ESET Mail Security for Exchange Server Mode d'emploi

Ajouter à Mes manuels
250 Des pages
ESET Mail Security for Exchange Server Mode d'emploi | Fixfr
ESET MAIL SECURITY
POUR MICROSOFT EXCHANGE SERVER
Manuel d'installation et Guide de l'utilisateur
Microsoft® Windows® Server 2003 / 2003 R2 / 2008 / 2008 R2 / 2012 / 2012 R2 / 2016
Cliquez ici pour consulter la version de l'aide en ligne de ce document
ESET MAIL SECURITY
Copyright ©2018 ESET, spol. s r.o.
ESET Ma i l Securi ty a été dével oppé pa r ESET, s pol . s r.o.
Pour pl us de déta i l s , vi s i tez www.es et.com.
Tous droi ts rés ervés . Aucune pa rti e de cette documenta ti on ne peut être reprodui te,
s tockée da ns un s ys tème d'a rchi va ge ou tra ns mi s e s ous quel que forme ou pa r
quel que moyen que ce s oi t, y compri s s ous forme él ectroni que, méca ni que,
photocopi e, enregi s trement, numéri s a ti on ou a utre s a ns l 'a utori s a ti on écri te de
l 'a uteur.
ESET, s pol . s r.o. s e rés erve l e droi t de cha nger l es a ppl i ca ti ons décri tes s a ns préa vi s .
Assistance à la clientèle : www.eset.com/support
RÉV. 2018-04-18
Contenu
3.6.4
1. Introduction
.......................................................6
Importer
..............................................................................67
et exporter les paramètres
3.7 Outils
....................................................................................................68
1.1 Nouveautés
....................................................................................................6
3.7.1
Processus
..............................................................................69
en cours
1.2 Pages
....................................................................................................7
d'aide
3.7.2
Surveiller
..............................................................................71
l'activité
3.7.2.1
Sélection
..................................................................................72
de la période
1.3 Méthodes
....................................................................................................8
utilisées
1.3.1
Protection de la base de données de la boîte de
courriel
..............................................................................9
3.7.3
Statistiques
..............................................................................72
de protection
3.7.4
Grappe
..............................................................................73
1.3.2
Protection
..............................................................................9
du transport de messagerie
3.7.4.1
Assistant
..................................................................................75
de la grappe - page 1
1.3.3
Analyse
..............................................................................9
de base de données à la demande
3.7.4.2
Assistant
..................................................................................77
de la grappe - page 2
1.4 Types
....................................................................................................11
de protection
3.7.4.3
Assistant
..................................................................................78
de la grappe - page 3
1.4.1
Protection
..............................................................................11
antivirus
3.7.4.4
Assistant
..................................................................................80
de la grappe - page 4
1.4.2
Protection
..............................................................................12
antipourriel
3.7.5
ESET Shell
..............................................................................83
1.4.3
Règles
..............................................................................12
3.7.5.1
Utilisation
..................................................................................85
1.5 Interface
....................................................................................................13
utilisateur
3.7.5.2
Commandes
..................................................................................89
3.7.5.3
Fichiers
..................................................................................91
séquentiels/script
ESET Mail Security - caractéristiques et rôles du
serveur
..............................................................................16
Exchange
3.7.6
ESET SysInspector
..............................................................................92
3.7.6.1
Créer
..................................................................................92
un instantané de l'état de l'ordinateur
Rôles
..................................................................................17
du serveur Exchange - Edge et Hub
3.7.7
ESET SysRescue
..............................................................................92
Live
1.7 Géré par l'entremise de ESET Remote
....................................................................................................17
Administrator
3.7.8
Planificateur
..............................................................................93
3.7.8.1
Planificateur
..................................................................................94
- Ajouter une tâche
Mode..............................................................................19
de remplacement
3.7.9
Envoyer
..............................................................................95
les échantillons pour analyse
3.7.9.1
Fichier
..................................................................................95
suspect
3.7.9.2
Site
..................................................................................96
suspect
3.7.9.3
Fichier
..................................................................................96
faux positif
3.7.9.4
Site
..................................................................................96
faux positif
3.7.9.5
Autre
..................................................................................96
3.7.10
Quarantaine
..............................................................................97
1.6 Configuration
....................................................................................................15
minimale requise
1.6.1
1.6.1.1
1.7.1
2. Installation
.......................................................23
2.1 Étapes d'installation de ESET Mail
Security
....................................................................................................25
2.1.1
Installation
..............................................................................31
de la ligne de commande
2.1.2
Installation
..............................................................................33
dans un environnement en grappe
2.2 Activation
....................................................................................................34
du produit
2.3 Outil
....................................................................................................35
de suppression d'antivirus ESET
3.8 Aide
....................................................................................................98
et assistance
3.8.1
Comment
..............................................................................99
faire
2.4 Connecteur POP3 et protection
antipourriel
....................................................................................................36
3.8.1.1
Comment effectuer la mise à jour de ESET Mail
Security
..................................................................................99
2.5 Mise à niveau vers une version plus
....................................................................................................36
récente
3.8.1.2
Activation
..................................................................................99
ESET Mail Security
3.8.1.3
Comment ESET Mail Security compte-il les boîtes de
courriel?
..................................................................................100
2.5.1
Mise..............................................................................37
à niveau à l'aide d'ERA
2.5.2
Mise..............................................................................39
à niveau à l'aide de la grappe ESET
3.8.1.4
Comment créer une nouvelle tâche dans Planificateur
..................................................................................100
3. Guide
.......................................................43
pour débutants
3.8.1.5
Comment planifier une tâche d'analyse (toutes les 24
heures)
..................................................................................101
3.1 Surveillance
....................................................................................................43
3.8.1.6
Comment
..................................................................................102
éliminer un virus de votre serveur
3.2 Fichiers
....................................................................................................46
journaux
3.8.2
Soumettre
..............................................................................102
une demande d'assistance
3.2.1
Journal
..............................................................................48
d’analyses
3.8.3
Logiciel
..............................................................................102
de nettoyage spécialisé ESET
3.3 Analyser
....................................................................................................50
3.8.4
À propos
..............................................................................103
de ESET Mail Security
Analyse
..............................................................................52
Hyper-V
3.8.5
Activation
..............................................................................104
du produit
3.4 Quarantaine
....................................................................................................53
de courriel
3.8.5.1
Enregistrement
..................................................................................105
Détails
..............................................................................55
des courriels mis en quarantaine
3.8.5.2
Activation
..................................................................................105
de Security Admin
3.5 Mise
....................................................................................................56
à jour
3.8.5.3
Échec
..................................................................................105
de l'activation
3.5.1
Configuration de la mise à jour de la banque de
données
..............................................................................58
de virus
3.8.5.4
Licence
..................................................................................105
3.8.5.5
Progression
..................................................................................106
de l'activation
3.5.2
Configuration du serveur mandataire pour recevoir
les mises
..............................................................................61
à jour
3.8.5.6
Activation
..................................................................................106
réussie
3.3.1
3.4.1
3.6 Configuration
....................................................................................................62
3.6.1
Serveur
..............................................................................63
3.6.2
Ordinateur
..............................................................................64
3.6.3
Outils..............................................................................66
4. Utilisation
.......................................................107
de ESET Mail Security
4.1 Serveur
....................................................................................................107
4.1.1
Configuration
..............................................................................108
de la priorité de l'agent
4.1.1.1
Modification
..................................................................................109
de la priorité
4.1.2
Configuration
..............................................................................109
de la priorité de l'agent
4.2.6.1
Lanceur d'Analyse personnalisée et d'Analyse Hyper-V
..................................................................................165
4.1.3
Antivirus
..............................................................................109
et anti-logiciel espion
4.2.6.2
Progression
..................................................................................167
de l'analyse
4.1.4
Protection
..............................................................................112
antipourriel
4.2.6.3
Gestionnaire
..................................................................................168
de profils
4.1.4.1
Filtrage
..................................................................................113
et vérification
4.2.6.4
Cibles
..................................................................................169
à analyser
4.1.4.2
Paramètres
..................................................................................114
avancés
4.2.6.5
Suspendre
..................................................................................169
une analyse planifiée
4.1.4.3
Paramètres
..................................................................................118
de mise en liste grise
4.2.7
Analyse
..............................................................................169
à l'état de repos
4.1.4.4
SPF
..................................................................................120
et DKIM
4.2.8
Analyse
..............................................................................170
au démarrage
4.1.5
Règles
..............................................................................122
4.2.8.1
Vérification
..................................................................................170
automatique des fichiers de démarrage
4.1.5.1
Liste
..................................................................................124
des règles
4.2.9
Support
..............................................................................171
amovible
4.1.5.1.1
Assistant
........................................................................126
de configuration des règles
4.2.10
Protection
..............................................................................171
des documents
4.2.11
HIPS..............................................................................171
4.2.11.1
Règles
..................................................................................174
HIPS
........................................................................127
de la règle
4.1.5.1.1.1 Condition
........................................................................130
la règle
4.1.5.1.1.2 Action de
4.1.6
Protection
..............................................................................131
du transport de messagerie
........................................................................175
de règle HIPS
4.2.11.1.1 Paramètres
4.1.6.1
Paramètres
..................................................................................134
avancés
4.2.11.2
Configuration
..................................................................................176
avancée
autoriser le chargement des pilotes
4.2.11.2.1 Toujours........................................................................177
4.1.7
Protection de la base de données de la boîte de
courriel
..............................................................................135
4.1.8
Analyse
..............................................................................136
de base de données à la demande
4.3.1
Retour
..............................................................................180
en arrière des mises à jour
4.1.8.1
Éléments
..................................................................................138
de boîte de courriel supplémentaires
4.3.2
Mode
..............................................................................181
de mise à jour
4.1.8.2
Serveur
..................................................................................138
mandataire
4.3.3
Mandataire
..............................................................................182
HTTP
4.1.8.3
Détails
..................................................................................138
du compte d'analyse de la base de données
4.3.4
Se connecter
..............................................................................183
au réseau local comme
4.1.9
Quarantaine
..............................................................................140
de courriel
4.3.5
Miroir
..............................................................................184
4.1.9.1
Quarantaine
..................................................................................141
locale
4.3.5.1
Mise
..................................................................................186
à jour à partir du miroir
4.1.9.1.1
Stockage
........................................................................141
de fichiers
4.3.5.2
Fichiers
..................................................................................188
miroirs
4.1.9.1.2
Interface
........................................................................142
Web
4.3.5.3
Résolution
..................................................................................188
des problèmes de miroir de mise à jour
4.1.9.2
Courriel de quarantaine et quarantaine de MS
Exchange
..................................................................................147
4.1.9.2.1
Paramètres
........................................................................148
du gestionnaire de quarantaine
4.1.9.2.2
Serveur........................................................................148
mandataire
4.1.9.3
Détails
..................................................................................149
du compte du gestionnaire de la quarantaine
4.2 Ordinateur
....................................................................................................149
4.3 Mise
....................................................................................................177
à jour
4.4 Web
....................................................................................................189
et courriel
4.4.1
Filtrage
..............................................................................189
des protocoles
4.4.1.1
Applications
..................................................................................190
exclues
4.4.1.2
Adresses
..................................................................................190
IP exclues
4.4.1.3
Clients
..................................................................................190
Web et de messagerie
4.4.2
SSL/TLS
..............................................................................191
4.4.2.1
Communication
..................................................................................192
SSL chiffrée
4.4.2.2
Liste
..................................................................................192
des certificats connus
4.4.3
Protection
..............................................................................194
du client de messagerie
4.4.3.1
Protocoles
..................................................................................195
de courriel
4.4.3.2
Alertes
..................................................................................195
et notifications
4.4.3.3
Barre
..................................................................................196
d’outils MS Outlook
4.4.3.4
Barre
..................................................................................196
d'outils Outlook Express et Windows Mail
4.4.3.5
Boîte
..................................................................................196
de dialogue de confirmation
4.4.3.6
Analyser
..................................................................................197
à nouveau les messages
4.4.4
Protection
..............................................................................197
de l'accès Web
4.4.4.1
De
..................................................................................198
base
4.4.4.2
Gestion
..................................................................................198
des adresses URL
4.2.1
Une..............................................................................150
infiltration est détectée
4.2.2
Exclusions
..............................................................................151
de processus
4.2.3
Exclusions
..............................................................................151
automatiques
4.2.4
Cache
..............................................................................152
local partagé
4.2.5
Protection
..............................................................................153
en temps réel du système de fichiers
4.2.5.1
Exclusions
..................................................................................154
4.2.5.1.1
Ajouter........................................................................156
ou modifier des exclusions
4.2.5.1.2
Format........................................................................157
d'exclusion
4.2.5.2
Paramètres
..................................................................................157
ThreatSense
4.2.5.2.1
Extensions
........................................................................160
de fichier exclues de l'analyse
4.2.5.2.2
Autres ThreatSense
........................................................................161
paramètres
4.2.5.2.3
Niveaux........................................................................161
de nettoyage
4.2.5.2.4
Quand faut-il modifier la configuration la protection
en temps
........................................................................162
réel
4.2.5.2.5
Vérification
........................................................................162
de la protection en temps réel
........................................................................200
4.4.4.2.2 Liste d'adresses
4.2.5.2.6
Que faire si la protection en temps réel ne fonctionne
pas
........................................................................162
4.4.5
4.2.5.2.7
Soumission
........................................................................162
4.5.1
Éditeur
..............................................................................203
des règles de contrôle de périphérique
4.2.5.2.8
Statistiques
........................................................................163
4.5.2
Ajout
..............................................................................204
de règles : contrôle de périphériques
4.2.5.2.9
Fichiers........................................................................163
suspects
4.5.3
Périphériques
..............................................................................206
détectés
4.2.6
Analyse de l'ordinateur à la demande et Analyse
Hyper-V
..............................................................................164
4.5.4
Groupes
..............................................................................206
de périphériques
........................................................................198
liste
4.4.4.2.1 Créer une
Protection
..............................................................................201
antihameçonnage
4.5 Contrôle
....................................................................................................203
de périphériques
4.6 Outils
....................................................................................................207
Contenu
4.6.1
ESET..............................................................................207
LiveGrid
4.11.2
Restaurer
..............................................................................242
depuis la quarantaine
4.6.1.1
Filtre
..................................................................................209
d'exclusion
4.11.3
Soumission
..............................................................................242
de fichiers de quarantaine
4.6.2
Microsoft
..............................................................................210
Windows Update
4.6.3
ESET..............................................................................210
CMD
4.6.4
Fournisseur
..............................................................................212
WMI
5. Glossaire
.......................................................243
4.6.4.1
Données
..................................................................................212
fournies
5.1 Types
....................................................................................................243
d'infiltrations
4.6.4.2
Accès
..................................................................................216
aux données fournies
5.1.1
Virus
..............................................................................243
4.6.5
Cibles
..............................................................................217
d'analyse ERA
5.1.2
Vers..............................................................................244
4.6.6
Fichiers
..............................................................................218
journaux
5.1.3
Chevaux
..............................................................................244
de Troie
4.6.6.1
Filtrage
..................................................................................220
des journaux
5.1.4
Rootkits
..............................................................................245
4.6.6.2
Trouver
..................................................................................220
dans le journal
5.1.5
Logiciels
..............................................................................245
publicitaires
4.6.7
Serveur
..............................................................................221
mandataire
5.1.6
Zombienet
..............................................................................245
4.6.8
Notifications
..............................................................................223
par courriel
5.1.7
Rançongiciel
..............................................................................245
4.6.8.1
Format
..................................................................................224
des messages
5.1.8
Logiciel
..............................................................................245
espion
4.6.9
Mode
..............................................................................224
Présentation
5.1.9
Compresseurs
..............................................................................246
4.6.10
Diagnostics
..............................................................................225
5.1.10
Exploit
..............................................................................246
Blocker
4.6.11
Service
..............................................................................225
à la clientèle
5.1.11
Analyseur
..............................................................................246
de mémoire avancé
4.6.12
Grappe
..............................................................................226
5.1.12
Applications
..............................................................................246
potentiellement dangereuses
4.7 Interface
....................................................................................................227
utilisateur
5.1.13
Applications
..............................................................................247
potentiellement indésirables
4.12 Mises
....................................................................................................242
à jour du système d'exploitation
4.7.1
Alertes
..............................................................................229
et notifications
4.7.2
Configuration
..............................................................................230
de l'accès
5.2.1
Publicités
..............................................................................248
4.7.2.1
Mot
..................................................................................231
de passe
5.2.2
Canulars
..............................................................................248
4.7.2.2
Configuration
..................................................................................231
du mot de passe
5.2.3
Hameçonnage
..............................................................................248
4.7.3
Aide..............................................................................231
5.2.4
Reconnaissance
..............................................................................249
des pourriels
4.7.4
ESET..............................................................................231
Shell
5.2.4.1
Règles
..................................................................................249
4.7.5
Désactiver l'interface graphique sur le serveur de
terminal
..............................................................................232
5.2.4.2
Liste
..................................................................................249
blanche
Liste
..................................................................................250
noire
Désactiver
..............................................................................232
les messages et les états
5.2.4.3
4.7.6
Contrôle
..................................................................................250
côté serveur
Messages
..................................................................................232
de confirmation
5.2.4.4
4.7.6.1
4.7.6.2
Paramètres
..................................................................................233
des états de l'application
4.7.7
Icône
..............................................................................234
de la barre d'état système
4.7.7.1
Suspendre
..................................................................................235
la protection
4.7.8
Menu
..............................................................................235
contextuel
4.8 Rétablir tous les paramètres dans cette
....................................................................................................236
section
4.9 Rétablir
....................................................................................................236
les paramètres par défaut
4.10 Planificateur
....................................................................................................237
4.10.1
Détails
..............................................................................237
de la tâche
4.10.2
Calendrier
..............................................................................238
de la tâche - Une fois
4.10.3
Calendrier
..............................................................................238
de la tâche
4.10.4
Calendrier
..............................................................................238
de la tâche - Une fois par jour
4.10.5
Calendrier
..............................................................................238
de la tâche - Hebdomadaire
4.10.6
Calendrier de la tâche - Déclenchée par un
événement
..............................................................................238
4.10.7
Détails
..............................................................................239
de la tâche - Exécuter une application
4.10.8
Envoyer
..............................................................................239
les rapports de quarantaine de courriel
4.10.9
Tâche
..............................................................................239
ignorée
4.10.10
Aperçu
..............................................................................240
des tâches planifiées
4.10.11
Tâche
..............................................................................240
du planificateur - Analyse en arrière-plan
4.10.12
Profils
..............................................................................241
de mise à jour
4.11 Quarantaine
....................................................................................................241
4.11.1
Mise
..............................................................................241
de fichiers en quarantaine
5.2 Courriel
....................................................................................................247
1. Introduction
ESET Mail Security 6 pour Microsoft Exchange Server est une solution intégrée qui protège les boîtes de courriel
contre différents types de contenu malveillant, y compris les pièces jointes infectées par des vers ou des chevaux
de Troie, les documents contenant des scripts nuisibles, le hameçonnage et le pourriel. ESET Mail Security procure
trois types de protection : Antivirus, antipourriel et règles définies par l'utilisateur. ESET Mail Security filtre le
contenu malveillant au niveau du serveur de courriel, avant qu'il n'entre dans la boîte de réception du client de
messagerie.
ESET Mail Security prend en charge les versions 2003 et ultérieures de Microsoft Exchange Server, ainsi qu'un
serveur Microsoft Exchange dans un environnement avec grappes. Les rôles particuliers (boîte de messagerie, Hub,
Edge) sont également pris en charge dans les versions plus récentes du logiciel (Microsoft Exchange Server 2003 et
versions ultérieures). Vous pouvez gérer ESET Mail Security à distance dans des réseaux plus larges grâce à ESET
Remote Administrator.
En plus d'offrir une protection à Microsoft Exchange Server, ESET Mail Security inclut également tous les outils pour
assurer la protection du serveur lui-même (protection résidente, protection de l'accès Web, protection du client de
courriel et protection antipourriel).
1.1 Nouveautés
· Gestionnaire de la quarantaine à courriel - L'administrateur peut inspecter des objets dans cette section de
stockage et décider de les supprimer ou de les libérer. Cette fonctionnalité permet une gestion facile des
courriels mis en quarantaine par l'agent de transport.
· Interface Web de la quarantaine de courriels - Une alternative Web au gestionnaire de la quarantaine de
courriels.
· Antipourriel - Ce composant essentiel a fait l'objet d'une refonte importante et utilise maintenant un tout
nouveau moteur primé offrant une meilleure performance. Validation des messages à l'aide de SPF, DKIM et
DMARC.
· Analyse à la demande de la base de données - L'analyseur à la demande utilise l'API EWS (Exchange Web
Services) pour se connecter à Microsoft Exchange Server par l'entremise du protocole HTTP/HTTPS. Aussi,
l'analyseur exécute une analyse parallèle afin d'améliorer la performance.
· Règles - L'élément de menu Règles permet aux administrateurs de définir manuellement les conditions de
filtrage des courriels et les actions à entreprendre avec les messages filtrés. Les règles dans la dernière version de
ESET Mail Security ont été repensées pour offrir une plus grande polyvalence, ouvrant tout un champ de
possibilités à l'utilisateur.
· Grappe ESET - De façon similaire à ESET File Security 6 pour Microsoft Windows Server, le fait de relier les postes
de travail aux nœuds offrira une automatisation de la gestion supplémentaire grâce à la capacité de distribuer une
politique de configuration parmi tous les membres de la grappe. La création des grappes mêmes est possible à
l'aide du nœud installé, qui peut ensuite installer et initier tous les nœuds à distance. Les produits du serveur
ESET peuvent communiquer les uns avec les autres et échanger des données, de configuration et de notification
notamment; ils peuvent également synchroniser les bases de données de mise en liste grise ainsi que les
données nécessaires au bon fonctionnement d'un groupe d'instances de produit. Cela permet d'appliquer la
même configuration du produit à tous les membres d'une grappe. Les Grappes de basculement Windows et les
Grappes d'équilibrage de la charge réseau (ÉCR) sont pris en charge par ESET Mail Security. De plus, vous pouvez
ajouter des membres Grappe ESET manuellement sans avoir besoin d'une Grappe Windows en particulier. Les
Grappes ESET fonctionnent à la fois dans les environnements de domaine et de groupe de travail.
· Analyse de la mémoire - Analyse tous les fichiers partagés sur un serveur local. Cela facilite l'analyse exclusive
des données utilisateur qui sont stockées sur le serveur de fichiers.
· Installation basée sur le composant - Sélectionnez les composants que vous voulez ajouter ou supprimer.
6
· Exclusions de processus - Exclut des processus spécifiques de l'analyse à l'accès de l'antivirus. En raison du rôle
essentiel des serveurs dédiés (serveur de l'application, serveur de stockage, etc.), les sauvegardes régulières sont
obligatoires pour assurer la récupération en temps opportun des incidents fatals, quels qu'ils soient. Afin
d'améliorer la vitesse de sauvegarde, l'intégrité du processus et la disponibilité du service, certaines techniques
reconnues pour entrer en conflit avec la protection antivirus au niveau des fichiers sont utilisées pendant la
sauvegarde. Des problèmes similaires peuvent survenir lors des tentatives de migration des machines virtuelles
en direct. Le seul moyen efficace pour éviter de tomber dans ces deux situations est de désactiver logiciel
antivirus. L'exclusion de processus spécifiques (par exemple les processus relatifs à la solution de sauvegarde)
ignore et juge comme fiables toutes les opérations fichier attribuées à de tels processus exclus, ce qui réduit
l'interférence du processus de sauvegarde. Nous vous recommandons de faire preuve de prudence lors de la
création d'exclusions - un outil de sauvegarde qui a été exclu peut accéder aux fichiers infectés sans déclencher
une alerte. Pour cette raison, les permissions élargies ne sont autorisés que dans le module de protection en
temps réel.
· eShell (ESET Shell) - eShell 2.0 est maintenant offert dans ESET Mail Security. eShell est une interface de ligne de
commande qui offre aux utilisateurs avancés et aux administrateurs des options plus complètes pour gérer les
produits ESET.
· Analyse Hyper-V - Une nouvelle technologie qui permet de faire l'analyse de disques d'une machine virtuelle
(MV) sur un serveur Microsoft Hyper-V sans avoir besoin d'installer des « agents » sur la MV en question.
· Une meilleure intégration avec ESET Remote Administrator incluant la possibilité de planifier l'Analyse à la
demande.
1.2 Pages d'aide
L'objectif de ce guide est de vous aider à profiter pleinement de ESET Mail Security. Pour en savoir plus sur une des
fenêtres du programme, appuyez sur la touche F1 de votre clavier pendant que la fenêtre en question est ouverte.
La page d'aide relative à la fenêtre actuellement affichée s'ouvrira.
Par souci de cohérence et afin d'éviter toute confusion, la terminologie utilisée dans ce guide est basée sur les
noms de paramètres de ESET Mail Security. Nous avons également utilisé un ensemble uniforme de symboles afin
de mettre en évidence des sujets ayant une importance ou un intérêt particuliers.
REMARQUE
Une remarque est une courte observation. Bien qu'il soit possible de les ignorer, les remarques offrent de
précieux renseignements comme des caractéristiques spécifiques ou un lien vers un sujet apparenté.
IMPORTANT
Ce titre indique des renseignements qui réclament votre attention; il n'est pas recommandé de les ignorer. Les
remarques importantes contiennent des informations importantes, mais non critiques.
AVERTISSEMENT
Ce titre indique des renseignements essentiels que vous devez traiter avec une attention accrue. Les
avertissements sont placés spécialement pour vous dissuader de commettre des erreurs potentiellement
dangereuses. Veuillez lire et comprendre tout texte placé entre les crochets d'avertissement, car il fait référence
à des paramètres système très sensibles ou quelque chose de risqué.
EXEMPLE
Il s'agit d'un cas d'utilisation ou d'un exemple pratique qui vise à vous aider à comprendre comment une certaine
fonction ou fonctionnalité peut être utilisée.
7
Convention
Signification
Texte en gras
Noms d'éléments d'interface comme les boîtes ou les boutons d'options.
Texte en italique
Espaces réservés pour les renseignements que vous fournissez. Par exemple, nom de fichier ou
chemin indique que vous devrez saisir les renseignements exacts de chemin ou de nom du
fichier.
Texte en Courier
New
Exemples de code ou de commandes.
Lien hypertexte
Fournit un accès rapide et facile aux références croisées ou aux emplacements Web externes.
Les hyperliens sont mis en évidence à l'aide de la couleur bleue et peuvent être soulignés.
%ProgramFiles%
Le répertoire système de Windows dans lequel est stocké les programmes de Windows et
d'autres programmes installés sur le système.
· Ce guide est divisé en plusieurs chapitres et sous-chapitres, par sujet. Vous trouverez les renseignements
pertinents en parcourant la Table des matières des pages d'aide. De manière alternative, vous pouvez utiliser
l'Index pour parcourir le guide par mot-clés ou par phrases grâce à la fonction Recherche.
ESET Mail Security vous permet de rechercher l'aide par sujet en utilisant un mot-clé ou des phrases et de les
repérer dans le Guide d'utilisation. La différence entre ces deux méthodes est qu'un mot clé peut être associé à des
pages d'aide qui ne contiennent pas le mot clé précis dans le texte. La recherche de mots et de phrases fouillera le
contenu de toutes les pages et n'affichera que les pages contenant effectivement le mot ou la phrase en question.
· Vous pouvez publier votre évaluation ou faire un commentaire sur un sujet d'aide en particulier; cliquez sur le
lien Ces renseignements vous ont-ils été utiles? ou sur Évaluez cet article : Utile/Pas utile dans le cas de la Base
de connaissance ESET en bas de la page d'aide.
1.3 Méthodes utilisées
Les trois méthodes suivantes sont utilisées pour l'analyse des courriels :
· Protection de la base de données de la boîte de messagerie : anciennement connue sous l'appellation Analyse de
la boîte de messagerie par l'entremise de VSAPI. Ce type de protection est seulement offert avec Microsoft
Exchange Server 2010, 2007 et 2003 fonctionnant dans le Serveur de la boîte de messagerie (Microsoft Exchange
2010 et 2007) ou dans le rôle du Serveur dorsal (Microsoft Exchange 2003). Ce type d'analyse peut être exécuté en
une seule installation du serveur avec plusieurs rôles Exchange Server sur un seul ordinateur (tant qu'elle inclut le
rôle Boîte de messagerie ou le rôle Serveur dorsal).
REMARQUE
La protection de la base de données de la boîte de courriels n'est pas disponible avec Microsoft Exchange Server
2013 et 2016.
· Protection du transport du courriel : anciennement connue sous l'appellation Filtrage des messages au niveau du
serveur SMTP. Cette protection est fournie par l'agent de transport et est offerte seulement avec Microsoft
8
Exchange Server 2003 ou des versions ultérieures fonctionnant dans le rôle Edge Transport Server ou Hub
Transport Server. Ce type d'analyse peut être exécuté en une seule installation du serveur avec plusieurs rôles
Exchange Server sur un seul ordinateur (tant qu'elle inclut l'un des rôles de serveur mentionnés).
· Analyse de la base de données à la demande : Pour exécuter ou planifier une analyse de la base de données de la
boîte de courriels Exchange. Cette fonctionnalité est seulement offerte avec Microsoft Exchange Server 2007 ou
versions ultérieures fonctionnant dans le rôle Serveur de la boîte de messagerie ou Hub Transport. Cela
s'applique aussi lors de l'installation d'un seul serveur avec plusieurs rôles Exchange Server sur un seul ordinateur
(tant qu'elle inclut l'un des rôles de serveur mentionnés).
REMARQUE
Pour une vue complète, consultez la matrice des fonctionnalités de ESET Mail Security et des versions de
Microsoft Exchange Server ainsi que leurs rôles.
1.3.1 Protection de la base de données de la boîte de courriel
Le processus d'analyse des boîtes aux lettres est déclenché et contrôlé par le serveur Microsoft Exchange. Les
messages conservés dans la base de données du magasin Microsoft Exchange Server sont continuellement analysés.
Le processus d'analyse peut être déclenché par l'une des situations suivantes, en fonction de la version de Microsoft
Exchange Server et de l'interface VSAPI utilisées et des paramètres définis par l'utilisateur :
· Lorsque l'utilisateur accède à son courriel, par exemple, dans un client de messagerie (le courriel est toujours
analysé en fonction de la base de données des signatures de virus la plus récente).
· En arrière-plan, lorsque le taux d'utilisation de Microsoft Exchange Server est bas.
· De façon proactive (en fonction de l'algorithme interne de Microsoft Exchange Server).
L'interface VSAPI est actuellement utilisée pour l'analyse antivirus et la protection basée sur les règles.
1.3.2 Protection du transport de messagerie
Le filtrage STMP de niveau serveur est effectué par un plugiciel spécialisé. Dans Microsoft Exchange Server 2003, le
module d'extension en question (Event Sink) est enregistré sur le serveur SMTP comme composant des services
Internet (IIS). Dans Microsoft Exchange Server 2007, 2010, 2013 et 2016, le module d'extension est plutôt enregistré
comme un agent de transport selon les rôles Edge ou Hub de Microsoft Exchange Server.
Le filtrage SMTP au niveau du serveur effectué par un agent de transport offre une protection antivirus, antipourriel
et en fonction des règles définies par l'utilisateur. Contrairement au filtrage VSAPI, le filtrage au niveau du serveur
SMTP est effectué avant que le courriel analysé ne soit reçu dans la boîte de messagerie Microsoft Exchange Server.
1.3.3 Analyse de base de données à la demande
L'exécution d'une analyse complète de la base de données de courriels dans de grands environnements peut
entraîner des charges système indésirables. Pour éviter ce problème, exécutez une analyse sur des bases de
données ou des boîtes de courriel spécifiques. Réduisez encore l'impact du système serveur en filtrant les cibles
d'analyse à l'aide d'horodatages de message.
IMPORTANT
Des règles pour l'analyse de base de données à la demande mal définies peuvent entraîner des modifications
irréversibles dans les bases de données de boîtes courriels. Assurez-vous toujours d'avoir la sauvegarde la plus
récente de vos bases de données de boîtes aux lettres avant d'exécuter l'analyse de base de données à la
demande avec des règles en place pour la première fois. En outre, nous vous recommandons fortement de
vérifier que les règles fonctionnent conformément aux attentes. Pour vérification, définissez des règles avec
l'action Journaliser aux événements uniquement, car toute autre action peut apporter des modifications à vos
bases de données de boîtes aux lettres. Une fois vérifiée, vous pouvez ajouter des actions de règle destructives
telles que Supprimer la pièce jointe.
Les types d'éléments suivants sont analysés à fois dans les dossiers Publics et dans les Boîtes de courriel de
l'utilisateur :
· Courriel
9
·
·
·
·
·
Publier
Élément du calendrier (réunions/rendez-vous)
Tâches
Contacts
Journal
1. À l'aide de la liste déroulante, sélectionnez les messages que vous voulez analyser selon leur estampille horaire.
Par exemple, analyser les messages modifiés au cours de la dernière semaine. Vous pouvez aussi choisir
d'analyser tous les messages au besoin.
2. Cochez la case à cocher située à côté de l'option Analyser les corps des messages pour activer ou désactiver
l'analyse du corps des messages.
3. Cliquez sur Modifier pour sélectionner le dossier public à analyser.
10
4. Cochez la ou les cases à côté des Bases de données du serveur et des Boîtes de courriel que vous voulez analyser.
REMARQUE
L'option Filtre vous permet de rechercher rapidement des Bases de données et des Boîtes de courriel, surtout
votre infrastructure Exchange contient un grand nombre de boîtes de courriel.
5. Cliquez sur Enregistrer pour enregistrer vos cibles d'analyse et vos paramètres dans le profil Analyse à la
demande.
6. Vous pouvez maintenant cliquer sur Analyser. Dans le cas où vous n'avez pas précédemment spécifié les détails
du compte d'analyse de la base de données, une fenêtre s'ouvrira demandant des informations d'identification.
Sinon l'option Analyse de la base de données à la demande ne démarrera pas.
1.4 Types de protection
Il existe trois types de protection :
· Protection antivirus
· Protection antipourriel
· Règles
1.4.1 Protection antivirus
La protection antivirus est l'une des fonctions de base de ESET Mail Security . La protection antivirus protège le
système des attaques malveillantes en contrôlant les échanges de fichiers et de courrier, ainsi que les
communications Internet. Si une menace impliquant un programme malveillant est détectée, le module Antivirus
peut alors l'éliminer en la bloquant, puis en nettoyant, en supprimant ou en mettant en Quarantaine l'objet infecté.
11
1.4.2 Protection antipourriel
La protection antipourriel intègre plusieurs technologies (RBL, DNSBL, pistage par empreinte numérique unique,
vérification de la réputation, analyse du contenu, règles, ajout manuel à la liste blanche et à la liste noire, etc.) pour
détecter le plus grand nombre possible de menaces par courriel.
ESET Mail Security Antipourriel est basé sur le nuage et la plupart des bases de données infonuagiques sont situées
dans les centres de données d'ESET. Les services antipouriels sur le nuage permettent la mise à jour rapide des
données, ce qui accélère le temps de réaction en cas d'apparition de nouveaux pourriels. Il permet également de
supprimer des données incorrectes ou fausses des listes noires d'ESET. La communication avec le service
antipourriel infonuagique s'effectue à l'aide d'un protocole propriétaire sur le port 53535, dans la mesure du
possible. S'il n'est pas possible de communiquer à l'aide du protocole d'ESET, les services DNS sont utilisés à la place
(port 53). Cependant, l'utilisation du DNS n'est pas aussi efficace, car elle nécessite l'envoi de plusieurs demandes
lors du processus de classification en pourriel d'un seul courriel.
REMARQUE
Nous vous recommandons d'ouvrir le port TCP/UDP 53535 pour les adresses IP répertoriées dans cet article de la
base de connaissances. Ce port est utilisé par ESET Mail Security pour envoyer des requêtes.
Normalement, aucun courriel ni aucune de leurs parties ne sont envoyés pendant le processus de classification en
pourriel. Cependant, si ESET LiveGrid est activé et que vous avez explicitement autorisé la soumission d'échantillons
pour analyse, seul un message marqué comme pourriel (ou très probablement un pourriel) peut être envoyé afin
de faciliter l'analyse approfondie et l'amélioration de la base de données du nuage.
Si vous souhaitez signaler un faux positif ou un faux négatif dans la classification d'un pourriel, consultez notre
article de la base de connaissances pour plus de détails.
De plus, ESET Mail Security peut aussi utiliser la méthode de la liste grise (désactivée par défaut) pour le filtrage de
pourriels.
1.4.3 Règles
La disponibilité des règles pour la protection de la base de données de boîte de courriels, l'analyse de la base de
données à la demande et la protection du transport du courriel dans votre système dépend de la version de
Microsoft Exchange Server installée sur le serveur avec ESET Mail Security.
Les règles vous permettent de définir manuellement les conditions de filtrage des courriels et les actions à
entreprendre pour les courriels filtrés. Il existe différents ensembles de conditions et d'actions. Vous pouvez créer
des règles individuelles pouvant aussi être combinées. Si une règle utilise plusieurs conditions, ces conditions
seront liées à l'aide de l'opérateur logique ET. Par conséquent, la règle ne sera exécutée que si toutes les conditions
sont remplies. Si plusieurs règles sont crées, l'opérateur logique OU sera appliqué, ce qui signifie que le programme
exécutera la première règle auxquelles satisfont les conditions.
Dans la séquence d'analyse, la première technique utilisée est l'ajout à la liste grise - si elle est activée. Les
procédures suivantes exécuteront toujours les techniques suivantes : protection basée sur des règles définies par
l'utilisateur, suivie d'une analyse antivirus et, en dernier lieu, de l'analyse antipourriel.
12
1.5 Interface utilisateur
ESET Mail Security dispose d'une interface utilisateur graphique intuitive (IUG) qui permet aux utilisateurs d'accéder
facilement aux fonctions principales du programme. La fenêtre principale du programme ESET Mail Security est
divisée en deux sections principales. La fenêtre principale, du côté droit, affiche l'information qui correspond à
l'option sélectionnée à partir du menu principal de gauche.
Voici une description des différentes sections su menu principal :
· Surveillance - Donne des renseignements sur l'état de protection de ESET Mail Security, l'état de la licence, la
mise à jour de la base de données des signatures de virus, les statistiques et les renseignements de base à propos
du système.
· Fichiers journaux - Accède aux fichiers journaux qui contiennent des renseignements sur tous les événements
importants qui sont survenus. Ces fichiers donnent un aperçu des menaces détectées ainsi que des autres
événements liés à la sécurité.
· Analyse - Permet de configurer et de lancer les fonctions suivantes : Analyse de la mémoire, Analyse intelligente,
Analyse personnalisée ou Analyse des supports amovibles. Vous pouvez aussi répéter la dernière analyse
effectuée.
· Quarantaine de courriel - Pour gérer facilement les courriels mis en quarantaine. Ce gestionnaire Quarantaine de
courriel est commun aux types Quarantaine locale, Boîte de courriels de mise en quarantaine et Quarantaine MS
Exchange.
· Mise à jour - Affiche des renseignements à propos de la base de données des signatures de virus et vous informe
des mises à jour disponibles. L'activation du produit peut aussi s'effectuer à partir de cette section.
· Configuration - Permet de régler les paramètres de sécurité du serveur et de l'ordinateur.
13
· Outils - Offre des renseignements supplémentaires sur la protection de votre système. Outils supplémentaires
pour vous aider à gérer votre sécurité. Voici les éléments présentés dans la section Outils : Processus en cours,
Surveiller l'activité, Statistiques de protection, Grappe, ESET Shell, ESET SysInspector, ESET SysRescue Live pour
créer un CD ou une clé USB de secours et Planificateur. Vous pouvez aussi Soumettre un échantillon pour fins
d'analyse et vérifier votre Quarantaine.
· Aide et soutien - Offre un lien vers les pages d'aide, la Base de connaissances ESET et d'autres outils de soutien.
Des liens pour ouvrir une demande de soutien pour le Service à la clientèle et des renseignements sur l'activation
du produit sont également offerts.
En plus de l'IUG principale, la Fenêtre de configuration avancée est accessible de n'importe où dans le programme
en appuyant sur la touche F5.
À partir de la fenêtre Configuration avancée, vous pouvez configurer les paramètres et les options selon vos
besoins. Voici les catégories présentées dans le menu de gauche :
· Serveur - Permet de configurer Antivirus et anti-logiciel espion, Protection de base de données de courriel, les
règles, etc.
· Ordinateur - Permet d'activer ou de désactiver la détection d'applications potentiellement indésirables,
dangereuses et suspectes, de préciser les exclusions, la protection du système de fichiers en temps réel, l'analyse
à la demande de l'ordinateur et l'analyse Hyper-V, etc.
· Mises à jour - Permet de configurer une liste de profils, de créer des instantanés du fichier de mise à jour, de
mettre à jour les renseignements sur la source comme les serveurs de mise à jour utilisés et les données
d'authentification pour ces serveurs.
· Web et courriel - Permet de configurer la protection du client de messagerie, le filtrage de protocole, la
protection de l'accès Web, etc.
· Contrôle de périphérique - Permet de configurer les règles et les groupes de contrôle de périphérique.
14
· Outils - Permet de personnaliser les outils, tels que ESET LiveGrid, les fichiers journaux, le serveur mandataire, la
grappe, etc.
· Interface utilisateur - Permet de configurer le comportement de l'interface utilisateur graphique (IUG) du
programme, les états, les renseignements sur la licence, etc.
Lorsque vous cliquez sur un élément (catégorie ou sous-catégorie) dans le menu de gauche, les paramètres
respectifs pour cet élément sont affichés dans la fenêtre de droite.
1.6 Configuration minimale requise
Systèmes d'exploitation pris en charge :
·
·
·
·
·
·
·
Microsoft Windows Server 2016
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2008 (x86 et x64)
Microsoft Windows Server 2003 R2 SP2 (x86 et x64)
Microsoft Windows Server 2003 SP2 (x86 et x64)
REMARQUE
La version minimale du SE pris en charge est Microsoft Windows Server 2003 SP2.
·
·
·
·
Microsoft Windows Small Business Server 2011 (x64)
Microsoft Windows Small Business Server 2008 (x64)
Microsoft Windows Small Business Server 2003 R2 (x86)
Microsoft Windows Small Business Server 2003 (x86)
Versions de Microsoft Exchange Server prises en charge :
· Microsoft Exchange Server 2016 CU1, CU2, CU3, CU4, CU5, CU6, CU7, CU8, CU9
· Microsoft Exchange Server 2013 CU2, CU3, CU5, CU6, CU7, CU8, CU9, CU10, CU11, CU12, CU13, CU14, CU15, CU16,
CU17, CU18, CU19, CU20
· Microsoft Exchange Server 2010 SP1, SP2, SP3
· Microsoft Exchange Server 2007 SP1, SP2, SP3
· Microsoft Exchange Server 2003 SP1, SP2
REMARQUE
SP1 encore appelé CU4 sur Microsoft Exchange Server 2013 n'est pas pris en charge par ESET Mail Security.
Configuration matérielle minimale requise :
Composant
Configuration requise
Processeur
Intel ou AMD un cœur x86 ou x64
Mémoire
256 Mo de mémoire libre
Disque dur
700 Mo d'espace disque libre
Résolution d'écran
800 x 600 pixels ou plus
ESET Mail Security possède la même configuration requise recommandée applicable à Microsoft Exchange Server.
Consultez les articles techniques Microsoft suivants pour plus de détails :
Microsoft Exchange Server 2003
Microsoft Exchange Server 2007
15
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
REMARQUE
Nous vous recommandons fortement d'installer le dernier ensemble de modifications provisoires pour votre
système d'exploitation Microsoft Server et l'application du serveur avant d'installer le produit de sécurité ESET.
Nous recommandons également d'installer les dernières mises à jour et les correctifs Windows chaque fois que
possible.
1.6.1 ESET Mail Security - caractéristiques et rôles du serveur Exchange
Le tableau suivant vous permet de reconnaitre les caractéristiques disponibles ainsi que leurs rôles pour chaque
version prise en charge de Microsoft Exchange Server. L'assistant d'installation de ESET Mail Security vérifie votre
environnement lors de l'installation et une fois installé, ESET Mail Security affiche ses caractéristiques en fonction
de la version détectée de votre serveur Exchange et de ses rôles.
Fonctionnalité
Rôles et version du serveur Exchange
Exchange Server 2003(plusieurs rôles)
Exchange Server 2003(Frontal)
Exchange Server 2003(Dorsal)
Exchange Server 2007(plusieurs rôles)
Microsoft Exchange Server
2007(Edge)
Microsoft Exchange Server 2007
(Hub)
Microsoft Exchange Server 2007
(Boîte de courriel)
Microsoft Exchange Server 2010
(plusieurs rôles)
Microsoft Exchange Server
2010(Edge)
Microsoft Exchange Server 2010
(Hub)
Microsoft Exchange Server 2010
(Boîte de courriel)
Microsoft Exchange Server 2013
(plusieurs rôles)
Microsoft Exchange Server
2013(Edge)
Microsoft Exchange Server 2013
(Boîte de courriel)
16
Protection
antipourriel
Règles
Protection
Analyse de
Protection du
de la base Quarantai
base de
transport de
de
ne de
données à la
messagerie
données courriel
demande
de courriel
Fonctionnalité
Rôles et version du serveur Exchange
Protection
antipourriel
Règles
Protection
Analyse de
Protection du
de la base Quarantai
base de
transport de
de
ne de
données à la
messagerie
données courriel
demande
de courriel
Microsoft Exchange Server 2016
(Edge)
Microsoft Exchange Server 2016
(Boîte de courriel)
Windows Small Business Server 2003
Windows Small Business Server 2008
Windows Small Business Server 2011
1.6.1.1 Rôles du serveur Exchange - Edge et Hub
Les fonctionnalités antipourriel d'Edge Transport et de Hub Transport Servers sont désactivées par défaut. Ceci est la
configuration désirée dans une organisation Exchange avec un serveur Edge Transport. Il est recommandé que le
serveur de Transport Edge exécutant la protection antipourriel de ESET Mail Security soit configuré afin de filtrer les
messages avant qu'ils ne soient acheminés vers l'organisation Exchange.
Le rôle Edge, cependant, est l'endroit de choix pour l'analyse antipourriel, parce qu'il permet à ESET Mail Security de
rejeter le pourriel tôt dans le processus sans charger inutilement les couches du réseau. Grâce à cette configuration,
les messages entrants seront filtrés par ESET Mail Security sur le serveur Transport Edge pour qu'ainsi, ils puissent
être déplacés vers le serveur Transport Hub sans devoir être filtrés de nouveau.
Cependant, si votre organisation n'utilise pas de serveur Edge Transport et ne possède qu'un serveur Hub Transport,
nous vous recommandons d'activer les fonctionnalités antipourriel du serveur Hub Transport qui reçoit les
messages entrants d'Internet par l'entremise du protocole SMTP.
1.7 Géré par l'entremise de ESET Remote Administrator
ESET Remote Administrator (ERA) est une application qui permet de gérer des produits ESET dans un environnement
en réseau à partir d'un emplacement central. Le système de gestion de tâches d'ESET Remote Administrator vous
permet d'installer les solutions de sécurité d'ESET sur des ordinateurs distants et de répondre rapidement à de
nouveaux problèmes et de nouvelles menaces. ESET Remote Administrator n'offre aucune protection contre du
code malveillant, mais plutôt se repose sur la présence des solutions de sécurité ESET sur chaque client.
Les solutions de sécurité ESET prennent en charge les réseaux constitués de plusieurs types de plateforme. Votre
réseau peut être constitué d'une combinaison de systèmes d'exploitation actuels de Microsoft, de systèmes
d'exploitation basés sur Linux, de systèmes d'exploitation mobiles et de Mac OS.
· ESET Remote Administrator Server - LE Serveur ERA peut être installé sur des serveurs Windows ou Linux; il est
également offert sous forme de machine virtuelle. Il gère la communication avec les agents, puis recueille et
stocke des données d'application.
· La Console Web ERA est une interface utilisateur Web qui affiche les données tirées du Serveur ERA et permet de
gérer les solutions de sécurité ESET dans votre environnement. Vous pouvez utiliser votre navigateur pour
accéder à la console Web. Elle affiche un aperçu de l'état des clients sur votre réseau. Elle peut être utilisée pour
déployer à distance des solutions ESET sur des ordinateurs non gérés. Si vous choisissez de rendre le serveur Web
accessible à partir d'Internet, vous pouvez utiliser ESET Remote Administrator depuis pratiquement n'importe
quel périphérique connecté à Internet.
17
· Agent ERA - L'agent ESET Remote Administrator facilite la communication entre le serveur ERA et les ordinateurs
clients. Vous devez installer l'Agent sur l'un des ordinateur client pour établir la communication entre cet
ordinateur et le serveur ERA. Parce qu'il se trouve sur l'ordinateur client et peut enregistrer plusieurs scénarios de
sécurité, l'utilisation de l'Agent ERA réduit de manière significative le temps réaction aux nouvelles menaces.
Grâce à la console Web ERA, vous pouvez déployer l'agent ERA vers des ordinateurs non gérés qui ont été
reconnus grâce à votre Active Directory ou à ESET Rogue Detection Sensor.
REMARQUE
Pour plus de détails sur ERA, consultez l'Aide en ligne d'ESET Remote Administrator. L'aide en ligne est divisée en
trois parties : Installation/Mise à niveau, Administration et Déploiement AV. Vous pouvez utiliser les onglets de
navigation de l'en-tête des pages pour passer d'une partie à une autre.
18
1.7.1 Mode de remplacement
Si une politique ESET Remote Administrator s'applique à ESET Mail Security, une icône de verrouillage
sera
affichée plutôt que le commutateur Activer/désactiver sur la page Configuration et une icône de verrouillage sera
affichée à côté du commutateur dans la fenêtre Configuration avancée.
Les paramètres qui sont configurés par l'intermédiaire de la politique ESET Remote Administrator ne peuvent
normalement pas être modifiés. Le mode prioritaire vous permet de déverrouiller temporairement ces paramètres.
Vous devez toutefois activer le mode prioritaire à l'aide de la politique ESET Remote Administrator.
Connectez-vous à la console Web ERA, accédez à Admin > Politiques, sélectionnez et modifiez la politique existante
qui s'applique à ESET Mail Security ou créez-en une nouvelle. Dans Paramètres, cliquez sur Mode prioritaire,
activez-le et configurez le reste de ses paramètres, incluant le type d'authentification (Utilisateur d'Active Directory
ou Mot de passe).
19
Une fois la politique modifiée, ou qu'une nouvelle politique est appliquée à ESET Mail Security, le bouton
Contourner la politique sera affiché dans la fenêtre Configuration avancée.
20
Cliquez sur le bouton Contourner la politique, réglez la durée et cliquez sur Appliquer.
21
Si vous sélectionnez Mot de passe comme type d'authentification, saisissez le mot de passe de contournement de
la politique.
Une fois que le mode prioritaire aura expiré, toutes modifications que vous aurez apportées à la configuration
retourneront aux paramètres de la politique ESET Remote Administrator d'origine. Une notification sera affichée
avant que le mode prioritaire n'expire.
Vous pouvez Terminer le contournement à tout moment avant que ce mode ne prenne fin sur la page Surveillance
ou dans la fenêtre Configuration avancée.
22
2. Installation
Après l'achat de ESET Mail Security, le programme d'installation peut être téléchargé sur le site Web d'ESET
(www.eset.com) en tant que paquet .msi.
REMARQUE
Si vous avez précédemment utilisé un autre logiciel antivirus tiers sur votre système, nous vous recommandons
de le désinstaller complètement avant l'installation de ESET Mail Security. Vous pouvez utiliser ESET AV Remover
pour supprimer un logiciel tiers.
Si vous effectuez l'installation sur Windows Server 2016, Microsoft recommande de désinstaller les
fonctionnalités de Windows Defender et d'annuler l'inscription ATP Windows Defender pour éviter les
problèmes liés à l'installation de plusieurs produits antivirus sur une machine.
Notez que vous devez exécuter le programme d'installation à l'aide du compte Administrateur intégré ou d'un
compte Administrateur de domaine (dans le cas où le compte Administrateur local est désactivé). Aucun autre
utilisateur, même s'il est membre du groupe Administrateurs, n'aura des droits d'accès suffisants. Par conséquent,
vous devez utiliser le compte Administrateur intégré, car vous ne pourrez pas terminer l'installation avec un compte
utilisateur autre qu'Administrateur local ou Administrateur de domaine.
IMPORTANT
Nous recommandons fortement d'installer ESET Mail Security, si possible, sur un système d'exploitation
nouvellement installé et configuré. Si vous devez l'installer sur un système existant, nous vous recommandons
de désinstaller la version existante de ESET Mail Security, de redémarrer le serveur et d'installer le nouveau ESET
Mail Security par la suite.
Pour installer ESET Mail Security, vous avez le choix entre deux modes d'installation. Vous pouvez utiliser un
assistant d'installation (IUG) ou effectuer une installation par ligne de commande.
Assistant d'installation :
Il s'agit d'un mode d'installation typique à l'aide d'une interface utilisateur graphique. Double-cliquez sur le paquet
.msi pour lancer l'assistant d'installation et choisissez le type d'installation souhaité.
Complet ou Typique
C'est le type d'installation recommandé. Vous pouvez sélectionner l'emplacement d'installation d'ESET Security,
mais nous vous recommandons d'utiliser les valeurs par défaut. Pour obtenir une procédure d'installation
détaillée, consultez la rubrique Étapes d'installation de ESET Mail Security .
Personnalisée
L'installation personnalisée permet de sélectionner les fonctionnalités de ESET Mail Security qui seront
installées sur votre système. Une liste des modules et fonctionnalités du produit s'affichera avant le démarrage
de l'installation. Pour obtenir une procédure d'installation détaillée, consultez la rubrique Étapes d'installation
de ESET Mail Security .
Installation par ligne de commande :
En plus de l'assistant d'installation, vous pouvez choisir d'installer ESET Mail Security silencieusement en utilisant la
ligne de commande. Ce type d'installation ne nécessite aucune interaction et est également appelé installation
sans assistance.
Installation sans assistance/silencieuse
Exécutez la commande suivante pour terminer l'installation en utilisant la ligne de commande : msiexec
/i
<packagename> /qn /l*xv msi.log
(Sur Windows Server 2008 et 2008 R2, la fonctionnalité Web et courriel ne sera pas installée.)
23
Pour vous assurer que l'installation a réussi ou en cas de problème avec l'installation, utilisez l'Observateur
d'événements de Windows pour consulter le Journal des applications (recherchez les enregistrements provenant
de la source : MsiInstaller).
EXEMPLE
Installation complète sur un système 64 bits :
msiexec /i emsx_nt64_ENU.msi /qn /l*xv msi.log ADDLOCAL=WebAndEmail,EmailClientProtection,^
MailPlugins,ProtocolFiltering,WebAccessProtection,_Base,ShellExt,HIPS,SERVER,_FeaturesCore,^
RealtimeProtection,DeviceControl,WMIProvider,Scan,Updater,DocumentProtection,CLUSTER,^
GraphicUserInterface,eShell,UpdateMirror,SysInspector,SysRescue,OnlineHelp,OfflineHelp,^
EnterpriseInspector
EXEMPLE
Installation complète sur un système 32 bits :
msiexec /i emsx_nt32_ENU.msi /qn /l*xv msi.log ADDLOCAL=WebAndEmail,EmailClientProtection,^
MailPlugins,ProtocolFiltering,WebAccessProtection,_Base,ShellExt,HIPS,SERVER,_FeaturesCore,^
RealtimeProtection,DeviceControl,WMIProvider,Scan,Updater,DocumentProtection,CLUSTER,^
GraphicUserInterface,eShell,UpdateMirror,SysInspector,SysRescue,OnlineHelp,OfflineHelp,^
EnterpriseInspector
Lorsque l'installation se termine, l'IUG d'ESET démarre et l'icône du tiroir
(barre d'état du système).
s'affiche dans la zone de notification
EXEMPLE
Installation sansFiltrage de protocol et Protection de l'accès Web sur un système 32 bits :
msiexec /i emsx_nt32_ENU.msi /qn /l*xv msi.log ADDLOCAL=_Base,ShellExt,HIPS,SERVER,^
_FeaturesCore,RealtimeProtection,DeviceControl,WMIProvider,Scan,Updater,DocumentProtection,^
CLUSTER,GraphicUserInterface,eShell,UpdateMirror,SysInspector,SysRescue,OnlineHelp,^
OfflineHelp,EnterpriseInspector
EXEMPLE
Ajout d'une fonctionnalité (Filtrage de protocole) sur un système 64 bits :
msiexec /i emsx_nt64_ENU.msi /qn /l*xv msi.log ADDLOCAL=WebAndEmail,EmailClientProtection,^
MailPlugins,ProtocolFiltering,WebAccessProtection REINSTALL=_Base,ShellExt,HIPS,_Base,SERVER,^
_FeaturesCore,RealtimeProtection,DeviceControl,WMIProvider,Scan,Updater,DocumentProtection,^
CLUSTER,GraphicUserInterface,eShell,UpdateMirror,SysInspector,SysRescue,OnlineHelp,^
OfflineHelp,EnterpriseInspector
EXEMPLE
Suppression d'une fonctionnalité (Filtrage de protocole) sur un système 64 bits :
msiexec /i emsx_nt64_ENU.msi /qn /l*xv msi.log REMOVE=WebAndEmail,EmailClientProtection,^
MailPlugins,ProtocolFiltering,WebAccessProtection REINSTALL=_Base,ShellExt,HIPS,SERVER,^
_FeaturesCore,RealtimeProtection,DeviceControl,WMIProvider,Scan,Updater,DocumentProtection,^
CLUSTER,GraphicUserInterface,eShell,UpdateMirror,SysInspector,SysRescue,OnlineHelp,^
OfflineHelp,EnterpriseInspector
IMPORTANT
Lorsque vous spécifiez des valeurs pour le paramètre REINSTALL, vous devez répertorier le reste des
fonctionnalités qui ne sont pas utilisées comme valeurs pour les paramètres ADDLOCAL ou REMOVE. Il est
nécessaire que l'installation par ligne de commande s'exécute correctement pour que vous répertoriez toutes
les fonctionnalités en tant que valeurs pour les paramètres REINSTALL, ADDLOCAL et REMOVE. Consultez la
section Installation par ligne de commande pour la liste complète des fonctionnalités.
L'ajout ou la suppression peut ne pas aboutir si vous n'utilisez pas le paramètre REINSTALL.
24
EXEMPLE
Désinstallation complète sur un système 64 bits :
msiexec /x emsx_nt64_ENU.msi /qn /l*xv msi.log
REMARQUE
Votre serveur redémarrera automatiquement après une désinstallation réussie.
2.1 Étapes d'installation de ESET Mail Security
Voici les étapes à suivre pour installer ESET Mail Security à l'aide de l'Assistant de configuration :
Cliquez sur Suivant, le contrat de licence pour l'utilisateur final s'affichera.
25
Après avoir confirmé votre acceptation du Contrat de licence d’utilisateur final et cliqué sur Suivant, choisissez l'un
des types d'installation disponibles.
Les types d'installation que vous pouvez choisir dépendent de votre système d'exploitation.
Windows Server 2003, 2003 R2, 2012, 2012 R2, 2016, Windows Small Business Server 2003 et 2003 R2:
· Complète
- Permet d'installer toutes les fonctionnalités de ESET Mail Security. Aussi appelée « installation intégrale ».
26
Vous devrez ensuite sélectionner l'emplacement où ESET Mail Security sera installé. Le programme s'installe par
défaut dans C:\Program Files\ESET\ESET Mail Security. Cliquez sur Parcourir pour modifier la destination (non
recommandé).
REMARQUE
Dans le cas où vous planifiez utiliser use Quarantaine locale pour les courriels et que vous ne voulez pas stocker
les fichiers de courriel mis en quarantaine sur votre C: lecteur, remplacez le chemin d'accès du Dossier de
données par le lecteur et l'emplacement de votre choix. Cependant, rappelez-vous que tous les fichiers de
données ESET Mail Security seront stockés à cet emplacement.
Cliquez sur Installer pour commencer l'installation. Lorsque l'installation se termine, l'IUG d'ESET démarre et l'icône
du tiroir s'affiche dans la zone de notification (barre d'état du système).
· Personnalisée
Permet de sélectionner les fonctionnalités de ESET Mail Security qui seront installées sur votre système. Cette
option est utile lorsque vous voulez personnaliser ESET Mail Security en choisissant seulement les composants dont
vous avez besoin.
27
Windows Server 2008, 2008 R2, Windows Small Business Server 2008 et 2011:
· Standard
Permet d'installer les fonctionnalités recommandées de ESET Mail Security.
Vous serez invité à sélectionner un emplacement d'installation. Le programme s'installe par défaut dans C:
\Program Files\ESET\ESET Mail Security. Cliquez sur Parcourir pour modifier la destination (non recommandé).
28
Cliquez sur Installer pour commencer l'installation. Lorsque l'installation se termine, l'IUG d'ESET démarre et l'icône
du tiroir s'affiche dans la zone de notification (barre d'état du système).
· Personnalisée
Permet de sélectionner les fonctionnalités de ESET Mail Security qui seront installées sur votre système. Cette
option est utile lorsque vous voulez personnaliser ESET Mail Security en choisissant seulement les composants dont
vous avez besoin.
REMARQUE
Sous Windows Server 2008, Windows Server 2008 R2, Small Business Server 2008 et Small Business Server 2011,
l'installation du composant Web et courriels est désactivée par défaut (Installation standard). Pour installer ce
composant, sélectionnez Personnalisé comme type d'installation.
Processus de modification des composants (Ajouter/supprimer), Réparer et Supprimer :
Vous pouvez ajouter ou supprimer des composants inclus dans votre installation. Pour ce faire, vous pouvez
exécuter le progiciel d'installation .msi utilisé lors de l'installation initiale ou accéder à Programmes et
fonctionnalités (accessible à partir du Panneau de configuration Windows), cliquer à droite sur ESET Mail Security et
sélectionner Modifier. Voici les étapes à suivre pour ajouter ou supprimer des composants.
Trois options sont disponibles. Vous pouvez Modifier les composants installés, Réparer votre installation de ESET
Mail Security ou le Supprimer (désinstaller) complètement.
29
Si vous choisissez Modifier, une liste de tous les composants du programme disponibles s'affichera. Choisissez les
composants que vous voulez ajouter ou supprimer. Vous pouvez ajouter/supprimer plusieurs composants en même
temps. Cliquez sur le composant et sélectionnez une option dans le menu déroulant :
Une fois que vous avez sélectionné une option, cliquez sur Modifier pour appliquer les modifications.
REMARQUE
Vous pouvez modifier les composants en tout temps en exécutant le programme d'installation. La plupart des
composants n'exigent pas un redémarrage du serveur pour appliquer les modifications. L'IUG redémarrera et
vous ne verrez que les composants que vous avez choisi d'installer. Pour l'installation de composants qui
30
nécessitent un redémarrage du serveur, Windows Installer vous invitera à redémarrer et les nouveaux
composants seront accessibles une fois que la connexion du serveur aura été rétablie.
2.1.1 Installation de la ligne de commande
Les paramètres suivants sont destinés à être utilisés uniquement avec le niveau réduit, le niveau de base et le
niveau aucun de l'interface utilisateur. Consultez la documentation pour la version msiexec utilisée pour les
commutateurs de ligne de commande appropriés.
Paramètres pris en charge :
APPDIR=<path>
· path - Chemin de répertoire valide
· Répertoire d'installation de l'application
· Par exemple : emsx_nt64_ENU.msi /qn APPDIR=C:\ESET\
ADDLOCAL=DocumentProtection
APPDATADIR=<path>
· path - Chemin de répertoire valide
· Répertoire d'installation des données d'application
MODULEDIR=<path>
· path - Chemin de répertoire valide
· Répertoire d'installation de module
ADDEXCLUDE=<list>
· La liste ADDEXCLUDE est une liste, séparée par des virgules, de tous les noms de fonctionnalités à ne pas installer,
en remplacement de REMOVE, qui est devenu obsolète.
· Lors de la sélection d'une fonctionnalité à ne pas installer, le chemin complet (c'est-à-dire toutes ses sousfonctionnalités) et les fonctionnalités invisibles associées doivent être explicitement inclus dans la liste.
· Par exemple : emsx_nt64_ENU.msi /qn ADDEXCLUDE=<list>
REMARQUE
ADDEXCLUDE ne peut pas être utilisé avec ADDLOCAL.
ADDLOCAL=<list>
· Installation de composants - liste des fonctionnalités non obligatoires à installer localement.
· Utilisation avec les paquets .msi d'ESET : emsx_nt64_ENU.msi /qn ADDLOCAL=<list>
· Pour plus d'informations sur la propriété ADDLOCAL consultez http://msdn.microsoft.com/en-us/library/
aa367536%28v=vs.85%29.aspx
· La liste ADDEXCLUDE est une liste, séparée par des virgules, de toutes les fonctionnalités qui seront installées.
· Lors de la sélection d'une fonctionnalité à installer, le chemin complet (c'est-à-dire toutes ses fonctionnalités
parentes) doit être explicitement inclus dans la liste.
Présence de la fonctionnalité
· Obligatoire - La fonctionnalité est toujours installée.
· Facultative - La fonctionnalité peut être désélectionnée lors de l'installation.
· Invisible - Fonctionnalité logique obligatoire pour que les autres fonctionnalités s'exécutent correctement.
Liste des fonctionnalités de ESET Mail Security :
IMPORTANT
Les noms de toutes les fonctionnalités sont sensibles à la casse, par exemple RealtimeProtection n'est pas égal
à REALTIMEPROTECTION.
Nom de la fonctionnalité
Présence de la
fonctionnalité
SERVER
Obligatoire
31
Nom de la fonctionnalité
Présence de la
fonctionnalité
RealtimeProtection
Obligatoire
Scan
Obligatoire
WMIProvider
Obligatoire
HIPS
Obligatoire
Updater
Obligatoire
eShell
Obligatoire
UpdateMirror
Obligatoire
DeviceControl
Facultative
DocumentProtection
Facultative
WebAndEmail
Facultative
ProtocolFiltering
Invisible
WebAccessProtection
Facultative
EmailClientProtection
Facultative
MailPlugins
Invisible
CLUSTER
Facultative
_Base
_License
ShellExt
Facultative
_FeaturesCore
GraphicUserInterface
Facultative
SysInspector
Facultative
SysRescue
Facultative
OnlineHelp
Facultative
OfflineHelp
Facultative
EnterpriseInspector
Facultative
Si vous souhaitez supprimer l'une des fonctionnalités suivantes, vous devez supprimer le groupe entier :
GraphicUserInterface,ShellExt
WebAndEmail,EmailClientProtection,MailPlugins,ProtocolFiltering,WebAccessProtection
OnlineHelp,OfflineHelp
32
EXEMPLE
Suppression d'une fonctionnalité (Filtrage de protocole) sur un système 64 bits :
msiexec /i emsx_nt64_ENU.msi /qn ^
/l*xv msi.log REMOVE=WebAndEmail,EmailClientProtection,MailPlugins,ProtocolFiltering,^
WebAccessProtection REINSTALL=_Base,ShellExt,HIPS,SERVER,_FeaturesCore,RealtimeProtection,^
DeviceControl,WMIProvider,Scan,Updater,DocumentProtection,CLUSTER,GraphicUserInterface,eShell,^
UpdateMirror,SysInspector,SysRescue,OnlineHelp,OfflineHelp,EnterpriseInspector
Si vous souhaitez que votre ESET Mail Security soit automatiquement configuré après l'installation, vous pouvez
spécifier les paramètres de configuration de base dans la commande d'installation.
EXEMPLE
Installez ESET Mail Security et désactivez ESET LiveGrid :
msiexec /i emsx_nt64_ENU.msi /qn /l*xv msi.log CFG_LIVEGRID_ENABLED=0
Liste de toutes les propriétés de configuration :
CFG_POTENTIALLYUNWANTED_ENABLED=1/0
· 0 - Désactivé, 1 - Activé
CFG_LIVEGRID_ENABLED=1/0
· 0 - Désactivé, 1 - Activé
· LiveGrid
FIRSTSCAN_ENABLE=1/0
· 0 - Désactiver, 1 - Activer
· Planifier une nouvelle première analyse après l'installation
CFG_PROXY_ENABLED=0/1
· 0 - Désactivé, 1 - Activé
CFG_PROXY_ADDRESS=<ip>
· Adresse IP du mandataire
CFG_PROXY_PORT=<port>
· Numéro de port du mandataire
CFG_PROXY_USERNAME=<user>
· Nom d'utilisateur pour l'authentification
CFG_PROXY_PASSWORD=<pass>
· Mot de passe pour l'authentification
2.1.2 Installation dans un environnement en grappe
Vous pouvez déployer ESET Mail Security dans un environnement en grappe (par exemple la grappe de
basculement). Nous vous recommandons d'installer ESET Mail Security sur un nœud actif, puis de redistribuer
l'installation sur des nœuds passifs à l'aide de la fonction Grappe ESET de ESET Mail Security. En dehors de
l'installation, la grappe ESET servira de réplication de la configuration de ESET Mail Security afin d'assurer la
cohérence entre les nœuds de la grappe, ce qui est nécessaire à un bon fonctionnement.
33
2.2 Activation du produit
Une fois l'installation terminée, vous serez invité à activer votre produit.
Sélectionnez l'une des méthodes offertes pour activer ESET Mail Security. Voir Comment activer ESET Mail Security
pour plus d'informations.
34
Après avoir réussi l'activation de ESET Mail Security, la fenêtre principale du programme ouvrira et affichera votre
état actuel dans la page Surveillance. Votre attention pourrait être requise au début. Par exemple, il vous sera
demandé de participer à ESET LiveGrid.
La fenêtre principale du programme affichera aussi des notifications sur d'autres éléments, comme les mises à jour
du système (Windows Updates) ou de la banque de données de virus. Lorsque tous les éléments qui requièrent
votre attention ont été vérifiés, l'état de surveillance deviendra vert et affichera le message Protection maximale.
2.3 Outil de suppression d'antivirus ESET
Pour supprimer/désinstaller un logiciel antivirus tiers de votre système, nous vous recommandons d'utiliser ESET
AV Remover. Pour ce faire, suivez les étapes suivantes :
1. Téléchargez ESET AV Remover à partir de la page de téléchargement des fonctionnalités sur le site Web ESET.
2. Cliquez sur J'accepte, démarrez la recherche pour accepter le CLU et commencez à faire une recherche sur votre
système.
3. Cliquez sur Lancer le désinstallateur pour supprimer le logiciel antivirus.
Pour obtenir une liste de logiciels antivirus tiers qui peuvent être supprimés à l'aide d'ESET AV Remover, voir cet
article de la Base de connaissances.
35
2.4 Connecteur POP3 et protection antipourriel
Les versions Microsoft Windows Small Business Server (SBS) contiennent un connecteur POP3 natif intégré qui
permet au serveur d'obtenir des messages électroniques provenant de serveurs POP3 externes. L'implémentation
de ce connecteur Microsoft POP3 natif varie d'une version SBS à une autre.
ESET Mail Security prend en charge le connecteur Microsoft SBS POP3, à condition qu'il soit configuré correctement.
Les messages téléchargés via le connecteur Microsoft POP3 sont analysés pour détecter la présence de pourriels. La
protection antipourriel pour ces messages est possible car le connecteur POP3 retransmet les messages
électroniques depuis un compte POP3 vers le serveur Microsoft Exchange, via SMTP.
ESET Mail Security a été testé avec des services de messagerie populaires comme Gmail.com, Outlook.com,
Yahoo.com, Yandex.com et gmx.de sur les systèmes SBS suivants :
· Microsoft Windows Small Business Server 2003 R2
· Microsoft Windows Small Business Server 2008
· Microsoft Windows Small Business Server 2011
IMPORTANT
Si vous utilisez un connecteur Microsoft SBS POP3 intégré et que tous vos messages électroniques sont analysés
pour détecter la présence de pourriels, appuyez sur F5 pour accéder à Configuration avancée, puis accédez à
Serveur > Protection du transport du courriel > Paramètres avancés et pour le paramètre Analyser également les
messages reçus des connexions authentifiées ou internes, sélectionnez Analyse par la protection antivirus et
anti-logiciel espion à partir de la liste déroulante. Cela fait en sorte que la protection antipourriel est assurée sur
les courriels provenant de comptes POP3.
Vous pouvez également utiliser un connecteur POP3 tiers comme P3SS (plutôt que le connecteur Microsoft SBS
POP3 intégré). ESET Mail Security a été testé sur les systèmes suivants (en utilisant un connecteur P3SS pour obtenir
des messages provenant de Gmail.com, Outlook.com, Yahoo.com, Yandex.com et gmx.de):
·
·
·
·
Microsoft Windows Small Business Server 2003 R2
Microsoft Windows Server 2008 avec Exchange Server 2007
Microsoft Windows Server 2008 R2 avec Exchange Server 2010
Microsoft Windows Server 2012 R2 avec Exchange Server 2013
2.5 Mise à niveau vers une version plus récente
Les nouvelles versions de ESET Mail Security sont fournies afin d'apporter des améliorations ou de corriger des
problèmes qui ne peuvent être réglés par la mise à jour automatique des modules du programme. Les méthodes de
mise à niveau suivantes peuvent être utilisées :
· Manuel - Téléchargez la dernière version de ESET Mail Security. Exportez les paramètres de votre ESET Mail
Security existant si vous souhaitez conserver la configuration. Désinstallez ESET Mail Security et redémarrez le
serveur. Effectuez une nouvelle installation avec le programme d'installation que vous avez téléchargé. Importer
les paramètres pour charger votre configuration. Nous recommandons cette procédure si vous avez un seul
serveur exécutant ESET Mail Security. Applicable pour les mises à niveau à partir des anciennes versions 6.x.
· À distance - Pour une utilisation dans les grands environnements réseau gérés par ESET Remote Administrator.
Cette méthode est utile si vous avez plusieurs serveurs exécutant ESET Mail Security. Applicable pour les mises à
niveau à partir des versions 4.x aux versions 6.x.
· Il est également possible d'utiliser l'assistant de grappe ESET comme méthode de mise à niveau. Nous
recommandons cette méthode pour 2 ou plusieurs serveurs avec ESET Mail Security. Applicable pour les mises à
niveau à partir des versions 4.x aux versions 6.x. Une fois la mise à niveau terminée, vous pouvez continuer à
utiliser la grappe ESET et profiter de ses fonctionnalités.
REMARQUE
Le redémarrage du serveur sera nécessaire pendant la mise à niveau de ESET Mail Security.
36
IMPORTANT
Certains paramètres, en particulier les règles, ne peuvent pas être migrés lors d'une mise à niveau. Cela est dû
aux modifications apportées à la fonctionnalité de règles qui ont été introduites dans les versions ultérieures du
produit. Nous vous recommandons de noter les paramètres de vos règles avant de migrer à partir des versions
4.x. Vous pouvez configurer des règles une fois la mise à niveau terminée. Les nouvelles règles vous donnent
une plus grande flexibilité et encore plus de possibilités par rapport aux règles de la version précédente de ESET
Mail Security.
Voici une liste des paramètres qui sont conservés à partir des versions antérieures de ESET Mail Security :
· Configuration générale de ESET Mail Security.
· Paramètres de la protection antipourriel :
· Tous les paramètres qui sont identiques dans les versions antérieures; les nouveaux paramètres seront réglés
aux valeurs par défaut.
· Entrées de listes blanches et listes noires.
REMARQUE
Après avoir mis votre ESET Mail Security à niveau, nous vous recommandons de parcourir tous les paramètres
pour vous assurer que le produit est configuré correctement et en fonction de vos besoins.
2.5.1 Mise à niveau à l'aide d'ERA
ESET Remote Administrator vous permet de mettre à niveau plusieurs serveurs exécutant une version ancienne de
ESET Mail Security. Cette méthode a l'avantage de permettre la mise à niveau d'un grand nombre de serveurs en
même temps tout en veillant à ce que chaque ESET Mail Security soit configuré de manière identique (si cela est
souhaité).
REMARQUE
Applicable pour les mises à niveau à partir des versions 4.x aux versions 6.x.
Les étapes de la procédure sont les suivantes :
· Mettre à niveau le premier serveur manuellement en installant la dernière version de ESET Mail Security sur la
version existante afin de préserver toute les configurations, y compris les règles, plusieurs listes blanches et
noires, etc. Cette phase s'effectue localement sur le serveur exécutant ESET Mail Security.
· Demander la configuration du ESET Mail Security nouvellement mis à niveau vers la version 6.x et Convertir la
police dans ERA. La police sera appliquée ultérieurement à tous les serveurs mis à niveau. Cette phase ainsi que
les phases suivantes s'effectuent à distance à l'aide d'ERA.
· Exécuter la tâche de désinstallation de logiciel sur tous les serveurs exécutant l'ancienne version de ESET Mail
Security.
· Exécuter la tâche d'installation de logiciel sur tous les serveurs sur lesquels vous voulez que ESET Mail Security
s'exécute.
· Attribuer une politique de configuration à tous les serveurs exécutant la dernière version de ESET Mail Security.
Procédure pas à pas :
1. Connectez-vous sur l'un des serveurs exécutant ESET Mail Security et mettez-le à jour en téléchargeant et en
installant la dernière version sur la version existante. Suivez les étapes pour une installation ordinaire. Toute la
configuration originale de votre ancien ESET Mail Security sera préservée pendant l'installation.
2. Ouvrez la console Web ERA, sélectionnez un ordinateur client au sein des groupes statiques ou dynamiques et
cliquez sur Afficher Détails.
37
3. Accédez à l'onglet Configuration et cliquez sur le bouton Demander la configuration pour collecter toute la
configuration du produit géré. Obtenir la configuration prendra un moment. Une fois que la configuration la plus
récente sera affichée dans la liste, cliquez sur produit de sécurité et sélectionnez Ouvrir la configuration.
38
4. Créez la politique de configuration en cliquant sur le bouton Convertir la politique. Entrez le nom de la nouvelle
politique et cliquez sur Terminer.
5. Allez à Admin > Tâches client et sélectionnez la tâche Désinstallation de logiciel. Lors de la création de la tâche
de désinstallation, nous vous recommandons de redémarrer le serveur après la désinstallation en cochant la
case Redémarrer automatiquement si nécessaire. Une fois la tâche créée, ajoutez tous les ordinateurs cibles
souhaités pour la désinstallation.
6. Assurez-vous que ESET Mail Security est désinstallé sur toutes les cibles.
7. Créez une tâche Installation de logiciel pour installer les dernières versions de ESET Mail Security sur les cibles
désirées.
8. Attribuez une politique de configuration à tous les serveurs exécutant ESET Mail Security, idéalement à un
groupe.
2.5.2 Mise à niveau à l'aide de la grappe ESET
La création d'une grappe ESET vous permet de mettre à niveau plusieurs serveurs en utilisant d'anciennes versions
de ESET Mail Security. C'est une alternative à la mise à niveau à l'aide d'ERA. Nous recommandons l'utilisation de la
méthode de grappe ESET si votre environnement comprend 2 serveurs ou plus avec ESET Mail Security. Un autre
avantage de cette méthode de mise à niveau est qu'elle vous permet de continuier à utiliser la grappe ESET pour
que la configuration de ESET Mail Security soit synchronisée sur tous les nœuds membres.
REMARQUE
Applicable pour les mises à niveau à partir des versions 4.x aux versions 6.x.
Suivez les étapes ci-dessous pour mettre à niveau à l'aide de cette méthode :
1. Connectez-vous sur l'un des serveurs exécutant ESET Mail Security et mettez-le à niveau en téléchargeant et en
installant la dernière version sur la version existante. Suivez les étapes pour une installation ordinaire. Toute la
configuration originale de votre ancien ESET Mail Security sera préservée pendant l'installation.
2. Lancez l'assistant de grappe ESET et ajoutez les nœuds de grappe (les serveurs sur lesquels vous voulez mettre
39
ESET Mail Security à niveau). Si nécessaire, ajoutez d'autres serveurs qui n'exécutent pas encore ESET Mail
Security (une installation sera effectuée sur ces serveurs). Nous vous recommandons de laisser les paramètres
par défaut lors de la spécification du nom de la grappe et du type d'installation (assurez-vous que l'option
Pousser la licence aux nœuds sans produit activé est sélectionnée).
3. Vérifiez l'écran Journal de vérification des nœuds. Il affiche les serveurs ayant des versions plus anciennes et sur
lesquels le produit va être réinstallé. ESET Mail Security sera également installé sur tous les serveurs ajoutés sur
lesquels il n'est pas actuellement installé.
40
4. L'écran Installation des nœuds et activation de la grappe affichera l'état d'avancement de l'installation. Si
l'installation se termine correctement, les résultats devraient ressembler à ceux-ci :
41
Si votre réseau ou votre DNS n'est pas configuré correctement, le message d'erreur suivant pourrait s'afficher :
Impossible d'obtenir le jeton d'activation à partir du serveur.. Essayez d'exécuter à nouveau l'assistant de grappe
ESET. Cette action détruit la grappe et crée une nouvelle (sans réinstaller le produit) et l'activation devrait se
terminer avec succès cette fois. Si le problème persiste, vérifiez vos paramètres réseau et DNS.
42
3. Guide pour débutants
Ce chapitre présente un aperçu de ESET Mail Security, des principaux éléments du menu, des fonctionnalités et des
paramètres de base.
·
·
·
·
·
·
·
Surveillance
Fichiers journaux
Analyser
Mettre à jour
Configuration
Outils
Aide et assistance
3.1 Surveillance
L'état de la protection indiqué dans la section Surveillance vous informe au sujet du niveau de protection actuel de
votre ordinateur. Un résumé de l'état du fonctionnement de ESET Mail Security sera affiché dans la fenêtre
principale.
L'état vert Protection maximale indique que la protection maximale est assurée. La fenêtre d'état affiche
également des liens rapides vers les fonctions fréquemment utilisées dans ESET Mail Security et des informations
sur la dernière mise à jour.
43
Les modules qui fonctionnent correctement sont marqués d'une coche verte. Les modules qui ne fonctionnent pas
complètement sont marqués d'un point d'exclamation rouge ou d'une icône de notification orange. Des
informations supplémentaires sur le module s'affichent dans la partie supérieure de la fenêtre. Une suggestion de
solution pour corriger le module est également affichée. Pour changer l'état de chacun des modules, cliquez sur
Configuration dans le menu principal puis sur le module souhaité.
L'icône rouge signale des problèmes critiques - la protection maximale de votre ordinateur n'est pas assurée.
Une icône rouge s'affiche pour signaler les scénarios suivants :
· Protection antivirus du serveur de messagerie désactivée - Cliquez sur Activer la protection antivirus dans
Surveillance ou réactivez Protection Antivirus et anti-logiciel espion dans le volet Configuration de la fenêtre
principale du programme.
· Base de données de signatures de virus obsolète - Cliquez sur Mettre à jour la base de données de signatures de
virus ou cliquez sur Mettre à jour maintenant dans l'onglet Mise à jour de la fenêtre principale du programme.
· Le produit n'est pas activé ou La licence a expiré - Ce problème est indiqué par l'icône d'état de la protection qui
devient rouge. Une fois la licence expirée, le programme ne pourra plus effectuer de mise à jour. Suivez les
instructions indiquées dans la fenêtre d'alerte pour renouveler votre licence.
REMARQUE
Si vous gérez ESET Mail Security à l'aide d'ERA et qu'une politique lui est attribuée, le lien d'état sera verrouillé
(grisé) en fonction des fonctionnalités qui appartiennent à la politique.
L'icône orange avec un point d'exclamation (!) indique que votre produit ESET nécessite une attention pour un
problème non critique. Une icône orange s'affiche pour signaler les scénarios suivants :
· Protection de l'accès Web suspendue - Cliquez sur Activer la protection de l'accès Web dans Surveillance ou
réactivez Protection de l'accès Web dans le volet Configuration de la fenêtre principale du programme.
44
· Votre licence expirera bientôt - Pour vous le signaler, l'icône d'état de la protection affiche un point
d'exclamation. Une fois votre licence expirée, le programme ne pourra plus se mettre à jour et l'icône de l'état de
protection du logiciel deviendra rouge.
· Priorité sur la politique active - La configuration définie par la politique est temporairement ignorée, peut-être
jusqu'à ce que le dépannage soit terminé.
La page Surveillance contient également des informations sur votre système, dont quelques unes sont citées cidessous :
Version du produit - numéro de version de ESET Mail Security.
Nom du serveur - nom d'hôte de la machine ou FQDN.
Système - détails du système d'exploitation.
Ordinateur - détails de l'ordinateur.
Temps de disponibilité du serveur - indique depuis combien de temps le système fonctionne; il s'agit
fondamentalement de l'opposé du temps d'arrêt.
Nombre de boîtes de courriels - ESET Mail Security le nombre de boîtes de courriels et affiche le décompte basé sur
la détection :
· Domaine - Nombre de toutes les boîtes de courriels dans un domaine particulier auquel appartient le serveur
Exchange.
· Local - Donne le nombre de boîtes de courriels (le cas échéant) du serveur Exchange pour lesquelles ESET Mail
Security est installé. Pour en savoir plus, voir notre Base de connaissances.
Si vous ne pouvez régler un problème à l'aide des solutions suggérées, cliquez sur Aide et soutien pour accéder aux
fichiers d'aide ou effectuez une recherche dans la Base de connaissances ESET. Si vous avez besoin d'aide, vous
pouvez également soumettre une demande d'assistance à la clientèle ESET. Les spécialistes d'ESET répondront
rapidement à vos questions et essaieront de trouver une solution à votre problème.
45
3.2 Fichiers journaux
Les fichiers journaux contiennent de l'information sur les événements importants qui ont eu lieu et donnent un
aperçu des menaces détectées. Les journaux sont des outils essentiels pour l'analyse du système, la détection des
menaces et le dépannage. Elle est toujours active à l'arrière-plan, sans interaction de l'utilisateur. Les données sont
enregistrées en fonction des paramètres de verbosité. Il est possible de consulter les messages texte et les
journaux directement à partir de l'environnement ESET Mail Security ou de les exporter pour les afficher ailleurs.
Les fichiers journaux sont accessibles à partir de la fenêtre principale du programme en cliquant sur Fichiers
journaux. Sélectionnez le type de journal souhaité dans le menu déroulant. Les journaux suivants sont disponibles :
· Menaces détectées - Le journal des menaces contient de l'information détaillée sur les infiltrations détectées par
les modules de ESET Mail Security. Cela inclut l'heure de détection, le nom de l'infiltration, l'emplacement,
l'action exécutée et le nom de l'utilisateur connecté au moment où l'infiltration a été détectée. Double-cliquez
sur une entrée du journal pour afficher ses détails dans une fenêtre séparée.
· Événements - Toutes les actions importantes exécutées par ESET Mail Security sont enregistrées dans le journal
des événements. Le journal des événements contient de l'information sur les événements qui sont survenus dans
le programme. Il permet aux administrateurs système et aux utilisateurs de résoudre des problèmes. Cela peut
souvent permettre de trouver une solution à un problème qui s'est produit dans le programme.
· Analyse d'ordinateur - Tous les résultats d'analyse s'affichent dans cette fenêtre. Chaque ligne correspond à un
seul contrôle d'ordinateur. Double-cliquez sur n'importe quelle entrée pour afficher les détails de l'analyse
correspondante.
· HIPS - Contient les enregistrements de règles particulières marquées pour enregistrement. Le protocole affiche
l'application ayant appelé l'opération, le résultat (si la règle a été autorisée ou non) et le nom de la règle créée.
46
· Sites Web filtrés - Une liste de sites Web ayant été bloqués par la protection de l'accès Web. Ces journaux
permettent de voir le moment, l'URL, l'utilisateur et l'application ayant établie une connexion au site Web en
question.
· Contrôle de périphériques - Contient les enregistrements relatifs aux supports amovibles ou appareils qui étaient
connectés à l'ordinateur. Seuls les périphériques liés à une règle de contrôle des périphériques seront inscrits
dans le fichier journal. Si un périphérique connecté ne satisfait pas le critère de la règle, aucune entrée journal ne
sera créée à la connexion de ce périphérique. Vous pouvez aussi y voir différents détails, comme le type de
périphérique, le numéro de série, le nom du fournisseur et la taille du support (si elle est disponible).
· Protection du serveur de courriel - Tous les messages détectés par ESET Mail Security comme étant des
infiltrations ou des pourriels sont inscrits ici. Ces journaux s'appliquent aux types de protection suivants :
Antipourriel, Règles et Antivirus. Lorsque vous double cliquez sur un article, une fenêtre contextuelle s'ouvre
avec des renseignements supplémentaires au sujet du message détecté, tels que l'adresse IP, le domaine HELO,
l'ID du message et le type d'analyse ainsi que la couche de protection sur laquelle il a été détecté. En outre, vous
pouvez voir le résultat de l'analyse antivirus et antipourriel ainsi que la raison pour laquelle il a été détecté ou si
une règle a été activée.
REMARQUE
Tous les messages traités ne sont pas inscrits au journal de protection du serveur de messagerie. Cependant,
tous les messages réellement modifiés (pièce jointe supprimée, chaîne personnalisée ajoutée à un en-tête de
message, etc.) sont inscrits dans le journal.
· Analyse de la base de données - Contient la version de la base de données des signatures de virus, la date,
l'emplacement analysé, du nombre d'objets analysés, de menaces trouvées et d'occurrences, et la durée de
l'analyse.
· Greylisting - Tous les messages évalués à l'aide de la méthode d'ajout à la liste grise sont inscrits ici. Chaque
enregistrement contient le domaine HELO, l'adresse IP de l'expéditeur et du destinataire, les états des actions
(rejetées, rejetées (non vérifiées) et les messages entrants vérifiés).
· Analyse Hyper-V - Contient une liste de résultats d'analyse Hyper-V. Double-cliquez sur n'importe quelle entrée
pour afficher les détails de l'analyse correspondante.
REMARQUE
Vous pouvez copier les données affichées dans chacune des sections dans le Presse-papiers (en utilisant le
raccourci clavier Ctrl + C), puis en sélectionnant l'entrée souhaitée et en cliquant sur Copier. Pour sélectionner
plusieurs entrées, vous pouvez utiliser les touches CTRL et MAJ.
Cliquez sur l'icône de l'interrupteur
pourrez définir les critères de filtrage.
Filtrage pour ouvrir la fenêtre Filtrage des journaux dans laquelle vous
Pour afficher les options du menu contextuel ci-dessous, cliquez avec le bouton droit sur un enregistrement
spécifique :
· Afficher - Affiche des renseignements plus détaillés sur le journal sélectionné dans une nouvelle fenêtre (comme
avec le double-clic).
· Filtrer les mêmes dossiers - Active le filtrage des journaux et affiche exclusivement les entrées de même type
que celle qui a été sélectionnée.
· Filtrer...- Après avoir cliqué sur cette option, la fenêtre Filtrage des journaux permet de définir les critères de
filtrage à utiliser pour des entrées particulières du journal.
· Activer le filtre - Active les paramètres du filtre. La première fois que vous filtrez des journaux, vous devez définir
vos critères de filtrage. Une fois qu'ils ont été configurés, les mêmes critères s'appliqueront jusqu'à vous les
modifiiez.
· Désactiver le filtre - Désactive le filtrage (comme lorsque vous cliquez sur l'interrupteur dans le bas). Cette option
est disponible seulement lorsque le filtrage est activé.
· Copier - Copie l'information du ou des enregistrements sélectionnés ou surlignés dans le presse-papier.
· Copier tout - Copie l'information sur tous les enregistrements affichés dans la fenêtre.
· Supprimer - Supprime le ou les enregistrements sélectionnés/surlignés - cette action nécessite des privilèges
administrateur.
47
· Supprimer tout - Supprime tous les renseignements dans la fenêtre - cette action exige des privilèges
administrateur.
· Exporter... - Exporte l'information contenue dans les enregistrements sélectionnés ou surlignés dans un fichier
XML.
· Exporter tout... - Exporte toutes les informations dans la fenêtre dans un fichier XML.
· Rechercher... - Ouvre la fenêtre Trouver dans le journal et vous permet de définir les critères de recherche. Cible
le contenu qui a déjà été filtré, ce qui ajoute un autre moyen de restreindre les résultats.
· Rechercher l'occurrence suivante - Recherche la prochaine occurrence en fonction de la recherche déjà définie
(ci-dessus).
· Rechercher l'occurrence précédente - Recherche l'occurrence précédente en fonction de la recherche déjà définie
(ci-dessus).
· Supprimer les enregistrements diagnostics - Supprime tous les enregistrements diagnostics dans la fenêtre.
· Faire défiler le journal - Laissez cette option cochée pour activer le défilement automatique des anciens journaux
et afficher les journaux actifs, dans la fenêtre Fichiers journaux.
3.2.1 Journal d’analyses
La fenêtre du journal d'analyse affiche l'état actuel de l'analyse ainsi que de l'information sur le nombre de fichiers
contenant des programmes malveillants trouvés.
REMARQUE
Vous pouvez copier les données affichées dans chacune des sections dans le Presse-papiers (en utilisant le
raccourci clavier Ctrl + C), puis en sélectionnant l'entrée souhaitée et en cliquant sur Copier. Pour sélectionner
plusieurs entrées, vous pouvez utiliser les touches CTRL et MAJ.
Cliquez sur l'icône de l'interrupteur
pourrez définir les critères de filtrage.
48
Filtrage pour ouvrir la fenêtre Filtrage des journaux dans laquelle vous
Pour afficher les options du menu contextuel ci-dessous, cliquez avec le bouton droit de la souris sur un
enregistrement précis :
· Afficher - Affiche des renseignements plus détaillés sur le journal sélectionné dans une nouvelle fenêtre (comme
avec le double-clic).
· Filtrer les mêmes dossiers - Active le filtrage des journaux et n'affiche que les entrées de même type que celle
qui a été sélectionnée.
· Filtrer...- Après avoir cliqué sur cette option, la fenêtre Filtrage des journaux permet de définir les critères de
filtrage à utiliser pour des entrées particulières du journal.
· Activer le filtre - Active les paramètres du filtre. La première fois que vous activez le filtrage, vous devez définir
les paramètres.
· Désactiver le filtre - Désactive le filtrage (comme lorsque vous cliquez sur l'interrupteur dans le bas).
· Copier - Copie l'information des enregistrements sélectionnés ou surlignés dans le presse-papier.
· Copier tout - Copie les renseignements provenant de tous les enregistrements affichés dans la fenêtre.
· Supprimer - Supprime le ou les enregistrements sélectionnés/surlignés - cette action requière des privilèges
administrateur.
· Supprimer tout - Supprime tous les enregistrements dans la fenêtre - cette action requière des privilèges
administrateur.
· Exporter...- Exporte l'information contenue dans les enregistrements sélectionnés/surlignés dans un fichier XML.
· Exporter tout...- Exporte tous les renseignements dans la fenêtre dans un fichier XML.
· Rechercher...- Ouvre la fenêtre Trouver dans le journal et permet de définir les critères de recherche. Vous
pouvez utiliser la fonction Rechercher pour localiser un enregistrement spécifique même lorsque le filtrage est
activé.
· Rechercher l'occurrence suivante - Recherche la prochaine occurrence du critère de recherche défini.
· Trouver précédente - Trouve l'occurrence précédente.
· Faire défiler le journal - Laissez cette option cochée pour activer le défilement automatique des anciens journaux
et afficher les journaux actifs, dans la fenêtre Fichiers journaux.
49
3.3 Analyser
L'analyseur à la demande est un composant important de ESET Mail Security. Il est utilisé pour effectuer des
analyses de fichiers et de dossiers sur votre ordinateur. Pour assurer la sécurité de votre réseau, il est essentiel que
les analyses d'ordinateur ne soient pas effectuées uniquement lorsqu'une infection est suspectée. Elles doivent
être faites régulièrement dans le cadre des mesures de sécurité de routine. Nous vous recommandons d'effectuer
régulièrement (par exemple, une fois par mois) des analyses approfondies de votre système à la recherche des
virus non détectés par la Protection du système de fichiers en temps réel. Cela peut se produire si une menace est
introduite lorsque la protection du système de fichiers en temps réel est désactivée, lorsque la base de données de
signatures de virus n'a pas été mise à jour ou lorsqu'un fichier n'a pas été détecté lors de sa première sauvegarde
sur le disque.
Deux types d'analyse d'ordinateur sont disponibles. L'analyse intelligente analyse rapidement le système sans
qu'une configuration supplémentaire des paramètres d'analyse ne soit nécessaire. L'analyse personnalisée vous
permet de sélectionner l'un des profils d'analyse prédéfinis et de définir des cibles d'analyse spécifiques.
Consultez la rubrique Progression de l'analyse pour plus d'informations sur le processus d'analyse.
· Analyse de base de données - vous permet d'exécuter une analyse de base de données à la demande. Vous
pouvez choisir les dossiers publics, les serveurs de courriels et les boîtes de courriel à analyser. Vous pouvez
également utiliser le planificateur pour exécuter l'analyse de la base de données à une heure spécifique ou lors
d'un événement.
REMARQUE
Si vous exécutez Microsoft Exchange Server 2007, 2010, 2013 ou 2016, vous pouvez choisir entre Protection de la
base de données de la boîte de courriels et Analyse de la base de données à la demande. Un seul type de
protection peut être actif à la fois. Si vous décidez d'utiliser l'option Analyse de la base de données à la
demande, vous devrez désactiver l'intégration de la Protection de la base de données de la boîte de courriels
50
dans Configuration avancée sous Serveur. Sinon l'option Analyse de la base de données à la demande ne sera pas
disponible.
· Analyse de la mémoire - Analyse tous les dossiers partagés sur le serveur local. Si Analyse de la mémoire n'est
pas disponible, cela veut dire qu'il n'y a pas de dossiers partagés sur votre serveur.
· Analyse Hyper-V - Cette option n'est visible dans le menu que si Hyper-V Manager est installé sur le serveur qui
exécute ESET Mail Security. Analyse Hyper-V permet de faire l'analyse de disques d'une machine virtuelle (MV)
sur un serveur Microsoft Hyper-V sans avoir besoin d'installer des « agents » sur la MV en question. Pour
obtenir plus d'informations (y compris sur les systèmes d'exploitation de l'hôte pris en charge et les
limitations), reportez-vous à la section Analyse en mode Hyper-V.
· Analyse intelligente - Vous permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers
infectés sans intervention de l'utilisateur. L'avantage de l'analyse intelligente est qu'elle est facile à utiliser et
ne nécessite pas de configuration d'analyse détaillée. L'analyse intelligente vérifie tous les fichiers sur les
lecteurs locaux et nettoie ou supprime automatiquement les infiltrations détectées. Le niveau de nettoyage est
automatiquement défini sur la valeur par défaut. Pour plus d'informations sur les types de nettoyage, consultez
la rubrique Nettoyage.
REMARQUE
Nous vous recommandons d'exécuter une analyse de l'ordinateur au moins une fois par mois. L'analyse peut être
configurée en tant que tâche planifiée dans Outils > Planificateur.
· Analyse personnalisée - L'analyse personnalisée est une solution optimale si vous souhaitez spécifier des
paramètres d'analyse tels que des cibles d'analyse et des méthodes d'analyse. L'avantage de l'analyse
personnalisée est la possibilité de configurer les paramètres d'analyse en détail. Les configurations peuvent
être enregistrées dans des profils d'analyse définis par l'utilisateur, ce qui peut être utile si l'analyse est
répétée en utilisant les mêmes paramètres.
EXEMPLE
Pour sélectionner des cibles d'analyse, sélectionnez Analyse de l'ordinateur > Analyse personnalisée et
sélectionnez une option dans le menu déroulant Cibles à analyser ou sélectionnez des cibles spécifiques dans
l'arborescence. Une cible d'analyse peut également être spécifiée en entrant le chemin du dossier ou du fichier
que vous voulez inclure. Si vous souhaitez uniquement analyser le système sans actions de nettoyage
supplémentaires, sélectionnez Analyser sans nettoyage. Lorsque vous effectuez une analyse, vous pouvez
choisir parmi trois niveaux de nettoyage en cliquant sur Analyser > Analyse personnalisée > Configuration... >
Paramètres ThreatSense > Nettoyage.
Effectuer des analyses d'ordinateur avec l'analyse personnalisée est uniquement recommandé pour les
utilisateurs expérimentés ayant déjà utilisé des programmes antivirus.
· Analyse des supports amovibles - Similaire à l'analyse avancée - permet d'effectuer rapidement une analyse
des supports amovibles (CD, DVD, supports USB) connectés à l'ordinateur. Cela peut être utile lorsque vous
connectez un lecteur flash USB à un ordinateur et que vous souhaitez analyser son contenu à la recherche de
logiciels malveillants ou d'autres menaces potentielles. Ce type d'analyse peut également être lancé en
cliquant sur Analyse personnalisée, puis en sélectionnant Supports amovibles dans le menu déroulant Cibles à
analyser et ensuite en cliquant sur Analyser.
· Répéter la dernière analyse - Répète votre dernière opération d'analyse en utilisant exactement les mêmes
paramètres.
REMARQUE
La fonction Répéter la dernière analyse n'est pas disponible si une analyse de base de données à la demande est
en cours.
51
3.3.1 Analyse Hyper-V
Ce type d'analyse vous permet d'analyser les disques d'un Serveur Microsoft Hyper-V, c'est-à-dire une machine
virtuelle (MV), sans avoir à installer des agents sur la MV en question. La solution de sécurité ESET est installée en
utilisant les privilèges administratifs pour le serveur Hyper-V.
La version actuelle de l'analyse Hyper-V prend en charge l'analyse d'un système virtuel en ligne ou hors ligne dans
Hyper-V. Les types d'analyse pris en charge selon le système Windows Hyper-V hébergé et l'état du système virtuel
sont affichés ici :
Systèmes virtuels avec
fonctionnalité Hyper-V
Windows Server Windows Server Windows Server 2012 Windows Server 2016
2008 R2 Hyper-V
2012 Hyper-V
R2 Hyper-V
Hyper-V
Machine virtuelle en ligne
pas d'analyse
lecture seule
lecture seule
lecture seule
machine virtuelle hors ligne
lecture seule/
nettoyage
lecture seule/
nettoyage
lecture seule/
nettoyage
lecture seule/
nettoyage
Configuration matérielle
La performance du serveur ne devrait pas être affectée lors de l'exécution de machines virtuelles. L'activité
d'analyse utilise principalement les ressources du processeur.
Pour analyser les MV en ligne, de l'espace disque libre est requis. L'espace disque libre doit être au moins le double
de l'espace utilisé par les points de reprise/captures d'écran et les disques virtuels.
Limitations spécifiques
· L'analyse sur stockage RAID, des volumes fractionnés et des disques dynamiques n'est pas prise en charge en
raison de la nature des disques dynamiques. Par conséquent, il est recommandé d'éviter d'utiliser les disques
dynamiques dans votre MV, si possible.
· L'analyse est toujours effectuée sur la machine virtuelle en cours et n'affecte pas les points de contrôle ou les
instantanés.
· L'exécution d'Hyper-V sur un hôte dans la grappe n'est actuellement pas prise en charge par ESET Mail Security.
· Les machines virtuelles sur un hôte qui fonctionne sous Windows Server 2008 R2 peuvent être analysées
seulement en mode de lecture seule (Aucune nettoyage), sans égard au niveau de nettoyage sélectionné dans
les ThreatSense paramètres.
REMARQUE
Bien qu'ESET Security prenne en charge l'analyse du disque virtuel MBR, l'analyse en lecture seule est la seule
méthode prise en charge pour ces cibles. Il est possible de modifier ce paramètre dans Configuration avancée >
Antivirus > Analyse Hyper-V > ThreatSense paramètres > Secteurs d'amorçage.
La machine virtuelle qui doit être analysée est « hors ligne » - mise en Arrêt
ESET Mail Securityutilise la gestion Hyper-V pour détecter et se connecter aux disques virtuels. Ainsi, ESET Mail
Security a le même accès au contenu des disques virtuels, comme s'il accédait aux données et aux fichiers de
n'importe quel lecteur générique.
La machine virtuelle qui doit être analysée est « en ligne » - En cours d'exécution, Suspendue, Enregistrée
ESET Mail Securityutilise Gestion Hyper-V pour détecter et se connecter aux disques virtuels. La connexion en cours
à ces disques est impossible. Par conséquent, ESET Mail Security crée un point de reprise ou une capture d'écran de
la machine virtuelle, puis se connecte au point de reprise ou à la capture d'écran. Une fois l'analyse terminée, le
point de reprise ou la capture d'écran est supprimé. Cela veut dire que l'analyse en lecture seule peut être
exécutée, parce que l'activité d'analyse n'a aucune répercussion sur la machine virtuelle.
Prévoyez une minute pour que la solution de sécurité ESET crée un instantané ou un point de contrôle lors de
l'analyse. Cela devrait être pris en considération lors de l'exécution d'une analyse Hyper-V sur un plus grand nombre
de machines virtuelles.
52
Convention de dénomination
Le module d'analyse Hyper-V utilise la convention de dénomination suivante :
VirtualMachineName\DiskX\VolumeY
où X représente le nombre de disques et Y le nombre de volumes.
par exemple, “Computer\Disk0\Volume1”.
Le suffixe numérique est ajouté en fonction de l'ordre de détection et est identique à l'ordre qui apparaît dans le
Gestionnaire de disques de la MV.
La convention de dénomination est utilisée dans la liste arborescente des cibles qui doivent être analysées, dans la
barre de progression, ainsi que dans les fichiers journaux.
Effectuer une analyse
Une analyse peut être effectuée de 3 façons :
· À la demande - Cliquez sur Analyse Hyper-V pour consulter la liste des machines virtuelles et des volumes
disponibles pour l'analyse.
· Sélectionnez la(les) machine(s) virtuelle(s), le(s) disque(s) ou le(s) volume(s) que vous souhaitez analyser et
cliquez sur Analyser.
· À l'aide du planificateur.
· À l'aide d'ESET Remote Administrator en tant que tâche client nommée Analyse du serveur.
Il est possible d'effectuer plusieurs analyses Hyper-V en même temps.
Vous recevrez une notification avec un lien pour consigner des fichiers lorsque l'analyse est terminée.
Problèmes possibles
· Lors de l'analyse d'une machine virtuelle en ligne, un point de reprise ou une capture d'écran de la machine
virtuelle en en question doit être créé et, lors de la création d'un point de reprise ou d'une capture d'écran,
certaines actions génériques de la machine virtuelle pourraient être restreintes ou désactivées.
· Si une machine virtuelle hors ligne est analysée, elle ne peut être mise en marche tant que l'analyse n'est pas
terminée.
· Le gestionnaire Hyper-V vous permet de donner le même nom à deux machines virtuelles différentes, ce qui peut
être problématique lorsque vous voulez différencier les machines en consultant les journaux d'analyse.
3.4 Quarantaine de courriel
Le gestionnaire de Quarantaine de courriel est offert avec les trois types de Quarantaine :
· Quarantaine locale
· Boîte de courriel de mise en quarantaine
· Quarantaine de MS Exchange
REMARQUE
Si votre gestionnaire de quarantaine de courriels est grisé, cela est dû aux raisons suivantes : Vous exécutez
Microsoft Exchange Server 2003 et 2003 R2 ou SBS 2003 et SBS 2003 R2 sur lesquels cette fonction n'est pas prise
en charge, ou EWS (Exchange Web Services) n'est pas disponible. Cela ne s'applique pas à la quarantaine locale;
la quarantaine locale fonctionnera sur tous les serveurs exchange et indépendamment de la disponibilité d'EWS.
REMARQUE
Le lien interface Web de la Quarantaine de courriel est une alternative au gestionnaire de Quarantaine de
courriel qui vous permet de gérer les objets courriel mise en quarantaine.
Filtrage
· Sélectionnez la plage de date (De et Jusqu'au) pour filtrer les courriels mis en quarantaine.
53
· Filtre - Entrez une chaîne dans la zone de texte pour filtrer les courriels affichés (la recherche s'applique à
toutes les colonnes).
IMPORTANT
La mise à jour du gestionnaire de la Quarantaine de courriel ne s'effectue pas automatiquement. Nous vous
recommandons de cliquer sur Actualiser
dans la Quarantaine de courriel.
de façon régulière pour afficher les éléments les plus courants
Action
· Libérer - libère le courriel vers le ou les destinataires d'origine à l'aide du répertoire Replay et le supprime de la
quarantaine. Cliquez sur Oui pour confirmer l'action.
REMARQUE
Lors de la libération des courriel de la quarantaine, ESET Mail Security ignore l'en-tête MIME To:, car il peut
facilement être mystifié. À la place, l'information de destinataire initial obtenue grâce à la commande RCPT TO:
pendant la connexion SMTP est utilisée. Cela garantit que le message qui est libéré de la quarantaine sera remis
au bon destinataire.
· Supprimer - Supprime l'élément de la quarantaine. Cliquez sur Oui pour confirmer l'action.
· Détails des courriels mis en quarantaine - double cliquez sur le message mis en quarantaine ou faites un clic
droit, puis sélectionnez Détails, une fenêtre contextuelle s'ouvrira, affichant les détails sur le message mis en
quarantaine. Vous pouvez également obtenir de plus amples renseignements sur ce courriel dans l'en-tête du
courriel RFC.
54
Ces options sont également offertes dans le menu contextuel. Au besoin, cliquez sur Libérer, Supprimer ou
Supprimer définitivement pour entreprendre une action relativement à un courriel mis en quarantaine. Cliquez sur
Oui pour confirmer l'action. Si vous choisissez Supprimer définitivement, le message sera aussi supprimé du
système de fichiers, contrairement à l'option Supprimer qui supprimera l'élément de la vue du gestionnaire de la
Quarantaine de courriel.
3.4.1 Détails des courriels mis en quarantaine
Cette fenêtre contient de l'information au sujet des messages mis en quarantaine comme le Type, la Raison, l'Objet,
l'Expéditeur, les Destinataires SMTP, Destinataire, CC, la Date, les Fichiers joints et les En-têtes. Vous pouvez
sélectionner, copier et coller les en-têtes au besoin.
Vous pouvez choisir l'action à prendre concernant les messages mis en quarantaine, à l'aide des boutons suivants :
· Libérer - libère le courriel vers le ou les destinataires d'origine à l'aide du répertoire Replay et le supprime de la
quarantaine. Cliquez sur Oui pour confirmer l'action.
· Supprimer - supprime l'élément de la quarantaine. Cliquez sur Oui pour confirmer l'action.
Cliquez sur le bouton Annuler pour fermer la fenêtre des détails des courriels mis en quarantaine.
55
3.5 Mise à jour
La mise à jour régulière de ESET Mail Security constitue la meilleure méthode pour maintenir le niveau maximal de
sécurité pour votre ordinateur. Le module de mise à jour veille à ce que le programme soit toujours à jour de deux
façons : en mettant à jour la base de données des signatures de virus et les composants système.
Cliquez sur Mettre à jour dans la fenêtre principale du programme pour afficher l'état actuel de la mise à jour de
votre système, y compris la date et l'heure de la dernière mise à jour réussie. La fenêtre principale contient
également la version de la banque de données de virus. Le numéro de version de la mise à jour est un lien actif vers
des informations sur les signatures ajoutées dans la mise à jour donnée.
Cliquez sur Mettre jour maintenant pour vérifier les mises à jour. Mettre à jour la banque de données de virus et les
composants du programme est un élément important pour assurer une protection totale contre les attaques des
programmes malveillants.
Dernière mise à jour réussie - Date de la dernière mise à jour. Assurez-vous qu'il s'agit d'une date récente indiquant
que la banque de données de virus est à jour.
Version de la banque de données de virus - Le numéro de la banque de données de virus, qui est également un lien
actif vers le site Web ESET. Cliquez pour afficher la liste de toutes les signatures ajoutées à une mise à jour donnée.
Processus de mise à jour
Le processus de téléchargement débutera lorsque vous aurez cliqué sur Mettre à jour maintenant. Vous pourrez
voir la progression de la mise à jour. Pour interrompre la mise à jour, cliquez sur Annuler la mise à jour.
IMPORTANT
Dans des circonstances normales, lorsque les mises à jour sont téléchargées correctement, le message Une mise
à jour n'est pas nécessaire - la base de données des signatures de virus est à jour s'affiche dans la fenêtre Mise à
jour. Si ce n'est pas le cas, le programme n'est pas à jour et est donc plus vulnérable à une infection.
56
Assurez-vous de mettre à jour la base de données des signatures de virus dès que possible. Dans d'autres
circonstances, l'un des messages d'erreur suivants s'affiche :
La base de données des signatures de virus n'est plus à jour - Cette erreur apparaît après plusieurs tentatives
infructueuses de mise à jour de la base de données des signatures de virus. Nous recommandons de vérifier les
paramètres de mise à jour. La cause la plus courante de cette erreur est une entrée incorrecte des données
d'authentification ou une configuration incorrecte des paramètres de connexion.
La notification précédente a trait aux deux messages Échec de mise à jour de la banque de données de virus sur les
mises à jour infructueuses :
Licence non valide - La clé de licence contient une erreur dans la configuration des mises à jour. Veuillez vérifier
vos données d'authentification. La fenêtre Configuration avancée (appuyez sur la touche F5 de votre clavier)
contient des options de mise à jour supplémentaires. Cliquez sur Aide et soutien > Gérer les licences à partir du
menu principal pour entrer une nouvelle clé de licence.
Une erreur est survenue pendant le téléchargement des fichiers de mise à jour - Les paramètres de connexion
Internet sont une cause possible de cette erreur. Nous vous recommandons de vérifier votre connectivité à
Internet en ouvrant un site Web dans votre navigateur. Si le site Web ne s'ouvre pas, il est probable qu'aucune
connexion à Internet ne soit établie ou que votre ordinateur ait des problèmes de connectivité. Consultez votre
fournisseur de services Internet si vous ne disposez pas d'une connexion Internet active.
REMARQUE
Pour de plus amples renseignements, veuillez lire cet article de la Base de connaissances.
57
3.5.1 Configuration de la mise à jour de la banque de données de virus
La mise à jour de la base des signatures de virus et des composants du programme est un aspect important qui
permet d’assurer une protection complète contre les attaques par les programmes malveillants. Il faut donc
accorder une grande attention à sa configuration et à son fonctionnement. À partir du menu principal, allez à Mettre
à jour, puis cliquez sur Mettre à jour maintenant pour vérifier la disponibilité d'une base de données des signatures
plus récente.
58
Vous pouvez configurer les paramètres de mise à jour à partir de la fenêtre Configuration avancée (appuyez sur la
touche F5 de votre clavier). Pour configurer les options avancées de mise à jour comme le mode de mise à jour,
l'accès au serveur mandataire, la connexion par réseau local et les paramètres de copie des signatures de virus
(miroir), cliquez sur Mettre à jour > Profils. Si vous éprouvez des problèmes avec la mise à jour, cliquez sur Effacer
pour effacer la mémoire cache temporaire de mise à jour.
59
Le menu Serveur de mise à jour est défini par défaut à Choisir automatiquement. Choisir automatiquement signifie
que le serveur de mise à jour, depuis lequel sont téléchargées les mises à jour des signatures de virus, sera
sélectionné automatiquement. Nous recommandons de ne pas modifier l'option par défaut. Si vous ne voulez pas
que la barre de notification du système apparaisse dans le coin inférieur droit de l'écran, sélectionnez Désactiver la
notification à propos des mises à jour réussies.
Le programme doit être mis à jour automatiquement pour assurer un fonctionnement optimal. Cela n'est possible
que si la Clé de licence appropriée est entrée dans Aide et assistance > Activer la licence.
Si vous n'avez pas activé votre produit après l'installation, vous pouvez le faire à tout moment. Pour plus de
renseignements sur l'activation, veuillez consulter la rubrique Comment activer ESET Mail Security et entrez les
données de licence que vous avez reçues avec votre produit de sécurité ESET dans la fenêtre de détails de licence.
60
3.5.2 Configuration du serveur mandataire pour recevoir les mises à jour
Si vous utilisez un serveur mandataire pour contrôler la connexion à Internet à partir d'un système sur lequel ESET
Mail Security est installé, les paramètres du mandataire doivent être réglés dans le Configuration avancée. Pour
accéder à la fenêtre de configuration du serveur mandataire, appuyez sur la touche F5 pour ouvrir la fenêtre
Configuration avancée, puis cliquez sur Mettre à jour > Profiles > Mandataire HTTP.
Sélectionnez Connexion par un serveur mandataire à partir du menu déroulant mode Mandataire et complétez les
détails de votre serveur mandataire : Serveur mandataire (adresse IP), numéro de Port et Nom d'utilisateur et Mot
de passe (le cas échéant).
Si vous avez des doutes quant aux détails du serveur mandataire, vous pouvez sélectionner Utiliser les paramètres
de serveur mandataire généraux à partir de la liste déroulante pour détecter automatiquement les paramètres de
votre serveur mandataire.
REMARQUE
Les options du serveur mandataire peuvent varier selon les profils de mise à jour. Si tel est le cas, configurez les
différents profils de mise à jour dans la Configuration avancée en cliquant sur Mettre à jour > Profil.
Utiliser une connexion directe si le mandataire n'est pas disponible - Si un produit est configuré pour utiliser le
mandataire HTTP et que ce dernier n'est pas joignable, le produit contournera le mandataire et communiquera
directement avec les serveurs d'ESET.
61
3.6 Configuration
Le menu Configuration contient les options suivantes :
· Serveur
· Ordinateur
· Outils
Pour désactiver temporairement des modules individuels, cliquez sur le commutateur vert
situé à côté du
module désiré. Notez que cela peut réduire le niveau de protection de l'ordinateur.
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur le commutateur rouge
pour
rétablir le composant à son état activé.
Pour accéder aux paramètres détaillés d'un composant de sécurité en particulier, cliquez sur l'icône de la roue
dentée .
Cliquez sur Configuration avancée ou appuyez sur F5 pour configurer les paramètres avancés.
On trouve également des options supplémentaires au bas de la fenêtre de configuration. Pour charger les
paramètres de configuration à l'aide d'un fichier de configuration .xml ou pour enregistrer les paramètres de
configuration actuels dans un fichier de configuration, utilisez l'option Importer/Exporter les paramètres. Veuillez
consulter la section Importer/Exporter les paramètres pour plus de détails.
62
3.6.1 Serveur
Vous verrez une liste de composants que vous pouvez activer/désactiver en utilisant le commutateur
configurer les paramètres d'un élément de la liste en particulier, cliquez sur la roue dentée .
. Pour
· Protection antivirus - Protège le système des attaques malveillantes en contrôlant les échanges de fichiers et de
courriels, ainsi que les communications Internet.
· Protection antipourriel - Intègre plusieurs technologies (RBL, DNSBL, pistage par empreinte numérique unique,
vérification de la réputation, analyse du contenu, règles, ajout manuel à la liste blanche et à la liste noire, etc.)
pour détecter le plus grand nombre possible de menaces par courriel.
· La fonctionnalité Exclusions automatiques identifie les applications serveur critiques et les fichiers du système
d'exploitation du serveur et les ajoute automatiquement à la liste des Exclusions. Elle minimisera le risque de
conflits potentiels et augmentera la performance globale du serveur sur lequel s'exécute un logiciel antivirus.
· Pour configurer la Grappe ESET, cliquez sur Assistant de la grappe. Pour plus de détails sur l'utilisation de
l'assistant de configuration de la Grappe ESET, cliquez ici.
Si vous voulez définir les options plus en détail, cliquez sur Configuration avancée ou appuyez sur F5.
On trouve également des options supplémentaires au bas de la fenêtre de configuration. Pour charger les
paramètres de configuration à l'aide d'un fichier de configuration .xml ou pour enregistrer les paramètres de
configuration actuels dans un fichier de configuration, utilisez l'option Importer/Exporter les paramètres. Veuillez
consulter la section Importer/Exporter les paramètres pour plus de détails.
63
3.6.2 Ordinateur
ESET Mail Security possède tous les composants pour assurer une bonne protection du serveur comme un
ordinateur. Chaque composant offre un type de protection spécifique, telle une protection : antivirus et antilogiciel espion, en temps réel du système de fichier, de l'accès Web, du client de messagerie, antihameçonnage,
etc.
La section Ordinateur se trouve sous Configuration > Ordinateur. Vous verrez une liste de composants que vous
pouvez activer/désactiver en utilisant le commutateur
. Pour configurer les paramètres d'un élément de la liste
en particulier, cliquez sur la roue dentée .
La Protection en temps réel du système de fichier offre aussi l'option Modifier les exclusions, qui ouvre la fenêtre
des paramètres exclusions, à partir de laquelle vous pouvez exclure des fichiers et des dossiers de l'analyse.
Suspendre la protection antivirus et anti-logiciel espion - Chaque fois que vous désactivez temporairement la
protection antivirus et anti-logiciel espion, vous pouvez sélectionner la durée pendant laquelle vous voulez que le
composant sélectionnez soit désactivé en utilisant le menu déroulant puis en cliquant sur Appliquer pour désactiver
le composant de sécurité. Pour réactiver la protection, cliquez sur Activer la protection antivirus et anti-logiciel
espion.
La configuration de la protection du module Ordinateur vous permet d'activer ou de désactiver les composants
suivants :
· Protection en temps réel du système de fichier - Tous les fichiers sont analysés à la recherche de programmes
malveillants à leur ouverture, leur création ou leur exécution sur votre ordinateur.
· Protection des documents - La fonctionnalité de protection des documents analyse les documents Microsoft
Office avant leur ouverture, ainsi que les fichiers téléchargés automatiquement par Internet Explorer, tels que les
éléments Microsoft ActiveX.
64
REMARQUE
Protection des documents est désactivée par défaut. Vous pouvez cependant l'activer facilement en cliquant sur
l'icône du commutateur.
· Contrôle de périphériques - Ce module vous permet d'analyser, de bloquer ou de régler les filtres ou les
permissions étendus et de définir la capacité d'un utilisateur d'accéder à un périphérique donné et de travailler
avec celui-ci.
· HIPS - Le système HIPS surveille les événements qui se produisent dans le système d'exploitation et réagit à ces
derniers, en fonction d'un ensemble personnalisé de règles.
· Mode de présentation - Le mode de présentation est une fonctionnalité destinée aux utilisateurs qui exigent une
utilisation interrompue de leur logiciel, qui ne veulent pas être dérangés par des fenêtres contextuelles et qui
veulent minimiser la charge sur l'UC. Un message d'avertissement s'affichera (risque potentiel à la sécurité) et la
fenêtre principale deviendra orange après l'activation du Mode Présentation.
· Protection antivirus furtif - Assure la détection de programmes dangereux, comme les programmes malveillants
furtifs, qui sont capable de se cacher du système d'exploitation. Ils sont donc impossibles à détecter avec les
techniques de test ordinaires.
· Protection de l'accès Web - Si cette option est activée, tout le trafic HTTP ou HTTPS est analysé à la recherche de
codes malveillants.
· La protection du client de messagerie - Surveille la communication effectuée par l'entremise des protocoles POP3
et IMAP.
· Protection anti-hameçonnage - Protège contre les tentatives de vol de vos mots de passe, de vos données
bancaires et d'autres informations sensibles par des sites Web illégitimes déguisés en sites légitimes.
On trouve également des options supplémentaires au bas de la fenêtre de configuration. Pour charger les
paramètres de configuration à l'aide d'un fichier de configuration .xml ou pour enregistrer les paramètres de
configuration actuels, utilisez l'option Importer/Exporter les paramètres. Veuillez consulter la section Importer/
Exporter les paramètres pour plus de détails.
Si vous voulez définir les options plus en détail, cliquez sur Configuration avancée ou appuyez sur F5.
65
3.6.3 Outils
Journalisation diagnostique - Lorsque vous cliquez sur l'interrupteur pour activer la journalisation diagnostique,
vous pouvez choisir la durée de son activation (10 minutes, 30 minutes, 1 heure, 4 heures, 24 heures, jusqu'au
prochaine redémarrage du serveur ou en permanence).
Lorsque vous cliquez sur l'icône d'engrenage
, la fenêtre de configuration avancée s'ouvre. Vous pouvez alors
configurer les composants qui écrivent dans les journaux de diagnostic lorsque l'option de journalisation de
diagnostic est activée.
66
· Activer la Journalisation diagnostique pour la période de temps sélectionnée.
3.6.4 Importer et exporter les paramètres
Cliquez sur Configuration > Paramètres d'importation/exportation pour accéder aux paramètres d'importation/
exportation de ESET Mail Security.
L'importation et l'exportation utilisent tous deux des fichiers de type .xml. Ces fonctions sont utiles si vous devez
faire une copie de sauvegarde de la configuration actuelle de ESET Mail Security. Elles peuvent être utilisées
ultérieurement afin d'appliquer les mêmes paramètres à d'autres ordinateurs.
REMARQUE
Une erreur peur se produire lors de l'exportation de paramètres si vous n'avez pas les privilèges pour écrire le
67
fichier exporté dans le répertoire spécifié.
3.7 Outils
Le menu Outils comprend des modules qui contribuent à simplifier l'administration du programme et offrent des
options supplémentaires. Ce menu comprend les outils suivants :
· Processus en cours
· Surveiller l'activité
· ESET Shell
· Statistiques de protection
· Grappe
· ESET SysInspector
· ESET SysRescue Live
· Planificateur
· Soumettre un échantillon pour analyse
· Quarantaine
68
3.7.1 Processus en cours
Processus en cours affiche les programmes ou processus en cours d'exécution sur votre ordinateur et s'assure
qu'ESET est continuellement avisé des nouvelles infiltrations, et ce, dès qu'elles se produisent. ESET Mail Security
donne de l'information détaillée sur les processus en cours d'exécution pour protéger les utilisateurs grâce à la
technologie ESET LiveGrid.
Niveau de risque - Le plus souvent, ESET Mail Security affecte, grâce à la technologie ESET LiveGrid, des niveaux de
risque aux objets (fichiers, processus, clés de registre, etc.) à l'aide d'une série de règles heuristiques qui
examinent les caractéristiques de chaque objet, puis pondèrent son potentiel d'activité nuisible. Sur la base de
cette heuristique, un niveau de risque de sera attribué aux objets : 1 - Bon (vert) à 9 - Risqué (rouge).
Processus - Nom de l'image du programme ou du processus actuellement en cours d'exécution sur votre ordinateur.
Vous pouvez aussi utiliser le Gestionnaire des tâches de Windows pour afficher tous les processus en cours
d'exécution sur votre ordinateur. Vous pouvez ouvrir le Gestionnaire des tâches en cliquant à droite dans une zone
vide de la barre des tâches, puis sur Gestionnaire des tâches, ou vous pouvez également appuyer sur les touches
Ctrl+Shift+Esc de votre clavier.
PID - C'est un identifiant des processus s'exécutant sur les systèmes d'exploitation Windows.
REMARQUE
Les applications connues marquées Ok (vert) sont vraiment propres (ajoutées à la liste blanche) et seront
exclues de l'analyse, puisque cela permettra d'améliorer la vitesse de l'analyse à la demande ou de la protection
du système en temps réel sur votre ordinateur.
Nombre d'utilisateurs - Le nombre d'utilisateurs qui utilisent une application donnée. Cette information est
colligée par la technologie ESET LiveGrid.
Heure de découverte - Période depuis que l'application a été découverte par la technologie ESET LiveGrid.
69
REMARQUE
Lorsqu'une application est marquée comme Inconnue (orange) , elle n'est pas nécessairement un logiciel
malveillant. Il s'agit généralement d'une application plus récente. Si vous avez des doutes au sujet du fichier,
utilisez la fonction Soumettre le fichier pour fins d'analyse pour envoyer le fichier au laboratoire ESET Virus Lab.
Si le fichier se révèle être une application malveillante, sa détection sera ajoutée à l'une des prochaines mises à
jour de la banque de données de virus.
Nom de l'application - Le nom d'un programme ou d'un processus donné.
En cliquant sur une application donnée indiquée au bas, l'information suivante s'affichera dans le bas de la fenêtre :
·
·
·
·
·
·
·
·
Chemin - Emplacement d'une application sur votre ordinateur.
Taille - Taille du fichier indiquée en Ko (kilooctets) ou en Mo (mégaoctets).
Description - Caractéristiques du fichier, en fonction de la description provenant du système d'exploitation.
Société - Nom du fournisseur ou du processus d'application.
Version - Information de l'éditeur de l'application.
Produit - Nom de l'application et/ou nom de l'entreprise.
Date de création - Date et heure auxquelles une application a été créée.
Date de modification - Date et heure auxquelles une application a été modifiée pour la dernière fois.
REMARQUE
La vérification de la réputation peut également être effectuée pour des fichiers qui ne se comportent pas
comme des programmes/processus en cours - marquez les fichiers à vérifier, cliquez à l'aide du bouton droit sur
ceux-ci, puis dans le menu contextuel, sélectionnez Options avancées > Vérifier la réputation des fichiers à l'aide
de ESET LiveGrid.
70
3.7.2 Surveiller l'activité
Pour consulter l'activité du système de fichiers et l'Activité du serveur de courriel sous forme de graphique, cliquez
sur Outils > Surveiller l'activité. Au bas du graphique se trouve une chronologie qui enregistre l'activité du système
de fichier en temps réel sur la base de l'intervalle de temps sélectionné. Utiliser le menu déroulant Fréquence de
rafraîchissement pour modifier la fréquence des mises à jour.
Les options suivantes sont disponibles :
· 1 seconde - Le graphique est actualisé toutes les secondes et la chronologie couvre les 10 dernières minutes.
· 1 minute (24 dernières heures) - Le graphique est actualisé toutes les minutes et la chronologie couvre les
24 dernières heures.
· 1 heure (dernier mois) - Le graphique est actualisé toutes les heures et la chronologie couvre le dernier mois.
· 1 heure (mois sélectionné) - Le graphique est actualisé toutes les heures et la chronologie couvre les derniers X
mois sélectionnés. Cliquez sur le bouton Modifier le mois pour faire une autre sélection.
L'axe vertical du Graphique d'activité du système de fichier représente la quantité de données lues (en bleu) et
écrites (en rouge). Les deux valeurs sont exprimées en Ko (kilo-octets)/Mo/Go. Si vous faites glisser la souris sur les
données lues ou écrites dans la légende sous le graphique, celui-ci n'affiche que les données relatives à ce type
d'activité.
71
3.7.2.1 Sélection de la période
Sélectionnez le mois (et l'année) correspondant à l'Activité du système de fichiers ou l'Activité du serveur de
courriel dans le graphique.
3.7.3 Statistiques de protection
Pour afficher un graphique de données statistiques sur les modules de protection de ESET Mail Security, cliquez sur
Outils > Statistiques de la protection. Sélectionnez le module de protection souhaité dans le menu déroulant pour
afficher le graphique et la légende correspondants. Si vous pointez la souris sur un élément de la légende, seules
les données correspondant à celui-ci sont représentées dans le graphique.
Les graphiques statistiques suivants sont disponibles :
· Protection antivirus et anti-logiciel espion - Affiche le nombre d'objets total infectés et nettoyés.
· Protection du système de fichiers - Affiche uniquement les objets lus ou écrits dans le système de fichiers.
· Protection du client de messagerie - Affiche uniquement les objets envoyés ou reçus par les clients de
messagerie.
· Protection du serveur de courriel - Affiche les statistiques sur la protection antivirus et anti-logiciel espion du
serveur de courriel.
· Protection de l'accès Web et antihameçonnage - Affiche les objets téléchargés par des navigateurs Web
seulement.
72
· Protection antipourriel du serveur de messagerie - Affiche l'historique des statistiques antipourriel. Le nombre
Non analysé se rapporte aux objets exclus de l'analyse (sur la base des règles, des messages internes, des
connexion vérifiées, etc.).
· Protection de la liste grise du serveur de courriel - Comprend les statistiques sur l'antipourriel générées par la
méthode d'ajout à la liste grise.
· Activité liée à la protection du serveur de courriel - Affiche les objets vérifiés, bloqués ou supprimés par le
serveur de courriel.
· Performance de la protection du transport du courriel - Affiche les données traitées par VSAPI/Agent de transport
en bits/seconde.
· Activité de protection de la base de données de la boîte de courriel - Affiche les objets traités par VSAPI (nombre
d'objets vérifiés, mise en quarantaine et supprimés).
· Performances de la protection de la base de données des courriels - Affiche les données traitées par VSAPI
(nombres des différentes moyennes pour Aujourd'hui, les Derniers 7 jours et les moyennes Depuis la dernière
réinitialisation).
À côté des graphiques de statistiques, vous pouvez voir le nombre de tous les objets analysés, le nombre d'objets
infectés, le nombre d'objets nettoyés et le nombre d'objets propres. Cliquez sur Réinitialiser pour effacer les
informations statistiques ou cliquez sur Réinitialiser tout pour effacer les données existantes.
3.7.4 Grappe
La Grappe ESET est une infrastructure de communication P2P utilisée par la gamme de produits ESET pour Microsoft
Windows Server.
Cette infrastructure permet aux produits de serveur ESET de communiquer les uns avec les autres et d'échanger des
données telles que la configuration et les notifications, et permet de synchroniser les bases de données de mise en
liste grises et de synchroniser les données requises pour le fonctionnement approprié d'un groupe d'instances de
produits. Il peut s'agir, par exemple, d'un groupe de nœuds dans une grappe de basculement Windows ou d'une
grappe d'équilibrage de la charge réseau (ÉCR) sur lequel des produits ESET sont installés. Dans ces cas, il faut
s'assurer que les produits seront configurés de la même façon dans l'ensemble de la grappe. Grappe ESET garantit
l'uniformité entre les instances.
REMARQUE
Les paramètres de l'interface utilisateur ne sont pas synchronisés entre les nœuds de la grappe ESET.
73
Il est possible d'accéder à la page d'état de la Grappe ESET à partir du menu principal sous Outils > Grappe . Une fois
la configuration réussie, voici à quoi la page d'état devrait ressembler :
Pour configurer la grappe ESET, cliquez sur Assistant de la grappe... Pour plus de détails sur l'utilisation de l'assistant
de configuration de la Grappe ESET, cliquez ici.
Lors de la configuration de la Grappe ESET, il existe deux moyens pour ajouter des nœuds - automatiquement en
utilisant la grappe de basculement Windows/grappe d'équilibrage de la charge réseau existante ou manuellement,
soit en recherchant les ordinateurs qui appartiennent à un groupe de travail ou à un domaine.
Détection automatique - Détecte automatiquement les nœuds appartenant déjà à une grappe de basculement
Windows ou une grappe d'équilibrage de la charge réseau et les ajoute à la grappe ESET.
Parcourir - Vous pouvez ajouter manuellement des nœuds en entrant le nom des serveurs (membres du même
groupe de travail ou du même domaine).
REMARQUE
Il n'est pas nécessaire que les serveurs soient membres d'une grappe de basculement Windows/grappe
d'équilibrage de la charge réseau pour utiliser la fonctionnalité Grappe ESET. Il n'est pas nécessaire que votre
environnement soit doté d'une grappe de basculement Windows ou d'une grappe d'équilibrage de la charge
réseau pour utiliser les grappes ESET.
Une fois que vous avez ajouté les nœuds à votre Grappe ESET, la prochaine étape est l'installation d'ESET Mail
Security sur chaque nœud. Cette opération s'effectue automatiquement pendant la configuration de la Grappe
ESET.
Un authentifiant est exigé lors de l'installation à distance de ESET Mail Security sur d'autres nœuds de la grappe :
· Scénario du domaine - Authentifiant de l'administrateur du domaine
· Scénario du groupe de travail - Vous devez vous assurer que tous les nœuds utilisent le même authentifiant
pour le compte administrateur local.
Dans une grappe ESET, vous pouvez également inclure une combinaison de nœuds ajoutés automatiquement en
74
tant que membres de la grappe de basculement Windows/grappe d'équilibrage de la charge réseau existante, ainsi
que les nœuds ajoutés manuellement (à condition qu'ils appartiennent au même domaine).
REMARQUE
Il est impossible de combiner des nœuds d'un domaine à ceux d'un groupe de travail.
Une autre condition doit être respectée pour créer une grappe ESET : le Partage des fichiers et de l'imprimante doit
être activé dans le pare-feu Windows avant de pousser les solutions ESET Mail Security sur les nœuds de la grappe
ESET.
Les grappes ESET peuvent être démantelées en cliquant sur Détruire la grappe. Chacun des nœuds créera une
entrée dans le journal des événements à propos de la destruction de la grappe ESET. Par la suite, toutes les règles
de coupe-feu ESET seront supprimées du coupe-feu Windows. Les anciens nœuds retrouveront leur état antérieur
et pourront être utilisés de nouveau dans une autre grappe ESET au besoin.
REMARQUE
La création de grappes ESET entre ESET Mail Security et ESET File Security pour Linux n'est pas prise en charge.
De nouveaux nœuds peuvent être ajoutés en tout temps à une grappe ESET existante en exécutant l'Assistant de la
grappe (voir la description ci-dessous et ici).
3.7.4.1 Assistant de la grappe - page 1
La première étape lorsque vous configurez une grappe ESET consiste à ajouter des nœuds. Vous pouvez utiliser soit
l'option Détection automatique ou Parcourir pour ajouter des nœuds. De manière alternative, vous pouvez entrer le
nom du serveur dans la boîte de texte, puis cliquer sur le bouton Ajouter.
Détection automatique ajoute automatiquement les nœuds à partir d'une grappe de basculement Windows/grappe
d'équilibrage de la charge réseau existante. Pour que les nœuds puissent être ajoutés automatiquement, le serveur
que vous utilisez pour créer la grappe ESET doit appartenir à cette grappe de basculement Windows/grappe
d'équilibrage de la charge réseau. La fonctionnalité Autoriser le contrôle à distance doit être activée dans les
propriétés de la grappe d'équilibrage de la charge réseau pour que Grappe ESET puisse détecter correctement les
nœuds. Lorsque vous aurez la liste des nœuds nouvellement ajoutés, vous pourrez supprimer ceux que vous ne
voulez pas.
75
Cliquez sur Parcourir pour rechercher et sélectionner les ordinateurs appartenant à un domaine ou à un groupe de
travail. Cette méthode vous permet d'ajouter des nœuds manuellement à la grappe ESET. Une autre façon d'ajouter
des nœuds est d'entrer le nom d'hôte du serveur que vous voulez ajouter et de cliquer sur Ajouter.
Pour modifier les Nœuds de la grappe indiqués dans la liste, sélectionnez le nœud à supprimer et cliquez sur
Supprimer ou, pour effacer l'ensemble de la liste, cliquez sur en cliquant sur Supprimer tout.
Si vous avez déjà une grappe ESET, vous pouvez y ajouter des nœuds en tout temps. Suivez les mêmes étapes que
celles décrites ci-dessus.
REMARQUE
Tous les nœuds qui restent dans la liste doivent être en ligne et accessibles. L'hôte local est ajouté par défaut
aux nœuds de la grappe.
76
3.7.4.2 Assistant de la grappe - page 2
Sélectionnez le nom de la grappe, le mode de distribution du certificat et choisissez si vous voulez ou non installer
le produit sur d'autres nœuds.
Nom de la grappe - Entrez le nom de la grappe.
Port d'écoute - (9777 est le port par défaut)
Ouvrir le port dans le pare-feu Windows - Lorsque cette option est sélectionnée, une règle est créée dans le parefeu Windows.
Distribution du certificat :
Automatiquement à distance - Le certificat sera installé automatiquement.
Manuellement - Cliquez sur Générer pour ouvrir une fenêtre de navigation, puis sélectionnez le dossier dans lequel
stocker les certificats. Un certificat racine sera créé, ainsi qu’un certificat pour chacun des nœuds, y compris celui
(machine locale) à partir duquel vous configurez la grappe ESET. Vous pouvez choisir d'inscrire le certificat sur la
machine locale en cliquant sur Oui. Vous devrez ensuite importer manuellement les certificats, comme nous l'avons
décrit ici.
Installation du produit sur d'autres nœuds :
Automatiquement à distance - ESET Mail Security sera installé automatiquement sur chaque nœud (à condition que
leur système d'exploitation utilise la même architecture).
Manuel -choisissez cette option si vous voulez installer manuellement ESET Mail Security (par exemple, lorsque vos
nœuds utilisent des architectures avec systèmes d'exploitation différents).
Pousser la licence aux nœuds sans activer le produit - Sélectionnez cette option pour que ESET Security active
automatiquement les solutions ESET installés sur les nœuds sans licence.
REMARQUE
Pour créer une grappe ESET en utilisant des architectures de système d'exploitation variées (32 et 64 bits), vous
77
devrez installer ESET Mail Security manuellement. Le système d'exploitation utilisé sera détectée dans les
prochaines étapes et vous verrez cette information dans la fenêtre du journal.
3.7.4.3 Assistant de la grappe - page 3
Après avoir précisé les détails de l'installation, une vérification des nœuds sera effectuée. Les informations
suivantes seront affichées dans le Journal de vérification des nœuds :
·
·
·
·
·
·
·
78
vérifier que tous les nœuds existants sont en ligne
vérifier que les nouveaux nœuds sont accessibles
le nœud est en ligne
le partage administrateur est accessible
l'exécution à distance est possible
vérifier que les bonnes versions des produits sont installées (ou il n'y a pas de produit)
vérifier que les nouveaux certificats sont présents
Vous verrez le rapport une fois la vérification terminée :
79
3.7.4.4 Assistant de la grappe - page 4
Lorsque le produit est installé sur une machine distante pendant l'initialisation de la grappe ESET, l'assistant tentera
de localiser le programme d'installation dans le répertoire %ProgramData\ESET\<Product_name>\Installer. Si le
progiciel d'installation ne s'y trouve pas, il vous sera demandé d'indiquer l'emplacement du fichier d'installation.
REMARQUE
Lorsque vous tentez d'utiliser l'installation à distance automatique pour un nœud utilisant une architecture
différente (32 bits versus 64 bits), le logiciel le détectera et vous recommandera d'effectuer une installation
manuelle.
80
REMARQUE
Si une version antérieure de ESET Mail Security est déjà installée sur certains nœuds, vous serez informé que la
dernière version est requise sur ces machines. La mise à jour ESET Mail Security peut entraîner un redémarrage
automatique.
81
Une fois que vous avez configuré correctement la grappe ESET, elle apparaîtra comme activée dans la page
Configuration > Serveur.
82
Vous pouvez également en vérifier l'état actuel dans la page d'état de la grappe (Outils > Grappe).
Importer les certificats - Accédez au dossier contenant les certificats (générés lorsque vous avez utilisé l'Assistant
de la grappe). Sélectionnez le fichier du certificat et cliquez sur Ouvrir.
3.7.5 ESET Shell
eShell (nom abrégé de ESET Shell) est une interface de ligne de commande pour ESET Mail Security. C'est une
solution de rechange à l'interface utilisateur graphique (IUG). eShell comprend toutes les fonctionnalités et options
que l'on trouve généralement dans une IUG. eShell permet en outre de configurer et d'administrer l'ensemble du
programme sans devoir utiliser d'IUG.
En plus de toutes les fonctionnalités et fonctions incluses dans l'IUG, elle offre également la possibilité
d'automatiser certaines commandes en exécutant des scripts pour configurer, modifier la configuration ou effectuer
une action. eShell peut aussi être utile pour les personnes qui préfère utiliser la ligne de commande plutôt que
l'IUG.
eShell peut être exécuté dans deux modes :
· Mode interactif - ce mode est utile lorsque vous voulez travailler avec eShell (pas seulement pour exécuter une
commande unique) et effectuer des tâches comme modifier la configuration, afficher les journaux, etc. Vous
pouvez utiliser le mode interactif si vous ne connaissez pas bien les commandes. Le mode interactif vous
permettra de naviguer plus facilement dans eShell. Il vous montrera également les commandes disponibles que
vous pouvez utiliser dans un contexte particulier.
· Commande unique / mode de commandes - vous pouvez utiliser ce mode si vous ne devez exécuter qu'une
commande sans devoir entrer dans le mode interactif de eShell. Cela est possible à partir de l'invite de
commande Windows en entrant eshell avec les paramètres appropriés. Par exemple :
eshell get status
ou eshell
set antivirus status disabled
Afin d'exécuter certaines commandes (comme dans le deuxième exemple ci-dessus) en mode séquentiel/script,
83
vous devez d'abord configurer quelques paramètres. Sinon, vous obtiendrez le message Accès refusé. C'est pour
une raison de sécurité.
REMARQUE
Pour profiter de toutes les fonctionnalités, nous vous recommandons d'ouvrir eShell en utilisant Exécuter en
tant qu'administrateur. La même chose s'applique lorsque vous exécutez une commande simple à l'aide de
l'invite de commande Windows (cmd). Ouvrez le l'invite en utilisant Exécuter en tant qu'administrateur. Si vous
ne démarrez pas l'invite de commande en tant qu'administrateur, vous ne pourrez pas exécuter les commandes
en raison de l'absence d'autorisations.
REMARQUE
Les modifications de paramètres sont nécessaires pour permettre l'utilisation des commandes d'eShell à partir
d'une invite de commande Windows. Pour en savoir plus l'exécution des fichiers séquentiels, cliquez ici.
Pour entrer en mode interactif, vous pouvez procéder de deux manières dans eShell :
· Par le menu Démarrer de Windows : Démarrer > Programmes > ESET > ESET Mail Security > ESET Shell
· À partir de l'invte de commande de Windows en tapant eshell, puis en appuyant sur la touche Entrée
IMPORTANT
Si vous obtenez une erreur 'eshell' is not recognized as an internal or external command, cela est dû au
fait que de nouvelles variables d'environnement ne sont pas chargées par votre système après l'installation de
ESET Mail Security. Ouvrez une nouvelle invite de commande et essayez de redémarrer eShell. Si vous obtenez
toujours une erreur ou que vous avez l'installation principale de ESET Mail Security, démarrez eShell en utilisant
le chemin absolu, par exemple "%PROGRAMFILES%\ESET\ESET Mail Security\eShell.exe" (vous devez utiliser ""
pour que la commande fonctionne).
La première fois que vous exécutez eShell en mode interactif, un écran de première exécution (guide) s'affichera.
REMARQUE
Si vous voulez afficher l'écran de première exécution par la suite, entrez la commande guide . Vous y trouverez
quelques exemples simples d'utilisation d'eShell avec Syntaxe, Préfixe, Chemin de commande, Formulaires
abrégés, Alias, etc.
La prochaine fois que vous exécuterez eShell, vous verrez cet écran :
84
REMARQUE
Les commandes ne sont pas sensibles à la casse. Pour exécuter la commande, vous pouvez utiliser des lettres
majuscules ou des lettres minuscules.
Personnalisation d'eShell
Vous pouvez personnaliser eShell dans le contexte ui eshell. Vous pouvez configurer les alias, les couleurs, le
langage, la politique d'exécution pour les scripts, les paramètres pour les commandes cachées et plus encore.
3.7.5.1 Utilisation
Syntaxe
Pour pouvoir être utilisées, les commandes doivent être formatées avec la syntaxe appropriée. Elles peuvent
comprendre un préfixe, un contexte, des arguments, des options, etc. Voici la syntaxe générale utilisée dans
l'ensemble d'eShell :
[<préfixe>] [<chemin de commande>] <commande> [<arguments>]
Exemple (permet d'activer la protection du document) :
SET AV DOCUMENT STATUS ENABLED
SET
- un préfixe
ANTIVIRUS DOCUMENT
- le chemin d'accès vers une commande particulière, le contexte auquel appartient la
commande
STATUS - la commande elle-même
ENABLED - un argument pour la commande
Utiliser ? comme un argument pour une commande affichera la syntaxe de cette commande particulière. Par
exemple, STATUS ? vous affichera la syntaxe de la commande STATUS :
SYNTAXE :
[get] | status
set status enabled | disabled
Vous pouvez remarquer que le préfixe [get] est indiqué entre crochets. Indique que le préfixe get est la valeur par
défaut de la commande status. ce qui signifie que lorsque vous exécutez la commande état sans préciser de
préfixe, elle utilisera le préfixe par défaut (dans ce cas,get status). Utiliser des commandes sans préfixe exige
moins de temps au moment de l'entrée des données. Le préfixe get est la valeur par défaut généralement utilisée
dans bon nombre de commandes. Il faut cependant vérifier en quoi consiste le préfixe par défaut pour une
commande particulière, puisque c'est précisément cette commande que vous voulez exécuter.
REMARQUE
Les commandes ne sont pas sensibles à la casse. La commande s'exécutera, que vous utilisiez des majuscules ou
des minuscules.
Préfixe / opération
Un préfixe est une opération. La commande GET donnera de l'information à savoir comment est configurée une
certaine fonctionnalité de ESET Mail Security ou affichera l'état (comme GET ANTIVIRUS STATUS , par exemple,
affichera l'état actuel de la protection). La commande SET configurera une fonctionnalité ou changera l'état ( SET
ANTIVIRUS STATUS ENABLED qui, par exemple, activera la protection).
Ce sont les préfixes qu'eShell vous laisse utiliser. Une commande peut ou non prendre en charge l'un des préfixes
suivants :
- Renvoie le paramètre ou l'état actuel
- Règle la valeur ou l'état
SELECT - Entraîne la sélection d'un élément
ADD - Ajoute un élément
REMOVE - Supprime un élément
CLEAR - Supprime tous les éléments ou fichiers
START - Lance une action
STOP - Arrête une action
GET
SET
85
- Met une action en pause
RESUME - Reprend une action
RESTORE - Restaure les paramètres, l'objet ou le fichier par défaut
SEND - Envoie un objet ou un fichier
IMPORT - Importe à partir d'un fichier
EXPORT - Exporte dans un fichier
PAUSE
Des préfixes comme GET et SET sont utilisés avec bon nombre de commandes, bien que certaines comme EXIT
n'utilisent aucun préfixe.
Chemin d'accès / contexte
Les commandes sont placées dans des contextes formant une structure arborescente. La racine est présentée dans
le haut de l'arborescence. Lorsque vous exécutez eShell, vous êtes au niveau de la racine :
eShell>
De là, vous pouvez soit exécuter une commande ou entrer un nom de contexte pour vous déplacer dans
l'arborescence. Par exemple, lorsque vous entrez le contexte TOOLS , vous pourrez alors voir la liste de toutes les
commandes et tous les sous-contextes auxquels vous pouvez accéder à partir de ce contexte.
Les éléments en jaune sont ceux que vous pouvez exécuter alors que ceux qui sont affichés en gris représentent
des sous-contextes dans lesquels vous pouvez entrer. Un sous-contexte contient d'autres commandes.
Si vous devez retourner à un niveau supérieur, utilisez .. (deux points). Si, par exemple, vous vous trouvez ici :
eShell antivirus startup>
tapez .. pour monter d'un niveau, vers :
eShell antivirus>
Si vous voulez retourner à la racine à partir de antivirus startup> (qui se trouve deux niveaux plus bas que la
racine), entrez simplement .. .. (deux points et deux points séparés par une espace). De ce fait, vous remonterez
de deux niveaux, soit jusqu'à la racine, dans ce cas-ci. Utilisez la barre oblique inversée \ pour retourner
directement à la racine à partir de n'importe quel niveau, peu importe la profondeur à laquelle vous vous trouvez
dans l'arborescence. Si vous voulez atteindre un contexte particulier dans les niveaux supérieures, utilisez
simplement le nombre appropriée de .. commandes pour atteindre le niveau voulu, en utilisant une espace
comme séparateur. Par exemple, si vous voulez aller à trois niveaux supérieurs, utilisez .. .. ..
Le chemin d'accès varie selon le contexte actuel. Si la commande est contenue dans le contexte actuel, n'entrez pas
de chemin d'accès. Par exemple, pour exécuter GET ANTIVIRUS STATUS entrez :
GET ANTIVIRUS STATUS
86
- si vous êtes dans le contexte racine (la ligne de commande indique eShell>)
- si vous êtes dans le contexte ANTIVIRUS (la ligne de commande indique eShell antivirus>)
.. GET STATUS - si vous êtes dans le contexte ANTIVIRUS STARTUP (la ligne de commande indique eShell
antivirus startup> )
GET STATUS
REMARQUE
Vous pouvez utiliser seulement . (point) au lieu de deux .. parce que le point seul est l'abréviation de deux
points. Par exemple :
. GET STATUS
- si vous êtes dans le contexte ANTIVIRUS
STARTUP
(la ligne de commande indique eShell
antivirus startup> )
Argument
Un argument vers une action qui est effectuée pour une commande particulière. Par exemple, la commande CLEANLEVEL (qui se trouve dans ANTIVIRUS REALTIME ENGINE ) peut être utilisée avec les arguments suivants :
- Pas de nettoyage
normal - Nettoyage normal
strict - Nettoyage strict
non
Un autre exemple comprend les arguments ENABLED ou DISABLED qui sont utilisés pour activer ou désactiver
certaines fonctionnalités ou caractéristiques.
Forme abrégée / commandes raccourcies
eShell vous permet de raccourcir les contextes, commandes et arguments (à la condition que l'argument soit un
commutateur ou une option de rechange). Il n'est pas possible de raccourcir un préfixe ou un argument comportant
des valeurs concrètes comme un numéro, un nom ou un chemin d'accès.
REMARQUE
Vous pouvez utiliser les chiffres 1 et 0 au lieu enabled et disabled comme arguments. Par exemple :
set status enabled
set status disabled
=>
=>
set stat 1
set stat 0
Exemples de formes abrégées :
set status enabled
=>
set stat en
add antivirus common scanner-excludes C:\path\file.ext
=>
add ant com scann C:\path\file.ext
Dans le cas où deux commandes ou contextes commencent par les mêmes lettres (par exemple ABOUT et ANTIVIRUS,
et que vous entrez A comme commande abrégée), eShell ne pourra pas décider de la commande à exécuter. Un
message d'erreur sera alors affiché, tout comme la liste des commandes commençant par un « A », parmi lesquelles
vous pourrez faire un choix :
eShell>a
La commande suivante n'est pas unique : a
Les commandes suivantes sont disponibles dans ce contexte :
ABOUT - Affiche l'information sur le programme
ANTIVIRUS - Passe à l'antivirus de contexte
Si vous ajoutez une ou plusieurs lettres (par exemple, AB plutôt que simplement A) eShell exécutera la commande
ABOUT puisqu'elle est maintenant unique.
REMARQUE
Lorsque vous voulez être certain qu'une commande fait l'action que vous voulez qu'elle fasse, nous vous
recommandons de ne pas abréger les commandes, arguments, etc. et d'utiliser plutôt la forme complète. De
cette façon, vous serez certain qu'elle exécutera exactement ce que vous voulez et empêchera les erreurs non
voulues. C'est particulièrement vrai pour les fichiers de commandes et scripts.
Complétion automatique
La nouvelle fonctionnalité introduite dans eShell 2.0 eShell ressemble beaucoup au complétage automatique dans
l'invite de commandes Windows. Alors que l'invite de commande Windows complète les chemins d'accès aux
87
fichiers, eShell complète la commande, le contexte et les noms d'opération. Le complétage d'argument n'est pas
pris en charge. Lorsque vous tapez une commande, appuyez simplement sur la touche TAB pour compléter la
commande ou parcourir les variantes disponibles. Appuyez sur les touches Maj. + Tab pour parcourir dans le sens
inverse. La combinaison de formes abrégées et de complétion automatique n'est pas prise en charge. Vous devez
utiliser soit l'une, soit l'autre. Par exemple, lorsque vous tapez antivir real scan le fait d'appuyer sur la touche
Tab n'aura aucun effet. Plutôt, tapez antivir et puis appuyez sur Tab pour compléter antivirus, continuez à taper
real + Tab et scan + Tab. Vous pouvez ensuite explorer toutes les variations disponibles : scan-create, scan-execute,
scan-open, etc.
Alias
Un alias est un autre nom qui peut être utilisé pour exécuter une commande (à la condition qu'un alias ait été
attribué à la commande). Voici quelques alias par défaut :
- quitter
(global) quit - quitter
(global) bye - quitter
warnlog - événements dans le journal des outils
virlog - détections dans le journal des outils
antivirus on-demand log - analyses le journal des outils
(global) close
« (global) » signifie que la commande peut être utilisée n'importe où, quel que soit le contexte actuel. Plusieurs
alias peuvent être attribués à une commande, par exemple, la commande EXIT possède comme alias CLOSE, QUIT et
BYE . Lorsque vous voulez sortir de eShell, vous pouvez utiliser la commande EXIT même ou l'un de ses alias. L'alias
VIRLOG est un alias pour la commande DETECTIONS qui est située dans le contexte TOOLS LOG . De cette façon, la
commande de détection est disponible à partir du contexte ROOT , ce qui permet d'y accéder plus facilement (vous
n'aurez pas à entrer TOOLS puis le contexte LOG et pourrez l'exécuter directement à partir de ROOT).
eShell vous permet de définir vos propres alias. Commande ALIAS peut se trouver dans le contexte UI
ESHELL
.
Paramètres protégées par un mot de passe
Les paramètres de ESET Mail Security peuvent être protégés par un mot de passe. Vous pouvez définir un mot de
passe à l'aide de l'IUG ou eShell en utilisant la commande set ui access lock-password. Vous devrez ensuite
entrer ce mot de passe de manière interactive pour certaines commandes (comme celles utilisées pour modifier les
paramètres ou les données). Si vous prévoyez travailler avec eShell pendant une période de temps plus longue sans
avoir à entrer le mot de passe de manière répétitive, vous pouvez demander à eShell de retenir le mot de passe en
utilisant la commande set password . Votre mot de passe sera ensuite saisi automatiquement à chaque exécution
d'une commande qui nécessite un mot de passe. Il demeure en mémoire jusqu'à ce que vous quittiez eShell. Vous
devrez donc utiliser set password encore une fois au démarrage d'une nouvelle session et demander à eShell de
retenir votre mot de passe.
Guide/aide
Exécuter la commande GUIDE ou HELP affichera l'écran de « première exécution » expliquant comment utiliser
eShell. Cette commande est disponible à partir du contexte ROOT ( eShell>).
Historique des commandes
eShell conserve l'historique des commandes déjà exécutées. Cela ne s'applique qu'à la session interactive actuelle
de eShell. Lorsque vous quittez eShell, l'historique des commandes est alors effacé. Utilisez les touches flèches
Haut et Bas de votre clavier pour naviguer dans l'historique. Une fois que vous aurez trouvé la commande que vous
cherchiez, vous pourrez l'exécuter de nouveau ou la modifier, sans avoir à répéter entièrement la commande du
début.
CLS / effacer l'écran
La commande CLS peut être utilisée pour effacer l'écran. Elle fonctionne de la même façon que dans l'invite de
commande de Windows ou dans une autre interface avec ligne de commande semblable.
EXIT / CLOSE / QUIT / BYE
Pour fermer eShell ou en sortir, vous pouvez utiliser n'importe laquelle de ces commandes ( EXIT, CLOSE, QUIT ou
BYE ).
88
3.7.5.2 Commandes
Cette section dresse une liste de quelques commandes de base eShell avec des descriptions.
REMARQUE
Les commandes ne sont pas sensibles à la casse. La commande s'exécutera, que vous utilisiez des majuscules ou
des minuscules.
Exemple de commandes (contenues dans le contexte ROOT) :
ABOUT
Affiche de l'information sur le programme. Il s'agit par exemple de :
· Nom de votre produit de sécurité ESET installé ainsi que son numéro de version.
· Système d'exploitation et renseignements de base sur le matériel.
· Nom d'utilisateur (y compris le domaine), Nom complet de l'ordinateur (FQDN, si votre serveur est un membre
d'un domaine) et le nom de siège.
· Composants installés de votre produit de sécurité ESET, y compris le numéro de version de chaque composant.
CHEMIN DE CONTEXTE :
root
PASSWORD
En temps normal, pour pouvoir exécuter des commandes protégées par mot de passe, vous serez invité à entrer un
mot de passe, et ce, à des fins de sécurité. Cela s'applique à des commandes comme celles qui désactivent la
protection antivirus et à celles qui peuvent avoir des répercussions sur la configuration de ESET Mail Security. Vous
serez invité à entrer un mot de passe chaque fois que vous exécutez une telle commande. Vous pouvez définir ce
mot de passe pour ne pas avoir à l'entrer chaque fois. Celui-ci sera gardé en mémoire par eShell et il sera entré
automatiquement, lorsqu'une commande protégée par mot de passe est exécutée.
REMARQUE
Votre mot de passe ne peut être utilisé que dans la session interactive eShell en cours. Une fois que vous
quitterez eShell, ce mot de passe défini sera supprimé. Lorsque vous redémarrerez eShell, vous devrez définir
de nouveau le mot de passe.
Le mot de passe défini est aussi utile lorsque vous exécutez des fichiers séquentiels ou des scripts de commandes
non signés. Assurez-vous de mettre la politique d'exécution d'ESET Shell) à Accès complet lors de l'exécution de
fichiers séquentiels non signés. Voici un exemple d'un tel fichier :
eshell set password plain <yourpassword> "&" set status disabled
Cette commande concaténée définira un mot de passe et désactivera la protection.
IMPORTANT
Nous vous recommandons d'utiliser des fichiers séquentiels signés chaque fois que cela est possible. En
procédant ainsi, vous évitez d'avoir un mot de passe texte dans le fichier séquentiel (si vous utilisez la méthode
décrite ci-dessus). Voir Fichiers séquentiels/ Scripts (section Fichiers séquentiels signés) pour plus de détails.
CHEMIN DE CONTEXTE :
racine
SYNTAXE :
[get] | restore password
set password [plain <password>]
OPÉRATIONS :
get
- Afficher le mot de passe
89
set
- Régler ou effacer le mot de passe
restore
- Effacer le mot de passe
ARGUMENTS :
plain
- Basculer pour entrer le mot de passe comme paramètre
password
- Mot de passe
EXEMPLES :
set password plain <votre mot de passe>
- Règle un mot de passe qui sera utilisé pour les commandes
protégées par mot de passe
restore password
- Effacer le mot de passe
EXEMPLES :
get password - Utilisez cette commande pour voir si le mot de passe est configuré ou non (n'affiche que des
astérisques « * », n'indique pas le mot de passe lui-même). Lorsqu'aucun astérisque n'est visible, cela signifie
qu'aucun mot de passe n'a été réglé
set password plain <votre mot de passe>
restore password
- Utilisé pour régler le mot de passe défini
- Cette commande efface le mot de passe défini
STATUS
Affiche l'information sur l'état actuel de la protection de ESET Mail Security (semblable à l'interface graphique
utilisateur).
CHEMIN DE CONTEXTE :
racine
SYNTAXE :
[get] | restore status
set status disabled | enabled
OPÉRATIONS :
get
- Affiche l'état de protection antivirus
set
- Désactive ou active la protection antivirus
restore
- Restaure les paramètres par défaut
ARGUMENTS :
disabled
enabled
- Désactiver la protection antivirus
- Activer la protection antivirus
EXEMPLES :
get status
- Affiche l'état actuel de la protection
set status disabled
restore status
- Désactive la protection
- Restaure la protection à la valeur par défaut (activée)
VIRLOG
L'alias de la commande DETECTIONS , Cette commande est utile lorsque vous devez afficher de l'information sur les
infiltrations ayant été détectées.
WARNLOG
90
L'alias de la commande EVENTS , Cette commande est utile lorsque vous devez afficher de l'information sur
différents événements.
3.7.5.3 Fichiers séquentiels/script
Vous pouvez utiliser eShell comme un outil puissant pour l'automation. Pour utiliser un fichier séquentiel avec
eShell, créez-en un avec un eShell et une commande intégrés. Par exemple :
eshell get antivirus status
Vous pouvez aussi utiliser une chaîne de commande, ce qui est parfois nécessaire, par exemple si vous voulez
obtenir un type d'une tâche planifiée spécifique, entrez la ligne suivante :
eshell select scheduler task 4 "&" get scheduler action
Normalement, la sélection d'un élément (tâche numéro 4 dans ce cas) s'applique seulement à une instance en cours
d'exécution d'eShell. Dans le cas où vous voudriez exécuter ces deux commandes l'une après l'autre, la seconde
commande se solderait par un échec avec comme message d'erreur : « Aucune tâche sélectionnée ou la tâche
sélectionnée n'existe plus ».
Pour des raisons de sécurité, la politique d'exécution est définie par défaut à Script limité. Cela vous permet
d'utiliser eShell comme outil de surveillance, mais il vous sera impossible d'apporter des modifications à la
configuration de ESET Mail Security en exécutant un script. Si vous essayez d'exécuter un script à l'aide d'une
commande qui peut avoir une incidence sur la sécurité, par exemple, en désactivant la protection, le message Accès
refusé sera affiché. Nous vous recommandons d'utiliser des fichiers séquentiels signés.pour exécuter des
commandes qui apportent des modifications à la configuration.
Pour modifier la configuration à l'aide d'une seule commande entrée manuellement dans l'invite de commandes
Windows, vous devez accorder un accès complet à eShell (non recommandé). Pour donner l'accès complet, utilisez
la commande ui eshell shell-execution-policy en mode Interactif de eShell, ou passez par l'IUG dans Paramètres
avancés > Interface utilisateur > ESET Shell.
Les fichiers séquentiels signés
vous permettent de sécuriser les fichiers séquentiels communs (*.bat) grâce à une signature. Les scripts sont signés
à l'aide du même mot de passe que celui utilisé pour la protection des paramètres. Pour signer un script, vous devez
d'abord activer la protection des paramètres. Vous pouvez le faire par l'intermédiaire de l'IUG ou à partir d'eShell en
utilisant la commande set ui access lock-password . Une fois que le mot de passe de la protection des
paramètres est configuré, vous pouvez commencer à signer des fichiers séquentiels.
Pour signer un fichier séquentiel, exécutez sign <script.bat> à partir du contexte racine d'eShell, où script.bat est
le chemin vers le script que vous voulez signer. Entrez et confirmez le mot de passe qui sera utilisé pour la
signature. Ce mot de passe doit correspondre au mot de passe de la protection des paramètres. La signature est
placée à la fin du fichier séquentiel sous la forme d'un commentaire. Dans le cas où ce script a déjà été signé,
l'ancienne signature sera remplacée par la nouvelle.
REMARQUE
Lorsque vous modifiez un fichier séquentiel déjà signé, ce dernier doit être signé de nouveau.
REMARQUE
Si vous modifiez le mot de passe de la protection des paramètres, vous devez alors signer tous les scripts de
nouveau, sinon l'exécution des scripts échouera après la modification du mot de passe. Le mot de passe que
vous entrez lorsque vous signez un script doit correspondre au mot de passe de la protection des paramètres sur
le système cible.
Pour exécuter un fichier séquentiel signé à l'aide de l'invite de commande Windows ou en tant que tâche planifiée,
utilisez la commande suivante :
eshell run <script.bat>
Où script.bat est le chemin vers le fichier séquentiel. Par exemple eshell
run d:\myeshellscript.bat
91
3.7.6 ESET SysInspector
ESET SysInspector est une application qui inspecte complètement votre ordinateur et collige de l'information
détaillée sur les composants système, tels que les pilotes et applications installés, les connexions réseau ou des
entrées de registre importantes, et évalue le niveau de risque de chacun des composants. Ces données peuvent
aider à déterminer la cause d'un comportement suspect du système pouvant être dû à une incompatibilité logicielle
ou matérielle, ou à une infection par logiciel malveillant.
La fenêtre ESET SysInspector affiche les données suivantes sur les journaux créés :
·
·
·
·
Heure - L'heure de création du journal.
Commentaire - Un bref commentaire.
Utilisateur - Le nom de l'utilisateur ayant créé le journal.
État - L'état de création du journal.
Les actions suivantes sont disponibles :
· Ouvrir - Ouvre le journal créé. Vous pouvez aussi cliquer à l'aide du bouton droit de la souris sur un fichier journal
et sélectionner Afficher à partir du menu contextuel.
· Comparer - Compare deux journaux existants.
· Créer - Crée un journal. Patientez jusqu'à ce que le journal ESET SysInspector soit prêt (État indiquant Créé).
· Supprimer -Supprime les journaux sélectionnés de la liste.
Après avoir cliqué à droite pour sélectionner un ou plusieurs journaux, les options suivantes s'afficheront, dans le
menu contextuel :
· Afficher - Ouvre le journal sélectionné dans ESET SysInspector (ou double-cliquez sur un journal pour la même
fonction).
· Comparer - Compare deux journaux existants.
· Créer - Crée un journal. Veuillez patienter jusqu'à ce que le journal de ESET SysInspector soit prêt (État indiquant
Créé).
· Supprimer -Supprime les journaux sélectionnés de la liste.
· Supprimer tout - Supprime tous les journaux.
· Exporter - Exporte le journal vers un fichier .xml ou un fichier .xml zippé.
3.7.6.1 Créer un instantané de l'état de l'ordinateur
Entrez un bref commentaire décrivant le journal à créer, puis cliquez sur le bouton Ajouter. Veuillez patienter
jusqu'à ce que le journal ESET SysInspector soit prêt (État indiquant Créé). La création d'un journal peut demander
un certain temps selon la configuration de votre matériel informatique et des données du système.
3.7.7 ESET SysRescue Live
est une fonctionnalité qui vous permet de créer un disque de démarrage contenant une des solutions ESET Security
- ESET NOD32 Antivirus, ESET Smart Security ou certains produits orientés serveur. Le principal avantage d'ESET
SysRescue Live est le fait que la solution ESET Security s'exécute indépendamment du système d'exploitation hôte,
tout en ayant un accès direct au disque et au système de fichier. Cela permet de supprimer des infiltrations qui,
dans des circonstances normales, ne pourraient pas être supprimées, par exemple lorsque le système
d'exploitation est en cours d'exécution, etc.
92
3.7.8 Planificateur
Le planificateur se trouve dans la section Outils de la fenêtre principale du programme. Le planificateur gère et
lance les tâches planifiées selon les paramètres définis.
Le planificateur contient une liste de toutes les tâches planifiées sous la forme d'un tableau qui indique les
paramètres tels que le type de Tâche, le Nom de la tâche, l'Heure de démarrage et la Dernière exécution. Pour plus
de détails, double-cliquez sur une tâche pour avoir un aperçu de la tâche planifiée. Après l'installation, il y a un
ensemble de tâches prédéfinies. Vous pouvez aussi créer de nouvelles tâches planifiées en cliquant sur Ajouter une
tâche.
Lorsque vous cliquez avec le bouton droit sur une tâche, vous pouvez choisir une action à effectuer. Les actions
possibles sont :
· Afficher les détails des tâches
· Exécuter maintenant
· Ajouter...
· Modifier...
· Supprimer
Utilisez la case à cocher située à côté d'une tâche pour l'activer ou la désactiver. Pour modifier la configuration d'une
tâche planifiée existante, cliquez avec le bouton droit sur la tâche, puis sur Modifier... ou sélectionnez la tâche que
vous voulez modifier, puis cliquez sur le bouton Modifier....
Les tâches planifiées par défaut (prédéfinies) sont :
·
·
·
·
·
·
Maintenance des journaux
Mise à jour automatique régulière
Mise à jour automatique après une connexion commutée
Mise à jour automatique après l'ouverture de session utilisateur (cette tâche n'est pas activée par défaut)
Vérification automatique des fichiers au démarrage (après ouverture de session utilisateur)
Vérification automatique des fichiers au démarrage (après la mise à jour réussie de la base des signatures de
93
virus)
· Première analyse automatique
3.7.8.1 Planificateur - Ajouter une tâche
Pour créer une nouvelle tâche dans le planificateur, cliquez sur Ajouter une tâche ou faites un clic droit et
sélectionnez Ajouter dans le menu contextuel. Un assistant s'ouvre alors pour vous aider à créer une tâche
planifiée. Voyez plus bas pour obtenir des instructions pas à pas :
1. Entrez le nom de la tâche et sélectionnez votre type de tâche souhaité à partir du menu déroulant :
· Exécuter une application externe - Planifie l'exécution d'une application externe.
· Maintenance des journaux - Les fichiers journaux contiennent aussi les restes des enregistrements
supprimés. Cette tâche optimise les enregistrements dans les fichiers journaux de façon régulière, afin qu'ils
puissent fonctionner de façon efficace.
· Contrôle des fichiers de démarrage du système - Vérifie les fichiers qui peuvent être exécutés au démarrage
du système ou lors de l'ouverture de session.
· Créer un instantané de l'état de l'ordinateur - Crée un instantané de l'ordinateurESET SysInspector - recueille
des renseignements détaillés sur les composants du système (pilotes, applications, par ex.) et évalue le
niveau de risque de chacun des composants.
· Analyse de l'ordinateur à la demande - Effectue l'analyse des fichiers et dossiers de votre ordinateur.
· Première analyse - Par défaut, l'analyse de l'ordinateur sera effectuée 20 minutes après une installation ou
un redémarrage comme tâche à priorité faible.
· Mise à jour - Planifie une tâche de mise à jour dont le but est de mettre à jour la base de données des
signatures de virus et les modules du programme.
· Analyse Hyper-V - Planifie une analyse des disques virtuels dans Hyper-V.
· Analyse de base de données - Vous permet de planifier une analyse de base de données et de choisir les
éléments qui seront analysés. Il s'agit en fait d'une Analyse de base de données à la demande.
REMARQUE
Si vous avez activé la Protection de la base de données de la boîte de courriels vous pouvez toujours programmer
cette tâche, mais elle se terminera par un message d'erreur qui s'affichera dans la section Analyse de l'IUG
principale dont le contenu est Analyse de base de données - Analyse interrompue en raison d'une erreur. Pour
éviter cela, vous devez vous assurer que la protection de la base de données de la boîte de courriels est
désactivée pendant le temps prévu pour l'exécution de l'Analyse de la base de données.
· Envoi des rapports de courriels mis en quarantaine - Planifie l'envoi par courriel du rapport de mise en
quarantaine de courriels.
· Analyse en arrière-plan - Donne au serveur Exchange la possibilité d'exécuter une analyse de base de
données en arrière plan si nécessaire.
2. Si vous souhaitez désactiver la tâche une fois qu'elle est créée, cliquez sur le bouton à côté de Activée. Vous
pouvez activer la tâche plus tard en utilisant la case à cocher dans l'affichage Planificateur. Cliquez sur Suivant.
3. Choisissez le moment où vous souhaitez que la tâche planifiée s'exécute :
·
·
·
·
·
Une fois - La tâche ne sera exécutée qu'une fois, à la date et à l'heure définies.
Plusieurs fois - La tâche sera exécutée à l'intervalle de temps indiqué. (en minutes).
Quotidiennement - La tâche sera exécutée de façon répétée tous les jours à l'heure indiquée.
Chaque semaine - La tâche sera exécutée une ou plusieurs fois par semaine, à l'heure et au(x) jour(s) définis.
Déclenchée par un événement - La tâche sera exécutée lorsque l'événement indiqué se produira.
4. Si vous voulez empêcher l'exécution de la tâche lorsque le système fonctionne sur batterie (par exemple sur
UPS), cliquez sur le bouton situé à côté de Ignorer la tâche lors du fonctionnement sur batterie. Cliquez sur
Suivant.
5. Si la tâche n'a pas pu être exécutée à l'heure définie, il est possible de préciser le moment où elle sera
exécutée :
· À la prochaine heure planifiée
94
· Dès que possible
· Immédiatement, si le temps écoulé depuis la dernière exécution dépasse une valeur spécifique (l'intervalle
peut être défini à l'aide du sélecteur Temps depuis la dernière exécution ).
6. Cliquez sur Suivant. En fonction du type de tâche, les détails de la tâche peuvent être requis. Une fois que c'est
fait, cliquez sur le bouton Terminer. Une nouvelle tâche planifiée apparait dans l'affichage du Planificateur.
3.7.9 Envoyer les échantillons pour analyse
La boîte de dialogue de soumission d'échantillon vous permet d'envoyer un fichier ou un site à ESET pour analyse.
Elle se trouve dans Outils > Soumettre l'échantillon pour analyse. Si vous trouvez un fichier au comportement
suspect sur votre ordinateur ou un site suspect sur Internet, vous pouvez le soumettre au laboratoire ESET Virus Lab
pour analyse. Si le fichier se révèle être une application ou un site Web malveillant, sa détection sera ajoutée à
l'une des mises à jour suivantes.
Vous pouvez également soumettre le fichier par courriel. Pour ce faire, comprimez le ou les fichiers à l'aide d'un
programme comme WinRAR ou WinZip, protégez l'archive avec le mot de passe « infecté », puis envoyez-le fichier
comprimé à samples@eset.com. Veuillez donner une description claire de l'objet de votre message et fournissez le
plus de détails possibles sur le fichier (par ex., le site Web à partir duquel vous l'avez téléchargé).
REMARQUE
Avant de soumettre un échantillon à ESET, assurez-vous qu'il répond à un ou à plusieurs des critères suivants :
· le fichier ou le site Web n'est pas du tout détecté
· le fichier ou le site Web est détecté à tort comme une menace
Vous ne recevrez pas de réponse, sauf si des informations complémentaires sont nécessaires pour l'analyse.
Sélectionnez la description qui correspond le mieux à votre message à partir du menu déroulant Raison de la
soumission de l'échantillon :
· Fichier suspect
· Site suspect (un site Web infecté par un logiciel malveillant),
· Fichier faux positif (fichier considéré comme infecté, mais qui ne l'est pas),
· Site faux positif
· Autre
Fichier/site - Le chemin d'accès vers le fichier ou le site Web que vous voulez soumettre.
Adresse de contact - L'adresse de courriel du contact est envoyée avec les fichiers suspects à ESET et peut être
utilisée pour communiquer avec vous si des renseignements complémentaires sont nécessaires pour l'analyse.
L'entrée de l'adresse courriel est facultative. Vous ne recevrez pas de réponse d'ESET, sauf si des renseignements
complémentaires sont nécessaires pour l'analyse. Comme nos serveurs reçoivent quotidiennement des dizaines de
milliers de fichiers, il nous est impossible de répondre à toutes les soumissions.
3.7.9.1 Fichier suspect
Signes et symptômes d'une infection par un logiciel malveillant - Entrez une description du comportement du
fichier suspect observé sur votre ordinateur.
Origine du fichier (URL ou fournisseur) - Veuillez entrer l'origine du fichier (source) et indiquer comment vous avez
obtenu ce fichier.
Remarques et renseignements supplémentaires - Ici, vous pouvez ajouter de des renseignements ou des
descriptions supplémentaires qui faciliteront le processus d'identification du fichier suspect.
REMARQUE
Le premier paramètre - Signes et symptômes d'une infection par un logiciel malveillant - est requis, mais tout
renseignement supplémentaire aidera grandement nos laboratoires lors du processus d'identification des
échantillons.
95
3.7.9.2 Site suspect
Veuillez sélectionner l'une des options suivantes à partir du menu déroulant Qu'est-ce qui ne va pas avec ce site :
· Infecté - Un site Web qui contient des virus ou d'autres logiciels malveillants diffusés par différentes méthodes.
· Hameçonnage - Souvent utilisé pour accéder à des données sensibles, telles que numéros de comptes bancaires,
NIP, etc. Pour en savoir plus sur ce type d'attaque, consultez le glossaire.
· Canular - Une escroquerie ou un site Web frauduleux.
· Sélectionnez Autre si les options susmentionnées ne réfèrent pas au site que vous allez soumettre.
Remarques et renseignements supplémentaires - Ici, vous pouvez ajouter une description ou des renseignements
supplémentaires qui faciliteront l'analyse du site Web suspect.
3.7.9.3 Fichier faux positif
Nous vous demandons de soumettre les fichiers qui sont détectés comme étant infectés, alors qu'ils ne le sont pas,
et ce, afin de nous aider à améliorer notre moteur antivirus et anti-logiciel espion et augmenter la protection des
autres. Les faux positifs (FP) peuvent se produire lorsque le modèle d'un fichier correspond au modèle contenu
dans une banque de données de virus.
Nom et version de l'application - Titre et version du programme (numéro, alias ou nom de code, par ex.).
Origine du fichier (URL ou fournisseur) - Veuillez entrer l'origine du fichier (source) et indiquer comment vous avez
obtenu ce fichier.
Objectif de l'application - La description générale de l'application, le type d'application (par ex., navigateur, lecteur
multimédia, etc.) et sa fonctionnalité.
Remarques et renseignements supplémentaires - Ici, vous pouvez ajouter des renseignements ou des descriptions
supplémentaires qui faciliteront le traitement du fichier suspect.
REMARQUE
Les trois premiers paramètres sont requis pour identifier les applications légitimes et les distinguer des
programmes malveillants. Le fait de fournir de l'information supplémentaire aidera grandement nos laboratoires
lors du processus d'identification et du traitement des échantillons.
3.7.9.4 Site faux positif
Nous vous encourageons de soumettre les sites qui sont détectés comme étant infectés, de fraude ou de
hameçonnage, mais qui ne le sont pas. Les faux positifs (FP) peuvent se produire lorsque le modèle d'un fichier
correspond au modèle contenu dans une banque de données de virus. Veuillez nous soumettre ce site Web afin de
nous aider à améliorer notre moteur antivirus et antihameçonnage et augmenter la protection des autres.
Remarques et renseignements supplémentaires - Ici, vous pouvez ajouter des renseignements ou des descriptions
supplémentaires qui faciliteront le traitement du fichier suspect.
3.7.9.5 Autre
Utilisez ce formulaire si le fichier ne peut être catégorisé comme Fichier suspect ou comme Faux positif.
Raison de l'envoi du fichier - Veuillez entrer une description détaillée ainsi que la raison de l'envoi du fichier.
96
3.7.10 Quarantaine
La quarantaine vise principalement à stocker les fichiers infectés de façon sécuritaire. Ces fichiers doivent être mis
en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont
détectés par erreur par ESET Mail Security.
Vous pouvez choisir de mettre n'importe quel fichier en quarantaine. Il est conseillé de le faire si un fichier se
comporte de façon suspecte, mais n'a pas été détecté par l'analyseur antivirus. Les fichiers en quarantaine peuvent
ensuite être soumis pour analyse au laboratoire ESET Virus Lab.
Les fichiers stockés dans le dossier de quarantaine peuvent être visualisés dans un tableau indiquant la date et
l'heure de mise en quarantaine, le chemin de l'emplacement d'origine du fichier infecté, sa taille en octets, la
raison (par exemple, un objet ajouté par l'utilisateur) et le nombre de menaces (par exemple, s'il s'agit d'une
archive contenant plusieurs infiltrations).
Dans le cas où des objets de messagerie sont mis en quarantaine dans le fichier de quarantaine, des informations
sous la forme d'un chemin d'accès à la boîte aux lettres/dossier/nom de fichier s'affichent.
Mise de fichiers en quarantaine
ESET Mail Security envoie automatiquement les fichiers supprimés en quarantaine (si l'utilisateur n'a pas désactivé
cette option dans la fenêtre d'alerte). Au besoin, vous pouvez mettre manuellement en quarantaine tout fichier
suspect en cliquant sur Quarantaine. Les fichiers mis en quarantaine seront supprimés de leur emplacement
original. Il est également possible d'utiliser le menu contextuel à cette fin. Il suffit de cliquer avec le bouton droit
dans la fenêtre Quarantaine et de sélectionner Quarantaine.
Restaurer depuis la quarantaine
Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement d'origine. Pour ce faire, utilisez la
fonctionnalité Restaurer du menu contextuel après avoir cliqué avec le bouton droit sur un fichier indiqué dans la
fenêtre de quarantaine. Si un fichier est signalé comme application potentiellement indésirable, l'option Restaurer
et exclure de l'analyse sera offerte. Pour en savoir plus sur ce type d'application, consultez le glossaire. Le menu
97
contextuel offre également l'option Restaurer vers... qui permet de restaurer des fichiers vers un emplacement
autre que celui d'où ils ont été supprimés.
REMARQUE
Si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer, veuillez
l'exclure de l'analyse et de l'envoyer au Service à la clientèle ESET.
Soumission d'un fichier de quarantaine
Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été jugé infecté
par erreur (par exemple, par l'analyse heuristique du code) et mis en quarantaine, envoyez ce fichier au laboratoire
ESET Virus Lab. Pour soumettre un fichier mis en quarantaine, cliquez sur ce dernier avec le bouton droit de la
souris, puis, dans le menu contextuel, sélectionnez Soumettre pour analyse.
3.8 Aide et assistance
ESET Mail Security contient des outils de dépannage et de l'information d'assistance qui vous aideront à régler les
problèmes auxquels vous pourriez devoir faire face.
Aide
· Rechercher la base de connaissances ESET - La Base de connaissances ESET contient des réponses aux questions
les plus fréquentes, ainsi que les solutions recommandées pour résoudre divers problèmes. Des mises à jour
régulières effectuées par les conseillers techniques ESET font de la base de connaissances l'outil le plus puissant
pour résoudre différents types de problèmes.
· Ouvrir l'aide - Cliquez sur ce lien pour lancer les pages d'aide de ESET Mail Security.
· Trouver une solution rapide - Sélectionnez cette option pour trouver les solutions aux problèmes les plus
fréquents. Nous vous recommandons de lire cette section avant de communiquer avec le service d'assistance
technique.
Service à la clientèle
· Envoyer une demande d'assistance - Si vous ne trouvez pas de réponse à votre problème, vous pouvez également
utiliser le formulaire qui se trouve sur le site Web d'ESET pour communiquer rapidement avec notre service
d'assistance à la clientèle.
Outils d'assistance
· Encyclopédie des menaces- Lien vers l'Encyclopédie des menaces ESET, qui contient des renseignements sur les
dangers et les symptômes des différents types d'infiltration.
· ESET Log Collector - Établit un lien vers la page de téléchargement d'ESET Log Collector. Log Collector est une
application qui collecte automatiquement de l'information telle que la configuration et les journaux de votre
serveur, afin de résoudre plus rapidement les problèmes. Pour de plus amples renseignements sur ESET Log
Collector, voir l'Aide en ligne.
· Historique de base de données de signatures de virus - Établit la liaison avec ESET Virus radar, qui contient des
informations au sujet des versions de la base de données de signature des virus.
· ESET Specialized cleaner - Ce nettoyeur repère et supprime automatiquement les infections malveillantes
communes. Pour en savoir plus, voir cet article de la Base de connaissances ESET.
Renseignements sur le produit et la licence
· À propos de ESET Mail Security - Affiche des renseignements sur votre copie de ESET Mail Security.
· Activer le produit / Gérer la licence - Cliquez pour lancer la fenêtre d'activation de votre produit. Sélectionnez
l'une des méthodes offertes pour activer ESET Mail Security.
98
3.8.1 Comment faire
Ce chapitre couvre certains des problèmes les plus fréquents et des questions les plus fréquemment posées.
Cliquez sur l'intitulé d'une rubrique pour apprendre comment résoudre le problème :
Comment effectuer la mise à jour de ESET Mail Security
Comment activer ESET Mail Security
Comment programmer une tâche d'analyse (toutes les 24 heures)
Comment éliminer un virus de mon ordinateur
Comment fonctionnent les exclusions automatiques?
Si votre problème n'est pas couvert dans les pages d'aide indiquées ci-dessus, essayez d'effectuer une recherche en
entrant les mots-clés ou phrases décrivant votre problème dans les pages d'aide de ESET Mail Security.
Si vous ne pouvez pas trouver la solution à votre problème/question dans les pages d'aide, vous pouvez essayer
notre Base de connaissances régulièrement mise à jour.
Au besoin, vous pouvez communiquer directement avec notre centre d'assistance technique en ligne pour
soumettre vos questions ou problèmes. Le formulaire se trouve dans l'onglet Aide de votre programme ESET.
3.8.1.1 Comment effectuer la mise à jour de ESET Mail Security
La mise à jour de ESET Mail Security peut être effectuée manuellement ou automatiquement. Pour lancer le
processus de mise à jour, cliquez sur Mettre à jour maintenant. Il se trouve dans la section Mise à jour du
programme.
L'installation par défaut crée une tâche de mise à jour automatique qui s'exécute chaque heure. Si vous devez
modifier l'intervalle, allez au Planificateur (pour plus d'information sur le Planificateur, cliquez ici).
3.8.1.2 Activation ESET Mail Security
Une fois l'installation terminée, vous serez invité à activer votre produit.
Plusieurs options vous permettent d'activer votre produit. La disponibilité d'un scénario d'activation particulier dans
la fenêtre d'activation peut varier selon le pays, ainsi que selon le moyen de distribution (CD/DVD, page Web ESET,
etc.).
Pour activer votre copie de ESET Mail Security directement à partir du programme, cliquez sur l'icône de la barre
d'état système , puis sélectionnez Le produit n'est pas activé à partir du menu. Vous pouvez également activer
votre produit à partir du menu principal sous Aide et assistance > Activer le produit ou de l'état Surveillance > Le
produit n'est pas activé.
Vous pouvez utiliser l'une ou l'autre des méthodes suivantes pour activer ESET Mail Security :
· Clé de licence - Une chaîne de caractères unique au format XXXX-XXXX-XXXX-XXXX-XXXX utilisée pour
l'identification du propriétaire de la licence et pour l'activation de cette dernière.
· Security Admin - Compte créé sur le portail d'administration de licences d'ESET avec les informations
d'identification (adresse électronique et mot de passe). Cette méthode vous permet de gérer plusieurs licences à
partir d'un seul emplacement.
· Fichier de licence hors ligne - Fichier généré automatiquement qui sera transféré au produit ESET et qui contient
les renseignements sur la licence. Votre fichier de licence hors ligne est généré par le portail de licences et utilisé
dans des environnements où l'application ne peut pas se connecter au service de délivrance des licences.
· Cliquez sur Activer ultérieurement avec ESET Remote Administrator si votre ordinateur appartient au réseau géré,
et que votre administrateur effectuera l'activation à distance à l'aide d'ESET Remote Administrator. Vous pouvez
aussi utiliser cette option si vous voulez activer ce client ultérieurement.
Sélectionnez Aide et soutien > Gestion de la licence dans la fenêtre principale du programme pour gérer les
99
renseignements sur la licence en tout temps. L'identifiant de licence publique s'affichera, qui est utilisée pour
identifier votre produit ESET et l'identification de la licence. Votre nom d'utilisateur sous lequel l'ordinateur est
enregistré est stocké dans la section À propos que vous pouvez afficher en cliquant à droite sur l'icône de la barre
d'état système .
REMARQUE
ESET Remote Administrator est capable d'activer silencieusement les ordinateurs clients en utilisant les licences
mises à disposition par l'administrateur.
3.8.1.3 Comment ESET Mail Security compte-il les boîtes de courriel?
Pour en savoir plus, voir notre article dans la Base de connaissances.
3.8.1.4 Comment créer une nouvelle tâche dans Planificateur
Pour créer une nouvelle tâche dans le planificateur, cliquez sur Ajouter une tâche ou faites un clic droit et
sélectionnez Ajouter dans le menu contextuel. Un assistant s'ouvre alors pour vous aider à créer une tâche
planifiée. Voyez plus bas pour obtenir des instructions pas à pas :
1. Entrez le nom de la tâche et sélectionnez votre type de tâche souhaité à partir du menu déroulant :
· Exécuter une application externe - Planifie l'exécution d'une application externe.
· Maintenance des journaux - Les fichiers journaux contiennent aussi les restes des enregistrements
supprimés. Cette tâche optimise les enregistrements dans les fichiers journaux de façon régulière, afin qu'ils
puissent fonctionner de façon efficace.
· Contrôle des fichiers de démarrage du système - Vérifie les fichiers qui peuvent être exécutés au démarrage
du système ou lors de l'ouverture de session.
· Créer un instantané de l'état de l'ordinateur - Crée un instantané de l'ordinateurESET SysInspector - recueille
des renseignements détaillés sur les composants du système (pilotes, applications, par ex.) et évalue le
niveau de risque de chacun des composants.
· Analyse de l'ordinateur à la demande - Effectue l'analyse des fichiers et dossiers de votre ordinateur.
· Première analyse - Par défaut, l'analyse de l'ordinateur sera effectuée 20 minutes après une installation ou
un redémarrage comme tâche à priorité faible.
· Mise à jour - Planifie une tâche de mise à jour dont le but est de mettre à jour la base de données des
signatures de virus et les modules du programme.
· Analyse Hyper-V - Planifie une analyse des disques virtuels dans Hyper-V.
· Analyse de base de données - Vous permet de planifier une analyse de base de données et de choisir les
éléments qui seront analysés. Il s'agit en fait d'une Analyse de base de données à la demande.
REMARQUE
Si vous avez activé la Protection de la base de données de la boîte de courriels vous pouvez toujours programmer
cette tâche, mais elle se terminera par un message d'erreur qui s'affichera dans la section Analyse de l'IUG
principale dont le contenu est Analyse de base de données - Analyse interrompue en raison d'une erreur. Pour
éviter cela, vous devez vous assurer que la protection de la base de données de la boîte de courriels est
désactivée pendant le temps prévu pour l'exécution de l'Analyse de la base de données.
· Envoi des rapports de courriels mis en quarantaine - Planifie l'envoi par courriel du rapport de mise en
quarantaine de courriels.
· Analyse en arrière-plan - Donne au serveur Exchange la possibilité d'exécuter une analyse de base de
données en arrière plan si nécessaire.
2. Si vous souhaitez désactiver la tâche une fois qu'elle est créée, cliquez sur le bouton à côté de Activée. Vous
pouvez activer la tâche plus tard en utilisant la case à cocher dans l'affichage Planificateur. Cliquez sur Suivant.
3. Choisissez le moment où vous souhaitez que la tâche planifiée s'exécute :
· Une fois - La tâche ne sera exécutée qu'une fois, à la date et à l'heure définies.
· Plusieurs fois - La tâche sera exécutée à l'intervalle de temps indiqué. (en minutes).
100
· Quotidiennement - La tâche sera exécutée de façon répétée tous les jours à l'heure indiquée.
· Chaque semaine - La tâche sera exécutée une ou plusieurs fois par semaine, à l'heure et au(x) jour(s) définis.
· Déclenchée par un événement - La tâche sera exécutée lorsque l'événement indiqué se produira.
4. Si vous voulez empêcher l'exécution de la tâche lorsque le système fonctionne sur batterie (par exemple sur
UPS), cliquez sur le bouton situé à côté de Ignorer la tâche lors du fonctionnement sur batterie. Cliquez sur
Suivant.
5. Si la tâche n'a pas pu être exécutée à l'heure définie, il est possible de préciser le moment où elle sera
exécutée :
· À la prochaine heure planifiée
· Dès que possible
· Immédiatement, si le temps écoulé depuis la dernière exécution dépasse une valeur spécifique (l'intervalle
peut être défini à l'aide du sélecteur Temps depuis la dernière exécution ).
6. Cliquez sur Suivant. En fonction du type de tâche, les détails de la tâche peuvent être requis. Une fois que c'est
fait, cliquez sur le bouton Terminer. Une nouvelle tâche planifiée apparait dans l'affichage du Planificateur.
3.8.1.5 Comment planifier une tâche d'analyse (toutes les 24 heures)
Pour planifier une tâche régulière, allez à ESET Mail Security > Outils > Planificateur. Les étapes ci-dessous vous
guideront à travers la création d'une tâche servant à analyser vos disques locaux toutes les 24 heures.
Pour planifier une tâche :
1. Cliquez sur Ajouter une tâche dans l'écran principal du planificateur et entrez le nom de la tâche.
2. Sélectionnez Analyse de l'ordinateur à la demande dans le menu déroulant.
3. Si vous souhaitez désactiver la tâche une fois qu'elle est créée, cliquez sur le bouton à côté de Activée. Vous
pouvez activer la tâche plus tard en utilisant la case à cocher dans l'affichage Planificateur.
4. Sélectionnez la tâche du planificateur à exécuter plusieurs fois. La tâche sera exécutée à chaque intervalle
précisé (1440 minutes).
5. Si vous voulez empêcher l'exécution de la tâche lorsque le système fonctionne sur batterie (par exemple sur
UPS), cliquez sur le bouton situé à côté de Ignorer la tâche lors du fonctionnement sur batterie.
6. Cliquez sur Suivant.
7. Sélectionnez une action à entreprendre en cas d'échec de l'exécution de la tâche pour une raison quelconque.
· À la prochaine heure planifiée
· Dès que possible
· Immédiatement, si le temps écoulé depuis la dernière exécution dépasse une valeur spécifique (l'intervalle
peut être défini à l'aide du sélecteur Temps depuis la dernière exécution ).
8. Cliquez sur Suivant.
9. Dans le menu déroulant Cibles, sélectionnez Disques locaux.
10. Cliquez sur Terminer pour appliquer la tâche.
101
3.8.1.6 Comment éliminer un virus de votre serveur
Si votre ordinateur montre des signes d'infection par un logiciel malveillant, par exemple s'il est lent ou fige
souvent, nous vous recommandons d'effectuer les opérations suivantes :
1. À partir de la fenêtre principale de ESET Mail Security, cliquez sur Analyse de l'ordinateur.
2. Cliquez sur Analyse intelligente pour lancer l'analyse de votre système.
3. Une fois l'analyse terminée, consultez le journal pour connaître le nombre de fichiers analysés, infectés et
nettoyés.
4. Si vous ne souhaitez analyser qu'une certaine partie de votre disque, choisissez Analyse personnalisée et
sélectionnez des cibles à analyser.
Pour des détails supplémentaires, veuillez consulter notre article tiré de la Base de connaissances qui est
régulièrement mis à jour.
3.8.2 Soumettre une demande d'assistance
Afin d'offrir l'assistance la plus rapide et la plus précise possible, ESET a besoin des informations sur la configuration
de ESET Mail Security, sur la configuration du système, sur les processus en cours d'exécution (fichier journal ESET
SysInspector) et sur les données du registre. ESET utilisera ces données pour fournir une assistance technique au
client.
Lorsque vous soumettez le formulaire Web, les données de configuration de votre système sont envoyées à ESET.
Sélectionnez Toujours soumettre ces informations si vous voulez mémoriser cette action pour ce processus. Pour
soumettre le formulaire sans envoyer de données, sélectionnez Ne pas soumettre les données. Vous pouvez alors
communiquer avec le service à la clientèle d'ESET à l'aide du formulaire d'assistance en ligne.
Ce paramètre peut également être configuré à partir de la fenêtre Configuration avancée (appuyez sur la touche F5
de votre clavier). Cliquez sur Outils > Diagnostics > Assistance à la clientèle.
REMARQUE
Si vous choisissez de soumettre les données du système, il est nécessaire de remplir et de soumettre le
formulaire Web, sinon votre billet ne sera pas créé et vos données système seront perdues.
3.8.3 Logiciel de nettoyage spécialisé ESET
Le Logiciel de nettoyage spécialisé ESET est un outil de suppression d'infections courantes par des logiciels
malveillants comme Conficker, Sirefef ou Necurs. Pour de plus amples renseignements, veuillez lire cet article de la
Base de connaissance d'ESET.
102
3.8.4 À propos de ESET Mail Security
Cette fenêtre fournit des détails sur la version installée de ESET Mail Security. La partie supérieure de la fenêtre
contient de l'information sur votre système d'exploitation et les ressources système, l'utilisateur actuellement
connecté et le nom complet de l'ordinateur.
103
Composants installés contient des informations sur les modules. Cliquez sur Composants installés pour afficher une
liste des composants installés ainsi que leurs détails. Cliquez sur Copier pour copier la liste sur votre presse-papier.
Cela peut être utile lorsque vous dépannez le logiciel ou que vous devez communiquer avec le service d'assistance
technique.
3.8.5 Activation du produit
Une fois l'installation terminée, vous serez invité à activer votre produit.
Plusieurs options vous permettent d'activer votre produit. La disponibilité d'un scénario d'activation particulier dans
la fenêtre d'activation peut varier selon le pays, ainsi que selon le moyen de distribution (CD/DVD, page Web ESET,
etc.).
Pour activer votre copie de ESET Mail Security directement à partir du programme, cliquez sur l'icône de la barre
d'état système , puis sélectionnez Le produit n'est pas activé à partir du menu. Vous pouvez également activer
votre produit à partir du menu principal sous Aide et assistance > Activer le produit ou de l'état Surveillance > Le
produit n'est pas activé.
Vous pouvez utiliser l'une ou l'autre des méthodes suivantes pour activer ESET Mail Security :
· Clé de licence - Une chaîne de caractères unique au format XXXX-XXXX-XXXX-XXXX-XXXX utilisée pour
l'identification du propriétaire de la licence et pour l'activation de cette dernière.
· Security Admin - Compte créé sur le portail d'administration de licences d'ESET avec les informations
d'identification (adresse électronique et mot de passe). Cette méthode vous permet de gérer plusieurs licences à
partir d'un seul emplacement.
· Fichier de licence hors ligne - Fichier généré automatiquement qui sera transféré au produit ESET et qui contient
les renseignements sur la licence. Votre fichier de licence hors ligne est généré par le portail de licences et utilisé
dans des environnements où l'application ne peut pas se connecter au service de délivrance des licences.
104
· Cliquez sur Activer ultérieurement avec ESET Remote Administrator si votre ordinateur appartient au réseau géré,
et que votre administrateur effectuera l'activation à distance à l'aide d'ESET Remote Administrator. Vous pouvez
aussi utiliser cette option si vous voulez activer ce client ultérieurement.
Sélectionnez Aide et soutien > Gestion de la licence dans la fenêtre principale du programme pour gérer les
renseignements sur la licence en tout temps. L'identifiant de licence publique s'affichera, qui est utilisée pour
identifier votre produit ESET et l'identification de la licence. Votre nom d'utilisateur sous lequel l'ordinateur est
enregistré est stocké dans la section À propos que vous pouvez afficher en cliquant à droite sur l'icône de la barre
d'état système .
REMARQUE
ESET Remote Administrator est capable d'activer silencieusement les ordinateurs clients en utilisant les licences
mises à disposition par l'administrateur.
3.8.5.1 Enregistrement
Veuillez enregistrer votre licence en remplissant les champs contenus dans le formulaire d'enregistrement et en
cliquant sur Continuer. Les champs obligatoires doivent absolument être remplis. Ces informations ne seront
utilisées que pour les questions concernant votre licence ESET.
3.8.5.2 Activation de Security Admin
Le compte Security Admin est un compte créé dans le portail de licences, en utilisant votre adresse de courriel et
votre mot de passe, qui est capable de voir les autorisations de tous les sièges.
Un compte Security Admin vous permet de gérer de multiples licences. Si vous n'avez pas de compte Security
Admin, cliquez sur Créer un compte et vous serez redirigé vers la page Web Gestionnaire de licences ESET où vous
pourrez enregistrer vos informations d'identification.
Si vous avez oublié votre mot de passe, cliquez sur Mot de passe oublié? et vous serez redirigé vers le portail
d'affaires d'ESET. Entrez votre adresse électronique et cliquez sur Soumettre pour confirmer. Après cela, vous
recevrez un message avec les instructions pour la réinitialisation de votre mot de passe.
REMARQUE
Pour plus d'information sur l'utilisation du Gestionnaire de licences ESET, voir la Guide d'utilisation Gestionnaire
de licences ESET.
3.8.5.3 Échec de l'activation
L'activation de ESET Mail Security a échoué. Veuillez-vous assurer que vous avez saisi la bonne Clé de licence ou
joint une Licence hors ligne. Si vous avez une Licence hors ligne différente, veuillez la saisir à nouveau. Pour vérifier
la clé de licence que vous avez entrée, cliquez sur Vérifier la clé de licence de nouveau ou cliquez sur Acheter une
nouvelle licence et vous serez redirigé vers notre page Web où vous pourrez acheter une nouvelle licence.
3.8.5.4 Licence
Si vous choisissez l'option d'activation par Security Admin, vous recevrez une invite vous demandant de
sélectionner la licence associée à votre compte qui sera utilisée pour ESET Mail Security. Cliquez sur Activer pour
continuer.
105
3.8.5.5 Progression de l'activation
ESET Mail Security est en cours d'activation, veuillez patienter. Cette opération peut prendre un certain temps.
3.8.5.6 Activation réussie
L'activation a réussi et ESET Mail Security est maintenant activé. Dorénavant, ESET Mail Security recevra
régulièrement des mises à jour afin de pourvoir identifier les menaces les plus récentes et protéger votre
ordinateur. Cliquez sur Terminé pour terminer l'activation du produit.
106
4. Utilisation de ESET Mail Security
À partir de la fenêtre Configuration avancée, vous pouvez configurer les paramètres et les options selon vos
besoins. Voici les catégories présentées dans le menu de gauche :
· Serveur - Permet de configurer Antivirus et anti-logiciel espion, Protection de base de données de courriel, les
règles, etc.
· Ordinateur - Permet d'activer ou de désactiver la détection d'applications potentiellement indésirables,
dangereuses et suspectes, de préciser les exclusions, la protection du système de fichiers en temps réel, l'analyse
à la demande de l'ordinateur et l'analyse Hyper-V, etc.
· Mises à jour - Permet de configurer une liste de profils, de créer des instantanés du fichier de mise à jour, de
mettre à jour les renseignements sur la source comme les serveurs de mise à jour utilisés et les données
d'authentification pour ces serveurs.
· Web et courriel - Permet de configurer la protection du client de messagerie, le filtrage de protocole, la
protection de l'accès Web, etc.
· Contrôle de périphérique - Permet de configurer les règles et les groupes de contrôle de périphérique.
· Outils - Permet de personnaliser les outils, tels que ESET LiveGrid, les fichiers journaux, le serveur mandataire, la
grappe, etc.
· Interface utilisateur - Permet de configurer le comportement de l'interface utilisateur graphique (IUG) du
programme, les états, les renseignements sur la licence, etc.
Lorsque vous cliquez sur un élément (catégorie ou sous-catégorie) dans le menu de gauche, les paramètres
respectifs pour cet élément sont affichés dans la fenêtre de droite.
4.1 Serveur
Cette section Configuration avancée vous permet d'activer ou de désactiver l'intégration de la Protection de la base
de données de la boîte de courriels et de la Protection du transport du courriel, ainsi que de modifier la Priorité de
l'agent.
REMARQUE
Si vous exécutez Microsoft Exchange Server 2007, 2010, 2013 ou 2016, vous pouvez choisir entre Protection de la
base de données de la boîte de courriels et Analyse de la base de données à la demande. Un seul type de
protection peut être actif à la fois. Si vous décidez d'utiliser l'option Analyse de la base de données à la
demande, vous devrez désactiver l'intégration de la Protection de la base de données de la boîte de courriels.
Sinon l'option Analyse de la base de données à la demande ne sera pas disponible.
107
ESET Mail Security offre une protection substantielle à Microsoft Exchange Server grâce aux fonctionnalités
suivantes :
·
·
·
·
·
·
·
Antivirus et anti-logiciel espion
Protection antipourriel
Règles
Protection du transport du courriel (Exchange Server 2003, 2007, 2010, 2013, 2016)
Protection de la base de données de la boîte de courriel (Exchange Server 2003, 2007, 2010)
Analyse de la base de données à la demande (Exchange Server 2007, 2010, 2013, 2016)
Quarantaine de courriel (paramètres du type Quarantaine de courriel)
4.1.1 Configuration de la priorité de l'agent
Dans le menu Configuration de la priorité de l'Agent, établissez la priorité selon laquelle les agents ESET Mail
Security deviennent actifs après le démarrage de Microsoft Exchange Server. La valeur numérique définit la priorité.
Les chiffres inférieurs indiquent une priorité plus élevée. Cela s'applique à Microsoft Exchange Server 2003.
· Modifier - Pour établir la priorité selon laquelle les agents ESET Mail Security deviennent actifs après le
démarrage de Microsoft Exchange Server.
· Modifier - Pour définir manuellement le nombre afin de modifier la priorité de l'agent sélectionné.
· Haut - Pour augmenter la priorité de l'agent sélectionné en le déplaçant vers le haut dans la liste des agents.
· Bas - Pour diminuer la priorité de l'agent sélectionné en le déplaçant vers le bas dans la liste des agents.
REMARQUE
Grâce à Microsoft Exchange Server 2003, vous pouvez spécifier la priorité de l'agent en utilisant de manière
indépendante les onglets pour la fin des données (EOD) et le destinataire (RCPT).
108
4.1.1.1 Modification de la priorité
Si vous exécutez Microsoft Exchange Server 2003, vous pouvez définir manuellement le nombre pour modifier la
Priorité de l'agent de transport. Modifiez le nombre dans la zone de texte ou utilisez les flèches ascendante et
descendante pour modifier la priorité. Plus le nombre est bas, plus la priorité est élevée.
4.1.2 Configuration de la priorité de l'agent
Dans le menu Configuration de la priorité de l'Agent, vous pouvez établir la priorité selon laquelle les Agents ESET
Mail Security deviennent actifs après le démarrage de Microsoft Exchange Server. Cela s'applique à Microsoft
Exchange Server 2007 et versions ultérieures.
· Haut - Pour augmenter la priorité de l'agent sélectionné en le déplaçant vers le haut dans la liste des agents.
· Bas - Pour diminuer la priorité de l'agent sélectionné en le déplaçant vers le bas dans la liste des agents.
4.1.3 Antivirus et anti-logiciel espion
Dans cette section, vous pouvez configurer les options Antivirus et anti-logiciel espion de votre serveur de courriel.
IMPORTANT
La protection du transport du courriel est offerte par l'agent de transport et n'est disponible que pour Microsoft
Exchange Server 2003 et versions ultérieures, mais votre Exchange Server doit avoir le rôle Edge Transport Server
ou Hub Transport Server. Cela s'applique aussi à l'installation d'un seul serveur avec plusieurs rôles Exchange
Serveur sur un ordinateur (tant qu'il inclut le rôle Edge ou Hub Transport).
· Protection du transport du courriel :
Si vous décochez l'option Activer la protection antivirus et anti-logiciel espion du transport du courriel, le module
d'extension ESET Mail Security pour le serveur Exchange ne sera pas déchargé du processus du serveur Microsoft
Exchange. Il ne fera que passer à travers les messages sans faire une analyse de détection des virus sur la couche de
109
transport. Les messages seront quand même analysés à la recherche de virus et de pourriel sur la couche de la base
de données et les règles existantes seront appliquées.
· Protection de la base de données de la boîte de courriel :
Si vous décochez l'option Activer la protection antivirus et anti-logiciel espion de la base de données de la boîte de
courriel, le module d'extension ESET Mail Security pour le serveur Exchange ne sera pas déchargé du processus du
serveur Microsoft Exchange. Il ne fera que passer à travers les messages sans faire une analyse de détection des
virus sur la couche de la base de données. Les messages seront quand même analysés à la recherche de virus et de
pourriel sur la couche de la base de données et les règles existantes seront appliquées.
110
Analyse de la base de données à la demande - Est disponible après avoir désactivé Protection de la base de données
de la boîte de courriels sur le serveur.
Cliquez sur les paramètres ThreatSense pour modifier les paramètres d'analyse.
111
4.1.4 Protection antipourriel
Par défaut, la protection antipourriel de votre serveur de courriel est activée. Pour la désactiver, cliquez sur
l'interrupteur situé à côté de l'option Activer la protection antipourriel.
REMARQUE
La désactivation de la protection antipourriel ne modifiera pas l'état de la protection. Bien que la fonction
antipourriel soit désactivée, Protection maximale va continuer de s'afficher en vert dans la section Surveillance
de l'IUG principale. La désactivation de la fonction antipourriel n'est pas considérée comme une réduction de la
protection.
L'activation de la fonction Utiliser les listes blanches Exchange Server pour contourner automatiquement la
protection antipourriel permet à ESET Mail Security d'utiliser des « listes blanches » Exchange spécifiques.
Lorsqu'elle est activée, les points suivants sont pris en compte :
· L'envoi de l'adresse IP du serveur est sur la liste des adresses IP autorisées du serveur Exchange
· L'indicateur de Contournement antipourriel est réglé dans la boîte aux lettres du destinataire du message
· L'adresse de l'expéditeur figure sur la Liste des Expéditeurs fiables du destinataire du message (assurez-vous
que vous avez configuré la synchronisation de la Liste des expéditeurs fiables dans votre environnement
Exchange Server, y compris l'Agrégation des listes fiables)
Si l'un de ces cas s'applique à un message entrant, la vérification antipourriel de ce message sera court-circuitée. Le
message ne fera pas l'objet d'une vérification antipourriel et sera livré dans la boîte de courriel du destinataire.
L'Indicateur d'acceptation du contournement antipourriel configuré sur la session SMTP est utile lorsque vous avez
des sessions SMTP authentifiées entre les serveurs Exchange dont la configuration de contournement antipourriel
est activée. Par exemple, lorsque vous avez un serveur Edge et un serveur Hub, il n'est pas nécessaire d'analyser le
trafic entre ces deux serveurs. L'Indicateur d'acceptation du contournement antipourriel configuré sur la session
SMTP est activé par défaut, mais ne s'applique que lorsque l'indicateur de contournement antipourriel est configuré
pour la session SMTP sur votre Exchange Server. Si vous désactivez l'option Indicateur d'acceptation du
112
contournement antipourriel configuré sur la session SMTP, ESET Mail Security analysera la session SMTP à la
recherche de pourriel, sans égard au paramètre de contournement antipourriel dans votre Exchange Server.
REMARQUE
Il est nécessaire que la base de données antipourriel soit mise à jour régulièrement pour que le module
antipourriel offre la meilleure protection possible. Pour autoriser la mise à jour régulière de la base de données
antipourriel, assurez-vous que ESET Mail Security ait accès aux bonnes adresses IP sur les ports nécessaires. Pour
en savoir plus sur les adresses IP et les ports à activer sur votre coupe-feu tiers, voir notre article sur la Base de
connaissances.
Vous trouverez d'autres paramètres pour chaque fonctionnalité dans sa propre section :
· Filtrage et vérification
· Paramètres avancés
· Paramètres de mise en liste grise
· SPF et DKIM
4.1.4.1 Filtrage et vérification
Vous pouvez configurer les listes Autorisées, Bloquées et Ignorées en spécifiant des critères comme l'adresse IP ou
l'intervalle, le nom de domaine, etc. Pour ajouter, modifier ou supprimer un critère, cliquez sur Modifier pour la
liste à gérer.
REMARQUE
Les adresses IP ou les domaines inclus dans les listes Ignorées ne seront pas testés èa la recherche des RBL ou
des DNSBL, mais d'autres techniques de protection antipourriel seront appliquées.
Les listes ignorées doivent contenir toutes les adresses IP ou les noms de domaine de l'infrastructure interne.
Vous pouvez également inclure les adresses IP ou les noms de domaine de vos FAI ou des serveurs de
messagerie externes qui sont actuellement mis sur liste noire par l'un des RBL ou DNSBL (Liste noire d'ESET ou
Liste noire d'un tiers). Cela vous permet de recevoir des courriels de sources incluses dans les listes ignorées,
même si elles sont sur liste noire. Ces courriels entrants sont reçus et leur contenu est inspecté par d'autres
techniques de protection antipourriel.
· Liste des IP approuvées – inscrit automatiquement sur une liste blanche les courriels provenant des adresses IP
spécifiées.
· Liste des IP bloquées - bloque automatiquement les courriels provenant des adresses IP spécifiées.
· Liste des IP ignorées - liste des adresses IP qui seront ignorées pendant la classification.
· Liste des domaines bloqués en corps de message - bloque les courriels qui contiennent le domaine spécifié dans
le corps de message.
· Liste des domaines ignorés en corps de message - les domaines spécifiés dans le corps de message seront ignorés
pendant la classification.
· Liste des IP bloquées en corps de message - bloque les courriels dont le corps de message contient l'adresse IP
spécifiée.
· Liste des IP ignorées en corps de message - les adresses IP spécifiées dans le corps de message seront ignorées
pendant la classification.
· Liste des expéditeurs approuvés – inscrit sur une liste blanche les courriels provenant de l'expéditeur spécifiée.
· Liste des expéditeurs bloqués – bloque les courriels provenant de l'expéditeur spécifié.
· Liste des domaines approuvés aux IP - inscrit sur une liste blanche les courriels provenant des adresses IP qui sont
résolues à partir des domaines spécifiés dans cette liste. Les enregistrements SPF (Sender Policy Framework) sont
reconnus lors de la résolution des adresses IP.
113
· Liste des domaines bloqués aux IP - bloque les courriels provenant des adresses IP qui sont résolues à partir des
domaines spécifiés dans cette liste. Les enregistrements SPF sont reconnus lors de la résolution des adresses IP.
· Liste des domaines ignorés aux IP - liste des domaines qui se résolvent en adresses IP, lesquelles ne peuvent être
à leur tour vérifiées pendant la classification. Les enregistrements SPF sont reconnus lors de la résolution des
adresses IP.
· Liste des pays bloqués - bloque les courriels provenant des pays spécifiés. Le blocage est basé sur l'adresse IP
géographique. Si un pourriel est envoyé à partir d'un serveur de messagerie ayant une adresse IP répertoriée
dans la base de données de géolocalisation pour un pays que vous avez sélectionné dans les pays bloqués, il sera
automatiquement marqué comme pourriel et une action sera effectuée selon le réglage de Action à appliquer
contre les pourriels sous Protection du transport du courriel.
REMARQUE
Si vous voulez ajouter plusieurs entrées à la fois, cliquez sur Entrer de multiples valeurs dans la fenêtre
contextuelle Ajouter et sélectionner le séparateur à utiliser - Retour à la ligne, Virgule ou Point-virgule.
4.1.4.2 Paramètres avancés
Ces paramètres autorise la vérification des messages par les serveurs externes (définis comme RBL - Realtime
Blackhole List, DNSBL - DNS Blocklist) en fonction des critères prédéfinis.
Nombre maximum d'adresses vérifiées à partir de l'en-tête Reçues : . - Vous pouvez limiter le nombre d'adresses IP
qui sont vérifiées par antipourriel. Cela vise les adresse IP écrites dans les en-têtes Received: from. La valeur par
défaut est 0, qui n'impose aucune limite.
Vérifier l'adresse de l'expéditeur par rapport à la liste noire des utilisateurs finaux. - Les courriels qui ne sont pas
envoyés à partir des serveurs de courriel (les ordinateurs qui ne sont pas dans la liste en tant que serveurs de
courriel) sont vérifiés pour s'assurer que l'expéditeur n'est pas sur la liste noire. Cette option est désactivée par
114
défaut. Vous pouvez la désactiver au besoin, mais les messages qui ne sont pas envoyés à partir des serveur de
courriel ne seront pas vérifiées par rapport à la liste noire.
Serveurs RBL supplémentaires - Spécifie une liste de serveurs Realtime Blackhole List (RBL) à interroger lors de
l'analyse des messages.
REMARQUE
Lors de l'ajout de serveurs RBL supplémentaires, entrez le nom de domaine du serveur (par ex.,
sbl.spamhaus.org ). Cela fonctionne avec tous les codes de retour qui sont pris en charge par le serveur.
Par exemple :
Vous pouvez aussi spécifier un nom de serveur avec un code de retour sous le format serveur : réponse (par
exemple, zen.spamhaus.org:127.0.0.4). Lorsque ce format est utilisé, nous vous recommandons d'ajouter chaque
nom de serveur et chaque code de retour séparément pour obtenir une liste complète. Cliquez sur Entrez des
valeurs multiples dans la fenêtre Ajouter pour spécifier tous les noms de serveur et leurs codes de retour. Les
entrées devraient ressembler à l'exemple ci-dessous, le nom d'hôte des serveurs RBL et les codes de retour
peuvent varier :
Limite d'exécution de la requête RBL (en secondes) - Cette option vous permet d'établir un délai maximal pour les
requêtes RBL. Les réponses RBL ne sont utilisées que si elles proviennent des serveurs RBL qui répondent à temps.
Si la valeur est réglée à « 0 », il n'y a pas de délai d'attente maximal.
115
Nombre maximum d'adresses vérifiées par rapport à la liste RBL - Cette option vous permet de limiter le nombre
d'adresses IP interrogées par rapport au serveur RBL. Veuillez noter que le nombre total de requêtes RBL
correspondra au nombre d'adresses IP dans les en-têtes dans le dossier Reçus : les en-têtes (jusqu'à un maximum
d'adresses IP vérifiées par rapport à la liste RBL) multiplié par le nombre de serveurs RBL spécifiés dans la liste RBL.
Si la valeur est réglée à « 0 », un nombre illimité d'en-têtes reçus sera vérifié. Veuillez noter que les adresses IP qui
correspondent à la liste d'adresses IP ignorées ne comptent pas dans la limite d'adresses IP RBL.
Serveurs DNSBL supplémentaires - Une liste des serveurs DNS Blocklist (DNSBL) à interroger avec les domaines et
les adresses IP extraits du corps de message.
REMARQUE
Lors de l'ajout de serveurs DNSBL supplémentaires, entrez le nom de domaine du serveur (par ex.,
dbl.spamhaus.org ). Cela fonctionne avec tous les codes de retour qui sont pris en charge par le serveur.
116
Vous pouvez aussi spécifier un nom de serveur avec un code de retour sous la forme serveur : réponse (par
exemple, zen.spamhaus.org:127.0.0.4). Dans ce cas, nous vous recommandons d'ajouter chaque nom de serveur et
chaque code de retour séparément pour obtenir une liste complète. Cliquez sur Entrez des valeurs multiples dans la
fenêtre Ajouter pour spécifier tous les noms de serveur et leurs codes de retour. Les entrées devraient ressembler
à l'exemple ci-dessous, le nom d'hôte des serveurs DNSBL et les codes de retour peuvent varier :
Limite d'exécution de la requête DNSBL (en secondes) - Permet d'établir un délai d'attente maximal pour toutes les
requêtes DNSBL à compléter.
Nombre maximum d'adresses vérifiées par rapport à la liste DNSBL - Permet de limiter le nombre d'adresses IP
interrogées par rapport au serveur DNS Blocklist.
Nombre maximum de domaines vérifiés par rapport à la liste DNSBL - Permet de limiter le nombre de domaines
interrogés par rapport au serveur DNS Blocklist.
Activer la journalisation diagnostique du moteur antipourriel - Inscrit des renseignements détaillés sur le moteur
antipourriel dans les fichiers journaux pour fins de diagnostic. Le moteur antipourriel n'utilise pas le journal
Événements (fichier warnlog.dat) et ne peut donc pas être consulté dans le visionneur de fichiers journaux. Il
inscrit les entrées directement dans un fichier dédié (par exemple C:\ProgramData\ESET\ESET Mail Security\Logs
\antispam.0.log ) de sorte que les données de diagnostique du moteur antipourriel sont conservées en un seul
endroit. De cette façon, les performances de ESET Mail Security ne sont pas compromises lorsque le trafic de
courriels est important.
Taille maximale de l'analyse des messages (ko) - Permet de limiter l'analyse antipourriel des messages dont la taille
est supérieure à la valeur spécifiée. Ces messages ne seront pas analysés par le moteur antipourriel. La valeur par
défaut 0 indique qu'il n'y a pas de limite à la taille des messages analysés. Normalement, il n'y a aucune raison de
limiter l'analyse antipourriels, mais si vous avez besoin de la limiter dans certaines situations, changez la valeur en
utilisant la taille requise. La plus petite taille de message pouvant être exclue de l'analyse antipourriel est de 12 Ko.
Si vous définissez la valeur de 1 à 12, les messages dont la taille est supérieure ou égale à 12 Ko seront toujours
limités, même si la valeur spécifiée est inférieure à 12.
Activer le rejet temporaire des messages indéterminés - Si le moteur antipourriel ne peut pas déterminer si un
message est un POURRIEL ou non, ce qui veut dire que le message a des caractéristiques suspectes propres aux
POURRIELS, mais pas assez pour être marqué comme POURRIEL (par exemple, le premier message d'une campagne
ou un courriel provenant d'une plage d'adresses IP avec des évaluations mixtes), alors ce paramètre (lorsqu'il est
activé) autorise ESET Mail Security à rejeter temporairement un tel message (comme le fait la mise en liste grise). Le
rejet se poursuit pendant une durée déterminée, jusqu'à ce que :
a) l'intervalle soit écoulé et que le message soit accepté lors de la prochaine tentative de livraison. Ce message
est laissé dans sa classification initiale (POURRIEL OU LÉGITIME).
117
b) Le nuage antipourriel rassemble suffisamment de données et est capable de classer correctement le
message avant la fin de l'intervalle.
Le message rejeté n'est pas gardé par ESET Mail Security, car il doit être renvoyé par le serveur d'envoi de courriel
conformément à la spécification RFC sur le SMTP.
Activer l'envoi des messages rejetés temporairement pour fins d'analyse - Le contenu du message est
automatiquement envoyé pour une analyse approfondie. Cela contribue à améliorer la classification des messages
pour les prochains courriels.
IMPORTANT
Il est possible que des messages rejetés temporairement qui sont envoyés pour analyse soient en fait des
messages légitimes. Dans de rares cas, des messages temporairement rejetés peuvent être utilisés pour une
évaluation manuelle. N'activez cette fonction que si tout risque de fuite des données confidentielles est écarté.
4.1.4.3 Paramètres de mise en liste grise
La fonction Activer Greylisting active une fonctionnalité qui protège les utilisateurs contre les pourriels en utilisant
la technique suivante : L'agent de transport envoie une valeur de retour SMTP de « rejet temporaire » (la valeur par
défaut étant 451/4.7.1) pour tout message reçu ne provenant pas d'un expéditeur reconnu. Après un certain temps,
un serveur légitime tentera de renvoyer le message. De façon générale, les serveurs de pourriel ne tentent pas de
renvoyer le message, puisqu'ils utilisent des milliers d'adresses de courriel et ne perdront donc pas de temps à
essayer de renvoyer un message. Greylisting est une autre couche de protection antipourriel, mais elle n'a aucun
effet sur les capacités d'évaluation du pourriel du module antipourriel.
Pour évaluer la source du message, Greylisting utilise une méthode qui tient compte de la configuration des listes
Adresses IP approuvées, Adresses IP ignorées, Expéditeurs fiables et Autoriser l'adresse IP sur le serveur Exchange
et des paramètres de contournement de la protection antipourriel de la boîte de courriel du destinataire. Les
courriels provenant de ces listes d'adresses IP/d'expéditeurs ou les courriels livrés dans la boîte de courriel pour
laquelle l'option de contournement de la protection antipourriel a été activée ne seront pas évalués par la méthode
de détection Greylisting.
· Utiliser seulement la partie du domaine de l'adresse de l'expéditeur - Ignore le nom de l'expéditeur dans
l'adresse de courriel, seul le domaine est pris en compte.
· Synchroniser les bases de données des listes grises avec toute la grappe ESET - Les entrées de la base de données
de listes grises sont partagées en temps réel entre les serveurs de la grappe ESET. Lorsque l'un des serveurs reçoit
un message qui est traité par la mise en liste grise, cette information est diffusée par ESET Mail Security sur le
reste des nœuds de la grappe ESET.
· Temps limite avant le refus de la connexion initiale (min) - Lors de la première tentative de livraison d'un
message temporairement refusé, ce paramètre définit la durée pendant laquelle le message sera toujours refusé
(calculé à partir du premier refus). Une fois le délai écoulé, le message sera accepté. La valeur minimale que vous
pouvez entrer est 1 minute.
· Délai d'expiration des connexions non vérifiées (heures) - Ce paramètre définit la durée minimale pendant
laquelle le triplet de données sera stocké. Un serveur valide doit renvoyer le message voulu avant l'expiration de
cette période. Cette valeur doit être supérieure à la valeur du Délai de refus de la connexion initiale.
118
· Délai d'expiration des connexions vérifiées (jours) - Le nombre minimal de jours pendant lequel le triplet de
données sera stocké, délai pendant lequel les messages envoyés par un expéditeur particulier seront acceptés
sans délai. Cette valeur doit être supérieure à la valeur du Délai d'expiration des connexions non vérifiées.
· Utiliser les listes antipourriel pour contourner automatiquement la mise en liste grise et SPF - Lorsque cette
fonction est activée, la liste des adresses IP approuvées et ignorées sera utilisée conjointement avec les listes
blanches d'adresses IP afin de contourner automatiquement la mise en liste grise et SPF.
· Liste blanche d'adresses IP - Dans cette section, vous pouvez ajouter des adresses IP, des adresses IP avec masque
et des plages d'adresses IP. Vous pouvez modifier la liste en cliquant sur Ajouter, Modifier ou Supprimer. Vous
pouvez aussi Importer ou Exporter des fichiers. Utilisez le bouton de navigation ... pour sélectionner
l'emplacement sur votre ordinateur où enregistrer le fichier de configuration.
· Domaine à mettre en liste blanche des adresse IP- Cette option vous permet de spécifier les domaines (par ex,
domainname.local). Pour gérer la liste, utilisez Ajouter ou Supprimerou Tout supprimer. Si vous souhaitez
importer votre liste personnalisée à partir d'un fichier au lieu d'ajouter chaque entrée manuellement, cliquez
avec le bouton droit de la souris dans le milieu de la fenêtre et sélectionnez Importer dans le menu contextuel,
puis recherchez le fichier (.xml ou .txt) contenant les entrées que vous souhaitez ajouter à la liste. De même, si
vous devez exporter votre liste existante vers un fichier, sélectionnez Exporter dans le menu contextuel.
· Réponse SMTP (des connexions refusées temporairement - Permet de spécifier un Code de réponse, un Code
d'état et un Message de réponse pour définir la réponse de refus temporaire envoyée au serveur SMTP si un
message est refusé. Exemple d'un message de réponse de refus SMTP :
Code de réponse
Code d'état
Message de réponse
451
4.7.1
Veuillez réessayer ultérieurement.
AVERTISSEMENT!
119
Une syntaxe incorrecte des codes de réponse SMTP pourrait entraîner un mauvais fonctionnement de la
protection Greylisting. Ainsi, il est possible d'envoyer les pourriels peuvent être envoyés aux clients ou de ne
jamais les envoyer.
REMARQUE
Vous pouvez également utiliser les variables du système au moment de définir la réponse de refus SMTP.
Tous les messages évalués à l'aide de la méthode d'ajout à la liste grise sont inscrits dans les fichiers journaux.
4.1.4.4 SPF et DKIM
SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) sont utilisés comme méthodes de validation
afin de vérifier qu'un message qui prétend provenir d'un domaine spécifique a été autorisé par le propriétaire de ce
domaine. Cela permet de protéger les destinataires contre la réception de messages envoyés avec une identité
usurpée. ESET Mail Security uses utilise également l'évaluation DMARC (Domain-based Message Authentication,
Reporting and Conformance) pour améliorer encore le SPF et le DKIM.
La vérification SPF permet de déterminer si un courriel a été envoyé par un propriétaire légitime. Une recherche
DNS des enregistrements SPF du domaine de l'expéditeur est effectuée afin d'obtenir une liste d'adresses IP. Si
l'une des adresses IP provenant des enregistrements SPF correspond à l'adresse IP réelle de l'expéditeur, le résultat
de la vérification SPF est Réussite. Si l'adresse IP réelle de l'expéditeur ne correspond pas, le résultat est Échec. Il
faut cependant noter que tous les domaines n'ont des enregistrements SPF spécifiés dans le DNS. Si aucun
enregistrement SPF n'existe dans le DNS, le résultat est Non disponible. Des dépassements de délai peuvent se
produire occasionnellement pour les requêtes DNS, auquel cas le résultat est également N'est pas disponible.
DKIM est utilisé pour empêcher la mystification des messages électroniques grâce à l'ajout d'une signature
numérique aux en-têtes des messages sortants selon la norme DKIM. Cela implique l'utilisation d'une clé de
domaine privé pour chiffrer les en-têtes de courriels sortant de vos domaines et l'ajout d'une version publique de la
clé aux enregistrements DNS du domaine. Les serveurs destinataires peuvent alors extraire la clé publique pour
déchiffrer les en-têtes entrants et vérifier que le message provient réellement de votre domaine et n'a pas été
modifié en cours de route.
DMARC se base sur les deux mécanismes existants, SPF et DKIM. Vous pouvez utiliser les règles de protection du
transport du courriel pour évaluer les actions Résultat DMARC et Appliquer la politique DMARC.
120
· Détecter automatiquement - utilise les paramètres de votre carte réseau.
· Adresse IP du serveur DNS - Si vous souhaitez utiliser des serveurs DNS spécifiques pour SPF et DKIM, entrez
l'adresse IP (au format IPv4 ou IPv6) du serveur DNS que vous souhaitez utiliser.
· Délai de requête DNS (secondes) - spécifie le délai pour la réponse du DNS.
· Rejeter automatiquement les messages si la vérification SPF échoue - Au cas où le résultat de la vérification SPF
est Échec dès le début, le courriel peut être rejeté avant qu'il ne soit téléchargé.
EXEMPLE
La vérification SPF est effectuée sur la couche SMTP. Cependant, il peut être rejeté automatiquement sur la
couche SMTP ou lors de l'évaluation des règles.
Il n'est pas possible d'enregistrer les messages rejetés dans le journal Événements si vous utilisez le rejet
automatique sur la couche SMTP. En effet, la journalisation est effectuée par une action de règle et le rejet
automatique est effectué directement sur la couche SMTP qui se produit avant l'évaluation de la règle. Comme
les messages sont rejetés avant l'évaluation des règles, il n'y a pas d'informations à consigner au moment de
l'évaluation des règles.
Vous pouvez enregistrer les messages rejetés, mais uniquement si vous rejetez les messages par une action de
règle. Pour rejeter les messages pour lesquelles la vérification SPF n'a pas réussi et journaliser ces messages
rejetés, désactivez Rejeter automatiquement les messages si la vérification du SPF a échoué et créez la règle
suivante pour Protection du transport du courriel :
Condition
Type : Résultat SPF
Opération : est
Paramètre : Échec
121
Actions
Type : Rejeter le message
Type : Journaliser les événements
· Utiliser l'en-tête Expéditeur : si COURRIEL ENVOYÉ PAR est vide - l'en-tête MAIL FROM peut être vide; elle peut
également contenir une identité usurpée. Lorsque cette option est activée, et que MAIL FROM est vide, le
message est téléchargé et l'entête From: est utilisée à la place.
· Ignorer automatiquement la mise en liste grise si la vérification SPF a réussi - Il n'y a aucune raison d'utiliser la
mise en liste grise pour un message dont le résultat de la vérification SPF est Réussite.
Réponse de rejet SMTP - Vous pouvez spécifier un Code de réponse, un Code d'état et un Message de réponse, qui
définissent la réponse de refus temporaire envoyée au serveur SMTP si un message est refusé. Vous pouvez écrire
un message de réponse en respectant le format suivant :
Code de réponse
Code d'état
Message de réponse
550
5.7.1
La vérification SPF a échoué
REMARQUE
Si vous exécutez Microsoft Exchange Server 2003 et 2003 R2 ou SBS 2003 et SBS 2003 R2, certaines des options SPF
et DKIM ne sont pas disponibles.
4.1.5 Règles
Les Règles permettent aux administrateurs de définir manuellement les conditions de filtrage des courriels et les
actions à entreprendre pour les courriels filtrés. Il existe trois ensembles de règles distincts, un pour chaque :
· Protection du transport de messagerie
· Protection de la base de données de messagerie
· Analyse de la base de données à la demande
IMPORTANT
Des règles pour l'analyse de base de données à la demande mal définies peuvent entraîner des modifications
irréversibles dans les bases de données de boîtes courriels. Assurez-vous toujours d'avoir la sauvegarde la plus
récente de vos bases de données de boîtes aux lettres avant d'exécuter l'analyse de base de données à la
demande avec des règles en place pour la première fois. En outre, nous vous recommandons fortement de
vérifier que les règles fonctionnent conformément aux attentes. Pour vérification, définissez des règles avec
l'action Journaliser aux événements uniquement, car toute autre action peut apporter des modifications à vos
bases de données de boîtes aux lettres. Une fois vérifiée, vous pouvez ajouter des actions de règle destructives
telles que Supprimer la pièce jointe.
Cliquez sur Modifier pour ouvrir la Liste des règles, où vous pouvez Ajouter ou modifier les règles existantes. Vous
pouvez également définir des Conditions et des Actions différentes pour la Protection du transport de messagerie,
la Protection de la base de données de la boîte de courriels et l'Analyse de la base de données à la demande. La
raison est que chacun de ces types de protection utilise une approche légèrement différente lors du traitement des
messages, notamment la Protection du transport du courriel.
Les règles sont classées en trois niveaux et sont évaluées dans l'ordre suivant :
· Règles de filtrage (1) - règle évaluée avant analyse antipourriel et antivirus
· Règles de traitement des fichiers joints (2) - règle évaluée lors de l'analyse antivirus
· Règles de traitement des résultats (3) - règle évaluée après l'analyse antivirus
EXEMPLE
Objectif : Mettre en quarantaine les messages contenant un logiciel malveillant ou une pièce jointe protégée par
mot de passe, endommagée ou chiffrée
122
Créer la règle suivante pour la protection du transport du courriel :
Condition
Type : Résultat de l'analyse antivirus
Opération : n'est pas
Paramètre : Nettoyer
Action
Type : Message de quarantaine
EXEMPLE
Objectif : Déplacer les messages dont la vérification SPF a échoué dans un dossier indésirable
Créer la règle suivante pour la protection du transport du courriel :
Condition
Type : Résultat SPF
Opération : est
Paramètre : Échec
Action
Type : Définir la valeur SCL
Valeur : 5 (Définissez la valeur en fonction du paramètre SCLJunkThreshold de la cmdlet GetOrganizationConfig de votre serveur Exchange. Pour plus de détails, consultez l'article Actions seuils SCL)
EXEMPLE
Objectif : Supprimer les messages provenant d'expéditeurs spécifiques
Créer la règle suivante pour la protection du transport du courriel :
Condition
Type : Expéditeur
Opération : est / est l'un de
Paramètre : spammer1@domain.com, spammer2@domain.com
Action
Type : Déposer le message silencieusement
EXEMPLE
Objectif : Personnaliser la règle prédéfinie
Détails : Autorisez les pièces jointes d'archive dans les messages provenant d'adresses IP spécifiées (dans le cas
de systèmes internes, par exemple) lors de l'utilisation de la règle de pièces jointes de fichiers d'archives
interdites
Ouvrez l'ensemble de règles Protection du transport du courriel, sélectionnez Pièces jointes au fichier d'archives
interdites et cliquez sur Modifier.
Ajouter une nouvelle condition
Type : Adresse IP de l'expéditeur
Opération : n'est pas/n'est aucun
Paramètre : 1.1.1.2, 1.1.1.50-1.1.1.99
REMARQUE
Si une nouvelle règle a été ajoutée ou qu'une règle existante a été modifiée, une nouvelle analyse du message
sera automatiquement lancée à l'aide des nouvelles règles ou des règles modifiées.
Si vous désactivez la Protection antivirus dans le menu Configuration ou Paramètres avancés (F5)> Serveur >
Antivirus et anti-logiciel espion pour le transport du courriel et la couche de protection de la base de données de la
boîte de courriels, cela affectera les conditions des règles suivantes :
· Nom de la pièce jointe
123
·
·
·
·
·
·
·
Taille de la pièce jointe
Type de pièce jointe
Résultat de l'analyse antivirus
La pièce jointe est protégée par un mot de passe
La pièce jointe est une archive corrompue
Contient une archive endommagée
Contient une archive protégée par un mot de passe
De plus, si vous désactivez la Protection antivirus dans le menu Configuration ou Paramètres avancés (F5)> Serveur >
Antivirus et anti-logiciel espion pour la couche de transport du courriel, cela affectera les actions des règles
suivantes :
· Quarantaine - pièce jointe
· Supprimer la pièce jointe
4.1.5.1 Liste des règles
La fenêtre de la liste Règles affiche les règles existantes. Les règles sont classées en trois niveaux et sont évaluées
dans l'ordre suivant :
· Règles de filtrage (1) - règle évaluée avant analyse antipourriel et antivirus
· Règles de traitement des fichiers joints (2) - règle évaluée lors de l'analyse antivirus
· Règles de traitement des résultats (3) - règle évaluée après l'analyse antivirus
Les règles de même niveau sont évaluées dans l'ordre dans lequel elles sont affichées dans la fenêtre Règles. Il est
possible de modifier l'ordre des règles, mais seulement de celles qui appartiennent au même niveau.
EXEMPLE
Lorsque vous avez plusieurs règles de filtrage, vous pouvez modifier l'ordre dans lequel elles sont appliquées.
Vous ne pouvez pas modifier leur ordre en plaçant des règles de traitement des fichiers joints avant des règles
de filtrage - les flèches de déplacement vers le haut/vers le bas ne seront pas disponibles. En d'autres mots, vous
ne pouvez pas mélanger les règles appartenant à des Niveaux différents.
La colonne Occurrences indique le nombre de fois que la règle a été appliquée avec succès. Décocher une case (qui
se trouve à gauche de chaque nom de règle) désactive la règle correspondante jusqu'à ce que vous cochiez la case
de nouveau.
124
IMPORTANT
Normalement, si les conditions d'une règle sont remplies, l'évaluation des règles s'arrête pour de nouvelles
règles de priorité inférieure. Cependant, si cela est nécessaire, vous pouvez utiliser l'action de règle spéciale
appelée Évaluer d'autres règles pour continuer l'évaluation.
·
·
·
·
·
·
·
Ajouter - ajoute une nouvelle règle
Modifier : modifie une règle existante
Afficher - vous permet d'afficher une configuration attribuée à partir de la politique ERA
Supprimer - Supprime la règle sélectionnée
Haut - déplace la règle sélectionnée vers le haut de la liste
Bas - déplace la règle sélectionnée vers le bas de la liste
Réinitialiser - Réinitialise le compteur de la règle sélectionnée (la colonne Occurrences)
REMARQUE
Si une nouvelle règle a été ajoutée ou qu'une règle existante a été modifiée, une nouvelle analyse du message
sera automatiquement lancée à l'aide des nouvelles règles ou des règles modifiées.
Les règles sont vérifiées par rapport à un message lorsqu'il est traité par la protection de transport du courriel, la
protection de la base de données de boîtes de courriels ou l'analyse de la base de données à la demande. Chaque
couche de protection a un ensemble de règles distinct.
Lorsque la protection de base de données de boîtes de courriels ou les conditions de règle d'analyse de base de
données à la demande sont mises en correspondance, le compteur de règles peut augmenter de 2 ou plus. En effet,
ces couches de protection accèdent séparément au corps et aux pièces jointes d'un message, de sorte que des
règles sont appliquées à chaque partie individuellement. Les règles de la protection de la base de données de la
boite de courriels sont aussi appliquées pendant l'analyse en arrière-plan (par exemple lorsque ESET Mail Security
exécute une analyse de la boîte de courriels après le téléchargement d'une nouvelle base de données des
signatures de virus), ce qui peut incrémenter le compteur de la règle.
125
4.1.5.1.1 Assistant de configuration des règles
Vous pouvez définir les paramètres Conditions et Actions en utilisant l'assistant de configuration de la Règle.
Définissez d'abord la ou les Conditions, ensuite la ou les Actions. Certaines Conditions et certaines Actions
diffèrent, c'est-à-dire celles spécifiques à la Protection du transport du courriel, la Protection de la base de données
de la boîte de courriels et l'Analyse de la base de données à la demande. La raison est que chacun de ces types de
protection utilise une approche légèrement différente lors du traitement des messages, notamment la Protection
du transport du courriel.
1. Cliquez sur Ajouter et la fenêtre Condition à la règle apparaîtra, dans laquelle vous pouvez sélectionner un
type de conditions, d'opérations et de valeurs.
2. À partir d'ici, vous pouvez ajouter une Action appliquée à la règle.
3. Une fois que vous avez défini les conditions et les actions, tapez un Nom pour la règle (qui vous aidera à
reconnaître la règle). Ce nom sera affiché dans la Liste des règles.
REMARQUE
Nom est un champ obligatoire : s'il est surligné en rouge, tapez le nom de la règle dans la zone de texte et
cliquez sur OK pour créer la règle. Le surlignage rouge ne disparaît pas, même si vous avez entré le nom d'une
règle; il disparaîtra une fois que vous aurez cliqué sur OK.
4. Si vous souhaitez préparer les règles, mais que vous planifiez les utiliser plus tard, vous pouvez cliquer sur
l'interrupteur situé à côté de l'élément Active pour désactiver la règle. Pour activer la règle, cochez la case à
côté de la règle que vous voulez activer à partir de la Liste des règles.
IMPORTANT
Vous pouvez définir plusieurs conditions. Si vous définissez plusieurs conditions, toutes les conditions doivent
être remplies pour que la règle soit appliquée. Toutes les conditions sont connectées en utilisant l'opérateur
logique ET. Même si la plupart des conditions sont remplies et qu'une seule ne l'est pas, la condition est
considérée comme non remplie et l'action de la règle ne peut être effectuée.
126
REMARQUE
Si vous configurez le type d'action Journaliser aux événements pour la Protection de la base de données de la
boîte de courriels en utilisant le paramètre %IPAddress%, la colonne Événement dans les Fichiers journaux sera
vide pour cet événement en particulier. La raison est qu'il n'y a aucune adresse IP au niveau de la Protection de la
base de données de la boîte de courriels. Certaines options ne sont pas disponibles à tous les niveaux de
protection :
Adresse IP - Ignorée par l'Analyse de la base de données à la demande et la Protection de la base de données de
la boîte de courriel
Boîte de courriel - Ignorée par la Protection du transport du courriel
4.1.5.1.1.1 Condition de la règle
Cet assistant vous permet d'ajouter des conditions à une règle. Sélectionnez le type de condition et une opération
dans la liste déroulante. La liste des opérations est différente selon le type de règle que vous choisissez.
Sélectionnez ensuite un paramètre. Les champs Paramètres changeront en fonction du type et de la fonction de la
règle. Vous pouvez également spécifier une expression régulière, sélectionner Correspond à l'expression régulière
ou Ne correspond pas à l'expression régulière. ESET Mail Security utilisestd::regex. Reportez-vous à la syntaxe
ECMAScript pour construire des expressions régulières.
EXEMPLE
Sélectionnez Taille du fichier > est supérieure à et, sous Paramètre, inscrivez 10 Mo. Grâce à ces paramètres, tout
fichier dont la taille est supérieure à 10 Mo sera traité en utilisant l'action de la règle que vous avez spécifiée.
Pour cette raison, vous devriez spécifier l'action à entreprendre lorsqu'une règle donnée est déclenchée. Si vous
ne l'avez pas déjà fait lors de la configuration des paramètres de cette règle.
IMPORTANT
Vous pouvez définir plusieurs conditions. Si vous définissez plusieurs conditions, toutes les conditions doivent
être remplies pour que la règle soit appliquée. Toutes les conditions sont connectées en utilisant l'opérateur
logique ET. Même si la plupart des conditions sont remplies et qu'une seule ne l'est pas, la condition est
considérée comme non remplie et l'action de la règle ne peut être effectuée.
Les types de conditions suivants sont disponibles pour la protection du transport du courriel, la protection de la
base de données de la boîte de courriels et l'analyse de la base de données à la demande (certaines options
pourraient ne pas s'afficher selon les conditions que vous avez sélectionnées précédemment) :
Nom de la condition
Protecti
on du
transpo
rt de
messag
erie
Protecti
on de la
base de
données
de
message
rie
Analyse
de la
base de
données Description
à la
demand
e
Objet
S'applique aux messages qui contiennent ou ne contiennent
pas une chaîne spécifique (ou une expression régulière) dans
l'objet.
Expéditeur
S'applique aux messages envoyés par un expéditeur
spécifique.
Expéditeur SMTP
L'attribut de l'enveloppe COURRIEL ENVOYÉ PAR utilisé lors
de la connexion SMTP. Également utilisé pour la vérification
SPF.
127
Nom de la condition
Protecti
on du
transpo
rt de
messag
erie
Protecti
on de la
base de
données
de
message
rie
Analyse
de la
base de
données Description
à la
demand
e
Adresse IP de
l'expéditeur
S'applique aux messages envoyés à partir d'une adresse IP
spécifique.
Domaine de
l'expéditeur
S'applique aux messages provenant d'un expéditeur ayant un
domaine spécifique dans ses adresses courriels.
Domaine de
l'expéditeur SMTP
S'applique aux messages provenant d'un expéditeur ayant un
domaine spécifique dans ses adresses courriels.
Entête De
« De : » valeur contenue dans les entêtes de message. Il s'agit
de l'adresse qui est visible pour le destinataire, mais aucune
vérification n'est faite que le système expéditeur est autorisé
à envoyer au nom de cette adresse. Elle est souvent utilisé
pour usurper l'identité de l'expéditeur.
Destinataire
S'applique aux messages envoyés à un destinataire
spécifique.
Unités
organisationnelles du
destinataire
S'applique aux messages envoyés à un destinataire
appartenant à une unité d'organisation spécifique.
Résultat de la
validation du
destinataire
S'applique aux messages envoyés à un destinataire validé
dans Active Directory.
Nom de la pièce
jointe
S'applique aux messages contenant des pièces jointes avec
un nom spécifique.
Taille de la pièce
jointe
S'applique aux messages ayant une pièce jointe dont la taille
ne correspond pas à une taille spécifiée, se trouve dans un
intervalle de tailles spécifiées ou excède une taille spécifiée.
Type de pièce jointe
S'applique aux messages avec un type de pièce jointe
spécifique. Les types de fichier sont catégorisés en groupes
pour faciliter leur sélection. Vous pouvez sélectionner
plusieurs types de fichier ou des catégories entières.
Taille du message
S'applique aux messages dont la taille des pièces jointes ne
correspondent pas à une taille spécifique, se trouvent entre
deux tailles spécifiques ou excèdent un taille spécifique.
Boîte de réception
S'applique aux messages se trouvant dans une boîte de
courriel spécifique.
Titres des messages
S'applique aux messages avec des données spécifiques dans
leur en-tête.
128
Nom de la condition
Protecti
on du
transpo
rt de
messag
erie
Protecti
on de la
base de
données
de
message
rie
Analyse
de la
base de
données Description
à la
demand
e
Résultat de l'analyse
antipourriel
S'applique aux messages signalés ou non comme pourriel ou
comme courriel légitime.
Résultat de l'analyse
antivirus
S'applique aux messages signalés comme étant malveillants
ou non malveillants.
Message interne
S'applique selon qu'un message est interne ou non interne.
Heure de réception
S'applique aux messages reçus avant ou après une date
spécifique ou entre deux dates spécifiques.
Contient une archive
protégée par un mot
de passe
S'applique aux messages avec des pièces jointes d'archives
qui sont protégées par un mot de passe.
Contient une archive
endommagée
S'applique aux messages dont les archives jointes sont
endommagées (très probablement impossibles à ouvrir).
La pièce jointe est une
archive protégée par
mot de passe
S'applique aux pièces jointes qui sont protégées par un mot
de passe.
La pièce jointe est une
archive corrompue
S'applique aux pièces jointes sont endommagées (très
probablement impossibles à ouvrir).
Nom du dossier
S'applique aux messages situés dans un dossier spécifique, si
le dossier n'existe pas, il sera créé. Cela ne s'applique pas aux
dossiers publics.
Résultat DKIM
S'applique aux messages dont la vérification par DKIM a
réussie ou a échoué, autrement si non disponible.
Résultat SPF
S'applique aux messages dont la vérification par SPF a réussie
ou a échoué, autrement si non disponible.
Résultat DMARC
S'applique aux messages dont la vérification par SPF, DKIM ou
les deux a réussie ou a échoué, autrement si non disponible.
Le type de condition a associé les opérations suivantes :
· Chaîne : est, n'est pas, contient, ne contient pas, correspond, ne correspond pas, fait partie de, ne fait pas partie
de
· Nombre : est inférieur à, est supérieur à, est compris entre
· Texte : contient, ne contient pas, correspond, ne correspond pas
· Date-Heure : est inférieure à, est supérieure à, est comprise entre
· Enum : est, n'est pas, fait partie de, ne fait pas partie de
REMARQUE
129
Si Nom de la pièce jointe ou Type de la pièce jointe est Fichier Microsoft Office (2007+), elle est traitée par ESET
Mail Security comme archive. Cela signifie que son contenu est extrait et chaque fichier contenu dans l'archive
de fichiers Office (par exemple .docx, .xlsx, .xltx, .pptx, .ppsx, .potx, etc.) est analysé séparément.
4.1.5.1.1.2 Action de la règle
Vous pouvez ajouter les actions qui seront entreprises pour les messages et/ou les fichiers joints qui correspondent
aux conditions de la règle.
REMARQUE
Il est possible d'ajouter plusieurs actions à une règle.
La liste des actions disponibles pour la protection du transport du courriel, la protection de la base de données de la
boîte de courriels et l'analyse de la base de données à la demande (certaines options pourraient ne pas s'afficher
selon les conditions que vous avez sélectionnées) :
Nom de l'action
Protectio
Protectio
n de la
n du
base de
transport
données
de
de
messager
messager
ie
ie
Analyse
de la base
de
Descriptions
données à
la
demande
Message de
quarantaine
Le message ne sera pas livré au destinataire et sera
déplacé dans la quarantaine de courriel.
Quarantaine - pièce
jointe
Met la pièce jointe du courriel dans la quarantaine des
fichiers. Le courriel sera remis au destinataire avec la pièce
jointe tronquée à une longueur nulle.
Supprimer la pièce
jointe
Supprime la pièce jointe d'un message. Le message sera
livré au destinataire sans pièce jointe.
Rejeter le message
Le message ne sera pas livré et un RNR (Rapport de nonremise) sera envoyé à l'expéditeur.
Déposer le message
silencieusement
Supprime un message sans envoyer de RNR.
Définir la valeur SCL
Change ou définit une valeur SCL spécifique.
Envoyer une
notification par
courriel
Envoi des notifications de courriels à un destinataire
spécifié dans Notifications de courriels. Vous devez activer
la fonctionnalité Envoyer des notifications d'événement
par courriel. Vous pouvez ensuite personnaliser le format
des messages d'événements (utilisez l'infobulle pour des
suggestions) tout en créant la règle. Vous pouvez
également sélectionner la verbosité pour les messages
d'événements, mais cela dépend de la verbosité minimum
définit dans la section Notifications par courriel.
Passer l'analyse
antipourriel
Le message ne sera pas analysé par le moteur antipourriel.
Passer l'analyse
antivirus
Le message ne sera pas analysé par le moteur antivirus.
130
Nom de l'action
Protectio
Protectio
n de la
n du
base de
transport
données
de
de
messager
messager
ie
ie
Analyse
de la base
de
Descriptions
données à
la
demande
Évaluer d'autres
règles
Permet l'évaluation d'autres règles, offrant à l'utilisateur la
possibilité de définir de multiples ensembles de
conditions et d'actions à entreprendre, en fonction des
conditions données.
Journaliser les
événements
Inscrit les renseignements sur la règle appliquée dans le
journal du programme et définit le format des messages
d'événements (utilisez l'infobulle pour des suggestions).
Ajouter un champ
d'en-tête
Aoute une chaîne personnalisée à l'en-tête du message.
Remplacer la pièce
jointe selon l'action
recommandée
Supprime le fichier joint et ajoute des renseignements sur
l'action entreprise pour le fichier joint dans le corps du
courriel.
Supprimer le
message
Supprime le message infecté.
Déplacer le message
vers le dossier
Le message sera déplacé dans le dossier spécifique.
Déplacer le message
dans la corbeille
Place un courriel dans la corbeille du côté du client de
messagerie.
Appliquer la
politique DMARC
Si la condition du résultat DMARC est remplie, le message
électronique est traité conformément à la politique
spécifiée dans l'enregistrement DNS DMARC pour le
domaine de l'expéditeur.
4.1.6 Protection du transport de messagerie
Les systèmes suivants offrent la Protection du transport du courriel sous Paramètres avancés > Serveur :
·
·
·
·
·
·
·
·
·
·
·
·
Microsoft Exchange Server 2003 (serveur frontal)
Microsoft Exchange Server 2003 (installation d'un seul serveur avec plusieurs rôles)
Microsoft Exchange Server 2007 (rôle serveur de transport Edge ou de boîte de courriels)
Microsoft Exchange Server 2007 (installation d'un seul serveur avec plusieurs rôles)
Microsoft Exchange Server 2010 (rôle serveur de transport Edge ou de boîte de courriels)
Microsoft Exchange Server 2010 (installation d'un seul serveur avec plusieurs rôles)
Microsoft Exchange Server 2013 (Edge Transport Server ou Hub Transport Server)
Microsoft Exchange Server 2013 (installation d'un seul serveur avec plusieurs rôles)
Microsoft Exchange Server 2016 (Edge Transport Server ou Hub Transport Server)
Microsoft Exchange Server 2016 (rôle du serveur de la boîte de courriels)
Microsoft Windows Server pour petites entreprises 2008
Microsoft Windows Server pour petites entreprises 2011
131
N'importe laquelle des actions antivirus suivantes applicable à la couche de transport peut être définie sous Actions
à appliquer si le nettoyage est impossible :
· Aucune action - Pour conserver les messages infectés ne pouvant pas être nettoyés
· Mettre le message en quarantaine - Pour envoyer les messages infectés dans la boîte de courriel de mise en
quarantaine
· Rejeter le message - Pour rejeter un message infecté
· Abandonner le message silencieusement - Pour supprimer les messages sans envoyer de rapport de nonremise
REMARQUE
Si vous sélectionnez Aucune action et en même temps mettez le niveau de nettoyage à Aucun nettoyage dans
les paramètres ThreatSense de l'antivirus et de l'anti-logiciel espion, alors l'état de la protection deviendra
jaune. En effet, il existe un risque de sécurité et nous ne recommandons pas d'utiliser cette combinaison.
Changez l'un ou l'autre paramètre pour avoir un bon niveau de protection.
N'importe laquelle des actions antipourriel applicable à la couche de transport peut être définie sous Action à
appliquer contre les pourriels :
· Aucune action - Pour conserver le message même s'il est marqué comme pourriel
· Mettre le message en quarantaine - Pour envoyer les messages marqués comme pourriels dans la boîte de
courriel de mise en quarantaine
· Rejeter le message - Pour rejeter les messages marqués comme pourriel
· Abandonner le message silencieusement - Pour supprimer les messages sans envoyer de rapport de nonremise
132
Réponse de rejet SMTP - Vous pouvez spécifier un Code de réponse, un Code d'état et un Message de réponse, qui
définissent la réponse de refus temporaire envoyée au serveur SMTP si un message est refusé. Vous pouvez écrire
un message de réponse en respectant le format suivant :
Code de réponse
Code d'état
Message de réponse
250
2.5.0
Requête d'action pour le courriel OK,
complétée
451
4.5.1
Requête d'action abandonnée : une
erreur locale de traitement est
survenue
550
5.5.0
Requête d'action non appliquée : la
boîte de courriel n'est pas disponible
554
5.6.0
Contenu invalide
REMARQUE
Vous pouvez aussi utiliser les variables du système lors de la configuration des Réponses de rejet SMTP.
Écrire les résultats de l'analyse dans les en-têtes de message - Lorsque cette option est activée, les résultats de
l'analyse sont écrits dans les en-têtes de message. Ces en-têtes de message commencent par X_ESET, ce qui les rend
faciles à reconnaître (par exemple X_EsetResult ou X_ESET_Antispam).
L'option Ajouter la notification au corps des messages analysés offre trois options :
· Ne pas ajouter aux messages
· Ajouter aux messages infectés seulement
· Ajouter à tous les messages analysés (ne s'applique pas aux messages internes)
Ajouter une note à l'objet des messages infectés - Lorsque cette option est activée, ESET Mail Security ajoute une
étiquette à l'objet du courriel contenant la valeur définie dans la zone de texte Modèle ajouté à l'objet des
messages infectés (le texte prédéfini par défaut est [found threat %VIRUSNAME%]). Cette modification peut servir à
automatiser le filtrage des messages infectés en filtrant les courriels ayant un objet spécifique, par exemple en
utilisant les règles ou encore, de manière alternative, du côté du client (si la prise en charge par le client de
messagerie est possible), à placer de tels messages dans un dossier séparé.
Ajouter une note à l'objet des pourriels - Lorsque cette option est activée, ESET Mail Security ajoute une étiquette à
l'objet du courriel contenant la valeur définie dans la zone de texte Modèle ajouté à l'objet des messages infectés
(le texte prédéfini par défaut est [SPAM]). Cette modification peut servir à automatiser le filtrage du pourriel en
filtrant les courriels ayant un objet spécifique, par exemple en utilisant les règles ou, de manière alternative, du
côté du client (si la prise en charge par le client de messagerie est possible), à placer de tels messages dans un
dossier séparé.
REMARQUE
Il est aussi possible d'utiliser les variables du système quand vous éditez du texte, lequel sera ajouté à l'objet.
133
4.1.6.1 Paramètres avancés
Dans cette section, vous pouvez modifier les paramètres avancés pour l'agent de transport :
Analyser également les messages reçus des connexions authentifiées ou internes - vous pouvez choisir le type
d'analyse qui sera effectuée sur les messages reçus des sources authentifiées ou des serveurs locaux. L'analyse de
tels messages est recommandée car elle augmente le niveau de sécurité, mais elle s'avère nécessaire si vous
utilisez le connecteur Microsoft SBS POP3 intégré pour obtenir des messages courriel provenant de serveurs POP3
ou de services courriel externes (par exemple Gmail.com, Outlook.com, Yahoo.com, gmx.dem, etc.). Pour de plus
amples renseignements, consultez la section Connecteur POP3 et protection antipourriel.
REMARQUE
Ce paramètre active/désactive la protection antipourriels pour les utilisateurs authentifiés et les connexions
internes. Les courriels provenant de connexions non authentifiées sont toujours analysés, même si vous avez
sélectionné Ne pas analyser.
REMARQUE
Les messages internes provenant d'Outlook à l'intérieur de l'organisation sont envoyés en format TNEF
(Transport Neutral Encapsulation Format). TNEF n'est pas pris en charge par antipourriel. Ainsi, les courriels
internes qui sont formatés TNEF ne seront pas analysés dans le but de détecter des pourriels, même si vous avez
sélectionné Analyse par la protection antipourriel ou Analyse par la protection antivirus et antipourriel.
Rechercher les adresses IP d'origine de l'expéditeur dans les en-têtes - si cette option est activée, ESET Mail
Security recherche l'adresse IP d'origine dans les en-têtes de messages pour que différents modules de protection
(antipourriel et autres) puissent l'utiliser. Si votre organisation Exchange est séparée d'Internet par un serveur
mandataire, passerelle ou Edge Transport, les messages électroniques sembleront provenir d'une seule adresse IP
(généralement une adresse interne). Il est fréquent que sur le serveur externe (par exemple Edge Transport dans
DMZ) pour lequel l'adresse IP des expéditeurs est connue, cette adresse IP soit écrite dans les en-têtes des
messages qui sont reçus. La valeur spécifiée dans le champ L'en-tête avec l'adresse IP d'origine en-dessous est l'entête que recherche ESET Mail Security dans les en-têtes de message.
134
En-tête avec l'adresse IP d'origine - est l'en-tête que recherche ESET Mail Security dans les en-têtes de message.
Habituellement, X-Originating-IP est utilisé, mais vous pouvez entrer des en-têtes standards supplémentaires
comme X-Forwarded-For ou Forwarded (voir la liste des champs d'en-têtes HTTP).
Activer la mise en quarantaine des messages internes - lorsque cette option est activée, les messages internes
seront mis en quarantaine. Habituellement, il n'est pas nécessaire de mettre les messages interne en quarantaine.
Supprimer les en-têtes SCL existants avant l'analyse - Cette option est désactivée par défaut. Vous pouvez le
désactiver si nécessaire pour conserver l'en-tête SCL (Spam Confidence Level).
4.1.7 Protection de la base de données de la boîte de courriel
Les systèmes d'exploitation suivants offrent la Protection de la base de données de la boîte de courriel sous
Paramètres avancés > Serveur :
·
·
·
·
·
·
·
·
·
Microsoft Exchange Server 2003 (serveur dorsal)
Microsoft Exchange Server 2003 (installation d'un seul serveur avec plusieurs rôles)
Microsoft Exchange Server 2007 (rôle du serveur de la boîte de courriels)
Microsoft Exchange Server 2007 (installation d'un seul serveur avec plusieurs rôles)
Microsoft Exchange Server 2010 (rôle du serveur de la boîte de courriels)
Microsoft Exchange Server 2010 (installation d'un seul serveur avec plusieurs rôles)
Microsoft Windows Server pour petites entreprises 2003
Microsoft Windows Server pour petites entreprises 2008
Microsoft Windows Server pour petites entreprises 2011
REMARQUE
La protection de la base de données de la boîte de courriels n'est pas disponible avec Microsoft Exchange Server
2013 et 2016.
Si vous décochez l'option Activer la protection antivirus et anti-logiciel espion VSAPI 2.6, le module d'extension
ESET Mail Security pour le serveur Exchange ne sera pas déchargé des processus du serveur Microsoft Exchange. Il ne
fera que passer à travers les messages sans faire une analyse de détection des virus. Cependant, les messages
feront tout de même l'objet d'une analyse de détection des pourriels et les règles seront appliquées.
Si l'option Analyse proactive est activée, les nouveaux messages entrants seront analysés dans l'ordre dans lequel
ils ont été reçus. Si cette option est activée et qu'un utilisateur ouvre un message qui n'a pas encore été analysé, ce
message sera analysé avant les autres messages dans la file d'attente.
L'option Analyse en arrière-plan permet d'analyser tous les messages qui sont exécutés en arrière-plan (l'analyse
est appliquée à la boîte de courriel et à la boutique de dossiers publics, par exemple la base de données Exchange).
Microsoft Exchange Server décide si l'analyse en arrière-plan sera effectuée ou non en fonction de différents
facteurs comme la charge actuelle du système, le nombre d'utilisateurs actifs, etc. Microsoft Exchange Server
conserve un journal des messages analysés et de la version de la base de données des signatures de virus utilisée.
Si vous ouvrez un message qui n'a pas été analysé par la base de données des signatures de virus la plus
contemporaine, Microsoft Exchange Server envoie le message à ESET Mail Security pour fins d'analyse avant que le
client de messagerie ne l'ouvre. Vous pouvez choisir d'Analyser seulement les messages avec des fichiers joints et
de les filtrer en fonction de l'heure de réception. À partir de l'option Niveau d'analyse, vous pouvez sélectionner
une des options suivantes :
·
·
·
·
·
·
Tous les messages
Messages reçus au cours de la dernière année
Messages reçus au cours des 6 derniers mois
Messages reçus au cours des 3 derniers mois
Messages reçus au cours du dernier mois
Messages reçus au cours de la dernière semaine
Puisque l'analyse en arrière-plan peut avoir des répercussions sur la charge du système (l'analyse est effectuée
après chaque mise à jour de la base de données des signatures de virus), nous vous recommandons d'utiliser
l'analyse planifiée en dehors des heures de travail. L'analyse en arrière-plan planifiée peut être configurée grâce à
135
une tâche spéciale dans le Planificateur. Lorsque vous planifiez une tâche d'analyse en arrière-plan, vous pouvez
définir l'heure de début, le nombre de répétitions, ainsi que d'autres paramètres disponibles dans le Planificateur.
Une fois la tâche planifiée, elle s'affichera dans la liste des tâches planifiées. Vous pouvez modifier les paramètres
de la tâche, la supprimer ou la désactiver temporairement.
La sélection de l'option Analyser le corps des messages RTF permet l'analyse des corps des messages en format RTF.
Les corps des messages en format RTF peuvent contenir des macrovirus.
REMARQUE
Le corps des messages en texte brut ne sera pas analysé par VSAPI.
REMARQUE
Les dossiers publics sont traités de la même manière que les boîtes de courriel. Ce qui veut dire que les dossiers
publics sont aussi analysés.
4.1.8 Analyse de base de données à la demande
L'analyse des bases de données à la demande est disponible pour les types de systèmes suivants :
·
·
·
·
·
·
·
·
·
Microsoft Exchange Server 2007 (rôle serveur de transport Hub ou de boîte de courriels)
Microsoft Exchange Server 2007 (installation d'un seul serveur avec plusieurs rôles)
Microsoft Exchange Server 2010 (rôle serveur de transport Hub ou de boîte de courriels)
Microsoft Exchange Server 2010 (installation d'un seul serveur avec plusieurs rôles)
Microsoft Exchange Server 2013 (rôle serveur de boîte aux lettres)
Microsoft Exchange Server 2013 (installation d'un seul serveur avec plusieurs rôles)
Microsoft Exchange Server 2016 (rôle serveur de boîte aux lettres)
Microsoft Windows Server pour petites entreprises 2008
Microsoft Windows Server pour petites entreprises 2011
REMARQUE
Si vous exécutez Microsoft Exchange Server 2007, 2010, 2013 ou 2016, vous pouvez choisir entre Protection de la
base de données de la boîte de courriels et Analyse de la base de données à la demande. Un seul type de
protection peut être actif à la fois. Si vous décidez d'utiliser l'option Analyse de la base de données à la
demande, vous devrez désactiver l'intégration de la Protection de la base de données de la boîte de courriels
dans Configuration avancée sous Serveur. Sinon l'option Analyse de la base de données à la demande ne sera pas
disponible.
Adresse de l'hôte - Nom ou adresse IP du serveur qui exécute EWS (Exchange Web Services).
Nom d'utilisateur - Pour spécifier l'authentifiant d'un utilisateur qui a l'accès adéquat à EWS (Exchange Web
Services).
Mot de passe de l'utilisateur - Cliquez Définir à côté de l'élément Mot de passe de l'utilisateur et tapez le mot de
passe pour ce compte.
IMPORTANT
Pour analyser les dossiers publics, le compte utilisé pour l'analyse de la base de données à la demande doit avoir
une boîte aux lettres. Sinon, le message Failed to load public folders apparaitra dans le journal d'analyse de la
base de données ainsi qu'un message plus spécifique retourné par Exchange.
Assigner le rôle Imitationd'uneapplication à l'utilisateur - Si l'option est estompée, vous devez spécifier un Nom
d'utilisateur. Cliquez sur Assigner pour assigner automatiquement le rôle Imitationd'uneapplication à l'utilisateur
sélectionné. De manière alternative, vous pouvez assigner le rôle Imitationd'uneapplication manuellement à un
compte utilisateur. Pour en savoir plus, voir les Détails de l'analyse de la base de données du compte.
Utiliser le protocole SSL - Cette option doit être activée si la configuration d'EWS (Exchange Web Services) est
réglée à Exiger le protocole SSL dans IIS. Si le protocole SSL est activé, il faut importer le certificat Exchange Server
dans le système à l'aide de ESET Mail Security (au cas où les rôles serveur Exchange se trouvent sur différents
serveurs). Il est possible d'accéder aux paramètres d'EWS dans IIS, à partir de Sites/Site Web par défaut/EWS/
Paramètres SSL.
136
REMARQUE
Désactiver l'option Utiliser le protocole SSL seulement dans le cas où la configuration dans IIS est réglée pour ne
pas exiger le protocole SSL.
Certificat client - Le certificat client doit être réglé seulement si Exchange Web Services exige un certificat client.
Cliquez sur Sélectionner pour sélectionner un certificat.
Action à entreprendre si le nettoyage est impossible - Ce champ d'actions vous permet de bloquer le contenu
infecté.
Aucune action - Aucune action n'est entreprise contre le contenu infecté du message.
Déplacer le message dans la corbeille - Cette action n'est pas prise en charge s'il s'agit d'éléments se trouvant
dans le Dossier public. L'action Supprimer l'objet est donc appliquée à la place.
Supprimer l'objet - Supprime le contenu infecté du message.
Supprimer le message - Supprime l'ensemble du message, y compris le contenu infecté.
Remplacer l'objet par l'information sur l'action - Supprime un objet et insère l'information selon laquelle l'objet a
été supprimé.
Nombres de fils d'analyse - vous pouvez indiquer le nombre de fils que ESET Mail Security doit utiliser lors de
l'analyse des bases de données. Plus le nombre est élevé, meilleure est la performance. Cependant, cela a un effet
sur la quantité de ressources utilisées. La valeur par défaut est 6 fils d'analyse.
REMARQUE
Si vous configurez l'analyse de la base de données à la demande de manière à utiliser un nombre de fils élevé,
alors la charge devient importante pour votre système, ce qui pourrait ralentir d'autres processus ou même
l'ensemble du système. Vous pourrez recevoir un message d'erreur indiquant « Nombre de connexions
simultanées ouvertes trop élevé ».
137
4.1.8.1 Éléments de boîte de courriel supplémentaires
L'analyseur de la base de données à la demande vous permet d'activer ou de désactiver l'analyse des autres types
d'éléments de la boîte de courriel :
·
·
·
·
Analyser l'agenda
Analyser les tâches
Analyser les contacts
Analyser le journal
REMARQUE
Si vous éprouvez des problèmes liés à la performance, vous pouvez désactiver l'analyse de ces éléments. La
durée des analyses sera plus longue lorsque ces éléments sont activés.
4.1.8.2 Serveur mandataire
Dans le cas où vous utilisez un serveur mandataire entre Exchange Server avec un rôle CAS et Exchange Server où
ESET Mail Security est installé, spécifiez les paramètres de votre serveur mandataire. Cette exigence s'explique par
le fait que ESET Mail Security se connecte à EWS (Exchange Web Services) API par l'entremise du protocole HTTP/
HTTPS. Sinon, la boîte de courriels de mise en quarantaine et la quarantaine MS Exchange ne fonctionneront pas.
Serveur mandataire - Pour entrer l'adresse IP ou le nom du serveur mandataire que vous utilisez.
Port - Pour entrer le numéro de port du serveur mandataire.
Nom d'utilisateur, Mot de passe - Pour saisir l'authentifiant dans le cas où votre serveur mandataire exige une
authentification.
4.1.8.3 Détails du compte d'analyse de la base de données
Cette fenêtre de dialogue s'affiche si vous n'avez pas spécifié un nom d'utilisateur et un mot de passe pour l'analyse
de la base de données dans Paramètres avancés. Spécifiez l'authentifiant de l'utilisateur qui a accès à EWS
(Exchange Web Services) dans cette fenêtre contextuelle et cliquez sur OK. De manière alternative, vous pouvez
aller à Configuration avancée en appuyant sur la touche F5 et sélectionner Serveur > Analyse de la base de données
à la demande. Tapez votre nom d'utilisateur, cliquez sur Définir, tapez un mot de passe pour ce compte utilisateur,
puis cliquez sur OK.
· Cochez la case à côté de Enregistrer les informations relatives au compte pour enregistrer les paramètres du
compte. Ainsi, vous n'aurez pas à saisir les informations relatives au compte à chaque exécution d'une analyse de
la base de données à la demande.
· Si un compte utilisateur n'a pas l'accès approprié à ESW, vous pouvez sélectionner Créer une assignation de rôle
« ApplicationImpersonation » pour attribuer ce rôle à un compte utilisateur. Vous pouvez également assigner le
rôle ApplicationImpersonation manuellement. Consultez la remarque ci-dessous pour plus de détails.
138
IMPORTANT
Le compte d'analyse doit avoir les droits ApplicationImpersonation pour que le moteur d'analyse puisse analyser
les boîtes de courriel des utilisateurs dans les bases de données des boîtes de courriel Exchange. Si vous utilisez
Exchange Server 2010 ou une version ultérieure, une nouvelle politique de limitation EWS illimitée est créée
pour le compte utilisateur. Assurez-vous de configurer une politique de limitation EWS pour le compte d'analyse
afin d'empêcher un nombre trop élevé de demandes d'opération de la part de ESET Mail Security. Veuillez
consulter les articles Meilleures pratiques EWS et Comprendre les politiques de limitation client pour en
apprendre davantage sur les politiques de limitation. Voir également l'article Modifier les paramètres de
limitation de l'utilisateur pour des utilisateurs spécifiques pour plus de détails et d'exemples.
REMARQUE
Si vous souhaitez attribuer un rôle ApplicationImpersonation à un compte d'utilisateur manuellement et créer
de nouvelles politiques de limitations EWS pour ce compte, vous pouvez utiliser les commandes suivantes
(remplacez ESET-user par un nom de compte réel dans votre système; vous pouvez également définir des
limites pour la politique de limitation EWS en remplaçant $null par des chiffres) :
Exchange Server 2007
Get-ClientAccessServer | Add-AdPermission -User ESET-user -ExtendedRights ms-Exch-EPI-Impersonation
Get-MailboxDatabase | Add-AdPermission -User ESET-user -ExtendedRights ms-Exch-EPI-May-Impersonate
Exchange Server 2010
New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation -Role:ApplicationImpersonation User:ESET-user
Cette opération peut prendre quelques instants
New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSFindCountLimit $null EWSFastSearchTimeoutInSeconds $null -EWSMaxConcurrency $null -EWSPercentTimeInAD $null EWSPercentTimeInCAS $null -EWSPercentTimeInMailboxRPC $null
Set-ThrottlingPolicyAssociation -Identity user-ESET -ThrottlingPolicy ESET-ThrottlingPolicy
Exchange Server 2013 et 2016
New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation -Role:ApplicationImpersonation User:ESET-user
Cette opération peut prendre quelques instants
New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSMaxConcurrency Unlimited -EwsCutoffBalance
Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited
Set-ThrottlingPolicyAssociation -Identity ESET-user -ThrottlingPolicy ESET-ThrottlingPolicy
139
4.1.9 Quarantaine de courriel
Le gestionnaire de Quarantaine de courriel est offert avec les trois types de Quarantaine :
· Quarantaine locale
· Boîte de courriel de mise en quarantaine
· Quarantaine de MS Exchange
Vous pouvez voir le contenu de la Quarantaine de courriel dans le gestionnaire de la Quarantaine de courriel pour
tous les types de Quarantaine. De plus, il est aussi possible de voir la quarantaine locale dans l'interface Web
Quarantaine de courriel.
· Stocker les messages des destinataires non existants - Ce paramètre s'applique aux messages marqués pour être
mis en quarantaine par une protection antivirus, une protection antipourriel ou en fonction des règles. Lorsque
cette fonction est activée, les messages qui sont envoyés aux utilisateurs qui n'existent pas dans votre Active
Directory sont stockés dans la Quarantaine à courriels. Désactivez cette option si vous ne souhaitez pas conserver
ces messages dans votre Quarantaine à courriels. Lorsque cette fonction est désactivée, les messages envoyés
aux destinataires inconnus seront supprimés en silence.
EXEMPLE
Si vous souhaitez mettre en quarantaine tous les messages dont les destinataires n'existent pas
(indépendamment du marquage de la protection Antivirus ou Antipourriel), créez une règle spécifique pour la
protection du transport du courriel avec un type de condition : Résultat de la validation du destinataire,
opération : est, paramètre : Contient un destinataire invalide et un type d'action : Message de quarantaine.
· Ignorer l'évaluation des règles lors de la libération des courriels - si vous voulez libérer un message de la
quarantaine, ce message ne sera pas évalué à l'aide des règles. Cela permet d'éviter que le message ne retourne
en quarantaine; le message libéré sera livré au destinataire. Cette fonction n'est utilisée que lorsque
l'administrateur libère le message. Si vous désactivez cette fonctionnalité, ou si un message est libéré par un
utilisateur autre que l'administrateur, le message sera évalué à l'aide des règles.
140
REMARQUE
Les deux paramètres ci-dessus sont disponibles uniquement pour Microsoft Exchange Server 2007 et les versions
plus récentes.
4.1.9.1 Quarantaine locale
La quarantaine locale utilise le système de fichiers local pour stocker les courriels mis en quarantaine et une base
de données SQLite comme index. Les fichiers de courriel mis en quarantaine qui sont stockés, tout comme les
fichiers de base de données, sont chiffrés pour des raisons de sécurité. Ces fichiers se trouve sous C:\ProgramData
\ESET\ESET Mail Security\MailQuarantine (dans Windows Server 2008 et d 2012) ou C:\Documents and Settings\All
Users\Application Data\ESET\ESET Mail Security\MailQuarantine (dans Windows Server 2003).
REMARQUE
Si vous voulez stocker les fichiers en quarantaine sur un autre lecteur, autre que C:, le lecteur par défaut,
remplacez le dossier de données par le chemin d'accès de votre choix pendant l'installation de ESET Mail
Security.
Fonctionnalités de la Quarantaine locale :
· Les pourriels et les courriels en quarantaine seront stockés dans un système de fichiers local, et pas dans une base
de données de boîte de courriels Exchange.
· Chiffrage et compression des fichiers de courriel mis en quarantaine qui sont stockés localement.
· Interface Web de la quarantaine de courriel comme alternative au Gestionnaire de la quarantaine de courriel.
· Les rapports de quarantaine peuvent être envoyés à une adresse de courriel spécifique à l'aide d'une tâche
planifiée.
· Les fichiers de courriel mis en quarantaine supprimés de la fenêtre de quarantaine (par défaut, après 21 jours)
sont toujours stockés dans un système de fichiers (jusqu'à ce que la suppression automatique soit appliquée
après un nombre de jours spécifique).
· La suppression automatique des anciens fichiers de courriel (par défaut, après 3 jours). Pour en savoir plus,
consultez la rubrique Paramètres de stockage des fichiers.
· Vous pouvez restaurer les fichiers de courriel mis en quarantaine à l'aide d'eShell (en supposant qu'ils n'ont pas
encore été supprimés du système de fichiers).
REMARQUE
Le désavantage d'utiliser Quarantaine locale est le suivant : si vous exécutez ESET Mail Security de plusieurs
serveurs avec le rôle Hub Transport Server, vous devez gérer la Quarantaine locale de chaque serveur
séparément. Plus il y a de serveurs, plus il y a de quarantaines à gérer.
· Inspectez les courriels mis en quarantaine et décidez de les supprimer ou de les libérer. Pour afficher et gérer les
courriels mis en quarantaine locale, vous pouvez utiliser le gestionnaire de la quarantaine de courriel à partir de
l'IUG principale ou de l'interface Web de la Quarantaine de courriel.
4.1.9.1.1 Stockage de fichiers
Dans cette section, vous pouvez modifier les paramètres de stockage des fichiers utilisés par la quarantaine locale.
· Fichiers mis en quarantaine compressés - Les fichiers mise en quarantaine compressés occupent moins d'espace
disque, mais si vous choisissez de ne pas les compresser, vous pouvez utiliser l'interrupteur pour désactiver la
compression.
· Effacer les anciens fichiers après (jours) - Lorsque les messages atteignent le nombre de jours qui a été spécifié,
ils sont effacés de la fenêtre de quarantaine. Cependant, les fichiers ne seront pas supprimé du disque et seront
conservés pendant le nombre de jours spécifiés dans Effacer les fichiers supprimés après (jours). Puisque les
fichiers ne sont pas supprimés du système de fichiers, il est possible de récupérer de tels fichiers à l'aide d'eShell.
· Effacer les fichiers supprimés après (jours) - Supprime les fichiers sur le disque après le nombre de jours spécifié.
Aucune récupération n'est possible après la suppression de ces fichiers (à moins que vous ayez mise en place une
solution de sauvegarde de système de fichiers).
141
4.1.9.1.2 Interface Web
L'interface Web de la Quarantaine de courriel est une alternative au gestionnaire de la quarantaine de courriel.
Cependant, elle est seulement disponible pour la Quarantaine local.
REMARQUE
L'interface Web de la quarantaine de courriel n'est pas disponible sur un serveur avec le rôle Edge Transport
Server, car Active Directory n'est pas accessible pour l'authentification.
L'interface Web de la Quarantaine de courriel vous permet de voir l'état de la quarantaine de courriel. Elle permet
aussi la gestion des objets du courriel mis en quarantaine. Il est possible d'accéder à cette interface Web à partir des
liens contenus dans les rapports de quarantaine ou directement en entrant une Adresse URL dans votre navigateur
Web. Pour accéder à l'interface Web de la Quarantaine de courriel, vous devez vous authentifier en utilisant
l'authentifiant de domaine. L'authentification d'un utilisateur de domaine se fera automatiquement avec Internet
Explorer. Cependant, le certificat de la page Web doit être valide, l'option Connexion automatique doit être activée
dans IE et le site Web de la Quarantaine de courriel doit être ajouté aux sites intranet locaux.
Tout utilisateur qui existe dans Active Directory peut accéder à l'interface Web de la quarantaine de courriels, mais
ne peut voir que les éléments en quarantaine qui ont été envoyés à son adresse courriel (ce qui inclut aussi bien les
pseudonymes de l'utilisateur). L'administrateur est capable de voir tous les éléments mis en quarantaine pour tous
les destinataires.
L'interrupteur Activer l'interface Web permet l'activation ou la désactivation de l'interface Web.
IMPORTANT
ESET Mail Security n'utilise pas IIS pour exécuter l'interface Web de quarantaine de messagerie. Il utilise plutôt
l'API de serveur HTTP qui prend en charge le SSL afin de permettre l'échange de données à l'aide de connexion
HTTP sécurisées. Windows Server 2003 est une exception; vous devez avoir un certificat de site Web installé dans
IIS pour activer la communication SSL.
142
URL Web - Adresse URL à laquelle l'interface Web de Quarantaine de courriel sera disponible. Par défaut, il s'agit du
FQDN du serveur avec /quarantine (par. ex. mailserver.company.com/quarantine). Vous pouvez spécifier votre
propre répertoire virtuel a la place du répertoire par défaut /quarantine. Vous pouvez changer l'url Web à tout
moment en modifiant sa valeur. La valeur de l'url Web doit être spécifiée sans schéma (HTTP, HTTPS) et sans
numéro de port. Utilisez simplement le format fqdn/virtualdirectory. Vous pouvez aussi utiliser des caractères
génériques au lieu du FQDN.
REMARQUE
ESET Mail Security prend en charge les urls Web dans quatre formats différents :
Caractères génériques forts ( +/quarantine)
Explicite ( mydomain.com/quarantine)
Caractères génériques faibles liés à l'IP ( 192.168.0.0/quarantine)
Caractères génériques faibles ( */quarantine)
Consultez la section Catégories de spécification d'hôte de l'article Chaînes UrlPrefix pour plus de
renseignements.
REMARQUE
Une fois que vous avez modifié l'url Web, il n'est plus possible de revenir aux valeurs par défaut en cliquant sur
l'icône rétablir . Supprimez l'entrée et laissez la boîte de texte vide. Redémarrez votre serveur. Lorsque ESET
Mail Security démarre et trouve que l'url Web est vide, il remplit ce champ automatiquement à l'aide de la valeur
par défaut fqdn/quarantine.
Port HTTPS - Utilisé pour l'interface Web. Le numéro de port par défaut est 443.
Port HTTP - Utilisé pour libérer les courriels de la quarantaine par l'intermédiaire des rapports sur les courriels.
IMPORTANT
Si vous modifiez le numéro de port pour HTTPS ou HTTP, assurez-vous d'ajouter la liaison de port dans IIS.
Activer les administrateurs par défaut - Par défaut, les membres du groupe Administrateurs disposent d'un accès
administrateur à l'interface Web Quarantaine de courriels. L'accès Administrateur n'a pas de restrictions et permet à
l'administrateur de voir tous les éléments mis en quarantaine, quels que soient les destinataires. Si vous désactivez
cette option, seuls les comptes utilisateur Administrateur auront un accès administrateur à l'interface Web
Quarantaine de courriels.
Droits d'accès supplémentaires - Permet d'accorder aux utilisateurs un accès supplémentaire à l'interface Web
Quarantaine de courriels et choisir le type d'accès. Cliquez sur Modifier pour ouvrir la fenêtre Droits d'accès
supplémentaires, cliquez ensuite sur Ajouter pour accorder l'accès à un utilisateur. Dans la fenêtre contextuelle
Nouveaux droits d'accès, cliquez sur Sélectionner et choisissez un utilisateur dans Active Directory (vous pouvez
choisir un seul utilisateur); sélectionnez ensuite le type d'accès dans la liste déroulante :
· Administrateur - l'utilisateur a un accès administrateur à l'interface Web de quarantaine de courriels.
143
· Accès délégué - Utilisez ce type d'accès si vous voulez autoriser un utilisateur (délégué) à voir et à gérer les
messages mis en quarantaine d'un autre destinataire. Indiquez l'adresse du destinataire en saisissant l'adresse
courriel d'un utilisateur dont les messages en quarantaine seront gérés par le délégué. Si un utilisateur possède
des pseudonymes dans Active Directory, vous pouvez ajouter des droits d'accès supplémentaires à chaque
pseudonyme si vous le voulez.
Un exemple d'utilisateurs qui ont obtenu des droits d'accès supplémentaires à l'interface Web de quarantaine de
courriels :
144
Pour accéder à l'interface Web de Quarantaine de courriel, ouvrez votre navigateur Web et utilisez l'URL spécifiée
dans Configuration avancée > Serveur > Quarantaine de courriel > Interface Web > URL Web.
Libérer - libère le ou les courriels vers le ou les destinataires à l'aide du répertoire Replay et le supprime de la
quarantaine. Cliquez sur Soumettre pour confirmer l'action.
REMARQUE
Lors de la libération des courriel de la quarantaine, ESET Mail Security ignore l'en-tête MIME To:, car il peut
facilement être mystifié. À la place, l'information de destinataire initial obtenue grâce à la commande RCPT TO:
pendant la connexion SMTP est utilisée. Cela garantit que le message qui est libéré de la quarantaine sera remis
au bon destinataire.
Supprimer - Supprime l'élément de la quarantaine. Cliquez sur Soumettre pour confirmer l'action.
Lorsque vous cliquez sur Objet, une fenêtre contextuelle s'ouvrire contenant des détails sur le courriel mis en
quarantaine comme le Type, la Raison, l'Expéditeur, la Date, les Fichiers joints, etc.
145
Cliquez Afficher les en-têtes pour vérifier l'en-tête du courriel mis en quarantaine.
Au besoin, cliquez sur Libérer ou Supprimer pour entreprendre une action contre un courriel mis en quarantaine.
REMARQUE
Vous devez fermer la fenêtre de votre navigateur pour vos déconnecter complètement de l'interface Web de la
Quarantaine de courriel. Sinon, cliquez sur Atteindre pour faire basculer la vue de la quarantaine vers l'écran
précédent.
IMPORTANT
Si vous rencontrez des problèmes pour accéder à l'interface Web de quarantaine de courriels à partir de votre
navigateur ou si vous obtenez l'erreur HTTP Error 403.4 - Forbidden ou un message similaire, vérifiez le type
de quarantaine qui est sélectionné et assurez-vous qu'il s'agit d'une quarantaine locale et que l'option Activer
l'interface Web est activée.
146
4.1.9.2 Courriel de quarantaine et quarantaine de MS Exchange
Si vous décidez de ne pas utiliser la Quarantaine locale, deux options s'offrent à vous : le Courriel de quarantaine ou
la Quarantaine MS Exchange. Peu importe l'option choisie, vous devez créer un utilisateur dédié avec une adresse
de courriel (par exemple quarantaine_courriel@entreprise.com) qui sera ensuite utilisée pour stocker vos courriels
mis en quarantaine. À l'aide de cet utilisateur et de cette adresse de courriel, vous pourrez aussi voir et gérer les
éléments dans la quarantaine à partir du gestionnaire de la Quarantaine de courriel. Vous devez fournir les détails
de cet utilisateur dans la section paramètres du gestionnaire de la Quarantaine.
REMARQUE
L'avantage d'utiliser la boîte de courriels de quarantaine/quarantaine MS Exchange par rapport à la Quarantaine
locale est le suivant : les éléments de la boîte de courriels de quarantaine sont gérés à partir d'un endroit, sans
égard au nombre de serveurs ayant un rôle Hub Transport Server. Contrairement à la quarantaine locale, la mise
en quarantaine des boîtes de courriels ou la quarantaine MS Exchange, les pourriels et les courriels mis en
quarantaine sont stockés dans les bases de données de boîtes aux lettres Exchange. Toute personne ayant accès
à la boîte de courriels de quarantaine peut gérer les messages mis en quarantaine.
Lorsque vous comparez la boîte de courriels de quarantaine et la Quarantaine MS Exchange, les deux options
utilisent une boîte de courriels dédiée comme mécanisme sous-jacent pour stocker les messages mis en
quarantaine, mais diffèrent légèrement dans la façon dont les messages sont distribués. Courriel de quarantaine et
quarantaine de MS Exchange :
· Si vous choisissez Boîte de courriels de quarantaine, ESET Mail Security crée un courriel enveloppeur séparé
contenant des informations supplémentaires et les courriels d'origine sous forme de pièce jointe, puis les envoie
à la boîte de courriels.
· Si vous choisissez Quarantaine MS Exchange, Exchange Server est responsable de la remise du courriel à la boîte
de courriels elle-même. La boîte de courriels doit être définie comme une quarantaine au niveau de
l'organisation dans Active Directory (par une commande PowerShell répertoriée ci-dessous).
IMPORTANT
Nous ne recommandons pas d'utiliser le compte Administrateur comme boîte de courriels de quarantaine.
· Quarantaine MS Exchange - ESET Mail Security utilise le système de quarantaine de Microsoft Exchange (cela
s'applique à Microsoft Exchange Server 2007 et versions ultérieures). Dans ce cas, le mécanisme interne
d'Exchange sera utilisé pour stocker les messages potentiellement infectés et les POURRIELS.
REMARQUE
La quarantaine MS Exchange n'est pas disponible pour Microsoft Exchange 2003, mais seulement la Quarantaine
locale et le Courriel de quarantaine.
REMARQUE
Par défaut, la quarantaine interne n'est pas activée dans Microsoft Exchange Server. À moins que vous l'ayez
activé, ouvrez Exchange Management Shell et tapez la commande suivante (remplacez Name@domain.com avec
l'adresse actuelle de votre boîte de courriel dédiée) :
Set-ContentFilterConfig -QuarantineMailbox name@domain.com
· Boîte de courriels de mise en quarantaine - vous devez spécifier une adresse pour les messages en quarantaine
(par exemple quarantaine_principale@entreprise.com).
147
4.1.9.2.1 Paramètres du gestionnaire de quarantaine
Adresse d'hôte - Elle apparaîtra automatiquement si votre Exchange Server avec un rôle Client Access Server (CAS)
est présent localement. Si le rôle CAS n'est pas sur le même serveur sur lequel ESET Mail Security a été installé, mais
qu'il peut être trouvé dans l'AD, il est également possible que l'adresse de l'hôte apparaisse automatiquement. Si
elle n'apparaît pas, vous pouvez tapez le nom d'hôte manuellement. La détection automatique ne fonctionnera pas
sur le rôle Edge Transport Server.
REMARQUE
Si votre gestionnaire de quarantaine de courriels est grisé, cela est dû aux raisons suivantes : Vous exécutez
Microsoft Exchange Server 2003 et 2003 R2 ou SBS 2003 et SBS 2003 R2 sur lesquels cette fonction n'est pas prise
en charge, ou EWS (Exchange Web Services) n'est pas disponible. Cela ne s'applique pas à la quarantaine locale;
la quarantaine locale fonctionnera sur tous les serveurs exchange et indépendamment de la disponibilité d'EWS
(Exchange Web Services).
REMARQUE
l'adresse IP n'est pas prise en charge. Vous devez utiliser le nom d'hôte du serveur CAS.
Nom d'utilisateur - Le compte utilisateur de la quarantaine dédié que vous avez créé pour le stockage des messages
mis en quarantaine (ou un compte qui a accès à cette boîte de courriels par l'entremise de la délégation d'accès). Sur
le rôle serveur de transport Edge qui ne fait pas partie du domaine, il est nécessaire d'utiliser l'adresse de courriel
complète (par exemple main_quarantine@company.com).
Mot de passe - Tapez le mot de passe de votre compte utilisateur de la quarantaine.
Utiliser le protocole SSL - Cette option doit être activée si la configuration d'EWS (Exchange Web Services) est
réglée à Exiger le protocole SSL dans IIS. Si le protocole SSL est activé, il faut importer le certificat Exchange Server
dans le système à l'aide de ESET Mail Security (au cas où les rôles serveur Exchange se trouvent sur différents
serveurs). Les paramètres d'EWS peuvent être consultés dans IIS, à partir de Sites/Default web site/EWS/SSL Settings.
REMARQUE
Désactivez uniquement Utiliser le protocole SSL lorsque les services Web Exchange (EWS) sont configurés dans
IIS pour ne pas exiger SSL.
Ignorer les erreurs de certificat du serveur - Ignore les états suivants : auto signées, nom dans le certificat erroné,
utilisation erronée, expiré.
4.1.9.2.2 Serveur mandataire
Dans le cas où vous utilisez un serveur mandataire entre Exchange Server avec un rôle CAS et Exchange Server où
ESET Mail Security est installé, spécifiez les paramètres de votre serveur mandataire. Cette exigence s'explique par
le fait que ESET Mail Security se connecte à EWS (Exchange Web Services) API par l'entremise du protocole HTTP/
HTTPS. Sinon, la boîte de courriels de mise en quarantaine et la quarantaine MS Exchange ne fonctionneront pas.
Serveur mandataire - Pour entrer l'adresse IP ou le nom du serveur mandataire que vous utilisez.
Port - Pour entrer le numéro de port du serveur mandataire.
Nom d'utilisateur, Mot de passe - Pour saisir l'authentifiant dans le cas où votre serveur mandataire exige une
authentification.
148
4.1.9.3 Détails du compte du gestionnaire de la quarantaine
Cette boîte de dialogue s'affichera si vous n'avez pas spécifié les détails du compte (nom d'utilisateur et mot de
passe) pour votre Gestionnaire de Quarantaine. Spécifiez l'authentifiant d'un utilisateur qui a accès à la Boîte de
courriel de la Quarantaine et cliquez sur OK. Vous pouvez également appuyer sur la touche F5 pour accéder aux
Paramètres avancés. Allez ensuite à Serveur > Quarantaine de courriel > Paramètres du gestionnaire de
quarantaine. Tapez le Nom d'utilisateur et le Mot de passe de votre boîte de courriel de mise en quarantaine.
Cochez la case à côté de Enregistrer les informations relatives au compte pour enregistrer les paramètres du compte
en prévision des prochains accès au gestionnaire de la Quarantaine.
4.2 Ordinateur
Le module Ordinateur se trouve sous Configuration > Ordinateur. Il affiche une vue d'ensemble des modules de
protection décrits dans le chapitre précédent. Dans cette section, les paramètres suivants sont disponibles :
· Protection en temps réel du système de fichiers
· Analyse de l'ordinateur à la demande
· Analyse à l'état de repos
· Analyse au démarrage
· Support amovible
· Protection des documents
· HIPS
Les options de l'analyseur pour tous les modules de protection (par exemple, protection en temps réel du système
de fichiers, protection de l'accès Web, etc.) vous permettent d'activer ou de désactiver la détection des éléments
suivants :
· Les applications potentiellement indésirables ne sont pas nécessairement malveillantes, mais elles sont
susceptibles de nuire aux performances de votre ordinateur.
Pour en savoir plus sur ces types d'application, consultez le glossaire.
· Les applications potentiellement dangereuses sont des logiciels commerciaux légitimes susceptibles d'être
utilisés à des fins malveillantes. Elles comprennent des programmes comme les outils d'accès à distance, les
applications de craquage de mot de passe et les enregistreurs de frappe (des programmes qui enregistrent tout
ce que tape un utilisateur sur son clavier). Cette option est désactivée par défaut.
Pour en savoir plus sur ces types d'application, consultez le glossaire.
· Les applications potentiellement suspectes comprennent des programmes compressés des compresseurs de
fichiers ou des protecteurs. Ces types de protecteurs sont souvent exploités par les créateurs de logiciels
malveillants pour échapper à la détection.
149
· La technologie Antistealth est un système évolué assurant la détection de programmes dangereux comme les
programmes malveillants furtifs qui peuvent se cacher du système d'exploitation, ce qui les rend impossibles à
détecter en utilisant des techniques de test ordinaires.
· L'exclusion des processus vous permettent d'exclure des processus précis. Par exemple les processus relatifs à la
solution de sauvegarde; toutes les opérations de fichiers attribuées à un tel processus exclu sont ignorées et
considérées comme fiables, minimisant ainsi l'interférence avec le processus de sauvegarde.
· Les exclusions permettent d'exclure des fichiers et des dossiers de l'analyse. Pour que la détection des menaces
s'applique à tous les objets, il est recommandé de ne créer des exclusions que lorsque cela est absolument
nécessaire. Certaines situations justifient l'exclusion d'un objet. Par exemple, lorsque les entrées de bases de
données volumineuses risquent de ralentir l'ordinateur pendant l'analyse ou lorsqu'il peut y avoir un conflit entre
le logiciel et l'analyse.
4.2.1 Une infiltration est détectée
Des infiltrations peuvent utiliser différents points d'entrée pour attaquer votre système, comme les pages Web,
dossiers partagés, courriel ou périphériques amovibles (USB, disques externes, CD, DVD, disquettes, etc.).
Comportement normal
À titre d'exemple général de la façon dont les infiltrations sont traitées par ESET Mail Security, elles peuvent
notamment être détectées en utilisant :
·
·
·
·
Protection en temps réel du système de fichier
Protection de l'accès Web
Protection du client de messagerie
Analyse de l'ordinateur à la demande
Chacun de ces modules utilise le niveau de nettoyage standard et tentera de nettoyer le fichier et de le mettre en
Quarantaine ou de mettre fin à la connexion. Une fenêtre de notification s'affiche dans la zone de notification, dans
le coin inférieur droit de l'écran. Pour plus d'information sur les niveaux de nettoyage et le comportement,
consultez la rubrique Nettoyage.
Nettoyage et suppression
Si aucune action n'est prédéfinie pour la protection en temps réel, vous serez invité à sélectionner une option dans
une fenêtre d'avertissement. Les options Nettoyer, Supprimer et Aucune action sont généralement disponibles.
Sélectionner Aucune action n'est pas recommandé puisque cela ne nettoiera pas les fichiers infectés. La seule
exception concerne les situations où vous êtes sûr que le fichier est inoffensif et a été détecté par erreur.
Utilisez le nettoyage si un fichier a été attaqué par un virus qui y a joint du code malveillant. Dans ce cas, tentez
d'abord de nettoyer le fichier infecté pour le restaurer à son état d'origine. Si le fichier se compose uniquement de
code malveillant, il sera alors supprimé.
Si un fichier infecté est « verrouillé » ou utilisé par un processus du système, il ne sera généralement supprimé
qu'après avoir été déverrouillé (le plus souvent, après un redémarrage du système).
Menaces multiples
Si aucun des fichiers infectés n'a été nettoyé pendant l'analyse de l'ordinateur (ou le Niveau de nettoyage a été
défini à Aucun nettoyage), une fenêtre d'alerte vous invitant à choisir des actions pour ces fichiers s'affichera.
Sélectionnez une action individuelle pour chaque menace dans la liste ou utilisez Sélectionner une action
applicable à toutes les menaces dans la liste et sélectionnez l'action à appliquer à toutes les menaces dans la liste,
puis cliquez sur Terminer.
Suppression de fichiers dans les archives
En mode de nettoyage par défaut, l'archive entière n'est supprimée que si elle ne contient que des fichiers infectés
et aucun fichier sain. Autrement dit, les archives ne sont pas supprimées si elles contiennent aussi des fichiers
sains. Soyez cependant prudent si vous choisissez un nettoyage strict : dans ce mode, l'archive sera supprimée si
elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient.
150
Si votre ordinateur montre des signes d'une infection par un logiciel malveillant (ralentissement, blocages
fréquents, etc.), il est recommandé d'effectuer les opérations suivantes :
· Ouvrir ESET Mail Security et cliquer sur Analyse de l'ordinateur,
· Cliquer sur Analyse intelligente (pour plus d'information, se reporter à la rubrique Analyse de l'ordinateur).
· Lorsque l'analyse est terminée, consultez le journal pour connaître le nombre de fichiers analysés, infectés et
nettoyés.
Si vous ne voulez analyser qu'une certaine partie de votre disque, cliquez sur Analyse personnalisée et sélectionnez
les cibles à analyser.
4.2.2 Exclusions de processus
Cette fonctionnalité vous permet d'exclure des processus d'application uniquement de l'analyse antivirus à l'accès.
Ces exclusions aident à minimiser le risque de conflits potentiels et améliorent la performance des applications
exclues, ce qui a par la suite un effet positif sur la performance générale du système d'exploitation.
Lorsqu'un processus est exclu, son fichier exécutable n'est pas surveillé. Les activités du processus exclu n'est pas
surveillé par ESET Mail Security et aucune analyse n'est effectuée sur aucunes des opérations fichier exécutées par
le processus.
Cliquez sur Ajouter, Modifier et Supprimer pour gérer les exclusions de processus.
REMARQUE
Par exemple, comme la protection de l'accès Web ne tient pas compte cette exclusion, les fichiers téléchargés
sont quand même analysés si vous excluez le fichier exécutable de votre navigateur Web. De cette façon, une
infiltration peut encore être détectée. Ce scénario est offert à titre d'exemple seulement. Il n'est pas
recommandé de créer des exclusions pour les navigateurs Web.
4.2.3 Exclusions automatiques
Les développeurs d'applications serveur et de systèmes d'exploitation recommandent d'exclure de l'analyse
antivirus les ensembles de fichiers et de dossiers de travail critiques de bon nombre de leurs produits. Les analyses
antivirus peuvent avoir des répercussions négatives sur les performances d'un serveur, ce qui peut entraîner des
conflits et même empêcher certaines applications de s'exécuter sur le serveur. Les exclusions aident à minimiser le
risque de conflits potentiels et augmentent la performance globale du serveur sur lequel s'exécute un logiciel
antivirus. Reportez-vous à la liste complète des fichiers exclus de l'analyse des produits serveur ESET.
ESET Mail Security identifie les applications serveur critiques et les fichiers du système d'exploitation du serveur et
les ajoute automatiquement à la liste d'Exclusions. Vous pouvez voir une liste des applications serveur sous
Exclusions automatiques à générer pour lesquelles les exclusions ont été créées. Toutes les exclusions
automatiques sont activées par défaut. Vous pouvez activer/désactiver chaque application serveur en cliquant sur
le commutateur pour obtenir les résultats suivants :
· Si une exclusion pour l'application ou le système d'exploitation reste activée, n'importe lequel de ses fichiers ou
dossiers critiques sera alors ajouté à la liste de fichiers exclus de l'analyse (Configuration avancée > Ordinateur >
L'essentiel > Exclusions > Modifier). Chaque fois que le serveur est redémarré, le système vérifie
automatiquement les exclusions et restaure toute exclusion pouvant avoir été supprimée de la liste. Ce
paramètre constitue le réglage recommandé si vous voulez vous assurer que les extensions automatiques
recommandées sont toujours appliquées.
· Si l'utilisateur désactive une exclusion pour une application ou un système d'exploitation, ses fichiers et dossiers
critiques resteront dans la liste des fichiers exclus de l'analyse (Configuration avancée > Ordinateur > L'essentiel >
Exclusions > Modifier). Cependant, ils ne seront désormais plus vérifiés automatiquement ni ajoutés
automatiquement à la liste des exclusions chaque fois que le serveur est redémarré (voir le point 1 ci-dessus).
Seuls les utilisateurs avancés qui veulent retirer ou modifier certaines des exclusions standards devraient utiliser
ce paramètre. Si vous voulez retirer des exclusions de la liste sans redémarrer le serveur, vous devrez les retirer
manuellement de la liste (Configuration avancée > Ordinateur > L'essentiel > Exclusions > Modifier).
151
Toutes les exclusions définies par l'utilisateur entrées manuellement (sous Configuration avancée > Ordinateur >
L'essentiel > Exclusions > Modifier) ne seront pas affectées par les paramètres décrit plus haut.
Les exclusions automatiques pour les serveurs Exchange sont basées sur les recommandations de Microsoft. ESET
Mail Security n'applique que les exclusions de répertoire/dossier (les exclusions de processus et les exclusions
d'extension de nom de fichier ne sont pas appliquées). Pour obtenir plus de détails, veuillez consulter les articles
suivants sur la Base de connaissances de Microsoft :
· Recommandations d'analyse de virus pour les ordinateurs d'entreprise qui exécutent actuellement des
versions de Windows qui sont prises en charge
· Dépannage pour un ordinateur Exchange Server sur lequel un logiciel antivirus est installé
· Analyse antivirus sélective des fichiers dans Exchange 2007
· Analyse antivirus au niveau du fichier sur Exchange 2010
· Logiciel antivirus dans le système d'exploitation sur les Exchange Servers (Exchange 2013)
· Exécution du logiciel antivirus Windows sur les serveurs Exchange 2016
REMARQUE
Il existe également des exclusions de fichiers de base de données Exchange pour les bases de données active et
passive du DAG (groupe de disponibilité de la base de données) hébergées sur le serveur local. La liste des
exclusions automatiques est mise à jour toutes les 30 minutes. Si un nouveau fichier de base de données
Exchange est créé, il est automatiquement exclu, quel que soit son état, qu'il soit actif ou passif.
4.2.4 Cache local partagé
Le Cache local partagé améliore les performances dans les environnements virtualisés en éliminant l'analyse en
double sur le réseau. Cela garantit que chaque fichier est analysé une seule fois et stocké dans le cache partagé.
Activez le commutateur Option de mise en cache pour enregistrer les renseignements sur l'analyse des fichiers et
des dossiers de votre réseau dans le cache local. Si vous effectuez une nouvelle analyse, ESET Mail Security
recherchera les fichiers analysés qui sont dans la cache. S'il y a correspondance, les fichiers seront exclus de
l'analyse.
La configuration du serveur cache contient les options suivantes :
· Nom d'hôte - Nom ou adresse IP de l'ordinateur où se trouve le cache.
· Port - Numéro du port utilisé pour la communication (le même que celui défini dans le Cache local partagé).
· Mot de passe - Pour spécifier le mot de passe du Cache local partagé au besoin.
152
4.2.5 Protection en temps réel du système de fichiers
La protection en temps réel du système de fichier contrôle tous les événements liés à l'antivirus dans le système.
Elle analyse tous les fichiers à la recherche de programmes malveillants au moment de l'ouverture, de la création ou
de l'exécution de ces fichiers sur l'ordinateur. La protection en temps réel du système de fichier est lancée au
démarrage du système.
Par défaut, la protection en temps réel du système de fichier est lancée au démarrage du système d'exploitation et
assure une analyse ininterrompue. Dans des cas particuliers (par exemple, s'il y a un conflit avec un autre analyseur
en temps réel), la protection en temps réel pourra être désactivée en désélectionnant Lancer automatiquement la
protection en temps réel du système de fichier dans la section Configuration avancée sous Protection en temps réel
du système de fichier > L'essentiel.
Supports à analyser
Par défaut, tous les types de support sont analysés pour y détecter la présence potentielle de menaces :
· Disques locaux - Contrôle tous les disques durs du système.
· Supports amovibles - Contrôle les CD/DVD, les périphériques de stockage USB, les périphériques Bluetooth, etc.
· Lecteurs réseau - Analyse tous les disques mappés.
Nous vous recommandons de ne modifier les paramètres par défaut que dans des cas particuliers, par exemple
lorsque l'analyse de certains supports ralentit de manière significative les transferts de données.
Date de l'analyse
Par défaut, tous les fichiers sont analysés lorsqu'ils sont ouverts, exécutés ou créés. Il est recommandé de conserver
ces paramètres par défaut, car ils offrent le niveau maximum de protection en temps réel pour votre ordinateur :
·
·
·
·
Ouverture de fichier - Active ou désactive l'analyse des fichiers à l'ouverture.
Création de fichier - Active ou désactive l'analyse des fichiers à la création.
Exécution de fichier - Active ou désactive l'analyse des fichiers à l'exécution.
Accès aux supports amovibles - Active ou désactive l'analyse déclenchée par l'accès à un support amovible
153
particulier offrant de l'espace de stockage.
· Arrêt de l'ordinateur - Active ou désactive l'analyse déclenchée par l'arrêt de l'ordinateur.
La protection en temps réel du système de fichier vérifie tous les types de support et est déclenchée par différents
événements comme l'accès à un fichier. En raison des méthodes de détection de la technologie ThreatSense
(décrites dans la section ThreatSense paramètres), la protection en temps réel du système de fichier peut être
configurée pour traiter différemment les fichiers nouvellement créés et les fichiers existants. Par exemple, vous
pouvez configurer la protection en temps réel du système de fichier afin qu'elle surveille plus attentivement les
fichiers nouvellement créés.
Pour assurer le minimum d'empreinte système lorsque la protection en temps réel est utilisée, les fichiers ayant
déjà été analysés ne seront pas analysés de nouveau (à moins qu'ils n'aient été modifiés). Les fichiers seront
cependant immédiatement réanalysés après chaque mise à jour de la banque de données de virus. Ce
comportement est contrôlé grâce à l'Optimisation intelligente. Si la fonction Optimisation intelligente est
désactivée, tous les fichiers seront analysés chaque fois que l'ordinateur y accédera. Pour modifier ce paramètre,
appuyez sur F5 pour ouvrir la fenêtre Configuration avancée, puis agrandissez Ordinateur > > Protection en temps
réel du système de fichiers. Cliquez sur ThreatSense paramètres > Autre et sélectionnez ou désélectionnez l'option
Activer l'optimisation intelligente.
4.2.5.1 Exclusions
Les exclusions permettent d'exclure des fichiers et des dossiers de l'analyse. Pour que la détection des menaces
s'applique à tous les objets, il est recommandé de créer des exclusions seulement lorsque cela est absolument
nécessaire. Certaines situations justifient l'exclusion d'un objet. Par exemple, lorsque les entrées de bases de
données volumineuses risquent de ralentir l'ordinateur pendant l'analyse ou lorsqu'il peut y avoir conflit entre le
logiciel et l'analyse (par exemple, le logiciel de sauvegarde).
AVERTISSEMENT
Ne pas les confondre avec les Extensions exclues.
Pour exclure un objet de l'analyse :
Cliquez sur Ajouter et entrez le chemin vers un objet ou sélectionnez-le dans l'arborescence.
Vous pouvez utiliser des caractères génériques pour couvrir un groupe de fichiers. Un point d'interrogation (?)
représente un seul caractère variable alors qu'un astérisque (*) représente une chaîne variable de zéro ou plusieurs
caractères.
EXEMPLE
· Si vous souhaitez exclure tous les fichiers d'un dossier, tapez le chemin d'accès au dossier et utilisez le
masque *.*
· Pour exclure un lecteur entier, y compris tous les fichiers et les sous-dossiers, utilisez le masque D:\*
· Si vous souhaitez exclure uniquement les fichiers doc, utilisez le masque *.doc
· Si le nom d'un fichier exécutable a un certain nombre de caractères (et que les caractères varient) et que vous
ne connaissez que le premier (par exemple « D »), utilisez le format suivant :
D????.exe (Les points d'interrogation remplacent les caractères manquants ou inconnus)
EXEMPLE
Si vous souhaitez exclure une menace, entrez un nom de menace valide au format suivant :
@NAME=Win32/Adware.Optmedia
@NAME=Win32/TrojanDownloader.Delf.QQI
@NAME=Win32/Bagle.D
EXEMPLE
Vous pouvez utiliser un astérisque * pour indiquer un nom de dossier, par exemple C:\Users\*\Application Data\
Quelques exemples d'exclusion supplémentaires utilisant un astérisque :
154
C:\Tools - sera automatiquement converti en C:\Tools\*.*
C:\Tools\*.dat - exclura les fichiers dat qui se trouvent dans le dossier Outils (Tools)
C:\Tools\sg.dat - exclura ce fichier en particulier situé dans le chemin exact
REMARQUE
Une menace présente dans un fichier n'est pas détectée par le module de protection du système de fichiers en
temps réel ou par le module d'analyse de l'ordinateur si le fichier en question répond aux critères d'exclusion de
l'analyse.
Colonnes
Chemin - Chemin d'accès des fichiers et des dossiers exclus.
Menace - Si un nom de menace est indiqué à côté d'un fichier exclu, cela signifie que le fichier est exclu pour la
menace en question. Si ce fichier devient ensuite infecté par d'autres logiciels malveillants, ceux-ci seront détectés
par le module antivirus. Ce type d'exclusions ne peut être utilisé que pour certains types d'infiltrations et peut être
créé soit dans la fenêtre d'alerte de menaces (cliquez sur Afficher les options avancées, puis sélectionnez Exclure
de la détection), ou en cliquant sur Outils > Quarantaine, puis cliquez à droite sur le fichier mis en quarantaine;
sélectionnez ensuite Restaurer et exclure de l'analyse dans le menu contextuel.
Éléments de contrôle
Ajouter - Exclut des objets de la détection.
Modifier - Permet de modifier les entrées sélectionnées.
Supprimer - Supprime les entrées sélectionnées.
155
4.2.5.1.1 Ajouter ou modifier des exclusions
Cette boîte de dialogue vous permet d'ajouter ou de modifier des exclusions. Cela peut être fait de deux façons :
· en tapant le chemin d'accès à un objet à exclure
· en le sélectionnant dans l'arborescence (cliquez sur le bouton ... à la fin du champ de texte pour naviguer)
Si vous utilisez la première méthode, les caractères génériques décrits dans la section Format d'exclusion peuvent
être utilisés.
Exclure pour cet ordinateur / Exclure les chemins - Exclut les menaces spécifiques ou un chemin spécifique pour cet
ordinateur.
Exclure toutes les menaces / Nom de la menace - Les exclusions s'appliquent aux applications potentiellement
indésirables, aux applications potentiellement dangereuses et aux applications suspectes.
REMARQUE
Vous ne pourrez pas créer d'exclusion lorsque les deux paramètres sont activés.
Vous pouvez utiliser des caractères génériques pour couvrir un groupe de fichiers. Un point d'interrogation (?)
représente un seul caractère variable alors qu'un astérisque (*) représente une chaîne variable de zéro ou plusieurs
caractères.
EXEMPLE
· Si vous souhaitez exclure tous les fichiers d'un dossier, tapez le chemin d'accès au dossier et utilisez le
masque *.*
· Pour exclure un lecteur entier, y compris tous les fichiers et les sous-dossiers, utilisez le masque D:\*
· Si vous souhaitez exclure uniquement les fichiers doc, utilisez le masque *.doc
· Si le nom d'un fichier exécutable a un certain nombre de caractères (et que les caractères varient) et que vous
ne connaissez que le premier (par exemple « D »), utilisez le format suivant :
D????.exe (Les points d'interrogation remplacent les caractères manquants ou inconnus)
EXEMPLE
Si vous souhaitez exclure une menace, entrez un nom de menace valide au format suivant :
@NAME=Win32/Adware.Optmedia
@NAME=Win32/TrojanDownloader.Delf.QQI
@NAME=Win32/Bagle.D
EXEMPLE
Vous pouvez utiliser un astérisque * pour indiquer un nom de dossier, par exemple C:\Users\*\Application Data\
Quelques exemples d'exclusion supplémentaires utilisant un astérisque :
156
C:\Tools - sera automatiquement converti en C:\Tools\*.*
C:\Tools\*.dat - exclura les fichiers dat qui se trouvent dans le dossier Outils (Tools)
C:\Tools\sg.dat - exclura ce fichier en particulier situé dans le chemin exact
4.2.5.1.2 Format d'exclusion
Vous pouvez utiliser des caractères génériques pour couvrir un groupe de fichiers. Un point d'interrogation (?)
représente un seul caractère variable alors qu'un astérisque (*) représente une chaîne variable de zéro ou plusieurs
caractères.
EXEMPLE
· Si vous souhaitez exclure tous les fichiers d'un dossier, tapez le chemin d'accès au dossier et utilisez le
masque *.*
· Pour exclure un lecteur entier, y compris tous les fichiers et les sous-dossiers, utilisez le masque D:\*
· Si vous souhaitez exclure uniquement les fichiers doc, utilisez le masque *.doc
· Si le nom d'un fichier exécutable a un certain nombre de caractères (et que les caractères varient) et que vous
ne connaissez que le premier (par exemple « D »), utilisez le format suivant :
D????.exe (Les points d'interrogation remplacent les caractères manquants ou inconnus)
EXEMPLE
Si vous souhaitez exclure une menace, entrez un nom de menace valide au format suivant :
@NAME=Win32/Adware.Optmedia
@NAME=Win32/TrojanDownloader.Delf.QQI
@NAME=Win32/Bagle.D
EXEMPLE
Vous pouvez utiliser un astérisque * pour indiquer un nom de dossier, par exemple C:\Users\*\Application Data\
Quelques exemples d'exclusion supplémentaires utilisant un astérisque :
C:\Tools - sera automatiquement converti en C:\Tools\*.*
C:\Tools\*.dat - exclura les fichiers dat qui se trouvent dans le dossier Outils (Tools)
C:\Tools\sg.dat - exclura ce fichier en particulier situé dans le chemin exact
4.2.5.2 Paramètres ThreatSense
ThreatSense est une technologie composée de nombreuses méthodes de détection de menaces complexes. Cette
technologie proactive fournit également une protection durant les premières heures de propagation d'une
nouvelle menace. Elle utilise une combinaison d'analyse de code, d'émulation de code, de signatures génériques et
de signatures de virus qui se conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur d'analyse
est capable de contrôler simultanément plusieurs flux de données, maximisant ainsi l'efficacité et le taux de
détection. La technologie ThreatSense élimine également les rootkits.
REMARQUE
Pour en savoir plus sur la vérification automatique des fichiers de démarrage, voir Analyse au démarrage.
Les options de configuration du moteur ThreatSense permettent également de préciser plusieurs paramètres
d'analyse :
· Les types de fichiers et extensions à analyser
· La combinaison de plusieurs méthodes de détection
· les niveaux de nettoyage, etc.
157
Pour ouvrir la fenêtre de configuration, cliquez sur Configuration des paramètres du moteur ThreatSensedans la
fenêtre de configuration avancée de tout module utilisant la technologie ThreatSense (voir ci-dessous). Chaque
scénario de sécurité peut exiger une configuration différente. Sachant cela, ThreatSense peut être configuré
individuellement pour les modules de protection suivants :
·
·
·
·
·
·
·
·
·
·
Protection du transport de messagerie
Protection de la base de données à la demande
Protection de la base de données de messagerie
Analyse Hyper-V
Protection en temps réel du système de fichier
Analyse en état inactif
Analyse au démarrage
Protection des documents
Protection du client de messagerie
Protection de l'accès Web
les paramètres sont hautement optimisés pour chaque module et leur modification peut avoir d'importantes
répercussions sur le fonctionnement du système. Par exemple, en modifiant les paramètres pour toujours analyser
les logiciels de compression exécutables ou pour autoriser les heuristiques avancées dans la protection en temps
réel du système de fichier, vous pouvez diminuer les performances du système (normalement, seuls les fichiers
nouvellement créés sont analysés par ces méthodes). Il est recommandé de laisser inchangés les paramètres par
défaut de ThreatSense pour tous les modules, à l'exception du module Analyse de l'ordinateur.
Objets à analyser
Cette section vous permet de définir quels éléments et fichiers de l'ordinateur seront analysés à la recherche
d'infiltrations.
· Mémoire vive - Activez cette option pour détecter les menaces qui s'attaquent à la mémoire vive du système.
· Secteurs d'amorçage - Analyse les secteurs d'amorçage pour détecter la présence de virus dans le MBR
(enregistrement d'amorçage maître). Dans le cas d'une Machine virtuelle Hyper-V, son disque MBR est analysé en
mode lecture seulement.
· Fichiers courriel - Le programme prend en charge les extensions suivantes : DBX (Outlook Express) et EML.
· Archives - Le programme prend en charge les extensions suivantes : ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG,
LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE et beaucoup d'autres.
· Archives auto-extractibles - Les archives auto-extractibles (SFX) n'ont pas besoin de programmes spécialisés
(archiveurs) pour être décompressés.
· Logiciels de compression exécutables - Après l'exécution, les logiciels de compression exécutables
(contrairement aux archiveurs standard) se décompressent dans la mémoire. En plus des logiciels de compression
statiques standard (UPX, yoda, ASPack, FSG, etc.), l'analyseur est capable de reconnaitre plusieurs autres types de
logiciels de compression grâce à l'émulation de code.
REMARQUE
En cas de protection de la base de données de la boite de courriels, les fichiers courriels en pièce jointe (par
exemple .eml files) seront analysés, peu importe le réglage sous Objets à analyser. Cela est dû au fait que le
serveur Exchange analyse les fichiers .eml avant de les envoyer pour analyse à ESET Mail Security. Le module
d'extension VSAPI reçoit les fichiers extraits de la pièce jointe .eml au lieu de recevoir le fichier original .eml.
Options d'analyse
Sélectionnez les méthodes utilisées lors de l'analyse du système à la recherche d'infiltrations. Les options suivantes
sont disponibles :
· Heuristiques - La méthode heuristique utilise un algorithme d'analyse de l'activité (malveillante) des
programmes. Le principal avantage de cette technologie est sa capacité à identifier des logiciels malveillants qui
n'existaient pas ou n'étaient pas inscrits dans la banque de données de virus antérieure.
158
· Heuristique avancée/Signatures ADN - La méthode heuristique avancée utilise un algorithme heuristique
développé par ESET, optimisé pour la détection des vers d'ordinateur et les chevaux de Troie, et écrit dans un
langage de programmation de haut niveau. L'utilisation des heuristiques avancées augmente considérablement
les capacités de détection de menaces des produits ESET. Les signatures peuvent détecter et identifier les virus
de façon fiable. Grâce au système de mise à jour automatique, de nouvelles signatures peuvent être disponibles
dans les quelques heures de la découverte d'une menace. L'inconvénient des signatures est qu'elles ne détectent
que les virus qu'elles connaissent (ou une version légèrement modifiée de ces virus).
Nettoyage
Les paramètres de nettoyage déterminent le comportement de l'analyseur lors du nettoyage des fichiers infectés.
Trois niveaux de nettoyage sont possibles :
Pas de nettoyage - Les fichiers infectés ne seront pas nettoyés automatiquement. Le programme affiche alors une
fenêtre d'avertissement et laisse l'utilisateur choisir une action. Ce niveau est conçu pour les utilisateurs
expérimentés qui savent quoi faire avec chaque type d'infiltrations.
Nettoyage normal - Le programme tente de nettoyer ou de supprimer automatiquement tout fichier infecté sur la
based'u e action prédéfinie (selon le type d'infiltration). La détection et la suppression d'un fichier infecté sont
signalées par une notification affichée dans le coin inférieur droit de l'écran. S'il n'est pas possible de sélectionner
automatiquement l'action appropriée, le programme proposera d'autres actions de suivi. La même chose se produit
lorsqu'une action prédéfinie n'a pas pu être menée à bien.
Nettoyage strict - Le programme nettoie ou supprime tous les fichiers infectés (y compris les archives). Les seules
exceptions sont les fichiers système. S'il est impossible de nettoyer un fichier, l'utilisateur devra préciser le type
d'actions à entreprendre.
AVERTISSEMENT
Si une archive contient un ou plusieurs fichiers infectés, elle peut être traitée de deux façons différentes. En
mode par défaut, Nettoyage normal, toute l'archive sera supprimée si tous ses fichiers sont infectés. En mode
Nettoyage strict, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des
autres fichiers qu'elle contient.
IMPORTANT
Si l'hôte Hyper-V s'exécute sur Windows Server 2008 R2, Nettoyage normal et Nettoyage strict ne sont pas pris en
charge. L'analyse des disques de la machine virtuelle s'effectue en mode de lecture seule, aucun nettoyage. Sans
égard au niveau de nettoyage sélectionné, l'analyse est toujours effectuée en mode de lecture seule.
Exclusions
L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette
section du réglage des paramètres ThreatSense vous permet de définir les types de fichiers à exclure de l'analyse.
Autre
Au moment de configurer les paramètres du moteur ThreatSense pour une analyse de l'ordinateur à la demande,
les options suivantes dans Autres seront aussi offertes :
· Analyser les flux de données alternatifs (ADS) - Les flux de données alternatifs (ADS) utilisés par le système de
fichiers NTFS sont des associations de fichiers et de dossiers que les techniques d'analyse ordinaires ne
permettent pas de détecter. De nombreuses infiltrations tentent d'éviter la détection en se faisant passer pour
des flux de données alternatifs.
· Exécuter les analyses en arrière-plan avec une priorité faible - Toute séquence d'analyse consomme une certaine
quantité de ressources système. Si vous utilisez des programmes qui exigent beaucoup de ressources du système,
vous pouvez activer l'analyse en arrière-plan à faible priorité de manière à réserver des ressources pour vos
applications.
· Consigner tous les objets - Si cette option est sélectionnée, le fichier journal affichera tous les fichiers analysés,
même ceux qui ne sont pas infectés. Par exemple, si une infiltration est détectée dans une archive, le journal
présente également les fichiers propres qu'elle contient.
159
· Activer l'optimisation intelligente - Lorsque la fonction Optimisation intelligente est activée, les paramètres les
plus optimaux sont utilisés pour assurer le niveau d'analyse le plus efficient tout en conservant la vitesse
d'analyse la plus élevée. Les différents modules de protection effectuent une analyse intelligente, utilisant pour
ce faire différentes méthodes d'analyse et les appliquant à différents types de fichier. Si l'optimisation
intelligente est activée, seuls les paramètres définis par l'utilisateur dans le cœur ThreatSense du module
spécifique seront appliqués lors de l'analyse.
· Conserver la date et l'heure du dernier accès - Activez cette option pour conserver la date et l'heure d'accès
d'origine des fichiers analysés au lieu de la mettre à jour (par ex., pour l'utiliser avec des systèmes de sauvegarde
de données).
Limites
La section Limites permet de préciser la taille maximale des objets et les niveaux d'imbrication des archives à
analyser :
Paramètres de l'objet
Paramètres par défaut de l'objet - activer pour utiliser les paramètres par défaut (aucune limite). ESET Mail Security
ignorera vos paramètres personnalisés.
· Taille maximale de l'objet - Définit la taille maximale des objets à analyser. Le module antivirus donné
n'analysera alors que les objets dont la taille est inférieure à celle indiquée. Cette option ne devrait être
modifiée que par des utilisateurs expérimentés ayant des raisons précises d'exclure de l'analyse des objets de
plus grande taille. Valeur par défaut : illimitée.
· Durée d'analyse maximale pour l'objet (en secondes) - Précise la valeur de temps maximale pour l'analyse d'un
objet. Si la valeur de ce champ a été définie par l'utilisateur, le module antivirus cessera d'analyser un objet une
fois ce temps écoulé, que l'analyse soit terminée ou non. Valeur par défaut : illimitée.
Configuration de l'analyse des archives
Niveau d'imbrication des archives - Précise la profondeur maximale de l'analyse des archives. Valeur par défaut : 10.
Pour les objets détectés par la Protection du transport de la boîte de courriel, le niveau d'imbrication actuel est de
+1, car les pièces jointes d'archive contenues dans un courriel sont considérées comme étant de premier niveau. Par
exemple, si vous avez un niveau d'imbrication réglé sur 3, un fichier d'archive avec un niveau d'imbrication de 3 ne
sera analysé que sur une couche de transport jusqu'à son niveau réel qui est 2. Par conséquent, si vous souhaitez
que les archives soient analysées par la protection de transport de la boîte de courriels jusqu'au niveau 3, réglez la
valeur de Niveau d'imbrication d'archive à 4.
Taille maximale du fichier dans l'archive - Cette option permet de préciser la taille maximale des fichiers (après
extraction) à analyser, contenus dans les archives. Valeur par défaut : illimitée.
REMARQUE
Il n'est pas recommandé de modifier les valeurs par défaut. Dans des circonstances normales, il n'y a aucune
raison de le faire.
4.2.5.2.1 Extensions de fichier exclues de l'analyse
Une extension est la partie d'un nom de fichier située après un point. L'extension définit le type d'un fichier.
Normalement, tous les fichiers sont analysés. Toutefois, si vous devez exclure des fichiers avec une extension
spécifique, la configuration des paramètres de ThreatSense vous permet d'exclure les fichiers de l'analyse en
fonction de leur extension. L'exclusion peut être utile si l'analyse de certains types de fichiers empêche le bon
fonctionnement d'une application.
EXEMPLE
Pour ajouter une nouvelle extension à la liste, cliquez sur Ajouter. Tapez l'extension dans le champ de texte (par
exemple tmp) et cliquez sur OK. Lorsque vous sélectionnez Saisir plusieurs valeurs, vous pouvez ajouter plusieurs
extensions de fichier délimitées par des lignes, des virgules ou des points-virgules (par exemple, choisissez
Point-virgule dans le menu déroulant en tant que séparateur et tapez sur edb;eml;tmp).
160
Vous pouvez utiliser le symbole spécial ? (point d'interrogation). Le point d'interrogation représente n'importe
quel symbole (par exemple ?db).
REMARQUE
Pour afficher l'extension (type de fichier) de tous les fichiers d'un système d'exploitation Windows,
désélectionnez Masquer les extensions pour les types de fichiers connus dans Panneau de configuration >
Options de dossier > Affichage.
4.2.5.2.2 Autres ThreatSense paramètres
Autres paramètres ThreatSense pour les fichiers nouvellement créés et modifiés - La probabilité qu'un fichier
nouvellement créé ou modifié soit infecté est plus grande comparativement aux fichiers existants. C'est pour cette
raison que le programme utilise des paramètres d'analyse supplémentaires pour vérifier ces fichiers. Outre les
méthodes d'analyse basées sur les signatures, les heuristiques avancées sont aussi utilisées, ce qui permet de
détecter les nouvelles menaces avant la diffusion de la mise à jour de la banque de données de virus. En plus des
fichiers nouvellement créés, l'analyse est aussi effectuée sur les fichiers auto-extractibles (.sfx) et les logiciels de
compression exécutables (fichiers exécutables compressés internes). Par défaut, les archives sont analysées
jusqu'au 10e niveau d'imbrication et vérifiées indépendamment de leur taille réelle. Désactivez l'option Paramètres
d'analyse d'archive par défaut pour modifier les paramètres d'analyse de l'archive.
Pour plus de détails sur les Compresseurs exécutables, les Archives auto-extractibles et les heuristiques avancées,
consultez la section ThreatSense Configuration des paramètres du moteur.
Autres paramètres ThreatSense pour les fichiers exécutés - Par défaut, les heuristiques avancées sont utilisées
lorsque des fichiers sont exécutés. Lorsque cette option est activée, nous vous recommandons fortement de
conserver l'optimisation intelligente et ESET LiveGrid activés afin de réduire l'incidence sur la performance du
système.
4.2.5.2.3 Niveaux de nettoyage
La protection en temps réel offre trois niveaux de nettoyage (pour accéder aux paramètres des niveaux de
nettoyage, cliquez sur Paramètres ThreatSense dans la section Protection en temps réel du système de fichier.
Sélectionnez le niveau de nettoyage souhaité dans la liste déroulante :
Pas de nettoyage - Les fichiers infectés ne seront pas nettoyés automatiquement. Le programme affiche alors une
fenêtre d'avertissement et laisse l'utilisateur choisir une action. Ce niveau est conçu pour les utilisateurs
expérimentés qui savent quoi faire avec chaque type d'infiltrations.
Nettoyage normal - Le programme tente de nettoyer ou de supprimer automatiquement tout fichier infecté sur la
based'u e action prédéfinie (selon le type d'infiltration). La détection et la suppression d'un fichier infecté sont
signalées par une notification affichée dans le coin inférieur droit de l'écran. S'il n'est pas possible de sélectionner
automatiquement l'action appropriée, le programme proposera d'autres actions de suivi. La même chose se produit
lorsqu'une action prédéfinie n'a pas pu être menée à bien.
Nettoyage strict - Le programme nettoie ou supprime tous les fichiers infectés (y compris les archives). Les seules
exceptions sont les fichiers système. S'il est impossible de nettoyer un fichier, l'utilisateur devra préciser le type
d'actions à entreprendre.
AVERTISSEMENT
Si une archive contient un ou plusieurs fichiers infectés, elle peut être traitée de deux façons différentes. En
mode par défaut, Nettoyage normal, toute l'archive sera supprimée si tous ses fichiers sont infectés. En mode
Nettoyage strict, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des
autres fichiers qu'elle contient.
IMPORTANT
Si l'hôte Hyper-V s'exécute sur Windows Server 2008 R2, Nettoyage normal et Nettoyage strict ne sont pas pris en
charge. L'analyse des disques de la machine virtuelle s'effectue en mode de lecture seule, aucun nettoyage. Sans
égard au niveau de nettoyage sélectionné, l'analyse est toujours effectuée en mode de lecture seule.
161
4.2.5.2.4 Quand faut-il modifier la configuration la protection en temps réel
La protection en temps réel du système de fichier est le composant le plus important de la sécurisation du système.
Il faut être très attentif lorsqu'on modifie les paramètres de ce module. Il est recommandé de ne changer les
paramètres de ce module que dans des cas précis.
Après l'installation de ESET Mail Security, tous les paramètres sont optimisés pour garantir le niveau maximal de
sécurité du système pour les utilisateurs. Pour restaurer les paramètres par défaut, cliquez sur près de chaque
onglet dans la fenêtre (Configuration avancée > Ordinateur > Protection en temps réel du système de fichiers).
4.2.5.2.5 Vérification de la protection en temps réel
Pour s'assurer que la protection en temps réel fonctionne et détecte bien les virus, utilisez un fichier de test
d'eicar.com. Ce fichier de test est un fichier inoffensif que détecteront tous les programmes antivirus. Le fichier a
été créé par la société EICAR (European Institute for Computer Antivirus Research) pour tester la fonctionnalité des
programmes antivirus. Vous pouvez télécharger le fichier sur le site http://www.eicar.org/download/eicar.com
4.2.5.2.6 Que faire si la protection en temps réel ne fonctionne pas
Dans cette rubrique, nous décrivons des problèmes qui peuvent survenir avec la protection en temps réel et la
façon de les résoudre.
La protection en temps réel est désactivée
Si la protection en temps réel a été désactivée par mégarde par un utilisateur, elle doit être réactivée. Pour
réactiver la protection en temps réel, accédez à Configuration dans la fenêtre principale du programme et cliquez
sur Protection en temps réel du système de fichier.
Si la protection en temps réel n'est pas lancée au démarrage du système, cela découle généralement du fait que
l'option Lancer automatiquement la protection en temps réel du système de fichier est désélectionnée. Pour
activer cette option, allez à Configuration avancée (touche F5) et cliquez sur Ordinateur > Protection du système de
fichier en temps réel> Basique dans la section Configuration avancée. Assurez-vous que l'option Lancer
automatiquement la protection en temps réel du système de fichiers est activée.
Si la protection en temps réel ne détecte pas et ne nettoie pas les infiltrations
Assurez-vous qu'aucun autre programme antivirus n'est installé sur votre ordinateur. Si deux programmes de
protection en temps réel sont activés en même temps, il peut y avoir conflit entre les deux. Nous recommandons
de désinstaller tout autre antivirus de votre système avant d'installer ESET.
La protection en temps réel ne démarre pas
Si la protection en temps réel n'est pas lancée au démarrage du système (et que l'option Lancer automatiquement
la protection en temps réel du système de fichier est activée), le problème peut provenir de conflits avec d'autres
programmes. Pour de l'assistance dans la résolution de ce problème, veuillez communiquer avec l'assistance à la
clientèle ESET.
4.2.5.2.7 Soumission
Vous pouvez choisir la façon dont les fichiers et les données statistiques seront soumis à ESET. Sélectionnez Par le
biais de la Console d'administration à distance (RA) ou directement à ESET pour les fichiers et les statistiques qui
doivent être soumis par tous les moyens disponibles. Sélectionnez l'option Par la Console d'administration à
distance pour soumettre les fichiers et les statistiques au serveur d'administration à distance, ce qui assurera leur
soumission subséquente au laboratoire ESET Threat Lab. Si l'option Directement à ESET est sélectionnée, le
programme enverra directement tous les fichiers suspects et l'information statistique au laboratoire ESET Virus Lab.
Si des fichiers sont en attente de soumission, le bouton Soumettre maintenant sera activé. Cliquez sur ce bouton
pour soumettre immédiatement les fichiers et les données statistiques.
Sélectionnez Activer la journalisation pour créer un journal dans lequel enregistrer les fichiers et données
statistiques soumis.
162
4.2.5.2.8 Statistiques
Le système d'avertissement anticipé ThreatSense.Net recueille de l'information anonyme sur votre ordinateur, à
propos des menaces nouvellement détectées. Ces données peuvent inclure le nom de l'infiltration, la date et
l'heure de détection, la version du produit de sécurité d'ESET ainsi que des données sur la version du système
d'exploitation de votre ordinateur et ses paramètres régionaux. Les statistiques sont généralement envoyées aux
serveurs ESET une ou deux fois par jour.
Voici un exemple de données statistiques envoyées :
#
#
#
#
#
#
#
#
#
utc_time=2005-04-14 07:21:28
country=“Slovakia“
language=“ENGLISH“
osver=5.1.2600 NT
engine=5417
components=2.50.2
moduleid=0x4e4f4d41
filesize=28368
filename=C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8
Quand soumettre - Vous pouvez définir le moment où les données statistiques seront soumises. Si vous choisissez
de les envoyer Dès que possible , les données statistiques seront envoyées dès leur création. Ce choix convient si
une connexion Internet permanente est disponible. Si l'option Pendant la mise à jour est sélectionnée, les données
statistiques seront conservées puis envoyées simultanément pendant la prochaine mise à jour.
4.2.5.2.9 Fichiers suspects
L'onglet Fichiers suspects vous permet de configurer la façon dont les menaces seront soumises aux laboratoires
ESET Threat Lab pour analyse.
Si vous trouvez un fichier suspect, vous pouvez le soumettre à notre laboratoire pour analyse. S'il contient une
application malveillante, il sera ajouté à la prochaine mise à jour des signatures de virus.
Les soumissions de fichiers peuvent être effectuées automatiquement ou vous pouvez sélectionner l'option
Demander avant de soumettre si vous voulez savoir quels fichiers ont été soumis pour analyse et confirmer la
soumission.
Si vous ne voulez soumettre aucun fichier, sélectionnez l'option Ne pas soumettre pour analyse. Choisir de ne pas
soumettre de fichiers pour analyse n'aura aucune incidence sur la soumission des données statistiques qui sont
configurées de façon distincte (voir la section Statistiques).
Quand soumettre - Par défaut, l'option Dès que possible est sélectionnée pour que les fichiers suspects soient
envoyés aux laboratoires d'ESET. Ceci est recommandé lorsqu'une connexion Internet permanente est disponible et
que les fichiers suspects peuvent être livrés très rapidement. Sélectionnez l'option Pendant la mise à jour pour que
les fichiers suspects soient téléversés dans ThreatSense.Net lors de la prochaine mise à jour.
Filtre d'exclusion - Le filtre d'exclusion permet d'exclure certains fichiers/dossiers de la soumission. Ainsi, il est
utile d'exclure des fichiers qui peuvent comporter des données confidentielles, tels que des documents ou des
feuilles de calcul. Les types de fichiers les plus courants sont exclus par défaut (.doc, etc.). Vous pouvez ajouter des
fichiers à cette liste, au besoin.
Adresse courriel du contact - L'adresse courriel du contact (facultative) peut également être envoyée avec tout
fichier suspect et pourra être utilisée pour communiquer avec vous si nous avons besoin de plus d'information pour
l'analyse. Veuillez noter que vous ne recevrez pas de réponse d'ESET sauf si d'autres renseignements sont requis.
163
4.2.6 Analyse de l'ordinateur à la demande et Analyse Hyper-V
Les options de cette section permettent de sélectionner des paramètres d'analyse. Profil sélectionné - Ensemble
particulier de paramètres utilisé par l'analyseur à la demande. Pour créer un nouveau, cliquez sur Modifier situé à
côté de Liste des profils.
REMARQUE
Ce sélecteur de profil d'analyse s'applique à la fois à l'Analyse de l'ordinateur à la demande et à l'Analyse HyperV.
Si vous ne souhaitez analyser qu'une cible en particulier, vous pouvez cliquer sur Modifier à côté de Analyser les
cibles et choisir une option dans le menu déroulant ou choisir des cibles spécifiques dans la structure des dossiers
(arborescence).
La fenêtre des cibles à analyser permet de définir les objets (mémoire, lecteurs, secteurs, fichiers et dossiers) dans
lesquels rechercher des infiltrations. Sélectionnez les cibles dans l'arborescence qui dresse la liste de tous les
périphériques de l'ordinateur qui sont disponibles. Le menu déroulant Cibles à analyser permet de sélectionner des
cibles à analyser prédéfinies.
·
·
·
·
·
·
Par paramètres de profil - Sélectionne les cibles dans le profil d'analyse sélectionné.
Supports amovibles - Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD.
Disques locaux - Sélectionne tous les disques durs du système.
Lecteurs réseau - Sélectionne tous les disques réseau mappés.
Fichiers partagés - Sélectionne tous les dossiers partagés sur le serveur local.
Aucune sélection - Annule toutes les sélections.
Le menu déroulant Cibles à analyserpour Hyper -V permet de sélectionner des cibles prédéfinies à analyser :
· Par paramètres de profil - Sélectionne les cibles dans le profil d'analyse sélectionné.
· Toutes les machines virtuelles - Sélectionne toutes les machines virtuelles.
· Machines virtuelles allumées - Sélectionne toutes les machines virtuelles en ligne.
164
· Machines virtuelles éteintes - Sélectionne toutes les machines virtuelles hors ligne.
· Aucune sélection - Annule toutes les sélections.
Cliquez sur les paramètresThreatSense pour modifier les paramètres d'analyse (par exemple, les méthodes de
détection) pour l'analyseur à la demande.
4.2.6.1 Lanceur d'Analyse personnalisée et d'Analyse Hyper-V
Si vous ne souhaitez analyser qu'une cible en particulier, vous pouvez utiliser Analyse personnalisée et sélectionner
une option dans le menu déroulant Analyser les cibles ou choisir des cibles spécifiques dans la structure des
dossiers (arborescence).
REMARQUE
Ce sélecteur de profil d'analyse s'applique à la fois à l'Analyse personnalisée et à l'Analyse Hyper-V.
La fenêtre des cibles à analyser permet de définir les objets (mémoire, lecteurs, secteurs, fichiers et dossiers) dans
lesquels rechercher des infiltrations. Sélectionnez les cibles dans l'arborescence qui dresse la liste de tous les
périphériques de l'ordinateur qui sont disponibles. Le menu déroulant Cibles à analyser permet de sélectionner des
cibles à analyser prédéfinies.
·
·
·
·
·
·
Par paramètres de profil - Sélectionne les cibles dans le profil d'analyse sélectionné.
Supports amovibles - Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD.
Disques locaux - Sélectionne tous les disques durs du système.
Lecteurs réseau - Sélectionne tous les disques réseau mappés.
Fichiers partagés - Sélectionne tous les dossiers partagés sur le serveur local.
Aucune sélection - Annule toutes les sélections.
Le menu déroulant Cibles à analyserpour Hyper -V permet de sélectionner des cibles prédéfinies à analyser :
·
·
·
·
·
Par paramètres de profil - Sélectionne les cibles dans le profil d'analyse sélectionné.
Toutes les machines virtuelles - Sélectionne toutes les machines virtuelles.
Machines virtuelles allumées - Sélectionne toutes les machines virtuelles en ligne.
Machines virtuelles éteintes - Sélectionne toutes les machines virtuelles hors ligne.
Aucune sélection - Annule toutes les sélections.
Pour accéder rapidement à une cible d'analyse ou ajouter directement une nouvelle cible souhaitée (dossier ou
fichier), entrez-la dans le champ vide sous la liste de dossiers. Cela n'est possible que si aucune cible n'a été
sélectionnée dans l'arborescence et que le menu Cibles à analyser est défini à Aucune sélection.
165
Fenêtre contextuelle Analyse personnalisée :
Si vous ne voulez qu'analyser le système sans effectuer de nettoyage supplémentaire, sélectionnez Analyser sans
nettoyer. Cela est utile si vous ne voulez obtenir qu'un aperçu des éléments infectés et obtenir des détails sur ces
infections, le cas échéant. Vous pouvez choisir parmi trois niveaux de nettoyage en cliquant sur Configuration >
Paramètres ThreatSense > Nettoyage. Les données de l'analyse sont enregistrées dans un journal d'analyse.
Lorsque vous sélectionnez Ignorer les exclusions, l'analyse ignorera les exclusions qui autrement s'appliqueraient.
La fenêtre contextuelle Analyse Hyper-V (voir Analyse Hyper-V pour en savoir plus) :
Vous pouvez choisir le profil à utiliser pour analyser les cibles visées dans le menu déroulant Profil d'analyse. Le
profil par défaut est Analyse intelligente. Il existe deux autres profils d'analyse prédéfinis appelés Analyse
approfondie et Analyse par menu contextuel. Ces profils d'analyse utilisent différents paramètres pour le moteur
ThreatSense. Cliquez sur Configuration... pour configurer en détail le profil d'analyse à partir du menu Profil
166
d'analyse. Les options disponibles sont décrites dans Configuration des paramètres du moteur ThreatSense.
Cliquez sur Enregistrer pour enregistrer les modifications apportées à la sélection des cibles, y compris les
sélections effectuées dans l'arborescence des dossiers.
Cliquez sur Analyse pour exécuter l'analyse avec les paramètres personnalisés que vous avez définis.
L'option Analyser en tant qu'administrateur permet d'exécuter l'analyse avec le compte d'administrateur. Cliquez
ici si l'utilisateur actuel n'a pas les privilèges requis pour accéder aux fichiers appropriés devant être analysés. À
noter que ce bouton n'est pas disponible si l'utilisateur actuel ne peut appeler les opérations UAC en tant
qu'administrateur.
4.2.6.2 Progression de l'analyse
La fenêtre de progression de l'analyse affiche l'état actuel de l'analyse ainsi que de l'information sur le nombre de
fichiers contenant des programmes malveillants trouvés.
REMARQUE
Il est normal que certains fichiers, comme les fichiers protégés par mot de passe ou les fichiers utilisés
exclusivement par le système (généralement, les fichiers pagefile.sys et certains fichiers journaux), ne puissent
pas être analysés.
Progression de l'analyse - La barre de progression indique le pourcentage d'objets déjà analysés par rapport aux
objets encore en attente d'analyse. L'état de progression de l'analyse découle du nombre total d'objets inclus dans
l'analyse.
Cible - Le nom de l'objet en cours d'analyse et son emplacement.
Menaces trouvées - Indique le nombre total de menaces trouvées pendant l'analyse.
Pause - Met l'analyse en pause.
Reprendre - Cette option est visible seulement lorsque l'analyse est suspendue. Cliquez sur Reprendre pour
reprendre l'analyse.
167
Arrêter - Met fin à l'analyse.
Faire défiler le journal de l'analyse - Si cette option est activée, le journal d'analyse défilera automatiquement
lorsque de nouvelles entrées seront ajoutées afin que les entrées les plus récentes soient visibles.
Vous pouvez cliquer sur Plus de détails pendant l'analyse pour voir des détails comme l'Utilisateur qui a lancé le
processus d'analyse, le nombre d'Objets analysés et la Durée de l'analyse. Si une Analyse de base de données à la
demande est en cours d'exécution, l'utilisateur qui l'a lancée s'affiche et non pas le Compte d'analyse de base de
données qui est utilisé pour la connexion à EWS (Exchange Web Services) pendant le processus d'analyse.
4.2.6.3 Gestionnaire de profils
Le gestionnaire de profils est utilisé à deux endroits dans ESET Mail Security - dans la section Analyse de l'ordinateur
à la demande et dans la section Mise à jour.
Analyse de l'ordinateur à la demande
Vos paramètres d'analyse préférés peuvent être enregistrés pour analyse future. Nous vous recommandons de
créer un profil différent (avec différentes cibles et méthodes ainsi que d'autres paramètres d'analyse) pour chacune
des analyses utilisées régulièrement.
Pour créer un nouveau profil, ouvrez la fenêtre Configuration avancée (F5) et cliquez sur Ordinateur > > Analyse de
l'ordinateur à la demande puis Modifier à côté de Liste de profils. Le menu déroulant du Profil sélectionné qui
donne la liste des profils d'analyse existants. Pour vous aider à créer un profil d'analyse répondant à vos besoins,
consultez la rubrique Configuration du moteur ThreatSense pour une description de chacun des paramètres de
configuration de l'analyse.
Exemple : Imaginez que vous vouliez créer votre propre profil d'analyse et que la configuration associée au profil
Analyse intelligente vous convienne en partie, mais que vous ne voulez ni analyser les fichiers exécutables
compressés par un compresseur d'exécutables ni les applications potentiellement dangereuses et que vous voulez
également utiliser un Nettoyage strict. Entrez le nom de votre nouveau profil dans la fenêtre Gestionnaire de profil,
puis cliquez sur Ajouter. Sélectionnez votre nouveau profil à partir du menu déroulant de Profil sélectionné, puis
168
ajustez les paramètres restants pour répondre à vos exigences; cliquez ensuite sur OK pour enregistrer votre
nouveau profil.
Mise à jour
L'éditeur de profils de la section Configuration des mises à jour permet aux utilisateurs de créer de nouveaux profils
de mise à jour. Il est nécessaire de créer des profils de mise à jour personnalisés seulement si votre ordinateur
utilise plusieurs moyens pour se connecter aux serveurs de mise à jour.
Par exemple, un ordinateur portable qui se connecte normalement à un serveur local (miroir) sur le réseau local,
mais qui télécharge les mises à jour directement à partir des serveurs de mise à jour d'ESET lorsqu'il est déconnecté
du réseau local (voyage d'affaires) pourrait utiliser deux profils : le premier pour se connecter au serveur local, le
second pour se connecter aux serveurs d'ESET. Une fois ces profils configurés, allez dans Outils > Planificateur, puis
modifiez les paramètres de mise à jour de la tâche. Désignez un profil comme principal et l'autre comme
secondaire.
Profil sélectionné - Le profil de mise à jour actuellement sélectionné. Pour le changer, choisissez un profil dans le
menu déroulant.
Liste des profils - Créer un nouveau profil ou modifiez des profils de mise à jour.
4.2.6.4 Cibles à analyser
La fenêtre des cibles à analyser permet de définir les objets (mémoire, lecteurs, secteurs, fichiers et dossiers) dans
lesquels rechercher des infiltrations. Sélectionnez les cibles dans l'arborescence qui dresse la liste de tous les
périphériques de l'ordinateur qui sont disponibles. Le menu déroulant Cibles à analyser permet de sélectionner des
cibles à analyser prédéfinies.
·
·
·
·
·
·
Par paramètres de profil - Sélectionne les cibles dans le profil d'analyse sélectionné.
Supports amovibles - Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD.
Disques locaux - Sélectionne tous les disques durs du système.
Lecteurs réseau - Sélectionne tous les disques réseau mappés.
Fichiers partagés - Sélectionne tous les dossiers partagés sur le serveur local.
Aucune sélection - Annule toutes les sélections.
Le menu déroulant Cibles à analyserpour Hyper -V permet de sélectionner des cibles prédéfinies à analyser :
·
·
·
·
·
Par paramètres de profil - Sélectionne les cibles dans le profil d'analyse sélectionné.
Toutes les machines virtuelles - Sélectionne toutes les machines virtuelles.
Machines virtuelles allumées - Sélectionne toutes les machines virtuelles en ligne.
Machines virtuelles éteintes - Sélectionne toutes les machines virtuelles hors ligne.
Aucune sélection - Annule toutes les sélections.
4.2.6.5 Suspendre une analyse planifiée
Une analyse planifiée peut être reportée. Indiquez une valeur dans l'option Arrêter les analyses planifiées dans
(min) si vous voulez reporter l'analyse de l'ordinateur.
4.2.7 Analyse à l'état de repos
Vous pouvez activer l'analyseur à l'état de repos dans Configuration avancée ou vous pouvez appuyer sur F5, puis
accéder à Antivirus > Analyse à l'état de repos > Basique. Activez le commutateur à côté de l'option Activer l'analyse
à l'état de repos pour activer cette fonctionnalité. Lorsque l'ordinateur est inactif, une analyse silencieuse de
l'ordinateur est effectuée sur tous les disques locaux.
Par défaut, l'analyseur à l'état de repos ne sera pas exécuté lorsque l'ordinateur (portable) est alimenté par pile.
Vous pouvez écraser ce paramètre en cochant la case à côté de l'option Exécuter même si l'ordinateur est alimenté
par batterie .
Mettez en marche le commutateur Activer la journalisation dans Configuration avancée ou appuyez sur F5 pour
enregistrer les résultats des analyses dans la section Fichiers journaux (dans la fenêtre principale du programme,
169
cliquez sur Fichiers journaux, puis sélectionnez le type de journalisation Analyse de l'ordinateur dans le menu
déroulant).
La détection à l'état de repos s'exécute lorsque l'ordinateur est dans l'un des états suivants :
· Écran ou écran de veille désactivé
· Verrouillage de l'ordinateur
· Fermeture de session de l'utilisateur
Cliquez sur les paramètresThreatSense pour modifier les paramètres d'analyse (par exemple, les méthodes de
détection) pour l'analyseur à l'état de repos.
4.2.8 Analyse au démarrage
La vérification automatique des fichiers de démarrage sera effectuée par défaut au démarrage du système et
pendant la mise à jour de la banque de données de virus. Cette analyse dépend de la Configuration et des tâches du
Planificateur.
Les options pour l'analyse au démarrage font partie de la tâche du planificateur qu'est le Vérification des fichiers de
démarrage du système. Pour modifier les paramètres d'analyse au démarrage, allez à Outils > Planificateur, puis
cliquer sur Vérification automatique des fichiers au démarrage et sur Modifier. À la dernière étape, la fenêtre
Vérification automatique des fichiers au démarrage s'affichera ensuite (consultez le chapitre suivant pour plus de
détails).
Pour des instructions détaillées sur la création et la gestion des tâches dans le Planificateur, consultez la section
Création de nouvelles tâches.
4.2.8.1 Vérification automatique des fichiers de démarrage
Lorsque vous créez une tâche planifiée de contrôle des fichiers au démarrage du système, plusieurs options
s'offrent à vous pour définir les paramètres suivants :
Le menu déroulant Cibles de l'analyse précise la profondeur de l'analyse pour les fichiers exécutés au démarrage du
système. Les fichiers sont classés en ordre ascendant, selon les critères suivants :
·
·
·
·
·
Seulement les fichiers les plus fréquemment utilisés (le plus petit nombre de fichiers analysés)
Fichiers fréquemment utilisés
Fichiers communément utilisés
Fichiers rarement utilisés
Tous les fichiers enregistrés (le plus grand nombre de fichiers analysés)
Deux groupes de Cibles de l'analyse particuliers sont aussi inclus :
· Fichiers exécutés avant la connexion de l'utilisateur - Contient les fichiers enregistrés dans des emplacements qui
permettent d'y accéder sans que l'utilisateur n'ait ouvert de session (comprend presque tous les emplacements
de démarrage comme les services, les objets application d'assistance du navigateur, la notification winlogon, les
entrées dans le planificateur de Windows, les dll connus, etc.).
· Fichiers exécutés après la connexion de l'utilisateur - Contient les fichiers enregistrés dans des emplacements qui
permettent d'y accéder seulement que lorsque l'utilisateur a ouvert une session. Comprend généralement les
fichiers enregistrés dans le cheminHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run).
Les listes de fichiers à analyser sont fixes, pour chacun des groupes susmentionnés.
Priorité de l'analyse - Le niveau de priorité à utiliser pour déterminer à quel moment débutera l'analyse :
·
·
·
·
170
Normal - Pour une charge système moyenne.
Faible - Lorsque la charge système est faible.
Minimale - Lorsque la charge système est la plus faible possible.
Quand inactif - La tâche ne sera exécutée que lorsque le système sera inactif.
4.2.9 Support amovible
ESET Mail Security effectue une analyse automatique des supports amovibles (CD/DVD/USB). Ce module permet
d'analyser le support inséré. Cela peut être utile si l'administrateur de l'ordinateur veut empêcher les utilisateurs
d'utiliser des supports amovibles comportant un contenu non sollicité.
Action à prendre après l'insertion d'un support amovible - Sélectionnez l'action par défaut qui sera exécutée
lorsqu'un support amovible est inséré dans l'ordinateur (CD/DVD/USB). Si l'option Afficher les options d'analyse est
sélectionnée, une notification s'affichera pour vous permettre de choisir l'action souhaitée :
· Ne pas analyser - Aucune action ne sera effectuée et la fenêtre Nouveau périphérique détecté sera fermée.
· Analyse automatique du périphérique - Une analyse de l'ordinateur à la demande du support amovible inséré
sera effectuée.
· Afficher les options d'analyse - Ouvre la section de configuration du support amovible.
Lorsqu'un support amovible est inséré, la boîte de dialogue suivante affichera les renseignements suivants :
·
·
·
·
Analyser maintenant - Déclenche l'analyse du support amovible.
Analyser plus tard - Reporte l'analyse du support amovible.
Configuration - Ouvre la configuration avancée.
Toujours utiliser l'option sélectionnée - Lorsque cette case est cochée, la même action sera effectuée la
prochaine fois qu'un support amovible sera inséré.
De plus, ESET Mail Security comprend également la fonctionnalité de contrôle du périphérique qui offre la
possibilité de définir des règles pour l'utilisation des périphériques externes sur un ordinateur particulier. Vous
trouverez plus de détails sur le contrôle de périphérique dans la section Contrôle de périphérique.
4.2.10 Protection des documents
La fonctionnalité de protection des documents analyse les documents Microsoft Office avant leur ouverture,
comme les fichiers téléchargés automatiquement par Internet Explorer, tels que les éléments Microsoft ActiveX. La
protection des documents offre une couche de protection, en plus de la protection en temps réel du système de
fichier, et peut être désactivée afin d'améliorer la performance de systèmes non exposés à un volume élevé de
documents Microsoft Office.
· L'option Intégration système active le système de protection. Pour modifier cette option, appuyez sur F5 et
ouvrez la fenêtre Configuration avancée, puis cliquez sur Ordinateur > Protection de documents dans
l'arborescence Configuration avancée.
· Voir les paramètres Threatsense pour plus de détails sur les paramètres de la Protection des documents.
Cette fonctionnalité est activée par des applications utilisant Antivirus API de Microsoft (par ex., Microsoft Office
2000 et versions ultérieures, ou Microsoft Internet Explorer 5.0 et versions ultérieures).
4.2.11 HIPS
Le Système de prévention des intrusions sur l'ordinateur hôte (HIPS) protège votre système des logiciels
malveillants et de toute activité indésirable qui tentent de modifier la sécurité de votre ordinateur. Il utilise, pour
ce faire, une analyse comportementale évoluée combinée aux fonctionnalités de détection de filtrage du réseau
utilisées dans la surveillance des processus en cours, fichiers et clés de registre. Le système HIPS diffère de la
protection en temps réel du système de fichiers et ce n'est pas un pare-feu. Il surveille uniquement les processus
en cours d'exécution au sein du système d'exploitation.
AVERTISSEMENT
Seul un utilisateur d'expérience devrait apporter des modifications aux paramètres de HIPS. Une mauvaise
configuration des paramètres HIPS peut rendre le système instable.
171
Vous pouvez accéder aux paramètres de HIPS dans l'arborescence de Configuration avancée (touche F5) Ordinateur
> HIPS. L'état HIPS (activé ou désactivé) est indiqué dans la fenêtre principale de ESET Mail Security dans l'onglet
Configuration, du côté droit de la section Ordinateur.
ESET Mail Security comporte une technologie d'Auto-défense intégrée qui empêche les logiciels malveillants de
corrompre ou de désactiver votre protection antivirus et anti-logiciel espion pour que vous soyez toujours certain
que votre système est protégé en tout temps. Les modifications apportées aux paramètres Activer HIPS et Activer
Autodéfense prendront effet après le redémarrage du système d'exploitation Windows. Désactiver l'ensemble du
système HIPS exigera également un redémarrage de l'ordinateur.
L'Analyseur de mémoire avancé fonctionne de paire avec Exploit Blocker pour renforcer la protection contre les
logiciels malveillants qui ont été conçus pour contourner les produits de détection de logiciels malveillants en
utilisant l'obscurcissement ou le chiffrement. L'Analyseur de mémoire avancé est activé par défaut. Pour en savoir
plus sur ce type de protection, consultez le glossaire.
Exploit Blocker est conçu pour protéger les types d'applications souvent exploités, comme les navigateurs, les
lecteurs PDF, les clients de messagerie et les composants MS Office. Exploit blocker est activé par défaut. Pour en
savoir plus sur ce type de protection, consultez le glossaire.
Le filtrage peut être effectué selon l'un des quatre modes :
· Mode automatique - Les opérations sont activées, à l'exception de celles bloquées par des règles prédéfinies qui
protègent votre système.
· Mode de démarrage - L'utilisateur ne sera informé que des événements vraiment suspects.
· Mode interactif - L'utilisateur sera invité à confirmer les opérations.
· Mode basé sur des règles personnalisées - Les opérations seront bloquées.
· Mode d'apprentissage - Les opérations sont activées et une règle est créée, après chaque opération. Les règles
créées dans ce mode peuvent être affichées dans l'Éditeur des règles, mais leur priorité sera inférieure aux règles
créées manuellement ou en mode automatique. Lorsque vous sélectionnez le mode d'apprentissage dans le
menu déroulant Mode de filtrage HIPS, le paramètre Mode d'apprentissage se termine le devient disponible.
Sélectionnez la durée pendant laquelle vous souhaitez activer le mode d'apprentissage) la durée maximale est de
14 jours). Une fois que la durée indiquée sera écoulée, vous serez invité à modifier les règles créées par HIPS
172
alors qu'il était en mode d'apprentissage. Vous pouvez également choisir un mode de filtrage différent, ou
reporter la décision et continuer à utiliser le mode d'apprentissage.
Le système HIPS surveille les événements qui se produisent dans le système d'exploitation et réagit à ces derniers
en fonction des règles utilisées par le Pare-feu personnel. Cliquez sur Modifier pour ouvrir la fenêtre de gestion des
règles HIPS. Cette fenêtre vous permet de sélectionner, de créer, de modifier ou de supprimer des règles. Plus de
détails sur la création de règle et les opérations HIPS se trouvent dans le chapitre Modifier la règle.
Si l'action par défaut pour une règle est mise à Demander, une boîte de dialogue s'affichera chaque fois que la règle
est déclenchée. Vous pouvez choisir de Bloquer ou d'Autoriser l'opération. Si aucune action n'est sélectionnée dans
le temps imparti, une nouvelle action sera sélectionnée, en fonction des règles.
La boîte de dialogue permet de créer une règle en fonction de toute nouvelle action détectée par le système HIPS,
puis de définir les conditions dans lesquelles autoriser ou bloquer cette action. Pour définir les paramètres exacts,
cliquez sur Plus d'info. Les règles créées de cette façon sont jugées équivalentes aux règles créées manuellement.
Ainsi, la règle créée à partir d'une fenêtre de dialogue peut être moins précise que la règle qui a déclenché la
fenêtre de dialogue. Ainsi, après la création d'une telle règle, la même opération pourra déclencher l'affichage de la
même fenêtre.
L'option Mémoriser temporairement cette action pour ce processus provoque le recours à une action (Autoriser/
bloquer) qui devra être utilisée jusqu'à la modification des règles ou du mode de filtrage, une mise à jour du
module HIPS ou le redémarrage du système. À l'issue de l'une de ces trois actions, les règles temporaires seront
supprimées.
173
4.2.11.1 Règles HIPS
La fenêtre vous donne un aperçu des règles HIPS existantes.
Colonnes
Règle - Nom de la règle défini par l'utilisateur ou choisi automatiquement.
Activée - Désactivez ce commutateur si vous voulez que la règle reste inscrite sur la liste, mais sans l'utiliser.
Action - La règle précise une action - Autoriser, Bloquer o uDemander - qui doit être effectuée lorsque les
conditions sont satisfaites.
Sources - La règle ne sera utilisée que si l'événement est déclenché par cette ou ces applications.
Cibles - La règle sera utilisée uniquement si l'opération est liée à un fichier, à une application ou à une entrée de
registre spécifique.
Journal - Si vous activez cette option, l'information connexe à cette règle sera inscrite dans le journal HIPS.
Notifier - Une petite fenêtre contextuelle s'affichera dans le coin inférieur droit, lorsqu'un événement est
déclenché.
Éléments de contrôle
Ajouter - Crée une nouvelle règle.
Modifier - Permet de modifier les entrées sélectionnées.
Retirer - Retire les entrées sélectionnées.
EXEMPLE
Dans l'exemple suivant, nous allons illustrer comment limiter le comportement non voulu d'applications :
1. Nommez la règle et sélectionnez Bloquer dans le menu déroulant Action.
2. Activez le commutateur Avertir l'utilisateur pour afficher une notification chaque fois qu'une règle est
appliquée.
3. Sélectionnez au moins une opération à laquelle la règle s'appliquera. Dans la fenêtre Applications serveur,
sélectionnez Toutes les applications dans le menu déroulant pour appliquer la nouvelle règle à toutes les
applications qui tentent d'effectuer l'une des opérations sélectionnées sur les applications spécifiées.
4. Sélectionnez Modifier l'état d'une autre application (toutes les opérations sont décrites dans l'aide sur le
produit à laquelle vous pouvez accéder en appuyant sur la touche F1).
5. Sélectionnez Applications spécifiques dans le menu déroulant et ajoutez une ou plusieurs applications à
174
protéger.
6. Cliquez sur Terminer pour enregistrer la nouvelle règle.
4.2.11.1.1 Paramètres de règle HIPS
· Nom de la règle - Nom de la règle défini par l'utilisateur ou choisi automatiquement.
· Action - La règle spécifie une action - Autoriser, Bloquer ou Demander - qui devrait être exécutée lorsque les
conditions sont satisfaites.
Opérations concernées - Vous devez sélectionner le type d'opérations auquel s'appliquera la règle. La règle sera
utilisée seulement pour ce type d'opération et pour la cible sélectionnée.
· Fichiers - La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez les fichiers dans le menu
déroulant et cliquez surAjouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également
sélectionner Tous les fichiers dans le menu déroulant pour ajouter toutes les applications.
· Applications - La règle ne sera utilisée que si l'événement est déclenché par cette ou ces application(s).
Sélectionnez des applications spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de
nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Toutes les applications dans le menu
déroulant pour ajouter toutes les applications.
· Entrées du registre - La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez des entrées
spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous
pouvez également sélectionner Toutes les entrées dans le menu déroulant pour ajouter toutes les applications.
· Activée - Désactivez ce commutateur si vous voulez que la règle reste inscrite sur la liste, mais sans l'utiliser.
· Journal - Si vous activez cette option, l'information connexe à cette règle sera inscrite dans le journal HIPS.
· Avertir l'utilisateur - Une petite fenêtre contextuelle s'affichera dans le coin inférieur droit, lorsqu'un événement
est déclenché.
La règle comporte plusieurs parties qui décrivent les conditions qui la déclenchent :
Applications source - La règle ne sera utilisée seulement si l'événement est déclenché par cette ou ces
applications.Sélectionnez Applications spécifiques à partir du menu déroulant et cliquez sur Ajouter pour ajouter de
nouveaux fichiers ou dossiers, ou sélectionnez Toutes les applications à partir du menu déroulant pour ajouter
toutes les applications.
Fichiers - La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Fichiers spécifiques dans le
menu déroulant et cliquez surAjouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également
sélectionner Tous les fichiers dans le menu déroulant pour ajouter toutes les applications.
Applications - La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Applications spécifiques
dans le menu déroulant et cliquez surAjouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez
également sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications.
Entrées du registre - La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Entrées
spécifiques dans le menu déroulant et cliquez surAjouter pour ajouter de nouveaux fichiers ou dossiers. Vous
pouvez également sélectionner Toutes les entrées dans le menu déroulant pour ajouter toutes les applications.
REMARQUE
Certaines opérations de règles spécifiques prédéfinies par HIPS ne peuvent pas être bloquées et sont autorisées
par défaut. En plus, toutes les opérations système ne sont pas contrôlées par HIPS. HIPS contrôle les opérations
qui peuvent être considérées comme dangereuses.
Description d'opérations importantes :
Opérations sur le fichier
· Supprimer le fichier - L'application vous invite à autoriser la suppression du fichier cible.
· Écrire dans le fichier - L'application vous invite à autoriser l'écriture dans le fichier cible.
· Accès direct au disque - L'application tente de lire ou d'écrire sur le disque d'une manière non standard, qui
contournera les procédures courantes de Windows. Cela peut entraîner la modification de fichiers sans
application des règles correspondantes. Cette opération peut découler d'un logiciel malveillant qui tente
d'éviter la détection, d'un logiciel de sauvegarde qui essaie de faire une copie exacte d'un disque ou d'un
175
gestionnaire de partitions qui tente de réorganiser des volumes de disque.
· Installer le crochet global - Se réfère à l'appel de la fonction SetWindowsHookEx de la bibliothèque MSDN.
· Charger pilote - Installation et chargement de pilotes dans le système.
Activités de l'application
· Déboguer une autre application - Joindre un débogueur au processus. Lors du débogage d'une application, de
nombreux détails de son comportement peuvent être affichés et modifiés et ses données deviennent
accessibles.
· Intercepter des événements à partir d'une autre application - L'application source tente d'intercepter des
événements destinés à une application spécifique (par exemple un enregistreur de frappe qui tente de
capturer les événements d'un navigateur).
· Arrêter/Suspendre une autre application - Suspendre, reprendre ou arrêter un processus (accès direct par
l'explorateur de processus ou la fenêtre Processus).
· Lancer une nouvelle application - Lancement de nouvelles applications ou de nouveaux processus.
· Modifier l'état d'une autre application - L'application source tente d'écrire dans la mémoire de l'application
cible ou d'exécuter du code en son nom. Cette fonctionnalité peut être utile pour protéger une application
essentielle en la configurant comme application cible dans une règle qui bloque l'utilisation de cette opération.
Opérations sur le registre
· Modifier les paramètres de démarrage - Toutes les modifications des paramètres qui définissent quelles
applications seront exécutées au démarrage de Windows. Il est possible de les trouver, par exemple, en
recherchant la clé Run dans le registre de Windows.
· Supprimer du registre - Supprimer une clé de registre ou sa valeur.
· Renommer la clé de registre - Renomme les clés de registre.
· Modifier le registre - Créer de nouvelles valeurs de clés de registre, modifier des valeurs existantes, déplacer
des données dans l'arborescence de la base de données ou définir les droits du groupe ou de l'utilisateur à
l'égard de clés de registre.
REMARQUE
Vous pouvez utiliser des caractères génériques avec certaines restrictions au moment d'entrer une cible. Plutôt
qu'une clé particulière, vous pouvez utiliser un symbole * (astérisque) dans les chemins d'accès du registre. Par
exemple, HKEY_USERS\*\software peut vouloir dire HKEY_USER\.default\software, mais non HKEY_USERS\S-1-221-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet* n'est
pas un chemin d'accès à la clé du registre valide. Un chemin d'accès à la clé du registre contenant \* définit « ce
chemin d'accès, sur tout niveau, après ce symbole ». C'est la seule façon d'utiliser les caractères génériques pour
les fichiers cibles. La partie spécifique d'un chemin sera la première à être évaluée, puis elle sera suivie du
chemin se trouvant après le caractère générique (*).
AVERTISSEMENT
Vous pourriez recevoir une notification si vous créez une règle trop générique.
4.2.11.2 Configuration avancée
Les options suivantes sont utiles pour déboguer et analyser le comportement d'une application :
· Toujours autoriser le chargement des pilotes - Le chargement des pilotes sélectionnés est toujours autorisé,
indépendamment du mode de filtrage défini, à l'exception des cas où un pilote est explicitement bloqué par une
règle de l'utilisateur.
· Consigner toutes les opérations bloquées - Toutes les opérations bloquées seront consignées dans le journal
HIPS.
· Notifier lorsqu'un changement est effectué dans les applications de démarrage - Affiche une notification sur le
bureau chaque fois qu'une application est ajoutée ou supprimée du démarrage du système.
176
4.2.11.2.1 Toujours autoriser le chargement des pilotes
Les pilotes affichés dans cette liste pourront toujours être chargés indépendamment du mode de filtrage HIPS, à
moins qu'ils ne soient explicitement bloqués par une règle de l'utilisateur.
Ajouter - Permet d'ajouter un nouveau pilote.
Modifier - Permet de modifier le chemin d'accès vers le pilote sélectionné.
Supprimer - Permet de supprimer des pilotes de la liste.
Réinitialiser - Permet de recharger un ensemble de pilotes système.
REMARQUE
Cliquez sur Réinitialisers i vous ne voulez pas que les pilotes que vous avez ajoutés manuellement soient inclus.
Cela peut être utile si vous avez ajouté plusieurs pilotes et ne pouvez pas les supprimer de la liste
manuellement.
4.3 Mise à jour
Vous pouvez accéder aux options de configuration des mises à jour à partir de la fenêtre Configuration avancée
(touche F5) sous Mise à jour > Général. Cette section permet de préciser l'information sur les sources des mises à
jour, comme les serveurs de mise à jour utilisés et les données d'authentification donnant accès à ces serveurs.
REMARQUE
Il est essentiel d'inscrire correctement tous les paramètres de mise à jour afin de télécharger correctement les
mises à jour. Si un coupe-feu est utilisé, assurez-vous que le programme ESET est autorisé à accéder à Internet
(par exemple. communication HTTP).
Général
· Le profil de mise à jour actuellement utilisé s'affiche dans le menu déroulant du profil sélectionné. Si vous
éprouvez des problèmes avec la mise à jour, cliquez sur Effacer pour effacer la mémoire cache temporaire de
mise à jour.
Alertes de base de données des signatures de virus obsolète
· Définir l'âge maximal de la base de données automatiquement / Âge maximal de la base de données (jours) Permet de définir la durée maximale (en jours) après laquelle la base de données de signature de virus sera
déclarée obsolète. La valeur par défaut est 7.
177
Annulation
Si vous soupçonnez qu'une nouvelle mise à jour de la base de données de virus ou des modules du programme peut
être instable ou endommagée, vous pouvez retourner à la version antérieure et désactiver toutes les mises à jour
pour une durée choisie. Vous pouvez aussi activer les mises à jour précédemment désactivées si vous les aviez
reportées indéfiniment. ESET Mail Security enregistre les instantanés des bases de données de signature de virus et
des modules de programme à utiliser avec la fonctionnalité Restaurer. Pour créer des images de la base de données
de virus, laissez le commutateur Créer une image instantanée des fichiers de mise à jour activé. Le champ Nombre
d'instantanés stockés localement définit le nombre d'instantanés de la base de virus stockés.
EXEMPLE
Disons que le numéro 10646 correspond à la version la plus récente de la base de données des signatures de
virus. Les numéros 10645 et 10643 sont enregistrés comme des images de la banque de données de virus. À noter
que le numéro 10644 n'est pas disponible, car, par exemple, l'ordinateur était éteint et une mise à jour plus
récente fut rendue disponible avant que le numéro 10644 ait été téléchargé. Si le champ Nombre d'images
instantanées stockées localement est défini sur 2 et que vous cliquez sur Annuler les modifications, la version
numéro 10643 de la base de données de signatures de virus (y compris les modules du programme) sera
restaurée. Veuillez cependant noter que ce processus peut prendre un certain temps. Vérifiez ensuite si la
version de la base de données de signature de virus a été rétablie dans la fenêtre principale de ESET Mail
Security, dans la section Mise à jour.
Profils
178
Pour créer un nouveau profil, sélectionnez Modifier à côté de Liste des profils, entrez votre propre Nom de profil et
cliquez sur Ajouter. Vous pouvez modifier un profil avec les options suivantes :
Basique
Type de mise à jour - Sélectionnez le type de mise à jour à utiliser à partir d'un menu déroulant :
· Mise à jour régulière - Par défaut, le type de mises à jour est réglé à Mise à jour régulière afin de s'assurer que
les fichiers de mise à jour soient automatiquement téléchargés à partir du serveur ESET avec le moins de trafic
réseau possible.
· Mise à jour de préversion - Les mises à jour de préversion sont des mises à jour qui ont été soumises à des
tests internes approfondis et qui seront bientôt offertes au grand public. Elles permettent d'accéder aux
méthodes de détection et correctifs les plus récents. Cependant, il est possible que les mises à jour de
préversion ne soient pas toujours assez stables et ne DOIVENT PAS être utilisées sur les serveurs et les postes
de travail de production où une disponibilité et une stabilité maximales sont requises.
· La mise à jour différée permet une mise à jour à partir de serveurs de mise à jour particuliers offrant de
nouvelles versions des bases de données de virus dans un délai d'au moins X heures (c'est-à-dire qu'ils
téléchargeront des bases de données testées dans un environnement réel, donc jugées stables).
Désactiver les notifications de mise à jour réussie - Désactive les notifications dans la barre d'état système, dans
le coin inférieur droit de l'écran. Sélectionnez cette option si vous utilisez une application ou un jeu en mode
plein écran. Veuillez noter que le mode Présentation désactivera toutes les notifications.
Mise à jour à partir d'un support amovible - Permet une mise à jour à partir d'un support amovible s'il contient le
miroir créé. Lorsque Automatique est sélectionné, la mise à jour s'exécutera à l'arrière-plan. Si vous voulez
afficher les boîtes de dialogue de mise à jour, sélectionnez Toujours demander.
· Le menu Serveur de mise à jour est défini par défaut à Choisir automatiquement. Le serveur de mise à jour est
l'endroit où sont stockées les mises à jour. Si vous utilisez un serveur ESET, nous vous recommandons de
conserver l'option sélectionnée par défaut.
Si un serveur local HTTP est utilisé - aussi appelé Miroir - le serveur de mise à jour doit être configuré comme
179
suit :
http://nom_ordinateur_ou_son_adresse_IP:2221.
Lorsqu'un serveur local HTTP avec SSL est utilisé - le serveur de mise à jour doit être configuré comme suit :
https://nom_ordinateur_ou_son_adresse_IP:2221.
Lorsqu'un dossier partagé local est utilisé - le serveur de mise à jour doit être configuré comme suit :
\\nom_de_l'ordinateur_ou_son_adresse_IP\dossier_partagé
· Mise à jour à partir du miroir
L'authentification pour les serveurs de mise à jour est basée sur la clé de licence générée et envoyée à
l'utilisateur après l'achat. Lorsque vous utilisez un serveur miroir local, vous pouvez définir l'authentifiant
permettant aux clients de se connecter au serveur miroir pour recevoir les mises à jour. Par défaut, aucune
vérification n'est exigée et les champs Nom d'utilisateur et Mot de passe demeurent vides.
· Mode de mise à jour
· Mandataire HTTP
· Se connecter au réseau local comme
· Miroir
4.3.1 Retour en arrière des mises à jour
Si vous cliquez sur Annuler vous devez sélectionner un intervalle dans le menu déroulant représentant la durée
pendant laquelle les mises à jour de la banque de données de virus et des modules du programme seront
suspendues.
Sélectionnez Jusqu'à son retrait pour reporter indéfiniment les mises à jour régulières jusqu'à ce que vous
restauriez manuellement cette fonctionnalité. Nous ne recommandons pas de sélectionner cette option,
puisqu'elle présente un risque potentiel au niveau de la sécurité.
La version de la banque de données de virus sera rétablie à la plus ancienne image disponible et stockée comme
image dans le système de fichiers de l'ordinateur local.
180
4.3.2 Mode de mise à jour
L'onglet Mode de mise à jour contient les options concernant la mise à jour des composants du programme. Le
programme vous permet d'en contrôler le comportement lors de la mise à jour des composants du programme.
Les mises à jour des composants du programme comportent de nouvelles fonctionnalités ou modifient les
fonctionnalités existantes dans les versions précédentes. Elle peut s'effectuer sans intervention de l'utilisateur ou
après notification de ce dernier. Le redémarrage d'un ordinateur peut être exigé après la mise à jour des
composants du programme. Dans la section Mise à jour des composants du programme, trois options sont
disponibles :
· Demander avant de télécharger les composants du programme - L'option par défaut. Vous serez invité à confirmer
ou à refuser les mises à jour des composants du programme lorsqu'elles sont disponibles.
· Toujours mettre à jour les composants du programme - Une mise à jour des composants du programme sera
automatiquement téléchargée et installée. Notez que cela peut exiger le redémarrage du système.
· Ne jamais mettre à jour les composants du programme - Aucune mise à jour des composants du programme ne
sera effectuée. Cette option convient surtout aux serveurs, car ces derniers ne doivent être redémarrés qu'en cas
de maintenance.
REMARQUE
La sélection des options les plus appropriées dépend des stations de travail sur lesquelles les paramètres seront
appliqués. Notez qu'il existe des différences entre les postes de travail et les serveurs. Par exemple, le
redémarrage automatique d'un serveur après une mise à jour du programme peut causer de graves dommages.
Si vous voulez mettre à niveau vers une nouvelle version de ESET Mail Security activez la mise à niveau manuelle
des composants du programme. Cette option est désactivée par défaut; lorsqu'elle est activée et qu'une nouvelle
version de ESET Mail Security est disponible, Rechercher des mises à jour apparait dans l'onglet Mises à jour.
Si l'option Demander avant de télécharger une mise à jour est cochée, une notification s'affichera lorsqu'une
nouvelle mise à jour sera disponible.
181
Si la taille du fichier de mise à jour est supérieure à la valeur précisée dans Demander si un fichier de mise à jour a
une taille supérieure (ko), le programme affichera une notification.
4.3.3 Mandataire HTTP
Pour accéder aux options de configuration du serveur mandataire pour un profil de mise à jour donné. Cliquez sur
Mode mandataire et sélectionnez l'une des trois options suivantes :
· Ne pas utiliser de serveur mandataire pour préciser qu'aucun serveur mandataire ne sera utilisé pour mettre à
jour ESET Mail Security.
REMARQUE
L'option par défaut pour le serveur mandataire est Utiliser les paramètres globaux du serveur mandataire.
· L'option Utiliser les paramètres de serveur mandataire généraux utilisera les options de configuration de serveur
mandataire indiquées dans Configuration avancée > Outils > Serveur mandataire.
· L'option Connexion par un serveur mandataire devrait être sélectionnée si :
o un serveur mandataire devrait être utilisé pour effectuer la mise à jour de ESET Mail Security, un serveur
différent du serveur mandataire indiqué dans les paramètres globaux (Outils > Serveur mandataire). Le cas
échéant, les paramètres devraient être indiqués ici : Adresse du serveur mandataire, Port de communication
(3128, par défaut), Nom d'utilisateur et Mot de passe pour le serveur mandataire, au besoin.
o Les paramètres du serveur mandataire n'ont pas été définis globalement, mais ESET Mail Security se connectera
à un serveur mandataire pour les mises à jour.
o Votre ordinateur est connecté à Internet par un serveur mandataire. Les paramètres utilisés sont ceux
d'Internet Explorer, pris au moment de l'installation du programme, mais s'ils sont ensuite modifiés (par
exemple, si vous changez de FAI), vous devez vous assurer que les paramètres du serveur HTTP mandataire
indiqués dans cette fenêtre sont appropriés. En l'absence de modification, le programme ne pourra pas se
connecter aux serveurs de mise à jour.
182
REMARQUE
Les données d'authentification, comme le Nom d'utilisateur et le Mot de passe, sont conçues pour accéder au
serveur mandataire. Ne remplissez ces champs que si un nom d'utilisateur et un mot de passe sont requis.
Veuillez noter que ces champs ne sont pas ceux du mot de passe/nom d'utilisateur de ESET Mail Security et ne
doivent être indiqués que si vous savez que vous avez besoin d'un mot de passe pour accéder à Internet par
l'entremise d'un serveur mandataire.
Utiliser une connexion directe si le mandataire n'est pas disponible - Si un produit est configuré pour utiliser le
mandataire HTTP et que ce dernier n'est pas joignable, le produit contournera le mandataire et communiquera
directement avec les serveurs d'ESET.
4.3.4 Se connecter au réseau local comme
Lors de la mise à jour depuis un serveur local sous Windows, une authentification est exigée par défaut pour chaque
connexion réseau. Les options de configuration sont situées dans l'arborescence Configuration avancée (touche F5)
sous Mise à jour > Profils > Se connecter au réseau local comme. Pour configurer votre compte, sélectionnez l'une
des options suivantes à partir du menu déroulant Type d'utilisateur local :
· Compte système (par défaut) - utiliser le compte système pour l'authentification. Normalement, aucune
authentification ne sera effectuée si des données d'authentification ne sont pas inscrites dans la section de
configuration des mises à jour.
· Utilisateur actuel.- sélectionner cette option pour s'assurer que le programme s'authentifie à l'aide du compte de
l'utilisateur actuellement connecté. L'inconvénient de cette solution est que le programme est dans
l'impossibilité de se connecter au serveur de mise à jour si aucun utilisateur n'est actuellement connecté.
· Utilisateur spécifié - sélectionner cette option pour utiliser un compte d'utilisateur spécifique pour
l'authentification. Cette méthode doit être utilisée lorsque la connexion avec le compte système par défaut n'a
pas fonctionné. À noter que le compte de l'utilisateur spécifié doit avoir le droit d'accès au dossier des fichiers de
mise à jour du serveur local. Dans le cas contraire, le programme serait incapable d'établir une connexion et de
télécharger les mises à jour.
AVERTISSEMENT
Si l'option Utilisateur actuel ou Spécifier un utilisateur est sélectionnée, une erreur peut se produire si l'identité
du programme est changée pour l'utilisateur souhaité. Il est recommandé d'entrer les données
d'authentification du réseau local dans la section de configuration des mises à jour. Dans cette section, les
données d'authentification doivent être entrées comme suit : domain_name\user (si c'est un groupe de travail,
entrez workgroup_name\name) et le mot de passe. La mise à jour de la version HTTP du serveur local n'exige
aucune authentification.
· Déconnecter du serveur après la mise à jour - pour forcer la déconnexion si la connexion au serveur reste active
même après le téléchargement des mises à jour.
183
4.3.5 Miroir
ESET Mail Security permet de créer des copies des fichiers de mise à jour qui peuvent être utilisées pour mettre à
jour les autres stations de travail se trouvant sur le réseau. Utilisation d'un « miroir » - Puisqu'il n'est pas nécessaire
que les fichiers de mise à jour soient téléchargés à plusieurs reprises à partir du serveur de mise à jour du
fournisseur pour chacun des postes de travail, il serait pratique d'en conserver une copie dans l'environnement du
réseau local. Les mises à jour sont alors téléchargées sur le serveur miroir local puis distribuées à toutes les stations
de travail, ce qui évitera tout risque de surcharge du réseau. La mise à jour des postes de travail à partir d'un miroir
optimise l'équilibre de la charge réseau et libère les bandes passantes des connexions Internet.
Les options de configuration du serveur miroir local se trouvent dans l'arborescence Configuration avancée (F5) sous
l'onglet Mise à jour > Profils > Miroir.
Créer un miroir de mise à jour
Créer un miroir de mise à jour - Cochez cette option pour activer d'autres options de configuration du miroir,
telles que la manière d'accéder aux fichiers de mise à jour et le chemin des fichiers miroirs.
184
Accéder aux fichiers de mise à jour
· Fournir les fichiers de mise à jour par l'intermédiaire d'un serveur HTTP interne - Si cette option est activée, les
fichiers de mise à jour seront tout simplement accessibles par l'intermédiaire d'un serveur HTTP et aucune
donnée d'identification ne sera requise ici.
REMARQUE
Windows XP requiert l'ensemble de modifications provisoires version 2 ou ultérieure pour utiliser le serveur
HTTP.
· Les méthodes d'accès au serveur miroir sont décrites en détail dans la section Mise à jour à partir du miroir. Il
existe deux méthodes de base pour accéder au miroir : le dossier contenant les fichiers de mise à jour peut
être vu comme un dossier réseau partagé ou les clients peuvent accéder au miroir situé sur un serveur HTTP.
· Dossier de stockage des fichiers miroir - Cliquez sur Supprimer si vous souhaitez modifier un dossier par
défaut défini pour stocker des fichiers miroir C:\ProgramData\ESET\ESET File Security\mirror. Cliquez sur
Modifier pour rechercher un dossier sur l'ordinateur local ou un dossier réseau partagé. Si une autorisation
pour le dossier indiqué est requise, les données d'authentification doivent être entrées dans les champs Nom
d'utilisateur et Mot de passe. Si le dossier destination sélectionné se trouve sur un disque réseau utilisant le
système d'exploitation Windows NT/2000/XP, le nom d'utilisateur et le mot de passe indiqués doivent avoir
les droits d'écriture pour ce dossier. Le nom d'utilisateur et le mot de passe doivent être entrés dans le format
Domaine/Utilisateur ou Groupe de travail/Utilisateur. Veuillez vous rappelez de fournir les mots de passe
correspondants.
· Fichiers - Lors de la configuration du miroir, vous pouvez spécifier les versions linguistiques des mises à jour
que vous souhaitez télécharger. Les langues sélectionnées doivent être prises en charge par le serveur du
miroir configuré par l'utilisateur.
Serveur HTTP
· Port du serveur - Par défaut, le port du serveur est défini à 2221.
185
· Authentification - Définit la méthode d'authentification utilisée pour accéder aux fichiers de mise à jour. Les
options suivantes sont disponibles : Aucune, Basique et NTLM.
Sélectionnez Basique pour utiliser le chiffrage base64 avec l'authentification de base à l'aide du nom d'utilisateur
et du mot de passe.
L'option NTLM fournit un chiffrage utilisant une méthode d'encodage fiable. L'utilisateur créé sur le poste de
travail partageant les fichiers de mise à jour sera utilisé pour l'authentification. L'option par défaut est AUCUNE.
Elle autorise l'accès aux fichiers des mises à jour sans exiger d'authentification.
SSL pour serveur HTTP
· Ajoutez-le à votre Fichier de chaîne du certificat ou générez un certificat autosigné si vous voulez utiliser un
serveur HTTP prenant HTTPS (SSL) en charge. Les types de certificats suivants sont offerts : PEM, PFX et ASN.
Pour plus de sécurité, vous pouvez utiliser le protocole HTTPS pour télécharger les fichiers de mise à jour. Il est
presque impossible de retracer les transferts de données et les informations d'identification lorsque ce
protocole est utilisé.
· L'option Type de clé privée est mise à Intégré par défaut (le Fichier de clé privée est donc désactivé par
défaut). Cela signifie que la clé privée fait partie du fichier de chaîne de certificat sélectionné.
Se connecter au réseau local comme
· Type d'utilisateur local - Les paramètres de Compte système (par défaut), Utilisateur actuel et Spécifier un
utilisateur s'afficheront dans les menus déroulants correspondants. Le Nom d'utilisateur et le Mot de passe
sont facultatifs. Voir Connexion au réseau local comme.
· Sélectionnez Déconnecter du serveur après la mise à jour pour forcer la déconnexion si la connexion au
serveur reste active même après le téléchargement des mises à jour.
Mise à jour de composant du programme
· Mise à jour automatique d'un composant - Permet d’installer de nouvelles fonctionnalités et d’effectuer la
mise à jour des fonctionnalités existantes. Une mise à jour peut s'effectuer sans intervention de l'utilisateur ou
après notification de ce dernier. Le redémarrage d'un ordinateur peut être exigé après la mise à jour des
composants du programme.
· Mettre le composant à jour maintenant - Met à jour les composants du programme à l'aide de la dernière
version.
4.3.5.1 Mise à jour à partir du miroir
Il existe deux méthodes de base pour configurer un miroir, qui est essentiellement un référentiel où les clients
peuvent télécharger les fichiers de mise à jour. Le dossier contenant les fichiers de mise à jour peut être vu comme
un dossier réseau partagé ou comme un serveur HTTP.
Accès au miroir au moyen d'un serveur HTTP interne
La configuration par défaut, indiquée dans la configuration prédéfinie du programme. Pour accéder au miroir à
l'aide du serveur HTTP, allez à Configuration avancée (F5) > Mises à jour > Profils > Miroir et sélectionnez Créer un
miroir de mise à jour.
Dans la section Serveur HTTP de l'onglet Miroir, vous pouvez préciser le Port du serveur où le serveur HTTP
écoutera, ainsi que le type d'Authentification utilisé par le serveur HTTP. Ce port est configuré, par défaut, à 2221.
L'option Authentification définit la méthode d'authentification utilisée pour accéder aux fichiers de mise à jour. Les
options suivantes sont disponibles : Aucune, Basique et NTLM.
· Sélectionnez Basique pour utiliser le chiffrage base64 avec l'authentification de base à l'aide du nom d'utilisateur
et du mot de passe.
· L'option NTLM fournit un chiffrage utilisant une méthode d'encodage fiable. L'utilisateur créé sur le poste de
travail partageant les fichiers de mise à jour sera utilisé pour l'authentification.
· L'option par défaut est Aucune. Elle autorise l'accès aux fichiers des mises à jour sans exiger d'authentification.
186
AVERTISSEMENT
L'accès aux fichiers de mise à jour à l'aide du serveur HTTP exige que le dossier miroir soit sur le même
ordinateur que l'instance de ESET Mail Security qui l'a créé.
SSL pour serveur HTTP
Ajoutez-le à votre Fichier de chaîne du certificat ou générez un certificat autosigné si vous voulez utiliser un serveur
HTTP prenant HTTPS (SSL) en charge. Les types de certificats suivants sont offerts : PEM, PFX et ASN. Pour plus de
sécurité, vous pouvez utiliser le protocole HTTPS pour télécharger les fichiers de mise à jour. Il est presque
impossible de retracer les transferts de données et les informations d'identification lorsque ce protocole est
utilisé. Le Type de clé privée est réglé à Intégré par défaut, ce qui veut dire que la clé privée fait partie du fichier de
chaîne du certificat sélectionné.
REMARQUE
Une erreur Nom d'utilisateur ou mot de passe non valide apparaitra dans l'onglet Mettre à jour du menu
principal après plusieurs tentatives infructueuses de mise à jour, depuis le miroir, de la base de données des
signatures de virus. Nous vous recommandons d'accéder à Configuration avancée (F5) > Mise à jour > Profils >
Miroir et de vérifier le nom d'utilisateur et le mot de passe. La cause la plus courante de cette erreur est une
mauvaise saisie des données d'authentification.
Après la configuration de votre serveur miroir, vous devez ajouter le nouveau serveur de mise à jour sur les stations
de travail client. Pour ce faire, suivez les étapes indiquées ci-dessous :
1. Accédez à la Configuration avancée (touche F5) et cliquez sur Mise à jour > Profils > Basique.
2. Désélectionnez Choisir automatiquement et ajoutez un nouveau serveur au champ Mettre à jour le serveur en
utilisant l'un des formats suivants :
http://adresse_IP_de_votre_serveur:2221
https://adresse_IP_de_votre_serveur:2221 (si SSL est utilisé)
187
Accès au miroir par le partage des systèmes
Un dossier partagé doit d'abord être créé sur un lecteur local ou réseau. Lors de la création du dossier pour le miroir,
il est nécessaire d'octroyer le droit d'« écriture » à l'utilisateur qui va sauvegarder les fichiers dans le dossier et le
droit de « lecture » aux utilisateurs qui vont utiliser le dossier miroir pour la mise à jour d'ESET Mail Security.
Configurez ensuite l'accès au miroir dans Configuration avancée > Mise à jour> Profils > Miroir en désactivant
l'option Fournir les fichiers de mise à jour par l’intermédiaire d'un serveur HTTP interne. Cette option est activée
par défaut lors de l'installation du programme.
Si le dossier partagé se trouve sur un autre ordinateur du réseau, vous devez saisir des données d'authentification
pour accéder à l'autre ordinateur. Pour saisir les données d'authentification, ouvrez ESET Mail Security Configuration
avancée (touche F5) et cliquez sur Mise à jour > Profils > Se connecter au réseau local comme. Ce paramètre est le
même que celui de la mise à jour, comme décrit dans la section Se connecter au réseau local comme.
Une fois la configuration du miroir terminée, définissez sur les postes de travail \UNC\PATH comme serveur de
mise à jour en suivant les étapes suivantes :
1. Accédez à la Configuration avancée dans ESET Mail Security (touche F5) et cliquez sur Mise à jour > Profils >
Basique.
2. Cliquez sur Mettre à jour le serveur et ajoutez un nouveau serveur en utilisant le format \\UNC\PATH.
REMARQUE
Pour un fonctionnement correct des mises à jour, le chemin du dossier miroir doit être précisé comme chemin
UNC. Les mises à jour à partir de lecteurs mappés pourraient ne pas fonctionner.
La dernière section contrôle les composants du programme. Par défaut, les composants de programme ayant été
téléchargés seront préparés pour ensuite être copiés sur le miroir local. Si l'option Mettre à jour les composants du
programme est cochée, il n'est pas nécessaire de cliquer sur Mise à jour, car les fichiers seront automatiquement
copiés sur le miroir local lorsqu'ils seront disponibles. Consultez la section Mode de mise à jour pour plus de détails
sur les mises à jour des composants du programme.
4.3.5.2 Fichiers miroirs
Liste des fichiers des composants du programme disponibles et localisés.
4.3.5.3 Résolution des problèmes de miroir de mise à jour
Dans la plupart des cas, les problèmes lors d'une mise à jour depuis un serveur miroir découlent d'une ou de
plusieurs des causes suivantes : une mauvaise spécification des options du dossier miroir, des données
d'authentification incorrectes pour l'accès au dossier miroir, une mauvaise configuration des postes de travail qui
cherchent à télécharger des fichiers de mise à jour du miroir ou une combinaison de ces raisons. Nous donnons cidessous un aperçu des problèmes les plus fréquents qui peuvent se produire lors d'une mise à jour depuis le
miroir :
· ESET Mail Security signale une erreur de connexion au serveur miroir - Probablement causée par un serveur de
mise à jour incorrect (chemin réseau du dossier miroir) à partir duquel les postes de travail locaux téléchargent
les mises à jour. Pour vérifier le dossier, cliquez sur Démarrer puis sur Exécuter avant d'entrer le nom du dossier
et de cliquer sur OK. Le contenu du dossier doit s'afficher.
· ESET Mail Security exige un nom d'utilisateur et un mot de passe - Probablement causée par l'entrée, dans la
section mise à jour, de données d'authentification incorrectes (Nom d'utilisateur et Mot de passe). Le nom
d'utilisateur et le mot de passe donnent accès au serveur de mise à jour, à partir duquel le programme se
télécharge. Assurez-vous que les données d'authentification sont correctes et entrées dans le bon format. Par
exemple, Domaine/Nom d'utilisateur ou Groupe de travail/nom d'utilisateur, en plus des mots de passe
correspondants. Si le serveur miroir est accessible à « Tous », cela ne veut pas dire que tout utilisateur est
autorisé à y accéder. « Tous » ne veut pas dire tout utilisateur non autorisé, cela veut tout simplement dire que le
dossier est accessible à tous les utilisateurs du domaine. Par conséquent, si le dossier est accessible à « Tous », un
nom d'utilisateur du domaine et un mot de passe sont toujours nécessaires et doivent être entrés dans la
configuration des mises à jour.
188
· ESET Mail Security signale une erreur de connexion au serveur miroir - Le port de communication défini pour
l'accès au miroir par HTTP est bloqué.
4.4 Web et courriel
La section Web et messagerie permet de configurer la Protection du client de messagerie, de protéger vos
communications Internet à l'aide de la Protection de l'accès Web et de contrôler les protocoles Internet en
configurant le Filtrage des protocoles. Ces fonctionnalités sont essentielles pour protéger votre ordinateur lorsqu'il
communique par Internet.
La protection du client de messagerie contrôle toute la communication par courriel, protège contre le code
malveillant et vous permet de choisir l'action à prendre lorsqu'une infection est détectée.
La protection de l'accès Web surveille les communications entre les navigateurs Web et les serveurs distants,
conformément aux règles des protocoles HTTP et HTTPS. Cette fonctionnalité vous permet également de bloquer,
d'autoriser ou d'exclure certaines adresses URL.
Le Filtrage des protocoles offre une protection évoluée pour les protocoles d'application et est fourni par le moteur
d'analyse ThreatSense. Il fonctionne automatiquement, indépendamment du navigateur Web ou du client de
messagerie utilisé. Il fonctionne aussi pour les communications chiffrées (SSL/TLS).
REMARQUE
Sous Windows Server 2008, Windows Server 2008 R2, Small Business Server 2008 et Small Business Server 2011,
l'installation du composant Web et messagerie est désactivée par défaut. Pour installer cette fonctionnalité,
sélectionnez Personnalisé comme type d'installation. Si ESET Mail Security est déjà installé, vous pouvez
exécuter le programme d'installation de nouveau pour modifier l'installation existante en ajoutant le
composant Web et messagerie.
4.4.1 Filtrage des protocoles
La protection antivirus pour les protocoles d'application est fournie par le moteur d'analyse ThreatSense qui intègre
plusieurs techniques d'analyse avancée des logiciels malveillants. Le filtrage de protocole fonctionne
automatiquement, indépendamment du navigateur Internet ou du client de messagerie utilisé. Si le filtrage du
protocole est activé, ESET Mail Security vérifiera les communications qui utilisent le protocole SSL/TLS, accédez à
Web et messagerie > SSL/TLS.
· Activer le filtrage du contenu des protocoles d'application - peut être utilisé pour désactiver le filtrage de
protocole. Veuillez noter que beaucoup de composants de ESET Mail Security (protection de l'accès Web,
protection des protocoles de courriel et antihameçonnage) dépendent de cette option pour fonctionner.
· Applications exclues - Permet d'exclure des applications spécifiques du filtrage de protocole. Cliquez sur
Modifier pour les sélectionner dans la liste des applications.
· Adresses IP exclues - permet d'exclure des adresses distantes spécifiques du filtrage de protocole.
REMARQUE
Les exclusions sont utiles lorsque le filtrage de protocole crée des problèmes de compatibilité.
189
4.4.1.1 Applications exclues
Pour exclure du filtrage de contenu les communications envoyées par certaines applications sensibles au réseau,
vous devez le sélectionner dans la liste. Les communications envoyées par ces applications par l'entremise des
protocoles HTTP ou POP3 ne seront pas vérifiées pour savoir si elles contiennent des menaces.
IMPORTANT
Il est recommandé de n'utiliser cette option que pour les applications qui ne fonctionnent pas bien lorsque la
communication fait l'objet d'une vérification.
Les fonctions suivantes sont disponibles :
· Ajouter - afficher les applications et les services déjà concernés par le filtrage de protocole.
· Modifier les applications sélectionnées de la liste.
· Supprimer les applications sélectionnées de la liste.
4.4.1.2 Adresses IP exclues
Les adresses IP dans cette liste seront exclues du filtrage du contenu des protocoles. Les communications envoyées
à ces adresses ou reçues de celles-ci par le protocole HTTP/POP3/IMAP ne seront pas vérifiées pour savoir si elles
contiennent des menaces.
IMPORTANT
Il est recommandé de n'utiliser cette option que pour les adresses reconnues comme fiables.
Les fonctions suivantes sont disponibles :
· Ajouter - ajouter une adresse IP, une plage d'adresses ou un sous-réseau d'un point distant auquel la règle doit
être appliquée.
Lorsque vous sélectionnez Entrer plusieurs valeurs, vous pouvez ajouter plusieurs adresses IP séparées par de
nouvelles lignes, des virgules ou des points virgules. Lorsqu'un choix multiple est activé, les adresses sont affichées
dans la liste des adresses IP exclues.
· Modifier - modifier l'adresse IP sélectionnée.
· Supprimer - supprimer les adresses IP sélectionnées de la liste.
4.4.1.3 Clients Web et de messagerie
En raison du nombre considérable de programmes malveillants qui circulent sur Internet, la sécurisation de la
navigation sur Internet est un aspect très important de la protection des ordinateurs. Les faiblesses des navigateurs
Web et les liens frauduleux contribuent à faciliter l'accès inaperçu des programmes malveillants au système. C'est
pour cette raison que ESET Mail Security se concentre sur la sécurité des navigateurs Web. Chaque application qui
accède au réseau peut être indiquée comme étant un navigateur Internet. Les applications qui utilisent déjà des
protocoles de communication ou une application du chemin sélectionné peuvent être ajoutées à la liste Web et
clients de messagerie.
REMARQUE
Présentée la première fois dans Windows Vista Service Pack 1 puis dans Windows Server 2008, la nouvelle
architecture de plateforme de filtrage (WFP, Windows Filtering Platform) est utilisée pour vérifier les
communications réseau. Comme la technologie WFP utilise des techniques de surveillance spéciales, la section
Clients Web et messagerie n'est pas disponible.
190
4.4.2 SSL/TLS
ESET Mail Security est capable de vérifier les menaces dans les communications utilisant le protocole SSL/TLS. Vous
pouvez utiliser différents modes d'analyse pour les communications protégées par SSL à l'aide des certificats
fiables, des certificats inconnus ou des certificats exclus de la vérification des communications protégées par SSL.
Activer le filtrage au niveau du protocole SSL/TLS - Si le filtrage au niveau du protocole est désactivé, le programme
n'analysera pas les communications SSL/TLS.
Le mode de filtrage au niveau du protocole SSL/TLS offre les options suivantes :
· Mode automatique - Sélectionnez cette option pour analyser toutes les communications protégées par SSL/
TLS à l'exception des communications protégées par des certificats exclus de la vérification. Si une nouvelle
communication utilisant un certificat signé, mais inconnu est établie, vous n'en serez pas avisé et la
communication sera automatiquement filtrée. Lorsque vous accédez à un serveur en utilisant un certificat
non fiable indiqué comme étant fiable (ajouté à la liste des certificats fiables), la communication avec le
serveur est permise et le contenu du canal de communication est filtré.
· Mode interactif - Si vous entrez un nouveau site protégé par SSL/TLS (avec un certificat inconnu), une boîte de
dialogue dans laquelle vous pouvez sélectionner une action s'affiche. Ce mode permet de créer une liste de
certificats SSL/TLS qui seront exclus de l'analyse.
Liste des certificats connus - Vous permet de personnaliser le comportement de ESET Mail Security pour des
certificats SSL spécifiques.
Bloquer les communications chiffrées à l'aide du protocole obsolète SSL v2 - Les communications utilisant la version
antérieure du protocole SSL sont automatiquement bloquées.
Certificat racine - Pour que les communications SSL/TLS fonctionnent correctement dans vos navigateurs/clients de
messagerie, il est essentiel d'ajouter le certificat racine pour ESET à la liste des certificats racines connus (éditeurs).
L'option Ajouter le certificat racine aux navigateurs connus devrait être activée. Activez cette option pour ajouter
automatiquement le certificat racine ESET aux navigateurs connus (par ex., Opera et Firefox). Pour les navigateurs
utilisant la boutique de certification de système, le certificat sera automatiquement ajouté (par ex., Internet
Explorer).
Pour appliquer le certificat à des navigateurs non pris en charge, cliquez sur Afficher le certificat > Détails > Copier
dans un fichier..., puis importez-le manuellement dans le navigateur.
Validité du certificat
Si le certificat ne peut pas être vérifié à l'aide du magasin de certificats TRCA - Dans certains cas, le certificat d'un
site Web ne peut être vérifié à l'aide du magasin de certificats Autorités de certification racines de confiance
(TRCA). Cela veut dire que le certificat a été signé automatiquement par une personne (l'administrateur d'un
serveur Web ou d'une petite entreprise par exemple), et considérer ce certificat comme étant un certificat fiable ne
présente pas toujours un risque. Bon nombre de grandes entreprises (les banques, par ex.) utilisent un certificat
signé par le TRCA. Si l'option Interroger sur la validité du certificat (valeur par défaut) est sélectionnée, l'utilisateur
sera invité à sélectionner une action à prendre lorsqu'une communication chiffrée est établie. Vous pouvez
sélectionner Bloquer toute communication utilisant le certificat afin de toujours mettre fin aux connexions
chiffrées vers des sites utilisant des certificats non vérifiés.
Si le certificat est non valide ou altéré, cela signifie qu'il est expiré ou a été signé de façon incorrecte. Dans un tel
cas, il est recommandé de quitter Bloquer la communication qui utilise le certificat sélectionné.
191
4.4.2.1 Communication SSL chiffrée
Si votre système est configuré pour utiliser l'analyse du protocole SSL, une fenêtre de dialogue vous invitant à
choisir une action s'affichera dans deux situations :
Premièrement, si un site utilise un certificat invérifiable ou non valide, et que ESET Mail Security est configuré pour
demander l'avis de l'utilisateur dans de tels cas (par défaut oui pour les certificats invérifiables et non pour les
certificats non valides), une boîte de dialogue vous demandera d'autoriser ou de bloquer la connexion.
Deuxièmement, si le Mode de filtrage du protocole SSL est réglé sur le Mode interactif, une boîte de dialogue pour
chaque site vous demandera si vous voulez Analyser ou Ignorer le trafic. Certaines applications vérifient que leur
trafic SSL n'est ni modifié ni consulté par quiconque; dans de tels cas ESET Mail Security doit ignorer ce trafic pour
que l'application continue de fonctionner.
Dans les deux cas, l'utilisateur peut choisir de mémoriser l'action sélectionnée. Les actions sont enregistrées dans
la Liste des certificats connus.
4.4.2.2 Liste des certificats connus
La liste des certificats connus peut être utilisée pour personnaliser le comportement de ESET Mail Security pour des
certificats SSL/TSL spécifiques et pour se rappeler des actions choisies si le mode interactif est sélectionné comme
mode de filtrage du protocole SSL/TSL. La liste peut être consultée et gérée en cliquant sur Modifier situé à côté de
Liste des certificats connus.
Vous pouvez choisir l'une des actions suivantes :
· Ajouter - Ajouter un certificat à partir de l'URL ou du fichier.
· Modifier - Sélectionnez le certificat que vous souhaitez configurer et cliquez sur Modifier.
· Retirer - Sélectionnez le certificat que vous souhaitez supprimer et cliquez sur Supprimer.
192
Une fois que vous êtes dans la fenêtre Ajouter un certificat, cliquez sur le bouton URL ou Fichier et indiquez l'URL du
certificat ou recherchez un fichier de certificat. Les champs suivants seront automatiquement remplis en utilisant
les données du certificat :
· Nom du certificat - Le nom du certificat.
· Émetteur du certificat - Nom du créateur du certificat.
· Objet du certificat - Le champ Objet du certificat identifie l'entité associée à la clé publique stockée dans le
champ d'objet de clé publique.
Options que vous pouvez configurer :
· Sélectionnez Autoriser ou Bloquer comme Action d'accès pour autoriser ou bloquer toute communication
sécurisée par ce certificat indépendamment de sa fiabilité. Sélectionnez Auto pour autoriser les certificats fiables
et demander l'action à entreprendre pour les certificats non fiables. Sélectionnez Demander pour recevoir une
invite lorsqu'un certificat spécifique est détecté.
· Sélectionnez Analyser ou Ignorer comme Action d'analyse pour analyser ou ignorer toute communication
sécurisée par ce certificat. Sélectionnez Auto pour activer le mode d'analyse automatique et demander l'action à
entreprendre en mode interactif. Sélectionnez Demander pour recevoir une invite lorsqu'un certificat spécifique
est détecté.
Cliquez sur OK pour enregistrer vos modifications ou cliquez sur Annuler pour quitter sans les enregistrer.
193
4.4.3 Protection du client de messagerie
L'intégration de ESET Mail Security dans les clients de messagerie, augmente le niveau de protection active contre le
code malveillant dans les courriels. Si votre client de messagerie est pris en charge, l'intégration peut être activée
dans ESET Mail Security. Lorsque l'intégration est activée, la barre d'outils de ESET Mail Security est insérée
directement dans le client de messagerie (la barre d'outils des versions plus récentes de Windows Live Mail n'est
pas insérées), permettant une protection plus efficace des courriels. Les paramètres d'intégration sont situés sous
Configuration > Configuration avancée > Web et courriel > Protection des clients de messagerie > Clients de
messagerie.
Intégration des clients de messagerie
Les clients de messagerie actuellement pris en charge sont Microsoft Outlook, Outlook Express, Windows Mail et
Windows Live Mail. La protection de la messagerie fonctionne comme un plugiciel pour ces programmes. L'avantage
principal du plugiciel est qu'il est indépendant du protocole utilisé. Ainsi, quand un client de messagerie reçoit un
message chiffré, il le déchiffre et l'envoie à l'analyseur de virus. Pour obtenir la liste complète des clients de
messagerie et de leurs versions pris en charge, reportez-vous à l'article suivant de la Base de connaissances.
Même si l'intégration n'est pas activée, la communication par courriel est tout de même protégée par le module de
protection du client de messagerie (POP3, IMAP).
Activez l'option Désactiver la vérification au changement de contenu de la boîte de réception si vous constatez un
ralentissement du système lors de l'utilisation du client de messagerie (MS Outlook uniquement). Cela peut se
produire au moment de récupérer un courriel du Kerio Outlook Connector Store.
Courriels à analyser
Courriel reçu - Active ou désactive la vérification des messages reçus.
Courriel envoyé - Active ou désactive la vérification des messages envoyés.
Courriel lu - Active ou désactive la vérification des messages lus.
Action à effectuer sur les courriels infectés
Aucune action - Si cette option est activée, le programme identifiera les fichiers joints infectés, les laissera les
courriels tels quels et n'effectuera aucune action.
Supprimer les messages - Le programme avertit l'utilisateur à propos des infiltrations et supprime le message.
Déplacer le message vers le dossier Éléments supprimés - Les courriels infectés seront automatiquement déplacés
vers le dossier Éléments supprimés.
Déplacer le courriel vers le dossier - Les courriels infectés seront automatiquement déplacés vers le dossier
indiqué.
Dossier - Indiquez le dossier personnalisé dans lequel vous voulez placer les courriels infectés lorsqu'ils sont
détectés.
Répéter l'analyse après la mise à jour - Active ou désactive la nouvelle analyse après la mise à jour de la banque de
données de virus.
Accepter les résultats d'analyse des autres modules - Si cette option est activée, le module de protection des
courriels accepte les résultats d'analyse des autres modules de protection (analyse des protocoles POP3, IMAP).
194
4.4.3.1 Protocoles de courriel
Activer la protection du courriel par filtrage de protocole -Les protocoles IMAP et POP3 sont les protocoles les plus
utilisés pour recevoir une communication par courriel dans une application client de messagerie. ESET Mail Security
fournit une protection pour ces protocoles indépendamment du client de messagerie utilisé.
ESET Mail Security prend également en charge l'analyse des protocoles IMAPS et POP3S qui utilisent un canal chiffré
pour transférer des données entre un serveur et un client. ESET Mail Security vérifie les communications utilisant
les protocoles SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme analysera uniquement le
trafic sur les ports définis dans Ports utilisés par le protocole IMAP/POP3, indépendamment de la version du
système d'exploitation.
Configuration de l'analyseur IMAPS /POP3S - Les communications chiffrées ne seront pas analysées lorsque les
paramètres par défaut sont utilisés. Pour activer l'analyse de la communication chiffrée, accédez à Vérification du
protocole SSL/TLS.
Le numéro de port identifie le type de port dont il s'agit. Voici les ports de courriels par défaut pour :
Nom du port
Numéros de port
Description
Protocole POP3
110
Port non chiffré POP3 par défaut.
IMAP
143
Port non chiffré IMAP par défaut.
IMAP sécurisé (IMAP4- 585
SSL)
Activer le filtrage du protocole SSL/TLS. Les numéros de ports multiples
doivent être séparés par des virgules.
IMAP4 sur SSL (IMAPS) 993
Activer le filtrage du protocole SSL/TLS. Les numéros de ports multiples
doivent être séparés par des virgules.
POP3 sécurisé (SSLPOP)
Activer le filtrage du protocole SSL/TLS. Les numéros de ports multiples
doivent être séparés par des virgules.
995
4.4.3.2 Alertes et notifications
La protection de la messagerie offre le contrôle de la communication par courriel effectuée par l'entremise des
protocoles POP3 et IMAP. À l'aide du plugiciel pour Microsoft Outlook et d'autres clients de messagerie, ESET Mail
Security assure le contrôle de toutes les communications utilisant le client de messagerie (POP3, MAPI, IMAP,
HTTP). Lorsqu'il examine les messages entrants, le programme utilise toutes les méthodes d'analyse avancée
offertes par le moteur d'analyse ThreatSense. Cela signifie que la détection des programmes malveillants a lieu
avant même que s'effectue la comparaison avec la banque de données de virus. L'analyse des communications par
l'entremise des protocoles POP3 et IMAP est indépendante du client de messagerie utilisé.
Vous pouvez configurer les options de cette fonctionnalité dans Configuration avancée sous Web et courriel >
Protection du client de messagerie > Alertes et notifications.
Paramètres ThreatSense - La configuration avancée de l'analyseur de virus permet de configurer les cibles à
analyser, les méthodes de détection, etc. Cliquez pour afficher la fenêtre de configuration détaillée de l'analyseur
de virus.
Après la vérification d'un courriel, une notification avec le résultat de l'analyse peut être ajoutée au message. Vous
pouvez sélectionner Ajouter une note aux courriels reçus et lus, Ajouter une note à l'objet des courriels infectés
reçus et lus ou Ajouter une note aux messages envoyés. Sachez cependant qu'en de rares occasions, les étiquettes
de message peuvent être omises dans des messages HTML problématiques ou si le message a été falsifié par des
logiciels malveillants. Les étiquettes peuvent être ajoutées aux courriels reçus et lus, aux courriels envoyés ou les
deux. Les options disponibles sont les suivantes :
· Jamais - Aucune étiquette de message ne sera ajoutée.
· Courriels infectés uniquement - Seuls les messages contenant des logiciels malveillants seront marqués comme
vérifiés (par défaut).
· Tout courriel analysé - Le programme ajoutera des messages à tout courriel analysé.
195
Ajouter une note à l'objet des messages infectés envoyés - Désactivez cette option si vous voulez que la protection
de la messagerie ajoute un message d'avertissement de virus dans l'objet des courriels infectés. Cette
fonctionnalité permet un filtrage simple, selon l'objet, des courriels infectés (si ce filtrage est pris en charge par le
programme de messagerie). Elle augmente le niveau de crédibilité du destinataire et, en cas de détection d'une
infiltration, fournit des données précieuses sur le niveau de menace d'un courriel ou d'un expéditeur donné.
Modèle ajouté à l'objet d'un message infecté - Modifier ce modèle si vous voulez modifier le format du préfixe
d'objet d'un courriel infecté. Cette fonction remplacera l'objet du message « Allo » par une valeur de préfixe
donnée « [virus] » dans le format suivant : « [virus] Allo ». La variable %VIRUSNAME% représente la menace
détectée.
4.4.3.3 Barre d’outils MS Outlook
La protection de Microsoft Outlook fonctionne comme un plugiciel. Une fois ESET Mail Security installé, cette barre
d'outils contenant les options du module antivirus est ajoutée à Microsoft Outlook :
ESET Mail Security - Cliquez sur l'icône pour ouvrir la fenêtre de programme principale de ESET Mail Security.
Analyser à nouveau les messages - Permet de lancer une vérification manuelle du courriel. Vous pouvez préciser les
messages à analyser et activer la nouvelle analyse des messages reçus. Pour en savoir plus, voir la section
Protection du client de messagerie.
Configuration de l'analyseur - Affiche les options de configuration de la Protection du client de messagerie.
4.4.3.4 Barre d'outils Outlook Express et Windows Mail
La protection pour Outlook Express et Windows Mail fonctionne comme un plugiciel. Une fois ESET Mail Security
installé, cette barre d'outils contenant les options du module antivirus est ajoutée à Outlook Express ou à Windows
Mail :
- Cliquez sur l'icône pour ouvrir la fenêtre de programme principale de ESET Mail Security.
Analyser à nouveau les messages - Permet de lancer une vérification manuelle du courriel. Vous pouvez préciser les
messages à analyser et activer la nouvelle analyse des messages reçus. Pour plus d'information, voir Protection du
client de messagerie.
Configuration de l'analyseur - Affiche les options de configuration de la Protection du client de messagerie.
Interface utilisateur
Personnaliser l'apparence - Vous pouvez modifier l'apparence de la barre d'outils pour votre client de messagerie.
Désactivez cette option pour personnaliser l'apparence indépendamment des paramètres du programme de
messagerie.
Afficher le texte - Affiche les descriptions des icônes.
Texte à droite - Les descriptions des options sont déplacées du bas vers le côté droit des icônes.
Grandes icônes - Affiche des icônes de plus grande taille pour les options de menu.
4.4.3.5 Boîte de dialogue de confirmation
Cette notification permet de vérifier que l'utilisateur veut vraiment exécuter l'action sélectionnée, ce qui devrait
éliminer des erreurs possibles. La boîte de dialogue offre également la possibilité de désactiver les confirmations.
196
4.4.3.6 Analyser à nouveau les messages
La barre d'outils de ESET Mail Security intégrée dans les clients de messagerie permet aux utilisateurs de préciser
plusieurs options pour la vérification du courriel. L'option Analyser à nouveau les messages offre deux modes
d'analyse :
Tous les messages du dossier en cours - Analyse les messages dans le dossier actuellement affiché.
Messages sélectionnés uniquement - Analyse uniquement les messages marqués par l'utilisateur.
Réanalyser les messages déjà analysés - Offre à l'utilisateur une option permettant d'effectuer une autre analyse
sur les messages ayant déjà été analysés.
4.4.4 Protection de l'accès Web
La protection de l'accès Web utilise la surveillance des communications entre les navigateurs Internet et des
serveurs distants afin de vous protéger contre les menaces en ligne, conformément aux règles des protocoles HTTP
et HTTPS (communications chiffrées).
L'accès aux pages Web contenant des programmes malveillants est bloqué avant que le contenu ne soit téléchargé.
Toutes les autres pages Web sont analysées par le moteur ThreatSense lorsqu'elles sont chargées et bloquées en
cas de détection de contenu malveillant. La protection de l'accès Web offre deux niveaux de protection : le blocage
selon la liste noire et le blocage selon le contenu.
Il est fortement recommandé de garder la protection de l'accès Web activée. Les options suivantes sont disponibles
dans Configuration avancée (touche F5) > Web et courriel > Protection de l'accès Web :
· Basique - Permet d'activer ou de désactiver la protection de l'accès Web. Une fois désactivée, les options
suivantes seront inactives.
Protocoles Web - Permettent de configurer la surveillance de ces protocoles standards qui sont utilisés par la
plupart des navigateurs Internet.
Par défaut, ESET Mail Security est configuré pour surveiller le protocole HTTP utilisé par la plupart des
navigateurs Internet.
REMARQUE
Dans Windows Vista et les versions ultérieures, le trafic HTTP est toujours surveillé sur tous les ports pour
toutes les applications. Dans Windows XP/2003, vous pouvez modifier les ports utilisés par le protocole HTTP
dans Configuration avancée (touche F5) > Web et courriel > Protection de l'accès Web > Protocoles Web >
Configuration de l'analyseur HTTP. Le trafic HTTP est surveillé sur les ports indiqués pour toutes les
applications et sur tous les ports pour les applications marquées comme Web et clients de messagerie.
ESET Mail Security prend en charge le contrôle de protocole HTTPS. La communication HTTPS utilise un canal
chiffré pour transférer des données entre un serveur et un client. ESET Mail Security vérifie les communications à
l'aide des méthodes de chiffrement SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme
analysera uniquement le trafic sur les ports définis dans Ports utilisés par le protocole HTTPS, indépendamment
de la version du système d'exploitation.
Les communications chiffrées ne seront pas analysées lorsque les paramètres par défaut sont utilisés. Pour
activer l'analyse des communications chiffrées, allez à Vérification du protocole SSL dans Configuration avancée
(F5), cliquez sur Web et messagerie > Vérification du protocole SSL et sélectionnez Activer le filtrage du
protocole SSL.
· Gestion d'adresses URL - Permet de préciser les adresses HTTP à bloquer, à autoriser ou à exclure de la
vérification.
· Paramètre ThreatSense - Permet de configurer des paramètres tels que les types d'analyse (courriels, archives,
exclusions, limites, etc.) et les méthodes de détection pour la protection d'accès Web.
197
4.4.4.1 De base
Choisissez si vous voulez activer (par défaut) ou désactiver Protection de l'accès Web. Une fois désactivée, les
options suivantes seront inactives.
REMARQUE
Il est fortement recommandé de laisser la protection de l'accès Web activée. Vous pouvez aussi accéder à cette
option à partir de la fenêtre principale de ESET Mail Security. Allez à Configuration > Ordinateur > Protection de
l'accès Web.
4.4.4.2 Gestion des adresses URL
La gestion des adresses URL vous permet d'indiquer les adresses HTTP à bloquer, à autoriser ou à exclure de la
vérification. Cliquez sur Modifier pour créer un nouvelle liste en plus de celles prédéfinies. Cette option peut être
utile si vous souhaitez séparer logiquement différents groupes d'adresses.
EXEMPLE
Une liste des adresses bloquées peut contenir des adresses d'une liste noire publique externe quelconque et
une seconde peut contenir votre propre liste noire, ce qui rend plus facile la mise à jour de la liste externe tout
en gardant la vôtre intact.
· Les sites Web de la liste des adresses bloquées ne seront pas accessibles, sauf s'ils sont également inclus dans
la liste des adresses autorisées.
· Les sites Web de la liste des adresses exclues de la vérification ne sont pas analysés à la recherche de
programmes malveillants lorsqu'un utilisateur y accède.
Filtrage au niveau du protocole SSL/TLS doit être activé si vous voulez filtrer les adresses HTTPS en plus des pages
Web HTTP. Sinon, seuls les domaines des sites HTTPS que vous avez visités seront ajoutés, l'URL complète ne le sera
pas.
Dans toutes les listes, vous pouvez utiliser les symboles spéciaux * (astérisque) et ? (point d'interrogation) peuvent
être utilisés. L'astérisque représente un nombre ou un caractère, tandis que le point d'interrogation représente un
caractère quelconque. Vous devez faire attention lorsque vous indiquez les adresses exclues, car la liste ne doit
contenir que des adresses sûres et fiables. De même, assurez-vous d'employer correctement les symboles * et ?
dans cette liste.
REMARQUE
Si vous voulez bloquer toutes les adresses HTTP à l'exception des adresses indiquées dans la Liste des adresses
autorisées, ajoutez * à la Liste des adresses bloquées active.
4.4.4.2.1 Créer une liste
Vous pouvez créer une nouvelle liste en plus des listes d'adresses prédéfinies. La liste inclut les adresses URL ou les
masques de domaine désirés qui seront bloqués, autorisés ou exclus de la vérification. Lors de la création d'une
nouvelle liste, vous devez spécifier les éléments suivants :
· Type de liste d'adresses - Choisissez le type (Exclus de la vérification, Bloqués ou Autorisés) dans la liste
déroulante.
· Nom de la liste - Précisez le nom de la liste. Ce champ sera grisé lors de la modification de l'une des trois listes
prédéfinies.
· Description de la liste - Entrez une brève description de la liste (facultatif). Sera grisé lors de la modification de
l'une des trois listes prédéfinies.
· Liste active - utilisez le commutateur pour désactiver la liste. Vous pouvez l'activer plus tard si nécessaire.
· Notifier lors de la demande - Si vous voulez être informé lorsqu'une liste en particulier est utilisée dans
l'évaluation d'un site HTTP que vous avez visité, sélectionnez cette option.
198
EXEMPLE
Une notification sera émise si un site est bloqué ou autorisé parce qu'il est inclus dans la liste des adresses
bloquées ou autorisées. La notification contient le nom de la liste contenant le site spécifié.
Cliquez sur bouton Ajouter pour spécifier l'URL ou le masque de domaine. Sélectionnez une adresse dans la liste et
cliquez sur Supprimer pour la supprimer. Cliquez sur Modifier pour apporter des modifications à une entrée
existante.
REMARQUE
Seules les listes d'adresses personnalisées peuvent être supprimées.
ESET Mail Security permet à l'utilisateur de bloquer l'accès à des sites Web particuliers et d'empêcher le navigateur
Internet d'en afficher le contenu. Qui plus est, il permet à l'utilisateur de préciser des adresses à exclure de la
vérification. Si l'utilisateur ignore le nom complet du serveur distant ou s'il souhaite préciser un groupe de serveurs
distants, il peut aussi utiliser des « masques ». Ces masques peuvent contenir les symboles « ? » et « * » :
· utiliser ? pour représenter un caractère quelconque
· utiliser * pour représenter une chaîne de caractères
EXEMPLE
Ainsi, *.c?m désigne toutes les adresses dont la dernière partie commence par la lettre c et se termine par la
lettre m, avec un caractère inconnu entre les deux (.com, .cam, etc.).
Une séquence de « * » est traitée spécialement lorsqu'elle est utilisée au début d'un nom de domaine. D'abord, le
caractère générique * ne correspond pas au caractère barre oblique (/) dans ce cas. Cela permet d'éviter le
contournement du masque, par exemple le masque *.domain.com ne correspondra pas à http://anydomain.com/
199
anypath#.domain.com (un tel suffixe peut être ajouté à n'importe quelle URL sans incidence sur le
téléchargement). Ensuite, le * correspond également à une chaîne vide dans ce cas spécial. Cela permet de faire
correspondre le domaine entier, y compris tous les sous-domaines en utilisant un seul masque. Par exemple le
masque *.domain.com correspond aussi à http://domain.com. L'utilisation de *domain.com serait incorrect,
puisqu'il correspondrait aussi à http://anotherdomain.com.
Lorsque vous sélectionnez Entrez plusieurs valeurs, vous pouvez ajouter plusieurs extensions de fichier séparées
par des lignes, des virgules ou des points virgules. Lorsqu'un choix multiple est activé, les adresses sont affichées
dans la liste.
· Importer - Importe un fichier texte avec des adresses URL (valeurs séparées avec un saut de signe, par exemple
*.txt en utilisant l'encodage UTF-8).
4.4.4.2.2 Liste d'adresses
Par défaut, les trois listes suivantes sont disponibles :
· Liste des adresses exclues de la vérification - Aucune vérification de la présence de programmes malveillants
n'est effectuée pour les adresses indiquées dans la liste.
· Liste des adresses autorisées - Si l'option Autoriser l'accès aux adresses HTTP seulement figurant dans la liste des
adresses autorisées est activée et que la liste des adresses bloquées contient * (correspond à tout), l'utilisateur
n'est autorisé à accéder qu'aux adresses indiquées dans cette liste. Les adresses de cette liste sont autorisées
même si elle sont incluses dans la liste des adresses bloquées.
· Liste des adresses bloquées - L'utilisateur n'est pas autorisé à accéder aux adresses indiquées dans cette liste.
200
Ajouter - Ajouter une nouvelle adresse URL à la liste (entrez plusieurs valeurs avec des séparateurs).
Modifier - Modifie les adresses existantes dans la liste. Seulement possible pour les adresses créées avec Ajouter.
Supprimer - Supprime les adresses existantes dans la liste. Seulement possible pour les adresses créées avec
Ajouter.
4.4.5 Protection antihameçonnage
ESET Mail Security offre une protection contre l'hameçonnage. La protection anti-hameçonnage fait partie du
module Web et courriel. Si vous avez installé ESET Mail Security en utilisant l'installation de type Complet, Web et
courriel est installé par défaut avec la protection anti-hameçonnage activée. Cependant, cela ne s'applique pas aux
systèmes qui exécutent Microsoft Windows Server 2008.
REMARQUE
Le composant Web et courriel ne fait pas partie de l'installation de type complet de ESET Mail Security dans les
systèmes Windows Server 2008 ou Windows Server 2008 R2. Si nécessaire, modifiez l'installation existante en
ajoutant le composant Web et courriel et en activant la protection anti-hameçonnage.
Le terme hameçonnage désigne une activité frauduleuse qui utilise le piratage psychologique (manipuler les
utilisateurs pour obtenir des données confidentielles). Le hameçonnage est souvent utilisé pour accéder à des
données sensibles, telles que numéros de comptes bancaires, NIP, etc. Consultez le glossaire pour en savoir plus
sur cette activité. ESET Mail Security contient une protection anti-hameçonnage qui bloque les pages Web connues
pour distribuer ce type de contenu.
Nous recommandons fortement d'activer la protection anti-hameçonnage dans ESET Mail Security. Pour ce faire,
ouvrez Configuration avancée (F5) et allez à Web et courriel > Protection antihameçonnage.
Consultez l'article de notre base de connaissances à ce sujet pour plus de renseignements sur la protection antihameçonnage de ESET Mail Security.
Accéder à un site Web de hameçonnage
201
Lorsque vous accéderez à un site Web reconnu pour pratiquer le hameçonnage, la boîte de dialogue suivante
s'affichera dans votre navigateur Web. Si vous voulez quand même accéder au site, cliquez sur Se connecter à ce site
(non recommandé).
REMARQUE
Les sites Web hameçons potentiels qui ont été ajoutés à la liste blanche expireront par défaut plusieurs heures
après l'ajout. Pour autoriser un site de façon permanente, utilisez l'outil Gestion des adresses URL. À partir de
Configuration avancée (touche F5), cliquez sur Web et courriel > Protection de l'accès Web > Gestion des
adresses URL > Liste d'adresses, cliquez sur Modifier, puis ajoutez le site Web que vous voulez modifier à la liste.
Signalement d'un site de hameçonnage
Le lien Signaler vous permet de signaler un site Web hameçon ou malveillant à ESET pour fins d'analyse.
REMARQUE
Avant de soumettre un site Web à ESET, assurez-vous qu'il répond à un ou à plusieurs des critères suivants :
· le site Web n'est pas du tout détecté
· le site Web est erronément détecté comme une menace. Dans ce cas, vous pouvez Rapporter un site hameçon
faux positif.
De manière alternative, vous pouvez soumettre le site Web par courriel. Envoyez votre message à
samples@eset.com. Veuillez donner une description claire de l'objet de votre message et fournissez le plus de
détails possibles sur le fichier (par ex., le site Web qui vous y a référé, comment vous avez appris l'existence ce site
Web, etc.).
202
4.5 Contrôle de périphériques
inclut un contrôle automatique des périphériques (CD/DVD/USB). Ce module vous permet d'analyser, de bloquer ou
de régler les filtres ou permissions étendus et de définir la capacité d'un utilisateur d'accéder à un périphérique
donné et travailler avec celui-ci. Cela peut être utile si l'administrateur de l'ordinateur veut empêcher l'utilisation
de périphériques comportant un contenu non sollicité par des utilisateurs.
Périphériques externes pris en charge :
· Stockage sur disque (Disque dur, Disque amovible USB)
· CD/DVD
· Imprimante USB
· Stockage FireWire
· Périphérique Bluetooth
· Lecteur de carte à puce
· Périphérique d'acquisition d'images
· Modem
· Port LPT/COM
· Appareil portable
· Tous les types de périphériques
Activez le commutateur à côté de Intégration au système pour activer la fonctionnalité de contrôle du périphérique
de ESET Mail Security; vous devrez redémarrer votre ordinateur pour que cette modification prenne effet.
Les règles et groupes de contrôle du périphérique seront actifs, ce qui vous permettra de modifier leurs
paramètres.
Si un périphérique bloqué par une règle existante est détecté, une fenêtre de notification s'affiche et l'accès à au
périphérique est refusé.
4.5.1 Éditeur des règles de contrôle de périphérique
La fenêtre Éditeur des règles du contrôle de périphérique affiche les règles existantes et permet un contrôle précis
des périphériques externes que les utilisateurs utilisent pour se connecter à l'ordinateur.
203
Des périphériques particuliers peuvent être autorisés ou bloqués en fonction d’un utilisateur, d’un groupe
d'utilisateurs ou de l'un des paramètres supplémentaires pouvant être précisés dans la configuration de la règle. La
liste de règles contient plusieurs éléments descriptifs d'une règle comme son nom, le type de périphérique
externe, l'action à effectuer après la détection d'un périphérique et la gravité du journal.
Utilisez les boutons suivants au bas de la fenêtre pour gérer les règles :
· Ajouter - Vous permet d'ajouter une nouvelle règle.
· Modifier - Vous permet de modifier les paramètres d'une règle existante.
· Copier - Crée une nouvelle règle basée sur les paramètres de la règle sélectionnée.
· Supprimer - Permet de supprimer la règle sélectionnée. Vous pouvez aussi utiliser la case à cocher à côté d'une
règle donnée pour la désactiver. Cela peut être utile si vous ne voulez pas supprimer une règle de façon
permanente afin que vous puissiez l'utiliser dans le futur.
· Remplir - Détecte les paramètres de support amovible des périphériques connectés à votre ordinateur.
· Les règles sont classées par ordre de priorité; les règles ayant une priorité plus élevée sont au sommet. Vous
pouvez sélectionner plusieurs règles et appliquer des actions, telles que la suppression ou le déplacement vers
le haut ou vers le bas dans la liste en cliquant sur Au dessus/Vers le haut/Vers le bas/En dessous (les flèches de
défilement).
Les entrées de journal peuvent être affichées à partir de la fenêtre principale de ESET Mail Security dans Outils >
Fichiers journaux.
4.5.2 Ajout de règles : contrôle de périphériques
Une règle de contrôle de périphérique définit l'action qui sera effectuée lorsqu'un périphérique conforme aux
critères énoncés dans la règle est branché à l'ordinateur.
204
Entrez une description de la règle dans le champ Nom pour pouvoir l'identifier plus facilement. Cliquez sur le
commutateur à côté de Règle activée pour activer ou désactiver cette règle, ce qui peut être utile si vous ne voulez
pas supprimer définitivement la règle.
Type de périphériques
Choisissez le type de périphériques externe dans le menu déroulant (Stockage sur disque/Dispositif portable/
Bluetooth/FireWire/etc.). Les types de périphériques sont tirés du système d'exploitation et peuvent être affichés
dans le Gestionnaire de périphériques, en assumant qu'un périphérique est branché à l'ordinateur. Les
périphériques de stockage incluent les disques externes ou les lecteurs conventionnels de cartes mémoires
branchés à un port USB ou FireWire. Les lecteurs de cartes à puce comprennent les lecteurs de cartes à puce avec
circuit intégré, comme les cartes SIM ou les cartes d'authentification. Des numériseurs ou des appareils-photos sont
des exemples de périphériques d'imagerie. Ces appareils ne fournissent aucune information sur les utilisateurs,
seulement sur leurs actions. En un mot, les périphériques d'imagerie ne peuvent qu'être bloqués globalement.
Action
L'accès aux appareils autres que de stockage peut être autorisé ou bloqué. À l'inverse, les règles connexes aux
périphériques de stockage permettent de sélectionner l'un des réglages de droits suivants :
·
·
·
·
Lecture et écriture - L'accès complet au périphérique sera autorisé.
Bloquer - L'accès au périphérique sera bloqué.
Lecture seule - Seule l'accès en lecture à partir du périphérique sera autorisée.
Avertir - Chaque fois qu'un périphérique est connecté, l'utilisateur sera informé s'il est autorisé ou bloqué, et une
entrée de journal sera effectuée. Les périphériques ne sont pas mémorisés; une notification sera toujours
affichée pour les connexions ultérieures du même périphérique.
Veuillez noter que seuls certains droits (actions) sont disponibles pour tous les types de périphériques. Si un
périphérique comporte de l'espace de stockage, les quatre actions seront alors disponibles. Pour les périphériques
autres que de stockage, seules deux actions sont disponibles (par exemple, l'action Lecture seule n'est pas
disponible pour Bluetooth, ce qui signifie que ce périphérique ne peut être qu'autorisé ou que bloqué).
D'autres paramètres présentés ci-dessous peuvent être utilisés pour affiner les règles et les personnaliser en
fonction des périphériques. Aucun des paramètres n'est sensible à la casse :
· Fournisseur - Filtrer par nom de fournisseur ou par identifiant.
· Modèle - Nom donné au périphérique.
· Numéro de série - Les périphériques externes ont généralement leur propre numéro de série. Dans le cas des CD/
DVD, il s'agit du numéro de série du périphérique, non du lecteur de CD.
REMARQUE
Si ces trois descripteurs ci-dessus sont vides, la règle ne tiendra pas compte de ces champs au moment d'établir
la correspondance. Les paramètres de filtrage des champs de texte ne respectent pas la casse et les caractères
génériques (*, ?) ne sont pas pris en charge.
Pour connaître les paramètres d'un périphérique, créez une règle d'autorisation pour le type de périphérique
approprié, puis connectez le périphérique à l'ordinateur avant de vérifier les détails du périphérique dans le Journal
du contrôle des périphériques.
Gravité
· Toujours - Consigne tous les événements.
· Diagnostic - Consigne les données requises pour affiner le programme.
· Information - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que toutes
les entrées préalables.
· Avertissement - Enregistre les erreurs critiques et les messages d'avertissement.
· Aucun - Aucune journalisation ne sera faite.
Les règles peuvent être restreintes à certains utilisateurs ou groupes d'utilisateurs en les ajoutant dans la Liste des
utilisateurs :
· Ajouter - Ouvre la boîte de dialogue Types d'objet : La fenêtre de dialogue Utilisateurs ou Groupes qui permet de
205
sélectionner les utilisateurs voulus.
· Supprimer - Retire l'utilisateur sélectionné du filtre.
REMARQUE
Tous les périphériques peuvent être filtrés par des règles utilisateurs (par exemple, les imageurs ne fournissent
aucune information sur les utilisateurs, seulement sur les actions invoquées).
4.5.3 Périphériques détectés
Le bouton Alimenter donne un aperçu de tous les périphériques actuellement connectés avec les informations sur :
le type de périphérique, le fournisseur du périphérique, le modèle et le numéro de série (si disponible). Lorsque
vous sélectionnez un périphérique (à partir de de la liste Périphériques détectés) et vous cliquez sur OK, une
fenêtre d'édition des règles apparaît avec de l'information prédéfinie (vous pouvez ajuster tous les paramètres).
4.5.4 Groupes de périphériques
La fenêtre Groupes de périphériques est divisée en deux. La partie droite de la fenêtre contient une liste des
périphériques appartenant au groupe respectif et la partie gauche de la fenêtre contient une liste des groupes
existants. Sélectionnez un groupe qui contient les périphériques que vous souhaitez afficher dans la fenêtre de
droite.
AVERTISSEMENT
Un périphérique externe connecté à votre ordinateur peut présenter un risque pour la sécurité.
Lorsque vous ouvrez la fenêtre Groupes de périphériques et sélectionnez un groupe, vous pouvez ajouter ou
supprimer des périphériques de la liste. Une autre façon d'ajouter des périphériques au groupe est de les importer
depuis un fichier. De manière alternative, vous pouvez cliquer sur le bouton Remplir et tous les périphériques
connectés à votre ordinateur apparaitront dans la fenêtre Périphériques détectés. Sélectionnez un périphérique à
partir de la liste remplie et ajoutez-le au groupe en cliquant sur OK.
REMARQUE
Vous pouvez créer différents groupes de périphériques pour lesquels des règles différentes seront appliquées.
Vous pouvez également créer un seul groupe de périphériques réglé à Lecture/écriture ou Lecture seule. Cela
garantit que les périphériques non reconnus seront bloqués par le contrôle des périphériques lorsqu'ils sont
connectés à votre ordinateur.
Les fonctions suivantes sont disponibles :
· Ajouter - Vous pouvez ajouter un nouveau groupe en entrant son nom ou ajouter un périphérique à un groupe
existant (vous pouvez aussi spécifier des détails comme le nom du fournisseur, le modèle et le numéro de
série) selon la zone de la fenêtre dans laquelle vous avez cliqué sur le bouton.
· Modifier - Vous permet de modifier le nom d'un groupe ou de paramètres sélectionnés pour les périphériques
qui s'y trouvent (fournisseur, modèle, numéro de série).
· Supprimer - Supprime le groupe ou le périphérique sélectionné en fonction de la partie de la fenêtre où vous
avez cliqué.
· Importer - Importe une liste de numéros de série des périphériques à partir d'un fichier.
· Remplir - Détecte les paramètres de support amovible des périphériques connectés à votre ordinateur.
Une fois que vous avez terminé avec la personnalisation, cliquez sur OK. Cliquez sur Annuler si vous voulez quitter
la fenêtre Groupes de périphériques sans enregistrer les modifications.
REMARQUE
À noter que seules certaines actions (autorisations) sont disponibles pour tous les types de périphériques. Pour
les périphériques de stockage, les quatre actions sont disponibles. Pour les périphériques autres que de
stockage, seules trois actions sont disponibles (par exemple, l'action Lecture seule n'est pas disponible pour
206
Bluetooth, ce qui signifie que les périphériques Bluetooth ne peut qu'être autorisés, bloqués ou avertis).
4.6 Outils
Les paramètres suivants sont les paramètres avancés pour tous les outils que ESET Mail Security offre sous l'onglet
Outils dans la fenêtre principale de l'IUG.
·
·
·
·
·
·
Fichiers journaux
Serveur mandataire
Notification par courriel
Mode Présentation
Diagnostics
Grappe
4.6.1 ESET LiveGrid
ESET LiveGrid est un système avancé d'avertissement anticipé composé de plusieurs technologies basées sur le
nuage. Il permet de détecter les menaces émergentes selon la réputation et améliore l'efficacité de l'analyse grâce
à des listes blanches. La diffusion en temps réel de l'information liée aux menaces à partir du nuage permet aux
laboratoires de recherche sur les logiciels malveillants ESET de fournir une réponse rapide et une protection
uniforme en tout temps. Les utilisateurs peuvent vérifier la réputation du processus en cours d'exécution et des
fichiers directement à partir de l'interface du programme ou du menu contextuel avec des informations
supplémentaires disponibles à partir de ESET LiveGrid. Lors de l'installation de ESET Mail Security, sélectionnez l'une
des options suivantes :
1. Vous pouvez décider de ne pas activer ESET LiveGrid. Votre logiciel ne perdra aucune fonctionnalité, mais, dans
certains cas, ESET Mail Security peut répondre plus rapidement aux nouvelles menaces que la mise à jour de la
banque de données de virus.
2. Vous pouvez configurer ESET LiveGrid pour qu'il envoie des données anonymes concernant de nouvelles
menaces et l'endroit où se trouve le code menaçant. Ce fichier peut être envoyé à ESET pour une analyse
détaillée. En étudiant ces menaces, ESET améliore sa capacité à détecter les menaces.
Le système ESET LiveGrid recueille sur votre ordinateur des données concernant de nouvelles menaces détectées.
Ces données comprennent un échantillon ou une copie du fichier dans lequel la menace est apparue, le chemin du
fichier, le nom du fichier, la date et l'heure, le processus par lequel la menace est apparue sur votre ordinateur et
de l'information sur le système d'exploitation de votre ordinateur.
Par défaut, ESET Mail Security est configuré pour envoyer les fichiers suspects aux laboratoires de virus d'ESET pour
analyse. Les fichiers portant certaines extensions comme .doc ou .xls sont toujours exclus. Vous pouvez aussi
ajouter d'autres extensions à la liste d'exclusion, dont vous ou votre organisation souhaitez éviter l'envoi.
207
Le système de réputation de ESET LiveGrid offre la possibilité d'inscription sur une liste blanche ou noire basée sur
le nuage. Pour accéder aux paramètres d'ESET LiveGrid, appuyez sur la touche F5 pour accéder à la Configuration
avancée et cliquez sur Outils > ESET LiveGrid.
Activer le système de réputation d'ESET LiveGrid (recommandé) - Le système de réputation d'ESET LiveGrid
améliore l'efficacité des solutions de protection contre les logiciels malveillants d'ESET en comparant les fichiers
analysés à une base de données d'éléments d'une liste blanche et d'une liste noire dans le nuage.
Envoyer des données statistiques anonymes - Autoriser ESET à collecter des renseignements sur les menaces
nouvellement détectées comme le nom de la menace, la date et l'heure de la détection, la méthode et les
métadonnées associées à la détection, ainsi que la version du produit et sa configuration dont les renseignements
sur votre version.
Envoyer les échantillons - Les échantillons suspects ressemblant à des menaces et/ou ayant des caractéristiques ou
un comportement inhabituels sont envoyés à ESET à des fins d'analyse.
Sélectionnez Activer la journalisation pour créer un journal dans lequel enregistrer les fichiers et données
statistiques soumis. Tout envoi de fichiers ou de statistiques sera consigné dans le journal des événements.
Adresse de courriel du contact (facultatif) - Votre adresse de courriel peut également être incluse avec tout fichier
suspect et pourra être utilisée pour communiquer avec vous si nous avons besoin de plus d'information pour
l'analyse. Veuillez noter que vous ne recevrez pas de réponse d'ESET sauf si d'autres renseignements sont requis.
208
Exclusions - Le filtre Exclusion permet d'exclure certains fichiers/dossiers de la demande (par exemple, il peut être
utile d'exclure les fichiers contenant des renseignements confidentiels, comme des documents ou des feuilles de
calcul). Les fichiers de la liste ne seront jamais envoyés aux laboratoires ESET pour analyse, même s'ils contiennent
du code suspect. Les types de fichiers les plus courants sont exclus par défaut (.doc, etc.). Vous pouvez ajouter des
fichiers à cette liste, au besoin.
Si vous avez déjà utilisé le système ESET LiveGrid et l'avez désactivé, il est possible qu'il reste des paquets de
données à envoyer. Même après la désactivation, de tels paquets seront envoyés à ESET. Une fois toutes les
données actuelles envoyées, aucun autre paquet ne sera créé.
4.6.1.1 Filtre d'exclusion
L'option Modifier située à côté de l'élément Exclusions dans ESET LiveGrid vous permet de configurer la façon dont
les menaces sont soumises aux laboratoires ESET Virus Labs pour analyse.
Si vous trouvez un fichier suspect, vous pouvez le soumettre à nos laboratoires ThreatLabs pour analyse. S'il
contient une application malveillante, il sera ajouté à la prochaine mise à jour des signatures de virus.
209
4.6.2 Microsoft Windows Update
Les mises à jour Windows fournit des corrections importantes aux vulnérabilités potentiellement dangereuses et
augmente le niveau de sécurité général de votre ordinateur. C'est pourquoi il est essentiel que vous installiez les
mises à jour de Microsoft Windows dès qu'elles sont disponibles. ESET Mail Security vous informe des mises à jour
manquantes en fonction du niveau indiqué. Les niveaux suivants sont disponibles :
·
·
·
·
·
Aucune mise à jour - Aucune mise à jour du système ne pourra être téléchargée.
Mises à jour facultatives - Les mises à jour de faible priorité pourront minimalement être téléchargées.
Mises à jour recommandées - Les mises à jour courantes pourront minimalement être téléchargées.
Mises à jour importantes - Les mises à jour importantes pourront minimalement être téléchargées.
Mises à jour critiques - Seules les mises à jour critiques pourront être téléchargées.
Cliquez sur OK pour enregistrer les modifications. La fenêtre Mises à jour système s'affiche après vérification de
l'état avec le serveur de mise à jour. C'est pourquoi il est possible que les données de mise à jour système ne soient
pas immédiatement disponibles après l'enregistrement des modifications.
4.6.3 ESET CMD
C'est une fonctionnalité qui active les commandes avancées d'ecmd. Elle permet d'exporter et d'importer les
paramètres à l'aide de la ligne de commande (ecmd.exe). Jusqu'à présent, il était seulement possible d'exporter les
paramètres en utilisant l'GUI. La configuration de ESET Mail Security peut être exportée dans un fichier .xml.
Lorsque vous avez activé ESET CMD, deux méthodes d'autorisation sont disponibles :
· Aucun - aucune autorisation. Nous ne vous recommandons pas cette méthode car elle permet l'importation des
configurations non signées, ce qui constitue un risque potentiel.
· Mot de passe de configuration avancée - un mot de passe est requis pour importer une configuration d'un fichier
.xml; ce fichier doit être signé (voir la signature du fichier de configuration.xml plus bas). Le mot de passe spécifié
dans Configuration de l'accès doit être fourni avant qu'une nouvelle configuration puisse être importée. Si vous
n'avez pas activé la configuration d'accès, votre mot de passe ne correspond pas ou le fichier de configuration .xml
n'est pas signé; la configuration ne sera pas importée.
Une fois ESET CMD activé, vous pouvez utiliser la ligne de commande pour importer ou exporter des configurations
ESET Mail Security. Vous pouvez le faire manuellement ou créer un script pour l'automatiser.
IMPORTANT
Pour utiliser les commandes ecmd avancées, vous devez les exécuter avec des privilèges d'administrateur ou
ouvrir une invite de commande Windows (cmd) en utilisant Exécuter en tant qu'administrateur. Si non, le
message Error executing command. s'affichera. De même, lors de l'exportation d'une configuration, le dossier de
destination doit exister. La commande d'exportation fonctionne toujours lorsque le paramètre ESET CMD est
désactivé.
EXEMPLE
Commande pour exporter les paramètres :
ecmd /getcfg c:\config\settings.xml
Commande pour importer les paramètres :
ecmd /setcfg c:\config\settings.xml
REMARQUE
Les commandes ecmd avancées ne peuvent être exécutées que localement. L'exécution de la tâche client
Exécuter la commande en utilisant ERA ne fonctionnera pas.
210
Signature d'un fichier de configuration .xml
1. Téléchargez l'exécutable XmlSignTool.
2. Ouvrez une invite de commande Windows (cmd) en utilisant Exécuter en tant qu'administrateur.
3. Accédez à l'emplacement de xmlsigntool.exe
4. Exécutez une commande pour signer le fichier de configuration .xml xmlsigntool
/version 1|2
<xml_file_path>
IMPORTANT
La valeur du paramètre /version dépend de la version de votre ESET Mail Security. Utilisez /version
Mail Security 6.5.
1
pour ESET
5. Saisissez et ressaisissez votre mot de passe de Configuration avancée lorsque vous y êtes invité par
XmlSignTool. Votre fichier de configuration .xml est maintenant signé et peut être utilisé pour l'importation
sur une autre instance de ESET Mail Security avec ESET CMD en utilisant la méthode d'autorisation par mot de
passe.
EXEMPLE
Signez la commande de fichier de configuration exportée :
xmlsigntool /version 1 c:\config\settings.xml
REMARQUE
Si votre mot de passe de Configuration de l'accès change et que vous souhaitez importer une configuration
signée précédemment avec un ancien mot de passe, vous pouvez à nouveau signer le fichier de configuration
.xml en utilisant votre mot de passe actuel. Cela vous permet d'utiliser un ancien fichier de configuration sans
l'exporter vers un autre ordinateur exécutant ESET Mail Security avant l'importation.
211
4.6.4 Fournisseur WMI
À propos de WMI
Windows Management Instrumentation (WMI est l'implémentation par Microsoft de Web Based Enterprise
Management (WBEM), qui est une initiative de l'industrie pour développer un standard technologique pour accéder
à l'information de gestion dans un environnement d'entreprise.
Pour en savoir plus sur la WMI, voir http://msdn.microsoft.com/en-us/library/windows/desktop/
aa384642(v=vs.85).aspx
Activer le fournisseur WMI
L'objectif du Fournisseur ESET WMI est de permettre la surveillance à distance des produits ESET dans un
environnement d'entreprise sans nécessiter quelconque outil ou logiciel ESET spécifique. En exposant les
renseignements de base sur le produit, le statut et les statistiques par WMI, nous augmentons énormément les
possibilités pour les administrateurs de l'entreprise lors de la surveillance les produits ESET. Les administrateurs
peuvent tirer avantage des nombreuses méthodes d'accès offertes par WMI (ligne de commande, scripts et outils
de surveillance d'entreprise tiers) pour surveiller l'état de leurs produits ESET.
L'implémentation courante procure un accès en lecture seule à l'information de vase sur le produit, les
fonctionnalités installées et leur état de protection, les statistiques individuelles relatives aux analyseurs et les
fichiers journaux du produit.
Le fournisseur WMI permet d'utiliser l'infrastructure et les outils WMI standard de Windows pour lire l'état et les
journaux du produit.
4.6.4.1 Données fournies
Toutes les classes WMI liées au produit ESET sont situées dans l'espace de noms « root\ESET ». Les classes suivantes,
qui sont décrites de manière plus détaillée ci-bas, sont maintenant implantées :
Général :
· ESET_Product
· ESET_Features
· ESET_Statistics
Journaux :
·
·
·
·
·
·
·
ESET_ThreatLog
ESET_EventLog
ESET_ODFileScanLogs
ESET_ODFileScanLogRecords
ESET_ODServerScanLogs
ESET_ODServerScanLogRecords
ESET_MailServerLog
Classe ESET_Product
Il ne peut y avoir qu'une seule instance de la classe ESET_Product. Les propriétés de cette classe réfèrent aux
renseignements de base à propos de votre produit ESET installé :
ID - Identifiant du type de produit, par exemple « emsl »
Name - Nom du produit, par exemple « ESET Mail Security »
FullName - Nom complet du produit, par exemple « ESET Mail Security for IBM Domino »
Version - Version du produit, par exemple « 6.5.14003.0 »
VirusDBVersion - Version de la base de données de virus, par exemple « 14533 (20161201) »
VirusDBLastUpdate - Estampille temporelle de la dernière mise à jour de la base de données de virus. La chaîne
contient l'estampille temporelle en format WMI date/heure, par exemple « 20161201095245.000000+060 »
· LicenseExpiration - Délai d'expiration de la licence. La chaîne contient l'estampille temporaire au format WMI
dateheure
·
·
·
·
·
·
212
· KernelRunning - Valeur booléenne indiquant si le service ekrn s'exécute sur la machine, par exemple « TRUE »
· StatusCode - Chiffre indiquant l'état de protection du produit : 0 - Vert (OK), 1 - Jaune (Avertissement), 2 Rouge (Erreur)
· Texte d'état - Message qui décrit la raison d'un code d'état non nul, sinon il n'est pas nul
Classe ESET_Features
La classe ESET_Features possède de multiples instances, selon le nombre de fonctionnalités du produit. Voici le
contenu de chaque instance :
· Nom - Nom de la fonctionnalité (une liste de noms est offerte plus bas)
· État - État de la fonctionnalité : 0 - Inactive, 1 - Désactivée, 2 - Activée
Une liste des chaînes représentant les fonctionnalités couramment reconnues :
·
·
·
·
·
·
·
·
·
·
·
CLIENT_FILE_AV - Protection antivirus en temps réel du système de fichier
CLIENT_WEB_AV - Protection antivirus Web du client
CLIENT_DOC_AV - Protection antivirus des documents du client
CLIENT_NET_FW - Coupe-feu personnel du client
CLIENT_EMAIL_AV - Protection antivirus des courriels du client
CLIENT_EMAIL_AS - Protection antipourrielle du courriel du client
SERVER_FILE_AV - Protection antivirus en temps réel des fichiers sur le fichier protégé du produit du serveur,
par exemple les fichiers dans la base de données SharePoint dans le cas de ESET Mail Security
SERVER_EMAIL_AV - Protection antivirus des courriels du produit du serveur protégé, par exemple les courriels
dans MS Exchange ou IBM Domino
SERVER_EMAIL_AS - Protection antipourriel des courriels du produit du serveur protégé, par exemple les
courriels dans MS Exchange ou IBM Domino
SERVER_GATEWAY_AV - Protection antivirus des protocoles réseau protégés sur la passerelle
SERVER_GATEWAY_AS - Protection antipourrielle des protocoles réseau protégés sur la passerelle
Classe ESET_Statistics
La classe ESET-Statistics possède de multiples instances, selon le nombre d'analyseurs dans le produit. Voici le
contenu de chaque instance :
· Analyseur - Chaîne de code pour l'analyseur spécifique, par exemple « CLIENT_FILE »
· Total - Nombre total de fichiers analysés
· Infectés - Nombre de fichiers infectés trouvés
· Nettoyés - Nombre de fichiers nettoyés
· Estampille temporelle - Estampille temporelle de la dernière modification apportée à cette statistique. En
format WMI date/heure, par exemple « 20130118115511.000000+060 »
· Délai de réinitialisation - Estampille temporelle de la dernière réinitialisation du compteur de statistiques. En
format WMI date/heure, par exemple « 20130118115511.000000+060 »
· Liste des chaînes représentant les analyseurs couramment reconnus :
· CLIENT_FILE
· CLIENT_EMAIL
· CLIENT_WEB
· SERVER_FILE
· SERVER_EMAIL
· SERVER_WEB
Classe ESET_ThreatLog
La classe ESET_ThreatLog possède de multiples instances, chacune représentant une entrée du journal « Menaces
détectées ». Voici le contenu de chaque instance :
· Identifiant - Identifiant unique pour cette entrée de journal
· Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/
heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans le [0-8]. Les valeurs correspondent
aux niveaux nommés comme suit : Déboguer, Info-pied de page, Info, Info-Important, Avertissement, Erreur,
213
·
·
·
·
·
·
·
Avertissement de sécurité, Erreur critique, Avertissement de sécurité critique
Analyseur - Nom de l'analyseur qui a créé cet événement dans le journal
Type de l'objet - Type de l'objet qui a généré cet événement dans le journal
Nom de l'objet - Nom de l'objet qui a généré cet événement dans le journal
Menace - Nom de la menace qui a été trouée dans l'objet décrit par les propriétés ObjectName et ObjectType
Action - Action exécutée après l'identification de la menace
Utilisateur - Compte utilisateur qui a causé la génération de cet événement dans le journal
Information - Description supplémentaire de l'événement
ESET_EventLog
La classe ESET_EventLog possède de multiples instances, chacune représentant une entrée du journal
« Événements ». Voici le contenu de chaque instance :
· Identifiant - Identifiant unique pour cette entrée de journal
· Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/
heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans l'intervalle [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Déboguer, Info-pied de page, Info, Info-Important,
Avertissement, Erreur, Avertissement de sécurité, Erreur critique, Avertissement de sécurité critique
· Analyseur - Nom de l'analyseur qui a créé cet événement dans le journal
· Événement - Description de l'événement
· Utilisateur - Compte utilisateur qui a causé la génération de cet événement dans le journal
ESET_ODFileScanLogs
La classe ESET_ODFileScanLogs possède de multiples instances, chacune représentant une entrée d'analyse de
fichiers à la demande. C'est l'équivalent de la liste des journaux IUG « Analyse de l'ordinateur à la demande ». Voici
le contenu de chaque instance :
·
·
·
·
·
·
·
Identifiant - Identifiant unique pour cette entrée de journal à la demande
Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure)
Cibles - Dossiers/objets cibles de l'analyse
Total analysés - Nombre total d'objets analysés
Infectés - Nombre de fichiers infectés trouvés
Nettoyés - Nombre d'objets nettoyés
État - État du processus d'analyse
ESET_ODFileScanLogRecords
La classe ESET_ODFileScanLogRecords possède de multiples instances, chacune représentant une entrée de journal
dans l'un des journaux d'analyse représentés par instances de la classe ESET_ODFileScanLogs. Les instances de cette
classe fournissent des entrées de journal de toutes les analyses et de tous les journaux à la demande. Lorsque
l'instance d'un seul journal d'analyse particulier est exigée, elle doit être filtrée par propriété LogID. Voici le
contenu de chaque instance de classe :
· Identifiant du journal - Identifiant du journal d'analyse auquel cette entrée appartient (identifiant d'une des
instances de la classe ESET_ODFileScanLogs)
· Identifiant - Identifiant unique pour cette entrée du journal d'analyse
· Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/
heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
· Journal - Le message du journal courant
ESET_ODServerScanLogs
214
La classe ESET_ODServerScanLogs possède de multiples instances, chacune représentant l'exécution d'une analyse
de serveur à la demande. Voici le contenu de chaque instance :
·
·
·
·
·
·
·
·
Identifiant - Identifiant unique pour cette entrée de journal à la demande
Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure)
Cibles - Dossiers/objets cibles de l'analyse
Total analysés - Nombre total d'objets analysés
Infectés - Nombre de fichiers infectés trouvés
Nettoyés - Nombre d'objets nettoyés
Occurrence de la règle - Nombre total d'occurrences de la règle
État - État du processus d'analyse
ESET_ODServerScanLogRecords
La classe ESET_ODServerScanLogRecords possède de multiples instances, chacune représentant une entrée de
journal dans l'un des journaux d'analyse représentés par instance de la classe ESET_ODServerScanLogs. Les instances
de cette classe fournissent des entrées de journal de toutes les analyses et de tous les journaux à la demande.
Lorsque l'instance d'un seul journal d'analyse particulier est exigée, elle doit être filtrée par propriété LogID. Voici
le contenu de chaque instance de classe :
· Identifiant du journal - Identifiant du journal d'analyse auquel cette entrée appartient (identifiant d'une des
instances de la classe ESET_ ODServerScanLogs)
· Identifiant - Identifiant unique pour cette entrée du journal d'analyse
· Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/
heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans l'intervalle [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error,
SecurityWarning, Error-Critical, SecurityWarning-Critical
· Journal - Le message du journal courant
ESET_GreylistLog
La classe ESET_GreylistLog possède de multiples instances, chacune représentant une entrée du journal « Greylist ».
Voici le contenu de chaque instance :
· Identifiant - Identifiant unique pour cette entrée de journal
· Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/
heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Déboguer, Info-pied de page, Info, Info-Important, Avertissement, Erreur,
Avertissement de sécurité, Erreur critique, Avertissement de sécurité critique
· Domaine HELO - Nom du domaine HELO
· Adresse IP - Adresse IP source
· Expéditeur - Expéditeur du courriel
· Destinataire - Destinataire du courriel
· Action - Action exécutée
· Temps d'acceptation - Nombre de minutes après lequel le courriel sera accepté
215
4.6.4.2 Accès aux données fournies
Voici quelques exemples pour montrer comment accéder aux données WMI ESET à partir de la ligne de commande
Windows et PowerShell, qui devraient fonctionner à partir de n'importe quel système d'exploitation Windows
courant. Cependant, il existe bien d'autres façons d'accéder aux données à partir d'autres langages et outils de
script.
Ligne de commande sans script
L'outil de commande wmic peut être utilisé pour accéder à une variété de classes WMI prédéfinies ou
personnalisées.
Pour afficher tous les renseignements à propos d'un produit qui se trouve sur la machine locale :
wmic /namespace:\\root\ESET Path ESET_Product
Pour afficher le numéro de version du produit seulement pour un produit qui se trouve sur la machine locale :
wmic /namespace:\\root\ESET Path ESET_Product Get Version
Pour afficher tous les renseignements à propos d'un produit qui se trouve sur une machine à distance avec l'adresse
IP 10.1.118.180 :
wmic /namespace:\\root\ESET /node:10.1.118.180 /user:Administrator Path ESET_Product
PowerShell
Pour obtenir et afficher les tous les renseignements à propos d'un produit sur une machine locale :
Get-WmiObject ESET_Product -namespace 'root\ESET'
Pour obtenir et afficher tous les renseignements à propos d'un produit qui se trouve sur une machine à distance
avec l'adresse IP 10.1.118.180 :
$cred = Get-Credential
# invite l'utilisateur à donner son authentifiant et le stocke dans
la variable
Get-WmiObject ESET_Product -namespace 'root\ESET' -computername '10.1.118.180' -cred $cred
216
4.6.5 Cibles d'analyse ERA
Cette fonctionnalité permet à ESET Remote Administrator d'utiliser la cible d'analyse appropriée (analyse de la base
de données à la demande et l'analyse Hyper-V) lors de l'exécution de la tâche client Analyse du serveur sur un
serveur avec ESET Mail Security.
Lorsque vous activez Générer une liste des cibles ESET Mail Security crée une liste des cibles d'analyse disponibles.
Cette liste est générée régulièrement, en fonction de la Période de mise à jour.
REMARQUE
Lorsque Générer la liste des cibles est activée pour la première fois, il faut à ERA environ la moitié de la Durée de
mise à jour pour générer la liste. Par exemple, si la Durée de mise à jour est réglée à 60 minutes, allouez un délai
de 30 minutes environ pour recevoir la liste des cibles d'analyse. Si vous voulez qu'ERA reçoive la liste avant,
réglez la durée de mise à jour à une valeur plus petite. Vous pourrez toujours augmenter cette valeur
ultérieurement.
217
Lorsqu'ERA exécute une tâche client Analyse du serveur, il rassemble la liste et vous demande de choisir les cibles
d'analyse à la demande de la base de données de la boîte de courriel pour ce serveur en particulier.
4.6.6 Fichiers journaux
Cette section vous permet de modifier la configuration de la journalisation de ESET Mail Security.
Enregistrements journaux
Les enregistrements sont inscrits dans le journal Événements ( C:\ProgramData\ESET\ESET Mail Security\Logs
\warnlog.dat ) et peuvent être consultés dans l'afficheur de fichiers journaux. Utilisez les commutateurs pour
activer ou désactiver une fonction particulière :
· Inscrire les erreurs de transport de courriel au journal - Si cette option est activée et que des problèmes
surviennent dans la couche de transport des courriels, des messages d'erreur sont inscrits dans le journal
Événements.
· Inscrire les exceptions de transport de courriel au journal - Si des exceptions surviennent sur la couche de
transport des courriels, les détails concernant ces exceptions sont inscrits dans le journal Événements.
Filtre de journalisation
Génère une quantité importante de données car toutes les options de journalisation sont activées par défaut. Nous
vous recommandons de désactiver sélectivement la journalisation des composants qui ne sont pas intéressants ou
liés au problème.
REMARQUE
Pour démarrer la journalisation comme telle, vous devez activer la journalisation diagnostique générale au
niveau du produit à partir de menu principal dans Configuration > Outils. Une fois que la journalisation est
activée, ESET Mail Security collecte les journaux détaillés selon les fonctionnalités qui sont activées dans cette
section.
218
Utilisez les commutateurs pour activer ou désactiver une fonction particulière. Ces options peuvent également être
combinées en fonction de la disponibilité des composants individuels dans ESET Mail Security.
· Journalisation diagnostique de protection de la base de données
· Journalisation diagnostique du transport du courriel
IMPORTANT
Lorsque vous résolvez des problèmes avec l'analyse de la base de données exécutée dans le cadre d'une
opération normale, nous vous recommandons de désactiver la journalisation des diagnostics de transport du
courriel. Sinon, cela pourrait obstruer le journal résultant et le rendre difficile à analyser.
· Journalisation diagnostique de l'analyse de la base de données à la demande - Inscrit des informations
détaillées dans les journaux, en particulier lorsque le dépannage est nécessaire.
· Journalisation diagnostique de la grappe - Cela signifie que la journalisation de la grappe sera incluse dans la
journalisation diagnostique générale.
Fichiers journaux
Permet de définir comment gérer les journaux. Ceci est particulièrement important pour empêcher le disque d'être
utilisé. Les paramètres par défaut permettent la suppression automatique des anciens journaux afin d'économiser
de l'espace sur le disque.
Les entrées journal plus anciennes que le nombre de jours indiqué dans le champ Supprimer automatiquement les
entrées après (jours) seront automatiquement supprimées.
Supprimer automatiquement les anciennes entrées si la taille du journal est dépassée - Lorsque la taille du journal
dépasse la Taille maximale du journal [Mo], les anciennes entrées de journal sont supprimées jusqu'à ce que soit
atteinte la Taille réduite du journal [Mo].
Sauvegarder les entrées supprimées automatiquement - Les entrées et les fichiers journaux supprimés
automatiquement seront sauvegardés dans le répertoire spécifié et pourront facultativement être compressés en
fichiers ZIP.
Sauvegarder les journaux de diagnostic - Les journaux de diagnostic supprimés automatiquement seront
sauvegardés. Si cette option est désactivée, les entrées de journaux de diagnostic ne seront pas sauvegardées.
Dossier de sauvegarde - Dossier dans lequel les sauvegardes de journaux seront stockées. Vous pouvez activer la
sauvegarde des journaux compressés à l'aide de ZIP.
Optimiser automatiquement les fichiers journaux - Si cette fonction est activée, les fichiers journaux seront
automatiquement défragmentés si le pourcentage de fragmentation est supérieur à la valeur indiquée dans le
champ Si le nombre d'entrées inutilisées dépasse (%).
Cliquez sur Optimiser pour lancer la défragmentation des journaux. Toutes les entrées de journal vides sont
supprimés pour améliorer la performance et la vitesse de traitement des entrées de journal. Cette amélioration
peut être notable, tout particulièrement lorsque les journaux contiennent un grand nombre d'entrées.
Activez l'option Activer le protocole de texte pour permettre le stockage des journaux dans un autre format de
fichier à part des Fichiers journaux :
· Répertoire cible - Le répertoire où les fichiers journaux seront stockés (s'applique uniquement aux fichiers
texte/CSV). Chaque section du journal possède son propre fichier avec un nom prédéfini (par exemple,
virlog.txt pour la section Menaces détectées des fichiers journaux, si vous utilisez le format de fichier texte brut
pour stocker les journaux).
· Type - Si vous sélectionnez le format de fichier Texte, les journaux seront stockés dans un fichier texte et les
données seront séparées par des tabulations. La même chose s'applique au format de fichier CSV contenant des
données séparées par des virgules. Si vous sélectionnez Événement, les journaux seront stockés dans le journal
d'événement Windows (qui peuvent être consultés à l'aide de la fonction Observateur d'événements dans
Panneau de contrôle) contrairement aux fichiers.
· Supprimer tous les fichiers journaux efface tous les journaux stockés et sélectionnés dans le menu déroulant
Type.
219
Exporter vers les journaux d'applications et de services Windows - Vous permet de dupliquer les enregistrements
du journal de protection du serveur de messagerie vers les journaux des applications et des services. Pour afficher
le journal de protection du serveur de messagerie, ouvrez l'Observateur d'événements de Windows et accédez à
Journaux des applications et des services > ESET > Sécurité > Serveur Exchange > Protection de la messagerie.
REMARQUE
Afin d'aider à résoudre les problèmes plus rapidement, ESET Customer Care peut vous demander de fournir des
journaux provenant de votre ordinateur. ESET Log Collector facilite la collecte des informations nécessaires. Pour
en savoir plus sur ESET Log Collector, consultez notre Base de connaissances.
4.6.6.1 Filtrage des journaux
Les journaux stockent des données sur les événements système importants. La fonctionnalité de filtrage des
journaux permet d'afficher des entrées sur un type d'événement particulier.
Entrez le mot clé pour la recherche dans le champ Rechercher le texte. Utilisez le menu déroulantRechercher dans
les colonnes pour affiner v otre recherche.
Types d'enregistrement - Choisissez un ou plusieurs types de journaux d'enregistrement dans le menu déroulant :
· Diagnostic - Consigne l'information requise pour mettre au point le programme et toutes les entrées préalables.
· Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que toutes
les entrées préalables.
· Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
· Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et les erreurs critiques seront enregistrées.
· Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus).
Période - Définir la période pendant laquelle vous voulez que les résultats soient affichés.
Mots entiers seulement - Cochez cette case si vous voulez rechercher des mots entiers particuliers pour obtenir des
résultats de recherche plus précis.
Sensible à la casse - Activez cette option si vous jugez important d'utiliser des lettres en majuscules ou en
minuscules dans le filtrage.
4.6.6.2 Trouver dans le journal
En plus du Filtrage des journaux, vous pouvez également utiliser la fonctionnalité de recherche dans les fichiers
journaux, ainsi que l'utiliser indépendamment du filtrage des journaux. Cela est utile lorsque vous cherchez des
enregistrements particuliers dans les journaux. Tout comme le filtrage des journaux, cette fonctionnalité de
recherche vous aidera à trouver l'information que vous cherchez, tout particulièrement lorsqu'il y a un très grand
nombre d'enregistrements.
Lorsque vous utilisez l'outil de recherche dans le journal, vous pouvez Trouver le texte en tapant une chaîne
spécifique, utilisez l'option Rechercher dans les colonnes à parti du menu déroulant pour filtrer votre recherche par
colonne, sélectionnez Types d'enregistrement et établissezune Période de temps pour ne rechercher que les
enregistrements pour une période de temps déterminée. Lorsque vous précisez certaines options de recherche,
seuls les enregistrements pertinents (selon ces critères de recherche) feront l'objet d'une recherche dans la fenêtre
des fichiers journaux.
Rechercher texte : Tapez une chaîne de caractères (mot ou partie d'un mot). Seuls les enregistrements contenant
cette chaîne de caractères seront affichés. Les autres enregistrements seront omis.
Rechercher dans les colonnes : Sélectionnez les colonnes qui seront considérées dans la recherche. Vous pouvez
cocher une ou plusieurs colonnes à utiliser dans la recherche. Par défaut, toutes les colonnes seront sélectionnées :
·
·
·
·
220
Heure
Dossiers analysés
Événement
Utilisateur
Types d'enregistrement : Choisissez un ou plusieurs types de journal d'enregistrement dans le menu déroulant :
· Diagnostic - Consigne l'information requise pour mettre au point le programme et tous les enregistrements
préalables.
· Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que toutes
les entrées préalables.
· Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
· Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et les erreurs critiques seront enregistrées.
· Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus).
Période : Pour définir la période à partir de laquelle vous voulez que les résultats soient affichés.
· Journal entier (valeur par défaut) - ne limite pas la recherche à la période, cherche plutôt dans l'ensemble du
journal
· Dernier jour
· Dernière semaine
· Dernier mois
· Intervalle - Lorsque vous sélectionnez cette option, vous pouvez également préciser la période exacte (date et
heure) pendant laquelle les enregistrements ont été créés.
Mots entiers seulement - Ne trouve que les enregistrements qui comprennent la chaîne complète de caractères
indiquée dans la boîte de texte Quoi.
Sensible à la casse - Ne trouve que les enregistrements qui correspondent parfaitement à la chaîne de caractères
indiquée dans la boîte de texte Quoi (majuscules et minuscules inclus).
Rechercher vers le haut - Effectue la recherche à partir de la position actuelle vers le haut.
Une fois que vous aurez configuré les options de recherche, cliquez sur le bouton Rechercher pour lancer la
recherche. La recherche s'arrête lorsqu'elle trouve le premier enregistrement correspondant. Cliquez sur
Rechercher de nouveau pour afficher des enregistrements supplémentaires. La recherche dans les fichiers journaux
s'effectue du haut vers le bas, à partir de votre position actuelle (l'enregistrement qui est surligné).
4.6.7 Serveur mandataire
Dans les grands réseaux locaux, la connexion de votre ordinateur à Internet peut s'effectuer par l'intermédiaire d'un
serveur mandataire. Si tel est le cas, les paramètres suivants doivent être modifiés. En l'absence de modification, le
programme ne pourra pas effectuer de mise à jour automatique. Dans ESET Mail Security, le serveur mandataire
peut être configuré dans deux sections différentes de la fenêtre Configuration avancée (F5).
1. Configuration avancée > Mises à jour > Profils > Mandataire HTTP - Ce paramètre s'applique à un profil de mise à
jour donné et est recommandé pour les ordinateurs portables qui reçoivent souvent des mises à jour de
signature de virus à partir de différents endroits. Pour plus de détails sur ce paramètre, consultez la rubrique
Configuration avancée des mises à jour.
2. Configuration avancée > Outils > Serveur mandataire - Spécifier le serveur mandataire à ce niveau définit les
paramètres du serveur mandataire global pour tout ESET Mail Security. Les paramètres définis ici seront utilisés
par tous les modules qui se connectent à Internet.
221
Pour préciser les paramètres de serveur mandataire à ce niveau, activez le commutateur Utiliser un serveur
mandataire, puis entrez l'adresse du serveur mandataire dans le champ Serveur mandataire, ainsi que le numéro de
Port du serveur mandataire.
· Si la communication avec le serveur mandataire exige une authentification, activez le commutateur Le serveur
mandataire exige une authentification et entrez un Nom d'utilisateur valide et un Mot de passe dans les champs
respectifs.
· Cliquez sur Détecter pour détecter et remplir automatiquement les paramètres du serveur mandataire. Les
paramètres définis dans Internet Explorer seront copiés.
REMARQUE
Cette fonctionnalité ne récupère cependant pas les données d'authentification (nom d'utilisateur et mot de
passe) que vous devrez donc entrer de nouveau.
· Utiliser une connexion directe si le mandataire n'est pas disponible - Si un produit est configuré pour utiliser le
mandataire HTTP et que ce dernier n'est pas joignable, le produit contournera le mandataire et communiquera
directement avec les serveurs d'ESET.
222
4.6.8 Notifications par courriel
ESET Mail Security prend en charge l'envoi automatique de courriels de notification, si un événement ayant le
niveau de verbosité sélectionné se produit. Activez Envoyer des notifications d'événement par courriel pour
envoyer des notifications par courriel.
REMARQUE
ESET Mail Security prend en charge les serveurs SMTP avec chiffrement TLS.
· Serveur SMTP - Le serveur SMTP utilisé pour l'envoi de notifications.
· Nom d'utilisateur et mot de passe - Si le serveur SMTP exige une authentification, ces champs doivent être
remplis avec un nom d'utilisateur et un mot de passe valides pour accéder au serveur SMTP.
· Adresse de l'expéditeur - Entrez l'adresse de l'expéditeur qui apparaitra dans l'en-tête des courriels de
notification. C'est ce que le destinataire verra dans le champ Expéditeur.
· Adresse du destinataire - Indiquez l'adresse courriel du destinataire Destinataire à qui les notifications seront
envoyées.
· Niveau de détails minimal des notifications - Précise le niveau minimal de verbosité des notifications à envoyer.
· Activer TLS - Activer les messages d'alerte et de notification pris en charge par le chiffrement TLS.
· Intervalle après lequel les nouveaux courriels de notification seront envoyés (min) - Intervalle en minutes, après
lequel de nouvelles notifications seront envoyées par courriel. Réglez cette valeur à 0 si vous voulez envoyer ces
notifications immédiatement.
· Envoyer chaque notification dans un courriel distinct - Lorsque cette option est activée, le destinataire recevra un
nouveau courriel pour chaque notification. Cela peut entrainer la réception d'un grand nombre de courriels dans
un court laps de temps.
223
Format des messages
· Format des messages d'événement - Format des messages d'événements qui s'affichent sur les ordinateurs
distants. Voir aussi Modifier le format.
· Format des messages d'avertissement de menace - Les messages d'alerte de menace et de notification ont un
format par défaut prédéfini. Il est déconseillé de modifier ce format. Toutefois, dans certaines circonstances (par
exemple, si vous avez un système automatisé de traitement des messages), vous serez peut-être amené à
modifier le format des messages. Voir aussi Modifier le format.
· Utiliser les caractères alphabétiques locaux - Utilise l'encodage des caractères ANSI basé sur les paramètres
régionaux de Windows pour convertir un courriel (par exemple, windows-1250). Si cette case est désélectionnée,
le message sera converti et encodé en format ACSII 7 bits (par exemple, « á » sera remplacé par « a » et un
caractère inconnu en « ? »).
· Utiliser l'encodage des caractères locaux - Le courriel source sera encodé dans le format Quoted Printable (QP)
qui utilise les caractères ASCII et peut transmettre correctement par courriel les caractères nationaux spéciaux en
format 8 bits (áéíóú).
4.6.8.1 Format des messages
Les communications entre le programme et l'utilisateur ou l'administrateur de système distant se font par la
messagerie ou le réseau local (au moyen du service de messagerie Windows). Le format par défaut des messages
d'alerte et des notifications est optimal dans la plupart des situations. Dans certaines situations, le format des
messages d'événement doit être changé.
Les mots-clés (chaînes entourées de signes %) sont remplacés dans le message par les données réelles indiquées.
Les mots-clés suivants sont disponibles :
·
·
·
·
·
·
·
%TimeStamp% - Date et heure de l'événement.
%Scanner% - Module concerné.
%ComputerName% - Nom de l'ordinateur où l'alerte s'est produite.
%ProgramName% - Module ayant généré l'alerte.
%InfectedObject% - Nom du fichier ou message infecté, etc.
%VirusName% - Identification de l'infection.
%ErrorDescription% - Description d'un événement autre qu'un virus.
Les mots-clés %InfectedObject% et %VirusName% ne sont utilisés que dans les messages d'alerte de menace,
tandis que le mot-clé %ErrorDescription% n'est utilisé que dans les messages d'événement.
4.6.9 Mode Présentation
Le mode Présentation est une fonctionnalité destinée aux utilisateurs qui exigent une utilisation interrompue de
leur logiciel, qui ne veulent pas être dérangés par des fenêtres contextuelles et qui veulent minimiser la charge sur
l'UC. Le mode Présentation peut aussi être utilisé lors de présentations qui ne peuvent être interrompues par les
activités de l'antivirus. Lorsque ce mode est activé, toutes les fenêtres contextuelles sont désactivées et les tâches
planifiées ne sont pas exécutées. La protection du système s'exécute toujours en arrière-plan, mais n'exige aucune
interaction de l'utilisateur. Lorsque ce mode est activé, toutes les fenêtres contextuelles sont désactivées et les
tâches planifiées ne sont pas exécutées. La protection du système s'exécute toujours en arrière-plan, mais n'exige
aucune interaction de l'utilisateur.
· Cliquez sur Configuration > Ordinateur, puis cliquez sur le commutateur à côté de Mode Présentation pour activer
le mode présentation manuellement.
· Dans Configuration avancée (touche F5), cliquez sur Outils > Mode présentation, puis cliquez sur Activer
automatiquement le mode Présentation lorsque les applications s'exécutent en mode Plein écran pour que ESET
Mail Security passe en mode Présentation automatiquement lorsque les applications s'exécutent en mode Plein
écran. Activer le mode Présentation entraîne un risque potentiel; pour cette raison, l'icône de l'état de la
surveillance dans la barre des tâches devient orange en plus d'afficher un avertissement. Vous pouvez aussi voir
cet avertissement dans la fenêtre principale du programme où le Mode Présentation activé sera indiqué en
orange.
224
Lorsque l'option Activer automatiquement le mode Présentation lorsque les applications s'exécutent en mode
Plein écran est activée, le mode Présentation démarre dès que vous lancez une application en mode Plein écran et
s'arrête automatiquement quand vous quittez l'application. Cela est particulièrement utile pour lancer le mode
Présentation immédiatement après le lancement d'un jeu, d'une application en plein écran ou après le démarrage
d'une présentation.
Vous pouvez également sélectionner Désactiver le mode Présentation automatiquement après pour définir le
temps en minutes après lequel le mode Présentation sera automatiquement désactivée.
4.6.10 Diagnostics
Les diagnostics fournissent des vidages sur incident des processus ESET (ekrn, par ex.). Si une application plante, un
vidage sera généré. Il pourra aider les développeurs à déboguer et à corriger différents problèmes liés à ESET Mail
Security. Cliquez sur le menu déroulant à côté de Type de vidage et sélectionnez l'une des trois options
disponibles :
· Sélectionnez Désactiver (par défaut) pour désactiver cette fonctionnalité.
· Mini - Enregistre le plus petit ensemble d'information utile pouvant aider à identifier la raison pour laquelle
l'application s'est arrêtée inopinément. Ce type de fichier de vidage peut être utile lorsque l'espace est limité.
Cependant, en raison de l'information limitée incluse dans ce fichier, des erreurs n'ayant pas été causées
directement par la menace en cours d’exécution au moment du problème pourraient ne pas être découvertes lors
d'une analyse de ce fichier.
· Complet - Enregistre tout le contenu de la mémoire système, au moment où l'application s'est arrêtée
inopinément. Un vidage complet de mémoire peut contenir des données liées aux processus en cours
d'exécution au moment de la création du vidage de mémoire.
Activer la journalisation avancée du filtrage de protocole - Enregistre toutes les données traversant le moteur de
filtrage de protocole en format PCAP afin d'aider les développeurs à diagnostiquer et à résoudre les problèmes liés
au filtrage de protocole.
Dossier cible - Répertoire où sera généré le fichier de vidage lors du plantage.
Ouvrir le dossier de diagnostic - Cliquez sur Ouvrir pour ouvrir ce répertoire dans une nouvelle fenêtre de
l'explorateur Windows.
4.6.11 Service à la clientèle
Soumettre les données de configuration du système - Sélectionnez Toujours envoyer à partir du menu déroulant ou
sélectionnez Demander avant l'envoi pour avoir la possibilité de confirmer l'envoi des données.
225
4.6.12 Grappe
Activer la grappe est activé automatiquement lorsque la Grappe est configurée. Vous pouvez la désactiver
manuellement dans la fenêtre Configuration avancée en cliquant sur l'icône du commutateur (approprié lorsque
vous devez modifier la configuration sans que cela n’ait de répercussions sur d'autres nœuds de la grappe ESET). Ce
commutateur ne permet que d'activer ou de désactiver la fonctionnalité de grappe ESET. Pour configurer la grappe
ou la détruire, vous devez utiliser l'Assistant de la grappe ou l'option Détruire la grappe dans la section Outils >
Grappe de la fenêtre principale du programme.
Grappe ESET non configurée et désactivée :
226
Grappe ESET configurée de façon appropriée, avec détails et options :
Pour plus de détails sur la grappe ESET, cliquez ici.
4.7 Interface utilisateur
La section Interface utilisateur vous permet de configurer le comportement des éléments de l'interface graphique
du programme (IUG). Vous pouvez ajuster l'apparence du programme et ses effets visuels.
Éléments de l'interface utilisateur
La section Éléments de l'interface utilisateur permet de modifier l'environnement de travail. Cliquez sur le menu
déroulant Mode de démarrage de l'interface utilisateur graphique pour sélectionner parmi les modes de démarrage
de l'interface utilisateur graphique suivants :
o Complet - L'IUG s'affichera au complet.
o Terminal - Aucune notification ou alerte ne sera affichée. L'IUG ne peut être démarré que par l'administrateur.
L'interface utilisateur devrait réglée à Terminal si les éléments graphiques ralentissent les performances de
votre ordinateur ou provoquent d'autres problèmes. Il est possible aussi d'éteindre l'IUG sur un des serveurs du
Terminal. Pour en savoir plus sur ESET Mail Security installé sur votre serveur Terminal, voir Désactiver l'IOG sur
un Serveur Terminal.
· Pour désactiver l'écran de démarrage de ESET Mail Security, désactivez Afficher l'écran de démarrage.
· Pour qu'ESET Mail Security émette un son lorsque des événements importants se produisent pendant une
analyse, par exemple lorsqu'une menace est détectée ou lorsque l'analyse prend fin, sélectionnez Émettre un
signal sonore.
227
· Intégrer au menu contextuel - Intègre les éléments de contrôle de ESET Mail Security dans le menu contextuel.
· États de l'application - cliquez sur Modifier pour gérer (activer ou désactiver) les états qui sont affichés dans
l'onglet Surveillance du menu principal. Vous pouvez aussi utiliser les politiques d'ESET Remote Administrator
pour configurer les états de vos applications.
· Informations de licence - Lorsque cette option est activée, des messages et des notifications concernant votre
licence s'affichent.
· Alertes et notifications - En configurant l'option Alertes et notifications, vous pouvez modifier le comportement
des alertes de menace détectée et les notifications système. Elles peuvent être personnalisées selon vos
besoins. Si vous choisissez de ne pas afficher certaines notifications, elles seront affichées dans la zone Messages
et états désactivés. Ici, vous pouvez en vérifier l'état, afficher plus de détails ou les supprimer de la fenêtre.
· Configuration de l'accès - Vous pouvez empêcher toute modification non autorisée à l'aide de l'outil
Configuration de l'accès afin de s'assurer que le niveau de sécurité s'avère élevé.
· Aide - Utilisez le contenu d'aide hors ligne installé localement comme principale source d'aide.
· ESET Shell - Vous pouvez configurer les droits d'accès aux paramètres du produit, aux fonctionnalités et aux
données par l'intermédiaire d'eShell en modifiant la Politique d'exécution ESET Shell.
· Menu contextuel - Cliquez à droite sur un élément pour afficher l'intégration dans le menu contextuel de ESET
Mail Security. Utilisez cet outil pour intégrer les éléments de contrôle ESET Mail Security dans le menu contextuel.
· Le mode Présentation est utile pour les utilisateurs qui veulent travailler avec une application sans être
interrompus par des fenêtres contextuelles, des tâches planifiées et tout processus qui pourrait trop en
demander aux ressources du système.
· Icône de la barre d'état système
· Restaurer tous les paramètres de cette section / Restaurer les paramètres par défaut
228
4.7.1 Alertes et notifications
La section Alertes et notifications sous Interface utilisateur permet de configurer le mode de traitement des
messages d'alerte et des notifications système (par ex., des messages de mise à jour réussie) par ESET Mail Security.
Vous pouvez également configurer la durée d'affichage et le niveau de transparence des notifications dans la barre
d'état système (cela ne s'applique qu'aux systèmes prenant en charge les notifications dans la barre d'état).
Fenêtres d'alerte
Lorsqu'Afficher les alertes est désactivée, aucune fenêtre d'alerte ne s'affiche, ce qui ne convient qu'à un nombre
limité de situations particulières. Nous recommandons à la majorité des utilisateurs de conserver l'option par
défaut (activée).
Notifications sur le bureau
Les notifications sur le bureau et les infobulles sont des messages informatifs ne permettant ou n'exigeant aucune
interaction avec l'utilisateur. Elles s'affichent dans la zone de notification, dans le coin inférieur droit de l'écran.
Pour activer l'affichage des notifications sur le bureau, sélectionnez Afficher les notifications sur le bureau. D'autres
options détaillées, comme la durée d'affichage des notifications et la transparence de la fenêtre, peuvent être
modifiées ci-dessous.
Activez le commutateur Ne pas afficher les notifications lors de l'exécution d'applications en mode plein écran pour
garder en réserve toutes les notifications non interactives.
Le menu déroulant Verbosité minimale des événements à afficher permet de sélectionner le niveau de gravité des
alertes et des notifications à afficher. Les options suivantes sont disponibles :
· Diagnostic - Consigne l'information requise pour mettre au point le programme et toutes les entrées préalables.
· Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que toutes
les entrées préalables.
· Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
· Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et les erreurs critiques seront enregistrées.
229
· Critique - Seules les erreurs critiques (échec de démarrage de la protection antivirus, etc.) seront consignées.
La dernière fonctionnalité de cette section vous permet de configurer la destination des notifications dans un
environnement multiutilisateur. Le champ Sur les systèmes multiutilisateur, afficher les notifications sur l'écran de
cet utilisateur permet de préciser quel utilisateur recevra les notifications système et autres notifications pour les
systèmes autorisant la connexion simultanée de multiples utilisateurs. Il s'agit généralement de l'administrateur de
système ou de l'administrateur de réseau. Cette option est particulièrement utile pour les serveurs de terminaux, à
condition que toutes les notifications système soient envoyées à l'administrateur.
Boîtes de message
Pour fermer automatiquement les fenêtres contextuelles après un certain temps, sélectionnez l'option Fermer
automatiquement les boîtes de message. Si les fenêtres d'alerte ne sont pas fermées manuellement, elles le sont
automatiquement, une fois que le délai fixé est écoulé.
4.7.2 Configuration de l'accès
Il est essentiel que ESET Mail Security soit correctement configuré pour garantir la sécurité maximale du système.
Tout changement inapproprié peut entraîner une perte de données importantes. Pour éviter les modifications non
autorisées, les paramètres de configuration de ESET Mail Security peuvent être protégés par mot de passe. Les
paramètres de configuration pour la protection du mot de passe se trouvent dans le sous-menu Configuration de
l'accès, sous Interface utilisateur dans l'arborescence de Configuration avancée (touche F5).
Protection des paramètres par mot de passe - Verrouille ou déverrouille les paramètres de configuration du
programme. Cliquez pour ouvrir la fenêtre de configuration de mot de passe.
Pour définir ou modifier un mot de passe afin de protéger les paramètres de configuration, cliquez sur Définir le
mot de passe.
Demander des droits d'administrateur complets pour des comptes administrateur limités - Sélectionnez cette
option pour inviter l'utilisateur actuel (s'il ne possède pas les droits d'administration) à fournir un nom d'utilisateur
et un mot de passe lorsqu'il modifie certains paramètres système (similaire au contrôle de compte d'utilisateur
(UAC) dans Windows Vista). Ces modifications incluent la désactivation des modules de protection.
230
REMARQUE
Si le mot de passe de Configuration de l'accès change et que vous souhaitez importer le fichier de configuration
.xml existant (qui a été signé avant le changement de mot de passe) à l'aide de la ligne de commande ESET CMD,
assurez-vous de le signer à nouveau à l'aide du mot de passe actuel. Cela vous permet d'utiliser un fichier de
configuration plus ancien sans avoir besoin de l'exporter sur une autre machine exécutant ESET Mail Security
avant l'importation.
4.7.2.1 Mot de passe
Pour éviter toute modification non autorisée, les paramètres de configuration de ESET Mail Security peuvent être
protégés par mot de passe.
4.7.2.2 Configuration du mot de passe
Pour protéger les paramètres de configuration de ESET Mail Security et ainsi éviter une modification non autorisée,
un nouveau mot de passe doit être défini. Lorsque vous voulez modifier un mot de passe existant, tapez votre
ancien mot de passe dans le champ Ancien mot de passe, puis entrez le nouveau mot de passe dans les champs
Nouveau mot de passe et Confirmer le mot de passe, puis cliquez sur OK. Ce mot de passe sera requis pour toute
modification à venir apportée à ESET Mail Security.
4.7.3 Aide
Lorsque vous appuyez sur la touche F1 ou cliquez sur le bouton ?, une fenêtre affichant l'aide en ligne s'ouvrira. Son
contenu constitue la source d'aide primaire. Cependant, il existe aussi une copie hors ligne de cette source d'aide
qui accompagne le programme. L'aide hors ligne s'ouvre lorsqu'aucune connexion à Internet n'est disponible.
La version la plus récente de l'Aide en ligne s'affiche automatiquement lorsque vous avez une connexion à Internet
fonctionnelle.
4.7.4 ESET Shell
Vous pouvez configurer les droits d'accès aux paramètres du produit, fonctionnalités et données par l'entremise
d'eShell en modifiant la Politique d'exécution ESET Shell. Script limité est le paramètre par défaut, mais vous
pouvez le modifier en sélectionnant les options Désactiver, Lecture seule ou Accès complet au besoin.
· Désactiver - eShell ne peut être utilisé du tout. Seule la configuration d'eShell est permise - dans le contexte ui
eshell . Vous pouvez personnaliser l'apparence d'eShell, mais vous n'avez pas accès aux paramètres ni aux
données du produit de sécurité.
· Lecture seule - eShell Cette option peut être utilisée comme outil de surveillance. Les modes Interactif et
Séquentiel permet l'affichage de tous les paramètres, mais il vous est impossible de modifier quelconque
paramètre, fonctionnalité ou donnée.
· Script limité - En mode Interactif, vous pouvez afficher et modifier tous les paramètres, toutes les fonctionnalités
et toutes les données. En mode Séquentiel, eShell fonctionnera comme si vous étiez en mode Lecture seule.
Cependant, si vous utilisez des fichiers séquentiels signés, il vous sera possible de modifier les paramètres et les
données.
· Accès complet - L'accès à tous les paramètres est illimité, tant en mode Interactif qu'en mode Traitement différé.
Vous pouvez afficher et modifier tous les paramètres. Vous devez utiliser un compte administrateur pour
exécuter eShell et bénéficier de l'accès complet. Si la fonction UAC est activée, une élévation est aussi requise.
231
4.7.5 Désactiver l'interface graphique sur le serveur de terminal
Cette section décrit la façon de désactiver l'interface graphique de ESET Mail Security utilisée dans les sessions
utilisateur ouvertes sur les serveurs de terminaux Windows.
En temps normal, l'interface graphique ESET Mail Security s'affiche chaque fois qu'un utilisateur distant ouvre une
session sur le serveur pour créer une session de terminal. Une telle situation est normalement indésirable sur les
Serveurs de terminal. Si vous voulez éteindre l'IUG des sessions de terminal, vous pouvez le faire par l'entremise
d'eShell en exécutant la commande ui ui gui-start-mode terminal définie. Cette action fera passer l'IUG en mode
terminal. Ce sont les deux modes disponibles pour le démarrage de l'IUG :
set ui ui gui-start-mode full
set ui ui gui-start-mode terminal
Si vous voulez savoir quel est le mode en cours d'utilisation, exécutez la commande get
ui ui gui-start-mode .
REMARQUE
Si vous avez installé ESET Mail Security sur un serveur Citrix, il est recommandé d'utiliser les paramètres qui sont
décrits dans notre article de la Base de connaissances.
4.7.6 Désactiver les messages et les états
Messages de confirmation - affiche une liste de messages de confirmation que vous pouvez choisir d'afficher ou de
ne pas afficher.
Paramètres états des applications - permet d'activer ou de désactiver l'état d'affichage dans l'onglet Surveillance du
menu principal.
4.7.6.1 Messages de confirmation
Cette boîte de dialogue affiche les messages de confirmation que ESET Mail Security affiche avant qu'une action ne
soit effectuée. Sélectionnez ou désélectionnez la case à cocher de chaque message de confirmation pour l'autoriser
ou le désactiver.
232
4.7.6.2 Paramètres des états de l'application
Cette boîte de dialogue vous permet de sélectionner ou désélectionner les états des applications qui seront
affichés ou non. Par exemple, lorsque vous interrompez la Protection antivirus et anti-logiciel espion, ce qui aura
pour résultat de modifier l'état de protection qui sera affiché sur la page Surveillance. Un état de l'application
s'affiche également si votre produit n'est pas activé ou si vous avez une licence qui a expiré.
Les états de l'application peuvent être gérés à partir des politiques ESET Remote Administrator. Les catégories et les
états sont affichés dans une liste comportant deux options Afficher et Envoyer l'état. La colonne Envoyer pour les
états de l'application ne sont visibles que dans la configuration de politique ESET Remote Administrator. ESET Mail
Security affiche les paramètres avec l'icône de verrouillage. Vous pouvez utiliser le mode prioritaire afin de
modifier temporairement les états de l'application.
233
4.7.7 Icône de la barre d'état système
Certaines des options de configuration les plus importantes ainsi que des fonctions sont disponibles en cliquant à
l'aide du bouton droit de la souris sur l'icône de la barre d'état système .
Suspendre la protection - Affiche la boîte de dialogue de confirmation qui désactive la Protection antivirus et antilogiciel espion contre les attaques de système malveillants grâce au contrôle des fichiers, du Web et des
communications par courriel.
Le menu déroulant Intervalle représente la période pendant laquelle toute la protection antivirus et anti-logiciel
espion sera désactivée.
Configuration avancée - Cochez cette option pour entrer dans Configuration avancée. Vous pouvez aussi accéder à
la configuration avancée en appuyant sur la touche F5 ou en allant à Configuration > Configuration avancée.
Fichiers journaux - Les Fichiers journaux contiennent tous les événements importants qui ont eu lieu et donnent un
aperçu des menaces détectées.
Masquer ESET Mail Security - Masque la fenêtre de ESET Mail Security de l'écran.
Rétablir la disposition de fenêtre - Réinitialise la fenêtre de ESET Mail Security à sa taille et position par défaut, à
l'écran.
Base de données des signatures de virus - Démarre la mise à jour de la banque de données de virus afin de
conserver votre niveau de protection contre les programmes malveillants.
À propos - Fournit de l'information sur le système, les détails à propos de la version installée de ESET Mail Security,
les modules du programme installés et la date d'expiration de votre licence. Les renseignements sur votre système
234
d'exploitation et sur les ressources du système se trouvent au bas de la page.
4.7.7.1 Suspendre la protection
À chaque fois que vous suspendez temporairement la protection antivirus et anti-logiciel espion à l'aide de l'icône
de la barre d'état système , la boîte de dialogue Suspendre la protection apparaîtra. Cela désactivera la protection
contre les logiciels malveillants pour la période choisie (pour désactiver la protection de façon permanente, vous
devez utiliser Configuration avancée). Soyez prudent, la désactivation de la protection peut exposer votre système
à des menaces.
4.7.8 Menu contextuel
Le menu contextuel s'affiche après avoir cliqué à droite sur un objet (fichier). Le menu donne la liste de toutes les
actions que vous pouvez effectuer sur un objet.
Il est possible d'intégrer les éléments de contrôle de ESET Mail Security dans le menu contextuel. Les options de
configuration de cette fonctionnalité sont disponibles dans l'arborescence de Configuration avancée sous Interface
utilisateur > Éléments d'interface utilisateur.
Intégrer au menu contextuel - Intègre les éléments de contrôle ESET Mail Security dans le menu contextuel.
235
4.8 Rétablir tous les paramètres dans cette section
Rétablit les paramètres par défaut du module aux valeurs définies par ESET. Veuillez noter que tous les
changements qui ont été effectués seront perdus après que vous aurez cliquez sur Revenir aux paramètres par
défaut.
Rétablir le contenu des tableaux - Lorsque cette option est activée, les règles, les tâches ou les profils qui ont été
ajoutés manuellement ou automatiquement seront perdus.
4.9 Rétablir les paramètres par défaut
Tous les paramètres du programme, pour tous les modules, seront réinitialisés à l'état qu'ils devraient avoir après
une nouvelle installation.
236
4.10 Planificateur
Le Planificateur à planifier les tâches suivantes : la mise à jour de la base de données des signatures de virus, les
tâches d'analyse, le contrôle des fichiers de démarrage du système et la maintenance des journaux. Vous pouvez
ajouter ou supprimer des tâches directement à partir de la fenêtre principale du Planificateur (cliquez sur Ajouter
une tâche ou Supprimer, dans le bas). Cliquez avec le bouton droit en un point quelconque de la fenêtre du
planificateur pour effectuer les actions suivantes : afficher de l'information détaillée, exécuter la tâche
immédiatement, ajouter une nouvelle tâche et supprimer une tâche existante. Utilisez les cases à cocher au début
de chaque entrée pour activer ou désactiver les tâches.
Par défaut, les tâches planifiées suivantes s'affichent dans le Planificateur :
· Maintenance des journaux
· Mise à jour automatique régulière
· Mise à jour automatique après une connexion commutée
· Mise à jour automatique après ouverture de session utilisateur
· Vérification automatique des fichiers de démarrage (après ouverture de session utilisateur)
· Vérification automatique des fichiers de démarrage (après la mise à jour réussie de la base des signatures de
virus)
· Première analyse automatique
Pour modifier la configuration d'une tâche planifiée existante (tant par défaut que définie par l'utilisateur), cliquez
avec le bouton droit sur la tâche, puis sur Modifier... ou sélectionnez la tâche que vous voulez modifier, puis cliquez
sur le bouton Modifier.
Ajouter une nouvelle tâche :
1. Cliquez sur Ajouter une tâche au bas de la fenêtre.
2. Entrez un nom pour la tâche.
3. Sélectionnez le type de tâche désiré.
4. Placez l'interrupteur en position Activée si vous voulez activer la tâche (vous pouvez le faire ultérieurement en
sélectionnant/désélectionnant la case à cocher dans la liste des tâches planifiées).
5. Cliquez sur Suivant et sélectionnez l'une des options de périodicité, puis indiquez à quel moment elle sera de
nouveau exécutée.
6. Vérifiez la tâche planifiée en double cliquant sur celle-ci dans l'affichage Planificateur ou cliquez du droit sur la
tâche planifiée et sélectionnez Afficher les détails de la tâche.
4.10.1 Détails de la tâche
Entrez le nom de la tâche et sélectionnez votre type de tâche souhaité à partir du menu déroulant :
· Exécuter une application externe - Planifie l'exécution d'une application externe.
· Maintenance des journaux - Les fichiers journaux contiennent les restes des enregistrements supprimés. Cette
tâche optimise les enregistrements dans les fichiers journaux de façon régulière, afin qu'ils puissent fonctionner
de façon efficace.
· Contrôle des fichiers de démarrage du système - Vérifie les fichiers qui peuvent être exécutés au démarrage du
système ou lors de l'ouverture de session.
· Créer un instantané de l'état de l'ordinateur - Crée un instantané de l'ordinateurESET SysInspector - recueille des
renseignements détaillés sur les composants du système (pilotes, applications, par ex.) et évalue le niveau de
risque de chacun des composants.
· Analyse de l'ordinateur à la demande - Effectue l'analyse des fichiers et dossiers de votre ordinateur.
· Première analyse - Par défaut, l'analyse de l'ordinateur sera effectuée 20 minutes après une installation ou un
redémarrage comme tâche à priorité faible.
· Mise à jour - Planifie une tâche de mise à jour dont le but est de mettre à jour la base de données des signatures
de virus et les modules du programme.
· Analyse de base de données - Vous permet de planifier une analyse de base de données et de choisir les
éléments qui seront analysés. Il s'agit en fait d'une Analyse de base de données à la demande.
237
REMARQUE
Si la Protection de la base de données de la boîte de courriel est activée, vous pouvez quand même programmer
cette tâche, mais le message d'erreur Analyse de base de données - Analyse interrompue en raison d'une erreur
sera affiché dans la section Analyse de l'IUG principale. Pour éviter cela, vous devez vous assurer que la
protection de la base de données de la boîte de courriels est désactivée à l'heure à laquelle l'Analyse de la base
de données est programmée.
· Envoi des rapports de courriels mis en quarantaine - Planifie l'envoi par courriel du rapport de mise en
quarantaine de courriels.
· Analyse en arrière-plan - Donne au serveur Exchange la possibilité d'exécuter une analyse de base de données en
arrière plan si nécessaire.
· Analyse Hyper-V - Planifie une analyse des disques virtuels dans Hyper-V.
Si vous souhaitez désactiver la tâche une fois qu'elle est créée, cliquez sur le bouton à côté de Activée. Vous pouvez
activer la tâche plus tard en utilisant la case à cocher dans l'affichage Planificateur. Cliquez sur Suivant pour passer à
l'étape suivante.
4.10.2 Calendrier de la tâche - Une fois
Indiquez l'heure et la date pour une exécution unique de la tâche.
4.10.3 Calendrier de la tâche
Sélectionnez l'une des options de fréquence suivantes à laquelle où vous voulez que la tâche planifiée soit
exécutée :
·
·
·
·
·
Une fois - La tâche ne sera exécutée qu'une fois, à la date et à l'heure définies.
Plusieurs fois - La tâche sera exécutée à l'intervalle de temps indiqué (en minutes).
Quotidiennement - La tâche sera exécutée de façon répétée tous les jours à l'heure indiquée.
Chaque semaine - La tâche sera exécutée une ou plusieurs fois par semaine, à l'heure et au(x) jour(s) définis.
Déclenchée par un événement - La tâche sera exécutée lorsque l'événement indiqué se produira.
Si vous activez l'option Ignorer la tâche lors du fonctionnement sur batterie, aucune tâche ne sera exécutée si
l'ordinateur est alimenté par batterie au moment ou elle doit démarrer. Cela concerne par exemple les ordinateurs
fonctionnant sur UPS.
Cliquez sur Suivant pour passer à l'étape suivante.
4.10.4 Calendrier de la tâche - Une fois par jour
Spécifiez l'heure à laquelle la tâche sera exécutée tous les jours.
4.10.5 Calendrier de la tâche - Hebdomadaire
La tâche sera exécutée à l'heure et au jour définis.
4.10.6 Calendrier de la tâche - Déclenchée par un événement
La tâche peut être déclenchée par l'un des événements suivants :
·
·
·
·
·
·
·
Chaque fois que l'ordinateur démarre
Chaque jour au premier démarrage de l'ordinateur
Connexion commutée à Internet/VPN
Mise à jour réussie de la base de données des signatures de virus
Mise à jour réussie des composants du programme
Ouverture de session utilisateur
Détection de menace
Vous pouvez préciser l'intervalle de temps minimum entre deux exécutions de la tâche déclenchée par événement.
Par exemple, si vous ouvrez plusieurs sessions pendant une journée, il est préférable de choisir 24 heures afin de
238
n'exécuter la tâche qu'à la première connexion de la journée et puis le jour suivant.
4.10.7 Détails de la tâche - Exécuter une application
Cette tâche permet de programmer l'exécution d'une application externe.
· Fichier exécutable - Choisissez un fichier exécutable dans l'arborescence de répertoire, cliquez sur naviguer (...)
ou entrez manuellement le chemin d'accès.
· Dossier de travail - Définit le dossier de travail de l'application externe. Tous les fichiers temporaires du Fichier
exécutable sélectionné seront créés dans ce dossier.
· Paramètres - Paramètres de ligne de commande à utiliser pour l'application (facultatif).
Cliquez sur Terminer pour créer la tâche ou pour appliquer les modifications si vous avez modifié la tâche existante.
4.10.8 Envoyer les rapports de quarantaine de courriel
La tâche Envoyer les rapports de quarantaine de courriels envoie un rapport Quarantaine de courriel par courriel.
REMARQUE
La tâche Envoyer des rapports de quarantaine de courriel est disponible uniquement lorsque vous utilisez la
mise en quarantaine locale. Vous ne pourrez pas l'utiliser avec la boîte de courriels de quarantaine et la
quarantaine MS Exchange.
· Adresse de l'expéditeur - Permet de spécifier une adresse de courriel qui sera affichée en tant qu'expéditeur du
rapport de Quarantaine de courriel.
· Nombre de d'enregistrements maximum dans le rapport - Vous pouvez limiter le nombre d'entrées dans chaque
rapport. Le nombre par défaut est de 50.
· URL Web - Cette adresse URL sera incluse dans le rapport de Quarantaine de courriel, ce qui fait en sorte que le
destinataire peut simplement cliquer sur le lien pour accéder à l'interface Web de la Quarantaine de courriel.
· Destinataires - Permet de choisir les utilisateurs qui recevront les rapports de Quarantaine de courriel. Cliquez sur
Modifier pour sélectionner les boîtes de courriel pour des destinataires spécifiques.
Cliquez sur Terminer pour créer la tâche planifiée.
REMARQUE
Le rapport Quarantaine de courriel ne sera envoyé que s'il y a des messages en quarantaine. Si la quarantaine est
vide, le rapport ne sera pas envoyé.
4.10.9 Tâche ignorée
Si une tâche n'a pas pu être exécutée à l'heure définie, il est possible de préciser le moment où elle sera exécutée :
· À la prochaine heure planifiée - La tâche sera exécutée à l'heure précisée (par exemple, après 24 heures).
· Dès que possible - la tâche sera exécutée dès que possible, lorsque les actions qui empêchent l'exécution de la
tâche ne sont plus valides.
· Immédiatement si le temps écoulé depuis la dernière exécution dépasse la valeur spécifiée - Temps depuis la
dernière exécution (heures) - Une fois cette option sélectionnée, la tâche sera toujours répétée après la durée
indiquée (en heures).
239
4.10.10 Aperçu des tâches planifiées
Cette fenêtre de dialogue affiche des informations détaillées au sujet de la tâche planifiée lorsque vous doublecliquez sur la tâche dans l'affichage Planificateur ou lorsque vous effectuez un clic droit sur la tâche planifiée et
choisissez Afficher les détails de la tâche.
4.10.11 Tâche du planificateur - Analyse en arrière-plan
Ce type de tâche permet d'analyser la base de données à l'aide de VSAPI en arrière-plan. Il permet essentiellement
à votre serveur Exchange d'exécuter une analyse en arrière-plan si nécessaire. L'analyse est déclenchée par le
serveur Exchange lui-même, ce qui signifie que c'est le serveur Exchange qui décide si l'analyse sera exécutée dans
le temps imparti.
Nous vous recommandons d'autoriser l'exécution de cette tâche en dehors des heures de pointe, lorsque votre
serveur Exchange n'est pas occupé, par exemple pendant la nuit. En effet, l'analyse de la base de données en
arrière-plan pourrait augmenter la charge de travail de votre système. En outre, l'intervalle de temps ne devrait pas
coïncider avec celui des sauvegardes qui pourraient être en cours d'exécution sur votre serveur Exchange afin
d'éviter des problèmes de performances ou de disponibilité.
REMARQUE
La protection de la base de données de boîte de courriels doit être activée pour que la tâche planifiée s'exécute.
Ce type de protection est seulement offert avec Microsoft Exchange Server 2010, 2007 et 2003 fonctionnant dans
le Serveur de la boîte de messagerie (Microsoft Exchange 2010 et 2007) ou dans le rôle du Serveur dorsal
(Microsoft Exchange 2003).
Durée (heures) - Spécifie le nombre d'heures pendant lesquelles votre serveur Exchange est autorisé à exécuter
l'analyse de la base de données en arrière-plan à compter du moment où la tâche planifiée est exécutée. Une fois
que le délai expire, Exchange reçoit l'ordre de mettre fin à son analyse en arrière plan.
240
4.10.12 Profils de mise à jour
Pour mettre à jour le programme à partir de deux serveurs de mise à jour, vous devez créer deux profils de mise à
jour distincts. Si le premier ne permet pas de télécharger les fichiers de mise à jour, le programme bascule
automatiquement vers le second. Cela convient, par exemple, pour les ordinateurs portables dont la mise à jour
s'effectue normalement à partir d'un serveur de mise à jour sur le réseau local, mais dont les propriétaires se
connectent souvent à Internet à partir d'autres réseaux. Ainsi, en cas d'échec du premier profil, le second télécharge
automatiquement les fichiers de mise à jour à partir des serveurs de mise à jour ESET.
Vous trouverez plus d'information sur les profils de mise à jour dans le chapitre Mise à jour.
4.11 Quarantaine
· Mise de fichiers en quarantaine
· Restauration d'un fichier en quarantaine
· Soumission d'un fichier de quarantaine
4.11.1 Mise de fichiers en quarantaine
ESET Mail Security envoie automatiquement les fichiers supprimés en quarantaine (si l'utilisateur n'a pas désactivé
cette option dans la fenêtre d'alerte). Au besoin, vous pouvez mettre manuellement en quarantaine tout fichier
suspect en cliquant sur Quarantaine. Dans ce cas, le fichier d'origine n'est pas supprimé de son emplacement initial.
Il est également possible d'utiliser le menu contextuel à cette fin. Il suffit de cliquer à droite dans la fenêtre
Quarantaine et de sélectionner Quarantaine.
241
4.11.2 Restaurer depuis la quarantaine
Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement d'origine. Pour restaurer un fichier
en quarantaine, faites un clic droit dans la fenêtre de quarantaine et sélectionnez Restaurer dans le menu
contextuel qui s'affiche. Si un fichier est signalé comme application potentiellement indésirable, l'option Restaurer
et exclure de l'analyse sera également offerte. Le menu contextuel offre également l'option Restaurer vers..., qui
permet de restaurer des fichiers vers un emplacement autre que celui d'où ils ont été supprimés.
Suppression du dossier de quarantaine - Cliquez à droite sur un élément donné et sélectionnez Supprimer du
dossier de quarantaine, ou sélectionnez l'élément que vous voulez supprimer et cliquez sur la touche Supprimer de
votre clavier. Vous pouvez également sélectionner plusieurs éléments et les supprimer ensemble.
REMARQUE
Si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer, veuillez
l'exclure de l'analyse et de l'envoyer au Service à la clientèle ESET.
4.11.3 Soumission de fichiers de quarantaine
Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été jugé infecté
par erreur (par exemple, par l'analyse heuristique du code) et mis en quarantaine, envoyez ce fichier au laboratoire
ESET Threat Lab. Pour soumettre un fichier à la quarantaine, cliquez à droite sur le fichier et sélectionnez Soumettre
pour analyse à partir du menu contextuel.
4.12 Mises à jour du système d'exploitation
La fenêtre Mises à jour système affiche la liste des mises à jour disponibles, prêtes pour téléchargement et
installation. Le niveau de priorité de chaque mise à jour s'affiche à côté de son nom.
Cliquez sur Exécuter une mise à jour système pour lancer le téléchargement et l'installation des mises à jour du
système d'exploitation.
Cliquez à droite sur toute rangée de mise à jour puis sur Afficher l'information pour afficher une fenêtre
contextuelle avec de l'information supplémentaire.
242
5. Glossaire
Le glossaire contient un grand nombre des termes techniques relatifs aux menaces et à la sécurité Internet.
Choisissez une catégorie (ou consultez un glossaire de radar pour virus en ligne) :
· Types d'infiltrations
· Courriel
5.1 Types d'infiltrations
Une infiltration est un bout de logiciel malveillant qui tente de s'introduire dans l'ordinateur d'un utilisateur ou de
l'endommager.
· Virus
· Vers
· Chevaux de Troie
· Rootkits
· Logiciels publicitaires
· Logiciel espion
· Réseau de zombies
· Rançongiciel
· Compresseurs
· Exploit Blocker
· Analyseur de mémoire avancé
· Applications potentiellement dangereuses
· Applications potentiellement indésirables
REMARQUE
Visitez notre page Virus radar pour plus de renseignements au sujet du glossaire, des versions de la base de
données de signature de Virus ESET ou des outils.
5.1.1 Virus
Un virus est une infiltration qui endommage les fichiers existants de votre ordinateur. Les virus informatiques sont
comparables aux virus biologiques parce qu'ils utilisent des techniques similaires pour se propager d'un ordinateur
à l'autre.
Les virus informatiques attaquent principalement les fichiers et documents exécutables. Pour proliférer, un virus
joint son « corps » à la fin d'un fichier cible. En bref, un virus informatique fonctionne comme ceci : après
l'exécution du fichier infecté, le virus s'active lui-même (avant l'application originale) et exécute une tâche
prédéfinie. Ce n'est qu'après cela que l'application originale pourra s'exécuter. Un virus ne peut pas infecter un
ordinateur à moins qu'un utilisateur exécute ou ouvre lui-même (accidentellement ou délibérément) le
programme malveillant.
L'activité et la gravité des virus varient. Certains sont extrêmement dangereux parce qu'ils ont la capacité de
supprimer délibérément des fichiers du disque dur. D'autres, en revanche, ne causent pas de véritables dommages :
ils ne servent qu'à ennuyer l'utilisateur et à démontrer les compétences techniques de leurs auteurs.
Il est important de noter que les virus sont (par rapport aux chevaux de Troie et aux logiciels espions) de plus en
243
plus rares, parce qu'ils ne sont pas commercialement très attrayants pour les auteurs de programmes malveillants.
En outre, le terme « virus » est souvent utilisé de façon inappropriée pour couvrir tout type d'infiltrations. On tend
aujourd'hui à le remplacer progressivement par le terme plus précis « logiciel malveillant » ou « malware » en
anglais.
Si votre ordinateur est infecté par un virus, il est nécessaire de restaurer les fichiers infectés à leur état original,
c'est-à-dire de les nettoyer à l'aide d'un programme antivirus.
Dans la catégorie des virus, on peut citer :: OneHalf, Tenga et Yankee Doodle.
5.1.2 Vers
Un ver est un programme contenant un code malveillant qui attaque les ordinateurs hôtes et se répand par un
réseau. La différence de base entre un virus et un ver est que les vers ont la capacité de se répliquer et de voyager
par eux-mêmes. Ils ne dépendent pas des fichiers hôtes (ou des secteurs d'amorçage). Ils se répandent par
l'entremise des adresses courriel enregistrées dans votre liste de contacts ou exploitent les failles de sécurité de
diverses applications réseau.
Les vers sont ainsi susceptibles de vivre beaucoup plus longtemps que les virus. Grâce à Internet, ils peuvent se
propager à travers le monde en quelques heures ou minutes après leur lancement. Leur capacité à se répliquer
indépendamment et rapidement les rend plus dangereux que les autres types de programmes malveillants.
Un ver activé dans un système peut être à l'origine de plusieurs dérèglements : il peut supprimer des fichiers,
dégrader les performances du système ou même désactiver des programmes. De par sa nature, un ver informatique
peut servir de « moyen de transport » à d'autres types d'infiltrations.
Si votre ordinateur est infecté par un ver, il est recommandé de supprimer les fichiers infectés parce qu'ils
contiennent probablement du code malicieux.
Parmi les vers les plus connus, on peut citer :: Lovsan/Blaster, Stration/Warezov, Bagle et Netsky.
5.1.3 Chevaux de Troie
Dans le passé, les chevaux de Troie ont été définis comme une catégorie d'infiltrations ayant comme particularité
de se présenter comme des programmes utiles pour duper ensuite les utilisateurs qui acceptent de les exécuter. Il
est cependant important de remarquer que cette définition s'applique aux anciens chevaux de Troie. Aujourd'hui, il
ne leur est plus utile de se déguiser. Ils n'ont qu'un objectif : trouver la manière la plus facile de s'infiltrer pour
accomplir leurs desseins malveillants. « Cheval de Troie » est donc devenu un terme très général qui décrit toute
infiltration qui n'entre pas dans une catégorie précise.
La catégorie étant très vaste, elle est souvent divisée en plusieurs sous-catégories :
· Téléchargeur - Programme malveillant capable de télécharger d'autres infiltrations sur l'Internet.
· injecteur - Type de cheval de Troie conçu pour déposer d'autres types de logiciels malveillants sur des ordinateurs
infectés.
· Porte dérobée - Application qui communique à distance avec les pirates et leur permet d'accéder à un système et
d'en prendre le contrôle.
· Enregistreur de frappe (« keystroke logger ») - Programme qui enregistre chaque touche sur laquelle l'utilisateur
appuie avant d'envoyer l'information aux pirates.
· composeur - Programme destiné à se connecter à des numéros surfacturés. Il est presque impossible qu'un
utilisateur remarque qu'une nouvelle connexion a été créée. Les composeurs ne peuvent porter préjudice qu'aux
utilisateurs ayant des modems par ligne commutée, qui sont de moins en moins utilisés.
Les chevaux de Troie prennent généralement la forme de fichiers exécutables avec l'extension .exe. Si un fichier est
identifié comme cheval de Troie sur votre ordinateur, il est recommandé de le supprimer, car il contient sans doute
du code malveillant.
Parmi les chevaux de Troie les plus connus, on peut citer :: NetBus, Trojandownloader. Small.ZL, Slapper.
244
5.1.4 Rootkits
Les rootkits offrent aux pirates un accès illimité à un système tout en dissimulant leur présence. Après avoir accédé
au système (généralement en exploitant une faille), ces programmes utilisent des fonctions du système
d'exploitation pour se protéger des logiciels antivirus : ils cachent des processus, des fichiers et des données du
registre Windows. C'est pour cette raison qu'il est presque impossible de les détecter à l'aide des techniques de
vérification ordinaires.
Il y a deux niveaux de détection permettant d'éviter les rootkits :
1) lorsqu'ils essaient d'accéder au système. Ils ne sont pas encore installés et sont donc inactifs. La plupart des
antivirus sont en mesure de les éliminer à ce niveau (en supposant qu'ils détectent effectivement les fichiers
comme infectés).
2) lorsqu'ils sont inaccessibles aux tests habituels. Les utilisateurs de ESET Mail Security bénéficient de la
technologie Anti-Stealth qui permet de détecter et d'éliminer les rootkits en activité.
5.1.5 Logiciels publicitaires
5.1.6 Zombienet
Un bot, ou un robot web est un programme malveillant automatisé qui analyse les blocs d'adresses réseau et
infecte les ordinateurs vulnérables. Grâce à ce programme, les pirates informatiques peuvent prendre le contrôle
de plusieurs ordinateurs au même moment et les transformer en bots (aussi appelés zombies). Les pirates
informatiques utilisent généralement les bots pour infecter un grand nombre d'ordinateurs. Ce groupe
d'ordinateurs infectés est appelé réseau d'ordinateurs zombies. Une fois que votre ordinateur est infecté et devient
membre du réseau d'ordinateurs zombies, il peut être utilisé pour des attaques par déni de service distribué (DDoS)
et peut également être utilisé pour effectuer des tâches automatisées sur Internet sans que vous le sachiez (par
exemple l'envoi de pourriels et de virus ou le vol des informations personnelles et privées telles que des
informations bancaires ou des numéros de carte de crédit).
Pour de plus amples renseignements, voir Virus radar.
5.1.7 Rançongiciel
Un type particulier de logiciels malveillants utilisés pour l'extorsion. Lorsqu'il est activé, le rançongiciel empêche
l'accès à un périphérique ou à ses données jusqu'à ce que la victime paie de l'argent.
5.1.8 Logiciel espion
Cette catégorie englobe toutes les applications qui envoient des données confidentielles sans le consentement des
utilisateurs et à leur insu. Ces applications utilisent des fonctions de traçage pour envoyer diverses données
statistiques telles qu'une liste des sites Web consultés, les adresses courriel de la liste de contacts de l'utilisateur
ou une liste des touches de frappe utilisées.
Les auteurs de ces logiciels espions affirment que ces techniques ont pour but d'en savoir plus sur les besoins et
intérêts des utilisateurs afin de mieux cibler les offres publicitaires. Le problème est qu'il n'y a pas de distinction
claire entre les applications utiles et les applications malveillantes, et que personne ne peut garantir que les
données récupérées ne seront pas utilisées à des fins frauduleuses. Les données récupérées par les logiciels
espions peuvent être des codes de sécurité, des NIP, des numéros de compte bancaire, etc. Les logiciels espions
sont souvent intégrés aux versions gratuites d'un programme dans le but de générer des gains ou d'inciter à l'achat
du logiciel. Les utilisateurs sont souvent informés de la présence d'un logiciel espion au cours de l'installation d'un
programme afin de les inciter à acquérir la version payante qui en est dépourvue.
Parmi les produits logiciels gratuits bien connus qui contiennent des logiciels espions, on trouve les applications
clients de réseaux P2P (poste-à-poste). Spyfalcon ou Spy Sheriff (et beaucoup d'autres) appartiennent à une souscatégorie particulière de logiciels espions : ils semblent être des programmes anti-logiciels espions alors qu'en
réalité, ils sont eux-mêmes des logiciels espions.
Si un fichier est indiqué comme logiciel publicitaire sur votre ordinateur, il est préférable de le supprimer, car le
245
risque est grand qu'il contienne du code malveillant.
5.1.9 Compresseurs
Un logiciel de compression est un fichier exécutable à extraction automatique qui regroupe plusieurs types de
programmes malveillants dans un seul ensemble.
Les plus communs sont UPX, PE_Compact, PKLite et ASPack. Un même logiciel malveillant peut être détecté
différemment, lorsque comprimé avec différents logiciels de compression. Les compresseurs sont capables de faire
muter leur « signature » au fil du temps, les programmes malveillants deviennent ainsi plus difficiles à détecter et à
supprimer.
5.1.10 Exploit Blocker
Exploit Blocker est conçu pour protéger les applications souvent exploitées, comme les navigateurs Web, les
lecteurs PDF, les clients de messagerie ou les composants MS Office. Il surveille le comportement des processus
afin de détecter toute activité suspecte qui pourrait indiquer un exploit. Il ajoute une couche de protection, un pas
de plus pour s'approcher des pirates, en utilisant une technologie complètement différente des techniques axées
sur la détection de fichiers malveillants eux-mêmes.
Quand Exploit Blocker identifie un processus suspect, il peut l'arrêter immédiatement et enregistrer des données à
propos de la menace, qui sont ensuite envoyées au système en nuage ESET LiveGrid. Ces données sont traitées par
le laboratoire ESET et utilisées pour mieux protéger tous les utilisateurs des menaces inconnues et des attaques du
jour zéro (nouveaux logiciels malveillants publiés pour lesquels il n'existe aucun remède préconfiguré).
5.1.11 Analyseur de mémoire avancé
L'Analyseur de mémoire amélioré, de pair avec Exploit Blocker, offre une meilleure protection contre les logiciels
malveillants qui utilisent l'obscurcissement et/ou le chiffrement pour éviter d'être détectés. Lorsque l'émulation
ordinaire ou l'heuristique ne parvient pas à détecter une menace, l'Analyseur de mémoire amélioré est capable
d'identifier les comportements suspects et d'analyser les menaces lorsqu'elles se révèlent dans la mémoire
système. Cette solution est efficace contre les logiciels malveillants d'obscurcissement les plus puissants.
Contrairement à Exploit Blocker, c'est une méthode postexécution qui est utilisée ici, ce qui signifie qu'il y a un
risque qu'une activité malveillante ait été exécutée avant d'être détectée comme une menace. Toutefois, lorsque
les autres techniques de détection ont échoué, cette méthode apporte une couche de sécurité supplémentaire.
5.1.12 Applications potentiellement dangereuses
Il existe de nombreux programmes authentiques qui permettent de simplifier l'administration des ordinateurs en
réseau. Toutefois, s'ils tombent entre de mauvaises mains, ces programmes sont susceptibles d'être utilisés à des
fins malveillantes. ESET Mail Security vous offre l'option de détecter de telles menaces.
Les applications potentiellement dangereuses entrent dans une classification utilisée pour les logiciels
légitimement commerciaux. Elle inclut également les programmes d'accès à distance, les applications de craquage
de mots de passe ou les enregistreurs de frappe (un programme qui enregistre chacune des frappes sur le clavier de
l'utilisateur).
Si vous découvrez qu'une application potentiellement dangereuse est présente et fonctionne sur votre ordinateur
(sans que vous l'ayez installée), consultez votre administrateur réseau et supprimez l'application.
246
5.1.13 Applications potentiellement indésirables
Les applications potentiellement indésirables (API) ne sont pas nécessairement malveillantes, mais elles sont
susceptibles d'affecter les performances de votre ordinateur. Ces applications exigent généralement le
consentement de l'utilisateur avant leur installation. Si elles sont présentes sur votre ordinateur, votre système se
comportera différemment (par rapport à son état avant l'installation). Les changements les plus significatifs sont :
·
·
·
·
·
L'apparition de nouvelles fenêtres qui n'existaient pas auparavant (fenêtres publicitaires, annonces)
Des processus cachés qui sont activés et exécutés
Une plus grande utilisation des ressources système
La modification des résultats de recherche
Le fait que l'application communique avec des serveurs distants
Lorsqu'une application potentiellement indésirable est détectée, vous devez décider de l'action à prendre :
1. Nettoyer/Déconnecter: Cette option met fin à l'action et empêche la menace potentielle d'entrer dans votre
système.
2. Aucune action : Cette option autorise la menace potentielle à accéder à votre système.
3. Pour permettre à une application de s'exécuter sur votre ordinateur à l'avenir sans interruption, cliquez sur Plus
d'information/Afficher les options avancées, puis cochez la case située à côté de Exclure de la détection ou
Exclure la signature de la détection.
5.2 Courriel
Le courriel est une forme de communication moderne qui offre beaucoup d'avantages. Il est souple, rapide et direct
et a joué un rôle crucial dans l'expansion d'Internet au début des années 1990.
Malheureusement, le grand anonymat des courriels et d'Internet a laissé libre champ à beaucoup d'activités
illégales telles que le pollupostage. Le pourriel comprend les publicités indésirables, les canulars et les logiciels
malveillants. Les désagréments et le danger pour l'utilisateur ont augmenté tout simplement du fait que l'envoi de
tels messages ne coûte presque rien et que les auteurs du pourriel disposent de bon nombre d'outils pour acquérir
facilement de nouvelles adresses de courriel. En plus, le volume et les différents types de pourriel ne facilitent pas
la règlementation. Plus longtemps vous utilisez votre adresse courriel, plus vous augmentez la possibilité qu'elle
finisse par être ajoutée dans la base de données d'un moteur de pourriel. Quelques conseils à titre de prévention :
· Si possible, ne publiez pas votre adresse de courriel sur Internet.
· Ne donnez votre adresse de courriel qu'à des personnes en qui vous avez confiance.
· Si possible, n'utilisez pas de pseudonyme commun - plus le pseudonyme est complexe, moins grande est la
probabilité de traçage.
· Ne répondez pas aux pourriels déjà présents dans votre boîte de réception.
· Faites attention lorsque vous remplissez des formulaires Internet : soyez particulièrement attentif aux cases à
cocher du type « Oui, je voudrais recevoir des informations concernant... ».
· Utilisez des adresses de messagerie « spécialisées », par ex., une pour le travail, une pour communiquer avec vos
amis, etc.
· De temps à autre, changez votre adresse de courriel.
· Utilisez une solution antipourriel.
247
5.2.1 Publicités
La publicité par Internet est une des formes de publicité les plus en vogue. Ses coûts minimaux et sa grande
efficacité en sont les principaux avantages marketing, tout comme le fait que ces messages soient transmis presque
immédiatement. Nombre d'entreprises utilisent des outils de marketing par courriel pour communiquer de
manière efficace avec leurs clients et clients éventuels.
Ce type de publicité est légitime, car l'utilisateur pourrait souhaiter recevoir des informations commerciales sur
certains produits. Mais de nombreuses entreprises envoient également en masse des messages commerciaux non
sollicités. La publicité par courriel dépasse alors les limites et devient du pourriel.
La quantité de messages publicitaires non sollicités est devenue un réel problème, car elle ne montre aucun signe
d'accalmie. Les auteurs de messages non sollicités tentent souvent de déguiser le pourriel sous des dehors de
messages légitimes.
5.2.2 Canulars
Un canular se définit comme de la désinformation diffusée sur Internet. Les canulars sont généralement envoyés
par courriel ou par des outils de communication tels ICQ et Skype. Le message en lui-même est souvent une blague
ou une légende urbaine.
Les canulars essaient de provoquer chez les destinataires de la peur, de l'incertitude et du doute, les amenant à
croire qu'ils ont un « virus indétectable » en train de supprimer tous les fichiers et de récupérer les mots de passe
ou d'effectuer une activité nuisible sur leur système.
Certains canulars se propagent parce qu'ils invitent les destinataires à réacheminer les messages reçus à leurs
contacts, ce qui perpétue le cycle de vie des canulars. On y retrouve notamment des canulars liés aux téléphones
cellulaires, des « demandes d'aide », des personnes qui vous proposent de vous envoyer de l'argent de l'étranger,
etc. Dans la plupart des cas, il est impossible de traquer l'intention du créateur.
En un mot, si un message vous demande de le réacheminer à toutes vos connaissances, il est fort possible qu'il
s'agisse d'un canular. On retrouve, sur Internet, bon nombre de sites qui permettent de vérifier si un message est
légitime ou non. Avant de réacheminer un message, faites une recherche sur Internet si vous avez des doutes quant
à un message reçu.
5.2.3 Hameçonnage
Le terme hameçonnage (« phishing » en anglais) désigne une activité frauduleuse utilisant des techniques de
piratage psychologique qui consistent à manipuler les utilisateurs pour obtenir des données confidentielles. Son
but est d'accéder à des données sensibles, telles que numéros de comptes bancaires, NIP, etc.
La technique consiste généralement à envoyer un courriel en se faisant passer pour une personne ou une
entreprise digne de confiance (institution financière, compagnie d'assurance). Le message peut sembler très
authentique et contenir des graphiques et contenus qui proviennent véritablement de la source dont il se réclame.
Vous êtes invité à entrer, sous divers prétextes (vérification de données, opérations financières), certaines de vos
données personnelles, vos numéros de compte bancaire ou nom d'utilisateur et mot de passe. Toutes ces données,
si elles sont soumises, peuvent facilement être volées et utilisées à des fins illégales.
Notez que les banques, compagnies d'assurance et autres sociétés légales ne demandent jamais les noms
d'utilisateur et mots de passe dans un message non sollicité.
248
5.2.4 Reconnaissance des pourriels
Peu d'indicateurs permettent généralement d'identifier les pourriels (messages non sollicités) dans une boîte aux
lettres. Si un message satisfait au moins l'un des critères suivants, c'est probablement un pourriel.
· L'adresse de l'expéditeur ne figure pas dans la liste de vos contacts.
· On vous offre une importante somme d'argent, mais vous devez en fournir une petite somme avant.
· On vous demande d'entrer, sous divers prétextes (vérification de données, opérations financières), certaines de
vos données personnelles : numéros de compte bancaire ou noms d'utilisateur et mots de passe.
· Le message est écrit dans une langue étrangère.
· On vous demande d'acheter un produit qui ne vous intéresse pas. Si vous décidez de l'acheter quand même,
assurez-vous que l'expéditeur du message est un identifiant fiable (consultez le fabricant original du produit).
· Quelques mots sont mal écrits pour pouvoir passer à travers le filtre de pourriel. Par exemple « vaigra » au lieu de
« viagra », etc.
5.2.4.1 Règles
Dans le contexte des solutions antipourriel et des clients de messagerie, les règles sont des outils permettant de
manipuler les fonctions du courriel. Elles se composent de deux parties logiques :
1) La condition (par exemple, un message entrant provenant d'une certaine adresse)
2) L'action (par exemple, la suppression du message ou son déplacement vers un dossier particulier).
Le nombre de règles et leurs combinaisons varient en fonction de la solution antipourriel. Ces règles servent de
protection contre les pourriels (messages non sollicités). Exemples types :
· Condition : Un message entrant contient des mots habituellement utilisés dans les pourriels 2. Action : Supprimer
le message.
· Condition : Un message entrant contient une pièce jointe comportant l'extension .exe 2. Action : Supprimer la
pièce jointe et livrer le message dans la boîte de courriels.
· Condition : Un message entrant arrive de votre employeur 2. Action : Déplacer le message dans le dossier
« Travail »
Il est recommandé d'utiliser une combinaison de règles dans les programmes antipourriel afin de faciliter
l'administration et filtrer les pourriels avec plus d'efficacité.
5.2.4.2 Liste blanche
En général, une liste blanche regroupe des éléments ou des personnes qui ont reçu une acception ou une
permission. Le terme « liste blanche de courriel » définit une liste de contacts dont l'utilisateur veut recevoir les
messages. Ces listes blanches sont basées sur des mots-clés recherchés dans des adresses de courriel, des noms de
domaines ou des adresses IP.
Si une liste blanche fonctionne en « mode exclusif », tous les messages provenant d'autres adresses, domaines ou
adresses IP seront écartés. Si elle fonctionne en mode non exclusif, ces messages ne seront pas supprimés, mais
filtrés d'une autre façon.
Une liste blanche fonctionne sur le principe inverse d'une liste noire. Les listes blanches sont relativement faciles à
maintenir, plus que les listes noires. Pour un meilleur filtrage des pourriels, il est recommandé d'utiliser à fois la
Liste blanche et la Liste noire.
249
5.2.4.3 Liste noire
Une liste noire se définit généralement comme une liste d'éléments ou de personnes non acceptés ou interdits.
Dans le monde virtuel, c'est une technique qui permet d'accepter des messages de tous les utilisateurs qui ne
figurent pas sur une telle liste.
Il existe deux types de listes noires : celles qui sont créées par les utilisateurs par l'entremise de leur application
antipourriel et les listes noires professionnelles, créées et régulièrement mises à jour par des organismes
spécialisés que l'on peut trouver sur Internet.
Il est essentiel d'utiliser les listes pour bloquer le pourriel, mais elles peuvent être difficiles à tenir à jour, car de
nouveaux éléments à bloquer apparaissent chaque jour. Nous vous recommandons d'utiliser tant une liste blanche
qu'une liste noire pour filtrer le pourriel de la façon la plus efficace.
5.2.4.4 Contrôle côté serveur
Le contrôle côté serveur est une technique d'identification du pourriel de masse en se basant sur le nombre de
messages reçus et les réactions des utilisateurs. Chaque message laisse sur le serveur une « empreinte »
numérique unique en fonction de son contenu. Le numéro d'identification unique ne dit rien à propos du contenu
du courriel. Deux messages identiques auront une empreinte identique, alors que des messages différents auront
une empreinte différente.
Si un message est marqué comme pourriel, son empreinte est envoyée au serveur. Si le serveur reçoit plusieurs
empreintes identiques (correspondant à un certain message de pourriel), cette empreinte est stockée dans la base
d'empreintes de pourriel. Lorsqu'il analyse des messages entrants, le programme envoie les empreintes de ces
messages au serveur. Le serveur renvoie de l'information indiquant quelles empreintes correspondent à des
messages déjà identifiés comme pourriels par d'autres utilisateurs.
250

Manuels associés