ESET File Security for Windows Server 7.1 Manuel du propriétaire

Ajouter à Mes manuels
194 Des pages
ESET File Security for Windows Server 7.1 Manuel du propriétaire | Fixfr
ESET FILE SECURITY
POUR MICROSOFT WINDOWS SERVER
Manuel d'installation et Guide de l'utilisateur
Microsoft® Windows® Server 2008 R2 SP1 / 2012 / 2012 R2 / 2016 / 2019
Cliquez ici pour consulter la version de l'aide en ligne de ce document
ESET FILE SECURITY
Copyright ©2020 ESET, spol. s r.o.
ESET Fi l e Securi ty a été dével oppé pa r ESET, s pol . s r.o.
Pour pl us de déta i l s , vi s i tez www.es et.com.
Tous droi ts rés ervés . Aucune pa rti e de cette documenta ti on ne peut être reprodui te,
s tockée da ns un s ys tème d'a rchi va ge ou tra ns mi s e s ous quel que forme ou pa r
quel que moyen que ce s oi t, y compri s s ous forme él ectroni que, méca ni que,
photocopi e, enregi s trement, numéri s a ti on ou a utre s a ns l 'a utori s a ti on écri te de
l 'a uteur.
ESET, s pol . s r.o. s e rés erve l e droi t de cha nger l es a ppl i ca ti ons décri tes s a ns préa vi s .
As s i s ta nce à l a cl i entèl e : www.es et.com/s upport
RÉV. 2020-12-16
Contenu
1. Préface
.......................................................5
5.5 Outils
....................................................................................................54
5.5.1
Processus
..............................................................................56
en cours
5.5.2
Surveiller
..............................................................................57
l'activité
5.5.3
Statistiques
..............................................................................59
de protection
2.1 Caractéristiques
....................................................................................................7
principales
5.5.4
Grappe
..............................................................................60
2.2 Nouveautés
....................................................................................................8
5.5.4.1
Assistant
..................................................................................62
pour la grappe : Sélection des nœuds
2.3 Types
....................................................................................................9
de protection
5.5.4.2
Assistant
..................................................................................63
pour la grappe : Paramètres de grappe
5.5.4.3
Assistant pour la grappe : Paramètres de
configuration
..................................................................................63
de grappe
5.5.4.4
Assistant
..................................................................................64
pour la grappe : Vérification des nœuds
5.5.4.5
Assistant
..................................................................................66
pour la grappe : Installation des nœuds
5.5.5
ESET Shell
..............................................................................68
5.5.5.1
Usage
..................................................................................70
5.5.5.2
Commandes
..................................................................................75
5.5.5.3
Fichiers
..................................................................................77
séquentiels/script
5.5.6
ESET SysInspector
..............................................................................79
5.5.7
ESET SysRescue
..............................................................................79
Live
5.5.8
Planificateur
..............................................................................80
Planificateur
..................................................................................81
- Ajouter une tâche
2. Aperçu
.......................................................7
3. Préparation
.......................................................10
à l'installation
3.1 Configuration
....................................................................................................11
minimale requise
3.2 Compatibilité
....................................................................................................12
SHA-2 requise
3.3 Étapes d'installation de ESET File
....................................................................................................13
Security
3.3.1
Modifier
..............................................................................17
une installation existante
3.4 Installation si licencieuse / sans
assistance
....................................................................................................18
3.4.1
Installation
..............................................................................19
de la ligne de commande
3.5 Activation
....................................................................................................23
du produit
3.5.1
Compte
..............................................................................24
d'entreprise ESET
5.5.8.1
3.5.2
Activation
..............................................................................24
réussie
tâche
5.5.8.1.1 Type de la........................................................................83
3.5.3
Échec..............................................................................24
de l'activation
........................................................................83
de la tâche
5.5.8.1.2 Calendrier
3.5.4
Licence
..............................................................................24
........................................................................84
par un événement
5.5.8.1.3 Déclenchée
3.6 Mise à niveau vers une version plus
récente
....................................................................................................25
l'application
5.5.8.1.4 Exécuter........................................................................84
........................................................................84
5.5.8.1.5 Tâche ignorée
3.6.1
Mise..............................................................................25
à niveau à l'aide d'ESMC
........................................................................84
tâches planifiées
5.5.8.1.6 Aperçu des
3.6.2
Mise..............................................................................28
à niveau à l'aide de la grappe ESET
5.5.9
Envoyer
..............................................................................85
les échantillons pour analyse...
5.5.9.1
Fichier
..................................................................................85
suspect
5.5.9.2
Site
..................................................................................86
suspect
5.5.9.3
Fichier
..................................................................................86
faux positif
5.5.9.4
Site
..................................................................................87
faux positif
5.5.9.5
Autre
..................................................................................87
3.7 Installation dans un environnement en
....................................................................................................31
grappe
3.8 Serveur
....................................................................................................31
de terminal
4. Prise.......................................................32
en main
Quarantaine
..............................................................................87
5.5.10
4.1 Géré par l'entremise de ESET Security
Management
....................................................................................................32
Center
5.6 Configuration
....................................................................................................88
de l'analyse OneDrive
Enregistrer
..............................................................................92
l'analyseur ESET OneDrive
5.6.1
4.2 Surveillance
....................................................................................................33
4.2.1
État ..............................................................................34
4.2.2
Mises..............................................................................36
à jour Windows disponibles
4.2.3
Isolation
..............................................................................36
du réseau
5. Utiliser
.......................................................38
ESET File Security
5.6.2
Désenregistrement
..............................................................................96
d'ESET OneDrive Scanner
6. Paramètres
.......................................................102
généraux
6.1 Moteur
....................................................................................................102
de détection
6.1.1
Détection
..............................................................................105
par l'apprentissage machine
6.1.2
Exclusions
..............................................................................107
Fenêtre
..............................................................................40
d'analyse et journal d'analyse
6.1.2.1
Exclusions
..................................................................................107
de performance
5.2 Fichiers
....................................................................................................42
journaux
6.1.2.2
Exclusions
..................................................................................108
de détection
5.1 Analyser
....................................................................................................38
5.1.1
5.2.1
Filtrage
..............................................................................45
du journal
assistant d'exclusion
6.1.2.2.1 Créer un........................................................................110
6.1.3
Options
..............................................................................111
avancées
6.1.4
Exclusions
..............................................................................111
automatiques
Serveur
..............................................................................51
6.1.5
Cache
..............................................................................111
local partagé
5.4.2
Ordinateur
..............................................................................51
6.1.6
Une..............................................................................112
infiltration est détectée
5.4.3
Réseau
..............................................................................52
6.1.7
Protection
..............................................................................113
en temps réel du système de fichiers
5.4.3.1
Assistant
..................................................................................52
de dépannage réseau
6.1.7.1
Paramètres
..................................................................................114
ThreatSense
5.4.4
Web..............................................................................52
et messagerie
........................................................................117
paramètres
6.1.7.1.1 Autres ThreatSense
5.4.5
Outils..............................................................................53
- Journalisation de diagnostic
........................................................................118
de fichier exclues de l'analyse
6.1.7.1.2 Extensions
5.4.6
Importation
..............................................................................54
et exportation des paramètres
6.1.8
5.3 Mettre
....................................................................................................47
à jour
5.4 Configuration
....................................................................................................50
5.4.1
Exclusions
..............................................................................118
de processus
6.1.9
Protection
..............................................................................119
basée sur le nuage
6.6.6.2
Accès
..................................................................................173
aux données fournies
6.1.9.1
Filtre
..................................................................................121
d'exclusion
6.6.7
Cibles
..............................................................................173
d'analyse ERA/ESMC
6.1.10
Analyses
..............................................................................122
de logiciels malveillants
6.6.8
Mode
..............................................................................174
prioritaire
6.1.10.1
Gestionnaire
..................................................................................123
de profils
6.6.9
Fichiers
..............................................................................177
journaux
6.1.10.2
Cibles
..................................................................................124
du profil
6.6.10
Serveur
..............................................................................179
mandataire
6.1.10.3
Cibles
..................................................................................125
à analyser
6.6.11
Notification
..............................................................................180
6.1.10.4
Analyse
..................................................................................127
à l'état inactif
6.6.11.1
Notifications
..................................................................................180
d'application
6.1.10.5
Analyse
..................................................................................128
au démarrage
6.6.11.2
Notifications
..................................................................................181
sur le bureau
........................................................................128
automatique des fichiers de démarrage
6.1.10.5.1 Vérification
6.6.11.3
Notifications
..................................................................................181
par courriel
6.1.10.6
Supports
..................................................................................129
amovibles
6.6.11.4
Personnalisation
..................................................................................182
6.1.10.7
Protection
..................................................................................129
des documents
6.6.12
Mode
..............................................................................183
Présentation
6.1.11
Analyse
..............................................................................130
Hyper-V
6.6.13
Diagnostique
..............................................................................183
6.1.12
Analyse
..............................................................................131
OneDrive
6.6.13.1
Assistance
..................................................................................184
technique
6.1.13
HIPS..............................................................................132
6.6.14
Grappe
..............................................................................185
6.1.13.1
Paramètres
..................................................................................134
de règle HIPS
6.1.13.2
Paramètres
..................................................................................137
avancés HIPS
6.7.1
Fenêtres
..............................................................................187
de notifications et d'alertes
6.2 Configuration
....................................................................................................137
de la mise à jour
6.7.2
Configuration
..............................................................................188
de l'accès
6.2.1
Annulation
..............................................................................141
de la mise à jour
6.7.3
ESET..............................................................................188
Shell
6.2.2
Tâche
..............................................................................141
planifiée : mise à jour
6.7.4
6.2.3
Miroir
..............................................................................142
de mise à jour
Désactiver l'interface graphique sur le serveur de
terminal
..............................................................................189
6.7.5
Désactiver
..............................................................................189
les messages et les états
6.7.5.1
Paramètres
..................................................................................190
états de l'application
6.7.6
Icône
..............................................................................191
de la barre d'état système
6.3 Protection
....................................................................................................144
du réseau
6.3.1
Exceptions
..............................................................................145
IDS
6.3.2
Liste
..............................................................................146
noire temporaire des adresses IP
6.4 Web
....................................................................................................146
et messagerie
6.7 Interface
....................................................................................................186
utilisateur
6.8 Rétablir
....................................................................................................192
les paramètres par défaut
6.9 Aide
....................................................................................................193
et assistance
6.4.1
Filtrage
..............................................................................146
des protocoles
6.4.1.1
Clients
..................................................................................147
Web et de messagerie
6.9.1
Soumettre
..............................................................................194
une demande d'assistance
6.4.2
SSL/TLS
..............................................................................147
6.9.2
À propos
..............................................................................194
de ESET File Security
6.4.2.1
Liste
..................................................................................149
des certificats connus
6.4.2.2
Communication
..................................................................................149
SSL chiffrée
6.4.3
Protection
..............................................................................150
du client de messagerie
6.4.3.1
Protocoles
..................................................................................151
de messagerie
6.4.3.2
Alertes
..................................................................................152
et notifications
6.4.3.3
Barre
..................................................................................152
d’outils MS Outlook
6.4.3.4
Barre
..................................................................................153
d'outils Outlook Express et Windows Mail
6.4.3.5
Boîte
..................................................................................153
de dialogue de confirmation
6.4.3.6
Analyser
..................................................................................153
à nouveau les messages
6.4.4
Protection
..............................................................................153
de l'accès Web
6.4.4.1
Gestion
..................................................................................154
d'adresses URL
6.4.4.1.1
Créer une
........................................................................155
liste
6.4.5
Protection
..............................................................................157
Web antihameçonnage
6.5 Contrôle
....................................................................................................158
de périphériques
6.5.1
Règles
..............................................................................159
de périphériques
6.5.2
Groupes
..............................................................................161
de périphériques
6.6 Configuration
....................................................................................................162
d'outils
6.6.1
Créneaux
..............................................................................162
temporels
6.6.2
Microsoft
..............................................................................162
Windows® mise à jour
6.6.3
ESET..............................................................................163
CMD
6.6.4
ESET..............................................................................164
RMM
6.6.5
Licence
..............................................................................165
6.6.6
Fournisseur
..............................................................................166
WMI
6.6.6.1
Données
..................................................................................166
fournies
6.10 Glossaire
....................................................................................................194
1. Préface
Le but de ce guide est de vous aider à profiter pleinement de ESET File Security. Pour en savoir plus sur n'importe
quelle fenêtre du programme, appuyez sur F1 sur votre clavier lorsque la fenêtre en question est ouverte. La page
d'aide relative à la fenêtre actuellement affichée s'ouvrira.
Par souci de cohérence et pour éviter toute confusion, la terminologie utilisée dans ce guide est basée sur les noms
des paramètres de ESET File Security. Nous avons également utilisé un ensemble uniforme de symboles pour
mettre en évidence des sujets d'intérêt ou ayant une signification particulière.
REMARQUE
Une remarque est une courte observation. Bien qu'il soit possible de les ignorer, les remarques offrent de
précieux renseignements comme des caractéristiques spécifiques ou un lien vers un sujet apparenté.
IMPORTANT
Ce titre indique des renseignements qui réclament votre attention; il n'est pas recommandé de les ignorer. Les
remarques importantes contiennent des informations importantes, mais non critiques.
AVERTISSEMENT
Indique des informations essentielles que vous devez traiter avec plus de précautions. Les avertissements
sont placés spécifiquement pour vous dissuader de commettre des erreurs potentiellement dangereuses.
Veuillez lire et comprendre le texte placé dans les crochets d'avertissement, car il fait référence à des
paramètres système très sensibles ou à des risques.
EXEMPLE
Il s'agit d'un cas d'utilisation ou d'un exemple pratique qui vise à vous aider à comprendre comment une
certaine fonction ou fonctionnalité peut être utilisée.
Si vous voyez l'élément suivant dans le coin supérieur droit d'une page d'aide, cela indique une navigation dans les
fenêtres d'une interface utilisateur graphique (GUI) de ESET File Security. Suivez ces instructions pour accéder à la
fenêtre qui est décrite sur la page d'aide correspondante.
Ouvrir ESET File Security
Cliquez sur Configuration > Serveur > Configuration d'analyse OneDrive > Enregistrer
Convention de formatage :
Convention
Signification
Texte en gras
En-têtes de section, noms de fonctions ou éléments d'interface utilisateur, tels que des boutons.
Texte en
italique
Espaces réservés pour les renseignements que vous fournissez. Par exemple, nom de fichier ou
chemin indique que vous devez taper le chemin réel ou un nom de fichier.
Texte en Courier
New
Exemples
de
code ou de commandes.
5
Convention
Signification
Lien
hypertexte
Fournit un accès rapide et facile aux rubriques référencées ou à un site Web externe. Les
hyperliens sont surlignés en bleu et peuvent être soulignés.
%ProgramFiles Le répertoire système de Windows dans lequel est stocké les programmes de Windows et d'autres
%
programmes installés sur le système.
L'aide en ligne de ESET File Security est divisée en plusieurs chapitres et sous-chapitres. Vous trouverez les
renseignements pertinents en parcourant la Table des matières des pages d'aide. Vous pouvez également utiliser la
recherche en texte intégral en saisissant des mots ou des phrases.
6
2. Aperçu
ESET File Security est une solution intégrée conçue spécialement pour l'environnement Microsoft Windows Server.
ESET File Security offre une protection efficace et fiable contre différents types de logiciels malveillants et offre
deux types de protection : Antivirus et antispyware.
2.1 Caractéristiques principales
Le tableau suivant fournit une liste des fonctionnalités disponibles dans ESET File Security. ESET File Security Prend
en charge la plupart des éditions de Microsoft Windows Server 2008 R2 SP1, 2012, 2016 et 2019 utilisées de manière
autonome ou dans un environnement en grappes. Dans de grands réseaux, vous pouvez utiliser ESET Security
Management Center pour gérer à distance ESET File Security.
Produit avec un véritable
noyau 64 bits
Ajout de performances et d'une stabilité supérieures aux composants principaux du
produit.
Anti-logiciel malveillant
Un système de défense innovant et primé contre les logiciels malveillants. Cette
technologie de pointe empêche les attaques et élimine tous les types de
menaces, y compris les virus, les rançongiciels, les rootkits, les vers et les logiciels
espions grâce à une analyse basée sur le nuage permettant d'atteindre des taux de
détection encore plus élevés. Grâce à sa petite taille, ce système de défense ne
consomme que peu de ressource du système et ne compromet pas ses
performances. Il utilise un modèle de sécurité par couches. Chaque couche, ou
phase, possède un certain nombre de technologies de base. De La phase préexécution comprend des technologies telles que le l'analyseur UEFI, la protection
contre les attaques réseau, la réputation et la mise en cache, le bac à sable intégré au
produit, les détections d'ADN. Les technologies de la phase d'exécution sont : le
bloqueur d'exploit, le bouclier contre les rançongiciels, l'analyseur de mémoire avancé
et l'analyseur de script (AMSI). La phase post-exécution utilise la protection contre les
botnets, le système de protection contre les logiciels malveillants basés sur le nuage et
la mise en bac de sable. Cet ensemble de technologies de base riche en
fonctionnalités offre un niveau de protection inégalé.
Analyse OneDrive
Ceci est une nouvelle fonctionnalité ajoutée pour analyser les fichiers placés dans le
stockage en nuage OneDrive. Pour les comptes commerciaux Office 365.
Analyse Hyper-V
Il s'agit d'une nouvelle technologie qui permet de faire l'analyse des disques d'une
machine virtuelle (MV) sur un serveur Microsoft Hyper-V sans avoir besoin
d'installer des « agents » sur la MV en question.
Règles
Les règles permettent aux administrateurs de filtrer les courriels non désirés et les
pièces jointes en fonction de la stratégie de l'entreprise. Les pièces jointes telles
que les fichiers exécutables, les fichiers multimédias, les archives protégées par mot
de passe, etc. Différentes actions peuvent être effectuées avec les courriels filtrés et
leurs pièces jointes, par exemple mise en quarantaine, la suppression, l'envoi de
notifications ou la journalisation d'événements.
ESET Dynamic Threat
Defense (EDTD)
Service infonuagique d'ESET. Lorsque ESET File Security détecte un programme ou un
comportement suspect, il empêche toute activité malveillante en le plaçant
temporairement dans la quarantaine de ESET Dynamic Threat Defense. Un
échantillon suspect est automatiquement envoyé au serveur de ESET Dynamic Threat
Defense qui l'analyse à l'aide de moteurs de détection de logiciels malveillants
performants. Votre ESET File Security reçoit alors un résultat de l'analyse. Le fichier
suspect est traité en fonction du résultat.
7
Produit avec un véritable
noyau 64 bits
Ajout de performances et d'une stabilité supérieures aux composants principaux du
produit.
Grappe ESET
La grappe ESET permet de gérer plusieurs serveurs à partir d'un seul endroit. Comme
avec ESET File Security 6 pour Microsoft Windows Server, il est possible
d'automatiser davantage la gestion grâce à la capacité de distribuer une stratégie de
configuration parmi tous les membres de la grappe en reliant les postes de travail
aux nœuds. La création des grappes mêmes est possible à l'aide du nœud installé,
qui peut ensuite installer et initier tous les nœuds à distance. Les produits du
serveur ESET peuvent communiquer les uns avec les autres et échanger des
données, de configuration et de notification notamment; ils peuvent également
synchroniser les données nécessaires au bon fonctionnement d'un groupe
d'instances de produit. Cela permet d'appliquer la même configuration du produit à
tous les membres d'une grappe. Les Grappes de basculement Windows et les
Grappes d'équilibrage de la charge réseau (ÉCR) sont pris en charge par ESET File
Security. De plus, vous pouvez ajouter des membres Grappe ESET manuellement
sans avoir besoin d'une Grappe Windows en particulier. Les Grappes ESET
fonctionnent à la fois dans les environnements de domaine et de groupe de travail.
Exclusions automatiques
Détection et exclusion automatiques des applications et des fichiers de serveur
essentiels pour un fonctionnement et une performance sans heurt.
Exclusions de processus
Exclut des processus précis de l'analyse à l'accès anti-logiciel malveillant. L'analyse à
l'accès anti-logiciel malveillant peut provoquer des conflits dans certaines situations,
par exemple lors d'un processus de sauvegarde ou de migrations en direct de
machines virtuelles. L'exclusion des processus permet de minimiser le risque de tels
conflits potentiels et améliorent la performance des applications exclues, ce qui a
par la suite un effet positif sur la performance générale et la stabilité du système
dans son entier. L'exclusion d'un processus ou d'une application est l'exclusion de
son fichier exécutable (.exe).
eShell ESET Shell
eShell 2.0 est une interface de ligne de commande qui offre aux utilisateurs avancés
et aux administrateurs des options plus complètes pour gérer les produits ESET.
ESET Security Management
Center
Une meilleure intégration avec ESET Security Management Center incluant la
possibilité de planifier l'Analyse à la demande. Pour plus de renseignements,
consultez l'aide en ligne de ESET Security Management Center .
Installation basée sur le
composant
L'installation peut être personnalisée pour ne contenir que des parties
sélectionnées du produit.
2.2 Nouveautés
ESET File Security offre désormais les nouvelles fonctionnalités suivantes :
·
·
·
·
·
8
Produit avec un véritable noyau 64 bits
Analyse OneDrive
ESET Dynamic Threat Defense (EDTD)
Prise en charge d'ESET Enterprise Inspector
ESET RMM
2.3 Types de protection
Il y a deux types de protection :
· Protection antivirus
· Protection anti-logiciel espion
La protection antivirus et antispyware est l'une des fonctions de base du produit ESET File Security. Protège le
système des attaques malveillantes en contrôlant les échanges de fichiers et de courriels, ainsi que les
communications Internet. Si une menace est détectée, le module Antivirus peut alors l'éliminer en la bloquant, puis
en nettoyant, en supprimant ou en mettant en Quarantaine l'objet infecté.
9
3. Préparation à l'installation
Nous vous recommandons d'effectuer les étapes suivantes pour préparer l'installation du produit :
· Après l'achat de ESET File Security, téléchargez le fichier d'installation .msi sur le site Web d'ESET .
· Assurez-vous que le serveur sur lequel vous prévoyez d'installer ESET File Security répond aux exigences du
système.
· Connectez-vous au serveur à l'aide d'un compte administrateur.
REMARQUE
Notez que vous devez exécuter le programme d'installation à l'aide du compte Administrateur intégré ou d'un
compte Administrateur de domaine (dans le cas où le compte Administrateur local est désactivé). Aucun autre
utilisateur, même s'il est membre du groupe Administrateurs, n'aura des droits d'accès suffisants. Par
conséquent, vous devez utiliser le compte Administrateur intégré, car vous ne pourrez pas terminer
l'installation avec un compte utilisateur autre qu'Administrateur local ou Administrateur de domaine.
· Si vous souhaitez effectuer une mise à niveau à partir d'une installation existante de ESET File Security, nous
vous recommandons de sauvegarder sa configuration actuelle à l'aide de la fonction Paramètres
d'exportation.
· Supprimez/désinstallez tout logiciel antivirus tiers de votre système, le cas échéant. Nous vous
recommandons d'utiliser ESET AV Remover . Pour obtenir une liste de logiciels antivirus tiers qui peuvent
être supprimés à l'aide d'ESET AV Remover, voir cet article de la Base de connaissances .
· Si vous effectuez l'installation sur Windows Server 2016, Microsoft recommande de désinstaller les
fonctionnalités de Windows Defender et d'annuler l'inscription ATP Windows Defender pour éviter les
problèmes liés à l'installation de plusieurs produits antivirus sur une machine.
Il existe deux mode d'exécution pour le programme d'installation de ESET File Security :
· Interface utilisateur graphique (IUG)
C'est le type d'installation recommandé, qui démarre un assistant d'installation.
· Installation si licencieuse / sans assistance
En plus de l'assistant d'installation, vous pouvez choisir d'installer ESET File Security silencieusement en
utilisant la ligne de commande.
IMPORTANT
Nous recommandons fortement d'installer ESET File Security, si possible, sur un système d'exploitation
nouvellement installé et configuré. Si vous devez l'installer sur un système existant, nous vous recommandons
de désinstaller la version existante de ESET File Security, de redémarrer le serveur et d'installer le nouveau
ESET File Security par la suite.
· Mise à niveau vers une version plus récente
Si vous utilisez une ancienne version de ESET File Security, vous pouvez choisir la méthode de mise à niveau
appropriée.
Une fois que vous avez installé ou mis à niveau votre ESET File Security, vous pouvez effectuer les activités
suivantes :
10
· Activation du produit
La disponibilité d'un scénario d'activation particulier dans la fenêtre d'activation peut varier selon le pays,
ainsi que selon le moyen de distribution.
· Configuration des paramètres généraux
Vous pouvez affiner ESET File Security en modifiant les paramètres avancés de chacune de ses fonctionnalités
afin de répondre à vos besoins.
3.1 Configuration minimale requise
Systèmes d'exploitation pris en charge :
·
·
·
·
·
·
Microsoft Windows Server 2019 (Expérience Server Core et Desktop)
Microsoft Windows Server 2016 (Expérience Server Core et Desktop)
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012
Microsoft Windows Server 2008 R2 SP1 avec KB4474419 et KB4490628
Server Core (Microsoft Windows Server 2008 R2 SP1, 2012, 2012 R2)
installé
REMARQUE
Si vous utilisez Microsoft Windows Server 2008, consultez les conditions de compatibilité SHA-2 requis et
assurez-vous que votre système d'exploitation dispose de tous les correctifs nécessaires.
Stockage, serveurs pour petites entreprises et serveurs multipoints :
·
·
·
·
Microsoft Windows Storage Server 2016
Microsoft Windows Storage Server 2012 R2
Microsoft Windows Storage Server 2012
Microsoft Windows Storage Server 2008 R2 Essentials SP1
·
·
·
·
·
·
Microsoft Windows Server 2019 Essentials
Microsoft Windows Server 2016 Essentials
Microsoft Windows Server 2012 R2 Essentials
Microsoft Windows Server 2012 Essentials
Microsoft Windows Server 2012 Foundation
Microsoft Windows Small Business Server 2011 SP1 (x64) avec KB4474419
et KB4490628
installé
· Microsoft Windows Multipoint Server 2012
· Microsoft Windows Multipoint Server 2011
· Microsoft Windows Multipoint Server 2010
Systèmes d'exploitation hôte pris en charge avec rôle Hyper-V :
·
·
·
·
·
Microsoft Windows Server 2019
Microsoft Windows Server 2016
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012
Windows Server 2008 SP1 - Les machines virtuelles peuvent être analysées seulement lorsqu'elles sont hors
ligne
La configuration matérielle requise dépend des versions du système d'exploitation et de Microsoft Exchange Server
utilisées. Veuillez lire la documentation de produit de Microsoft Windows Server pour obtenir plus de détails sur la
configuration matérielle requise.
11
REMARQUE
Nous vous recommandons fortement d'installer le dernier ensemble de modifications provisoires pour votre
système d'exploitation Microsoft Server et l'application du serveur avant d'installer le produit de sécurité ESET.
Nous recommandons également d'installer les dernières mises à jour et les correctifs Windows chaque fois
que possible.
Configuration matérielle minimale requise :
Composant
Configuration requise
Processeur
Intel ou AMD un cœur x86 ou x64
Mémoire
256 Mo de mémoire libre
Disque dur
700 Mo d'espace disque libre
Résolution d'écran
800 x 600 pixels ou plus
3.2 Compatibilité SHA-2 requise
Microsoft a annoncé l'obsolescence de Secure Hash Algorithm 1 (SHA-1) et a commencé le processus de migration
vers SHA-2 au début de 2019. Par conséquent, tous les certificats signés avec l'algorithme SHA-1 ne seront plus
reconnus et donneront lieu à des alertes de sécurité. Malheureusement, la sécurité de l'algorithme de hachage
SHA-1 est devenue moins sûre au fil du temps en raison des faiblesses constatées dans l'algorithme, de
l'augmentation des performances des processeurs et de l'avènement de l'informatique en nuage.
L'algorithme de hachage SHA-2 (qui succède à SHA-1) est désormais la méthode privilégiée pour garantir la fiabilité
de la sécurité SSL. Consultez l'article de Microsoft Docs sur les algorithmes de hachage et de signature pour plus
de détails.
REMARQUE
Ce changement signifie que sur les systèmes d'exploitation qui ne prennent pas en charge le SHA-2, votre
solution de sécurité ESET ne pourra plus mettre à jour ses modules, y compris le moteur de détection, ce qui,
en fin de compte, ne permettra pas à ESET File Security d'être entièrement fonctionnel ni de pouvoir assurer
une protection suffisante.
Si vous utilisez Microsoft Windows Server 2008 R2 SP1, assurez-vous que votre système est compatible avec SHA-2.
Appliquez les correctifs en fonction de la version de votre système d'exploitation tel que suit :
· Microsoft Windows Server 2008 R2 SP1 — appliquez KB4474419
supplémentaire du système pourrait être nécessaire)
et KB4490628
· Microsoft Windows Small Business Server 2011 SP1 (x64) — appliquez KB4474419
redémarrage supplémentaire du système pourrait être nécessaire)
(un redémarrage
et KB4490628
(un
IMPORTANT
Une fois que vous avez installé les mises à jour et redémarré votre système, ouvrez l'IUG de ESET File Security
pour vérifier son état. Si le voyant d'état est orange, effectuez un redémarrage supplémentaire du système. Le
voyant d'état doit alors être vert indiquant une protection maximale.
12
REMARQUE
Nous vous recommandons fortement d'installer le dernier ensemble de modifications provisoires pour votre
système d'exploitation Microsoft Server et l'application du serveur. Nous recommandons également d'installer
les dernières mises à jour et les correctifs Windows chaque fois que possible.
3.3 Étapes d'installation de ESET File Security
Il s'agit d'un assistant d'installation typique à IUG. Double cliquez sur le paquet .msi et suivez les étapes indiquées
pour installer ESET File Security :
1. Cliquez sur Suivant pour continuer ou sur Annuler si vous souhaitez quitter l'installation.
2. L'assistant d'installation s'exécute dans la langue définie par l'option Lieu de résidence du paramètre Région
> Emplacement de votre système d'exploitation (ou Emplacement actuel du paramètre Région et Langue >
Emplacement dans les anciens systèmes). Sélectionnez la Langue du produit dans laquelle ESET File Security
sera installé dans le menu déroulant. La langue sélectionnée pour ESET File Security est indépendante de la
langue dans laquelle s'affiche l'assistant d'installation.
3. Cliquez sur Suivant, le contrat de licence pour l'utilisateur final s'affichera. Après avoir confirmé votre
acceptation du Contrat de licence de l’utilisateur final (CLUF) ainsi que la politique de confidentialité,
cliquez sur Suivant.
13
4. Choisissez l'un des types d'installation disponibles. Les types d'installation disponibles dépendent de votre
système d'exploitation.
Complète
- Permet d'installer toutes les fonctionnalités de ESET File Security. Également appelée installation intégrale.
C'est le type d'installation recommandé. Il est disponible pour Windows Server 2012, 2012 R2, 2016, 2019,
Windows Server 2012 Essentials, 2012 R2 Essentials, 2016 Essentials et 2019 Essentials.
Standard
Permet d'installer les fonctionnalités recommandées de ESET File Security. Il est disponible pour Windows
Server 2008 R2 SP1, Windows Small Business Server 2011 SP1.
14
Fondamental
Ce type d'installation est destiné aux éditions Windows Server Core. Les étapes d’installation sont identiques à
ceux de l’installation complète, mais seules les fonctionnalités principales et l’interface utilisateur pour la ligne
de commande seront installées. Bien que l'installation principale soit principalement utilisée sur Windows
Server Core, vous pouvez toujours l'installer sur un serveur Windows classique si vous le souhaitez. Le produit
de sécurité ESET installé à l'aide de l'installation principale ne comportera aucune interface graphique. Cela
signifie que vous pouvez utiliser uniquement l'interface utilisateur de ligne de commande lorsque vous
travaillez avec ESET File Security. Pour plus d'informations et d'autres paramètres spéciaux, consultez la section
Installation à partir de la ligne de commande.
EXEMPLE
Pour exécuter l'installation principale à l'aide d'une ligne de commande, utilisez par exemple la commande
suivante :
msiexec /qn /i efsw_nt64.msi ADDLOCAL=_Base
Installation personnalisée
L'installation personnalisée permet de sélectionner les fonctionnalités de ESET File Security qui seront
installées sur votre système. Une liste des modules et fonctionnalités du produit s'affichera avant le démarrage
de l'installation. Cette option est utile lorsque vous voulez personnaliser ESET File Security en choisissant
seulement les composants dont vous avez besoin.
REMARQUE
Sous Windows Server 2008 R2 SP1, l'installation du composant Protection du réseau est désactivée par défaut
(Installation standard). Pour installer ce composant, sélectionnez Personnalisé comme type d'installation.
5. Vous devrez ensuite sélectionner l'emplacement où ESET File Security sera installé. Le programme est
installé par défaut dans C:\Program Files\ESET\ESET File Security. Cliquez sur Parcourir pour changer la
destination (cette option n'est pas recommandée).
15
6. Cliquez sur Installer pour commencer l'installation. Lorsque l'installation se termine, l'IUG d'ESET démarre et
l'icône du tiroir s'affiche dans la zone de notification (barre d'état du système).
16
3.3.1 Modifier une installation existante
Vous pouvez ajouter ou supprimer des composants inclus dans votre installation. Pour ce faire, vous pouvez
exécuter le progiciel d'installation .msi utilisé lors de l'installation initiale ou accéder à Programmes et
fonctionnalités (accessible à partir du Panneau de configuration Windows). Cliquez à l'aide du bouton droit de la
souris sur ESET File Security et sélectionnez Modifier. Voici les étapes à suivre pour ajouter ou supprimer des
composants.
Trois options sont disponibles. Vous pouvez Modifier les composants installés, Réparer votre installation de ESET
File Security ou le Supprimer (désinstaller) complètement.
Si vous choisissez Modifier, une liste de tous les composants du programme disponibles s'affichera.
Choisissez les composants que vous voulez ajouter ou supprimer. Vous pouvez ajouter/supprimer plusieurs
composants en même temps. Cliquez sur le composant et sélectionnez une option dans le menu déroulant :
17
Une fois que vous avez sélectionné une option, cliquez sur Modifier pour appliquer les modifications.
REMARQUE
Vous pouvez modifier les composants en tout temps en exécutant le programme d'installation. La plupart des
composants n'exigent pas un redémarrage du serveur pour appliquer les modifications. L'IUG redémarrera et
vous ne verrez que les composants que vous avez choisi d'installer. Pour l'installation de composants qui
nécessitent un redémarrage du serveur, Windows Installer vous invitera à redémarrer et les nouveaux
composants seront accessibles une fois que la connexion du serveur aura été rétablie.
3.4 Installation si licencieuse / sans assistance
Exécutez la commande suivante pour terminer l'installation en utilisant la ligne de commande : msiexec
/i
<packagename> /qn /l*xv msi.log
REMARQUE
Sur Windows Server 2008 R2 SP1, la fonctionnalité Protection du réseau ne sera pas installée.
Pour vous assurer que l'installation a réussi ou en cas de problème avec l'installation, utilisez l'Observateur
d'événements de Windows pour consulter le Journal des applications (recherchez les enregistrements provenant
de la source : MsiInstaller).
EXEMPLE
Installation complète sur un système 64 bits :
msiexec /i efsw_nt64.msi /qn /l*xv msi.log ADDLOCAL=NetworkProtection,RealtimeProtection,^
DeviceControl,DocumentProtection,Cluster,GraphicUserInterface,SysInspector,SysRescue,Rmm,eula
Lorsque l'installation se termine, l'IUG d'ESET démarre et l'icône du tiroir
(barre d'état du système).
18
s'affiche dans la zone de notification
EXEMPLE
Installation du produit dans la langue spécifiée (allemand) :
msiexec /i efsw_nt64.msi /qn ADDLOCAL=NetworkProtection,RealtimeProtection,^
DeviceControl,DocumentProtection,Cluster,GraphicUserInterface,^
SysInspector,SysRescue,Rmm,eula PRODUCT_LANG=1031 PRODUCT_LANG_CODE=de-de
Consultez la section Paramètres de langue dans Installation à l'aide de la ligne de commande pour plus de
détails et pour obtenir la liste des codes de langue.
IMPORTANT
Lorsque vous spécifiez des valeurs pour le paramètre REINSTALL, vous devez répertorier le reste des
fonctionnalités qui ne sont pas utilisées comme valeurs pour les paramètres ADDLOCAL ou REMOVE. Il est
nécessaire que l'installation par ligne de commande s'exécute correctement pour que vous répertoriez toutes
les fonctionnalités en tant que valeurs pour les paramètres REINSTALL, ADDLOCAL et REMOVE. L'ajout ou la
suppression peut ne pas aboutir si vous n'utilisez pas le paramètre REINSTALL.
Consultez la section Installation par ligne de commande pour la liste complète des fonctionnalités.
EXEMPLE
Désinstallation complète sur un système 64 bits :
msiexec /x efsw_nt64.msi /qn /l*xv msi.log
REMARQUE
Votre serveur redémarrera automatiquement après une désinstallation réussie.
3.4.1 Installation de la ligne de commande
Les paramètres suivants sont destinés à être utilisés uniquement avec le niveau réduit, le niveau de base et le
niveau aucun de l'interface utilisateur. Consultez la documentation pour la version msiexec utilisée pour les
commutateurs de ligne de commande appropriés.
Paramètres pris en charge :
APPDIR=<path>
· path - Chemin de répertoire valide
· Répertoire d'installation de l'application
· Par exemple : efsw_nt64.msi /qn APPDIR=C:\ESET\
ADDLOCAL=DocumentProtection
APPDATADIR=<path>
· path - Chemin de répertoire valide
· Répertoire d'installation des données de l'application
MODULEDIR=<path>
· chemin d'accès - Chemin de répertoire valide
· Répertoire d'installation du module
ADDLOCAL=<list>
· Installation du composant - liste des fonctionnalités non-obligatoires à installer localement.
· Utilisation avec les paquets .msi d'ESET : efsw_nt64.msi /qn ADDLOCAL=<list>
19
· Pour en savoir plus sur la propriété ADDLOCAL, consultez https://docs.microsoft.com/en-gb/windows/
desktop/Msi/addlocal
· ADDLOCAL est une liste de toutes les fonctionnalités qui seront installées séparées par des virgules.
· Lors de la sélection d'une fonctionnalité à installer, le chemin complet (c'est-à-dire toutes ses fonctionnalités
parentes) doit être explicitement inclus dans la liste.
REMOVE=<list>
· Installation du composant - fonction parente que vous ne souhaitez pas installer localement.
· Utilisation avec les paquets .msi d'ESET : efsw_nt64.msi /qn REMOVE=<list>
· Pour en savoir plus sur la propriété REMOVE, consultezhttps://docs.microsoft.com/en-gb/windows/desktop/
Msi/remove
· La liste REMOVE est une liste de fonctions parents séparées par des virgules qui ne seront pas installées (ou
seront supprimées en cas d'installation existante).
· Seules les fonctions parents peuvent être spécifiées. Il n'est pas nécessaire d'inclure explicitement chaque
fonction enfant dans la liste.
ADDEXCLUDE=<list>
· La liste ADDEXCLUDE est une liste de tous les noms de fonctionnalités à ne pas installer, séparés par des
virgules.
· Lors de la sélection d'une fonctionnalité à ne pas installer, le chemin complet (c'est-à-dire toutes ses sousfonctionnalités) et les fonctionnalités invisibles associées doivent être explicitement inclus dans la liste.
· Utilisation avec les paquets .msi d'ESET : efsw_nt64.msi /qn ADDEXCLUDE=<list>
REMARQUE
ADDEXCLUDE
ne peut pas être utilisée avec ADDLOCAL.
Présence de la fonctionnalité
· Obligatoire - La fonctionnalité est toujours installée.
· Facultative - La fonctionnalité peut être désélectionnée lors de l'installation.
· Invisible - Fonctionnalité logique obligatoire pour que les autres fonctionnalités s'exécutent correctement.
Liste des fonctionnalités de ESET File Security :
IMPORTANT
Les noms de toutes les fonctionnalités sont sensibles à la casse, par exemple RealtimeProtection n'est pas
égal à REALTIMEPROTECTION.
20
Nom de la fonctionnalité
Présence de la fonctionnalité
SERVER
Obligatoire
RealtimeProtection
Obligatoire
WMIProvider
Obligatoire
HIPS
Obligatoire
Updater
Obligatoire
eShell
Obligatoire
UpdateMirror
Obligatoire
DeviceControl
Facultative
DocumentProtection
Facultative
Nom de la fonctionnalité
Présence de la fonctionnalité
WebAndEmail
Facultative
ProtocolFiltering
Invisible
NetworkProtection
Facultative
IdsAndBotnetProtection
Facultative
Rmm
Facultative
WebAccessProtection
Facultative
EmailClientProtection
Facultative
MailPlugins
Invisible
Cluster
Facultative
_Base
Obligatoire
eula
Obligatoire
ShellExt
Facultative
_FeaturesCore
Obligatoire
GraphicUserInterface
Facultative
SysInspector
Facultative
SysRescue
Facultative
EnterpriseInspector
Facultative
Si vous souhaitez supprimer l'une des fonctionnalités suivantes, vous devez supprimer tout le groupe en spécifiant
chaque fonctionnalité appartenant au groupe. Sinon, la fonctionnalité ne sera pas supprimée. Voici deux groupes
(chaque ligne représente un groupe) :
GraphicUserInterface,ShellExt
NetworkProtection,WebAccessProtection,IdsAndBotnetProtection,ProtocolFiltering,MailPlugins,EmailClientPro
EXEMPLE
Excluez la section NetworkProtection (y compris les fonctionnalités enfants) de l'installation à l'aide du
paramètre REMOVE et en spécifiant uniquement la fonctionnalité parent :
msiexec /i efsw_nt64.msi /qn ADDLOCAL=ALL REMOVE=NetworkProtection
Vous pouvez également utiliser le paramètre ADDEXCLUDE, mais vous devez également spécifier toutes les
fonctionnalités enfants :
msiexec /i efsw_nt64.msi /qn ADDEXCLUDE=NetworkProtection,WebAccessProtection,IdsAndBotnetProtection,P
EXEMPLE
Exemples d'installation de base :
msiexec /qn /i efsw_nt64.msi /l*xv msi.log ADDLOCAL=RealtimeProtection,Rmm
21
Si vous souhaitez que votre ESET File Security soit automatiquement configuré après l'installation, vous pouvez
spécifier les paramètres de configuration de base dans la commande d'installation.
EXEMPLE
Installez ESET File Security et désactivez ESET LiveGrid® :
msiexec /qn /i efsw_nt64.msi ADDLOCAL=RealtimeProtection,Rmm,GraphicUserInterface CFG_LIVEGRID_ENABLED
Liste de toutes les propriétés de configuration :
Basculer
Valeur
CFG_POTENTIALLYUNWANTED_ENABLED=1/0
0 - Désactivée, 1 -
Activée
CFG_LIVEGRID_ENABLED=1/0
0 - Désactivée, 1 - Activée
FIRSTSCAN_ENABLE=1/0
0 - Désactiver, 1 - Activer
CFG_PROXY_ENABLED=0/1
0 - Désactivée, 1 - Activée
CFG_PROXY_ADDRESS=<ip>
Adresse IP du mandataire
CFG_PROXY_PORT=<port>
Numéro de port mandataire
CFG_PROXY_USERNAME=<user>
Nom d'utilisateur pour fins d'authentification
CFG_PROXY_PASSWORD=<pass>
Mot de passe pour l'authentification
Paramètres de langue : Langue du produit (vous devez spécifier les deux paramètres)
Basculer
Valeur
PRODUCT_LANG=
LCID décimal (ID de paramètres régionaux), par exemple 1033 pour English United States, consultez la liste des codes de langues .
PRODUCT_LANG_CODE=
Chaîne LCID (Nom de la culture de la langue) en minuscules, par exemple en-us
pour English - United States, consultez la liste des codes de langues .
22
3.5 Activation du produit
Une fois l'installation terminée, vous serez invité à activer votre produit.
Vous pouvez utiliser l'une ou l'autre des méthodes suivantes pour activer ESET File Security :
Clé de licence
Une chaîne de caractères unique au format XXXX-XXXX-XXXX-XXXX-XXXX utilisée pour l'identification du
propriétaire de la licence et pour l'activation de cette dernière.
Compte d'entreprise ESET
Utilisez cette option si vous êtes enregistré et avez votre compte d'entreprise ESET (EBA) dans lequel votre
licence ESET File Security a été importée. Vous pouvez également entrer les informations d'identification
Administrateur de la sécurité que vous utilisez dans le portail ESET License Administrator .
Fichier de licence hors ligne
Fichier généré automatiquement qui sera transféré au produit ESET et qui contient les renseignements sur la
licence. Votre fichier de licence hors ligne est généré par le portail de licences et utilisé dans des
environnements où l'application ne peut pas se connecter au service de délivrance des licences.
Cliquez sur Activer ultérieurement avec ESET Security Management Center si votre ordinateur appartient au réseau
géré, et que votre administrateur effectuera l'activation à distance à l'aide d'ESET Security Management Center.
Vous pouvez aussi utiliser cette option si vous voulez activer ce client ultérieurement.
Sélectionnez Aide et assistance > Gestion de la licence dans la fenêtre principale du programme pour gérer les
renseignements sur la licence en tout temps. L'identifiant de licence publique s'affichera, qui est utilisée pour
identifier votre produit ESET et l'identification de la licence. Votre nom d'utilisateur sous lequel l'ordinateur est
enregistré est stocké dans la section À propos que vous pouvez afficher en cliquant à droite sur l'icône de la barre
d'état système .
23
Après avoir réussi l'activation de ESET File Security, la fenêtre principale du programme ouvrira et affichera votre
état actuel dans la page Surveillance. Votre attention pourrait être requise au début. Par exemple, il vous sera
demandé de participer à ESET LiveGrid®.
La fenêtre principale du programme affichera aussi des notifications sur d'autres éléments, comme les mises à jour
du système (Windows Updates) ou du moteur de détection. Lorsque tous les éléments qui requièrent votre
attention ont été vérifiés, l'état de surveillance deviendra vert et affichera le message Protection maximale.
Vous pouvez également activer votre produit à partir du menu principal sous Aide et assistance > Activer le produit
ou de l'état Surveillance > Le produit n'est pas activé.
REMARQUE
ESET Security Management Center est capable d'activer silencieusement les ordinateurs clients en utilisant les
licences mises à disposition par l'administrateur.
3.5.1 Compte d'entreprise ESET
Un compte ESET Business Account (compte d'entreprise ESET) vous permet de gérer plusieurs licences. Si vous
n'avez pas de compte ESET Business Account, cliquez sur Créer un compte et vous serez redirigé vers la page Web
d'ESET License Administrator où vous pourrez enregistrer vos informations d'identification.
REMARQUE
Pour plus d'informations, reportez-vous au guide d'utilisation d'ESET Business Account .
Si vous utilisez les informations d'identification d'administrateur de la sécurité et que vous avez oublié votre mot
de passe, cliquez sur J'ai oublié mon mot de passe et vous serez redirigé vers le portail ESET License Administrator.
Entrez votre adresse courriel et cliquez sur Envoyer pour confirmer l'action. Après cela, vous recevrez un message
avec les instructions pour la réinitialisation de votre mot de passe.
3.5.2 Activation réussie
L'activation a réussi et ESET File Security est maintenant activé. Dorénavant, ESET File Security recevra
régulièrement des mises à jour afin de pourvoir identifier les menaces les plus récentes et protéger votre
ordinateur. Cliquez sur Terminé pour terminer l'activation du produit.
3.5.3 Échec de l'activation
L'activation de ESET File Security n'a pas réussi. Assurez-vous que vous avez entré la clé de licence appropriée ou
installé une licence hors ligne. Si vous possédez un fichier de licence hors ligne différent, veuillez le saisir à
nouveau. Pour vérifier la clé de licence que vous avez entrée, cliquez sur Vérifier à nouveau la clé de licence ou
entrer une autre licence.
3.5.4 Licence
Vous recevrez une invite vous demandant de sélectionner la licence associée à votre compte qui sera utilisée pour
ESET File Security. Cliquez sur Continuer pour effectuer l'activation.
24
3.6 Mise à niveau vers une version plus récente
Les nouvelles versions de ESET File Security sont fournies afin d'apporter des améliorations ou de corriger des
problèmes qui ne peuvent être réglés par la mise à jour automatique des modules du programme.
Méthodes de mise à niveau :
· Désinstaller/Installer - Supprimer l'ancienne version avant d'installer la nouvelle. Téléchargez la dernière
version de ESET File Security Exportez les paramètres de votre ESET File Security existant si vous souhaitez
conserver la configuration. Désinstallez ESET File Security et redémarrez le serveur. Effectuez une nouvelle
installation avec le programme d'installation que vous avez téléchargé. Importer les paramètres pour charger
votre configuration. Nous recommandons cette procédure si vous avez un seul serveur exécutant ESET File
Security.
· Sur place - Une méthode de mise à niveau qui permet d'installer la nouvelle version de ESET File Security sur
la version existante sans supprimer cette dernière.
IMPORTANT
Il est nécessaire que vous n'ayez pas de mises à jour Windows en attente sur votre serveur, ni de redémarrage
en attente en raison des mises à jour de Windows ou pour toute autre raison. Si vous essayez d'effectuer une
mise à niveau sur place avec des mises à jour Windows en attente ou de redémarrer votre ordinateur, la
version existante de ESET File Security peut ne pas être supprimée correctement. Vous rencontrerez
également des problèmes si vous décidez de supprimer manuellement l'ancienne version de ESET File
Security.
REMARQUE
Le redémarrage du serveur sera nécessaire pendant la mise à niveau de ESET File Security.
· À distance - Pour une utilisation dans les grands environnements réseau gérés par ESET Security Management
Center. Il s'agit essentiellement d'une méthode de mise à niveau propre, mais exécutée à distance. Cette
méthode est utile si vous avez plusieurs serveurs exécutant ESET File Security.
· Il est également possible d'utiliser l'assistant de grappe ESET comme méthode de mise à niveau. Nous
recommandons cette méthode pour 2 ou plusieurs serveurs avec ESET File Security. Il s'agit essentiellement
d'une méthode de mise à niveau sur place, mais exécutée grâce à la grappe ESET. Une fois la mise à niveau
terminée, vous pouvez continuer à utiliser la grappe ESET et profiter de ses fonctionnalités.
REMARQUE
Après avoir mis votre ESET File Security à niveau, nous vous recommandons de parcourir tous les paramètres
pour vous assurer que le produit est configuré correctement et en fonction de vos besoins.
3.6.1 Mise à niveau à l'aide d'ESMC
ESET Security Management Center vous permet de mettre à niveau plusieurs serveurs exécutant une version
ancienne de ESET File Security. Cette méthode a l'avantage de permettre la mise à niveau d'un grand nombre de
serveurs en même temps tout en veillant à ce que chaque ESET File Security soit configuré de manière identique (si
cela est souhaité).
Les étapes de la procédure sont les suivantes :
· Mettre à niveau le premier serveur manuellement en installant la dernière version de ESET File Security sur la
version existante afin de préserver toute les configurations, y compris les règles, les listes blanches, les listes
noires, etc. Cette phase s'effectue localement sur le serveur exécutant ESET File Security.
25
· Demander la configuration de ESET File Security nouvellement mis à niveau vers la version 7.x et Convertir la
stratégie dans ESET Security Management Center. La police sera appliquée ultérieurement à tous les serveurs
mis à niveau. Cette phase ainsi que les phases suivantes s'effectuent à distance à l'aide d'ESMC.
· Exécuter la tâche de désinstallation de logiciel sur tous les serveurs exécutant l'ancienne version de ESET File
Security.
· Exécuter la tâche d'installation de logiciel sur tous les serveurs sur lesquels vous voulez que ESET File Security
s'exécute.
· Attribuer une politique de configuration à tous les serveurs exécutant la dernière version de ESET File
Security.
Procédure pas à pas :
1. Connectez-vous sur l'un des serveurs exécutant ESET File Security et mettez-le à jour en téléchargeant et en
installant la dernière version sur la version existante. Suivez les étapes pour une installation ordinaire.
Toute la configuration originale de votre ancien ESET File Security sera préservée pendant l'installation.
2. Ouvrez la console Web d'ESET Security Management Center, sélectionnez un ordinateur client au sein des
groupes statiques ou dynamiques et cliquez sur Afficher Détails.
3. Accédez à l'onglet Configuration et cliquez sur le bouton Demander la configuration pour collecter toute la
configuration du produit géré. Obtenir la configuration prendra un moment. Une fois que la configuration la
plus récente sera affichée dans la liste, cliquez sur produit de sécurité et sélectionnez Ouvrir la
configuration.
26
4. Créez la politique de configuration en cliquant sur le bouton Convertir la politique. Entrez le nom de la
nouvelle politique et cliquez sur Terminer.
27
5. Allez à Tâches client et sélectionnez la tâche Installation de logiciel . Lors de la création de la tâche de
désinstallation, nous vous recommandons de redémarrer le serveur après la désinstallation en cochant la
case Redémarrer automatiquement si nécessaire. Une fois la tâche créée, ajoutez tous les ordinateurs cibles
souhaités pour la désinstallation.
6. Assurez-vous que ESET File Security est désinstallé sur toutes les cibles.
7. Créez une tâche d'installation de logiciel
File Security sur les cibles.
pour installer, si vous le souhaitez, les dernières versions de ESET
8. Attribuez une politique de configuration à tous les serveurs exécutant ESET File Security, idéalement à un
groupe.
3.6.2 Mise à niveau à l'aide de la grappe ESET
La création d'une grappe ESET vous permet de mettre à niveau plusieurs serveurs en utilisant l'ancienne version de
ESET File Security. C'est une autre solution en dehors de la mise à niveau à l'aide d'ESMC. Nous recommandons
l'utilisation de la méthode de la grappe ESET si votre environnement comprend 2 serveurs ou plus avec ESET File
Security. Un autre avantage de cette méthode de mise à niveau est que vous pouvez continuer à utiliser la grappe
ESET pour avoir la configuration de ESET File Security synchronisée sur tous les nœuds membres.
Suivez les étapes ci-dessous pour mettre à niveau à l'aide de cette méthode :
1. Connectez-vous sur l'un des serveurs exécutant ESET File Security et mettez-le à jour en téléchargeant la
version la plus récente, puis en utilisant cette dernière pour écraser la version existante. Suivez les étapes
pour une installation ordinaire. Toute la configuration originale de votre ancien ESET File Security sera
préservée pendant l'installation.
2. Lancez l'assistant de grappe ESET et ajoutez les nœuds de grappe (les serveurs sur lesquels vous voulez
mettre ESET File Security à niveau). Si nécessaire, ajoutez d'autres serveurs qui n'exécutent pas encore ESET
File Security (une installation sera effectuée sur ces serveurs). Nous vous recommandons de laisser les
paramètres par défaut lors de la spécification du nom de la grappe et du type d'installation (assurez-vous
que l'option Pousser la licence aux nœuds sans produit activé est sélectionnée).
3. Vérifiez l'écran Journal de vérification des nœuds. Il affiche les serveurs ayant des versions plus anciennes
et sur lesquels le produit va être réinstallé. ESET File Security sera également installé sur tous les serveurs
ajoutés, sur lesquels il n'est pas actuellement installé.
28
29
4. L'écran Installation des nœuds et activation de la grappe affichera l'état d'avancement de l'installation. Si
l'installation se termine correctement, les résultats devraient ressembler à ceux-ci :
Si votre réseau ou votre DNS n'est pas configuré correctement, le message d'erreur suivant pourrait s'afficher :
Impossible d'obtenir le jeton d'activation à partir du serveur.. Essayez d'exécuter à nouveau l'assistant de grappe
ESET. Cette action détruit la grappe et crée une nouvelle (sans réinstaller le produit) et l'activation devrait se
terminer avec succès cette fois. Si le problème persiste, vérifiez vos paramètres réseau et DNS.
30
3.7 Installation dans un environnement en grappe
Vous pouvez déployer ESET File Security dans un environnement en grappe (une grappe de basculement par
exemple). Nous vous recommandons d'installer ESET File Security sur un nœud actif, puis de redistribuer
l'installation sur des nœuds passifs à l'aide de la fonction Grappe ESET de ESET File Security. En dehors de
l'installation, la grappe ESET servira de réplication de la configuration de ESET File Security afin d'assurer la
cohérence entre les nœuds de la grappe, ce qui est nécessaire à un bon fonctionnement.
3.8 Serveur de terminal
Si vous avez installé ESET File Security sur Windows Server utilisé comme serveur de terminal, vous pouvez
désactiver l'interface graphique de ESET File Security pour l'empêcher de démarrer chaque fois qu'un utilisateur
ouvre une session. Voir Désactiver l'interface graphique sur le serveur de terminal pour connaître les étapes
précises à effectuer pour désactiver l'IUG.
31
4. Prise en main
La partie suivante vous indique comment démarrer avec ESET File Security.
Surveillance
Vous donne un aperçu immédiat de l'état actuel de ESET File Security. En un coup d'œil, vous pouvez voir s'il y a
des problèmes qui nécessitent votre attention.
Géré par l'entremise de ESET Security Management Center
Vous pouvez utiliser ESET Security Management Center pour gérer à distance ESET File Security.
4.1 Géré par l'entremise de ESET Security Management Center
ESET Security Management Center (ESMC) est une application qui vous permet de gérer des produits ESET dans un
environnement en réseau à partir d'un emplacement central. Le système de gestion de tâches d'ESET Security
Management Center vous permet d'installer les solutions de sécurité d'ESET sur des ordinateurs distants et de
répondre rapidement à de nouveaux problèmes et de nouvelles menaces. ESET Security Management Center
n'offre aucune protection contre des programmes malveillants, mais plutôt se repose sur la présence des solutions
de sécurité ESET sur chaque client. Les solutions de sécurité ESET prennent en charge les réseaux constitués de
plusieurs types de plateforme. Votre réseau peut être constitué d'une combinaison de systèmes d'exploitation
actuels de Microsoft, de systèmes d'exploitation basés sur Linux, de systèmes d'exploitation mobiles et de Mac OS.
Pour plus de renseignements sur ESMC, consultez l'aide en ligne de ESET Security Management Center .
32
4.2 Surveillance
L'état de la protection indiqué dans la section Surveillance vous informe au sujet du niveau de protection actuel de
votre ordinateur. Un résumé de l'état du fonctionnement de ESET File Security sera affiché dans la fenêtre
principale.
L'indicateur
Vous êtes protégés qui s'affiche en vert indique que la protection maximale est assurée.
L'icône rouge signale des problèmes critiques - la protection maximale de votre ordinateur n'est pas assurée.
Pour obtenir une liste des états de protection possibles, consultez la section État
L'icône orange avec un point d'exclamation (!) indique que votre produit ESET nécessite une attention pour un
problème non critique.
Les modules qui fonctionnent correctement sont marqués d'une coche verte. Les modules qui ne fonctionnent pas
complètement sont marqués d'un point d'exclamation rouge ou d'une icône de notification orange. Des
informations supplémentaires sur le module s'affichent dans la partie supérieure de la fenêtre. Une suggestion de
solution pour corriger le module est également affichée. Pour changer l'état de chacun des modules, cliquez sur
Configuration dans le menu principal puis sur le module souhaité.
La page Surveillance contient également des informations sur votre système, dont quelques unes sont citées cidessous :
·
·
·
·
Version du produit - numéro de version de ESET File Security.
Nom du serveur - nom d'hôte de la machine ou FQDN.
Système - détails du système d'exploitation.
Ordinateur - détails de l'ordinateur.
33
· Temps de disponibilité du serveur - indique depuis combien de temps le système fonctionne; il s'agit
fondamentalement de l'opposé du temps d'arrêt.
Si vous ne pouvez régler un problème à l'aide des solutions suggérées, cliquez sur Aide et soutien pour accéder aux
fichiers d'aide ou effectuez une recherche dans la Base de connaissances ESET . Si vous avez besoin d'aide, vous
pouvez également soumettre une demande d'assistance . Le service d'assistance technique d'ESET répondra
rapidement à vos questions et vous aidera à trouver une solution à votre problème.
4.2.1 État
Un résumé de l'état de ESET File Security sera affiché dans la fenêtre principale avec des informations détaillées sur
votre système. Normalement, lorsque tout fonctionne sans problème, l'indicateur de l'état de la protection est vert
. Cependant, l'état de la protection peut changer dans certaines circonstances. L'état de la protection passe à
orange
ou rouge
et un message d'avertissement s'affiche dans les situations suivantes :
Message d'avertissement
Message d'avertissement avec des détails
La détection des applications Une application potentiellement indésirable est un programme qui contient des
potentiellement indésirables logiciels publicitaires, installe des barres d'outils ou vise d'autres objectifs
n'est pas configurée
nébuleux. Dans certaines situations, vous pourriez juger que les avantages que
vous apporte un application potentiellement indésirable l'emporte sur les risques
qu'elle comporte.
Protection en temps réel du
système de fichiers
suspendue
Cliquez sur Activer la protection en temps réel dans l'onglet Surveillance ou
réactivez Protection en temps réel du système de fichiers dans l'onglet
Configuration de la fenêtre principale du programme.
La protection
antihameçonnage est non
fonctionnelle
Cette fonctionnalité n'est pas fonctionnelle, parce que d'autres modules de
programme requis ne sont pas activés.
ESET LiveGrid® est désactivée Ce problème est indiqué lorsque ESET LiveGrid® est désactivé dans Configuration
avancée.
Le filtrage des protocoles est
désactivé
Cliquez sur Activer le filtrage des protocoles pour réactiver cette fonctionnalité.
Le système d’exploitation
n’est pas à jour
La fenêtre Mises à jour système affiche la liste des mises à jour disponibles, prêtes
pour téléchargement et installation.
Votre appareil va bientôt
perdre sa protection
Cliquez sur Voir vos options pour savoir comment mettre à jour votre version de
Microsoft Windows. Si vous utilisez Microsoft Windows Server 2008 R2 SP1,
assurez-vous que votre système est compatible avec SHA-2. Appliquez les
correctifs en fonction de la version de votre système d'exploitation.
Le mode de présentation est
activé
Toutes les fenêtres contextuelles seront supprimées et les tâches planifiées seront
interrompues.
La protection contre les
attaques réseau (IDS) est
suspendue
Cliquez sur Activer la protection contre les attaques réseau (IDS) pour réactiver
cette fonctionnalité.
La protection contre les
réseaux de zombies est
suspendue
Cliquez sur Activer la protection contre les botnets pour réactiver cette
fonctionnalité.
34
Message d'avertissement
Message d'avertissement avec des détails
La protection de l'accès Web
est suspendue
Cliquez sur Activer la protection de l'accès Web dans Surveillance ou réactivez
Protection de l'accès Web dans le volet Configuration de la fenêtre principale du
programme.
Le contrôle de périphériques
est suspendu
Cliquez sur Activer le contrôle de périphériques pour réactiver cette fonctionnalité.
Le produit n'est pas activé ou
la licence a expiré
Pour signaler ce problème l'icône d'état de la protection devient rouge. Une fois la
licence expirée, le programme ne pourra plus effectuer de mise à jour. Suivez les
instructions indiquées dans la fenêtre d'alerte pour renouveler votre licence.
Contournement de la stratégie La configuration définie par la stratégie est temporairement ignorée, peut-être
active
jusqu'à ce que le dépannage soit terminé. Si vous gérez ESET File Security à l'aide
d'ESMC et qu'une stratégie lui est attribuée, le lien d'état sera verrouillé (grisé)
en fonction des fonctionnalités qui appartiennent à la stratégie.
Si vous ne parvenez pas à régler un problème effectuez une recherche dans la Base de connaissances d'ESET . Si
vous avez besoin d'aide, vous pouvez également soumettre une demande d'assistance . Le service d'assistance
technique d'ESET répondra rapidement à vos questions et vous aidera à trouver une solution à votre problème.
35
4.2.2 Mises à jour Windows disponibles
La fenêtre Mises à jour système affiche la liste des mises à jour disponibles, prêtes pour téléchargement et
installation. Le niveau de priorité de chaque mise à jour s'affiche à côté de son nom. Cliquez à droite sur toute
rangée de mise à jour puis sur Plus d'information pour afficher une fenêtre contextuelle avec de l'information
supplémentaire :
Cliquez sur Exécuter la mise à jour du système pour ouvrir la fenêtre Mise à jour de Windows et procéder aux mises
à jour du système.
4.2.3 Isolation du réseau
ESET File Security vous offre une option, appelée isolation du réseau, permettant de bloquer la connexion réseau
de votre serveur. Dans certains scénarios extrêmes, vous pouvez vouloir isoler un serveur du réseau à titre
préventif, par exemple, si vous avez découvert que le serveur a été infecté par un logiciel malveillant ou que
l'ordinateur a été compromis d'une autre manière.
En activant l'isolation du réseau, tout le trafic du réseau est bloqué, sauf les éléments suivants :
· La connectivité avec le contrôleur de domaine demeure
· ESET File Security est toujours capable de communiquer
· Si ESET Management Agent et ESET Enterprise Inspector Agent existent, ils peuvent communiquer sur le
réseau
Activez et désactivez l'isolement du réseau en utilisant la commande eShell ou la tâche client ESET Security
Management Center .
eShell
En mode interactif :
36
·
Activer l'isolement du réseau : network
·
Désactiver l'isolement du réseau : network
advanced set status-isolation enable
advanced set status-isolation disable
Vous pouvez également créer et exécuter un fichier par lots en utilisant le mode par lot/script.
ESET Security Management Center
· Activer l'isolement du réseau en utilisant la tâche client .
· Désactiver l'isolement du réseau en utilisant la tâche client .
Lorsque l'isolation du réseau est activée, l'état de ESET File Security passe au rouge avec le message Accès au réseau
bloqué.
37
5. Utiliser ESET File Security
Cette partie contient une description détaillée de l'interface utilisateur du programme. Son but est d'expliquer
comment utiliser ESET File Security.
L'interface utilisateur vous permet d'accéder rapidement aux fonctionnalités couramment utilisées :
·
·
·
·
·
·
Surveillance
Fichiers journaux
Analyser
Mettre à jour
Configuration
Outils
5.1 Analyser
L'analyseur à la demande est un élément important de ESET File Security. Il permet d'analyser les fichiers et les
répertoires stockés sur votre ordinateur. Pour assurer la sécurité de votre réseau, les analyses d'ordinateur ne
doivent pas être exécutées uniquement lorsque vous soupçonnez une infection. Elles doivent être faites
régulièrement dans le cadre de mesures de sécurité de routine. Nous vous recommandons d'effectuer
régulièrement (par exemple, une fois par mois) des analyses en profondeur de votre système pour détecter les
virus non détectés par la Protection en temps réel du système de fichier. Cela peut se produire si une menace est
introduite lorsque la protection du système de fichiers en temps réel est désactivée, si le moteur de détection n'a
pas été mis à jour ou si un fichier n'a pas été détecté lors de sa première sauvegarde sur le disque.
Sélectionnez les analyses à la demande disponibles pour ESET File Security :
Analyse des unités de stockage
Analyse tous les dossiers partagés sur le serveur local. Si l'analyse du stockage n'est pas disponible, c'est qu'il
n'y a aucun dossier partagé sur votre serveur.
Analyse de votre ordinateur
Cette option vous permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers infectés
sans intervention de l'utilisateur. L'avantage de l'analyse de votre ordinateur est qu'elle est facile à utiliser et
n'exige pas une configuration détaillée de l'analyse. Cette vérification analyse tous les fichiers sur les disques
durs locaux et nettoie ou supprime automatiquement les infiltrations détectées. Le niveau de nettoyage est
automatiquement réglé à sa valeur par défaut. Pour plus de détails sur les types de nettoyage, consultez la
rubrique Nettoyage.
REMARQUE
Il est recommandé d'exécuter une analyse de l'ordinateur au moins une fois par mois. Cette analyse peut être
configurée comme tâche planifiée dans Outils > Planificateur.
Analyse personnalisée
L'analyse personnalisée est une solution optimale si vous souhaitez préciser des paramètres d'analyse tels que
les cibles et les méthodes d'analyse. L'avantage de l'analyse personnalisée réside dans la possibilité de
configurer les paramètres d'analyse de manière détaillée. Les configurations peuvent être enregistrées comme
des profils d'analyse définis par l'utilisateur, ce qui peut être utile pour effectuer régulièrement une analyse
avec les mêmes paramètres.
REMARQUE
L'exécution des analyses personnalisées est recommandée seulement pour les utilisateurs avancés ayant une
expérience antérieure avec l'utilisation de programmes antivirus.
38
Analyse des supports amovibles
Semblable à l'analyse intelligente - lance rapidement une analyse des supports amovibles (comme les CD/DVD/
USB) actuellement connectés à l'ordinateur. Cela peut être utile lorsque vous connectez une clé USB à un
ordinateur et que vous souhaitez l'analyser pour y rechercher les logiciels malveillants et autres menaces
potentielles. Ce type d'analyse peut également être lancé en cliquant sur Analyse personnalisée, puis en
sélectionnant Supports amovibles dans le menu déroulant Cibles à analyser et ensuite en cliquant sur Analyser.
Analyse Hyper-V
Cette option n'est visible dans le menu que si Hyper-V Manager est installé sur le serveur qui exécute ESET File
Security. L'analyse Hyper-V permet de faire l'analyse des disques de la Machine virtuelle (MV) sur le serveur
Microsoft Hyper-V sans avoir besoin d'installer des « agents » sur la MV en question.
Analyse OneDrive
Vous permet d'analyser les fichiers de l'utilisateur situés sur le stockage en nuage OneDrive.
Répéter la dernière analyse utilisée
Répète votre dernière opération d'analyse en utilisant exactement les mêmes paramètres.
REMARQUE
La répétition de la dernière fonction d'analyse n'est pas disponible si l'option Analyse de la base de données à
la demande est présente.
Vous pouvez utiliser des options et afficher plus d'informations sur les états d'analyse :
39
Glisser-déposer
des fichiers
Vous pouvez également faire glisser et déposer des fichiers dans la fenêtre d'analyse de ESET
File Security. Ces fichiers seront analysés immédiatement à la recherche de virus.
Rejeter/Rejeter
tout
Rejet de messages donnés.
États de l'analyse Affiche l'état de l'analyse initiale Cette analyse est terminée ou a été interrompue par
l'utilisateur.
Afficher le
journal
Affiche des informations plus détaillées.
Plus d\'infos
Vous pouvez cliquer sur Plus de détails pendant l'analyse pour voir des détails comme
l'Utilisateur qui a lancé le processus d'analyse, le nombre d'Objets analysés et la Durée de
l'analyse.
Ouvrir la fenêtre La fenêtre de progression de l'analyse affiche l'état actuel de l'analyse ainsi que de l'information
d'analyse
sur le nombre de fichiers contenant des programmes malveillants trouvés.
5.1.1 Fenêtre d'analyse et journal d'analyse
La fenêtre d'analyse affiche les objets actuellement analysés, y compris leur emplacement, le nombre de menaces
trouvées (le cas échéant), le nombre d'objets analysés et la durée de l'analyse. La partie inférieure de la fenêtre est
un journal d'analyse qui indique le numéro de version du moteur de détection, la date et l'heure du début de
l'analyse et la sélection de la cible.
Une fois l'analyse en cours, vous pouvez cliquer sur Suspendre si vous souhaitez interrompre temporairement
l'analyse. L'option Reprendre est disponible lorsque le processus d'analyse est suspendu.
40
Faire défiler le journal de l'analyse
Laissez cette option cochée pour activer le défilement automatique des anciens journaux et afficher les
journaux actifs, dans la fenêtre Fichiers journaux.
REMARQUE
Il est normal que certains fichiers, comme les fichiers protégés par mot de passe ou les fichiers utilisés
exclusivement par le système (généralement, les fichiers pagefile.sys et certains fichiers journaux), ne
puissent pas être analysés.
Une fois l'analyse terminée, le journal d'analyse s'affiche avec toutes les informations pertinentes liées à l'analyse
en question.
Cliquez sur l'icône du commutateur
Filtrage pour ouvrir la fenêtre Filtrage du journal dans laquelle vous
pouvez définir des critères de filtrage ou de recherche. Pour afficher le menu contextuel, cliquez avec le bouton
droit sur une entrée de journal spécifique :
Action
Usage
Filtrer les
Active le filtrage des journaux et n'affiche que les entrées de
mêmes
même type que celle qui a été sélectionnée.
enregistreme
nts
Filtrer...
Après avoir cliqué sur cette option, la fenêtre Filtrage des journaux
permet de définir les critères de filtrage à utiliser pour des entrées
Raccourci
Consultez
également
Ctrl + Shift +
F
Filtrage du journal
41
Action
Usage
Raccourci
Consultez
également
particulières du journal.
Activer le
filtre
Active les paramètres du filtre. La première fois que vous activez le
filtrage, vous devez définir les paramètres.
Désactiver le Désactive le filtrage (comme lorsque vous cliquez sur l'interrupteur
filtre
dans le bas).
Copier
Copie l'information des enregistrements sélectionnés ou surlignés Ctrl + C
dans le presse-papier.
Tout copier
Copie les renseignements provenant de tous les enregistrements
affichés dans la fenêtre.
Exporter...
Exporte l'information contenue dans les enregistrements
sélectionnés/surlignés dans un fichier XML.
Tout
exporter...
Exporte tous les renseignements dans la fenêtre dans un fichier
XML.
5.2 Fichiers journaux
Les fichiers journaux contiennent les événements importants qui ont eu lieu et donnent un aperçu des résultats des
analyses ainsi que des menaces détectées. Les journaux sont des outils essentiels pour l'analyse système, la
détection de menaces et le dépannage. La journalisation est toujours active en arrière-plan, sans interaction de
l'utilisateur. Les données sont enregistrées en fonction des paramètres actifs de verbosité. Il est possible d'afficher
les messages textes et les journaux directement à partir de l'environnement ESET File Security ou de les exporter
pour les afficher ailleurs.
Choisissez le type de journal approprié dans le menu déroulant. Les journaux suivants sont disponibles :
Détections
Le journal des menaces contient de l'information détaillée sur les infiltrations détectées par les modules de
ESET File Security. Cela inclut l'heure de détection, le nom de l'infiltration, l'emplacement, la mesure prise et le
nom de l'utilisateur connecté au moment où l'infiltration a été détectée. Double-cliquez sur une entrée du
journal pour afficher ses détails dans une fenêtre séparée. Si nécessaire, vous pouvez créer une exclusion de
détection; cliquez avec le bouton droit sur un enregistrement de journal (détection) et cliquez sur Créer une
exclusion. Cela ouvrira l'assistant d'exclusion avec des critères prédéfinis. S'il y a un nom de détection à côté
d'un fichier exclu, cela signifie que le fichier n'est exclu que pour la détection donnée. Si ce fichier est infecté
plus tard par d'autres logiciels malveillants, il sera détecté.
Événements
Toutes les actions importantes exécutées par ESET File Security sont enregistrées dans le journal des
événements. Le journal des événements contient de l'information sur les événements qui se sont produits
dans le programme. Il permet aux administrateurs système et aux utilisateurs de résoudre des problèmes.
L'information qu'on y trouve peut souvent permettre de trouver une solution à un problème qui s'est produit
dans le programme.
Analyse de l'ordinateur
Tous les résultats d'analyse s'affichent dans cette fenêtre. Chaque ligne correspond à un seul contrôle
d'ordinateur. Double-cliquez sur n'importe quelle entrée pour afficher les détails de l'analyse correspondante.
Fichiers bloqués
42
Contient des enregistrements de fichiers bloqués et inaccessibles. Le protocole indique la raison et le module
source qui a bloqué le fichier, ainsi que l'application et l'utilisateur qui ont exécuté le fichier.
Fichiers envoyés
Contient des enregistrements de fichiers de la protection basée sur le nuage, d'ESET Dynamic Threat Defense et
de ESET LiveGrid®.
HIPS
Contient des enregistrements de règles particulières marquées pour enregistrement. Ce protocole affiche
l'application ayant appelé l'opération, le résultat (si la règle a été autorisée ou non) et le nom de la règle créée.
Protection du réseau
Contient des enregistrements de fichiers qui ont été bloqués par la protection contre les réseaux de zombies et
IDS (protection contre les attaques réseau).
Sites Web traités par le filtre
Une liste de sites Web ayant été bloqués par la protection de l'accès Web . Ces journaux affichent le moment,
l'URL, l'utilisateur et l'application ayant établie une connexion au site Web en question.
Contrôle de périphériques
Contient les enregistrements relatifs aux supports amovibles ou périphériques ayant été connectés à
l'ordinateur. Seuls les périphériques liés à une règle de contrôle des périphériques seront inscrits dans le
fichier journal. Si un périphérique connecté ne satisfait pas les critères de la règle, aucune entrée journal ne
sera créée à la connexion de ce périphérique. Vous pouvez aussi y voir différents détails, comme le type de
périphérique, le numéro de série, le nom du fournisseur et la taille du support (si elle est disponible).
Analyse Hyper-V
Contient une liste des résultats de l'analyse Hyper-V. Double-cliquez sur n'importe quelle entrée pour afficher
les détails de l'analyse correspondante.
Analyse OneDrive
Contient une liste de résultats d'analyse OneDrive.
43
Le menu contextuel (clic droit) vous permet de choisir une action avec l'enregistrement de journal sélectionné :
Action
Usage
Afficher
Affiche des renseignements plus détaillés sur le journal
sélectionné dans une nouvelle fenêtre (comme avec le
double-clic).
Filtrer les mêmes Active le filtrage des journaux et n'affiche que les entrées de
enregistrements même type que celle qui a été sélectionnée.
Filtrer...
Après avoir cliqué sur cette option, la fenêtre Filtrage des
journaux permet de définir les critères de filtrage à utiliser
pour des entrées particulières du journal.
Activer le filtre
Active les paramètres du filtre. La première fois que vous
activez le filtrage, vous devez définir les paramètres.
Raccourci
Ctrl + Shift +
F
Filtrage du journal
Désactiver le filtre Désactive le filtrage (comme lorsque vous cliquez sur
l'interrupteur dans le bas).
Copier
Copie l'information des enregistrements sélectionnés ou
surlignés dans le presse-papier.
Tout copier
Copie les renseignements provenant de tous les
enregistrements affichés dans la fenêtre.
44
Consultez
également
Ctrl + C
Action
Usage
Raccourci
Supprimer
Supprime le ou les enregistrements sélectionnés/surlignés cette action requière des privilèges administrateur.
Supprimer tout
Supprime tous les enregistrements dans la fenêtre - cette
action requière des privilèges administrateur.
Exporter...
Exporte l'information contenue dans les enregistrements
sélectionnés/surlignés dans un fichier XML.
Tout exporter...
Exporte tous les renseignements dans la fenêtre dans un
fichier XML.
Rechercher...
Ouvre la fenêtre Trouver dans le journal et permet de définir Ctrl + F
les critères de recherche. Vous pouvez utiliser la fonction
Rechercher pour localiser un enregistrement spécifique même
lorsque le filtrage est activé.
Rechercher
suivant
Recherche la prochaine occurrence du critère de recherche
défini.
F3
Rechercher
précédent
Trouve l'occurrence précédente.
Shift + F3
Créer une
exclusion
Permet d'exclure des objets du nettoyage en utilisant le nom
de la détection, le chemin ou son hachage.
Consultez
également
Trouver dans le
journal
Créer une
exclusion
5.2.1 Filtrage du journal
La fonction de filtrage des journaux vous aidera à trouver les informations que vous recherchez, en particulier
lorsqu'il existe de nombreux enregistrements. Il vous permet de restreindre les enregistrements de journaux, par
exemple, si vous recherchez un type spécifique d'événement, de statut ou de période. Vous pouvez filtrer les
enregistrements de journaux en spécifiant certaines options de recherche, seuls les enregistrements pertinents (en
fonction de ces options de recherche) seront affichés dans la fenêtre Fichiers journaux.
Tapez le mot-clé que vous recherchez dans le champ Trouver le texte. Utilisez le menu déroulant Rechercher dans
les colonnes pour affiner votre recherche. Choisissez un ou plusieurs enregistrements dans le menu déroulant
Types d'enregistrement du journal. Définissez la Période à partir de laquelle vous souhaitez afficher les résultats.
Vous pouvez également utiliser d'autres options de recherche, telles que Correspondance de mots entiers
uniquement ou Sensible à la casse.
45
Rechercher texte
Tapez une chaîne de caractères (mot ou partie d'un mot). Seuls les enregistrements contenant cette chaîne de
caractères seront affichés. Les autres enregistrements seront omis.
Rechercher dans les colonnes
Sélectionnez les colonnes qui seront considérées dans la recherche. Vous pouvez cocher une ou plusieurs
colonnes à utiliser dans la recherche.
Types d'enregistrement
Choisissez un ou plusieurs types d'enregistrement du journal dans le menu déroulant :
· Diagnostic - Consigne l'information requise pour mettre au point le programme et toutes les entrées
préalables.
· Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que
toutes les entrées préalables.
· Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
· Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et les erreurs critiques seront
enregistrées.
· Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus).
Période
Définissez la période pendant laquelle vous voulez que les résultats soient affichés :
· Journal entier (valeur par défaut) - ne limite pas la recherche à la période, cherche plutôt dans l'ensemble du
journal
46
·
·
·
·
Dernier jour
Dernière semaine
Dernier mois
Intervalle - Vous pouvez spécifier la période exacte (De : et À :) pour filtrer uniquement les enregistrements
de la période spécifiée.
Mots entiers seulement
Cochez cette case si vous voulez rechercher des mots entiers particuliers pour obtenir des résultats de
recherche plus précis.
Respect de la casse
Activez cette option si vous devez absolument utiliser des majuscules ou des minuscules pendant le filtrage.
Une fois que vous avez configuré vos options de filtrage ou de recherche, cliquez sur OK pour afficher les
enregistrements de journaux filtrés ou sur Rechercher pour lancer la recherche. La recherche s'effectue de haut
en bas dans les fichiers journaux, à partir de votre position actuelle (l'enregistrement mis en surbrillance). La
recherche s'arrête lorsqu'elle trouve le premier enregistrement correspondant. Appuyez sur F3 pour rechercher
l'enregistrement suivant ou cliquez avec le bouton droit et sélectionnez Rechercher pour affiner vos options de
recherche.
5.3 Mettre à jour
Dans la section Mise à jour, vous pouvez voir l'état actuel de mise à jour de votre ESET File Security, y compris la date
et l'heure de la dernière mise à jour réussie. La mise à jour régulière de ESET File Security constitue la meilleure
méthode pour maintenir le niveau maximal de sécurité pour votre serveur. Le module de mise à jour veille à ce que
le programme soit toujours à jour de deux façons : en mettant à jour le moteur de détection et les composants
système. La mise à jour du moteur de détection et des composants du programme est un élément important de la
protection complète contre les codes malveillants.
REMARQUE
Si vous n'avez pas encore entré la clé de licence, vous ne pourrez pas recevoir de mises à jour et vous serez
invité à activer votre produit. Pour ce faire, accédez à Aide et assistance > Activer le produit.
47
Version actuelle
Version de ESET File Security.
Dernière mise à jour réussie
Date de la dernière mise à jour. Assurez-vous qu'il s'agit d'une date récente indiquant que les modules sont à
jour.
Dernière vérification des mises à jour
La date de la dernière tentative de mise à jour des modules.
Afficher tous les modules
Pour ouvrir la liste des modules installés.
Rechercher des mises à jour
La mise à jour des modules est un élément important d'une protection complète contre les codes malveillants.
Changer la fréquence de mise à jour
Vous pouvez modifier le calendrier des tâches pour la tâche du planificateur Mise à jour automatique régulière.
Si vous ne vérifiez pas les mises à jour dès que possible, l'un des messages suivants s'affichera :
Message d'erreur
Descriptions
La mise à jour des modules
n'est pas à jour
Cette erreur apparaît après plusieurs tentatives infructueuses de mise à jour des
modules. Nous recommandons de vérifier les paramètres de mise à jour. La cause
la plus fréquente de cette erreur est une saisie incorrecte des données
d'authentification ou une configuration incorrecte des paramètres de connexion.
48
Message d'erreur
Descriptions
Le produit n'est pas activé
La clé de licence contient une erreur dans la configuration des mises à jour.
Veuillez vérifier vos données d'authentification. La fenêtre Configuration
avancée (F5) contient des options de mise à jour supplémentaires. Cliquez sur
Aide et assistance > Gérer les licences à partir du menu principal pour entrer une
nouvelle clé de licence.
Une erreur s'est produite
Les paramètres de connexion Internet sont une cause possible de cette erreur.
pendant le téléchargement des Nous vous recommandons de vérifier votre connectivité à Internet en ouvrant un
fichiers de mise à jour
site Web dans votre navigateur. Si le site Web ne s'ouvre pas, il est probable
qu'aucune connexion à Internet ne soit établie ou que votre ordinateur ait des
problèmes de connectivité. Consultez votre fournisseur de services Internet si
vous ne disposez pas d'une connexion Internet active.
La mise à jour des modules a
échoué
Erreur 0073
Cliquez sur Mises à jour > Rechercher les mises à jour. Pour plus de
renseignements, consultez cet article de la base de connaissances .
REMARQUE
Les options du serveur mandataire peuvent varier selon les profils de mise à jour. Si tel est le cas, configurez
les différents profils de mise à jour dans la Configuration avancée (F5) en cliquant sur Mise à jour > Profil.
49
5.4 Configuration
La fenêtre du menu Configuration contient les sections suivantes :
·
·
·
·
·
Serveur
Ordinateur
Réseau
Web et messagerie
Outils - Journalisation de diagnostic
Pour désactiver temporairement des modules individuels, cliquez sur le
Notez que cela peut réduire le niveau de protection de votre serveur.
situé à côté du module désiré.
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur le commutateur rouge
rétablir le composant à son état activé.
pour
Pour accéder aux paramètres détaillés d'un composant de sécurité en particulier, cliquez sur l'icône de la roue
dentée .
Importer/exporter les paramètres
Chargez les paramètres de configuration à l'aide d'un fichier de configuration .xml ou enregistrez les paramètres
de configuration actuels dans un fichier de configuration.
Configuration avancée
Configurez les paramètres et les options avancés en fonction de vos besoins. Pour accéder à l'écran
Configuration avancée à partir de n'importe quel endroit du programme, appuyez sur F5.
50
5.4.1 Serveur
Vous verrez une liste de composants que vous pouvez activer/désactiver en utilisant le commutateur
configurer les paramètres d'un élément de la liste en particulier, cliquez sur la roue dentée .
. Pour
Exclusions automatiques
La fonctionnalité Exclusions automatiques identifie les applications serveur critiques et les fichiers du système
d'exploitation du serveur et les ajoute automatiquement à la liste des exclusions. Elle minimisera le risque de
conflits potentiels et augmentera la performance globale du serveur sur lequel s'exécute un logiciel antivirus.
Grappe
Configurer et activer la grappe ESET.
Configuration de l'analyse OneDrive
Vous pouvez enregistrer ou annuler l'enregistrement de l'application de l'analyseur ESET OneDrive à partir de
Microsoft OneDrive.
5.4.2 Ordinateur
ESET File Security possède tous les composants nécessaires pour assurer une protection considérable du serveur en
tant qu'ordinateur. Ce module vous permet d'activer ou de désactiver et de configurer les composants suivants :
Protection en temps réel du système de fichier
Tous les fichiers sont analysés à la recherche de programmes malveillants à leur ouverture, leur création ou leur
exécution sur votre ordinateur. La Protection en temps réel du système de fichiers offre aussi la possibilité de
Configurer ou de Modifier les exclusions, qui ouvre la fenêtre des paramètres des exclusions, à partir de
laquelle vous pouvez exclure des fichiers et des dossiers de l'analyse.
Contrôle de périphériques
Ce module vous permet d'analyser, de bloquer ou de régler les filtres ou les permissions étendus et de définir
la capacité d'un utilisateur d'accéder à un périphérique donné et de travailler avec celui-ci.
Host Intrusion Prevention System (HIPS)
Ce système surveille les événements qui se produisent dans le système d'exploitation et réagit à ces derniers,
en fonction d'un ensemble personnalisé de règles.
· Advanced Memory Scanner
· Exploit Blocker
· Bouclier contre les rançongiciels
Mode Présentation
Le mode de présentation est une fonctionnalité destinée aux utilisateurs qui exigent une utilisation
interrompue de leur logiciel, qui ne veulent pas être dérangés par des fenêtres contextuelles et qui veulent
minimiser la charge sur l'UC. Un message d'avertissement s'affichera (risque potentiel à la sécurité) et la
fenêtre principale deviendra orange après l'activation du Mode Présentation.
Suspendre la protection antivirus et anti-logiciel espion
Chaque fois que vous désactivez temporairement la protection antivirus et anti-logiciel espion, vous pouvez
sélectionner la durée pendant laquelle vous voulez que le composant sélectionnez soit désactivé en utilisant le
menu déroulant puis en cliquant sur Appliquer pour désactiver le composant de sécurité. Pour réactiver la
protection, cliquez sur Activer la protection antivirus et anti-logiciel espion ou activez en utilisant la barre de
curseur.
51
5.4.3 Réseau
Cela est possible en autorisant ou en refusant les connexions réseau individuelles en fonction de vos règles de
filtrage. Une protection est ainsi fournie contre les attaques provenant d'ordinateurs distants et certains services
potentiellement dangereux sont bloqués.
Le module réseau vous permet d'activer ou de désactiver et de configurer les composants suivants :
Protection contre les attaques sur le réseau (IDS)
Analyse le contenu du trafic réseau et protège contre les attaques réseau. Le trafic considéré comme dangereux
sera bloqué.
Protection contre les réseaux de zombies
Détection et blocage des communications de réseaux de zombies. Identifie rapidement et avec précision les
logiciels malveillants dans le système.
Liste noire temporaire des adresses IP (adresses bloquées)
Voir une liste des adresses IP ayant été détectées comme des sources d'attaque et ajoutées à la liste noire pour
éviter toute connexion pendant un certain temps.
Assistant de dépannage (applications ou appareils récemment bloqués)
Vous aide à résoudre les problèmes de connectivité causés par la protection contre les attaques de réseau.
5.4.3.1 Assistant de dépannage réseau
L'assistant de dépannage surveille toutes les connexions bloquées et vous guide tout au long du processus de
dépannage pour corriger les problèmes de protection contre les attaques réseau avec des applications ou des
périphériques spécifiques. Ensuite, l'assistant vous propose un nouvel ensemble de règles à appliquer si vous les
approuvez.
5.4.4 Web et messagerie
Web et messagerie vous permet d'activer ou de désactiver et de configurer les composants suivants :
Protection de l'accès Web
Si cette option est activée, tout le trafic HTTP ou HTTPS est analysé à la recherche de logiciels malveillants.
Protection du client de messagerie
Surveille les communications reçues par l'entremise des protocoles POP3 et IMAP.
Protection anti-hameçonnage
Protège contre les tentatives de vol de vos mots de passe, de vos données bancaires et d'autres informations
sensibles par des sites Web illégitimes déguisés en sites légitimes.
52
5.4.5 Outils - Journalisation de diagnostic
Vous pouvez activer la journalisation de diagnostic lorsque vous avez besoin d'informations détaillées sur le
comportement d'une fonctionnalité spécifique de ESET File Security, par exemple lors du dépannage. Lorsque vous
cliquez sur l'icône en forme d'engrenage
diagnostic.
, vous pouvez configurer les fonctions à utiliser pour les journaux de
Choisissez la durée de son activation (10 minutes, 30 minutes, 1 heure, 4 heures, 24 heures, jusqu'au prochaine
redémarrage du serveur ou en permanence). Une fois la journalisation de diagnostic activée, ESET File Security
collecte les journaux détaillés en fonction des fonctionnalités activées.
53
5.4.6 Importation et exportation des paramètres
La fonction d'importation/exportation est utile si vous avez besoin de sauvegarder la configuration actuelle de votre
ESET File Security. Vous pouvez également utiliser la fonction d'importation pour distribuer ou appliquer les mêmes
paramètres aux autres serveurs avec ESET File Security. Les paramètres sont exportés vers un fichier .xml.
REMARQUE
Une erreur peur se produire lors de l'exportation de paramètres si vous n'avez pas les privilèges pour écrire le
fichier exporté dans le répertoire spécifié.
5.5 Outils
Les fonctionnalités suivantes sont disponibles pour l'administration de ESET File Security :
·
·
·
·
·
·
·
·
·
·
·
54
Processus en cours
Surveiller l'activité
Statistiques de protection
Grappe
ESET Shell
ESET Dynamic Threat Defense
ESET SysInspector
ESET SysRescue Live
Planificateur
Soumettre l'échantillon pour fins d'analyse
Quarantaine
55
5.5.1 Processus en cours
Processus en cours affiche les programmes ou processus en cours d'exécution sur votre ordinateur et s'assure
qu'ESET est continuellement avisé des nouvelles infiltrations, et ce, dès qu'elles se produisent. ESET File Security
donne de l'information détaillée sur les processus en cours d'exécution pour protéger les utilisateurs grâce à la
technologie ESET LiveGrid®.
REMARQUE
Les applications connues marquées comme Meilleure réputation (vert) sont propres (ajoutées à la liste
blanche) et sont exclues de l'analyse, puisque cela permet d'améliorer la vitesse de l'analyse à la demande ou
de la protection en temps réel du système de fichiers sur votre ordinateur.
Réputation
Dans la plupart des cas, ESET File Security et la technologie ESET LiveGrid® déterminent la
réputation d'un objet à l'aide d'une série de règles heuristiques qui examinent les
caractéristiques de chaque objet (fichiers, processus, clés de registre, etc.), puis évaluent leur
potentiel d'activité malveillante. Sur la base de ces heuristiques, les objets se voient attribuer un
niveau de réputation allant de 9 - Meilleure réputation (vert) à 0 - Pire réputation (rouge).
Processus
Nom de l'image du programme ou du processus actuellement en cours d'exécution sur votre
ordinateur. Vous pouvez aussi utiliser le Gestionnaire des tâches de Windows pour afficher tous
les processus en cours d'exécution sur votre ordinateur. Vous pouvez ouvrir le Gestionnaire des
tâches en cliquant à droite dans une zone vide de la barre des tâches, puis sur Gestionnaire des
tâches, ou vous pouvez également appuyer sur les touches Ctrl+Shift+Esc de votre clavier.
PID
C'est un identifiant des processus s'exécutant sur les systèmes d'exploitation Windows.
56
Réputation
Dans la plupart des cas, ESET File Security et la technologie ESET LiveGrid® déterminent la
réputation d'un objet à l'aide d'une série de règles heuristiques qui examinent les
caractéristiques de chaque objet (fichiers, processus, clés de registre, etc.), puis évaluent leur
potentiel d'activité malveillante. Sur la base de ces heuristiques, les objets se voient attribuer un
niveau de réputation allant de 9 - Meilleure réputation (vert) à 0 - Pire réputation (rouge).
Nombre
d'utilisateurs
Le nombre d'utilisateurs qui utilisent une application donnée. Cette information est colligée par
la technologie ESET LiveGrid®.
Heure de la
découverte
Période depuis que l'application a été découverte par la technologie ESET LiveGrid®.
Nom de
l'application
Le nom d'un programme ou d'un processus donné.
REMARQUE
Lorsqu'une application est marquée comme Inconnue (orange) , elle n'est pas nécessairement un logiciel
malveillant. Il s'agit généralement d'une application plus récente. Si vous avez des doutes au sujet du fichier,
utilisez la fonction Soumettre le fichier pour fins d'analyse pour envoyer le fichier au laboratoire ESET Virus
Lab. Si le fichier se révèle être une application malveillante, sa détection sera ajoutée à l'une des prochaines
mises à jour du moteur de détection.
Afficher les détails
L'information suivante s'affichera dans le bas de la fenêtre :
·
·
·
·
·
·
·
·
Chemin - Emplacement d'une application sur votre ordinateur.
Taille - Taille du fichier indiquée en Ko (kilooctets) ou en Mo (mégaoctets).
Description - Caractéristiques du fichier, en fonction de la description provenant du système d'exploitation.
Société - Nom du fournisseur ou du processus d'application.
Version - Information de l'éditeur de l'application.
Produit - Nom de l'application et/ou nom de l'entreprise.
Date de création - Date et heure auxquelles une application a été créée.
Date de modification - Date et heure auxquelles une application a été modifiée pour la dernière fois.
Ajouter aux exclusions de processus
Cliquez avec le bouton droit de la souris sur un processus dans la fenêtre Processus en cours pour l'exclure de
l'analyse. Son chemin d'accès sera ajouté à la liste Exclusions de processus.
5.5.2 Surveiller l'activité
Surveiller l'activité donne une représentation graphique de l'activité. Dans le menu déroulant, il est possible de
sélectionner les activités suivantes :
Activité du système de fichiers
Quantité de données lues ou écrites L'axe vertical du graphique représente les données lues (en bleu) et
écrites (en vert).
Activité réseau
Quantité de données reçues. L'axe vertical du graphique représente les données reçues (en bleu) et les
données envoyées (en vert).
Une chronologie qui enregistre l'activité du système de fichier en temps réel sur la base de l'intervalle de temps
sélectionné est située au bas du graphique. Utilisez le menu déroulant Fréquence de rafraîchissement pour
modifier la fréquence des mises à jour.
57
Les options suivantes sont disponibles :
1 seconde
Le graphique est actualisé toutes les secondes et la chronologie couvre les 10 dernières
minutes.
1 minute
(24 dernières
heures)
Le graphique est actualisé toutes les minutes et la chronologie couvre les 24 dernières
heures.
1 heure (dernier
mois)
Le graphique est actualisé toutes les heures et la chronologie couvre le dernier mois.
1 heure (mois
sélectionné)
Le graphique est actualisé toutes les heures et la chronologie couvre le mois sélectionné.
Sélectionnez un mois (et une année) dans le menu déroulant pour voir l'activité. Cliquez sur
Changer.
58
5.5.3 Statistiques de protection
Pour afficher les données statistiques relatives aux modules de protection de ESET File Security, sélectionnez le
module de protection approprié dans le menu déroulant. Les statistiques incluent des informations telles que le
nombre de tous les objets analysés, le nombre d'objets infectés, le nombre d'objets nettoyés et le nombre d'objets
propres. Passez votre souris sur un objet à côté du graphique et seules les données de cet objet spécifique
s'afficheront dans le graphique. Pour effacer les informations statistiques du module de protection en cours, cliquez
sur Réinitialiser. Pour effacer les données de tous les modules, cliquez sur Tout réinitialiser.
Les graphiques statistiques suivants sont disponibles dans ESET File Security :
Protection antivirus et anti-logiciel espion
Affiche le nombre d'objets total infectés et nettoyés.
Protection du système de fichiers
Affiche uniquement les objets lus ou écrits dans le système de fichier.
Protection Hyper-V
Affiche le nombre total d'objets infectés, nettoyés et propres (sur les systèmes avec Hyper-V uniquement).
Protection du client de messagerie
Affiche uniquement les objets envoyés ou reçus par les clients de messagerie.
Protection de l'accès Web et anti-hameçonnage
Affiche les objets téléchargés par des navigateurs Web seulement.
59
5.5.4 Grappe
La Grappe ESET est une infrastructure de communication P2P utilisée par la gamme de produits ESET pour Microsoft
Windows Server.
Cette infrastructure permet aux produits de serveur ESET de communiquer les uns avec les autres et d'échanger des
données telles que la configuration et les notifications et peut elle permet également de synchroniser les données
requises pour le bon fonctionnement d'un groupe d'instances de produits. Il peut s'agir, par exemple, d'un groupe
de nœuds dans une grappe de basculement Windows ou d'une grappe d'équilibrage de la charge réseau (ÉCR) sur
lequel des produits ESET sont installés. Dans ces cas, il faut s'assurer que les produits seront configurés de la même
façon dans l'ensemble de la grappe. La grappe ESET garantit l'uniformité entre les instances.
REMARQUE
Les paramètres de l'interface utilisateur ne sont pas synchronisés entre les nœuds de la grappe ESET.
Il est possible d'accéder à la page d'état de la Grappe ESET à partir du menu principal sous Outils > Grappe. Une fois
la configuration réussie, voici à quoi la page d'état devrait ressembler :
REMARQUE
La création de grappes ESET entre ESET File Security et ESET File Security pour Linux n'est pas prise en charge.
Lors de la configuration de la Grappe ESET, il existe deux moyens pour ajouter des nœuds :
Autodétection
Si vous disposez d'une grappe de basculement Windows ou d'une grappe d'équilibrage de la charge réseau
existante, l'autodétection ajoute automatiquement ses nœuds membres à la grappe ESET.
60
Parcourir
Vous pouvez ajouter manuellement des nœuds en entrant le nom des serveurs (membres du même groupe de
travail ou du même domaine).
REMARQUE
Il n'est pas nécessaire que les serveurs soient des membres d'une grappe de basculement Windows ou d'une
grappe d'équilibrage de la charge réseau pour utiliser la fonctionnalité Grappe ESET. Il n'est pas nécessaire que
votre environnement soit doté d'une grappe de basculement Windows ou d'une grappe d'équilibrage de la
charge réseau pour utiliser les grappes ESET.
Une fois que vous avez ajouté les nœuds à votre Grappe ESET, la prochaine étape est l'installation d'ESET File
Security sur chaque nœud. Cette opération s'effectue automatiquement pendant la configuration de la Grappe
ESET. Authentifiant exigé lors de l'installation à distance de ESET File Security sur d'autres nœuds de la grappe :
Cas du domaine
Authentifiant de l'administrateur du domaine
Cas du groupe de travail
Vous devez vous assurer que tous les nœuds utilisent le même authentifiant pour le compte administrateur
local.
Dans une grappe ESET, vous pouvez également inclure une combinaison de nœuds ajoutés automatiquement en
tant que membres de la grappe de basculement Windows/grappe d'équilibrage de la charge réseau existante, ainsi
que les nœuds ajoutés manuellement (à condition qu'ils appartiennent au même domaine).
IMPORTANT
Il est impossible de combiner des nœuds d'un domaine à ceux d'un groupe de travail.
Pour utiliser une grappe ESET, il est également nécessaire que le partage des fichiers et de l'imprimante soit activé
dans le pare-feu Windows avant de pousser ESET File Security sur les nœuds de la grappe ESET.
Vous pouvez ajouter de nouveaux nœuds à une grappe ESET existante à tout moment en exécutant l'assistant pour
la grappe.
Importer des certificats
Les certificats servent à fournir une authentification forte de machine à machine lorsque le protocole HTTPS est
utilisé. Il existe une hiérarchie de certificats indépendante pour chaque grappe ESET. La hiérarchie possède un
certificat racine et un ensemble de certificats de nœud signés par le certificat racine. La clé privée du certificat
racine est détruite après la création de tous les certificats de nœud. Lorsque vous ajoutez un nouveau nœud à la
grappe, une nouvelle hiérarchie de certificats est créée. Accédez au dossier qui contient les certificats (qui ont
été générés pendant l'exécution de l'assistant pour la grappe). Sélectionnez le fichier de certificat et cliquez
sur Ouvrir.
Détruire la grappe
Les grappes ESET peuvent être démantelées. Chacun des nœuds créera une entrée dans le journal des
événements à propos de la destruction de la grappe ESET. Par la suite, toutes les règles de pare-feu ESET seront
supprimées du pare-feu Windows. Les anciens nœuds retrouveront leur état antérieur et pourront être utilisés
de nouveau dans une autre grappe ESET au besoin.
61
5.5.4.1 Assistant pour la grappe : Sélection des nœuds
La première étape lorsque vous configurez une grappe ESET consiste à ajouter des nœuds. Vous pouvez utiliser soit
l'option Détection automatique ou Parcourir pour ajouter des nœuds. De manière alternative, vous pouvez entrer le
nom du serveur dans la boîte de texte, puis cliquer sur le bouton Ajouter.
Autodétection
Ajoute automatiquement les nœuds à partir d'une grappe de basculement Windows ou d'une grappe
d'équilibrage de la charge réseau existante. Pour que les nœuds puissent être ajoutés automatiquement, le
serveur que vous utilisez pour créer la grappe ESET doit appartenir à cette grappe de basculement Windows ou
à cette grappe d'équilibrage de la charge réseau. La fonctionnalité Autoriser le contrôle à distance doit être
activée dans les propriétés de la grappe d'équilibrage de la charge réseau pour que la Grappe ESET puisse
détecter correctement les nœuds. Lorsque vous aurez la liste des nœuds nouvellement ajoutés, vous pourrez
supprimer ceux que vous ne voulez pas garder.
Parcourir
Pour rechercher et sélectionner les ordinateurs appartenant à un domaine ou à un groupe de travail. Cette
méthode vous permet d'ajouter des nœuds manuellement à la grappe ESET. Une autre façon d'ajouter des
nœuds est d'entrer le nom d'hôte du serveur que vous voulez ajouter et de cliquer sur Ajouter.
Charge
Pour importer la liste des nœuds à partir d'un fichier.
Pour modifier les Nœuds de la grappe indiqués dans la liste, sélectionnez le nœud à supprimer et cliquez sur
Supprimer ou, pour effacer l'ensemble de la liste, cliquez sur en cliquant sur Supprimer tout.
Si vous avez déjà une grappe ESET, vous pouvez y ajouter des nœuds en tout temps. Suivez les mêmes étapes que
celles décrites ci-dessus.
62
REMARQUE
Tous les nœuds qui restent dans la liste doivent être en ligne et accessibles. L'hôte local est ajouté par défaut
aux nœuds de la grappe.
5.5.4.2 Assistant pour la grappe : Paramètres de grappe
Définissez le nom de la grappe et les spécificités du réseau (si nécessaire).
Nom de la grappe
Saisissez un nom pour votre grappe, puis cliquez sur Suivant.
Port d'écoute - (9777 est le port par défaut)
Si vous utilisez déjà le port 9777 dans votre environnement réseau, spécifiez un autre numéro de port qui n'est
pas utilisé.
Ouvrir le port dans le pare-feu Windows
Lorsque cette option est sélectionnée, une règle est créée dans le pare-feu Windows.
5.5.4.3 Assistant pour la grappe : Paramètres de configuration de grappe
Sélectionnez le mode de distribution du certificat et choisissez si vous voulez ou non installer le produit sur d'autres
nœuds.
Distribution du certificat
· Automatiquement à distance - Le certificat sera installé automatiquement.
· Manuel : Cliquez sur Générer et sélectionnez le dossier approprié pour stocker les certificats. Un certificat
racine ainsi qu'un certificat pour chaque nœud, y compris celui (machine locale) à partir duquel vous
configurez la grappe ESET, seront créés. Pour inscrire le certificat sur la machine locale, cliquez sur Oui.
Installation du produit sur d'autres nœuds
· Automatiquement à distance - ESET File Security sera installé automatiquement sur chaque nœud (à
condition que leur système d'exploitation utilise la même architecture).
· Manuel : Installez manuellement ESET File Security (par exemple, lorsque vos nœuds utilisent des
architectures avec des systèmes d'exploitation différents).
Pousser la licence aux noeuds sans activer le produit
Sélectionnez cette option pour que ESET Security active automatiquement les solutions ESET installés sur les
nœuds sans licence.
REMARQUE
Pour créer une grappe ESET en utilisant des architectures de système d'exploitation variées (32 et 64 bits), vous
devez installer ESET File Security manuellement. Le système d'exploitation utilisé sera détectée dans les
prochaines étapes et vous verrez cette information dans la fenêtre du journal.
63
5.5.4.4 Assistant pour la grappe : Vérification des nœuds
Après avoir précisé les détails de l'installation, une vérification des nœuds sera effectuée. Les informations
suivantes seront affichées dans le Journal de vérification des nœuds :
·
·
·
·
·
·
·
vérifier que tous les nœuds existants sont en ligne
vérifier que les nouveaux nœuds sont accessibles
le nœud est en ligne
le partage administrateur est accessible
l'exécution à distance est possible
vérifier que les bonnes versions des produits sont installées (ou il n'y a pas de produit)
vérifier que les nouveaux certificats sont présents
Vous verrez le rapport une fois la vérification terminée :
64
65
5.5.4.5 Assistant pour la grappe : Installation des nœuds
Lorsque le produit est installé sur une machine distante pendant l'initialisation de la grappe ESET, l'assistant tente
de localiser le programme d'installation dans le répertoire %ProgramData%\ESET\ESET Security\Installer. Si le
progiciel d'installation ne s'y trouve pas, il vous sera demandé d'indiquer l'emplacement du fichier d'installation.
REMARQUE
Lorsque vous tentez d'utiliser l'installation à distance automatique pour un nœud utilisant une architecture
différente (32 bits versus 64 bits), le logiciel le détectera et vous recommandera d'effectuer une installation
manuelle.
66
Une fois que vous avez configuré correctement la grappe ESET, elle apparaîtra comme activée dans la page
Configuration > Serveur.
REMARQUE
Si une version antérieure de ESET File Security est déjà installée sur certains nœuds, vous serez informé que la
dernière version est requise sur ces machines. La mise à jour ESET File Security peut entraîner un redémarrage
automatique.
67
Vous pouvez également en vérifier l'état actuel dans la page d'état de la grappe (Outils > Grappe).
5.5.5 ESET Shell
eShell (nom abrégé de ESET Shell) est une interface de ligne de commande pour ESET File Security. C'est une
solution de rechange à l'interface utilisateur graphique (IUG). eShell comprend toutes les fonctionnalités et options
que l'on trouve généralement dans une IUG. eShell permet en outre de configurer et d'administrer l'ensemble du
programme sans devoir utiliser d'IUG.
En plus de toutes les fonctionnalités et fonctions incluses dans l'IUG, elle offre également la possibilité
d'automatiser certaines commandes en exécutant des scripts pour configurer, modifier la configuration ou effectuer
une action. eShell peut aussi être utile pour les personnes qui préfère utiliser la ligne de commande plutôt que
l'IUG.
REMARQUE
Pour profiter de toutes les fonctionnalités, nous vous recommandons d'ouvrir eShell en utilisant Exécuter en
tant qu'administrateur. La même chose s'applique lorsque vous exécutez une commande simple à l'aide de
l'invite de commande Windows (cmd). Ouvrez le l'invite en utilisant Exécuter en tant qu'administrateur. Si
vous ne démarrez pas l'invite de commande en tant qu'administrateur, vous ne pourrez pas exécuter les
commandes en raison de l'absence d'autorisations.
eShell peut être exécuté dans deux modes :
1. Mode interactif - ce mode est utile lorsque vous voulez travailler avec eShell (pas seulement pour exécuter
une commande unique) et effectuer des tâches comme modifier la configuration, afficher les journaux, etc.
Vous pouvez utiliser le mode interactif si vous ne connaissez pas bien les commandes. Le mode interactif
vous permettra de naviguer plus facilement dans eShell. Il vous montrera également les commandes
disponibles que vous pouvez utiliser dans un contexte particulier.
68
2. Commande unique/mode séquentiel : vous pouvez utiliser ce mode si vous ne devez exécuter qu'une
commande sans devoir entrer dans le mode interactif de eShell. Cela est possible à partir de l'invite de
commande Windows en entrant eshell avec les paramètres appropriés.
EXEMPLE
eshell get status ou eshell set antivirus status disabled
Afin d'exécuter certaines commandes (comme dans le deuxième exemple ci-dessus) en mode séquentiel/script,
vous devez d'abord configurer quelques paramètres. Sinon, vous obtiendrez le message Accès refusé. C'est pour
une raison de sécurité.
REMARQUE
Les modifications de paramètres sont nécessaires pour permettre l'utilisation des commandes d'eShell à partir
d'une invite de commande Windows. Pour en savoir plus l'exécution des fichiers séquentiels, cliquez ici.
Pour entrer en mode interactif, vous pouvez procéder de deux manières dans eShell :
1. Par le menu Démarrer de Windows : Démarrer > Programmes > ESET > ESET File Security > ESET Shell
2. À partir de l'invte de commande de Windows en tapant eshell, puis en appuyant sur la touche Entrée
IMPORTANT
Si vous obtenez une erreur 'eshell' is not recognized as an internal or external command, cela est dû
au fait que de nouvelles variables d'environnement ne sont pas chargées par votre système après l'installation
de ESET File Security. Ouvrez une nouvelle invite de commande et essayez de démarrer eShell à nouveau. Si
vous obtenez toujours une erreur ou que vous avez l'installation principale de ESET File Security, démarrez
eShell en utilisant le chemin absolu, par exemple "%PROGRAMFILES%\ESET\ESET File Security
\eShell.exe" (vous devez utiliser "" pour que la commande fonctionne).
La première fois que vous exécutez eShell en mode interactif, un écran de première exécution (guide) s'affichera.
REMARQUE
Si vous voulez afficher l'écran de première exécution par la suite, entrez la commande guide. Vous y trouverez
quelques exemples simples d'utilisation d'eShell avec Syntaxe, Préfixe, Chemin de commande, Formulaires
abrégés, Alias, etc.
La prochaine fois que vous exécuterez eShell, vous verrez cet écran :
69
REMARQUE
Les commandes ne sont pas sensibles à la casse. Pour exécuter la commande, vous pouvez utiliser des lettres
majuscules ou des lettres minuscules.
Personnalisation d'eShell
Vous pouvez personnaliser eShell dans le contexte ui eshell. Vous pouvez configurer les alias, les couleurs, le
langage, la politique d'exécution pour les scripts, les paramètres pour les commandes cachées et plus encore.
5.5.5.1 Usage
Syntaxe
Pour pouvoir être utilisées, les commandes doivent être formatées avec la syntaxe appropriée. Elles peuvent
comprendre un préfixe, un contexte, des arguments, des options, etc. Voici la syntaxe générale utilisée dans
l'ensemble d'eShell :
[<préfixe>] [<chemin de commande>] <commande> [<arguments>]
Exemple (permet d'activer la protection du document) :
SET ANTIVIRUS DOCUMENT STATUS ENABLED
SET
: un préfixe
: Le chemin d'accès vers une commande particulière, le contexte auquel appartient la
commande
STATUS : la commande elle-même
ENABLED : un argument pour la commande
ANTIVIRUS DOCUMENT
L'utilisation de ? comme un argument pour une commande affichera la syntaxe de cette commande particulière. Par
exemple, STATUS ? vous affichera la syntaxe de la commande STATUS :
SYNTAXE :
[get] | status
set status enabled | disabled
70
Vous remarquerez peut-être que [get] est entre parenthèses. Cela indique que le préfixe get est la valeur par
défaut pour la commande status. Cela signifie que lorsque vous exécutez status sans spécifier de préfixe, le
préfixe par défaut (dans ce cas get status) sera utilisé. L'utilisation de commandes sans préfixe vous fait gagner du
temps lors de la frappe. Généralement, get est le préfixe par défaut de la plupart des commandes, mais vous devez
savoir quel est le préfixe par défaut pour une commande particulière et qu'il correspond exactement à ce que vous
voulez exécuter.
REMARQUE
Les commandes ne sont pas sensibles à la casse. La commande s'exécutera, que vous utilisiez des majuscules
ou des minuscules.
Préfixe / opération
Un préfixe est une opération. Le préfixe GET vous donne des informations sur la façon dont une certaine
caractéristique de ESET File Security est configuré ou vous montre l'état (par exemple GET ANTIVIRUS STATUS,
affichera l'état actuel de la protection). Le préfixe SET configurera la fonctionnalité ou changera son état ( SET
ANTIVIRUS STATUS ENABLED activera la protection).
Ce sont les préfixes qu'eShell vous laisse utiliser. Une commande peut ou non prendre en charge l'un des préfixes
suivants :
GET
renvoie le parametre/l'état actuel
SET
regle la valeur/l'état
SELECT
Entraîne la sélection d'un élément
ADD
Ajoute un élément
REMOVE
Supprime un élément
CLEAR
retire tous les éléments/fichiers
START
Lance une action
STOP
Arrête une action
PAUSE
Met une action en pause
RESUME
Reprend une action
RESTORE
restaure les parametres/l'objet/le fichier par défaut
SEND
Envoie un objet ou un fichier
IMPORT
Importe à partir d'un fichier
EXPORT
Exporte dans un fichier
REMARQUE
Les préfixes tels que GET et SET sont utilisés avec de nombreuses commandes, mais certaines commandes
(telles que EXIT) n'utilisent aucun préfixe.
Chemin d'accès / contexte
71
Les commandes sont placées dans des contextes formant une structure arborescente. La racine est présentée dans
le haut de l'arborescence. Lorsque vous exécutez eShell, vous êtes au niveau de la racine :
eShell>
De là, vous pouvez soit exécuter une commande ou entrer un nom de contexte pour vous déplacer dans
l'arborescence. Par exemple, lorsque vous entrez le contexte TOOLS, vous pourrez alors voir la liste de toutes les
commandes et tous les sous-contextes auxquels vous pouvez accéder à partir de ce contexte.
Les éléments en jaune sont ceux que vous pouvez exécuter alors que ceux qui sont affichés en gris représentent
des sous-contextes dans lesquels vous pouvez entrer. Un sous-contexte contient d'autres commandes.
Si vous devez retourner à un niveau supérieur, utilisez .. (deux points).
EXEMPLE
Vous vous trouvez ici :
eShell antivirus startup>
Entrez .. pour monter d'un niveau, vers :
eShell antivirus>
Si vous voulez retourner à la racine à partir de eShell antivirus startup> qui se trouve deux niveaux plus bas que
la racine), entrez simplement .. .. (deux points et deux points séparés par une espace). De ce fait, vous
remonterez de deux niveaux, soit jusqu'à la racine, dans ce cas-ci. Utilisez la barre oblique inversée \ pour retourner
directement à la racine à partir de n'importe quel niveau, peu importe la profondeur à laquelle vous vous trouvez
dans l'arborescence. Si vous voulez atteindre un contexte particulier dans les niveaux supérieures, utilisez
simplement le nombre appropriée de commandes .. pour atteindre le niveau voulu, en utilisant une espace
comme séparateur. Par exemple, si vous voulez aller à trois niveaux supérieurs, utilisez .. .. ..
Le chemin d'accès varie selon le contexte actuel. Si la commande est contenue dans le contexte actuel, n'entrez pas
de chemin d'accès. Par exemple, pour exécuter GET ANTIVIRUS STATUS, entrez :
: Si vous êtes dans le contexte racine (la ligne de commande indique eShell>)
: Si vous êtes dans le contexte ANTIVIRUS (la ligne de commande indique eShell antivirus>)
GET ANTIVIRUS STATUS
GET STATUS
72
: Si vous êtes dans le contexte ANTIVIRUS
startup> )
.. GET STATUS
antivirus
STARTUP
(la ligne de commande indique eShell
Vous pouvez utiliser un seul point . (point) au lieu de deux .., parce que un seul point est l'abréviation de deux
points.
EXEMPLE
: Si vous êtes dans le contexte ANTIVIRUS
startup> )
. GET STATUS
antivirus
STARTUP
(la ligne de commande indique eShell
Argument
Un argument vers une action qui est effectuée pour une commande particulière. Par exemple, la commande CLEANLEVEL (située dans ANTIVIRUS REALTIME ENGINE ) peut être utilisée avec les arguments suivants :
: aucun nettoyage
- nettoyage normal
strict - nettoyage strict
no
normal
Un autre exemple ce sont les arguments ENABLED ou DISABLED, utilisés pour activer ou désactiver certaines
fonctionnalités.
Forme abrégée / commandes raccourcies
eShell vous permet de raccourcir les contextes, les commandes et les arguments (à la condition que l'argument soit
un commutateur ou une option de rechange). Il n'est pas possible de raccourcir un préfixe ou un argument
comportant des valeurs concrètes comme un numéro, un nom ou un chemin d'accès. Vous pouvez utiliser les
chiffres 1 et 0 au lieu des arguments ENABLED et DISABLED.
EXEMPLE
set status enabled
set status disabled
=>
set stat 1
=>
set stat 0
Exemples de formes abrégées :
EXEMPLE
set status enabled
=>
set stat en
add antivirus common scanner-excludes C:\path\file.ext
\file.ext
=>
add ant com scann C:\path
Dans le cas où deux commandes ou contextes commencent par les mêmes lettres (par exemple ABOUT et ANTIVIRUS,
et que vous entrez A comme commande abrégée), eShell ne pourra pas décider de la commande à exécuter. Un
message d'erreur sera alors affiché, tout comme la liste des commandes commençant par un « A », parmi lesquelles
vous pourrez faire un choix :
eShell>a
La commande suivante n'est pas unique : a
Les commandes suivantes sont disponibles dans ce contexte :
ABOUT
- Affiche l'information sur le programme
73
ANTIVIRUS
- Passe à l'antivirus de contexte
Si vous ajoutez une ou plusieurs lettres (par exemple, AB au lieu de A) eShell exécutera la commande ABOUT
puisqu'elle est maintenant unique.
REMARQUE
Lorsque vous voulez être certain qu'une commande fait l'action que vous voulez qu'elle fasse, nous vous
recommandons de ne pas abréger les commandes, arguments, etc. et d'utiliser plutôt la forme complète. De
cette façon, vous serez certain qu'elle exécutera exactement ce que vous voulez et empêchera les erreurs non
voulues. C'est particulièrement vrai pour les fichiers de commandes et scripts.
Complétion automatique
La nouvelle fonctionnalité introduite dans eShell 2.0 ressemble beaucoup au complétage automatique dans l'invite
de commandes Windows. Alors que l'invite de commande Windows complète les chemins d'accès aux fichiers,
eShell complète la commande, le contexte et les noms d'opération. Le complétage d'argument n'est pas pris en
charge. Lorsque vous tapez une commande, appuyez simplement sur la touche TAB pour compléter la commande ou
parcourir les variantes disponibles. Appuyez sur les touches Maj. + Tab pour parcourir dans le sens inverse. La
combinaison de formes abrégées et de complétion automatique n'est pas prise en charge. Vous devez utiliser soit
l'une, soit l'autre. Par exemple, lorsque vous tapez antivir real scan, le fait d'appuyer sur la touche Tab n'aura
aucun effet. Au lieu de cela, tapez antivir, puis Tab pour compléter antivirus; continuez à taper real + Tab et scan
+ Tab. Vous pouvez ensuite explorer toutes les variations disponibles : scan-create, scan-execute, scan-open, etc.
Alias
Un alias est un autre nom qui peut être utilisé pour exécuter une commande (à la condition qu'un alias ait été
attribué à la commande). Voici quelques alias par défaut :
: Quitter
: Quitter
(global) bye : Quitter
warnlog - événements dans le journal des outils
virlog - détections dans le journal des outils
antivirus on-demand log - analyses le journal des outils
(global) close
(global) quit
« (global) » signifie que la commande peut être utilisée n'importe où, indépendamment du contexte actuel.
Plusieurs alias peuvent être attribués à une même commande. Par exemple, la commande EXIT possède comme
alias CLOSE, QUIT et BYE. Lorsque vous voulez quitter eShell, vous pouvez utiliser la commande EXIT elle-même ou
l'un de ses alias. L'alias VIRLOG est un alias de la commande DETECTIONS située dans le contexte TOOLS LOG. De cette
façon, la commande de détection est disponible à partir du contexte ROOT, ce qui facilite son accès (vous n'avez pas
besoin d'entrer le contexte TOOLS, puis le contexte LOG et de l'exécuter directement à partir de ROOT).
eShell vous permet de définir vos propres alias. La commande ALIAS peut se trouver dans le contexte UI
ESHELL .
Paramètres protégées par un mot de passe
Les paramètres de ESET File Security peuvent être protégés par un mot de passe. Vous pouvez définir un mot de
passe à l'aide de l'IUG ou eShell en utilisant la commande set ui access lock-password. Vous devrez ensuite
entrer ce mot de passe de manière interactive pour certaines commandes (comme celles utilisées pour modifier les
paramètres ou les données). Si vous prévoyez travailler avec eShell pendant une période de temps plus longue sans
avoir à entrer le mot de passe de manière répétitive, vous pouvez demander à eShell de retenir le mot de passe en
utilisant la commande set password. Votre mot de passe sera ensuite saisi automatiquement à chaque exécution
d'une commande qui nécessite un mot de passe. Il demeure en mémoire jusqu'à ce que vous quittiez eShell. Vous
devrez donc utiliser set password encore une fois au démarrage d'une nouvelle session et demander à eShell de
retenir votre mot de passe.
Guide/aide
74
L'exécution de la commande GUIDE ou HELP affichera l'écran de « première exécution » expliquant comment utiliser
eShell. Cette commande est disponible à partir du contexte ROOT ( eShell>).
Historique des commandes
eShell conserve l'historique des commandes déjà exécutées. Cela ne s'applique qu'à la session interactive actuelle
de eShell. Lorsque vous quittez eShell, l'historique des commandes est alors effacé. Utilisez les touches flèches
Haut et Bas de votre clavier pour naviguer dans l'historique. Une fois que vous aurez trouvé la commande que vous
cherchiez, vous pourrez l'exécuter de nouveau ou la modifier, sans avoir à répéter entièrement la commande du
début.
CLS / effacer l'écran
La commande CLS peut être utilisée pour effacer l'écran. Elle fonctionne de la même façon que dans l'invite de
commande de Windows ou dans une autre interface avec ligne de commande semblable.
EXIT / CLOSE / QUIT / BYE
Pour fermer eShell ou en sortir, vous pouvez utiliser n'importe laquelle de ces commandes ( EXIT, CLOSE, QUIT or
BYE ).
5.5.5.2 Commandes
Cette section dresse une liste de quelques commandes de base eShell avec des descriptions.
REMARQUE
Les commandes ne sont pas sensibles à la casse. La commande s'exécutera, que vous utilisiez des majuscules
ou des minuscules.
Exemple de commandes (contenues dans le contexte ROOT) :
ABOUT
Affiche de l'information sur le programme. Il s'agit par exemple de :
· Nom de votre produit de sécurité ESET installé ainsi que son numéro de version.
· Système d'exploitation et renseignements de base sur le matériel.
· Nom d'utilisateur (y compris le domaine), Nom complet de l'ordinateur (FQDN, si votre serveur est un
membre d'un domaine) et le nom de siège.
· Composants installés de votre produit de sécurité ESET, y compris le numéro de version de chaque
composant.
CHEMIN DE CONTEXTE :
root
PASSWORD
En temps normal, pour pouvoir exécuter des commandes protégées par mot de passe, vous serez invité à entrer un
mot de passe, et ce, à des fins de sécurité. Cela s'applique à des commandes comme celles qui désactivent la
protection antivirus et à celles qui peuvent avoir des répercussions sur la configuration de ESET File Security. Vous
serez invité à entrer un mot de passe chaque fois que vous exécutez une telle commande. Vous pouvez définir ce
mot de passe pour ne pas avoir à l'entrer chaque fois. Celui-ci sera gardé en mémoire par eShell et il sera entré
automatiquement, lorsqu'une commande protégée par mot de passe est exécutée.
REMARQUE
75
Votre mot de passe ne peut être utilisé que dans la session interactive eShell en cours. Une fois que vous
quitterez eShell, ce mot de passe défini sera supprimé. Lorsque vous redémarrerez eShell, vous devrez définir
de nouveau le mot de passe.
Le mot de passe défini est aussi utile lorsque vous exécutez des fichiers séquentiels ou des scripts de commandes
non signés. Assurez-vous de mettre la politique d'exécution d'ESET Shell) à Accès complet lors de l'exécution de
fichiers séquentiels non signés. Voici un exemple d'un tel fichier :
eshell set password plain <yourpassword> "&" set status disabled
Cette commande concaténée définira un mot de passe et désactivera la protection.
IMPORTANT
Nous vous recommandons d'utiliser des fichiers séquentiels signés chaque fois que cela est possible. En
procédant ainsi, vous évitez d'avoir un mot de passe texte dans le fichier séquentiel (si vous utilisez la
méthode décrite ci-dessus). Voir Fichiers séquentiels/ Scripts (section Fichiers séquentiels signés) pour plus
de détails.
CHEMIN DE CONTEXTE :
root
SYNTAXE :
[get] | restore password
set password [plain <password>]
OPÉRATIONS :
get
: Afficher le mot de passe
set
: Définir ou d'effacer le mot de passe
restore
: Effacer le mot de passe
ARGUMENTS :
plain
: Basculer pour entrer le mot de passe comme paramètre
password
: Mot de passe
EXEMPLES :
set password plain <votre mot de passe>
: Définit un mot de passe qui sera utilisé pour les commandes
protégées par mot de passe
restore password
: Efface le mot de passe
EXEMPLES :
: Utilisez cette commande pour voir si le mot de passe est configuré ou non (n'affiche que des
astérisques « * », n'indique pas le mot de passe lui-même). Lorsqu'aucun astérisque n'est visible, cela signifie
qu'aucun mot de passe n'a été réglé
get password
set password plain <votre mot de passe>
restore password
STATUS
76
: Utilisé pour régler le mot de passe défini
: Cette commande efface le mot de passe défini
Affiche l'information sur l'état actuel de la protection de ESET File Security (semblable à l'interface graphique
utilisateur).
CHEMIN DE CONTEXTE :
root
SYNTAXE :
[get] | restore status
set status disabled | enabled
OPÉRATIONS :
get
: Affiche l'état de protection antivirus
set
: Désactive ou active la protection antivirus
restore
: Restaure les paramètres par défaut
ARGUMENTS :
disabled
enabled
: Désactive la protection antivirus
: Active la protection antivirus
EXEMPLES :
get status
: Affiche l'état actuel de la protection
set status disabled
restore status
: Désactive la protection
: Restaure la protection à la valeur par défaut (activée)
VIRLOG
C'est un alias de la commande DETECTIONS. Cette commande est utile lorsque vous devez afficher des informations
sur les infiltrations détectées.
WARNLOG
C'est un alias de la commande EVENTS. Cette commande est utile lorsque vous devez afficher des informations sur
divers événements.
5.5.5.3 Fichiers séquentiels/script
Vous pouvez utiliser eShell comme un outil puissant pour l'automation. Pour utiliser un fichier séquentiel avec
eShell, créez-en un avec un eShell et une commande intégrés.
EXEMPLE
eshell get antivirus status
Vous pouvez aussi utiliser une chaîne de commande, ce qui est parfois nécessaire, par exemple si vous voulez
obtenir un type d'une tâche planifiée spécifique, entrez la ligne suivante :
eshell select scheduler task 4 "&" get scheduler action
Normalement, la sélection d'un élément (tâche numéro 4 dans ce cas) s'applique seulement à une instance en cours
d'exécution d'eShell. Dans le cas où vous voudriez exécuter ces deux commandes l'une après l'autre, la seconde
77
commande se solderait par un échec avec comme message d'erreur : « Aucune tâche sélectionnée ou la tâche
sélectionnée n'existe plus ».
Pour des raisons de sécurité, la politique d'exécution est définie par défaut à Script limité. Cela vous permet
d'utiliser eShell comme outil de surveillance, mais il vous sera impossible d'apporter des modifications à la
configuration de ESET File Security en exécutant un script. Si vous essayez d'exécuter un script à l'aide d'une
commande qui peut avoir une incidence sur la sécurité, par exemple, en désactivant la protection, le message Accès
refusé sera affiché. Nous vous recommandons d'utiliser des fichiers séquentiels signés.pour exécuter des
commandes qui apportent des modifications à la configuration.
Pour modifier la configuration à l'aide d'une seule commande entrée manuellement dans l'invite de commandes
Windows, vous devez accorder un accès complet à eShell (non recommandé). Pour donner l'accès complet, utilisez
la commande ui eshell shell-execution-policy en mode Interactif d'eShell, ou passez par l'IUG dans
Configuration avancée (F5)> Interface utilisateur > ESET Shell.
Les fichiers séquentiels signés
eShell vous permettent de sécuriser les fichiers séquentiels communs (*.bat) grâce à une signature. Les scripts sont
signés à l'aide du même mot de passe que celui utilisé pour la protection des paramètres. Pour signer un script,
vous devez d'abord activer la protection des paramètres. Vous pouvez le faire par l'intermédiaire de l'IUG ou à partir
d'eShell en utilisant la commande set ui access lock-password. Une fois le mot de passe de protection des
paramètres défini, vous pouvez commencer à signer des fichiers séquentiels.
REMARQUE
Si vous modifiez le mot de passe de la protection des paramètres, vous devez alors signer tous les scripts de
nouveau, sinon l'exécution des scripts échouera après la modification du mot de passe. Le mot de passe que
vous entrez lorsque vous signez un script doit correspondre au mot de passe de la protection des paramètres
sur le système cible.
Pour signer un fichier séquentiel, exécutez sign <script.bat> à partir du contexte racine d'eShell, où script.bat est
le chemin vers le script que vous voulez signer. Entrez et confirmez le mot de passe qui sera utilisé pour la
signature. Ce mot de passe doit correspondre au mot de passe de la protection des paramètres. La signature est
placée à la fin du fichier séquentiel sous la forme d'un commentaire. Dans le cas où ce script a déjà été signé,
l'ancienne signature sera remplacée par la nouvelle.
REMARQUE
Lorsque vous modifiez un fichier séquentiel déjà signé, ce dernier doit être signé de nouveau.
Pour exécuter un fichier séquentiel signé à l'aide de l'invite de commande Windows ou en tant que tâche planifiée,
utilisez la commande suivante :
eshell run <script.bat>
Où script.bat est le chemin vers le fichier séquentiel.
EXEMPLE
eshell run d:\myeshellscript.bat
78
5.5.6 ESET SysInspector
ESET SysInspector est une application qui inspecte complètement votre ordinateur et collige de l'information
détaillée sur les composants système, tels que les pilotes et applications installés, les connexions réseau ou des
entrées de registre importantes, et évalue le niveau de risque de chacun des composants. Ces données peuvent
aider à déterminer la cause d'un comportement suspect du système pouvant être dû à une incompatibilité logicielle
ou matérielle, ou à une infection par logiciel malveillant.
Cliquez sur Créer et entrez un bref Commentaire décrivant le journal à créer. Veuillez patienter jusqu'à ce que le
journal ESET SysInspector soit prêt (état indiquant Créé). La création d'un journal peut demander un certain temps
selon la configuration de votre matériel informatique et des données du système.
La fenêtre ESET SysInspector affiche les données suivantes sur les journaux créés :
·
·
·
·
Heure - L'heure de création du journal.
Commentaire - Un bref commentaire.
Utilisateur - Le nom de l'utilisateur ayant créé le journal.
État - L'état de création du journal.
Les actions suivantes sont disponibles :
· Afficher : Ouvre le journal créé. Vous pouvez aussi cliquer à l'aide du bouton droit de la souris sur un fichier
journal et sélectionner Afficher à partir du menu contextuel.
· Comparer - Compare deux journaux existants.
· Créer : Crée un journal. Entrez un bref commentaire décrivant le journal à créer, puis cliquez sur le bouton
Créer. Patientez jusqu'à ce que le journal ESET SysInspector soit prêt (État indiquant Créé).
· Supprimer - Supprime les journaux sélectionnés de la liste.
Après avoir cliqué à droite pour sélectionner un ou plusieurs journaux, les options suivantes s'afficheront, dans le
menu contextuel :
· Afficher - Ouvre le journal sélectionné dans ESET SysInspector (ou double-cliquez sur un journal pour la
même fonction).
· Comparer - Compare deux journaux existants.
· Créer : Crée un journal. Entrez un bref commentaire décrivant le journal à créer, puis cliquez sur le bouton
Créer. Patientez jusqu'à ce que le journal ESET SysInspector soit prêt (État indiquant Créé).
· Supprimer - Supprime les journaux sélectionnés de la liste.
· Supprimer tout - Supprime tous les journaux.
· Exporter - Exporte le journal vers un fichier .xml ou un fichier .xml zippé.
5.5.7 ESET SysRescue Live
ESET SysRescue Live est un utilitaire gratuit qui vous permet de créer un CD/DVD ou une clé USB de secours
amorçables. Vous pouvez démarrer un ordinateur infecté à partir de votre support de secours, puis rechercher des
logiciels malveillants et nettoyer les fichiers infectés.
Le principal avantage d'ESET SysRescue Live est le fait que la solution ESET Security s'exécute indépendamment du
système d'exploitation hôte, tout en ayant un accès direct au disque et au système de fichier. Cela permet de retirer
des menaces qui, dans des circonstances normales, ne pourraient pas être supprimées, par exemple lorsque le
système d'exploitation est en cours d'exécution, etc.
79
5.5.8 Planificateur
Le planificateur gère et lance les tâches planifiées en fonction de paramètres définis. Vous pouvez voir une liste de
toutes les tâches planifiées sous la forme d'un tableau qui affiche leurs paramètres tels que le type et le nom de la
tâche, l'heure de lancement et la dernière exécution. Vous pouvez aussi créer de nouvelles tâches planifiées en
cliquant sur Ajouter une tâche. Pour modifier la configuration d'une tâche planifiée existante, cliquez sur le bouton
Modifier. Pour rétablir les paramètres par défaut de la liste des tâches planifiées, cliquez sur Défaut, puis sur
Rétablir par défaut et toutes les modifications qui ont été effectuées seront perdues. Cette action ne peut pas être
annulée.
Il existe un ensemble de tâches prédéfinies par défaut :
·
·
·
·
·
·
Maintenance des journaux
Mise à jour automatique régulière (utilisez cette tâche pour mettre à jour la fréquence)
Mise à jour automatique après une connexion commutée
Mise à jour automatique après ouverture de session utilisateur
Vérification automatique des fichiers au démarrage (après ouverture de session utilisateur)
Vérification automatique des fichiers au démarrage (après mise à jour réussie des modules)
REMARQUE
Cochez les cases appropriées pour activer ou désactiver les tâches.
Pour effectuer les actions suivantes, cliquez avec le bouton droit sur une tâche :
80
Afficher les
détails des
tâches
Affiche des informations détaillées sur une tâche planifiée lorsque vous double-cliquez ou
cliquez avec le bouton droit sur la tâche planifiée.
Exécuter
maintenant
Exécute une tâche de planificateur sélectionnée et exécute la tâche immédiatement.
Ajouter...
Lance un assistant qui vous aidera à créer une nouvelle tâche de planificateur.
Modifier...
Permet de modifier la configuration d'une tâche planifiée existante (par défaut et définie par
l'utilisateur).
Supprimer
Supprime une tâche existante.
5.5.8.1 Planificateur - Ajouter une tâche
Pour créer une nouvelle tâche planifiée :
1. Cliquez sur Ajouter la tâche.
2. Entrez un nom de tâche et configurez votre tâche planifiée personnalisée.
3. Type de tâche : Sélectionnez le type de tâche applicable dans le menu déroulant.
REMARQUE
Pour désactiver la tâche, cliquez sur la glissière à côté de Activée. Pour activer la tâche plus tard, utilisez la case
à cocher dans l'affichage du Planificateur.
4. Calendrier de la tâche : Sélectionnez l'une des options pour définir le moment d'exécution de votre tâche.
Selon votre choix, vous serez invité à choisir une heure, un jour, un intervalle ou un événement spécifique.
81
5. Tâche ignorée : Si une tâche n'a pas pu être exécutée à l'heure définie, il est possible de préciser le moment
où elle sera exécutée :
6. Exécuter l'application : S'il est prévue que la tâche démarre une application externe, choisissez un fichier
exécutable dans l'arborescence.
7. Si vous devez apporter des modifications, cliquez sur Retour pour revenir aux étapes précédentes et modifier
les paramètres.
8. Cliquez sur Terminer pour créer la tâche ou pour appliquer les modifications.
Une nouvelle tâche planifiée apparait dans l'affichage du Planificateur.
82
5.5.8.1.1 Type de la tâche
L'assistant de configuration des tâches planifiées est différent pour chaque type de tâche. Entrez le nom de la tâche
et sélectionnez le type de tâche souhaité à partir du menu déroulant :
· Exécuter une application externe - Planifie l'exécution d'une application externe.
· Maintenance des journaux - Les fichiers journaux contiennent les restes des enregistrements supprimés.
Cette tâche optimise les enregistrements dans les fichiers journaux de façon régulière, afin qu'ils puissent
fonctionner de façon efficace.
· Contrôle des fichiers de démarrage du système - Vérifie les fichiers qui peuvent être exécutés au démarrage
du système ou lors de l'ouverture de session.
· Créer un instantané de l'état de l'ordinateur - Crée un instantané de l'ordinateurESET SysInspector - recueille
des renseignements détaillés sur les composants du système (pilotes, applications, par ex.) et évalue le
niveau de risque de chacun des composants.
· Analyse de l'ordinateur à la demande - Effectue l'analyse des fichiers et dossiers de votre ordinateur.
· Mise à jour - Planifie une tâche de mise à jour dont le but est de mettre à jour le moteur de détection et les
modules du programme.
· Analyse Hyper-V - Planifie une analyse des disques virtuels dans Hyper-V.
· Analyse OneDrive - Planifie une analyse des fichiers stockés sur OneDrive.
Si vous souhaitez désactiver la tâche une fois qu'elle est créée, cliquez sur le bouton à côté de Activée. Vous pouvez
activer la tâche plus tard en utilisant la case à cocher dans l'affichage Planificateur. Cliquez sur Suivant pour passer à
l'étape suivante.
5.5.8.1.2 Calendrier de la tâche
Sélectionnez l'une des options de calendrier suivantes :
· Une fois - La tâche ne sera exécutée qu'une fois, à la date et à l'heure définies. Cette option permet
d'exécuter la tâche une seule fois, à un moment donné. Spécifiez la date et l'heure de début pour une
exécution unique dans Exécution de la tâche.
· Plusieurs fois - La tâche sera exécutée à l'intervalle de temps indiqué (en minutes). Spécifiez l'heure à
laquelle la tâche sera exécutée tous les jours dans Exécution de la tâche.
· Quotidiennement - La tâche sera exécutée de façon répétée tous les jours à l'heure indiquée.
· Chaque semaine - La tâche sera exécutée une ou plusieurs fois par semaine, à l'heure et au(x) jour(s) définis.
Cette option permet d'exécuter la tâche plusieurs fois, seulement certains jours de la semaine, en
commençant par le jour et l'heure spécifiés. Indiquez l'heure de début dans Heure d'exécution de la tâche.
Sélectionnez le ou les jours de la semaine où la tâche doit être exécutée.
· Déclenchée par un événement - La tâche sera exécutée lorsque l'événement indiqué se produira.
Si vous activez l'option Ignorer la tâche lors du fonctionnement sur batterie, aucune tâche ne sera exécutée si
l'ordinateur est alimenté par batterie au moment ou elle doit démarrer. Cela concerne par exemple les ordinateurs
fonctionnant sur UPS.
83
5.5.8.1.3 Déclenchée par un événement
Vous pouvez préciser l'intervalle de temps minimum entre deux exécutions de la tâche déclenchée par événement.
La tâche peut être déclenchée par l'un des événements suivants :
· Chaque fois que l'ordinateur démarre
· Chaque jour au premier démarrage de l'ordinateur
· Connexion commutée à Internet/VPN
· Mise à jour réussie de module
· Mise à jour réussie de produit
· Connexion utilisateur : la tâche est déployée lorsque l'utilisateur se connecte au système. Si vous vous
connectez plusieurs fois par jour à votre ordinateur, choisissez 24 heures pour effectuer la tâche uniquement
lors de la première connexion du jour, puis le jour suivant.
· Détection de menace
5.5.8.1.4 Exécuter l'application
Cette tâche permet de programmer l'exécution d'une application externe.
· Fichier exécutable - Choisissez un fichier exécutable dans l'arborescence de répertoire, cliquez sur naviguer
(...) ou entrez manuellement le chemin d'accès.
· Dossier de travail - Définit le dossier de travail de l'application externe. Tous les fichiers temporaires du
Fichier exécutable sélectionné seront créés dans ce dossier.
· Paramètres - Paramètres de ligne de commande à utiliser pour l'application (facultatif).
5.5.8.1.5 Tâche ignorée
Si une tâche n'a pas pu être exécutée à l'heure définie, il est possible de préciser le moment où elle sera exécutée :
· À la prochaine heure planifiée - La tâche sera exécutée à l'heure précisée (par exemple, après 24 heures).
· Dès que possible - la tâche sera exécutée dès que possible, lorsque les actions qui empêchent l'exécution de
la tâche ne sont plus valides.
· Immédiatement si le temps écoulé depuis la dernière exécution dépasse la valeur spécifiée - Temps depuis
la dernière exécution (heures) - Une fois cette option sélectionnée, la tâche sera toujours répétée après la
durée indiquée (en heures).
5.5.8.1.6 Aperçu des tâches planifiées
Cette fenêtre de dialogue affiche des informations détaillées au sujet de la tâche planifiée lorsque vous doublecliquez sur la tâche dans l'affichage Planificateur ou lorsque vous effectuez un clic droit sur la tâche planifiée et
choisissez Afficher les détails de la tâche.
84
5.5.9 Envoyer les échantillons pour analyse...
La boîte de dialogue d'envoi d'échantillon vous permet d'envoyer un fichier ou un site à ESET pour analyse. Si vous
trouvez un fichier qui se comporte de manière suspecte sur votre ordinateur ou un site suspect sur Internet,
envoyez-le à ESET Virus Lab pour analyse. Si le fichier s'avère être une application ou un site Web malveillant, le site
ou le fichier détecté sera ajouté à une mise à jour à venir.
Pour envoyer un ou plusieurs fichiers par courriel, comprimez-les en utilisant un programme comme WinRAR ou
WinZip, protégez l'archive avec le mot de passe infected et envoyez-la à samples@eset.com. Utilisez un sujet
descriptif et joignez autant d'informations que possible sur les fichiers (par exemple, le site Web sur lequel vous les
avez téléchargés).
Avant d'envoyer un échantillon à ESET, assurez-vous qu'il répond à un ou à plusieurs des critères suivants :
· le fichier ou le site Web n'est pas du tout détecté
· le fichier ou le site Web est détecté à tort comme une menace
Si au moins l'une des conditions ci-dessus n'est pas remplie, vous ne recevrez pas de réponse tant que des
informations supplémentaires n'auront pas été fournies.
Sélectionnez la description qui correspond le mieux à votre message à partir du menu déroulant Raison de l'envoi
de l'échantillon :
·
·
·
·
·
Fichier suspect
Site suspect (un site Web infecté par un logiciel malveillant),
Fichier faux positif (fichier signalé comme infecté, mais qui ne l'est pas),
Site faux positif
Autre
Fichier/Site
Le chemin d'accès au fichier ou au site Web que vous voulez envoyer.
Adresse courriel du contact
L'adresse de courriel du contact est envoyée avec les fichiers suspects à ESET et peut être utilisée pour
communiquer avec vous si des renseignements complémentaires sont nécessaires pour l'analyse. L'entrée de
l'adresse courriel est facultative. Vous ne recevrez pas de réponse d'ESET, sauf si des renseignements
complémentaires sont nécessaires pour l'analyse. Comme nos serveurs reçoivent quotidiennement des
dizaines de milliers de fichiers, il nous est impossible de répondre à tous les envois.
Envoyer anonymement
Utilisez la case à cocher Envoyer anonymement pour envoyer un fichier ou un site Web suspect sans entrer
votre adresse électronique.
5.5.9.1 Fichier suspect
Signes et symptômes d'une infection observés
Entrez une description du comportement du fichier suspect observé sur votre ordinateur.
Origine du fichier (adresse URL ou fournisseur)
Entrez l'origine du fichier (la source) et indiquez comment vous avez obtenu ce fichier.
Notes et autres informations
Ici, vous pouvez ajouter des renseignements ou des descriptions supplémentaires qui faciliteront le processus
d'identification du fichier suspect.
85
REMARQUE
Le premier paramètre - Signes et symptômes d'une infection par un logiciel malveillant - est requis, mais tout
renseignement supplémentaire aidera grandement nos laboratoires lors du processus d'identification des
échantillons.
5.5.9.2 Site suspect
Sélectionnez l'une des options suivantes à partir du menu déroulant Quel est le problème avec le site :
Infecté
Un site Web qui contient des virus ou d'autres logiciels malveillants diffusés par différentes méthodes.
Hameçonnage
Souvent utilisé pour accéder à des données sensibles, telles que des numéros de comptes bancaires, des NIP,
etc. Pour en savoir plus sur ce type d'attaque, consultez le glossaire .
Canular
Une escroquerie ou un site Web frauduleux.
Autre
Utilisez cette option si aucune des options ci-dessus ne s'applique au site que vous allez envoyer.
Notes et autres informations
Vous pouvez entrer des informations supplémentaires ou une description qui pourrait aider à analyser le site
Web suspect.
5.5.9.3 Fichier faux positif
Nous vous demandons d'envoyer les fichiers qui sont détectés comme étant infectés, alors qu'ils ne le sont pas, et
ce, afin de nous aider à améliorer notre moteur antivirus et anti-logiciel espion et augmenter la protection des
autres. Les faux positifs (FP) peuvent se produire lorsque le modèle d'un fichier correspond au modèle contenu
dans un moteur de détection.
REMARQUE
Les trois premiers paramètres sont requis pour identifier les applications légitimes et les distinguer des
programmes malveillants. Le fait de fournir de l'information supplémentaire aidera grandement nos
laboratoires lors du processus d'identification et du traitement des échantillons.
Nom et version de l'application
Titre et version du programme (numéro, alias ou nom de code).
Origine du fichier (adresse URL ou fournisseur)
Entrez l'origine du fichier (la source) et indiquez comment vous avez obtenu ce fichier.
Fonction de l'application
La description générale de l'application, le type d'application (par ex., navigateur, lecteur multimédia, etc.) et
sa fonction.
Notes et autres informations
Ici, vous pouvez ajouter des renseignements ou des descriptions supplémentaires qui faciliteront le traitement
du fichier suspect.
86
5.5.9.4 Site faux positif
Nous vous encourageons à nous envoyer les sites qui sont signalés comme étant infectés, frauduleux ou comme
étant des sites d'hameçonnage, mais qui ne le sont pas. Les faux positifs (FP) peuvent se produire lorsque le
modèle d'un fichier correspond au modèle contenu dans un moteur de détection. Veuillez nous envoyer ce site
Web afin de nous aider à améliorer notre moteur antivirus et antihameçonnage et ainsi augmenter la protection des
autres.
Notes et autres informations
Ici, vous pouvez ajouter des renseignements ou des descriptions supplémentaires qui faciliteront le traitement
du fichier suspect.
5.5.9.5 Autre
Utilisez ce formulaire si le fichier ne peut être catégorisé comme Fichier suspect ou comme Faux positif.
Raison de la soumission du fichier
Entrez une description détaillée ainsi que la raison de l'envoi du fichier.
5.5.10 Quarantaine
La quarantaine vise principalement à stocker les fichiers infectés de façon sécuritaire. Ces fichiers doivent être mis
en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont
détectés par erreur par ESET File Security. Vous pouvez choisir de mettre n'importe quel fichier en quarantaine. Il
est conseillé de le faire si un fichier se comporte de façon suspecte, mais n'a pas été détecté par l'analyseur
antivirus. Les fichiers en quarantaine peuvent ensuite être envoyés pour analyse au laboratoire ESET Virus Lab.
Les fichiers stockés dans le dossier de quarantaine peuvent être visualisés dans un tableau indiquant la date et
l'heure de mise en quarantaine, le chemin de l'emplacement d'origine du fichier infecté, sa taille en octets, la
87
raison (par exemple, un objet ajouté par l'utilisateur) et le nombre de menaces (par exemple, s'il s'agit d'une
archive contenant plusieurs infiltrations).
Dans le cas où des objets de messagerie sont mis dans le fichier de quarantaine, le chemin d'accès à la boîte aux
lettres/dossier/nom de fichier s'affiche.
Mise de fichiers en quarantaine
ESET File Security envoie automatiquement les fichiers supprimés en quarantaine (si vous n'avez pas désactivé
cette option dans la fenêtre d'alerte). Pour mettre manuellement en quarantaine tout fichier suspect clquez
sur Quarantaine. Les fichiers mis en quarantaine seront supprimés de leur emplacement original. Il est
également possible d'utiliser le menu contextuel à cette fin. Il suffit de cliquer avec le bouton droit dans la
fenêtre Quarantaine et de sélectionner Quarantaine.
Restaurer depuis la quarantaine
Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement d'origine. Pour ce faire,
utilisez la fonctionnalité Restaurer du menu contextuel après avoir cliqué avec le bouton droit sur un fichier
indiqué dans la fenêtre de quarantaine. Si un fichier est signalé comme application potentiellement indésirable
, l'option Restaurer et exclure de l'analyse sera offerte. Le menu contextuel offre également l'option
Restaurer vers... qui permet de restaurer des fichiers vers un emplacement autre que celui d'où ils ont été
supprimés.
REMARQUE
Si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer, veuillez
l'exclure de l'analyse et l'envoyer au Service à la clientèle ESET.
Soumission d'un fichier de quarantaine
Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été jugé
infecté par erreur (par exemple, par l'analyse heuristique du code) et mis en quarantaine, envoyez ce fichier au
laboratoire ESET Virus Lab. Pour soumettre un fichier mis en quarantaine, cliquez sur ce dernier avec le bouton
droit de la souris, puis, dans le menu contextuel, sélectionnez Soumettre pour analyse.
Supprimer de la quarantaine
Cliquez avec le bouton droit sur un élément donné et sélectionnez Supprimer de la quarantaine. Ou
sélectionnez les éléments applicables et appuyez sur Suppr. sur votre clavier.
5.6 Configuration de l'analyse OneDrive
Ouvrir ESET File Security
Cliquez sur Configuration > Serveur > Configuration d'analyse OneDrive
Cette fonction vous permet d'analyser les fichiers stockés sur e stockage en nuage de Microsoft OneDrive Entreprise
. Vous désirez que ESET File Security OneDrive analyse uniquement les fichiers et les dossiers; les autres types de
données, comme les courriels, les fichiers SharePoint, les contacts ou les calendriers ne sont pas analysés.
Liens rapides
Enregistrer ESET OneDrive Scanner
Annuler l'enregistrement d'ESET OneDrive Scanner
Pour commencer à utiliser l'analyse ESET File Security OneDrive, enregistrez l'application ESET OneDrive Scanner
dans Microsoft OneDrive / Microsoft Office 365 / Microsoft Azure. Si vous êtes déjà enregistré, vous verrez les
détails d'enregistrement (ID du locataire, ID de l'application, ID de l'objet et empreinte du certificat). Vous pouvez
enregistrer ou désenregistrer ESET OneDrive Scanner :
88
Après un enregistrement réussi, l'analyse OneDrive sera disponible dans le menu Analyser affichant une liste
d'utilisateurs avec leur structure de dossiers et les fichiers qui peuvent être sélectionnés pour l'analyse. L'analyse
ESET File Security OneDrive est capable d'analyser tous les fichiers stockés par les utilisateurs sur OneDrive
Entreprise
REMARQUE
L'analyse ESET File Security OneDrive télécharge les fichiers à partir du stockage en nuage OneDrive Entreprise
et effectue une analyse locale. Une fois l'analyse terminée, les fichiers téléchargés sont supprimés. Le
téléchargement d'une grande quantité de données à partir de OneDrive affectera votre trafic réseau.
REMARQUE
Inscrivez-vous de nouveau avec un compte différent : Si vous voulez enregistrer ESET File Security OneDrive
Scanner avec un nouveau compte Microsoft OneDrive Entreprise / Office 365, vous devez désenregistrer ESET
OneDrive Scanner que vous utilisiez avec votre ancien compte, et effectuer un enregistrement avec le
nouveau compte administrateur Microsoft OneDrive Entreprise / Office 365.
Vous trouverez ESET OneDrive Scanner enregistré comme application dans Office 365 et Azure :
Portail Office 365 - Cliquez sur Autorisations d'application sur la page Mon compte, vous verrez l'application ESET
OneDrive Scanner.
89
Azure - Accédez à Azure Active Directory > Enregistrements d'applications, cliquez sur Afficher toutes les
applications. L'application ESET OneDrive Scanner s'affiche.
90
91
5.6.1 Enregistrer l'analyseur ESET OneDrive
Ouvrir ESET File Security
Cliquez sur Configuration > Serveur > Configuration d'analyse OneDrive > Enregistrer
Vous trouverez ci-dessous un exemple d'enregistrement de l'application ESET OneDrive Scanner dans Microsoft
OneDrive / Office 365 / Azure :
· Cliquez sur Enregistrer pour démarrer l'enregistrement d'ESET OneDrive Scanner : un assistant
d'enregistrement s'ouvre alors.
· Entrez vos informations d'identification de compte d'administrateur Microsoft OneDrive / Office 365.
Attendez la fin de l'enregistrement de l'application à Microsoft OneDrive.
92
· La page Choisissez un compte de Microsoft s'ouvre dans le navigateur Web. Choisissez le compte que vous
utilisez, s'il est disponible, ou entrez vos informations d'identification de compte administrateur Microsoft
OneDrive ou Office 365 et cliquez sur Connexion.
· L'application ESET OneDrive Scanner requiert quatre types d'autorisations répertoriés dans le message
d'acceptation. Cliquez sur Accepter pour permettre l'analyseur OneDrive de ESET File Security d'accéder aux
données stockées sur votre stockage en nuage OneDrive.
93
· Cliquez sur Continuer si le navigateur Web vous demande d'envoyer cette information (elle n'est envoyée
qu'à votre hébergeur local pour faire savoir à ESET File Security que l'enregistrement de l'application a réussi).
· Une fois que vous fermez le navigateur Web, l'assistant d'enregistrement d'ESET OneDrive Scanner affiche le
message Enregistrement réussi; cliquez sur Terminé.
94
REMARQUE
Le processus d'enregistrement d'ESET OneDrive Scanner peut différer dans certaines circonstances, selon que
vous êtes connecté à l'un des portails Microsoft (OneDrive, Office 365, Azure, etc.) avec vos identifiants de
compte administrateur ou non. Suivez les instructions à l'écran et les messages de la fenêtre de l'assistant
d'inscription.
Si vous rencontrez l'un des messages d'erreur suivants lors de l'enregistrement d'ESET OneDrive Scanner, consultez
le détail des messages d'erreur pour voir la solution suggérée :
Message d'erreur
Message d'erreur détaillé
Une erreur inattendue s'est
produite.
Il se peut qu'il y ait un problème dans ESET File Security. Essayez d'exécuter à
nouveau l'enregistrement d'ESET OneDrive Scanner plus tard. Si ce problème
persiste, contactez le service d'assistance technique d'ESET.
Il n'y a pas de connexion
Internet.
Vérifiez votre connexion réseau/internet et exécutez à nouveau l'enregistrement
d'ESET OneDrive Scanner.
Une erreur inattendue a été
L'erreur HTTP 4xx a été renvoyée sans réponse dans la réponse du message
reçue de Microsoft Onedrive. d'erreur. Si ce problème persiste, contactez le service d'assistance technique
d'ESET.
L'erreur suivante a été reçue
de Microsoft Onedrive.
Le serveur Microsoft OneDrive a renvoyé une erreur avec un code d'erreur/nom
précis, cliquez sur Afficher l'erreur.
La tâche de configuration a
expirée.
La tâche de configuration de l'enregistrement d'ESET OneDrive Scanner prend trop
de temps. Essayez d'exécuter à nouveau l'enregistrement d'ESET OneDrive Scanner
95
Message d'erreur
Message d'erreur détaillé
plus tard.
La tâche de configuration a été Vous avez annulé une tâche d'enregistrement en cours d'exécution. Exécutez à
annulée.
nouveau l'enregistrement d'ESET OneDrive Scanner si vous voulez terminer
l'enregistrement.
Une autre tâche de
configuration est déjà en
cours.
Une tâche d'enregistrement est déjà en cours d'exécution. Attendez que le premier
processus d'enregistrement soit terminé.
5.6.2 Désenregistrement d'ESET OneDrive Scanner
Ouvrir ESET File Security
Cliquez sur Configuration > Serveur > Configuration d'analyse OneDrive > Annuler l'enregistrement
Le processus de désenregistrement vous permet de supprimer le certificat et l'application d'ESET OneDrive Scanner
de Microsoft OneDrive / Office 365 / Azure Ce processus supprime également les dépendances locales et rend
l'option Enregistrer à nouveau disponible.
· Cliquez sur Désenregistrer pour démarrer le processus de désenregistrement ou de suppression de
l'enregistrement d'ESET OneDrive scanner : un assistant de désenregistrement s'ouvre alors.
· Cliquez sur Désenregistrer pour confirmer que vous souhaitez supprimer ESET OneDrive Scanner.
96
· Attendez que le désenregistrement de Microsoft OneDrive soit terminé.
97
· Si le processus de désenregistrement se termine avec succès, l'assistant de désenregistrement affichera le
message correspondant.
REMARQUE
Si vous obtenez un message d'erreur comme Échec du désenregistrement, cela peut être dû à plusieurs raisons
telles que des problèmes de réseau générique ou de connexion Internet avec les serveurs Microsoft OneDrive;
Il est également possible que l'application ESET OneDrive Scanner ne soit plus enregistré auprès de Microsoft
OneDrive. Consultez le tableau ci-dessous pour obtenir la liste des messages d'erreur et la façon de les traiter.
Certaines boites de dialogue d'erreur vous donnent l'option de supprimer les dépendances locales (problèmes de
connexion, application inexistante dans Microsoft OneDrive, etc. Pour supprimer le ESET OneDrive Scanner
localement, procédez comme suit :
· Si le bouton Réessayer ne fonctionne pas et que les problèmes persistent, cliquez sur Supprimer localement
pour poursuivre le processus de désenregistrement qui supprimera les dépendances locales d'ESET OneDrive
Scanner.
98
· Cliquez sur Oui pour continuer la suppression locale d'ESET OneDrive Scanner. L'analyse ESET OneDrive ne
sera plus disponible, vous devrez recommencer le processus d'enregistrement.
99
IMPORTANT
La suppression d'une dépendance locale n'apportera aucun changement aux enregistrements d'applications
sur votre portail Azure, ni aux permissions d'applications sur le portail Office 365 Si vous avez supprimé ESET
OneDrive Scanner localement en raison de problèmes de réseau ou de connexion avec les serveurs Microsoft
OneDrive, vous devrez supprimer manuellement l'application ESET OneDrive Scanner des enregistrements
d'applications dans Azure. Consultez la rubrique Configuration de l'analyse OneDrive pour savoir comment
trouver et supprimer manuellement ESET OneDrive Scanner dans le portail Azure.
Si vous rencontrez l'un des messages d'erreur suivants lors du désenregistrement d'ESET OneDrive Scanner,
consultez le détail des messages d'erreur pour voir la solution suggérée :
Message d'erreur
Message d'erreur détaillé
La connexion à l'application
Azure n'a pas réussi. Il n'y a
pas de connexion Internet.
Vérifiez votre connexion réseau/internet et exécutez à nouveau le
désenregistrement d'ESET OneDrive Scanner. Si vous souhaitez poursuivre le
processus de désenregistrement sans supprimer l'application ESET OneDrive
Scanner de Microsoft OneDrive, cliquez sur Supprimer localement.
Impossible de se connecter au
portail Office 365. Une erreur
inattendue a été reçue de
Microsoft Onedrive.
Il semble que l’application ESET OneDrive Scanner n’est plus enregistrée auprès de
Microsoft OneDrive. L'application ESET OneDrive Scanner a peut être été
supprimée manuellement dans le portail Azure. Vérifiez la présence de
l'application ESET OneDrive Scanner dans le portail Microsoft OneDrive ou Azure. Si
l'application ne figure pas dans la liste, poursuivez le processus de
désenregistrement en cliquant sur Supprimer localement.
Impossible d'acquérir un jeton Microsoft OneDrive a retourné l'erreur HTTP 5xx. Il n'est pas possible de terminer la
d'accès. Une erreur de serveur tâche de désenregistrement pour le moment. Essayez d'exécuter à nouveau le
100
Message d'erreur
Message d'erreur détaillé
a été reçue de Microsoft
Onedrive.
désenregistrement plus tard.
L'erreur suivante a été reçue
de Microsoft Onedrive.
Le serveur Microsoft OneDrive a renvoyé une erreur avec un code d'erreur/nom
précis, cliquez sur Afficher l'erreur.
Une autre tâche de
configuration est déjà en
cours.
Une tâche de désenregistrement est déjà en cours d'exécution. Attendez que le
premier processus de désenregistrement soit terminé.
101
6. Paramètres généraux
Vous pouvez configurer les paramètres généraux et les options selon vos besoins. Voici les catégories présentées
dans le menu de gauche :
Moteur de détection
Permet d'activer ou de désactiver la détection d'applications potentiellement indésirables, dangereuses et
suspectes, ainsi que la protection Anti-Stealth. Spécifiez les exclusions de processus ou de fichiers et de
dossiers. Configurez la protection du système de fichiers en temps réel, les paramètres ThreatSense, la
protection basée sur le nuage (ESET LiveGrid®), les analyses de logiciels malveillants (analyse d'ordinateur à la
demande et autres options d'analyse) ainsi que l'analyse Hyper-V et HIPS.
Mettre à jour
Configurez les options de mise à jour telles que profils, âge du moteur de détection, type de mise à jour,
serveur de mise à jour personnalisé, serveur de connexion/mandataire, miroir de mise à jour, accès aux fichiers
de mise à jour, serveur HTTP, etc.
Web et messagerie
Permet de configurer le filtrage des protocoles et les exclusions (applications et adresses IP exclues), les
options de filtrage des protocoles SSL/TLS, la protection du client de messagerie (intégration, protocoles de
courriels, alertes et notifications), la protection de l'accès Web (protocoles Web HTTP/HTTPS et gestion des
adresses URL) ainsi que la protection anti-hameçonnage du client de messagerie.
Contrôle de périphériques
Permet d'intégrer et de configurer les règles de contrôle de périphériques ainsi que les groupes.
Configuration d'outils
Permet de personnaliser des outils tels que ESET CMD, ESET RMM, le fournisseur WMI, les cibles d'analyse ESET
Security Management Center, les notifications Windows Update, les fichiers journaux, le serveur mandataire,
les notifications par courriels, les diagnostics, les grappes, etc.
Interface utilisateur
Configurez le comportement de l'interface graphique du programme, les états, les informations de licence, les
alertes et les notifications, la protection par mot de passe, la stratégie d'exécution de eShell, etc.
6.1 Moteur de détection
Moteur de détection protège le système des attaques malveillantes en analysant les fichiers, les courriels ainsi que
les communications réseaux. Si un objet considéré comme logiciel malveillant est détecté, des mesures de
correction sont prises. Moteur de détection peut éliminer la menace en la bloquant dans un premier temps, puis en
prenant des mesures telles que le nettoyage, la suppression ou la mise en quarantaine de l'objet infecté.
Protection en temps réel et apprentissage automatique
L'apprentissage machine avancé fait désormais partie de Moteur de détection en tant que couche de protection
avancée, ce qui améliore la détection basée sur l'apprentissage machine. Pour en savoir plus sur ce type de
protection, consultez le glossaire . Vous pouvez configurer les niveaux de signalement et de protection des
catégories suivantes :
Logiciel malveillant
Un virus informatique est un code malveillant ajouté en début ou à la fin des fichiers existants sur votre
ordinateur. Cependant, le terme « virus » est souvent mal utilisé. Logiciel malveillant est une expression plus
précise. La détection des logiciels malveillants est effectuée par le module du moteur de détection combiné au
composant d'apprentissage machine. Pour en savoir plus sur ces types d'applications, consultez le glossaire .
Applications potentiellement indésirables
Une application potentiellement indésirable est un logiciel dont l'intention n'est pas aussi malveillante, mais
qui peut installer des logiciels indésirables supplémentaires, modifier le comportement de l'appareil
102
numérique, effectuer des activités non approuvées ou attendues par l'utilisateur ou avoir d'autres objectifs
inavoués.
Cette catégorie comprend : les logiciels d'affichage publicitaire, les enveloppeurs de téléchargement, les
différentes barres d'outils de navigateur, les logiciels avec un comportement trompeur, les logiciels liés, les
logiciels de suivi d'activité système, etc.
Pour en savoir plus sur ces types d'application, consultez le glossaire .
Applications potentiellement suspectes
Il s'agit d'un logiciel compressé avec des enveloppeur ou des protecteurs, utilisés fréquemment pour
dissuader l'ingénierie inverse ou pour obscurcir le contenu de l'exécutable (par exemple pour masquer la
présence de logiciels malveillants), à l'aide de méthodes de compression ou de chiffrement propriétaires.
Cette catégorie comprend : toutes les applications inconnues qui sont compressées avec un enveloppeur ou un
protecteur utilisé fréquemment pour compresser des logiciels malveillants.
Applications potentiellement dangereuses
Cette classification désigne des logiciels commerciaux légitimes qui pourraient être utilisés à des fins
malveillantes. Une application potentiellement dangereuse fait référence à un logiciel commercial légitime qui
peut être utilisé abusivement à des fins malveillantes.
Cette catégorie comprend les outils de craquage, les générateurs de clés de licence, les outils de piratage, les
outils d'accès ou de contrôle à distance, les applications de perçage de mots de passe et les enregistreurs de
frappe (programmes qui enregistrent chaque frappe effectuée par un utilisateur). Cette option est désactivée
par défaut.
Pour en savoir plus sur ces types d'application, consultez le glossaire .
Lisez ce qui suit avant de modifier un seuil (ou niveau) pour la catégorie Signalement ou Protection :
Signalement
Le signalement est effectué par le moteur de détection et le composant d'apprentissage machine. Vous pouvez
définir le seuil de signalement pour mieux l'adapter à votre environnement et à vos besoins. Il n'existe pas de
configuration correcte unique. Par conséquent, nous vous recommandons de surveiller le comportement dans votre
environnement et de décider si un paramètre de signalement différent est plus approprié.
Le signalement ne prend pas de mesures à l'égard des objets, il transmet les informations la couche de protection
respective, et celle-ci prend des mesures en conséquence.
Agressif
Le signalement est configuré pour une sensibilité maximale. Davantage de détections sont signalées. Si
le paramètre Agressif peut sembler le plus sûr, il peut souvent être trop sensible, ce qui peut même
être contre-productif.
REMARQUE
Le paramètre agressif peut faussement identifier des objets comme malveillants : des mesures
seront prises avec de tels objets (selon les paramètres de protection).
Équilibré Ce paramètre est optimisé pour équilibrer les performances et la précision des taux de détection et du
nombre d'objets faux positifs.
Prudent
Rapports configurés pour réduire au minimum les objets faux positifs tout en maintenant un niveau de
protection suffisant. Les objets ne sont signalés que lorsque la probabilité est évidente et correspond
au comportement du logiciel malveillant.
Désactivé Le signalement n'est pas actif, aucune détection n'a été trouvée, signalée ou nettoyée.
e
103
Agressif
Le signalement est configuré pour une sensibilité maximale. Davantage de détections sont signalées. Si
le paramètre Agressif peut sembler le plus sûr, il peut souvent être trop sensible, ce qui peut même
être contre-productif.
REMARQUE
Le paramètre agressif peut faussement identifier des objets comme malveillants : des mesures
seront prises avec de tels objets (selon les paramètres de protection).
REMARQUE
Le signalement des logiciels malveillants ne peut être désactivé, c'est pourquoi le paramètre Off
(Désactivé) n'est pas disponible pour les logiciels malveillants.
Si vous souhaitez rétablir les paramètres de cette section à leurs valeurs par défaut, cliquez sur la flèche « demitour » à côté de l'en-tête de la section. Toutes les modifications que vous avez apportées dans cette section seront
perdues.
Protection
Lorsqu'un objet est signalé sur la base de la configuration ci-dessus et des résultats de l'apprentissage machine, il
est bloqué et une action est entreprise (nettoyée, supprimée ou déplacée vers la quarantaine).
Agressif
Les détections de niveau agressif (ou inférieur) signalées sont bloquées et la correction automatique
(c'est-à-dire le nettoyage) est lancée.
Équilibré
Les détections de niveau équilibré (ou inférieur) signalées sont bloquées et la correction automatique
(c'est-à-dire le nettoyage) est lancée.
Prudent
Les détections de niveau prudent signalées sont bloquées et la correction automatique (c'est-à-dire le
nettoyage) est lancée.
Désactivé Le signalement n'est pas actif, aucune détection n'a été trouvée, signalée ou nettoyée.
e
REMARQUE
Le signalement des logiciels malveillants ne peut être désactivé, c'est pourquoi le paramètre Off
(Désactivé) n'est pas disponible pour les logiciels malveillants.
Si vous souhaitez rétablir les paramètres de cette section à leurs valeurs par défaut, cliquez sur la flèche « demitour » à côté de l'en-tête de la section. Toutes les modifications que vous avez apportées dans cette section seront
perdues.
REMARQUE
Par défaut, les paramètres de protection d'apprentissage machine ci-dessus s'appliquent également à l'analyse
de l'ordinateur à la demande. Si nécessaire, vous pouvez configurer séparément les paramètres de protection
à la demande et d'apprentissage machine. Cliquez sur l'icône du commutateur pour désactiver Utiliser les
paramètres de protection en temps réel et procéder à la configuration.
104
6.1.1 Détection par l'apprentissage machine
Moteur de détection protège le système des attaques malveillantes en analysant les fichiers, les courriels ainsi que
les communications réseaux. Si un objet considéré comme logiciel malveillant est détecté, des mesures de
correction sont prises. Moteur de détection peut éliminer la menace en la bloquant dans un premier temps, puis en
prenant des mesures telles que le nettoyage, la suppression ou la mise en quarantaine de l'objet infecté.
Protection en temps réel et apprentissage automatique
L'apprentissage machine avancé fait désormais partie de Moteur de détection en tant que couche de protection
avancée, ce qui améliore la détection basée sur l'apprentissage machine. Pour en savoir plus sur ce type de
protection, consultez le glossaire . Vous pouvez configurer les niveaux de signalement et de protection des
catégories suivantes :
Logiciel malveillant
Un virus informatique est un code malveillant ajouté en début ou à la fin des fichiers existants sur votre
ordinateur. Cependant, le terme « virus » est souvent mal utilisé. Logiciel malveillant est une expression plus
précise. La détection des logiciels malveillants est effectuée par le module du moteur de détection combiné au
composant d'apprentissage machine. Pour en savoir plus sur ces types d'applications, consultez le glossaire .
Applications potentiellement indésirables
Une application potentiellement indésirable est un logiciel dont l'intention n'est pas aussi malveillante, mais
qui peut installer des logiciels indésirables supplémentaires, modifier le comportement de l'appareil
numérique, effectuer des activités non approuvées ou attendues par l'utilisateur ou avoir d'autres objectifs
inavoués.
Cette catégorie comprend : les logiciels d'affichage publicitaire, les enveloppeurs de téléchargement, les
différentes barres d'outils de navigateur, les logiciels avec un comportement trompeur, les logiciels liés, les
logiciels de suivi d'activité système, etc.
Pour en savoir plus sur ces types d'application, consultez le glossaire .
Applications potentiellement suspectes
Il s'agit d'un logiciel compressé avec des enveloppeur ou des protecteurs, utilisés fréquemment pour
dissuader l'ingénierie inverse ou pour obscurcir le contenu de l'exécutable (par exemple pour masquer la
présence de logiciels malveillants), à l'aide de méthodes de compression ou de chiffrement propriétaires.
Cette catégorie comprend : toutes les applications inconnues qui sont compressées avec un enveloppeur ou un
protecteur utilisé fréquemment pour compresser des logiciels malveillants.
Applications potentiellement dangereuses
Cette classification désigne des logiciels commerciaux légitimes qui pourraient être utilisés à des fins
malveillantes. Une application potentiellement dangereuse fait référence à un logiciel commercial légitime qui
peut être utilisé abusivement à des fins malveillantes.
Cette catégorie comprend les outils de craquage, les générateurs de clés de licence, les outils de piratage, les
outils d'accès ou de contrôle à distance, les applications de perçage de mots de passe et les enregistreurs de
frappe (programmes qui enregistrent chaque frappe effectuée par un utilisateur). Cette option est désactivée
par défaut.
Pour en savoir plus sur ces types d'application, consultez le glossaire .
Lisez ce qui suit avant de modifier un seuil (ou niveau) pour la catégorie Signalement ou Protection :
Signalement
Le signalement est effectué par le moteur de détection et le composant d'apprentissage machine. Vous pouvez
définir le seuil de signalement pour mieux l'adapter à votre environnement et à vos besoins. Il n'existe pas de
configuration correcte unique. Par conséquent, nous vous recommandons de surveiller le comportement dans votre
environnement et de décider si un paramètre de signalement différent est plus approprié.
Le signalement ne prend pas de mesures à l'égard des objets, il transmet les informations la couche de protection
respective, et celle-ci prend des mesures en conséquence.
105
Agressif
Le signalement est configuré pour une sensibilité maximale. Davantage de détections sont signalées. Si
le paramètre Agressif peut sembler le plus sûr, il peut souvent être trop sensible, ce qui peut même
être contre-productif.
REMARQUE
Le paramètre agressif peut faussement identifier des objets comme malveillants : des mesures
seront prises avec de tels objets (selon les paramètres de protection).
Équilibré Ce paramètre est optimisé pour équilibrer les performances et la précision des taux de détection et du
nombre d'objets faux positifs.
Prudent
Rapports configurés pour réduire au minimum les objets faux positifs tout en maintenant un niveau de
protection suffisant. Les objets ne sont signalés que lorsque la probabilité est évidente et correspond
au comportement du logiciel malveillant.
Désactivé Le signalement n'est pas actif, aucune détection n'a été trouvée, signalée ou nettoyée.
e
REMARQUE
Le signalement des logiciels malveillants ne peut être désactivé, c'est pourquoi le paramètre Off
(Désactivé) n'est pas disponible pour les logiciels malveillants.
Si vous souhaitez rétablir les paramètres de cette section à leurs valeurs par défaut, cliquez sur la flèche « demitour » à côté de l'en-tête de la section. Toutes les modifications que vous avez apportées dans cette section seront
perdues.
Protection de OneDrive et l'apprentissage automatique
Production de rapports
Effectué par le moteur de détection et le composant d'apprentissage machine. Le signalement n'entreprend
aucune action avec les objets (cela se fait par la couche de protection respective).
Protection
Configurez les paramètres dans la section OneDrive pour affecter l'action à entreprendre avec les objets
signalés.
Si vous souhaitez rétablir les paramètres de cette section à leurs valeurs par défaut, cliquez sur la flèche « demitour » à côté de l'en-tête de la section. Toutes les modifications que vous avez apportées dans cette section seront
perdues.
Configurez la protection par apprentissage machine à l'aide de eShell. Le nom du contexte dans eShell est MLP.
Ouvrez eShell en mode interactif et accédez à MLP :
computer onedrive mlp
Voir les paramètres actuels de signalement des applications suspectes :
get suspicious-reporting
Si vous souhaitez des signalements moins stricts, réglez le paramètre sur Prudent :
set suspicious-reporting cautious
106
6.1.2 Exclusions
Les exclusions permettent d'exclure des fichiers et des dossiers de l'analyse. Pour que la détection des menaces
s'applique à tous les objets, il est recommandé de créer des exclusions seulement lorsque cela est absolument
nécessaire. Certaines situations justifient l'exclusion d'un objet. Par exemple, lorsque les entrées de bases de
données volumineuses risquent de ralentir le serveur pendant l'analyse ou lorsqu'il peut y avoir conflit entre le
logiciel et l'analyse (par exemple, le logiciel de sauvegarde).
AVERTISSEMENT
Ne pas les confondre avec les extensions exclues, les exclusions de processus ou les filtres d'exclusion.
REMARQUE
Une menace présente dans un fichier n'est pas détectée par le module de protection du système de fichiers en
temps réel ou par le module d'analyse de l'ordinateur si le fichier en question répond aux critères d'exclusion
de l'analyse.
Sélectionnez le type d'exclusion et cliquez sur Modifier pour en ajouter un nouveau ou modifier un existant :
· Exclusions de performance : permettent d'exclure des fichiers et des dossiers de l'analyse.
· Exclusions de détection : exclure les objets de l'analyse en utilisant des critères spécifiques (chemin,
hachage de fichier ou nom de détection).
6.1.2.1 Exclusions de performance
Cette fonctionnalité vous permet d'exclure des fichiers et des dossiers de l'analyse. Les exclusions de performances
sont utiles pour exclure l'analyse au niveau des fichiers des applications critiques ou lorsque l'analyse provoque un
comportement anormal du système ou diminue les performances.
Chemin
Exclut un chemin spécifique (fichier ou répertoire) pour cet ordinateur. N'utilisez pas de caractères génériques astérisque (*) au milieu d'un chemin. Pour plus d'informations, consultez l'article suivant de la base de
connaissances .
REMARQUE
Pour exclure le contenu du dossier, n'oubliez pas d'ajouter l'astérisque (*) à la fin du chemin (C:\Tools\*). C:
\Tools ne sera pas exclu, car du point de vue de l'analyseur, Tools peut également être un nom de fichier.
Commentaire
Ajoutez un commentaire facultatif pour reconnaître facilement l'exclusion à l'avenir.
EXEMPLE
Exclusions de chemin à l'aide d'un astérisque :
C:\Tools\* - le chemin doit se terminer par la barre oblique inverse (\) et l'astérisque (*) pour indiquer qu'il
s'agit d'un dossier et que tout le contenu du dossier (fichiers et sous-dossiers) sera exclu
C:\Tools\*.* - le même comportement que C:\Tools\*, ce qui signifie que cela fonctionne récursivement
C:\Tools\*.dat - exclura les fichiers dat qui se trouvent dans le dossier Outils (Tools)
C:\Tools\sg.dat - exclura ce fichier en particulier situé dans le chemin exact
107
EXEMPLE
Pour exclure tous les fichiers d'un dossier, tapez le chemin d'accès au dossier et utilisez le masque *.*
· Pour exclure un lecteur entier, y compris tous les fichiers et les sous-dossiers, utilisez le masque D:\*
· Si vous souhaitez exclure uniquement les fichiers doc, utilisez le masque *.doc
· Si le nom d'un fichier exécutable a un certain nombre de caractères (et que les caractères varient) et que
vous ne connaissez que le premier (par exemple « D »), utilisez le format suivant :
D????.exe (Les points d'interrogation remplacent les caractères manquants ou inconnus)
EXEMPLE
Vous pouvez utiliser des variables système telles que %PROGRAMFILES% pour définir des exclusions
d'analyse.
· Pour exclure le dossier Program Files à l'aide de cette variable système, utilisez le chemin %
PROGRAMFILES%\ (veillez à ajouter la barre oblique inverse à la fin du chemin lors de l'ajout aux
exclusions).
· Si vous souhaitez exclure tous les fichiers d'un sous-dossier %HOMEDRIVE%, tapez le chemin %
HOMEDRIVE%\Excluded_Directory\*.*
Les variables suivantes peuvent être utilisées dans le format d'exclusion de chemin :
%ALLUSERSPROFILE%
%COMMONPROGRAMFILES%
%COMMONPROGRAMFILES(X86)%
%COMSPEC%
%HOMEDRIVE%
%HOMEPATH%
%PROGRAMFILES%
%PROGRAMFILES(X86)%
%SystemDrive%
%SystemRoot%
%WINDIR%
%PUBLIC%
Les variables système spécifiques à l'utilisateur (telles que %TEMP% ou %USERPROFILE%) ou les variables
d'environnement (telles que %PATH%) ne sont pas prises en charge.
6.1.2.2 Exclusions de détection
Il s'agit d'une autre méthode pour exclure des objets de l'analyse, en utilisant le nom de détection, le chemin ou
son hachage. Les exclusions de détection n'excluent pas les fichiers et les dossiers de l'analyse (comme les
exclusions de performances). Les exclusions de détection excluent les objets uniquement lorsqu'ils sont détectés
par le moteur de détection et qu'une règle appropriée est présente dans la liste d'exclusion.
La façon la plus simple de créer une exclusion basée sur la détection consiste à utiliser une détection existante à
partir de Fichiers journaux > Détections. Cliquez avec le bouton droit de la souris sur une entrée du journal
(détection) et cliquez sur Créer une exclusion. Cela ouvrira l'assistant d'exclusion avec des critères prédéfinis.
Pour créer manuellement une exclusion de détection, cliquez sur Modifier > Ajouter (ou Modifier lors de la
modification d'un fichier existant) et spécifiez un ou plusieurs des critères suivants (il est possible de les
combiner) :
Chemin
108
Exclut un chemin spécifique (fichier ou répertoire). Vous pouvez rechercher un emplacement ou un fichier
spécifique, ou saisir la chaîne manuellement. N'utilisez pas de caractères génériques - astérisque (*) au milieu
d'un chemin. Pour plus d'informations, consultez l'article suivant de la base de connaissances .
REMARQUE
Pour exclure le contenu du dossier, n'oubliez pas d'ajouter l'astérisque (*) à la fin du chemin (C:\Tools\*). C:
\Tools ne sera pas exclu, car du point de vue de l'analyseur, Tools peut également être un nom de fichier.
Hachage
Permet d'exclure un fichier selon un hachage précis(SHA1), peu importe le type, l'emplacement, le nom ou
l'extension du fichier.
Nom de la détection
Saisissez un nom de détection (menace) valide. La création d'une exclusion basée uniquement sur le nom de
détection peut poser un risque pour la sécurité. Nous vous recommandons de combiner le nom de détection
avec le chemin. Ce critère d'exclusion ne peut être utilisé que pour certains types de détections.
Commentaire
Ajoutez un commentaire facultatif pour reconnaître facilement l'exclusion à l'avenir.
ESET Security Management Center comprend la gestion des exclusions de détection ; vous pouvez créer des
exclusions de détection et les appliquer à plusieurs ordinateurs ou groupes.
Utiliser des caractères génériques pour couvrir un groupe de fichiers. Un point d'interrogation (?) représente un
seul caractère variable tandis qu'un astérisque (*) représente une chaîne variable de zéro caractère ou plus.
EXEMPLE
Exclusions de chemin à l'aide d'un astérisque :
C:\Tools\* - le chemin doit se terminer par la barre oblique inverse (\) et l'astérisque (*) pour indiquer qu'il
s'agit d'un dossier et que tout le contenu du dossier (fichiers et sous-dossiers) sera exclu
C:\Tools\*.* - le même comportement que C:\Tools\*, ce qui signifie que cela fonctionne récursivement
C:\Tools\*.dat - exclura les fichiers dat qui se trouvent dans le dossier Outils (Tools)
C:\Tools\sg.dat - exclura ce fichier en particulier situé dans le chemin exact
EXEMPLE
Si vous souhaitez exclure une menace, entrez un nom de détection valide au format suivant :
@NAME=Win32/Adware.Optmedia
@NAME=Win32/TrojanDownloader.Delf.QQI
@NAME=Win32/Bagle.D
EXEMPLE
Pour exclure tous les fichiers d'un dossier, tapez le chemin d'accès au dossier et utilisez le masque *.*
· Pour exclure un lecteur entier, y compris tous les fichiers et les sous-dossiers, utilisez le masque D:\*
· Si vous souhaitez exclure uniquement les fichiers doc, utilisez le masque *.doc
109
· Si le nom d'un fichier exécutable a un certain nombre de caractères (et que les caractères varient) et que
vous ne connaissez que le premier (par exemple « D »), utilisez le format suivant :
D????.exe (Les points d'interrogation remplacent les caractères manquants ou inconnus)
EXEMPLE
Vous pouvez utiliser des variables système telles que %PROGRAMFILES% pour définir des exclusions
d'analyse.
· Pour exclure le dossier Program Files à l'aide de cette variable système, utilisez le chemin %
PROGRAMFILES%\ (veillez à ajouter la barre oblique inverse à la fin du chemin lors de l'ajout aux
exclusions).
· Si vous souhaitez exclure tous les fichiers d'un sous-dossier %HOMEDRIVE%, tapez le chemin %
HOMEDRIVE%\Excluded_Directory\*.*
Les variables suivantes peuvent être utilisées dans le format d'exclusion de chemin :
%ALLUSERSPROFILE%
%COMMONPROGRAMFILES%
%COMMONPROGRAMFILES(X86)%
%COMSPEC%
%HOMEDRIVE%
%HOMEPATH%
%PROGRAMFILES%
%PROGRAMFILES(X86)%
%SystemDrive%
%SystemRoot%
%WINDIR%
%PUBLIC%
Les variables système spécifiques à l'utilisateur (telles que %TEMP% ou %USERPROFILE%) ou les variables
d'environnement (telles que %PATH%) ne sont pas prises en charge.
6.1.2.2.1 Créer un assistant d'exclusion
L'exclusion recommandée est présélectionnée en fonction du type de détection, mais vous pouvez préciser
davantage les critères d'exclusion pour les détections. Cliquez sur Modifier les critères :
· Fichiers exacts : exclure chaque fichier selon son hachage SHA-1.
· Détection : précisez le nom de la détection pour exclure chaque fichier qui contient cette détection.
· Chemin et Détection : précisez le nom et le chemin d'accès de la détection (y compris le nom du fichier) pour
exclure chaque fichier dont la détection est située à l'endroit indiqué.
Ajoutez un commentaire facultatif pour reconnaître facilement l'exclusion à l'avenir.
110
6.1.3 Options avancées
Technologie antifurtif
La technologie antivirus furtif est un système évolué assurant la détection de programmes dangereux comme
les programmes malveillants furtifs , qui sont à même de se cacher du système d'exploitation. Ils sont donc
impossibles à détecter avec les techniques de test ordinaires.
AMSI
Permet à Microsoft Antimalware Scan Interface (AMSI) d'analyser les scripts Powershell exécutés par Windows
script Host.
6.1.4 Exclusions automatiques
Les développeurs d'applications serveur et de systèmes d'exploitation recommandent d'exclure de l'analyse
antivirus les ensembles de fichiers et de dossiers de travail critiques de bon nombre de leurs produits. Les analyses
antivirus peuvent avoir des répercussions négatives sur la performance d'un serveur, ce qui peut générer des
conflits et même empêcher certaines applications d'être exécutées sur le serveur. Les exclusions aident à
minimiser le risque de conflits potentiels et augmentent la performance globale du serveur sur lequel s'exécute un
logiciel antivirus. Consultez la liste complète des fichiers exclus de la recherche de produits du serveur ESET.
ESET File Security identifie les applications serveur critiques et les fichiers du système d'exploitation du serveur et
les ajoute automatiquement à la liste d'Exclusions. Vous pouvez voir une liste des applications serveur détectées
pour lesquelles les exclusions ont été créées sous Exclusions automatiques à générer. Toutes les exclusions
automatiques sont activées par défaut. Vous pouvez activer/désactiver chaque application serveur en cliquant sur
le commutateur pour obtenir les résultats suivants :
· Si une exclusion pour l'application ou le système d'exploitation reste activée, n'importe lequel de ses fichiers
ou dossiers critiques sera alors ajouté à la liste de fichiers exclus de l'analyse. Chaque fois que le serveur est
redémarré, le système vérifie automatiquement les exclusions et restaure toute exclusion pouvant avoir été
supprimée de la liste. Ce paramètre constitue le réglage recommandé si vous voulez vous assurer que les
exclusions automatiques recommandées sont toujours appliquées.
· Si l'utilisateur désactive une exclusion pour une application ou un système d'exploitation, ses fichiers et
dossiers critiques resteront dans la liste des fichiers exclus de l'analyse. Cependant, ils ne seront désormais
plus vérifiés automatiquement ni ajoutés automatiquement à la liste des exclusions chaque fois que le
serveur est redémarré (voir le point 1 ci-dessus). Seuls les utilisateurs avancés qui veulent retirer ou modifier
certaines des exclusions standards devraient utiliser ce paramètre.
6.1.5 Cache local partagé
La mémoire cache locale partagée d'ESET permet d'améliorer les performances dans les environnements virtualisés
en éliminant l'analyse en double sur le réseau. Cela garantit que chaque fichier est analysé une seule fois et stocké
dans la mémoire cache partagée. Activez le commutateur Option de mise en cache pour enregistrer les
renseignements sur l'analyse des fichiers et des dossiers de votre réseau dans la mémoire cache locale. Si vous
effectuez une nouvelle analyse, ESET File Security recherchera les fichiers analysés qui sont dans la cache. Si des
fichiers sont identiques, ils seront exclus de l'analyse.
La configuration du serveur cache contient les options suivantes :
· Nom d'hôte - Nom ou adresse IP de l'ordinateur où se trouve la mémoire cache.
· Port - Numéro du port utilisé pour la communication (le même que celui défini dans la mémoire cache locale
partagée).
· Mot de passe - Indiquez le mot de passe de la mémoire cache locale partagée si nécessaire.
111
6.1.6 Une infiltration est détectée
Des infiltrations peuvent utiliser différents points d'entrée pour attaquer votre système, comme les pages Web,
dossiers partagés, courriel ou périphériques amovibles (USB, disques externes, CD, DVD, disquettes, etc.).
Comportement normal
À titre d'exemple général de la façon dont les infiltrations sont traitées par ESET File Security, elles peuvent
notamment être détectées en utilisant :
·
·
·
·
Protection en temps réel du système de fichier
Protection de l'accès Web
Protection du client de messagerie
Analyse de l'ordinateur à la demande
Chacun de ces modules utilise le niveau de nettoyage standard et tentera de nettoyer le fichier et de le mettre en
Quarantaine ou de mettre fin à la connexion. Une fenêtre de notification s'affiche dans la zone de notification, dans
le coin inférieur droit de l'écran. Pour plus d'information sur les niveaux de nettoyage et le comportement,
consultez la rubrique Nettoyage.
Nettoyage et suppression
Si aucune action n'est prédéfinie pour la protection en temps réel, vous serez invité à sélectionner une option dans
une fenêtre d'avertissement. Les options Nettoyer, Supprimer et Aucune action sont généralement disponibles.
Sélectionner Aucune action n'est pas recommandé puisque cela ne nettoiera pas les fichiers infectés. La seule
exception concerne les situations où vous êtes sûr que le fichier est inoffensif et a été détecté par erreur.
Utilisez le nettoyage si un fichier a été attaqué par un virus qui y a joint du code malveillant. Dans ce cas, tentez
d'abord de nettoyer le fichier infecté pour le restaurer à son état d'origine. Si le fichier se compose uniquement de
code malveillant, il sera alors supprimé.
Si un fichier infecté est « verrouillé » ou utilisé par un processus du système, il ne sera généralement supprimé
qu'après avoir été déverrouillé (le plus souvent, après un redémarrage du système).
Menaces multiples
Si aucun des fichiers infectés n'a été nettoyé pendant l'analyse de l'ordinateur (ou le Niveau de nettoyage a été
défini à Aucun nettoyage), une fenêtre d'alerte vous invitant à choisir des actions pour ces fichiers s'affichera.
Sélectionnez une action individuelle pour chaque menace dans la liste ou utilisez Sélectionner une action
applicable à toutes les menaces dans la liste et sélectionnez l'action à appliquer à toutes les menaces dans la liste,
puis cliquez sur Terminer.
Suppression de fichiers dans les archives
En mode de nettoyage par défaut, l'archive entière n'est supprimée que si elle ne contient que des fichiers infectés
et aucun fichier sain. Autrement dit, les archives ne sont pas supprimées si elles contiennent aussi des fichiers
sains. Soyez cependant prudent si vous choisissez un nettoyage strict : dans ce mode, l'archive sera supprimée si
elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient.
112
6.1.7 Protection en temps réel du système de fichiers
La protection en temps réel du système de fichier contrôle tous les événements liés à l'antivirus dans le système.
Elle analyse tous les fichiers à la recherche de programmes malveillants au moment de l'ouverture, de la création ou
de l'exécution de ces fichiers sur l'ordinateur. Par défaut, la protection en temps réel du système de fichier est
lancée au démarrage du système d'exploitation et assure une analyse ininterrompue. Dans des cas particuliers (par
exemple, s'il y a un conflit avec un autre analyseur en temps réel), la protection en temps réel peut être désactivée
en désélectionnant Lancer automatiquement la protection en temps réel du système de fichier dans la section
Configuration avancée (F5) sous Protection en temps réel du système de fichier > Général.
Supports à analyser
Par défaut, tous les types de support sont analysés pour y détecter la présence potentielle de menaces :
· Disques locaux - Contrôle tous les disques durs du système.
· Supports amovibles - Contrôle les CD/DVD, les périphériques de stockage USB, les périphériques Bluetooth,
etc.
· Lecteurs réseau - Analyse tous les disques mappés.
Nous vous recommandons de ne modifier les paramètres par défaut que dans des cas particuliers, par exemple
lorsque l'analyse de certains supports ralentit de manière significative les transferts de données.
Date de l'analyse
Par défaut, tous les fichiers sont analysés lorsqu'ils sont ouverts, exécutés ou créés. Il est recommandé de conserver
ces paramètres par défaut, car ils offrent le niveau maximum de protection en temps réel pour votre ordinateur :
·
·
·
·
Ouverture de fichier - Analyse lors de l'ouverture ou de l'accès aux fichiers.
Création de fichier - Analyse lors de la création ou de la modification des fichiers.
Exécution de fichier - Analyse lors de l'exécution des fichiers.
Accès au support amovible : Analyse lors de l'accès au support amovible. Lorsqu'un support amovible
contenant un secteur de démarrage est inséré dans le périphérique, le secteur de démarrage est
immédiatement analysé. Cette option n'active pas l'analyse des fichiers de supports amovibles. L'analyse des
fichiers de supports amovibles se trouve dans Médias à analyser > Supports amovibles. Pour que l'accès au
secteur de démarrage des supports amovibles fonctionne correctement, conservez l'option Secteurs de
démarrage/UEFI activée dans les paramètres de ThreatSense.
Exclusions de processus
L'exclusion des processus vous permettent d'exclure des processus précis. Par exemple, les processus de
solution de sauvegarde : toutes les opérations fichier attribuées à des processus qui sont exclus sont ignorées
et considérées comme sûrs, ce qui réduit l'interférence avec le processus de sauvegarde.
paramètres ThreatSense
La protection en temps réel du système de fichier vérifie tous les types de support et est déclenchée par
différents événements comme l'accès à un fichier. La protection en temps réel du système de fichier peut être
configurée pour traiter différemment les fichiers nouvellement créés et les fichiers existants. Par exemple,
vous pouvez configurer la protection en temps réel du système de fichier afin qu'elle surveille plus
attentivement les fichiers nouvellement créés.
Pour assurer le minimum d'empreinte système lorsque la protection en temps réel est utilisée, les fichiers
ayant déjà été analysés ne seront pas analysés de nouveau (à moins qu'ils aient été modifiés). Les fichiers
seront cependant immédiatement réanalysés après chaque mise à jour de la base de données du moteur de
détection. Ce comportement est contrôlé grâce à l'Optimisation intelligente. Si la fonction Optimisation
intelligente est désactivée, tous les fichiers sont analysés chaque fois que l'ordinateur y accède. Pour modifier
ce paramètre, appuyez sur F5 pour ouvrir la fenêtre Configuration avancée, puis agrandissez Moteur de
détection > Protection en temps réel du système de fichiers. Cliquez sur Paramètres de ThreatSense > Autre et
sélectionnez ou désélectionnez Activer l'optimisation intelligente.
Autres ThreatSense paramètres
113
Vous pouvez modifier les options détaillées des paramètres ThreatSense supplémentaires pour les fichiers
nouvellement créés et modifiés ou des paramètres supplémentaires ThreatSense pour les fichiers exécutés.
6.1.7.1 Paramètres ThreatSense
ThreatSense est une technologie composée de nombreuses méthodes de détection de menaces complexes. Cette
technologie proactive fournit également une protection durant les premières heures de propagation d'une
nouvelle menace. Elle utilise une combinaison d'analyse de code, d'émulation de code, de signatures génériques et
de signatures de virus qui se conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur d'analyse
est capable de contrôler simultanément plusieurs flux de données, maximisant ainsi l'efficacité et le taux de
détection. La technologie ThreatSense élimine également les rootkits.
REMARQUE
Pour en savoir plus sur la vérification automatique des fichiers de démarrage, voir Analyse au démarrage.
Les options de configuration du moteur ThreatSense permettent également de préciser plusieurs paramètres
d'analyse :
· Les types de fichiers et extensions à analyser
· La combinaison de plusieurs méthodes de détection
· les niveaux de nettoyage, etc.
Pour ouvrir la fenêtre de configuration, cliquez sur Configuration des paramètres du moteur ThreatSense dans la
fenêtre de configuration avancée (F5) de tout module utilisant la technologie ThreatSense (voir ci-dessous). Chaque
scénario de sécurité peut exiger une configuration différente. Sachant cela, ThreatSense peut être configuré
individuellement pour les modules de protection suivants :
·
·
·
·
·
·
·
·
·
Analyse Hyper-V
Analyse OneDrive
Protection en temps réel du système de fichier
Analyses de logiciels malveillants
Analyse en état inactif
Analyse au démarrage
Protection des documents
Protection du client de messagerie
Protection de l'accès Web
ThreatSenseles paramètres sont hautement optimisés pour chaque module et leur modification peut avoir
d'importantes répercussions sur le fonctionnement du système. Par exemple, en modifiant les paramètres pour
toujours analyser les logiciels de compression exécutables ou pour autoriser les heuristiques avancées dans la
protection en temps réel du système de fichier, vous pouvez diminuer les performances du système (normalement,
seuls les fichiers nouvellement créés sont analysés par ces méthodes). Il est recommandé de laisser inchangés les
paramètres par défaut de ThreatSense pour tous les modules, à l'exception du module Analyse de l'ordinateur.
Objets à analyser
Cette section vous permet de définir quels éléments et fichiers de l'ordinateur seront analysés à la recherche
d'infiltrations.
Mémoire vive
Analyse à la recherche des menaces qui s'attaquent à la mémoire vive du système.
Secteurs d'amorçage/UEFI
Analyse les secteurs d'amorçage pour détecter la présence de virus dans le MBR (enregistrement d'amorçage
maître). Dans le cas d'une machine virtuelle Hyper-V, son disque MBR est analysé en mode lecture seulement.
Fichiers de courriel
114
Le programme prend en charge les extensions suivantes : DBX (Outlook Express) et EML.
Archives
Le programme prend en charge les extensions suivantes : ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA,
MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE et beaucoup d'autres.
Archives à extraction automatique
Les archives auto-extractibles (SFX) n'ont pas besoin de programmes spécialisés (archiveurs) pour être
décompressés.
Fichiers exécutables compressés par un compresseur d'exécutables
Après l'exécution, les logiciels de compression exécutables (contrairement aux archiveurs standard) se
décompressent dans la mémoire. En plus des logiciels de compression statiques standard (UPX, yoda, ASPack,
FSG, etc.), l'analyseur est capable de reconnaitre plusieurs autres types de logiciels de compression grâce à
l'émulation de code.
Options d'analyse
Sélectionnez les méthodes utilisées lors de l'analyse du système à la recherche d'infiltrations. Les options suivantes
sont disponibles :
Heuristique
La méthode heuristique utilise un algorithme d'analyse de l'activité (malveillante) des programmes. Le
principal avantage de cette technologie est sa capacité à identifier des logiciels malveillants qui n'existaient pas
ou n'étaient pas inscrits dans le moteur de détection antérieur.
Heuristique avancée/Signatures DNA
La méthode heuristique avancée utilise un algorithme heuristique développé par ESET, optimisé pour la
détection des vers d'ordinateur et des chevaux de Troie, et écrit dans un langage de programmation de haut
niveau. L'utilisation de l'heuristique avancée augmente considérablement les capacités de détection de
menaces des produits ESET. Les signatures permettent de détecter et d'identifier les virus de façon fiable. Grâce
au système de mise à jour automatique, de nouvelles signatures peuvent être disponibles dans les quelques
heures de la découverte d'une menace. L'inconvénient des signatures est qu'elles ne détectent que les virus
qu'elles connaissent (ou une version légèrement modifiée de ces virus).
Nettoyage
Les paramètres de nettoyage déterminent le comportement de l'analyseur lors du nettoyage des fichiers infectés.
Trois niveaux de nettoyage sont possibles :
Pas de nettoyage
Les fichiers infectés ne seront pas nettoyés automatiquement. Le programme affiche alors une fenêtre
d'avertissement et laisse l'utilisateur choisir une action. Ce niveau est conçu pour les utilisateurs expérimentés
qui savent quoi faire avec chaque type d'infiltrations.
Nettoyage normal
Le programme tente de nettoyer ou de supprimer automatiquement tout fichier infecté sur la base d'une action
prédéfinie (selon le type d'infiltration). La détection et la suppression d'un fichier infecté sont signalées par
une notification affichée dans le coin inférieur droit de l'écran. S'il n'est pas possible de sélectionner
automatiquement l'action appropriée, le programme proposera d'autres actions de suivi. La même chose se
produit lorsqu'une action prédéfinie n'a pas pu être menée à bien.
Nettoyage strict
Le programme nettoie ou supprime tous les fichiers infectés (y compris les archives). Les seules exceptions sont
les fichiers système. S'il est impossible de nettoyer un fichier, l'utilisateur devra préciser le type d'actions à
entreprendre.
115
AVERTISSEMENT
Si une archive contient un ou plusieurs fichiers infectés, elle peut être traitée de deux façons différentes. En
mode par défaut, Nettoyage normal, toute l'archive sera supprimée si tous ses fichiers sont infectés. En mode
Nettoyage strict, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des
autres fichiers qu'elle contient.
IMPORTANT
Si l'hôte Hyper-V s'exécute sur Windows Server 2008 R2 SP1, Nettoyage normal et Nettoyage strict ne sont pas
pris en charge. L'analyse des disques de la machine virtuelle s'effectue en mode de lecture seule, sans aucun
nettoyage. Sans égard au niveau de nettoyage sélectionné, l'analyse est toujours effectuée en mode de
lecture seule.
Exclusions
L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette
section du réglage des paramètres ThreatSense vous permet de définir les types de fichiers à exclure de l'analyse.
Autre
Au moment de configurer les paramètres du moteur ThreatSense pour une analyse de l'ordinateur à la demande,
les options suivantes dans Autres seront aussi offertes :
Analyser les flux de données alternatifs (ADS)
Les flux de données alternatifs (ADS) utilisés par le système de fichiers NTFS sont des associations de fichiers et
de dossiers que les techniques d'analyse ordinaires ne permettent pas de détecter. De nombreuses infiltrations
tentent d'éviter la détection en se faisant passer pour des flux de données alternatifs.
Exécuter les analyses en arrière-plan avec une priorité faible
Toute séquence d'analyse consomme une certaine quantité de ressources système. Si vous utilisez des
programmes qui exigent beaucoup de ressources du système, vous pouvez activer l'analyse en arrière-plan à
faible priorité de manière à réserver des ressources pour vos applications.
Consigner tous les objets
Si cette option est sélectionnée, le fichier journal affiche tous les fichiers analysés, même ceux qui ne sont pas
infectés.
Activer l'optimisation intelligente
Lorsque la fonction Optimisation intelligente est activée, les paramètres les plus optimaux sont utilisés pour
assurer le niveau d'analyse le plus efficient tout en conservant la vitesse d'analyse la plus élevée. Les différents
modules de protection effectuent une analyse intelligente, utilisant pour ce faire différentes méthodes
d'analyse et les appliquant à différents types de fichier. Si l'optimisation intelligente est activée, seuls les
paramètres définis par l'utilisateur dans le cœur ThreatSense du module spécifique seront appliqués lors de
l'analyse.
Conserver la date et l'heure du dernier accès
Activez cette option pour conserver la date et l'heure d'accès d'origine des fichiers analysés au lieu de la mettre
à jour (par ex., pour l'utiliser avec des systèmes de sauvegarde de données).
Limites
La section Limites permet de préciser la taille maximale des objets et les niveaux d'imbrication des archives à
analyser :
Paramètres par défaut de l'objet
116
Activer pour utiliser les paramètres par défaut (aucune limite). ESET File Security ignorera vos paramètres
personnalisés.
Taille d'objet maximale
Définit la taille maximale des objets à analyser. Le module antivirus donné n'analysera alors que les objets dont
la taille est inférieure à celle indiquée. Cette option ne devrait être modifiée que par des utilisateurs
expérimentés ayant des raisons précises d'exclure de l'analyse des objets de plus grande taille. Valeur par
défaut : illimitée.
Durée d'analyse maximale pour l'objet (en secondes)
Précise la valeur de temps maximale pour l'analyse d'un objet. Si la valeur de ce champ a été définie par
l'utilisateur, le module antivirus cessera d'analyser un objet une fois ce temps écoulé, que l'analyse soit
terminée ou non. Valeur par défaut : illimitée.
Configuration de l'analyse des archives
Pour modifier les paramètres d'analyse des archives, désélectionnez Paramètres d'analyse d'archive par défaut.
Niveau d'imbrication des archives
Précise la profondeur maximale de l'analyse des archives. Valeur par défaut : 10. Pour les objets détectés par la
Protection du transport de la boîte de courriel, le niveau d'imbrication actuel est de +1, car les pièces jointes
d'archive contenues dans un courriel sont considérées comme étant de premier niveau.
EXEMPLE
Si vous avez un niveau d'imbrication réglé sur 3, un fichier d'archive avec un niveau d'imbrication de 3 ne sera
analysé que sur une couche de transport jusqu'à son niveau réel qui est 2. Par conséquent, si vous souhaitez
que les archives soient analysées par la protection de transport de la boîte de courriels jusqu'au niveau 3,
réglez la valeur de Niveau d'imbrication d'archive à 4.
Taille maximale de fichier dans l'archive
Cette option permet de préciser la taille maximale des fichiers (lors de leur extraction) à analyser, contenus
dans les archives. Valeur par défaut : Illimité
REMARQUE
Il n'est pas recommandé de modifier les valeurs par défaut. Dans des circonstances normales, il n'y a aucune
raison de le faire.
6.1.7.1.1 Autres ThreatSense paramètres
Autres paramètres de ThreatSense pour les fichiers nouvellement créés et modifiés
La probabilité qu'un fichier nouvellement créé ou modifié soit infecté est plus grande comparativement aux
fichiers existants. C'est pour cette raison que le programme utilise des paramètres d'analyse supplémentaires
pour vérifier ces fichiers. Outre les méthodes d'analyse basées sur les signatures, les heuristiques avancées
sont aussi utilisées, ce qui permet de détecter les nouvelles menaces avant la diffusion de la mise à jour du
module. En plus des fichiers nouvellement créés, l'analyse est aussi effectuée sur les fichiers autoextractibles
(.sfx) et les logiciels de compression exécutables (fichiers exécutables compressés internes). Par défaut, les
archives sont analysées jusqu'au 10e niveau d'imbrication et vérifiées indépendamment de leur taille réelle.
Désactivez l'option Paramètres d'analyse d'archive par défaut pour modifier les paramètres d'analyse de
l'archive.
Autres paramètres de ThreatSense pour les fichiers exécutés
Par défaut, les heuristiques avancées sont utilisées lorsque des fichiers sont exécutés. Lorsque cette option est
activée, nous vous recommandons fortement de conserver l'optimisation intelligente et ESET LiveGrid® activés
afin de réduire l'incidence sur la performance du système.
117
6.1.7.1.2 Extensions de fichier exclues de l'analyse
Une extension est la partie d'un nom de fichier délimitée par un point. L'extension définit le type d'un fichier.
Normalement, tous les fichiers sont analysés. Toutefois, si vous devez exclure des fichiers avec une extension
spécifique, la configuration des paramètres de ThreatSense vous permet d'exclure les fichiers de l'analyse en
fonction de leur extension. L'exclusion peut être utile si l'analyse de certains types de fichiers empêche le bon
fonctionnement d'une application.
EXEMPLE
Pour ajouter une nouvelle extension à la liste, cliquez sur Ajouter. Tapez l'extension dans le champ de texte
(par exemple, tmp) et cliquez sur OK. Lorsque vous sélectionnez Saisir plusieurs valeurs, vous pouvez ajouter
plusieurs extensions de fichier délimitées par des lignes, des virgules ou des points-virgules (par exemple,
choisissez Point-virgule dans le menu déroulant en tant que séparateur et tapez edb;eml;tmp).
Vous pouvez utiliser un symbole spécial ? (point d'interrogation). Le point d'interrogation représente
n'importe quel symbole (par exemple ?db).
REMARQUE
Pour afficher l'extension (type de fichier) de tous les fichiers d'un système d'exploitation Windows,
désélectionnez Masquer les extensions pour les types de fichiers connus dans Panneau de configuration >
Options de dossier > Affichage.
6.1.8 Exclusions de processus
La fonctionnalité d'exclusions de processus vous permet d'exclure des processus précis de l'analyse à l'accès de
l'antivirus seulement. En raison du rôle essentiel des serveurs dédiés (serveur de l'application, serveur de stockage,
etc.), les sauvegardes régulières sont obligatoires pour assurer la récupération en temps opportun des incidents,
quels qu'ils soient. Afin d'améliorer la vitesse de sauvegarde, l'intégrité du processus et la disponibilité du service,
certaines techniques reconnues pour entrer en conflit avec la protection contre les logiciels malveillants au niveau
des fichiers sont utilisées pendant la sauvegarde. Des problèmes similaires peuvent survenir lors des tentatives de
migration des machines virtuelles en direct. Le seul moyen efficace pour éviter de tomber dans ces deux situations
est de désactiver le logiciel contre les logiciels malveillants. L'exclusion de processus précis (par exemple les
processus relatifs à la solution de sauvegarde) permet d'ignorer et de considérer comme fiables toutes les
opérations sur les fichiers attribuées à de tels processus exclus, ce qui réduit l'interférence sur le processus de
sauvegarde. Nous vous recommandons de faire preuve de prudence lors de la création d'exclusions - un outil de
sauvegarde qui a été exclu peut accéder aux fichiers infectés sans déclencher une alerte. Pour cette raison, les
permissions élargies ne sont accordées que dans le module de protection en temps réel.
La fonctionnalité d'exclusion des processus aide à minimiser le risque de conflits potentiels et améliore la
performance des applications exclues, ce qui a par la suite un effet positif sur la performance générale et la stabilité
du système d'exploitation. L'exclusion d'un processus ou d'une application est une exclusion de son fichier
exécutable (.exe).
Vous pouvez ajouter des fichiers exécutables dans la liste des processus exclus en utilisant Configuration avancée
(F5) > Moteur de détection > Protection en temps réel du système de fichiers > Exclusions des processus ou en
utilisant la liste des processus en cours d'exécution à partir du menu principal Outils > Processus en cours
d'exécution.
Cette fonctionnalité a été conçue pour exclure les outils de sauvegarde. L'exclusion des outils de sauvegarde du
processus d'analyse garantit non seulement la stabilité du système, mais aussi permet de ne pas affecter les
performances de la sauvegarde, car la sauvegarde n'est pas ralentie pendant son exécution.
EXEMPLE
118
Cliquez sur Modifier pour ouvrir la fenêtre de gestion Exclusions des processus où vous pouvez Ajouter des
exclusions et rechercher un fichier exécutable (par exemple, Backup-tool.exe), qui sera exclu de l'analyse.
Dès que le fichier .exe est ajouté aux exclusions, l'activité de ce processus n'est pas surveillée par ESET File
Security et aucune analyse n'est exécutée sur les opérations de fichiers effectuées par ce processus.
IMPORTANT
Si vous n'utilisez pas la fonction de navigation lorsque vous sélectionnez un exécutable de processus, vous
devez entrer manuellement un chemin d'accès complet à l'exécutable. Sinon, l'exclusion ne fonctionnera pas
correctement et HIPS peut signaler des erreurs.
Vous pouvez également modifier les processus existants ou les supprimer des exclusions.
REMARQUE
Par exemple, comme la protection de l'accès Web ne tient pas compte cette exclusion, les fichiers téléchargés
sont quand même analysés si vous excluez le fichier exécutable de votre navigateur Web. De cette façon, une
infiltration peut encore être détectée. Ce scénario est offert à titre d'exemple seulement. Il n'est pas
recommandé de créer des exclusions pour les navigateurs Web.
6.1.9 Protection basée sur le nuage
ESET LiveGrid® est un système avancé d'avertissement anticipé composé de plusieurs technologies basées sur le
nuage. Il permet de détecter les menaces émergentes selon la réputation et améliore l'efficacité de l'analyse grâce
à des listes blanches. La diffusion en temps réel de l'information liée aux menaces à partir du nuage permet aux
laboratoires de recherche sur les logiciels malveillants ESET de fournir une réponse rapide et une protection
uniforme en tout temps. Les utilisateurs peuvent vérifier la réputation du processus en cours d'exécution et des
fichiers directement à partir de l'interface du programme ou du menu contextuel avec des informations
supplémentaires disponibles à partir de ESET LiveGrid®.
Lors de l'installation de ESET File Security, sélectionnez l'une des options suivantes :
· Vous pouvez décider de ne pas activer ESET LiveGrid®. Votre logiciel ne perdra aucune fonctionnalité, mais
pourra, dans certains cas, ESET File Security répondre plus rapidement aux nouvelles menaces que la mise à
jour de la base de données du moteur de détection.
· Vous pouvez configurer ESET LiveGrid® pour qu'il envoie des données anonymes concernant de nouvelles
menaces et l'endroit où se trouve le code menaçant. Ce fichier peut être envoyé à ESET pour une analyse
détaillée. En étudiant ces menaces, ESET améliore sa capacité à détecter les menaces.
Le système ESET LiveGrid® recueille sur votre ordinateur des données concernant de nouvelles menaces détectées.
Ces données comprennent un échantillon ou une copie du fichier dans lequel la menace est apparue, le chemin du
119
fichier, le nom du fichier, la date et l'heure, le processus par lequel la menace est apparue sur votre ordinateur et
de l'information sur le système d'exploitation de votre ordinateur.
Par défaut, ESET File Security est configuré pour envoyer les fichiers suspects aux laboratoires de virus d'ESET pour
analyse. Les fichiers portant certaines extensions comme .doc ou .xls sont toujours exclus. Vous pouvez aussi
ajouter d'autres extensions à la liste d'exclusion, dont vous ou votre organisation souhaitez éviter l'envoi.
Activer le système de réputation d'ESET LiveGrid® (recommandé)
Le système de réputation d'ESET LiveGrid® améliore l'efficacité des solutions de protection contre les logiciels
malveillants d'ESET en comparant les fichiers analysés à une base de données d'éléments d'une liste blanche et
d'une liste noire dans le nuage.
Activer le système de rétroaction d'ESET LiveGrid®
Les données seront envoyées au laboratoire de recherche d'ESET pour fins d'analyses plus approfondies.
Envoyer les rapports de plantage et les données de diagnostic
Soumettre des données comme les rapports de plantage, les modules ou les vidages de mémoire.
Soumettre des statistiques anonymes
Autorise ESET à collecter des renseignements sur les menaces nouvellement détectées tels que le nom de la
menace, la date et l'heure de la détection, la méthode et les métadonnées associées à la détection, les fichiers
analysés (le hachage, le nom de fichier, l'origine du fichier, les données de télémétrie) les URL bloquées et
suspicieuses la version du produit et sa configuration y compris les renseignements sur votre système.
Adresse courriel du contact (facultative)
Votre adresse électronique de contact peut être incluse avec tous les fichiers suspects et peut être utilisée pour
vous contacter si des informations complémentaires sont nécessaires pour l'analyse. Veuillez noter que vous ne
recevrez pas de réponse d'ESET à moins que des informations complémentaires ne soient nécessaires.
Envoi d'échantillons
Envoi automatique des échantillons infectés
Cela enverra tous les échantillons infectés à ESET pour analyse dans le but d'améliorer la détection à l'avenir.
· Tous les échantillons infectés
· Tous les échantillons à l'exception des documents
· Ne pas envoyer
Envoi automatique des échantillons suspects
Les fichiers suspects ressemblant à des menaces et/ou des échantillons ayant des caractéristiques ou un
comportement inhabituels sont envoyés à ESET pour analyse.
· Fichiers exécutables : Comprend les fichiers exécutables suivants : .exe, .dll, .sys
· Archives - Comprend les types de fichiers d'archive
suivants : .zip, .rar, .7z, .arch, .arj, .bzip2, .gzip, .ace, .arc, .cab
· Scripts - Comprend les types de fichiers de script suivants : .bat, .cmd, .hta, .js, .vbs, .js, .ps1
· Autres - Comprend les types de fichiers suivants : .jar, .reg, .msi, .swf, .lnk
· Pourriels éventuels - Améliore la détection des pourriels à l'échelle mondiale.
· Documents - Comprend les documents Microsoft Office ou les fichiers PDF avec du contenu actif
Exclusions
120
L'option Modifier située à côté de l'élément Exclusions dans ESET LiveGrid® vous permet de configurer la façon
dont les menaces sont envoyées aux laboratoires ESET Virus Labs pour analyse.
Taille maximale de l'échantillon (Mo)
Définit la taille maximale des échantillons à analyser.
6.1.9.1 Filtre d'exclusion
Le filtre Exclusion permet d'exclure certains fichiers/dossiers de l'envoi (par exemple, il peut être utile d'exclure les
fichiers contenant des renseignements confidentiels, comme des documents ou des feuilles de calcul). Les fichiers
de la liste ne seront jamais envoyés aux laboratoires ESET pour analyse, même s'ils contiennent du code suspect.
Les types de fichiers les plus courants sont exclus par défaut (.doc, etc.). Vous pouvez ajouter des fichiers à cette
liste, au besoin.
Si vous avez déjà utilisé le système ESET LiveGrid® et l'avez désactivé, il est possible qu'il reste des paquets de
données à envoyer. Même après la désactivation, de tels paquets seront envoyés à ESET. Une fois toutes les
données actuelles envoyées, aucun autre paquet ne sera créé.
121
Si vous trouvez un fichier suspect, vous pouvez l'envoyer à nos laboratoires ThreatLabs pour analyse. S'il contient
une application malveillante, il sera ajouté à la prochaine mise à jour du module de détection.
6.1.10 Analyses de logiciels malveillants
Cette section fournit des options pour sélectionner les paramètres d'analyse.
REMARQUE
Ce sélecteur de profil d'analyse s'applique à l'analyse de l'ordinateur à la demande, à l'analyse Hyper-V et à
l'analyse OneDrive.
Profil sélectionné
Un ensemble particulier de paramètres utilisés par l'analyseur à la demande. Vous pouvez utiliser l'un des
profils de numérisation prédéfinis ou créer un nouveau profil. Les profils de numérisation utilisent différents
paramètres moteur de ThreatSense.
Liste des profils
Pour créer un nouveau profil, cliquez sur Modifier. Tapez le nom du profil et cliquez sur Ajouter. Le nouveau
profil s'affiche dans le menu déroulant Profil sélectionné qui répertorie les profils d'analyse existants.
Cibles à analyser
Pour analyser qu'une cible en particulier, cliquez sur Modifier et choisissez une option dans le menu déroulant
ou choisissez des cibles spécifiques dans la structure des dossiers (arborescence).
paramètres ThreatSense
Modifiez les paramètres d'analyse pour l'analyseur de l'ordinateur à la demande.
Protection à la demande et apprentissage machine
Le signalement est effectué par le moteur de détection et le composant d'apprentissage machine.
La fenêtre contextuelle Analyse Hyper-V :
122
Le menu déroulant Cibles d'analyse pour Hyper-V permet de sélectionner des cibles prédéfinies à analyser :
Par paramètres de profil
Sélectionne les cibles dans le profil d'analyse sélectionné.
Toutes les machines virtuelles
Sélectionne toutes les machines virtuelles.
Machines virtuelles allumées
Sélectionne toutes les machines virtuelles en ligne.
Machines virtuelles éteintes
Sélectionne toutes les machines virtuelles hors ligne.
Aucune sélection
Annule toutes les sélections.
Cliquez sur Analyse pour exécuter l'analyse avec les paramètres personnalisés que vous avez définis. Une fois
toutes les analyses terminées, cochez la case Fichiers journaux > Analyse Hyper-V
6.1.10.1 Gestionnaire de profils
Le menu déroulant Profil d'analyse vous permet de sélectionner des profils d'analyse prédéfinis.
·
·
·
·
Analyse intelligente
Analyse par menu contextuel
Analyse détaillée
Mon profil (s'applique à Analyse Hyper-V, Mettre à jour les profiles et analyse de OneDrive)
Pour vous aider à créer un profil d'analyse répondant à vos besoins, consultez la rubrique Configuration du moteur
ThreatSense pour une description de chacun des paramètres de configuration de l'analyse.
Le gestionnaire de profils est utilisé à trois endroits dans ESET File Security.
Analyse de l'ordinateur à la demande
Vos paramètres d'analyse préférés peuvent être enregistrés pour analyse future. Nous vous recommandons de
créer un profil différent (avec différentes cibles et méthodes ainsi que d'autres paramètres d'analyse) pour
chacune des analyses utilisées régulièrement.
Mettre à jour
L'éditeur de profils permet aux utilisateurs de créer de nouveaux profils de mise à jour. Il est nécessaire de
créer des profils de mise à jour personnalisés seulement si votre ordinateur utilise plusieurs moyens pour se
connecter aux serveurs de mise à jour.
Analyse Hyper-V
Créez un nouveau profil, sélectionnez Modifier en regard de Liste des profils. Le nouveau profil s'affiche dans le
menu déroulant Profil sélectionné qui répertorie les profils de d'analyse existants.
Analyse OneDrive
Créez un nouveau profil, sélectionnez Modifier en regard de Liste des profils. Le nouveau profil s'affiche dans le
menu déroulant Profil sélectionné qui répertorie les profils de d'analyse existants.
123
6.1.10.2 Cibles du profil
Vous pouvez spécifier ce qui sera analysé à la recherche des infiltrations. Choisissez des objets (mémoire, secteurs
de démarrage et UEFI, lecteurs, fichiers et dossiers ou réseau) dans l'arborescence qui répertorie toutes les cibles
disponibles sur votre système.
REMARQUE
Ce sélecteur de profil d'analyse s'applique à l'analyse de l'ordinateur à la demande, à l'analyse Hyper-V et à
l'analyse OneDrive.
Cliquez sur l'icône en forme de roue dentée dans le coin supérieur gauche pour accéder aux menus déroulants
Cibles d'analyse et Profils d'analyse.
Le menu déroulant Cibles d'analyse permet de sélectionner des cibles prédéfinies à analyser :
Par paramètres
de profil
Sélectionne les cibles dans le profil d'analyse sélectionné.
Supports
amovibles
Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD.
Disques locaux
Sélectionne tous les disques durs du système.
Lecteurs réseau Sélectionne tous les disques réseau mappés.
Dossiers
partagés
Sélectionne tous les dossiers partagés sur le serveur local.
Sélection
personnalisée
Efface toutes les sélections. Une fois effacées, vous pouvez faire votre sélection personnalisée.
124
Pour accéder rapidement à une cible d'analyse (fichier ou dossier) afin de l'inclure dans l'analyse, entrez son chemin
dans le champ de texte sous l'arborescence. La saisie du chemin est sensible à la casse.
Le menu déroulant Profil d'analyse permet de sélectionner des profils d'analyse prédéfinis :
· Analyse intelligente
· Analyse par menu contextuel
· Analyse détaillée
Ces profils d'analyse utilisent différents paramètres du moteur ThreatSense.
Analyse sans nettoyage
Si vous ne voulez qu'analyser le système sans effectuer de nettoyage supplémentaire, sélectionnez Analyser
sans nettoyer. Cela est utile si vous ne voulez obtenir qu'un aperçu des éléments infectés et obtenir des détails
sur ces infections, le cas échéant. Vous pouvez choisir parmi trois niveaux de nettoyage en cliquant sur
Configuration > Paramètres ThreatSense > Nettoyage. Les données de l'analyse sont enregistrées dans un
journal d'analyse.
Ignorer les exclusions
Lorsque vous sélectionnez Ignorer les exclusions, l'analyse ignorera les exclusions qui autrement
s'appliqueraient.
6.1.10.3 Cibles à analyser
Si vous ne souhaitez analyser qu'une cible en particulier, vous pouvez utiliser Analyse personnalisée et sélectionner
une option dans le menu déroulant Cibles d'analyse ou choisir des cibles spécifiques dans la structure des dossiers
(arborescence).
Le sélecteur de profil de cibles d'analyse s'applique à :
· Analyse à la demande
· Analyse Hyper-V
· Analyse OneDrive
Pour accéder rapidement à une cible d'analyse ou ajouter directement une nouvelle cible souhaitée (dossier ou
fichier), entrez-la dans le champ vide sous la liste de dossiers. Cela n'est possible que si aucune cible n'a été
sélectionnée dans l'arborescence et que le menu Cibles à analyser est défini à Aucune sélection.
125
Le menu déroulant Cibles d'analyse permet de sélectionner des cibles prédéfinies à analyser :
Par paramètres
de profil
Sélectionne les cibles dans le profil d'analyse sélectionné.
Supports
amovibles
Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD.
Disques locaux
Sélectionne tous les disques durs du système.
Lecteurs réseau Sélectionne tous les disques réseau mappés.
Dossiers
partagés
Sélectionne tous les dossiers partagés sur le serveur local.
Sélection
personnalisée
Efface toutes les sélections. Une fois effacées, vous pouvez faire votre sélection personnalisée.
Vous pouvez choisir le profil à utiliser pour analyser les cibles visées dans le menu déroulant Profil d'analyse. Le
profil par défaut est Analyse intelligente. Il existe deux autres profils d'analyse prédéfinis appelés Analyse
approfondie et Analyse par menu contextuel. Ces profils d'analyse utilisent différents paramètres du moteur
ThreatSense.
Fenêtre contextuelle Analyse personnalisée :
126
Analyse sans nettoyage
Si vous ne voulez qu'analyser le système sans effectuer de nettoyage supplémentaire, sélectionnez Analyser
sans nettoyer. Cela est utile si vous ne voulez obtenir qu'un aperçu des éléments infectés et obtenir des détails
sur ces infections, le cas échéant. Vous pouvez choisir parmi trois niveaux de nettoyage en cliquant sur
Configuration > Paramètres ThreatSense > Nettoyage. Les données de l'analyse sont enregistrées dans un
journal d'analyse.
Ignorer les exclusions
Vous pouvez effectuer une analyse en ignorant les exclusions qui autrement s'appliqueraient.
Analyser
Pour exécuter l'analyse avec les paramètres personnalisés que vous avez définis.
Analyser en tant qu'administrateur
L'option Analyser en tant qu'administrateur permet d'exécuter l'analyse avec le compte d'administrateur.
Cliquez sur cette option si l'utilisateur actuel n'a pas les privilèges requis pour accéder aux fichiers appropriés
devant être analysés. À noter que ce bouton n'est pas disponible si l'utilisateur actuel ne peut appeler les
opérations UAC en tant qu'administrateur.
6.1.10.4 Analyse à l'état inactif
Lorsque l'ordinateur est inactif, une analyse silencieuse de l'ordinateur est effectuée sur tous les disques locaux. La
détection à l'état de repos s'exécute lorsque l'ordinateur est dans l'un des états suivants :
· Écran ou écran de veille désactivé
· Verrouillage de l'ordinateur
· Fermeture de session de l'utilisateur
Exécuter même si l'ordinateur est alimenté par batterie
Par défaut, l'analyseur à l'état de repos ne sera pas exécuté lorsque l'ordinateur (portable) est alimenté par
pile.
127
Activer la journalisation
Pour enregistrer les résultats des analyses dans la section Fichiers journaux (dans la fenêtre principale du
programme, cliquez sur Fichiers journaux, puis sélectionnez le type de journalisation Analyse de l'ordinateur
dans le menu déroulant).
paramètres ThreatSense
Modifiez les paramètres d'analyse pour l'analyseur à l'état de repos.
6.1.10.5 Analyse au démarrage
La vérification automatique des fichiers de démarrage sera effectuée par défaut au démarrage du système
(ouverture de session utilisateur) et après une mise à jour réussie du module. Cette analyse dépend de la
Configuration et des tâches du Planificateur.
Les options d'analyse au démarrage font partie de la tâche du planificateur Vérification de fichiers au démarrage du
système.
Pour modifier les paramètres d'analyse au démarrage, allez à Outils > Planificateur, puis sélectionnez l'une des
tâches nommées Vérification automatique des fichiers au démarrage (connexion de l'utilisateur ou mise à jour du
module) et cliquez sur Modifier. Suivez les instructions de l'assistant et dans la dernière étape, vous pouvez
modifier les options détaillées de la Vérification automatique des fichiers au démarrage.
6.1.10.5.1 Vérification automatique des fichiers de démarrage
Lorsque vous créez une tâche planifiée de contrôle des fichiers au démarrage du système, plusieurs options
s'offrent à vous pour définir les paramètres suivants :
Le menu déroulant Cibles de l'analyse précise la profondeur de l'analyse pour les fichiers exécutés au démarrage du
système. Les fichiers sont classés en ordre ascendant, selon les critères suivants :
·
·
·
·
·
Tous les fichiers enregistrés (le plus grand nombre de fichiers analysés)
Fichiers rarement utilisés
Fichiers communément utilisés
Fichiers fréquemment utilisés
Seulement les fichiers les plus fréquemment utilisés (le plus petit nombre de fichiers analysés)
Deux groupes de Cibles de l'analyse particuliers sont aussi inclus :
Fichiers exécutés avant la connexion de l'utilisateur
Contient les fichiers enregistrés dans des emplacements qui permettent d'y accéder sans que l'utilisateur n'ait
ouvert de session (comprend presque tous les emplacements de démarrage comme les services, les objets
application d'assistance du navigateur, la notification winlogon, les entrées dans le planificateur de Windows,
les dll connus, etc.).
Les fichiers s'exécutent après l'ouverture de session
Contient des fichiers qui se trouvent dans des emplacements accessibles uniquement après la connexion d'un
utilisateur (inclut les fichiers exécutés uniquement par un utilisateur spécifique, généralement des fichiers
dans HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run).
Les listes de fichiers à analyser sont fixes, pour chacun des groupes susmentionnés.
Priorité de l'analyse
Le niveau de priorité à utiliser pour déterminer à quel moment débutera l'analyse :
·
·
·
·
128
Normal - Pour une charge système moyenne.
Faible - Lorsque la charge système est faible.
Minimale - Lorsque la charge système est la plus faible possible.
Quand inactif - La tâche ne sera exécutée que lorsque le système sera inactif.
6.1.10.6 Supports amovibles
ESET File Security effectue une analyse automatique des supports amovibles (CD/DVD/USB). Ce module permet
d'analyser le support inséré. Cela peut être utile si l'administrateur de l'ordinateur veut empêcher les utilisateurs
d'utiliser des supports amovibles comportant un contenu non sollicité.
Action à prendre après l'insertion d'un périphérique amovible
Sélectionnez l'action qui sera exécutée lorsqu'un support amovible est inséré dans l'ordinateur (CD/DVD/USB).
· Ne pas analyser - Aucune action ne sera effectuée et la fenêtre Nouveau périphérique détecté sera fermée.
· Analyse automatique du périphérique - Une analyse de l'ordinateur à la demande du support amovible inséré
sera effectuée.
· Afficher les options d'analyse - Ouvre la section de configuration du support amovible.
Lorsqu'un support amovible est inséré, la boîte de dialogue suivante affichera les renseignements suivants :
·
·
·
·
Analyser maintenant - Déclenche l'analyse du support amovible.
Analyser plus tard - Reporte l'analyse du support amovible.
Configuration - Ouvre la configuration avancée.
Toujours utiliser l'option sélectionnée - Lorsque cette case est cochée, la même action sera effectuée la
prochaine fois qu'un support amovible sera inséré.
De plus, ESET File Security comprend également la fonctionnalité de contrôle du périphérique qui offre la
possibilité de définir des règles pour l'utilisation des périphériques externes sur un ordinateur particulier. Vous
trouverez plus de détails sur le contrôle de périphérique dans la section Contrôle de périphérique.
6.1.10.7 Protection des documents
La fonctionnalité de protection des documents analyse les documents Microsoft Office avant leur ouverture,
comme les fichiers téléchargés automatiquement par Internet Explorer, tels que les éléments Microsoft ActiveX. La
protection des documents offre une couche de protection, en plus de la protection en temps réel du système de
fichier, et peut être désactivée afin d'améliorer la performance de systèmes non exposés à un volume élevé de
documents Microsoft Office.
Intégrer dans le système
Cette option améliore la protection des documents Microsoft Office (non requis dans des conditions normales).
paramètres ThreatSense
Modifier les paramètres pour la protection des documents.
REMARQUE
Cette fonctionnalité est activée par des applications utilisant Antivirus API de Microsoft (par ex., Microsoft
Office 2000 et versions ultérieures, ou Microsoft Internet Explorer 5.0 et versions ultérieures).
129
6.1.11 Analyse Hyper-V
La version actuelle de l'analyse Hyper-V prend en charge l'analyse d'un système virtuel en ligne ou hors ligne dans
Hyper-V. Les types d'analyse pris en charge selon le système Windows Hyper-V hébergé et l'état du système virtuel
sont affichés ici :
Systèmes virtuels
Windows Server
avec
Windows Server
2008 R2 SP1
fonctionnalité
2012 Hyper-V
Hyper-V
Hyper-V
Windows Server
2012 R2 Hyper-V
Windows Server Windows Server
2016 Hyper-V
2019 Hyper-V
Machine virtuelle pas d'analyse
en ligne
lecture seule
lecture seule
lecture seule
lecture seule
Machine virtuelle lecture seule/
hors ligne
nettoyage
lecture seule/
nettoyage
lecture seule/
nettoyage
lecture seule/
nettoyage
lecture seule/
nettoyage
Configuration matérielle
La performance du serveur ne devrait pas être affectée lors de l'exécution de machines virtuelles. L'activité
d'analyse utilise principalement les ressources du processeur. Pour analyser les MV en ligne, de l'espace disque
libre est requis. L'espace disque libre doit être au moins le double de l'espace utilisé par les points de reprise/
captures d'écran et les disques virtuels.
Limitations spécifiques
· L'analyse sur stockage RAID, des volumes fractionnés et des disques dynamiques n'est pas prise en charge
en raison de la nature des disques dynamiques. Par conséquent, il est recommandé d'éviter d'utiliser les
disques dynamiques dans votre MV, si possible.
· L'analyse est toujours effectuée sur la machine virtuelle en cours et n'affecte pas les points de contrôle ou les
instantanés.
· L'exécution d'Hyper-V sur un hôte dans la grappe n'est actuellement pas prise en charge par ESET File
Security.
· Les machines virtuelles sur un hôte qui fonctionne sous Windows Server 2008 R2 SP1 peuvent être analysées
seulement en mode de lecture seule (Aucun nettoyage), sans égard au niveau de nettoyage sélectionné dans
les ThreatSense paramètres.
REMARQUE
Bien qu'ESET Security prenne en charge l'analyse du disque virtuel MBR, l'analyse en lecture seule est la seule
méthode prise en charge pour ces cibles. Il est possible de modifier ce paramètre dans Configuration avancée
(F5) > Moteur de détection > Analyse Hyper-V > ThreatSense Paramètres > Secteurs d'amorçage.
La machine virtuelle qui doit être analysée est « hors ligne » - mise en Arrêt
ESET File Securityutilise la gestion Hyper-V pour détecter et se connecter aux disques virtuels. Ainsi, ESET File
Security a le même accès au contenu des disques virtuels, comme s'il accédait aux données et aux fichiers de
n'importe quel lecteur générique.
La machine virtuelle qui doit être analysée est « en ligne » - En cours d'exécution, Suspendue, Enregistrée
ESET File Securityutilise Gestion Hyper-V pour détecter et se connecter aux disques virtuels. La connexion en cours à
ces disques est impossible. Par conséquent, ESET File Security crée un point de reprise ou une capture d'écran de la
machine virtuelle, puis se connecte au point de reprise ou à la capture d'écran. Une fois l'analyse terminée, le point
de reprise ou la capture d'écran est supprimé. Cela veut dire que l'analyse en lecture seule peut être exécutée,
parce que l'activité d'analyse n'a aucune répercussion sur la machine virtuelle.
130
Prévoyez une minute pour que ESET File Security crée un instantané ou un point de contrôle lors de l'analyse. Cela
devrait être pris en considération lors de l'exécution d'une analyse Hyper-V sur un plus grand nombre de machines
virtuelles.
Convention de dénomination
Le module d'analyse Hyper-V utilise la convention de dénomination suivante :
VirtualMachineName\DiskX\VolumeY
Où X représente le nombre de disques et Y le nombre de volumes. Par exemple :
Computer\Disk0\Volume1
Le suffixe numérique est ajouté en fonction de l'ordre de détection et est identique à l'ordre qui apparaît dans le
Gestionnaire de disques de la MV. La convention de dénomination est utilisée dans la liste arborescente des cibles
qui doivent être analysées, dans la barre de progression, ainsi que dans les fichiers journaux.
Effectuer une analyse
· À la demande - Cliquez sur Analyse Hyper-V pour consulter la liste des machines virtuelles et des volumes
disponibles pour l'analyse. Sélectionnez la(les) machine(s) virtuelle(s), le(s) disque(s) ou le(s) volume(s) que
vous souhaitez analyser et cliquez sur Analyser.
· Pour créer une nouvelle tâche planifiée :
· À l'aide d'ESET Security Management Center en tant que tâche client nommée Analyse du serveur .
· Il est possible de démarrer et de gérer l'analyse Hyper-V par eShell.
Il est possible d'effectuer plusieurs analyses Hyper-V en même temps. Vous recevrez une notification avec un lien
pour consigner des fichiers lorsque l'analyse est terminée.
Problèmes possibles
· Lors de l'analyse d'une machine virtuelle en ligne, un point de reprise ou une capture d'écran de la machine
virtuelle en question doit être créé et, lors de la création d'un point de reprise ou d'une capture d'écran,
certaines actions génériques de la machine virtuelle pourraient être restreintes ou désactivées.
· Si une machine virtuelle hors ligne est analysée, elle ne peut être mise en marche tant que l'analyse n'est pas
terminée.
· Le gestionnaire Hyper-V vous permet de donner le même nom à deux machines virtuelles différentes, ce qui
peut être problématique lorsque vous voulez différencier les machines en consultant les journaux d'analyse.
6.1.12 Analyse OneDrive
De base
Vous pouvez configurer les options d'action et de quarantaine
Action recommandée lorsque le fichier est infecté :
· Aucune action - Aucune modification ne sera effectuée dans le fichier.
· Supprimer - Permet de placer en quarantaine et de supprimer des fichiers à partir de OneDrive. Toutefois, les
fichiers sont toujours accessibles dans la corbeille de OneDrive.
Mettre les fichiers infectés en quarantaine
Quand cette fonction est activée, les fichiers marqués pour suppression sont placés en quarantaine.
Désélectionnez-la pour désactiver l'option de quarantaine afin d'éviter que les fichiers en quarantaine
s'accumulent.
Avancé
131
Cette partie contient des informations à propos de l'enregistrement de l'analyse OneDrive (ID de l'application, ID de
l'objet sur le portail Azure et empreinte du certificat). Vous pouvez configurer un délai ou une limite de
téléchargements concurrents.
Profils
Pour créer un nouveau profil, sélectionnez Modifier en regard de Liste des profils. Entrez votre Nom de profil, puis
cliquez sur Ajouter. Le nouveau profil s'affiche dans le menu déroulant Profil sélectionné qui répertorie les profils
d'analyse existants.
Le menu déroulant La cible d'analyse permet de sélectionner une cible prédéfinies à analyser :
· Par profil - Sélectionne les cibles dans le profil d'analyse sélectionné.
· Tous les utilisateurs - Sélectionne tous les utilisateurs.
· Aucune sélection - Efface votre sélection actuelle
Cliquez sur Analyse pour exécuter l'analyse avec les paramètres personnalisés que vous avez définis. Une fois
toutes les analyses terminées, cochez la case Fichiers journaux > Analyse OneDrive.
paramètres ThreatSense
Modifiez les paramètres d'analyse pour l'analyseur OneDrive.
Analyse de OneDrive et protection par apprentissage machine
Le signalement est effectué par le moteur de détection et le composant d'apprentissage machine.
6.1.13 HIPS
Le Système de prévention des intrusions sur l'ordinateur hôte (HIPS) protège votre système des logiciels
malveillants et de toute activité indésirable qui tentent de modifier la sécurité de votre ordinateur. Il utilise, pour
ce faire, une analyse comportementale évoluée combinée aux fonctionnalités de détection de filtrage du réseau
utilisées dans la surveillance des processus en cours, fichiers et clés de registre. Le système HIPS diffère de la
protection en temps réel du système de fichiers et ce n'est pas un pare-feu. Il surveille uniquement les processus
en cours d'exécution au sein du système d'exploitation.
AVERTISSEMENT
Seul un utilisateur d'expérience devrait apporter des modifications aux paramètres de HIPS. Une mauvaise
configuration des paramètres HIPS peut rendre le système instable.
Activer Autodéfense
ESET File Security comporte une technologie d'Auto-défense intégrée qui empêche les logiciels malveillants de
corrompre ou de désactiver votre protection antivirus et anti-logiciel espion pour que vous soyez toujours
certain que votre système est protégé en tout temps. Les modifications apportées aux paramètres Activer HIPS
et Activer Autodéfense prendront effet après le redémarrage du système d'exploitation Windows. Désactiver
l'ensemble du système HIPS exigera également un redémarrage de l'ordinateur.
Activer le service protégé
Microsoft a introduit un concept de services protégés avec Microsoft Windows Server 2012 R2. Il empêche un
service contre les attaques de logiciels malveillants. Le noyau de ESET File Security fonctionne en tant que
service protégé par défaut. Cette fonctionnalité est disponible sur Microsoft Windows Server 2012 R2 et les
nouveaux systèmes d'exploitation de serveur.
Activer Advanced Memory Scanner
Fonctionne de paire avec un bloqueur d'exploit pour renforcer la protection contre les logiciels malveillants qui
ont été conçus pour contourner les produits de détection de logiciels malveillants en utilisant
l'obscurcissement ou le chiffrement. Advanced Memory Scanner est activé par défaut. Pour en savoir plus sur ce
type de protection, consultez le glossaire .
132
Activer Exploit Blocker
Est conçu pour protéger les types d'applications souvent exploités, comme les navigateurs, les lecteurs PDF, les
clients de messagerie et les composants MS Office. Le bloqueur d'exploit est activé par défaut. Pour en savoir
plus sur ce type de protection, consultez le glossaire .
Activer le bouclier anti-rançongiciel
Pour utiliser cette fonctionnalité, activez HIPS et ESET Live Grid. Pour en savoir plus sur les rançongciels,
consultez le glossaire
Mode de filtrage
Vous pouvez choisir l'un des modes de filtrage suivants :
· Mode automatique - Les opérations sont activées, à l'exception de celles bloquées par des règles prédéfinies
qui protègent votre système. Tout est autorisé à l'exception des actions refusées par la règle.
· Mode de démarrage - L'utilisateur ne sera informé que des événements vraiment suspects.
· Mode interactif - L'utilisateur sera invité à confirmer les opérations. Autoriser / refuser l'accès, Créer une
règle, Mémoriser temporairement cette action.
· Mode basé sur des règles personnalisées - Les opérations seront bloquées. Accepte uniquement les règles
utilisateur / prédéfinies.
· Mode d'apprentissage - Les opérations sont activées et une règle est créée, après chaque opération. Les
règles créées dans ce mode peuvent être affichées dans l'Éditeur des règles, mais leur priorité sera inférieure
aux règles créées manuellement ou en mode automatique. Lorsque vous sélectionnez le mode
d'apprentissage dans le menu déroulant Mode de filtrage HIPS, le paramètre Mode d'apprentissage se
termine le devient disponible. Sélectionnez la durée pendant laquelle vous souhaitez activer le mode
d'apprentissage) la durée maximale est de 14 jours). Une fois que la durée indiquée sera écoulée, vous serez
invité à modifier les règles créées par HIPS alors qu'il était en mode d'apprentissage. Vous pouvez également
choisir un mode de filtrage différent, ou reporter la décision et continuer à utiliser le mode d'apprentissage.
Règles
Les règles déterminent quelles applications auront accès à quels fichiers, parties de registre ou autres
applications. Le système HIPS surveille les événements à l'intérieur du système d'exploitation et réagit en
conséquence en fonction de règles similaires aux règles utilisées par le pare-feu personnel. Cliquez sur
Modifier pour ouvrir la fenêtre de gestion des règles HIPS. Si l'action par défaut pour une règle est mise à
Demander, une boîte de dialogue s'affichera chaque fois que la règle est déclenchée. Vous pouvez choisir de
Bloquer ou d'Autoriser l'opération. Si aucune action n'est sélectionnée dans le temps imparti, une nouvelle
action sera sélectionnée, en fonction des règles.
La boîte de dialogue permet de créer une règle en fonction de toute nouvelle action détectée par le système HIPS,
puis de définir les conditions dans lesquelles autoriser ou bloquer cette action. Cliquez sur Détails pour consulter
plus d'informations. Les règles créées de cette façon sont jugées équivalentes aux règles créées manuellement.
Ainsi, la règle créée à partir d'une fenêtre de dialogue peut être moins précise que la règle qui a déclenché la
fenêtre de dialogue. Ainsi, après la création d'une telle règle, la même opération pourra déclencher l'affichage de la
même fenêtre.
133
Demander à chaque fois
Une boîte de dialogue s'affichera chaque fois que la règle est déclenchée. Vous pouvez choisir de refuser ou
d'autoriser l'opération.
Mémoriser jusqu'à la fermeture de l'application
Le choix d'une action Refuser ou Autoriser créera une règle HIPS temporaire qui sera utilisée jusqu'à la
fermeture de l'application en question. De même, si vous modifiez le mode de filtrage ou lorsque le module
HIPS est mis à jour, modifiez les règles; de plus, si vous redémarrez le système, les règles temporaires seront
supprimées.
Créer la règle et mémoriser de manière permanente
Créez une nouvelle règle HIPS. Vous pouvez modifier ultérieurement cette règle dans la section Gestion des
règles HIPS.
6.1.13.1 Paramètres de règle HIPS
La fenêtre vous donne un aperçu des règles HIPS existantes.
Règle
Nom de la règle défini par l'utilisateur ou choisi automatiquement.
Activée
Désactivez ce commutateur si vous voulez que la règle reste inscrite sur la liste, mais sans l'utiliser.
Action
La règle précise une action - Autoriser, Bloquer ouDemander - qui doit être effectuée lorsque les
conditions sont satisfaites.
Sources
La règle ne sera utilisée que si l'événement est déclenché par cette ou ces applications.
134
Règle
Nom de la règle défini par l'utilisateur ou choisi automatiquement.
Cibles
La règle sera utilisée uniquement si l'opération est liée à un fichier, à une application ou à une entrée
de registre spécifique.
Gravité de Si vous activez cette option, l'information au sujet de cette règle sera inscrite dans le journal HIPS.
l'entrée du
journal
Notifier
Une petite fenêtre contextuelle s'affichera dans le coin inférieur droit, lorsqu'un événement est
déclenché.
Créez une nouvelle règle, cliquez sur Ajouter de nouvelles règles HIPS ou Modifier les entrées sélectionnées.
Nom de la règle
Nom de la règle défini par l'utilisateur ou choisi automatiquement.
Action
La règle précise une action - Autoriser, Bloquer ou Demander - qui doit être effectuée lorsque les conditions
sont satisfaites.
Opérations concernées
Vous devez sélectionner le type d'opérations auquel s'appliquera la règle. La règle sera utilisée seulement pour
ce type d'opération et pour la cible sélectionnée. La règle est constituée de plusieurs parties qui décrivent les
conditions déclenchant cette règle.
Applications sources
La règle ne sera utilisée que si l'événement est déclenché par cette ou ces application(s). Sélectionnez des
applications spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou
dossiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour ajouter
toutes les applications.
REMARQUE
Certaines opérations de règles spécifiques prédéfinies par HIPS ne peuvent pas être bloquées et sont
autorisées par défaut. En plus, toutes les opérations système ne sont pas contrôlées par HIPS. HIPS contrôle les
opérations qui peuvent être considérées comme dangereuses.
Description d'opérations importantes :
Opérations sur le fichier:
Supprimer le
fichier
L'application vous invite à autoriser la suppression du fichier cible.
Écrire dans un
fichier
L'application vous invite à autoriser l'écriture dans le fichier cible.
Accès direct au
disque
L'application tente de lire ou d'écrire sur le disque d'une manière non standard, qui contournera
les procédures courantes de Windows. Cela peut entraîner la modification de fichiers sans
application des règles correspondantes. Cette opération peut être provoquée par un logiciel
malveillant qui tente d'éviter la détection, un logiciel de sauvegarde qui essaie de faire une
copie exacte d'un disque ou un gestionnaire de partitions qui tente de réorganiser des volumes
de disque.
135
Supprimer le
fichier
L'application vous invite à autoriser la suppression du fichier cible.
Installer le
crochet global
Se réfère à l'appel de la fonction SetWindowsHookEx de la bibliothèque MSDN.
Charger le pilote Installation et chargement de pilotes dans le système.
La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Fichiers spécifiques dans le menu
déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également
sélectionner Tous les fichiers dans le menu déroulant pour ajouter toutes les applications.
Activités de l'application:
Déboguer une autre
application
Joindre un débogueur au processus. Lors du débogage d'une application, de
nombreux détails de son comportement peuvent être affichés et modifiés et ses
données deviennent accessibles.
Intercepter les événements à
partir d'une autre application
L'application source tente d'intercepter des événements destinés à une
application spécifique (par exemple un enregistreur de frappe qui tente de
capturer les événements d'un navigateur).
Mettre fin à une autre
application/la suspendre
Suspendre, reprendre ou arrêter un processus (accès direct par l'explorateur de
processus ou la fenêtre Processus).
Lancer une nouvelle
application
Lancement de nouvelles applications ou de nouveaux processus.
Modifier l'état d'une autre
application
L'application source tente d'écrire dans la mémoire de l'application cible ou
d'exécuter du code en son nom. Cette fonctionnalité peut être utile pour protéger
une application essentielle en la configurant comme application cible dans une
règle qui bloque l'utilisation de cette opération.
La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Applications spécifiques dans le menu
déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également
sélectionner Toutes les applications dans le menu déroulant pour ajouter toutes les applications.
Opérations sur le registre:
Modifier les
paramètres de
démarrage
Toutes les modifications des paramètres qui définissent quelles applications seront exécutées
au démarrage de Windows. Il est possible de les trouver, par exemple, en recherchant la clé Run
dans le registre de Windows.
Supprimer du
registre
Supprimer une clé de registre ou sa valeur.
Renommer la clé Renomme les clés de registre.
de registre
Modifier le
registre
136
Créer de nouvelles valeurs de clés de registre, modifier des valeurs existantes, déplacer des
données dans l'arborescence de la base de données ou définir les droits du groupe ou de
l'utilisateur à l'égard de clés de registre.
La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Entrées spécifiques dans le menu
déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également
sélectionner Toutes les entrées dans le menu déroulant pour ajouter toutes les applications.
REMARQUE
Vous pouvez utiliser des caractères génériques avec certaines restrictions au moment d'entrer une cible.
Plutôt qu'une clé particulière, vous pouvez utiliser un symbole * (astérisque) dans les chemins d'accès du
registre. Par exemple, HKEY_USERS\*\software can mean HKEY_USER\.default\software mais pas HKEY_USERS
\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system
\ControlSet* n'est pas un chemin d'accès à la clé du registre valide. Un chemin d'accès à la clé du registre
contenant \* définit « ce chemin d'accès, sur tout niveau, après ce symbole ». C'est la seule façon d'utiliser les
caractères génériques pour les fichiers cibles. La partie spécifique d'un chemin sera la première à être évaluée,
puis elle sera suivie du chemin se trouvant après le caractère générique (*).
AVERTISSEMENT
Vous pourriez recevoir une notification si vous créez une règle trop générique.
6.1.13.2 Paramètres avancés HIPS
Les options suivantes sont utiles pour déboguer et analyser le comportement d'une application :
Toujours autoriser le chargement des pilotes
Le chargement des pilotes sélectionnés est toujours autorisé, indépendamment du mode de filtrage défini, à
l'exception des cas où un pilote est explicitement bloqué par une règle de l'utilisateur. Les pilotes affichés dans
cette liste pourront toujours être chargés indépendamment du mode de filtrage HIPS, à moins qu'ils ne soient
explicitement bloqués par une règle de l'utilisateur. Vous pouvez Ajouter un nouveau pilote, Modifier ou
Supprimer le pilote sélectionné dans la liste.
REMARQUE
Cliquez sur Réinitialisers i vous ne voulez pas que les pilotes que vous avez ajoutés manuellement soient
inclus. Cela peut être utile si vous avez ajouté plusieurs pilotes et ne pouvez pas les supprimer de la liste
manuellement.
Consigner toutes les opérations bloquées
Toutes les opérations bloquées seront consignées dans le journal HIPS.
Aviser lorsqu'un changement est effectué dans les applications de démarrage
Affiche une notification sur le bureau chaque fois qu'une application est ajoutée ou supprimée du démarrage
du système.
6.2 Configuration de la mise à jour
Cette section spécifie les informations sur la source de mise à jour, telles que les serveurs de mise à jour utilisés et
les données d'authentification pour ces serveurs.
REMARQUE
Il est essentiel d'inscrire correctement tous les paramètres de mise à jour afin de télécharger correctement les
mises à jour. Si un pare-feu est utilisé, assurez-vous que le programme ESET est autorisé à accéder à Internet
(par exemple, communication HTTP).
De base
137
Sélectionnez le profil de mise à jour par défaut
Choisissez un profil existant ou créez un autre qui sera appliqué par défaut pour les mises à jour.
Effacer le cache de mise à jour
Si vous avez des problèmes avec une mise à jour, cliquez sur Effacer pour effacer la mémoire cache temporaire
de mise à jour.
Définir l'âge maximal du moteur de détection / Âge maximal du moteur de détection (jours)
Permet de définir la durée maximale (en jours) après laquelle le moteur de détection sera déclaré obsolète. La
valeur par défaut est 7.
Annulation du module
Si vous soupçonnez qu'une nouvelle mise à jour du moteur de détection ou des modules du programme est
instable ou endommagée, vous pouvez retourner à la version antérieure et désactiver toutes les mises à jour
pour une durée choisie. Vous pouvez aussi activer les mises à jour précédemment désactivées si vous les aviez
reportées indéfiniment. ESET File Security enregistre les instantanés des moteurs de détection et des modules
de programme à utiliser avec la fonctionnalité Restaurer. Pour créer des images du moteur de détection, laissez
le commutateur Créer une image instantanée des fichiers de mise à jour activé.
Nombre d'instantanées stockées localement
Définit le nombre d'images instantanées du module précédent stockées.
Profils
Pour créer un profil de mise à jour personnalisé, sélectionnez Modifier en regard de Liste des profils, entrez votre
nom de profil et cliquez sur Ajouter. Sélectionnez le profil à modifier et modifiez les paramètres pour les types de
mises à jour de modules ou créez un miroir de mise à jour.
Mises à jour
Sélectionnez le type de mise à jour à utiliser à partir d'un menu déroulant :
· Mise à jour régulière - Par défaut, le type de mises à jour est réglé à Mise à jour régulière afin de s'assurer
que les fichiers de mise à jour soient automatiquement téléchargés à partir du serveur ESET avec le moins de
trafic réseau possible.
· Mise à jour de préversion - Les mises à jour de préversion sont des mises à jour qui ont été soumises à des
tests internes approfondis et qui seront bientôt offertes au grand public. Elles permettent d'accéder aux
méthodes de détection et correctifs les plus récents. Cependant, il est possible que les mises à jour de
préversion ne soient pas toujours assez stables et ne DOIVENT PAS être utilisées sur les serveurs et les postes
de travail de production où une disponibilité et une stabilité maximales sont requises.
· La mise à jour différée permet une mise à jour à partir de serveurs de mise à jour particuliers offrant de
nouvelles versions des bases de données de virus dans un délai d'au moins X heures (c'est-à-dire qu'ils
téléchargeront des bases de données testées dans un environnement réel, donc jugées stables).
Demander avant de télécharger une mise à jour
Lorsqu'une nouvelle mise à jour est disponible, vous êtes invité à la télécharger.
Demander si un fichier de mise à jour a une taille supérieure à (ko)
Si la taille du fichier de mise à jour est supérieure à la valeur indiquée dans ce champ, une notification s'affiche.
Désactiver la notification de la mise à jour réussie
Désactive les notifications dans la barre d'état système, dans le coin inférieur droit de l'écran. Sélectionnez
cette option si vous utilisez une application en mode plein écran. Veuillez noter que le mode Présentation
désactivera toutes les notifications.
Mises à jour des modules
138
Par défaut, le module de mise à jour est défini sur Choisir automatiquement. Le serveur de mise à jour est
l'endroit où sont stockées les mises à jour. Si vous utilisez un serveur ESET, nous vous recommandons de
conserver l'option sélectionnée par défaut.
Si un serveur local HTTP est utilisé - aussi appelé Miroir - le serveur de mise à jour doit être configuré comme suit :
http://nom_ordinateur_ou_son_adresse_IP:2221.
Lorsqu'un serveur local HTTP avec SSL est utilisé - le serveur de mise à jour doit être configuré comme suit :
https://nom_ordinateur_ou_son_adresse_IP:2221.
Lorsqu'un dossier partagé local est utilisé - le serveur de mise à jour doit être configuré comme suit :
\\nom_de_l'ordinateur_ou_son_adresse_IP\dossier_partagé
Activer une mise à jour plus fréquente des signatures de détection
Le moteur de détection est mis à jour dans un intervalle plus court. La désactivation de cette option peut avoir
une incidence négative sur le taux de détection.
Autoriser la mise à jour du module à partir du périphérique amovible
Permet une mise à jour à partir d'un support amovible s'il contient le miroir créé. Lorsque Automatique est
sélectionné, la mise à jour s'exécutera à l'arrière-plan. Si vous voulez afficher les boîtes de dialogue de mise à
jour, sélectionnez Toujours demander.
Mise à jour de composant du programme
Utilisez le menu déroulant Mode de mise à jour pour choisir comment appliquer les mises à jour de composants
de ESET File Security lorsqu'une nouvelle mise à jour est disponible. Les mises à jour de composants modifient
généralement les fonctionnalités existantes, mais peuvent également inclure de nouvelles fonctionnalités. En
fonction du mode de mise à jour choisi, la mise à jour du composant peut être effectuée automatiquement sans
intervention ou confirmation. Vous pouvez également choisir d'être averti avant l'installation des mises à jour.
Un redémarrage du serveur peut être requis après la mise à jour du composant. Les modes de mise à jour
suivants sont disponibles :
· Demander avant de mettre à jour : Vous serez invité à confirmer ou à refuser les mises à jour du produit
lorsqu'elles sont disponibles. Ceci est l'option par défaut. Un redémarrage du serveur peut être requis après
la mise à jour du composant.
· Mise à jour automatique : Les mises à jour des composants seront téléchargées et installées
automatiquement. Nous ne recommandons pas cette option, car ESET File Security redémarrera votre serveur
après la mise à jour du composant.
· Ne jamais mettre à jour : Aucune mise à jour de composants ne sera effectuée. Nous recommandons cette
option, car elle vous permet d'exécuter les mises à jour de composants manuellement et de redémarrer votre
serveur pendant la fenêtre de maintenance planifiée.
IMPORTANT
Le mode de mise à jour automatique redémarre automatiquement votre serveur une fois la mise à jour du
composant terminée.
Option de connexion
Serveur mandataire
139
Pour accéder aux options de configuration du serveur mandataire pour un profil de mise à jour donné. Cliquez
sur Mode mandataire et sélectionnez l'une des trois options suivantes :
· Ne pas utiliser de serveur mandataire : Aucun serveur mandataire ne sera utilisé pour mettre à jour ESET File
Security.
· L'option Utiliser les paramètres de serveur mandataire généraux utilisera la configuration de serveur
mandataire indiquée dans Configuration avancée (F5)> Outils > Serveur mandataire.
· Connexion par serveur mandataire : Utilisez cette option si :
Un serveur mandataire devrait être utilisé pour effectuer la mise à jour de ESET File Security, un serveur différent
du serveur mandataire indiqué dans les paramètres globaux (Outils > Serveur mandataire). Le cas échéant, les
paramètres devraient être indiqués ici : Adresse du serveur mandataire, Port de communication (3128, par défaut),
Nom d'utilisateur et Mot de passe pour le serveur mandataire, au besoin.
Les paramètres du serveur mandataire n'ont pas été définis globalement, mais ESET File Security se connectera à
un serveur mandataire pour les mises à jour.
Votre ordinateur est connecté à Internet par un serveur mandataire. Les paramètres utilisés sont ceux d'Internet
Explorer, pris au moment de l'installation du programme, mais s'ils sont ensuite modifiés (par exemple, si vous
changez de FAI), vous devez vous assurer que les paramètres du serveur HTTP mandataire indiqués dans cette
fenêtre sont appropriés. En l'absence de modification, le programme ne pourra pas se connecter aux serveurs de
mise à jour.
REMARQUE
Les données d'authentification, comme le Nom d'utilisateur et le Mot de passe, sont conçues pour accéder au
serveur mandataire. Ne remplissez ces champs que si un nom d'utilisateur et un mot de passe sont requis.
Veuillez noter que ces champs ne sont pas ceux du mot de passe/nom d'utilisateur de ESET File Security et ne
doivent être indiqués que si vous savez que vous avez besoin d'un mot de passe pour accéder à Internet par
l'entremise d'un serveur mandataire.
Utiliser une connexion directe si le mandataire n'est pas disponible
Si un produit est configuré pour utiliser le mandataire HTTP et que ce dernier n'est pas joignable, le produit
contournera le mandataire et communiquera directement avec les serveurs d'ESET.
Partages Windows
Lors de la mise à jour depuis un serveur local sous Windows, une authentification est exigée par défaut pour
chaque connexion réseau.
Se connecter au réseau local comme
Pour configurer votre compte, sélectionnez l'une des options suivantes :
· Compte système (par défaut) : Utilisez le compte système pour l'authentification. Normalement, aucune
authentification ne sera effectuée si des données d'authentification ne sont pas inscrites dans la section de
configuration des mises à jour.
· Utilisateur actuel : sélectionnez cette option pour vous assurer que le programme s'authentifie à l'aide du
compte de l'utilisateur actuellement connecté. L'inconvénient de cette solution est que le programme est
dans l'impossibilité de se connecter au serveur de mise à jour si aucun utilisateur n'est actuellement
connecté.
· Utilisateur spécifié : sélectionnez cette option pour utiliser un compte d'utilisateur spécifique pour
l'authentification. Cette méthode doit être utilisée lorsque la connexion avec le compte système par défaut
n'a pas fonctionné. À noter que le compte de l'utilisateur spécifié doit avoir le droit d'accès au dossier des
140
fichiers de mise à jour du serveur local. Dans le cas contraire, le programme sera incapable d'établir une
connexion ou de télécharger les mises à jour.
AVERTISSEMENT
Si l'option Utilisateur actuel ou Spécifier un utilisateur est sélectionnée, une erreur peut se produire si
l'identité du programme est changée pour l'utilisateur souhaité. Il est recommandé d'entrer les données
d'authentification du réseau local dans la section de configuration des mises à jour. Dans cette section, les
données d'authentification doivent être entrées comme suit : domain_name\user (si c'est un groupe de
travail, entrez workgroup_name\name) et le mot de passe. La mise à jour de la version HTTP du serveur local
n'exige aucune authentification.
Déconnecter du serveur après la mise à jour
Pour forcer la déconnexion si la connexion au serveur reste active même après le téléchargement des mises à
jour.
Miroir de mise à jour
Les options de configuration du serveur miroir local se trouvent dans l'arborescence Configuration avancée (F5) sous
l'onglet Mise à jour > Profils > Miroir de mise à jour.
6.2.1 Annulation de la mise à jour
Si vous cliquez sur Annuler, vous devez sélectionner un intervalle dans le menu déroulant représentant la durée
pendant laquelle les mises à jour de la base de données du moteur de détection et des modules du programme
seront suspendues.
Sélectionnez Jusqu'à son retrait pour reporter indéfiniment les mises à jour régulières jusqu'à ce que vous
restauriez manuellement cette fonctionnalité. Nous ne recommandons pas de sélectionner cette option,
puisqu'elle présente un risque potentiel au niveau de la sécurité.
La version de la base de données du moteur de détection sera rétablie à la plus ancienne image disponible et
stockée comme image dans le système de fichiers de l'ordinateur local.
6.2.2 Tâche planifiée : mise à jour
Pour mettre à jour le programme à partir de deux serveurs de mise à jour, vous devez créer deux profils de mise à
jour distincts. Si le premier ne permet pas de télécharger les fichiers de mise à jour, le programme bascule
automatiquement vers le second. Cela convient, par exemple, pour les ordinateurs portables dont la mise à jour
s'effectue normalement à partir d'un serveur de mise à jour sur le réseau local, mais dont les propriétaires se
connectent souvent à Internet à partir d'autres réseaux. Ainsi, en cas d'échec du premier profil, le second télécharge
automatiquement les fichiers de mise à jour à partir des serveurs de mise à jour d'ESET.
EXEMPLE
Les étapes ci-dessous vous guideront tout au long d'une tâche permettant de modifier une mise à jour
automatique régulière existante.
1. Dans l'écran principal du Planificateur, sélectionnez la tâche Mettre à jour avec pour nom Mise à jour
automatique régulière et cliquez sur Modifier pour lancer l'assistant de configuration.
2. Configurez le planificateur; sélectionnez l'une des options de fréquence suivantes pour l'exécution de la
tâche planifiée :
141
3. Si vous voulez empêcher l'exécution de la tâche lorsque le système fonctionne sur batterie (par exemple
sur UPS), cliquez sur le bouton situé à côté de Ignorer la tâche lors du fonctionnement sur batterie.
4. Sélectionnez Profil de mise à jour pour l'utiliser pour la mise à jour. Sélectionnez une action à entreprendre
en cas d'échec de l'exécution de la tâche pour une raison quelconque.
5. Cliquez sur Terminer pour appliquer la tâche.
6.2.3 Miroir de mise à jour
Ouvrir ESET File Security
Appuyez sur F5 > Mettre à jour > Profiles > Mettre à jour le miroir
ESET File Security permet de créer des copies des fichiers de mise à jour qui peuvent être utilisées pour mettre à
jour les autres stations de travail se trouvant sur le réseau. Utilisation d'un « miroir » - Puisqu'il n'est pas nécessaire
que les fichiers de mise à jour soient téléchargés à plusieurs reprises à partir du serveur de mise à jour du
fournisseur pour chacun des postes de travail, il serait pratique d'en conserver une copie dans l'environnement du
réseau local. Les mises à jour sont alors téléchargées sur le serveur miroir local puis distribuées à toutes les stations
de travail, ce qui évitera tout risque de surcharge du réseau. La mise à jour des postes de travail à partir d'un miroir
optimise l'équilibre de la charge réseau et libère les bandes passantes des connexions Internet.
Miroir de mise à jour
Créer un miroir de mise à jour
Active les options de configuration du miroir.
Dossier de stockage
Cliquez sur Supprimer si vous souhaitez modifier un dossier par défaut défini pour stocker des fichiers miroir C:
\ProgramData\ESET\ESET Security\mirror. Cliquez sur Modifier pour rechercher un dossier sur l'ordinateur local
ou un dossier réseau partagé. Si une autorisation pour le dossier indiqué est requise, les données
d'authentification doivent être entrées dans les champs Nom d'utilisateur et Mot de passe. Si le dossier
destination sélectionné se trouve sur un disque réseau utilisant le système d'exploitation Windows NT/2000/
XP, le nom d'utilisateur et le mot de passe indiqués doivent avoir les droits d'écriture pour ce dossier.
Le nom d'utilisateur et le mot de passe doivent être entrés dans le format Domain/User ou Workgroup/User.
Veuillez vous rappelez de fournir les mots de passe correspondants.
Mise à jour de composant du programme
Fichiers
Lors de la configuration du miroir, vous pouvez spécifier les versions linguistiques des mises à jour que vous
souhaitez télécharger. Les langues sélectionnées doivent être prises en charge par le serveur du miroir
configuré par l'utilisateur.
Mettre à jour les composants automatiquement
Permet d’installer de nouvelles fonctionnalités et d’effectuer la mise à jour des fonctionnalités existantes. Une
mise à jour peut s'effectuer sans intervention de l'utilisateur ou après notification de ce dernier. Le
redémarrage d'un ordinateur peut être exigé après la mise à jour d'un produit.
Mettre à jour les composants maintenant
Met à jour les composants du programme à l'aide de la dernière version.
Serveur HTTP
Port du serveur
Le port par défaut est 2221. Changez cette valeur si vous utilisez un port différent.
Authentification
142
Définit la méthode d'authentification utilisée pour accéder aux fichiers de mise à jour. Les options suivantes
sont disponibles : Aucune, Basique et NTLM.
· Sélectionnez Basique pour utiliser le chiffrage base64 avec l'authentification de base à l'aide du nom
d'utilisateur et du mot de passe.
· L'option NTLM fournit un chiffrage utilisant une méthode d'encodage fiable. L'utilisateur créé sur le poste de
travail partageant les fichiers de mise à jour sera utilisé pour l'authentification.
· L'option par défaut est Aucune. Elle autorise l'accès aux fichiers des mises à jour sans exiger
d'authentification.
AVERTISSEMENT
L'accès aux fichiers de mise à jour à l'aide du serveur HTTP exige que le dossier miroir soit sur le même
ordinateur que l'instance de ESET File Security qui l'a créé.
SSL pour serveur HTTP
Ajoutez-le à votre Fichier de chaîne du certificat ou générez un certificat autosigné si vous voulez utiliser un
serveur HTTP prenant HTTPS (SSL) en charge. Les types de certificats suivants sont offerts : PEM, PFX et ASN.
Pour plus de sécurité, vous pouvez utiliser le protocole HTTPS pour télécharger les fichiers de mise à jour. Il est
presque impossible de retracer les transferts de données et les informations d'identification lorsque ce
protocole est utilisé.
L'option Type de clé privée est mise à Intégré par défaut (le Fichier de clé privée est donc désactivé par défaut).
Cela signifie que la clé privée fait partie du fichier de chaîne de certificat sélectionné.
Option de connexion
Partages Windows
Lors de la mise à jour depuis un serveur local sous Windows, une authentification est exigée par défaut pour
chaque connexion réseau.
Se connecter au réseau local comme
Pour configurer votre compte, sélectionnez l'une des options suivantes :
· Compte système (par défaut) - utiliser le compte système pour l'authentification. Normalement, aucune
authentification ne sera effectuée si des données d'authentification ne sont pas inscrites dans la section de
configuration des mises à jour.
· Utilisateur actuel.- sélectionner cette option pour s'assurer que le programme s'authentifie à l'aide du
compte de l'utilisateur actuellement connecté. L'inconvénient de cette solution est que le programme est
dans l'impossibilité de se connecter au serveur de mise à jour si aucun utilisateur n'est actuellement
connecté.
· Utilisateur spécifié : sélectionnez cette option pour utiliser un compte d'utilisateur spécifique pour
l'authentification. Cette méthode doit être utilisée lorsque la connexion avec le compte système par défaut
n'a pas fonctionné. À noter que le compte de l'utilisateur spécifié doit avoir le droit d'accès au dossier des
fichiers de mise à jour du serveur local. Dans le cas contraire, le programme sera incapable d'établir une
connexion et de télécharger les mises à jour.
AVERTISSEMENT
Si l'option Utilisateur actuel ou Spécifier un utilisateur est sélectionnée, une erreur peut se produire si
l'identité du programme est changée pour l'utilisateur souhaité. Il est recommandé d'entrer les données
d'authentification du réseau local dans la section de configuration des mises à jour. Dans cette section, les
données d'authentification doivent être entrées comme suit : domain_name\user (si c'est un groupe de
143
travail, entrez workgroup_name\name) et le mot de passe. La mise à jour de la version HTTP du serveur local
n'exige aucune authentification.
Déconnecter du serveur après la mise à jour
Pour forcer la déconnexion si la connexion au serveur reste active même après le téléchargement des mises à
jour.
6.3 Protection du réseau
Activer la protection contre les attaques réseau (IDS)
Cette option permet de configurer l'accès à certains services exécutés sur votre ordinateur à partir de la zone de
confiance et d'activer ou désactiver la détection de plusieurs types d'attaques et d'exploits qui pourraient être
utilisés pour endommager votre ordinateur.
Activer la protection contre les réseaux de zombies
Détecte et bloque la communication avec des serveurs de commande et de contrôle malveillants basés sur des
modèles typiques lorsque l'ordinateur est infecté et qu'un robot tente de communiquer
Exceptions IDS
Vous pouvez voir les exceptions IDS (Intrusion Detection System) comme des règles de protection du réseau.
Cliquez sur Modifier pour définir des exceptions IDS.
Détection d'intrusion:
Protocole SMB : Détecte et bloque divers problèmes de sécurité dans le protocole SMB
Protocole RPC : Détecte et bloque divers CVE dans le système d'appel de procédure distant développé pour
l'environnement DCE (Distributed Computing Environment).
Protocole RDP : Détecte et bloque divers CVE dans le protocole RDP (voir ci-dessus).
Bloquer l'adresse non sécurisée après la détection d'une attaque : Les adresses IP qui ont été détectées comme
sources d'attaques sont ajoutées à la liste noire pour empêcher la connexion pendant une certaine période de
temps.
Afficher une notification après la détection d'une attaque : Active la notification de la barre d'état système dans le
coin inférieur droit de l'écran.
Afficher également les notifications pour les attaques entrantes contre les failles de sécurité : Vous avertit si des
attaques contre des failles de sécurité sont détectées ou si une menace tente d'entrer dans le système.
Contrôle des paquets:
Autoriser la connexion entrante aux partages administratifs du protocole SMB : Les partages administratifs
(partages admin) sont des partages réseau par défaut qui partagent les partitions du disque dur (C$, D$, ...) dans le
système avec le dossier système (ADMIN$). La désactivation de la connexion aux partages admin devrait atténuer
de nombreux risques de sécurité. Par exemple, le ver Conficker effectue des attaques par dictionnaire afin de se
connecter aux partages admin.
Refuser les anciens dialectes SMB (non pris en charge) - Refuse les sessions SMB qui utilisent un ancien dialecte
SMB non pris en charge par IDS. Les systèmes d'exploitation Windows modernes prennent en charge les anciens
144
Autoriser la connexion entrante aux partages administratifs du protocole SMB : Les partages administratifs
(partages admin) sont des partages réseau par défaut qui partagent les partitions du disque dur (C$, D$, ...) dans le
système avec le dossier système (ADMIN$). La désactivation de la connexion aux partages admin devrait atténuer
de nombreux risques de sécurité. Par exemple, le ver Conficker effectue des attaques par dictionnaire afin de se
connecter aux partages admin.
dialectes SMB en raison de la rétrocompatibilité avec les anciens systèmes d'exploitation tels que Windows 95.
L'attaquant peut utiliser un ancien dialecte dans une session SMB afin d'éviter l'inspection du trafic. Cette option
permet de refuser les anciens dialectes SMB si votre ordinateur n'a pas besoin de partager des fichiers (ou utiliser
la communication SMB en général) avec un ordinateur ayant une ancienne version de Windows.
Refuser des sessions SMB sans sécurité étendue : La sécurité étendue peut être utilisée pendant la négociation de
la session SMB afin de fournir un mécanisme d'authentification plus sécurisé que l'authentification par
stimulation/réponse (LM) du gestionnaire de réseau local. Le schéma LM est considéré comme faible et son
utilisation n'est pas recommandée.
Autoriser les communications avec le service Security Account Manager : Pour obtenir plus de renseignements sur
ce service, consultez [MS-SAMR] .
Autoriser les communications avec le service Local Security Authority : Pour obtenir plus de renseignements sur ce
service, consultez [MS-LSAD] et [MS-LSAT] .
Autoriser les communications avec le service Remote Registry : Pour obtenir plus de renseignements sur ce
service, consultez [MS-RRP] .
Autoriser les communications avec le service Service Control Manager : Pour obtenir plus de renseignements sur
ce service, consultez [MS-SCMR] .
Autoriser les communications avec le service du serveur : Pour obtenir plus de renseignements sur ce service,
consultez [MS-SRVS] .
Autoriser les communications avec les autres services : Autres services MSRPC.
6.3.1 Exceptions IDS
Les exceptions du système de détection d'intrusion (IDS) sont essentiellement des règles de protection du réseau.
Les exceptions sont évaluées de haut en bas. L'éditeur d'exceptions IDS vous permet de personnaliser le
comportement de la protection réseau sur différentes exceptions IDS. La première exception correspondante est
appliquée, pour chaque type d'action (Bloquer, Notifier, Journaliser) séparément. Haut/Vers le haut/Vers le bas/
Bas vous permet de régler le niveau de priorité des exceptions. Pour créer une nouvelle exception IDS, cliquez sur
Ajouter. Cliquez sur Modifier pour modifier une exception IDS existante ou sur Supprimer pour la supprimer.
Choisissez le type Alerte dans la liste déroulante. Indiquez le nom de la menace et la direction. Recherchez
l'application pour laquelle vous souhaitez créer une exception. Spécifiez une liste d'adresses IP (IPv4 ou IPv6) ou de
sous-réseaux. Pour les entrées multiples, utilisez une virgule comme séparateur.
Configurez l'action pour l'exception IDS en sélectionnant l'une des options du menu déroulant (valeur par défaut,
Oui, Non). Faites cela pour chaque type d'action (Bloquer, Notifier, Journaliser).
EXEMPLE
Si vous souhaitez qu'une notification soit affichée en cas d'alerte d'exception IDS et que l'heure de
l'événement soit enregistrée, utilisez comme valeur par défaut le type d'action Bloquer, et pour les deux
autres types d'action (Notifier, Journaliser) choisissez Oui dans le menu déroulant.
145
6.3.2 Liste noire temporaire des adresses IP
Permet d'afficher une liste des adresses IP ayant été détectées comme des sources d'attaque et ajoutées à la liste
noire pour éviter toute connexion pendant un certain temps. Affiche l'adresse IP qui a été verrouillée.
Raison du blocage
Indique le type d'attaque qui a été bloquée à l'adresse (par exemple, attaque de balayage de Port TCP).
Délai d'attente
Affiche l'heure et la date à laquelle l'adresse expirera de la liste noire.
Retirer/Tout retirer
Retire l'adresse IP sélectionnée de la liste noire temporaire avant son expiration ou retire toutes les adresses
de la liste noire immédiatement.
Ajouter une exception
Ajoute une exception de pare-feu dans le filtrage IDS pour l'adresse IP sélectionnée.
6.4 Web et messagerie
Vous pouvez configurer le filtrage de protocole, la protection du client de messagerie, la protection de l'accès Web
et l'antihameçonnage pour protéger votre serveur lors des communications Internet.
Protection du client de messagerie
La protection du client de messagerie contrôle toute la communication par courriel, protège contre le code
malveillant et vous permet de choisir l'action à prendre lorsqu'une infection est détectée.
Protection de l'accès Web
La Protection de l'accès Web surveille les communications entre les navigateurs Web et les serveurs distants,
conformément aux règles des protocoles HTTP et HTTPS. Cette fonctionnalité vous permet également de
bloquer, d'autoriser ou d'exclure certaines adresses URL.
Filtrage des protocoles
Le Filtrage des protocoles offre une protection évoluée pour les protocoles d'application. Il est fourni par le
moteur d'analyse ThreatSense. Il fonctionne automatiquement, indépendamment du navigateur Web ou du
client de messagerie utilisé. Il fonctionne aussi pour les communications chiffrées (SSL/TLS).
Protection anti-hameçonnage
La Protection antihameçonnage vous permet de bloquer les pages Web connues pour diffuser du contenu
d'hameçonnage.
6.4.1 Filtrage des protocoles
La protection antivirus pour les protocoles d'application est fournie par le moteur d'analyse ThreatSense qui intègre
plusieurs techniques d'analyse avancée des logiciels malveillants. Le filtrage de protocole fonctionne
automatiquement, indépendamment du navigateur Internet ou du client de messagerie utilisé. Si le filtrage du
protocole est activé, ESET File Security vérifiera les communications qui utilisent le protocole SSL/TLS, accédez à
Web et messagerie > SSL/TLS.
Activer le filtrage du contenu des protocoles d'application
Si vous désactivez le filtrage de protocole, veuillez noter que beaucoup de composants de ESET File Security
(protection de l'accès Web, protection des protocoles de courriels et protection antihameçonnage) dépendent
de cette option pour fonctionner et que toutes leurs fonctionnalités ne seront pas disponibles.
Applications exclues
Pour exclure du filtrage de contenu les communications envoyées par certaines applications sensibles au
réseau, vous devez le sélectionner dans la liste. Les communications envoyées par ces applications par
l'entremise des protocoles HTTP ou POP3 ne seront pas vérifiées pour savoir si elles contiennent des menaces.
146
Cliquez sur Modifier et Ajouter pour sélectionner un exécutable dans la liste des applications afin de l'exclure
du filtrage de protocole.
IMPORTANT
Il est recommandé de n'utiliser cette option que pour les applications qui ne fonctionnent pas bien lorsque la
communication fait l'objet d'une vérification.
Adresses IP exclues
Vous permet d'exclure des adresses distantes spécifiques du filtrage de protocole. Les adresses IP dans cette
liste seront exclues du filtrage du contenu des protocoles. Les communications envoyées à ces adresses ou
reçues de celles-ci par le protocole HTTP/POP3/IMAP ne seront pas vérifiées pour savoir si elles contiennent
des menaces.
IMPORTANT
Il est recommandé de n'utiliser cette option que pour les adresses reconnues comme fiables.
Cliquez sur Modifier et Ajouter pour spécifier l'adresse IP, la plage d'adresses ou le sous-réseau auquel l'exclusion
sera appliquée. Lorsque vous sélectionnez Entrer plusieurs valeurs, vous pouvez ajouter plusieurs adresses IP
séparées par de nouvelles lignes, des virgules ou des points virgules. Lorsqu'un choix multiple est activé, les
adresses sont affichées dans la liste des adresses IP exclues.
REMARQUE
Les exclusions sont utiles lorsque le filtrage de protocole crée des problèmes de compatibilité.
6.4.1.1 Clients Web et de messagerie
En raison du nombre considérable de programmes malveillants qui circulent sur Internet, la sécurisation de la
navigation sur Internet est un aspect très important de la protection des ordinateurs. Les faiblesses des navigateurs
Web et les liens frauduleux contribuent à faciliter l'accès inaperçu des programmes malveillants au système. C'est
pour cette raison que ESET File Security se concentre sur la sécurité des navigateurs Web. Chaque application qui
accède au réseau peut être indiquée comme étant un navigateur Internet. Les applications qui utilisent déjà des
protocoles de communication ou une application du chemin sélectionné peuvent être ajoutées à la liste Web et
clients de messagerie.
6.4.2 SSL/TLS
ESET File Security est capable de vérifier les menaces dans les communications qui utilisent le protocole SSL (Secure
Sockets Layer)/TLS (Transport Layer Security).
Vous pouvez utiliser différents modes d'analyse pour les communications protégées par SSL à l'aide des certificats
fiables, des certificats inconnus ou des certificats exclus de la vérification des communications protégées par SSL.
Activer le filtrage du protocole SSL/TLS
Si le filtrage au niveau du protocole est désactivé, le programme n'analyse pas les communications SSL/TLS. Le
mode de filtrage du protocole SSL (Secure Sockets Layer) / TLS (Transport Layer Security) est disponible dans les
options suivantes :
· Mode automatique - Sélectionnez cette option pour analyser toutes les communications protégées par SSL/
TLS à l'exception des communications protégées par des certificats exclus de la vérification. Si une nouvelle
communication utilisant un certificat signé, mais inconnu est établie, vous n'en serez pas avisé et la
communication sera automatiquement filtrée. Lorsque vous accédez à un serveur en utilisant un certificat
non fiable indiqué comme étant fiable (ajouté à la liste des certificats fiables), la communication avec le
serveur est permise et le contenu du canal de communication est filtré.
147
· Mode interactif - Si vous entrez un nouveau site protégé par SSL/TLS (avec un certificat inconnu), une boîte de
dialogue dans laquelle vous pouvez sélectionner une action s'affiche. Ce mode permet de créer une liste de
certificats SSL/TLS qui seront exclus de l'analyse.
· Mode de stratégie : Toutes les connexions SSL/TLS sont filtrées, à l'exception des exclusions configurées.
Liste des applications SSL/TLS filtrées
Ajoutez une application filtrée et définissez l'une des actions d'analyse. La liste des applications filtrées SSL/TLS
peut être utilisée pour personnaliser le comportement de ESET File Security pour des applications spécifiques
et pour mémoriser les actions choisies si le mode interactif est sélectionné dans le mode de filtrage de
protocole SSL/TLS.
Liste des certificats connus
Vous permet de personnaliser le comportement de ESET File Security pour des certificats SSL spécifiques. La
liste peut être consultée et gérée en cliquant sur Modifier en regard de Liste des certificats connus.
Exclure les communications avec les domaines fiables
Pour exclure la communication à l'aide de certificats de validation étendus de la vérification de protocole
(banque sur Internet).
Bloquer les communications chiffrées à l'aide du protocole obsolète SSL v2
Les communications utilisant la version antérieure du protocole SSL sont automatiquement bloquées.
Certificat racine
Pour que les communications SSL/TLS fonctionnent correctement dans vos navigateurs/clients de messagerie, il
est essentiel d'ajouter le certificat racine pour ESET à la liste des certificats racines connus (éditeurs). L'option
Ajouter le certificat racine aux navigateurs connus devrait être activée. Activez cette option pour ajouter
automatiquement le certificat racine ESET aux navigateurs connus (par ex., Opera et Firefox). Pour les
navigateurs utilisant la boutique de certification de système, le certificat sera automatiquement ajouté (par ex.,
Internet Explorer).
Pour appliquer le certificat à des navigateurs non pris en charge, cliquez sur Afficher le certificat > Détails > Copier
dans un fichier..., puis importez-le manuellement dans le navigateur.
Validité du certificat
S'il est impossible de vérifier le certificat à l'aide du magasin de certificat TRCA
Dans certains cas, le certificat d'un site Web ne peut être vérifié à l'aide du magasin de certificats Autorités de
certification racines de confiance (TRCA). Cela veut dire que le certificat a été signé automatiquement par une
personne (l'administrateur d'un serveur Web ou d'une petite entreprise par exemple), et considérer ce
certificat comme étant un certificat fiable ne présente pas toujours un risque. Bon nombre de grandes
entreprises (les banques, par ex.) utilisent un certificat signé par le TRCA. Si l'option Interroger sur la validité du
certificat (valeur par défaut) est sélectionnée, l'utilisateur sera invité à sélectionner une action à prendre
lorsqu'une communication chiffrée est établie. Vous pouvez sélectionner Bloquer toute communication
utilisant le certificat afin de toujours mettre fin aux connexions chiffrées vers des sites utilisant des certificats
non vérifiés.
Si le certificat est non valide ou endommagé
Cela signifie qu'il est expiré ou a été signé de façon incorrecte. Dans un tel cas, il est recommandé de quitter
Bloquer la communication qui utilise le certificat sélectionné.
148
6.4.2.1 Liste des certificats connus
Permet de personnaliser le comportement de ESET File Security pour des certificats SSL (Secure Sockets Layer) /
Transport Layer Security (TLS) spécifiques et de mémoriser les actions choisies si le mode interactif est sélectionné
dans le mode de filtrage de protocole SSL/TLS. Vous pouvez configurer le certificat sélectionné ou Ajouter un
certificat à partir d'une URL ou d'un fichier. Une fois que vous êtes dans la fenêtre Ajouter un certificat, cliquez sur le
bouton URL ou Fichier et indiquez l'URL du certificat ou recherchez un fichier de certificat. Les champs suivants
seront automatiquement remplis en utilisant les données du certificat :
· Nom du certificat - Le nom du certificat.
· Émetteur du certificat - Nom du créateur du certificat.
· Objet du certificat - Le champ Objet du certificat identifie l'entité associée à la clé publique stockée dans le
champ d'objet de clé publique.
Action d'accès
· Auto - Permet d'autoriser les certificats de confiance et demander des certificats non fiables.
· Autoriser ou Bloquer : Permet d'autoriser ou de bloquer toute communication sécurisée par ce certificat
indépendamment de sa fiabilité.
· Demander : permet de recevoir une invite lorsqu'un certificat spécifique est rencontré.
Action d'analyse
· Auto : Permet d'analyser en mode automatique et de demander en mode interactif.
· Analyser ou Ignorer : Permet d'analyser ou d'ignorer les communications sécurisées par ce certificat.
· Demander : Permet de recevoir une invite lorsqu'un certificat spécifique est rencontré.
6.4.2.2 Communication SSL chiffrée
Si votre système est configuré pour utiliser l'analyse du protocole SSL, une fenêtre de dialogue vous invitant à
choisir une action s'affichera dans deux situations :
Premièrement, si un site utilise un certificat invérifiable ou non valide, et que ESET File Security est configuré pour
demander l'avis de l'utilisateur dans de tels cas (par défaut oui pour les certificats invérifiables et non pour les
certificats non valides), une boîte de dialogue vous demandera d'autoriser ou de bloquer la connexion.
Deuxièmement, si le Mode de filtrage du protocole SSL est réglé sur le Mode interactif, une boîte de dialogue pour
chaque site vous demandera si vous voulez Analyser ou Ignorer le trafic. Certaines applications vérifient que leur
trafic SSL n'est ni modifié ni consulté par quiconque; dans de tels cas ESET File Security doit ignorer ce trafic pour
que l'application continue de fonctionner.
149
Dans les deux cas, l'utilisateur peut choisir de mémoriser l'action sélectionnée. Les actions sont enregistrées dans
la Liste des certificats connus.
6.4.3 Protection du client de messagerie
L'intégration de ESET File Security dans les clients de messagerie, augmente le niveau de protection active contre le
code malveillant dans les courriels. Si votre client de messagerie est pris en charge, l'intégration peut être activée
dans ESET File Security. Lorsque l'intégration est activée, la barre d'outils de ESET File Security est insérée
directement dans le client de messagerie (la barre d'outils des versions plus récentes de Windows Live Mail n'est
pas insérée), permettant une protection plus efficace des courriels.
Intégration des clients de messagerie
Les clients de messagerie actuellement pris en charge sont Microsoft Outlook, Outlook Express, Windows Mail
et Windows Live Mail. La protection de la messagerie fonctionne comme un plugiciel pour ces programmes.
L'avantage principal du plugiciel est qu'il est indépendant du protocole utilisé. Ainsi, quand un client de
messagerie reçoit un message chiffré, il le déchiffre et l'envoie à l'analyseur de virus. Même si l'intégration
n'est pas activée, la communication par courriels est toujours protégée par le module de protection du client de
messagerie (POP3, IMAP). Pour obtenir la liste complète des clients de messagerie et de leurs versions pris en
charge, reportez-vous à l'article suivant de la Base de connaissances .
Désactiver la vérification au changement de contenu de la boîte courriel
si vous constatez un ralentissement du système lors de l'utilisation du client de messagerie (MS Outlook
uniquement). Cela peut se produire au moment de récupérer un courriel du Kerio Outlook Connector Store.
Activer la protection courriel par les modules d'extension des clients
Vous permet de désactiver la protection du client de messagerie sans supprimer l'intégration dans votre client
de messagerie. Vous pouvez désactiver tous les plugiciels à la fois, ou désactiver sélectivement les éléments
suivants :
150
· Message reçu - Active ou désactive la vérification des messages reçus.
· Message envoyé - Active ou désactive la vérification des messages envoyés.
· Message lu - Active ou désactive la vérification des messages lus.
Action à effectuer sur les courriels infectés
· Aucune action - Si cette option est activée, le programme identifiera les fichiers joints infectés, les laissera
les courriels tels quels et n'effectuera aucune action.
· Supprimer les messages - Le programme avertit l'utilisateur à propos des infiltrations et supprime le
message.
· Déplacer le message vers le dossier Éléments supprimés - Les courriels infectés seront automatiquement
déplacés vers le dossier Éléments supprimés.
· Déplacer le courriel vers le dossier - Les courriels infectés seront automatiquement déplacés vers le dossier
indiqué.
· Dossier - Indiquez le dossier personnalisé dans lequel vous voulez placer les courriels infectés lorsqu'ils sont
détectés.
Répéter l'analyse après la mise à jour
Active/désactive la nouvelle analyse après la mise à jour du moteur de détection.
Accepter les résultats d'analyse des autres modules
Si cette option est activée, le module de protection des courriels accepte les résultats d'analyse des autres
modules de protection (analyse des protocoles POP3, IMAP).
6.4.3.1 Protocoles de messagerie
Activer la protection courriel par filtrage de protocole
Les protocoles IMAP et POP3 sont les protocoles les plus utilisés pour recevoir une communication par courriel
dans une application client de messagerie. ESET File Security fournit une protection pour ces protocoles
indépendamment du client de messagerie utilisé.
ESET File Security prend également en charge l'analyse des protocoles IMAPS et POP3S qui utilisent un canal chiffré
pour transférer des données entre un serveur et un client. ESET File Security vérifie les communications utilisant les
protocoles SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme analysera uniquement le trafic
sur les ports définis dans Ports utilisés par le protocole IMAP/POP3, indépendamment de la version du système
d'exploitation.
Configuration de l'analyseur IMAPS/POP3S
Les communications chiffrées ne seront pas analysées lorsque les paramètres par défaut sont utilisés. Pour
activer l'analyse de la communication chiffrée, accédez à Vérification du protocole SSL/TLS.
Le numéro de port identifie le type de port dont il s'agit. Voici les ports de courriels par défaut pour :
Nom du port
Numéros de Description
port
Protocole POP3
110
Port non chiffré POP3 par défaut.
IMAP
143
Port non chiffré IMAP par défaut.
IMAP sécurisé
(IMAP4-SSL)
585
Activer le filtrage du protocole SSL/TLS. Les numéros de ports multiples
doivent être séparés par des virgules.
IMAP4 sur SSL
(IMAPS)
993
Activer le filtrage du protocole SSL/TLS. Les numéros de ports multiples
doivent être séparés par des virgules.
151
Nom du port
Numéros de Description
port
POP3 sécurisé (SSLPOP)
995
Activer le filtrage du protocole SSL/TLS. Les numéros de ports multiples
doivent être séparés par des virgules.
6.4.3.2 Alertes et notifications
La protection de la messagerie offre le contrôle de la communication par courriel effectuée par l'entremise des
protocoles POP3 et IMAP. À l'aide du plugiciel pour Microsoft Outlook et d'autres clients de messagerie, ESET File
Security assure le contrôle de toutes les communications utilisant le client de messagerie (POP3, MAPI, IMAP,
HTTP). Lorsqu'il examine les messages entrants, le programme utilise toutes les méthodes d'analyse avancée
offertes par le moteur d'analyse ThreatSense. Cela signifie que la détection des programmes malveillants a lieu
avant même que s'effectue la comparaison avec la base de données de détection de virus. L'analyse des
communications par l'entremise des protocoles POP3 et IMAP est indépendante du client de messagerie utilisé.
Après la vérification d'un courriel, une notification avec le résultat de l'analyse peut être ajoutée au message. Vous
pouvez sélectionner Ajouter une note aux courriels reçus et lus, Ajouter une note à l'objet des courriels infectés
reçus et lus ou Ajouter une note aux messages envoyés. Sachez cependant qu'en de rares occasions, les étiquettes
de message peuvent être omises dans des messages HTML problématiques ou si le message a été falsifié par des
logiciels malveillants. Les étiquettes peuvent être ajoutées aux courriels reçus et lus, aux courriels envoyés ou les
deux. Les options disponibles sont les suivantes :
· Jamais - Aucune étiquette de message ne sera ajoutée.
· Courriels infectés uniquement - Seuls les messages contenant des logiciels malveillants seront marqués
comme vérifiés (par défaut).
· Tous les courriels analysées - Le programme ajoutera des messages à tout courriel analysé.
Ajouter une note à l'objet des messages infectés envoyé
Désactivez cette option si vous voulez que la protection de la messagerie ajoute un message d'avertissement
de virus dans l'objet des courriels infectés. Cette fonctionnalité permet un filtrage simple, selon l'objet, des
courriels infectés (si ce filtrage est pris en charge par le programme de messagerie). Elle augmente le niveau de
crédibilité du destinataire et, en cas de détection d'une infiltration, fournit des données précieuses sur le
niveau de menace d'un courriel ou d'un expéditeur donné.
Modèle ajouté à l'objet des messages infectés
Modifier ce modèle si vous voulez modifier le format du préfixe d'objet d'un courriel infecté. Cette fonction
remplacera l'objet du message Hello par une valeur de préfixe donnée [virus] dans le format suivant : [virus]
Hello . La variable %VIRUSNAME% représente la menace détectée.
6.4.3.3 Barre d’outils MS Outlook
La protection de Microsoft Outlook fonctionne comme un plugiciel. Une fois ESET File Security installé, cette barre
d'outils contenant les options du module antivirus est ajoutée à Microsoft Outlook :
ESET File Security
Cliquez sur l'icône pour ouvrir la fenêtre de programme principale de ESET File Security.
Analyser à nouveau les messages
Permet de lancer une vérification manuelle du courriel. Vous pouvez préciser les messages à analyser et activer
la nouvelle analyse des messages reçus. Pour plus d'information, voir Protection du client de messagerie.
Configuration de l'analyseur
Affiche les options de configuration de la Protection du client de messagerie.
152
6.4.3.4 Barre d'outils Outlook Express et Windows Mail
La protection pour Outlook Express et Windows Mail fonctionne comme un plugiciel. Une fois ESET File Security
installé, cette barre d'outils contenant les options du module antivirus est ajoutée à Outlook Express ou à Windows
Mail :
ESET File Security
Cliquez sur l'icône pour ouvrir la fenêtre de programme principale de ESET File Security.
Analyser à nouveau les messages
Permet de lancer une vérification manuelle du courriel. Vous pouvez préciser les messages à analyser et activer
la nouvelle analyse des messages reçus. Pour plus d'information, voir Protection du client de messagerie.
Configuration de l'analyseur
Affiche les options de configuration de la Protection du client de messagerie.
Personnaliser l'apparence
Vous pouvez modifier l'apparence de la barre d'outils pour votre client de messagerie. Désactivez cette option pour
personnaliser l'apparence indépendamment des paramètres du programme de messagerie.
· Afficher le texte - Affiche les descriptions des icônes.
· Texte à droite - Les descriptions des options sont déplacées du bas vers le côté droit des icônes.
· Grandes icônes - Affiche des icônes de plus grande taille pour les options de menu.
6.4.3.5 Boîte de dialogue de confirmation
Cette notification permet de vérifier que l'utilisateur veut vraiment exécuter l'action sélectionnée, ce qui devrait
éliminer des erreurs possibles. La boîte de dialogue offre également la possibilité de désactiver les confirmations.
6.4.3.6 Analyser à nouveau les messages
La barre d'outils de ESET File Security intégrée dans les clients de messagerie permet aux utilisateurs de préciser
plusieurs options pour la vérification du courriel. L'option Analyser à nouveau les messages offre deux modes
d'analyse :
· Tous les messages du dossier en cours - Analyse les messages dans le dossier actuellement affiché.
· Messages sélectionnés uniquement - Analyse uniquement les messages marqués par l'utilisateur.
· Réanalyser les messages déjà analysés - Offre à l'utilisateur une option permettant d'effectuer une autre
analyse sur les messages ayant déjà été analysés.
6.4.4 Protection de l'accès Web
La protection de l'accès Web utilise la surveillance des communications entre les navigateurs Internet et des
serveurs distants afin de vous protéger contre les menaces en ligne, conformément aux règles des protocoles HTTP
et HTTPS (communications chiffrées).
L'accès aux pages Web contenant des programmes malveillants est bloqué avant que le contenu ne soit téléchargé.
Toutes les autres pages Web sont analysées par le moteur ThreatSense lorsqu'elles sont chargées et bloquées en
cas de détection de contenu malveillant. La protection de l'accès Web offre deux niveaux de protection : le blocage
selon la liste noire et le blocage selon le contenu.
De base
Il est fortement recommandé de laisser la Protection de l’accès Web activée. Vous pouvez aussi accéder à cette
option à partir de la fenêtre principale de ESET File Security. Allez à Configuration > Web et messagerie > Protection
de l'accès Web.
Activer l'analyse avancée des scripts du navigateur
153
Par défaut, tous les programmes JavaScript exécutés par les navigateurs Web seront vérifiés par le moteur de
détection.
Protocoles Web
Vous permet de configurer la surveillance pour ces protocoles standard qui sont utilisés par la plupart des
navigateurs Internet. Par défaut, ESET File Security est configuré pour surveiller le protocole HTTP utilisé par la
plupart des navigateurs Internet.
ESET File Security prend en charge le contrôle de protocole HTTPS. La communication HTTPS utilise un canal chiffré
pour transférer des données entre un serveur et un client. ESET File Security vérifie les communications à l'aide des
méthodes de chiffrement SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme analyse
uniquement le trafic sur les ports définis dans Ports utilisés par le protocole HTTPS, indépendamment de la version
du système d'exploitation.
Les communications chiffrées ne sont pas analysées lorsque les paramètres par défaut sont utilisés. Pour activer
l'analyse des communications chiffrées, allez à Configuration avancée (F5) > Web et messagerie > SSL/TLS.
paramètres ThreatSense
Permet de configurer des paramètres tels que les types d'analyse (courriels, archives, exclusions, limites, etc.)
et les méthodes de détection pour la protection d'accès Web.
6.4.4.1 Gestion d'adresses URL
La gestion des adresses URL vous permet de spécifier les adresses HTTP à bloquer, à autoriser ou à exclure de la
vérification. Les sites Web de la liste des adresses bloquées ne sont pas accessibles à moins qu'ils ne soient
également inclus dans la liste des adresses autorisées. Les sites Web figurant dans la liste des adresses exclues de la
vérification ne sont pas analysés à la recherche de code malveillant lors de l'accès. L'option Filtrage au niveau du
protocole SSL/TLS doit être activée si vous voulez filtrer les adresses HTTPS en plus des pages Web HTTP. Sinon,
seuls les domaines des sites HTTPS que vous avez visités seront ajoutés, l'URL complète ne le sera pas.
Une liste des adresses bloquées peut contenir des adresses d'une liste noire publique externe quelconque et une
seconde peut contenir votre propre liste noire, ce qui rend plus facile la mise à jour de la liste externe tout en
gardant la vôtre intact.
Cliquez sur Modifier et Ajouter pour créer une nouvelle liste d'adresses en plus de celles prédéfinies. Cette option
peut être utile si vous souhaitez séparer logiquement différents groupes d'adresses. Par défaut, les trois listes
suivantes sont disponibles :
· Liste des adresses exclues de la vérification - Aucune vérification de la présence de programmes malveillants
n'est effectuée pour les adresses indiquées dans la liste.
· Liste des adresses autorisées - Si l'option Autoriser l'accès aux adresses HTTP seulement figurant dans la liste
des adresses autorisées est activée et que la liste des adresses bloquées contient * (correspond à tout),
l'utilisateur n'est autorisé à accéder qu'aux adresses indiquées dans cette liste. Les adresses de cette liste
sont autorisées même si elle sont incluses dans la liste des adresses bloquées.
· Liste des adresses bloquées - L'utilisateur n'est pas autorisé à accéder aux adresses indiquées dans cette liste.
154
Vous pouvez Ajouter une nouvelle adresse URL dans la liste. Vous pouvez également entrer plusieurs valeurs avec
un séparateur. Cliquez sur Modifier pour modifier une adresse existante dans la liste, ou Supprimer pour la
supprimer. La suppression n'est possible que pour les adresses créées avec Ajouter, et non celles qui ont été
importées.
Dans toutes les listes, vous pouvez utiliser les symboles spéciaux * (astérisque) et ? (point d'interrogation) peuvent
être utilisés. L'astérisque représente un nombre ou un caractère, tandis que le point d'interrogation représente un
caractère quelconque. Vous devez faire attention lorsque vous indiquez les adresses exclues, car la liste ne doit
contenir que des adresses sûres et fiables. De même, assurez-vous d'employer correctement les symboles * et ?
dans cette liste.
REMARQUE
Si vous voulez bloquer toutes les adresses HTTP à l'exception des adresses indiquées dans la Liste des adresses
autorisées, ajoutez * à la Liste des adresses bloquées active.
6.4.4.1.1 Créer une liste
La liste inclut les adresses URL ou les masques de domaine désirés qui seront bloqués, autorisés ou exclus de la
vérification. Lors de la création d'une nouvelle liste, vous devez spécifier les éléments suivants :
· Type de liste d'adresses - Choisissez le type (Exclus de la vérification, Bloqués ou Autorisés) dans la liste
déroulante.
· Nom de la liste - Précisez le nom de la liste. Ce champ sera grisé lors de la modification de l'une des trois
listes prédéfinies.
· Description de la liste - Entrez une brève description de la liste (facultatif). Sera grisé lors de la modification
de l'une des trois listes prédéfinies.
· Liste active - utilisez le commutateur pour désactiver la liste. Vous pouvez l'activer plus tard si nécessaire.
155
· Notifier lors de la demande : Si vous voulez être informé lorsqu'une liste en particulier est utilisée dans
l'évaluation d'un site HTTP ou HTTPS que vous avez visité, sélectionnez cette option. Une notification sera
émise si un site est bloqué ou autorisé parce qu'il est inclus dans la liste des adresses bloquées ou autorisées.
La notification contient le nom de la liste contenant le site spécifié.
· Journalisation de la gravité : Choisissez la gravité de l'entrée du journal (Aucune, Diagnostic, Informations ou
Avertissement) dans la liste déroulante. Les enregistrements avec la verbosité Avertissement peuvent être
collectés par ESET Security Management Center.
ESET File Security permet à l'utilisateur de bloquer l'accès à des sites Web particuliers et d'empêcher le navigateur
Internet d'en afficher le contenu. Qui plus est, il permet à l'utilisateur de préciser des adresses à exclure de la
vérification. Si l'utilisateur ignore le nom complet du serveur distant ou s'il souhaite préciser un groupe de serveurs
distants, il peut aussi utiliser des « masques ».
Ces masques peuvent contenir les symboles ? et * :
· utiliser ?? pour représenter un caractère quelconque
· utiliser * pour représenter une chaîne de caractères
EXEMPLE
Ainsi, *.c?m désigne toutes les adresses dont la dernière partie commence par la lettre c et se termine par la
lettre m, avec un caractère inconnu entre les deux (.com, .cam, etc.).
Une séquence de *. est traitée spécialement lorsqu'elle est utilisée au début d'un nom de domaine. D'abord, le
caractère générique * ne correspond pas au caractère barre oblique (('/')) dans ce cas. Cela permet d'éviter le
contournement du masque, par exemple le masque *.domain.com ne correspondra pas à https://anydomain.com/
anypath#.domain.com (un tel suffixe peut être ajouté à n'importe quelle URL sans incidence sur le
téléchargement). Ensuite, le *. correspond également à une chaîne vide dans ce cas spécial. Cela permet de faire
correspondre le domaine entier, y compris tous les sous-domaines en utilisant un seul masque. Par exemple le
masque *.domain.com correspond aussi à https://domain.com. L'utilisation de *domain.com serait incorrect,
puisqu'il correspondrait aussi à https://anotherdomain.com.
Entrez plusieurs valeurs
Vous pouvez ajouter plusieurs adresses URL séparées par de nouvelles lignes, des virgules ou des points
virgules. Lorsqu'un choix multiple est activé, les adresses sont affichées dans la liste.
Importer
Importe un fichier texte avec des adresses URL (valeurs séparées avec un saut de ligne, par exemple *.txt en
utilisant l'encodage UTF-8).
156
6.4.5 Protection Web antihameçonnage
Le terme hameçonnage désigne une activité frauduleuse qui utilise le piratage psychologique (manipuler les
utilisateurs pour obtenir des données confidentielles). L'hameçonnage est souvent utilisé pour accéder à des
données sensibles, telles que les numéros de comptes bancaires, les NIP, etc.
ESET File Security contient une protection antihameçonnage qui bloque les pages Web qui ont la réputation de
distribuer ce type de contenu. Nous vous recommandons fortement d'activer l'antihameçonnage dans ESET File
Security. Consultez l'article de notre base de connaissances à ce sujet pour plus de renseignements sur la
protection antihameçonnage de ESET File Security.
Lorsque vous accéderez à un site Web reconnu pour pratiquer le hameçonnage, la boîte de dialogue suivante
s'affichera dans votre navigateur Web. Si vous voulez quand même accéder au site, cliquez sur Ignorer la menace
(non recommandé).
REMARQUE
157
Les sites Web hameçons potentiels qui ont été ajoutés à la liste blanche expireront par défaut plusieurs
heures après l'ajout. Pour autoriser un site de façon permanente, utilisez l'outil Gestion des adresses URL.
Signaler un site d'hameçonnage
Si vous rencontrez un site Web suspect qui semble être un site Web hameçon ou malveillant, vous pouvez le
signaler à ESET pour analyse. Avant d'envoyer un site Web à ESET, assurez-vous qu'il répond à un ou plusieurs
des critères suivants :
· le site Web n'est pas du tout détecté
· le site Web est erronément détecté comme une menace. Dans ce cas, vous pouvez Rapporter un site
hameçon faux positif .
De manière alternative, vous pouvez soumettre le site Web par courriel. Envoyez votre message à
samples@eset.com. Veuillez donner une description claire de l'objet de votre message et fournissez le plus de
détails possibles sur le fichier (par ex., le site Web qui vous y a référé, comment vous avez appris l'existence ce site
Web, etc.).
6.5 Contrôle de périphériques
ESET File Security inclut un contrôle automatique des périphériques (CD/DVD/USB). Ce module vous permet
d'analyser, de bloquer ou de régler les filtres ou permissions étendus et de définir la capacité d'un utilisateur
d'accéder à un périphérique donné et de travailler avec celui-ci. Cela peut être utile si l'administrateur de
l'ordinateur veut empêcher l'utilisation de périphériques comportant un contenu indésirable par des utilisateurs.
REMARQUE
Lorsque vous activez le contrôle de périphériques à l'aide du commutateur Intégration au système, la fonction
de contrôle de périphérique de ESET File Security est activée. Toutefois, un redémarrage de votre système est
requis pour que cette modification prenne effet.
Le contrôle des périphériques devient actif, ce qui vous permet de modifier ses paramètres. Si un périphérique
bloqué par une règle existante est détecté, une fenêtre de notification s'affiche et l'accès au périphérique est
refusé.
Règles
Une règle de contrôle de périphérique définit l'action qui sera effectuée lorsqu'un périphérique conforme aux
critères énoncés dans la règle est branché à l'ordinateur.
Groupes
Lorsque vous cliquez sur Modifier, vous pouvez gérer les groupes de périphériques. Créez un nouveau groupe
de périphériques ou sélectionnez-en un existant pour ajouter ou supprimer des périphériques de la liste.
REMARQUE
Vous pouvez afficher les entrées du journal de contrôle de périphériques dans Fichiers journaux.
158
6.5.1 Règles de périphériques
Des périphériques particuliers peuvent être autorisés ou bloqués en fonction d’un utilisateur, d’un groupe
d'utilisateurs ou de l'un des paramètres supplémentaires pouvant être précisés dans la configuration de la règle. La
liste de règles contient plusieurs éléments descriptifs d'une règle comme son nom, le type de périphérique
externe, l'action à effectuer après la détection d'un périphérique et la gravité du journal.
Vous pouvez ajouter une nouvelle règle ou modifier les paramètres d'une règle existante. Entrez une description
de la règle dans le champ Nom pour pouvoir l'identifier plus facilement. Cliquez sur le commutateur à côté de Règle
activée pour activer ou désactiver cette règle, ce qui peut être utile si vous ne voulez pas supprimer définitivement
la règle.
Appliquer pendant
Vous pouvez limiter les règles à l'aide des créneaux temporels. Créez d'abord le créneau temporel; il apparaîtra
ensuite dans le menu déroulant.
Type de périphériques
Choisissez le type de périphériques externe dans le menu déroulant (Stockage sur disque/Dispositif portable/
Bluetooth/FireWire/etc.). Les types de périphériques sont tirés du système d'exploitation et peuvent être
affichés dans le Gestionnaire de périphériques, en assumant qu'un périphérique est branché à l'ordinateur. Les
périphériques de stockage incluent les disques externes ou les lecteurs conventionnels de cartes mémoires
branchés à un port USB ou FireWire. Les lecteurs de cartes à puce comprennent les lecteurs de cartes à puce
avec circuit intégré, comme les cartes SIM ou les cartes d'authentification. Des numériseurs ou des appareilsphotos sont des exemples de périphériques d'imagerie. Ces appareils ne fournissent aucune information sur
les utilisateurs, seulement sur leurs actions. En un mot, les périphériques d'imagerie ne peuvent qu'être
bloqués globalement.
Action
L'accès aux appareils autres que de stockage peut être autorisé ou bloqué. À l'inverse, les règles connexes aux
périphériques de stockage permettent de sélectionner l'un des réglages de droits suivants :
·
·
·
·
Lecture et écriture - L'accès complet au périphérique sera autorisé.
Bloquer - L'accès au périphérique sera bloqué.
Lecture seule - Seule l'accès en lecture à partir du périphérique sera autorisée.
Avertir - Chaque fois qu'un périphérique est connecté, l'utilisateur sera informé s'il est autorisé ou bloqué, et
une entrée de journal sera effectuée. Les périphériques ne sont pas mémorisés; une notification sera
toujours affichée pour les connexions ultérieures du même périphérique.
REMARQUE
Veuillez noter que seuls certains droits (actions) sont disponibles pour tous les types de périphériques. Si un
périphérique comporte de l'espace de stockage, les quatre actions seront alors disponibles. Pour les
périphériques autres que de stockage, seules deux actions sont disponibles (par exemple, l'action Lecture
seule n'est pas disponible pour Bluetooth, ce qui signifie que ce périphérique ne peut être qu'autorisé ou que
bloqué).
D'autres paramètres présentés ci-dessous peuvent être utilisés pour affiner les règles et les personnaliser en
fonction des périphériques. Aucun des paramètres n'est sensible à la casse :
· Fournisseur - Filtrer par nom de fournisseur ou par identifiant.
· Modèle - Nom donné au périphérique.
· Numéro de série - Les périphériques externes ont généralement leur propre numéro de série. Dans le cas des
CD/DVD, il s'agit du numéro de série du périphérique, non du lecteur de CD.
REMARQUE
159
Si ces trois descripteurs ci-dessus sont vides, la règle ne tiendra pas compte de ces champs au moment
d'établir la correspondance. Les paramètres de filtrage des champs de texte ne respectent pas la casse et les
caractères génériques (*, ?) ne sont pas pris en charge.
Pour connaître les paramètres d'un périphérique, créez une règle d'autorisation pour le type de périphérique
approprié, puis connectez le périphérique à l'ordinateur avant de vérifier les détails du périphérique dans le Journal
du contrôle des périphériques.
Choisissez la Journalisation de la gravité dans la liste déroulante :
· Toujours - Consigne tous les événements.
· Diagnostic - Consigne les données requises pour affiner le programme.
· Information - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que
toutes les entrées préalables.
· Avertissement - Enregistre les erreurs critiques et les messages d'avertissement.
· Aucun - Aucune journalisation ne sera faite.
Les règles peuvent être restreintes à certains utilisateurs ou groupes d'utilisateurs en les ajoutant dans la Liste des
utilisateurs. Cliquez sur Modifier pour gérer la liste d'utilisateurs.
· Ajouter - Ouvre la boîte de dialogue Types d'objet : La fenêtre de dialogue Utilisateurs ou Groupes qui permet
de sélectionner les utilisateurs voulus.
· Supprimer - Supprime l'utilisateur sélectionné du filtre.
REMARQUE
Tous les périphériques peuvent être filtrés par des règles utilisateurs (par exemple, les imageurs ne
fournissent aucune information sur les utilisateurs, seulement sur les actions invoquées).
Les fonctions suivantes sont disponibles :
Modifier
Vous permet de modifier le nom d'une règle ou de paramètres sélectionnés pour les périphériques qui s'y
trouvent (fournisseur, modèle, numéro de série).
Copier
Crée une nouvelle règle basée sur les paramètres de la règle sélectionnée.
Supprimer
Permet de supprimer la règle sélectionnée. Vous pouvez aussi utiliser la case à cocher à côté d'une règle
donnée pour la désactiver. Cela peut être utile si vous ne voulez pas supprimer une règle de façon permanente
afin que vous puissiez l'utiliser dans le futur.
Alimenter
Le bouton Alimenter donne un aperçu de tous les périphériques actuellement connectés avec les informations
sur : le type de périphérique, le fournisseur du périphérique, le modèle et le numéro de série (si disponible).
Lorsque vous sélectionnez un périphérique (à partir de la liste Périphériques détectés) et vous cliquez sur OK,
une fenêtre d'édition des règles apparaît avec de l'information prédéfinie (vous pouvez ajuster tous les
paramètres).
Les règles sont classées par ordre de priorité; les règles ayant une priorité plus élevée sont au sommet. Vous
pouvez sélectionner plusieurs règles et appliquer des actions, telles que la suppression ou le déplacement vers le
haut ou vers le bas dans la liste en cliquant sur Au dessus/Vers le haut/Vers le bas/En dessous (les flèches de
défilement).
160
6.5.2 Groupes de périphériques
La fenêtre Groupes de périphériques est divisée en deux. La partie droite de la fenêtre contient une liste des
périphériques appartenant au groupe respectif et la partie gauche de la fenêtre contient une liste des groupes
existants. Sélectionnez un groupe qui contient les périphériques que vous souhaitez afficher dans la fenêtre de
droite.
Vous pouvez créer différents groupes de périphériques pour lesquels des règles différentes seront appliquées.
Vous pouvez également créer un seul groupe de périphériques réglé à Lecture/écriture ou Lecture seule. Cela
garantit que les périphériques non reconnus seront bloqués par le contrôle de périphériques lorsqu'ils sont
connectés à votre ordinateur.
AVERTISSEMENT
Un périphérique externe connecté à votre ordinateur peut présenter un risque pour la sécurité.
Les fonctions suivantes sont disponibles :
Ajouter
Vous pouvez ajouter un nouveau groupe en entrant son nom ou ajouter un périphérique à un groupe existant
(vous pouvez aussi spécifier des détails comme le nom du fournisseur, le modèle et le numéro de série) selon
la zone de la fenêtre dans laquelle vous avez cliqué sur le bouton.
Modifier
Vous permet de modifier le nom d'un groupe ou de paramètres sélectionnés pour les périphériques qui s'y
trouvent (fournisseur, modèle, numéro de série).
Supprimer
Supprime le groupe ou le périphérique sélectionné en fonction de l'emplacement de la fenêtre sur laquelle
vous avez cliqué. Vous pouvez également utiliser la case à cocher en regard d'une règle donnée pour la
désactiver. Cela peut être utile si vous ne souhaitez pas supprimer définitivement une règle pour pouvoir
l'utiliser ultérieurement.
Importer
Importe une liste de numéros de série des périphériques à partir d'un fichier.
Alimenter
Le bouton Alimenter donne un aperçu de tous les périphériques actuellement connectés avec les informations
sur : le type de périphérique, le fournisseur du périphérique, le modèle et le numéro de série (si disponible).
Lorsque vous sélectionnez un périphérique (à partir de la liste Périphériques détectés) et vous cliquez sur OK,
une fenêtre d'édition des règles apparaît avec de l'information prédéfinie (vous pouvez ajuster tous les
paramètres).
Une fois que vous avez terminé avec la personnalisation, cliquez sur OK. Cliquez sur Annuler si vous voulez quitter
la fenêtre Groupes de périphériques sans enregistrer les modifications.
REMARQUE
Veuillez noter que seuls certains droits (actions) sont disponibles pour tous les types de périphériques. Si un
périphérique comporte de l'espace de stockage, les quatre actions seront alors disponibles. Pour les
périphériques autres que de stockage, seules deux actions sont disponibles (par exemple, l'action Lecture
seule n'est pas disponible pour Bluetooth, ce qui signifie que ce périphérique ne peut être qu'autorisé ou que
bloqué).
161
6.6 Configuration d'outils
Vous pouvez personnaliser les paramètres avancés pour les éléments suivants :
·
·
·
·
·
·
·
·
·
·
·
·
·
Créneaux temporels
Cibles d'analyse ERA/ESMC
Mode prioritaire
ESET CMD
ESET RMM
Licence
Fournisseur WMI
Fichiers journaux
Serveur mandataire
Notifications par courriel
Mode Présentation
Diagnostique
Grappe
6.6.1 Créneaux temporels
Les créneaux temporels sont utilisés dans les règles de contrôle des périphériques, ce qui limite les règles lors de
leur application. Créez un créneau temporel et sélectionnez-le lors de l'ajout ou de la modification de règles
existantes (paramètre Appliquer pendant). Cela vous permet de définir des créneaux temporels couramment
utilisés (temps de travail, Fin de semaine, etc.) et de les réutiliser facilement sans redéfinir les plages horaires de
chaque règle. Un créneau temporel devrait être applicable à tout type de règle pertinent qui prend en charge le
contrôle basé sur le temps.
6.6.2 Microsoft Windows® mise à jour
Les mises à jour Windows fournit des corrections importantes aux vulnérabilités potentiellement dangereuses et
augmente le niveau de sécurité général de votre ordinateur. C'est pourquoi il est essentiel que vous installiez les
mises à jour de Microsoft Windows dès qu'elles sont disponibles. ESET File Security vous informe des mises à jour
manquantes en fonction du niveau indiqué. Les niveaux suivants sont disponibles :
· Aucune mise à jour - Aucune mise à jour du système ne pourra être téléchargée.
· Mises à jour facultatives - Les mises à jour de faible priorité pourront minimalement être téléchargées.
· Mises à jour recommandées - Les mises à jour courantes pourront minimalement être téléchargées.
· Mises à jour importantes - Les mises à jour importantes pourront minimalement être téléchargées.
· Mises à jour critiques - Seules les mises à jour critiques pourront être téléchargées.
Cliquez sur OK pour enregistrer les modifications. La fenêtre Mises à jour système s'affiche après vérification de
l'état avec le serveur de mise à jour. C'est pourquoi il est possible que les données de mise à jour système ne soient
pas immédiatement disponibles après l'enregistrement des modifications.
162
6.6.3 ESET CMD
Il s'agit d'une fonctionnalité qui permet des commandes avancées ecmd. Elle vous permet d'exporter et d'importer
des paramètres en utilisant la ligne de commande (ecmd.exe). Jusqu'à présent, il était possible d'exporter et
d'importer des paramètres uniquement à l'aide de l'IUG. La configuration de ESET File Security peut être exportée à
l'aide d'un fichier .xml.
Lorsque ESET CMD est activé, deux méthodes d'autorisation sont disponibles :
· Aucune - Aucune autorisation. Nous ne recommandons pas cette méthode, car elle permet l'importation de
toute configuration non signée, ce qui comporte un risque.
· Mot de passe de configuration avancée : Un mot de passe est requis lors de l'importation de la configuration
d'un fichier .xml, le fichier doit être signé (voir signature de la configuration .xml plus bas). Le mot de passe
spécifié dans Configuration de l'accès doit être fourni avant qu'une nouvelle configuration puisse être
importée. Si la configuration de l'accès n'est pas activée, le mot de passe ne correspond pas ou le fichier de
configuration .xml n'est pas signé, la configuration ne sera pas importée.
Une fois qu'ESET CMD est activé, vous pouvez utiliser la ligne de commande pour importer ou exporter les
configurations de ESET File Security. Vous pouvez le faire manuellement ou créer un script pour l'automatiser.
IMPORTANT
Pour utiliser les commandes avancées d'ecmd, vous devez les exécuter avec des privilèges d'administrateur ou
ouvrir l'invite de commandes (cmd) de Windows en utilisant Exécuter en tant qu'administrateur. Sinon, vous
obtiendrez le message Error executing command.. En outre, lors de l'exportation de la configuration, le dossier
de destination doit exister. La commande Export fonctionne même lorsque le paramètre ESET CMD est
désactivé.
EXEMPLE
Commande d'exportation des paramètres :
ecmd /getcfg c:\config\settings.xml
Commande d'importation des paramètres :
ecmd /setcfg c:\config\settings.xml
REMARQUE
Les commandes ecmd avancées ne peuvent être exécutées que localement. L'exécution d'une tâche de client
Exécuter la commande en utilisant ESET Security Management Center ne fonctionnera pas.
Signature du fichier de configuration .xml :
1. Téléchargez l'exécutable XmlSignTool.
2. Ouvrez une invite de commande Windows (cmd) en utilisant Exécuter en tant qu'administrateur.
3. Accédez à l'emplacement de xmlsigntool.exe
4. Exécutez une commande pour signer le fichier de configuration .xml xmlsigntool
/version 1|2
<xml_file_path>
163
IMPORTANT
La valeur du paramètre /version dépend de la version de votre ESET File Security. Utilisez /version
ESET File Security 7 et versions ultérieures.
2
pour
5. Entrez deux fois le mot de passe de la configuration avancée lorsque XmlSignTool le demande. Votre fichier
de configuration .xml est maintenant signé et peut être utilisé pour l'importation sur une autre instance de
ESET File Security avec ESET CMD en utilisant la méthode d'autorisation de mot de passe de configuration
avancée.
EXEMPLE
Commande de signature de fichier de configuration exportée : xmlsigntool
/version 2 c:\config
\settings.xml
REMARQUE
Si le mot de passe de la configuration d'accès change et que vous souhaitez importer la configuration qui a été
signée précédemment avec un ancien mot de passe, vous pouvez signer le fichier de configuration .xml à
nouveau à l'aide du mot de passe actuel. Cela vous permet d'utiliser un fichier de configuration plus ancien
sans avoir besoin de l'exporter sur une autre machine exécutant ESET File Security avant l'importation.
6.6.4 ESET RMM
La surveillance et la gestion à distance (RMM) est le processus de supervision et de contrôle des systèmes logiciels
(tels que ceux sur les ordinateurs de bureau, les serveurs et les appareils mobiles) au moyen d'un agent installé
localement auquel un fournisseur de services de gestion peut accéder.
Activer RMM
Active la surveillance et la gestion à distance. Vous devez disposer des privilèges d'administrateur pour utiliser
l'utilitaire RMM.
Mode de fonctionnement
Sélectionnez le mode de fonctionnement de RMM souhaité dans le menu déroulant :
164
· Opérations sécurisées uniquement : si vous souhaitez activer l'interface RMM pour des opérations sûres et en
lecture seule
· Toutes les opérations : si vous souhaitez activer l'interface RMM pour des opérations sûres et en lecture seule
Méthode d'autorisation
Définissez la méthode d'autorisation de RMM dans le menu déroulant :
· Aucune : Aucune vérification du chemin de l'application ne sera effectuée, vous pouvez exécuter ermm.exe
depuis n'importe quelle application
· Chemin d'application : Spécifiez l'application autorisée à s'exécuter ermm.exe
L'installation d'ESET Endpoint Security par défaut contient le fichier ermm.exe situé dans ESET File Security (chemin
par défaut c:\Program Files\ESET\ESET File Security). ermm.exe échange des données avec le plugiciel de RMM, qui
communique avec l'agent de RMM, lié à un serveur RMM.
· ermm.exe : Utilitaire de ligne de commande développé par ESET qui permet la gestion des produits de point
d'extrémité et la communication avec n'importe quel plugiciel de RMM.
· Plugiciel de RMM : Application tierce s'exécutant localement sur un système de point d'extrémité Windows.
Le plugiciel a été conçu pour communiquer avec un agent de RMM en particulier (par exemple Kaseya
uniquement) et avec ermm.exe.
· Agent de RMM : Application tierce (par exemple de Kaseya) s'exécutant localement sur un système de point
d'extrémité Windows. L'agent communique avec le plugiciel de RMM et avec le serveur RMM.
· Serveur RMM : S'exécute en tant que service sur un serveur tiers. Les systèmes RMM pris en charge sont
fournis par Kaseya, Labtech, Autotask, Max Focus et Solarwinds N-able.
Consultez l'article de notre base de connaissances à ce sujet
ESET File Security.
pour plus de renseignements sur ESET RMM dans
Plugiciel ESET Direct Endpoint Management pour les solutions RMM tierces
RMM Server s'exécute en tant que service sur un serveur tiers. Pour plus d'informations, consultez les guides de
l'utilisateur en ligne d'ESET Direct Endpoint Management suivants :
· Plugiciel ESET Direct Endpoint Management pour ConnectWise Automate
· Plugiciel ESET Direct Endpoint Management pour DattoRMM
· Plugiciel ESET Direct Endpoint Management pour Solarwinds N-Central
· Plugiciel ESET Direct Endpoint Management pour NinjaRMM
6.6.5 Licence
ESET File Security se connecte au serveur de licences ESET plusieurs fois par heure pour effectuer des vérifications.
Le paramètre Vérification d'intervalle est réglé sur Automatique par défaut. Si vous souhaitez réduire le trafic
réseau causé par les vérifications de licence, définissez la vérification d'intervalle sur Limitée et la vérification de
licence ne sera effectuée qu'une fois par jour (également après le redémarrage du serveur).
Lorsque la vérification d'intervalle est définie sur Limitée, toutes les modifications liées à la licence apportées à
votre ESET File Security au moyen de ESET Business Account et d'ESET MSP Administrator peuvent prendre jusqu'à
un jour pour être appliquées.
165
6.6.6 Fournisseur WMI
Windows Management Instrumentation (WMI est l'implémentation par Microsoft de Web Based Enterprise
Management (WBEM), qui est une initiative de l'industrie pour développer un standard technologique pour accéder
à l'information de gestion dans un environnement d'entreprise.
Pour en savoir plus sur la WMI, voir http://msdn.microsoft.com/en-us/library/windows/desktop/
aa384642(v=vs.85).aspx
Activer le fournisseur WMI
L'objectif du Fournisseur ESET WMI est de permettre la surveillance à distance des produits ESET dans un
environnement d'entreprise sans nécessiter quelconque outil ou logiciel ESET spécifique. En exposant les
renseignements de base sur le produit, le statut et les statistiques par WMI, nous augmentons énormément les
possibilités pour les administrateurs de l'entreprise lors de la surveillance les produits ESET. Les administrateurs
peuvent tirer avantage des nombreuses méthodes d'accès offertes par WMI (ligne de commande, scripts et outils
de surveillance d'entreprise tiers) pour surveiller l'état de leurs produits ESET.
L'implémentation courante procure un accès en lecture seule à l'information de vase sur le produit, les
fonctionnalités installées et leur état de protection, les statistiques individuelles relatives aux analyseurs et les
fichiers journaux du produit.
Le fournisseur WMI permet d'utiliser l'infrastructure et les outils WMI standard de Windows pour lire l'état et les
journaux du produit.
6.6.6.1 Données fournies
Toutes les classes WMI liées au produit ESET sont situées dans l'espace de noms « root\ESET ». Les classes suivantes,
qui sont décrites de manière plus détaillée ci-bas, sont maintenant implantées :
Général
· ESET_Product
· ESET_Features
· ESET_Statistics
Journaux
·
·
·
·
·
·
·
·
·
·
·
·
·
ESET_ThreatLog
ESET_EventLog
ESET_ODFileScanLogs
ESET_ODFileScanLogRecords
ESET_ODServerScanLogs
ESET_ODServerScanLogRecords
ESET_HIPSLog
ESET_URLLog
ESET_DevCtrlLog
ESET_GreylistLog
ESET_MailServeg
ESET_HyperVScanLogs
ESET_HyperVScanLogRecords
Classe ESET_Product
Il ne peut y avoir qu'une seule instance de la classe ESET_Product. Les propriétés de cette classe réfèrent aux
renseignements de base à propos de votre produit ESET installé :
· ID - Identifiant du type de produit, par exemple « emsl »
· Name - Nom du produit, par exemple « ESET Mail Security »
· FullName - Nom complet du produit, par exemple « ESET Mail Security for IBM Domino »
166
· Version - Version du produit, par exemple « 6.5.14003.0 »
· VirusDBVersion - Version de la base de données de virus, par exemple « 14533 (20161201) »
· VirusDBLastUpdate - Estampille temporelle de la dernière mise à jour de la base de données de virus. La
chaîne contient l'estampille temporelle en format WMI date/heure, par exemple « 20161201095245.000000
+060 »
· LicenseExpiration - Délai d'expiration de la licence. La chaîne contient l'estampille temporaire au format WMI
dateheure
· KernelRunning - Valeur booléenne indiquant si le service s'exécute sur la machine, par exemple « TRUE »
· StatusCode - Chiffre indiquant l'état de protection du produit : 0 - Vert (OK), 1 - Jaune (Avertissement), 2 Rouge (Erreur)
· Texte d'état - Message qui décrit la raison d'un code d'état non nul, sinon il n'est pas nul
Classe ESET_Features
La classe ESET_Features possède de multiples instances, selon le nombre de fonctionnalités du produit. Voici le
contenu de chaque instance :
· Nom - Nom de la fonctionnalité (une liste de noms est offerte plus bas)
· État - État de la fonctionnalité : 0 - Inactive, 1 - Désactivée, 2 - Activée
Une liste des chaînes représentant les fonctionnalités couramment reconnues :
·
·
·
·
·
·
·
·
·
·
·
CLIENT_FILE_AV - Protection antivirus en temps réel du système de fichier
CLIENT_WEB_AV - Protection antivirus Web du client
CLIENT_DOC_AV - Protection antivirus des documents du client
CLIENT_NET_FW - Coupe-feu personnel du client
CLIENT_EMAIL_AV - Protection antivirus des courriels du client
CLIENT_EMAIL_AS - Protection antipourrielle du courriel du client
SERVER_FILE_AV - Protection antivirus en temps réel des fichiers sur le fichier protégé du produit du serveur,
par exemple les fichiers dans la base de données SharePoint dans le cas de ESET File Security
SERVER_EMAIL_AV - Protection antivirus des courriels du produit du serveur protégé, par exemple les
courriels dans MS Exchange ou IBM Domino
SERVER_EMAIL_AS - Protection antipourriel des courriels du produit du serveur protégé, par exemple les
courriels dans MS Exchange ou IBM Domino
SERVER_GATEWAY_AV - Protection antivirus des protocoles réseau protégés sur la passerelle
SERVER_GATEWAY_AS - Protection antipourrielle des protocoles réseau protégés sur la passerelle
Classe ESET_Statistics
La classe ESET-Statistics possède de multiples instances, selon le nombre d'analyseurs dans le produit. Voici le
contenu de chaque instance :
Analyseur - Chaîne de code pour l'analyseur spécifique, par exemple « CLIENT_FILE »
Total - Nombre total de fichiers analysés
Infectés - Nombre de fichiers infectés trouvés
Nettoyés - Nombre de fichiers nettoyés
Estampille temporelle - Estampille temporelle de la dernière modification apportée à cette statistique. En
format WMI date/heure, par exemple « 20130118115511.000000+060 »
· Délai de réinitialisation - Estampille temporelle de la dernière réinitialisation du compteur de statistiques. En
format WMI date/heure, par exemple « 20130118115511.000000+060 »
·
·
·
·
·
Liste des chaînes représentant les analyseurs couramment reconnus :
167
·
·
·
·
·
·
CLIENT_FILE
CLIENT_EMAIL
CLIENT_WEB
SERVER_FILE
SERVER_EMAIL
SERVER_WEB
Classe ESET_ThreatLog
La classe ESET_ThreatLog possède de multiples instances, chacune représentant une entrée du journal « Menaces
détectées ». Voici le contenu de chaque instance :
· Identifiant - Identifiant unique pour cette entrée du journal d'analyse
· Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans le [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Déboguer, Info-pied de page, Info, Info-Important,
Avertissement, Erreur, Avertissement de sécurité, Erreur critique, Avertissement de sécurité critique
· Analyseur - Nom de l'analyseur qui a créé cet événement dans le journal
· Type de l'objet - Type de l'objet qui a généré cet événement dans le journal
· Nom de l'objet - Nom de l'objet qui a généré cet événement dans le journal
· Menace - Nom de la menace qui a été trouée dans l'objet décrit par les propriétés ObjectName et ObjectType
· Action - Action exécutée après l'identification de la menace
· Utilisateur - Compte utilisateur qui a causé la génération de cet événement dans le journal
· Information - Description supplémentaire de l'événement
· Hachage - Hachage de l'objet qui a généré cet événement dans le journal
ESET_EventLog
La classe ESET_EventLog possède de multiples instances, chacune représentant une entrée du journal
« Événements ». Voici le contenu de chaque instance :
· Identifiant - Identifiant unique pour cette entrée du journal d'analyse
· Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans l'intervalle [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error,
SecurityWarning, Error-Critical, SecurityWarning-Critical
· Analyseur - Nom de l'analyseur qui a créé cet événement dans le journal
· Événement - Description de l'événement
· Utilisateur - Compte utilisateur qui a causé la génération de cet événement dans le journal
ESET_ODFileScanLogs
La classe ESET_ODFileScanLogs possède de multiples instances, chacune représentant une entrée d'analyse de
fichiers à la demande. C'est l'équivalent de la liste des journaux IUG « Analyse de l'ordinateur à la demande ». Voici
le contenu de chaque instance :
·
·
·
·
·
·
·
Identifiant - Identifiant unique pour cette entrée du journal d'analyse
Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure)
Cibles - Dossiers/objets cibles de l'analyse
Total analysés - Nombre total d'objets analysés
Infectés - Nombre de fichiers infectés trouvés
Nettoyés - Nombre d'objets nettoyés
État - État du processus d'analyse
ESET_ODFileScanLogRecords
La classe ESET_ODFileScanLogRecords possède de multiples instances, chacune représentant une entrée de journal
dans l'un des journaux d'analyse représentés par les instances de la classe ESET_ODFileScanLogs. Les instances de
168
cette classe fournissent des entrées de journal de toutes les analyses et de tous les journaux à la demande. Lorsque
l'instance d'un seul journal d'analyse particulier est exigée, elle doit être filtrée par propriété LogID. Voici le
contenu de chaque instance de classe :
· Identifiant du journal - Identifiant du journal d'analyse auquel cette entrée appartient (identifiant d'une des
instances de la classe ESET_ODFileScanLogs)
· Identifiant - Identifiant unique pour cette entrée du journal d'analyse
· Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
· Journal - Le message du journal courant
ESET_ODServerScanLogs
La classe ESET_ODServerScanLogs possède de multiples instances, chacune représentant l'exécution d'une analyse
de serveur à la demande. Voici le contenu de chaque instance :
·
·
·
·
·
·
·
·
Identifiant - Identifiant unique pour cette entrée du journal d'analyse
Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure)
Cibles - Dossiers/objets cibles de l'analyse
Total analysés - Nombre total d'objets analysés
Infectés - Nombre de fichiers infectés trouvés
Nettoyés - Nombre d'objets nettoyés
Occurrence de la règle - Nombre total d'occurrences de la règle
État - État du processus d'analyse
ESET_ODServerScanLogRecords
La classe ESET_ODServerScanLogRecords possède de multiples instances, chacune représentant une entrée de
journal dans l'un des journaux d'analyse représentés par instance de la classe ESET_ODServerScanLogs. Les instances
de cette classe fournissent des entrées de journal de toutes les analyses et de tous les journaux à la demande.
Lorsque l'instance d'un seul journal d'analyse particulier est exigée, elle doit être filtrée par propriété LogID. Voici
le contenu de chaque instance de classe :
· Identifiant du journal - Identifiant du journal d'analyse auquel cette entrée appartient (identifiant d'une des
instances de la classe ESET_ ODServerScanLogs)
· Identifiant - Identifiant unique pour cette entrée du journal d'analyse
· Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/
heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans l'intervalle [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error,
SecurityWarning, Error-Critical, SecurityWarning-Critical
· Journal - Le message du journal courant
ESET_SmtpProtectionLog
La classe ESET_SmtpProtectionLog possède de multiples instances, chacune représentant une entrée du journal
« Smtp protection ». Voici le contenu de chaque instance :
· Identifiant - Identifiant unique pour cette entrée du journal d'analyse
· Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/
heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
· Domaine HELO - Nom du domaine HELO
· Adresse IP - Adresse IP source
· Expéditeur - Expéditeur du courriel
169
·
·
·
·
·
Destinataire - Destinataire du courriel
Type de protection - Type de protection utilisé
Action - Action exécutée
Raison - Raison de l'action
Temps d'acceptation - Nombre de minutes après lequel le courriel sera accepté
ESET_HIPSLog
La classe ESET_HIPSLog possède de multiples instances, chacune représentant une entrée du journal « HIPS ». Voici
le contenu de chaque instance :
· Identifiant - Identifiant unique pour cette entrée de journal
· Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/
heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans l'intervalle [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error,
SecurityWarning, Error-Critical, SecurityWarning-Critical
· Application - Applications sources
· Cible - Type de l'opération
· Action - Mesure prise par HIPS, par exemple, autoriser, refuser, etc.
· Règle - Nom de la règle responsable de l'action
· AdditionalInfo
ESET_URLLog
La classe ESET_URLLog possède de multiples instances, chacune représentant une entrée du journal « Sites Web
filtrés ». Voici le contenu de chaque instance :
· Identifiant - Identifiant unique pour cette entrée de journal
· Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/
heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
· URL - L'URL
· État - Ce qui est arrivé à l'URL, par ex. « Bloqué par le contrôle Web »
· Application - Application qui a tenté d'accéder à l'URL
· Utilisateur - Compte d'utilisateur sous lequel l'application s'exécutait
ESET_DevCtrlLog
La classe ESET_DevCtrlLog possède de multiples instances, chacune représentant une entrée du journal « Contrôle
de périphériques ». Voici le contenu de chaque instance :
· Identifiant - Identifiant unique pour cette entrée de journal
· Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/
heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
· Appareil - Nom de l'appareil
· Utilisateur - Nom du compte utilisateur
· SID Utilisateur - SID du compte utilisateur
· Groupe - Nom du groupe de l'utilisateur
· SID Groupe - SID du groupe de l'utilisateur
· État - Ce qui est arrivé à l'appareil, par ex. « Écriture bloquée »
· Détails de l'appareils - Informations supplémentaires concernant l'appareil
· Détails de l'événement - Informations supplémentaires concernant l'événement
170
ESET_MailServerLog
La classe ESET_MailServerLog possède de multiples instances, chacune représentant une entrée du journal
« Serveur de messagerie ». Voici le contenu de chaque instance :
· Identifiant - Identifiant unique pour cette entrée de journal
· Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/
heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
· Adresse IP - Adresse IP source
· Domaine HELO - Nom du domaine HELO
· Expéditeur - Expéditeur du courriel
· Destinataire - Destinataire du courriel
· Objet - Objet du courriel
· Type de protection - Type de protection ayant exécuté l'action décrite par l'enregistrement de journal en
cours, à savoir antivirus, antispam ou règles.
· Action - Action exécutée
· Raison - La raison pour laquelle l'action a été effectuée sur l'objet par le Type de protection donné.
ESET_HyperVScanLogs
La classe ESET_HyperVScanLogs possède de multiples instances, chacune représentant une exécution de l'analyse
Hyper-V. C'est l'équivalent de la liste des journaux IUG « Analyse de Hyper-V ». Voici le contenu de chaque
instance :
· Identifiant - Identifiant unique pour cette entrée de journal
· Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/
heure)
· Cibles - Machines/disques/volumes cibles de l'analyse
· Total analysés - Nombre total d'objets analysés
· Infectés - Nombre de fichiers infectés trouvés
· Nettoyés - Nombre d'objets nettoyés
· État - État du processus d'analyse
ESET_HyperVScanLogRecords
La classe ESET_HyperVScanLogRecords possède de multiples instances, chacune représentant une entrée de journal
dans l'un des journaux d'analyse représentés par les instances de la classe ESET_HyperVScanLogs. Les instances de
cette classe fournissent des entrées de journal de toutes les analyses Hyper-V et de tous les journaux. Lorsque
l'instance d'un seul journal d'analyse particulier est exigée, elle doit être filtrée par propriété LogID. Voici le
contenu de chaque instance de classe :
· Identifiant du journal - Identifiant du journal d'analyse auquel cette entrée appartient (identifiant d'une des
instances de la classe ESET_HyperVScanLogs)
· Identifiant - Identifiant unique pour cette entrée de journal
· Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/
heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
· Journal - Le message du journal courant
ESET_NetworkProtectionLog
La classe ESET_NetworkProtectionLog possède de multiples instances, chacune représentant une entrée du journal
« Protection du réseau ». Voici le contenu de chaque instance :
171
· Identifiant - Identifiant unique pour cette entrée de journal
· Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/
heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
· Événement - Événement déclenchant la protection du réseau
· Action - Action exécutée par la protection du réseau
· Source - Adresse source du périphérique réseau
· Source - Adresse cible du périphérique réseau
· Protocole - Protocole de communication réseau
· Règle ou nom du ver - Règle ou nom du ver lié à l'événement
· Application - Application qui démarre la communication réseau
· Utilisateur - Compte utilisateur qui a causé la génération de cet événement dans le journal
ESET_SentFilesLog
La classe ESET_SentFilesLog possède de multiples instances, chacune représentant une entrée du journal « Fichiers
envoyés ». Voici le contenu de chaque instance :
· Identifiant - Identifiant unique pour cette entrée de journal
· Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en format WMI date/
heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
· Sha1 - Hachage SHA-1 du fichier envoyé
· Fichier - Fichier envoyé
· Format - Format du fichier envoyé
· Catégorie - Catégorie du fichier envoyé
· Raison - Raison de l'envoi du fichier
· Envoyé à - Service d'ESET auquel le fichier a été envoyé
· Utilisateur - Compte utilisateur qui a causé la génération de cet événement dans le journal
ESET_OneDriveScanLogs
La classe ESET_OneDriveScanLogs possède de multiples instances, chacune représentant une exécution de l'analyse
de OneDrive. C'est l'équivalent de la liste des journaux IUG « Analyse de OneDrive ». Voici le contenu de chaque
instance :
·
·
·
·
·
·
·
Identifiant - Identifiant unique pour ce journal OneDrive
Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure)
Cibles - Dossiers/objets cibles de l'analyse
Total analysés - Nombre total d'objets analysés
Infectés - Nombre de fichiers infectés trouvés
Nettoyés - Nombre d'objets nettoyés
État - État du processus d'analyse
ESET_OneDriveScanLogRecords
La classe ESET_OneDriveScanLogRecords possède de multiples instances, chacune représentant une entrée de
journal dans l'un des journaux d'analyse représentés par les instances de la classe ESET_OneDriveScanLogs. Les
instances de cette classe fournissent des entrées de journal de toutes les analyses et de tous les journaux de
OneDrive. Lorsque l'instance d'un seul journal d'analyse particulier est exigée, elle doit être filtrée par propriété
LogID. Voici le contenu de chaque instance :
172
· Identifiant du journal - Identifiant du journal d'analyse auquel cette entrée appartient (identifiant d'une des
instances de la classe ESET_OneDriveScanLogs)
· Identifiant - Identifiant unique pour ce journal OneDrive
· Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI date/heure)
· Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs correspondent aux
niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important, Warning, Error, SecurityWarning,
Error-Critical, SecurityWarning-Critical
· Journal - Le message du journal courant
6.6.6.2 Accès aux données fournies
Voici quelques exemples pour montrer comment accéder aux données WMI ESET à partir de la ligne de commande
Windows et PowerShell, qui devraient fonctionner à partir de n'importe quel système d'exploitation Windows
courant. Cependant, il existe bien d'autres façons d'accéder aux données à partir d'autres langages et outils de
script.
Ligne de commande sans script
L'outil de ligne de commande wmic peut être utilisé pour accéder à diverses classes WMI prédéfinies ou
personnalisées.
Pour afficher tous les renseignements à propos d'un produit qui se trouve sur la machine locale :
wmic /namespace:\\root\ESET Path ESET_Product
Pour afficher le numéro de version du produit seulement pour un produit qui se trouve sur la machine locale :
wmic /namespace:\\root\ESET Path ESET_Product Get Version
Pour afficher tous les renseignements à propos d'un produit qui se trouve sur une machine à distance avec l'adresse
IP 10.1.118.180 :
wmic /namespace:\\root\ESET /node:10.1.118.180 /user:Administrator Path ESET_Product
PowerShell
Pour obtenir et afficher les tous les renseignements à propos d'un produit sur une machine locale :
Get-WmiObject ESET_Product -namespace 'root\ESET'
Pour obtenir et afficher tous les renseignements à propos d'un produit qui se trouve sur une machine à distance
avec l'adresse IP 10.1.118.180 :
$cred = Get-Credential # promts the user for credentials and stores it in the variable
Get-WmiObject ESET_Product -namespace 'root\ESET' -computername '10.1.118.180' -cred $cred
6.6.7 Cibles d'analyse ERA/ESMC
Cette fonctionnalité permet à ESET Security Management Center d'utiliser la cible à analyser (analyse de la base de
données de boîte de courriels à la demande et analyse Hyper-V) lors de l'exécution de la tâche client Analyse du
serveur sur un serveur avec ESET File Security. Le paramètre Cibles d'analyse d'ERA/ESMC n'est disponible que si
vous avez installé ESET Management Agent; dans le cas contraire, il est grisé.
Lorsque vous activez Générer une liste des cibles ESET File Security crée une liste des cibles d'analyse disponibles.
Cette liste est générée régulièrement, en fonction de la Période de mise à jour.
REMARQUE
Lorsque Générer la liste des cibles est activée pour la première fois, il faut à ESET Security Management Center
environ la moitié de la Durée de mise à jour pour générer la liste. Par exemple, si la Durée de mise à jour est
réglée à 60 minutes, allouez un délai de 30 minutes environ pour recevoir la liste des cibles d'analyse. Si vous
voulez que ESET Security Management Center reçoive la liste avant, réglez la durée de mise à jour à une valeur
plus petite. Vous pourrez toujours augmenter cette valeur ultérieurement.
Lorsque ESET Security Management Center exécute une tâche client Analyse du serveur, il rassemble la liste et vous
demande de choisir les cibles d'analyse pour l'analyse Hyper-V pour ce serveur en particulier.
173
6.6.8 Mode prioritaire
Si une politique ESET Security Management Center s'applique à ESET File Security, une icône de verrouillage
sera affichée plutôt que le commutateur Activer/désactiver sur la page Configuration et une icône de verrouillage
sera affichée à côté du commutateur dans la fenêtre Configuration avancée.
Les paramètres qui sont configurés par l'intermédiaire de la politique ESET Security Management Center ne peuvent
normalement pas être modifiés. Le mode prioritaire vous permet de déverrouiller temporairement ces paramètres.
Vous devez toutefois activer le mode prioritaire à l'aide de la politique ESET Security Management Center.
Connectez-vous à la console Web ESMC , accédez à Politiques, sélectionnez et modifiez la politique existante qui
s'applique à ESET File Security ou créez-en une nouvelle. Dans Paramètres, cliquez sur Mode prioritaire, activez-le
et configurez le reste de ses paramètres, incluant le type d'authentification (Utilisateur d'Active Directory ou Mot
de passe).
174
Une fois la politique modifiée, ou qu'une nouvelle politique est appliquée à ESET File Security, le bouton
Contourner la politique sera affiché dans la fenêtre Configuration avancée.
175
Cliquez sur le bouton Contourner la politique, réglez la durée et cliquez sur Appliquer.
176
Si vous sélectionnez Mot de passe comme type d'authentification, saisissez le mot de passe de contournement de
la politique.
Une fois que le mode prioritaire aura expiré, toutes modifications que vous aurez apportées à la configuration
retourneront aux paramètres de la politique ESET Security Management Center d'origine. Une notification sera
affichée avant que le mode prioritaire n'expire.
Vous pouvez Terminer le contournement à tout moment avant que ce mode ne prenne fin sur la page Surveillance
ou dans la fenêtre Configuration avancée.
6.6.9 Fichiers journaux
Cette section vous permet de modifier la configuration de la journalisation de ESET File Security.
Filtre de journalisation
Génère une quantité importante de données car toutes les options de journalisation sont activées par défaut. Nous
vous recommandons de désactiver sélectivement la journalisation des composants qui ne sont pas intéressants ou
liés au problème.
REMARQUE
Pour démarrer la journalisation comme telle, vous devez activer la journalisation diagnostique générale au
niveau du produit à partir de menu principal dans Configuration > Outils. Une fois que la journalisation est
activée, ESET File Security collecte les journaux détaillés selon les fonctionnalités qui sont activées dans cette
section.
Utilisez les commutateurs pour activer ou désactiver une fonction particulière. Ces options peuvent également être
combinées en fonction de la disponibilité des composants individuels dans ESET File Security.
177
· Journalisation diagnostique de grappe - La journalisation de la grappe sera incluse dans la journalisation
diagnostique générale.
Fichiers journaux
Permet de définir comment gérer les journaux. Ceci est particulièrement important pour empêcher l'utilisation
complète du disque. Les paramètres par défaut permettent la suppression automatique des anciens journaux afin
d'économiser de l'espace sur le disque.
Supprimer automatiquement les dossiers de plus de (jours)
Les entrées journal plus anciennes que le nombre de jours indiqué seront supprimées.
Supprimer automatiquement les anciennes entrées si la taille du journal est trop grande
Lorsque la taille du journal dépasse la Taille maximale du journal [Mo], les anciennes entrées de journal sont
supprimées jusqu'à ce que la Taille réduite du journal [Mo] soit atteinte.
Sauvegarder les entrées supprimées automatiquement
Les entrées et les fichiers journaux supprimés automatiquement seront sauvegardés dans le répertoire spécifié
et pourront facultativement être compressés en fichiers ZIP.
Sauvegarder les journaux de diagnostic
Sauvegarde automatiquement les journaux de diagnostic supprimés. Si cette option est désactivée, les entrées
de journaux de diagnostic ne sont pas sauvegardées.
Dossier de sauvegarde
Dossier dans lequel les sauvegardes de journaux seront stockées. Vous pouvez activer la sauvegarde des
journaux compressés à l'aide de ZIP.
Optimiser automatiquement les fichiers journaux
Lorsque cette option est activée, les fichiers journaux sont automatiquement défragmentés si le pourcentage
de fragmentation est supérieur à la valeur indiquée dans le champ Si le nombre d'entrées inutilisées dépasse
(%). Cliquez sur Optimiser pour lancer la défragmentation des fichiers journaux. Toutes les entrées de journal
vides sont supprimées pour améliorer la performance et la vitesse de traitement du journal. Cette amélioration
peut être notable, tout particulièrement lorsque les journaux contiennent un grand nombre d'entrées.
Activer le protocole de texte
Pour permettre le stockage des journaux dans un autre format de fichier différent des Fichiers journaux :
· Répertoire cible : Le répertoire où les fichiers journaux seront stockés (s'applique uniquement aux fichiers
texte/CSV). Chaque section du journal possède son propre fichier avec un nom prédéfini (par exemple,
virlog.txt pour la section Menaces détectées des fichiers journaux, si vous utilisez le format de fichier texte
brut pour stocker les journaux).
· Type : Si vous sélectionnez le format de fichier Texte, les journaux seront stockés dans un fichier texte et les
données seront séparées par des tabulations. La même chose s'applique au format de fichier CSV contenant
des données séparées par des virgules. Si vous sélectionnez Événement, les journaux seront stockés dans le
journal d'événement Windows (qui peuvent être consultés à l'aide de la fonction Observateur d'événements
dans Panneau de contrôle) contrairement aux fichiers.
· Supprimer tous les fichiers journaux efface tous les journaux stockés et sélectionnés dans le menu déroulant
Type.
REMARQUE
178
Pour accélérer la résolution de problèmes, Service d'assistance technique d'ESET pourrait vous demander de
fournir les journaux de votre ordinateur. ESET Log Collector facilite la collecte des informations nécessaires.
Pour plus de détails sur ESET Log Collector, consultez cet article de la Base de connaissances .
Exporter le journal
Exporter vers les journaux d'applications et de services Windows
Vous permet de dupliquer des enregistrements du journal de protection du serveur de messagerie vers les
journaux Applications et services. Pour afficher le journal de protection du serveur de messagerie, ouvrez
l'Observateur d'événements de Windows et accédez à Journaux des applications et des services > ESET >
Sécurité > > Protection de la messagerie. Les journaux d'applications et de services sont pris en charge sur
Microsoft Windows Server 2008 R2 SP1 ou plus récent.
6.6.10 Serveur mandataire
Dans les grands réseaux locaux, la connexion de votre ordinateur à Internet peut s'effectuer par l'intermédiaire d'un
serveur mandataire. Si tel est le cas, les paramètres suivants doivent être modifiés. Si vous ne définissez pas les
paramètres, le programme ne pourra pas effectuer de mise à jour automatique. Dans ESET File Security, le serveur
mandataire peut être configuré dans deux sections différentes de la fenêtre Configuration avancée (F5) :
1. Configurations avancées (F5) > Mettre à jour > Profiles > Mise à jour > Option de connexion > Mandataire
HTTP
Ce paramètre s'applique à un profil de mise à jour donné et est recommandé pour les ordinateurs portables
qui reçoivent souvent des mises à jour de modules à partir de différents endroits.
2. Configurations avancées (F5) > Outils > Serveur mandataire
Spécifier le serveur mandataire à ce niveau définit les paramètres du serveur mandataire global pour tout
ESET File Security. Les paramètres définis ici seront utilisés par tous les modules qui se connectent à
Internet.
Pour préciser les paramètres de serveur mandataire à ce niveau, activez le commutateur Utiliser un serveur
mandataire, puis entrez l'adresse du serveur mandataire dans le champ Serveur mandataire, ainsi que le numéro de
Port du serveur mandataire.
Le serveur mandataire exige une authentification
Si la communication réseau par le serveur mandataire nécessite une authentification, activez cette option et
indiquez le Nom d'utilisateur et le Mot de passe.
Détecter le serveur mandataire
Cliquez sur Détecter pour détecter et remplir automatiquement les paramètres du serveur mandataire. Les
paramètres définis dans Internet Explorer seront copiés.
REMARQUE
Cette fonctionnalité ne récupère cependant pas les données d'authentification (nom d'utilisateur et mot de
passe); vous devez les fournir.
Utiliser une connexion directe si le mandataire n'est pas disponible
Si un produit est configuré pour utiliser le mandataire HTTP et que ce dernier n'est pas joignable, le produit
contournera le mandataire et communiquera directement avec les serveurs d'ESET.
179
6.6.11 Notification
Les notifications sur le bureau et les infobulles sont des messages informatifs qui n'exigent aucune interaction avec
l'utilisateur. Elles s'affichent dans la zone de notification, dans le coin inférieur droit de l'écran. D'autres options
détaillées, comme la durée d'affichage des notifications et la transparence de la fenêtre, peuvent être modifiées cidessous. Activez le commutateur Ne pas afficher les notifications lors de l'exécution d'applications en mode plein
écran pour supprimer toutes les notifications non interactives.
Afficher les notifications de la mise à jour réussie
Lorsqu'une mise à jour est réussie, une notification contextuelle s'affiche.
Envoyer des notifications d'événement par courriel
Activez cette option pour activer l'envoi des notifications par courriel.
Notifications d'application
Cliquez sur Modifier pour activer ou désactiver les notifications d'application d'affichage.
6.6.11.1 Notifications d'application
Vous pouvez configurer les notifications ESET File Security pour qu'elles soient affichées sur le bureau et/ou
envoyées par courriel.
REMARQUE
Pour les notifications par courriel, assurez-vous d'activer Envoyer les notifications d'événements par courriel
dans la section Général, puis Configurer le serveur SMTP et d'autres détails si nécessaire.
180
6.6.11.2 Notifications sur le bureau
Vous pouvez configurer la façon dont les alertes de menace et les notifications système (telles que les messages de
mise à jour réussis) sont gérées par ESET File Security. Par exemple, les durées d'affichage et la transparence des
notifications de la barre d'état système (cela s'applique uniquement aux systèmes qui prennent en charge les
notifications de la barre d'état système).
Le menu déroulant Verbosité minimale des événements à afficher permet de sélectionner le niveau de gravité des
alertes et des notifications. Les options suivantes sont disponibles :
· Diagnostic - Consigne l'information requise pour mettre au point le programme et toutes les entrées
préalables.
· Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que
toutes les entrées préalables.
· Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
· Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et les erreurs critiques seront
enregistrées.
· Critique - Seules les erreurs critiques (échec de démarrage de la protection antivirus, etc.) seront consignées.
Le champ Sur les systèmes multiutilisateur, afficher les notifications sur l'écran de cet utilisateur permet de préciser
quel utilisateur recevra les notifications système et les autres notifications pour les systèmes autorisant la
connexion simultanée de plusieurs utilisateurs. Il s'agit généralement de l'administrateur système ou de
l'administrateur réseau. Cette option est particulièrement utile pour les serveurs de terminaux, à condition que
toutes les notifications système soient envoyées à l'administrateur.
6.6.11.3 Notifications par courriel
ESET File Security prend en charge l'envoi automatique de courriels de notification, si un événement ayant le niveau
de verbosité sélectionné se produit.
REMARQUE
ESET File Security prend en charge les serveurs SMTP avec chiffrement TLS.
Serveur SMTP
Le nom du serveur SMTP utilisé pour envoyer des alertes et des notifications. C'est typiquement le nom de votre
serveur Microsoft Exchange.
Nom d'utilisateur et Mot de passe
Si le serveur SMTP exige une authentification, ces champs doivent être remplis avec un nom d'utilisateur et un
mot de passe valides pour accéder au serveur SMTP.
Adresse de l'expéditeur
Entrez l'adresse de l'expéditeur qui apparaitra dans l'en-tête des courriels de notification. C'est ce que le
destinataire verra dans le champ Expéditeur.
Adresse du destinataire
Indiquez l'adresse courriel du destinataire Destinataire à qui les notifications seront envoyées.
Activer le TLS
Activer les messages d'alerte et de notification pris en charge par le chiffrement TLS.
Paramètres de courriel
Niveau de détails minimal des notifications
Indique le niveau de verbosité minimum des notifications à envoyer.
Intervalle après lequel les nouveaux courriels de notification seront envoyés (min)
181
Intervalle en minutes, après lequel de nouvelles notifications seront envoyées par courriel. Réglez cette valeur
à 0 si vous voulez envoyer ces notifications immédiatement.
Envoyer chaque notification dans un courriel distinct
Lorsque cette option est activée, le destinataire recevra un nouveau courriel pour chaque notification. Cela
peut entrainer la réception d'un grand nombre de courriels dans un court laps de temps.
Format des messages
Les communications entre le programme et l'utilisateur ou l'administrateur de système distant se font par la
messagerie ou le réseau local (au moyen du service de messagerie Windows). Le format par défaut des messages
d'alerte et des notifications est optimal dans la plupart des situations. Dans certaines situations, le format des
messages d'événement doit être changé.
Format des messages d'événement
Format des messages d'événements qui s'affichent sur les ordinateurs distants.
Format des messages d'avertissement de menace
Les messages d'alerte de menace et de notification ont un format par défaut prédéfini. Il est déconseillé de
modifier ce format. Toutefois, dans certaines circonstances (par exemple, si vous avez un système automatisé
de traitement des messages), vous serez peut-être amené à modifier le format des messages.
Les mots-clés (chaînes entourées de signes %) sont remplacés dans le message par les données réelles indiquées.
Les mots-clés suivants sont disponibles :
·
·
·
·
·
·
·
%TimeStamp% - Date et heure de l'événement.
%Scanner% - Module concerné.
%ComputerName% - Nom de l'ordinateur où l'alerte s'est produite.
%ProgramName% - Module ayant généré l'alerte.
%InfectedObject% - Nom du fichier ou message infecté, etc.
%VirusName% - Identification de l'infection.
%ErrorDescription% - Description d'un événement autre qu'un virus.
Les mots-clés %InfectedObject% et %VirusName% ne sont utilisés que dans les messages d'alerte de menace,
tandis que le mot-clé %ErrorDescription% n'est utilisé que dans les messages d'événement.
Jeu de caractères
Vous pouvez choisir le codage dans le menu déroulant. Le courriel sera converti en fonction du codage des
caractères sélectionné.
Utiliser le codage Quoted-printable
Le courriel source sera encodé dans le format Quoted Printable (QP) qui utilise les caractères ASCII et peut
transmettre correctement par courriel les caractères nationaux spéciaux en format 8 bits (áéíóú).
6.6.11.4 Personnalisation
Ce message sera affiché dans le pied de page de toutes les notifications sélectionnées.
Message de notification par défaut
Un message par défaut sera affiché dans le pied de page des notifications.
Menaces
Ne pas fermer les notifications à propos des logiciels malveillants automatiquement
Permet aux notifications de logiciels malveillants de rester affichées à l'écran jusqu'à ce que vous les fermiez
manuellement.
Utiliser le message par défaut
182
Vous pouvez désactiver le message par défaut et spécifier un message de notification de menace personnalisé
qui sera affiché lorsqu'une menace est bloquée.
Message de notification à propos de la menace
Entrez un message personnalisé à afficher lorsqu'une menace est bloquée.
6.6.12 Mode Présentation
Le mode Présentation est une fonctionnalité destinée aux utilisateurs qui exigent une utilisation ininterrompue de
leur logiciel, qui ne veulent pas être dérangés par des fenêtres contextuelles et qui veulent minimiser la charge sur
l'UC. Le mode Présentation peut aussi être utilisé lors de présentations qui ne peuvent être interrompues par les
activités de l'antivirus. Lorsque ce mode est activé, toutes les fenêtres contextuelles sont désactivées et les tâches
planifiées ne sont pas exécutées. La protection du système s'exécute toujours en arrière-plan, mais n'exige aucune
interaction de l'utilisateur.
Activer automatiquement le mode présentation lorsque les applications s'exécutent en mode plein écran
Le mode Présentation est activé automatiquement chaque fois que vous exécutez une application en plein
écran. Lorsque le mode Présentation est activé, il n'est pas possible d'afficher les notifications ni le changement
d'état de votre ESET File Security.
Désactiver automatiquement le mode présentation après
Pour définir le temps en minutes après lequel le mode Présentation sera automatiquement désactivée.
6.6.13 Diagnostique
Les diagnostics fournissent des vidages sur incident des processus d'ESET (par exemple, ekrn). Si une application se
bloque, un fichier de vidage sera généré. Cela peut aider les développeurs à déboguer et résoudre divers ESET File
Security problèmes.
Cliquez sur le menu déroulant à côté de Type de vidage et sélectionnez l'une des trois options disponibles :
· Désactiver - Permet de désactiver cette fonctionnalité.
· Mini - (Option par défaut) Enregistre le plus petit ensemble d'information utile pouvant aider à identifier la
raison pour laquelle l'application s'est arrêtée inopinément. Ce type de fichier de vidage peut être utile
lorsque l'espace est limité. Cependant, en raison de l'information limitée incluse dans ce fichier, des erreurs
n'ayant pas été causées directement par la menace en cours d'exécution au moment du problème pourraient
ne pas être découvertes lors d'une analyse de ce fichier.
· Complet - Enregistre tout le contenu de la mémoire système, au moment où l'application s'est arrêtée
inopinément. Un vidage complet de mémoire peut contenir des données liées aux processus en cours
d'exécution au moment de la création du vidage de mémoire.
Répertoire
Dossier où sera généré le fichier de vidage, lors d'une panne.
Ouvrir le dossier de diagnostique
Cliquez sur Ouvrir pour ouvrir ce répertoire dans une nouvelle fenêtre de l'Explorateur Windows.
Créer un vidage de diagnostique
Cliquez sur Créer pour créer des fichiers de vidage de diagnostic dans le répertoire cible.
Journalisation avancée
Activer la journalisation avancée du contrôle des appareils
Enregistrer tous les événements qui se produisent dans le contrôle des périphériques afin de permettre le
diagnostic et la résolution de problèmes.
Activer la journalisation avancée de Kernel
183
Enregistrer tous les événements qui se produisent dans le module ESET kernel service ( ekrn) afin de permettre
le diagnostic et la résolution de problèmes.
Activer la journalisation avancée de l'octroi des licences
Enregistrez toutes les communications du produit avec le serveur de licences.
Activer la journalisation avancée de la protection réseau
Enregistrer toutes les données réseau traversant la solution de protection du réseau au format PCAP. Cela
permet d'aider les développeurs à diagnostiquer et à résoudre les problèmes liés à la protection du réseau.
Activer la journalisation avancée du système d'exploitation
Des informations supplémentaires sur le système d'exploitation, telles que les processus en cours, l'activité du
processeur et les opérations sur les disques, seront collectées.
Activer la journalisation avancée du filtrage au niveau du protocole
Enregistre toutes les données traversant le moteur de filtrage de protocole en format PCAP afin d'aider les
développeurs à diagnostiquer et à résoudre les problèmes liés au filtrage de protocole.
Activer la journalisation avancée du moteur de mise à jour
Enregistre tous les événements qui se produisent au cours du processus de mise à jour afin d'aider les
développeurs à diagnostiquer et à résoudre les problèmes liés au moteur de mise à jour.
6.6.13.1 Assistance technique
Soumettre les données de configuration du système
Sélectionnez Toujours envoyer pour que votre autorisation ne soit pas requise avant l'envoi de vos données de
configuration ESET File Security à l'assistance à la clientèle ou sélectionnez Demander avant l'envoi.
184
6.6.14 Grappe
Activer la grappe est activé automatiquement lorsque la Grappe est configurée. Vous pouvez la désactiver
manuellement dans la fenêtre Configuration avancée(F5) en cliquant sur l'icône du commutateur (par exemple,
lorsque vous devez modifier la configuration sans que cela n’ait des répercussions sur d'autres nœuds de la grappe
ESET). Ce commutateur ne permet que d'activer ou de désactiver la fonctionnalité de grappe ESET. Pour configurer
la grappe ou la détruire, vous devez utiliser l'Assistant de la grappe ou l'option Détruire la grappe dans la section
Outils > Grappe de la fenêtre principale du programme.
Grappe ESET non configurée et désactivée :
Grappe ESET configurée de façon appropriée, avec détails et options :
185
6.7 Interface utilisateur
La section Interface utilisateur vous permet de configurer l'interface graphique (IUG) de ESET File Security. Vous
pouvez ajuster l'apparence du programme et ses effets visuels.
Éléments de l'interface utilisateur
Utilisez le menu déroulant du mode de démarrage de l'interface graphique pour sélectionner les modes de
démarrage de l'interface utilisateur graphique (IUG) suivants :
· Complet - L'IUG s'affichera au complet.
· Terminal - Aucune notification ou alerte ne sera affichée. L'IUG ne peut être démarré que par
l'administrateur. L'interface utilisateur devrait réglée à Terminal si les éléments graphiques ralentissent les
performances de votre ordinateur ou provoquent d'autres problèmes. Il est possible aussi d'éteindre l'IUG sur
un des serveurs du Terminal. Pour en savoir plus sur ESET File Security installé sur votre serveur Terminal,
voir Désactiver l'IOG sur un Serveur Terminal.
Afficher l'écran de démarrage
Désactivez cette option si vous préférez ne pas afficher l'écran d'accueil lorsque l'interface graphique de votre
ESET File Security démarre, par exemple lors de la connexion au système.
Émettre un signal sonore
ESET File Security émet un son lorsque des événements importants se produisent pendant une analyse, par
exemple lorsqu'une menace est détectée ou lorsque l'analyse prend fin.
Intégrer dans le menu contextuel
186
Lorsque cette option est activée, les éléments de contrôle de ESET File Security sont intégrés dans le menu
contextuel. Le menu contextuel s'affiche si vous cliquez à l'aide du bouton droit de la souris sur un objet
(fichier). Le menu donne la liste de toutes les actions que vous pouvez effectuer sur cet objet.
États de l'application
Cliquez sur Modifier pour sélectionner les états qui s'affichent dans la fenêtre Surveillance. Vous pouvez
également utiliser les stratégies de ESET Security Management Center pour configurer les états de votre
application. L'état de l'application s'affiche également si votre produit n'est pas activé ou si votre licence a
expiré.
Renseignements de licence/Afficher les renseignements sur la licence
Lorsque cette option est activée, des messages et des notifications concernant votre licence s'affichent.
Fenêtres de notifications et d'alertes
En configurant l'option Alertes et notifications, vous pouvez modifier le comportement des alertes de menace
détectée et les notifications système. Elles peuvent être personnalisées selon vos besoins. Si vous choisissez
de ne pas afficher certaines notifications, elles seront affichées dans la zone Messages et états désactivés. Ici,
vous pouvez en vérifier l'état, afficher plus de détails ou les supprimer de la fenêtre.
Configuration de l'accès
Vous pouvez empêcher toute modification non autorisée à l'aide de l'outil Configuration de l'accès afin de
s'assurer que le niveau de sécurité s'avère élevé.
ESET Shell
Vous pouvez configurer les droits d'accès aux paramètres du produit, aux fonctionnalités et aux données par
l'intermédiaire d'eShell en modifiant la Politique d'exécution ESET Shell.
Icône de la barre d'état système
Rétablir tous les paramètres dans cette section
6.7.1 Fenêtres de notifications et d'alertes
Vous pouvez configurer la façon dont les alertes de menace et les notifications système (telles que les messages de
mise à jour réussis) sont gérées par ESET File Security. Par exemple, les durées d'affichage et la transparence des
notifications de la barre d'état système (cela s'applique uniquement aux systèmes qui prennent en charge les
notifications de la barre d'état système).
Afficher les alertes
La désactivation de cette fonctionnalité empêchera ESET File Security d'afficher des alertes dans la zone de
notification de Windows.
Des fenêtres de notification sont utilisées pour afficher de courts messages textuels ou des questions.
Fermer automatiquement les fenêtres
Pour fermer automatiquement les fenêtres contextuelles après un certain temps. Si les fenêtres d'alerte ne
sont pas fermées manuellement, elles le sont automatiquement, une fois que le délai fixé est écoulé.
Messages de confirmation
Lorsque vous cliquez sur Modifier, une fenêtre contextuelle s'ouvre avec une liste de messages de
confirmation que ESET File Security s'affiche avant qu'une action ne soit effectuée. Utilisez les cases à cocher
pour personnaliser vos préférences pour les messages de confirmation.
187
6.7.2 Configuration de l'accès
Pour une sécurité maximale de votre système, il est très important que ESET File Security soit correctement
configuré. Toute modification inappropriée peut entraîner des problèmes ou même une perte de données
importantes. Pour éviter les modifications inappropriées, vous pouvez protéger votre mot de passe de
configuration ESET File Security.
IMPORTANT
Si vous essayez de désinstaller ESET File Security alors que la protection par mot de passe de la configuration
d'accès est activée, vous êtes invité à entrer le mot de passe. Si ce mot de passe n'est pas fourni, vous ne
pourrez pas désinstaller ESET File Security.
Protéger les paramètres par un mot de passe
Verrouille ou déverrouille les paramètres de configuration du programme. Cliquez pour ouvrir la fenêtre de
configuration de mot de passe.
Définir le mot de passe
Pour définir ou modifier un mot de passe afin de protéger les paramètres de configuration, cliquez sur
Configurer. Pour protéger les paramètres de configuration de ESET File Security et ainsi éviter une modification
non autorisée, un nouveau mot de passe doit être défini. Lorsque vous voulez modifier un mot de passe
existant, tapez votre ancien mot de passe dans le champ Ancien mot de passe, puis entrez le nouveau mot de
passe dans les champs Nouveau mot de passe et Confirmer le mot de passe, puis cliquez sur OK. Ce mot de
passe sera requis pour toute modification à venir apportée à ESET File Security.
Demander des droits d'administrateur complets pour des comptes Administrateur limités
Sélectionnez cette option pour inviter l'utilisateur actuel (qui n'a pas les droits d'administrateur) à entrer les
informations d'identification du compte administrateur lors de la modification de certains paramètres, par
exemple la désactivation des modules de protection.
REMARQUE
Si le mot de passe de Configuration de l'accès change et que vous souhaitez importer le fichier de
configuration .xml existant (qui a été signé avant le changement de mot de passe) à l'aide de la ligne de
commande ESET CMD, assurez-vous de le signer à nouveau à l'aide du mot de passe actuel. Cela vous permet
d'utiliser un fichier de configuration plus ancien sans avoir besoin de l'exporter sur une autre machine
exécutant ESET File Security avant l'importation.
6.7.3 ESET Shell
Vous pouvez configurer les droits d'accès aux paramètres du produit, fonctionnalités et données par l'entremise
d'eShell en modifiant la Politique d'exécution ESET Shell. Script limité est le paramètre par défaut, mais vous
pouvez le modifier en sélectionnant les options Désactiver, Lecture seule ou Accès complet au besoin.
Désactivé
Il n'est pas possible d'utiliser eShell. Seule la configuration d'eShell elle même est autorisée dans le menu
contextuel de ui eshell. Vous pouvez personnaliser l'apparence d'eShell, mais vous n'avez pas accès aux
paramètres ni aux données du produit.
Lecture seule
eShell peut être utilisé comme outil de surveillance. Les modes Interactif et Traitement par lot permettent
l'affichage de tous les paramètres, mais il vous est impossible de modifier un paramètre, une fonctionnalité ou
une donnée.
Scripts limités
En mode Interactif, vous pouvez afficher et modifier tous les paramètres, toutes les fonctionnalités et toutes
les données. En mode Traitement par lot, eShell fonctionnera comme si vous étiez en mode Lecture seule.
188
Cependant, si vous utilisez des fichiers de traitement par lot signés, il vous sera possible de modifier les
paramètres et les données.
Accès complet
L'accès à tous les paramètres est illimité, tant en mode Interactif qu'en mode Traitement par lot. Vous pouvez
afficher et modifier tous les paramètres. Vous devez utiliser un compte administrateur pour exécuter eShell et
bénéficier de l'accès complet. Si la fonction UAC est activée, une élévation est aussi requise.
6.7.4 Désactiver l'interface graphique sur le serveur de terminal
Cette section décrit la façon de désactiver l'interface graphique de ESET File Security utilisée dans les sessions
utilisateur ouvertes sur les serveurs de terminaux Windows.
En temps normal, l'interface graphique de ESET File Security s'affiche chaque fois qu'un utilisateur distant ouvre une
session sur le serveur pour créer une session de terminal. Une telle situation est normalement indésirable sur les
Serveurs de terminal. Si vous voulez éteindre l'IUG des sessions de terminal, vous pouvez le faire par l'entremise
d'eShell en exécutant la commande set ui ui gui-start-mode none. Cette action fera passer l'IUG en mode
terminal. Voici les deux modes disponibles pour le démarrage de l'IUG :
set ui ui gui-start-mode full
set ui ui gui-start-mode none
Si vous voulez savoir quel est le mode en cours d'utilisation, exécutez la commande get
ui ui gui-start-mode .
REMARQUE
Si vous avez installé ESET File Security sur un serveur Citrix, il est recommandé d'utiliser les paramètres qui
sont décrits dans notre article de la Base de connaissances .
6.7.5 Désactiver les messages et les états
Messages de confirmation
Affiche une liste de messages de confirmation que vous pouvez choisir d'afficher ou de ne pas afficher.
Paramètres états de l'application
Permet d'activer ou de désactiver l'état d'affichage dans la page Surveillance du menu principal.
189
6.7.5.1 Paramètres états de l'application
Cette boîte de dialogue vous permet de sélectionner ou désélectionner les états des applications qui seront
affichés ou non. Par exemple, lorsque vous interrompez la Protection antivirus et anti-logiciel espion, ce qui aura
pour résultat de modifier l'état de protection qui sera affiché sur la page Surveillance. Un état de l'application
s'affiche également si votre produit n'est pas activé ou si vous avez une licence qui a expiré.
Les états de l'application peuvent être gérés à partir des politiques ESET Security Management Center . Les
catégories et les états sont affichés dans une liste comportant deux options Afficher et Envoyer l'état. La colonne
Envoyer pour les états de l'application ne sont visibles que dans la configuration de politique ESET Security
Management Center . ESET File Security affiche les paramètres avec l'icône de verrouillage. Vous pouvez utiliser
le mode prioritaire afin de modifier temporairement les états de l'application.
190
6.7.6 Icône de la barre d'état système
Sert d'accès rapide aux éléments fréquemment utilisés et aux fonctionnalités de ESET File Security. Il est possible
d'y accéder en cliquant avec le bouton droit sur l'icône de la barre d'état système .
Plus d'information
Ouvre la page Surveillance pour vous montrer l'état actuel de la protection et les messages.
Suspendre la protection
Affiche la boîte de dialogue de confirmation qui désactive la Protection antivirus et anti-logiciel espion contre
les attaques de système malveillants grâce au contrôle des fichiers, du Web et des communications par courriel.
À chaque fois que vous suspendez temporairement la protection antivirus et anti-logiciel espion à l'aide de
l'icône de la barre d'état système , la boîte de dialogue Suspendre la protection apparaîtra. Cela désactivera la
protection contre les logiciels malveillants pour la période choisie. Pour désactiver la protection de façon
permanente, vous devez utiliser Configuration avancée. Soyez prudent, la désactivation de la protection peut
exposer votre système à des menaces.
Configuration avancée
Utilisez cette option pour accéder à la Configuration avancée.
Fichiers journaux
Ils contiennent tous les événements importants qui ont eu lieu et donnent un aperçu des menaces détectées.
Masquer ESET File Security
Masque la fenêtre de ESET File Security de l'écran.
Réinitialiser la présentation des fenêtres
Réinitialise la fenêtre de ESET File Security à sa taille et à sa position par défaut, à l'écran.
Rechercher des mises à jour
Démarre la mise à jour du module afin de conserver votre niveau de protection contre les codes malveillants.
À propos
191
Fournit de l'information sur le système, les détails à propos de la version installée de ESET File Security, les
modules du programme installés et la date d'expiration de votre licence. Les renseignements sur votre système
d'exploitation et sur les ressources du système se trouvent au bas de la page.
6.8 Rétablir les paramètres par défaut
Vous pouvez restaurer les paramètres par défaut dans Paramètres avancés. Il y a deux options. Vous pouvez tout
rétablir par défaut ou rétablir les paramètres uniquement pour une section particulière (les paramètres des autres
sections resteront inchangés).
Rétablir tous les paramètres
Tous les paramètres dans toutes les sections de configuration avancée seront restaurés à l'état qu'ils avaient
après l'installation de ESET File Security. Vous pouvez considérer cela comme une restauration aux paramètres
par défaut d'usine.
REMARQUE
Cliquez sur Rétablir par défaut et toutes les modifications qui ont été effectuées seront perdues. Cette action
ne peut pas être annulée.
Rétablir tous les paramètres dans cette section
Rétablit les valeurs des paramètres du module dans la section sélectionnée. Toutes les modifications que vous
avez apportées dans cette section seront perdues.
Rétablir le contenu des tableaux
Lorsque vous activez cette option, vous perdez toutes les règles, les tâches ou les profils qui ont été ajoutés
manuellement ou automatiquement.
192
6.9 Aide et assistance
ESET File Security contient des outils de dépannage et de l'information d'assistance qui vous aideront à régler les
problèmes auxquels vous pourriez devoir faire face.
Aide
Rechercher la Base de connaissances ESET
La Base de connaissances ESET contient des réponses aux questions les plus fréquentes, ainsi que les solutions
recommandées pour résoudre divers problèmes. Des mises à jour régulières effectuées par les conseillers
techniques ESET font de la base de connaissances l'outil le plus puissant pour résoudre différents types de
problèmes.
Ouvrir l'aide
Permet de lancer les pages d'aide en ligne pour ESET File Security.
Trouver une solution rapide
Sélectionnez cette option pour trouver les solutions aux problèmes les plus fréquents. Nous vous
recommandons de lire cette section avant de communiquer avec le service d'assistance technique.
Assistance technique
Envoyer une demande d'assistance
Si vous ne trouvez pas de réponse à votre problème, vous pouvez également utiliser le formulaire qui se trouve
sur le site Web d'ESET pour communiquer rapidement avec notre service d'assistance technique.
Détails pour l'assistance technique
Affiche les informations détaillées (nom du produit, version du produit, etc.) pour l'assistance technique.
Outils d'assistance
Encyclopédie des menaces
Lien vers l'Encyclopédie des menaces ESET, qui contient des renseignements sur les dangers et les symptômes
des différents types d'infiltration.
ESET Log Collector
Établit un lien vers la page de téléchargement d'ESET Log Collector. Log Collector est une application qui
collecte automatiquement de l'information telle que la configuration et les journaux de votre serveur, afin de
résoudre plus rapidement les problèmes.
Historique du moteur de détection
Établit la liaison avec ESET Virus radar, qui contient des informations au sujet des versions des modules de
détection d'ESET.
ESET Specialized Cleaner
Le Logiciel ESET Specialized Cleaner est un outil de suppression d'infections courantes par des logiciels
malveillants comme Conficker, Sirefef ou Necurs, etc.
Renseignements sur le produit et la licence
Activer le produit / Modifier la licence
Cliquez pour lancer la fenêtre d'activation de votre produit. Sélectionnez l'une des méthodes offertes pour
activer ESET File Security.
À propos de ESET File Security
Affiche des renseignements sur votre copie de ESET File Security.
193
6.9.1 Soumettre une demande d'assistance
Afin d'offrir l'assistance la plus rapide et la plus précise possible, ESET a besoin des informations sur la configuration
de ESET File Security, sur la configuration du système, sur les processus en cours d'exécution (fichier journal ESET
SysInspector) et sur les données du registre. ESET utilisera ces données uniquement pour fournir une assistance
technique au client. Il est également possible de configurer ce paramètre à partir de Configuration avancée (F5) >
Outils > Diagnostic > Assistance technique.
REMARQUE
Si vous choisissez de soumettre les données du système, il est nécessaire de remplir et de soumettre le
formulaire Web, sinon votre billet ne sera pas créé et vos données système seront perdues.
Lorsque vous envoyez le formulaire Web, les données de configuration de votre système sont envoyées à ESET.
Sélectionnez Toujours soumettre ces informations si vous voulez mémoriser cette action pour ce processus.
Ne pas soumettre les données
Utilisez cette option si vous ne souhaitez pas envoyer vos données. Vous serez redirigé vers la page Web de
l'assistance technique ESET.
6.9.2 À propos de ESET File Security
Cette fenêtre fournit des détails sur la version installée de ESET File Security. La partie supérieure de la fenêtre
contient de l'information sur votre système d'exploitation et les ressources système, l'utilisateur actuellement
connecté et le nom complet de l'ordinateur.
Composants installés
Contient des informations sur les modules, pour afficher une liste des composants installés et leurs détails.
Cliquez sur Copier pour copier la liste sur votre presse-papier. Cela peut être utile lorsque vous dépannez le
logiciel ou que vous devez communiquer avec le service d'assistance technique.
6.10 Glossaire
Consultez la page Glossaire
sécurité Internet.
194
pour plus de détails à propos des termes techniques relatifs aux menaces et à la

Manuels associés