ESET Mail Security for Exchange Server 7.3 Manuel du propriétaire

Ajouter à Mes manuels
293 Des pages
ESET Mail Security for Exchange Server 7.3 Manuel du propriétaire | Fixfr
ESET Mail Security
Guide de l'utilisateur
Cliquez ici pour consulter la version de l'aide en ligne de ce document
Copyright ©2021 ESET, spol. s r.o.
ESET Mail Security a été développé par ESET, spol. s r.o.
Pour plus de détails, visitez www.eset.com.
Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un
système d'archivage ou transmise sous quelque forme ou par quelque moyen que ce soit, y compris
sous forme électronique, mécanique, photocopie, enregistrement, numérisation ou autre sans
l'autorisation écrite de l'auteur.
ESET, spol. s r.o. se réserve le droit de changer les applications décrites sans préavis.
Assistance à la clientèle : www.eset.com/support
RÉV. 2021-10-21
1 Préface .............................................................................................................................................. 1
2 Aperçu ............................................................................................................................................... 2
2.1 Caractéristiques principales ......................................................................................................... 2
2.2 Nouveautés ............................................................................................................................... 5
2.3 Flux de courriels ......................................................................................................................... 5
2.4 Caractéristiques de ESET Mail Security et rôles du serveur Exchange ............................................... 6
2.5 Rôles du serveur Exchange .......................................................................................................... 7
2.6 Connecteur POP3 et protection antipourriel ................................................................................... 8
2.7 Modules de protection ................................................................................................................ 8
2.8 Sécurité multicouche ................................................................................................................ 10
2.8.1 Protection de la base de données de messagerie ................................................................................. 10
2.8.2 Protection du transport du courriel ................................................................................................ 11
2.8.3 Analyse de la base de données de boîtes de courriels à la demande ............................................................ 12
2.8.4 Analyse de la boîte de courriels d'Office 365 ...................................................................................... 13
3 Préparation à l'installation .............................................................................................................. 14
3.1 Configuration minimale requise .................................................................................................. 16
3.2 Compatibilité SHA-2 requise ...................................................................................................... 17
3.3 Étapes d'installation de ESET Mail Security .................................................................................. 18
3.3.1 Modifier une installation existante ................................................................................................. 22
3.4 Installation si licencieuse / sans assistance ................................................................................. 24
3.4.1 Installation de la ligne de commande .............................................................................................. 25
3.5 Activation du produit ................................................................................................................ 28
3.5.1 ESET Business Account ............................................................................................................. 29
3.5.2 Activation réussie ................................................................................................................... 29
3.5.3 Échec de l'activation ................................................................................................................ 29
3.5.4 Licence .............................................................................................................................. 30
3.6 Mise à niveau vers une version plus récente ................................................................................ 30
3.6.1 Mise à niveau à l'aide de ESET Security Management Center .................................................................... 31
3.6.2 Mise à niveau à l'aide de la grappe ESET .......................................................................................... 34
3.7 Installation dans un environnement en grappe ............................................................................ 37
3.8 Serveur de terminal .................................................................................................................. 37
3.9 Environnement multiserveur / DAG ............................................................................................. 37
4 Prise en main .................................................................................................................................. 38
4.1 Tâches post-installation ............................................................................................................ 38
4.2 Géré par l'entremise de ESET Security Management Center ........................................................... 39
4.3 Surveillance ............................................................................................................................. 40
4.3.1 État .................................................................................................................................. 42
4.3.2 Mises à jour Windows disponibles .................................................................................................. 43
4.3.3 Isolation du réseau ................................................................................................................. 44
5 Utiliser ESET Mail Security .............................................................................................................. 45
5.1 Analyser .................................................................................................................................. 45
5.1.1 Fenêtre d'analyse et journal d'analyse ............................................................................................ 48
5.2 Fichiers journaux ...................................................................................................................... 51
5.2.1 Filtrage du journal .................................................................................................................. 55
5.3 Mettre à jour ............................................................................................................................ 56
5.4 Quarantaine de courriel ............................................................................................................. 58
5.5 Configuration ........................................................................................................................... 61
5.5.1 Serveur .............................................................................................................................. 62
5.5.2 Ordinateur .......................................................................................................................... 63
5.5.3 Réseau .............................................................................................................................. 65
.................................................................................................. 66
................................................................................................................. 66
5.5.5 Outils - Journalisation de diagnostic ............................................................................................... 66
5.5.6 Importation et exportation des paramètres ....................................................................................... 68
5.6 Outils ...................................................................................................................................... 68
5.6.1 Processus en cours ................................................................................................................. 69
5.6.2 Surveiller l'activité .................................................................................................................. 71
5.6.3 Statistiques de protection .......................................................................................................... 72
5.6.4 Grappe .............................................................................................................................. 74
5.6.4.1 Assistant pour la grappe: Sélection des nœuds ................................................................................. 76
5.6.4.2 Assistant pour la grappe: Paramètres de grappe ............................................................................... 78
5.6.4.3 Assistant pour la grappe: Paramètres de configuration de grappe ............................................................. 78
5.6.4.4 Assistant pour la grappe: Vérification des nœuds .............................................................................. 79
5.6.4.5 Assistant pour la grappe: Installation des nœuds ............................................................................... 80
5.6.5 ESET Shell ........................................................................................................................... 83
5.6.5.1 Usage ............................................................................................................................. 85
5.6.5.2 Commandes ...................................................................................................................... 91
5.6.5.3 Fichiers séquentiels/script ........................................................................................................ 94
5.6.6 ESET Dynamic Threat Defense ..................................................................................................... 95
5.6.7 ESET SysInspector .................................................................................................................. 97
5.6.8 ESET SysRescue Live ............................................................................................................... 97
5.6.9 Planificateur ......................................................................................................................... 98
5.6.9.1 Planificateur - Ajouter une tâche ................................................................................................. 99
5.6.9.1.1 Type de la tâche .............................................................................................................. 101
5.6.9.1.2 Calendrier de la tâche ........................................................................................................ 102
5.6.9.1.3 Déclenchée par un événement .............................................................................................. 103
5.6.9.1.4 Exécuter l'application ........................................................................................................ 103
5.6.9.1.5 Tâche ignorée ................................................................................................................ 103
5.6.9.1.6 Aperçu des tâches planifiées ................................................................................................ 104
5.6.10 Envoyer les échantillons pour analyse... ....................................................................................... 104
5.6.10.1 Fichier suspect ................................................................................................................ 105
5.6.10.2 Site suspect ................................................................................................................... 105
5.6.10.3 Fichier faux positif ............................................................................................................. 105
5.6.10.4 Site faux positif ................................................................................................................ 106
5.6.10.5 Autre ........................................................................................................................... 106
5.6.11 Quarantaine ..................................................................................................................... 106
6 Paramètres de protection du serveur ............................................................................................ 108
6.1 Configuration de la priorité de l'agent ....................................................................................... 109
6.2 Antivirus et antispyware ......................................................................................................... 109
6.3 Protection antipourriel ............................................................................................................ 111
6.3.1 Filtrage et vérification ............................................................................................................ 113
6.3.2 Les paramètres avancés de l'antipourriel ....................................................................................... 116
6.3.3 Paramètres de mise en liste grise ............................................................................................... 119
6.3.4 SPF et DKIM ....................................................................................................................... 121
6.3.5 Protection contre la rétrodiffusion ............................................................................................... 123
6.4 Protection anti-hameçonnage .................................................................................................. 124
6.5 Règles ................................................................................................................................... 125
6.5.1 Condition de la règle ............................................................................................................. 128
6.5.2 Action de la règle ................................................................................................................. 133
6.5.3 Exemples de règles ............................................................................................................... 136
6.6 Protection du transport du courriel ........................................................................................... 138
5.5.3.1 Assistant de dépannage réseau
5.5.4 Web et messagerie
................................................................................... 141
....................................................................... 141
6.7.1 Analyse en arrière-plan ........................................................................................................... 143
6.8 Analyse de la base de données de boîtes de courriels à la demande ............................................. 144
6.8.1 Analyse de la base de données de la boîte de courriels ........................................................................ 146
6.8.2 Analyse de la boîte de courriels d'Office 365 .................................................................................... 149
6.8.3 Éléments de boîte de courriel supplémentaires ................................................................................. 150
6.8.4 Serveur mandataire .............................................................................................................. 150
6.8.5 Détails du compte d'analyse de la base de données ........................................................................... 150
6.9 Types de quarantaine de courriels ............................................................................................ 152
6.9.1 Quarantaine locale ................................................................................................................ 153
6.9.1.1 Stockage de fichiers ............................................................................................................ 154
6.9.1.2 Interface Web ................................................................................................................... 154
6.9.1.2.1 Envoyer les rapports de quarantaine de courriel - tâche planifiée ......................................................... 160
6.9.1.2.2 Interface Web de la quarantaine de courriels pour l'utilisateur ............................................................ 162
6.9.2 Courriel de quarantaine et quarantaine de MS Exchange ...................................................................... 164
6.9.2.1 Paramètres du gestionnaire de quarantaine .................................................................................. 165
6.9.2.2 Serveur mandataire ............................................................................................................ 166
6.9.3 Détails du compte du gestionnaire de la quarantaine .......................................................................... 166
6.10 Test antivirus ....................................................................................................................... 166
6.11 Test antipourriel ................................................................................................................... 167
6.12 Test antihameçonnage .......................................................................................................... 167
7 Paramètres généraux .................................................................................................................... 167
7.1 Ordinateur ............................................................................................................................. 168
7.1.1 Détection par l'apprentissage machine .......................................................................................... 171
7.1.2 Exclusions ......................................................................................................................... 174
7.1.2.1 Exclusions de performance .................................................................................................... 175
7.1.2.2 Exclusions de détection ........................................................................................................ 176
7.1.2.2.1 Créer un assistant d'exclusion ............................................................................................... 178
7.1.3 Options avancées ................................................................................................................. 178
7.1.4 Exclusions automatiques ......................................................................................................... 179
7.1.5 Cache local partagé .............................................................................................................. 180
7.1.6 Une infiltration est détectée ..................................................................................................... 180
7.1.7 Protection en temps réel du système de fichiers ................................................................................ 181
7.1.7.1 Paramètres ThreatSense ....................................................................................................... 182
7.1.7.1.1 Autres ThreatSense paramètres ............................................................................................. 187
7.1.7.1.2 Extensions de fichier exclues de l'analyse .................................................................................. 188
7.1.8 Exclusions de processus .......................................................................................................... 188
7.1.9 Protection basée sur le nuage ................................................................................................... 189
7.1.9.1 Filtre d'exclusion ................................................................................................................ 191
7.1.10 Analyses de logiciels malveillants .............................................................................................. 192
7.1.10.1 Gestionnaire de profils ........................................................................................................ 194
7.1.10.2 Cibles du profil ................................................................................................................ 194
7.1.10.3 Cibles à analyser .............................................................................................................. 196
7.1.10.4 Analyse à l'état inactif ........................................................................................................ 198
7.1.10.5 Analyse au démarrage ........................................................................................................ 198
7.1.10.5.1 Vérification automatique des fichiers de démarrage ...................................................................... 198
7.1.10.6 Supports amovibles ........................................................................................................... 199
7.1.10.7 Protection des documents .................................................................................................... 200
7.1.11 Analyse Hyper-V ................................................................................................................. 200
7.1.12 HIPS .............................................................................................................................. 202
6.6.1 Paramètres avancés du transport du courriel
6.7 Protection de la base de données de messagerie
..................................................................................................... 205
..................................................................................................... 207
7.2 Configuration de la mise à jour ................................................................................................. 208
7.2.1 Annulation de la mise à jour ..................................................................................................... 214
7.2.2 Tâche planifiée: mise à jour ...................................................................................................... 214
7.2.3 Miroir de mise à jour .............................................................................................................. 214
7.3 Protection du réseau ............................................................................................................... 216
7.3.1 Exceptions IDS .................................................................................................................... 217
7.3.2 Liste noire temporaire des adresses IP .......................................................................................... 218
7.4 Web et messagerie ................................................................................................................. 218
7.4.1 Filtrage des protocoles ........................................................................................................... 219
7.4.1.1 Clients Web et de messagerie ................................................................................................. 220
7.4.2 SSL/TLS ............................................................................................................................ 220
7.4.2.1 Liste des certificats connus .................................................................................................... 222
7.4.2.2 Communication SSL chiffrée ................................................................................................... 222
7.4.3 Protection du client de messagerie .............................................................................................. 223
7.4.3.1 Protocoles de messagerie ...................................................................................................... 224
7.4.3.2 Alertes et notifications ......................................................................................................... 225
7.4.3.3 Barre d’outils MS Outlook ...................................................................................................... 226
7.4.3.4 Barre d'outils Outlook Express et Windows Mail .............................................................................. 226
7.4.3.5 Boîte de dialogue de confirmation ............................................................................................. 227
7.4.3.6 Analyser à nouveau les messages ............................................................................................. 227
7.4.4 Protection de l'accès Web ........................................................................................................ 227
7.4.4.1 Gestion d'adresses URL ........................................................................................................ 228
7.4.4.1.1 Créer une liste ................................................................................................................ 229
7.4.5 Protection Web antihameçonnage ............................................................................................... 231
7.5 Contrôle de périphériques ....................................................................................................... 232
7.5.1 Règles de périphériques .......................................................................................................... 233
7.5.2 Groupes de périphériques ........................................................................................................ 235
7.6 Configuration d'outils .............................................................................................................. 236
7.6.1 Créneaux temporels .............................................................................................................. 237
7.6.2 Microsoft Windows® mise à jour ................................................................................................. 237
7.6.3 ESET CMD ......................................................................................................................... 237
7.6.4 ESET RMM ......................................................................................................................... 239
7.6.5 Licence ............................................................................................................................ 240
7.6.6 Fournisseur WMI .................................................................................................................. 240
7.6.6.1 Données fournies ............................................................................................................... 241
7.6.6.2 Accès aux données fournies ................................................................................................... 249
7.6.7 Cibles d'analyse ERA/ESMC ...................................................................................................... 249
7.6.8 Mode prioritaire ................................................................................................................... 250
7.6.9 Fichiers journaux ................................................................................................................. 253
7.6.9.1 Mappage d'événements Syslog ................................................................................................ 256
7.6.10 Serveur mandataire ............................................................................................................. 258
7.6.11 Notifications ..................................................................................................................... 259
7.6.11.1 Notifications d'application .................................................................................................... 260
7.6.11.2 Notifications sur le bureau .................................................................................................... 260
7.6.11.3 Notifications par courriel ...................................................................................................... 261
7.6.11.4 Personnalisation ............................................................................................................... 263
7.6.12 Mode Présentation .............................................................................................................. 263
7.6.13 Diagnostique .................................................................................................................... 263
7.6.13.1 Assistance technique ......................................................................................................... 264
7.1.12.1 Paramètres de règle HIPS
7.1.12.2 Paramètres avancés HIPS
........................................................................................................................... 265
................................................................................................................ 266
7.7.1 Fenêtres de notifications et d'alertes ............................................................................................ 267
7.7.2 Configuration de l'accès .......................................................................................................... 268
7.7.3 ESET Shell ......................................................................................................................... 269
7.7.4 Désactiver l'interface graphique sur le serveur de terminal .................................................................... 269
7.7.5 Désactiver les messages et les états ............................................................................................ 270
7.7.5.1 Paramètres états de l'application .............................................................................................. 270
7.7.6 Icône de la barre d'état système ................................................................................................. 271
7.8 Rétablir les paramètres par défaut ........................................................................................... 272
7.9 Aide et assistance .................................................................................................................. 273
7.9.1 Soumettre une demande d'assistance ........................................................................................... 274
7.9.2 À propos de ESET Mail Security .................................................................................................. 275
7.10 Glossaire ............................................................................................................................. 275
8 Contrat de licence pour l\'utilisateur final ..................................................................................... 275
9 Politique de confidentialité ............................................................................................................ 284
7.6.14 Grappe
7.7 Interface utilisateur
Préface
Le but de ce guide est de vous aider à profiter pleinement de ESET Mail Security. Pour en savoir plus
sur n'importe quelle fenêtre du programme, appuyez sur F1 sur votre clavier lorsque la fenêtre en
question est ouverte. La page d'aide relative à la fenêtre actuellement affichée s'ouvrira.
Par souci de cohérence et pour éviter toute confusion, la terminologie utilisée dans ce guide est basée
sur les noms des paramètres de ESET Mail Security. Nous avons également utilisé un ensemble
uniforme de symboles pour mettre en évidence des sujets d'intérêt ou ayant une signification
particulière.
REMARQUE
Une remarque est une courte observation. Bien qu'il soit possible de les ignorer, les remarques
offrent de précieux renseignements comme des caractéristiques spécifiques ou un lien vers un
sujet apparenté.
IMPORTANT
Ce titre indique des renseignements qui réclament votre attention; il n'est pas recommandé de
les ignorer. Les remarques importantes contiennent des informations importantes, mais non
critiques.
AVERTISSEMENT
Indique des informations essentielles que vous devez traiter avec plus de précautions. Les
avertissements sont placés spécifiquement pour vous dissuader de commettre des erreurs
potentiellement dangereuses. Veuillez lire et comprendre le texte placé dans les crochets
d'avertissement, car il fait référence à des paramètres système très sensibles ou à des risques.
EXEMPLE
Il s'agit d'un cas d'utilisation ou d'un exemple pratique qui vise à vous aider à comprendre
comment une certaine fonction ou fonctionnalité peut être utilisée.
Si vous voyez l'élément suivant dans le coin supérieur droit d'une page d'aide, cela indique une
navigation dans les fenêtres d'une interface utilisateur graphique (GUI) de ESET Mail Security. Suivez
ces instructions pour accéder à la fenêtre qui est décrite sur la page d'aide correspondante.
Ouvrir ESET Mail Security
Cliquez sur Configuration > Serveur > Configuration d'analyse OneDrive > Enregistrer
Convention de formatage :
1
Convention
Signification
Texte en gras
En-têtes de section, noms de fonctions ou éléments d'interface utilisateur,
tels que des boutons.
Texte en italique
Espaces réservés pour les renseignements que vous fournissez. Par
exemple, nom de fichier ou chemin indique que vous devez taper le chemin
réel ou un nom de fichier.
Texte en Courier New Exemples de code ou de commandes.
Lien hypertexte
Fournit un accès rapide et facile aux rubriques référencées ou à un site Web
externe. Les hyperliens sont surlignés en bleu et peuvent être soulignés.
%ProgramFiles%
Le répertoire système de Windows dans lequel est stocké les programmes
de Windows et d'autres programmes installés sur le système.
L'aide en ligne de ESET Mail Security est divisée en plusieurs chapitres et sous-chapitres. Vous
trouverez les renseignements pertinents en parcourant la Table des matières des pages d'aide. Vous
pouvez également utiliser la recherche en texte intégral en saisissant des mots ou des phrases.
Aperçu
ESET Mail Security 7 pour Microsoft Exchange Server est une solution intégrée qui protège les
serveurs et les boîtes de courriels de l'utilisateur contre différents types de contenu malveillant, y
compris les pièces jointes infectées par des vers ou des chevaux de Troie, les documents contenant
des scripts nuisibles, le hameçonnage et le pourriel. ESET Mail Security offre quatre types de
protection : L'antivirus, l'antipourriel, l'antihameçonnage et les règles. ESET Mail Security filtre le
contenu malveillant dans les bases de données des boîtes de courriels ainsi que sur la couche de
transport du courriel avant qu'il n'arrive dans la boîte de courriels du destinataire.
ESET Mail Security prend en charge les versions 2007 et ultérieures de Microsoft Exchange Server,
ainsi qu'un serveur Microsoft Exchange dans un environnement avec grappes. Les rôles particuliers
d'Exchange (boîte de courriels, Hub, Edge) sont également pris en charge.
En plus d'offrir une protection pour Microsoft Exchange Server, ESET Mail Security inclut également
une fonctionnalité permettant de s'assurer la protection du serveur lui-même (protection en temps
réel du système de fichiers, protection du réseau, protection de l'accès Web et protection du client de
messagerie).
Vous pouvez gérer ESET Mail Security à distance dans des réseaux plus larges grâce à ESET Security
Management Center. En outre, ESET Mail Security vous permet de l'utiliser avec des outils de
surveillance et de gestion à distance (RMM) tiers.
Caractéristiques principales
Le tableau suivant fournit une liste des fonctionnalités disponibles dans ESET Mail Security.
Produit avec un
véritable noyau 64
bits
2
Ajout de performances et d'une stabilité supérieures aux composants
principaux du produit.
Anti-logiciel
malveillant
Un système de défense innovant et primé contre les logiciels malveillants.
Cette technologie de pointe empêche les attaques et élimine tous les types
de menaces, y compris les virus, les rançongiciels, les rootkits, les vers et les
logiciels espions grâce à une analyse basée sur le nuage permettant
d'atteindre des taux de détection encore plus élevés. Grâce à sa petite taille,
ce système de défense ne consomme que peu de ressource du système et
ne compromet pas ses performances. Il utilise un modèle de sécurité par
couches. Chaque couche, ou phase, possède un certain nombre de
technologies de base. De La phase pré-exécution comprend des technologies
telles que le l'analyseur UEFI, la protection contre les attaques réseau, la
réputation et la mise en cache, le bac à sable intégré au produit, les
détections d'ADN. Les technologies de la phase d'exécution sont : le bloqueur
d'exploit, le bouclier contre les rançongiciels, l'analyseur de mémoire avancé
et l'analyseur de script (AMSI). La phase post-exécution utilise la protection
contre les botnets, le système de protection contre les logiciels malveillants
basés sur le nuage et la mise en bac de sable. Cet ensemble de technologies
de base riche en fonctionnalités offre un niveau de protection inégalé.
Antipourriel
Antipourriel est un composant essentiel pour n'importe quel serveur de
messagerie. ESET Mail Security utilise un moteur antipourriel à la pointe de la
technologie qui bloque les pourriels et les tentatives d'hameçonnage avec
des taux de réussite très élevés. ESET Mail Security a consécutivement
remporté le test de filtrage de pourriel par Virus Bulletin, une autorité de test
de sécurité de premier plan et reçu la certification VBSpam+ pendant
plusieurs années. Le moteur antipourriel atteint un taux de blocage de
pourriel de 99,99 % sans aucun faux positif, ce qui en fait une technologie de
pointe en matière de protection contre le pourriel. La protection antipourriel
de ESET Mail Security intègre plusieurs technologies (RBL et DNSBL, pistage
par empreinte numérique unique, vérification de la réputation, analyse du
contenu, règles, ajout manuel à la liste blanche ou à la liste noire, protection
contre la rétrodiffusion et la validation des messages à l'aide de SPF et DKIM)
pour détecter le plus grand nombre possible de menaces. ESET Mail Security
Antipourriel est basé sur le nuage et la plupart des bases de données
infonuagiques sont situées dans les centres de données d'ESET. Les services
antipouriels sur le nuage permettent la mise à jour rapide des données, ce
qui accélère le temps de réaction en cas d'apparition de nouveaux pourriels.
Protection antihameçonnage
Fonctionnalité qui empêche les utilisateurs d'accéder à des pages Web
connues comme hameçons. Dans le cas des courriels contenant des liens
menant à des pages Web d'hameçonnage, ESET Mail Security utilise un
analyseur sophistiqué qui effectue des recherches dans le corps et dans
l'objet des courriels entrants afin d'identifier ces liens (URL). Les liens sont
comparés à la base de données d'hameçons.
Règles
Les règles permettent aux administrateurs de filtrer les courriels non désirés
et les pièces jointes en fonction de la stratégie de l'entreprise. Les pièces
jointes telles que les fichiers exécutables, les fichiers multimédias, les
archives protégées par mot de passe, etc. Différentes actions peuvent être
effectuées avec les courriels filtrés et leurs pièces jointes, par exemple mise
en quarantaine, la suppression, l'envoi de notifications ou la journalisation
d'événements.
3
Exporter vers le
serveur syslog
(Arcsight)
Permet de dupliquer le contenu du journal de protection du serveur de
messagerie sur le serveur syslog au format Common Event Format (CEF)
pour l'utiliser avec des solutions de gestion de journaux telles que Micro
Focus ArcSight. Les événements peuvent être transmis à ArcSight par le
biais de SmartConnector ou exportés dans des fichiers. Cela permet de
centraliser facilement la surveillance et la gestion des événements de
sécurité. Vous pouvez profiter de cette fonctionnalité surtout si vous avez
une infrastructure complexe avec un grand nombre de serveurs Microsoft
Exchange avec la solution ESET Mail Security.
Analyse de la boîte de Pour les entreprises qui utilisent un environnement Exchange hybride, il est
courriels d'Office 365 possible d'analyser les boites de courriels dans le nuage.
ESET Dynamic Threat
Defense (EDTD)
Service infonuagique d'ESET. Lorsque ESET Mail Security considère un
courriel comme suspect, il est temporairement mis dans la quarantaine de
ESET Dynamic Threat Defense. Un courriel suspect est automatiquement
envoyé au serveur de ESET Dynamic Threat Defense qui l'analyse à l'aide de
moteurs de détection de logiciels malveillants de pointe. ESET Mail Security
reçoit alors un résultat de l'analyse. Le courriel suspect est traité en fonction
du résultat.
Gestionnaire de la
quarantaine de
courriels avec
interface Web
L'administrateur peut inspecter des objets mis en quarantaine et décider de
les supprimer ou de les libérer. Cette fonction offre un outil de gestion facile
à utiliser.
L'interface web de quarantaine permet la gestion à distance du contenu. Il
est possible de choisir ses administrateurs et/ou de déléguer l'accès. En
outre, les utilisateurs peuvent afficher et gérer leurs propres pourriels après
s'être connectés à l'interface Web de la fonction de mise en quarantaine des
messages, en ayant accès uniquement à leurs courriels.
Rapports sur la mise
en quarantaine des
courriels
Les rapports de mise en quarantaine sont des courriels envoyés à des
utilisateurs sélectionnés afin de les informer au sujet des courriels mis en
quarantaine. Il leur permet également de gérer à distance le contenu mis en
quarantaine.
Analyse de la base de L'analyse à la demande de la base de données des boîtes de courriels donne
données de boîtes de aux administrateurs la possibilité d'analyser manuellement certaines boîtes
courriels à la demande de courriels ou de programmer l'analyse en dehors des heures de travail.
L'analyseur de la base de données des boîtes de courriels utilise l'API EWS
(Exchange Web Services) pour se connecter à Microsoft Exchange Server par
l'entremise du protocole HTTP/HTTPS. De plus, l'analyseur utilise une analyse
parallèle pendant le processus d'analyse afin d'améliorer la performance.
Grappe ESET
La grappe ESET permet de gérer plusieurs serveurs à partir d'un seul endroit.
Comme avec ESET File Security pour Microsoft Windows Server, il est
possible de faciliter la gestion grâce à la capacité de distribuer une
configuration parmi tous les membres de la grappe en reliant les nœuds de
serveur à la grappe. La grappe ESET peut également être utilisé pour
synchroniser les bases de données grises et le contenu de la quarantaine de
courriel local.
Exclusions de
processus
Exclut des processus précis de l'analyse à l'accès anti-logiciel malveillant.
L'analyse à l'accès anti-logiciel malveillant peut provoquer des conflits dans
certaines situations, par exemple lors d'un processus de sauvegarde ou de
migrations en direct de machines virtuelles. L'exclusion des processus
permet de minimiser le risque de tels conflits potentiels et améliorent la
performance des applications exclues, ce qui a par la suite un effet positif sur
la performance générale et la stabilité du système dans son entier.
L'exclusion d'un processus ou d'une application est l'exclusion de son fichier
exécutable (.exe).
4
eShell ESET Shell
eShell 2.0 est maintenant offert dans ESET Mail Security. eShell est une
interface de ligne de commande qui offre aux utilisateurs avancés et aux
administrateurs des options plus complètes pour gérer les produits ESET.
ESET Security
Management Center
Une meilleure intégration avec ESET Security Management Center incluant la
possibilité de planifier diverses tâches . Pour plus de renseignements,
consultez l'aide en ligne de ESET Security Management Center .
Installation basée sur
le composant
L'installation peut être personnalisée pour ne contenir que des parties
sélectionnées du produit.
Nouveautés
Nouvelles fonctionnalités et améliorations de ESET Mail Security par rapport à la génération
précédente (version 6.x) :
• Produit avec un véritable noyau 64 bits
• Analyse de la boîte de courriels d'Office 365
• Protection anti-hameçonnage des courriels
• Protection contre la rétrodiffusion
• Règles améliorées (de nouvelles conditions et actions ont été ajoutées, par exemple la
condition du corps du message)
• Amélioration de la mise en quarantaine des pièces jointes aux courriels
• Rapports de mise en quarantaine de courriels pour l'administrateur
• Synchronisation de la quarantaine du courriel local sur la grappe ESET
• Journalisation de la protection SMTP
• ESET Dynamic Threat Defense
• Prise en charge d'ESET Enterprise Inspector
• ESET RMM
• Exporter vers le serveur syslog (Arcsight)
• Isolation du réseau
• Détection par l'apprentissage machine
Flux de courriels
Le diagramme suivant illustre le flux de courriels dans Microsoft Exchange Server et ESET Mail
Security. Pour plus de détails sur l'utilisation de ESET Dynamic Threat Defense (EDTD) avec ESET Mail
Security, consultez l'aide en ligne de EDTD .
5
Caractéristiques de ESET Mail Security et rôles du serveur
Exchange
Le tableau suivant vous permet de reconnaitre les caractéristiques disponibles ainsi que leurs rôles
pour chaque version prise en charge de Microsoft Exchange Server. L'assistant d'installation de ESET
Mail Security vérifie votre environnement lors de l'installation et une fois installé, ESET Mail Security
affiche ses caractéristiques en fonction de la version détectée de votre serveur Exchange et de ses
rôles.
Rôles et version du Protection Protection antiserveur Exchange antipourriel hameçonnage
Analyse
de la base
de
Protection
données
du transport
Règles
de boîtes
de
de
messagerie
courriels à
la
demande
Protection
de la base
de données
de
messagerie
Microsoft Exchange
Server 2007
(plusieurs rôles)
✓
✓
✓
✓
✓
✓
Microsoft Exchange
Server 2007(Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2007 (Hub)
✓
✓
✓
✓
✓
✗
6
Rôles et version du Protection Protection antiserveur Exchange antipourriel hameçonnage
Analyse
de la base
de
Protection
données
du transport
Règles
de boîtes
de
de
messagerie
courriels à
la
demande
Protection
de la base
de données
de
messagerie
Microsoft Exchange
Server 2007 (Boîte de ✗
courriel)
✓
✓
✗
✓
✓
Microsoft Exchange
Server 2010
(plusieurs rôles)
✓
✓
✓
✓
✓
✓
Microsoft Exchange
Server 2010(Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2010 (Hub)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2010 (Boîte de ✗
courriel)
✓
✓
✗
✓
✓
Microsoft Exchange
Server 2013
(plusieurs rôles)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2013(Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2013 (Boîte de ✓
courriel)
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2016 (Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2016 (Boîte de ✓
courriel)
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2019(Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2019 (Boîte de ✓
courriel)
✓
✓
✓
✓
✗
Windows Small
Business Server 2011 ✓
SP1
✓
✓
✓
✓
✓
Rôles du serveur Exchange
Comparaison entre le rôle Edge et le rôle Hub
Les fonctionnalités antipourriel d'Edge Transport et de Hub Transport Servers sont désactivées par
défaut. Ceci est la configuration désirée dans une organisation Exchange avec un serveur Edge
Transport. Il est recommandé que le serveur de Transport Edge exécutant la protection antipourriel
7
de ESET Mail Security soit configuré afin de filtrer les messages avant qu'ils ne soient acheminés vers
l'organisation Exchange.
Le rôle Edge, cependant, est l'endroit de choix pour l'analyse antipourriel, parce qu'il permet à ESET
Mail Security de rejeter le pourriel tôt dans le processus sans charger inutilement les couches du
réseau. Grâce à cette configuration, les messages entrants seront filtrés par ESET Mail Security sur le
serveur Transport Edge pour qu'ainsi, ils puissent être déplacés vers le serveur Transport Hub sans
devoir être filtrés de nouveau.
Cependant, si votre organisation n'utilise pas de serveur Edge Transport et ne possède qu'un serveur
Hub Transport, nous vous recommandons d'activer les fonctionnalités antipourriel du serveur Hub
Transport qui reçoit les messages entrants d'Internet par l'entremise du protocole SMTP.
REMARQUE
En raison de certaines restrictions techniques de Microsoft Exchange Server 2007 et des versions
plus récentes, ESET Mail Security ne prend pas en charge le déploiement de Microsoft Exchange
Server avec uniquement le rôle CAS (Client Access Server autonome).
Connecteur POP3 et protection antipourriel
Les versions Microsoft Windows Small Business Server (SBS) contiennent un connecteur POP3 natif
intégré qui permet au serveur d'obtenir des messages électroniques provenant de serveurs POP3
externes. L'implémentation de ce connecteur Microsoft POP3 natif varie d'une version SBS à une
autre.
ESET Mail Security prend en charge le connecteur Microsoft SBS POP3, à condition qu'il soit configuré
correctement. Les messages téléchargés via le connecteur Microsoft POP3 sont analysés pour
détecter la présence de pourriels. La protection antipourriel pour ces messages est possible car le
connecteur POP3 retransmet les messages électroniques depuis un compte POP3 vers le serveur
Microsoft Exchange, via SMTP.
ESET Mail Security a été testé avec des services de messagerie populaires comme Gmail.com,
Outlook.com, Yahoo.com, Yandex.com et gmx.de sur les systèmes SBS suivants :
• Microsoft Windows Small Business Server 2011 SP1
IMPORTANT
Si vous utilisez un connecteur Microsoft SBS POP3 intégré et que tous vos courriels sont analysés
aux fins de détection de pourriels, appuyez sur F5 pour accéder à Configuration avancée, puis
accédez à Serveur > Protection du transport du courriel > Paramètres avancés et pour le
paramètre Analyser également les messages reçus des connexions authentifiées ou
internes, sélectionnez Protection antivirus, antihameçonnage et antipourriel dans la liste
déroulante. Cela fait en sorte que la protection antipourriel est assurée sur les courriels provenant
de comptes POP3.
Vous pouvez également utiliser un connecteur POP3 tiers comme P3SS (plutôt que le connecteur
Microsoft SBS POP3 intégré).
Modules de protection
Les modules de protection suivants font partie des principales fonctionnalités de ESET Mail Security :
8
Antivirus
La protection antivirus est l'une des fonctions de base de ESET Mail Security . La protection antivirus
protège le système des attaques malveillantes en contrôlant les échanges de fichiers et de courrier,
ainsi que les communications Internet. Si une menace impliquant un programme malveillant est
détectée, le module Antivirus peut alors l'éliminer en la bloquant, puis en nettoyant, en supprimant
ou en mettant en Quarantaine l'objet infecté.
Antipourriel
La protection antipourriel intègre plusieurs technologies (RBL, DNSBL, pistage par empreinte
numérique unique, vérification de la réputation, analyse du contenu, règles, ajout manuel à la liste
blanche et à la liste noire, etc.) pour détecter le plus grand nombre possible de menaces par courriel.
ESET Mail Security Antipourriel est basé sur le nuage et la plupart des bases de données
infonuagiques sont situées dans les centres de données d'ESET. Les services antipouriels sur le
nuage permettent la mise à jour rapide des données, ce qui accélère le temps de réaction en cas
d'apparition de nouveaux pourriels. Il permet également de supprimer des données incorrectes ou
fausses des listes noires d'ESET. La communication avec le service antipourriel infonuagique
s'effectue à l'aide d'un protocole propriétaire sur le port 53535, dans la mesure du possible. S'il n'est
pas possible de communiquer à l'aide du protocole d'ESET, les services DNS sont utilisés à la place
(port 53). Cependant, l'utilisation du DNS n'est pas aussi efficace, car elle nécessite l'envoi de
plusieurs demandes lors du processus de classification en pourriel d'un seul courriel.
REMARQUE
Nous vous recommandons d'ouvrir le port TCP/UDP 53535 pour les adresses IP répertoriées dans
cet article de la base de connaissances . Ce port est utilisé par ESET Mail Security pour envoyer
des requêtes.
Normalement, aucun courriel ni aucune de leurs parties ne sont envoyés pendant le processus de
classification en pourriel. Cependant, si ESET LiveGrid® est activé et que vous avez explicitement
autorisé la soumission d'échantillons pour analyse, seul un message marqué comme pourriel (ou très
probablement un pourriel) peut être envoyé afin de faciliter l'analyse approfondie et l'amélioration de
la base de données du nuage.
Si vous souhaitez signaler un faux positif ou un faux négatif dans la classification d'un pourriel,
consultez notre article de la base de connaissances pour plus de détails.
De plus, ESET Mail Security peut aussi utiliser la méthode de la liste grise (désactivée par défaut)
pour le filtrage de pourriels.
Antihameçonnage
ESET Mail Security comprend une protection anti-hameçonnage qui empêche les utilisateurs
d'accéder à des pages Web connues comme hameçons. Dans le cas des courriels contenant des liens
menant à des pages Web d'hameçonnage, ESET Mail Security utilise un analyseur sophistiqué qui
effectue des recherches dans le corps et dans l'objet des courriels entrants afin d'identifier ces liens
(URL). Les liens sont comparés à la base de données d'hameçons et les règles ayant la condition
Corps de message sont évaluées.
Règles
9
La disponibilité des règles pour la protection de base de données de boîtes de courriels, l'analyse de
la base de données de boîtes de courriels à la demande et la protection du transport du courriel dans
votre système dépend de la version de Microsoft Exchange Server installée sur le serveur avec ESET
Mail Security.
Les règles permettent de définir manuellement les conditions de filtrage des courriels et les actions à
entreprendre pour les courriels filtrés. Il existe différents ensembles de conditions et d'actions. Vous
pouvez créer des règles individuelles pouvant aussi être combinées. Si une règle utilise plusieurs
conditions, ces conditions seront liées à l'aide de l'opérateur logique ET. Par conséquent, la règle ne
sera exécutée que si toutes les conditions sont remplies. Si plusieurs règles sont crées, l'opérateur
logique OU sera appliqué, ce qui signifie que le programme exécutera la première règle auxquelles
satisfont les conditions.
Dans la séquence d'analyse, la première technique utilisée est l'ajout à la liste grise - si elle est
activée. Les procédures suivantes exécuteront toujours les techniques suivantes : protection basée
sur des règles définies par l'utilisateur, suivie d'une analyse antivirus et, en dernier lieu, de l'analyse
antipourriel.
Sécurité multicouche
ESET Mail Security offre une protection complexe à différents niveaux :
• Protection de la base de données de messagerie
• Protection du transport de messagerie
• Analyse de la base de données de boîtes de courriels à la demande
• Analyse de la boîte de courriels d'Office 365
REMARQUE
Pour une vue complète, consultez la matrice des fonctionnalités de ESET Mail Security et des
versions de Microsoft Exchange Server ainsi que leurs rôles.
Protection de la base de données de la boîte de courriel
Le processus d'analyse des boîtes aux lettres est déclenché et contrôlé par le serveur Microsoft
Exchange. Les messages conservés dans la base de données du magasin Microsoft Exchange Server
sont continuellement analysés. Le processus d'analyse peut être déclenché par l'une des situations
suivantes, en fonction de la version de Microsoft Exchange Server et de l'interface VSAPI utilisées et
des paramètres définis par l'utilisateur :
• Lorsque l'utilisateur accède à son courriel, par exemple, dans un client de messagerie (le
courriel est toujours analysé à l'aide du moteur de détection le plus récent).
• En arrière-plan, lorsque le taux d'utilisation de Microsoft Exchange Server est bas.
• De façon proactive (en fonction de l'algorithme interne de Microsoft Exchange Server).
REMARQUE
La protection de la base de données de la boîte de courriels n'est pas disponible avec Microsoft
Exchange Server 2013, 2016 et 2019.
L'analyse de la base de données de boîtes de courriels à la demande est disponible pour les systèmes
suivants :
10
Rôles et version
du serveur
Exchange
Protection Protection antiantipourriel hameçonnage
Protection
du transport
Règles
de
messagerie
Analyse de
la base de
données de
boîtes de
courriels à
la demande
Protection de
la base de
données de
messagerie
Microsoft Exchange
Server 2007 (Boîte ✗
de courriel)
✓
✓
✗
✓
✓
Microsoft Exchange
Server 2007
✓
(plusieurs rôles)
✓
✓
✓
✓
✓
Microsoft Exchange
Server 2010 (Boîte ✗
de courriel)
✓
✓
✗
✓
✓
Microsoft Exchange
Server 2010
✓
(plusieurs rôles)
✓
✓
✓
✓
✓
Windows Small
Business Server
2011 SP1
✓
✓
✓
✓
✓
✓
Ce type d'analyse peut être exécuté en une seule installation du serveur avec plusieurs rôles
Exchange Server sur un seul ordinateur (tant qu'elle inclut le rôle Boîte de messagerie ou le rôle
Serveur dorsal).
Protection du transport du courriel
Le filtrage STMP de niveau serveur est effectué par un plugiciel spécialisé. Dans Microsoft Exchange
Server 2007 et 2010, le module d'extension est plutôt enregistré comme un agent de transport selon
les rôles Edge ou Hub de Microsoft Exchange Server.
Le filtrage SMTP au niveau du serveur effectué par un agent de transport offre une protection
antivirus, antipourriel et en fonction des règles définies par l'utilisateur. Contrairement au filtrage
VSAPI, le filtrage au niveau du serveur SMTP est effectué avant que le courriel analysé ne soit reçu
dans la boîte de messagerie Microsoft Exchange Server.
Anciennement connue sous l'appellation Filtrage des messages au niveau du serveur SMTP. Cette
protection est fournie par l'agent de transport et est offerte seulement avec Microsoft Exchange
Server 2007 ou versions ultérieures fonctionnant dans le rôle Edge Transport Server ou Hub Transport
Server. Ce type d'analyse peut être exécuté en une seule installation du serveur avec plusieurs rôles
Exchange Server sur un seul ordinateur (tant qu'elle inclut l'un des rôles de serveur mentionnés).
La protection du transport du courriel est disponible pour les systèmes suivants :
Rôles et version
du serveur
Exchange
11
Protection Protection antiantipourriel hameçonnage
Analyse de
la base de
Protection
données
du transport de boîtes
Règles
de
de
messagerie courriels à
la
demande
Protection
de la base
de données
de
messagerie
Rôles et version
du serveur
Exchange
Protection Protection antiantipourriel hameçonnage
Analyse de
la base de
Protection
données
du transport de boîtes
Règles
de
de
messagerie courriels à
la
demande
Microsoft Exchange
Server 2007 (Hub)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2007(Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2010
(plusieurs rôles)
✓
✓
✓
✓
✓
✓
Microsoft Exchange
Server 2013
(plusieurs rôles)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2013(Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2013 (Boîte
de courriel)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2016 (Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2016 (Boîte
de courriel)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2019(Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2019 (Boîte
de courriel)
✓
✓
✓
✓
✓
✗
Microsoft Windows
Server pour petites
entreprises 2011
✓
✓
✓
✓
✓
✓
Protection
de la base
de données
de
messagerie
Analyse de la base de données de boîtes de courriels à la demande
Permet d'exécuter ou de planifier une analyse de la base de données de la boîte de courriels
Exchange. Cette fonctionnalité est seulement offerte avec Microsoft Exchange Server 2007 ou
versions ultérieures fonctionnant dans le rôle Serveur de la boîte de messagerie ou Hub Transport.
Cela s'applique aussi lors de l'installation d'un seul serveur avec plusieurs rôles Exchange Server sur
un seul ordinateur (tant qu'elle inclut l'un des rôles de serveur mentionnés).
Les types de systèmes suivants permettent l'analyse de la base de données de boîtes de courriels à la
demande :
12
Rôles et version
du serveur
Exchange
Protection Protection antiantipourriel hameçonnage
Analyse de
la base de
Protection
données
du transport de boîtes
Règles
de
de
messagerie courriels à
la
demande
Microsoft Exchange
Server 2007
(plusieurs rôles)
✓
✓
✓
✓
✓
✓
Microsoft Exchange
Server 2007 (Hub)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2007 (Boîte
de courriel)
✗
✓
✓
✗
✓
✓
Microsoft Exchange
Server 2010
(plusieurs rôles)
✓
✓
✓
✓
✓
✓
Microsoft Exchange
Server 2010 (Hub)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2010 (Boîte
de courriel)
✗
✓
✓
✗
✓
✓
Microsoft Exchange
Server 2013
(plusieurs rôles)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2013 (Boîte
de courriel)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2016 (Boîte
de courriel)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2019 (Boîte
de courriel)
✓
✓
✓
✓
✓
✗
Windows Small
Business Server
2011 SP1
✓
✓
✓
✓
✓
✓
Protection
de la base
de données
de
messagerie
Analyse de la boîte de courriels d'Office 365
ESET Mail Security fournit des fonctionnalités d'analyse pour les environnements hybrides Office 365.
Cette option est disponible et visible dans ESET Mail Security uniquement si vous disposez d'un
environnement Exchange hybride (sur site et dans le nuage). Les deux scénarios de routage sont pris
en charge par Exchange Online ou par l'organisation sur site. Pour plus de détails, consultez la
section Routage de transport dans les déploiements hybrides Exchange .
Vous pouvez analyser les boîtes de courriels distantes et les dossiers publics Office 365 comme vous
le feriez avec l'analyse de la base de données de boîtes de courriels à la demande classique.
13
L'exécution d'une analyse complète de la base de données de courriels dans de grands
environnements peut entraîner des charges indésirables sur le système. Pour éviter ce problème,
exécutez une analyse sur des bases de données ou des boîtes de courriel spécifiques. Pour réduire
davantage l'impact sur le système, utilisez le filtre de temps en haut de la fenêtre. Par exemple, au
lieu d'utiliser Analyser tous les messages, sélectionnez plutôt Analyser les messages modifiés
au cours de la dernière semaine.
Nous vous recommandons de configurer le compte Office 365 Appuyez sur la touche F5 et
sélectionnez Serveur > Analyse de la base de données de boîtes de courriels à la demande.
Consultez également Détails du compte d'analyse de la base de données.
Pour voir l'activité de l'analyse des boîtes aux lettres Office 365, accédez à Fichiers journaux >
Analyse de la base de données.
Préparation à l'installation
Nous vous recommandons d'effectuer les étapes suivantes pour préparer l'installation du produit :
• Après l'achat de ESET Mail Security, téléchargez le fichier d'installation .msi sur le site Web
d'ESET .
• Assurez-vous que le serveur sur lequel vous prévoyez d'installer ESET Mail Security répond
aux exigences du système.
• Connectez-vous au serveur à l'aide d'un compte administrateur.
14
REMARQUE
Notez que vous devez exécuter le programme d'installation à l'aide du compte Administrateur
intégré ou d'un compte Administrateur de domaine (dans le cas où le compte Administrateur local
est désactivé). Aucun autre utilisateur, même s'il est membre du groupe Administrateurs, n'aura
des droits d'accès suffisants. Par conséquent, vous devez utiliser le compte Administrateur
intégré, car vous ne pourrez pas terminer l'installation avec un compte utilisateur autre
qu'Administrateur local ou Administrateur de domaine.
• Si vous souhaitez effectuer une mise à niveau à partir d'une installation existante de ESET
Mail Security, nous vous recommandons de sauvegarder sa configuration actuelle à l'aide de la
fonction Paramètres d'exportation.
• Supprimez/désinstallez tout logiciel antivirus tiers de votre système, le cas échéant. Nous
vous recommandons d'utiliser ESET AV Remover . Pour obtenir une liste de logiciels antivirus
tiers qui peuvent être supprimés à l'aide d'ESET AV Remover, voir cet article de la Base de
connaissances .
• Si vous effectuez l'installation de ESET Mail Security sur Windows Server 2016, Microsoft
recommande de désinstaller les fonctionnalités de Windows Defender et d'annuler
l'inscription ATP Windows Defender pour éviter les problèmes liés à l'installation de plusieurs
produits antivirus sur une machine.
REMARQUE
Si les fonctionnalités de Windows Defender sont présentes sur votre Windows Server 2016
pendant l'installation de ESET Mail Security, elles sont désactivées par ESET Mail Security pour
éviter les collisions de protection en temps réel entre plusieurs produits antivirus. De plus, les
fonctionnalités de Windows Defender sont désactivées par ESET Mail Security à chaque
démarrage/redémarrage du système.
Il existe une exception à cette règle : si vous effectuez une installation de composant sans le
composant de protection en temps réel du système de fichiers, les fonctionnalités de
Windows Defender sur Windows Server 2016 ne sont pas désactivées.
• Pour une vue complète, consultez la matrice des fonctionnalités de ESET Mail Security et des
versions de Microsoft Exchange Server ainsi que leurs rôles.
• Vous pouvez vérifier le nombre de boîtes de courriels en exécutant l'outil Nombre de boîtes
de courriels; consultez notre article de la base de connaissances pour plus de détails. Une
fois que votre ESET Mail Security est installé, il affiche le nombre actuel de boîtes de courriels
au bas de la fenêtre de surveillance.
Il existe deux mode d'exécution pour le programme d'installation de ESET Mail Security :
• Interface utilisateur graphique (IUG)
C'est le type d'installation recommandé, qui démarre un assistant d'installation.
• Installation si licencieuse / sans assistance
En plus de l'assistant d'installation, vous pouvez choisir d'installer ESET Mail Security
silencieusement en utilisant la ligne de commande.
15
IMPORTANT
Nous recommandons fortement d'installer ESET Mail Security, si possible, sur un système
d'exploitation nouvellement installé et configuré. Si vous devez l'installer sur un système existant,
nous vous recommandons de désinstaller la version existante de ESET Mail Security, de
redémarrer le serveur et d'installer le nouveau ESET Mail Security par la suite.
• Mise à niveau vers une version plus récente
Si vous utilisez une ancienne version de ESET Mail Security, vous pouvez choisir la méthode de
mise à niveau appropriée.
Une fois que vous avez installé ou mis à niveau votre ESET Mail Security, vous pouvez effectuer les
activités suivantes :
• Activation du produit
La disponibilité d'un scénario d'activation particulier dans la fenêtre d'activation peut varier
selon le pays, ainsi que selon le moyen de distribution.
• Tâches post-installation
Consultez la liste des tâches recommandées que vous pouvez effectuer après une installation
réussie de ESET Mail Security.
• Configuration de la protection du serveur
Vous pouvez affiner ESET Mail Security en modifiant les paramètres avancés de chacune de ses
fonctionnalités afin de répondre à vos besoins.
Exigences système
Systèmes d'exploitation pris en charge :
• Microsoft Windows Server 2019 (Expérience Server Core et Desktop)
• Microsoft Windows Server 2016
• Microsoft Windows Server 2012 R2
• Microsoft Windows Server 2012
• Microsoft Windows Server 2008 R2 SP1 avec KB4474419 et KB4490628
• Microsoft Windows Small Business Server 2011 SP1 (x64) avec KB4474419
installé.
installé
et KB4490628
REMARQUE
Si vous utilisez Microsoft Windows Server 2008 R2 SP1, consultez les conditions de compatibilité
SHA-2 requis et assurez-vous que votre système d'exploitation dispose de tous les correctifs
nécessaires.
Versions de Microsoft Exchange Server prises en charge :
• Microsoft Exchange Server 2019 jusqu'à CU11
• Microsoft Exchange Server 2016 jusqu'à CU22
• Microsoft Exchange Server 2013 jusqu'à CU23 (CU1 et CU4 ne sont pas pris en charge)
• Microsoft Exchange Server 2010 SP1, SP2, SP3 jusqu'à RU32
• Microsoft Exchange Server 2007 SP1, SP2, SP3
16
REMARQUE
SP1 encore appelé CU4 sur Microsoft Exchange Server 2013 n'est pas pris en charge par ESET
Mail Security.
Configuration matérielle minimale requise :
Composant
Configuration requise
Processeur
Intel ou AMD un cœur x86 ou x64
Mémoire
256 Mo de mémoire libre
Disque dur
700 Mo d'espace disque libre
Résolution d'écran 800 x 600 pixels ou plus
ESET Mail Security possède la même configuration requise recommandée applicable à Microsoft
Exchange Server. Consultez les articles techniques Microsoft suivants pour plus de détails :
Microsoft Exchange Server 2007
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
REMARQUE
Nous vous recommandons fortement d'installer le dernier ensemble de modifications provisoires
pour votre système d'exploitation Microsoft Server et l'application du serveur avant d'installer le
produit de sécurité ESET. Nous recommandons également d'installer les dernières mises à jour et
les correctifs Windows chaque fois que possible.
Compatibilité SHA-2 requise
Microsoft a annoncé l'obsolescence de Secure Hash Algorithm 1 (SHA-1) et a commencé le processus
de migration vers SHA-2 au début de 2019. Par conséquent, tous les certificats signés avec
l'algorithme SHA-1 ne seront plus reconnus et donneront lieu à des alertes de sécurité.
Malheureusement, la sécurité de l'algorithme de hachage SHA-1 est devenue moins sûre au fil du
temps en raison des faiblesses constatées dans l'algorithme, de l'augmentation des performances des
processeurs et de l'avènement de l'informatique en nuage.
L'algorithme de hachage SHA-2 (qui succède à SHA-1) est désormais la méthode privilégiée pour
garantir la fiabilité de la sécurité SSL. Consultez l'article de Microsoft Docs sur les algorithmes de
hachage et de signature pour plus de détails.
REMARQUE
Ce changement signifie que sur les systèmes d'exploitation qui ne prennent pas en charge le
SHA-2, votre solution de sécurité ESET ne pourra plus mettre à jour ses modules, y compris le
moteur de détection, ce qui, en fin de compte, ne permettra pas à ESET Mail Security d'être
entièrement fonctionnel ni de pouvoir assurer une protection suffisante.
Si vous utilisez Windows Server 2008 R2 SP1 ou Microsoft Windows Small Business Server
2011 SP1, assurez-vous que votre système est compatible avec SHA-2. Appliquez les correctifs en
fonction de la version de votre système d'exploitation tel que suit :
• Microsoft Windows Server 2008 R2 SP1 — appliquez KB4474419
redémarrage supplémentaire du système pourrait être nécessaire)
17
et KB4490628
(un
• Microsoft Windows Small Business Server 2011 SP1 (x64) — appliquez KB4474419
KB4490628 (un redémarrage supplémentaire du système pourrait être nécessaire)
et
IMPORTANT
Une fois que vous avez installé les mises à jour et redémarré votre système, ouvrez l'IUG de ESET
Mail Security pour vérifier son état. Si le voyant d'état est orange, effectuez un redémarrage
supplémentaire du système. Le voyant d'état doit alors être vert indiquant une protection
maximale.
REMARQUE
Nous vous recommandons fortement d'installer le dernier ensemble de modifications provisoires
pour votre système d'exploitation Microsoft Server et l'application du serveur. Nous
recommandons également d'installer les dernières mises à jour et les correctifs Windows chaque
fois que possible.
Étapes d'installation de ESET Mail Security
Il s'agit d'un assistant d'installation typique à IUG. Double cliquez sur le paquet .msi et suivez les
étapes indiquées pour installer ESET Mail Security :
1.Cliquez sur Suivant pour continuer ou sur Annuler si vous souhaitez quitter l'installation.
2.L'assistant d'installation s'exécute dans la langue définie par l'option Lieu de résidence du
paramètre Région > Emplacement de votre système d'exploitation (ou Emplacement
actuel du paramètre Région et Langue > Emplacement dans les anciens systèmes).
Sélectionnez la Langue du produit dans laquelle ESET Mail Security sera installé dans le
menu déroulant. La langue sélectionnée pour ESET Mail Security est indépendante de la langue
dans laquelle s'affiche l'assistant d'installation.
3.Cliquez sur Suivant, le contrat de licence pour l'utilisateur final s'affichera. Après avoir
18
confirmé votre acceptation du Contrat de licence de l’utilisateur final ainsi que la politique
de confidentialité, cliquez sur Suivant.
4.Choisissez l'un des types d'installation disponibles. Les types d'installation disponibles
dépendent de votre système d'exploitation.
Complète
- Permet d'installer toutes les fonctionnalités de ESET Mail Security. Également appelée
installation intégrale. C'est le type d'installation recommandé. Il est disponible pour Windows
Server 2012, 2012 R2, 2016 et 2019.
REMARQUE
Dans le cas où vous planifiez utiliser use Quarantaine locale pour les courriels et que vous ne
voulez pas stocker les fichiers de courriel mis en quarantaine sur votre C: lecteur, remplacez le
chemin d'accès du Dossier de données par le lecteur et l'emplacement de votre choix.
Cependant, rappelez-vous que tous les fichiers de données ESET Mail Security seront stockés à
cet emplacement.
19
Standard
Permet d'installer les fonctionnalités recommandées de ESET Mail Security. Il est disponible pour
Windows Server 2008 R2 SP1 et Windows Small Business Server 2011 SP1
REMARQUE
Sous Windows Server 2008 R2 SP1, l'installation du composant Protection du réseau est
désactivée par défaut (Installation standard). Pour installer ce composant, sélectionnez
Personnalisé comme type d'installation.
20
Installation personnalisée
L'installation personnalisée permet de sélectionner les fonctionnalités de ESET Mail Security qui
seront installées sur votre système. Une liste des modules et fonctionnalités du produit s'affichera
avant le démarrage de l'installation. Cette option est utile lorsque vous voulez personnaliser ESET
Mail Security en choisissant seulement les composants dont vous avez besoin.
5.Vous devrez ensuite sélectionner l'emplacement où ESET Mail Security sera installé. Le
programme s'installe par défaut dans C:\Program Files\ESET\ESET Mail Security. Cliquez sur
21
Parcourir pour modifier la destination (non recommandé).
6.Cliquez sur Installer pour commencer l'installation. Lorsque l'installation se termine, l'IUG
d'ESET démarre et l'icône du tiroir
s'affiche dans la zone de notification (barre d'état du
système).
Modifier une installation existante
Vous pouvez ajouter ou supprimer des composants inclus dans votre installation. Pour ce faire, vous
pouvez exécuter le progiciel d'installation .msi utilisé lors de l'installation initiale ou accéder à
Programmes et fonctionnalités (accessible à partir du Panneau de configuration Windows).
Cliquez à l'aide du bouton droit de la souris sur ESET Mail Security et sélectionnez Modifier. Voici les
étapes à suivre pour ajouter ou supprimer des composants.
Trois options sont disponibles. Vous pouvez Modifier les composants installés, Réparer votre
installation de ESET Mail Security ou le Supprimer (désinstaller) complètement.
22
Si vous choisissez Modifier, une liste de tous les composants du programme disponibles s'affichera.
Choisissez les composants que vous voulez ajouter ou supprimer. Vous pouvez ajouter/supprimer
plusieurs composants en même temps. Cliquez sur le composant et sélectionnez une option dans le
menu déroulant :
Une fois que vous avez sélectionné une option, cliquez sur Modifier pour appliquer les modifications.
23
REMARQUE
Vous pouvez modifier les composants en tout temps en exécutant le programme d'installation. La
plupart des composants n'exigent pas un redémarrage du serveur pour appliquer les
modifications. L'IUG redémarrera et vous ne verrez que les composants que vous avez choisi
d'installer. Pour l'installation de composants qui nécessitent un redémarrage du serveur, Windows
Installer vous invitera à redémarrer et les nouveaux composants seront accessibles une fois que
la connexion du serveur aura été rétablie.
Installation si licencieuse / sans assistance
Exécutez la commande suivante pour effectuer l'installation silencieusement (pas d'interface
utilisateur) en utilisant la ligne de commande : msiexec /i <packagename> /qn /l*xv msi.log
REMARQUE
Sur Windows Server 2008 R2 SP1, la fonctionnalité Protection du réseau ne sera pas installée.
Pour vous assurer que l'installation a réussi ou en cas de problème avec l'installation, utilisez
l'Observateur d'événements de Windows pour consulter le Journal des applications (recherchez les
enregistrements provenant de la source : MsiInstaller).
EXEMPLE
Installation complète sur un système 64 bits :
msiexec /i emsx_nt64.msi /qn /l*xv msi.log ADDLOCAL=NetworkProtection,RealtimeProtection,^
DeviceControl,DocumentProtection,Cluster,GraphicUserInterface,SysInspector,SysRescue,Rmm,eula
Lorsque l'installation se termine, l'IUG d'ESET démarre et l'icône du tiroir
notification (barre d'état du système).
s'affiche dans la zone de
EXEMPLE
Installation du produit dans la langue spécifiée (allemand) :
msiexec /i emsx_nt64.msi /qn ADDLOCAL=NetworkProtection,RealtimeProtection,^
DeviceControl,DocumentProtection,Cluster,GraphicUserInterface,^
SysInspector,SysRescue,Rmm,eula PRODUCT_LANG=1031 PRODUCT_LANG_CODE=de-de
Consultez la section Paramètres de langue dans Installation à l'aide de la ligne de commande
pour plus de détails et pour obtenir la liste des codes de langue.
IMPORTANT
Lorsque vous spécifiez des valeurs pour le paramètre REINSTALL, vous devez répertorier le reste
des fonctionnalités qui ne sont pas utilisées comme valeurs pour les paramètres ADDLOCAL ou
REMOVE. Il est nécessaire que l'installation par ligne de commande s'exécute correctement pour
que vous répertoriez toutes les fonctionnalités en tant que valeurs pour les paramètres
REINSTALL, ADDLOCAL et REMOVE. L'ajout ou la suppression peut ne pas aboutir si vous n'utilisez
pas le paramètre REINSTALL.
Consultez la section Installation par ligne de commande pour la liste complète des fonctionnalités.
EXEMPLE
Désinstallation complète sur un système 64 bits :
msiexec /x emsx_nt64.msi /qn /l*xv msi.log
REMARQUE
Votre serveur redémarrera automatiquement après une désinstallation réussie.
24
Installation de la ligne de commande
Les paramètres suivants sont destinés à être utilisés uniquement avec le niveau réduit, le niveau
de base et le niveau aucun de l'interface utilisateur. Consultez la documentation pour la version
msiexec utilisée pour les commutateurs de ligne de commande appropriés.
Paramètres pris en charge :
APPDIR=<path>
• path - Chemin de répertoire valide
• Répertoire d'installation de l'application
• Par exemple : emsx_nt64.msi /qn APPDIR=C:\ESET\ ADDLOCAL=DocumentProtection
APPDATADIR=<path>
• chemin d'accès - Chemin de répertoire valide
• Répertoire d'installation des données de l'application
MODULEDIR=<path>
• chemin d'accès - Chemin de répertoire valide
• Répertoire d'installation du module
ADDLOCAL=<list>
• Installation du composant - liste des fonctionnalités non-obligatoires à installer localement.
• Utilisation avec les paquets .msi d'ESET : emsx_nt64.msi /qn ADDLOCAL=<list>
• Pour en savoir plus sur la propriété ADDLOCAL, consultez
https://docs.microsoft.com/en-gb/windows/desktop/Msi/addlocal
• ADDLOCAL est une liste de toutes les fonctionnalités qui seront installées séparées par des
virgules.
• Lors de la sélection d'une fonctionnalité à installer, le chemin complet (c'est-à-dire toutes ses
fonctionnalités parentes) doit être explicitement inclus dans la liste.
REMOVE=<list>
• Installation du composant - fonction parente que vous ne souhaitez pas installer localement.
• Utilisation avec les paquets .msi d'ESET : emsx_nt64.msi /qn REMOVE=<list>
• Pour en savoir plus sur la propriété REMOVE,
consultezhttps://docs.microsoft.com/en-gb/windows/desktop/Msi/remove
• La liste REMOVE est une liste de fonctions parents séparées par des virgules qui ne seront pas
installées (ou seront supprimées en cas d'installation existante).
• Seules les fonctions parents peuvent être spécifiées. Il n'est pas nécessaire d'inclure
explicitement chaque fonction enfant dans la liste.
ADDEXCLUDE=<list>
• La liste ADDEXCLUDE est une liste de tous les noms de fonctionnalités à ne pas installer,
séparés par des virgules.
• Lors de la sélection d'une fonctionnalité à ne pas installer, le chemin complet (c'est-à-dire
toutes ses sous-fonctionnalités) et les fonctionnalités invisibles associées doivent être
explicitement inclus dans la liste.
25
• Par exemple : emsx_nt64.msi /qn ADDEXCLUDE=<list>
REMARQUE
ADDEXCLUDE ne peut pas être utilisée avec ADDLOCAL.
Présence de la fonctionnalité
• Obligatoire - La fonctionnalité est toujours installée.
• Facultative - La fonctionnalité peut être désélectionnée lors de l'installation.
• Invisible - Fonctionnalité logique obligatoire pour que les autres fonctionnalités s'exécutent
correctement.
Liste des fonctionnalités de ESET Mail Security :
IMPORTANT
Les noms de toutes les fonctionnalités sont sensibles à la casse, par exemple
RealtimeProtection n'est pas égal à REALTIMEPROTECTION.
Nom de la fonctionnalité Présence de la fonctionnalité
SERVER
Obligatoire
RealtimeProtection
Obligatoire
MAILSERVER
Obligatoire
WMIProvider
Obligatoire
HIPS
Obligatoire
Updater
Obligatoire
eShell
Obligatoire
UpdateMirror
Obligatoire
DeviceControl
Facultative
DocumentProtection
Facultative
WebAndEmail
Facultative
ProtocolFiltering
Invisible
NetworkProtection
Facultative
IdsAndBotnetProtection
Facultative
Rmm
Facultative
WebAccessProtection
Facultative
EmailClientProtection
Facultative
MailPlugins
Invisible
Cluster
Facultative
_Base
eula
ShellExt
Facultative
_FeaturesCore
GraphicUserInterface
Facultative
SysInspector
Facultative
26
Nom de la fonctionnalité Présence de la fonctionnalité
SysRescue
Facultative
EnterpriseInspector
Facultative
Si vous souhaitez supprimer l'une des fonctionnalités suivantes, vous devez supprimer tout le groupe
en spécifiant chaque fonctionnalité appartenant au groupe. Sinon, la fonctionnalité ne sera pas
supprimée. Voici deux groupes (chaque ligne représente un groupe) :
GraphicUserInterface,ShellExt
NetworkProtection,WebAccessProtection,IdsAndBotnetProtection,ProtocolFiltering,MailP
lugins,EmailClientProtection
EXEMPLE
Excluez la section NetworkProtection (y compris les fonctionnalités enfants) de l'installation à l'aide du paramètre
REMOVE et en spécifiant uniquement la fonctionnalité parent :
msiexec /i emsx_nt64.msi /qn ADDLOCAL=ALL REMOVE=NetworkProtection
Vous pouvez également utiliser le paramètre ADDEXCLUDE, mais vous devez également spécifier toutes les fonctionnalités
enfants :
msiexec /i emsx_nt64.msi /qn ADDEXCLUDE=NetworkProtection,WebAccessProtection,IdsAndBotnetProtection,^
ProtocolFiltering,MailPlugins,EmailClientProtection
Si vous souhaitez que votre ESET Mail Security soit automatiquement configuré après l'installation,
vous pouvez spécifier les paramètres de configuration de base dans la commande d'installation.
EXEMPLE
Installez ESET Mail Security et désactivez ESET LiveGrid® :
msiexec /i emsx_nt64.msi /qn /l*xv msi.log CFG_LIVEGRID_ENABLED=0
Liste de toutes les propriétés de configuration :
Basculer
Valeur
CFG_POTENTIALLYUNWANTED_ENABLED=1/0 0 - Désactivée, 1 - Activée
CFG_LIVEGRID_ENABLED=1/0
0 - Désactivée, 1 - Activée
FIRSTSCAN_ENABLE=1/0
0 - Désactiver, 1 - Activer
CFG_PROXY_ENABLED=0/1
0 - Désactivée, 1 - Activée
CFG_PROXY_ADDRESS=<ip>
Adresse IP du mandataire
CFG_PROXY_PORT=<port>
Numéro de port mandataire
CFG_PROXY_USERNAME=<user>
Nom d'utilisateur pour fins d'authentification
CFG_PROXY_PASSWORD=<pass>
Mot de passe pour l'authentification
Paramètres de langue : Langue du produit (vous devez spécifier les deux paramètres)
Basculer
Valeur
PRODUCT_LANG=
LCID décimal (ID de paramètres régionaux), par exemple 1033 pour English United States, consultez la liste des codes de langues .
PRODUCT_LANG_CODE= Chaîne LCID (Nom de la culture de la langue) en minuscules, par exemple enus pour English - United States, consultez la liste des codes de langues .
27
Activation du produit
Une fois l'installation terminée, vous serez invité à activer votre produit.
Vous pouvez utiliser l'une ou l'autre des méthodes suivantes pour activer ESET Mail Security :
Utilisez une clé de licence achetée
Une chaîne de caractères unique au format XXXX-XXXX-XXXX-XXXX-XXXX utilisée pour
l'identification du propriétaire de la licence et pour l'activation de cette dernière.
ESET Business Account
Utilisez cette option si vous êtes enregistré et avez votre ESET Business Account (EBA) dans
lequel votre licence ESET Mail Security a été importée. Vous pouvez également entrer les
informations d'identification Administrateur de la sécurité que vous utilisez dans le portail
ESET License Administrator .
Fichier de licence hors ligne
Fichier généré automatiquement qui sera transféré au produit ESET et qui contient les
renseignements sur la licence. Votre fichier de licence hors ligne est généré par le portail de
licences et utilisé dans des environnements où l'application ne peut pas se connecter au service
de délivrance des licences.
Cliquez sur Activer ultérieurement avec ESET Security Management Center si votre ordinateur
appartient au réseau géré, et que votre administrateur effectuera l'activation à distance à l'aide
d'ESET Security Management Center. Vous pouvez aussi utiliser cette option si vous voulez activer ce
client ultérieurement.
28
Sélectionnez Aide et assistance > Gestion de la licence dans la fenêtre principale du programme
pour gérer les renseignements sur la licence en tout temps. L'identifiant de licence publique
s'affichera, qui est utilisée pour identifier votre produit ESET et l'identification de la licence. Votre nom
d'utilisateur sous lequel l'ordinateur est enregistré est stocké dans la section À propos que vous
pouvez afficher en cliquant à droite sur l'icône de la barre d'état système .
Après avoir réussi l'activation de ESET Mail Security, la fenêtre principale du programme ouvrira et
affichera votre état actuel dans la page Surveillance. Votre attention pourrait être requise au début.
Par exemple, il vous sera demandé de participer à ESET LiveGrid®.
La fenêtre principale du programme affichera aussi des notifications sur d'autres éléments, comme
les mises à jour du système (Windows Updates) ou du moteur de détection. Lorsque tous les éléments
qui requièrent votre attention ont été vérifiés, l'état de surveillance deviendra vert et affichera le
message Protection maximale.
Pour activer votre copie de ESET Mail Security directement à partir du programme, cliquez sur l'icône
de la barre d'état système
et sélectionnez Produit non activé dans le menu. Vous pouvez
également activer votre produit à partir du menu principal sous Aide et assistance > Activer le
produit ou de l'état Surveillance > Le produit n'est pas activé.
REMARQUE
ESET Security Management Center est capable d'activer silencieusement les ordinateurs clients
en utilisant les licences mises à disposition par l'administrateur.
ESET Business Account
un compte ESET Business Account vous permet de gérer plusieurs licences. Si vous n'avez pas de
compte ESET Business Account, cliquez sur Créer un compte et vous serez redirigé vers la page
Web d'ESET Business Account où vous pourrez enregistrer vos informations d'identification.
REMARQUE
Pour plus d'informations, reportez-vous au guide d'utilisation d'ESET Business Account (EBA) .
Si vous utilisez les informations d'identification d'administrateur de la sécurité et que vous avez oublié
votre mot de passe, cliquez sur J'ai oublié mon mot de passe et vous serez redirigé vers le portail
ESET License Administrator. Entrez votre adresse courriel et cliquez sur Envoyer pour confirmer
l'action. Après cela, vous recevrez un message avec les instructions pour la réinitialisation de votre
mot de passe.
Activation réussie
L'activation a réussi et ESET Mail Security est maintenant activé. Dorénavant, ESET Mail Security
recevra régulièrement des mises à jour afin de pourvoir identifier les menaces les plus récentes et
protéger votre ordinateur. Cliquez sur Terminé pour terminer l'activation du produit.
Échec de l'activation
L'activation de ESET Mail Security n'a pas réussi. Assurez-vous que vous avez entré la clé de licence
appropriée ou installé une licence hors ligne. Si vous possédez un fichier de licence hors ligne
différent, veuillez le saisir à nouveau. Pour vérifier la clé de licence que vous avez entrée, cliquez sur
Vérifier à nouveau la clé de licence ou entrer une autre licence.
29
Licence
Vous recevrez une invite vous demandant de sélectionner la licence associée à votre compte qui sera
utilisée pour ESET Mail Security. Cliquez sur Continuer pour effectuer l'activation.
Mise à niveau vers une version plus récente
Les nouvelles versions de ESET Mail Security sont fournies afin d'apporter des améliorations ou de
corriger des problèmes qui ne peuvent être réglés par la mise à jour automatique des modules du
programme.
Méthodes de mise à niveau :
• Désinstaller/Installer - Supprimer l'ancienne version avant d'installer la nouvelle.
Téléchargez la dernière version de ESET Mail Security Exportez les paramètres de votre ESET
Mail Security existant si vous souhaitez conserver la configuration. Désinstallez ESET Mail
Security et redémarrez le serveur. Effectuez une nouvelle installation avec le programme
d'installation que vous avez téléchargé. Importer les paramètres pour charger votre
configuration. Nous recommandons cette procédure si vous avez un seul serveur exécutant
ESET Mail Security.
• Sur place - Une méthode de mise à niveau qui permet d'installer la nouvelle version de ESET
Mail Security sur la version existante sans supprimer cette dernière.
IMPORTANT
Il est nécessaire que vous n'ayez pas de mises à jour Windows en attente sur votre serveur,
ni de redémarrage en attente en raison des mises à jour de Windows ou pour toute autre
raison. Si vous essayez d'effectuer une mise à niveau sur place avec des mises à jour Windows en
attente ou de redémarrer votre ordinateur, la version existante de ESET Mail Security peut ne pas
être supprimée correctement. Vous rencontrerez également des problèmes si vous décidez de
supprimer manuellement l'ancienne version de ESET Mail Security.
REMARQUE
Le redémarrage du serveur sera nécessaire pendant la mise à niveau de ESET Mail Security.
• À distance - Pour une utilisation dans les grands environnements réseau gérés par ESET
Security Management Center. Il s'agit essentiellement d'une méthode de mise à niveau propre,
mais exécutée à distance. Cette méthode est utile si vous avez plusieurs serveurs exécutant
ESET Mail Security.
• Il est également possible d'utiliser l'assistant de grappe ESET comme méthode de mise à
niveau. Nous recommandons cette méthode pour 2 ou plusieurs serveurs avec ESET Mail
Security. Il s'agit essentiellement d'une méthode de mise à niveau sur place, mais exécutée
grâce à la grappe ESET. Une fois la mise à niveau terminée, vous pouvez continuer à utiliser la
grappe ESET et profiter de ses fonctionnalités.
30
IMPORTANT
La mise à jour à partir de la version 4.x ne conserve pas certains paramètres, en particulier les
règles ne peuvent pas être migrées. Cela est dû aux modifications apportées à la fonctionnalité
de règles qui ont été introduites dans les versions ultérieures du produit. Nous vous
recommandons de noter les paramètres de vos règles avant d'effectuer une mise à jour à partir
des versions 4.x. Vous pouvez configurer des règles une fois la mise à niveau terminée. Les
nouvelles règles vous donnent une plus grande flexibilité et encore plus de possibilités par
rapport aux règles de la version précédente de ESET Mail Security.
Voici une liste des paramètres qui sont conservés à partir des versions antérieures de ESET Mail
Security :
• Configuration générale de ESET Mail Security.
Paramètres de la protection antipourriel :
• Tous les paramètres qui sont identiques dans les versions antérieures; les nouveaux
paramètres seront réglés aux valeurs par défaut.
• Entrées de liste blanche et de liste noire.
REMARQUE
Après avoir mis votre ESET Mail Security à niveau, nous vous recommandons de parcourir tous les
paramètres pour vous assurer que le produit est configuré correctement et en fonction de vos
besoins.
Mise à niveau à l'aide de ESET Security Management Center
ESET Security Management Center vous permet de mettre à niveau plusieurs serveurs exécutant une
version ancienne de ESET Mail Security. Cette méthode a l'avantage de permettre la mise à niveau
d'un grand nombre de serveurs en même temps tout en veillant à ce que chaque ESET Mail Security
soit configuré de manière identique (si cela est souhaité).
Les étapes de la procédure sont les suivantes :
• Mettre à niveau le premier serveur manuellement en installant la dernière version de
ESET Mail Security sur la version existante afin de préserver toute les configurations, y compris
les règles, les listes blanches, les listes noires, etc. Cette phase s'effectue localement sur le
serveur exécutant ESET Mail Security.
• Demander la configuration de ESET Mail Security nouvellement mis à niveau vers la
version 7.x et Convertir la stratégie dans ESET Security Management Center. La police sera
appliquée ultérieurement à tous les serveurs mis à niveau. Cette phase ainsi que les phases
suivantes s'effectuent à distance à l'aide d'ESMC.
• Exécuter la tâche de désinstallation de logiciel sur tous les serveurs exécutant
l'ancienne version de ESET Mail Security.
• Exécuter la tâche d'installation de logiciel sur tous les serveurs sur lesquels vous voulez
que ESET Mail Security s'exécute.
• Attribuer une politique de configuration à tous les serveurs exécutant la dernière version
de ESET Mail Security.
31
Procédure pas à pas :
1.Connectez-vous sur l'un des serveurs exécutant ESET Mail Security et mettez-le à jour en
téléchargeant et en installant la dernière version sur la version existante. Suivez les étapes
pour une installation ordinaire. Toute la configuration originale de votre ancien ESET Mail
Security sera préservée pendant l'installation.
2.Ouvrez la console Web d'ESET Security Management Center, sélectionnez un
ordinateur client au sein des groupes statiques ou dynamiques et cliquez sur Afficher Détails.
3.Accédez à l'onglet Configuration et cliquez sur le bouton Demander la configuration
pour collecter toute la configuration du produit géré. Obtenir la configuration prendra un
moment. Une fois que la configuration la plus récente sera affichée dans la liste, cliquez sur
produit de sécurité et sélectionnez Ouvrir la configuration.
32
4.Créez la politique de configuration en cliquant sur le bouton Convertir la politique. Entrez le
nom de la nouvelle politique et cliquez sur Terminer.
5.Allez à Tâches client et sélectionnez la tâche Installation de logiciel . Lors de la création de
la tâche de désinstallation, nous vous recommandons de redémarrer le serveur après la
33
désinstallation en cochant la case Redémarrer automatiquement si nécessaire. Une fois
la tâche créée, ajoutez tous les ordinateurs cibles souhaités pour la désinstallation.
6.Assurez-vous que ESET Mail Security est désinstallé sur toutes les cibles.
7.Créez une tâche d'installation de logiciel pour installer, si vous le souhaitez, les dernières
versions de ESET Mail Security sur les cibles.
8.Attribuez une politique de configuration à tous les serveurs exécutant ESET Mail
Security, idéalement à un groupe.
Mise à niveau à l'aide de la grappe ESET
La création d'une grappe ESET vous permet de mettre à niveau plusieurs serveurs en utilisant
l'ancienne version de ESET Mail Security. Nous recommandons l'utilisation de la méthode de la grappe
ESET si votre environnement comprend 2 serveurs ou plus avec ESET Mail Security. Un autre
avantage de cette méthode de mise à niveau est que vous pouvez continuer à utiliser la grappe ESET
pour avoir la configuration de ESET Mail Security synchronisée sur tous les nœuds membres.
Suivez les étapes ci-dessous pour mettre à niveau à l'aide de cette méthode :
1.Connectez-vous sur l'un des serveurs exécutant ESET Mail Security et mettez-le à jour en
téléchargeant la version la plus récente, puis en utilisant cette dernière pour écraser la version
existante. Suivez les étapes pour une installation ordinaire. Toute la configuration originale de
votre ancien ESET Mail Security sera préservée pendant l'installation.
2.Lancez l'assistant de grappe ESET et ajoutez les nœuds de grappe (les serveurs sur lesquels
vous voulez mettre ESET Mail Security à niveau). Si nécessaire, ajoutez d'autres serveurs qui
n'exécutent pas encore ESET Mail Security (une installation sera effectuée sur ces serveurs).
Nous vous recommandons de laisser les paramètres par défaut lors de la spécification du nom
de la grappe et du type d'installation (assurez-vous que l'option Pousser la licence aux
nœuds sans produit activé est sélectionnée).
3.Vérifiez l'écran Journal de vérification des nœuds. Il affiche les serveurs ayant des
versions plus anciennes et sur lesquels le produit va être réinstallé. ESET Mail Security sera
également installé sur tous les serveurs ajoutés, sur lesquels il n'est pas actuellement installé.
34
4.L'écran Installation des nœuds et activation de la grappe affichera l'état d'avancement
de l'installation. Si l'installation se termine correctement, les résultats devraient ressembler à
ceux-ci :
35
Si votre réseau ou votre DNS n'est pas configuré correctement, le message d'erreur suivant pourrait
s'afficher : Impossible d'obtenir le jeton d'activation à partir du serveur.. Essayez d'exécuter à
nouveau l'assistant de grappe ESET. Cette action détruit la grappe et crée une nouvelle (sans
réinstaller le produit) et l'activation devrait se terminer avec succès cette fois. Si le problème persiste,
vérifiez vos paramètres réseau et DNS.
36
Installation dans un environnement en grappe
Vous pouvez déployer ESET Mail Security dans un environnement en grappe (une grappe de
basculement par exemple). Nous vous recommandons d'installer ESET Mail Security sur un nœud
actif, puis de redistribuer l'installation sur des nœuds passifs à l'aide de la fonction Grappe ESET de
ESET Mail Security. En dehors de l'installation, la grappe ESET servira de réplication de la
configuration de ESET Mail Security afin d'assurer la cohérence entre les nœuds de la grappe, ce qui
est nécessaire à un bon fonctionnement.
Serveur de terminal
Si vous avez installé ESET Mail Security sur Windows Server utilisé comme serveur de terminal, vous
pouvez désactiver l'interface graphique de ESET Mail Security pour l'empêcher de démarrer chaque
fois qu'un utilisateur ouvre une session. Voir Désactiver l'interface graphique sur le serveur de
terminal pour connaître les étapes précises à effectuer pour désactiver l'IUG.
Environnement multiserveur / DAG
ESET Mail Security prend en charge les environnements multiserveurs. Si votre infrastructure est
constituée de plusieurs serveurs, par exemple Database availability group (DAG), vous pouvez
installer ESET Mail Security sur chaque serveur Exchange avec le rôle Mailbox.
37
La façon la plus simple est d'installer ESET Mail Security sur tous les serveurs utilisant la grappe ESET.
Aussi, il est recommandé d'activer Utiliser la grappe ESET pour stocker tous les messages mis
en quarantaine sur un nœud dans les paramètres de quarantaine de courriel. Si vous prévoyez
d'utiliser la mise en liste grise, activez Synchroniser les bases de données des listes grises avec toute
la grappe ESET.
Prise en main
La partie suivante vous indique comment démarrer avec ESET Mail Security.
Tâches post-installation
Elles sont destinées à vous aider pour la configuration.
Surveillance
Vous donne un aperçu immédiat de l'état actuel de ESET Mail Security. En un coup d'œil, vous
pouvez voir s'il y a des problèmes qui nécessitent votre attention.
Géré par l'entremise de ESET Security Management Center
Vous pouvez utiliser ESET Security Management Center pour gérer à distance ESET Mail Security.
Tâches post-installation
Voici les tâches recommandées qui permettent la configuration initiale de votre ESET Mail Security.
Sujet
Description
Activation du produit
Assurez-vous que ESET Mail Security est activé. Vous pouvez effectuer
l'activation de différentes manières.
Mettre à jour
Une fois le produit activé, la mise à jour du module s'exécute
automatiquement. Vérifiez l'état de la mise à jour pour voir si celle-ci a
réussi.
Gestionnaire de la
quarantaine de
courriels
Découvrez le gestionnaire de la quarantaine de courriels accessible depuis
l'interface graphique du programme. Cette fonctionnalité vous permet de
gérer les messages mis en quarantaine tels que les pourriels, les pièces
jointes infectées contenant des logiciels malveillants, les messages
d'hameçonnage et les messages filtrés par des règles. Vous pouvez voir les
détails de chaque message et effectuer une action (libérer ou supprimer).
Interface Web de la
quarantaine de
courriels
L'interface Web de Quarantaine de courriel est une autre solution, en dehors
du gestionnaire de Quarantaine de courriel, qui vous permet de gérer les
objets mis en quarantaine à distance. De plus, l'interface Web de
Quarantaine de courriel permet aux utilisateurs (destinataires de courriel) de
gérer leurs propres courriels mis en quarantaine. Les utilisateurs peuvent
être informés du contenu nouvellement mis en quarantaine grâce aux
rapports sur la mise en quarantaine des courriels envoyés par courriel. Nous
vous recommandons de configurer les rapports.
38
Sujet
Description
Rapports sur la mise
en quarantaine des
courriels
Créez une tâche planifiée pour envoyer des rapports sur la mise en
quarantaine de courriels à vous-même et aux utilisateurs sélectionnés afin
de leur permettre de libérer certains messages qui sont des faux positifs et
de gérer leur contenu mis en quarantaine à l'aide de l'interface Web de
Quarantaine de courriel (visionneuse en ligne). Les utilisateurs pourront
accéder à l'interface Web en cliquant sur un lien fourni dans les rapports de
mise en quarantaine des courriels et en se connectant à l'aide de leurs
informations d'identification de domaine.
Antipourriel - Filtrage
et vérification
La fonctionnalité antipourriel est une fonctionnalité sophistiquée basée sur le
nuage qui empêche vos utilisateurs (destinataires de courriels) de recevoir
des pourriels. Nous vous recommandons d'utiliser le filtrage et la vérification
et d'ajouter vos adresses IP locales à la liste des adresses IP à ignorer. Les
adresses IP de votre infrastructure réseau seront alors ignorées lors de la
classification. Vous pouvez configurer et gérer le reste des listes Approuvées,
Bloquées et Ignorées pour personnaliser le filtrage et la vérification. Vous
pouvez également activer la mise en liste grise si vous souhaitez utiliser
cette fonctionnalité.
Règles
Une fonctionnalité puissante qui vous permet de filtrer les courriels en
fonction de conditions définies et d'actions. Utilisez des règles prédéfinies
(modifiez-les si nécessaire) ou créez de nouvelles règles personnalisées pour
répondre à vos besoins. Les règles peuvent être configurées pour l'une des
couches de protection (protection du transport du courriel, protection de
base de données de boîtes de courriels ou analyse de la base de données de
boîtes de courriels à la demande).
Test antivirus
Il permet de vérifier que la protection antivirus fonctionne correctement.
Test antipourriel
Il permet de vérifier que la protection antipourriel fonctionne correctement.
Test antihameçonnage Il permet de vérifier que la protection antihameçonnage fonctionne
correctement.
Géré par l'entremise de ESET Security Management Center
ESET Security Management Center (ESMC) est une application qui vous permet de gérer des produits
ESET dans un environnement en réseau à partir d'un emplacement central. Le système de gestion de
tâches d'ESET Security Management Center vous permet d'installer les solutions de sécurité d'ESET
sur des ordinateurs distants et de répondre rapidement à de nouveaux problèmes et de nouvelles
menaces. ESET Security Management Center n'offre aucune protection contre des programmes
malveillants, mais plutôt se repose sur la présence des solutions de sécurité ESET sur chaque client.
Les solutions de sécurité ESET prennent en charge les réseaux constitués de plusieurs types de
plateforme. Votre réseau peut être constitué d'une combinaison de systèmes d'exploitation actuels de
Microsoft, de systèmes d'exploitation basés sur Linux, de systèmes d'exploitation mobiles et de Mac
OS.
39
Pour plus de renseignements sur ESMC, consultez l'aide en ligne de ESET Security Management
Center .
Surveillance
L'état de la protection indiqué dans la section Surveillance vous informe au sujet du niveau de
protection actuel de votre ordinateur. Un résumé de l'état du fonctionnement de ESET Mail Security
sera affiché dans la fenêtre principale.
L'indicateur
assurée.
Vous êtes protégés qui s'affiche en vert indique que la protection maximale est
L'icône rouge signale des problèmes critiques - la protection maximale de votre ordinateur n'est
pas assurée. Pour obtenir une liste des états de protection possibles, consultez la section État
L'icône orange avec un point d'exclamation (!) indique que votre produit ESET nécessite une
attention pour un problème non critique.
40
Les modules qui fonctionnent correctement sont marqués d'une coche verte. Les modules qui ne
fonctionnent pas complètement sont marqués d'un point d'exclamation rouge ou d'une icône de
notification orange. Des informations supplémentaires sur le module s'affichent dans la partie
supérieure de la fenêtre. Une suggestion de solution pour corriger le module est également affichée.
Pour changer l'état de chacun des modules, cliquez sur Configuration dans le menu principal puis sur
le module souhaité.
La page Surveillance contient également des informations sur votre système, dont quelques unes
sont citées ci-dessous :
• Version du produit - numéro de version de ESET Mail Security.
• Nom du serveur - nom d'hôte de la machine ou FQDN.
• Système - détails du système d'exploitation.
• Ordinateur - détails de l'ordinateur.
• Temps de disponibilité du serveur - indique depuis combien de temps le système
fonctionne; il s'agit fondamentalement de l'opposé du temps d'arrêt.
Nombre de boîtes de courriels
ESET Mail Security détecte le nombre de boîtes de courriels et affiche le décompte basé sur la
détection :
• Domaine - Nombre de toutes les boîtes de courriels dans un domaine particulier auquel
appartient le serveur Exchange.
• Local - Donne le nombre de boîtes de courriels (le cas échéant) du serveur Exchange pour
lesquelles ESET Mail Security est installé.
41
Si vous ne pouvez régler un problème à l'aide des solutions suggérées, cliquez sur Aide et soutien
pour accéder aux fichiers d'aide ou effectuez une recherche dans la Base de connaissances ESET . Si
vous avez besoin d'aide, vous pouvez également soumettre une demande d'assistance . Le service
d'assistance technique d'ESET répondra rapidement à vos questions et vous aidera à trouver une
solution à votre problème.
État
Un résumé de l'état de ESET Mail Security sera affiché dans la fenêtre principale avec des
informations détaillées sur votre système. Normalement, lorsque tout fonctionne sans problème,
l'indicateur de l'état de la protection est vert
. Cependant, l'état de la protection peut changer
dans certaines circonstances. L'état de la protection passe à orange
d'avertissement s'affiche dans les situations suivantes :
ou rouge
et un message
Message d'avertissement
Message d'avertissement avec des détails
Protection antivirus du serveur
de messagerie désactivée
Cliquez sur Activer la protection antivirus dans Surveillance ou
réactivez Protection Antivirus et anti-logiciel espion dans le
volet Configuration de la fenêtre principale du programme.
Intégration du serveur de
messagerie désactivée
L'intégration du serveur de messagerie a été désactivée par
l'utilisateur. Cliquez sur Modifier les paramètres d'intégration pour
activer la protection du transport des courriels.
Le moteur antipourriel a une
connectivité au nuage limitée
Cela indique des problèmes de connexion. Assurez-vous que les
ports appropriés sont activés.
La détection des applications
potentiellement indésirables
n'est pas configurée
Une application potentiellement indésirable est un programme qui
contient des logiciels publicitaires, installe des barres d'outils ou
vise d'autres objectifs nébuleux. Dans certaines situations, vous
pourriez juger que les avantages que vous apporte un application
potentiellement indésirable l'emporte sur les risques qu'elle
comporte.
Le produit n'est pas activé ou la Pour signaler ce problème l'icône d'état de la protection devient
licence a expiré
rouge. Une fois la licence expirée, le programme ne pourra plus
effectuer de mise à jour. Suivez les instructions indiquées dans la
fenêtre d'alerte pour renouveler votre licence.
ESET LiveGrid® est désactivée
Ce problème est indiqué lorsque ESET LiveGrid® est désactivé dans
Configuration avancée.
Protection en temps réel du
système de fichiers suspendue
Cliquez sur Activer la protection en temps réel dans l'onglet
Surveillance ou réactivez Protection en temps réel du
système de fichiers dans l'onglet Configuration de la fenêtre
principale du programme.
Le système d'exploitation n'est
pas à jour
La fenêtre Mises à jour système affiche la liste des mises à jour
disponibles, prêtes pour téléchargement et installation.
Votre appareil va bientôt perdre Cliquez sur Voir vos options pour savoir comment mettre à jour
sa protection
votre version de Microsoft Windows. Si vous utilisez Microsoft
Windows Server 2008 R2 SP1, assurez-vous que votre système
est compatible avec SHA-2. Appliquez les correctifs en fonction de
la version de votre système d'exploitation.
Un redémarrage de l'ordinateur Cliquez sur Redémarrer l'ordinateur si vous voulez redémarrer
est nécessaire
votre système immédiatement, ou cliquez sur Annuler si vous
prévoyez de redémarrer plus tard.
42
Message d'avertissement
Message d'avertissement avec des détails
La protection contre les
attaques réseau (IDS) est
suspendue
Cliquez sur Activer la protection contre les attaques réseau (IDS)
pour réactiver cette fonctionnalité.
La protection contre les botnets Cliquez sur Activer la protection contre les botnets pour réactiver
est suspendue
cette fonctionnalité.
La protection de l'accès Web est Cliquez sur Activer la protection de l'accès Web dans Surveillance
suspendue
ou réactivez Protection de l'accès Web dans le volet
Configuration de la fenêtre principale du programme.
La protection antihameçonnage Cette fonctionnalité n'est pas fonctionnelle, parce que d'autres
est non fonctionnelle
modules de programme requis ne sont pas activés.
Contournement de la stratégie
active
La configuration définie par la stratégie est temporairement
ignorée, peut-être jusqu'à ce que le dépannage soit terminé. Si
vous gérez ESET Mail Security à l'aide d'ESMC et qu'une stratégie
lui est attribuée, le lien d'état sera verrouillé (grisé) en fonction des
fonctionnalités qui appartiennent à la stratégie.
Si vous ne parvenez pas à régler un problème effectuez une recherche dans la Base de connaissances
d'ESET . Si vous avez besoin d'aide, vous pouvez également soumettre une demande d'assistance
. Le service d'assistance technique d'ESET répondra rapidement à vos questions et vous aidera à
trouver une solution à votre problème.
Mises à jour Windows disponibles
La fenêtre Mises à jour système affiche la liste des mises à jour disponibles, prêtes pour
téléchargement et installation. Le niveau de priorité de chaque mise à jour s'affiche à côté de son
nom. Cliquez à droite sur toute rangée de mise à jour puis sur Plus d'information pour afficher une
fenêtre contextuelle avec de l'information supplémentaire :
43
Cliquez sur Exécuter la mise à jour du système pour ouvrir la fenêtre Mise à jour de Windows
et procéder aux mises à jour du système.
Isolation du réseau
ESET Mail Security vous offre une option, appelée isolation du réseau, permettant de bloquer la
connexion réseau de votre serveur. Dans certains scénarios extrêmes, vous pouvez vouloir isoler un
serveur du réseau à titre préventif, par exemple, si vous avez découvert que le serveur a été infecté
par un logiciel malveillant ou que l'ordinateur a été compromis d'une autre manière.
En activant l'isolation du réseau, tout le trafic du réseau est bloqué, sauf les éléments suivants :
• La connectivité avec le contrôleur de domaine demeure
• ESET Mail Security est toujours capable de communiquer
• Si ESET Management Agent et ESET Enterprise Inspector Agent existent, ils peuvent
communiquer sur le réseau
Activez et désactivez l'isolement du réseau en utilisant la commande eShell ou la tâche client ESET
Security Management Center .
eShell
En mode interactif :
• Activer
l'isolement du réseau : network advanced set status-isolation enable
• Désactiver
44
l'isolement du réseau : network advanced set status-isolation disable
Vous pouvez également créer et exécuter un fichier par lots en utilisant le mode par lot/script.
ESET Security Management Center
• Activer l'isolement du réseau en utilisant la tâche client .
• Désactiver l'isolement du réseau en utilisant la tâche client .
Lorsque l'isolation du réseau est activée, l'état de ESET Mail Security passe au rouge avec le message
Accès au réseau bloqué.
Utiliser ESET Mail Security
Cette partie contient une description détaillée de l'interface utilisateur du programme. Son but est
d'expliquer comment utiliser ESET Mail Security.
L'interface utilisateur vous permet d'accéder rapidement aux fonctionnalités couramment utilisées :
• Surveillance
• Fichiers journaux
• Analyser
• Mettre à jour
• Quarantaine de courriel
• Configuration
• Outils
Analyser
L'analyseur à la demande est un élément important de ESET Mail Security. Il permet d'analyser les
fichiers et les répertoires stockés sur votre ordinateur. Pour assurer la sécurité de votre réseau, les
analyses d'ordinateur ne doivent pas être exécutées uniquement lorsque vous soupçonnez une
infection. Elles doivent être faites régulièrement dans le cadre de mesures de sécurité de routine.
45
Nous vous recommandons d'effectuer régulièrement (par exemple, une fois par mois) des analyses en
profondeur de votre système pour détecter les virus non détectés par la Protection en temps réel du
système de fichier. Cela peut se produire si une menace est introduite lorsque la protection du
système de fichiers en temps réel est désactivée, si le moteur de détection n'a pas été mis à jour ou
si un fichier n'a pas été détecté lors de sa première sauvegarde sur le disque.
Sélectionnez les analyses à la demande disponibles pour ESET Mail Security :
Analyse de la base de données de la boîte de courriels
Pour lancer une analyse de la base de données à la demande. Comme objet de l'analyse, vous
pouvez sélectionner Dossiers publics, Serveurs de courriel et Boîtes de courriel. Vous pouvez aussi
utiliser le planificateur pour exécuter l'analyse de la base de données à un moment ou lors d'un
événement précis.
REMARQUE
Si vous exécutez Microsoft Exchange Server 2007, 2010, 2013 ou 2016, vous pouvez choisir entre
Protection de la base de données de la boîte de courriel et Analyse de la base de données à la
demande. Cependant, il n'est possible d'activer qu'un seul type de protection à la fois. Si vous
décidez d'utiliser l'option Analyse de la base de données à la demande, vous devrez désactiver
l'intégration de la Protection de la base de données de la boîte de courriel dans Configuration
avancée sous Serveur. Sinon, l'option Analyse de la base de données à la demande ne sera pas
disponible.
Analyse de la boîte de courriels d'Office 365
Vous permet d'analyser les boîtes aux lettres distantes dans les environnements hybrides Office
365. Fonctionne de la même manière que l'analyse de base de données de boîte de courriels à la
demande.
Analyse des unités de stockage
Analyse tous les dossiers partagés sur le serveur local. Si l'analyse du stockage n'est pas
disponible, c'est qu'il n'y a aucun dossier partagé sur votre serveur.
Analyse de votre ordinateur
Cette option vous permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les
fichiers infectés sans intervention de l'utilisateur. L'avantage de l'analyse de votre ordinateur est
qu'elle est facile à utiliser et n'exige pas une configuration détaillée de l'analyse. Cette vérification
analyse tous les fichiers sur les disques durs locaux et nettoie ou supprime automatiquement les
infiltrations détectées. Le niveau de nettoyage est automatiquement réglé à sa valeur par défaut.
Pour plus de détails sur les types de nettoyage, consultez la rubrique Nettoyage.
REMARQUE
Il est recommandé d'exécuter une analyse de l'ordinateur au moins une fois par mois. Cette
analyse peut être configurée comme tâche planifiée.
Analyse personnalisée
L'analyse personnalisée est une solution optimale si vous souhaitez préciser des paramètres
d'analyse tels que les cibles et les méthodes d'analyse. L'avantage de l'analyse personnalisée
réside dans la possibilité de configurer les paramètres d'analyse de manière détaillée. Les
46
configurations peuvent être enregistrées comme des profils d'analyse définis par l'utilisateur, ce
qui peut être utile pour effectuer régulièrement une analyse avec les mêmes paramètres.
Analyse des supports amovibles
Semblable à l'analyse intelligente - lance rapidement une analyse des supports amovibles
(comme les CD/DVD/USB) actuellement connectés à l'ordinateur. Cela peut être utile lorsque vous
connectez une clé USB à un ordinateur et que vous souhaitez l'analyser pour y rechercher les
logiciels malveillants et autres menaces potentielles. Ce type d'analyse peut également être lancé
en cliquant sur Analyse personnalisée, puis en sélectionnant Supports amovibles dans le
menu déroulant Cibles à analyser et ensuite en cliquant sur Analyser.
Analyse Hyper-V
Cette option n'est visible dans le menu que si Hyper-V Manager est installé sur le serveur qui
exécute ESET Mail Security. L'analyse Hyper-V permet de faire l'analyse des disques de la
Machine virtuelle (MV) sur le serveur Microsoft Hyper-V sans avoir besoin d'installer des
« agents » sur la MV en question.
Répéter la dernière analyse utilisée
Répète votre dernière opération d'analyse en utilisant exactement les mêmes paramètres.
REMARQUE
La répétition de la dernière fonction d'analyse n'est pas disponible si l'option Analyse de la base
de données à la demande est présente.
47
Vous pouvez utiliser des options et afficher plus d'informations sur les états d'analyse :
Glisser-déposer des
fichiers
Vous pouvez également faire glisser et déposer des fichiers dans la fenêtre
d'analyse de ESET Mail Security. Ces fichiers seront analysés
immédiatement à la recherche de virus.
Rejeter/Rejeter tout
Rejet de messages donnés.
États de l'analyse
Affiche l'état de l'analyse initiale Cette analyse est terminée ou a été
interrompue par l'utilisateur.
Afficher le journal
Affiche des informations plus détaillées.
Plus de détails
Vous pouvez cliquer sur Plus de détails pendant l'analyse pour voir des
détails comme l'Utilisateur qui a lancé le processus d'analyse, le nombre
d'Objets analysés et la Durée de l'analyse. Si une Analyse de base de
données à la demande est en cours d'exécution, l'utilisateur qui l'a lancée
s'affiche et non pas le Compte d'analyse de base de données qui est utilisé
pour la connexion à EWS (Exchange Web Services) pendant le processus
d'analyse.
Ouvrir la fenêtre
d'analyse
La fenêtre de progression de l'analyse affiche l'état actuel de l'analyse ainsi
que de l'information sur le nombre de fichiers contenant des programmes
malveillants trouvés.
Fenêtre d'analyse et journal d'analyse
La fenêtre d'analyse affiche les objets actuellement analysés, y compris leur emplacement, le nombre
de menaces trouvées (le cas échéant), le nombre d'objets analysés et la durée de l'analyse. La partie
inférieure de la fenêtre est un journal d'analyse qui indique le numéro de version du moteur de
détection, la date et l'heure du début de l'analyse et la sélection de la cible.
Une fois l'analyse en cours, vous pouvez cliquer sur Suspendre si vous souhaitez interrompre
temporairement l'analyse. L'option Reprendre est disponible lorsque le processus d'analyse est
suspendu.
48
Faire défiler le journal de l'analyse
Laissez cette option cochée pour activer le défilement automatique des anciens journaux et
afficher les journaux actifs, dans la fenêtre Fichiers journaux.
REMARQUE
Il est normal que certains fichiers, comme les fichiers protégés par mot de passe ou les fichiers
utilisés exclusivement par le système (généralement, les fichiers pagefile.sys et certains fichiers
journaux), ne puissent pas être analysés.
Une fois l'analyse terminée, le journal d'analyse s'affiche avec toutes les informations pertinentes
liées à l'analyse en question.
49
Cliquez sur l'icône du commutateur
Filtrage pour ouvrir la fenêtre Filtrage du journal dans
laquelle vous pouvez définir des critères de filtrage ou de recherche. Pour afficher le menu
contextuel, cliquez avec le bouton droit sur une entrée de journal spécifique :
Action
Usage
Raccourci
Filtrer les mêmes
enregistrements
Active le filtrage des journaux et n'affiche que les
entrées de même type que celle qui a été
sélectionnée.
Ctrl + Shift
+F
Filtrer...
Après avoir cliqué sur cette option, la fenêtre
Filtrage des journaux permet de définir les critères
de filtrage à utiliser pour des entrées particulières
du journal.
Activer le filtre
Active les paramètres du filtre. La première fois
que vous activez le filtrage, vous devez définir les
paramètres.
Désactiver le filtre
Désactive le filtrage (comme lorsque vous cliquez
sur l'interrupteur dans le bas).
Copier
Copie l'information des enregistrements
sélectionnés ou surlignés dans le presse-papier.
Tout copier
Copie les renseignements provenant de tous les
enregistrements affichés dans la fenêtre.
Exporter...
Exporte l'information contenue dans les
enregistrements sélectionnés/surlignés dans un
fichier XML.
50
Consultez
également
Filtrage du
journal
Ctrl + C
Action
Usage
Tout exporter...
Exporte tous les renseignements dans la fenêtre
dans un fichier XML.
Raccourci
Consultez
également
Fichiers journaux
Les fichiers journaux contiennent les événements importants qui ont eu lieu et donnent un aperçu des
résultats des analyses ainsi que des menaces détectées. Les journaux sont des outils essentiels pour
l'analyse système, la détection de menaces et le dépannage. La journalisation est toujours active en
arrière-plan, sans interaction de l'utilisateur. Les données sont enregistrées en fonction des
paramètres actifs de verbosité. Il est possible d'afficher les messages textes et les journaux
directement à partir de l'environnement ESET Mail Security ou de les exporter pour les afficher
ailleurs.
Choisissez le type de journal approprié dans le menu déroulant. Les journaux suivants sont
disponibles :
Détections
Le journal des menaces contient de l'information détaillée sur les infiltrations détectées par les
modules de ESET Mail Security. Cela inclut l'heure de détection, le nom de l'infiltration,
l'emplacement, la mesure prise et le nom de l'utilisateur connecté au moment où l'infiltration a
été détectée. Double-cliquez sur une entrée du journal pour afficher ses détails dans une fenêtre
séparée. Si nécessaire, vous pouvez créer une exclusion de détection; cliquez avec le bouton droit
sur un enregistrement de journal (détection) et cliquez sur Créer une exclusion. Cela ouvrira
l'assistant d'exclusion avec des critères prédéfinis. S'il y a un nom de détection à côté d'un fichier
exclu, cela signifie que le fichier n'est exclu que pour la détection donnée. Si ce fichier est infecté
plus tard par d'autres logiciels malveillants, il sera détecté.
Événements
Toutes les actions importantes exécutées par ESET Mail Security sont enregistrées dans le journal
des événements. Le journal des événements contient de l'information sur les événements qui se
sont produits dans le programme. Il permet aux administrateurs système et aux utilisateurs de
résoudre des problèmes. L'information qu'on y trouve peut souvent permettre de trouver une
solution à un problème qui s'est produit dans le programme.
Analyse de l'ordinateur
Tous les résultats d'analyse s'affichent dans cette fenêtre. Chaque ligne correspond à un seul
contrôle d'ordinateur. Double-cliquez sur n'importe quelle entrée pour afficher les détails de
l'analyse correspondante.
Fichiers bloqués
Contient des enregistrements de fichiers bloqués et inaccessibles. Le protocole indique la raison
et le module source qui a bloqué le fichier, ainsi que l'application et l'utilisateur qui ont exécuté le
fichier.
Fichiers envoyés
51
Contient des enregistrements de fichiers de la protection basée sur le nuage, d'ESET Dynamic
Threat Defense et de ESET LiveGrid®.
HIPS
Contient des enregistrements de règles particulières marquées pour enregistrement. Ce protocole
affiche l'application ayant appelé l'opération, le résultat (si la règle a été autorisée ou non) et le
nom de la règle créée.
Protection du réseau
Contient des enregistrements de fichiers qui ont été bloqués par la protection contre les réseaux
de zombies et IDS (protection contre les attaques réseau).
Sites Web traités par le filtre
Une liste de sites Web ayant été bloqués par la protection de l'accès Web et la protection
antihameçonnage des courriels. Ces journaux affichent le moment, l'URL, l'utilisateur et
l'application ayant établie une connexion au site Web en question.
Contrôle de périphériques
Contient les enregistrements relatifs aux supports amovibles ou périphériques ayant été
connectés à l'ordinateur. Seuls les périphériques liés à une règle de contrôle des périphériques
seront inscrits dans le fichier journal. Si un périphérique connecté ne satisfait pas les critères de la
règle, aucune entrée journal ne sera créée à la connexion de ce périphérique. Vous pouvez aussi
y voir différents détails, comme le type de périphérique, le numéro de série, le nom du
fournisseur et la taille du support (si elle est disponible).
Protection du serveur de messagerie
Tous les messages détectés par ESET Mail Security comme infiltration ou comme pourriel sont
enregistrés ici. Ces journaux s'appliquent aux types de protection suivants : Antipourriel,
Antihameçonnage, Règles et Anti-logiciel malveillant. Lorsque vous double-cliquez sur un
élément, une fenêtre contextuelle s'ouvre contenant des renseignements supplémentaires sur le
courriel détecté, comme l'adresse IP, le domaine HELO, l'ID du message, le type d'analyse
indiquant la couche de protection sur laquelle il a été détecté. En outre, vous pouvez voir le
résultat de l'analyse Anti-logiciel malveillant, Antihameçonnage et Antipourriel ainsi que la raison
pour laquelle il a été détecté ou si une règle a été activée.
REMARQUE
Tous les messages traités ne sont pas enregistrés dans un journal de protection du serveur de
messagerie. Cependant, tous les messages réellement modifiés (pièce jointe supprimée, chaîne
personnalisée ajoutée à un en-tête de message, etc.) sont inscrits dans le journal.
Analyse de la base de données de la boîte de courriels
Contient la version du moteur de détection, la date, l'emplacement analysé, le nombre d'objets
analysés, le nombre de menaces trouvées, le nombre d'occurrences de la règle et la durée de
l'analyse.
Protection SMTP
52
Tous les messages qui ont été évalués à l'aide de la méthode de mise en liste grise, de SPF et de
rétrodiffusion sont également affichés ici. Chaque enregistrement contient le domaine HELO,
l'adresse IP de l'expéditeur et du destinataire, les états des actions (rejetées, rejetées (non
vérifiées) et les messages entrants vérifiés). Il y a une nouvelle action pour ajouter des sousdomaines dans la liste blanche de listes grises, voir le tableau ci-dessous
Analyse Hyper-V
Contient une liste des résultats de l'analyse Hyper-V. Double-cliquez sur n'importe quelle entrée
pour afficher les détails de l'analyse correspondante.
Le menu contextuel (clic droit) vous permet de choisir une action avec l'enregistrement de journal
sélectionné :
Action
Usage
Afficher
Affiche des renseignements plus détaillés sur le
journal sélectionné dans une nouvelle fenêtre
(comme avec le double-clic).
Filtrer les mêmes
enregistrements
Active le filtrage des journaux et n'affiche que les
entrées de même type que celle qui a été
sélectionnée.
Filtrer...
Après avoir cliqué sur cette option, la fenêtre
Filtrage des journaux permet de définir les critères
de filtrage à utiliser pour des entrées particulières
du journal.
53
Raccourci Consultez
également
Ctrl + Shift
+F
Filtrage du
journal
Action
Usage
Activer le filtre
Active les paramètres du filtre. La première fois que
vous activez le filtrage, vous devez définir les
paramètres.
Désactiver le filtre
Désactive le filtrage (comme lorsque vous cliquez
sur l'interrupteur dans le bas).
Copier
Copie l'information des enregistrements
sélectionnés ou surlignés dans le presse-papier.
Tout copier
Copie les renseignements provenant de tous les
enregistrements affichés dans la fenêtre.
Supprimer
Supprime le ou les enregistrements
sélectionnés/surlignés - cette action requière des
privilèges administrateur.
Supprimer tout
Supprime tous les enregistrements dans la fenêtre cette action requière des privilèges administrateur.
Exporter...
Exporte l'information contenue dans les
enregistrements sélectionnés/surlignés dans un
fichier XML.
Tout exporter...
Exporte tous les renseignements dans la fenêtre
dans un fichier XML.
Rechercher...
Ouvre la fenêtre Trouver dans le journal et permet Ctrl + F
de définir les critères de recherche. Vous pouvez
utiliser la fonction Rechercher pour localiser un
enregistrement spécifique même lorsque le filtrage
est activé.
Rechercher suivant
Recherche la prochaine occurrence du critère de
recherche défini.
F3
Rechercher
précédent
Trouve l'occurrence précédente.
Shift + F3
Créer une exclusion Permet d'exclure des objets du nettoyage en
utilisant le nom de la détection, le chemin ou son
hachage.
Raccourci Consultez
également
Ctrl + C
Trouver dans
le journal
Créer une
exclusion
Ajouter l'adresse IP à la Ajoute l'adresse IP de l'expéditeur à la liste blanche d'adresses IP. Vous
liste blanche de la mise pouvez trouver la liste blanche des adresses IP dans Filtrage et vérification
en liste grise
des sections Mise en liste grise et SPF. Cela s'applique aux éléments
enregistrés par la Mise en liste grise ou SPF.
Ajouter le domaine à la Ajoute le domaine de l'expéditeur à la liste des domaines à mettre
liste blanche de la mise l'adresse IP en liste blanche. Seul le domaine est ajouté, le sous-domaine
en liste grise et à SPF est ignoré. Par exemple, si l'adresse de l'expéditeur est sub.domain.com,
seul domain.com est ajouté à la liste blanche. Vous pouvez trouver la liste
des domaines à mettre l'adresse IP en liste blanche dans la section Mise en
liste grise et SPF de la section Filtrage et vérification. Cela s’applique aux
éléments enregistrés par la mise en liste grise.
54
Ajouter le sousdomaine à la liste
blanche de la mise en
liste grise et à SPF
Ajoute le sous-domaine de l'expéditeur à la liste des domaines à mettre
l'adresse IP en liste blanche. Tout le domaine est ajouté, y compris le sousdomaine. Par exemple, sub.domain.com. Vous avez ainsi plus de flexibilité
si nécessaire. Vous pouvez trouver la liste des domaines à mettre l'adresse
IP en liste blanche dans la section Mise en liste grise et SPF de la section
Filtrage et vérification. Cela s’applique aux éléments enregistrés par la
mise en liste grise.
Filtrage du journal
La fonction de filtrage des journaux vous aidera à trouver les informations que vous recherchez, en
particulier lorsqu'il existe de nombreux enregistrements. Il vous permet de restreindre les
enregistrements de journaux, par exemple, si vous recherchez un type spécifique d'événement, de
statut ou de période. Vous pouvez filtrer les enregistrements de journaux en spécifiant certaines
options de recherche, seuls les enregistrements pertinents (en fonction de ces options de recherche)
seront affichés dans la fenêtre Fichiers journaux.
Tapez le mot-clé que vous recherchez dans le champ Trouver le texte. Utilisez le menu déroulant
Rechercher dans les colonnes pour affiner votre recherche. Choisissez un ou plusieurs
enregistrements dans le menu déroulant Types d'enregistrement du journal. Définissez la
Période à partir de laquelle vous souhaitez afficher les résultats. Vous pouvez également utiliser
d'autres options de recherche, telles que Correspondance de mots entiers uniquement ou
Sensible à la casse.
55
Rechercher texte
Tapez une chaîne de caractères (mot ou partie d'un mot). Seuls les enregistrements contenant
cette chaîne de caractères seront affichés. Les autres enregistrements seront omis.
Rechercher dans les colonnes
Sélectionnez les colonnes qui seront considérées dans la recherche. Vous pouvez cocher une ou
plusieurs colonnes à utiliser dans la recherche.
Types d'enregistrement
Choisissez un ou plusieurs types d'enregistrement du journal dans le menu déroulant :
• Diagnostic - Consigne l'information requise pour mettre au point le programme et toutes les
entrées préalables.
• Informative - Enregistre des messages informatifs, y compris les messages de mise à jour
réussie, ainsi que toutes les entrées préalables.
• Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
• Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et les erreurs critiques
seront enregistrées.
• Critique - Ne consigne que les erreurs critiques.
Période
Définissez la période pendant laquelle vous voulez que les résultats soient affichés :
• Journal entier (valeur par défaut) - ne limite pas la recherche à la période, cherche plutôt
dans l'ensemble du journal
• Dernier jour
• Dernière semaine
• Dernier mois
• Intervalle - Vous pouvez spécifier la période exacte (De : et À :) pour filtrer uniquement les
enregistrements de la période spécifiée.
Mots entiers seulement
Cochez cette case si vous voulez rechercher des mots entiers particuliers pour obtenir des
résultats de recherche plus précis.
Respect de la casse
Activez cette option si vous devez absolument utiliser des majuscules ou des minuscules pendant
le filtrage. Une fois que vous avez configuré vos options de filtrage ou de recherche, cliquez sur
OK pour afficher les enregistrements de journaux filtrés ou sur Rechercher pour lancer la
recherche. La recherche s'effectue de haut en bas dans les fichiers journaux, à partir de votre
position actuelle (l'enregistrement mis en surbrillance). La recherche s'arrête lorsqu'elle trouve le
premier enregistrement correspondant. Appuyez sur F3 pour rechercher l'enregistrement suivant
ou cliquez avec le bouton droit et sélectionnez Rechercher pour affiner vos options de recherche.
Mettre à jour
Dans la section Mise à jour, vous pouvez voir l'état actuel de mise à jour de votre ESET Mail Security,
56
y compris la date et l'heure de la dernière mise à jour réussie. La mise à jour régulière de ESET Mail
Security constitue la meilleure méthode pour maintenir le niveau maximal de sécurité pour votre
serveur. Le module de mise à jour veille à ce que le programme soit toujours à jour de deux façons :
en mettant à jour le moteur de détection et les composants système. La mise à jour du moteur de
détection et des composants du programme est un élément important de la protection complète
contre les codes malveillants.
REMARQUE
Si vous n'avez pas encore entré la clé de licence, vous ne pourrez pas recevoir de mises à jour et
vous serez invité à activer votre produit. Pour ce faire, accédez à Aide et assistance > Activer
le produit.
Version actuelle
Version de ESET Mail Security.
Dernière mise à jour réussie
Date de la dernière mise à jour. Assurez-vous qu'il s'agit d'une date récente indiquant que les
modules sont à jour.
Dernière vérification des mises à jour
La date de la dernière tentative de mise à jour des modules.
Afficher tous les modules
57
Pour ouvrir la liste des modules installés.
Rechercher des mises à jour
La mise à jour des modules est un élément important d'une protection complète contre les codes
malveillants.
Changer la fréquence de mise à jour
Vous pouvez modifier le calendrier des tâches pour la tâche du planificateur Mise à jour
automatique régulière.
Si vous ne vérifiez pas les mises à jour dès que possible, l'un des messages suivants s'affichera :
Message d'erreur
Descriptions
La mise à jour des
Cette erreur apparaît après plusieurs tentatives infructueuses de mise à
modules n'est pas à jour jour des modules. Nous recommandons de vérifier les paramètres de mise
à jour. La cause la plus fréquente de cette erreur est une saisie incorrecte
des données d'authentification ou une configuration incorrecte des
paramètres de connexion.
Le produit n'est pas
activé
La clé de licence contient une erreur dans la configuration des mises à
jour. Veuillez vérifier vos données d'authentification. La fenêtre
Configuration avancée (F5) contient des options de mise à jour
supplémentaires. Cliquez sur Aide et assistance > Gérer les licences à
partir du menu principal pour entrer une nouvelle clé de licence.
Une erreur s'est produite
pendant le
téléchargement des
fichiers de mise à jour
Les paramètres de connexion Internet sont une cause possible de cette
erreur. Nous vous recommandons de vérifier votre connectivité à Internet
en ouvrant un site Web dans votre navigateur. Si le site Web ne s'ouvre
pas, il est probable qu'aucune connexion à Internet ne soit établie ou que
votre ordinateur ait des problèmes de connectivité. Consultez votre
fournisseur de services Internet si vous ne disposez pas d'une connexion
Internet active.
La mise à jour des
modules a échoué
Erreur 0073
Cliquez sur Mises à jour > Rechercher les mises à jour. Pour plus de
renseignements, consultez cet article de la base de connaissances .
REMARQUE
Les options du serveur mandataire peuvent varier selon les profils de mise à jour. Si tel est le cas,
configurez les différents profils de mise à jour dans la Configuration avancée (F5) en cliquant
sur Mise à jour > Profil.
Quarantaine de courriel
Les courriels et leurs composants, tels que les pièces jointes, sont mis en quarantaine de courriel au
lieu de la mise en quarantaine traditionnelle de fichiers. La mise en quarantaine des courriels permet
de gérer plus facilement les pourriels, les pièces jointes infectées contenant des logiciels malveillants
ou des messages d'hameçonnage. Il existe différentes raisons pour lesquelles les courriels sont mis
en quarantaine, en fonction du module de protection de ESET Mail Security qui gère le message (Antilogiciel malveillant, Antipourriels ou Règles).
Filtrage par icônes
Vous pouvez utiliser des icônes pour filtrer les messages afin de voir les pièces jointes, les
58
courriels ou les courriels contenant uniquement des pièces jointes.
Durée temporelle
Sélectionnez la période pour laquelle vous souhaitez voir les courriels en quarantaine. Lorsque
vous sélectionnez Personnalisé, vous pouvez spécifier une plage (De et À).
Recherche rapide
Entrez une chaîne dans la zone de texte pour filtrer les courriels affichés (la recherche s'applique
à toutes les colonnes).
Raison
Utilisez les cases à cocher pour filtrer davantage par type (Pourriel, Logiciel malveillant, règle ou
hameçonnage).
IMPORTANT
La mise à jour du gestionnaire de la Quarantaine de courriel ne s'effectue pas automatiquement.
Nous vous recommandons de cliquer sur Actualiser
de façon régulière pour afficher les
éléments les plus courants dans la Quarantaine de courriel.
Version
Libère le courriel vers le ou les destinataires d'origine à l'aide du répertoire Replay et le supprime
de la quarantaine. Cliquez sur Oui pour confirmer l'action. Si l'élément en quarantaine est une
pièce jointe provenant d'un dossier public dont la fonctionnalité de courriel est activée, le bouton
59
Libérer n'est pas disponible.
REMARQUE
Lors de la libération des courriels de la quarantaine, ESET Mail Security ignore l'en-tête MIME To:,
car il peut facilement être mystifié. À la place, l'information de destinataire initial obtenue grâce à
la commande RCPT TO: pendant la connexion SMTP est utilisée. Cela garantit que le message qui
est libéré de la quarantaine sera remis au bon destinataire.
Supprimer
Supprime l'élément de la quarantaine. Cliquez sur Oui pour confirmer l'action. Les éléments
supprimés par l'interface graphique sont supprimés de l'affichage de la quarantaine, mais
conservés en mémoire. Ceux-ci sont automatiquement supprimés plus tard (après 3 jours par
défaut).
Restaurer vers
Cette option vous permet de restaurer une ou plusieurs pièces jointes à un emplacement spécifié.
Elle est disponible uniquement pour les pièces jointes (elle sera grisée pour les messages). Si
vous devez traiter l'intégralité du message, utilisez la fonction Libérer à cet effet.
Détails du courriel mis en Quarantaine
Double cliquez sur le message mis en quarantaine ou faites un clic droit, puis sélectionnez
Détails, une fenêtre contextuelle s'ouvrira, affichant les détails sur le message mis en
quarantaine. Vous pouvez également obtenir de plus amples renseignements sur ce courriel dans
l'en-tête du courriel RFC.
Détails de la pièce jointe mise en Quarantaine
Lorsque vous double-cliquez sur une pièce jointe, la boîte de dialogue de détail est différente de la
boîte de dialogue de détail du message. Les en-têtes RFC ne sont pas disponibles, mais une zone
avec un texte d'enveloppe de pièce jointe s'affiche. Vous pouvez entrer un texte personnalisé de
l'enveloppe de pièce jointe lorsque vous le libérez de la mise en quarantaine des courriels.
Des actions sont également disponibles dans le menu contextuel. Si vous le souhaitez, cliquez sur
Libérer, Supprimer ou Supprimer définitivement pour effectuer une action avec un courriel mis
en quarantaine. Cliquez sur Oui pour confirmer l'action. Si vous choisissez Supprimer
définitivement, le message sera également supprimé du système de fichiers, contrairement à
Supprimer qui supprimera l'élément de l'affichage Gestionnaire de quarantaine des courriels.
60
Configuration
La fenêtre du menu Configuration contient les sections suivantes :
• Serveur
• Ordinateur
• Réseau
• Web et messagerie
• Outils - Journalisation de diagnostic
61
Pour désactiver temporairement des modules individuels, cliquez sur le
situé à côté du module
désiré. Notez que cela peut réduire le niveau de protection de votre serveur.
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur le commutateur rouge
pour rétablir le composant à son état activé.
Pour accéder aux paramètres détaillés d'un composant de sécurité en particulier, cliquez sur l'icône
de la roue dentée .
Importer/exporter les paramètres
Chargez les paramètres de configuration à l'aide d'un fichier de configuration .xml ou enregistrez
les paramètres de configuration actuels dans un fichier de configuration.
Configuration avancée
Configurez les paramètres et les options avancés en fonction de vos besoins. Pour accéder à
l'écran Configuration avancée à partir de n'importe quel endroit du programme, appuyez sur
F5.
Serveur
Vous verrez une liste de composants que vous pouvez activer/désactiver en utilisant le commutateur
. Pour configurer les paramètres d'un élément de la liste en particulier, cliquez sur la roue
dentée .
62
Protection antivirus
Protège le système des attaques malveillantes en contrôlant les échanges de fichiers et de
courriels, ainsi que les communications Internet.
Protection antipourriel
Intègre plusieurs technologies (RBL, DNSBL, pistage par empreinte numérique unique, vérification
de la réputation, analyse du contenu, règles, ajout manuel à la liste blanche et à la liste noire,
etc.) pour détecter le plus grand nombre possible de menaces par courriel.
Protection antihameçonnage
Analyse le corps des messages entrants à la recherche des liens d'hameçonnage (URL).
Exclusions automatiques
La fonctionnalité Exclusions automatiques identifie les applications serveur critiques et les fichiers
du système d'exploitation du serveur et les ajoute automatiquement à la liste des exclusions. Elle
minimisera le risque de conflits potentiels et augmentera la performance globale du serveur sur
lequel s'exécute un logiciel de détection de menaces.
Grappe
Configurer et activer la grappe ESET.
Pour désactiver temporairement des modules individuels, cliquez sur le
situé à côté du module
désiré. Notez que cela peut réduire le niveau de protection de votre serveur.
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur le commutateur rouge
pour rétablir le composant à son état activé.
Pour accéder aux paramètres détaillés d'un composant de sécurité en particulier, cliquez sur l'icône
de la roue dentée .
Importer/exporter les paramètres
Chargez les paramètres de configuration à l'aide d'un fichier de configuration .xml ou enregistrez
les paramètres de configuration actuels dans un fichier de configuration.
Configuration avancée
Configurez les paramètres et les options avancés en fonction de vos besoins. Pour accéder à
l'écran Configuration avancée à partir de n'importe quel endroit du programme, appuyez sur
F5.
Ordinateur
ESET Mail Security possède tous les composants nécessaires pour assurer une protection
considérable du serveur en tant qu'ordinateur. Ce module vous permet d'activer ou de désactiver et
de configurer les composants suivants :
63
Protection en temps réel du système de fichier
Tous les fichiers sont analysés à la recherche de programmes malveillants à leur ouverture, leur
création ou leur exécution sur votre ordinateur. La Protection en temps réel du système de
fichiers offre aussi la possibilité de Configurer ou de Modifier les exclusions, qui ouvre la
fenêtre des paramètres des exclusions, à partir de laquelle vous pouvez exclure des fichiers et
des dossiers de l'analyse.
Contrôle de périphériques
Ce module vous permet d'analyser, de bloquer ou de régler les filtres ou les permissions étendus
et de définir la capacité d'un utilisateur d'accéder à un périphérique donné et de travailler avec
celui-ci.
Host Intrusion Prevention System (HIPS)
Ce système surveille les événements qui se produisent dans le système d'exploitation et réagit à
ces derniers, en fonction d'un ensemble personnalisé de règles.
• Analyseur de mémoire avancé
• Exploit Blocker
• Bouclier contre les rançongiciels
Mode Présentation
Le mode de présentation est une fonctionnalité destinée aux utilisateurs qui exigent une
utilisation interrompue de leur logiciel, qui ne veulent pas être dérangés par des fenêtres
contextuelles et qui veulent minimiser la charge sur l'UC. Un message d'avertissement s'affichera
(risque potentiel à la sécurité) et la fenêtre principale deviendra orange après l'activation du
Mode Présentation.
Suspendre la protection antivirus et anti-logiciel espion
Chaque fois que vous désactivez temporairement la protection antivirus et anti-logiciel espion,
vous pouvez sélectionner la durée pendant laquelle vous voulez que le composant sélectionnez
soit désactivé en utilisant le menu déroulant puis en cliquant sur Appliquer pour désactiver le
composant de sécurité. Pour réactiver la protection, cliquez sur Activer la protection antivirus
et anti-logiciel espion ou activez en utilisant la barre de curseur.
Pour désactiver temporairement des modules individuels, cliquez sur le
situé à côté du module
désiré. Notez que cela peut réduire le niveau de protection de votre serveur.
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur le commutateur rouge
pour rétablir le composant à son état activé.
Pour accéder aux paramètres détaillés d'un composant de sécurité en particulier, cliquez sur l'icône
de la roue dentée .
Importer/exporter les paramètres
Chargez les paramètres de configuration à l'aide d'un fichier de configuration .xml ou enregistrez
64
les paramètres de configuration actuels dans un fichier de configuration.
Configuration avancée
Configurez les paramètres et les options avancés en fonction de vos besoins. Pour accéder à
l'écran Configuration avancée à partir de n'importe quel endroit du programme, appuyez sur
F5.
Réseau
Cela est possible en autorisant ou en refusant les connexions réseau individuelles en fonction de vos
règles de filtrage. Une protection est ainsi fournie contre les attaques provenant d'ordinateurs
distants et certains services potentiellement dangereux sont bloqués.
Le module réseau vous permet d'activer ou de désactiver et de configurer les composants suivants :
Protection contre les attaques sur le réseau (IDS)
Analyse le contenu du trafic réseau et protège contre les attaques réseau. Le trafic considéré
comme dangereux sera bloqué.
Protection contre les réseaux de zombies
Détection et blocage des communications de réseaux de zombies . Identifie rapidement et avec
précision les logiciels malveillants dans le système.
Liste noire temporaire des adresses IP (adresses bloquées)
Voir une liste des adresses IP ayant été détectées comme des sources d'attaque et ajoutées à la
liste noire pour éviter toute connexion pendant un certain temps.
Assistant de dépannage (applications ou appareils récemment bloqués)
Vous aide à résoudre les problèmes de connectivité causés par la protection contre les attaques
de réseau.
Pour désactiver temporairement des modules individuels, cliquez sur le
situé à côté du module
désiré. Notez que cela peut réduire le niveau de protection de votre serveur.
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur le commutateur rouge
pour rétablir le composant à son état activé.
Pour accéder aux paramètres détaillés d'un composant de sécurité en particulier, cliquez sur l'icône
de la roue dentée .
Importer/exporter les paramètres
Chargez les paramètres de configuration à l'aide d'un fichier de configuration .xml ou enregistrez
les paramètres de configuration actuels dans un fichier de configuration.
Configuration avancée
65
Configurez les paramètres et les options avancés en fonction de vos besoins. Pour accéder à
l'écran Configuration avancée à partir de n'importe quel endroit du programme, appuyez sur
F5.
Assistant de dépannage réseau
L'assistant de dépannage surveille toutes les connexions bloquées et vous guide tout au long du
processus de dépannage pour corriger les problèmes de protection contre les attaques réseau avec
des applications ou des périphériques spécifiques. Ensuite, l'assistant vous propose un nouvel
ensemble de règles à appliquer si vous les approuvez.
Web et messagerie
Web et messagerie vous permet d'activer ou de désactiver et de configurer les composants suivants :
Protection de l'accès Web
Si cette option est activée, tout le trafic HTTP ou HTTPS est analysé à la recherche de logiciels
malveillants.
Protection du client de messagerie
Surveille les communications reçues par l'entremise des protocoles POP3 et IMAP.
Protection anti-hameçonnage
Protège contre les tentatives de vol de vos mots de passe, de vos données bancaires et d'autres
informations sensibles par des sites Web illégitimes déguisés en sites légitimes.
Pour désactiver temporairement des modules individuels, cliquez sur le
situé à côté du module
désiré. Notez que cela peut réduire le niveau de protection de votre serveur.
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur le commutateur rouge
pour rétablir le composant à son état activé.
Pour accéder aux paramètres détaillés d'un composant de sécurité en particulier, cliquez sur l'icône
de la roue dentée .
Importer/exporter les paramètres
Chargez les paramètres de configuration à l'aide d'un fichier de configuration .xml ou enregistrez
les paramètres de configuration actuels dans un fichier de configuration.
Configuration avancée
Configurez les paramètres et les options avancés en fonction de vos besoins. Pour accéder à
l'écran Configuration avancée à partir de n'importe quel endroit du programme, appuyez sur
F5.
Outils - Journalisation de diagnostic
Vous pouvez activer la journalisation de diagnostic lorsque vous avez besoin d'informations détaillées
66
sur le comportement d'une fonctionnalité spécifique de ESET Mail Security, par exemple lors du
dépannage. Lorsque vous cliquez sur l'icône en forme d'engrenage
fonctions à utiliser pour les journaux de diagnostic.
, vous pouvez configurer les
Choisissez la durée de son activation (10 minutes, 30 minutes, 1 heure, 4 heures, 24 heures, jusqu'au
prochaine redémarrage du serveur ou en permanence). Une fois la journalisation de diagnostic
activée, ESET Mail Security collecte les journaux détaillés en fonction des fonctionnalités activées.
Pour désactiver temporairement des modules individuels, cliquez sur le
situé à côté du module
désiré. Notez que cela peut réduire le niveau de protection de votre serveur.
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur le commutateur rouge
pour rétablir le composant à son état activé.
Pour accéder aux paramètres détaillés d'un composant de sécurité en particulier, cliquez sur l'icône
de la roue dentée .
Importer/exporter les paramètres
Chargez les paramètres de configuration à l'aide d'un fichier de configuration .xml ou enregistrez
les paramètres de configuration actuels dans un fichier de configuration.
Configuration avancée
Configurez les paramètres et les options avancés en fonction de vos besoins. Pour accéder à
67
l'écran Configuration avancée à partir de n'importe quel endroit du programme, appuyez sur
F5.
Importation et exportation des paramètres
La fonction d'importation/exportation est utile si vous avez besoin de sauvegarder la configuration
actuelle de votre ESET Mail Security. Vous pouvez également utiliser la fonction d'importation pour
distribuer ou appliquer les mêmes paramètres aux autres serveurs avec ESET Mail Security. Les
paramètres sont exportés vers un fichier .xml.
REMARQUE
Une erreur peur se produire lors de l'exportation de paramètres si vous n'avez pas les privilèges
pour écrire le fichier exporté dans le répertoire spécifié.
Outils
Les fonctionnalités suivantes sont disponibles pour l'administration de ESET Mail Security :
• Processus en cours
• Surveiller l'activité
• Statistiques de protection
• Grappe
• ESET Shell
• ESET Dynamic Threat Defense
• ESET SysInspector
• ESET SysRescue Live
68
• Planificateur
• Soumettre l'échantillon pour fins d'analyse
• Quarantaine
Processus en cours
Processus en cours affiche les programmes ou processus en cours d'exécution sur votre ordinateur et
s'assure qu'ESET est continuellement avisé des nouvelles infiltrations, et ce, dès qu'elles se
produisent. ESET Mail Security donne de l'information détaillée sur les processus en cours d'exécution
pour protéger les utilisateurs grâce à la technologie ESET LiveGrid®.
69
REMARQUE
Les applications connues marquées comme Meilleure réputation (vert) sont propres (ajoutées à la
liste blanche) et sont exclues de l'analyse, puisque cela permet d'améliorer la vitesse de l'analyse
à la demande ou de la protection en temps réel du système de fichiers sur votre ordinateur.
Réputation
Dans la plupart des cas, ESET Mail Security et la technologie ESET LiveGrid®
déterminent la réputation d'un objet à l'aide d'une série de règles heuristiques qui
examinent les caractéristiques de chaque objet (fichiers, processus, clés de
registre, etc.), puis évaluent leur potentiel d'activité malveillante. Sur la base de
ces heuristiques, les objets se voient attribuer un niveau de réputation allant de 9
- Meilleure réputation (vert) à 0 - Pire réputation (rouge).
Processus
Nom de l'image du programme ou du processus actuellement en cours
d'exécution sur votre ordinateur. Vous pouvez aussi utiliser le Gestionnaire des
tâches de Windows pour afficher tous les processus en cours d'exécution sur votre
ordinateur. Vous pouvez ouvrir le Gestionnaire des tâches en cliquant à droite
dans une zone vide de la barre des tâches, puis sur Gestionnaire des tâches, ou
vous pouvez également appuyer sur les touches Ctrl+Shift+Esc de votre clavier.
PID
C'est un identifiant des processus s'exécutant sur les systèmes d'exploitation
Windows.
Nombre
d'utilisateurs
Le nombre d'utilisateurs qui utilisent une application donnée. Cette information est
colligée par la technologie ESET LiveGrid®.
Heure de la
découverte
Période depuis que l'application a été découverte par la technologie ESET
LiveGrid®.
Nom de
l'application
Le nom d'un programme ou d'un processus donné.
70
REMARQUE
Lorsqu'une application est marquée comme Inconnue (orange) , elle n'est pas nécessairement un
logiciel malveillant. Il s'agit généralement d'une application plus récente. Si vous avez des doutes
au sujet du fichier, utilisez la fonction Soumettre le fichier pour fins d'analyse pour envoyer le
fichier au laboratoire ESET Virus Lab. Si le fichier se révèle être une application malveillante, sa
détection sera ajoutée à l'une des prochaines mises à jour du moteur de détection.
Afficher les détails
L'information suivante s'affichera dans le bas de la fenêtre :
• Chemin - Emplacement d'une application sur votre ordinateur.
• Taille - Taille du fichier indiquée en Ko (kilooctets) ou en Mo (mégaoctets).
• Description - Caractéristiques du fichier, en fonction de la description provenant du système
d'exploitation.
• Société - Nom du fournisseur ou du processus d'application.
• Version - Information de l'éditeur de l'application.
• Produit - Nom de l'application et/ou nom de l'entreprise.
• Date de création - Date et heure auxquelles une application a été créée.
• Date de modification - Date et heure auxquelles une application a été modifiée pour la
dernière fois.
Ajouter aux exclusions de processus
Cliquez avec le bouton droit de la souris sur un processus dans la fenêtre Processus en cours pour
l'exclure de l'analyse. Son chemin d'accès sera ajouté à la liste Exclusions de processus.
Surveiller l'activité
Surveiller l'activité donne une représentation graphique de l'activité. Dans le menu déroulant, il est
possible de sélectionner les activités suivantes :
Activité du système de fichiers
Quantité de données lues ou écrites L'axe vertical du graphique représente les données lues (en
bleu) et écrites (en vert).
Activité réseau
Quantité de données reçues. L'axe vertical du graphique représente les données reçues (en bleu)
et les données envoyées (en vert).
Activité du serveur de courriel
Quantité de données traitées par la protection du transport (en bleu) et protection de la base de
données (en vert).
Une chronologie qui enregistre l'activité du système de fichier en temps réel sur la base de l'intervalle
de temps sélectionné est située au bas du graphique. Utilisez le menu déroulant Fréquence de
rafraîchissement pour modifier la fréquence des mises à jour.
71
Les options suivantes sont disponibles :
1 seconde
Le graphique est actualisé toutes les secondes et la chronologie couvre les
10 dernières minutes.
1 minute (24 dernières
heures)
Le graphique est actualisé toutes les minutes et la chronologie couvre les
24 dernières heures.
1 heure (dernier mois)
Le graphique est actualisé toutes les heures et la chronologie couvre le
dernier mois.
1 heure (mois
sélectionné)
Le graphique est actualisé toutes les heures et la chronologie couvre le
mois sélectionné. Sélectionnez un mois (et une année) dans le menu
déroulant pour voir l'activité. Cliquez sur Changer.
Statistiques de protection
Pour afficher les données statistiques relatives aux modules de protection de ESET Mail Security,
sélectionnez le module de protection approprié dans le menu déroulant. Les statistiques incluent des
informations telles que le nombre de tous les objets analysés, le nombre d'objets infectés, le nombre
d'objets nettoyés et le nombre d'objets propres. Passez votre souris sur un objet à côté du graphique
et seules les données de cet objet spécifique s'afficheront dans le graphique. Pour effacer les
informations statistiques du module de protection en cours, cliquez sur Réinitialiser. Pour effacer les
données de tous les modules, cliquez sur Tout réinitialiser.
72
Les graphiques statistiques suivants sont disponibles dans ESET Mail Security :
Protection antivirus et anti-logiciel espion
Affiche le nombre d'objets total infectés et nettoyés.
Protection du système de fichiers
Affiche uniquement les objets lus ou écrits dans le système de fichier.
Protection Hyper-V
Affiche le nombre total d'objets infectés, nettoyés et propres (sur les systèmes avec Hyper-V
uniquement).
Protection du client de messagerie
Affiche uniquement les objets envoyés ou reçus par les clients de messagerie.
Protection de l'accès Web et anti-hameçonnage
Affiche les objets téléchargés par des navigateurs Web seulement.
Protection du serveur de messagerie
Affiche les statistiques du serveur de messagerie anti logiciels malveillants.
73
Protection antipourriel du serveur de messagerie
Affiche l'historique des statistiques antipourriel. Le nombre Non analysé se rapporte aux objets
exclus de l'analyse (sur la base des règles, des messages internes, des connexion vérifiées, etc.).
Protection de la liste grise du serveur de messagerie
Comprend les statistiques sur l'antipourriel générées par la méthode d'ajout à la liste grise.
Activité de protection du transport de courriel
Affiche les objets vérifiés, bloqués ou supprimés par le serveur de courriel.
Performance de la protection du transport de courriel
Affiche les données traitées par VSAPI ou par l'agent de transport en bits/seconde.
Activité de protection de la base de données de la boîte de courriel
Affiche les objets traités par VSAPI (nombre d'objets vérifiés, mise en quarantaine et supprimés).
Performance de la protection de la base de données de la boîte de courriel
Affiche les données traitées par VSAPI (nombres des différentes moyennes pour Aujourd'hui, les
Derniers 7 jours et les moyennes Depuis la dernière réinitialisation).
Grappe
La Grappe ESET est une infrastructure de communication P2P utilisée par la gamme de produits
ESET pour Microsoft Windows Server. La grappe ESET s'utilise idéalement dans lequel vous disposez
d'une infrastructure Exchange avec plusieurs serveurs tels que DAG.
Cette infrastructure permet aux produits de serveur ESET de communiquer les uns avec les autres et
d'échanger des données telles que la configuration et les notifications et peut synchroniser les bases
de données de mise en liste grises; elle permet également de synchroniser les données requises pour
le bon fonctionnement d'un groupe d'instances de produits. Il peut s'agir, par exemple, d'un groupe
de nœuds dans une grappe de basculement Windows ou d'une grappe d'équilibrage de la charge
réseau (ÉCR) sur lequel des produits ESET sont installés. Dans ces cas, il faut s'assurer que les
produits seront configurés de la même façon dans l'ensemble de la grappe. La grappe ESET garantit
l'uniformité entre les instances.
REMARQUE
Les paramètres de l'interface utilisateur ne sont pas synchronisés entre les nœuds de la grappe
ESET.
Il est possible d'accéder à la page d'état de la Grappe ESET à partir du menu principal sous Outils >
Grappe. Une fois la configuration réussie, voici à quoi la page d'état devrait ressembler :
74
REMARQUE
La création de grappes ESET entre ESET Mail Security et ESET File Security pour Linux n'est pas
prise en charge.
Lors de la configuration de la Grappe ESET, il existe deux moyens pour ajouter des nœuds :
Autodétection
Si vous disposez d'une grappe de basculement Windows ou d'une grappe d'équilibrage de la
charge réseau existante, l'autodétection ajoute automatiquement ses nœuds membres à la
grappe ESET.
Parcourir
Vous pouvez ajouter manuellement des nœuds en entrant le nom des serveurs (membres du
même groupe de travail ou du même domaine).
REMARQUE
Il n'est pas nécessaire que les serveurs soient des membres d'une grappe de basculement
Windows ou d'une grappe d'équilibrage de la charge réseau pour utiliser la fonctionnalité Grappe
ESET. Il n'est pas nécessaire que votre environnement soit doté d'une grappe de basculement
Windows ou d'une grappe d'équilibrage de la charge réseau pour utiliser les grappes ESET.
Une fois que vous avez ajouté les nœuds à votre Grappe ESET, la prochaine étape est l'installation
d'ESET Mail Security sur chaque nœud. Cette opération s'effectue automatiquement pendant la
configuration de la Grappe ESET. Authentifiant exigé lors de l'installation à distance de ESET Mail
Security sur d'autres nœuds de la grappe :
75
Cas du domaine
Authentifiant de l'administrateur du domaine
Cas du groupe de travail
Vous devez vous assurer que tous les nœuds utilisent le même authentifiant pour le compte
administrateur local.
Dans une grappe ESET, vous pouvez également inclure une combinaison de nœuds ajoutés
automatiquement en tant que membres de la grappe de basculement Windows/grappe d'équilibrage
de la charge réseau existante, ainsi que les nœuds ajoutés manuellement (à condition qu'ils
appartiennent au même domaine).
IMPORTANT
Il est impossible de combiner des nœuds d'un domaine à ceux d'un groupe de travail.
Pour utiliser une grappe ESET, il est également nécessaire que le partage des fichiers et de
l'imprimante soit activé dans le pare-feu Windows avant de pousser ESET Mail Security sur les
nœuds de la grappe ESET.
Vous pouvez ajouter de nouveaux nœuds à une grappe ESET existante à tout moment en exécutant
l'assistant pour la grappe.
Importer des certificats
Les certificats servent à fournir une authentification forte de machine à machine lorsque le
protocole HTTPS est utilisé. Il existe une hiérarchie de certificats indépendante pour chaque
grappe ESET. La hiérarchie possède un certificat racine et un ensemble de certificats de nœud
signés par le certificat racine. La clé privée du certificat racine est détruite après la création de
tous les certificats de nœud. Lorsque vous ajoutez un nouveau nœud à la grappe, une nouvelle
hiérarchie de certificats est créée. Accédez au dossier qui contient les certificats (qui ont été
générés pendant l'exécution de l'assistant pour la grappe). Sélectionnez le fichier de certificat et
cliquez sur Ouvrir.
Détruire la grappe
Les grappes ESET peuvent être démantelées. Chacun des nœuds créera une entrée dans le
journal des événements à propos de la destruction de la grappe ESET. Par la suite, toutes les
règles de pare-feu ESET seront supprimées du pare-feu Windows. Les anciens nœuds retrouveront
leur état antérieur et pourront être utilisés de nouveau dans une autre grappe ESET au besoin.
Assistant pour la grappe : Sélection des nœuds
La première étape lorsque vous configurez une grappe ESET consiste à ajouter des nœuds. Vous
pouvez utiliser soit l'option Détection automatique ou Parcourir pour ajouter des nœuds. De
manière alternative, vous pouvez entrer le nom du serveur dans la boîte de texte, puis cliquer sur le
bouton Ajouter.
Autodétection
Ajoute automatiquement les nœuds à partir d'une grappe de basculement Windows ou d'une
grappe d'équilibrage de la charge réseau existante. Pour que les nœuds puissent être ajoutés
76
automatiquement, le serveur que vous utilisez pour créer la grappe ESET doit appartenir à cette
grappe de basculement Windows ou à cette grappe d'équilibrage de la charge réseau. La
fonctionnalité Autoriser le contrôle à distance doit être activée dans les propriétés de la
grappe d'équilibrage de la charge réseau pour que la Grappe ESET puisse détecter correctement
les nœuds. Lorsque vous aurez la liste des nœuds nouvellement ajoutés, vous pourrez supprimer
ceux que vous ne voulez pas garder.
Parcourir
Pour rechercher et sélectionner les ordinateurs appartenant à un domaine ou à un groupe de
travail. Cette méthode vous permet d'ajouter des nœuds manuellement à la grappe ESET. Une
autre façon d'ajouter des nœuds est d'entrer le nom d'hôte du serveur que vous voulez ajouter et
de cliquer sur Ajouter.
Charge
Pour importer la liste des nœuds à partir d'un fichier.
Pour modifier les Nœuds de la grappe indiqués dans la liste, sélectionnez le nœud à supprimer et
cliquez sur Supprimer ou, pour effacer l'ensemble de la liste, cliquez sur en cliquant sur Supprimer
tout.
Si vous avez déjà une grappe ESET, vous pouvez y ajouter des nœuds en tout temps. Suivez les
mêmes étapes que celles décrites ci-dessus.
77
REMARQUE
Tous les nœuds qui restent dans la liste doivent être en ligne et accessibles. L'hôte local est
ajouté par défaut aux nœuds de la grappe.
Assistant pour la grappe : Paramètres de grappe
Définissez le nom de la grappe et les spécificités du réseau (si nécessaire).
Nom de la grappe
Saisissez un nom pour votre grappe, puis cliquez sur Suivant.
Port d'écoute - (9777 est le port par défaut)
Si vous utilisez déjà le port 9777 dans votre environnement réseau, spécifiez un autre numéro de
port qui n'est pas utilisé.
Ouvrir le port dans le pare-feu Windows
Lorsque cette option est sélectionnée, une règle est créée dans le pare-feu Windows.
Assistant pour la grappe : Paramètres de configuration de grappe
Sélectionnez le mode de distribution du certificat et choisissez si vous voulez ou non installer le
produit sur d'autres nœuds.
Distribution du certificat
• Automatiquement à distance - Le certificat sera installé automatiquement.
• Manuel : Cliquez sur Générer et sélectionnez le dossier approprié pour stocker les certificats.
Un certificat racine ainsi qu'un certificat pour chaque nœud, y compris celui (machine locale) à
partir duquel vous configurez la grappe ESET, seront créés. Pour inscrire le certificat sur la
machine locale, cliquez sur Oui.
Installation du produit sur d'autres nœuds
• Automatiquement à distance - ESET Mail Security sera installé automatiquement sur
chaque nœud (à condition que leur système d'exploitation utilise la même architecture).
• Manuel : Installez manuellement ESET Mail Security (par exemple, lorsque vos nœuds
utilisent des architectures avec des systèmes d'exploitation différents).
Pousser la licence aux noeuds sans activer le produit
Sélectionnez cette option pour que ESET Security active automatiquement les solutions ESET
installés sur les nœuds sans licence.
REMARQUE
Pour créer une grappe ESET en utilisant des architectures de système d'exploitation variées
(32 et 64 bits), vous devez installer ESET Mail Security manuellement. Le système d'exploitation
utilisé sera détectée dans les prochaines étapes et vous verrez cette information dans la fenêtre
du journal.
78
Assistant pour la grappe : Vérification des nœuds
Après avoir précisé les détails de l'installation, une vérification des nœuds sera effectuée. Les
informations suivantes seront affichées dans le Journal de vérification des nœuds :
• vérifier que tous les nœuds existants sont en ligne
• vérifier que les nouveaux nœuds sont accessibles
• le nœud est en ligne
• le partage administrateur est accessible
• l'exécution à distance est possible
• vérifier que les bonnes versions des produits sont installées (ou il n'y a pas de produit)
• vérifier que les nouveaux certificats sont présents
Vous verrez le rapport une fois la vérification terminée :
79
Assistant pour la grappe : Installation des nœuds
Lorsque le produit est installé sur une machine distante pendant l'initialisation de la grappe ESET,
l'assistant tente de localiser le programme d'installation dans le répertoire
%ProgramData%\ESET\ESET Security\Installer. Si le progiciel d'installation ne s'y trouve pas, il vous
sera demandé d'indiquer l'emplacement du fichier d'installation.
80
REMARQUE
Lorsque vous tentez d'utiliser l'installation à distance automatique pour un nœud utilisant une
architecture différente (32 bits versus 64 bits), le logiciel le détectera et vous recommandera
d'effectuer une installation manuelle.
81
Une fois que vous avez configuré correctement la grappe ESET, elle apparaîtra comme activée dans la
page Configuration > Serveur.
REMARQUE
Si une version antérieure de ESET Mail Security est déjà installée sur certains nœuds, vous serez
informé que la dernière version est requise sur ces machines. La mise à jour ESET Mail Security
peut entraîner un redémarrage automatique.
82
Vous pouvez également en vérifier l'état actuel dans la page d'état de la grappe (Outils > Grappe).
ESET Shell
eShell (nom abrégé de ESET Shell) est une interface de ligne de commande pour ESET Mail Security.
C'est une solution de rechange à l'interface utilisateur graphique (IUG). eShell comprend toutes les
fonctionnalités et options que l'on trouve généralement dans une IUG. eShell permet en outre de
configurer et d'administrer l'ensemble du programme sans devoir utiliser d'IUG.
En plus de toutes les fonctionnalités et fonctions incluses dans l'IUG, elle offre également la possibilité
d'automatiser certaines commandes en exécutant des scripts pour configurer, modifier la
configuration ou effectuer une action. eShell peut aussi être utile pour les personnes qui préfère
utiliser la ligne de commande plutôt que l'IUG.
REMARQUE
Pour profiter de toutes les fonctionnalités, nous vous recommandons d'ouvrir eShell en utilisant
Exécuter en tant qu'administrateur. La même chose s'applique lorsque vous exécutez une
commande simple à l'aide de l'invite de commande Windows (cmd). Ouvrez le l'invite en utilisant
Exécuter en tant qu'administrateur. Si vous ne démarrez pas l'invite de commande en tant
qu'administrateur, vous ne pourrez pas exécuter les commandes en raison de l'absence
d'autorisations.
eShell peut être exécuté dans deux modes :
1.Mode interactif - ce mode est utile lorsque vous voulez travailler avec eShell (pas
seulement pour exécuter une commande unique) et effectuer des tâches comme modifier la
configuration, afficher les journaux, etc. Vous pouvez utiliser le mode interactif si vous ne
83
connaissez pas bien les commandes. Le mode interactif vous permettra de naviguer plus
facilement dans eShell. Il vous montrera également les commandes disponibles que vous
pouvez utiliser dans un contexte particulier.
2.Commande unique/mode séquentiel : vous pouvez utiliser ce mode si vous ne devez
exécuter qu'une commande sans devoir entrer dans le mode interactif de eShell. Cela est
possible à partir de l'invite de commande Windows en entrant eshell avec les paramètres
appropriés.
EXEMPLE
eshell get status ou eshell computer set real-time status disabled 1h
Afin d'exécuter certaines commandes (comme dans le deuxième exemple ci-dessus) en mode
séquentiel/script, vous devez d'abord configurer quelques paramètres. Sinon, vous obtiendrez le
message Accès refusé. C'est pour une raison de sécurité.
REMARQUE
Les modifications de paramètres sont nécessaires pour permettre l'utilisation des commandes
d'eShell à partir d'une invite de commande Windows. Pour en savoir plus l'exécution des fichiers
séquentiels, cliquez ici.
Pour entrer en mode interactif, vous pouvez procéder de deux manières dans eShell :
1.Par le menu Démarrer de Windows : Démarrer > Programmes > ESET > ESET Mail
Security > ESET Shell
2.À partir de l'invte de commande de Windows en tapant eshell, puis en appuyant sur la
touche Entrée
IMPORTANT
Si vous obtenez une erreur 'eshell' is not recognized as an internal or external
command, cela est dû au fait que de nouvelles variables d'environnement ne sont pas chargées
par votre système après l'installation de ESET Mail Security. Ouvrez une nouvelle invite de
commande et essayez de redémarrer eShell. Si vous obtenez toujours une erreur ou que vous
avez l'installation principale de ESET Mail Security, démarrez eShell en utilisant le chemin absolu,
par exemple "%PROGRAMFILES%\ESET\ESET Mail Security\eShell.exe" (vous devez utiliser ""
pour que la commande fonctionne).
La première fois que vous exécutez eShell en mode interactif, un écran de première exécution (guide)
s'affichera.
REMARQUE
Si vous voulez afficher l'écran de première exécution par la suite, entrez la commande guide.
Vous y trouverez quelques exemples simples d'utilisation d'eShell avec Syntaxe, Préfixe, Chemin
de commande, Formulaires abrégés, Alias, etc.
La prochaine fois que vous exécuterez eShell, vous verrez cet écran :
84
REMARQUE
Les commandes ne sont pas sensibles à la casse. Pour exécuter la commande, vous pouvez
utiliser des lettres majuscules ou des lettres minuscules.
Personnalisation d'eShell
Vous pouvez personnaliser eShell dans le contexte ui eshell. Vous pouvez configurer les alias, les
couleurs, le langage, la politique d'exécution pour les scripts, les paramètres pour les commandes
cachées et plus encore.
Usage
Syntaxe
Pour pouvoir être utilisées, les commandes doivent être formatées avec la syntaxe appropriée. Elles
peuvent comprendre un préfixe, un contexte, des arguments, des options, etc. Voici la syntaxe
générale utilisée dans l'ensemble d'eShell :
[<préfixe>] [<chemin de commande>] <commande> [<arguments>]
Exemple (permet d'activer la protection du document) :
SET COMPUTER SCANS DOCUMENT REGISTER ENABLED
SET : un préfixe
COMPUTER SCANS DOCUMENT : le chemin d'accès vers une commande particulière, le contexte
auquel appartient la commande
REGISTER : a commande elle-même
ENABLED : un argument pour la commande
L'utilisation de ? comme un argument pour une commande affichera la syntaxe de cette commande
particulière. Par exemple, STATUS ? vous affichera la syntaxe de la commande STATUS :
85
SYNTAXE :
[get] status
OPÉRATIONS :
get : Afficher l'état de tous les modules de protection
Vous remarquerez peut-être que [get][get] est entre parenthèses. Cela indique que le préfixe get
est la valeur par défaut pour la commande status. Cela signifie que lorsque vous exécutez status
sans spécifier de préfixe, le préfixe par défaut (dans ce casget status) sera utilisé. L'utilisation de
commandes sans préfixe vous fait gagner du temps lors de la frappe. Généralement, get est le
préfixe par défaut de la plupart des commandes, mais vous devez savoir quel est le préfixe par défaut
pour une commande particulière et qu'il correspond exactement à ce que vous voulez exécuter.
REMARQUE
Les commandes ne sont pas sensibles à la casse. La commande s'exécutera, que vous utilisiez
des majuscules ou des minuscules.
Préfixe / opération
Un préfixe est une opération. Le préfixe GET vous donne des informations sur la façon dont une
certaine caractéristique de ESET Mail Security est configuré ou vous montre l'état (par exemple GET
COMPUTER REAL-TIME STATUS, affichera l'état actuel de la protection). Le préfixe SET configurera la
fonctionnalité ou changera son état (SET COMPUTER REAL-TIME STATUS ENABLED activera la
protection).
Ce sont les préfixes qu'eShell vous laisse utiliser. Une commande peut ou non prendre en charge l'un
des préfixes suivants :
GET
renvoie le parametre/l'état actuel
SET
regle la valeur/l'état
SELECT Entraîne la sélection d'un élément
ADD
Ajoute un élément
REMOVE Supprime un élément
CLEAR
retire tous les éléments/fichiers
START
Lance une action
STOP
Arrête une action
PAUSE
Met une action en pause
RESUME Reprend une action
RESTORE restaure les parametres/l'objet/le fichier par défaut
SEND
Envoie un objet ou un fichier
IMPORT Importe à partir d'un fichier
EXPORT Exporte dans un fichier
86
REMARQUE
Les préfixes tels que GET et SET sont utilisés avec de nombreuses commandes, mais certaines
commandes (telles que EXIT) n'utilisent aucun préfixe.
Chemin d'accès / contexte
Les commandes sont placées dans des contextes formant une structure arborescente. La racine est
présentée dans le haut de l'arborescence. Lorsque vous exécutez eShell, vous êtes au niveau de la
racine :
eShell>
De là, vous pouvez soit exécuter une commande ou entrer un nom de contexte pour vous déplacer
dans l'arborescence. Par exemple, lorsque vous entrez le contexte TOOLS, vous pourrez alors voir la
liste de toutes les commandes et tous les sous-contextes auxquels vous pouvez accéder à partir de ce
contexte.
Les éléments en jaune sont ceux que vous pouvez exécuter alors que ceux qui sont affichés en gris
représentent des sous-contextes dans lesquels vous pouvez entrer. Un sous-contexte contient
d'autres commandes.
Si vous devez retourner à un niveau supérieur, utilisez .. (deux points).
EXEMPLE
Vous vous trouvez ici :
eShell computer real-time>
Entrez .. pour monter d'un niveau, vers :
eShell computer>
Si vous voulez retourner à la racine à partir de eShell computer real-time> qui se trouve deux
niveaux plus bas que la racine), entrez simplement .. .. (deux points et deux points séparés par
une espace). De ce fait, vous remonterez de deux niveaux, soit jusqu'à la racine, dans ce cas-ci.
87
Utilisez la barre oblique inversée \ pour retourner directement à la racine à partir de n'importe quel
niveau, peu importe la profondeur à laquelle vous vous trouvez dans l'arborescence. Si vous voulez
atteindre un contexte particulier dans les niveaux supérieures, utilisez simplement le nombre
appropriée de commandes .. pour atteindre le niveau voulu, en utilisant une espace comme
séparateur. Par exemple, si vous voulez aller à trois niveaux supérieurs, utilisez .. .. ..
Le chemin d'accès varie selon le contexte actuel. Si la commande est contenue dans le contexte
actuel, n'entrez pas de chemin d'accès. Par exemple, pour exécuter GET COMPUTER REAL-TIME
STATUS, entrez :
GET COMPUTER STATUS : si vous êtes dans le contexte racine (la ligne de commande indique
eShell>
GET STATUS : si vous êtes dans le contexte (la ligne de commande indique eShell computer>
.. GET STATUS : si vous êtes dans le contexte (la ligne de commande indique eShell computer
real-time>
Vous pouvez utiliser un seul point . (point) au lieu de deux .., parce que un seul point est
l'abréviation de deux points.
EXEMPLE
. GET STATUS : si vous êtes dans le contexte (la ligne de commande indique eShell computer
real-time>
Argument
Un argument vers une action qui est effectuée pour une commande particulière. Par exemple, la
commande CLEAN-LEVEL (située dans COMPUTER REAL-TIME ENGINE) peut être utilisée avec les
arguments suivants :
rigorous : Toujours corriger la détection
safe : Corriger la détection si cela est sécuritaire, sinon, la garder
normal : Corriger la détection si cela est sécuritaire, sinon, poser la question
none : Toujours demander à l'utilisateur final
Un autre exemple ce sont les arguments ENABLED ou DISABLED, utilisés pour activer ou désactiver
certaines fonctionnalités.
Forme abrégée / commandes raccourcies
eShell vous permet de raccourcir les contextes, les commandes et les arguments (à la condition que
l'argument soit un commutateur ou une option de rechange). Il n'est pas possible de raccourcir un
préfixe ou un argument comportant des valeurs concrètes comme un numéro, un nom ou un chemin
d'accès. Vous pouvez utiliser les chiffres1 et 0au lieu des arguments ENABLED et DISABLED.
EXEMPLE
computer set real-time status enabled
computer set real-time status disabled
Exemples de formes abrégées :
88
=>
=>
com set real stat 1
com set real stat 0
EXEMPLE
computer
computer
excl add
computer
set real-time status enabled
=>
com set real stat en
exclusions add detection-excludes object C:\path\file.ext
=>
com
det obj C:\path\file.ext
exclusions remove detection-excludes 1
=>
com excl rem det 1
Dans le cas où deux commandes ou contextes commencent par les mêmes lettres (par exemple
ADVANCED et AUTO-EXCLUSIONS, et que vous entrez A comme commande abrégée), eShell ne pourra
pas décider de la commande à exécuter. Un message d'erreur sera alors affiché, tout comme la liste
des commandes commençant par un « A », parmi lesquelles vous pourrez faire un choix :
eShell>a
The following command is not unique: a
Les sous-contextes suivants sont disponibles dans le contexte COMPUTER :
ADVANCED
AUTO-EXCLUSIONS
Si vous ajoutez une ou plusieurs lettres (par exemple, AD au lieu de A), eShell entrera dans le souscontexte ADVANCED puisqu'elle est maintenant unique. Il en va de même pour les commandes
abrégées.
REMARQUE
Lorsque vous voulez être sûr qu'une commande s'exécute comme vous le souhaitez, nous vous
recommandons de ne pas abréger les commandes, les arguments, etc. et d'utiliser plutôt la forme
complète. De cette façon, vous serez certain que eShell exécutera exactement ce que vous
voulez et empêchera les erreurs non voulues. C'est particulièrement vrai pour les fichiers de
commandes et les scripts.
Complétion automatique
La nouvelle fonctionnalité introduite dans eShell 2.0 ressemble beaucoup au complétage automatique
dans l'invite de commandes Windows. Alors que l'invite de commande Windows complète les chemins
d'accès aux fichiers, eShell complète la commande, le contexte et les noms d'opération. Le
complétage d'argument n'est pas pris en charge. Lorsque vous tapez une commande, appuyez
simplement sur la touche TAB pour compléter la commande ou parcourir les variantes disponibles.
Appuyez sur les touches Maj. + Tab pour parcourir dans le sens inverse. La combinaison de formes
abrégées et de complétion automatique n'est pas prise en charge. Vous devez utiliser soit l'une, soit
l'autre. Par exemple, lorsque vous tapez computer real-time additional vous n'obtiendrez rien en
appuyant sur la touche Tab. Saisissez plutôt com, puis appuyez sur la touche Tab pour compléter à
computer; continuez de taper real + touche Tab et add + touche Tab, puis appuyez sur Entrée.
Tapez on + Tab et continuez à appuyer sur la touche Tab pour faire défiler toutes les variantes
disponibles : on-execute-ah, on-execute-ah-removable, on-write-ah, on-write-archivedefault, etc.
Alias
Un alias est un autre nom qui peut être utilisé pour exécuter une commande (à la condition qu'un
89
alias ait été attribué à la commande). Voici quelques alias par défaut :
(global) close : quitter
(global) quit : quitter
(global) bye : quitter
warnlog : événements dans le journal des outils
virlog : détections dans le journal des outils
« (global) » signifie que la commande peut être utilisée n'importe où, indépendamment du contexte
actuel. Plusieurs alias peuvent être attribués à une même commande. Par exemple, la commande
EXIT possède comme alias CLOSE, QUIT et BYE. Lorsque vous voulez quitter eShell, vous pouvez
utiliser la commande EXIT elle-même ou l'un de ses alias. L'alias VIRLOG est un alias de la commande
DETECTIONS située dans le contexte TOOLS LOG. De cette façon, la commande de détection est
disponible à partir du contexte ROOTROOT, ce qui facilite son accès (vous n'avez pas besoin d'entrer le
contexte TOOLS, puis le contexte LOG et de l'exécuter directement à partir de ROOT).
eShell vous permet de définir vos propres alias. La commande ALIAS peut se trouver dans le contexte
UI ESHELL.
Paramètres protégées par un mot de passe
Les paramètres de ESET Mail Security peuvent être protégés par un mot de passe. Vous pouvez
définir un mot de passe à l'aide de l'IUG ou eShell en utilisant la commande set ui access lockpassword. Vous devrez ensuite entrer ce mot de passe de manière interactive pour certaines
commandes (comme celles utilisées pour modifier les paramètres ou les données). Si vous prévoyez
travailler avec eShell pendant une période de temps plus longue sans avoir à entrer le mot de passe
de manière répétitive, vous pouvez demander à eShell de mémoriser le mot de passe en utilisant la
commande set password (exécuter à partir de root). Votre mot de passe sera ensuite saisi
automatiquement à chaque exécution d'une commande qui nécessite un mot de passe. Il demeure en
mémoire jusqu'à ce que vous quittiez eShell. Vous devrez donc utiliser à nouveau set password au
démarrage d'une nouvelle session et demander à eShell de mémoriser votre mot de passe.
Guide/aide
Lorsque vous exécutez la commande GUIDE ou HELP le système affichera un écran de « première
exécution » expliquant comment utiliser eShell. Cette commande n'est disponible qu'à partir du
contexte ROOT (eShell>).
Historique des commandes
eShell conserve l'historique des commandes déjà exécutées. Cela ne s'applique qu'à la session
interactive actuelle de eShell. Lorsque vous quittez eShell, l'historique des commandes est alors
effacé. Utilisez les touches flèches Haut et Bas de votre clavier pour naviguer dans l'historique. Une
fois que vous aurez trouvé la commande que vous cherchiez, vous pourrez l'exécuter de nouveau ou
la modifier, sans avoir à répéter entièrement la commande du début.
CLS / effacer l'écran
La commande CLS peut être utilisée pour effacer l'écran. Elle fonctionne de la même façon que dans
l'invite de commande de Windows ou dans une autre interface avec ligne de commande semblable.
EXIT / CLOSE / QUIT / BYE
90
Pour fermer eShell ou en sortir, vous pouvez utiliser n'importe laquelle de ces commandes (EXIT,
CLOSE, QUIT ou BYE).
Commandes
Cette section dresse une liste de quelques commandes de base eShell avec des descriptions.
REMARQUE
Les commandes ne sont pas sensibles à la casse. La commande s'exécutera, que vous utilisiez
des majuscules ou des minuscules.
Exemple de commandes (contenues dans le contexte ROOT) :
ABOUT
Affiche de l'information sur le programme. Il s'agit par exemple de :
• Nom de votre produit de sécurité ESET installé ainsi que son numéro de version.
• Système d'exploitation et renseignements de base sur le matériel.
• Nom d'utilisateur (y compris le domaine), Nom complet de l'ordinateur (FQDN, si votre serveur
est un membre d'un domaine) et le nom de siège.
• Composants installés de votre produit de sécurité ESET, y compris le numéro de version de
chaque composant.
CHEMIN DE CONTEXTE :
root
PASSWORD
En temps normal, pour pouvoir exécuter des commandes protégées par mot de passe, vous serez
invité à entrer un mot de passe, et ce, à des fins de sécurité. Cela s'applique à des commandes
comme celles qui désactivent la protection et à celles qui peuvent avoir des répercussions sur la
configuration de ESET Mail Security. Vous serez invité à entrer un mot de passe chaque fois que vous
exécutez une telle commande. Vous pouvez définir ce mot de passe pour ne pas avoir à l'entrer
chaque fois. Celui-ci sera gardé en mémoire par eShell et il sera entré automatiquement, lorsqu'une
commande protégée par mot de passe est exécutée.
REMARQUE
Votre mot de passe ne peut être utilisé que dans la session interactive eShell en cours. Une fois
que vous quitterez eShell, ce mot de passe défini sera supprimé. Lorsque vous redémarrerez
eShell, vous devrez définir de nouveau le mot de passe.
Le mot de passe défini est aussi utile lorsque vous exécutez des fichiers séquentiels ou des scripts de
commandes non signés. Assurez-vous de mettre la politique d'exécution d'ESET Shell) à Accès
complet lors de l'exécution de fichiers séquentiels non signés. Voici un exemple d'un tel fichier :
eshell set password plain <yourpassword> "&" computer set real-time status disabled
Cette commande concaténée définira un mot de passe et désactivera la protection.
91
IMPORTANT
Nous vous recommandons d'utiliser des fichiers séquentiels signés chaque fois que cela est
possible. En procédant ainsi, vous évitez d'avoir un mot de passe texte dans le fichier séquentiel
(si vous utilisez la méthode décrite ci-dessus). Voir Fichiers séquentiels/ Scripts (section Fichiers
séquentiels signés) pour plus de détails.
CHEMIN DE CONTEXTE :
root
SYNTAXE :
[get] | restore password
set password [plain <password>]
OPÉRATIONS :
get : Afficher le mot de passe
set : Régler ou effacer le mot de passe
restore : Effacer le mot de passe
ARGUMENTS :
plain : Basculer pour entrer le mot de passe comme paramètre
password : Mot de passe
EXEMPLES :
set password plain <yourpassword> : Règle un mot de passe qui sera utilisé pour les
commandes protégées par mot de passe
restore password : Effacer le mot de passe
EXEMPLES :
get password : Utilisez cette commande pour voir si le mot de passe est configuré ou non
(n'affiche que des astérisques « * », n'indique pas le mot de passe lui-même). Lorsqu'aucun
astérisque n'est visible, cela signifie qu'aucun mot de passe n'a été réglé
set password plain <votremotdepasse> - Utilisez cette commande pour définir un mot de
passe
restore password : Cette commande efface le mot de passe défini
STATUS
Affiche des informations sur l'état actuel de la protection en temps réel de ESET Mail Security, vous
permet également de suspendre/reprendre la protection (similaire à l'interface graphique).
92
CHEMIN DE CONTEXTE :
computer real-time
SYNTAXE :
[get] status
set status enabled | disabled
[ 10m | 30m | 1h | 4h | temporary ]
restore status
OPÉRATIONS :
get : Renvoie le paramètre ou l'état actuel
set : Règle la valeur ou l'état
restore : Restaure les paramètres, l'objet ou le fichier par défaut
ARGUMENTS :
enabled : Activer la protection/fonctionnalité
disabled : Désactiver la protection/fonctionnalité
10m : Désactiver pendant 10 minutes
30m : Désactiver pendant 30 minutes
1h : Désactiver pendant 1 heure
4h : Désactiver pendant 4 heures
temporary : Désactiver jusqu'au redémarrage
REMARQUE
Il n'est pas possible de désactiver toutes les fonctions de protection avec une seule commande.
Vous pouvez gérer les fonctions et les modules de protection un par un en utilisant la commande
status. Chaque caractéristique ou module de protection a sa propre commande status.
Liste des caractéristiques avec la commande status :
Fonctionnalité
Contexte et commande
Exclusions automatiques
COMPUTER AUTO-EXCLUSIONS STATUS
Host Intrusion Prevention System (HIPS)
COMPUTER HIPS STATUS
Protection en temps réel du système de fichiers COMPUTER REAL-TIME STATUS
Contrôle de périphériques
DEVICE STATUS
Protection contre les réseaux de zombies
NETWORK ADVANCED STATUS-BOTNET
Protection contre les attaques sur le réseau (IDS) NETWORK ADVANCED STATUS-IDS
Isolation du réseau
NETWORK ADVANCED STATUS-ISOLATION
Grappe ESET
TOOLS CLUSTER STATUS
Journalisation de diagnostic
TOOLS DIAGNOSTICS STATUS
Mode Présentation
TOOLS PRESENTATION STATUS
93
Fonctionnalité
Contexte et commande
Protection anti-hameçonnage
WEB-AND-EMAIL ANTIPHISHING STATUS
Protection du client de messagerie
WEB-AND-EMAIL MAIL-CLIENT STATUS
Protection de l'accès Web
WEB-AND-EMAIL WEB-ACCESS STATUS
VIRLOG
C'est un alias de la commande DETECTIONS. Cette commande est utile lorsque vous devez afficher
des informations sur les infiltrations détectées.
WARNLOG
C'est un alias de la commande EVENTS. Cette commande est utile lorsque vous devez afficher des
informations sur divers événements.
Fichiers séquentiels/script
Vous pouvez utiliser eShell comme un outil puissant pour l'automation. Pour utiliser un fichier
séquentiel avec eShell, créez-en un avec un eShell et une commande intégrés.
EXEMPLE
eshell get computer real-time status
Vous pouvez aussi utiliser une chaîne de commande, ce qui est parfois nécessaire, par exemple si
vous voulez obtenir un type d'une tâche planifiée spécifique, entrez la ligne suivante :
eshell select scheduler task 4 "&" get scheduler action
Normalement, la sélection d'un élément (tâche numéro 4 dans ce cas) s'applique seulement à une
instance en cours d'exécution d'eShell. Dans le cas où vous voudriez exécuter ces deux commandes
l'une après l'autre, la seconde commande se solderait par un échec avec comme message d'erreur :
« Aucune tâche sélectionnée ou la tâche sélectionnée n'existe plus ».
Pour des raisons de sécurité, la politique d'exécution est définie par défaut à Script limité. Cela vous
permet d'utiliser eShell comme outil de surveillance, mais il vous sera impossible d'apporter des
modifications à la configuration de ESET Mail Security en exécutant un script. Si vous essayez
d'exécuter un script à l'aide d'une commande qui peut avoir une incidence sur la sécurité, par
exemple, en désactivant la protection, le message Accès refusé sera affiché. Nous vous
recommandons d'utiliser des fichiers séquentiels signés.pour exécuter des commandes qui apportent
des modifications à la configuration.
Pour modifier la configuration à l'aide d'une seule commande entrée manuellement dans l'invite de
commandes Windows, vous devez accorder un accès complet à eShell (non recommandé). Pour
donner l'accès complet, utilisez la commande ui eshell shell-execution-policy en mode
Interactif d'eShell, ou passez par l'IUG dans Configuration avancée (F5)> Interface utilisateur >
ESET Shell.
Les fichiers séquentiels signés
eShell vous permettent de sécuriser les fichiers séquentiels communs (*.bat) grâce à une signature.
94
Les scripts sont signés à l'aide du même mot de passe que celui utilisé pour la protection des
paramètres. Pour signer un script, vous devez d'abord activer la protection des paramètres. Vous
pouvez le faire par l'intermédiaire de l'IUG ou à partir d'eShell en utilisant la commande set ui
access lock-password. Une fois le mot de passe de protection des paramètres défini, vous pouvez
commencer à signer des fichiers séquentiels.
REMARQUE
Si vous modifiez le mot de passe de la protection des paramètres, vous devez alors signer tous
les scripts de nouveau, sinon l'exécution des scripts échouera après la modification du mot de
passe. Le mot de passe que vous entrez lorsque vous signez un script doit correspondre au mot
de passe de la protection des paramètres sur le système cible.
Pour signer un fichier séquentiel, exécutez sign <script.bat> à partir du contexte racine d'eShell,
où script.bat est le chemin vers le script que vous voulez signer. Entrez et confirmez le mot de passe
qui sera utilisé pour la signature. Ce mot de passe doit correspondre au mot de passe de la protection
des paramètres. La signature est placée à la fin du fichier séquentiel sous la forme d'un commentaire.
Dans le cas où ce script a déjà été signé, l'ancienne signature sera remplacée par la nouvelle.
REMARQUE
Lorsque vous modifiez un fichier séquentiel déjà signé, ce dernier doit être signé de nouveau.
Pour exécuter un fichier séquentiel signé à l'aide de l'invite de commande Windows ou en tant que
tâche planifiée, utilisez la commande suivante :
eshell run <script.bat>
Où script.bat est le chemin vers le fichier séquentiel.
EXEMPLE
eshell run d:\myeshellscript.bat
ESET Dynamic Threat Defense
ESET Dynamic Threat Defense (EDTD) fournit une autre couche de sécurité en utilisant la technologie
infonuagique avancée d'ESET pour détecter les menaces de type nouveau, jamais vues auparavant.
C'est un service payant; bien qu'il soit semblable à ESET LiveGrid®, ESET Dynamic Threat Defense
vous donne l'avantage d'être protégé contre les conséquences possibles causées par de nouvelles
menaces. Si ESET Dynamic Threat Defense détecte un code ou un comportement suspects, il
empêche toute activité supplémentaire de la menace en la plaçant temporairement en quarantaine
de ESET Dynamic Threat Defense. Un échantillon suspect (fichier ou courriel) est automatiquement
envoyé à ESET Cloud où le serveur ESET Dynamic Threat Defense analyse l'échantillon à l'aide de ses
moteurs de détection de logiciels malveillants les plus récents. Pendant que les fichiers ou les
courriels sont dans la quarantaine de ESET Dynamic Threat Defense, ESET Mail Security attend les
résultats du serveur ESET Dynamic Threat Defense. Une fois l'analyse terminée, votre ESET Mail
Security reçoit un rapport avec un résumé du comportement de l'échantillon observé. Si l'échantillon
s'avère inoffensif, il est libéré de la quarantaine de ESET Dynamic Threat Defense, sinon, il est gardé
en quarantaine. S'il s'agit d'un faux positif et que vous êtes sûr que le fichier ou le courriel n'est pas
une menace, vous pouvez le libérer manuellement de la quarantaine de ESET Dynamic Threat
Defense avant que ESET Mail Security ne reçoive les résultats du serveur ESET Dynamic Threat
Defense.
95
Les résultats de ESET Dynamic Threat Defense pour les échantillons sont généralement disponibles
en quelques minutes pour les courriels. Toutefois, l'intervalle d'attente par défaut est de 5 minutes.
Dans de rares cas, lorsque les résultats de ESET Dynamic Threat Defense ne sont pas disponibles
dans l'intervalle, le message est libéré. Vous pouvez changer l'intervalle à l'heure que vous préférez
(entre 5 et 60 minutes, par incréments de 1 minute).
La fonction ESET Dynamic Threat Defense est visible dans ESET Mail Security indépendamment de
son statut d'activation. Si vous n'avez pas de licence, ESET Dynamic Threat Defense est inactif. La
licence de ESET Dynamic Threat Defense est gérée par ESET Security Management Center et
l'activation elle-même doit être effectuée à partir de ESET Security Management Center en utilisant
une stratégie.
Une fois que vous avez activé ESET Dynamic Threat Defense, votre propre profil ESET Dynamic Threat
Defense sera créé sur le serveur ESET Dynamic Threat Defense. Ce profil va stocker tous les résultats
d'analyse de ESET Dynamic Threat Defense des échantillons soumis par votre ESET Mail Security.
Pour activer la fonctionnalité ESET Dynamic Threat Defense, vous devez répondre aux conditions
suivantes :
ESET Mail Security géré par l'entremise de ESET Security Management Center
ESET Mail Security activé en utilisant la licence ESET Dynamic Threat Defense
Activez ESET Dynamic Threat Defense dans votre ESET Mail Security en utilisant la stratégie ESET
Security Management Center
Vous êtes alors en mesure de tirer pleinement parti de ESET Dynamic Threat Defense, ainsi que
96
d'envoyer manuellement un échantillon de fichier pour analyse ESET Dynamic Threat Defense .
ESET SysInspector
ESET SysInspector est une application qui inspecte complètement votre ordinateur et collige de
l'information détaillée sur les composants système, tels que les pilotes et applications installés, les
connexions réseau ou des entrées de registre importantes, et évalue le niveau de risque de chacun
des composants. Ces données peuvent aider à déterminer la cause d'un comportement suspect du
système pouvant être dû à une incompatibilité logicielle ou matérielle, ou à une infection par logiciel
malveillant.
Cliquez sur Créer et entrez un bref Commentaire décrivant le journal à créer. Veuillez patienter
jusqu'à ce que le journal ESET SysInspector soit prêt (état indiquant Créé). La création d'un journal
peut demander un certain temps selon la configuration de votre matériel informatique et des données
du système.
La fenêtre ESET SysInspector affiche les données suivantes sur les journaux créés :
• Heure - L'heure de création du journal.
• Commentaire - Un bref commentaire.
• Utilisateur - Le nom de l'utilisateur ayant créé le journal.
• État - L'état de création du journal.
Les actions suivantes sont disponibles :
• Afficher : Ouvre le journal créé. Vous pouvez aussi cliquer à l'aide du bouton droit de la souris
sur un fichier journal et sélectionner Afficher à partir du menu contextuel.
• Comparer - Compare deux journaux existants.
• Créer : Crée un journal. Entrez un bref commentaire décrivant le journal à créer, puis cliquez
sur le bouton Créer. Patientez jusqu'à ce que le journal ESET SysInspector soit prêt (État
indiquant Créé).
• Supprimer - Supprime les journaux sélectionnés de la liste.
Après avoir cliqué à droite pour sélectionner un ou plusieurs journaux, les options suivantes
s'afficheront, dans le menu contextuel :
• Afficher - Ouvre le journal sélectionné dans ESET SysInspector (ou double-cliquez sur un
journal pour la même fonction).
• Comparer - Compare deux journaux existants.
• Créer : Crée un journal. Entrez un bref commentaire décrivant le journal à créer, puis cliquez
sur le bouton Créer. Patientez jusqu'à ce que le journal ESET SysInspector soit prêt (État
indiquant Créé).
• Supprimer - Supprime les journaux sélectionnés de la liste.
• Supprimer tout - Supprime tous les journaux.
• Exporter - Exporte le journal vers un fichier .xml ou un fichier .xml zippé.
ESET SysRescue Live
ESET SysRescue Live est un utilitaire gratuit qui vous permet de créer un CD/DVD ou une clé USB
de secours amorçables. Vous pouvez démarrer un ordinateur infecté à partir de votre support de
secours, puis rechercher des logiciels malveillants et nettoyer les fichiers infectés.
Le principal avantage d'ESET SysRescue Live est le fait que la solution ESET Security s'exécute
97
indépendamment du système d'exploitation hôte, tout en ayant un accès direct au disque et au
système de fichier. Cela permet de retirer des menaces qui, dans des circonstances normales, ne
pourraient pas être supprimées, par exemple lorsque le système d'exploitation est en cours
d'exécution, etc.
Planificateur
Le planificateur gère et lance les tâches planifiées en fonction de paramètres définis. Vous pouvez
voir une liste de toutes les tâches planifiées sous la forme d'un tableau qui affiche leurs paramètres
tels que le type et le nom de la tâche, l'heure de lancement et la dernière exécution. Vous pouvez
aussi créer de nouvelles tâches planifiées en cliquant sur Ajouter une tâche. Pour modifier la
configuration d'une tâche planifiée existante, cliquez sur le bouton Modifier. Pour rétablir les
paramètres par défaut de la liste des tâches planifiées, cliquez sur Défaut, puis sur Rétablir par
défaut et toutes les modifications qui ont été effectuées seront perdues. Cette action ne peut pas
être annulée.
Il existe un ensemble de tâches prédéfinies par défaut :
• Maintenance des journaux
• Mise à jour automatique régulière (utilisez cette tâche pour mettre à jour la fréquence)
• Mise à jour automatique après une connexion commutée
• Mise à jour automatique après ouverture de session utilisateur
• Vérification automatique des fichiers au démarrage (après ouverture de session utilisateur)
• Vérification automatique des fichiers au démarrage (après mise à jour réussie des modules)
REMARQUE
Cochez les cases appropriées pour activer ou désactiver les tâches.
98
Pour effectuer les actions suivantes, cliquez avec le bouton droit sur une tâche :
Afficher les détails des Affiche des informations détaillées sur une tâche planifiée lorsque vous
tâches
double-cliquez ou cliquez avec le bouton droit sur la tâche planifiée.
Exécuter maintenant
Exécute une tâche de planificateur sélectionnée et exécute la tâche
immédiatement.
Ajouter...
Lance un assistant qui vous aidera à créer une nouvelle tâche de
planificateur.
Modifier...
Permet de modifier la configuration d'une tâche planifiée existante (par
défaut et définie par l'utilisateur).
Supprimer
Supprime une tâche existante.
Planificateur - Ajouter une tâche
Pour créer une nouvelle tâche planifiée :
1.Cliquez sur Ajouter la tâche.
2.Entrez un nom de tâche et configurez votre tâche planifiée personnalisée.
3. Type de tâche : Sélectionnez le type de tâche applicable dans le menu déroulant.
99
REMARQUE
Pour désactiver la tâche, cliquez sur la glissière à côté de Activée. Pour activer la tâche plus tard,
utilisez la case à cocher dans l'affichage du Planificateur.
4. Calendrier de la tâche : Sélectionnez l'une des options pour définir le moment d'exécution de
votre tâche. Selon votre choix, vous serez invité à choisir une heure, un jour, un intervalle ou un
événement spécifique.
5. Tâche ignorée : Si une tâche n'a pas pu être exécutée à l'heure définie, il est possible de
100
préciser le moment où elle sera exécutée :
6. Exécuter l'application : S'il est prévue que la tâche démarre une application externe,
choisissez un fichier exécutable dans l'arborescence.
7.Si vous devez apporter des modifications, cliquez sur Retour pour revenir aux étapes
précédentes et modifier les paramètres.
8.Cliquez sur Terminer pour créer la tâche ou pour appliquer les modifications.
Une nouvelle tâche planifiée apparait dans l'affichage du Planificateur.
Type de la tâche
L'assistant de configuration des tâches planifiées est différent pour chaque type de tâche. Entrez le
nom de la tâche et sélectionnez le type de tâche souhaité à partir du menu déroulant :
• Exécuter une application externe - Planifie l'exécution d'une application externe.
• Maintenance des journaux - Les fichiers journaux contiennent les restes des
enregistrements supprimés. Cette tâche optimise les enregistrements dans les fichiers journaux
de façon régulière, afin qu'ils puissent fonctionner de façon efficace.
• Contrôle des fichiers de démarrage du système - Vérifie les fichiers qui peuvent être
exécutés au démarrage du système ou lors de l'ouverture de session.
• Créer un instantané de l'état de l'ordinateur - Crée un instantané de l'ordinateurESET
SysInspector - recueille des renseignements détaillés sur les composants du système (pilotes,
applications, par ex.) et évalue le niveau de risque de chacun des composants.
• Analyse de l'ordinateur à la demande - Effectue l'analyse des fichiers et dossiers de votre
ordinateur.
101
• Mise à jour - Planifie une tâche de mise à jour dont le but est de mettre à jour le moteur de
détection et les modules du programme.
• Analyse de la base de données de la boîte de messagerie - Vous permet de planifier
une analyse de base de données et de choisir les éléments qui seront analysés. Il s'agit en fait
d'une Analyse de base de données à la demande.
REMARQUE
Si la protection de la base de données de la boîte de courriel est activée, vous pouvez quand
même programmer cette tâche, mais le message d'erreur Analyse de la base de données de la
boîte de messagerie - Analyse interrompue en raison d'une erreur sera affiché dans la section
Analyse de l'IUG principale. Pour éviter cela, vous devez vous assurer que la protection de la base
de données de la boîte de courriels est désactivée à l'heure à laquelle l'Analyse de la base de
données de la boîte de courriels est programmée.
• Envoi des rapports de courriels mis en quarantaine - Planifie l'envoi par courriel du
rapport de mise en quarantaine de courriels.
• Envoi des rapports administrateurs de courriels mis en quarantaine - Planifie l'envoi
par courriel du rapport de mise en quarantaine de courriels.
• Analyse en arrière-plan - Donne au serveur Exchange la possibilité d'exécuter une analyse
de base de données en arrière plan si nécessaire.
• Analyse Hyper-V - Planifie une analyse des disques virtuels dans Hyper-V.
• Analyse d'Office 365 - Planifie une analyse pour les environnements hybrides Office 365..
Si vous souhaitez désactiver la tâche une fois qu'elle est créée, cliquez sur le bouton à côté de
Activée. Vous pouvez activer la tâche plus tard en utilisant la case à cocher dans l'affichage
Planificateur. Cliquez sur Suivant pour passer à l'étape suivante.
Calendrier de la tâche
Sélectionnez l'une des options de calendrier suivantes :
• Une fois - La tâche ne sera exécutée qu'une fois, à la date et à l'heure définies. Cette option
permet d'exécuter la tâche une seule fois, à un moment donné. Spécifiez la date et l'heure de
début pour une exécution unique dans Exécution de la tâche.
• Plusieurs fois - La tâche sera exécutée à l'intervalle de temps indiqué (en minutes).
Spécifiez l'heure à laquelle la tâche sera exécutée tous les jours dans Exécution de la tâche.
• Quotidiennement - La tâche sera exécutée de façon répétée tous les jours à l'heure
indiquée.
• Chaque semaine - La tâche sera exécutée une ou plusieurs fois par semaine, à l'heure et
au(x) jour(s) définis. Cette option permet d'exécuter la tâche plusieurs fois, seulement certains
jours de la semaine, en commençant par le jour et l'heure spécifiés. Indiquez l'heure de début
dans Heure d'exécution de la tâche. Sélectionnez le ou les jours de la semaine où la tâche doit
être exécutée.
• Déclenchée par un événement - La tâche sera exécutée lorsque l'événement indiqué se
produira.
102
Si vous activez l'option Ignorer la tâche lors du fonctionnement sur batterie, aucune tâche ne
sera exécutée si l'ordinateur est alimenté par batterie au moment ou elle doit démarrer. Cela
concerne par exemple les ordinateurs fonctionnant sur UPS.
Déclenchée par un événement
Vous pouvez préciser l'intervalle de temps minimum entre deux exécutions de la tâche déclenchée
par événement.
La tâche peut être déclenchée par l'un des événements suivants :
• Chaque fois que l'ordinateur démarre
• Chaque jour au premier démarrage de l'ordinateur
• Connexion commutée à Internet/VPN
• Mise à jour réussie de module
• Mise à jour réussie de produit
• Connexion utilisateur : la tâche est déployée lorsque l'utilisateur se connecte au système.
Si vous vous connectez plusieurs fois par jour à votre ordinateur, choisissez 24 heures pour
effectuer la tâche uniquement lors de la première connexion du jour, puis le jour suivant.
• Détection de menace
Exécuter l'application
Cette tâche permet de programmer l'exécution d'une application externe.
• Fichier exécutable - Choisissez un fichier exécutable dans l'arborescence de répertoire,
cliquez sur naviguer (...) ou entrez manuellement le chemin d'accès.
• Dossier de travail - Définit le dossier de travail de l'application externe. Tous les fichiers
temporaires du Fichier exécutable sélectionné seront créés dans ce dossier.
• Paramètres - Paramètres de ligne de commande à utiliser pour l'application (facultatif).
Tâche ignorée
Si une tâche n'a pas pu être exécutée à l'heure définie, il est possible de préciser le moment où elle
sera exécutée :
• À la prochaine heure planifiée - La tâche sera exécutée à l'heure précisée (par exemple,
après 24 heures).
• Dès que possible - la tâche sera exécutée dès que possible, lorsque les actions qui
empêchent l'exécution de la tâche ne sont plus valides.
• Immédiatement si le temps écoulé depuis la dernière exécution dépasse la valeur
spécifiée - Temps depuis la dernière exécution (heures) - Une fois cette option
sélectionnée, la tâche sera toujours répétée après la durée indiquée (en heures).
103
Aperçu des tâches planifiées
Cette fenêtre de dialogue affiche des informations détaillées au sujet de la tâche planifiée lorsque
vous double-cliquez sur la tâche dans l'affichage Planificateur ou lorsque vous effectuez un clic droit
sur la tâche planifiée et choisissez Afficher les détails de la tâche.
Envoyer les échantillons pour analyse...
La boîte de dialogue d'envoi d'échantillon vous permet d'envoyer un fichier ou un site à ESET pour
analyse. Si vous trouvez un fichier qui se comporte de manière suspecte sur votre ordinateur ou un
site suspect sur Internet, envoyez-le à ESET Virus Lab pour analyse. Si le fichier s'avère être une
application ou un site Web malveillant, le site ou le fichier détecté sera ajouté à une mise à jour à
venir.
Pour envoyer un ou plusieurs fichiers par courriel, comprimez-les en utilisant un programme comme
WinRAR ou WinZip, protégez l'archive avec le mot de passe infected et envoyez-la à
samples@eset.com. Utilisez un sujet descriptif et joignez autant d'informations que possible sur les
fichiers (par exemple, le site Web sur lequel vous les avez téléchargés).
Avant d'envoyer un échantillon à ESET, assurez-vous qu'il répond à un ou à plusieurs des critères
suivants :
• le fichier ou le site Web n'est pas du tout détecté
• le fichier ou le site Web est détecté à tort comme une menace
Si au moins l'une des conditions ci-dessus n'est pas remplie, vous ne recevrez pas de réponse tant
que des informations supplémentaires n'auront pas été fournies.
Sélectionnez la description qui correspond le mieux à votre message à partir du menu déroulant
Raison de l'envoi de l'échantillon :
• Fichier suspect
• Site suspect (un site Web infecté par un logiciel malveillant),
• Fichier faux positif (fichier signalé comme infecté, mais qui ne l'est pas),
• Site faux positif
• Autre
Fichier/Site
Le chemin d'accès au fichier ou au site Web que vous voulez envoyer.
Adresse courriel du contact
L'adresse de courriel du contact est envoyée avec les fichiers suspects à ESET et peut être utilisée
pour communiquer avec vous si des renseignements complémentaires sont nécessaires pour
l'analyse. L'entrée de l'adresse courriel est facultative. Vous ne recevrez pas de réponse d'ESET,
sauf si des renseignements complémentaires sont nécessaires pour l'analyse. Comme nos
serveurs reçoivent quotidiennement des dizaines de milliers de fichiers, il nous est impossible de
répondre à tous les envois.
Envoyer anonymement
104
Utilisez la case à cocher Envoyer anonymement pour envoyer un fichier ou un site Web suspect
sans entrer votre adresse électronique.
Fichier suspect
Signes et symptômes d'une infection observés
Entrez une description du comportement du fichier suspect observé sur votre ordinateur.
Origine du fichier (adresse URL ou fournisseur)
Entrez l'origine du fichier (la source) et indiquez comment vous avez obtenu ce fichier.
Notes et autres informations
Ici, vous pouvez ajouter des renseignements ou des descriptions supplémentaires qui faciliteront
le processus d'identification du fichier suspect.
REMARQUE
Le premier paramètre - Signes et symptômes d'une infection par un logiciel malveillant est requis, mais tout renseignement supplémentaire aidera grandement nos laboratoires lors du
processus d'identification des échantillons.
Site suspect
Sélectionnez l'une des options suivantes à partir du menu déroulant Quel est le problème avec le
site :
Infecté
Un site Web qui contient des virus ou d'autres logiciels malveillants diffusés par différentes
méthodes.
Hameçonnage
Souvent utilisé pour accéder à des données sensibles, telles que des numéros de comptes
bancaires, des NIP, etc. Pour en savoir plus sur ce type d'attaque, consultez le glossaire .
Canular
Une escroquerie ou un site Web frauduleux.
Autre
Utilisez cette option si aucune des options ci-dessus ne s'applique au site que vous allez envoyer.
Notes et autres informations
Vous pouvez entrer des informations supplémentaires ou une description qui pourrait aider à
analyser le site Web suspect.
Fichier faux positif
Nous vous demandons d'envoyer les fichiers qui ont été signalé comme infecté, alors qu'ils ne le sont
105
pas, et ce, afin de nous aider à améliorer notre moteur de détection et d'aider les autres à rester
protégés. Les faux positifs (FP) peuvent se produire lorsque le modèle d'un fichier correspond au
modèle contenu dans un moteur de détection.
REMARQUE
Les trois premiers paramètres sont requis pour identifier les applications légitimes et les
distinguer des programmes malveillants. Le fait de fournir de l'information supplémentaire aidera
grandement nos laboratoires lors du processus d'identification et du traitement des échantillons.
Nom et version de l'application
Titre et version du programme (numéro, alias ou nom de code).
Origine du fichier (adresse URL ou fournisseur)
Entrez l'origine du fichier (la source) et indiquez comment vous avez obtenu ce fichier.
Fonction de l'application
La description générale de l'application, le type d'application (par ex., navigateur, lecteur
multimédia, etc.) et sa fonction.
Notes et autres informations
Ici, vous pouvez ajouter des renseignements ou des descriptions supplémentaires qui faciliteront
le traitement du fichier suspect.
Site faux positif
Nous vous encourageons à nous envoyer les sites qui sont signalés comme étant infectés, frauduleux
ou comme étant des sites d'hameçonnage, mais qui ne le sont pas. Les faux positifs (FP) peuvent se
produire lorsque le modèle d'un fichier correspond au modèle contenu dans un moteur de détection.
Veuillez fournir ce site Web pour nous permettre d'améliorer notre moteur de détection et d'aider les
autres à être protégés.
Notes et autres informations
Ici, vous pouvez ajouter des renseignements ou des descriptions supplémentaires qui faciliteront
le traitement du fichier suspect.
Autre
Utilisez ce formulaire si le fichier ne peut être catégorisé comme Fichier suspect ou comme Faux
positif.
Raison de la soumission du fichier
Entrez une description détaillée ainsi que la raison de l'envoi du fichier.
Quarantaine
La quarantaine vise principalement à stocker les fichiers infectés de façon sécuritaire. Ces fichiers
doivent être mis en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les
106
supprimer ou s'ils sont détectés par erreur par ESET Mail Security. Vous pouvez choisir de mettre
n'importe quel fichier en quarantaine. Il est conseillé de le faire si un fichier se comporte de façon
suspecte, mais n'a pas été détecté par l'analyseur de logiciels malveillants. Les fichiers en
quarantaine peuvent ensuite être envoyés pour analyse au laboratoire ESET Virus Lab.
Les fichiers stockés dans le dossier de quarantaine peuvent être visualisés dans un tableau indiquant
la date et l'heure de mise en quarantaine, le chemin de l'emplacement d'origine du fichier infecté, sa
taille en octets, la raison (par exemple, un objet ajouté par l'utilisateur) et le nombre de menaces (par
exemple, s'il s'agit d'une archive contenant plusieurs infiltrations).
Dans le cas où des objets de messagerie sont mis dans le fichier de quarantaine, le chemin d'accès à
la boîte aux lettres/dossier/nom de fichier s'affiche.
Mise de fichiers en quarantaine
ESET Mail Security envoie automatiquement les fichiers supprimés en quarantaine (si vous n'avez
pas désactivé cette option dans la fenêtre d'alerte). Pour mettre manuellement en quarantaine
tout fichier suspect clquez sur Quarantaine. Les fichiers mis en quarantaine seront supprimés de
leur emplacement original. Il est également possible d'utiliser le menu contextuel à cette fin. Il
suffit de cliquer avec le bouton droit dans la fenêtre Quarantaine et de sélectionner
Quarantaine.
Restaurer depuis la quarantaine
Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement d'origine. Pour
ce faire, utilisez la fonctionnalité Restaurer du menu contextuel après avoir cliqué avec le bouton
droit sur un fichier indiqué dans la fenêtre de quarantaine. Si un fichier est signalé comme
107
application potentiellement indésirable , l'option Restaurer et exclure de l'analyse sera
offerte. Le menu contextuel offre également l'option Restaurer vers... qui permet de restaurer
des fichiers vers un emplacement autre que celui d'où ils ont été supprimés.
REMARQUE
Si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer,
veuillez l'exclure de l'analyse et l'envoyer au Service à la clientèle ESET.
Soumission d'un fichier de quarantaine
Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un
fichier a été jugé infecté par erreur (par exemple, par l'analyse heuristique du code) et mis en
quarantaine, envoyez ce fichier au laboratoire ESET Virus Lab. Pour soumettre un fichier mis en
quarantaine, cliquez sur ce dernier avec le bouton droit de la souris, puis, dans le menu
contextuel, sélectionnez Soumettre pour analyse.
Supprimer de la quarantaine
Cliquez avec le bouton droit sur un élément donné et sélectionnez Supprimer de la
quarantaine. Ou sélectionnez les éléments applicables et appuyez sur Suppr. sur votre clavier.
Paramètres de protection du serveur
Il s'agit l'option d'intégration principale. Utilisez le commutateur pour activer ou désactiver
l'intégration de la protection de base de données de boîtes de courriels ou de la protection du
transport de courriels dans votre serveur Exchange.
REMARQUE
Si vous exécutez Microsoft Exchange Server 2007 ou 2010, vous pouvez choisir entre Protection
de base de données de boîtes de courriels et Analyse de base de données de boîtes de courriels à
la demande. Un seul type de protection peut être actif à la fois. Si vous décidez d'utiliser l'option
Analyse de la base de données de boîtes de courriels à la demande, vous devrez désactiver
l'intégration de la Protection de base de données de boîtes de courriels. Sinon l'option Analyse de
la base de données de boîtes de courriels à la demande ne sera pas disponible.
Vous pouvez également modifier l'option Priorité d'agent.
ESET Mail Security offre une protection substantielle à Microsoft Exchange Server grâce aux
fonctionnalités suivantes :
• Antivirus et antispyware
• Protection antipourriel
• Protection anti-hameçonnage
• Règles
• Protection du transport du courriel (Exchange Server 2007, 2010, 2013, 2016, 2019)
• Protection de la base de données de messagerie (Exchange Server 2007, 2010)
• Analyse de la base de données de boîtes de courriels à la demande (Exchange Server 2007,
2010, 2013, 2016, 2019)
• Quarantaine de courriel (paramètres du type Quarantaine de courriel)
108
Configuration de la priorité de l'agent
Si nécessaire, vous pouvez indiquer la priorité selon laquelle les agents ESET Mail Security deviennent
actifs après le démarrage de Microsoft Exchange Server. La valeur numérique définit la priorité. Les
chiffres inférieurs indiquent une priorité plus élevée. Cela s'applique à Microsoft Exchange Server
2007 et les version plus récentes.
Vers le haut/Vers le bas
Permet d'élever ou de réduire la priorité de l'agent sélectionné en le déplaçant vers le haut dans
la liste des agents.
Antivirus et anti-logiciel espion
Dans cette section, vous pouvez configurer les options Antivirus et anti-logiciel espion de votre
serveur de courriel.
IMPORTANT
La protection du transport du courriel est offerte par l'agent de transport et n'est disponible que
pour Microsoft Exchange Server 2007 et versions ultérieures, mais votre Exchange Server doit
avoir le rôle Edge Transport Server ou Hub Transport Server. Cela s'applique aussi à
l'installation d'un seul serveur avec plusieurs rôles Exchange Serveur sur un ordinateur (tant qu'il
inclut le rôle Edge ou Hub Transport).
Protection du transport de messagerie
109
Si vous décochez l'option Activer la protection antivirus et anti-logiciel espion du
transport du courriel, le module d'extension ESET Mail Security pour le serveur Exchange ne
sera pas déchargé du processus du serveur Microsoft Exchange. Il ne fera que passer à travers les
messages sans faire une analyse de détection des virus sur la couche de transport. Les messages
seront quand même analysés à la recherche de virus et de pourriel sur la couche de la base de
données et les règles existantes seront appliquées.
Protection de la base de données de messagerie
Si vous décochez l'option Activer la protection antivirus et anti-logiciel espion de la base
de données de la boîte de courriel, le module d'extension ESET Mail Security pour le serveur
Exchange ne sera pas déchargé du processus du serveur Microsoft Exchange. Il ne fera que
passer à travers les messages sans faire une analyse de détection des virus sur la couche de la
base de données. Les messages seront quand même analysés à la recherche de virus et de
pourriel sur la couche de la base de données et les règles existantes seront appliquées.
110
Analyse de la base de données de boîtes de courriels à la demande
Est disponible après avoir désactivé Protection de base de données de boîtes de courriels
sur la section Serveur.
paramètres ThreatSense
Modifiez les paramètres d'analyse pour la protection du transport du courriel, la protection de
base de données de boîtes de courriels et l'analyse de la base de données de boîtes de courriels à
la demande.
Protection antipourriel
Par défaut, la protection antipourriel de votre serveur de courriel est activée. Pour la désactiver,
utilisez le commutateur situé à côté de l'option Activer la protection antipourriel.
REMARQUE
La désactivation de la protection antipourriel ne modifiera pas l'état de la protection. Bien que la
fonction antipourriel soit désactivée, Vous êtes protégés va continuer de s'afficher en vert dans
la section Surveillance de l'IUG principale. La désactivation de la fonction antipourriel n'est pas
considérée comme une réduction de la protection.
111
Utiliser les listes blanches Exchange Server pour contourner automatiquement la
protection antipourriel
Cette option permet à ESET Mail Security d'utiliser des « listes blanches » Exchange précises.
Lorsqu'elle est activée, les points suivants sont pris en compte :
• L'envoi de l'adresse IP du serveur est sur la liste des adresses IP autorisées du serveur
Exchange
• L'indicateur de Contournement antipourriel est réglé dans la boîte aux lettres du destinataire
du message
• L'adresse de l'expéditeur figure sur la Liste des Expéditeurs fiables du destinataire du
message (assurez-vous que vous avez configuré la synchronisation de la Liste des expéditeurs
fiables dans votre environnement Exchange Server, y compris l'Agrégation des listes fiables)
Si l'un de ces cas s'applique à un message entrant, la vérification antipourriel de ce message sera
court-circuitée. Le message ne fera pas l'objet d'une vérification antipourriel et sera livré dans la
boîte de courriel du destinataire.
Indicateur d'acceptation du contournement antipourriel configuré sur la session SMTP
Cet indicateur est utile lorsque vous avez des sessions SMTP authentifiées entre les serveurs
Exchange dont la configuration de contournement antipourriel est activée. Par exemple, lorsque
vous avez un serveur Edge et un serveur Hub, il n'est pas nécessaire d'analyser le trafic entre ces
deux serveurs. L'Indicateur d'acceptation du contournement antipourriel configuré sur la
session SMTP est activé par défaut, mais ne s'applique que lorsque l'indicateur de
contournement antipourriel est configuré pour la session SMTP sur votre Exchange Server. Si vous
désactivez l'option Indicateur d'acceptation du contournement antipourriel configuré sur
la session SMTP, ESET Mail Security analysera la session SMTP à la recherche de pourriel, sans
112
égard au paramètre de contournement antipourriel dans votre Exchange Server.
REMARQUE
Il est nécessaire que la base de données antipourriel soit mise à jour régulièrement pour que le
module antipourriel offre la meilleure protection possible. Pour autoriser la mise à jour régulière
de la base de données antipourriel, assurez-vous que ESET Mail Security ait accès aux bonnes
adresses IP sur les ports nécessaires. Pour en savoir plus sur les adresses IP et les ports à activer
sur votre coupe-feu tiers, voir notre article sur la Base de connaissances .
Vous trouverez d'autres paramètres pour chaque fonctionnalité dans sa propre section :
• Filtrage et vérification
• Paramètres avancés
• Paramètres de mise en liste grise
• SPF et DKIM
• Protection contre la rétrodiffusion
Filtrage et vérification
Vous pouvez configurer les listes Autorisées, Bloquées et Ignorées en spécifiant des critères
comme l'adresse IP ou l'intervalle, le nom de domaine, etc. Pour ajouter, modifier ou supprimer un
critère, cliquez sur Modifier pour la liste à gérer.
REMARQUE
Les adresses IP ou les domaines inclus dans les listes Ignorées ne seront pas testés par la
protection antipourriel, mais d'autres techniques de protection antipourriel seront appliquées.
Les listes ignorées doivent contenir toutes les adresses IP ou les noms de domaine de
l'infrastructure interne. Vous pouvez également inclure les adresses IP ou les noms de domaine
de vos FAI ou des serveurs de messagerie externes qui sont actuellement mis sur liste noire par
l'un des RBL ou DNSBL (Liste noire d'ESET ou Liste noire d'un tiers). Cela vous permet de recevoir
des courriels de sources incluses dans les listes ignorées, même si elles sont sur liste noire. Ces
courriels entrants sont reçus et leur contenu est inspecté par d'autres techniques de protection
antipourriel.
Liste des adresses IP
approuvées
Inscrit automatiquement sur une liste blanche les courriels provenant des
adresses IP spécifiées.
Liste des adresses IP
bloquées
Bloque automatiquement les courriels provenant des adresses IP spécifiées.
Liste des adresses IP
ignorées
Liste des adresses IP qui sont ignorées pendant la classification. Utilisez le
commutateur Fait partie de l'infrastructure interne si vous devez ajouter
des adresses IP locales de votre réseau à la liste blanche. Consultez
l'exemple ci-dessous.
Liste des domaines de Bloque les courriels qui contiennent le domaine spécifié dans le corps de
corps bloqués
message. Seuls les domaines avec un vrai TLD (domaine de premier niveau)
sont acceptés.
Liste des domaines de Les domaines spécifiés dans le corps de message sont ignorés pendant la
corps ignorés
classification. Seuls les domaines avec un vrai TLD (domaine de premier
niveau) sont acceptés.
Liste des adresses IP
de corps bloquées
Bloque les courriels dont le corps de message contient l'adresse IP spécifiée.
Liste des adresses IP
de corps ignorées
Les adresses IP spécifiées dans le corps de message sont ignorées pendant la
classification.
113
Liste des expéditeurs Met sur la liste blanche des courriels provenant d'un expéditeur ou d'un
approuvés
domaine spécifique. Une seule adresse d'expéditeur ou un domaine entier est
utilisé pour la vérification en fonction de la priorité suivante :
1.Adresse SMTP « MAIL FROM »
2.Champ d'en-tête de courriel « Return-Path: »
3.Champ d'en-tête de courriel « X-Env-Sender: »
4.Champ d'en-tête de courriel « From: »
5.Champ d'en-tête de courriel « Sender: »
6.Champ d'en-tête de courriel « X-Apparently-From: »
Liste des expéditeurs Bloque des courriels provenant d'un expéditeur ou d'un domaine spécifique.
bloqués
Toutes les adresses d'expéditeur identifiées ou les domaines entiers sont
utilisés pour la vérification :
Adresse SMTP « MAIL FROM »
Champ d'en-tête de courriel « Return-Path: »
Champ d'en-tête de courriel « X-Env-Sender: »
Champ d'en-tête de courriel « From: »
Champ d'en-tête de courriel « Sender: »
Champ d'en-tête de courriel « X-Apparently-From: »
Domaine approuvé
dans la liste des
adresses IP
Inscrit sur une liste blanche les courriels provenant des adresses IP qui sont
résolues à partir des domaines spécifiés dans cette liste. Les enregistrements
SPF (Sender Policy Framework) sont reconnus lors de la résolution des
adresses IP.
Domaine bloqué dans Bloque les courriels provenant des adresses IP qui sont résolues à partir des
la liste des adresses IP domaines spécifiés dans cette liste. Les enregistrements SPF sont reconnus
lors de la résolution des adresses IP.
Domaine ignoré dans Liste des domaines qui sont résolus en adresses IP, lesquelles ne peuvent
la liste des adresses IP être à leur tour vérifiées pendant la classification. Les enregistrements SPF
sont reconnus lors de la résolution des adresses IP.
Liste des pays bloqués Bloque les courriels provenant des pays spécifiés. Le blocage est basé sur
l'adresse IP géographique. Si un pourriel est envoyé à partir d'un serveur de
messagerie ayant une adresse IP répertoriée dans la base de données de
géolocalisation pour un pays que vous avez sélectionné dans les pays
bloqués, il sera automatiquement marqué comme pourriel et une action sera
effectuée selon le réglage de Action à appliquer contre les pourriels sous
Protection du transport du courriel.
REMARQUE
Les listes des domaines de corps n'acceptent que les domaines avec un TLD réel (domaine de
premier niveau), conformément à la base de données de zone racine officielle des TLD .
Si vous voulez ajouter plusieurs entrées à la fois, cliquez sur Entrer de multiples valeurs dans la
fenêtre contextuelle Ajouter et sélectionner le séparateur à utiliser - Retour à la ligne, Virgule ou
Point-virgule.
114
EXEMPLE
Objectif : Exclure les adresses IP locales de votre infrastructure de la protection antipourriel en les
ajoutant dans la liste Ignorer les adresses IP
Accédez à Configuration avancée (F5) > Serveur > Protection antipourriel > Filtrage et
vérification.
Cliquez sur Modifier en regard de Liste des adresses IP ignorées
Cliquez sur Ajouter et spécifiez la plage d'adresses IP de votre infrastructure réseau (format de
plage d'adresses IP 1.1.1.1-1.1.1.255). Vous pouvez continuer à ajouter plus de plages (ou
d'adresses IP uniques) à la liste, si nécessaire.
Utilisez la barre de défilement Fait partie de l'infrastructure interne.
Ajout à la liste grise et SPF
Spécifiez les domaines dont l'adresse IP sera mise en liste blanche ou la liste blanche des adresses IP
à ignorer automatiquement lors de la mise en liste grise et de SPF. Vous pouvez voir les fichiers
journaux dans le Journal de protection SMTP. Pour utiliser ces options, vous devez activer les options
Mise en liste grise ou SPF, ou les deux. Dans le cas de SPF, vous devez activer les paramètres
Rejeter automatiquement les messages en cas d'échec de la vérification SPF et/ou Ignorer
automatiquement la mise en liste grise si la vérification SPF a réussi.
Utilisez les listes antipourriels pour ignorer automatiquement la mise en liste grise et SPF
Lorsque cette fonction est activée, la liste des adresses IP approuvées et ignorées est utilisée
conjointement avec les adresses IP et les domaines dont les adresses IP doivent figurer sur les
listes blanches d'ignorer automatiquement la mise en liste grise et SPF.
Liste blanche des adresses IP
Dans cette section, vous pouvez ajouter des adresses IP, des adresses IP avec masque et des
plages d'adresses IP. Vous pouvez modifier la liste en cliquant sur Ajouter, Modifier ou
Supprimer. Par ailleurs, vous pouvez importer votre liste personnalisée à partir d'un fichier au
lieu d'ajouter chaque entrée manuellement; pour cela, cliquez sur Importer, puis recherchez le
fichier contenant les entrées que vous souhaitez ajouter à la liste. De même, si vous devez
exporter votre liste existante vers un fichier, sélectionnez Exporter dans le menu contextuel.
REMARQUE
Les listes blanches ont priorité sur les listes noires, c'est-à-dire que si un courriel contient à la fois
une adresse sur la liste blanche et une adresse sur la liste noire, il est mis sur la liste blanche.
Seules la dernière adresse d'expéditeur et jusqu'au Nombre maximum d'adresses vérifiées à
partir de l'en-tête Reçues sont vérifiées par rapport aux listes blanches. Toutes les adresses sont
vérifiées par rapport aux listes noires locales.
Domaine à mettre l'adresse IP en liste blanche
Cette option vous permet de spécifier les domaines (par ex, domainname.local). Pour gérer la
liste, utilisez Ajouter ou Supprimerou Tout supprimer. Si vous souhaitez importer votre liste
personnalisée à partir d'un fichier au lieu d'ajouter chaque entrée manuellement, cliquez sur
Importer, puis recherchez le fichier contenant les entrées que vous souhaitez ajouter à la liste.
De même, si vous devez exporter votre liste existante vers un fichier, sélectionnez Exporter dans
le menu contextuel.
115
REMARQUE
Les listes grises et SPF sont évaluées par la protection du transport de courriel et vous permettent
d'utiliser les adresses IP et les domaines dont les adresses IP ont été ajoutées à la liste blanche,
ainsi que la liste des adresses IP approuvées et ignorées. Toutefois, si vous utilisez des règles
SPF, aucune de ces listes blanches n'est prise en compte pour les règles.
Les paramètres avancés de l'antipourriel
Ces paramètres autorise la vérification des messages par les serveurs externes (définis comme RBL Realtime Blackhole List, DNSBL - DNS Blocklist) en fonction des critères prédéfinis.
Nombre maximum d'adresses vérifiées à partir de l'en-tête Reçues :
Vous pouvez limiter le nombre d'adresses IP qui sont vérifiées par la solution antipourriel. Cela
vise les adresse IP écrites dans les en-têtes Received: from. La valeur par défaut est 0, ce qui
signifie que seule l'adresse IP du dernier expéditeur identifié est vérifiée.
Vérifier l'adresse de l'expéditeur par rapport à la liste noire des utilisateurs finaux
Les courriels qui ne sont pas envoyés à partir des serveurs de courriel (les ordinateurs qui ne sont
pas dans la liste en tant que serveurs de courriel) sont vérifiés pour s'assurer que l'expéditeur
n'est pas sur la liste noire. Cette option est désactivée par défaut. Vous pouvez la désactiver au
besoin, mais les messages qui ne sont pas envoyés à partir des serveur de courriel ne seront pas
vérifiées par rapport à la liste noire.
REMARQUE
Les résultats des listes de blocage externes de tiers ont la priorité sur la liste noire de l'utilisateur
final pour les adresses IP dans les entêtes Received: from. Toutes les adresses IP (jusqu'au
nombre maximum spécifié d'adresses vérifiées) sont envoyées pour évaluation par des serveurs
tiers externes.
Serveurs RBL supplémentaires
Il s'agt d'une liste de serveurs Realtime Blackhole List (RBL) à interroger lors de l'analyse des
messages.
REMARQUE
Lors de l'ajout de serveurs RBL supplémentaires, entrez le nom de domaine du serveur (par ex.,
sbl.spamhaus.org). Cela fonctionne avec tous les codes de retour qui sont pris en charge par le
serveur.
116
Vous pouvez également spécifier un nom de serveur avec un code de retour au format serveur:
réponse (par exemple, zen.spamhaus.org:127.0.0.4). Lorsque ce format est utilisé, nous vous
recommandons d'ajouter chaque nom de serveur et chaque code de retour séparément pour obtenir
une liste complète. Cliquez sur Entrez des valeurs multiples dans la fenêtre Ajouter pour
spécifier tous les noms de serveur et leurs codes de retour. Les entrées devraient ressembler à
l'exemple ci-dessous, le nom d'hôte des serveurs RBL et les codes de retour peuvent varier :
Limite d'exécution de la requête RBL (en secondes)
Cette option vous permet d'établir un délai maximal pour les requêtes RBL. Les réponses RBL ne
sont utilisées que si elles proviennent des serveurs RBL qui répondent à temps. Si la valeur est
réglée à « 0 », il n'y a pas de délai d'attente maximal.
Nombre maximum d'adresses vérifiées par rapport à la liste RBL
Cette option vous permet de limiter le nombre d'adresses IP interrogées par rapport au serveur
RBL. Veuillez noter que le nombre total de requêtes RBL correspondra au nombre d'adresses IP
dans les en-têtes dans le dossier Reçus : les en-têtes (jusqu'à un maximum d'adresses IP vérifiées
par rapport à la liste RBL) multiplié par le nombre de serveurs RBL spécifiés dans la liste RBL. Si la
valeur est réglée à « 0 », un nombre illimité d'en-têtes reçus sera vérifié. Veuillez noter que les
adresses IP qui correspondent à la liste d'adresses IP ignorées ne comptent pas dans la limite
117
d'adresses IP RBL.
Serveurs DNSBL supplémentaires
Il s'agit d'une liste des serveurs DNS Blocklist (DNSBL) à interroger avec les domaines et les
adresses IP extraits du corps de message.
REMARQUE
Lors de l'ajout de serveurs DNSBL supplémentaires, entrez le nom de domaine du serveur (par
ex., dbl.spamhaus.org). Cela fonctionne avec tous les codes de retour qui sont pris en charge
par le serveur.
Vous pouvez également spécifier un nom de serveur avec un code de retour au format serveur:
réponse (par exemple, zen.spamhaus.org:127.0.0.4). Dans ce cas, nous vous recommandons
d'ajouter chaque nom de serveur et chaque code de retour séparément pour obtenir une liste
complète. Cliquez sur Entrez des valeurs multiples dans la fenêtre Ajouter pour spécifier tous les
noms de serveur et leurs codes de retour. Les entrées devraient ressembler à l'exemple ci-dessous, le
nom d'hôte des serveurs DNSBL et les codes de retour peuvent varier :
Limite d'exécution de la requête DNSBL (en secondes)
118
Permet d'établir un délai d'attente maximal pour toutes les requêtes DNSBL à compléter.
Nombre maximum d'adresses vérifiées par rapport à la liste DNSBL
Permet de limiter le nombre d'adresses IP interrogées par rapport au serveur DNS Blocklist.
Nombre maximum de domaines vérifiés par rapport à la liste DNSBL
Permet de limiter le nombre de domaines IP interrogées par rapport au serveur DNS Blocklist.
Taille maximale de l'analyse des messages (kB)
Permet de limiter l'analyse antipourriel des messages dont la taille est supérieure à la valeur
spécifiée. La valeur par défaut 0 indique qu'il n'y a pas de limite à la taille des messages analysés.
Normalement, il n'y a aucune raison de limiter l'analyse antipourriels, mais si vous avez besoin de
la limiter dans certaines situations, changez la valeur en utilisant la taille requise. Lorsqu'il est
configuré, le moteur antispourriel traite les messages dont la taille ne dépasse pas la valeur
spécifiée et ignore les messages plus volumineux.
REMARQUE
La plus petite limite possible est de 12 kB. Si vous définissez une valeur comprise entre 1 et 12, le
moteur antipourriel lira toujours au moins 12 kB.
Activer le rejet temporaire des messages indéterminés
Si le moteur antipourriel ne peut pas déterminer si un message est un POURRIEL ou non, ce qui
veut dire que le message a des caractéristiques suspectes propres aux POURRIELS, mais pas
assez pour être marqué comme POURRIEL (par exemple, le premier message d'une campagne ou
un courriel provenant d'une plage d'adresses IP avec des évaluations mixtes), alors ce paramètre
(lorsqu'il est activé) autorise ESET Mail Security à rejeter temporairement un tel message (comme
le fait la mise en liste grise). Le rejet se poursuit pendant une durée déterminée, jusqu'à ce que :
• L'intervalle soit écoulé et que le message soit accepté lors de la prochaine tentative de
livraison. Ce message est laissé dans sa classification initiale (POURRIEL OU LÉGITIME).
• Le nuage antipourriel rassemble suffisamment de données et est capable de classer
correctement le message avant la fin de l'intervalle.
Le message rejeté n'est pas gardé par ESET Mail Security, car il doit être renvoyé par le serveur
d'envoi de courriel conformément à la spécification RFC sur le SMTP.
Activer l'envoi des messages rejetés temporairement pour fins d'analyse
Le contenu du message est automatiquement envoyé pour une analyse approfondie. Cela
contribue à améliorer la classification des messages pour les prochains courriels.
IMPORTANT
Il est possible que des messages rejetés temporairement qui sont envoyés pour analyse soient en
fait des messages légitimes. Dans de rares cas, des messages temporairement rejetés peuvent
être utilisés pour une évaluation manuelle. N'activez cette fonction que si tout risque de fuite des
données confidentielles est écarté.
Paramètres Greylisting
La fonction Activer Greylisting active une fonctionnalité qui protège les utilisateurs contre les
119
pourriels en utilisant la technique suivante : L'agent de transport envoie une valeur de retour SMTP de
« rejet temporaire » (la valeur par défaut étant 451/4.7.1) pour tout message reçu ne provenant pas
d'un expéditeur reconnu. Après un certain temps, un serveur légitime tentera de renvoyer le
message. De façon générale, les serveurs de pourriel ne tentent pas de renvoyer le message,
puisqu'ils utilisent des milliers d'adresses de courriel et ne perdront donc pas de temps à essayer de
renvoyer un message. Greylisting est une autre couche de protection antipourriel, mais elle n'a aucun
effet sur les capacités d'évaluation du pourriel du module antipourriel.
Pour évaluer la source du message, Greylisting utilise une méthode qui tient compte de la
configuration des listes Adresses IP approuvées, Adresses IP ignorées, Expéditeurs fiables et
Autoriser l'adresse IP sur le serveur Exchange et des paramètres de contournement de la
protection antipourriel de la boîte de courriel du destinataire. Les courriels provenant de ces listes
d'adresses IP/d'expéditeurs ou les courriels livrés dans la boîte de courriel pour laquelle l'option de
contournement de la protection antipourriel a été activée ne seront pas évalués par la méthode de
détection Greylisting.
Utiliser seulement la partie du domaine de l'adresse de l'expéditeur
Ignore le nom de l'expéditeur dans l'adresse de courriel, seul le domaine est pris en compte.
Synchroniser les bases de données des listes grises avec toute la grappe ESET
Les entrées de la base de données de listes grises sont partagées en temps réel entre les
serveurs de la grappe ESET. Lorsque l'un des serveurs reçoit un message qui est traité par la mise
en liste grise, cette information est diffusée par ESET Mail Security sur le reste des nœuds de la
grappe ESET.
Délai de refus de la connexion initiale (min)
Lors de la première tentative de livraison d'un message temporairement refusé, ce paramètre
définit la durée pendant laquelle le message sera toujours refusé (calculé à partir du premier
refus). Une fois le délai écoulé, le message sera accepté. La valeur minimale que vous pouvez
entrer est 1 minute.
Délai d'expiration des connexions non vérifiées (heures)
Ce paramètre définit la durée minimale pendant laquelle le triplet de données sera stocké. Un
serveur valide doit renvoyer le message voulu avant l'expiration de cette période. Cette valeur
doit être supérieure à la valeur du Délai de refus de la connexion initiale.
Délai d'expiration des connexions non vérifiées (jours)
Le nombre minimal de jours pendant lequel le triplet de données sera stocké, délai pendant lequel
les messages envoyés par un expéditeur donné seront acceptés sans délai. Cette valeur doit être
supérieure à la valeur du Délai d'expiration des connexions non vérifiées.
Réponse SMTP (pour les connexions temporairement refusées)
Spécifiez un Code de réponse, un Code d'état et un Message de réponse, qui définissent la
réponse de refus temporaire envoyée au serveur SMTP si un message est refusé. Exemple d'un
message de réponse de refus SMTP :
120
Code de réponse Code d'état Message de réponse
451
4.7.1
Veuillez réessayer ultérieurement.
AVERTISSEMENT
Une syntaxe incorrecte des codes de réponse SMTP pourrait entraîner un mauvais
fonctionnement de la protection Greylisting. Ainsi, il est possible d'envoyer les pourriels peuvent
être envoyés aux clients ou de ne jamais les envoyer.
REMARQUE
Vous pouvez également utiliser les variables du système au moment de définir la réponse de
refus SMTP.
Tous les messages évalués à l'aide de la méthode d'ajout à la liste grise sont inscrits dans le journal
de protection SMTP.
SPF et DKIM
SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) sont utilisés comme méthodes
de validation afin de vérifier qu'un courriel entrant qui prétend provenir d'un domaine précis a été
autorisé par le propriétaire de ce domaine. Cela permet de protéger les destinataires contre la
réception de messages envoyés avec une identité usurpée. ESET Mail Security uses utilise également
l'évaluation DMARC (Domain-based Message Authentication, Reporting and Conformance) pour
améliorer encore le SPF et le DKIM.
SPF
La vérification SPF permet de déterminer si un courriel a été envoyé par le propriétaire légitime. Une
recherche DNS des enregistrements SPF du domaine de l'expéditeur est effectuée afin d'obtenir une
liste d'adresses IP. Si l'une des adresses IP provenant des enregistrements SPF correspond à l'adresse
IP réelle de l'expéditeur, le résultat de la vérification SPF est Réussite. Si l'adresse IP réelle de
l'expéditeur ne correspond pas, le résultat est Échec. Il faut cependant noter que tous les domaines
n'ont des enregistrements SPF spécifiés dans le DNS. Si aucun enregistrement SPF n'existe dans le
DNS, le résultat est Non disponible. Des dépassements de délai peuvent se produire
occasionnellement pour les requêtes DNS, auquel cas le résultat est également N'est pas
disponible.
DKIM
est utilisé par les organisations pour empêcher la mystification des courriels grâce à l'ajout d'une
signature numérique aux en-têtes des messages sortants selon la norme DKIM. Cela implique
l'utilisation d'une clé de domaine privé pour chiffrer les en-têtes de courriels sortant de vos domaines
et l'ajout d'une version publique de la clé aux enregistrements DNS du domaine. ESET Mail Security
peut alors extraire la clé publique pour déchiffrer les en-têtes entrants et vérifier que le message
provient réellement de votre domaine et que son en-tête n'a pas été modifié en cours de route.
REMARQUE
Exchange Server 2010 et les versions antérieures ne sont pas entièrement compatibles avec
DKIM, car les en-têtes inclus dans les messages entrants signés numériquement peuvent être
modifiés pendant la validation DKIM.
DMARC
121
Se base sur les deux mécanismes existants, SPF et DKIM. Vous pouvez utiliser les règles de protection
du transport du courriel pour évaluer les actions Résultat DMARC et Appliquer la politique
DMARC.
Détecter automatiquement le serveur DNS
Utilise les paramètres de votre carte réseau.
Adresse IP du serveur DNS
Si vous souhaitez utiliser des serveurs DNS précis pour SPF et DKIM, entrez l'adresse IP (au format
IPv4 ou IPv6) du serveur DNS que vous souhaitez utiliser.
Délai de requête DNS (secondes)
Spécifie le délai pour la réponse du DNS.
Rejeter automatiquement les messages si la vérification SPF échoue
Si la vérification SPF échoue immédiatement, le courriel peut être rejeté avant qu'il ne soit
téléchargé.
122
EXEMPLE
La vérification SPF est effectuée sur la couche SMTP. Cependant, il peut être rejeté
automatiquement sur la couche SMTP ou lors de l'évaluation des règles.
Il n'est pas possible d'enregistrer les messages rejetés dans le journal Événements si vous utilisez
le rejet automatique sur la couche SMTP. En effet, la journalisation est effectuée par une action de
règle et le rejet automatique est effectué directement sur la couche SMTP qui se produit avant
l'évaluation de la règle. Comme les messages sont rejetés avant l'évaluation des règles, il n'y a
pas d'informations à consigner au moment de l'évaluation des règles.
Vous pouvez enregistrer les messages rejetés, mais uniquement si vous rejetez les messages par
une action de règle. Pour rejeter les messages pour lesquelles la vérification SPF n'a pas réussi et
journaliser ces messages rejetés, désactivez Rejeter automatiquement les messages si la
vérification du SPF échoue et créez la règle suivante pour Protection du transport du
courriel :
Condition
Type : Résultat SPF
Opération : est
Paramètre : Échec
Actions
Type : Rejeter le message
Type :Journaliser les événements
Utiliser l'entête Expéditeur : si COURRIEL ENVOYÉ PAR est vide
L'en-tête MAIL FROM peut être vide; elle peut également contenir une identité usurpée. Lorsque
cette option est activée, et que MAIL FROM est vide, le message est téléchargé et l'entête From:
est utilisée à la place.
Ignorer automatiquement la mise en liste grise si la vérification SPF a réussi
Il n'y a aucune raison d'utiliser la mise en liste grise pour un message en cas de réussite de la
vérification SPF.
Réponse de rejet SMTP
Vous pouvez spécifier un Code de réponse, un Code d'état et un Message de réponse, qui
définissent la réponse de refus temporaire envoyée au serveur SMTP si un message est refusé.
Vous pouvez écrire un message de réponse en respectant le format suivant :
Code de réponse Code d'état Message de réponse
550
5.7.1
La vérification SPF a échoué
Protection contre la rétrodiffusion
La rétrodiffusion de pourriel désigne le renvoi mal adressés des messages envoyés par des serveurs
de messagerie. La rétrodiffusion est un effet collatéral indésirable des pourriels. Lorsqu'un pourriel est
rejeté par le serveur de messagerie du destinataire, un rapport de non-remise (NDR), également
appelé message de rejet, est envoyé à l'expéditeur présumé (une adresse courriel utilisée
faussement comme étant l'expéditeur du pourriel original) qui n'est pas l'expéditeur réel du pourriel.
Le propriétaire de l'adresse courriel reçoit un rapport de non-remise, même s'il n'a en rien participé à
l'envoi du pourriel d'origine. C'est là qu'intervient la Protection contre la rétrodiffusion. Vous
pouvez empêcher la distribution des rapports de non-remise aux boîtes de courriels des utilisateurs
au sein de votre organisation à l'aide de la protection contre la rétrodiffusion de ESET Mail Security.
123
Lorsque vous activez la vérification des rapports de non-remise, vous devez spécifier l'amorce
de signature (une chaîne d'au moins 8 caractères, par exemple, une phrase secrète). La protection
contre la rétrodiffusion de ESET Mail Security inscrit X-Eset-NDR: <hash> dans l'en-tête de chaque
courriel sortant. <hash> est une signature chiffrée qui contient également l'amorce de signature
que vous avez spécifiée.
Si un courriel légitime n'a pas pu être remis, votre serveur de messagerie reçoit généralement un
rapport de non-remise, qui est vérifié par ESET Mail Security à la recherche du symbole X-Eset-NDR:
<hash> dans les en-têtes. Si X-Eset-NDR: est présent et que la signature <hash> correspond, le
rapport de non-remise est envoyé à l'expéditeur du message électronique légitime indiquant que la
remise du message a échoué. Si Eset-NDR: n'est pas présent ou si la signature <hash> est incorrecte,
alors il s'agit d'une rétrodiffusion de pourriel et le rapport de non-remise est rejeté.
Supprimer automatiquement les rapports de non-remise en cas d'échec de la vérification
Si la vérification du rapport de non-remise échoue immédiatement, le courriel peut être rejeté
avant qu'il ne soit téléchargé.
Vous pouvez consulter l'activité de la Protection contre la rétrodiffusion dans le Journal de
protection SMTP.
Protection anti-hameçonnage
L'hameçonnage désigne une activité dont le but est d'obtenir des informations sensibles telles que les
noms d'utilisateur, les mots de passe, les numéros de compte bancaires ou de carte de crédit et les
NIP par courriels ou par des pages Web déguisées en une entité digne de confiance. Cette activité est
généralement effectuée pour des raisons malveillantes. Il s'agit d'une forme de piratage
psychologique (manipuler les utilisateurs pour obtenir des informations confidentielles).
ESET Mail Security comprend une protection anti-hameçonnage qui empêche les utilisateurs
d'accéder à des pages Web connues comme hameçons. Dans le cas des courriels contenant des liens
menant à des pages Web d'hameçonnage, ESET Mail Security utilise un analyseur sophistiqué qui
effectue des recherches dans le corps et dans l'objet des courriels entrants afin d'identifier ces liens
(URL). Les liens sont comparés à la base de données d'hameçons. Si le résultat de l'évaluation est
positif, le courriel est considéré comme un message d'hameçonnage et ESET Mail Security le traite en
fonction du paramètre Action à entreprendre sur un message hameçon pour chaque couche de
protection (Protection du transport du courriel, Protection de base de données de boîtes de courriels
et Analyse de la base de données de boîtes de courriels à la demande). Les actions de règle sont
également exécutées.
Normes de format de courriel prises en charge :
• Texte brut
• HTML seulement
• MIME
• MIME à plusieurs parties (un courriel contenant à la fois un élément HTML et un élément de
texte brut)
Entités HTML prises en charge
:
Les messages d'hameçonnage peuvent contenir des entités HTML afin de se cacher au moteur
antihameçonnage. La protection anti-hameçonnage analyse et traduit également les symboles des
124
entités HTML afn de trouver et d'évaluer correctement les adresses URL masquées.
Un seul caractère peut être représenté sous différentes formes. Par exemple, une période peut être
représentée sous les formes suivantes :
Les liens que contiennent le courriel tel
que l'utilisateur les voit
Liens masqués contenus dans le corps du message
Type
http://www.example-phishing-domain.com/Fraud .
http://www.example-phishing-domain.com/Fraud
caractère
http://www.example-phishing-domain.com/Fraud .
http://www.example-phishing-domain.com/Fraud
nom d'entité
http://www.example-phishing-domain.com/Fraud
Valeur
http://www.example-phishing-domain.com/Fraud numéro
.
hexadécimal
de l'entité
http://www.example-phishing-domain.com/Fraud
http://www.example-phishing-domain.com/Fraud
.
numéro
décimal de
l'entité
Pour voir l'activité de la protection anti-hameçonnage, accédez à Fichiers journaux > Journal de
protection du serveur de messagerie. Il contiendra des informations sur les courriels et les liens de
hameçonnage qui y ont été trouvés.
Signaler un site d'hameçonnage
Cliquez sur Signaler
d'analyse.
pour signaler un site Web hameçon ou malveillant à ESET pour fins
Règles
Les règles permettent de définir manuellement les conditions de filtrage des courriels et les actions à
entreprendre pour les courriels filtrés. Vous pouvez également définir des conditions et des actions
différentes pour la protection du transport du courriel, la protection de la base de données de la boîte
de courriels et l'analyse de la base de données de boîtes de courriels à la demande. La raison est que
chacun de ces types de protection utilise une approche légèrement différente lors du traitement des
messages, notamment la Protection du transport du courriel.
REMARQUE
La disponibilité des règles pour la protection de base de données de boîtes de courriels, l'analyse
de la base de données de boîtes de courriels à la demande et la protection du transport du
courriel dans votre système dépend de la version de Microsoft Exchange Server installée sur le
serveur avec ESET Mail Security.
IMPORTANT
Des règles pour l'analyse de la base de données de boîtes de courriels à la demande mal
définies peuvent entraîner des modifications irréversibles dans les bases de données de boîtes
courriels. Assurez-vous toujours d'avoir la sauvegarde la plus récente de vos bases de données de
boîtes de courriels avant d'exécuter l'analyse de la base de données de boîtes de courriels à la
demande avec des règles en place pour la première fois. En outre, nous vous recommandons
fortement de vérifier que les règles fonctionnent conformément aux attentes. Pour vérification,
définissez des règles avec l'action Journaliser aux événements uniquement, car toute autre
action peut apporter des modifications à vos bases de données de boîtes aux lettres. Une fois
vérifiée, vous pouvez ajouter des actions de règle destructives telles que Supprimer la pièce
jointe.
Les règles sont classées en trois niveaux et sont évaluées dans l'ordre suivant :
• Règles de filtrage (1) : Règle évaluée avant l'analyse antipourriel, antihameçonnage et
125
antivirus
• Règles de traitement des fichiers joints (2) - règle évaluée lors de l'analyse antivirus
• Règles de traitement des résultats (3) : Règle évaluée après l'analyse antipourriel,
antihameçonnage et antivirus
Les règles de même niveau sont évaluées dans l'ordre dans lequel elles sont affichées dans la fenêtre
Règles. Il est possible de modifier l'ordre des règles, mais seulement de celles qui appartiennent au
même niveau. Lorsque vous avez plusieurs règles de filtrage, vous pouvez modifier l'ordre dans
lequel elles sont appliquées. Vous ne pouvez pas modifier leur ordre en plaçant des règles de
traitement des fichiers joints avant des règles de filtrage - les flèches de déplacement vers le
haut/vers le bas ne seront pas disponibles. En d'autres mots, vous ne pouvez pas mélanger les
règles appartenant à des Niveaux différents.
La colonne Occurrences indique le nombre de fois que la règle a été appliquée avec succès.
Décocher une case (qui se trouve à gauche de chaque nom de règle) désactive la règle
correspondante jusqu'à ce que vous cochiez la case de nouveau.
Cliquez sur Réinitialiser pour réinitialiser le compteur de la règle sélectionnée (la colonne
Occurrences) Sélectionnez Afficher pour afficher une configuration attribuée à partir de la stratégie
de ESET Security Management Center.
IMPORTANT
Normalement, si les conditions d'une règle sont remplies, l'évaluation des règles s'arrête pour de
nouvelles règles de priorité inférieure. Cependant, si cela est nécessaire, vous pouvez utiliser
l'action de règle spéciale appelée Évaluer d'autres règles pour continuer l'évaluation.
Les règles sont vérifiées par rapport à un message lorsqu'il est traité par la protection de transport du
courriel, la protection de base de données de boîtes de courriels ou l'analyse de la base de données
de boîtes de courriels à la demande. Chaque couche de protection a un ensemble de règles distinct.
126
Lorsque la protection de base de données de boîtes de courriels ou les conditions de règle d'analyse
de la base de données de boîtes de courriels à la demande sont mises en correspondance, le
compteur de règles peut augmenter de 2 ou plus. En effet, ces couches de protection accèdent
séparément au corps et aux pièces jointes d'un message, de sorte que des règles sont appliquées à
chaque partie individuellement. Les règles de la protection de la base de données de la boite de
courriels sont aussi appliquées pendant l'analyse en arrière-plan (par exemple lorsque ESET Mail
Security exécute une analyse de la boîte de courriels après le téléchargement d'une nouvelle base de
données des signatures de virus), ce qui peut incrémenter le compteur de la règle.
Assistant de configuration des règles
1.Cliquez sur Ajouter (au milieu) et une fenêtre Condition de la règle s'affiche dans laquelle
vous pouvez sélectionner un type de conditions, d'opérations et de valeurs. Définissez d'abord
la ou les Conditions, ensuite la ou les Actions.
IMPORTANT
Vous pouvez définir plusieurs conditions. Si vous définissez plusieurs conditions, toutes les
conditions doivent être remplies pour que la règle soit appliquée. Toutes les conditions sont
connectées en utilisant l'opérateur logique ET. Même si la plupart des conditions sont remplies et
qu'une seule ne l'est pas, la condition est considérée comme non remplie et l'action de la règle ne
peut être effectuée.
2.Cliquez sur Ajouter (en bas) pour ajouter une action de règle.
REMARQUE
Il est possible d'ajouter plusieurs actions à une règle.
3.Une fois que vous avez défini les conditions et les actions, tapez un Nom pour la règle (qui
vous aidera à reconnaître la règle). Ce nom sera affiché dans la Liste des règles. Nom est un
127
champ obligatoire : s'il est surligné en rouge, tapez le nom de la règle dans la zone de texte et
cliquez sur OK pour créer la règle. Le surlignage rouge ne disparaît pas, même si vous avez
entré le nom d'une règle; il disparaîtra une fois que vous aurez cliqué sur OK.
4.Si vous souhaitez préparer les règles, mais que vous planifiez les utiliser plus tard, vous
pouvez cliquer sur le commutateur situé à côté de Activer pour désactiver la règle. Pour
activer une règle, cochez la case à côté de la règle que vous souhaitez activer.
REMARQUE
Si une nouvelle règle a été ajoutée ou qu'une règle existante a été modifiée, une nouvelle analyse
du message sera automatiquement lancée à l'aide des nouvelles règles ou des règles modifiées.
Pour savoir comment les règles sont utilisées, consultez la rubrique Exemples de règles.
Condition de la règle
Cet assistant vous permet d'ajouter des conditions à une règle. Sélectionnez le type de condition et
une opération dans la liste déroulante. La liste des opérations est différente selon le type de règle
que vous choisissez. Sélectionnez ensuite un paramètre. Les champs Paramètres changeront en
fonction du type et de la fonction de la règle. Par exemple, sélectionnez Taille du fichier > est
supérieure à et, sous Paramètre, inscrivez 10 Mo. Grâce à ces paramètres, tout fichier dont la taille
est supérieure à 10 Mo sera traité en utilisant l'action de la règle que vous avez spécifiée. Pour cette
raison, vous devriez spécifier l'action à entreprendre lorsqu'une règle donnée est déclenchée. Si vous
ne l'avez pas déjà fait lors de la configuration des paramètres de cette règle.
Si vous souhaitez importer votre liste personnalisée à partir d'un fichier au lieu d'ajouter chaque
entrée manuellement, cliquez avec le bouton droit de la souris dans le milieu de la fenêtre et
sélectionnez Importer dans le menu contextuel, puis recherchez le fichier (.xml ou .txt) contenant les
entrées (délimité par de nouvelles lignes) que vous souhaitez ajouter à la liste. De même, si vous
devez exporter votre liste existante vers un fichier, sélectionnez Exporter dans le menu contextuel.
Vous pouvez également spécifier une expression régulière, puis sélectionner l'opération :
Correspond à l'expression régulière ou Ne correspond pas à l'expression régulière.
REMARQUE
ESET Mail Security utilise std::regex. Reportez-vous à la syntaxe ECMAScript pour construire
des expressions régulières. La syntaxe des expressions régulières ne respecte pas la casse, ni le
résultat de la recherche.
IMPORTANT
Vous pouvez définir plusieurs conditions. Si vous définissez plusieurs conditions, toutes les
conditions doivent être remplies pour que la règle soit appliquée. Toutes les conditions sont
connectées en utilisant l'opérateur logique ET. Même si la plupart des conditions sont remplies et
qu'une seule ne l'est pas, la condition est considérée comme non remplie et l'action de la règle ne
peut être effectuée.
Les types de conditions suivants sont disponibles pour la protection du transport du courriel, la
protection de base de données de boîtes de courriels et l'analyse de la base de données de boîtes de
courriels à la demande (certaines options pourraient ne pas s'afficher selon les conditions que vous
avez sélectionnées précédemment) :
128
Analyse de la
Protection
Protection
base de
de la base
du transport
données de
Nom de la condition
de données
Description
de
boîtes de
de
messagerie
courriels à la
messagerie
demande
Objet
Expéditeur
✓
✓
✓
S'applique aux messages qui
contiennent ou ne contiennent pas
une chaîne spécifique (ou une
expression régulière) dans l'objet.
✗
✓
✓
S'applique aux messages envoyés
par un expéditeur spécifique.
Expéditeur SMTP
Adresse IP de
l'expéditeur
Domaine de
l'expéditeur
Domaine de
l'expéditeur SMTP
✓
✗
✗
L'attribut de l'enveloppe COURRIEL
ENVOYÉ PAR utilisé lors de la
connexion SMTP. Également utilisé
pour la vérification SPF.
✓
✗
✗
S'applique aux messages envoyés à
partir d'une adresse IP spécifique.
✓
S'applique aux messages provenant
d'un expéditeur ayant un domaine
spécifique dans ses adresses
courriels.
✗
S'applique aux messages provenant
d'un expéditeur ayant un domaine
spécifique dans ses adresses
courriels.
✗
« De : » valeur contenue dans les
entêtes de message. Il s'agit de
l'adresse qui est visible pour le
destinataire, mais aucune vérification
n'est faite que le système expéditeur
est autorisé à envoyer au nom de
cette adresse. Elle est souvent
utilisée pour usurper l'identité de
l'expéditeur.
✗
✓
✓
✗
Entête De - adresse
✓
✗
Entête De - nom
d'affichage
✓
✗
✗
« De : » valeur contenue dans les
entêtes de message. Il s'agit du nom
d'affichage qui est visible pour le
destinataire, mais aucune vérification
n'est faite que le système expéditeur
est autorisé à envoyer au nom de
cette adresse. Elle est souvent
utilisée pour usurper l'identité de
l'expéditeur.
✓
✓
✓
S'applique aux messages envoyés à
un destinataire spécifique.
Unités
organisationnelles du
destinataire
✓
✗
✗
S'applique aux messages envoyés à
un destinataire appartenant à une
unité d'organisation spécifique.
Résultat de la
validation du
destinataire
✓
✗
✗
S'applique aux messages envoyés à
un destinataire validé dans Active
Directory.
Destinataire
129
Analyse de la
Protection
Protection
base de
de la base
du transport
données de
Nom de la condition
de données
Description
de
boîtes de
de
messagerie
courriels à la
messagerie
demande
Nom de la pièce jointe
✓
✓
✓
S'applique aux messages contenant
des pièces jointes avec un nom
spécifique.
✓
S'applique aux messages ayant une
pièce jointe dont la taille ne
correspond pas à une taille spécifiée,
se trouve dans un intervalle de tailles
spécifiées ou excède une taille
spécifiée.
✓
S'applique aux messages avec un
type de pièce jointe spécifique. Les
types de fichier sont catégorisés en
groupes pour faciliter leur sélection.
Vous pouvez sélectionner plusieurs
types de fichier ou des catégories
entières.
Taille de la pièce
jointe
✓
✓
Type de pièce jointe
✓
✓
Taille du message
Boîte de réception
✓
✗
✗
S'applique aux messages dont la
taille des pièces jointes ne
correspondent pas à une taille
spécifique, se trouvent entre deux
tailles spécifiques ou excèdent un
taille spécifique.
✗
✓
✗
S'applique aux messages se trouvant
dans une boîte de courriel spécifique.
✓
✓
✗
S'applique aux messages avec des
données spécifiques dans leur entête.
Titres des messages
Corps de message
✓
✗
✓
La phrase spécifiée est recherchée
dans le corps du message. Vous
pouvez utiliser la fonctionnalité
Supprimer les balises HTML pour
supprimer les balises HTML, les
attributs et les valeurs et conserver
uniquement le texte. La recherche se
fera alors dans le corps du texte.
✓
✗
✗
S'applique selon qu'un message est
interne ou non interne.
Message sortant
✓
✗
✗
S'applique aux messages sortants.
Message signé
✓
✗
✗
S'applique aux messages signés.
Message chiffré
✓
✗
✗
S'applique aux messages chiffrés
Résultat de l'analyse
antipourriel
✓
✗
✗
S'applique aux messages signalés ou
non comme pourriel ou comme
courriel légitime. (voir l'exemple)
Résultat de l'analyse
antivirus
✓
✓
✓
S'applique aux messages signalés
comme étant malveillants ou non
malveillants.
Message interne
130
Analyse de la
Protection
Protection
base de
de la base
du transport
données de
Nom de la condition
de données
Description
de
boîtes de
de
messagerie
courriels à la
messagerie
demande
Résultat de l'analyse
antihameçonnage
✓
✗
✓
S'applique aux messages qui selon
l'évaluation sont des hameçons.
Heure de réception
Contient une archive
protégée par un mot
de passe
Contient une archive
endommagée
✓
✓
✓
S'applique aux messages reçus avant
ou après une date spécifique ou
entre deux dates spécifiques.
✓
✓
✗
S'applique aux messages avec des
pièces jointes d'archives qui sont
protégées par un mot de passe.
✓
✓
✗
S'applique aux messages dont les
archives jointes sont endommagées
(très probablement impossibles à
ouvrir).
La pièce jointe est une
archive protégée par ✗
mot de passe
✗
✓
S'applique aux pièces jointes qui sont
protégées par un mot de passe.
✗
✓
S'applique aux pièces jointes sont
endommagées (très probablement
impossibles à ouvrir).
La pièce jointe est une
archive corrompue
✗
Nom du dossier
✗
✗
✓
S'applique aux messages situés dans
un dossier spécifique, si le dossier
n'existe pas, il sera créé. Cela ne
s'applique pas aux dossiers publics.
✓
✗
✗
S'applique aux messages dont la
vérification par DKIM a réussie ou a
échoué, autrement si non disponible.
DKIM résultat
131
Analyse de la
Protection
Protection
base de
de la base
du transport
données de
Nom de la condition
de données
Description
de
boîtes de
de
messagerie
courriels à la
messagerie
demande
SPF résultat
✓
✗
✗
S'applique aux messages pour
lesquels le résultat de l'évaluation
SPF est :
Succès - l'adresse IP est autorisée à
effectuer des envois à partir du
domaine (qualifiant SPF "+")
Échec - l'enregistrement SPF ne
contient pas le serveur d'envoi ni
l'adresse IP (qualifiant SPF "-")
Échec récupérable - l'adresse IP
peut être ou non autorisée à
effectuer des envois à partir du
domaine (qualifiant SPF "~")
Neutre - signifie que le propriétaire
du domaine a déclaré dans
l'enregistrement SPF qu'il ne veut
pas affirmer que l'adresse IP est
autorisée à effectuer des envois à
partir du domaine (qualifiant SPF "?")
Non disponible - le résultat SPF
None signifie qu'aucun
enregistrement n'a été publié par le
domaine ou qu'aucun domaine
d'expéditeur qu'il est possible de
vérifier n'a pu être déterminé à partir
de l'identité donnée
Consultez RFC 4408 pour plus de
détails à propos de SPF.
Si vous utilisez un résultat SPF, les
listes blanches de la rubrique Filtrage
et vérification ne sont pas prises en
compte pour les règles.
✗
S'applique aux messages dont la
vérification par SPF ou par DKIM ou
par les deux a réussie ou a échoué,
autrement si non disponible.
DMARC résultat
✓
Dispose d'un
enregistrement DNS
inversé
NDR résultat
✗
✓
✗
✗
S'applique aux messages dont le
domaine de l'expéditeur possède un
enregistrement DNS inversé.
✓
✗
✗
S'applique aux messages dont la
vérification par NDR a échoué.
Le type de condition a associé les opérations suivantes :
• Chaîne : est, n'est pas, contient, ne contient pas, correspond, ne correspond pas, fait partie
de, ne fait pas partie de, correspond à l'expression régulière, ne correspond pas à l'expression
régulière
• Nombre : est inférieur à, est supérieur à, est compris entre
132
• Texte : contient, ne contient pas, correspond, ne correspond pas
• Date-Heure : est inférieure à, est supérieure à, est comprise entre
• Enum : est, n'est pas, fait partie de, ne fait pas partie de
REMARQUE
Si Nom de la pièce jointe ou Type de la pièce jointe est Fichier Microsoft Office (2007+), elle
est traitée par ESET Mail Security comme archive. Cela signifie que son contenu est extrait et
chaque fichier contenu dans l'archive de fichiers Office (par exemple .docx, .xlsx, .xltx, .pptx,
.ppsx, .potx, etc.) est analysé séparément.
Si vous désactivez la Protection antivirus dans le menu Configuration ou Paramètres avancés
(F5)> Serveur > Antivirus et anti-logiciel espion pour le transport du courriel et la couche de
protection de la base de données de la boîte de courriels, cela affectera les conditions des règles
suivantes :
• Nom de la pièce jointe
• Taille de la pièce jointe
• Type de pièce jointe
• Résultat de l'analyse antivirus
• La pièce jointe est protégée par un mot de passe
• La pièce jointe est une archive corrompue
• Contient une archive endommagée
• Contient une archive protégée par un mot de passe
Action de la règle
Vous pouvez ajouter les actions qui seront entreprises pour les messages et/ou les fichiers joints qui
correspondent aux conditions de la règle.
REMARQUE
Il est possible d'ajouter plusieurs actions à une règle.
La liste des actions disponibles pour la protection du transport des courriels, la protection de base de
données de boîtes de courriels et l'analyse de la base de données de boîtes de courriels à la demande
(certaines options pourraient ne pas s'afficher selon les conditions que vous avez sélectionnées) :
Nom de l'action
Protection
du
transport
de
messagerie
Protection
de la base
de données
de
messagerie
Analyse de la
base de
données de
Description
boîtes de
courriels à la
demande
Message de
quarantaine
✓
133
✗
✗
Le message ne sera pas livré au
destinataire et sera déplacé dans la
quarantaine de courriel. Les
utilisateurs non administrateurs
peuvent mettre en quarantaine les
courriels selon cette règle (en
utilisant l'interface Web ou les
rapports sur la mise en quarantaine).
Nom de l'action
Protection
du
transport
de
messagerie
Protection
de la base
de données
de
messagerie
Analyse de la
base de
données de
Description
boîtes de
courriels à la
demande
Quarantaine - pièce
jointe
Supprimer la pièce
jointe
✓
✓
✓
Met la pièce jointe du courriel dans la
quarantaine des fichiers. Le courriel
sera remis au destinataire avec la
pièce jointe tronquée à une longueur
nulle.
✓
✓
✓
Supprime la pièce jointe d'un
message. Le message sera livré au
destinataire sans pièce jointe.
Rejeter le message
✓
✗
✗
Supprimer un message. Pour les
courriels entrants reçus par SMTP, un
rapport de non-remise (RNR) doit être
généré par le serveur d'envoi.
Supprimer le message
✓
silencieusement
✗
✗
Supprime un message sans envoyer
de RNR.
✗
✗
Change ou définit une valeur SCL
spécifique.
Définir la valeur SCL
✓
Envoyer des
notifications
d'événement à
l'administrateur
✓
✓
✓
Envoi des notifications d'événements
à un destinataire spécifié dans
Notifications de courriels. Vous devez
activer la fonctionnalité Envoyer des
notifications d'événement par
courriel. Vous pouvez ensuite
personnaliser le format des messages
d'événements (utilisez l'infobulle pour
des suggestions) tout en créant la
règle. Vous pouvez également
sélectionner la verbosité pour les
messages d'événements, mais cela
dépend de la verbosité minimum
définit dans la section Notifications
par courriel.
Passer l'analyse
antipourriel
✓
✗
✗
Le message ne sera pas analysé par
le moteur antipourriel.
Passer l'analyse
antivirus
✓
✓
✓
Le message ne sera pas analysé par
le moteur antivirus.
Ignorer l'analyse
antihameçonnage
✓
✗
✓
Le message ne sera pas analysé par
la protection anti-hameçonnage.
✓
Permet l'évaluation d'autres règles,
offrant à l'utilisateur la possibilité de
définir de multiples ensembles de
conditions et d'actions à
entreprendre, en fonction des
conditions données.
Évaluer d'autres
règles
✓
134
✓
Nom de l'action
Protection
du
transport
de
messagerie
Protection
de la base
de données
de
messagerie
Analyse de la
base de
données de
Description
boîtes de
courriels à la
demande
Journaliser les
événements
✓
✓
✓
Inscrit les renseignements sur la
règle appliquée dans le journal du
programme et définit le format des
messages d'événements (utilisez
l'infobulle pour des suggestions).
Si vous configurez le type d'action
Journaliser aux événements pour
la Protection de la base de
données de la boîte de courriels en
utilisant le paramètre %IPAddress%,
la colonne Événement dans les
Fichiers journaux sera vide pour cet
événement en particulier. La raison
est qu'il n'y a aucune adresse IP au
niveau de la Protection de la base de
données de la boîte de courriels.
Certaines options ne sont pas
disponibles à tous les niveaux de
protection :
%IPAddress% - Ignorée par
l'Analyse de la base de données
de boîtes de courriels à la
demande et la Protection de base
de données de boîtes de courriels
%Mailbox% - Ignorée par la
Protection du transport du
courriel
Les options suivantes s'appliquent
uniquement aux règles de
traitement des pièces jointes :
%Attname% - ignoré par les règles
de filtrage et les règles de
traitement des résultats
%Attsize% - ignoré par les règles
de filtrage et les règles de
traitement des résultats
Ajouter un champ
d'en-tête
✓
✗
✗
Aoute une chaîne personnalisée à
l'en-tête du message.
Ajouter un préfixe
d'objet
✓
✗
✗
Remplacer la pièce
jointe selon l'action
recommandée
Ajouter un préfixe à l'objet
✗
✓
✓
Remplace la pièce jointe par un
fichier texte qui contient des
informations détaillées sur une action
entreprise.
Supprimer les champs
d'en-tête
✓
✗
✗
Supprime les champs de l'en-tête du
message en fonction des paramètres
spécifiés.
Supprimer le message ✗
✓
✓
Supprime le message infecté.
135
Nom de l'action
Protection
du
transport
de
messagerie
Protection
de la base
de données
de
messagerie
Analyse de la
base de
données de
Description
boîtes de
courriels à la
demande
Déplacer le message
vers le dossier
✗
✗
✓
Le message sera déplacé dans le
dossier spécifique.
Déplacer le message
dans la corbeille
✗
✗
✓
Place un courriel dans la corbeille du
côté du client de messagerie.
✗
Si la condition du résultat DMARC est
remplie, le message électronique est
traité conformément à la politique
spécifiée dans l'enregistrement DNS
DMARC pour le domaine de
l'expéditeur.
Appliquer la politique
DMARC
✓
✗
Si vous désactivez la Protection antivirus dans le menu Configuration ou Paramètres avancés
(F5) > Serveur > Antivirus et anti-logiciel espion pour la protection de transport des
courriels, cela affectera les actions des règles suivantes :
• Quarantaine - pièce jointe
• Supprimer la pièce jointe
Exemples de règles
Mettre en quarantaine les messages contenant un logiciel malveillant ou une pièce jointe
protégée par mot de passe, endommagée ou chiffrée
EXEMPLE
Objectif : Mettre en quarantaine les messages contenant un logiciel malveillant ou une pièce
jointe protégée par mot de passe, endommagée ou chiffrée
Créer la règle suivante pour Protection du transport du courriel:
Condition
Type : Résultat de l'analyse antivirus
Opération: n'est pas
Paramètre : Nettoyer
Action
Type : Message de quarantaine
Déplacer les messages dont la vérification SPF a échoué dans un dossier indésirable
136
EXEMPLE
Objectif : Déplacer les messages dont la vérification SPF a échoué dans un dossier indésirable
Créer la règle suivante pour Protection du transport du courriel:
Condition
Type : Résultat SPF
Opération: est
Paramètre : Échec
Action
Type : Définir la valeur SCL
Valeur : 5 (Définissez la valeur en fonction du paramètre SCLJunkThreshold de la cmdlet GetOrganizationConfig de votre serveur Exchange. Pour plus de détails, consultez l'article Actions
seuils SCL)
Supprimer les messages provenant d'expéditeurs spécifiques
EXEMPLE
Objectif : Supprimer les messages provenant d'expéditeurs spécifiques
Créer la règle suivante pour Protection du transport du courriel:
Condition
Type : Expéditeur
Opération : est / est l'un de
Paramètre : spammer1@domain.com, spammer2@domain.com
Action
Type : Supprimer le message silencieusement
Personnaliser la règle prédéfinie
EXEMPLE
Objectif : Personnaliser la règle prédéfinie
Détails : Autorisez les pièces jointes d'archive dans les messages provenant d'adresses IP
spécifiées (dans le cas de systèmes internes, par exemple) lors de l'utilisation de la règle de
pièces jointes de fichiers d'archives interdites
Ouvrez l'ensemble de règles Protection du transport du courriel, sélectionnez Pièces
jointes au fichier d'archives interdites et cliquez sur Modifier.
Condition
Type : Adresse IP de l'expéditeur
Opération : n'est pas/n'est aucun
Paramètre : 1.1.1.2, 1.1.1.50-1.1.1.99
Corps de message
EXEMPLE
Objectif : Mettre en quarantaine les messages qui contiennent certaines chaînes dans le corps du
message
Créer la règle suivante pour la protection du transport du courriel :
Condition
Type : Corps de message
Opération : contient/contient l'un des, cliquez sur Ajouter et tapez l'URL du site Web ou une
partie de l'URL
Action
Type : Message de quarantaine
137
Stocker les messages des destinataires non existants
EXEMPLE
Objectif : Stocker les messages des destinataires non existants
Détails : Si vous souhaitez mettre en quarantaine tous les messages dont les destinataires
n'existent pas (indépendamment du marquage de la protection antivirus ou antipourriel)
Condition
Type : Résultat de la validation du destinataire
Opération : est
Paramètre : Contient un destinataire invalide
Action
Type : Message de quarantaine
Protection du transport du courriel
Vous pouvez configurer des actions pour les menaces détectées sur la couche de transport pour
chaque module de ESET Mail Security (Antivirus, Antihameçonnage et Antipourriel) séparément.
Action à entreprendre si le nettoyage est impossible.
• Aucune action - Pour conserver les messages infectés ne pouvant pas être nettoyés
• Mettre le message en quarantaine : - Pour mettre les messages infectés dans la boîte de
courriel de mise en quarantaine
• Rejeter le message - Pour rejeter un message infecté
• Supprimer le message silencieusement - Pour supprimer les messages sans envoyer de
rapport de non-remise
REMARQUE
Si vous sélectionnez Aucune action et en même temps mettez le niveau de nettoyage à
Aucun nettoyage dans les paramètres ThreatSense de l'antivirus et de l'anti-logiciel espion,
alors l'état de la protection deviendra jaune. En effet, il existe un risque de sécurité et nous ne
recommandons pas d'utiliser cette combinaison. Changez l'un ou l'autre paramètre pour avoir un
bon niveau de protection.
138
Action à entreprendre sur un message hameçon :
• Aucune action - Pour conserver le message même s'il est marqué comme hameçon.
• Mettre le message en quarantaine - Permet d'envoyer les messages marqués comme
hameçon dans la boîte de courriel de mise en quarantaine
• Rejeter le message - Pour rejeter les messages marqués comme hameçon
• Supprimer le message silencieusement - Pour supprimer les messages sans envoyer de
rapport de non-remise
Action à entreprendre sur les pourriels :
• Aucune action - Pour conserver le message même s'il est marqué comme pourriel
• Mettre le message en quarantaine - Permet d'envoyer les messages marqués comme
pourriel dans la boîte de courriel de mise en quarantaine
• Rejeter le message - Pour rejeter les messages marqués comme pourriel
• Supprimer le message silencieusement - Pour supprimer les messages sans envoyer de
rapport de non-remise
Réponse de rejet SMTP
Vous pouvez spécifier un Code de réponse, un Code d'état et un Message de réponse, qui
définissent la réponse de refus temporaire envoyée au serveur SMTP si un message est refusé. Vous
pouvez écrire un message de réponse en respectant le format suivant :
139
Code de
réponse
Code d'état Message de réponse
250
2.5.0
Requête d'action pour le courriel OK, complétée
451
4.5.1
Requête d'action abandonnée : une erreur locale de traitement est
survenue
550
5.5.0
Requête d'action non appliquée : la boîte de courriel n'est pas
disponible
554
5.6.0
Contenu invalide
REMARQUE
Vous pouvez aussi utiliser les variables du système lors de la configuration des Réponses de rejet
SMTP.
Écrire les résultats de l'analyse dans les en-têtes de message
Lorsque cette option est activée, les résultats de l'analyse sont écrits dans les en-têtes de
message. Ces en-têtes de message commencent par X_ESET, ce qui les rend faciles à reconnaître
(par exemple X_EsetResult ou X_ESET_Antispam).
Ajouter la notification au corps des messages analysés offrent trois options :
• Ne pas ajouter aux messages - Les renseignements ne seront pas ajoutés.
• Ajouter aux messages infectés seulement - Affecte uniquement les messages infectés.
• Ajouter à tous les messages (ne s'applique pas aux messages internes) - Tous les
messages seront marqués.
Modifier l'objet
Lorsque cette option est activée, vous pouvez modifier les modèles ajoutés à l'objet des
messages infectés, des pourriels ou des messages de hameçonage.
Modèle ajouté à l'objet des messages infectés
ESET Mail Security ajoute une étiquette de notification à l'objet du courriel contenant la valeur
définie dans la zone de texte Modèle ajouté à l'objet des messages infectés (le texte
prédéfini par défaut est [found threat %VIRUSNAME%]). Cette modification peut servir à
automatiser le filtrage des messages infectés en filtrant les courriels ayant un objet spécifique,
par exemple en utilisant les règles ou encore, de manière alternative, du côté du client (si la prise
en charge par le client de messagerie est possible), à placer de tels messages dans un dossier
séparé.
Modèle ajouté à l'objet des messages pourriels
ESET Mail Security ajoute une étiquette de notification à l'objet du courriel contenant la valeur
définie dans la zone de texte Modèle ajouté à l'objet des pourriels (le texte prédéfini par
défaut est [SPAM]). Cette modification peut servir à automatiser le filtrage du pourriel en filtrant
les courriels ayant un objet spécifique, par exemple en utilisant les règles ou, de manière
alternative, du côté du client (si la prise en charge par le client de messagerie est possible), à
placer de tels messages dans un dossier séparé.
Modèle ajouté à l'objet du message de hameçonnage infecté
140
ESET Mail Security ajoute une étiquette de notification à l'objet du courriel contenant la valeur
définie dans la zone de texte Modèle ajouté à l'objet des message de hameçonnage (le
texte prédéfini par défaut est [PHISH]). Cette modification peut servir à automatiser le filtrage du
pourriel en filtrant les courriels ayant un objet spécifique, par exemple en utilisant les règles ou,
de manière alternative, du côté du client (si la prise en charge par le client de messagerie est
possible), à placer de tels messages dans un dossier séparé.
REMARQUE
Il est aussi possible d'utiliser les variables du système quand vous éditez du texte, lequel sera
ajouté à l'objet.
Paramètres avancés du transport du courriel
Vous pouvez personnaliser davantage les paramètres de la protection du transport du courriel.
Analyser également les messages reçus des connexions authentifiées ou internes
Vous pouvez choisir le type d'analyse qui sera effectuée sur les messages reçus des sources
authentifiées ou des serveurs locaux. L'analyse de tels messages est recommandée car elle
augmente le niveau de sécurité, mais elle s'avère nécessaire si vous utilisez le connecteur
Microsoft SBS POP3 intégré pour obtenir des messages courriel provenant de serveurs POP3 ou de
services courriel externes (par exemple Gmail.com, Outlook.com, Yahoo.com, gmx.dem, etc.).
Pour de plus amples renseignements, consultez la section Connecteur POP3 et protection
antipourriel. Choisissez le niveau de protection dans le menu déroulant. Nous vous
recommandons d'utiliser le paramètre Protection antivirus (paramètre par défaut), en
particulier pour les connexions internes, car il est peu probable que des messages de
hameçonnage ou des pourriels soient diffusés par vos serveurs locaux. Toutefois, vous pouvez
augmenter la protection de Microsoft SBS POP3 Connector en choisissant Protection antivirus
et antihameçonnage ou encore Protection antivirus, antihameçonnage et antipourriel.
REMARQUE
Ce paramètre active/désactive la protection antipourriels pour les utilisateurs authentifiés et les
connexions internes. Les courriels provenant de connexions non authentifiées sont toujours
analysés, même si vous sélectionnez Ne pas analyser.
REMARQUE
Les messages internes provenant d'Outlook à l'intérieur de l'organisation sont envoyés en format
TNEF (Transport Neutral Encapsulation Format). TNEF n'est pas pris en charge par antipourriel.
Par conséquent, les courriels au format TNEF interne ne seront pas analysés à la recherche des
pourriels, quel que soit l'état du paramètre Peut également recevoir des messages
provenant de connexions authentifiées ou internes.
Supprimer les en-têtes SCL existants avant l'analyse
Cette option est désactivée par défaut. Vous pouvez le désactiver s'il est nécessaire de conserver
l'en-tête SCL (Spam Confidence Level).
Protection de la base de données de messagerie
Si l'option Analyse proactive est activée, les nouveaux messages entrants seront analysés dans
l'ordre dans lequel ils ont été reçus. Si cette option est activée et qu'un utilisateur ouvre un message
qui n'a pas encore été analysé, ce message sera analysé avant les autres messages dans la file
141
d'attente.
Analyse en arrière-plan
L'option Analyse en arrière-plan permet d'analyser tous les messages qui sont exécutés en arrièreplan (l'analyse est appliquée à la boîte de courriel et à la boutique de dossiers publics, par exemple la
base de données Exchange). Microsoft Exchange Server décide si l'analyse en arrière-plan sera
effectuée ou non en fonction de différents facteurs comme la charge actuelle du système, le nombre
d'utilisateurs actifs, etc. Microsoft Exchange Server conserve un journal des messages analysés et de
la version de la base de données des signatures de virus utilisée. Si vous ouvrez un message qui n'a
pas été analysé par la base de données des signatures de virus la plus contemporaine, Microsoft
Exchange Server envoie le message à ESET Mail Security pour fins d'analyse avant que le client de
messagerie ne l'ouvre.
Vous pouvez choisir d'Analyser seulement les messages avec des fichiers joints et de les filtrer
en fonction de l'heure de réception. À partir de l'option Limite de temps de l'analyse, vous pouvez
sélectionner une des options suivantes :
• Tous les messages
• Messages reçus au cours de la dernière année
• Messages reçus au cours des 6 derniers mois
• Messages reçus au cours des 3 derniers mois
• Messages reçus au cours du dernier mois
• Messages reçus au cours de la dernière semaine
Puisque l'analyse en arrière-plan peut avoir des répercussions sur la charge du système (l'analyse est
effectuée après chaque mise à jour du moteur de détection), nous vous recommandons d'utiliser
l'analyse planifiée en dehors des heures de travail. L'analyse en arrière-plan planifiée peut être
142
configurée grâce à une tâche spéciale dans le Planificateur. Lorsque vous planifiez une tâche
d'analyse en arrière-plan, vous pouvez définir l'heure de début, le nombre de répétitions, ainsi que
d'autres paramètres disponibles dans le Planificateur. Une fois la tâche planifiée, elle s'affichera dans
la liste des tâches planifiées. Vous pouvez modifier les paramètres de la tâche, la supprimer ou la
désactiver temporairement.
Nombre de fils d'analyse
Le nombre de fils d'analyse peut être compris entre 1 et 21. Vous pouvez définir le nombre de fils
d'analyse indépendants utilisés en même temps. Un nombre élevé de fils sur des ordinateurs
multiprocesseurs augmente la vitesse d'analyse. Pour optimiser les performances du programme,
nous vous conseillons d'utiliser un nombre de fils d'analyse égal au nombre de moteurs d'analyse
ThreatSense.
Analyse des corps des messages en format RTF
Cette option permet l'analyse des corps des messages en format RTF. Les corps des messages en
format RTF peuvent contenir des macrovirus.
REMARQUE
Le corps des messages en texte brut ne sera pas analysé par VSAPI.
Action à entreprendre si le nettoyage est impossible.
• Aucune action - Aucune modification ne sera effectuée au message.
• Tronquer à la longueur zéro - La pièce jointe tronquée à une longueur nulle.
• Remplacer le contenu avec des informations d'action - Le corps original sera remplacé
par des informations d'action. Le contenu de la pièce jointe sera remplacé par des informations
d'action.
• Supprimer le message - Le message sera supprimé
Action à entreprendre sur un message hameçon :
• Aucune action - Aucune modification ne sera effectuée au message.
• Supprimer le message - Le message sera supprimé
REMARQUE
Les dossiers publics sont traités de la même manière que les boîtes de courriel. Ce qui veut dire
que les dossiers publics sont aussi analysés.
Analyse en arrière-plan
Ce type de tâche permet d'analyser la base de données à l'aide de VSAPI en arrière-plan. Il permet à
votre serveur Exchange d'exécuter une analyse en arrière-plan si nécessaire. L'analyse est
déclenchée par le serveur Exchange lui-même, ce qui signifie que c'est le serveur Exchange qui
décide si l'analyse sera exécutée dans le temps imparti.
Nous vous recommandons d'autoriser l'exécution de cette tâche en dehors des heures de pointe,
lorsque votre serveur Exchange n'est pas occupé, par exemple pendant la nuit. En effet, l'analyse de
la base de données en arrière-plan pourrait augmenter la charge de travail de votre système. En
outre, l'intervalle de temps ne devrait pas coïncider avec celui des sauvegardes qui pourraient être en
cours d'exécution sur votre serveur Exchange afin d'éviter des problèmes de performances ou de
143
disponibilité.
REMARQUE
La protection de la base de données de boîte de courriels doit être activée pour que la tâche
planifiée s'exécute. Ce type de protection est seulement offert avec Microsoft Exchange Server
2010 et 2007 fonctionnant dans le Serveur de la boîte de messagerie (Microsoft Exchange 2010
et 2007).
Délai d'attente (heures)
Indique le nombre d'heures pendant lesquelles votre serveur Exchange est autorisé à exécuter
l'analyse de la base de données en arrière-plan à compter du moment où la tâche planifiée est
exécutée. Une fois que le délai expire, Exchange reçoit l'ordre de mettre fin à son analyse en
arrière plan.
Analyse de la base de données de boîtes de courriels à la
demande
REMARQUE
Si vous exécutez Microsoft Exchange Server 2007 ou 2010, vous pouvez choisir entre Protection
de base de données de boîtes de courriels et Analyse de base de données de boîtes de
courriels à la demande. Un seul type de protection peut être actif à la fois. Si vous décidez
d'utiliser l'option Analyse de la base de données de boîte de courriels à la demande, vous
devrez désactiver l'intégration de la Protection de la base de données de la boîte de
courriels dans Configuration avancée (F5) sous Serveur. Sinon l'option Analyse de la base
de données de boîtes de courriels à la demande ne sera pas disponible.
Adresse hôte
Nom ou adresse IP du serveur qui exécute EWS (Exchange Web Services).
Nom d'utilisateur
Permet de spécifier l'authentifiant d'un utilisateur qui a l'accès adéquat à EWS (Exchange Web
Services).
Mot de passe de l'utilisateur
Cliquez Définir à côté de l'élément Mot de passe de l'utilisateur et tapez le mot de passe pour
ce compte.
IMPORTANT
Pour analyser les dossiers publics, le compte utilisé pour l'analyse de la base de données de boîte
de courriels à la demande doit avoir une boîte de courriels. Sinon, le message Failed to load
public folders apparaitra dans le journal d'analyse de la base de données ainsi qu'un message
plus spécifique retourné par Exchange.
Méthode d'accès à la boîte de courriels
Permet de sélectionner la méthode d'accès à la boîte de courriels préférée :
• Usurpation d'identité
144
Le rôle ApplicationImpersonation est une configuration plus simple et plus rapide qui doit être
assigné au compte d'analyse.
Assigner le rôle ApplicationImpersonation à l'utilisateur
Si cette option est estompée, vous devez spécifier un Nom d'utilisateur. Cliquez sur Assigner
pour assigner automatiquement le rôle Imitationd'uneapplication à l'utilisateur sélectionné. De
manière alternative, vous pouvez assigner le rôle Imitationd'uneapplication manuellement à un
compte utilisateur. Une nouvelle stratégie de limitation EWS illimitée est créée pour le compte
utilisateur. Pour en savoir plus, voir les Détails de l'analyse de la base de données du compte.
• Délégation
Utilisez ce type d'accès si vous souhaitez disposer de droits d'accès définis sur des boîtes de
courriels individuelles, mais que vous pouvez fournir des vitesses plus élevées lors de l'analyse de
grandes quantités de données.
Attribuer un accès délégué à l'utilisateur
Si cette option est estompée, vous devez spécifier un Nom d'utilisateur. Cliquez sur Attribuer pour
accorder automatiquement à l'utilisateur sélectionné un accès complet à toutes les boîtes de
courriels utilisateur et partagée. Une nouvelle stratégie de limitation EWS illimitée est créée pour
le compte utilisateur. Pour en savoir plus, voir les Détails de l'analyse de la base de données du
compte.
Utiliser le protocole SSL
Cette option doit être activée si la configuration d'EWS (Exchange Web Services) est réglée à
Exiger le protocole SSL dans IIS. Si le protocole SSL est activé, il faut importer le certificat
Exchange Server dans le système à l'aide de ESET Mail Security (au cas où les rôles serveur
Exchange se trouvent sur différents serveurs). Il est possible d'accéder aux paramètres d'EWS
dans IIS, à partir de Sites/Site Web par défaut/EWS/Paramètres SSL.
REMARQUE
Désactiver l'option Utiliser le protocole SSL seulement dans le cas où la configuration dans IIS
est réglée pour ne pas exiger le protocole SSL.
Ignorer l'erreur de certificat de serveur
Si vous utilisez un certificat auto-signé, vous pouvez ignorer l'erreur de certificat du serveur.
Certificat client
Le certificat client doit être réglé seulement si Exchange Web Services exige un certificat client.
Cliquez sur Sélectionner pour sélectionner un certificat.
Action à entreprendre si le nettoyage est impossible.
Ce champ d'actions vous permet de bloquer le contenu infecté.
• Aucune action - Aucune action n'est entreprise contre le contenu infecté du message.
• Déplacer le message dans la corbeille - Cette action n'est pas prise en charge s'il s'agit
d'éléments se trouvant dans le Dossier public. L'action Supprimer l'objet est donc appliquée à la
145
place.
• Supprimer l'objet - Supprime le contenu infecté du message.
• Supprimer le message - Supprime l'ensemble du message, y compris le contenu infecté.
• Remplacer l'objet par l'information sur l'action - Supprime un objet et insère
l'information selon laquelle l'objet a été supprimé.
Action à entreprendre sur un message hameçon :
• Aucune action - Pour conserver le message même s'il est marqué comme hameçon.
• Déplacer le message dans la corbeille - Cette action n'est pas prise en charge s'il s'agit
d'éléments se trouvant dans le Dossier public. L'action Supprimer l'objet est donc appliquée à la
place.
• Supprimer le message - Supprime l'ensemble du message, y compris le contenu infecté.
Nombre de fils d'analyse
Vous pouvez indiquer le nombre de fils que ESET Mail Security doit utiliser lors de l'analyse des
bases de données. Plus le nombre est élevé, meilleure est la performance. Cependant, cela a un
effet sur la quantité de ressources utilisées. La valeur par défaut est 4 fils d'analyse.
REMARQUE
Si vous configurez l'analyse de la base de données de boite de courriels à la demande de manière
à utiliser un nombre de fils élevé, alors la charge devient importante pour votre système, ce qui
pourrait ralentir d'autres processus ou même l'ensemble du système. Vous pourrez recevoir un
message d'erreur indiquant « Nombre de connexions simultanées ouvertes trop élevé ».
Compte Office 365
Visible uniquement si vous disposez d'un environnement hybride Office 365.
Nom d'utilisateur
Permet de spécifier l'authentifiant d'un utilisateur qui a l'accès adéquat à EWS (Exchange Web
Services).
Mot de passe de l'utilisateur
Cliquez Définir à côté de l'élément Mot de passe de l'utilisateur et tapez le mot de passe pour
ce compte.
Assigner le rôle ApplicationImpersonation à l'utilisateur
Si cette option est estompée, vous devez spécifier un Nom d'utilisateur. Cliquez sur Assigner
pour assigner automatiquement le rôle Imitationd'uneapplication à l'utilisateur sélectionné. De
manière alternative, vous pouvez assigner le rôle Imitationd'uneapplication manuellement à un
compte utilisateur. Une nouvelle stratégie de limitation EWS illimitée est créée pour le compte
utilisateur. Pour en savoir plus, voir les Détails de l'analyse de la base de données du compte.
Analyse de la base de données de la boîte de courriels
L'exécution d'une analyse complète de la base de données de courriels dans de grands
environnements peut entraîner des charges système indésirables. Pour éviter ce problème, exécutez
146
une analyse sur des bases de données ou des boîtes de courriel spécifiques. Réduisez encore l'impact
du système serveur en filtrant les cibles d'analyse à l'aide d'horodatages de message.
IMPORTANT
Des règles pour l'analyse de la base de données de boîtes de courriels à la demande mal définies
peuvent entraîner des modifications irréversibles dans les bases de données de boîtes courriels.
Assurez-vous toujours d'avoir la sauvegarde la plus récente de vos bases de données de boîtes de
courriels avant d'exécuter l'analyse de la base de données de boîtes de courriels à la demande
avec des règles en place pour la première fois. En outre, nous vous recommandons fortement de
vérifier que les règles fonctionnent conformément aux attentes. Pour vérification, définissez des
règles avec l'action Journaliser aux événements uniquement, car toute autre action peut
apporter des modifications à vos bases de données de boîtes aux lettres. Une fois vérifiée, vous
pouvez ajouter des actions de règle destructives telles que Supprimer la pièce jointe.
Les types d'éléments suivants sont analysés à fois dans les dossiers Publics et dans les Boîtes de
courriel de l'utilisateur :
• Courriel
• Publier
• Élément du calendrier (réunions/rendez-vous)
• Tâches
• Contacts
• Journal
À l'aide de la liste déroulante, sélectionnez les messages que vous voulez analyser selon leur
estampille horaire. Par exemple, analyser les messages modifiés au cours de la dernière
semaine. Vous pouvez aussi choisir d'analyser tous les messages au besoin.
Cochez la case à cocher située à côté de l'option Analyser uniquement les messages avec des
pièces jointes pour activer ou désactiver l'analyse des pièces jointes. Cliquez sur Modifier pour
sélectionner le dossier public à analyser.
147
Cochez la ou les cases à côté des Bases de données du serveur et des Boîtes de courriel que vous
voulez analyser. L'option Filtre vous permet de rechercher rapidement des Bases de données et des
Boîtes de courriel, surtout votre infrastructure Exchange contient un grand nombre de boîtes de
courriel.
148
Cliquez sur Enregistrer pour enregistrer vos cibles d'analyse et vos paramètres dans le profil
Analyse à la demande. Vous pouvez maintenant cliquer sur Analyser. Dans le cas où vous n'avez pas
précédemment spécifié les détails du compte d'analyse de la base de données, une fenêtre s'ouvrira
demandant des informations d'identification. Sinon l'option Analyse de la base de données de boîtes
de courriels à la demande ne démarrera pas.
REMARQUE
Si vous exécutez Microsoft Exchange Server 2007 ou 2010, vous pouvez choisir entre Protection
de base de données de boîtes de courriels et Analyse de base de données de boîtes de courriels à
la demande. Un seul type de protection peut être actif à la fois. Si vous décidez d'utiliser l'option
Analyse de la base de données de boîtes de courriels à la demande, vous devrez
désactiver l'intégration de la Protection de base de données de boîtes de courriels dans
Configuration avancée sous Serveur. Sinon l'option Analyse de la base de données de boîtes
de courriels à la demande ne sera pas disponible.
Analyse de la boîte de courriels d'Office 365
ESET Mail Security fournit des fonctionnalités d'analyse pour les environnements hybrides Office 365.
Cette option est disponible et visible dans ESET Mail Security uniquement si vous disposez d'un
environnement Exchange hybride (sur site et dans le nuage). Les deux scénarios de routage sont pris
en charge par Exchange Online ou par l'organisation sur site. Pour plus de détails, consultez la
section Routage de transport dans les déploiements hybrides Exchange .
Vous pouvez analyser les boîtes de courriels distantes et les dossiers publics Office 365 comme vous
le feriez avec l'analyse de la base de données de boîtes de courriels à la demande classique.
L'exécution d'une analyse complète de la base de données de courriels dans de grands
149
environnements peut entraîner des charges indésirables sur le système. Pour éviter ce problème,
exécutez une analyse sur des bases de données ou des boîtes de courriel spécifiques. Pour réduire
davantage l'impact sur le système, utilisez le filtre de temps en haut de la fenêtre. Par exemple, au
lieu d'utiliser Analyser tous les messages, sélectionnez plutôt Analyser les messages modifiés
au cours de la dernière semaine.
Nous vous recommandons de configurer le compte Office 365 Appuyez sur la touche F5 et
sélectionnez Serveur > Analyse de la base de données de boîtes de courriels à la demande.
Consultez également Détails du compte d'analyse de la base de données.
Pour voir l'activité de l'analyse des boîtes aux lettres Office 365, accédez à Fichiers journaux >
Analyse de la base de données.
Éléments de boîte de courriel supplémentaires
L'analyseur de base de données de boîtes de courriels à la demande vous permet d'activer ou de
désactiver l'analyse des autres types d'éléments de boîtes de courriels :
• Analyser l'agenda
• Analyser les tâches
• Analyser les contacts
• Analyser le journal
REMARQUE
Si vous éprouvez des problèmes liés à la performance, vous pouvez désactiver l'analyse de ces
éléments. La durée des analyses sera plus longue lorsque ces éléments sont activés.
Serveur mandataire
Dans le cas où vous utilisez un serveur mandataire entre Exchange Server avec un rôle CAS et
Exchange Server où ESET Mail Security est installé, spécifiez les paramètres de votre serveur
mandataire. Cette exigence s'explique par le fait que ESET Mail Security se connecte à EWS
(Exchange Web Services) API par l'entremise du protocole HTTP/HTTPS. Sinon, la boîte de courriels de
mise en quarantaine et la quarantaine MS Exchange ne fonctionneront pas.
Serveur mandataire
Entrez l'adresse IP ou le nom du serveur mandataire que vous utilisez.
Port
Entrez le numéro de port du serveur mandataire.
Nom d'utilisateur, Mot de passe
Entrez l'authentifiant dans le cas où votre serveur mandataire exige une authentification.
Détails du compte d'analyse de la base de données
Cette fenêtre de dialogue s'affiche si vous n'avez pas spécifié un nom d'utilisateur et un mot de passe
pour l'analyse de la base de données. Spécifiez l'authentifiant de l'utilisateur qui a accès à EWS
(Exchange Web Services) dans cette fenêtre contextuelle et cliquez sur OK. Il est également possible
d'accéder à Configuration avancée en appuyant sur la touche F5 et de sélectionner Serveur >
150
Analyse de la base de données de boîtes de courriels à la demande. Tapez votre nom d'utilisateur,
cliquez sur Définir, tapez un mot de passe pour ce compte utilisateur, puis cliquez sur OK.
Cochez la case à côté de Enregistrer les informations relatives au compte pour enregistrer les
paramètres du compte. Ainsi, vous n'aurez pas à saisir les informations relatives au compte à chaque
exécution d'une analyse de la base de données de boîtes de courriels à la demande.
Si un compte utilisateur n'a pas l'accès approprié à Exchange Web Services (EWS), vous pouvez
sélectionner Créer une assignation de rôle « ApplicationImpersonation » pour attribuer ce rôle
à un compte utilisateur. Vous pouvez également assigner le rôle ApplicationImpersonation
manuellement. Consultez la remarque ci-dessous pour plus de détails.
IMPORTANT
Le compte d'analyse doit avoir les droits ApplicationImpersonation pour que le moteur
d'analyse puisse analyser les boîtes de courriel des utilisateurs dans les bases de données des
boîtes de courriel Exchange. Si vous utilisez Exchange Server 2010 ou une version ultérieure, une
nouvelle politique de limitation EWS illimitée est créée pour le compte utilisateur. Assurez-vous de
configurer une politique de limitation EWS pour le compte d'analyse afin d'empêcher un nombre
trop élevé de demandes d'opération de la part de ESET Mail Security. Veuillez consulter les
articles Meilleures pratiques EWS et Comprendre les politiques de limitation client pour en
apprendre davantage sur les politiques de limitation. Voir également l'article Modifier les
paramètres de limitation de l'utilisateur pour des utilisateurs spécifiques pour plus de détails et
d'exemples.
Si vous souhaitez attribuer un rôle ApplicationImpersonation à un compte d'utilisateur
manuellement et créer de nouvelles politiques de limitations de bande passante EWS pour ce compte,
vous pouvez utiliser les commandes suivantes (remplacez ESET-user par un nom de compte réel
dans votre système; vous pouvez également définir des limites pour la politique de limitation de
bande passante EWS en remplaçant $null par des chiffres) :
151
Exchange Server 2007
Get-ClientAccessServer | Add-AdPermission -User ESET-user -ExtendedRights ms-ExchEPI-Impersonation
Get-MailboxDatabase | Add-AdPermission -User ESET-user -ExtendedRights ms-Exch-EPIMay-Impersonate
Exchange Server 2010
New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation Role:ApplicationImpersonation -User ESET-user
Cette opération peut prendre quelques instants
New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSFindCountLimit $null EWSFastSearchTimeoutInSeconds $null -EWSMaxConcurrency $null -EWSPercentTimeInAD
$null -EWSPercentTimeInCAS $null -EWSPercentTimeInMailboxRPC $null
Set-ThrottlingPolicyAssociation -Identity user-ESET -ThrottlingPolicy ESETThrottlingPolicy
Exchange Server 2013, 2016 et 2019
New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation Role:ApplicationImpersonation -User ESET-user
Cette opération peut prendre quelques instants
New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSMaxConcurrency Unlimited EwsCutoffBalance Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited
Set-ThrottlingPolicyAssociation -Identity ESET-user -ThrottlingPolicy ESETThrottlingPolicy
Types de quarantaine de courriels
Le gestionnaire de Quarantaine de courriel est offert avec les trois types de Quarantaine :
• Quarantaine locale
• Boîte de courriel de mise en quarantaine
• Quarantaine de MS Exchange
Vous pouvez voir le contenu de la Quarantaine de courriel dans le gestionnaire de la Quarantaine de
courriel pour tous les types de Quarantaine. De plus, il est aussi possible de voir la quarantaine locale
dans l'interface Web Quarantaine de courriel.
Stocker les messages des destinataires non existants
Ce paramètre s'applique aux messages marqués pour être mis en quarantaine par une protection
antivirus, une protection antipourriel ou en fonction des règles. Lorsque cette fonction est activée,
les messages qui sont envoyés aux utilisateurs qui n'existent pas dans votre Active Directory sont
stockés dans la Quarantaine à courriels. Désactivez cette option si vous ne souhaitez pas
conserver ces messages dans votre Quarantaine à courriels. Lorsque cette fonction est
désactivée, les messages envoyés aux destinataires inconnus seront supprimés en silence.
Consultez l'exemple : si vous souhaitez mettre en quarantaine tous les messages dont les
destinataires n'existent pas.
Ignorer l'évaluation des règles lors de la libération des courriels
Si vous voulez libérer un message de la quarantaine, ce message ne sera pas évalué à l'aide des
règles. Cela permet d'éviter que le message ne retourne en quarantaine; le message libéré sera
livré au destinataire. Cette fonction n'est utilisée que lorsque l'administrateur libère le message.
Si vous désactivez cette fonctionnalité, ou si un message est libéré par un utilisateur autre que
l'administrateur, le message sera évalué à l'aide des règles.
152
REMARQUE
Les deux paramètres ci-dessus sont disponibles uniquement pour Microsoft Exchange Server
2007 et les versions plus récentes.
Amorce de signature de courriel pour un environnement multiserveur
Vous permet d'ignorer l'évaluation des règles lors de la publication des courriels dans un
environnement multiserveur. Entrez la même valeur d'amorce (une chaîne de caractères, par
exemple, une phrase secrète) sur tous les serveurs entre lesquels vous souhaitez établir un lien
de confiance.
Format pour l'enveloppe de pièce jointe
Lorsque le courriel est libéré de la quarantaine, il est mis en pièce jointe à un nouveau message
(enveloppe de pièce jointe) qui est ensuite remis au destinataire. Le destinataire reçoit le
message d'origine en cours de libération de la quarantaine de courriels en tant que pièce jointe.
Vous pouvez utiliser le format prédéfini de l'enveloppe ou le modifier selon vos besoins en
utilisant les variables disponibles.
Utiliser la grappe ESET pour stocker tous les messages mis en quarantaine sur un nœud
Si vous utilisez la grappe ESET, cette option sera disponible. Nous vous recommandons d'utiliser
cette fonction, car elle vous permet de conserver le magasin de fichiers Quarantaine locale en un
seul endroit, le nœud principal.
Nœud principal
Choisissez l'un des nœuds pour en faire le nœud principal du magasin de fichiers Quarantaine
locale. Vous allez gérer votre quarantaine de courriels sur le nœud principal (vous pouvez utiliser
le gestionnaire de la quarantaine de courriels à partir de l'IUG principale ou de l'interface Web de
la Quarantaine de courriels.
Quarantaine locale
La quarantaine locale utilise le système de fichiers local pour stocker les courriels mis en quarantaine
et une base de données SQLite comme index. Les fichiers de courriel mis en quarantaine qui sont
stockés, tout comme les fichiers de base de données, sont chiffrés pour des raisons de sécurité. Ces
fichiers se trouve sous C:\ProgramData\ESET\ESET Mail Security\MailQuarantine (dans Windows
Server 2012).
REMARQUE
Si vous voulez stocker les fichiers en quarantaine sur un autre lecteur, autre que C:, le lecteur par
défaut, remplacez le dossier de données par le chemin d'accès de votre choix pendant
l'installation de ESET Mail Security.
Fonctionnalités de la Quarantaine locale :
• Les pourriels et les courriels en quarantaine seront stockés dans un système de fichiers local,
et pas dans une base de données de boîte de courriels Exchange.
• Chiffrage et compression des fichiers de courriel mis en quarantaine qui sont stockés
localement.
• Interface Web de la quarantaine de courriel comme alternative au Gestionnaire de la
153
quarantaine de courriel.
• Les rapports de quarantaine peuvent être envoyés à une adresse de courriel spécifique à
l'aide d'une tâche planifiée.
• Les fichiers de courriel mis en quarantaine supprimés de la fenêtre de quarantaine (par
défaut, après 21 jours) sont toujours stockés dans un système de fichiers (jusqu'à ce que la
suppression automatique soit appliquée après un nombre de jours spécifique).
• La suppression automatique des anciens fichiers de courriel (par défaut, après 3 jours). Pour
en savoir plus, consultez la rubrique Paramètres de stockage des fichiers.
• Vous pouvez restaurer les fichiers de courriel mis en quarantaine à l'aide d'eShell (en
supposant qu'ils n'ont pas encore été supprimés du système de fichiers).
• Inspectez les courriels mis en quarantaine et décidez de les supprimer ou de les libérer. Pour
afficher et gérer les courriels mis en quarantaine locale, vous pouvez utiliser le gestionnaire de
la quarantaine de courriel à partir de l'IUG principale ou de l'interface Web de la Quarantaine de
courriel.
REMARQUE
Le désavantage d'utiliser Quarantaine locale est le suivant : si vous exécutez ESET Mail Security
de plusieurs serveurs avec le rôle Hub Transport Server, vous devez gérer la Quarantaine locale
de chaque serveur séparément. Plus vous avez de serveurs de courriels, plus vous devrez gérer
de quarantaines.
Stockage de fichiers
Dans cette section, vous pouvez modifier les paramètres de stockage des fichiers utilisés par la
quarantaine locale.
Compresser les fichiers mis en quarantaine
Les fichiers mise en quarantaine compressés occupent moins d'espace disque, mais si vous
choisissez de ne pas les compresser, vous pouvez utiliser le commutateur pour désactiver la
compression.
Effacer les anciens fichiers après (jours)
Lorsque les messages atteignent le nombre de jours qui a été spécifié, ils sont effacés de la
fenêtre de quarantaine. Cependant, les fichiers ne seront pas supprimé du disque et seront
conservés pendant le nombre de jours spécifiés dans Effacer les fichiers supprimés après
(jours). Puisque les fichiers ne sont pas supprimés du système de fichiers, il est possible de
récupérer de tels fichiers à l'aide d'eShell.
Effacer les fichiers supprimés après (jours)
Supprime les fichiers sur le disque après le nombre de jours spécifié. Aucune récupération n'est
possible après la suppression de ces fichiers (à moins que vous ayez mise en place une solution
de sauvegarde de système de fichiers).
Interface Web
L'interface Web de la Quarantaine de courriel est une alternative au gestionnaire de la quarantaine de
courriel. Cependant, elle est seulement disponible pour la Quarantaine local.
154
REMARQUE
L'interface Web de la quarantaine de courriel n'est pas disponible sur un serveur avec le rôle
Edge Transport Server, car Active Directory n'est pas accessible pour l'authentification.
L'interface Web de la Quarantaine de courriel vous permet de voir l'état de la quarantaine de courriel.
Elle permet aussi la gestion des objets du courriel mis en quarantaine. Il est possible d'accéder à
cette interface Web à partir des liens contenus dans les rapports de quarantaine ou directement en
entrant une Adresse URL dans votre navigateur Web. Pour accéder à l'interface Web de la
Quarantaine de courriel, vous devez vous authentifier en utilisant l'authentifiant de domaine.
L'authentification d'un utilisateur de domaine se fera automatiquement avec Internet Explorer.
Cependant, le certificat de la page Web doit être valide, l'option Connexion automatique doit être
activée dans Microsoft Internet Explorer et le site Web de la Quarantaine de courriel doit être ajouté
aux sites intranet locaux.
Tout utilisateur qui existe dans Active Directory peut accéder à l'interface Web de la quarantaine de
courriels, mais ne peut voir que les éléments en quarantaine qui ont été envoyés à son adresse
courriel (ce qui inclut aussi bien les pseudonymes de l'utilisateur). L'administrateur est capable de
voir tous les éléments mis en quarantaine pour tous les destinataires.
IMPORTANT
ESET Mail Security n'utilise pas IIS pour exécuter l'interface Web de quarantaine de messagerie. Il
utilise plutôt l'API de serveur HTTP qui prend en charge le SSL afin de permettre l'échange de
données à l'aide de connexion HTTP sécurisées.
URL Web
Adresse URL à laquelle l'interface Web de Quarantaine de courriel sera disponible. Par défaut, il s'agit
du FQDN du serveur avec /quarantine (par. ex. mailserver.company.com/quarantine). Vous
pouvez spécifier votre propre répertoire virtuel a la place du répertoire par défaut /quarantine. Vous
pouvez changer l'url Web à tout moment en modifiant sa valeur.
La valeur de l'url Web doit être spécifiée sans schéma (HTTP, HTTPS) et sans numéro de port.
Utilisez simplement le format fqdn/virtualdirectory. Vous pouvez aussi utiliser des caractères
génériques au lieu du FQDN.
Une fois que vous avez modifié l'url Web, il n'est plus possible de revenir aux valeurs par défaut en
cliquant sur l'icône rétablir
Supprimez l'entrée et laissez la boîte de texte vide. Redémarrez votre
serveur. Lorsque ESET Mail Security démarre et trouve que l'url Web est vide, il remplit ce champ
automatiquement à l'aide de la valeur par défaut fqdn/quarantine.
REMARQUE
ESET Mail Security prend en charge les urls Web dans quatre formats différents :
Caractères génériques forts (+/quarantine)
Explicite (mydomain.com/quarantine)
Caractères génériques faibles liés à l'IP (192.168.0.0/quarantine)
Caractères génériques faibles (*/quarantine)
Consultez la section Catégories de spécification d'hôte de l'article Chaînes UrlPrefix
plus de renseignements.
Web et langue du rapport
Vous permet de définir la langue de l'interface Web de quarantaine et des rapports de
155
pour
quarantaine.
Port HTTPS
Utilisé pour l'interface Web. Le numéro de port par défaut est 443.
Port HTTP
Utilisé pour libérer les courriels de la quarantaine par l'intermédiaire des rapports sur les
courriels.
IMPORTANT
Si vous n'avez pas de certificat SSL installé sur IIS, configurez la liaison de port HTTPS. Si vous
modifiez le numéro de port pour HTTPS ou HTTP, assurez-vous d'ajouter la liaison de port dans IIS
.
Consigner l'action de libération dans les événements
Lorsque vous libérez des éléments de la mise en quarantaine, cette action est écrite dans Fichiers
journaux.
Activer les administrateurs par défaut
Par défaut, les membres du groupe Administrateurs disposent d'un accès administrateur à
l'interface Web de Quarantaine de courriels. L'accès Administrateur n'a pas de restrictions et
permet à l'administrateur de voir tous les éléments mis en quarantaine, quels que soient les
destinataires. Si vous désactivez cette option, seuls les comptes utilisateur Administrateur auront
un accès administrateur à l'interface Web Quarantaine de courriels.
Droits d'accès supplémentaires
Permet d'accorder aux utilisateurs un accès supplémentaire à l'interface Web de Quarantaine de
courriels et de choisir le type d'accès. Cliquez sur Modifier pour ouvrir la fenêtre Droits d'accès
supplémentaires, cliquez ensuite sur Ajouter pour accorder l'accès à un utilisateur. Dans la
fenêtre contextuelle Nouveaux droits d'accès, cliquez sur Sélectionner et choisissez un
utilisateur dans Active Directory (vous pouvez choisir un seul utilisateur); sélectionnez ensuite le
type d'accès dans la liste déroulante :
• Administrateur - l'utilisateur a un accès administrateur à l'interface Web de quarantaine de
courriels.
• Accès délégué - Utilisez ce type d'accès si vous voulez autoriser un utilisateur (délégué) à
voir et à gérer les messages mis en quarantaine d'un autre destinataire. Indiquez l'adresse du
destinataire en saisissant l'adresse courriel d'un utilisateur dont les messages en quarantaine
seront gérés par le délégué. Si un utilisateur possède des pseudonymes dans Active Directory,
vous pouvez ajouter des droits d'accès supplémentaires à chaque pseudonyme si vous le
voulez.
156
Un exemple d'utilisateurs qui ont obtenu des droits d'accès supplémentaires à l'interface Web de
quarantaine de courriels :
Pour accéder à l'interface Web de Quarantaine de courriel, ouvrez votre navigateur Web et utilisez
l'URL spécifiée dans Configuration avancée (F5) > Serveur > Quarantaine de courriel >
Interface Web > URL Web.
157
Version
Libère le ou les courriels vers le ou les destinataires à l'aide du répertoire Replay et le supprime
de la quarantaine. Cliquez sur Soumettre pour confirmer l'action.
REMARQUE
Lors de la libération des courriel de la quarantaine, ESET Mail Security ignore l'en-tête MIME To:,
car il peut facilement être mystifié. À la place, l'information de destinataire initial obtenue grâce à
la commande RCPT TO: pendant la connexion SMTP est utilisée. Cela garantit que le message qui
est libéré de la quarantaine sera remis au bon destinataire.
Supprimer
Supprime l'élément de la quarantaine. Cliquez sur Soumettre pour confirmer l'action.
Lorsque vous cliquez sur Objet, une fenêtre contextuelle s'ouvrire contenant des détails sur le
courriel mis en quarantaine comme le Type, la Raison, l'Expéditeur, la Date, les Fichiers joints, etc.
158
Cliquez Afficher les en-têtes pour vérifier l'en-tête du courriel mis en quarantaine.
159
Au besoin, cliquez sur Libérer ou Supprimer pour entreprendre une action contre un courriel mis en
quarantaine.
REMARQUE
Vous devez fermer la fenêtre de votre navigateur pour vous déconnecter complètement de
l'interface Web de la Quarantaine de courriel. Sinon, cliquez sur Atteindre pour faire basculer
la vue de la quarantaine vers l'écran précédent.
IMPORTANT
Si vous rencontrez des problèmes pour accéder à l'interface Web de quarantaine de courriels à
partir de votre navigateur ou si vous obtenez l'erreur HTTP Error 403.4 - Forbidden ou un
message similaire, vérifiez le type de quarantaine qui est sélectionné et assurez-vous qu'il s'agit
d'une quarantaine locale et que l'option Activer l'interface Web est activée.
Envoyer les rapports de quarantaine de courriel - tâche planifiée
Les rapports de mise en quarantaine des messages sont des courriels de notification envoyés aux
utilisateurs et aux administrateurs sélectionnés pour les informer au sujet de leurs courriels mis en
quarantaine par ESET Mail Security. Les rapports contiennent des liens qui vous permettent, ainsi
qu'aux utilisateurs qui reçoivent les rapports de mise en quarantaine des messages, de supprimer ou
de diffuser (envoyer) un courriel faux positif (FP) directement. La livraison de certains messages filtrés
par des règles ou mis en quarantaine par la protection antivirus n'est pas autorisée pour les
utilisateurs ordinaires.
La tâche Envoyer des rapports de quarantaine/Envoyer des rapports administrateurs de quarantaine
envoie un rapport sur la mise en quarantaine des messages par courriel en fonction de la tâche
planifiée spécifiée. Voici un exemple de rapport sur la mise en quarantaine des courriels de
l'utilisateur :
160
Le rapport sur la mise en quarantaine des courriels contient également un lien vers Interface Web de
mise en quarantaine des courriels pour l'utilisateur (ouvrir la visionneuse en ligne).
REMARQUE
La tâche Envoyer des rapports de quarantaine de courriel est disponible uniquement lorsque vous
utilisez la mise en quarantaine locale. Vous ne pourrez pas l'utiliser avec la boîte de courriels
de quarantaine et la quarantaine MS Exchange.
Adresse de l'expéditeur
Permet de spécifier une adresse de courriel qui sera affichée en tant qu'expéditeur du rapport sur
la mise en quarantaine des courriels.
Nombre d'enregistrements maximum dans le rapport
Vous pouvez limiter le nombre d'entrées dans chaque rapport. Le nombre par défaut est de 50.
URL Web
Cette adresse URL sera incluse dans le rapport sur la mise en quarantaine des courriels, ce qui
fait en sorte que le destinataire peut simplement cliquer sur le lien pour accéder à l'interface Web
de la Quarantaine de courriel.
161
Destinataires
Permet de choisir les utilisateurs qui recevront les rapports sur la mise en quarantaine des
courriels. Cliquez sur Modifier pour sélectionner les boîtes de courriel de destinataires précis.
REMARQUE
Le rapport Quarantaine de courriel ne sera envoyé que s'il y a des messages en quarantaine. Si la
quarantaine est vide, le rapport ne sera pas envoyé.
EXEMPLE
Objectif : Créez une tâche planifiée pour vous envoyer régulièrement des rapports sur la mise en
quarantaine des courriels en tant qu'administrateur ou pour informer les utilisateurs de leurs
pourriels actuellement stockés dans la quarantaine des courriels.
Accédez à Outils > Planificateur > Ajouter une tâche et ouvrez l'assistant.
Entrez le nom de la tâche.
Sélectionnez le type de tâche dans le menu déroulant. Envoyer des rapports de
quarantaine de courrier (le rapport ne contiendra que des pourriels précis de l'utilisateur) ou
Envoyer des rapports sur la mise en quarantaine de courriels à l'administrateur (le
rapport contiendra tous les messages, la quarantaine complète); cliquez sur Suivant.
Sélectionnez l'une des options suivantes pour définir le moment d'exécution de la tâche
planifiée : Par exemple, Hebdomadaire, chaque vendredi à 10 h.
Spécifier l'adresse de l'expéditeur (administrateur@mondomaine.com).
Cliquez sur Modifier pour ajouter des destinataires à partir de la liste. Permet de choisir les
boîtes de courriels des utilisateurs qui recevront les rapports sur la mise en quarantaine des
courriels.
Interface Web de la quarantaine de courriels pour l'utilisateur
Vous avez accès à une interface Web où vous pouvez gérer les messages mis en quarantaine tels que
les pourriels ou les hameçons, ainsi que les messages filtrés par des règles définies par
l'administrateur. Normalement, vous pouvez uniquement voir les messages envoyés à votre adresse
courriel et mis en quarantaine. Toutefois, si la gestion des messages mis en quarantaine d'autres
utilisateurs vous a été déléguée, vous verrez également les messages de ces utilisateurs. Vous
pouvez distinguer les messages par les destinataires. Utilisez la fonction de recherche pour filtrer les
messages par destinataire, par exemple.
Vous pouvez choisir une action à exécuter avec un ou plusieurs messages, tels que Libérer,
Supprimer ou Aucune action. La disponibilité des actions dépend du niveau d'accès et des
paramètres de la règle. Par exemple, vous ne pourrez peut-être pas libérer ou supprimer certains
types de messages.
Si vous avez reçu un accès administrateur, vous verrez tous les messages mis en quarantaine pour
tous les utilisateurs et vous pourrez effectuer n'importe quelle action.
Gestion de vos messages mis en quarantaine:
• L'interface Web de mise en quarantaine du courriel vous permet de visualiser ce qui a été mis
en quarantaine. Si vous avez un accès délégué ou même un accès administrateur, vous verrez
également d'autres messages mis en quarantaine.
162
• Vous pouvez modifier le nombre d'entrées par page (taille de la page) dans le coin inférieur
gauche de la fenêtre.
• S'il y a trop de messages, utilisez la fonction Rechercher dans la barre supérieure pour
rechercher un courriel en particulier ou pour filtrer le contenu par Objet, par Expéditeur ou par
Destinataire (Destinataire est uniquement disponible pour les utilisateurs avec accès délégué
ou pour les administrateurs). De plus, vous pouvez utiliser les cases à cocher pour afficher
uniquement les messages d'un certain type (pourriel, logiciel malveillant, règle,
hameçonnage).
• Pour libérer (livrer) un message qui a été mis en quarantaine à la suite d'un faux positif
pendant la classification, utilisez les boutons radio sur la droite et sélectionnez Libérer. Pour
supprimer un message, sélectionnez l'action Supprimer. Vous pouvez sélectionner plusieurs
messages avec l'action appropriée en même temps. Une fois votre sélection terminée, cliquez
sur Envoyer. Les messages qui doivent être libérés sont ensuite remis à votre boîte de courriels
ou à la boîte de courriels du destinataire d'origine si vous avez un accès délégué et si vous
libérez des messages pour d'autres utilisateurs. Les messages qui doivent être supprimés sont
définitivement supprimés de la quarantaine.
REMARQUE
Les deux actions, Libérer et Supprimer, sont irréversibles une fois que vous cliquez sur
Envoyer.
• L'affichage est actualisé automatiquement lorsque vous cliquez sur Envoyer, mais vous
pouvez actualiser l'affichage manuellement en utilisant le bouton d'actualisation de votre
navigateur Web ou en appuyant sur la touche F5 de votre clavier.
163
REMARQUE
Seuls les pourriels et les messages d'hameçonnage peuvent être libérés. Il n'est pas possible de
libérer des messages signalés comme logiciel malveillant ou bloqués par une règle. Si vous devez
libérer un tel message, demandez de l'aide à votre administrateur.
• Vous n'avez pas besoin de supprimer régulièrement les messages mis en quarantaine, ils sont
supprimés automatiquement après une période spécifiée par l'administrateur.
REMARQUE
Vous devez fermer la fenêtre de votre navigateur pour vous déconnecter complètement de
l'interface Web de la Quarantaine de courriel. Sinon, cliquez sur Atteindre pour faire basculer
la vue de la quarantaine vers l'écran précédent.
Courriel de quarantaine et quarantaine de MS Exchange
Si vous décidez de ne pas utiliser la Quarantaine locale, deux options s'offrent à vous : le Courriel de
quarantaine ou la Quarantaine MS Exchange. Peu importe l'option choisie, vous devez créer un
utilisateur dédié avec une adresse de courriel (par exemple quarantaine_courriel@entreprise.com) qui
sera ensuite utilisée pour stocker vos courriels mis en quarantaine. À l'aide de cet utilisateur et de
cette adresse de courriel, vous pourrez aussi voir et gérer les éléments dans la quarantaine à partir
du gestionnaire de la Quarantaine de courriel. Vous devez fournir les détails de cet utilisateur dans la
section paramètres du gestionnaire de la Quarantaine.
REMARQUE
L'avantage d'utiliser la boîte de courriels de quarantaine/quarantaine MS Exchange par rapport à
la Quarantaine locale est le suivant : les éléments de la boîte de courriels de quarantaine sont
gérés à partir d'un endroit, sans égard au nombre de serveurs ayant un rôle Hub Transport
Server. Contrairement à la quarantaine locale, la mise en quarantaine des boîtes de courriels ou
la quarantaine MS Exchange, les pourriels et les courriels mis en quarantaine sont stockés dans
les bases de données de boîtes aux lettres Exchange. Toute personne ayant accès à la boîte de
courriels de quarantaine peut gérer les messages mis en quarantaine.
Lorsque vous comparez la boîte de courriels de quarantaine et la Quarantaine MS Exchange,
les deux options utilisent une boîte de courriels dédiée comme mécanisme sous-jacent pour stocker
les messages mis en quarantaine, mais diffèrent légèrement dans la façon dont les messages sont
distribués. Courriel de quarantaine et quarantaine de MS Exchange :
Boîte de courriel de mise en quarantaine
ESET Mail Security crée un courriel enveloppeur séparé contenant des informations supplémentaires
et les courriels d'origine sous forme de pièce jointe, puis les envoie à la boîte de courriels.
Vous devez spécifier une adresse pour les messages en quarantaine (par exemple
quarantaine_principale@entreprise.com).
IMPORTANT
Nous ne recommandons pas d'utiliser le compte Administrateur comme boîte de courriels de
quarantaine.
Quarantaine de MS Exchange
Exchange Server est responsable de la remise du courriel à la boîte de courriels elle-même. La boîte
164
de courriels doit être définie comme une quarantaine au niveau de l'organisation dans Active
Directory (par une commande PowerShell répertoriée ci-dessous).
REMARQUE
Par défaut, la quarantaine interne n'est pas activée dans Microsoft Exchange Server. À moins que
vous l'ayez activé, ouvrez Exchange Management Shell et tapez la commande suivante
(remplacez Name@domain.com par une adresse réelle de votre boîte aux lettres dédiée) :
Set-ContentFilterConfig -QuarantineMailbox name@domain.com
ESET Mail Security utilise le système de quarantaine de Microsoft Exchange (cela s'applique à
Microsoft Exchange Server 2007 et aux versions ultérieures). Dans ce cas, le mécanisme interne
d'Exchange sera utilisé pour stocker les messages potentiellement infectés et les POURRIELS.
Paramètres du gestionnaire de quarantaine
Adresse hôte
Elle apparaîtra automatiquement si votre Exchange Server avec un rôle Client Access Server
(CAS) est présent localement. Si le rôle CAS n'est pas sur le même serveur sur lequel ESET Mail
Security a été installé, mais qu'il peut être trouvé dans l'AD, il est également possible que
l'adresse de l'hôte apparaisse automatiquement. Si elle n'apparaît pas, vous pouvez tapez le nom
d'hôte manuellement. La détection automatique ne fonctionnera pas sur le rôle Edge Transport
Server. l'adresse IP n'est pas prise en charge. Vous devez utiliser le nom d'hôte du serveur CAS.
Nom d'utilisateur
Le compte utilisateur de la quarantaine dédié que vous avez créé pour le stockage des messages
mis en quarantaine (ou un compte qui a accès à cette boîte de courriels par l'entremise de la
délégation d'accès). Sur le rôle serveur de transport Edge qui ne fait pas partie du domaine, il est
nécessaire d'utiliser l'adresse de courriel complète (par exemple
main_quarantine@company.com).
Mot de passe
Tapez le mot de passe de votre compte utilisateur de la quarantaine.
Utiliser le protocole SSL
Cette option doit être activée si la configuration d'EWS (Exchange Web Services) est réglée à
Exiger le protocole SSL dans IIS. Si le protocole SSL est activé, il faut importer le certificat
Exchange Server dans le système à l'aide de ESET Mail Security (au cas où les rôles serveur
Exchange se trouvent sur différents serveurs). Les paramètres d'EWS peuvent être consultés dans
IIS, à partir de Sites/Default web site/EWS/SSL Settings.
REMARQUE
Désactivez uniquement Utiliser le protocole SSL lorsque les services Web Exchange (EWS)
sont configurés dans IIS pour ne pas exiger SSL.
Ignorer les erreurs de certificat de serveur
Ignore les états suivants : self-signed, wrong name in certificate, wrong usage, expired.
165
Serveur mandataire
Dans le cas où vous utilisez un serveur mandataire entre Exchange Server avec un rôle CAS et
Exchange Server où ESET Mail Security est installé, spécifiez les paramètres de votre serveur
mandataire. Cette exigence s'explique par le fait que ESET Mail Security se connecte à EWS
(Exchange Web Services) API par l'entremise du protocole HTTP/HTTPS. Sinon, la boîte de courriels de
mise en quarantaine et la quarantaine MS Exchange ne fonctionneront pas.
Serveur mandataire
Entrez l'adresse IP ou le nom du serveur mandataire que vous utilisez.
Port
Entrez le numéro de port du serveur mandataire.
Nom d'utilisateur, Mot de passe
Entrez l'authentifiant dans le cas où votre serveur mandataire exige une authentification.
Détails du compte du gestionnaire de la quarantaine
Cette fenêtre de dialogue s'affiche si vous n'avez pas spécifié les détails du compte (un nom
d'utilisateur et un mot de passe) pour le gestionnaire de quarantaine. Spécifiez l'authentifiant d'un
utilisateur qui a accès à la Boîte de courriel de la Quarantaine et cliquez sur OK. Vous pouvez
également appuyer sur la touche F5 pour accéder aux Paramètres avancés. Allez ensuite à
Serveur > Quarantaine de courriel > Paramètres du gestionnaire de quarantaine. Tapez le Nom
d'utilisateur et le Mot de passe de votre boîte de courriel de mise en quarantaine.
Cochez la case à côté de Enregistrer les informations relatives au compte pour enregistrer les
paramètres du compte en prévision des prochains accès au gestionnaire de la Quarantaine.
Test antivirus
Pour vérifier que la protection en temps réel fonctionne et détecte les virus, utilisez un fichier de test
de eicar.com. Ce fichier de test est un fichier inoffensif détectable par tous les programmes antivirus.
Le fichier a été créé par la société EICAR (European Institute for Computer Antivirus Research) pour
tester la fonctionnalité des programmes antivirus.
Pour tester la fonctionnalité de votre antivirus, créez un fichier texte contenant la chaîne suivante :
166
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Pour plus d'informations, ainsi que pour télécharger des fichiers tests sous différentes formes, visitez
http://2016.eicar.org/85-0-Download.html .
Test antipourriel
À l'aide d'une chaîne de test spéciale connue sous le nom de GTUBE (Test générique pour les courriels
en vrac non sollicités), vous pouvez vérifier que la fonction antipourriel de ESET Mail Security
fonctionne et détecte les messages indésirables entrants.
Pour tester la fonctionnalité antipourriel, envoyez un courriel avec la chaîne de 68 octets suivante
dans le corps du message :
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
Utilisez la chaîne telle quelle (une ligne, sans espace ni saut de ligne). Vous pouvez télécharger
courriel approprié au format RFC-822.
un
Test antihameçonnage
Pour tester la fonctionnalité antihameçonnage, envoyez un courriel avec le lien suivant (URL) dans le
corps ou l'objet du message :
https://www.amtso.org/check-desktop-phishing-page/
Pour voir l'activité de la protection anti-hameçonnage, accédez à Fichiers journaux > Journal de
protection du serveur de messagerie. Il contiendra des informations sur les courriels et les liens de
hameçonnage qui y ont été trouvés.
Paramètres généraux
Vous pouvez configurer les paramètres généraux et les options selon vos besoins. Voici les catégories
présentées dans le menu de gauche :
Ordinateur
Permet d'activer ou de désactiver la détection d'applications potentiellement indésirables,
dangereuses et suspectes, ainsi que la protection Anti-Stealth. Spécifiez les exclusions de
processus ou de fichiers et de dossiers. Configurez la protection du système de fichiers en temps
réel, les paramètres ThreatSense, la protection basée sur le nuage (ESET LiveGrid®), les analyses
de logiciels malveillants (analyse d'ordinateur à la demande et autres options d'analyse) ainsi que
l'analyse Hyper-V et HIPS.
Mettre à jour
Configurez les options de mise à jour telles que profils, âge du moteur de détection, type de mise
à jour, serveur de mise à jour personnalisé, serveur de connexion/mandataire, miroir de mise à
jour, accès aux fichiers de mise à jour, serveur HTTP, etc.
Web et messagerie
167
Permet de configurer le filtrage des protocoles et les exclusions (applications et adresses IP
exclues), les options de filtrage des protocoles SSL/TLS, la protection du client de messagerie
(intégration, protocoles de courriels, alertes et notifications), la protection de l'accès Web
(protocoles Web HTTP/HTTPS et gestion des adresses URL) ainsi que la protection antihameçonnage du client de messagerie.
Contrôle de périphériques
Permet d'intégrer et de configurer les règles de contrôle de périphériques ainsi que les groupes.
Configuration d'outils
Permet de personnaliser des outils tels que ESET CMD, ESET RMM, le fournisseur WMI, les cibles
d'analyse ESET Security Management Center, les notifications Windows Update, les fichiers
journaux, le serveur mandataire, les notifications par courriels, les diagnostics, les grappes, etc.
Interface utilisateur
Configurez le comportement de l'interface graphique du programme, les états, les informations de
licence, les alertes et les notifications, la protection par mot de passe, la stratégie d'exécution de
eShell, etc.
Ordinateur
Le moteur de détection protège contre les attaques malveillantes du système en analysant les
fichiers, les courriels et les communications réseau. Si un objet considéré comme logiciel malveillant
est détecté, des mesures de correction sont prises. Le moteur de détection peut l'éliminer en le
bloquant d'abord, puis en prenant des mesures telles que le nettoyage, la suppression ou la mise en
quarantaine.
Protection en temps réel et apprentissage automatique
L'apprentissage machine avancé fait désormais partie du moteur de détection en tant que couche de
protection avancée, ce qui améliore la détection basée sur l'apprentissage machine. Pour en savoir
plus sur ce type de protection, consultez le glossaire . Vous pouvez configurer les niveaux de
signalement et de protection des catégories suivantes :
Logiciel malveillant
Un virus informatique est un code malveillant ajouté en début ou à la fin des fichiers existants sur
votre ordinateur. Cependant, le terme « virus » est souvent mal utilisé. Logiciel malveillant est
une expression plus précise. La détection des logiciels malveillants est effectuée par le module du
moteur de détection combiné au composant d'apprentissage machine. Pour en savoir plus sur ces
types d'applications, consultez le glossaire .
Applications potentiellement indésirables
Une application potentiellement indésirable est un logiciel dont l'intention n'est pas aussi
malveillante, mais qui peut installer des logiciels indésirables supplémentaires, modifier le
comportement de l'appareil numérique, effectuer des activités non approuvées ou attendues par
l'utilisateur ou avoir d'autres objectifs inavoués.
Cette catégorie comprend : les logiciels d'affichage publicitaire, les enveloppeurs de
téléchargement, les différentes barres d'outils de navigateur, les logiciels avec un comportement
168
trompeur, les logiciels liés, les logiciels de suivi d'activité système, etc.
Pour en savoir plus sur ces types d'application, consultez le glossaire .
Applications potentiellement suspectes
Il s'agit d'un logiciel compressé avec des enveloppeur ou des protecteurs, utilisés fréquemment
pour dissuader l'ingénierie inverse ou pour obscurcir le contenu de l'exécutable (par exemple
pour masquer la présence de logiciels malveillants), à l'aide de méthodes de compression ou de
chiffrement propriétaires.
Cette catégorie comprend : toutes les applications inconnues qui sont compressées avec un
enveloppeur ou un protecteur utilisé fréquemment pour compresser des logiciels malveillants.
Applications potentiellement dangereuses
Cette classification désigne des logiciels commerciaux légitimes qui pourraient être utilisés à des
fins malveillantes. Une application potentiellement dangereuse fait référence à un logiciel
commercial légitime qui peut être utilisé abusivement à des fins malveillantes.
Cette catégorie comprend les outils de craquage, les générateurs de clés de licence, les outils de
piratage, les outils d'accès ou de contrôle à distance, les applications de perçage de mots de
passe et les enregistreurs de frappe (programmes qui enregistrent chaque frappe effectuée par
un utilisateur). Cette option est désactivée par défaut.
Pour en savoir plus sur ces types d'application, consultez le glossaire .
Lisez ce qui suit avant de modifier un seuil (ou niveau) pour la catégorie Signalement ou Protection :
Signalement
169
Le signalement est effectué par le moteur de détection et le composant d'apprentissage machine.
Vous pouvez définir le seuil de signalement pour mieux l'adapter à votre environnement et à vos
besoins. Il n'existe pas de configuration correcte unique. Par conséquent, nous vous recommandons
de surveiller le comportement dans votre environnement et de décider si un paramètre de
signalement différent est plus approprié.
Le signalement ne prend pas de mesures à l'égard des objets, il transmet les informations la couche
de protection respective, et celle-ci prend des mesures en conséquence.
Agressif
Le signalement est configuré pour une sensibilité maximale. Davantage de détections
sont signalées. Si le paramètre Agressif peut sembler le plus sûr, il peut souvent être
trop sensible, ce qui peut même être contre-productif.
REMARQUE
Le paramètre agressif peut faussement identifier des objets comme
malveillants : des mesures seront prises avec de tels objets (selon les paramètres
de protection).
Équilibré
Ce paramètre est optimisé pour équilibrer les performances et la précision des taux de
détection et du nombre d'objets faux positifs.
Prudent
Rapports configurés pour réduire au minimum les objets faux positifs tout en
maintenant un niveau de protection suffisant. Les objets ne sont signalés que lorsque
la probabilité est évidente et correspond au comportement du logiciel malveillant.
Désactivée Le signalement n'est pas actif, aucune détection n'a été trouvée, signalée ou nettoyée.
REMARQUE
Le signalement des logiciels malveillants ne peut être désactivé, c'est pourquoi le
paramètre Off (Désactivé) n'est pas disponible pour les logiciels malveillants.
Si vous souhaitez rétablir les paramètres de cette section à leurs valeurs par défaut, cliquez sur la
flèche « demi-tour » à côté de l'en-tête de la section. Toutes les modifications que vous avez
apportées dans cette section seront perdues.
Protection
Lorsqu'un objet est signalé sur la base de la configuration ci-dessus et des résultats de
l'apprentissage machine, il est bloqué et une action est entreprise (nettoyée, supprimée ou déplacée
vers la quarantaine).
Agressif
Les détections de niveau agressif (ou inférieur) signalées sont bloquées et la correction
automatique (c'est-à-dire le nettoyage) est lancée.
Équilibré
Les détections de niveau équilibré (ou inférieur) signalées sont bloquées et la
correction automatique (c'est-à-dire le nettoyage) est lancée.
Prudent
Les détections de niveau prudent signalées sont bloquées et la correction automatique
(c'est-à-dire le nettoyage) est lancée.
Désactivée Le signalement n'est pas actif, aucune détection n'a été trouvée, signalée ou nettoyée.
REMARQUE
Le signalement des logiciels malveillants ne peut être désactivé, c'est pourquoi le
paramètre Off (Désactivé) n'est pas disponible pour les logiciels malveillants.
Si vous souhaitez rétablir les paramètres de cette section à leurs valeurs par défaut, cliquez sur la
flèche « demi-tour » à côté de l'en-tête de la section. Toutes les modifications que vous avez
apportées dans cette section seront perdues.
170
REMARQUE
Par défaut, les paramètres de protection d'apprentissage machine ci-dessus s'appliquent
également à l'analyse de l'ordinateur à la demande. Si nécessaire, vous pouvez configurer
séparément les paramètres de protection à la demande et d'apprentissage machine.
Cliquez sur l'icône du commutateur pour désactiver Utiliser les paramètres de protection en
temps réel et procéder à la configuration.
Détection par l'apprentissage machine
Le moteur de détection protège contre les attaques malveillantes du système en analysant les
fichiers, les courriels et les communications réseau. Si un objet considéré comme logiciel malveillant
est détecté, des mesures de correction sont prises. Le moteur de détection peut l'éliminer en le
bloquant d'abord, puis en prenant des mesures telles que le nettoyage, la suppression ou la mise en
quarantaine.
Protection en temps réel et apprentissage automatique
L'apprentissage machine avancé fait désormais partie du moteur de détection en tant que couche de
protection avancée, ce qui améliore la détection basée sur l'apprentissage machine. Pour en savoir
plus sur ce type de protection, consultez le glossaire . Vous pouvez configurer les niveaux de
signalement et de protection des catégories suivantes :
Logiciel malveillant
Un virus informatique est un code malveillant ajouté en début ou à la fin des fichiers existants sur
votre ordinateur. Cependant, le terme « virus » est souvent mal utilisé. Logiciel malveillant est
une expression plus précise. La détection des logiciels malveillants est effectuée par le module du
moteur de détection combiné au composant d'apprentissage machine. Pour en savoir plus sur ces
types d'applications, consultez le glossaire .
Applications potentiellement indésirables
Une application potentiellement indésirable est un logiciel dont l'intention n'est pas aussi
malveillante, mais qui peut installer des logiciels indésirables supplémentaires, modifier le
comportement de l'appareil numérique, effectuer des activités non approuvées ou attendues par
l'utilisateur ou avoir d'autres objectifs inavoués.
Cette catégorie comprend : les logiciels d'affichage publicitaire, les enveloppeurs de
téléchargement, les différentes barres d'outils de navigateur, les logiciels avec un comportement
trompeur, les logiciels liés, les logiciels de suivi d'activité système, etc.
Pour en savoir plus sur ces types d'application, consultez le glossaire .
Applications potentiellement suspectes
Il s'agit d'un logiciel compressé avec des enveloppeur ou des protecteurs, utilisés fréquemment
pour dissuader l'ingénierie inverse ou pour obscurcir le contenu de l'exécutable (par exemple
pour masquer la présence de logiciels malveillants), à l'aide de méthodes de compression ou de
chiffrement propriétaires.
Cette catégorie comprend : toutes les applications inconnues qui sont compressées avec un
enveloppeur ou un protecteur utilisé fréquemment pour compresser des logiciels malveillants.
Applications potentiellement dangereuses
Cette classification désigne des logiciels commerciaux légitimes qui pourraient être utilisés à des
171
fins malveillantes. Une application potentiellement dangereuse fait référence à un logiciel
commercial légitime qui peut être utilisé abusivement à des fins malveillantes.
Cette catégorie comprend les outils de craquage, les générateurs de clés de licence, les outils de
piratage, les outils d'accès ou de contrôle à distance, les applications de perçage de mots de
passe et les enregistreurs de frappe (programmes qui enregistrent chaque frappe effectuée par
un utilisateur). Cette option est désactivée par défaut.
Pour en savoir plus sur ces types d'application, consultez le glossaire .
Lisez ce qui suit avant de modifier un seuil (ou niveau) pour la catégorie Signalement ou Protection :
Signalement
Le signalement est effectué par le moteur de détection et le composant d'apprentissage machine.
Vous pouvez définir le seuil de signalement pour mieux l'adapter à votre environnement et à vos
besoins. Il n'existe pas de configuration correcte unique. Par conséquent, nous vous recommandons
de surveiller le comportement dans votre environnement et de décider si un paramètre de
signalement différent est plus approprié.
Le signalement ne prend pas de mesures à l'égard des objets, il transmet les informations la couche
de protection respective, et celle-ci prend des mesures en conséquence.
Agressif
Le signalement est configuré pour une sensibilité maximale. Davantage de détections
sont signalées. Si le paramètre Agressif peut sembler le plus sûr, il peut souvent être
trop sensible, ce qui peut même être contre-productif.
REMARQUE
Le paramètre agressif peut faussement identifier des objets comme
malveillants : des mesures seront prises avec de tels objets (selon les paramètres
de protection).
Équilibré
Ce paramètre est optimisé pour équilibrer les performances et la précision des taux de
détection et du nombre d'objets faux positifs.
Prudent
Rapports configurés pour réduire au minimum les objets faux positifs tout en
maintenant un niveau de protection suffisant. Les objets ne sont signalés que lorsque
la probabilité est évidente et correspond au comportement du logiciel malveillant.
Désactivée Le signalement n'est pas actif, aucune détection n'a été trouvée, signalée ou nettoyée.
REMARQUE
Le signalement des logiciels malveillants ne peut être désactivé, c'est pourquoi le
paramètre Off (Désactivé) n'est pas disponible pour les logiciels malveillants.
Si vous souhaitez rétablir les paramètres de cette section à leurs valeurs par défaut, cliquez sur la
flèche « demi-tour » à côté de l'en-tête de la section. Toutes les modifications que vous avez
apportées dans cette section seront perdues.
Protection du transport du courriel et de l'apprentissage automatique
172
Production de rapports
Effectué par le moteur de détection et le composant d'apprentissage machine. Le signalement
n'entreprend aucune action avec les objets (cela se fait par la couche de protection respective).
Protection
Configurez les paramètres dans Protection du transport du courriel pour affecter les mesures prises
avec les objets signalés. Vous pouvez également configurer une règle personnalisée :
EXEMPLE
Objectif: Mettre en quarantaine les messages contenant un logiciel malveillant ou une pièce
jointe protégée par mot de passe, endommagée ou chiffrée
Créer la règle suivante pour Protection du transport du courriel:
Condition
Type : Résultat de l'analyse antivirus
Opération: est
Paramètre : Infecté - nettoyage non effectué
Action
Type : Message de quarantaine
Si vous souhaitez rétablir les paramètres de cette section à leurs valeurs par défaut, cliquez sur la
flèche « demi-tour » à côté de l'en-tête de la section. Toutes les modifications que vous avez
apportées dans cette section seront perdues.
Configurez la protection par apprentissage machine à l'aide de eShell. Le nom du contexte dans
eShell est MLP. Ouvrez eShell en mode interactif et accédez à MLP :
server av transport mlp
Voir les paramètres actuels de signalement des applications suspectes :
get suspicious-reporting
Si vous souhaitez des signalements moins stricts, réglez le paramètre sur Prudent :
set suspicious-reporting cautious
Protection de la base de données des boîtes aux lettres et par apprentissage machine
173
Production de rapports
Effectué par le moteur de détection et le composant d'apprentissage machine. Le signalement
n'entreprend aucune action avec les objets (cela se fait par la couche de protection respective).
Protection
Configurez les paramètres dans la section Protection de la base de données de la boîte aux lettres
pour affecter l'action à entreprendre avec les objets signalés.
Si vous souhaitez rétablir les paramètres de cette section à leurs valeurs par défaut, cliquez sur la
flèche « demi-tour » à côté de l'en-tête de la section. Toutes les modifications que vous avez
apportées dans cette section seront perdues.
Configurez la protection par apprentissage machine à l'aide de eShell. Le nom du contexte dans
eShell est MLP. Ouvrez eShell en mode interactif et accédez à MLP :
server av database mlp
Voir les paramètres actuels de signalement des applications suspectes :
get suspicious-reporting
Si vous souhaitez des signalements moins stricts, réglez le paramètre sur Prudent :
set suspicious-reporting cautious
Analyse à la demande de la base de données des boîtes aux lettres et protection par apprentissage
machine
Production de rapports
Effectué par le moteur de détection et le composant d'apprentissage machine. Le signalement
n'entreprend aucune action avec les objets (cela se fait par la couche de protection respective).
Protection
Configurez les paramètres dans la section Analyse de la base de données de boîtes aux lettres à la
demande pour affecter l'action à entreprendre avec les objets signalés.
Si vous souhaitez rétablir les paramètres de cette section à leurs valeurs par défaut, cliquez sur la
flèche « demi-tour » à côté de l'en-tête de la section. Toutes les modifications que vous avez
apportées dans cette section seront perdues.
Configurez la protection par apprentissage machine à l'aide de eShell. Le nom du contexte dans
eShell est MLP. Ouvrez eShell en mode interactif et accédez à MLP :
server av on-demand mlp
Voir les paramètres actuels de signalement des applications suspectes :
get suspicious-reporting
Si vous souhaitez des signalements moins stricts, réglez le paramètre sur Prudent :
set suspicious-reporting cautious
Exclusions
Les exclusions permettent d'exclure des fichiers et des dossiers de l'analyse. Pour que la détection
des menaces s'applique à tous les objets, il est recommandé de créer des exclusions seulement
lorsque cela est absolument nécessaire. Certaines situations justifient l'exclusion d'un objet. Par
exemple, lorsque les entrées de bases de données volumineuses risquent de ralentir le serveur
pendant l'analyse ou lorsqu'il peut y avoir conflit entre le logiciel et l'analyse (par exemple, le logiciel
de sauvegarde).
AVERTISSEMENT
Ne pas les confondre avec les extensions exclues, les exclusions de processus ou les filtres
d'exclusion.
174
REMARQUE
Une menace présente dans un fichier n'est pas détectée par le module de protection du système
de fichiers en temps réel ou par le module d'analyse de l'ordinateur si le fichier en question
répond aux critères d'exclusion de l'analyse.
Sélectionnez le type d'exclusion et cliquez sur Modifier pour en ajouter un nouveau ou modifier un
existant :
• Exclusions de performance : permettent d'exclure des fichiers et des dossiers de l'analyse.
• Exclusions de détection : exclure les objets de l'analyse en utilisant des critères spécifiques
(chemin, hachage de fichier ou nom de détection).
Exclusions de performance
Cette fonctionnalité vous permet d'exclure des fichiers et des dossiers de l'analyse. Les exclusions de
performances sont utiles pour exclure l'analyse au niveau des fichiers des applications critiques ou
lorsque l'analyse provoque un comportement anormal du système ou diminue les performances.
Chemin
Exclut un chemin spécifique (fichier ou répertoire) pour cet ordinateur. N'utilisez pas de
caractères génériques - astérisque (*) au milieu d'un chemin. Pour plus d'informations, consultez
l'article suivant de la base de connaissances .
REMARQUE
Pour exclure le contenu du dossier, n'oubliez pas d'ajouter l'astérisque (*) à la fin du chemin
(C:\Tools\*). C:\Tools ne sera pas exclu, car du point de vue de l'analyseur, Tools peut également
être un nom de fichier.
Commentaire
Ajoutez un commentaire facultatif pour reconnaître facilement l'exclusion à l'avenir.
EXEMPLE
Exclusions de chemin à l'aide d'un astérisque :
C:\Tools\* - le chemin doit se terminer par la barre oblique inverse (\) et l'astérisque (*) pour
indiquer qu'il s'agit d'un dossier et que tout le contenu du dossier (fichiers et sous-dossiers) sera
exclu
C:\Tools\*.* - le même comportement que C:\Tools\*, ce qui signifie que cela fonctionne
récursivement
C:\Tools\*.dat - exclura les fichiers dat qui se trouvent dans le dossier Outils (Tools)
C:\Tools\sg.dat - exclura ce fichier en particulier situé dans le chemin exact
EXEMPLE
Pour exclure tous les fichiers d'un dossier, tapez le chemin d'accès au dossier et utilisez le
masque *.*
• Pour exclure un lecteur entier, y compris tous les fichiers et les sous-dossiers, utilisez le masque
D:\*
• Si vous souhaitez exclure uniquement les fichiers doc, utilisez le masque *.doc
• Si le nom d'un fichier exécutable a un certain nombre de caractères (et que les caractères
varient) et que vous ne connaissez que le premier (par exemple « D »), utilisez le format suivant :
D????.exe (Les points d'interrogation remplacent les caractères manquants ou inconnus)
175
EXEMPLE
Vous pouvez utiliser des variables système telles que %PROGRAMFILES% pour définir des
exclusions d'analyse.
• Pour exclure le dossier Program Files à l'aide de cette variable système, utilisez le chemin
%PROGRAMFILES%\ (veillez à ajouter la barre oblique inverse à la fin du chemin lors de l'ajout aux
exclusions).
• Si vous souhaitez exclure tous les fichiers d'un sous-dossier %HOMEDRIVE%, tapez le chemin
%HOMEDRIVE%\Excluded_Directory\*.*
Les variables suivantes peuvent être utilisées dans le format d'exclusion de chemin :
%ALLUSERSPROFILE%
%COMMONPROGRAMFILES%
%COMMONPROGRAMFILES(X86)%
%COMSPEC%
%HOMEDRIVE%
%HOMEPATH%
%PROGRAMFILES%
%PROGRAMFILES(X86)%
%SystemDrive%
%SystemRoot%
%WINDIR%
%PUBLIC%
Les variables système spécifiques à l'utilisateur (telles que %TEMP% ou %USERPROFILE%) ou les
variables d'environnement (telles que %PATH%) ne sont pas prises en charge.
Exclusions de détection
Il s'agit d'une autre méthode pour exclure des objets de l'analyse, en utilisant le nom de détection, le
chemin ou son hachage. Les exclusions de détection n'excluent pas les fichiers et les dossiers de
l'analyse (comme les exclusions de performances). Les exclusions de détection excluent les objets
uniquement lorsqu'ils sont détectés par le moteur de détection et qu'une règle appropriée est
présente dans la liste d'exclusion.
La façon la plus simple de créer une exclusion basée sur la détection consiste à utiliser une détection
existante à partir de Fichiers journaux > Détections. Cliquez avec le bouton droit de la souris sur
une entrée du journal (détection) et cliquez sur Créer une exclusion. Cela ouvrira l'assistant
d'exclusion avec des critères prédéfinis.
Pour créer manuellement une exclusion de détection, cliquez sur Modifier > Ajouter (ou Modifier
lors de la modification d'un fichier existant) et spécifiez un ou plusieurs des critères suivants (il est
possible de les combiner) :
Chemin
Exclut un chemin spécifique (fichier ou répertoire). Vous pouvez rechercher un emplacement ou
un fichier spécifique, ou saisir la chaîne manuellement. N'utilisez pas de caractères génériques astérisque (*) au milieu d'un chemin. Pour plus d'informations, consultez l'article suivant de la
base de connaissances .
REMARQUE
Pour exclure le contenu du dossier, n'oubliez pas d'ajouter l'astérisque (*) à la fin du chemin
(C:\Tools\*). C:\Tools ne sera pas exclu, car du point de vue de l'analyseur, Tools peut également
être un nom de fichier.
176
Hachage
Permet d'exclure un fichier selon un hachage précis(SHA1), peu importe le type, l'emplacement,
le nom ou l'extension du fichier.
Nom de la détection
Saisissez un nom de détection (menace) valide. La création d'une exclusion basée uniquement
sur le nom de détection peut poser un risque pour la sécurité. Nous vous recommandons de
combiner le nom de détection avec le chemin. Ce critère d'exclusion ne peut être utilisé que pour
certains types de détections.
Commentaire
Ajoutez un commentaire facultatif pour reconnaître facilement l'exclusion à l'avenir.
ESET Security Management Center comprend la gestion des exclusions de détection ; vous pouvez
créer des exclusions de détection et les appliquer à plusieurs ordinateurs ou groupes.
Utiliser des caractères génériques pour couvrir un groupe de fichiers. Un point d'interrogation (?)
représente un seul caractère variable tandis qu'un astérisque (*) représente une chaîne variable de
zéro caractère ou plus.
EXEMPLE
Exclusions de chemin à l'aide d'un astérisque :
C:\Tools\* - le chemin doit se terminer par la barre oblique inverse (\) et l'astérisque (*) pour
indiquer qu'il s'agit d'un dossier et que tout le contenu du dossier (fichiers et sous-dossiers) sera
exclu
C:\Tools\*.* - le même comportement que C:\Tools\*, ce qui signifie que cela fonctionne
récursivement
C:\Tools\*.dat - exclura les fichiers dat qui se trouvent dans le dossier Outils (Tools)
C:\Tools\sg.dat - exclura ce fichier en particulier situé dans le chemin exact
EXEMPLE
Si vous souhaitez exclure une menace, entrez un nom de détection valide au format suivant :
@NAME=Win32/Adware.Optmedia
@NAME=Win32/TrojanDownloader.Delf.QQI
@NAME=Win32/Bagle.D
EXEMPLE
Pour exclure tous les fichiers d'un dossier, tapez le chemin d'accès au dossier et utilisez le
masque *.*
• Pour exclure un lecteur entier, y compris tous les fichiers et les sous-dossiers, utilisez le masque
D:\*
• Si vous souhaitez exclure uniquement les fichiers doc, utilisez le masque *.doc
• Si le nom d'un fichier exécutable a un certain nombre de caractères (et que les caractères
varient) et que vous ne connaissez que le premier (par exemple « D »), utilisez le format suivant :
D????.exe (Les points d'interrogation remplacent les caractères manquants ou inconnus)
177
EXEMPLE
Vous pouvez utiliser des variables système telles que %PROGRAMFILES% pour définir des
exclusions d'analyse.
• Pour exclure le dossier Program Files à l'aide de cette variable système, utilisez le chemin
%PROGRAMFILES%\ (veillez à ajouter la barre oblique inverse à la fin du chemin lors de l'ajout aux
exclusions).
• Si vous souhaitez exclure tous les fichiers d'un sous-dossier %HOMEDRIVE%, tapez le chemin
%HOMEDRIVE%\Excluded_Directory\*.*
Les variables suivantes peuvent être utilisées dans le format d'exclusion de chemin :
%ALLUSERSPROFILE%
%COMMONPROGRAMFILES%
%COMMONPROGRAMFILES(X86)%
%COMSPEC%
%HOMEDRIVE%
%HOMEPATH%
%PROGRAMFILES%
%PROGRAMFILES(X86)%
%SystemDrive%
%SystemRoot%
%WINDIR%
%PUBLIC%
Les variables système spécifiques à l'utilisateur (telles que %TEMP% ou %USERPROFILE%) ou les
variables d'environnement (telles que %PATH%) ne sont pas prises en charge.
Créer un assistant d'exclusion
L'exclusion recommandée est présélectionnée en fonction du type de détection, mais vous pouvez
préciser davantage les critères d'exclusion pour les détections. Cliquez sur Modifier les critères :
• Fichiers exacts : exclure chaque fichier selon son hachage SHA-1.
• Détection : précisez le nom de la détection pour exclure chaque fichier qui contient cette
détection.
• Chemin et Détection : précisez le nom et le chemin d'accès de la détection (y compris le
nom du fichier) pour exclure chaque fichier dont la détection est située à l'endroit indiqué.
Ajoutez un commentaire facultatif pour reconnaître facilement l'exclusion à l'avenir.
Options avancées
Technologie antifurtif
La technologie antivirus furtif est un système évolué assurant la détection de programmes
dangereux comme les programmes malveillants furtifs , qui sont à même de se cacher du
système d'exploitation. Ils sont donc impossibles à détecter avec les techniques de test
ordinaires.
AMSI
Permet à Microsoft Antimalware Scan Interface (AMSI) d'analyser les scripts Powershell exécutés
par Windows script Host.
178
Exclusions automatiques
Les développeurs d'applications serveur et de systèmes d'exploitation recommandent d'exclure de
l'analyse pour la recherche de logiciels malveillants les ensembles de fichiers et de dossiers de travail
critiques de bon nombre de leurs produits. Les analyses à la recherche de logiciels malveillants
peuvent avoir des répercussions négatives sur la performance d'un serveur, ce qui peut générer des
conflits et même empêcher certaines applications d'être exécutées sur le serveur. Les exclusions
aident à minimiser le risque de conflits potentiels et augmentent la performance globale du serveur
sur lequel s'exécute une solution de protection contre les logiciels malveillants. Consultez la liste
complète des fichiers exclus de la recherche de produits du serveur ESET.
ESET Mail Security identifie les applications serveur critiques et les fichiers du système d'exploitation
du serveur et les ajoute automatiquement à la liste d'Exclusions. Toutes les exclusions automatiques
sont activées par défaut. Vous pouvez désactiver/activer les exclusions d'applications de chaque
serveur en utilisant la barre de défilement pour obtenir les résultats suivants :
• Lorsque ce paramètre est activé, tous les fichiers et les dossiers critiques sont ajoutés à la
liste des fichiers exclus de l'analyse. Chaque fois que le serveur est redémarré, le système
effectue une vérification automatique des exclusions et met à jour la liste s'il y a eu des
changements dans le système ou les applications (par exemple, lorsqu'une nouvelle application
serveur a été installée). Ce paramètre garantit que les exclusions automatiques recommandées
sont toujours appliquées.
• Lorsqu'il est désactivé, les fichiers et les dossiers automatiquement exclus sont retirés de la
liste. Les exclusions définies par l'utilisateur et saisies manuellement ne seront pas affectées.
Les exclusions automatiques pour les serveurs Exchange sont basées sur les recommandations de
Microsoft. ESET Mail Security n'applique que les exclusions de répertoire/dossier (les exclusions de
processus et les exclusions d'extension de nom de fichier ne sont pas appliquées). Consultez les
articles de la Base de connaissances Microsoft suivants pour plus de détails :
• Recommandations d'analyse de virus pour les ordinateurs d'entreprise qui exécutent
actuellement des versions de Windows qui sont prises en charge
• Dépannage pour un ordinateur Exchange Server sur lequel un logiciel antivirus est installé
• Analyse antivirus au niveau du fichier sur Exchange 2007
• Analyse antivirus au niveau du fichier sur Exchange 2010
• Logiciel antivirus dans le système d'exploitation sur les Exchange Servers (Exchange 2013)
• Exécution du logiciel antivirus Windows sur les serveurs Exchange 2016
REMARQUE
Il existe également des exclusions de fichiers de base de données Exchange pour les bases de
données active et passive du DAG (groupe de disponibilité de la base de données) hébergées sur
le serveur local. La liste des exclusions automatiques est mise à jour toutes les 30 minutes. Si un
nouveau fichier de base de données Exchange est créé, il est automatiquement exclu, quel que
soit son état, qu'il soit actif ou passif.
Pour identifier et générer des exclusions automatiques, ESET Mail Security utilise une application
dédiée eAutoExclusions.exe, située dans le dossier d'installation. Aucune action de votre part n'est
nécessaire, mais vous pouvez utiliser la ligne de commande pour répertorier les applications serveur
détectées sur votre système en exécutant eAutoExclusions.exe -servers. Pour afficher la syntaxe
complète, utilisez eAutoExclusions.exe -?.
179
Cache local partagé
La mémoire cache locale partagée d'ESET permet d'améliorer les performances dans les
environnements virtualisés en éliminant l'analyse en double sur le réseau. Cela garantit que chaque
fichier est analysé une seule fois et stocké dans la mémoire cache partagée. Activez le commutateur
Option de mise en cache pour enregistrer les renseignements sur l'analyse des fichiers et des
dossiers de votre réseau dans la mémoire cache locale. Si vous effectuez une nouvelle analyse, ESET
Mail Security recherchera les fichiers analysés qui sont dans la cache. Si des fichiers sont identiques,
ils seront exclus de l'analyse.
La configuration du serveur cache contient les options suivantes :
• Nom d'hôte - Nom ou adresse IP de l'ordinateur où se trouve la mémoire cache.
• Port - Numéro du port utilisé pour la communication (le même que celui défini dans la
mémoire cache locale partagée).
• Mot de passe - Indiquez le mot de passe de la mémoire cache locale partagée si nécessaire.
Une infiltration est détectée
Des infiltrations peuvent utiliser différents points d'entrée pour attaquer votre système, comme les
pages Web, dossiers partagés, courriel ou périphériques amovibles (USB, disques externes, CD, DVD,
disquettes, etc.).
Comportement normal
À titre d'exemple général de la façon dont les infiltrations sont traitées par ESET Mail Security, elles
peuvent notamment être détectées en utilisant :
• Protection en temps réel du système de fichier
• Protection de l'accès Web
• Protection du client de messagerie
• Analyse de l'ordinateur à la demande
Chacun de ces modules utilise le niveau de nettoyage standard et tentera de nettoyer le fichier et de
le mettre en Quarantaine ou de mettre fin à la connexion. Une fenêtre de notification s'affiche dans la
zone de notification, dans le coin inférieur droit de l'écran. Pour plus d'information sur les niveaux de
nettoyage et le comportement, consultez la rubrique Nettoyage.
Nettoyage et suppression
Si aucune action n'est prédéfinie pour la protection en temps réel, vous serez invité à sélectionner
une option dans une fenêtre d'avertissement. Les options Nettoyer, Supprimer et Aucune action
sont généralement disponibles. Sélectionner Aucune action n'est pas recommandé puisque cela ne
nettoiera pas les fichiers infectés. La seule exception concerne les situations où vous êtes sûr que le
fichier est inoffensif et a été détecté par erreur.
Utilisez le nettoyage si un fichier a été attaqué par un virus qui y a joint du code malveillant. Dans ce
cas, tentez d'abord de nettoyer le fichier infecté pour le restaurer à son état d'origine. Si le fichier se
compose uniquement de code malveillant, il sera alors supprimé.
Si un fichier infecté est « verrouillé » ou utilisé par un processus du système, il ne sera généralement
supprimé qu'après avoir été déverrouillé (le plus souvent, après un redémarrage du système).
180
Menaces multiples
Si aucun des fichiers infectés n'a été nettoyé pendant l'analyse de l'ordinateur (ou le Niveau de
nettoyage a été défini à Aucun nettoyage), une fenêtre d'alerte vous invitant à choisir des actions
pour ces fichiers s'affichera. Sélectionnez une action individuelle pour chaque menace dans la liste ou
utilisez Sélectionner une action applicable à toutes les menaces dans la liste et sélectionnez
l'action à appliquer à toutes les menaces dans la liste, puis cliquez sur Terminer.
Suppression de fichiers dans les archives
En mode de nettoyage par défaut, l'archive entière n'est supprimée que si elle ne contient que des
fichiers infectés et aucun fichier sain. Autrement dit, les archives ne sont pas supprimées si elles
contiennent aussi des fichiers sains. Soyez cependant prudent si vous choisissez un nettoyage strict :
dans ce mode, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état
des autres fichiers qu'elle contient.
Protection en temps réel du système de fichiers
La protection en temps réel du système de fichier contrôle tous les événements liés aux logiciels
malveillants dans le système. Elle analyse tous les fichiers à la recherche de programmes malveillants
au moment de l'ouverture, de la création ou de l'exécution de ces fichiers sur l'ordinateur. Par défaut,
la protection en temps réel du système de fichier est lancée au démarrage du système d'exploitation
et assure une analyse ininterrompue. Dans des cas particuliers (par exemple, s'il y a un conflit avec
un autre analyseur en temps réel), la protection en temps réel peut être désactivée en
désélectionnant Lancer automatiquement la protection en temps réel du système de fichier
dans la section Configuration avancée (F5) sous Protection en temps réel du système de
fichier > Général.
Supports à analyser
Par défaut, tous les types de support sont analysés pour y détecter la présence potentielle de
menaces :
• Disques locaux - Contrôle tous les disques durs du système.
• Supports amovibles - Contrôle les CD/DVD, les périphériques de stockage USB, les
périphériques Bluetooth, etc.
• Lecteurs réseau - Analyse tous les disques mappés.
Nous vous recommandons de ne modifier les paramètres par défaut que dans des cas particuliers, par
exemple lorsque l'analyse de certains supports ralentit de manière significative les transferts de
données.
Date de l'analyse
Par défaut, tous les fichiers sont analysés lorsqu'ils sont ouverts, exécutés ou créés. Il est
recommandé de conserver ces paramètres par défaut, car ils offrent le niveau maximum de
protection en temps réel pour votre ordinateur :
• Ouverture de fichier - Analyse lors de l'ouverture ou de l'accès aux fichiers.
• Création de fichier - Analyse lors de la création ou de la modification des fichiers.
• Exécution de fichier - Analyse lors de l'exécution des fichiers.
• Accès au support amovible : Analyse lors de l'accès au support amovible. Lorsqu'un
support amovible contenant un secteur de démarrage est inséré dans le périphérique, le
181
secteur de démarrage est immédiatement analysé. Cette option n'active pas l'analyse des
fichiers de supports amovibles. L'analyse des fichiers de supports amovibles se trouve dans
Médias à analyser > Supports amovibles. Pour que l'accès au secteur de démarrage des
supports amovibles fonctionne correctement, conservez l'option Secteurs de
démarrage/UEFI activée dans les paramètres de ThreatSense.
Exclusions de processus
L'exclusion des processus vous permettent d'exclure des processus précis. Par exemple, les
processus de solution de sauvegarde : toutes les opérations fichier attribuées à des processus qui
sont exclus sont ignorées et considérées comme sûrs, ce qui réduit l'interférence avec le
processus de sauvegarde.
paramètres ThreatSense
La protection en temps réel du système de fichier vérifie tous les types de support et est
déclenchée par différents événements comme l'accès à un fichier. La protection en temps réel du
système de fichier peut être configurée pour traiter différemment les fichiers nouvellement créés
et les fichiers existants. Par exemple, vous pouvez configurer la protection en temps réel du
système de fichier afin qu'elle surveille plus attentivement les fichiers nouvellement créés.
Pour assurer le minimum d'empreinte système lorsque la protection en temps réel est utilisée, les
fichiers ayant déjà été analysés ne seront pas analysés de nouveau (à moins qu'ils aient été
modifiés). Les fichiers seront cependant immédiatement réanalysés après chaque mise à jour de
la base de données du moteur de détection. Ce comportement est contrôlé grâce à
l'Optimisation intelligente. Si la fonction Optimisation intelligente est désactivée, tous les
fichiers sont analysés chaque fois que l'ordinateur y accède. Pour modifier ce paramètre, appuyez
sur F5 pour ouvrir la fenêtre Configuration avancée, puis agrandissez Ordinateur >
Protection en temps réel du système de fichiers. Cliquez sur Paramètres de ThreatSense >
Autre et sélectionnez ou désélectionnez Activer l'optimisation intelligente.
Autres ThreatSense paramètres
Vous pouvez modifier les options détaillées des paramètres ThreatSense supplémentaires
pour les fichiers nouvellement créés et modifiés ou des paramètres supplémentaires
ThreatSense pour les fichiers exécutés.
Paramètres ThreatSense
ThreatSense est une technologie composée de nombreuses méthodes de détection de menaces
complexes. Cette technologie proactive fournit également une protection durant les premières heures
de propagation d'une nouvelle menace. Elle utilise une combinaison d'analyse de code, d'émulation
de code, de signatures génériques et de signatures de virus qui se conjuguent pour améliorer
sensiblement la sécurité du système. Ce moteur d'analyse est capable de contrôler simultanément
plusieurs flux de données, maximisant ainsi l'efficacité et le taux de détection. La technologie
ThreatSense élimine également les rootkits.
REMARQUE
Pour en savoir plus sur la vérification automatique des fichiers de démarrage, voir Analyse au
démarrage.
Les options de configuration du moteur ThreatSense permettent également de préciser plusieurs
182
paramètres d'analyse :
• Les types de fichiers et extensions à analyser
• La combinaison de plusieurs méthodes de détection
• les niveaux de nettoyage, etc.
Pour ouvrir la fenêtre de configuration, cliquez sur Configuration des paramètres du moteur
ThreatSense dans la fenêtre de configuration avancée (F5) de tout module utilisant la
technologie ThreatSense (voir ci-dessous). Chaque scénario de sécurité peut exiger une configuration
différente. Sachant cela, ThreatSense peut être configuré individuellement pour les modules de
protection suivants :
• Protection du transport de messagerie
• Protection de la base de données de la boîte de courriel à la demande
• Protection de la base de données de messagerie
• Analyse Hyper-V
• Protection en temps réel du système de fichier
• Analyses de logiciels malveillants
• Analyse en état inactif
• Analyse au démarrage
• Protection des documents
• Protection du client de messagerie
• Protection de l'accès Web
ThreatSenseles paramètres sont hautement optimisés pour chaque module et leur modification peut
avoir d'importantes répercussions sur le fonctionnement du système. Par exemple, en modifiant les
paramètres pour toujours analyser les logiciels de compression exécutables ou pour autoriser les
heuristiques avancées dans la protection en temps réel du système de fichier, vous pouvez diminuer
les performances du système (normalement, seuls les fichiers nouvellement créés sont analysés par
ces méthodes). Il est recommandé de laisser inchangés les paramètres par défaut de ThreatSense
pour tous les modules, à l'exception du module Analyse de l'ordinateur.
Objets à analyser
183
Cette section vous permet de définir quels éléments et
fichiers de l'ordinateur seront analysés à la recherche
d'infiltrations.
Mémoire vive
Analyse à la recherche des menaces qui s'attaquent à la mémoire vive du système.
Secteurs d'amorçage/UEFI
Analyse les secteurs d'amorçage pour détecter la présence de virus dans le MBR (enregistrement
d'amorçage maître). Dans le cas d'une machine virtuelle Hyper-V, son disque MBR est analysé en
mode lecture seulement.
Fichiers de courriel
Le programme prend en charge les extensions suivantes : DBX (Outlook Express) et EML.
Archives
Le programme prend en charge les extensions suivantes : ARJ, BZ2, CAB, CHM, DBX, GZIP,
ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE et beaucoup d'autres.
Archives à extraction automatique
Les archives auto-extractibles (SFX) n'ont pas besoin de programmes spécialisés (archiveurs) pour
être décompressés.
Fichiers exécutables compressés par un compresseur d'exécutables
Après l'exécution, les logiciels de compression exécutables (contrairement aux archiveurs standard)
se décompressent dans la mémoire. En plus des logiciels de compression statiques standard (UPX,
yoda, ASPack, FSG, etc.), l'analyseur est capable de reconnaitre plusieurs autres types de logiciels de
compression grâce à l'émulation de code.
REMARQUE
Pour la protection de la base de données de la boite de courriels, les fichiers courriels en pièce
jointe (par exemple .eml files) seront analysés, peu importe le réglage sous Objets à analyser.
Cela est dû au fait que le serveur Exchange analyse les fichiers .eml avant de les envoyer pour
analyse à ESET Mail Security. Le module d'extension VSAPI reçoit les fichiers extraits de la pièce
jointe .eml au lieu de recevoir le fichier original .eml.
Options d'analyse
Sélectionnez les méthodes utilisées lors de l'analyse du
système à la recherche d'infiltrations. Les options suivantes
sont disponibles :
Heuristique
La méthode heuristique utilise un algorithme d'analyse de l'activité (malveillante) des programmes.
Le principal avantage de cette technologie est sa capacité à identifier des logiciels malveillants qui
n'existaient pas ou n'étaient pas inscrits dans le moteur de détection antérieur.
Heuristique avancée/Signatures DNA
La méthode heuristique avancée utilise un algorithme heuristique développé par ESET, optimisé pour
la détection des vers d'ordinateur et des chevaux de Troie, et écrit dans un langage de
programmation de haut niveau. L'utilisation de l'heuristique avancée augmente considérablement les
capacités de détection de menaces des produits ESET. Les signatures permettent de détecter et
d'identifier les virus de façon fiable. Grâce au système de mise à jour automatique, de nouvelles
signatures peuvent être disponibles dans les quelques heures de la découverte d'une menace.
L'inconvénient des signatures est qu'elles ne détectent que les virus qu'elles connaissent (ou une
version légèrement modifiée de ces virus).
Nettoyage
184
Les paramètres de nettoyage déterminent le comportement de l'analyseur lors du nettoyage des
fichiers infectés. Trois niveaux de nettoyage sont possibles :
Pas de nettoyage
Les fichiers infectés ne seront pas nettoyés automatiquement. Le programme affiche alors une
fenêtre d'avertissement et laisse l'utilisateur choisir une action. Ce niveau est conçu pour les
utilisateurs expérimentés qui savent quoi faire avec chaque type d'infiltrations.
Nettoyage normal
Le programme tente de nettoyer ou de supprimer automatiquement tout fichier infecté sur la base
d'une action prédéfinie (selon le type d'infiltration). La détection et la suppression d'un fichier infecté
sont signalées par une notification affichée dans le coin inférieur droit de l'écran. S'il n'est pas
possible de sélectionner automatiquement l'action appropriée, le programme proposera d'autres
actions de suivi. La même chose se produit lorsqu'une action prédéfinie n'a pas pu être menée à
bien.
Nettoyage strict
Le programme nettoie ou supprime tous les fichiers infectés (y compris les archives). Les seules
exceptions sont les fichiers système. S'il est impossible de nettoyer un fichier, l'utilisateur devra
préciser le type d'actions à entreprendre.
AVERTISSEMENT
Si une archive contient un ou plusieurs fichiers infectés, elle peut être traitée de deux façons
différentes. En mode par défaut, Nettoyage normal, toute l'archive sera supprimée si tous ses
fichiers sont infectés. En mode Nettoyage strict, l'archive sera supprimée si elle contient au
moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient.
IMPORTANT
Si l'hôte Hyper-V s'exécute sur Windows Server 2008 R2 SP1, Nettoyage normal et Nettoyage
strict ne sont pas pris en charge. L'analyse des disques de la machine virtuelle s'effectue en
mode de lecture seule, sans aucun nettoyage. Sans égard au niveau de nettoyage sélectionné,
l'analyse est toujours effectuée en mode de lecture seule.
Exclusions
185
L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du
fichier. Cette section du réglage des paramètres ThreatSense vous permet de définir les types de
fichiers à exclure de l'analyse.
Autre
Au moment de configurer les paramètres du moteur ThreatSense pour une analyse de l'ordinateur à
la demande, les options suivantes dans Autres seront aussi offertes :
Analyser les flux de données alternatifs (ADS)
Les flux de données alternatifs (ADS) utilisés par le système de fichiers NTFS sont des associations de
fichiers et de dossiers que les techniques d'analyse ordinaires ne permettent pas de détecter. De
nombreuses infiltrations tentent d'éviter la détection en se faisant passer pour des flux de données
alternatifs.
Exécuter les analyses en arrière-plan avec une priorité faible
Toute séquence d'analyse consomme une certaine quantité de ressources système. Si vous utilisez
des programmes qui exigent beaucoup de ressources du système, vous pouvez activer l'analyse en
arrière-plan à faible priorité de manière à réserver des ressources pour vos applications.
Consigner tous les objets
Si cette option est sélectionnée, le fichier journal affiche tous les fichiers analysés, même ceux qui ne
sont pas infectés.
Activer l'optimisation intelligente
Lorsque la fonction Optimisation intelligente est activée, les paramètres les plus optimaux sont
utilisés pour assurer le niveau d'analyse le plus efficient tout en conservant la vitesse d'analyse la
plus élevée. Les différents modules de protection effectuent une analyse intelligente, utilisant pour
ce faire différentes méthodes d'analyse et les appliquant à différents types de fichier. Si
l'optimisation intelligente est activée, seuls les paramètres définis par l'utilisateur dans le cœur
ThreatSense du module spécifique seront appliqués lors de l'analyse.
Conserver la date et l'heure du dernier accès
Activez cette option pour conserver la date et l'heure d'accès d'origine des fichiers analysés au lieu
de la mettre à jour (par ex., pour l'utiliser avec des systèmes de sauvegarde de données).
Limites
186
La section Limites permet de préciser la taille maximale des objets et les niveaux d'imbrication des
archives à analyser :
Paramètres par défaut de l'objet
Activer pour utiliser les paramètres par défaut (aucune limite). ESET Mail Security ignorera vos
paramètres personnalisés.
Taille d'objet maximale
Définit la taille maximale des objets à analyser. Le module de protection donné n'analysera alors que
les objets dont la taille est inférieure à celle indiquée. Cette option ne devrait être modifiée que par
des utilisateurs expérimentés ayant des raisons précises d'exclure de l'analyse des objets de plus
grande taille. Valeur par défaut : illimitée.
Durée d'analyse maximale pour l'objet (en secondes)
Précise la valeur de temps maximale pour l'analyse d'un objet. Si la valeur de ce champ a été définie
par l'utilisateur, le module de protection cessera d'analyser un objet une fois ce temps écoulé, que
l'analyse soit terminée ou non. Valeur par défaut : illimitée.
Configuration de l'analyse des archives
Pour modifier les paramètres d'analyse des archives, désélectionnez Paramètres d'analyse
d'archive par défaut.
Niveau d'imbrication des archives
Précise la profondeur maximale de l'analyse des archives. Valeur par défaut : 10. Pour les objets
détectés par la Protection du transport de la boîte de courriel, le niveau d'imbrication actuel est de
+1, car les pièces jointes d'archive contenues dans un courriel sont considérées comme étant de
premier niveau.
EXEMPLE
Si vous avez un niveau d'imbrication réglé sur 3, un fichier d'archive avec un niveau d'imbrication
de 3 ne sera analysé que sur une couche de transport jusqu'à son niveau réel qui est 2. Par
conséquent, si vous souhaitez que les archives soient analysées par la protection de transport de
la boîte de courriels jusqu'au niveau 3, réglez la valeur de Niveau d'imbrication d'archive à 4.
Taille maximale de fichier dans l'archive
Cette option permet de préciser la taille maximale des fichiers (lors de leur extraction) à analyser,
contenus dans les archives. Valeur par défaut : Illimité
REMARQUE
Il n'est pas recommandé de modifier les valeurs par défaut. Dans des circonstances normales, il
n'y a aucune raison de le faire.
Autres ThreatSense paramètres
Autres paramètres de ThreatSense pour les fichiers nouvellement créés et modifiés
La probabilité qu'un fichier nouvellement créé ou modifié soit infecté est plus grande
comparativement aux fichiers existants. C'est pour cette raison que le programme utilise des
paramètres d'analyse supplémentaires pour vérifier ces fichiers. Outre les méthodes d'analyse
basées sur les signatures, les heuristiques avancées sont aussi utilisées, ce qui permet de
détecter les nouvelles menaces avant la diffusion de la mise à jour du module. En plus des fichiers
nouvellement créés, l'analyse est aussi effectuée sur les fichiers autoextractibles (.sfx) et les
logiciels de compression exécutables (fichiers exécutables compressés internes). Par défaut, les
archives sont analysées jusqu'au 10e niveau d'imbrication et vérifiées indépendamment de leur
taille réelle. Désactivez l'option Paramètres d'analyse d'archive par défaut pour modifier les
paramètres d'analyse de l'archive.
Autres paramètres de ThreatSense pour les fichiers exécutés
Par défaut, les heuristiques avancées sont utilisées lorsque des fichiers sont exécutés. Lorsque
cette option est activée, nous vous recommandons fortement de conserver l'optimisation
187
intelligente et ESET LiveGrid® activés afin de réduire l'incidence sur la performance du système.
Extensions de fichier exclues de l'analyse
Une extension est la partie d'un nom de fichier délimitée par un point. L'extension définit le type d'un
fichier. Normalement, tous les fichiers sont analysés. Toutefois, si vous devez exclure des fichiers
avec une extension spécifique, la configuration des paramètres de ThreatSense vous permet
d'exclure les fichiers de l'analyse en fonction de leur extension. L'exclusion peut être utile si l'analyse
de certains types de fichiers empêche le bon fonctionnement d'une application.
EXEMPLE
Pour ajouter une nouvelle extension à la liste, cliquez sur Ajouter. Tapez l'extension dans le
champ de texte (par exemple, tmp) et cliquez sur OK. Lorsque vous sélectionnez Saisir
plusieurs valeurs, vous pouvez ajouter plusieurs extensions de fichier délimitées par des lignes,
des virgules ou des points-virgules (par exemple, choisissez Point-virgule dans le menu
déroulant en tant que séparateur et tapez edb;eml;tmp).
Vous pouvez utiliser un symbole spécial ? (point d'interrogation). Le point d'interrogation
représente n'importe quel symbole (par exemple ?db).
REMARQUE
Pour afficher l'extension (type de fichier) de tous les fichiers d'un système d'exploitation
Windows, désélectionnez Masquer les extensions pour les types de fichiers connus dans
Panneau de configuration > Options de dossier > Affichage.
Exclusions de processus
La fonctionnalité d'exclusions de processus vous permet d'exclure des processus précis de l'analyse à
l'accès de l'antivirus seulement. En raison du rôle essentiel des serveurs dédiés (serveur de
l'application, serveur de stockage, etc.), les sauvegardes régulières sont obligatoires pour assurer la
récupération en temps opportun des incidents, quels qu'ils soient. Afin d'améliorer la vitesse de
sauvegarde, l'intégrité du processus et la disponibilité du service, certaines techniques reconnues
pour entrer en conflit avec la protection contre les logiciels malveillants au niveau des fichiers sont
utilisées pendant la sauvegarde. Des problèmes similaires peuvent survenir lors des tentatives de
migration des machines virtuelles en direct. Le seul moyen efficace pour éviter de tomber dans ces
deux situations est de désactiver le logiciel contre les logiciels malveillants. L'exclusion de processus
précis (par exemple les processus relatifs à la solution de sauvegarde) permet d'ignorer et de
considérer comme fiables toutes les opérations sur les fichiers attribuées à de tels processus exclus,
ce qui réduit l'interférence sur le processus de sauvegarde. Nous vous recommandons de faire preuve
de prudence lors de la création d'exclusions - un outil de sauvegarde qui a été exclu peut accéder aux
fichiers infectés sans déclencher une alerte. Pour cette raison, les permissions élargies ne sont
accordées que dans le module de protection en temps réel.
La fonctionnalité d'exclusion des processus aide à minimiser le risque de conflits potentiels et
améliore la performance des applications exclues, ce qui a par la suite un effet positif sur la
performance générale et la stabilité du système d'exploitation. L'exclusion d'un processus ou d'une
application est une exclusion de son fichier exécutable (.exe).
Vous pouvez ajouter des fichiers exécutables dans la liste des processus exclus en utilisant
Configuration avancée (F5) > Ordinateur > Protection en temps réel du système de fichiers
> Basique > Exclusions des processus ou en utilisant la liste des processus en cours d'exécution
à partir du menu principal Outils > Processus en cours d'exécution.
188
Cette fonctionnalité a été conçue pour exclure les outils de sauvegarde. L'exclusion des outils de
sauvegarde du processus d'analyse garantit non seulement la stabilité du système, mais aussi permet
de ne pas affecter les performances de la sauvegarde, car la sauvegarde n'est pas ralentie pendant
son exécution.
EXEMPLE
Cliquez sur Modifier pour ouvrir la fenêtre de gestion Exclusions des processus où vous
pouvez Ajouter des exclusions et rechercher un fichier exécutable (par exemple, Backuptool.exe), qui sera exclu de l'analyse.
Dès que le fichier .exe est ajouté aux exclusions, l'activité de ce processus n'est pas surveillée par
ESET Mail Security et aucune analyse n'est exécutée sur les opérations de fichiers effectuées par
ce processus.
IMPORTANT
Si vous n'utilisez pas la fonction de navigation lorsque vous sélectionnez un exécutable de
processus, vous devez entrer manuellement un chemin d'accès complet à l'exécutable. Sinon,
l'exclusion ne fonctionnera pas correctement et HIPS peut signaler des erreurs.
Vous pouvez également modifier les processus existants ou les supprimer des exclusions.
REMARQUE
Par exemple, comme la protection de l'accès Web ne tient pas compte cette exclusion, les fichiers
téléchargés sont quand même analysés si vous excluez le fichier exécutable de votre navigateur
Web. De cette façon, une infiltration peut encore être détectée. Ce scénario est offert à titre
d'exemple seulement. Il n'est pas recommandé de créer des exclusions pour les navigateurs Web.
Protection basée sur le nuage
ESET LiveGrid® est un système avancé d'avertissement anticipé composé de plusieurs technologies
basées sur le nuage. Il permet de détecter les menaces émergentes selon la réputation et améliore
l'efficacité de l'analyse grâce à des listes blanches. La diffusion en temps réel de l'information liée aux
menaces à partir du nuage permet aux laboratoires de recherche sur les logiciels malveillants ESET
de fournir une réponse rapide et une protection uniforme en tout temps. Les utilisateurs peuvent
vérifier la réputation du processus en cours d'exécution et des fichiers directement à partir de
l'interface du programme ou du menu contextuel avec des informations supplémentaires disponibles
à partir de ESET LiveGrid®.
Lors de l'installation de ESET Mail Security, sélectionnez l'une des options suivantes :
189
• Vous pouvez décider de ne pas activer ESET LiveGrid®. Votre logiciel ne perdra aucune
fonctionnalité, mais pourra, dans certains cas, ESET Mail Security répondre plus rapidement aux
nouvelles menaces que la mise à jour de la base de données du moteur de détection.
• Vous pouvez configurer ESET LiveGrid® pour qu'il envoie des données anonymes concernant
de nouvelles menaces et l'endroit où se trouve le code menaçant. Ce fichier peut être envoyé à
ESET pour une analyse détaillée. En étudiant ces menaces, ESET améliore sa capacité à
détecter les menaces.
Le système ESET LiveGrid® recueille sur votre ordinateur des données concernant de nouvelles
menaces détectées. Ces données comprennent un échantillon ou une copie du fichier dans lequel la
menace est apparue, le chemin du fichier, le nom du fichier, la date et l'heure, le processus par lequel
la menace est apparue sur votre ordinateur et de l'information sur le système d'exploitation de votre
ordinateur.
Par défaut, ESET Mail Security est configuré pour envoyer les fichiers suspects aux laboratoires de
virus d'ESET pour analyse. Les fichiers portant certaines extensions comme .docx ou .xlsx sont
toujours exclus. Vous pouvez aussi ajouter d'autres extensions à la liste d'exclusion, dont vous ou
votre organisation souhaitez éviter l'envoi.
Activer le système de réputation d'ESET LiveGrid® (recommandé)
Le système de réputation d'ESET LiveGrid® améliore l'efficacité des solutions de protection
contre les logiciels malveillants d'ESET en comparant les fichiers analysés à une base de données
d'éléments d'une liste blanche et d'une liste noire dans le nuage.
Activer le système de rétroaction d'ESET LiveGrid®
Les données seront envoyées au laboratoire de recherche d'ESET pour fins d'analyses plus
approfondies.
Envoyer les rapports de plantage et les données de diagnostic
Soumettre des données comme les rapports de plantage, les modules ou les vidages de mémoire.
Soumettre des statistiques anonymes
Autorise ESET à collecter des renseignements sur les menaces nouvellement détectées tels que le
nom de la menace, la date et l'heure de la détection, la méthode et les métadonnées associées à
la détection, les fichiers analysés (le hachage, le nom de fichier, l'origine du fichier, les données
de télémétrie) les URL bloquées et suspicieuses la version du produit et sa configuration y
compris les renseignements sur votre système.
Adresse courriel du contact (facultative)
Votre adresse électronique de contact peut être incluse avec tous les fichiers suspects et peut
être utilisée pour vous contacter si des informations complémentaires sont nécessaires pour
l'analyse. Veuillez noter que vous ne recevrez pas de réponse d'ESET à moins que des
informations complémentaires ne soient nécessaires.
Envoi d'échantillons
190
Envoi automatique des échantillons infectés
Cela enverra tous les échantillons infectés à ESET pour analyse dans le but d'améliorer la détection à
l'avenir.
• Tous les échantillons infectés
• Tous les échantillons à l'exception des documents
• Ne pas envoyer
Envoi automatique des échantillons suspects
Les fichiers suspects ressemblant à des menaces et/ou des échantillons ayant des caractéristiques
ou un comportement inhabituels sont envoyés à ESET pour analyse.
• Fichiers exécutables : Comprend les fichiers exécutables suivants : .exe, .dll, .sys
• Archives - Comprend les types de fichiers d'archive suivants : .zip, .rar, .7z, .arch, .arj, .bzip2,
.gzip, .ace, .arc, .cab
• Scripts - Comprend les types de fichiers de script suivants : .bat, .cmd, .hta, .js, .vbs, .js, .ps1
• Autres - Comprend les types de fichiers suivants : .jar, .reg, .msi, .swf, .lnk
• Pourriels éventuels - Améliore la détection des pourriels à l'échelle mondiale.
• Documents - Comprend les documents Microsoft Office ou les fichiers PDF avec du contenu actif
Exclusions
L'option Modifier située à côté de l'élément Exclusions dans ESET LiveGrid® vous permet de
configurer la façon dont les menaces sont envoyées aux laboratoires ESET Virus Labs pour analyse.
Taille maximale de l'échantillon (Mo)
Définit la taille maximale des échantillons à analyser.
ESET Dynamic Threat Defense
Pour activer le service ESET Dynamic Threat Defense sur une machine cliente utilisant ESMC Web
Console. Dans ESET Security Management Center Web Console créez une nouvelle politique ou
modifiez une politique existante et affectez-la aux machines sur lesquelles vous souhaitez utiliser
ESET Dynamic Threat Defense.
Filtre d'exclusion
Le filtre Exclusion permet d'exclure certains fichiers/dossiers de l'envoi (par exemple, il peut être utile
d'exclure les fichiers contenant des renseignements confidentiels, comme des documents ou des
feuilles de calcul). Les fichiers de la liste ne seront jamais envoyés aux laboratoires ESET pour
analyse, même s'ils contiennent du code suspect. Les types de fichiers les plus courants sont exclus
par défaut (.doc, etc.). Vous pouvez ajouter des fichiers à cette liste, au besoin.
191
Si vous avez déjà utilisé le système ESET LiveGrid® et l'avez désactivé, il est possible qu'il reste des
paquets de données à envoyer. Même après la désactivation, de tels paquets seront envoyés à ESET.
Une fois toutes les données actuelles envoyées, aucun autre paquet ne sera créé.
Si vous trouvez un fichier suspect, vous pouvez l'envoyer à nos laboratoires ThreatLabs pour analyse.
S'il contient une application malveillante, il sera ajouté à la prochaine mise à jour du module de
détection.
Analyses de logiciels malveillants
Cette section fournit des options pour sélectionner les paramètres d'analyse.
REMARQUE
Ce sélecteur de profil d'analyse s'applique à l'analyse de l'ordinateur à la demande et à
l'analyse Hyper-V.
192
Profil sélectionné
Un ensemble particulier de paramètres utilisés par l'analyseur à la demande. Vous pouvez utiliser
l'un des profils de numérisation prédéfinis ou créer un nouveau profil. Les profils de numérisation
utilisent différents paramètres moteur de ThreatSense.
Liste des profils
Pour créer un nouveau profil, cliquez sur Modifier. Tapez le nom du profil et cliquez sur Ajouter.
Le nouveau profil s'affiche dans le menu déroulant Profil sélectionné qui répertorie les profils
d'analyse existants.
Cibles à analyser
Pour analyser qu'une cible en particulier, cliquez sur Modifier et choisissez une option dans le
menu déroulant ou choisissez des cibles spécifiques dans la structure des dossiers
(arborescence).
paramètres ThreatSense
Modifiez les paramètres d'analyse pour l'analyseur de l'ordinateur à la demande.
Protection à la demande et apprentissage machine
Le signalement est effectué par le moteur de détection et le composant d'apprentissage machine.
La fenêtre contextuelle Analyse Hyper-V :
Le menu déroulant Cibles d'analyse pour Hyper-V permet de sélectionner des cibles prédéfinies à
analyser :
193
Par paramètres de profil
Sélectionne les cibles dans le profil d'analyse sélectionné.
Toutes les machines virtuelles Sélectionne toutes les machines virtuelles.
Machines virtuelles allumées Sélectionne toutes les machines virtuelles en ligne.
Machines virtuelles éteintes
Sélectionne toutes les machines virtuelles hors ligne.
Aucune sélection
Annule toutes les sélections.
Cliquez sur Analyse pour exécuter l'analyse avec les paramètres personnalisés que vous avez
définis. Une fois toutes les analyses terminées, cochez la case Fichiers journaux > Analyse Hyper-V
Gestionnaire de profils
Le menu déroulant Profil d'analyse vous permet de sélectionner des profils d'analyse prédéfinis.
• Analyse intelligente
• Analyse par menu contextuel
• Analyse détaillée
• Mon profil (s'applique à Analyse Hyper-V, Mettre à jour les profiles)
Pour vous aider à créer un profil d'analyse répondant à vos besoins, consultez la rubrique
Configuration du moteur ThreatSense pour une description de chacun des paramètres de
configuration de l'analyse.
Le gestionnaire de profils est utilisé à trois endroits dans ESET Mail Security.
Analyse de l'ordinateur à la demande
Vos paramètres d'analyse préférés peuvent être enregistrés pour analyse future. Nous vous
recommandons de créer un profil différent (avec différentes cibles et méthodes ainsi que d'autres
paramètres d'analyse) pour chacune des analyses utilisées régulièrement.
Mettre à jour
L'éditeur de profils permet aux utilisateurs de créer de nouveaux profils de mise à jour. Il est
nécessaire de créer des profils de mise à jour personnalisés seulement si votre ordinateur utilise
plusieurs moyens pour se connecter aux serveurs de mise à jour.
Analyse Hyper-V
Créez un nouveau profil, sélectionnez Modifier en regard de Liste des profils. Le nouveau profil
s'affiche dans le menu déroulant Profil sélectionné qui répertorie les profils de d'analyse
existants.
Cibles du profil
Vous pouvez spécifier ce qui sera analysé à la recherche des infiltrations. Choisissez des objets
(mémoire, secteurs de démarrage et UEFI, lecteurs, fichiers et dossiers ou réseau) dans
l'arborescence qui répertorie toutes les cibles disponibles sur votre système.
REMARQUE
Ce sélecteur de profil d'analyse s'applique à l'analyse de l'ordinateur à la demande et à
l'analyse Hyper-V.
194
Cliquez sur l'icône en forme de roue dentée dans le coin supérieur gauche pour accéder aux menus
déroulants Cibles d'analyse et Profils d'analyse.
Le menu déroulant Cibles d'analyse permet de sélectionner des cibles prédéfinies à analyser :
Par paramètres de profil Sélectionne les cibles dans le profil d'analyse sélectionné.
Supports amovibles
Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD.
Disques locaux
Sélectionne tous les disques durs du système.
Lecteurs réseau
Sélectionne tous les disques réseau mappés.
Dossiers partagés
Sélectionne tous les dossiers partagés sur le serveur local.
Sélection personnalisée Efface toutes les sélections. Une fois effacées, vous pouvez faire votre
sélection personnalisée.
Pour accéder rapidement à une cible d'analyse (fichier ou dossier) afin de l'inclure dans l'analyse,
entrez son chemin dans le champ de texte sous l'arborescence. La saisie du chemin est sensible à la
casse.
Le menu déroulant Profil d'analyse permet de sélectionner des profils d'analyse prédéfinis :
• Analyse intelligente
• Analyse par menu contextuel
• Analyse détaillée
Ces profils d'analyse utilisent différents paramètres du moteur ThreatSense.
Analyse sans nettoyage
Si vous ne voulez qu'analyser le système sans effectuer de nettoyage supplémentaire,
sélectionnez Analyser sans nettoyer. Cela est utile si vous ne voulez obtenir qu'un aperçu des
195
éléments infectés et obtenir des détails sur ces infections, le cas échéant. Vous pouvez choisir
parmi trois niveaux de nettoyage en cliquant sur Configuration > Paramètres ThreatSense >
Nettoyage. Les données de l'analyse sont enregistrées dans un journal d'analyse.
Ignorer les exclusions
Lorsque vous sélectionnez Ignorer les exclusions, l'analyse ignorera les exclusions qui
autrement s'appliqueraient.
Cibles à analyser
Si vous ne souhaitez analyser qu'une cible en particulier, vous pouvez utiliser Analyse
personnalisée et sélectionner une option dans le menu déroulant Cibles d'analyse ou choisir des
cibles spécifiques dans la structure des dossiers (arborescence).
Le sélecteur de profil de cibles d'analyse s'applique à :
• Analyse à la demande
• Analyse Hyper-V
Pour accéder rapidement à une cible d'analyse ou ajouter directement une nouvelle cible souhaitée
(dossier ou fichier), entrez-la dans le champ vide sous la liste de dossiers. Cela n'est possible que si
aucune cible n'a été sélectionnée dans l'arborescence et que le menu Cibles à analyser est défini à
Aucune sélection.
Le menu déroulant Cibles d'analyse permet de sélectionner des cibles prédéfinies à analyser :
Par paramètres de profil Sélectionne les cibles dans le profil d'analyse sélectionné.
Supports amovibles
196
Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD.
Par paramètres de profil Sélectionne les cibles dans le profil d'analyse sélectionné.
Disques locaux
Sélectionne tous les disques durs du système.
Lecteurs réseau
Sélectionne tous les disques réseau mappés.
Dossiers partagés
Sélectionne tous les dossiers partagés sur le serveur local.
Sélection personnalisée Efface toutes les sélections. Une fois effacées, vous pouvez faire votre
sélection personnalisée.
Vous pouvez choisir le profil à utiliser pour analyser les cibles visées dans le menu déroulant Profil
d'analyse. Le profil par défaut est Analyse intelligente. Il existe deux autres profils d'analyse
prédéfinis appelés Analyse approfondie et Analyse par menu contextuel. Ces profils d'analyse
utilisent différents paramètres du moteur ThreatSense.
Fenêtre contextuelle Analyse personnalisée :
Analyse sans nettoyage
Si vous ne voulez qu'analyser le système sans effectuer de nettoyage supplémentaire,
sélectionnez Analyser sans nettoyer. Cela est utile si vous ne voulez obtenir qu'un aperçu des
éléments infectés et obtenir des détails sur ces infections, le cas échéant. Vous pouvez choisir
parmi trois niveaux de nettoyage en cliquant sur Configuration > Paramètres ThreatSense >
Nettoyage. Les données de l'analyse sont enregistrées dans un journal d'analyse.
Ignorer les exclusions
Vous pouvez effectuer une analyse en ignorant les exclusions qui autrement s'appliqueraient.
Analyser
Pour exécuter l'analyse avec les paramètres personnalisés que vous avez définis.
197
Analyser en tant qu'administrateur
L'option Analyser en tant qu'administrateur permet d'exécuter l'analyse avec le compte
d'administrateur. Cliquez sur cette option si l'utilisateur actuel n'a pas les privilèges requis pour
accéder aux fichiers appropriés devant être analysés. À noter que ce bouton n'est pas disponible
si l'utilisateur actuel ne peut appeler les opérations UAC en tant qu'administrateur.
Analyse à l'état inactif
Lorsque l'ordinateur est inactif, une analyse silencieuse de l'ordinateur est effectuée sur tous les
disques locaux. La détection à l'état de repos s'exécute lorsque l'ordinateur est dans l'un des états
suivants :
• Écran ou écran de veille désactivé
• Verrouillage de l'ordinateur
• Fermeture de session de l'utilisateur
Exécuter même si l'ordinateur est alimenté par batterie
Par défaut, l'analyseur à l'état de repos ne sera pas exécuté lorsque l'ordinateur (portable) est
alimenté par pile.
Activer la journalisation
Pour enregistrer les résultats des analyses dans la section Fichiers journaux (dans la fenêtre
principale du programme, cliquez sur Fichiers journaux, puis sélectionnez le type de journalisation
Analyse de l'ordinateur dans le menu déroulant).
paramètres ThreatSense
Modifiez les paramètres d'analyse pour l'analyseur à l'état de repos.
Analyse au démarrage
La vérification automatique des fichiers de démarrage sera effectuée par défaut au démarrage du
système (ouverture de session utilisateur) et après une mise à jour réussie du module. Cette analyse
dépend de la Configuration et des tâches du Planificateur.
Les options d'analyse au démarrage font partie de la tâche du planificateur Vérification de fichiers
au démarrage du système.
Pour modifier les paramètres d'analyse au démarrage, allez à Outils > Planificateur, puis
sélectionnez l'une des tâches nommées Vérification automatique des fichiers au démarrage
(connexion de l'utilisateur ou mise à jour du module) et cliquez sur Modifier. Suivez les instructions
de l'assistant et dans la dernière étape, vous pouvez modifier les options détaillées de la Vérification
automatique des fichiers au démarrage.
Vérification automatique des fichiers de démarrage
Lorsque vous créez une tâche planifiée de contrôle des fichiers au démarrage du système, plusieurs
options s'offrent à vous pour définir les paramètres suivants :
198
Le menu déroulant Cibles de l'analyse précise la profondeur de l'analyse pour les fichiers exécutés au
démarrage du système. Les fichiers sont classés en ordre ascendant, selon les critères suivants :
• Tous les fichiers enregistrés (le plus grand nombre de fichiers analysés)
• Fichiers rarement utilisés
• Fichiers communément utilisés
• Fichiers fréquemment utilisés
• Seulement les fichiers les plus fréquemment utilisés (le plus petit nombre de fichiers
analysés)
Deux groupes de Cibles de l'analyse particuliers sont aussi inclus :
Fichiers exécutés avant la connexion de l'utilisateur
Contient les fichiers enregistrés dans des emplacements qui permettent d'y accéder sans que
l'utilisateur n'ait ouvert de session (comprend presque tous les emplacements de démarrage
comme les services, les objets application d'assistance du navigateur, la notification winlogon, les
entrées dans le planificateur de Windows, les dll connus, etc.).
Les fichiers s'exécutent après l'ouverture de session
Contient des fichiers qui se trouvent dans des emplacements accessibles uniquement après la
connexion d'un utilisateur (inclut les fichiers exécutés uniquement par un utilisateur spécifique,
généralement des fichiers dans
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run).
Les listes de fichiers à analyser sont fixes, pour chacun des groupes susmentionnés.
Priorité de l'analyse
Le niveau de priorité à utiliser pour déterminer à quel moment débutera l'analyse :
• Normal - Pour une charge système moyenne.
• Faible - Lorsque la charge système est faible.
• Minimale - Lorsque la charge système est la plus faible possible.
• Quand inactif - La tâche ne sera exécutée que lorsque le système sera inactif.
Supports amovibles
ESET Mail Security effectue une analyse automatique des supports amovibles (CD/DVD/USB). Ce
module permet d'analyser le support inséré. Cela peut être utile si l'administrateur de l'ordinateur
veut empêcher les utilisateurs d'utiliser des supports amovibles comportant un contenu non sollicité.
Action à prendre après l'insertion d'un périphérique amovible
Sélectionnez l'action qui sera exécutée lorsqu'un support amovible est inséré dans l'ordinateur
(CD/DVD/USB).
• Ne pas analyser - Aucune action ne sera effectuée et la fenêtre Nouveau périphérique
détecté sera fermée.
• Analyse automatique du périphérique - Une analyse de l'ordinateur à la demande du
support amovible inséré sera effectuée.
• Afficher les options d'analyse - Ouvre la section de configuration du support amovible.
199
Lorsqu'un support amovible est inséré, la boîte de dialogue suivante affichera les renseignements
suivants :
• Analyser maintenant - Déclenche l'analyse du support amovible.
• Analyser plus tard - Reporte l'analyse du support amovible.
• Configuration - Ouvre la configuration avancée.
• Toujours utiliser l'option sélectionnée - Lorsque cette case est cochée, la même action
sera effectuée la prochaine fois qu'un support amovible sera inséré.
De plus, ESET Mail Security comprend également la fonctionnalité de contrôle du périphérique qui
offre la possibilité de définir des règles pour l'utilisation des périphériques externes sur un ordinateur
particulier. Vous trouverez plus de détails sur le contrôle de périphérique dans la section Contrôle de
périphérique.
Protection des documents
La fonctionnalité de protection des documents analyse les documents Microsoft Office avant leur
ouverture, comme les fichiers téléchargés automatiquement par Internet Explorer, tels que les
éléments Microsoft ActiveX. La protection des documents offre une couche de protection, en plus de
la protection en temps réel du système de fichier, et peut être désactivée afin d'améliorer la
performance de systèmes non exposés à un volume élevé de documents Microsoft Office.
Intégrer dans le système
Cette option améliore la protection des documents Microsoft Office (non requis dans des
conditions normales).
paramètres ThreatSense
Modifier les paramètres pour la protection des documents.
REMARQUE
Cette fonctionnalité est activée par des applications utilisant Antivirus API de Microsoft (par ex.,
Microsoft Office 2000 et versions ultérieures, ou Microsoft Internet Explorer 5.0 et versions
ultérieures).
Analyse Hyper-V
La version actuelle de l'analyse Hyper-V prend en charge l'analyse d'un système virtuel en ligne ou
hors ligne dans Hyper-V. Les types d'analyse pris en charge selon le système Windows Hyper-V
hébergé et l'état du système virtuel sont affichés ici :
Systèmes
virtuels avec
fonctionnalité
Hyper-V
Windows
Windows
Server 2008
Server 2012
R2 SP1 HyperHyper-V
V
Windows
Server 2012
R2 Hyper-V
Windows
Server 2016
Hyper-V
Windows
Server 2019
Hyper-V
Machine
virtuelle en
ligne
pas d'analyse
lecture seule
lecture seule
lecture seule
lecture seule
Machine
lecture
lecture
lecture
lecture
lecture
virtuelle hors seule/nettoyage seule/nettoyage seule/nettoyage seule/nettoyage seule/nettoyage
ligne
200
Configuration matérielle
La performance du serveur ne devrait pas être affectée lors de l'exécution de machines virtuelles.
L'activité d'analyse utilise principalement les ressources du processeur. Pour analyser les MV en ligne,
de l'espace disque libre est requis. L'espace disque libre doit être au moins le double de l'espace
utilisé par les points de reprise/captures d'écran et les disques virtuels.
Limitations spécifiques
• L'analyse sur stockage RAID, des volumes fractionnés et des disques dynamiques n'est pas
prise en charge en raison de la nature des disques dynamiques. Par conséquent, il est
recommandé d'éviter d'utiliser les disques dynamiques dans votre MV, si possible.
• L'analyse est toujours effectuée sur la machine virtuelle en cours et n'affecte pas les points de
contrôle ou les instantanés.
• L'exécution d'Hyper-V sur un hôte dans la grappe n'est actuellement pas prise en charge par
ESET Mail Security.
• Les machines virtuelles sur un hôte qui fonctionne sous Windows Server 2008 R2 SP1 peuvent
être analysées seulement en mode de lecture seule (Aucun nettoyage), sans égard au niveau
de nettoyage sélectionné dans les ThreatSense paramètres.
REMARQUE
Bien qu'ESET Security prenne en charge l'analyse du disque virtuel MBR, l'analyse en lecture
seule est la seule méthode prise en charge pour ces cibles. Il est possible de modifier ce
paramètre dans Configuration avancée (F5) > Ordinateur > Analyse Hyper-V >
ThreatSense Paramètres > Secteurs d'amorçage.
La machine virtuelle qui doit être analysée est « hors ligne » - mise en Arrêt
ESET Mail Securityutilise la gestion Hyper-V pour détecter et se connecter aux disques virtuels. Ainsi,
ESET Mail Security a le même accès au contenu des disques virtuels, comme s'il accédait aux
données et aux fichiers de n'importe quel lecteur générique.
La machine virtuelle qui doit être analysée est « en ligne » - En cours d'exécution,
Suspendue, Enregistrée
ESET Mail Securityutilise Gestion Hyper-V pour détecter et se connecter aux disques virtuels. La
connexion en cours à ces disques est impossible. Par conséquent, ESET Mail Security crée un point de
reprise ou une capture d'écran de la machine virtuelle, puis se connecte au point de reprise ou à la
capture d'écran. Une fois l'analyse terminée, le point de reprise ou la capture d'écran est supprimé.
Cela veut dire que l'analyse en lecture seule peut être exécutée, parce que l'activité d'analyse n'a
aucune répercussion sur la machine virtuelle.
Prévoyez une minute pour que ESET Mail Security crée un instantané ou un point de contrôle lors de
l'analyse. Cela devrait être pris en considération lors de l'exécution d'une analyse Hyper-V sur un plus
grand nombre de machines virtuelles.
Convention de dénomination
Le module d'analyse Hyper-V utilise la convention de dénomination suivante :
VirtualMachineName\DiskX\VolumeY
201
Où X représente le nombre de disques et Y le nombre de volumes. Par exemple :
Computer\Disk0\Volume1
Le suffixe numérique est ajouté en fonction de l'ordre de détection et est identique à l'ordre qui
apparaît dans le Gestionnaire de disques de la MV. La convention de dénomination est utilisée dans la
liste arborescente des cibles qui doivent être analysées, dans la barre de progression, ainsi que dans
les fichiers journaux.
Effectuer une analyse
• À la demande - Cliquez sur Analyse Hyper-V pour consulter la liste des machines virtuelles
et des volumes disponibles pour l'analyse. Sélectionnez la(les) machine(s) virtuelle(s), le(s)
disque(s) ou le(s) volume(s) que vous souhaitez analyser et cliquez sur Analyser.
• Pour créer une nouvelle tâche planifiée :
• À l'aide d'ESET Security Management Center en tant que tâche client nommée Analyse du
serveur .
• Il est possible de démarrer et de gérer l'analyse Hyper-V par eShell.
Il est possible d'effectuer plusieurs analyses Hyper-V en même temps. Vous recevrez une notification
avec un lien pour consigner des fichiers lorsque l'analyse est terminée.
Problèmes possibles
• Lors de l'analyse d'une machine virtuelle en ligne, un point de reprise ou une capture d'écran
de la machine virtuelle en question doit être créé et, lors de la création d'un point de reprise ou
d'une capture d'écran, certaines actions génériques de la machine virtuelle pourraient être
restreintes ou désactivées.
• Si une machine virtuelle hors ligne est analysée, elle ne peut être mise en marche tant que
l'analyse n'est pas terminée.
• Le gestionnaire Hyper-V vous permet de donner le même nom à deux machines virtuelles
différentes, ce qui peut être problématique lorsque vous voulez différencier les machines en
consultant les journaux d'analyse.
HIPS
Le Système de prévention des intrusions sur l'ordinateur hôte (HIPS) protège votre système des
logiciels malveillants et de toute activité indésirable qui tentent de modifier la sécurité de votre
ordinateur. Il utilise, pour ce faire, une analyse comportementale évoluée combinée aux
fonctionnalités de détection de filtrage du réseau utilisées dans la surveillance des processus en
cours, fichiers et clés de registre. Le système HIPS diffère de la protection en temps réel du système
de fichiers et ce n'est pas un pare-feu. Il surveille uniquement les processus en cours d'exécution au
sein du système d'exploitation.
AVERTISSEMENT
Seul un utilisateur d'expérience devrait apporter des modifications aux paramètres de HIPS. Une
mauvaise configuration des paramètres HIPS peut rendre le système instable.
Activer Autodéfense
202
ESET Mail Security comporte une technologie d'auto-défense intégrée qui empêche les logiciels
malveillants de corrompre ou de désactiver votre protection contre les logiciels malveillants pour
que vous soyez toujours certain que votre système est protégé en tout temps. Les modifications
apportées aux paramètres Activer HIPS et Activer Autodéfense prendront effet après le
redémarrage du système d'exploitation Windows. Désactiver l'ensemble du système HIPS exigera
également un redémarrage de l'ordinateur.
Activer le service protégé
Microsoft a introduit un concept de services protégés avec Microsoft Windows Server 2012 R2. Il
empêche un service contre les attaques de logiciels malveillants. Le noyau de ESET Mail Security
fonctionne en tant que service protégé par défaut. Cette fonctionnalité est disponible sur
Microsoft Windows Server 2012 R2 et les nouveaux systèmes d'exploitation de serveur.
Activer Advanced Memory Scanner
Fonctionne de paire avec un bloqueur d'exploit pour renforcer la protection contre les logiciels
malveillants qui ont été conçus pour contourner les produits de détection de logiciels malveillants
en utilisant l'obscurcissement ou le chiffrement. Advanced Memory Scanner est activé par défaut.
Pour en savoir plus sur ce type de protection, consultez le glossaire .
Activer Exploit Blocker
Est conçu pour protéger les types d'applications souvent exploités, comme les navigateurs, les
lecteurs PDF, les clients de messagerie et les composants MS Office. Le bloqueur d'exploit est
activé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire .
Activer le bouclier anti-rançongiciel
Pour utiliser cette fonctionnalité, activez HIPS et ESET Live Grid. Pour en savoir plus sur les
rançongciels, consultez le glossaire
Mode de filtrage
Vous pouvez choisir l'un des modes de filtrage suivants :
• Mode automatique - Les opérations sont activées, à l'exception de celles bloquées par des
règles prédéfinies qui protègent votre système. Tout est autorisé à l'exception des actions
refusées par la règle.
• Mode de démarrage - L'utilisateur ne sera informé que des événements vraiment suspects.
• Mode interactif - L'utilisateur sera invité à confirmer les opérations. Autoriser / refuser
l'accès, Créer une règle, Mémoriser temporairement cette action.
• Mode basé sur des règles personnalisées - Les opérations seront bloquées. Accepte
uniquement les règles utilisateur / prédéfinies.
• Mode d'apprentissage - Les opérations sont activées et une règle est créée, après chaque
opération. Les règles créées dans ce mode peuvent être affichées dans l'Éditeur des règles,
mais leur priorité sera inférieure aux règles créées manuellement ou en mode automatique.
Lorsque vous sélectionnez le mode d'apprentissage dans le menu déroulant Mode de filtrage
HIPS, le paramètre Mode d'apprentissage se termine le devient disponible. Sélectionnez la
durée pendant laquelle vous souhaitez activer le mode d'apprentissage) la durée maximale est
203
de 14 jours). Une fois que la durée indiquée sera écoulée, vous serez invité à modifier les règles
créées par HIPS alors qu'il était en mode d'apprentissage. Vous pouvez également choisir un
mode de filtrage différent, ou reporter la décision et continuer à utiliser le mode
d'apprentissage.
Règles
Les règles déterminent quelles applications auront accès à quels fichiers, parties de registre ou
autres applications. Le système HIPS surveille les événements à l'intérieur du système
d'exploitation et réagit en conséquence en fonction de règles similaires aux règles utilisées par le
pare-feu personnel. Cliquez sur Modifier pour ouvrir la fenêtre de gestion des règles HIPS. Si
l'action par défaut pour une règle est mise à Demander, une boîte de dialogue s'affichera chaque
fois que la règle est déclenchée. Vous pouvez choisir de Bloquer ou d'Autoriser l'opération. Si
aucune action n'est sélectionnée dans le temps imparti, une nouvelle action sera sélectionnée, en
fonction des règles.
La boîte de dialogue permet de créer une règle en fonction de toute nouvelle action détectée par le
système HIPS, puis de définir les conditions dans lesquelles autoriser ou bloquer cette action.
Cliquez sur Détails pour consulter plus d'informations. Les règles créées de cette façon sont jugées
équivalentes aux règles créées manuellement. Ainsi, la règle créée à partir d'une fenêtre de dialogue
peut être moins précise que la règle qui a déclenché la fenêtre de dialogue. Ainsi, après la création
d'une telle règle, la même opération pourra déclencher l'affichage de la même fenêtre.
Demander à chaque fois
204
Une boîte de dialogue s'affichera chaque fois que la règle est déclenchée. Vous pouvez choisir de
refuser ou d'autoriser l'opération.
Mémoriser jusqu'à la fermeture de l'application
Le choix d'une action Refuser ou Autoriser créera une règle HIPS temporaire qui sera utilisée
jusqu'à la fermeture de l'application en question. De même, si vous modifiez le mode de filtrage
ou lorsque le module HIPS est mis à jour, modifiez les règles; de plus, si vous redémarrez le
système, les règles temporaires seront supprimées.
Créer la règle et mémoriser de manière permanente
Créez une nouvelle règle HIPS. Vous pouvez modifier ultérieurement cette règle dans la section
Gestion des règles HIPS.
Paramètres de règle HIPS
La fenêtre vous donne un aperçu des règles HIPS existantes.
Règle
Nom de la règle défini par l'utilisateur ou choisi automatiquement.
Activé(e)
Désactivez ce commutateur si vous voulez que la règle reste inscrite sur la liste,
mais sans l'utiliser.
Action
La règle précise une action - Autoriser, Bloquer ouDemander - qui doit être
effectuée lorsque les conditions sont satisfaites.
Sources
La règle ne sera utilisée que si l'événement est déclenché par cette ou ces
applications.
Cibles
La règle sera utilisée uniquement si l'opération est liée à un fichier, à une
application ou à une entrée de registre spécifique.
Gravité de
l'entrée du
journal
Si vous activez cette option, l'information au sujet de cette règle sera inscrite dans
le journal HIPS.
Notifier
Une petite fenêtre contextuelle s'affichera dans le coin inférieur droit, lorsqu'un
événement est déclenché.
Créez une nouvelle règle, cliquez sur Ajouter de nouvelles règles HIPS ou Modifier les entrées
sélectionnées.
Nom de la règle
Nom de la règle défini par l'utilisateur ou choisi automatiquement.
Action
La règle précise une action - Autoriser, Bloquer ou Demander - qui doit être effectuée lorsque
les conditions sont satisfaites.
Opérations concernées
Vous devez sélectionner le type d'opérations auquel s'appliquera la règle. La règle sera utilisée
seulement pour ce type d'opération et pour la cible sélectionnée. La règle est constituée de
plusieurs parties qui décrivent les conditions déclenchant cette règle.
Applications sources
205
La règle ne sera utilisée que si l'événement est déclenché par cette ou ces application(s).
Sélectionnez des applications spécifiques dans le menu déroulant et cliquez sur Ajouter pour
ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner Toutes les
applications dans le menu déroulant pour ajouter toutes les applications.
REMARQUE
Certaines opérations de règles spécifiques prédéfinies par HIPS ne peuvent pas être bloquées et
sont autorisées par défaut. En plus, toutes les opérations système ne sont pas contrôlées par
HIPS. HIPS contrôle les opérations qui peuvent être considérées comme dangereuses.
Description d'opérations importantes :
Opérations sur le fichier:
Supprimer le
fichier
L'application vous invite à autoriser la suppression du fichier cible.
Écrire dans un
fichier
L'application vous invite à autoriser l'écriture dans le fichier cible.
Accès direct au
disque
L'application tente de lire ou d'écrire sur le disque d'une manière non standard,
qui contournera les procédures courantes de Windows. Cela peut entraîner la
modification de fichiers sans application des règles correspondantes. Cette
opération peut être provoquée par un logiciel malveillant qui tente d'éviter la
détection, un logiciel de sauvegarde qui essaie de faire une copie exacte d'un
disque ou un gestionnaire de partitions qui tente de réorganiser des volumes de
disque.
Installer le crochet Se réfère à l'appel de la fonction SetWindowsHookEx de la bibliothèque MSDN.
global
Charger le pilote
Installation et chargement de pilotes dans le système.
La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Fichiers spécifiques
dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous
pouvez également sélectionner Tous les fichiers dans le menu déroulant pour ajouter toutes les
applications.
Activités de l'application:
Déboguer une autre
application
Joindre un débogueur au processus. Lors du débogage d'une application,
de nombreux détails de son comportement peuvent être affichés et
modifiés et ses données deviennent accessibles.
Intercepter les événements L'application source tente d'intercepter des événements destinés à une
à partir d'une autre
application spécifique (par exemple un enregistreur de frappe qui tente
application
de capturer les événements d'un navigateur).
Mettre fin à une autre
application/la suspendre
Suspendre, reprendre ou arrêter un processus (accès direct par
l'explorateur de processus ou la fenêtre Processus).
Lancer une nouvelle
application
Lancement de nouvelles applications ou de nouveaux processus.
206
Déboguer une autre
application
Joindre un débogueur au processus. Lors du débogage d'une application,
de nombreux détails de son comportement peuvent être affichés et
modifiés et ses données deviennent accessibles.
Modifier l'état d'une autre
application
L'application source tente d'écrire dans la mémoire de l'application cible
ou d'exécuter du code en son nom. Cette fonctionnalité peut être utile
pour protéger une application essentielle en la configurant comme
application cible dans une règle qui bloque l'utilisation de cette
opération.
La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Applications
spécifiques dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou
dossiers. Vous pouvez également sélectionner Toutes les applications dans le menu déroulant pour
ajouter toutes les applications.
Opérations sur le registre:
Modifier les paramètres Toutes les modifications des paramètres qui définissent quelles applications
de démarrage
seront exécutées au démarrage de Windows. Il est possible de les trouver,
par exemple, en recherchant la clé Run dans le registre de Windows.
Supprimer du registre
Supprimer une clé de registre ou sa valeur.
Renommer la clé de
registre
Renomme les clés de registre.
Modifier le registre
Créer de nouvelles valeurs de clés de registre, modifier des valeurs
existantes, déplacer des données dans l'arborescence de la base de
données ou définir les droits du groupe ou de l'utilisateur à l'égard de clés
de registre.
La règle ne sera utilisée que si l'opération est liée à cette cible. Sélectionnez Entrées spécifiques
dans le menu déroulant et cliquez sur Ajouter pour ajouter de nouveaux fichiers ou dossiers. Vous
pouvez également sélectionner Toutes les entrées dans le menu déroulant pour ajouter toutes les
applications.
REMARQUE
Vous pouvez utiliser des caractères génériques avec certaines restrictions au moment d'entrer une cible. Plutôt qu'une clé
particulière, vous pouvez utiliser un symbole * (astérisque) dans les chemins d'accès du registre. Par exemple,
HKEY_USERS\*\software can mean HKEY_USER\.default\software mais pas
HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet*
n'est pas un chemin d'accès à la clé du registre valide. Un chemin d'accès à la clé du registre contenant \* définit « ce
chemin d'accès, sur tout niveau, après ce symbole ». C'est la seule façon d'utiliser les caractères génériques pour les fichiers
cibles. La partie spécifique d'un chemin sera la première à être évaluée, puis elle sera suivie du chemin se trouvant après le
caractère générique (*).
AVERTISSEMENT
Vous pourriez recevoir une notification si vous créez une règle trop générique.
Paramètres avancés HIPS
Les options suivantes sont utiles pour déboguer et analyser le comportement d'une application :
Toujours autoriser le chargement des pilotes
Le chargement des pilotes sélectionnés est toujours autorisé, indépendamment du mode de
207
filtrage défini, à l'exception des cas où un pilote est explicitement bloqué par une règle de
l'utilisateur. Les pilotes affichés dans cette liste pourront toujours être chargés indépendamment
du mode de filtrage HIPS, à moins qu'ils ne soient explicitement bloqués par une règle de
l'utilisateur. Vous pouvez Ajouter un nouveau pilote, Modifier ou Supprimer le pilote
sélectionné dans la liste.
REMARQUE
Cliquez sur Réinitialisers i vous ne voulez pas que les pilotes que vous avez ajoutés
manuellement soient inclus. Cela peut être utile si vous avez ajouté plusieurs pilotes et ne pouvez
pas les supprimer de la liste manuellement.
Consigner toutes les opérations bloquées
Toutes les opérations bloquées seront consignées dans le journal HIPS.
Aviser lorsqu'un changement est effectué dans les applications de démarrage
Affiche une notification sur le bureau chaque fois qu'une application est ajoutée ou supprimée du
démarrage du système.
Configuration de la mise à jour
Cette section spécifie les informations sur la source de mise à jour, telles que les serveurs de mise à
jour utilisés et les données d'authentification pour ces serveurs.
REMARQUE
Il est essentiel d'inscrire correctement tous les paramètres de mise à jour afin de télécharger
correctement les mises à jour. Si un pare-feu est utilisé, assurez-vous que le programme ESET est
autorisé à accéder à Internet (par exemple, communication HTTP).
De base
Sélectionnez le profil de mise à jour par défaut
Choisissez un profil existant ou créez un autre qui sera appliqué par défaut pour les mises à jour.
Effacer le cache de mise à jour
Si vous avez des problèmes avec une mise à jour, cliquez sur Effacer pour effacer la mémoire cache
temporaire de mise à jour.
Définir l'âge maximal du moteur de détection / Âge maximal du moteur de détection
(jours)
Permet de définir la durée maximale (en jours) après laquelle le moteur de détection sera déclaré
obsolète. La valeur par défaut est 7.
Annulation du module
Si vous soupçonnez qu'une nouvelle mise à jour du moteur de détection ou des modules du
programme est instable ou endommagée, vous pouvez retourner à la version antérieure et
désactiver toutes les mises à jour pour une durée choisie. Vous pouvez aussi activer les mises à jour
précédemment désactivées si vous les aviez reportées indéfiniment. ESET Mail Security enregistre
les instantanés des moteurs de détection et des modules de programme à utiliser avec la
fonctionnalité Restaurer. Pour créer des images du moteur de détection, laissez le commutateur
Créer une image instantanée des fichiers de mise à jour activé.
Nombre d'instantanées stockées localement
Définit le nombre d'images instantanées du module précédent stockées.
Profils
208
Pour créer un profil de mise à jour personnalisé, sélectionnez Modifier en regard de Liste des
profils, entrez votre nom de profil et cliquez sur Ajouter. Sélectionnez le profil à modifier et
modifiez les paramètres pour les types de mises à jour de modules ou créez un miroir de mise à
jour.
Mises à jour
209
Sélectionnez le type de mise à jour à utiliser à partir d'un menu déroulant :
• Mise à jour régulière - Par défaut, le type de mises à jour est réglé à Mise à jour régulière afin de
s'assurer que les fichiers de mise à jour soient automatiquement téléchargés à partir du serveur ESET avec
le moins de trafic réseau possible.
• Mise à jour de préversion - Les mises à jour de préversion sont des mises à jour qui ont été soumises à
des tests internes approfondis et qui seront bientôt offertes au grand public. Elles permettent d'accéder aux
méthodes de détection et correctifs les plus récents. Cependant, il est possible que les mises à jour de
préversion ne soient pas toujours assez stables et ne DOIVENT PAS être utilisées sur les serveurs et les
postes de travail de production où une disponibilité et une stabilité maximales sont requises.
• La mise à jour différée permet une mise à jour à partir de serveurs de mise à jour particuliers offrant de
nouvelles versions des bases de données de virus dans un délai d'au moins X heures (c'est-à-dire qu'ils
téléchargeront des bases de données testées dans un environnement réel, donc jugées stables).
Demander avant de télécharger une mise à jour
Lorsqu'une nouvelle mise à jour est disponible, vous êtes invité à la télécharger.
Demander si un fichier de mise à jour a une taille supérieure à (ko)
Si la taille du fichier de mise à jour est supérieure à la valeur indiquée dans ce champ, une notification
s'affiche.
Désactiver la notification de la mise à jour réussie
Désactive les notifications dans la barre d'état système, dans le coin inférieur droit de l'écran. Sélectionnez
cette option si vous utilisez une application en mode plein écran. Veuillez noter que le mode Présentation
désactivera toutes les notifications.
Mises à jour des modules
Par défaut, le module de mise à jour est défini sur Choisir automatiquement. Le serveur de mise à jour
est l'endroit où sont stockées les mises à jour. Si vous utilisez un serveur ESET, nous vous recommandons de
conserver l'option sélectionnée par défaut.
Si un serveur local HTTP est utilisé - aussi appelé Miroir - le serveur de mise à jour doit être configuré
comme suit :
http://nom_ordinateur_ou_son_adresse_IP:2221.
Lorsqu'un serveur local HTTP avec SSL est utilisé - le serveur de mise à jour doit être configuré comme
suit :
https://nom_ordinateur_ou_son_adresse_IP:2221.
Lorsqu'un dossier partagé local est utilisé - le serveur de mise à jour doit être configuré comme suit :
\\nom_de_l'ordinateur_ou_son_adresse_IP\dossier_partagé
Activer une mise à jour plus fréquente des signatures de détection
Le moteur de détection est mis à jour dans un intervalle plus court. La désactivation de cette option peut
avoir une incidence négative sur le taux de détection.
Autoriser la mise à jour du module à partir du périphérique amovible
Permet une mise à jour à partir d'un support amovible s'il contient le miroir créé. Lorsque Automatique est
sélectionné, la mise à jour s'exécutera à l'arrière-plan. Si vous voulez afficher les boîtes de dialogue de mise
à jour, sélectionnez Toujours demander.
Mise à jour de composant du programme
Utilisez le menu déroulant Mode de mise à jour pour choisir comment appliquer les mises à jour de
composants de ESET Mail Security lorsqu'une nouvelle mise à jour est disponible. Les mises à jour de
composants modifient généralement les fonctionnalités existantes, mais peuvent également inclure de
nouvelles fonctionnalités. En fonction du mode de mise à jour choisi, la mise à jour du composant peut être
effectuée automatiquement sans intervention ou confirmation. Vous pouvez également choisir d'être averti
avant l'installation des mises à jour. Un redémarrage du serveur peut être requis après la mise à jour du
composant. Les modes de mise à jour suivants sont disponibles :
• Demander avant de mettre à jour : Vous serez invité à confirmer ou à refuser les mises à jour du
produit lorsqu'elles sont disponibles. Ceci est l'option par défaut. Un redémarrage du serveur peut être
requis après la mise à jour du composant.
• Mise à jour automatique : Les mises à jour des composants seront téléchargées et installées
automatiquement.
• Ne jamais mettre à jour : Aucune mise à jour de composants ne sera effectuée. Nous recommandons
cette option, car elle vous permet d'exécuter les mises à jour de composants manuellement et de
redémarrer votre serveur pendant la fenêtre de maintenance planifiée.
210
IMPORTANT
Le mode de mise à jour automatique redémarre automatiquement votre serveur une fois la mise à jour
du composant terminée.
211
Option de connexion
212
Serveur mandataire
Pour accéder aux options de configuration du serveur mandataire pour un profil de mise à jour donné.
Cliquez sur Mode mandataire et sélectionnez l'une des trois options suivantes :
• Ne pas utiliser de serveur mandataire : Aucun serveur mandataire ne sera utilisé pour mettre à
jour ESET Mail Security.
• L'option Utiliser les paramètres de serveur mandataire généraux utilisera la configuration de
serveur mandataire indiquée dans Configuration avancée (F5)> Outils > Serveur mandataire.
• Connexion par serveur mandataire : Utilisez cette option si :
Un serveur mandataire devrait être utilisé pour effectuer la mise à jour de ESET Mail Security, un
serveur différent du serveur mandataire indiqué dans les paramètres globaux (Outils > Serveur
mandataire). Le cas échéant, les paramètres devraient être indiqués ici : Adresse du serveur
mandataire, Port de communication (3128, par défaut), Nom d'utilisateur et Mot de passe pour le
serveur mandataire, au besoin.
Les paramètres du serveur mandataire n'ont pas été définis globalement, mais ESET Mail Security se
connectera à un serveur mandataire pour les mises à jour.
Votre ordinateur est connecté à Internet par un serveur mandataire. Les paramètres utilisés sont ceux
d'Internet Explorer, pris au moment de l'installation du programme, mais s'ils sont ensuite modifiés (par
exemple, si vous changez de FAI), vous devez vous assurer que les paramètres du serveur HTTP
mandataire indiqués dans cette fenêtre sont appropriés. En l'absence de modification, le programme ne
pourra pas se connecter aux serveurs de mise à jour.
REMARQUE
Les données d'authentification, comme le Nom d'utilisateur et le Mot de passe, sont conçues
pour accéder au serveur mandataire. Ne remplissez ces champs que si un nom d'utilisateur et un
mot de passe sont requis. Veuillez noter que ces champs ne sont pas ceux du mot de passe/nom
d'utilisateur de ESET Mail Security et ne doivent être indiqués que si vous savez que vous avez
besoin d'un mot de passe pour accéder à Internet par l'entremise d'un serveur mandataire.
Utiliser une connexion directe si le mandataire n'est pas disponible
Si un produit est configuré pour utiliser le mandataire HTTP et que ce dernier n'est pas joignable, le
produit contournera le mandataire et communiquera directement avec les serveurs d'ESET.
Partages Windows
Lors de la mise à jour depuis un serveur local sous Windows, une authentification est exigée par défaut
pour chaque connexion réseau.
Se connecter au réseau local comme
Pour configurer votre compte, sélectionnez l'une des options suivantes :
• Compte système (par défaut) : Utilisez le compte système pour l'authentification. Normalement,
aucune authentification ne sera effectuée si des données d'authentification ne sont pas inscrites dans la
section de configuration des mises à jour.
• Utilisateur actuel : sélectionnez cette option pour vous assurer que le programme s'authentifie à
l'aide du compte de l'utilisateur actuellement connecté. L'inconvénient de cette solution est que le
programme est dans l'impossibilité de se connecter au serveur de mise à jour si aucun utilisateur n'est
actuellement connecté.
• Utilisateur spécifié : sélectionnez cette option pour utiliser un compte d'utilisateur spécifique pour
l'authentification. Cette méthode doit être utilisée lorsque la connexion avec le compte système par
défaut n'a pas fonctionné. À noter que le compte de l'utilisateur spécifié doit avoir le droit d'accès au
dossier des fichiers de mise à jour du serveur local. Dans le cas contraire, le programme sera incapable
d'établir une connexion ou de télécharger les mises à jour.
AVERTISSEMENT
Si l'option Utilisateur actuel ou Spécifier un utilisateur est sélectionnée, une erreur peut se
produire si l'identité du programme est changée pour l'utilisateur souhaité. Il est recommandé
d'entrer les données d'authentification du réseau local dans la section de configuration des mises à
jour. Dans cette section, les données d'authentification doivent être entrées comme suit :
domain_name\user (si c'est un groupe de travail, entrez workgroup_name\name) et le mot de passe.
La mise à jour de la version HTTP du serveur local n'exige aucune authentification.
Déconnecter du serveur après la mise à jour
Pour forcer la déconnexion si la connexion au serveur reste active même après le téléchargement des
213
mises à jour.
Miroir de mise à jour
Les options de configuration du serveur miroir local se trouvent dans l'arborescence Configuration
avancée (F5) sous l'onglet Mise à jour > Profils > Miroir de mise à jour.
Annulation de la mise à jour
Si vous cliquez sur Annuler, vous devez sélectionner un intervalle dans le menu déroulant
représentant la durée pendant laquelle les mises à jour de la base de données du moteur de
détection et des modules du programme seront suspendues.
Sélectionnez Jusqu'à son retrait pour reporter indéfiniment les mises à jour régulières jusqu'à ce
que vous restauriez manuellement cette fonctionnalité. Nous ne recommandons pas de sélectionner
cette option, puisqu'elle présente un risque potentiel au niveau de la sécurité.
La version de la base de données du moteur de détection sera rétablie à la plus ancienne image
disponible et stockée comme image dans le système de fichiers de l'ordinateur local.
Tâche planifiée : mise à jour
Pour mettre à jour le programme à partir de deux serveurs de mise à jour, vous devez créer deux
profils de mise à jour distincts. Si le premier ne permet pas de télécharger les fichiers de mise à jour,
le programme bascule automatiquement vers le second. Cela convient, par exemple, pour les
ordinateurs portables dont la mise à jour s'effectue normalement à partir d'un serveur de mise à jour
sur le réseau local, mais dont les propriétaires se connectent souvent à Internet à partir d'autres
réseaux. Ainsi, en cas d'échec du premier profil, le second télécharge automatiquement les fichiers de
mise à jour à partir des serveurs de mise à jour d'ESET.
EXEMPLE
Les étapes ci-dessous vous guideront tout au long d'une tâche permettant de modifier une mise
à jour automatique régulière existante.
1.Dans l'écran principal du Planificateur, sélectionnez la tâche Mettre à jour avec pour nom
Mise à jour automatique régulière et cliquez sur Modifier pour lancer l'assistant de
configuration.
2.Configurez le planificateur; sélectionnez l'une des options de fréquence suivantes pour
l'exécution de la tâche planifiée :
3.Si vous voulez empêcher l'exécution de la tâche lorsque le système fonctionne sur batterie (par
exemple sur UPS), cliquez sur le bouton situé à côté de Ignorer la tâche lors du
fonctionnement sur batterie.
4.Sélectionnez Profil de mise à jour pour l'utiliser pour la mise à jour. Sélectionnez une action à
entreprendre en cas d'échec de l'exécution de la tâche pour une raison quelconque.
5.Cliquez sur Terminer pour appliquer la tâche.
Miroir de mise à jour
Ouvrir ESET Mail Security
Appuyez sur F5 > Mettre à jour > Profiles > Mettre à jour le miroir
ESET Mail Security permet de créer des copies des fichiers de mise à jour qui peuvent être utilisées
pour mettre à jour les autres stations de travail se trouvant sur le réseau. Utilisation d'un « miroir » Puisqu'il n'est pas nécessaire que les fichiers de mise à jour soient téléchargés à plusieurs reprises à
partir du serveur de mise à jour du fournisseur pour chacun des postes de travail, il serait pratique
d'en conserver une copie dans l'environnement du réseau local. Les mises à jour sont alors
214
téléchargées sur le serveur miroir local puis distribuées à toutes les stations de travail, ce qui évitera
tout risque de surcharge du réseau. La mise à jour des postes de travail à partir d'un miroir optimise
l'équilibre de la charge réseau et libère les bandes passantes des connexions Internet.
Miroir de mise à jour
Créer un miroir de mise à jour
Active les options de configuration du miroir.
Dossier de stockage
Cliquez sur Supprimer si vous souhaitez modifier un dossier par défaut défini pour stocker des
fichiers miroir C:\ProgramData\ESET\ESET Security\mirror. Cliquez sur Modifier pour rechercher un
dossier sur l'ordinateur local ou un dossier réseau partagé. Si une autorisation pour le dossier indiqué
est requise, les données d'authentification doivent être entrées dans les champs Nom d'utilisateur et
Mot de passe. Si le dossier destination sélectionné se trouve sur un disque réseau utilisant le
système d'exploitation Windows NT/2000/XP, le nom d'utilisateur et le mot de passe indiqués doivent
avoir les droits d'écriture pour ce dossier.
Le nom d'utilisateur et le mot de passe doivent être entrés dans le format Domain/User ou
Workgroup/User. Veuillez vous rappelez de fournir les mots de passe correspondants.
Mise à jour de composant du programme
Fichiers
Lors de la configuration du miroir, vous pouvez spécifier les versions linguistiques des mises à jour
que vous souhaitez télécharger. Les langues sélectionnées doivent être prises en charge par le
serveur du miroir configuré par l'utilisateur.
Mettre à jour les composants automatiquement
Permet d’installer de nouvelles fonctionnalités et d’effectuer la mise à jour des fonctionnalités
existantes. Une mise à jour peut s'effectuer sans intervention de l'utilisateur ou après notification de
ce dernier. Le redémarrage d'un ordinateur peut être exigé après la mise à jour d'un produit.
Mettre à jour les composants maintenant
Met à jour les composants du programme à l'aide de la dernière version.
Serveur HTTP
Port du serveur
Le port par défaut est 2221. Changez cette valeur si vous utilisez un port différent.
Authentification
Définit la méthode d'authentification utilisée pour accéder aux fichiers de mise à jour. Les options
suivantes sont disponibles : Aucune, Basique et NTLM.
• Sélectionnez Basique pour utiliser le chiffrage base64 avec l'authentification de base à l'aide du
nom d'utilisateur et du mot de passe.
• L'option NTLM fournit un chiffrage utilisant une méthode d'encodage fiable. L'utilisateur créé sur le
poste de travail partageant les fichiers de mise à jour sera utilisé pour l'authentification.
• L'option par défaut est Aucune. Elle autorise l'accès aux fichiers des mises à jour sans exiger
d'authentification.
AVERTISSEMENT
L'accès aux fichiers de mise à jour à l'aide du serveur HTTP exige que le dossier miroir soit sur le
même ordinateur que l'instance de ESET Mail Security qui l'a créé.
SSL pour serveur HTTP
Ajoutez-le à votre Fichier de chaîne du certificat ou générez un certificat autosigné si vous voulez
utiliser un serveur HTTP prenant HTTPS (SSL) en charge. Les types de certificats suivants sont
offerts : PEM, PFX et ASN. Pour plus de sécurité, vous pouvez utiliser le protocole HTTPS pour
télécharger les fichiers de mise à jour. Il est presque impossible de retracer les transferts de données
et les informations d'identification lorsque ce protocole est utilisé.
L'option Type de clé privée est mise à Intégré par défaut (le Fichier de clé privée est donc
désactivé par défaut). Cela signifie que la clé privée fait partie du fichier de chaîne de certificat
sélectionné.
215
Option de connexion
Partages Windows
Lors de la mise à jour depuis un serveur local sous Windows, une authentification est exigée par
défaut pour chaque connexion réseau.
Se connecter au réseau local comme
Pour configurer votre compte, sélectionnez l'une des options suivantes :
• Compte système (par défaut) - utiliser le compte système pour l'authentification. Normalement,
aucune authentification ne sera effectuée si des données d'authentification ne sont pas inscrites
dans la section de configuration des mises à jour.
• Utilisateur actuel.- sélectionner cette option pour s'assurer que le programme s'authentifie à
l'aide du compte de l'utilisateur actuellement connecté. L'inconvénient de cette solution est que le
programme est dans l'impossibilité de se connecter au serveur de mise à jour si aucun utilisateur
n'est actuellement connecté.
• Utilisateur spécifié : sélectionnez cette option pour utiliser un compte d'utilisateur spécifique
pour l'authentification. Cette méthode doit être utilisée lorsque la connexion avec le compte système
par défaut n'a pas fonctionné. À noter que le compte de l'utilisateur spécifié doit avoir le droit d'accès
au dossier des fichiers de mise à jour du serveur local. Dans le cas contraire, le programme sera
incapable d'établir une connexion et de télécharger les mises à jour.
AVERTISSEMENT
Si l'option Utilisateur actuel ou Spécifier un utilisateur est sélectionnée, une erreur peut se
produire si l'identité du programme est changée pour l'utilisateur souhaité. Il est recommandé
d'entrer les données d'authentification du réseau local dans la section de configuration des mises
à jour. Dans cette section, les données d'authentification doivent être entrées comme suit :
domain_name\user (si c'est un groupe de travail, entrez workgroup_name\name) et le mot de
passe. La mise à jour de la version HTTP du serveur local n'exige aucune authentification.
Déconnecter du serveur après la mise à jour
Pour forcer la déconnexion si la connexion au serveur reste active même après le téléchargement
des mises à jour.
Protection du réseau
Activer la protection contre les attaques réseau (IDS)
Cette option permet de configurer l'accès à certains services exécutés sur votre ordinateur à
partir de la zone de confiance et d'activer ou désactiver la détection de plusieurs types d'attaques
et d'exploits qui pourraient être utilisés pour endommager votre ordinateur.
Activer la protection contre les réseaux de zombies
Détecte et bloque la communication avec des serveurs de commande et de contrôle malveillants
basés sur des modèles typiques lorsque l'ordinateur est infecté et qu'un robot tente de
communiquer
Exceptions IDS
Vous pouvez voir les exceptions IDS (Intrusion Detection System) comme des règles de protection
du réseau. Cliquez sur Modifier pour définir des exceptions IDS.
Détection d'intrusion:
216
Protocole SMB : Détecte et bloque divers problèmes de sécurité dans le protocole SMB
Protocole RPC : Détecte et bloque divers CVE dans le système d'appel de procédure distant
développé pour l'environnement DCE (Distributed Computing Environment).
Protocole RDP : Détecte et bloque divers CVE dans le protocole RDP (voir ci-dessus).
Bloquer l'adresse non sécurisée après la détection d'une attaque : Les adresses IP qui ont
été détectées comme sources d'attaques sont ajoutées à la liste noire pour empêcher la connexion
pendant une certaine période de temps.
Afficher une notification après la détection d'une attaque : Active la notification de la barre
d'état système dans le coin inférieur droit de l'écran.
Afficher également les notifications pour les attaques entrantes contre les failles de
sécurité : Vous avertit si des attaques contre des failles de sécurité sont détectées ou si une
menace tente d'entrer dans le système.
Contrôle des paquets:
Autoriser la connexion entrante aux partages administratifs du protocole SMB : Les
partages administratifs (partages admin) sont des partages réseau par défaut qui partagent les
partitions du disque dur (C$, D$, ...) dans le système avec le dossier système (ADMIN$). La
désactivation de la connexion aux partages admin devrait atténuer de nombreux risques de sécurité.
Par exemple, le ver Conficker effectue des attaques par dictionnaire afin de se connecter aux
partages admin.
Refuser les anciens dialectes SMB (non pris en charge) - Refuse les sessions SMB qui utilisent
un ancien dialecte SMB non pris en charge par IDS. Les systèmes d'exploitation Windows modernes
prennent en charge les anciens dialectes SMB en raison de la rétrocompatibilité avec les anciens
systèmes d'exploitation tels que Windows 95. L'attaquant peut utiliser un ancien dialecte dans une
session SMB afin d'éviter l'inspection du trafic. Cette option permet de refuser les anciens dialectes
SMB si votre ordinateur n'a pas besoin de partager des fichiers (ou utiliser la communication SMB en
général) avec un ordinateur ayant une ancienne version de Windows.
Refuser des sessions SMB sans sécurité étendue : La sécurité étendue peut être utilisée
pendant la négociation de la session SMB afin de fournir un mécanisme d'authentification plus
sécurisé que l'authentification par stimulation/réponse (LM) du gestionnaire de réseau local. Le
schéma LM est considéré comme faible et son utilisation n'est pas recommandée.
Autoriser les communications avec le service Security Account Manager : Pour obtenir plus
de renseignements sur ce service, consultez [MS-SAMR] .
Autoriser les communications avec le service Local Security Authority : Pour obtenir plus de
renseignements sur ce service, consultez [MS-LSAD] et [MS-LSAT] .
Autoriser les communications avec le service Remote Registry : Pour obtenir plus de
renseignements sur ce service, consultez [MS-RRP] .
Autoriser les communications avec le service Service Control Manager : Pour obtenir plus de
renseignements sur ce service, consultez [MS-SCMR] .
Autoriser les communications avec le service du serveur : Pour obtenir plus de
renseignements sur ce service, consultez [MS-SRVS] .
Autoriser les communications avec les autres services : Autres services MSRPC.
Exceptions IDS
Les exceptions du système de détection d'intrusion (IDS) sont essentiellement des règles de
protection du réseau. Les exceptions sont évaluées de haut en bas. L'éditeur d'exceptions IDS vous
permet de personnaliser le comportement de la protection réseau sur différentes exceptions IDS. La
première exception correspondante est appliquée, pour chaque type d'action (Bloquer, Notifier,
217
Journaliser) séparément. Haut/Vers le haut/Vers le bas/Bas vous permet de régler le niveau de
priorité des exceptions. Pour créer une nouvelle exception IDS, cliquez sur Ajouter. Cliquez sur
Modifier pour modifier une exception IDS existante ou sur Supprimer pour la supprimer.
Choisissez le type Alerte dans la liste déroulante. Indiquez le nom de la menace et la direction.
Recherchez l'application pour laquelle vous souhaitez créer une exception. Spécifiez une liste
d'adresses IP (IPv4 ou IPv6) ou de sous-réseaux. Pour les entrées multiples, utilisez une virgule
comme séparateur.
Configurez l'action pour l'exception IDS en sélectionnant l'une des options du menu déroulant
(valeur par défaut, Oui, Non). Faites cela pour chaque type d'action (Bloquer, Notifier,
Journaliser).
EXEMPLE
Si vous souhaitez qu'une notification soit affichée en cas d'alerte d'exception IDS et que l'heure
de l'événement soit enregistrée, utilisez comme valeur par défaut le type d'action Bloquer, et
pour les deux autres types d'action (Notifier, Journaliser) choisissez Oui dans le menu
déroulant.
Liste noire temporaire des adresses IP
Permet d'afficher une liste des adresses IP ayant été détectées comme des sources d'attaque et
ajoutées à la liste noire pour éviter toute connexion pendant un certain temps. Affiche l'adresse IP
qui a été verrouillée.
Raison du blocage
Indique le type d'attaque qui a été bloquée à l'adresse (par exemple, attaque de balayage de Port
TCP).
Délai d'attente
Affiche l'heure et la date à laquelle l'adresse expirera de la liste noire.
Retirer/Tout retirer
Retire l'adresse IP sélectionnée de la liste noire temporaire avant son expiration ou retire toutes
les adresses de la liste noire immédiatement.
Ajouter une exception
Ajoute une exception de pare-feu dans le filtrage IDS pour l'adresse IP sélectionnée.
Web et messagerie
Vous pouvez configurer le filtrage de protocole, la protection du client de messagerie, la protection de
l'accès Web et l'antihameçonnage pour protéger votre serveur lors des communications Internet.
Protection du client de messagerie
La protection du client de messagerie contrôle toute la communication par courriel, protège
contre le code malveillant et vous permet de choisir l'action à prendre lorsqu'une infection est
détectée.
218
Protection de l'accès Web
La Protection de l'accès Web surveille les communications entre les navigateurs Web et les
serveurs distants, conformément aux règles des protocoles HTTP et HTTPS. Cette fonctionnalité
vous permet également de bloquer, d'autoriser ou d'exclure certaines adresses URL.
Filtrage des protocoles
Le Filtrage des protocoles offre une protection évoluée pour les protocoles d'application. Il est
fourni par le moteur d'analyse ThreatSense. Il fonctionne automatiquement, indépendamment du
navigateur Web ou du client de messagerie utilisé. Il fonctionne aussi pour les communications
chiffrées (SSL/TLS).
Protection anti-hameçonnage
La Protection antihameçonnage vous permet de bloquer les pages Web connues pour diffuser du
contenu d'hameçonnage.
Filtrage des protocoles
La protection contre les logiciels malveillants pour les protocoles d'application est fournie par le
moteur d'analyse ThreatSense qui intègre plusieurs techniques d'analyse avancée des logiciels
malveillants. Le filtrage des protocoles fonctionne automatiquement, indépendamment du navigateur
Internet ou du client de courriel utilisé. Si le filtrage du protocole est activé, ESET Mail Security
vérifiera les communications qui utilisent le protocole SSL/TLS, accédez à Web et messagerie >
SSL/TLS.
Activer le filtrage du contenu des protocoles d'application
Si vous désactivez le filtrage de protocole, veuillez noter que beaucoup de composants de ESET
Mail Security (protection de l'accès Web, protection des protocoles de courriels et
protection antihameçonnage) dépendent de cette option pour fonctionner et que toutes leurs
fonctionnalités ne seront pas disponibles.
Applications exclues
Pour exclure du filtrage de contenu les communications envoyées par certaines applications
sensibles au réseau, vous devez le sélectionner dans la liste. Les communications envoyées par
ces applications par l'entremise des protocoles HTTP ou POP3 ne seront pas vérifiées pour savoir
si elles contiennent des menaces. Cliquez sur Modifier et Ajouter pour sélectionner un
exécutable dans la liste des applications afin de l'exclure du filtrage de protocole.
IMPORTANT
Il est recommandé de n'utiliser cette option que pour les applications qui ne fonctionnent pas bien
lorsque la communication fait l'objet d'une vérification.
Adresses IP exclues
Vous permet d'exclure des adresses distantes spécifiques du filtrage de protocole. Les adresses IP
dans cette liste seront exclues du filtrage du contenu des protocoles. Les communications
envoyées à ces adresses ou reçues de celles-ci par le protocole HTTP/POP3/IMAP ne seront pas
vérifiées pour savoir si elles contiennent des menaces.
219
IMPORTANT
Il est recommandé de n'utiliser cette option que pour les adresses reconnues comme fiables.
Cliquez sur Modifier et Ajouter pour spécifier l'adresse IP, la plage d'adresses ou le sous-réseau
auquel l'exclusion sera appliquée. Lorsque vous sélectionnez Entrer plusieurs valeurs, vous pouvez
ajouter plusieurs adresses IP séparées par de nouvelles lignes, des virgules ou des points virgules.
Lorsqu'un choix multiple est activé, les adresses sont affichées dans la liste des adresses IP exclues.
REMARQUE
Les exclusions sont utiles lorsque le filtrage de protocole crée des problèmes de compatibilité.
Clients Web et de messagerie
En raison du nombre considérable de programmes malveillants qui circulent sur Internet, la
sécurisation de la navigation sur Internet est un aspect très important de la protection des
ordinateurs. Les faiblesses des navigateurs Web et les liens frauduleux contribuent à faciliter l'accès
inaperçu des programmes malveillants au système. C'est pour cette raison que ESET Mail Security se
concentre sur la sécurité des navigateurs Web. Chaque application qui accède au réseau peut être
indiquée comme étant un navigateur Internet. Les applications qui utilisent déjà des protocoles de
communication ou une application du chemin sélectionné peuvent être ajoutées à la liste Web et
clients de messagerie.
SSL/TLS
ESET Mail Security est capable de vérifier les menaces dans les communications qui utilisent le
protocole SSL (Secure Sockets Layer)/TLS (Transport Layer Security).
Vous pouvez utiliser différents modes d'analyse pour les communications protégées par SSL à l'aide
des certificats fiables, des certificats inconnus ou des certificats exclus de la vérification des
communications protégées par SSL.
Activer le filtrage du protocole SSL/TLS
Si le filtrage au niveau du protocole est désactivé, le programme n'analyse pas les
communications SSL/TLS. Le mode de filtrage du protocole SSL (Secure Sockets Layer) / TLS
(Transport Layer Security) est disponible dans les options suivantes :
• Mode automatique - Sélectionnez cette option pour analyser toutes les communications
protégées par SSL/TLS à l'exception des communications protégées par des certificats exclus de
la vérification. Si une nouvelle communication utilisant un certificat signé, mais inconnu est
établie, vous n'en serez pas avisé et la communication sera automatiquement filtrée. Lorsque
vous accédez à un serveur en utilisant un certificat non fiable indiqué comme étant fiable
(ajouté à la liste des certificats fiables), la communication avec le serveur est permise et le
contenu du canal de communication est filtré.
• Mode interactif - Si vous entrez un nouveau site protégé par SSL/TLS (avec un certificat
inconnu), une boîte de dialogue dans laquelle vous pouvez sélectionner une action s'affiche. Ce
mode permet de créer une liste de certificats SSL/TLS qui seront exclus de l'analyse.
• Mode de stratégie : Toutes les connexions SSL/TLS sont filtrées, à l'exception des exclusions
configurées.
220
Liste des applications SSL/TLS filtrées
Ajoutez une application filtrée et définissez l'une des actions d'analyse. La liste des applications
filtrées SSL/TLS peut être utilisée pour personnaliser le comportement de ESET Mail Security pour
des applications spécifiques et pour mémoriser les actions choisies si le mode interactif est
sélectionné dans le mode de filtrage de protocole SSL/TLS.
Liste des certificats connus
Vous permet de personnaliser le comportement de ESET Mail Security pour des certificats SSL
spécifiques. La liste peut être consultée et gérée en cliquant sur Modifier en regard de Liste des
certificats connus.
Exclure les communications avec les domaines fiables
Pour exclure la communication à l'aide de certificats de validation étendus de la vérification de
protocole (banque sur Internet).
Bloquer les communications chiffrées à l'aide du protocole obsolète SSL v2
Les communications utilisant la version antérieure du protocole SSL sont automatiquement
bloquées.
Certificat racine
Pour que les communications SSL/TLS fonctionnent correctement dans vos navigateurs/clients de
messagerie, il est essentiel d'ajouter le certificat racine pour ESET à la liste des certificats racines
connus (éditeurs). L'option Ajouter le certificat racine aux navigateurs connus devrait être activée.
Activez cette option pour ajouter automatiquement le certificat racine ESET aux navigateurs
connus (par ex., Opera et Firefox). Pour les navigateurs utilisant la boutique de certification de
système, le certificat sera automatiquement ajouté (par ex., Internet Explorer).
Pour appliquer le certificat à des navigateurs non pris en charge, cliquez sur Afficher le certificat >
Détails > Copier dans un fichier..., puis importez-le manuellement dans le navigateur.
Validité du certificat
S'il est impossible de vérifier le certificat à l'aide du magasin de certificat TRCA
Dans certains cas, le certificat d'un site Web ne peut être vérifié à l'aide du magasin de certificats
Autorités de certification racines de confiance (TRCA). Cela veut dire que le certificat a été
signé automatiquement par une personne (l'administrateur d'un serveur Web ou d'une petite
entreprise par exemple), et considérer ce certificat comme étant un certificat fiable ne présente
pas toujours un risque. Bon nombre de grandes entreprises (les banques, par ex.) utilisent un
certificat signé par le TRCA. Si l'option Interroger sur la validité du certificat (valeur par
défaut) est sélectionnée, l'utilisateur sera invité à sélectionner une action à prendre lorsqu'une
communication chiffrée est établie. Vous pouvez sélectionner Bloquer toute communication
utilisant le certificat afin de toujours mettre fin aux connexions chiffrées vers des sites utilisant
des certificats non vérifiés.
Si le certificat est non valide ou endommagé
221
Cela signifie qu'il est expiré ou a été signé de façon incorrecte. Dans un tel cas, il est
recommandé de quitter Bloquer la communication qui utilise le certificat sélectionné.
Liste des certificats connus
Permet de personnaliser le comportement de ESET Mail Security pour des certificats SSL (Secure
Sockets Layer) / Transport Layer Security (TLS) spécifiques et de mémoriser les actions choisies si le
mode interactif est sélectionné dans le mode de filtrage de protocole SSL/TLS. Vous pouvez
configurer le certificat sélectionné ou Ajouter un certificat à partir d'une URL ou d'un fichier. Une fois
que vous êtes dans la fenêtre Ajouter un certificat, cliquez sur le bouton URL ou Fichier et indiquez
l'URL du certificat ou recherchez un fichier de certificat. Les champs suivants seront
automatiquement remplis en utilisant les données du certificat :
• Nom du certificat - Le nom du certificat.
• Émetteur du certificat - Nom du créateur du certificat.
• Objet du certificat - Le champ Objet du certificat identifie l'entité associée à la clé publique
stockée dans le champ d'objet de clé publique.
Action d'accès
• Auto - Permet d'autoriser les certificats de confiance et demander des certificats non fiables.
• Autoriser ou Bloquer : Permet d'autoriser ou de bloquer toute communication sécurisée par
ce certificat indépendamment de sa fiabilité.
• Demander : permet de recevoir une invite lorsqu'un certificat spécifique est rencontré.
Action d'analyse
• Auto : Permet d'analyser en mode automatique et de demander en mode interactif.
• Analyser ou Ignorer : Permet d'analyser ou d'ignorer les communications sécurisées par ce
certificat.
• Demander : Permet de recevoir une invite lorsqu'un certificat spécifique est rencontré.
Communication SSL chiffrée
Si votre système est configuré pour utiliser l'analyse du protocole SSL, une fenêtre de dialogue vous
invitant à choisir une action s'affichera dans deux situations :
Premièrement, si un site utilise un certificat invérifiable ou non valide, et que ESET Mail Security est
configuré pour demander l'avis de l'utilisateur dans de tels cas (par défaut oui pour les certificats
invérifiables et non pour les certificats non valides), une boîte de dialogue vous demandera
d'autoriser ou de bloquer la connexion.
Deuxièmement, si le Mode de filtrage du protocole SSL est réglé sur le Mode interactif, une
boîte de dialogue pour chaque site vous demandera si vous voulez Analyser ou Ignorer le trafic.
Certaines applications vérifient que leur trafic SSL n'est ni modifié ni consulté par quiconque; dans de
tels cas ESET Mail Security doit ignorer ce trafic pour que l'application continue de fonctionner.
222
Dans les deux cas, l'utilisateur peut choisir de mémoriser l'action sélectionnée. Les actions sont
enregistrées dans la Liste des certificats connus.
Protection du client de messagerie
L'intégration de ESET Mail Security dans les clients de messagerie, augmente le niveau de protection
active contre le code malveillant dans les courriels. Si votre client de messagerie est pris en charge,
l'intégration peut être activée dans ESET Mail Security. Lorsque l'intégration est activée, la barre
d'outils de ESET Mail Security est insérée directement dans le client de messagerie (la barre d'outils
des versions plus récentes de Windows Live Mail n'est pas insérée), permettant une protection plus
efficace des courriels.
Intégration des clients de messagerie
Les clients de messagerie actuellement pris en charge sont Microsoft Outlook, Outlook Express,
Windows Mail et Windows Live Mail. La protection de la messagerie fonctionne comme un plugiciel
pour ces programmes. L'avantage principal du plugiciel est qu'il est indépendant du protocole
utilisé. Ainsi, quand un client de messagerie reçoit un message chiffré, il le déchiffre et l'envoie à
l'analyseur de virus. Même si l'intégration n'est pas activée, la communication par courriels est
toujours protégée par le module de protection du client de messagerie (POP3, IMAP). Pour obtenir
la liste complète des clients de messagerie et de leurs versions pris en charge, reportez-vous à
l'article suivant de la Base de connaissances .
Désactiver la vérification au changement de contenu de la boîte courriel
si vous constatez un ralentissement du système lors de l'utilisation du client de messagerie (MS
Outlook uniquement). Cela peut se produire au moment de récupérer un courriel du Kerio Outlook
223
Connector Store.
Activer la protection courriel par les modules d'extension des clients
Vous permet de désactiver la protection du client de messagerie sans supprimer l'intégration
dans votre client de messagerie. Vous pouvez désactiver tous les plugiciels à la fois, ou désactiver
sélectivement les éléments suivants :
• Message reçu - Active ou désactive la vérification des messages reçus.
• Message envoyé - Active ou désactive la vérification des messages envoyés.
• Message lu - Active ou désactive la vérification des messages lus.
Action à effectuer sur les courriels infectés
• Aucune action - Si cette option est activée, le programme identifiera les fichiers joints
infectés, les laissera les courriels tels quels et n'effectuera aucune action.
• Supprimer les messages - Le programme avertit l'utilisateur à propos des infiltrations et
supprime le message.
• Déplacer le message vers le dossier Éléments supprimés - Les courriels infectés seront
automatiquement déplacés vers le dossier Éléments supprimés.
• Déplacer le courriel vers le dossier - Les courriels infectés seront automatiquement
déplacés vers le dossier indiqué.
• Dossier - Indiquez le dossier personnalisé dans lequel vous voulez placer les courriels infectés
lorsqu'ils sont détectés.
Répéter l'analyse après la mise à jour
Active/désactive la nouvelle analyse après la mise à jour du moteur de détection.
Accepter les résultats d'analyse des autres modules
Si cette option est activée, le module de protection des courriels accepte les résultats d'analyse
des autres modules de protection (analyse des protocoles POP3, IMAP).
Protocoles de messagerie
Activer la protection courriel par filtrage de protocole
Les protocoles IMAP et POP3 sont les protocoles les plus utilisés pour recevoir une communication
par courriel dans une application client de messagerie. ESET Mail Security fournit une protection
pour ces protocoles indépendamment du client de messagerie utilisé.
ESET Mail Security prend également en charge l'analyse des protocoles IMAPS et POP3S qui utilisent
un canal chiffré pour transférer des données entre un serveur et un client. ESET Mail Security vérifie
les communications utilisant les protocoles SSL (Secure Socket Layer) et TLS (Transport Layer
Security). Le programme analysera uniquement le trafic sur les ports définis dans Ports utilisés par le
protocole IMAP/POP3, indépendamment de la version du système d'exploitation.
Configuration de l'analyseur IMAPS/POP3S
Les communications chiffrées ne seront pas analysées lorsque les paramètres par défaut sont
utilisés. Pour activer l'analyse de la communication chiffrée, accédez à Vérification du protocole
SSL/TLS.
224
Le numéro de port identifie le type de port dont il s'agit. Voici les ports de courriels par défaut pour :
Nom du port
Numéros de Description
port
Protocole POP3
110
Port non chiffré POP3 par défaut.
IMAP
143
Port non chiffré IMAP par défaut.
IMAP sécurisé (IMAP4SSL)
585
Activer le filtrage du protocole SSL/TLS. Les numéros de
ports multiples doivent être séparés par des virgules.
IMAP4 sur SSL (IMAPS)
993
Activer le filtrage du protocole SSL/TLS. Les numéros de
ports multiples doivent être séparés par des virgules.
POP3 sécurisé (SSL-POP) 995
Activer le filtrage du protocole SSL/TLS. Les numéros de
ports multiples doivent être séparés par des virgules.
Alertes et notifications
La protection de la messagerie offre le contrôle de la communication par courriel effectuée par
l'entremise des protocoles POP3 et IMAP. À l'aide du plugiciel pour Microsoft Outlook et d'autres
clients de messagerie, ESET Mail Security assure le contrôle de toutes les communications utilisant le
client de messagerie (POP3, MAPI, IMAP, HTTP). Lorsqu'il examine les messages entrants, le
programme utilise toutes les méthodes d'analyse avancée offertes par le moteur d'analyse
ThreatSense. Cela signifie que la détection des programmes malveillants a lieu avant même que
s'effectue la comparaison avec la base de données de détection de virus. L'analyse des
communications par l'entremise des protocoles POP3 et IMAP est indépendante du client de
messagerie utilisé.
Après la vérification d'un courriel, une notification avec le résultat de l'analyse peut être ajoutée au
message. Vous pouvez sélectionner Ajouter une note aux courriels reçus et lus, Ajouter une
note à l'objet des courriels infectés reçus et lus ou Ajouter une note aux messages
envoyés. Sachez cependant qu'en de rares occasions, les étiquettes de message peuvent être
omises dans des messages HTML problématiques ou si le message a été falsifié par des logiciels
malveillants. Les étiquettes peuvent être ajoutées aux courriels reçus et lus, aux courriels envoyés ou
les deux. Les options disponibles sont les suivantes :
• Jamais - Aucune étiquette de message ne sera ajoutée.
• Courriels infectés uniquement - Seuls les messages contenant des logiciels malveillants
seront marqués comme vérifiés (par défaut).
• Tous les courriels analysées - Le programme ajoutera des messages à tout courriel
analysé.
Ajouter une note à l'objet des messages infectés envoyé
Désactivez cette option si vous voulez que la protection de la messagerie ajoute un message
d'avertissement de virus dans l'objet des courriels infectés. Cette fonctionnalité permet un filtrage
simple, selon l'objet, des courriels infectés (si ce filtrage est pris en charge par le programme de
messagerie). Elle augmente le niveau de crédibilité du destinataire et, en cas de détection d'une
infiltration, fournit des données précieuses sur le niveau de menace d'un courriel ou d'un
expéditeur donné.
Modèle ajouté à l'objet des messages infectés
Modifier ce modèle si vous voulez modifier le format du préfixe d'objet d'un courriel infecté. Cette
fonction remplacera l'objet du message Hello par une valeur de préfixe donnée [virus] dans le
225
format suivant : [virus] Hello. La variable %VIRUSNAME% représente la menace détectée.
Barre d’outils MS Outlook
La protection de Microsoft Outlook fonctionne comme un plugiciel. Une fois ESET Mail Security
installé, cette barre d'outils contenant les options du module de protection contre les logiciels
malveillants est ajoutée à Microsoft Outlook :
ESET Mail Security
Cliquez sur l'icône pour ouvrir la fenêtre de programme principale de ESET Mail Security.
Analyser à nouveau les messages
Permet de lancer une vérification manuelle du courriel. Vous pouvez préciser les messages à
analyser et activer la nouvelle analyse des messages reçus. Pour plus d'information, voir
Protection du client de messagerie.
Configuration de l'analyseur
Affiche les options de configuration de la Protection du client de messagerie.
Barre d'outils Outlook Express et Windows Mail
La protection pour Outlook Express et Windows Mail fonctionne comme un plugiciel. Une fois ESET
Mail Security installé, cette barre d'outils contenant les options du module de protection contre les
logiciels malveillants est ajoutée à Outlook Express ou à Windows Mail :
ESET Mail Security
Cliquez sur l'icône pour ouvrir la fenêtre de programme principale de ESET Mail Security.
Analyser à nouveau les messages
Permet de lancer une vérification manuelle du courriel. Vous pouvez préciser les messages à
analyser et activer la nouvelle analyse des messages reçus. Pour plus d'information, voir
Protection du client de messagerie.
Configuration de l'analyseur
Affiche les options de configuration de la Protection du client de messagerie.
Personnaliser l'apparence
Vous pouvez modifier l'apparence de la barre d'outils pour votre client de messagerie. Désactivez
cette option pour personnaliser l'apparence indépendamment des paramètres du programme de
messagerie.
• Afficher le texte - Affiche les descriptions des icônes.
• Texte à droite - Les descriptions des options sont déplacées du bas vers le côté droit des
icônes.
• Grandes icônes - Affiche des icônes de plus grande taille pour les options de menu.
226
Boîte de dialogue de confirmation
Cette notification permet de vérifier que l'utilisateur veut vraiment exécuter l'action sélectionnée, ce
qui devrait éliminer des erreurs possibles. La boîte de dialogue offre également la possibilité de
désactiver les confirmations.
Analyser à nouveau les messages
La barre d'outils de ESET Mail Security intégrée dans les clients de messagerie permet aux utilisateurs
de préciser plusieurs options pour la vérification du courriel. L'option Analyser à nouveau les
messages offre deux modes d'analyse :
• Tous les messages du dossier en cours - Analyse les messages dans le dossier
actuellement affiché.
• Messages sélectionnés uniquement - Analyse uniquement les messages marqués par
l'utilisateur.
• Réanalyser les messages déjà analysés - Offre à l'utilisateur une option permettant
d'effectuer une autre analyse sur les messages ayant déjà été analysés.
Protection de l'accès Web
La protection de l'accès Web utilise la surveillance des communications entre les navigateurs Internet
et des serveurs distants afin de vous protéger contre les menaces en ligne, conformément aux règles
des protocoles HTTP et HTTPS (communications chiffrées).
L'accès aux pages Web contenant des programmes malveillants est bloqué avant que le contenu ne
soit téléchargé. Toutes les autres pages Web sont analysées par le moteur ThreatSense lorsqu'elles
sont chargées et bloquées en cas de détection de contenu malveillant. La protection de l'accès Web
offre deux niveaux de protection : le blocage selon la liste noire et le blocage selon le contenu.
De base
Il est fortement recommandé de laisser la Protection de l’accès Web activée. Vous pouvez aussi
accéder à cette option à partir de la fenêtre principale de ESET Mail Security. Allez à Configuration
> Web et messagerie > Protection de l'accès Web.
Activer l'analyse avancée des scripts du navigateur
Par défaut, tous les programmes JavaScript exécutés par les navigateurs Web seront vérifiés par le
moteur de détection.
Protocoles Web
Vous permet de configurer la surveillance pour ces protocoles standard qui sont utilisés par la plupart
des navigateurs Internet. Par défaut, ESET Mail Security est configuré pour surveiller le protocole
HTTP utilisé par la plupart des navigateurs Internet.
ESET Mail Security prend en charge le contrôle de protocole HTTPS. La communication HTTPS utilise
un canal chiffré pour transférer des données entre un serveur et un client. ESET Mail Security vérifie
les communications à l'aide des méthodes de chiffrement SSL (Secure Socket Layer) et TLS
(Transport Layer Security). Le programme analyse uniquement le trafic sur les ports définis dans
Ports utilisés par le protocole HTTPS, indépendamment de la version du système d'exploitation.
Les communications chiffrées ne sont pas analysées lorsque les paramètres par défaut sont utilisés.
Pour activer l'analyse des communications chiffrées, allez à Configuration avancée (F5) > Web et
messagerie > SSL/TLS.
227
paramètres ThreatSense
Permet de configurer des paramètres tels que les types d'analyse (courriels, archives, exclusions,
limites, etc.) et les méthodes de détection pour la protection d'accès Web.
Gestion d'adresses URL
La gestion des adresses URL vous permet de spécifier les adresses HTTP à bloquer, à autoriser ou à
exclure de la vérification. Les sites Web de la liste des adresses bloquées ne sont pas accessibles à
moins qu'ils ne soient également inclus dans la liste des adresses autorisées. Les sites Web figurant
dans la liste des adresses exclues de la vérification ne sont pas analysés à la recherche de code
malveillant lors de l'accès. L'option Filtrage au niveau du protocole SSL/TLS doit être activée si vous
voulez filtrer les adresses HTTPS en plus des pages Web HTTP. Sinon, seuls les domaines des sites
HTTPS que vous avez visités seront ajoutés, l'URL complète ne le sera pas.
Une liste des adresses bloquées peut contenir des adresses d'une liste noire publique externe
quelconque et une seconde peut contenir votre propre liste noire, ce qui rend plus facile la mise à jour
de la liste externe tout en gardant la vôtre intact.
Cliquez sur Modifier et Ajouter pour créer une nouvelle liste d'adresses en plus de celles
prédéfinies. Cette option peut être utile si vous souhaitez séparer logiquement différents groupes
d'adresses. Par défaut, les trois listes suivantes sont disponibles :
• Liste des adresses exclues de la vérification - Aucune vérification de la présence de
programmes malveillants n'est effectuée pour les adresses indiquées dans la liste.
• Liste des adresses autorisées - Si l'option Autoriser l'accès aux adresses HTTP seulement
figurant dans la liste des adresses autorisées est activée et que la liste des adresses bloquées
contient * (correspond à tout), l'utilisateur n'est autorisé à accéder qu'aux adresses indiquées
dans cette liste. Les adresses de cette liste sont autorisées même si elle sont incluses dans la
liste des adresses bloquées.
• Liste des adresses bloquées - L'utilisateur n'est pas autorisé à accéder aux adresses
indiquées dans cette liste.
228
Vous pouvez Ajouter une nouvelle adresse URL dans la liste. Vous pouvez également entrer plusieurs
valeurs avec un séparateur. Cliquez sur Modifier pour modifier une adresse existante dans la liste,
ou Supprimer pour la supprimer. La suppression n'est possible que pour les adresses créées avec
Ajouter, et non celles qui ont été importées.
Dans toutes les listes, vous pouvez utiliser les symboles spéciaux * (astérisque) et ? (point
d'interrogation) peuvent être utilisés. L'astérisque représente un nombre ou un caractère, tandis que
le point d'interrogation représente un caractère quelconque. Vous devez faire attention lorsque vous
indiquez les adresses exclues, car la liste ne doit contenir que des adresses sûres et fiables. De
même, assurez-vous d'employer correctement les symboles * et ? dans cette liste.
REMARQUE
Si vous voulez bloquer toutes les adresses HTTP à l'exception des adresses indiquées dans la
Liste des adresses autorisées, ajoutez * à la Liste des adresses bloquées active.
Créer une liste
La liste inclut les adresses URL ou les masques de domaine désirés qui seront bloqués, autorisés ou
exclus de la vérification. Lors de la création d'une nouvelle liste, vous devez spécifier les éléments
suivants :
• Type de liste d'adresses - Choisissez le type (Exclus de la vérification, Bloqués ou
Autorisés) dans la liste déroulante.
• Nom de la liste - Précisez le nom de la liste. Ce champ sera grisé lors de la modification de
l'une des trois listes prédéfinies.
• Description de la liste - Entrez une brève description de la liste (facultatif). Sera grisé lors
de la modification de l'une des trois listes prédéfinies.
• Liste active - utilisez le commutateur pour désactiver la liste. Vous pouvez l'activer plus tard
229
si nécessaire.
• Notifier lors de la demande : Si vous voulez être informé lorsqu'une liste en particulier est
utilisée dans l'évaluation d'un site HTTP ou HTTPS que vous avez visité, sélectionnez cette
option. Une notification sera émise si un site est bloqué ou autorisé parce qu'il est inclus dans la
liste des adresses bloquées ou autorisées. La notification contient le nom de la liste contenant
le site spécifié.
• Journalisation de la gravité : Choisissez la gravité de l'entrée du journal (Aucune,
Diagnostic, Informations ou Avertissement) dans la liste déroulante. Les enregistrements avec
la verbosité Avertissement peuvent être collectés par ESET Security Management Center.
ESET Mail Security permet à l'utilisateur de bloquer l'accès à des sites Web particuliers et d'empêcher
le navigateur Internet d'en afficher le contenu. Qui plus est, il permet à l'utilisateur de préciser des
adresses à exclure de la vérification. Si l'utilisateur ignore le nom complet du serveur distant ou s'il
souhaite préciser un groupe de serveurs distants, il peut aussi utiliser des « masques ».
Ces masques peuvent contenir les symboles ? et * :
• utiliser ?? pour représenter un caractère quelconque
• utiliser * pour représenter une chaîne de caractères
EXEMPLE
Ainsi, *.c?m désigne toutes les adresses dont la dernière partie commence par la lettre c et se
termine par la lettre m, avec un caractère inconnu entre les deux (.com, .cam, etc.).
Une séquence de *. est traitée spécialement lorsqu'elle est utilisée au début d'un nom de domaine.
D'abord, le caractère générique * ne correspond pas au caractère barre oblique (('/')) dans ce cas.
Cela permet d'éviter le contournement du masque, par exemple le masque *.domain.com ne
correspondra pas à https://anydomain.com/anypath#.domain.com (un tel suffixe peut être ajouté à
n'importe quelle URL sans incidence sur le téléchargement). Ensuite, le *. correspond également à
une chaîne vide dans ce cas spécial. Cela permet de faire correspondre le domaine entier, y compris
tous les sous-domaines en utilisant un seul masque. Par exemple le masque *.domain.com
correspond aussi à https://domain.com. L'utilisation de *domain.com serait incorrect, puisqu'il
correspondrait aussi à https://anotherdomain.com.
Entrez plusieurs valeurs
Vous pouvez ajouter plusieurs adresses URL séparées par de nouvelles lignes, des virgules ou des
230
points virgules. Lorsqu'un choix multiple est activé, les adresses sont affichées dans la liste.
Importer
Importe un fichier texte avec des adresses URL (valeurs séparées avec un saut de ligne, par
exemple *.txt en utilisant l'encodage UTF-8).
Protection Web antihameçonnage
Le terme hameçonnage désigne une activité frauduleuse qui utilise le piratage psychologique
(manipuler les utilisateurs pour obtenir des données confidentielles). L'hameçonnage est souvent
utilisé pour accéder à des données sensibles, telles que les numéros de comptes bancaires, les NIP,
etc.
ESET Mail Security contient une protection antihameçonnage qui bloque les pages Web qui ont la
réputation de distribuer ce type de contenu. Nous vous recommandons fortement d'activer
l'antihameçonnage dans ESET Mail Security. Consultez l'article de notre base de connaissances à ce
sujet pour plus de renseignements sur la protection antihameçonnage de ESET Mail Security.
Lorsque vous accéderez à un site Web reconnu pour pratiquer le hameçonnage, la boîte de dialogue
suivante s'affichera dans votre navigateur Web. Si vous voulez quand même accéder au site, cliquez
sur Ignorer la menace (non recommandé).
231
REMARQUE
Les sites Web hameçons potentiels qui ont été ajoutés à la liste blanche expireront par défaut
plusieurs heures après l'ajout. Pour autoriser un site de façon permanente, utilisez l'outil Gestion
des adresses URL.
Signaler un site d'hameçonnage
Si vous rencontrez un site Web suspect qui semble être un site Web hameçon ou malveillant, vous
pouvez le signaler à ESET pour analyse. Avant d'envoyer un site Web à ESET, assurez-vous qu'il
répond à un ou plusieurs des critères suivants :
• le site Web n'est pas du tout détecté
• le site Web est erronément détecté comme une menace. Dans ce cas, vous pouvez Rapporter
un site hameçon faux positif .
De manière alternative, vous pouvez soumettre le site Web par courriel. Envoyez votre message à
samples@eset.com. Veuillez donner une description claire de l'objet de votre message et fournissez le
plus de détails possibles sur le fichier (par ex., le site Web qui vous y a référé, comment vous avez
appris l'existence ce site Web, etc.).
Contrôle de périphériques
ESET Mail Security inclut un contrôle automatique des périphériques (CD/DVD/USB). Ce module vous
permet d'analyser, de bloquer ou de régler les filtres ou permissions étendus et de définir la capacité
d'un utilisateur d'accéder à un périphérique donné et de travailler avec celui-ci. Cela peut être utile si
l'administrateur de l'ordinateur veut empêcher l'utilisation de périphériques comportant un contenu
indésirable par des utilisateurs.
232
REMARQUE
Lorsque vous activez le contrôle de périphériques à l'aide du commutateur Intégration au
système, la fonction de contrôle de périphérique de ESET Mail Security est activée. Toutefois, un
redémarrage de votre système est requis pour que cette modification prenne effet.
Le contrôle des périphériques devient actif, ce qui vous permet de modifier ses paramètres. Si un
périphérique bloqué par une règle existante est détecté, une fenêtre de notification s'affiche et
l'accès au périphérique est refusé.
Règles
Une règle de contrôle de périphérique définit l'action qui sera effectuée lorsqu'un périphérique
conforme aux critères énoncés dans la règle est branché à l'ordinateur.
Groupes
Lorsque vous cliquez sur Modifier, vous pouvez gérer les groupes de périphériques. Créez un
nouveau groupe de périphériques ou sélectionnez-en un existant pour ajouter ou supprimer des
périphériques de la liste.
REMARQUE
Vous pouvez afficher les entrées du journal de contrôle de périphériques dans Fichiers journaux.
Règles de périphériques
Des périphériques particuliers peuvent être autorisés ou bloqués en fonction d’un utilisateur, d’un
groupe d'utilisateurs ou de l'un des paramètres supplémentaires pouvant être précisés dans la
configuration de la règle. La liste de règles contient plusieurs éléments descriptifs d'une règle comme
son nom, le type de périphérique externe, l'action à effectuer après la détection d'un périphérique et
la gravité du journal.
Vous pouvez ajouter une nouvelle règle ou modifier les paramètres d'une règle existante. Entrez une
description de la règle dans le champ Nom pour pouvoir l'identifier plus facilement. Cliquez sur le
commutateur à côté de Règle activée pour activer ou désactiver cette règle, ce qui peut être utile si
vous ne voulez pas supprimer définitivement la règle.
Appliquer pendant
Vous pouvez limiter les règles à l'aide des créneaux temporels. Créez d'abord le créneau
temporel; il apparaîtra ensuite dans le menu déroulant.
Type de périphériques
Choisissez le type de périphériques externe dans le menu déroulant (Stockage sur
disque/Dispositif portable/Bluetooth/FireWire/etc.). Les types de périphériques sont tirés du
système d'exploitation et peuvent être affichés dans le Gestionnaire de périphériques, en
assumant qu'un périphérique est branché à l'ordinateur. Les périphériques de stockage incluent
les disques externes ou les lecteurs conventionnels de cartes mémoires branchés à un port USB
ou FireWire. Les lecteurs de cartes à puce comprennent les lecteurs de cartes à puce avec circuit
intégré, comme les cartes SIM ou les cartes d'authentification. Des numériseurs ou des appareilsphotos sont des exemples de périphériques d'imagerie. Ces appareils ne fournissent aucune
information sur les utilisateurs, seulement sur leurs actions. En un mot, les périphériques
233
d'imagerie ne peuvent qu'être bloqués globalement.
Action
L'accès aux appareils autres que de stockage peut être autorisé ou bloqué. À l'inverse, les règles
connexes aux périphériques de stockage permettent de sélectionner l'un des réglages de droits
suivants :
• Lecture et écriture - L'accès complet au périphérique sera autorisé.
• Bloquer - L'accès au périphérique sera bloqué.
• Lecture seule - Seule l'accès en lecture à partir du périphérique sera autorisée.
• Avertir - Chaque fois qu'un périphérique est connecté, l'utilisateur sera informé s'il est
autorisé ou bloqué, et une entrée de journal sera effectuée. Les périphériques ne sont pas
mémorisés; une notification sera toujours affichée pour les connexions ultérieures du même
périphérique.
REMARQUE
Veuillez noter que seuls certains droits (actions) sont disponibles pour tous les types de
périphériques. Si un périphérique comporte de l'espace de stockage, les quatre actions seront
alors disponibles. Pour les périphériques autres que de stockage, seules deux actions sont
disponibles (par exemple, l'action Lecture seule n'est pas disponible pour Bluetooth, ce qui
signifie que ce périphérique ne peut être qu'autorisé ou que bloqué).
D'autres paramètres présentés ci-dessous peuvent être utilisés pour affiner les règles et les
personnaliser en fonction des périphériques. Aucun des paramètres n'est sensible à la casse :
• Fournisseur - Filtrer par nom de fournisseur ou par identifiant.
• Modèle - Nom donné au périphérique.
• Numéro de série - Les périphériques externes ont généralement leur propre numéro de
série. Dans le cas des CD/DVD, il s'agit du numéro de série du périphérique, non du lecteur de
CD.
REMARQUE
Si ces trois descripteurs ci-dessus sont vides, la règle ne tiendra pas compte de ces champs au
moment d'établir la correspondance. Les paramètres de filtrage des champs de texte ne
respectent pas la casse et les caractères génériques (*, ?) ne sont pas pris en charge.
Pour connaître les paramètres d'un périphérique, créez une règle d'autorisation pour le type de
périphérique approprié, puis connectez le périphérique à l'ordinateur avant de vérifier les détails du
périphérique dans le Journal du contrôle des périphériques.
Choisissez la Journalisation de la gravité dans la liste déroulante :
• Toujours - Consigne tous les événements.
• Diagnostic - Consigne les données requises pour affiner le programme.
• Information - Enregistre des messages informatifs, y compris les messages de mise à jour
réussie, ainsi que toutes les entrées préalables.
• Avertissement - Enregistre les erreurs critiques et les messages d'avertissement.
• Aucun - Aucune journalisation ne sera faite.
Les règles peuvent être restreintes à certains utilisateurs ou groupes d'utilisateurs en les ajoutant
dans la Liste des utilisateurs. Cliquez sur Modifier pour gérer la liste d'utilisateurs.
234
• Ajouter - Ouvre la boîte de dialogue Types d'objet : La fenêtre de dialogue Utilisateurs ou
Groupes qui permet de sélectionner les utilisateurs voulus.
• Supprimer - Supprime l'utilisateur sélectionné du filtre.
REMARQUE
Tous les périphériques peuvent être filtrés par des règles utilisateurs (par exemple, les imageurs
ne fournissent aucune information sur les utilisateurs, seulement sur les actions invoquées).
Les fonctions suivantes sont disponibles :
Modifier
Vous permet de modifier le nom d'une règle ou de paramètres sélectionnés pour les
périphériques qui s'y trouvent (fournisseur, modèle, numéro de série).
Copier
Crée une nouvelle règle basée sur les paramètres de la règle sélectionnée.
Supprimer
Permet de supprimer la règle sélectionnée. Vous pouvez aussi utiliser la case à cocher à côté
d'une règle donnée pour la désactiver. Cela peut être utile si vous ne voulez pas supprimer une
règle de façon permanente afin que vous puissiez l'utiliser dans le futur.
Alimenter
Le bouton Alimenter donne un aperçu de tous les périphériques actuellement connectés avec les
informations sur : le type de périphérique, le fournisseur du périphérique, le modèle et le numéro
de série (si disponible). Lorsque vous sélectionnez un périphérique (à partir de la liste
Périphériques détectés) et vous cliquez sur OK, une fenêtre d'édition des règles apparaît avec de
l'information prédéfinie (vous pouvez ajuster tous les paramètres).
Les règles sont classées par ordre de priorité; les règles ayant une priorité plus élevée sont au
sommet. Vous pouvez sélectionner plusieurs règles et appliquer des actions, telles que la suppression
ou le déplacement vers le haut ou vers le bas dans la liste en cliquant sur Au dessus/Vers le
haut/Vers le bas/En dessous (les flèches de défilement).
Groupes de périphériques
La fenêtre Groupes de périphériques est divisée en deux. La partie droite de la fenêtre contient une
liste des périphériques appartenant au groupe respectif et la partie gauche de la fenêtre contient une
liste des groupes existants. Sélectionnez un groupe qui contient les périphériques que vous souhaitez
afficher dans la fenêtre de droite.
Vous pouvez créer différents groupes de périphériques pour lesquels des règles différentes seront
appliquées. Vous pouvez également créer un seul groupe de périphériques réglé à Lecture/écriture
ou Lecture seule. Cela garantit que les périphériques non reconnus seront bloqués par le contrôle de
périphériques lorsqu'ils sont connectés à votre ordinateur.
AVERTISSEMENT
Un périphérique externe connecté à votre ordinateur peut présenter un risque pour la sécurité.
235
Les fonctions suivantes sont disponibles :
Ajouter
Vous pouvez ajouter un nouveau groupe en entrant son nom ou ajouter un périphérique à un
groupe existant (vous pouvez aussi spécifier des détails comme le nom du fournisseur, le modèle
et le numéro de série) selon la zone de la fenêtre dans laquelle vous avez cliqué sur le bouton.
Modifier
Vous permet de modifier le nom d'un groupe ou de paramètres sélectionnés pour les
périphériques qui s'y trouvent (fournisseur, modèle, numéro de série).
Supprimer
Supprime le groupe ou le périphérique sélectionné en fonction de l'emplacement de la fenêtre sur
laquelle vous avez cliqué. Vous pouvez également utiliser la case à cocher en regard d'une règle
donnée pour la désactiver. Cela peut être utile si vous ne souhaitez pas supprimer définitivement
une règle pour pouvoir l'utiliser ultérieurement.
Importer
Importe une liste de numéros de série des périphériques à partir d'un fichier.
Alimenter
Le bouton Alimenter donne un aperçu de tous les périphériques actuellement connectés avec les
informations sur : le type de périphérique, le fournisseur du périphérique, le modèle et le numéro
de série (si disponible). Lorsque vous sélectionnez un périphérique (à partir de la liste
Périphériques détectés) et vous cliquez sur OK, une fenêtre d'édition des règles apparaît avec de
l'information prédéfinie (vous pouvez ajuster tous les paramètres).
Une fois que vous avez terminé avec la personnalisation, cliquez sur OK. Cliquez sur Annuler si vous
voulez quitter la fenêtre Groupes de périphériques sans enregistrer les modifications.
REMARQUE
Veuillez noter que seuls certains droits (actions) sont disponibles pour tous les types de
périphériques. Si un périphérique comporte de l'espace de stockage, les quatre actions seront
alors disponibles. Pour les périphériques autres que de stockage, seules deux actions sont
disponibles (par exemple, l'action Lecture seule n'est pas disponible pour Bluetooth, ce qui
signifie que ce périphérique ne peut être qu'autorisé ou que bloqué).
Configuration d'outils
Vous pouvez personnaliser les paramètres avancés pour les éléments suivants :
• Créneaux temporels
• Cibles d'analyse ERA/ESMC
• Mode prioritaire
• ESET CMD
• ESET RMM
• Licence
• Fournisseur WMI
236
• Fichiers journaux
• Serveur mandataire
• Notifications par courriel
• Mode Présentation
• Diagnostique
• Grappe
Créneaux temporels
Les créneaux temporels sont utilisés dans les règles de contrôle des périphériques, ce qui limite les
règles lors de leur application. Créez un créneau temporel et sélectionnez-le lors de l'ajout ou de la
modification de règles existantes (paramètre Appliquer pendant). Cela vous permet de définir des
créneaux temporels couramment utilisés (temps de travail, Fin de semaine, etc.) et de les réutiliser
facilement sans redéfinir les plages horaires de chaque règle. Un créneau temporel devrait être
applicable à tout type de règle pertinent qui prend en charge le contrôle basé sur le temps.
Microsoft Windows Update
Les mises à jour Windows fournit des corrections importantes aux vulnérabilités potentiellement
dangereuses et augmente le niveau de sécurité général de votre ordinateur. C'est pourquoi il est
essentiel que vous installiez les mises à jour de Microsoft Windows dès qu'elles sont disponibles. ESET
Mail Security vous informe des mises à jour manquantes en fonction du niveau indiqué. Les niveaux
suivants sont disponibles :
• Aucune mise à jour - Aucune mise à jour du système ne pourra être téléchargée.
• Mises à jour facultatives - Les mises à jour de faible priorité pourront minimalement être
téléchargées.
• Mises à jour recommandées - Les mises à jour courantes pourront minimalement être
téléchargées.
• Mises à jour importantes - Les mises à jour importantes pourront minimalement être
téléchargées.
• Mises à jour critiques - Seules les mises à jour critiques pourront être téléchargées.
Cliquez sur OK pour enregistrer les modifications. La fenêtre Mises à jour système s'affiche après
vérification de l'état avec le serveur de mise à jour. C'est pourquoi il est possible que les données de
mise à jour système ne soient pas immédiatement disponibles après l'enregistrement des
modifications.
ESET CMD
Il s'agit d'une fonctionnalité qui permet des commandes avancées ecmd. Elle vous permet d'exporter
et d'importer des paramètres en utilisant la ligne de commande (ecmd.exe). Jusqu'à présent, il était
possible d'exporter et d'importer des paramètres uniquement à l'aide de l'IUG. La configuration de
ESET Mail Security peut être exportée à l'aide d'un fichier .xml.
Lorsque ESET CMD est activé, deux méthodes d'autorisation sont disponibles :
• Aucune - Aucune autorisation. Nous ne recommandons pas cette méthode, car elle permet
l'importation de toute configuration non signée, ce qui comporte un risque.
237
• Mot de passe de configuration avancée : Un mot de passe est requis lors de l'importation
de la configuration d'un fichier .xml, le fichier doit être signé (voir signature de la configuration
.xml plus bas). Le mot de passe spécifié dans Configuration de l'accès doit être fourni avant
qu'une nouvelle configuration puisse être importée. Si la configuration de l'accès n'est pas
activée, le mot de passe ne correspond pas ou le fichier de configuration .xml n'est pas signé, la
configuration ne sera pas importée.
Une fois qu'ESET CMD est activé, vous pouvez utiliser la ligne de commande pour importer ou
exporter les configurations de ESET Mail Security. Vous pouvez le faire manuellement ou créer un
script pour l'automatiser.
IMPORTANT
Pour utiliser les commandes avancées d'ecmd, vous devez les exécuter avec des privilèges
d'administrateur ou ouvrir l'invite de commandes (cmd) de Windows en utilisant Exécuter en
tant qu'administrateur. Sinon, vous obtiendrez le message Error executing command.. En
outre, lors de l'exportation de la configuration, le dossier de destination doit exister. La
commande Export fonctionne même lorsque le paramètre ESET CMD est désactivé.
EXEMPLE
Commande d'exportation des paramètres :
ecmd /getcfg c:\config\settings.xml
Commande d'importation des paramètres :
ecmd /setcfg c:\config\settings.xml
REMARQUE
Les commandes ecmd avancées ne peuvent être exécutées que localement. L'exécution d'une
tâche de client Exécuter la commande en utilisant ESET Security Management Center ne
fonctionnera pas.
Signature du fichier de configuration .xml :
1.Téléchargez l'exécutable XmlSignTool.
2.Ouvrez une invite de commande Windows (cmd) en utilisant Exécuter en tant
qu'administrateur.
3.Accédez à l'emplacement de xmlsigntool.exe
4.Exécutez une commande pour signer le fichier de configuration .xml xmlsigntool /version
1|2 <xml_file_path>
IMPORTANT
La valeur du paramètre /version dépend de la version de votre ESET Mail Security. Utilisez
/version 2 pour ESET Mail Security 7 et versions ultérieures.
5.Entrez deux fois le mot de passe de la configuration avancée lorsque XmlSignTool le
demande. Votre fichier de configuration .xml est maintenant signé et peut être utilisé pour
l'importation sur une autre instance de ESET Mail Security avec ESET CMD en utilisant la
238
méthode d'autorisation de mot de passe de configuration avancée.
EXEMPLE
Commande de signature de fichier de configuration exportée : xmlsigntool /version 2
c:\config\settings.xml
REMARQUE
Si le mot de passe de la configuration d'accès change et que vous souhaitez importer la
configuration qui a été signée précédemment avec un ancien mot de passe, vous pouvez signer
le fichier de configuration .xml à nouveau à l'aide du mot de passe actuel. Cela vous permet
d'utiliser un fichier de configuration plus ancien sans avoir besoin de l'exporter sur une autre
machine exécutant ESET Mail Security avant l'importation.
ESET RMM
La surveillance et la gestion à distance (RMM) est le processus de supervision et de contrôle des
systèmes logiciels (tels que ceux sur les ordinateurs de bureau, les serveurs et les appareils mobiles)
au moyen d'un agent installé localement auquel un fournisseur de services de gestion peut accéder.
Activer RMM
Active la surveillance et la gestion à distance. Vous devez disposer des privilèges d'administrateur
pour utiliser l'utilitaire RMM.
Mode de fonctionnement
Sélectionnez le mode de fonctionnement de RMM souhaité dans le menu déroulant :
• Opérations sécurisées uniquement : si vous souhaitez activer l'interface RMM pour des
opérations sûres et en lecture seule
• Toutes les opérations : si vous souhaitez activer l'interface RMM pour des opérations sûres
et en lecture seule
Méthode d'autorisation
239
Définissez la méthode d'autorisation de RMM dans le menu déroulant :
• Aucune : Aucune vérification du chemin de l'application ne sera effectuée, vous pouvez
exécuter ermm.exe depuis n'importe quelle application
• Chemin d'application : Spécifiez l'application autorisée à s'exécuter ermm.exe
L'installation d'ESET Endpoint Security par défaut contient le fichier ermm.exe situé dans ESET Mail
Security (chemin par défaut c:\Program Files\ESET\ESET Mail Security). ermm.exe échange des
données avec le plugiciel de RMM, qui communique avec l'agent de RMM, lié à un serveur RMM.
• ermm.exe : Utilitaire de ligne de commande développé par ESET qui permet la gestion des
produits de point d'extrémité et la communication avec n'importe quel plugiciel de RMM.
• Plugiciel de RMM : Application tierce s'exécutant localement sur un système de point
d'extrémité Windows. Le plugiciel a été conçu pour communiquer avec un agent de RMM en
particulier (par exemple Kaseya uniquement) et avec ermm.exe.
• Agent de RMM : Application tierce (par exemple de Kaseya) s'exécutant localement sur un
système de point d'extrémité Windows. L'agent communique avec le plugiciel de RMM et avec
le serveur RMM.
• Serveur RMM : S'exécute en tant que service sur un serveur tiers. Les systèmes RMM pris en
charge sont fournis par Kaseya, Labtech, Autotask, Max Focus et Solarwinds N-able.
Consultez l'article de notre base de connaissances à ce sujet
RMM dans ESET Mail Security.
pour plus de renseignements sur ESET
Plugiciel ESET Direct Endpoint Management pour les solutions RMM tierces
RMM Server s'exécute en tant que service sur un serveur tiers. Pour plus d'informations, consultez les
guides de l'utilisateur en ligne d'ESET Direct Endpoint Management suivants :
• Plugiciel ESET Direct Endpoint Management pour ConnectWise Automate
• Plugiciel ESET Direct Endpoint Management pour DattoRMM
• Plugiciel ESET Direct Endpoint Management pour Solarwinds N-Central
• Plugiciel ESET Direct Endpoint Management pour NinjaRMM
Licence
ESET Mail Security se connecte au serveur de licences ESET plusieurs fois par heure pour effectuer
des vérifications. Le paramètre Vérification d'intervalle est réglé sur Automatique par défaut. Si
vous souhaitez réduire le trafic réseau causé par les vérifications de licence, définissez la vérification
d'intervalle sur Limitée et la vérification de licence ne sera effectuée qu'une fois par jour (également
après le redémarrage du serveur).
Lorsque la vérification d'intervalle est définie sur Limitée, toutes les modifications liées à la licence
apportées à votre ESET Mail Security au moyen de ESET Business Account et d'ESET MSP
Administrator peuvent prendre jusqu'à un jour pour être appliquées.
Fournisseur WMI
Windows Management Instrumentation (WMI est l'implémentation par Microsoft de Web Based
Enterprise Management (WBEM), qui est une initiative de l'industrie pour développer un standard
technologique pour accéder à l'information de gestion dans un environnement d'entreprise.
240
Pour en savoir plus sur la WMI, voir
http://msdn.microsoft.com/en-us/library/windows/desktop/aa384642(v=vs.85).aspx
Activer le fournisseur WMI
L'objectif du Fournisseur ESET WMI est de permettre la surveillance à distance des produits ESET dans
un environnement d'entreprise sans nécessiter quelconque outil ou logiciel ESET spécifique. En
exposant les renseignements de base sur le produit, le statut et les statistiques par WMI, nous
augmentons énormément les possibilités pour les administrateurs de l'entreprise lors de la
surveillance les produits ESET. Les administrateurs peuvent tirer avantage des nombreuses méthodes
d'accès offertes par WMI (ligne de commande, scripts et outils de surveillance d'entreprise tiers) pour
surveiller l'état de leurs produits ESET.
L'implémentation courante procure un accès en lecture seule à l'information de vase sur le produit,
les fonctionnalités installées et leur état de protection, les statistiques individuelles relatives aux
analyseurs et les fichiers journaux du produit.
Le fournisseur WMI permet d'utiliser l'infrastructure et les outils WMI standard de Windows pour lire
l'état et les journaux du produit.
Données fournies
Toutes les classes WMI liées au produit ESET sont situées dans l'espace de noms « root\ESET ». Les
classes suivantes, qui sont décrites de manière plus détaillée ci-bas, sont maintenant implantées :
Général
• ESET_Product
• ESET_Features
• ESET_Statistics
Journaux
• ESET_ThreatLog
• ESET_EventLog
• ESET_ODFileScanLogs
• ESET_ODFileScanLogRecords
• ESET_ODServerScanLogs
• ESET_ODServerScanLogRecords
• ESET_HIPSLog
• ESET_URLLog
• ESET_DevCtrlLog
• ESET_GreylistLog
• ESET_MailServeg
• ESET_HyperVScanLogs
• ESET_HyperVScanLogRecords
Classe ESET_Product
Il ne peut y avoir qu'une seule instance de la classe ESET_Product. Les propriétés de cette classe
réfèrent aux renseignements de base à propos de votre produit ESET installé :
• ID - Identifiant du type de produit, par exemple « emsl »
241
• Name - Nom du produit, par exemple « ESET Mail Security »
• FullName - Nom complet du produit, par exemple « ESET Mail Security for IBM Domino »
• Version - Version du produit, par exemple « 6.5.14003.0 »
• VirusDBVersion - Version de la base de données de virus, par exemple « 14533
(20161201) »
• VirusDBLastUpdate - Estampille temporelle de la dernière mise à jour de la base de
données de virus. La chaîne contient l'estampille temporelle en format WMI date/heure, par
exemple « 20161201095245.000000+060 »
• LicenseExpiration - Délai d'expiration de la licence. La chaîne contient l'estampille
temporaire au format WMI dateheure
• KernelRunning - Valeur booléenne indiquant si le service s'exécute sur la machine, par
exemple « TRUE »
• StatusCode - Chiffre indiquant l'état de protection du produit : 0 - Vert (OK), 1 - Jaune
(Avertissement), 2 - Rouge (Erreur)
• Texte d'état - Message qui décrit la raison d'un code d'état non nul, sinon il n'est pas nul
Classe ESET_Features
La classe ESET_Features possède de multiples instances, selon le nombre de fonctionnalités du
produit. Voici le contenu de chaque instance :
• Nom - Nom de la fonctionnalité (une liste de noms est offerte plus bas)
• État - État de la fonctionnalité : 0 - Inactive, 1 - Désactivée, 2 - Activée
Une liste des chaînes représentant les fonctionnalités couramment reconnues :
• CLIENT_FILE_AV - Protection antivirus en temps réel du système de fichier
• CLIENT_WEB_AV - Protection antivirus Web du client
• CLIENT_DOC_AV - Protection antivirus des documents du client
• CLIENT_NET_FW - Coupe-feu personnel du client
• CLIENT_EMAIL_AV - Protection antivirus des courriels du client
• CLIENT_EMAIL_AS - Protection antipourrielle du courriel du client
• SERVER_FILE_AV - Protection antivirus en temps réel des fichiers sur le fichier protégé du
produit du serveur, par exemple les fichiers dans la base de données SharePoint dans le cas de
ESET Mail Security
• SERVER_EMAIL_AV - Protection antivirus des courriels du produit du serveur protégé, par
exemple les courriels dans MS Exchange ou IBM Domino
• SERVER_EMAIL_AS - Protection antipourriel des courriels du produit du serveur protégé, par
exemple les courriels dans MS Exchange ou IBM Domino
• SERVER_GATEWAY_AV - Protection antivirus des protocoles réseau protégés sur la
passerelle
• SERVER_GATEWAY_AS - Protection antipourrielle des protocoles réseau protégés sur la
passerelle
Classe ESET_Statistics
La classe ESET-Statistics possède de multiples instances, selon le nombre d'analyseurs dans le
produit. Voici le contenu de chaque instance :
• Analyseur - Chaîne de code pour l'analyseur spécifique, par exemple « CLIENT_FILE »
• Total - Nombre total de fichiers analysés
• Infectés - Nombre de fichiers infectés trouvés
242
• Nettoyés - Nombre de fichiers nettoyés
• Estampille temporelle - Estampille temporelle de la dernière modification apportée à cette
statistique. En format WMI date/heure, par exemple « 20130118115511.000000+060 »
• Délai de réinitialisation - Estampille temporelle de la dernière réinitialisation du compteur
de statistiques. En format WMI date/heure, par exemple « 20130118115511.000000+060 »
Liste des chaînes représentant les analyseurs couramment reconnus :
• CLIENT_FILE
• CLIENT_EMAIL
• CLIENT_WEB
• SERVER_FILE
• SERVER_EMAIL
• SERVER_WEB
Classe ESET_ThreatLog
La classe ESET_ThreatLog possède de multiples instances, chacune représentant une entrée du
journal « Menaces détectées ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée du journal d'analyse
• Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI
date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans le [0-8]. Les
valeurs correspondent aux niveaux nommés comme suit : Déboguer, Info-pied de page, Info,
Info-Important, Avertissement, Erreur, Avertissement de sécurité, Erreur critique, Avertissement
de sécurité critique
• Analyseur - Nom de l'analyseur qui a créé cet événement dans le journal
• Type de l'objet - Type de l'objet qui a généré cet événement dans le journal
• Nom de l'objet - Nom de l'objet qui a généré cet événement dans le journal
• Menace - Nom de la menace qui a été trouée dans l'objet décrit par les propriétés
ObjectName et ObjectType
• Action - Action exécutée après l'identification de la menace
• Utilisateur - Compte utilisateur qui a causé la génération de cet événement dans le journal
• Information - Description supplémentaire de l'événement
• Hachage - Hachage de l'objet qui a généré cet événement dans le journal
ESET_EventLog
La classe ESET_EventLog possède de multiples instances, chacune représentant une entrée du journal
« Événements ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée du journal d'analyse
• Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI
date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans l'intervalle [0-8].
Les valeurs correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, InfoImportant, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Analyseur - Nom de l'analyseur qui a créé cet événement dans le journal
• Événement - Description de l'événement
• Utilisateur - Compte utilisateur qui a causé la génération de cet événement dans le journal
243
ESET_ODFileScanLogs
La classe ESET_ODFileScanLogs possède de multiples instances, chacune représentant une entrée
d'analyse de fichiers à la demande. C'est l'équivalent de la liste des journaux IUG « Analyse de
l'ordinateur à la demande ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée du journal d'analyse
• Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI
date/heure)
• Cibles - Dossiers/objets cibles de l'analyse
• Total analysés - Nombre total d'objets analysés
• Infectés - Nombre de fichiers infectés trouvés
• Nettoyés - Nombre d'objets nettoyés
• État - État du processus d'analyse
ESET_ODFileScanLogRecords
La classe ESET_ODFileScanLogRecords possède de multiples instances, chacune représentant une
entrée de journal dans l'un des journaux d'analyse représentés par les instances de la classe
ESET_ODFileScanLogs. Les instances de cette classe fournissent des entrées de journal de toutes les
analyses et de tous les journaux à la demande. Lorsque l'instance d'un seul journal d'analyse
particulier est exigée, elle doit être filtrée par propriété LogID. Voici le contenu de chaque instance de
classe :
• Identifiant du journal - Identifiant du journal d'analyse auquel cette entrée appartient
(identifiant d'une des instances de la classe ESET_ODFileScanLogs)
• Identifiant - Identifiant unique pour cette entrée du journal d'analyse
• Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI
date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important,
Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Journal - Le message du journal courant
ESET_ODServerScanLogs
La classe ESET_ODServerScanLogs possède de multiples instances, chacune représentant l'exécution
d'une analyse de serveur à la demande. Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée du journal d'analyse
• Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI
date/heure)
• Cibles - Dossiers/objets cibles de l'analyse
• Total analysés - Nombre total d'objets analysés
• Infectés - Nombre de fichiers infectés trouvés
• Nettoyés - Nombre d'objets nettoyés
• Occurrence de la règle - Nombre total d'occurrences de la règle
• État - État du processus d'analyse
ESET_ODServerScanLogRecords
La classe ESET_ODServerScanLogRecords possède de multiples instances, chacune représentant une
entrée de journal dans l'un des journaux d'analyse représentés par instance de la classe
244
ESET_ODServerScanLogs. Les instances de cette classe fournissent des entrées de journal de toutes
les analyses et de tous les journaux à la demande. Lorsque l'instance d'un seul journal d'analyse
particulier est exigée, elle doit être filtrée par propriété LogID. Voici le contenu de chaque instance de
classe :
• Identifiant du journal - Identifiant du journal d'analyse auquel cette entrée appartient
(identifiant d'une des instances de la classe ESET_ ODServerScanLogs)
• Identifiant - Identifiant unique pour cette entrée du journal d'analyse
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en
format WMI date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans l'intervalle [0-8].
Les valeurs correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, InfoImportant, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Journal - Le message du journal courant
ESET_SmtpProtectionLog
La classe ESET_SmtpProtectionLog possède de multiples instances, chacune représentant une entrée
du journal « Smtp protection ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée du journal d'analyse
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en
format WMI date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important,
Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Domaine HELO - Nom du domaine HELO
• Adresse IP - Adresse IP source
• Expéditeur - Expéditeur du courriel
• Destinataire - Destinataire du courriel
• Type de protection - Type de protection utilisé
• Action - Action exécutée
• Raison - Raison de l'action
• Temps d'acceptation - Nombre de minutes après lequel le courriel sera accepté
ESET_HIPSLog
La classe ESET_HIPSLog possède de multiples instances, chacune représentant une entrée du journal
« HIPS ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée de journal
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en
format WMI date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre dans l'intervalle [0-8].
Les valeurs correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, InfoImportant, Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Application - Applications sources
• Cible - Type de l'opération
• Action - Mesure prise par HIPS, par exemple, autoriser, refuser, etc.
• Règle - Nom de la règle responsable de l'action
• AdditionalInfo
245
ESET_URLLog
La classe ESET_URLLog possède de multiples instances, chacune représentant une entrée du journal
« Sites Web filtrés ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée de journal
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en
format WMI date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important,
Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• URL - L'URL
• État - Ce qui est arrivé à l'URL, par ex. « Bloqué par le contrôle Web »
• Application - Application qui a tenté d'accéder à l'URL
• Utilisateur - Compte d'utilisateur sous lequel l'application s'exécutait
ESET_DevCtrlLog
La classe ESET_DevCtrlLog possède de multiples instances, chacune représentant une entrée du
journal « Contrôle de périphériques ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée de journal
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en
format WMI date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important,
Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Appareil - Nom de l'appareil
• Utilisateur - Nom du compte utilisateur
• SID Utilisateur - SID du compte utilisateur
• Groupe - Nom du groupe de l'utilisateur
• SID Groupe - SID du groupe de l'utilisateur
• État - Ce qui est arrivé à l'appareil, par ex. « Écriture bloquée »
• Détails de l'appareils - Informations supplémentaires concernant l'appareil
• Détails de l'événement - Informations supplémentaires concernant l'événement
ESET_MailServerLog
La classe ESET_MailServerLog possède de multiples instances, chacune représentant une entrée du
journal « Serveur de messagerie ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée de journal
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en
format WMI date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important,
Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Adresse IP - Adresse IP source
• Domaine HELO - Nom du domaine HELO
• Expéditeur - Expéditeur du courriel
• Destinataire - Destinataire du courriel
• Objet - Objet du courriel
246
• Type de protection - Type de protection ayant exécuté l'action décrite par l'enregistrement
de journal en cours, à savoir logiciel malveillant, antipourriel ou règles.
• Action - Action exécutée
• Raison - La raison pour laquelle l'action a été effectuée sur l'objet par le Type de protection
donné.
ESET_HyperVScanLogs
La classe ESET_HyperVScanLogs possède de multiples instances, chacune représentant une exécution
de l'analyse Hyper-V. C'est l'équivalent de la liste des journaux IUG « Analyse de Hyper-V ». Voici le
contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée de journal
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en
format WMI date/heure)
• Cibles - Machines/disques/volumes cibles de l'analyse
• Total analysés - Nombre total d'objets analysés
• Infectés - Nombre de fichiers infectés trouvés
• Nettoyés - Nombre d'objets nettoyés
• État - État du processus d'analyse
ESET_HyperVScanLogRecords
La classe ESET_HyperVScanLogRecords possède de multiples instances, chacune représentant une
entrée de journal dans l'un des journaux d'analyse représentés par les instances de la classe
ESET_HyperVScanLogs. Les instances de cette classe fournissent des entrées de journal de toutes les
analyses Hyper-V et de tous les journaux. Lorsque l'instance d'un seul journal d'analyse particulier est
exigée, elle doit être filtrée par propriété LogID. Voici le contenu de chaque instance de classe :
• Identifiant du journal - Identifiant du journal d'analyse auquel cette entrée appartient
(identifiant d'une des instances de la classe ESET_HyperVScanLogs)
• Identifiant - Identifiant unique pour cette entrée de journal
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en
format WMI date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important,
Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Journal - Le message du journal courant
ESET_NetworkProtectionLog
La classe ESET_NetworkProtectionLog possède de multiples instances, chacune représentant une
entrée du journal « Protection du réseau ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée de journal
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en
format WMI date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important,
Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Événement - Événement déclenchant la protection du réseau
• Action - Action exécutée par la protection du réseau
247
• Source - Adresse source du périphérique réseau
• Source - Adresse cible du périphérique réseau
• Protocole - Protocole de communication réseau
• Règle ou nom du ver - Règle ou nom du ver lié à l'événement
• Application - Application qui démarre la communication réseau
• Utilisateur - Compte utilisateur qui a causé la génération de cet événement dans le journal
ESET_SentFilesLog
La classe ESET_SentFilesLog possède de multiples instances, chacune représentant une entrée du
journal « Fichiers envoyés ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour cette entrée de journal
• Estampille temporelle - Création d'une estampille temporelle de l'entrée du journal (en
format WMI date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important,
Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Sha1 - Hachage SHA-1 du fichier envoyé
• Fichier - Fichier envoyé
• Format - Format du fichier envoyé
• Catégorie - Catégorie du fichier envoyé
• Raison - Raison de l'envoi du fichier
• Envoyé à - Service d'ESET auquel le fichier a été envoyé
• Utilisateur - Compte utilisateur qui a causé la génération de cet événement dans le journal
ESET_OneDriveScanLogs
La classe ESET_OneDriveScanLogs possède de multiples instances, chacune représentant une
exécution de l'analyse de OneDrive. C'est l'équivalent de la liste des journaux IUG « Analyse de
OneDrive ». Voici le contenu de chaque instance :
• Identifiant - Identifiant unique pour ce journal OneDrive
• Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI
date/heure)
• Cibles - Dossiers/objets cibles de l'analyse
• Total analysés - Nombre total d'objets analysés
• Infectés - Nombre de fichiers infectés trouvés
• Nettoyés - Nombre d'objets nettoyés
• État - État du processus d'analyse
ESET_OneDriveScanLogRecords
La classe ESET_OneDriveScanLogRecords possède de multiples instances, chacune représentant une
entrée de journal dans l'un des journaux d'analyse représentés par les instances de la classe
ESET_OneDriveScanLogs. Les instances de cette classe fournissent des entrées de journal de toutes
les analyses et de tous les journaux de OneDrive. Lorsque l'instance d'un seul journal d'analyse
particulier est exigée, elle doit être filtrée par propriété LogID. Voici le contenu de chaque instance :
• Identifiant du journal - Identifiant du journal d'analyse auquel cette entrée appartient
(identifiant d'une des instances de la classe ESET_OneDriveScanLogs)
• Identifiant - Identifiant unique pour ce journal OneDrive
248
• Estampille temporelle - Création d'une estampille temporelle du journal (en format WMI
date/heure)
• Niveau du journal - Gravité de l'entrée du journal exprimée en chiffre [0-8]. Les valeurs
correspondent aux niveaux nommés comme suit : Debug, Info-Footnote, Info, Info-Important,
Warning, Error, SecurityWarning, Error-Critical, SecurityWarning-Critical
• Journal - Le message du journal courant
Accès aux données fournies
Voici quelques exemples pour montrer comment accéder aux données WMI ESET à partir de la ligne
de commande Windows et PowerShell, qui devraient fonctionner à partir de n'importe quel système
d'exploitation Windows courant. Cependant, il existe bien d'autres façons d'accéder aux données à
partir d'autres langages et outils de script.
Ligne de commande sans script
L'outil de ligne de commande wmic peut être utilisé pour accéder à diverses classes WMI prédéfinies
ou personnalisées.
Pour afficher tous les renseignements à propos d'un produit qui se trouve sur la machine locale :
wmic /namespace:\\root\ESET Path ESET_Product
Pour afficher le numéro de version du produit seulement pour un produit qui se trouve sur la machine
locale :
wmic /namespace:\\root\ESET Path ESET_Product Get Version
Pour afficher tous les renseignements à propos d'un produit qui se trouve sur une machine à distance
avec l'adresse IP 10.1.118.180 :
wmic /namespace:\\root\ESET /node:10.1.118.180 /user:Administrator Path ESET_Product
PowerShell
Pour obtenir et afficher les tous les renseignements à propos d'un produit sur une machine locale :
Get-WmiObject ESET_Product -namespace 'root\ESET'
Pour obtenir et afficher tous les renseignements à propos d'un produit qui se trouve sur une machine
à distance avec l'adresse IP 10.1.118.180 :
$cred = Get-Credential # promts the user for credentials and stores it in the
variable
Get-WmiObject ESET_Product -namespace 'root\ESET' -computername '10.1.118.180' -cred
$cred
Cibles d'analyse ERA/ESMC
Cette fonctionnalité permet à ESET Security Management Center d'utiliser la cible à analyser (analyse
de la base de données de boîte de courriels à la demande et analyse Hyper-V) lors de l'exécution de
la tâche client Analyse du serveur sur un serveur avec ESET Mail Security. Le paramètre Cibles
d'analyse d'ERA/ESMC n'est disponible que si vous avez installé ESET Management Agent; dans le cas
contraire, il est grisé.
249
Lorsque vous activez Générer une liste des cibles ESET Mail Security crée une liste des cibles
d'analyse disponibles. Cette liste est générée régulièrement, en fonction de la Période de mise à
jour.
REMARQUE
Lorsque Générer la liste des cibles est activée pour la première fois, il faut à ESET Security
Management Center environ la moitié de la Durée de mise à jour pour générer la liste. Par
exemple, si la Durée de mise à jour est réglée à 60 minutes, allouez un délai de 30 minutes
environ pour recevoir la liste des cibles d'analyse. Si vous voulez que ESET Security Management
Center reçoive la liste avant, réglez la durée de mise à jour à une valeur plus petite. Vous pourrez
toujours augmenter cette valeur ultérieurement.
Lorsque ESET Security Management Center exécute une tâche client Analyse du serveur, il
rassemble la liste et vous demande de choisir les cibles d'analyse pour l'analyse Hyper-V pour ce
serveur en particulier.
Mode prioritaire
Si une politique ESET Security Management Center s'applique à ESET Mail Security, une icône de
verrouillage
sera affichée plutôt que le commutateur Activer/désactiver sur la page
Configuration et une icône de verrouillage sera affichée à côté du commutateur dans la fenêtre
Configuration avancée.
Les paramètres qui sont configurés par l'intermédiaire de la politique ESET Security Management
Center ne peuvent normalement pas être modifiés. Le mode prioritaire vous permet de déverrouiller
temporairement ces paramètres. Vous devez toutefois activer le mode prioritaire à l'aide de la
250
politique ESET Security Management Center.
Connectez-vous à la console Web ESMC , accédez à Politiques, sélectionnez et modifiez la politique
existante qui s'applique à ESET Mail Security ou créez-en une nouvelle. Dans Paramètres, cliquez sur
Mode prioritaire, activez-le et configurez le reste de ses paramètres, incluant le type
d'authentification (Utilisateur d'Active Directory ou Mot de passe).
Une fois la politique modifiée, ou qu'une nouvelle politique est appliquée à ESET Mail Security, le
bouton Contourner la politique sera affiché dans la fenêtre Configuration avancée.
251
Cliquez sur le bouton Contourner la politique, réglez la durée et cliquez sur Appliquer.
Si vous sélectionnez Mot de passe comme type d'authentification, saisissez le mot de passe de
252
contournement de la politique.
Une fois que le mode prioritaire aura expiré, toutes modifications que vous aurez apportées à la
configuration retourneront aux paramètres de la politique ESET Security Management Center
d'origine. Une notification sera affichée avant que le mode prioritaire n'expire.
Vous pouvez Terminer le contournement à tout moment avant que ce mode ne prenne fin sur la
page Surveillance ou dans la fenêtre Configuration avancée.
Fichiers journaux
Cette section vous permet de modifier la configuration de la journalisation de ESET Mail Security.
Enregistrements journaux
Les enregistrements sont inscrits dans le journal Événements (C:\ProgramData\ESET\ESET
Security\Logs) et peuvent être consultés dans l'afficheur de Fichiers journaux. Utilisez les
commutateurs pour activer ou désactiver une fonction particulière :
Inscrire les erreurs de transport de courriel au journal
Si cette option est activée et que des problèmes surviennent dans la couche de transport des
courriels, des messages d'erreur sont inscrits dans le journal Événements.
Inscrire les exceptions de transport de courriel au journal
Si des exceptions surviennent sur la couche de transport des courriels, les détails concernant ces
exceptions sont inscrits dans le journal Événements.
Filtre de journalisation
253
Génère une quantité importante de données car toutes les options de journalisation sont activées par
défaut. Nous vous recommandons de désactiver sélectivement la journalisation des composants qui
ne sont pas intéressants ou liés au problème.
REMARQUE
Pour démarrer la journalisation comme telle, vous devez activer la journalisation
diagnostique générale au niveau du produit à partir de menu principal dans Configuration >
Outils. Une fois que la journalisation est activée, ESET Mail Security collecte les journaux détaillés
selon les fonctionnalités qui sont activées dans cette section.
Utilisez les commutateurs pour activer ou désactiver une fonction particulière. Ces options peuvent
également être combinées en fonction de la disponibilité des composants individuels dans ESET Mail
Security.
• Journalisation diagnostique du transport du courriel
IMPORTANT
Lorsque vous résolvez des problèmes avec l'analyse de la base de données exécutée dans le
cadre d'une opération normale, nous vous recommandons de désactiver la journalisation des
diagnostics de transport du courriel. Sinon, cela pourrait obstruer le journal résultant et le
rendre difficile à analyser.
• Journalisation diagnostique de l'analyse de la base de données à la demande - Inscrit des
informations détaillées dans les journaux, en particulier lorsque le dépannage est nécessaire.
• Journalisation diagnostique de grappe - La journalisation de la grappe sera incluse dans la
journalisation diagnostique générale.
• Journalisation de diagnostic du moteur antipourriel : Lorsque vous avez besoin de
dépannage, vous pouvez consulter des renseignements détaillés sur le moteur antipourriel dans les
journaux. Inscrit des renseignements détaillés sur le moteur antipourriel dans les fichiers journaux
pour fins de diagnostic. Le moteur antipourriel n'utilise pas le journal Événements (fichier
warnlog.dat) et ne peut donc pas être consulté dans le visionneur de fichiers journaux. Il inscrit les
entrées directement dans un fichier dédié (par exemple C:\ProgramData\ESET\ESET Mail
Security\Logs\antispam.0.log) de sorte que les données de diagnostique du moteur antipourriel
sont conservées en un seul endroit. De cette façon, les performances de ESET Mail Security ne sont
pasFichiers
compromises
lorsque le trafic de courriels est important.
journaux
254
Permet de définir comment gérer les journaux. Ceci est particulièrement important pour empêcher
l'utilisation complète du disque. Les paramètres par défaut permettent la suppression automatique
des anciens journaux afin d'économiser de l'espace sur le disque.
Supprimer automatiquement les dossiers de plus de (jours)
Les entrées journal plus anciennes que le nombre de jours indiqué seront supprimées.
Supprimer automatiquement les anciennes entrées si la taille du journal est trop grande
Lorsque la taille du journal dépasse la Taille maximale du journal [Mo], les anciennes entrées de
journal sont supprimées jusqu'à ce que la Taille réduite du journal [Mo] soit atteinte.
Sauvegarder les entrées supprimées automatiquement
Les entrées et les fichiers journaux supprimés automatiquement seront sauvegardés dans le
répertoire spécifié et pourront facultativement être compressés en fichiers ZIP.
Sauvegarder les journaux de diagnostic
Sauvegarde automatiquement les journaux de diagnostic supprimés. Si cette option est désactivée,
les entrées de journaux de diagnostic ne sont pas sauvegardées.
Dossier de sauvegarde
Dossier dans lequel les sauvegardes de journaux seront stockées. Vous pouvez activer la sauvegarde
des journaux compressés à l'aide de ZIP.
Optimiser automatiquement les fichiers journaux
Lorsque cette option est activée, les fichiers journaux sont automatiquement défragmentés si le
pourcentage de fragmentation est supérieur à la valeur indiquée dans le champ Si le nombre
d'entrées inutilisées dépasse (%). Cliquez sur Optimiser pour lancer la défragmentation des
fichiers journaux. Toutes les entrées de journal vides sont supprimées pour améliorer la performance
et la vitesse de traitement du journal. Cette amélioration peut être notable, tout particulièrement
lorsque les journaux contiennent un grand nombre d'entrées.
Activer le protocole de texte
Pour permettre le stockage des journaux dans un autre format de fichier différent des Fichiers
journaux :
• Répertoire cible : Le répertoire où les fichiers journaux seront stockés (s'applique uniquement
aux fichiers texte/CSV). Chaque section du journal possède son propre fichier avec un nom prédéfini
(par exemple, virlog.txt pour la section Menaces détectées des fichiers journaux, si vous utilisez le
format de fichier texte brut pour stocker les journaux).
• Type : Si vous sélectionnez le format de fichier Texte, les journaux seront stockés dans un fichier
texte et les données seront séparées par des tabulations. La même chose s'applique au format de
fichier CSV contenant des données séparées par des virgules. Si vous sélectionnez Événement, les
journaux seront stockés dans le journal d'événement Windows (qui peuvent être consultés à l'aide de
la fonction Observateur d'événements dans Panneau de contrôle) contrairement aux fichiers.
• Supprimer tous les fichiers journaux efface tous les journaux stockés et sélectionnés dans le
menu déroulant Type.
REMARQUE
Pour accélérer la résolution de problèmes, Service d'assistance technique d'ESET pourrait vous
demander de fournir les journaux de votre ordinateur. ESET Log Collector facilite la collecte des
informations nécessaires. Pour plus de détails sur ESET Log Collector, consultez cet article de la
Base de connaissances .
Exporter le journal
255
Exporter vers les journaux d'applications et de services Windows
Vous permet de dupliquer des enregistrements du journal de protection du serveur de messagerie
vers les journaux Applications et services. Pour afficher le journal de protection du serveur de
messagerie, ouvrez l'Observateur d'événements de Windows et accédez à Journaux des
applications et des services > ESET > Sécurité > ExchangeServer > Protection de la
messagerie. Les journaux d'applications et de services sont pris en charge sur Microsoft Windows
Server 2008 R2 SP1 ou plus récent.
Exporter vers le serveur syslog
Vous pouvez faire dupliquer les journaux de protection du serveur de messagerie sur le serveur
syslog au format CEF (Common Event Format). CEF est un format normalisé extensible, basé sur le
texte, qui peut être utilisé pour faciliter la collecte et l'agrégation de données en vue d'une analyse
ultérieure par un système de gestion d'entreprise. Dans ce cas, vous pouvez l'utiliser avec les
solutions SIEM (Security Information and Event Management) et celles de gestion des journaux telles
que Micro Focus ArcSight. Consultez la section Mappage des événements Syslog pour plus
d'informations sur les champs d'événement exportés et leur description.
Adresse du serveur
Entrez l'adresse IP ou le nom d'hôte du serveur. Dans le cas d'ArcSight, spécifiez le serveur sur lequel
SmartConnector est installé.
Protocole
Sélectionnez le protocole à utiliser : protocole TCP ou UDP.
Port
La valeur par défaut est 514 pour les deux protocoles.
Exporter vers le fichier
Permet aux journaux d'être exportés localement dans un fichier au format CEF. La capacité de
stockage de la journalisation étant limitée, une journalisation circulaire est utilisée. Les
enregistrements sont écrits séquentiellement dans les fichiers (de mailserver.0.log à
mailserver.9.log). Les derniers enregistrements sont stockés dans mailserver.0.log. Une fois la
taille limite atteinte, le fichier le plus ancien mailserver.9.log est supprimé et les autres fichiers
journaux sont renommés en séquence (mailserver.0.log est renommé mailserver.1.log, etc.).
Chemin d'accès
Le chemin par défaut est C:\ProgramData\ESET\ESET Security\Logs. Vous pouvez modifier
l'emplacement si nécessaire.
Mappage d'événements Syslog
The following tables show ESET Mail Security event mapping to ArcSight data fields. You can use
these tables as a reference of what is being fed to ArcSight via SmartConnector.
Header
Device Vendor
"ESET"
Device Product
"EMSX"
Device Version
e.g. "7.1.10005.0"
Device Event Class ID e.g. "101"
256
"EMSX" or "ESET Mail Security for MS
Exchange Server"
Device Event Category unique identifier:
100-199 malware
200-299 phish
300-399 spam
400-499 policy
Header
Event Name
A brief description of what happened in the
event:
MailScanResult: malware
e.g. "MailScanResult: malware"
MailScanResult: phishing link
MailScanResult: spam
MailScanResult: policy
CEF Key Name
CEF Key Full Name (Size) Field Description
Detailed Field
Description
rt
deviceReceiptTime
Time event was
generated
The time at which the
event was generated, in
milliseconds since Jan 1st
1970
src
sourceAddress
Sender's IP
IP address of the sending
mail server
shost
sourceHostName (1023)
Sender's HELO
domain
HELO domain of the
sending mail server
flexString1
flexString1
Message-ID
Message-ID header from
the email
dhost
destinationHostName (1023) Receiving server
Hostname of the machine
that received the
communication
msg
message (1023)
Message subject
Subject of the message,
from the RFC5233 header
"Subject:"
suser
sourceUserName (1023)
SMTP sender
SMTP sender of the email
(MAIL FROM)
duser
destinationUserName (1023) SMTP recipient(s)
SMTP recipient(s) of the
email (RCPT TO)
act
deviceAction (63)
Action taken (cleaned,
quarantined, etc.)
cat
deviceEventCategory (1023) Detection category
Action taken
Most significant detection
(malware >> phish >>
spam >> SPF/DKIM >>
policy)
sourceServiceName sourceServiceName
Type of protection
"SMTP Transport agent",
"On-demand database
scan", etc.
deviceExternalId
deviceExternalId
Engine version
Anti-Malware engine
version, antispam engine
version, e.g. "18620,7730"
cs1
deviceCustomString1
Anti-Malware result
Result of Anti-Malware
scan, including threat
name
cs1Label
deviceCustomString1Label
"Anti-Malware result"
cs2
deviceCustomString2
Antispam result
cs2Label
deviceCustomString2Label
"Antispam result"
257
Result of Antispam scan,
including reason for
marking as spam
CEF Key Name
CEF Key Full Name (Size) Field Description
Detailed Field
Description
cs3
deviceCustomString3
Anti-Phishing result
Result of Anti-Phishing
scan, including detected
URL
cs3Label
deviceCustomString3Label
"Anti-Phishing result"
cs4
deviceCustomString4
SPF/DKIM/DMARC
result
cs4Label
deviceCustomString4Label
"SPF/DKIM/DMARC
result"
cs5
deviceCustomString5
"From:" sender
cs5Label
deviceCustomString5Label
"From header"
cs6
deviceCustomString6
cs6Label
deviceCustomString6Label
"To and Cc headers"
fname
filename (1023)
Attachment name
Name of the first detected
attachment
fileHash
fileHash (255)
Attachment hash
Hash of the first detected
attachment
fsize
fileSize
Attachment size
Size of the first detected
attachment
reason
reason (1023)
Rule/policy activated
Name of the policy
triggered by the email or
it's content
File details
Information about all
detected attachments,
their names, hashes and
sizes
ESETEMSXFileDetails ESETEMSXFileDetails
"To:" and "Cc:"
recipients
Result of SPF/DKIM/DMARC
check, in RFC7601 format
Sender address from
RFC5322 header "From:"
Recipients addresses from
RFC5322 headers "To:"
and "Cc:"
Optional
CEF Key
Name
CEF Key Full Name
(Size)
Field Description Detailed Field Description
end
endTime
Time event has
ended
dtz
deviceTimeZone (255) Timezone of the
server
request
requestURL
Detected URL
The time at which the activity ended, in
milliseconds since Jan 1st 1970. Useful only
if sand boxing technology is used, i.e. ESET
Dynamic Threat Defense.
Malign or blacklisted URL extracted from
mail body or mail headers.
Note: ESET Mail Security does not provide
single URL in logs due to the fact that
multiple URL's can be detected in email
messages by various detection components.
Serveur mandataire
Dans les grands réseaux locaux, la connexion de votre ordinateur à Internet peut s'effectuer par
258
l'intermédiaire d'un serveur mandataire. Si tel est le cas, les paramètres suivants doivent être
modifiés. Si vous ne définissez pas les paramètres, le programme ne pourra pas effectuer de mise à
jour automatique. Dans ESET Mail Security, le serveur mandataire peut être configuré dans deux
sections différentes de la fenêtre Configuration avancée (F5) :
1.Configurations avancées (F5) > Mettre à jour > Profiles > Mise à jour > Option de
connexion > Mandataire HTTP
Ce paramètre s'applique à un profil de mise à jour donné et est recommandé pour les
ordinateurs portables qui reçoivent souvent des mises à jour de modules à partir de différents
endroits.
2.Configurations avancées (F5) > Outils > Serveur mandataire
Spécifier le serveur mandataire à ce niveau définit les paramètres du serveur mandataire
global pour tout ESET Mail Security. Les paramètres définis ici seront utilisés par tous les
modules qui se connectent à Internet.
Pour préciser les paramètres de serveur mandataire à ce niveau, activez le commutateur Utiliser un
serveur mandataire, puis entrez l'adresse du serveur mandataire dans le champ Serveur
mandataire, ainsi que le numéro de Port du serveur mandataire.
Le serveur mandataire exige une authentification
Si la communication réseau par le serveur mandataire nécessite une authentification, activez
cette option et indiquez le Nom d'utilisateur et le Mot de passe.
Détecter le serveur mandataire
Cliquez sur Détecter pour détecter et remplir automatiquement les paramètres du serveur
mandataire. Les paramètres définis dans Internet Explorer seront copiés.
REMARQUE
Cette fonctionnalité ne récupère cependant pas les données d'authentification (nom d'utilisateur
et mot de passe); vous devez les fournir.
Utiliser une connexion directe si le mandataire n'est pas disponible
Si un produit est configuré pour utiliser le mandataire HTTP et que ce dernier n'est pas joignable,
le produit contournera le mandataire et communiquera directement avec les serveurs d'ESET.
Notifications
Les notifications sur le bureau et les infobulles sont des messages informatifs qui n'exigent aucune
interaction avec l'utilisateur. Elles s'affichent dans la zone de notification, dans le coin inférieur droit
de l'écran. D'autres options détaillées, comme la durée d'affichage des notifications et la
transparence de la fenêtre, peuvent être modifiées ci-dessous. Activez le commutateur Ne pas
afficher les notifications lors de l'exécution d'applications en mode plein écran pour
supprimer toutes les notifications non interactives.
Afficher les notifications de la mise à jour réussie
Lorsqu'une mise à jour est réussie, une notification contextuelle s'affiche.
Envoyer des notifications d'événement par courriel
259
Activez cette option pour activer l'envoi des notifications par courriel.
Notifications d'application
Cliquez sur Modifier pour activer ou désactiver les notifications d'application d'affichage.
Notifications d'application
Vous pouvez configurer les notifications ESET Mail Security pour qu'elles soient affichées sur le
bureau et/ou envoyées par courriel.
REMARQUE
Pour les notifications par courriel, assurez-vous d'activer Envoyer les notifications
d'événements par courriel dans la section Général, puis Configurer le serveur SMTP et
d'autres détails si nécessaire.
Notifications sur le bureau
Vous pouvez configurer la façon dont les alertes de menace et les notifications système (telles que les
messages de mise à jour réussis) sont gérées par ESET Mail Security. Par exemple, les durées
d'affichage et la transparence des notifications de la barre d'état système (cela s'applique
uniquement aux systèmes qui prennent en charge les notifications de la barre d'état système).
Le menu déroulant Verbosité minimale des événements à afficher permet de sélectionner le
niveau de gravité des alertes et des notifications. Les options suivantes sont disponibles :
• Diagnostic - Consigne l'information requise pour mettre au point le programme et toutes les
entrées préalables.
• Informative - Enregistre des messages informatifs, y compris les messages de mise à jour
réussie, ainsi que toutes les entrées préalables.
260
• Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
• Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et les erreurs critiques
seront enregistrées.
• Critique - Ne consigne que les erreurs critiques.
Le champ Sur les systèmes multiutilisateur, afficher les notifications sur l'écran de cet
utilisateur permet de préciser quel utilisateur recevra les notifications système et les autres
notifications pour les systèmes autorisant la connexion simultanée de plusieurs utilisateurs. Il s'agit
généralement de l'administrateur système ou de l'administrateur réseau. Cette option est
particulièrement utile pour les serveurs de terminaux, à condition que toutes les notifications système
soient envoyées à l'administrateur.
Notifications par courriel
ESET Mail Security prend en charge l'envoi automatique de courriels de notification, si un événement
ayant le niveau de verbosité sélectionné se produit.
REMARQUE
ESET Mail Security prend en charge les serveurs SMTP avec chiffrement TLS.
Serveur SMTP
Le nom du serveur SMTP utilisé pour envoyer des alertes et des notifications. C'est typiquement le
nom de votre serveur Microsoft Exchange.
Nom d'utilisateur et Mot de passe
Si le serveur SMTP exige une authentification, ces champs doivent être remplis avec un nom
d'utilisateur et un mot de passe valides pour accéder au serveur SMTP.
Adresse de l'expéditeur
Entrez l'adresse de l'expéditeur qui apparaitra dans l'en-tête des courriels de notification. C'est ce
que le destinataire verra dans le champ Expéditeur.
Adresse du destinataire
Indiquez l'adresse courriel du destinataire Destinataire à qui les notifications seront envoyées.
Activer le TLS
Activer les messages d'alerte et de notification pris en charge par le chiffrement TLS.
Paramètres de courriel
Niveau de détails minimal des notifications
Indique le niveau de verbosité minimum des notifications à envoyer.
Intervalle après lequel les nouveaux courriels de notification seront envoyés (min)
261
Intervalle en minutes, après lequel de nouvelles notifications seront envoyées par courriel. Réglez
cette valeur à 0 si vous voulez envoyer ces notifications immédiatement.
Envoyer chaque notification dans un courriel distinct
Lorsque cette option est activée, le destinataire recevra un nouveau courriel pour chaque
notification. Cela peut entrainer la réception d'un grand nombre de courriels dans un court laps de
temps.
Format des messages
Les communications entre le programme et l'utilisateur ou l'administrateur de système distant se font
par la messagerie ou le réseau local (au moyen du service de messagerie Windows). Le format par
défaut des messages d'alerte et des notifications est optimal dans la plupart des situations. Dans
certaines situations, le format des messages d'événement doit être changé.
Format des messages d'événement
Format des messages d'événements qui s'affichent sur les ordinateurs distants.
Format des messages d'avertissement de menace
Les messages d'alerte de menace et de notification ont un format par défaut prédéfini. Il est
déconseillé de modifier ce format. Toutefois, dans certaines circonstances (par exemple, si vous
avez un système automatisé de traitement des messages), vous serez peut-être amené à
modifier le format des messages.
Les mots-clés (chaînes entourées de signes %) sont remplacés dans le message par les données
réelles indiquées. Les mots-clés suivants sont disponibles :
• %TimeStamp% - Date et heure de l'événement.
• %Scanner% - Module concerné.
• %ComputerName% - Nom de l'ordinateur où l'alerte s'est produite.
• %ProgramName% - Module ayant généré l'alerte.
• %InfectedObject% - Nom du fichier ou message infecté, etc.
• %VirusName% - Identification de l'infection.
• %ErrorDescription% - Description d'un événement autre qu'un virus.
Les mots-clés %InfectedObject% et %VirusName% ne sont utilisés que dans les messages d'alerte
de menace, tandis que le mot-clé %ErrorDescription% n'est utilisé que dans les messages
d'événement.
Jeu de caractères
Vous pouvez choisir le codage dans le menu déroulant. Le courriel sera converti en fonction du
codage des caractères sélectionné.
Utiliser le codage Quoted-printable
Le courriel source sera encodé dans le format Quoted Printable (QP) qui utilise les caractères
ASCII et peut transmettre correctement par courriel les caractères nationaux spéciaux en format
262
8 bits (áéíóú).
Personnalisation
Ce message sera affiché dans le pied de page de toutes les notifications sélectionnées.
Message de notification par défaut
Un message par défaut sera affiché dans le pied de page des notifications.
Menaces
Ne pas fermer les notifications à propos des logiciels malveillants automatiquement
Permet aux notifications de logiciels malveillants de rester affichées à l'écran jusqu'à ce que vous
les fermiez manuellement.
Utiliser le message par défaut
Vous pouvez désactiver le message par défaut et spécifier un message de notification de
menace personnalisé qui sera affiché lorsqu'une menace est bloquée.
Message de notification à propos de la menace
Entrez un message personnalisé à afficher lorsqu'une menace est bloquée.
Mode Présentation
Le mode Présentation est une fonctionnalité destinée aux utilisateurs qui exigent une utilisation
ininterrompue de leur logiciel, qui ne veulent pas être dérangés par des fenêtres contextuelles et qui
veulent minimiser la charge sur l'UC. Le mode Présentation peut aussi être utilisé lors de
présentations qui ne peuvent être interrompues par les activités de ESET Mail Security. Lorsque ce
mode est activé, toutes les fenêtres contextuelles sont désactivées et les tâches planifiées ne sont
pas exécutées. La protection du système s'exécute toujours en arrière-plan, mais n'exige aucune
interaction de l'utilisateur.
Activer automatiquement le mode présentation lorsque les applications s'exécutent en
mode plein écran
Le mode Présentation est activé automatiquement chaque fois que vous exécutez une application
en plein écran. Lorsque le mode Présentation est activé, il n'est pas possible d'afficher les
notifications ni le changement d'état de votre ESET Mail Security.
Désactiver automatiquement le mode présentation après
Pour définir le temps en minutes après lequel le mode Présentation sera automatiquement
désactivée.
Diagnostique
Les diagnostics fournissent des vidages sur incident des processus d'ESET (par exemple, ekrn). Si une
application se bloque, un fichier de vidage sera généré. Cela peut aider les développeurs à déboguer
et résoudre divers ESET Mail Security problèmes.
263
Cliquez sur le menu déroulant à côté de Type de vidage et sélectionnez l'une des trois options
disponibles :
• Désactiver - Permet de désactiver cette fonctionnalité.
• Mini - (Option par défaut) Enregistre le plus petit ensemble d'information utile pouvant aider
à identifier la raison pour laquelle l'application s'est arrêtée inopinément. Ce type de fichier de
vidage peut être utile lorsque l'espace est limité. Cependant, en raison de l'information limitée
incluse dans ce fichier, des erreurs n'ayant pas été causées directement par la menace en cours
d'exécution au moment du problème pourraient ne pas être découvertes lors d'une analyse de
ce fichier.
• Complet - Enregistre tout le contenu de la mémoire système, au moment où l'application
s'est arrêtée inopinément. Un vidage complet de mémoire peut contenir des données liées aux
processus en cours d'exécution au moment de la création du vidage de mémoire.
Répertoire
Dossier où sera généré le fichier de vidage, lors d'une panne.
Ouvrir le dossier de diagnostique
Cliquez sur Ouvrir pour ouvrir ce répertoire dans une nouvelle fenêtre de l'Explorateur Windows.
Créer un vidage de diagnostique
Cliquez sur Créer pour créer des fichiers de vidage de diagnostic dans le répertoire cible.
Journalisation avancée
Activer la journalisation avancée du contrôle des appareils
Enregistrer tous les événements qui se produisent dans le contrôle des périphériques afin de
permettre le diagnostic et la résolution de problèmes.
Activer la journalisation avancée de Kernel
Enregistrer tous les événements qui se produisent dans le module ESET kernel service (ekrn) afin de
permettre le diagnostic et la résolution de problèmes.
Activer la journalisation avancée de l'octroi des licences
Enregistrez toutes les communications du produit avec le serveur de licences.
Activer la journalisation avancée de la protection réseau
Enregistrer toutes les données réseau traversant la solution de protection du réseau au format PCAP.
Cela permet d'aider les développeurs à diagnostiquer et à résoudre les problèmes liés à la protection
du réseau.
Activer la journalisation avancée du système d'exploitation
Des informations supplémentaires sur le système d'exploitation, telles que les processus en cours,
l'activité du processeur et les opérations sur les disques, seront collectées.
Activer la journalisation avancée du filtrage au niveau du protocole
Enregistre toutes les données traversant le moteur de filtrage de protocole en format PCAP afin
d'aider les développeurs à diagnostiquer et à résoudre les problèmes liés au filtrage de protocole.
Activer la journalisation avancée du moteur de mise à jour
Enregistre tous les événements qui se produisent au cours du processus de mise à jour afin d'aider
les développeurs à diagnostiquer et à résoudre les problèmes liés au moteur de mise à jour.
Assistance technique
Soumettre les données de configuration du système
264
Sélectionnez Toujours envoyer pour que votre autorisation ne soit pas requise avant l'envoi de
vos données de configuration ESET Mail Security à l'assistance à la clientèle ou sélectionnez
Demander avant l'envoi.
Grappe
Activer la grappe est activé automatiquement lorsque la Grappe est configurée. Vous pouvez la
désactiver manuellement dans la fenêtre Configuration avancée(F5) en cliquant sur l'icône du
commutateur (par exemple, lorsque vous devez modifier la configuration sans que cela n’ait des
répercussions sur d'autres nœuds de la grappe ESET). Ce commutateur ne permet que d'activer ou de
désactiver la fonctionnalité de grappe ESET. Pour configurer la grappe ou la détruire, vous devez
utiliser l'Assistant de la grappe ou l'option Détruire la grappe dans la section Outils > Grappe de la
fenêtre principale du programme.
Grappe ESET non configurée et désactivée :
Grappe ESET configurée de façon appropriée, avec détails et options :
265
Interface utilisateur
La section Interface utilisateur vous permet de configurer l'interface graphique (IUG) de ESET Mail
Security. Vous pouvez ajuster l'apparence du programme et ses effets visuels.
Éléments de l'interface utilisateur
266
Utilisez le menu déroulant du mode de démarrage de l'interface graphique pour sélectionner les
modes de démarrage de l'interface utilisateur graphique (IUG) suivants :
• Complet - L'IUG s'affichera au complet.
• Terminal - Aucune notification ou alerte ne sera affichée. L'IUG ne peut être démarré que par
l'administrateur. L'interface utilisateur devrait réglée à Terminal si les éléments graphiques
ralentissent les performances de votre ordinateur ou provoquent d'autres problèmes. Il est possible
aussi d'éteindre l'IUG sur un des serveurs du Terminal. Pour en savoir plus sur ESET Mail Security
installé sur votre serveur Terminal, voir Désactiver l'IOG sur un Serveur Terminal.
Afficher l'écran de démarrage
Désactivez cette option si vous préférez ne pas afficher l'écran d'accueil lorsque l'interface graphique
de votre ESET Mail Security démarre, par exemple lors de la connexion au système.
Émettre un signal sonore
ESET Mail Security émet un son lorsque des événements importants se produisent pendant une
analyse, par exemple lorsqu'une menace est détectée ou lorsque l'analyse prend fin.
Intégrer dans le menu contextuel
Lorsque cette option est activée, les éléments de contrôle de ESET Mail Security sont intégrés dans le
menu contextuel. Le menu contextuel s'affiche si vous cliquez à l'aide du bouton droit de la souris sur
un objet (fichier). Le menu donne la liste de toutes les actions que vous pouvez effectuer sur cet
objet.
États de l'application
Cliquez sur Modifier pour sélectionner les états qui s'affichent dans la fenêtre Surveillance. Vous
pouvez également utiliser les stratégies de ESET Security Management Center pour configurer les
états de votre application. L'état de l'application s'affiche également si votre produit n'est pas activé
ou si votre licence a expiré.
Renseignements de licence/Afficher les renseignements sur la licence
Lorsque cette option est activée, des messages et des notifications concernant votre licence
s'affichent.
Fenêtres de notifications et d'alertes
En configurant l'option Alertes et notifications, vous pouvez modifier le comportement des alertes
de menace détectée et les notifications système. Elles peuvent être personnalisées selon vos
besoins. Si vous choisissez de ne pas afficher certaines notifications, elles seront affichées dans la
zone Messages et états désactivés. Ici, vous pouvez en vérifier l'état, afficher plus de détails ou
les supprimer de la fenêtre.
Configuration de l'accès
Vous pouvez empêcher toute modification non autorisée à l'aide de l'outil Configuration de l'accès
afin de s'assurer que le niveau de sécurité s'avère élevé.
ESET Shell
Vous pouvez configurer les droits d'accès aux paramètres du produit, aux fonctionnalités et aux
données par l'intermédiaire d'eShell en modifiant la Politique d'exécution ESET Shell.
Icône de la barre d'état système
Rétablir tous les paramètres dans cette section
Fenêtres de notifications et d'alertes
Vous pouvez configurer la façon dont les alertes de menace et les notifications système (telles que les
messages de mise à jour réussis) sont gérées par ESET Mail Security. Par exemple, les durées
d'affichage et la transparence des notifications de la barre d'état système (cela s'applique
267
uniquement aux systèmes qui prennent en charge les notifications de la barre d'état système).
Afficher les alertes interactives
Désactivez cette fonctionnalité si vous souhaitez empêcher ESET Mail Security d'afficher des
alertes dans la zone de notification de Windows.
Liste des alertes interactives
Utile pour l'automatisation. Désélectionnez l'option Demander à l'utilisateur pour les éléments
que vous souhaitez automatiser, et choisissez l'action qui sera entreprise à la place de la fenêtre
d'alerte qui attend une action de votre part.
Des fenêtres de notification sont utilisées pour afficher de courts messages textuels ou des
questions.
Fermer automatiquement les fenêtres
Pour fermer automatiquement les fenêtres contextuelles après un certain temps. Si les fenêtres
d'alerte ne sont pas fermées manuellement, elles le sont automatiquement, une fois que le délai
fixé est écoulé.
Messages de confirmation
Lorsque vous cliquez sur Modifier, une fenêtre contextuelle s'ouvre avec une liste de messages
de confirmation que ESET Mail Security s'affiche avant qu'une action ne soit effectuée. Utilisez les
cases à cocher pour personnaliser vos préférences pour les messages de confirmation.
Configuration de l'accès
Pour une sécurité maximale de votre système, il est très important que ESET Mail Security soit
correctement configuré. Toute modification inappropriée peut entraîner des problèmes ou même une
perte de données importantes. Pour éviter les modifications inappropriées, vous pouvez protéger
votre mot de passe de configuration ESET Mail Security.
IMPORTANT
Si vous essayez de désinstaller ESET Mail Security alors que la protection par mot de passe de la
configuration d'accès est activée, vous êtes invité à entrer le mot de passe. Si ce mot de passe
n'est pas fourni, vous ne pourrez pas désinstaller ESET Mail Security.
Protéger les paramètres par un mot de passe
Verrouille ou déverrouille les paramètres de configuration du programme. Cliquez pour ouvrir la
fenêtre de configuration de mot de passe.
Définir le mot de passe
Pour définir ou modifier un mot de passe afin de protéger les paramètres de configuration, cliquez
sur Configurer. Pour protéger les paramètres de configuration de ESET Mail Security et ainsi
éviter une modification non autorisée, un nouveau mot de passe doit être défini. Lorsque vous
voulez modifier un mot de passe existant, tapez votre ancien mot de passe dans le champ
Ancien mot de passe, puis entrez le nouveau mot de passe dans les champs Nouveau mot de
passe et Confirmer le mot de passe, puis cliquez sur OK. Ce mot de passe sera requis pour
268
toute modification à venir apportée à ESET Mail Security.
Demander des droits d'administrateur complets pour des comptes Administrateur limités
Sélectionnez cette option pour inviter l'utilisateur actuel (qui n'a pas les droits d'administrateur) à
entrer les informations d'identification du compte administrateur lors de la modification de
certains paramètres, par exemple la désactivation des modules de protection.
REMARQUE
Si le mot de passe de Configuration de l'accès change et que vous souhaitez importer le fichier de
configuration .xml existant (qui a été signé avant le changement de mot de passe) à l'aide de la
ligne de commande ESET CMD, assurez-vous de le signer à nouveau à l'aide du mot de passe
actuel. Cela vous permet d'utiliser un fichier de configuration plus ancien sans avoir besoin de
l'exporter sur une autre machine exécutant ESET Mail Security avant l'importation.
ESET Shell
Vous pouvez configurer les droits d'accès aux paramètres du produit, fonctionnalités et données par
l'entremise d'eShell en modifiant la Politique d'exécution ESET Shell. Script limité est le
paramètre par défaut, mais vous pouvez le modifier en sélectionnant les options Désactiver, Lecture
seule ou Accès complet au besoin.
Désactivé
Il n'est pas possible d'utiliser eShell. Seule la configuration d'eShell elle même est autorisée dans
le menu contextuel de ui eshell. Vous pouvez personnaliser l'apparence d'eShell, mais vous
n'avez pas accès aux paramètres ni aux données du produit.
Lecture seule
eShell peut être utilisé comme outil de surveillance. Les modes Interactif et Traitement par lot
permettent l'affichage de tous les paramètres, mais il vous est impossible de modifier un
paramètre, une fonctionnalité ou une donnée.
Scripts limités
En mode Interactif, vous pouvez afficher et modifier tous les paramètres, toutes les
fonctionnalités et toutes les données. En mode Traitement par lot, eShell fonctionnera comme si
vous étiez en mode Lecture seule. Cependant, si vous utilisez des fichiers de traitement par lot
signés, il vous sera possible de modifier les paramètres et les données.
Accès complet
L'accès à tous les paramètres est illimité, tant en mode Interactif qu'en mode Traitement par lot.
Vous pouvez afficher et modifier tous les paramètres. Vous devez utiliser un compte
administrateur pour exécuter eShell et bénéficier de l'accès complet. Si la fonction UAC est
activée, une élévation est aussi requise.
Désactiver l'interface graphique sur le serveur de terminal
Cette section décrit la façon de désactiver l'interface graphique de ESET Mail Security utilisée dans les
sessions utilisateur ouvertes sur les serveurs de terminaux Windows.
269
En temps normal, l'interface graphique de ESET Mail Security s'affiche chaque fois qu'un utilisateur
distant ouvre une session sur le serveur pour créer une session de terminal. Une telle situation est
normalement indésirable sur les Serveurs de terminal. Si vous voulez éteindre l'IUG des sessions de
terminal, vous pouvez le faire par l'entremise d'eShell en exécutant la commande set ui ui guistart-mode none. Cette action fera passer l'IUG en mode terminal. Voici les deux modes disponibles
pour le démarrage de l'IUG :
set ui ui gui-start-mode full
set ui ui gui-start-mode none
Si vous voulez savoir quel est le mode en cours d'utilisation, exécutez la commande get ui ui guistart-mode.
REMARQUE
Si vous avez installé ESET Mail Security sur un serveur Citrix, il est recommandé d'utiliser les
paramètres qui sont décrits dans notre article de la Base de connaissances .
Désactiver les messages et les états
Messages de confirmation
Affiche une liste de messages de confirmation que vous pouvez choisir d'afficher ou de ne pas
afficher.
Paramètres états de l'application
Permet d'activer ou de désactiver l'état d'affichage dans la page Surveillance du menu principal.
Paramètres états de l'application
Cette boîte de dialogue vous permet de sélectionner ou désélectionner les états des applications qui
seront affichés ou non. Par exemple, lorsque vous interrompez la Protection antivirus et anti-logiciel
espion, ce qui aura pour résultat de modifier l'état de protection qui sera affiché sur la page
Surveillance. Un état de l'application s'affiche également si votre produit n'est pas activé ou si vous
avez une licence qui a expiré.
Les états de l'application peuvent être gérés à partir des politiques ESET Security Management Center
. Les catégories et les états sont affichés dans une liste comportant deux options Afficher et
Envoyer l'état. La colonne Envoyer pour les états de l'application ne sont visibles que dans la
configuration de politique ESET Security Management Center . ESET Mail Security affiche les
paramètres avec l'icône de verrouillage. Vous pouvez utiliser le mode prioritaire afin de modifier
temporairement les états de l'application.
270
Icône de la barre d'état système
Sert d'accès rapide aux éléments fréquemment utilisés et aux fonctionnalités de ESET Mail Security. Il
est possible d'y accéder en cliquant avec le bouton droit sur l'icône de la barre d'état système .
Plus d'information
271
Ouvre la page Surveillance pour vous montrer l'état actuel de la protection et les messages.
Suspendre la protection
Affiche la boîte de dialogue de confirmation qui désactive la Protection antivirus et anti-logiciel
espion contre les attaques de système malveillants grâce au contrôle des fichiers, du Web et des
communications par courriel. À chaque fois que vous suspendez temporairement la protection
antivirus et anti-logiciel espion à l'aide de l'icône de la barre d'état système , la boîte de
dialogue Suspendre la protection apparaîtra. Cela désactivera la protection contre les logiciels
malveillants pour la période choisie. Pour désactiver la protection de façon permanente, vous
devez utiliser Configuration avancée. Soyez prudent, la désactivation de la protection peut
exposer votre système à des menaces.
Configuration avancée
Utilisez cette option pour accéder à la Configuration avancée.
Fichiers journaux
Ils contiennent tous les événements importants qui ont eu lieu et donnent un aperçu des menaces
détectées.
Masquer ESET Mail Security
Masque la fenêtre de ESET Mail Security de l'écran.
Réinitialiser la présentation des fenêtres
Réinitialise la fenêtre de ESET Mail Security à sa taille et à sa position par défaut, à l'écran.
Rechercher des mises à jour
Démarre la mise à jour du module afin de conserver votre niveau de protection contre les codes
malveillants.
À propos
Fournit de l'information sur le système, les détails à propos de la version installée de ESET Mail
Security, les modules du programme installés et la date d'expiration de votre licence. Les
renseignements sur votre système d'exploitation et sur les ressources du système se trouvent au
bas de la page.
Rétablir les paramètres par défaut
Vous pouvez restaurer les paramètres par défaut dans Paramètres avancés. Il y a deux options.
Vous pouvez tout rétablir par défaut ou rétablir les paramètres uniquement pour une section
particulière (les paramètres des autres sections resteront inchangés).
Rétablir tous les paramètres
Tous les paramètres dans toutes les sections de configuration avancée seront restaurés à l'état
qu'ils avaient après l'installation de ESET Mail Security. Vous pouvez considérer cela comme une
restauration aux paramètres par défaut d'usine.
272
REMARQUE
Cliquez sur Rétablir par défaut et toutes les modifications qui ont été effectuées seront
perdues. Cette action ne peut pas être annulée.
Rétablir tous les paramètres dans cette section
Rétablit les valeurs des paramètres du module dans la section sélectionnée. Toutes les
modifications que vous avez apportées dans cette section seront perdues.
Rétablir le contenu des tableaux
Lorsque vous activez cette option, vous perdez toutes les règles, les tâches ou les profils qui ont
été ajoutés manuellement ou automatiquement.
Aide et assistance
ESET Mail Security contient des outils de dépannage et de l'information d'assistance qui vous aideront
à régler les problèmes auxquels vous pourriez devoir faire face.
Aide
Rechercher la Base de connaissances ESET
La Base de connaissances ESET contient des réponses aux questions les plus fréquentes, ainsi
que les solutions recommandées pour résoudre divers problèmes. Des mises à jour régulières
effectuées par les conseillers techniques ESET font de la base de connaissances l'outil le plus
puissant pour résoudre différents types de problèmes.
Ouvrir l'aide
Permet de lancer les pages d'aide en ligne pour ESET Mail Security.
Trouver une solution rapide
Sélectionnez cette option pour trouver les solutions aux problèmes les plus fréquents. Nous vous
recommandons de lire cette section avant de communiquer avec le service d'assistance
273
technique.
Assistance technique
Envoyer une demande d'assistance
Si vous ne trouvez pas de réponse à votre problème, vous pouvez également utiliser le formulaire
qui se trouve sur le site Web d'ESET pour communiquer rapidement avec notre service
d'assistance technique.
Détails pour l'assistance technique
Affiche les informations détaillées (nom du produit, version du produit, etc.) pour l'assistance
technique.
Outils d'assistance
Encyclopédie des menaces
Lien vers l'Encyclopédie des menaces ESET, qui contient des renseignements sur les dangers et
les symptômes des différents types d'infiltration.
ESET Log Collector
Établit un lien vers la page de téléchargement d'ESET Log Collector. Log Collector est une
application qui collecte automatiquement de l'information telle que la configuration et les
journaux de votre serveur, afin de résoudre plus rapidement les problèmes.
Historique du moteur de détection
Établit la liaison avec ESET Virus radar, qui contient des informations au sujet des versions des
modules de détection d'ESET.
ESET Specialized Cleaner
Le Logiciel ESET Specialized Cleaner est un outil de suppression d'infections courantes par des
logiciels malveillants comme Conficker, Sirefef ou Necurs, etc.
Renseignements sur le produit et la licence
Activer le produit / Modifier la licence
Cliquez pour lancer la fenêtre d'activation de votre produit. Sélectionnez l'une des méthodes
offertes pour activer ESET Mail Security.
À propos de ESET Mail Security
Affiche des renseignements sur votre copie de ESET Mail Security.
Soumettre une demande d'assistance
Afin d'offrir l'assistance la plus rapide et la plus précise possible, ESET a besoin des informations sur
la configuration de ESET Mail Security, sur la configuration du système, sur les processus en cours
d'exécution (fichier journal ESET SysInspector) et sur les données du registre. ESET utilisera ces
274
données uniquement pour fournir une assistance technique au client. Il est également possible de
configurer ce paramètre à partir de Configuration avancée (F5) > Outils > Diagnostic >
Assistance technique.
REMARQUE
Si vous choisissez de soumettre les données du système, il est nécessaire de remplir et de
soumettre le formulaire Web, sinon votre billet ne sera pas créé et vos données système seront
perdues.
Lorsque vous envoyez le formulaire Web, les données de configuration de votre système sont
envoyées à ESET. Sélectionnez Toujours soumettre ces informations si vous voulez mémoriser
cette action pour ce processus.
Ne pas soumettre les données
Utilisez cette option si vous ne souhaitez pas envoyer vos données. Vous serez redirigé vers la
page Web de l'assistance technique ESET.
À propos de ESET Mail Security
Cette fenêtre fournit des détails sur la version installée de ESET Mail Security. La partie supérieure de
la fenêtre contient de l'information sur votre système d'exploitation et les ressources système,
l'utilisateur actuellement connecté et le nom complet de l'ordinateur.
Composants installés
Contient des informations sur les modules, pour afficher une liste des composants installés et
leurs détails. Cliquez sur Copier pour copier la liste sur votre presse-papier. Cela peut être utile
lorsque vous dépannez le logiciel ou que vous devez communiquer avec le service d'assistance
technique.
Glossaire
Consultez la page Glossaire pour plus de détails à propos des termes techniques relatifs aux
menaces et à la sécurité Internet.
Contrat de licence de l'utilisateur final
IMPORTANT : Veuillez lire soigneusement les conditions d’application du produit stipulées
ci-dessous avant de télécharger, d’installer, de copier ou d’utiliser le produit. EN
TÉLÉCHARGEANT, EN INSTALLANT, EN COPIANT OU EN UTILISANT LE LOGICIEL,
VOUS ACCEPTEZ CES CONDITIONS AINSI QUE LA POLITIQUE DE CONFIDENTIALITÉ.
Contrat de licence de l'utilisateur final
Selon les conditions du présent Contrat de licence d’utilisateur final (ci-après dénommé
« Contrat ») signé par et entre ESET, spol. s r. o., dont le siège social se situe au Einsteinova
24, 85101 Bratislava, Slovak Republic, inscrite au Registre du Commerce du tribunal régional
de Bratislava I, Section Sro, Insertion No 3586/B, numéro d’inscription des entreprises :
31333532 (ci-après dénommé « ESET » ou « Fournisseur ») et vous, personne physique ou
275
morale, (ci-après dénommé « Vous » ou « Utilisateur final »). Vous êtes autorisé à utiliser le
Logiciel défini à l’Article 1 du présent Contrat. Le Logiciel défini à l’article 1 du présent
Contrat peut être enregistré sur un support de données, envoyé par courriel, téléchargé sur
Internet, téléchargé à partir de serveurs du Fournisseur ou obtenu à partir d’autres sources,
sous réserve des modalités et conditions précisées ci-dessous.
CE DOCUMENT N’EST PAS UN CONTRAT D’ACHAT, MAIS UN ACCORD LIÉ AUX DROITS DE
L’UTILISATEUR FINAL. Le Fournisseur reste le propriétaire de la copie du Logiciel et du
support physique fourni dans l’emballage commercial, et de toutes les copies du Logiciel que
l’Utilisateur final est autorisé à faire dans le cadre du présent Contrat.
En cliquant sur « J’accepte » ou « J’accepte... » lorsque vous téléchargez, copiez ou utilisez le
Logiciel, vous acceptez les conditions du présent Contrat. Si vous n’êtes pas d’accord avec
toutes les conditions du présent Contrat, cliquez immédiatement sur l'option d'annulation,
annulez le téléchargement, détruisez ou renvoyez le Logiciel, le support d’installation, la
documentation accompagnante et une facture au Fournisseur ou à l’endroit où vous avez
obtenu le Logiciel.
VOUS RECONNAISSEZ QUE VOTRE UTILISATION DU LOGICIEL INDIQUE QUE VOUS AVEZ LU ET
COMPRIS LE PRÉSENT CONTRAT ET ACCEPTÉ D'EN RESPECTER LES CONDITIONS.
1. Logiciel. Dans le présent Contrat, le terme « Logiciel » désigne : (i) le programme
informatique accompagné du présent Contrat et de toutes ses composantes; (ii) tous les
contenus sur les disques, CD-ROM, DVD, courriels ou tout autre fichier joint, ou sur tout autre
support avec lequel ce Contrat est fourni, incluant la forme du code objet du Logiciel fourni
sur un support de données, par courriel ou téléchargement sur Internet; (iii) tout matériel
d’explication écrit ou toute autre documentation éventuelle en lien avec le logiciel, surtout
toute description du Logiciel, ses spécifications, toute description des propriétés ou de
l’opération du Logiciel, toute description de l’environnement d’exécution dans lequel le
Logiciel est utilisé, les instructions d’utilisation ou d’installation du Logiciel ou toute
description sur la manière d’utiliser le Logiciel (nommé ci-après « Documentation »; (iv) les
copies du Logiciel, les retouches d’erreur possibles dans le Logiciel, les ajouts au Logiciel, les
extensions au Logiciel, les versions modifiées du Logiciel et les mises à jour des composants
du Logiciel, s'il y a lieu, pour lesquels vous avez obtenu une licence du Fournisseur, en vertu
de l’Article 3 de ce Contrat. Le Logiciel doit être fourni exclusivement sous forme de code
objet exécutable.
2. Installation, ordinateur et clé de licence. Les logiciels fournis sur un support de
données, envoyés par courrier électronique, téléchargés à partir d'Internet, téléchargés à
partir des serveurs du fournisseur ou obtenus à partir d'autres sources nécessitent une
installation. Vous devez installer le logiciel sur un ordinateur correctement configuré, en
respectant au moins les exigences définies dans la documentation. La méthodologie
d'installation est décrite dans la documentation. Aucun programme informatique ou matériel
pouvant avoir un effet négatif sur le logiciel ne peut être installé sur l'ordinateur sur lequel
vous installez le logiciel. Ordinateur désigne le matériel, y compris mais sans se limiter aux
ordinateurs personnels, aux ordinateurs portables, aux postes de travail, aux ordinateurs de
poche, aux téléphones intelligents, aux appareils électroniques portatifs ou à d'autres
276
appareils électroniques pour lesquels le Logiciel est conçu, sur lequel il sera installé et/ou
utilisé. Clé de licence désigne la séquence unique de symboles, de lettres, de chiffres ou de
signes spéciaux fournie à l'utilisateur final afin de permettre l'utilisation légale du logiciel, sa
version spécifique ou l'extension de la durée de la licence conformément au présent contrat.
3. Licence. Sous réserve du fait que vous ayez accepté les conditions du présent Contrat et
que vous respectiez toutes les modalités stipulées dans le présent Contrat, le Fournisseur
vous accorde les droits suivants (ci-après dénommé « Licence ») :
a) Installation et utilisation. Vous détenez un droit non exclusif et non transférable
d’installer le Logiciel sur le disque dur d’un ordinateur ou sur un support similaire de
stockage permanent de données, d’installer et de stocker le Logiciel dans la mémoire d’un
système informatique et d’exécuter, de stocker et d’afficher le Logiciel.
b) Précision du nombre de licences. Le droit d’utiliser le Logiciel est lié au nombre
d’Utilisateurs finaux. On entend par « un Utilisateur final » : (i) l’installation du Logiciel sur un
seul système informatique, ou (ii) si l’étendue de la Licence est liée au nombre de boîtes aux
lettres, un Utilisateur final désigne un utilisateur d’ordinateur qui reçoit du courriel par le
biais d’un agent d'utilisateur (ci-après dénommé « AU »). Si l'AU accepte du courriel et le
distribue automatiquement par la suite à plusieurs utilisateurs, le nombre d’Utilisateurs
finaux doit être déterminé en fonction du nombre réel d’utilisateurs auxquels le courriel est
distribué. Si un serveur de messagerie joue le rôle de passerelle de courriel, le nombre
d’Utilisateurs finaux est égal au nombre d'utilisateurs du serveur de messagerie pour
lesquels la passerelle fournit des services. Si un certain nombre d’adresses de messagerie
sont affectées à un seul et même utilisateur (par l’intermédiaire d’alias) et que ce dernier les
accepte et si les courriels ne sont pas distribués automatiquement du côté du client à
d’autres utilisateurs, la Licence n’est requise que pour un seul ordinateur. Vous ne devez pas
utiliser la même Licence au même moment sur plusieurs ordinateurs. L'utilisateur final est
autorisé à entrer la clé de licence du logiciel uniquement dans la mesure où il a le droit
d'utiliser le logiciel conformément à la limitation découlant du nombre de licences accordées
par le fournisseur. La clé de licence est réputée confidentielle. Vous ne devez pas partager la
licence avec des tiers ni permettre à des tiers d'utiliser la clé de licence, sauf autorisation du
présent accord ou du fournisseur. Si votre clé de licence est compromise, informez le
fournisseur immédiatement.
c) Version Business Edition. Une version Business Edition du Logiciel est requise pour
utiliser le Logiciel sur des serveurs de messagerie, relais de courrier, passerelles de courrier
ou passerelles Internet.
d) Durée de la Licence. Le droit d’utiliser le Logiciel est limité dans le temps.
e) Logiciel acheté à un fabricant d’équipement informatique. La Licence du Logiciel
acheté à un fabricant d’équipement informatique ne s’applique qu’à l’ordinateur avec lequel
vous l’avez obtenu. Elle ne peut pas être transférée à un autre ordinateur.
f) Version d’évaluation ou non destinée à la revente. Un Logiciel classé comme non
destiné à la revente ou comme version d’évaluation ne peut pas être vendu et ne doit être
utilisé qu’aux fins de démonstration ou d’évaluation des caractéristiques du Logiciel.
277
g) Résiliation de la Licence. La Licence expire automatiquement à la fin de la période pour
laquelle elle a été accordée. Si vous ne respectez pas les dispositions du présent Contrat, le
Fournisseur est en droit de mettre fin au Contrat, sans renoncer à tout droit ou recours
juridique ouvert au Fournisseur dans de tels cas. En cas d’annulation du présent Contrat,
vous devez immédiatement supprimer, détruire ou renvoyer à vos frais le Logiciel et toutes
les copies de sauvegarde à ESET ou à l’endroit où vous avez obtenu le Logiciel. Lors de la
résiliation de la licence, le fournisseur aura également le droit d'annuler le droit de
l'utilisateur final d'utiliser les fonctions du logiciel, qui nécessitent une connexion aux
serveurs du fournisseur ou à des serveurs tiers.
4. Fonctions avec collecte de données et nécessitant une connexion Internet. Pour
fonctionner correctement, le logiciel nécessite une connexion à Internet et doit se connecter
à intervalles réguliers aux serveurs du fournisseur ou à des serveurs tiers aux fins de collecte
de données applicables conformément à la politique de confidentialité. La connexion à
Internet et aux fins de collecte de données applicable sont nécessaires pour les fonctions
suivantes du Logiciel :
a) Mises à jour du Logiciel. Le Fournisseur est autorisé à émettre des mises à jour du
Logiciel (« Mises à jour ») de temps à autre, mais n’en a pas l’obligation. Cette fonction est
activée dans la configuration standard du Logiciel; les Mises à jour sont donc installées
automatiquement, sauf si l’Utilisateur final a désactivé l’installation automatique des Mises à
jour. Aux fins de fourniture des mises à jour, la vérification de l'authenticité de la licence est
requise, y compris les informations sur l'ordinateur et/ou la plate-forme sur laquelle le logiciel
est installé tout en respectant la politique de confidentialité.
b) Réacheminement des infiltrations et des données au Fournisseur. Le Logiciel
contient des fonctions qui recueillent des échantillons de virus informatiques et d’autres
programmes informatiques malveillants, ainsi que des objets suspects, problématiques,
potentiellement indésirables ou potentiellement dangereux comme des fichiers, des adresses
URL, des datagrammes IP et des secteurs Ethernet (nommé ci-après « Infiltrations ») et les
envoie par la suite au Fournisseur. Les données envoyées incluent, mais sans s'y limiter des
renseignements sur le processus d’installation, l’ordinateur et/ou la plateforme sur laquelle le
Logiciel est installé, les renseignements sur les opérations et la fonctionnalité du Logiciel
ainsi que les renseignements sur les périphériques du réseau local tels que le type, le
fournisseur, le modèle et/ou le nom du périphérique (nommé ci-après « Renseignements »).
Les Renseignements et les Infiltrations pourraient contenir des données (incluant des
données personnelles obtenues aléatoirement ou accidentellement) sur l’Utilisateur final ou
d’autres utilisateurs de l’ordinateur sur lequel le Logiciel est installé ainsi que les fichiers
visés par les Infiltrations avec les métadonnées associées.
Les Renseignements et les Infiltrations pourraient être recueillies par les fonctions du Logiciel
suivantes :
i. La fonction LiveGrid Reputation System inclut la collecte et l'envoi de hachage à sens
unique lié aux Infiltrations au Fournisseur. Cette fonction est activée sous les paramètres
standard du Logiciel.
ii. La fonction LiveGrid Feedback System inclut la collecte et l'envoi d'infiltrations avec les
278
métadonnées associées et les informations au Fournisseur. Cette fonction peut être activée
par l'utilisateur final pendant le processus d'installation du logiciel.
Le Fournisseur utilisera les Informations et les Infiltrations reçues uniquement à des fins
d'analyse et de recherche d'infiltrations, d'amélioration du Logiciel et de vérification de
l'authenticité des Licences et prendra les mesures appropriées pour s'assurer que les
Infiltrations et les Informations reçues restent sécurisées. En activant cette fonction du
Logiciel, les Infiltrations et les Informations peuvent être collectées et traitées par le
Fournisseur comme spécifié dans la Politique de Confidentialité et en conformité avec les
réglementations légales pertinentes. Vous pouvez désactiver ces fonctions à tout moment.
Aux fins du présent contrat, il est nécessaire de collecter, de traiter et de stocker les données
permettant au fournisseur de vous identifier conformément à la politique de confidentialité.
Vous reconnaissez par la présente que le Fournisseur vérifie, en utilisant ses propres moyens,
si vous utilisez le Logiciel conformément aux dispositions du présent Contrat. Vous
reconnaissez par la présente qu'aux fins du présent Contrat, il est nécessaire que vos
données soient transférées pendant la communication entre le Logiciel et les systèmes
informatiques du Fournisseur ou de ses partenaires commerciaux dans le cadre du réseau de
distribution et d'asssitance du Fournisseur afin d'assurer le bon fonctionnement du logiciel et
l'autorisation d'utiliser le logiciel ainsi que la protection des droits du fournisseur.
Après la conclusion du présent accord, le Fournisseur ou l'un de ses partenaires faisant partie
du réseau de distribution et d'assistance du Fournisseur aura le droit de transférer, de traiter
et de stocker les données essentielles vous identifiant à des fins de facturation, d'exécution
du contrat et de transmission de notifications. Vous acceptez par la présente de recevoir des
notifications et des messages, y compris, mais sans s'y limiter, des informations marketing.
Vous trouverez des informations détaillées sur la confidentialité, la protection des
données personnelles et vos droits en tant que personne concernée dans la politique de
confidentialité, disponible sur le site Web du Fournisseur et accessible directement depuis
le processus d'installation. Vous pouvez également le visiter à partir de la section d'aide
du logiciel.
5. Exercice des droits de l’Utilisateur final. Vous devez exercer les droits de l’Utilisateur
final en personne ou par l’intermédiaire de vos employés. Vous n’êtes autorisé à utiliser le
Logiciel que pour assurer la sécurité de vos opérations et protéger les systèmes
informatiques pour lesquels vous avez obtenu une Licence.
6. Limitations aux droits. Vous ne pouvez pas copier, distribuer, extraire des composants
ou créer des travaux dérivés basés sur le Logiciel. Vous devez respecter les restrictions
suivantes lorsque vous utilisez le Logiciel :
a) Vous pouvez effectuer une copie de sauvegarde archivée du Logiciel sur un support de
stockage permanent, à condition que cette copie de sauvegarde archivée ne soit pas
installée ni utilisée sur un autre ordinateur. Toutes les autres copies que vous pourriez faire
du Logiciel seront considérées comme une violation du présent Contrat.
b) Vous n’êtes pas autorisé à utiliser, à modifier, à traduire, à reproduire ou à transférer les
279
droits d’utilisation du Logiciel ou des copies du Logiciel d’aucune manière autre que celles
prévues dans le présent Contrat.
c) Vous ne pouvez pas vendre, concéder en sous-licence, louer à bail ou louer le Logiciel ou
utiliser le Logiciel pour offrir des services commerciaux.
d) Vous ne pouvez pas désosser, décompiler ou désassembler le Logiciel ni tenter de toute
autre façon de découvrir le code source du Logiciel, sauf dans la mesure où cette restriction
est expressément interdite par la loi.
e) Vous acceptez de n’utiliser le Logiciel que de façon conforme à toutes les lois applicables
de la juridiction dans laquelle vous utilisez le Logiciel, notamment les restrictions applicables
relatives aux droits d’auteur et aux droits de propriété intellectuelle.
f) Vous convenez de n’utiliser le logiciel et ses fonctionnalités que de façon à ne pas limiter la
possibilité, pour les autres utilisateurs finaux, d’accéder à ces services. Le Fournisseur se
réserve le droit de limiter la portée des services fournis à certains utilisateurs finaux pour en
permettre l’utilisation par le plus grand nombre possible d’utilisateurs finaux. Limiter la
portée des services fournis signifie aussi pouvoir mettre fin à la possibilité d’utiliser l’une des
fonctionnalités du logiciel et supprimer les données et informations stockées sur les serveurs
du Fournisseur ou de tiers relativement à une fonctionnalité spécifique du logiciel.
g) Vous acceptez de ne pas exercer d'activités impliquant l'utilisation de la clé de licence,
contrairement aux termes du présent Contrat ou conduisant à fournir une clé de licence à
toute personne qui n'a pas le droit d'utiliser le logiciel, comme le transfert de clé de licence
sous quelque forme que ce soit, ainsi que la reproduction non autorisée ou la distribution de
clés de licence dupliquées ou générées ou l'utilisation du logiciel suite à l'utilisation d'une clé
de licence obtenue d'une source autre que le fournisseur.
7. Droits d’auteur. Le Logiciel et tous les droits inclus, notamment les droits d’auteur et les droits de
propriété intellectuelle sont la propriété d’ESET et/ou de ses concédants de licence. Ils sont protégés
par les dispositions des traités internationaux et par toutes les lois nationales applicables dans le pays
où le Logiciel est utilisé. La structure, l’organisation et le code du Logiciel sont des secrets
commerciaux importants et des informations confidentielles appartenant à ESET et/ou à ses
concédants de licence. Vous n’êtes pas autorisé à copier le Logiciel, sauf dans les exceptions
précisées en 6 (a). Toutes les copies que vous êtes autorisé à faire en vertu du présent Contrat
doivent contenir les mentions relatives aux droits d’auteur et de propriété qui apparaissent sur le
Logiciel. Si vous désossez, décompilez ou désassemblez le Logiciel ou tentez de toute autre façon de
découvrir le code source du Logiciel, en violation des dispositions du présent Contrat, vous acceptez
que les données ainsi obtenues doivent être automatiquement et irrévocablement transférées au
Fournisseur dans leur totalité, dès que de telles données sont connues, indépendamment des droits
du Fournisseur relativement à la violation du présent Contrat.
8. Réservation de droits. Le Fournisseur se réserve tous les droits sur le Logiciel, à
l’exception des droits qui vous sont expressément garantis en vertu des conditions du
présent Contrat en tant qu’Utilisateur final du Logiciel.
9. Versions multilingues, logiciel sur plusieurs supports, multiples copies. Si le
Logiciel est utilisé sur plusieurs plateformes et en plusieurs langues, ou si vous recevez
280
plusieurs copies du Logiciel, vous ne pouvez utiliser le Logiciel que pour le nombre de
systèmes informatiques ou de versions pour lesquels vous avez obtenu une Licence. Vous ne
pouvez pas vendre, louer à bail, louer, concéder en sous-licence, prêter ou transférer des
versions ou des copies du Logiciel que vous n’utilisez pas.
10. Début et fin du Contrat. Ce Contrat entre en vigueur à partir du jour où vous en
acceptez les modalités. Vous pouvez résilier ce Contrat à tout moment en désinstallant de
façon permanente, détruisant et renvoyant, à vos frais, le Logiciel, toutes les copies de
sauvegarde et toute la documentation associée fournie par le Fournisseur ou ses partenaires
commerciaux. Quelle que soit la façon dont ce Contrat se termine, les dispositions énoncées
aux articles 7, 8, 11, 13, 19 et 21 continuent de s’appliquer pour une durée illimitée.
11. DÉCLARATIONS DE L’UTILISATEUR FINAL. EN TANT QU’UTILISATEUR FINAL, VOUS
RECONNAISSEZ QUE LE LOGICIEL EST FOURNI « EN L’ÉTAT », SANS AUCUNE GARANTIE
D’AUCUNE SORTE, QU’ELLE SOIT EXPRESSE OU IMPLICITE, DANS LA LIMITE PRÉVUE PAR LA
LOI APPLICABLE. NI LE FOURNISSEUR, NI SES CONCÉDANTS DE LICENCE, NI SES FILIALES, NI
LES DÉTENTEURS DE DROIT D’AUTEUR NE FONT UNE QUELCONQUE DÉCLARATION OU
N’ACCORDENT DE GARANTIE EXPRESSE OU IMPLICITE QUELCONQUE, NOTAMMENT DES
GARANTIES DE VENTE, DE CONFORMITÉ À UN OBJECTIF PARTICULIER OU SUR LE FAIT QUE LE
LOGICIEL NE PORTE PAS ATTEINTE À DES BREVETS, DROITS D’AUTEURS, MARQUES OU
AUTRES DROITS DÉTENUS PAR UN TIERS. NI LE FOURNISSEUR NI AUCUN AUTRE TIERS NE
GARANTIT QUE LES FONCTIONS DU LOGICIEL RÉPONDRONT À VOS ATTENTES OU QUE LE
FONCTIONNEMENT DU LOGICIEL SERA CONTINU ET EXEMPT D’ERREURS. VOUS ASSUMEZ
L’ENTIÈRE RESPONSABILITÉ ET LES RISQUES LIÉS AU CHOIX DU LOGICIEL POUR L’OBTENTION
DES RÉSULTATS ESCOMPTÉS ET POUR L’INSTALLATION, L’UTILISATION ET LES RÉSULTATS
OBTENUS.
12. Aucune obligation supplémentaire. À l’exception des obligations mentionnées
explicitement dans le présent Contrat, aucune obligation supplémentaire n’est imposée au
Fournisseur et à ses concédants de licence.
13. LIMITATION DE GARANTIE. DANS LA LIMITE MAXIMALE PRÉVUE PAR LES LOIS
APPLICABLES, LE FOURNISSEUR, SES EMPLOYÉS OU SES CONCÉDANTS DE LICENCE NE
SERONT EN AUCUN CAS TENUS POUR RESPONSABLES D’UNE QUELCONQUE PERTE DE
PROFIT, REVENUS, VENTES, DONNÉES, OU DES FRAIS D’OBTENTION DE BIENS OU SERVICES
DE SUBSTITUTION, DE DOMMAGE MATÉRIEL, DOMMAGE PHYSIQUE, INTERRUPTION
D’ACTIVITÉ, PERTE DE DONNÉES COMMERCIALES, OU DE TOUT DOMMAGE DIRECT, INDIRECT,
FORTUIT, ÉCONOMIQUE, DE GARANTIE, PUNITIF, SPÉCIAL OU CORRÉLATIF, QUELLE QU’EN
SOIT LA CAUSE ET QUE CE DOMMAGE DÉCOULE D’UNE RESPONSABILITÉ CONTRACTUELLE,
DÉLICTUELLE OU D’UNE NÉGLIGENCE OU DE TOUTE AUTRE THÉORIE DE RESPONSABILITÉ,
LIÉE À L’INSTALLATION, À L’UTILISATION OU À L’IMPOSSIBILITÉ D’UTILISER LE LOGICIEL,
MÊME SI LE FOURNISSEUR OU SES CONCÉDANTS DE LICENCE ONT ÉTÉ AVERTIS DE
L’ÉVENTUALITÉ D’UN TEL DOMMAGE. CERTAINS PAYS ET CERTAINES LOIS N’AUTORISANT PAS
L’EXCLUSION DE RESPONSABILITÉ, MAIS AUTORISANT LA LIMITATION DE RESPONSABILITÉ, LA
RESPONSABILITÉ DU FOURNISSEUR, DE SES EMPLOYÉS OU DE SES CONCÉDANTS DE LICENCE
SERA LIMITÉE AU MONTANT QUE VOUS AVEZ PAYÉ POUR LA LICENCE.
281
14. Aucune disposition du présent Contrat ne porte atteinte aux droits accordés par la loi de
toute partie agissant comme client si l’exécution y est contraire.
15. Assistance technique. ESET ou des tiers mandatés par ESET fourniront une assistance
technique à leur discrétion, sans garantie ni déclaration solennelle. L’Utilisateur final devra
peut-être sauvegarder toutes les données, logiciels et programmes existants avant que
l’assistance technique ne soit fournie. ESET et/ou les tiers mandatés par ESET ne seront en
aucun cas tenus responsables d’un quelconque dommage ou d’une quelconque perte de
données, de biens, de logiciels ou de matériel, ou d’une quelconque perte de profit en raison
de la fourniture de l’assistance technique. ESET et/ou les tiers mandatés par ESET se
réservent le droit de décider si l’assistance technique couvre la résolution du problème. ESET
se réserve le droit de refuser, de suspendre l’assistance technique ou d’y mettre fin à sa
discrétion. Des informations de licence ainsi que des informations et d'autres données
conformes à la politique de confidentialité peuvent être exigées aux fins de l'assistance
technique.
16. Transfert de Licence. Le Logiciel ne peut pas être transféré d’un système informatique
à un autre, à moins d’une précision contraire dans les modalités du présent Contrat.
L’Utilisateur final n’est autorisé qu’à transférer de façon définitive la Licence et tous les droits
accordés par le présent Contrat à un autre Utilisateur final avec l’accord du Fournisseur, si
cela ne s’oppose pas aux modalités du présent Contrat et dans la mesure où (i) l’Utilisateur
final d’origine ne conserve aucune copie du Logiciel; (ii) le transfert des droits est direct,
c’est-à-dire qu’il s’effectue directement de l’Utilisateur final original au nouvel Utilisateur
final; (iii) le nouvel Utilisateur final assume tous les droits et devoirs de l’Utilisateur final
d’origine en vertu du présent Contrat; (iv) l’Utilisateur final d’origine transmet au nouvel
Utilisateur final toute la documentation permettant de vérifier l’authenticité du Logiciel,
conformément à l’article 17.
17. Vérification de l’authenticité du Logiciel. L’Utilisateur final peut démontrer son droit
d’utilisation du Logiciel de l’une des façons suivantes : (i) au moyen d’un certificat de Licence
émis par le Fournisseur ou un tiers mandaté par le Fournisseur; (ii) au moyen d’un Contrat de
Licence écrit, si un tel contrat a été conclu; (iii) en soumettant un courriel envoyé par le
Fournisseur contenant les renseignements sur la Licence (nom d’utilisateur et mot de passe).
Les informations de licence et les données d'identification de l'utilisateur final peuvent être
requises conformément à la politique de confidentialité aux fins de vérification de
l'authenticité du logiciel.
18. Licence pour les pouvoirs publics et le gouvernement des États-Unis. Le Logiciel
est fourni aux pouvoirs publics, y compris le gouvernement des États-Unis, avec les droits de
Licence et les restrictions mentionnés dans le présent Contrat.
19. Conformité aux contrôles à l'exportation.
a) Vous ne devez pas, directement ou indirectement, exporter, réexporter, transférer ni
donner accès au logiciel de quelque manière que ce soit à toute personne, ni l'utiliser de
quelque manière que ce soit, ni être impliqué dans un acte qui pourrait avoir pour
conséquence qu'ESET ou ses sociétés holding, ses filiales et les filiales de ses sociétés
holding, ainsi que les entités contrôlées par ses sociétés holding (ci-après dénommées
282
« affiliés ») violent les lois sur le contrôle à l'exportation ou en subissent des conséquences
négatives, ce qui comprend :
i. toute loi qui contrôle, restreint ou impose des exigences de licence pour l'exportation, la
réexportation ou le transfert de biens, de logiciels, de technologies ou de services, émise ou
adoptée par un gouvernement, un État ou un organisme de réglementation des États-Unis
d'Amérique, de Singapour, du Royaume-Uni, de l'Union européenne ou de l'un de ses États
membres, ou de tout pays dans lequel des obligations au titre de l'accord doivent être
exécutées, ou dans lequel ESET ou l'une de ses sociétés affiliées sont constituées ou
exercent leurs activités (ci-après dénommées « lois sur le contrôle des exportations ») et
ii. toute sanction, restriction, embargo, interdiction d'importation ou d'exportation,
interdiction de transfert de fonds ou d'actifs ou de prestation de services, ou mesure
équivalente imposée par un gouvernement, un État ou un organisme de réglementation des
États-Unis d'Amérique, de Singapour, du Royaume-Uni, de l'Union européenne ou de l'un de
ses États membres, ou de tout pays dans lequel des obligations au titre de l'accord doivent
être exécutées, ou dans lequel ESET ou l'une de ses sociétés affiliées sont constituées ou
exercent leurs activités (ci-après dénommés « lois de sanction »), de nature économique,
financière, commerciale ou autre.
b) ESET a le droit de suspendre ses obligations au titre des présentes conditions, ou de les
résilier avec effet immédiat dans le cas où :
i. ESET détermine que, selon son avis raisonnable, l'utilisateur a violé ou est susceptible de
violer la disposition de l'article 19.a de l'accord; ou
ii. l'utilisateur final et/ou le logiciel deviennent soumis aux lois sur le contrôle des
exportations et, en conséquence, ESET détermine que, selon son opinion raisonnable,
l'exécution continue de ses obligations en vertu de l'accord pourrait avoir pour conséquence
qu'ESET ou ses affiliés violent les lois de contrôle du commerce ou en subissent des
conséquences négatives.
c) Rien dans l'accord n'est destiné, et rien ne doit être interprété ni compris comme étant
destiné à inciter ou à obliger l'une ou l'autre des parties à agir ou à s'abstenir d'agir (ou à
accepter d'agir ou de s'abstenir d'agir) d'une manière qui soit incompatible avec les lois de
contrôle du commerce applicables, réprimée ou interdite.
20. Avis. Tous les avis, les renvois du Logiciel et la documentation doivent être livrés à :
ESET, spol. s r. o., Einsteinova 24, 85101 Bratislava, Slovak Republic.
21. Loi applicable. Le présent Contrat est régi par la loi de la République Slovaque et
interprété conformément à celle-ci. L’Utilisateur final et le Fournisseur conviennent que les
principes relatifs aux conflits de la loi applicable et la Convention des Nations Unies sur les
contrats pour la Vente internationale de marchandises ne s’appliquent pas. Vous acceptez
expressément que le tribunal de Bratislava I., Slovaquie, arbitre tout litige ou conflit avec le
Fournisseur ou en relation avec votre utilisation du Logiciel, et vous reconnaissez
expressément que le tribunal a la juridiction pour de tels litiges ou conflits.
283
22. Dispositions générales. Si une disposition du présent Contrat s'avère nulle et
inopposable, cela n'affectera pas la validité des autres dispositions du présent Contrat. Ces
dispositions resteront valables et opposables en vertu des conditions stipulées dans le
présent Contrat. En cas de divergence entre les versions linguistiques du présent accord, la
version anglaise prévaut. Le présent Contrat ne pourra être modifié que par un avenant écrit
et signé par un représentant autorisé du Fournisseur ou une personne expressément
autorisée à agir à ce titre en vertu d’un contrat de mandat.
Ceci constitue le Contrat total entre le Fournisseur et vous relativement au Logiciel et
remplace l'ensemble des précédentes déclarations, discussions, promesses, communications
ou publicités concernant le Logiciel.
EULA ID: BUS-STANDARD-20-01
Politique de confidentialité
ESET, spol s.r.o., dont le siège social se situe au Einsteinova 24, 851 01 Bratislava,
République Slovaque, inscrite au Registre du Commerce du tribunal régional de Bratislava I,
Section Sro, Insertion No 3586/B, numéro d’inscription des entreprises : 31333532 en tant
que contrôleur de données (« ESET » ou « Nous »), nous souhaitons être transparents en ce
qui concerne le traitement des données personnelles et confidentielles de nos clients. Pour
atteindre cet objectif, nous publions cette politique de confidentialité dans le seul but
d'informer notre client (« utilisateur final » ou « vous ») sur les sujets suivants :
• traitement des données personnelles,
• confidentialité des données,
• Droits de la personne concernée.
Traitement des données personnelles
Les services fournis par ESET implémentés dans notre produit sont fournis conformément aux
termes du contrat de licence d'utilisateur final (« CLUF »), mais certains d'entre eux peuvent
nécessiter une attention particulière. Nous aimerions vous fournir plus de détails sur la
collecte de données liées à la fourniture de nos services. Nous fournissons divers services
décrits dans le CLUF et la documentation du produit, tels que le service de mise à jour / mise
à niveau, ESET LiveGrid®, la protection contre l'utilisation abusive des données, l'assistance,
etc. À cette fin, nous devons recueillir les renseignements suivants :
• Mise à jour et autres statistiques couvrant les informations concernant le processus d'installation
et votre ordinateur y compris la plate-forme sur laquelle notre produit est installé et les
informations sur les opérations et les fonctionnalités de nos produits tels que le système
d'exploitation, les informations sur le matériel, l'ID d'installation et les paramètres de configuration
du produit.
• Des hachages unidirectionnels liés aux infiltrations dans le cadre du système de réputation ESET
LiveGrid® améliorent l'efficacité de nos solutions anti-logiciel malveillant en comparant les fichiers
analysés à une base de données d'éléments en liste blanche et en liste noire dans le nuage.
284
• Des échantillons suspects et des métadonnées existants dans le cadre du système de rétroaction
ESET LiveGrid®, qui permettent à ESET de réagir immédiatement aux besoins de nos utilisateurs
finaux et de rester réactif face aux dernières menaces. Nous comptons sur Vous pour nous envoyer
odes infiltrations telles que des échantillons potentiels de virus et d’autres programmes
malveillants et suspects; des objets problématiques, potentiellement indésirables ou
potentiellement dangereux, tels que des fichiers exécutables, des messages électroniques
signalés par vous comme pourriel ou marqués par notre produit;
odes renseignements sur les périphériques du réseau local tels que le type, le fournisseur, le
modèle et/ou le nom du périphérique;
odes renseignements concernant l'utilisation d'Internet telles que l'adresse IP et les informations
géographiques, les paquets IP, les URL et les trames ethernet;
oles fichiers de vidage sur incident et les informations qu’il contient.
Nous ne souhaitons pas collecter vos données en dehors de ce cadre, mais il est parfois
impossible de l'éviter. Les données collectées accidentellement peuvent être incluses dans
les logiciels malveillants eux-mêmes (collectées à votre insu ou sans votre accord) ou dans
des noms de fichiers ou des URL. Nous ne souhaitons pas qu'elles fassent partie de nos
systèmes; nous ne les traitons pas non plus aux fins déclarées dans la présente politique de
confidentialité.
• Les informations de licence telles que l'ID de licence et les données personnelles telles que le
nom, le nom de famille, l'adresse, l'adresse de courriel sont nécessaires à des fins de facturation, de
vérification de l'authenticité de la licence et de la fourniture de nos services.
• Les coordonnées et les données contenues dans vos demandes d'assistance peuvent être
nécessaires au service d'assistance. En fonction du moyen que vous choisissez pour nous contacter,
nous pouvons recueillir votre adresse de courriel, votre numéro de téléphone, les renseignements
de licence, les détails du produit et la description de votre dossier d'assistance. Vous pouvez être
invité à nous fournir d'autres renseignements pour faciliter le service d'assistance.
Confidentialité des données
ESET est une société faisant affaire dans le monde entier grâce à des entités affiliées ou des
partenaires dans le cadre de son réseau de distribution, de service et d'assistance. Les
informations traitées par ESET peuvent être transférées vers et depuis des entités affiliées ou
des partenaires aux fins de l'exécution du CLUF, telles que la fourniture de services ou
d'assistance ou la facturation. En fonction de votre emplacement et du service que vous
choisissez d'utiliser, il est possible que nous transférions vos données vers un pays dans
lequel la décision d'adéquation de la Commission européenne n'est pas en vigueur. Même
dans ces cas, tout transfert de renseignements est soumis à la réglementation de la
législation sur la protection des données et n'a lieu que si cela est nécessaire. Les clauses
contractuelles standard, les règles d'entreprise contraignantes ou une autre sauvegarde
appropriée doivent être établis sans aucune exception.
Nous faisons de notre mieux pour éviter que les données ne soient stockées plus longtemps
que nécessaire pendant la fourniture des services dans le cadre du CLUF. Notre période de
rétention peut être plus longue que la période de validité de votre licence, juste pour vous
285
donner le temps de la renouveler facilement et sans soucis. Les statistiques minimisées et
pseudonymisées ainsi que d'autres données d'ESET LiveGrid® peuvent être traitées
ultérieurement à des fins statistiques.
ESET met en œuvre des mesures techniques et organisationnelles appropriées pour assurer
un niveau de sécurité adapté aux risques potentiels. Nous faisons de notre mieux pour
assurer la confidentialité, l'intégrité, la disponibilité et la résilience permanentes des
systèmes et des services de traitement. Cependant, en cas de violation de données
entraînant un risque pour vos droits et libertés, nous sommes prêts à informer l'autorité de
surveillance ainsi que les personnes concernées. En tant que personne concernée, vous avez
le droit de formuler une réclamation auprès d'une autorité de surveillance.
Droits de la personne concernée
ESET est soumis à la réglementation des lois slovaques et nous sommes liés par la législation
sur la protection des données dans le cadre de l'Union européenne. Sous réserve des
conditions fixées par les lois applicables en matière de protection des données, vous
bénéficiez des droits suivants en tant que personne concernée :
• le droit de demander l'accès à vos données personnelles auprès d'ESET,
• le droit à la rectification de vos données personnelles si elles sont inexactes (vous avez également
le droit de compléter les données personnelles si elles sont incomplètes),
• le droit de demander la suppression de vos données personnelles,
• le droit de demander la restriction du traitement de vos données personnelles
• le droit de vous opposer au traitement
• le droit de déposer une plainte ainsi que
• le droit à la portabilité des données.
Si vous souhaitez exercer votre droit en tant que personne concernée ou si vous avez une
question ou une préoccupation, envoyez-nous un message à l'adresse suivante :
ESET, spol. s r.o.
Data Protection Officer
Einsteinova 24
85101 Bratislava
Slovak Republic
dpo@eset.sk
286

Manuels associés