’analyse, du pilote supplémentaire et du correctif sont actuellement installées. Pour cela, sélectionnez À propos de dans le menu Aide de la Console VirusScan. 3. Empêcher les intrusions Configurez ces fonctionnalités pour empêcher les intrusions : Protection contre le débordement de la mémoire tampon Empêchez les débordements de la mémoire tampon exploitée d’exécuter du code sur votre ordinateur. La protection contre le débordement de la mémoire tampon détecte le code dont l’exécution commence à partir de données issues d’un segment de mémoire ou d’une pile, et empêche l’exécution de ce code. Elle n’empêche pas l’écriture des données dans le segment ou dans la pile. Ne vous attendez pas à ce que l’application exploitée reste stable après son exploitation, même si la protection contre le débordement de la mémoire tampon empêche le code exploité de s’exécuter. Pour configurer la fonction Protection contre le débordement de la mémoire tampon, ouvrez les pages de propriétés qui s’y rapportent dans la Console VirusScan. Conseil Dans l’onglet Fichiers, éléments partagés et dossiers, la plupart des règles pré-configurées sont définies sur Mode Avertissement. Nous vous recommandons d’utiliser les règles en Mode Avertissement sur une courte durée, puis d’examiner le fichier journal pour vous aider à déterminer s’il est nécessaire de définir ces règles sur l’un des modes de blocage. VirusScan Enterprise protège une trentaine d’applications courantes et de services Microsoft Windows contre le débordement de la mémoire tampon. Destiné à cette protection, un fichier DAT contient la définition des applications. Il peut être téléchargé en même temps que le fichier de définition de virus lors des mises à jour habituelles. Stratégie contre les programmes indésirables Détectez et agissez contre les programmes potentiellement indésirables, tels que les logiciels espions, les logiciels publicitaires, les numéroteurs, les canulars, etc. Pour configurer la fonction Stratégie contre les programmes indésirables, ouvrez les pages de propriétés qui s’y rapportent dans la Console VirusScan. La stratégie que vous configurez est activée par défaut dans chacune des pages de propriétés de l’analyseur. Une fois que vous avez configuré la fonction Stratégie contre les programmes indésirables, allez sur chacune des pages de propriétés respectives de l’analyseur et indiquez quelles mesures vous souhaitez que l’analyseur prenne lorsqu’il détecte un programme indésirable. Conseil Vous pouvez sélectionner, dans une liste pré-définie, des catégories entières de programmes ou des fichiers spécifiques dans ces catégories. La liste pré-définie provient du fichier DAT actuel ; les mesures qui peuvent être prises contre les programmes indésirables sont déterminées par le fichier DAT, comme pour les virus. Par exemple, si vous détectez un programme et si l’action principale est définie sur Nettoyer, le fichier DAT tente de nettoyer le programme à l’aide des informations figurant dans le fichier DAT. Si le fichier DAT ne contient pas les informations nécessaires au nettoyage du programme, l’action principale échoue et l’action secondaire est exécutée. Si vous sélectionnez l’action Supprimer, seul le fichier défini comme indésirable est supprimé ; des clés de registre risquent de ne pas être modifiées. À faire en priorité une fois l’installation de VirusScan Enterprise terminée (suite) 4. Détecter les intrusions Tâches d’analyse à la demande Configurez ces fonctions de manière à ce qu’elles détectent et agissent contre les intrusions : Créez et configurez des tâches d’analyse planifiées pour analyser des fichiers et des processus et agir contre les intrusions détectées. Analyse à l’accès Configurez l’Analyseur à l’accès de manière à ce qu’il procède à une analyse continue et en temps réel des fichiers et des processus lorsqu’on y accède, et qu’il prenne des mesures contre ces intrusions. L’analyse en fonction des processus permet de définir des processus spécifiques comme processus par défaut, à faible risque ou à haut risque, puis d’analyser ces processus selon la configuration spécifiée pour chaque type. Suivez la procédure ci-dessous pour déterminer quel risque attribuer à quel processus : Conseil Réfléchissez à la raison pour laquelle vous souhaitez disposer de plusieurs stratégies analyse. Les deux raisons les plus courantes en ce qui concerne le rapport performance/risque sont les suivantes : 1) pour analyser des processus de manière plus approfondie qu’avec la stratégie d’analyse par défaut, et 2) pour analyser des processus de manière moins approfondie qu’avec la stratégie d’analyse par défaut, en fonction du risque et des conséquences sur les performances. Exemple : les applications de sauvegarde. Déterminez les processus à faible risque et ceux à haut risque. Les processus à faible risque présentent généralement un risque inférieur de se diffuser ou d’introduire un virus. Il peut s’agir de processus qui accèdent à de nombreux fichiers, mais de manière telle que le risque de propagation de virus est moindre. Exemple : les applications de sauvegarde et les processus de compilation. Les processus à haut risque présentent généralement un risque plus important de se diffuser ou d’introduire un virus. Exemple : les processus qui lancent d’autres processus, tels que l’explorateur Microsoft Windows ou l’invite de commande ; les processus qui exécutent des scripts ou des macros, tels que WINWORD ou CSCRIPT ; les processus utilisés pour télécharger depuis Internet, tels que les navigateurs, les messageries instantanées et les clients de messagerie. Les processus par défaut sont tous ceux que vous n’avez pas spécifiés comme étant à faible risque ou à haut risque. Lorsque vous configurez une tâche d’analyse à la demande, vous pouvez également configurer les options de l’onglet Programmes indésirables afin d’indiquer les mesures à prendre lorsqu’un programme indésirable est détecté par une analyse à la demande. Pour configurer une tâche d’analyse à la demande, ouvrez les pages de propriétés qui s’y rapportent dans la Console VirusScan. Conseil Pour créer une nouvelle tâche d’analyse à la demande, sélectionnez Nouvelle tâche d’analyse à la demande dans le menu Tâche de la Console VirusScan. Pour exécuter une tâche d’analyse immédiate, cliquez avec le bouton droit de la souris sur l’icône VShield de la barre des tâches et sélectionnez Analyse à la demande. Analyseurs d’e-mails Configurez l’Analyseur d’e-mails à la réception et l’Analyseur d’e-mails à la demande afin qu’ils analysent les clients de messagerie Lotus Notes ou les clients de messagerie MAPI tels que Microsoft Outlook, et qu’ils prennent des mesures contre les intrusions détectées. L’Analyseur d’e-mails à la réception analyse les e-mails à leur réception et l’Analyseur d’e-mails à la demande analyse les e-mails à la demande du client de messagerie. Pour configurer la fonction Analyseur d’e-mails à la réception, ouvrez les pages de propriétés qui s’y rapportent dans la Console VirusScan. Pour configurer la fonction Analyseur d’e-mails à la demande, ouvrez les pages de propriétés qui s’y rapportent dans le client de messagerie. Lorsque vous configurez l’Analyseur d’e-mails à la réception ou l’Analyseur d’e-mails à la demande, vous pouvez également configurer les options de l’onglet Programmes indésirables afin d’indiquer les mesures à prendre lorsqu’un programme indésirable est détecté par l’analyseur d’e-mails. Alertes Lorsque vous configurez l’Analyseur à l’accès, vous pouvez également configurer les options figurant sur les onglets suivants : ScriptScan permet de rechercher des scripts JavaScript et VBScript exécutés par Windows Scripting Host. Exemple : des scripts de page Web Internet Explorer. Blocage permet de bloquer, pour une durée déterminée, les connexions depuis des ordinateurs distants qui ont infecté des fichiers dans un dossier partagé. Programmes indésirables permet de préciser les mesures à prendre lorsqu’un programme indésirable est détecté par l’analyseur à l’accès. Pour configurer la fonction Analyseur à l’accès, ouvrez les pages de propriétés qui s’y rapportent dans la Console VirusScan. Indiquez quand et comment vous souhaitez être prévenu en cas de détection. Pour configurer les Alertes, sélectionnez-les dans le menu Outils de la Console VirusScan. Obtention d’informations Documentation produit La documentation produit, qui comprend les notes de version et des informations sur l’installation et la configuration, est disponible au format PDF sur le CD du produit et sur le site Web de téléchargement McAfee. Liens depuis la Console VirusScan Le menu Aide de la Console VirusScan propose des liens vers des ressources utiles. Rubriques d’aide Sélectionnez Rubriques d’aide dans le menu Aide pour accéder aux rubriques de l’Aide en ligne du produit. Bibliothèque d’informations sur les virus Sélectionnez Informations sur les virus dans le menu Aide pour accéder à la bibliothèque d’informations sur les virus de l’équipe AVERT (Anti-Virus & Vulnerability Emergency Response Team) de McAfee. Ce site Web comporte des informations détaillées sur la provenance des virus, sur la façon dont ils infectent votre système et sur la façon de les supprimer. Outre les véritables virus, la bibliothèque d’informations sur les virus contient des informations utiles sur les canulars, ces e-mails qui vous avertissent de la présence de virus. Les canulars A Virtual Card For You et SULFNBK font partie des plus connus, mais il en existe bien d’autres. La prochaine fois que vous recevrez un message concernant un virus qui prétend vous expliquer comment vous protéger, reportez-vous à notre page traitant des canulars avant de transmettre le message à tous vos amis. Soumission d’un échantillon Sélectionnez l’option Soumettre un échantillon dans le menu Aide pour accéder au site Web McAfee AVERT WebImmune. Si vous pensez qu’un fichier contient un virus ou que le système est infecté, McAfee vous recommande d’envoyer un échantillon à son équipe de recherche antivirus pour le faire analyser. La soumission d’un échantillon ne provoque pas seulement son analyse, mais la création d’un correctif en temps réel, si c’est possible. Support technique Sélectionnez Support technique dans le menu Aide pour accéder au Portail du service PrimeSupport KnowledgeCenter de McAfee. Recherchez dans ce site les Foires aux questions (FAQ) ou la documentation et effectuez une recherche guidée des connaissances. À propos de Sélectionnez À propos de dans le menu Aide pour savoir quelles versions du produit, de la licence, des fichiers de définition, du moteur d’analyse, du pilote supplémentaire et du correctif sont installées. Copyright © 2004 Networks Associates Technology, Inc. Tous droits réservés. Version du document 02-FR McAfee, International B.V. | Gatwickstraat 25 | 1043 GL Amsterdam | Netherlands | Phone.: +31 20 586 61 00 | Fax: +31 20 586 61 01 | mcafee.com