Manuel du propriétaire | F-SECURE CLIENT SECURITY 8.00 Manuel utilisateur

Ajouter à Mes manuels
355 Des pages
Manuel du propriétaire | F-SECURE CLIENT SECURITY 8.00 Manuel utilisateur | Fixfr
F-Secure Anti-Virus
Client Security
Guide de
l'administrateur
« F-Secure » et le symbole du triangle sont des marques déposées de F-Secure Corporation, et les
noms des produits F-Secure ainsi que les symboles et logos sont des marques déposées ou des
marques de commerce de F-Secure Corporation. Tous les noms de produits mentionnés dans la
présente documentation sont des marques commerciales ou des marques déposées de leurs sociétés
respectives. F-Secure Corporation dénie tout intérêt propriétaire vis-à-vis des marques et noms de
sociétés tierces. F-Secure Corporation ne pourra être tenue pour responsable des erreurs ou
omissions afférentes à cette documentation, quand bien même cette société s'efforce de vérifier
l'exactitude des informations contenues dans ses publications. F-Secure Corporation se réserve le
droit de modifier sans préavis les informations contenues dans ce document.
Sauf mention contraire, les sociétés, noms et données utilisés dans les exemples sont fictifs. Aucune
partie de ce document ne peut être reproduite ou transmise à quelque fin ou par quelque moyen que
ce soit, électronique ou mécanique, sans l'autorisation expresse et écrite de F-Secure Corporation.
Ce produit peut être couvert par un ou plusieurs brevets F-Secure, dont les suivants :
GB2353372
GB2366691
GB2366692
GB2366693
GB2367933
GB2368233
GB2374260
Copyright © 2008 F-Secure Corporation. Tous droits réservés.
12000060-5C18
Sommaire
A propos de ce guide
10
Présentation ....................................................................................................................... 11
Documentation complémentaire ........................................................................................ 13
Conventions utilisées dans les guides F-Secure ................................................................ 1
Symboles .................................................................................................................... 1
Chapitre 1
Introduction
3
1.1
Présentation ................................................................................................................. 4
1.2
Composants et fonctions de F-Secure Client Security................................................. 4
1.2.1 Protection contre les virus et les logiciels espions ........................................... 4
1.2.2 Protection Internet ............................................................................................ 7
1.2.3 Gestion des applications .................................................................................. 9
1.3
Introduction à F-Secure Policy Manager.................................................................... 10
1.3.1 Principaux composants de F-Secure Policy Manager.................................... 10
1.3.2 Fonctions de F-Secure Policy Manager ......................................................... 12
1.4
Terminologie de base................................................................................................. 13
Chapitre 2
Installation de F-Secure Policy Manager
15
2.1
Présentation ............................................................................................................... 16
2.2
Configuration requise ................................................................................................. 17
2.2.1 F-Secure Policy Manager Server ................................................................... 17
2.2.2 F-Secure Policy Manager Console.................................................................19
2.3
Procédure d'installation ..............................................................................................20
iii
2.4
Chapitre 3
3.1
Désinstallation de F-Secure Policy Manager ............................................................. 42
Introduction à l'interface utilisateur du mode antivirus de
F-Secure Policy Manager43
Présentation ............................................................................................................... 44
3.2
Onglet Domaines de stratégie.................................................................................... 45
3.3
Onglets de gestion ..................................................................................................... 45
3.3.1 Onglet Résumé............................................................................................... 46
3.3.2 Onglet Attaque................................................................................................ 53
3.3.3 Onglet Paramètres ......................................................................................... 56
3.3.4 Onglet Etat...................................................................................................... 86
3.3.5 Onglet Alertes................................................................................................. 93
3.3.6 Onglet Rapports ............................................................................................. 95
3.3.7 Onglet Installation........................................................................................... 96
3.3.8 Onglet Opérations .......................................................................................... 98
3.4
Barre d'outils ..............................................................................................................99
3.5
Commandes des menus ..........................................................................................100
3.6
Transmission des paramètres par héritage..............................................................104
3.6.1 Affichage de l'héritage de paramètres dans l'interface utilisateur ................105
3.6.2 Verrouillage et déverrouillage simultanés de tous les paramètres d'une page ..
106
3.6.3 Héritage des paramètres dans les tables .....................................................107
Chapitre 4
Configuration du réseau géré
108
4.1
Présentation .............................................................................................................109
4.2
Première connexion .................................................................................................110
4.2.1 Ouverture de session ...................................................................................110
4.3
Création de la structure du domaine ........................................................................114
4.3.1 Ajout de domaines et sous-domaines de stratégie.......................................116
4.4
Ajout d'hôtes.............................................................................................................116
4.4.1 Domaines Windows......................................................................................117
4.4.2 Hôtes auto-enregistrés .................................................................................117
4.4.3 Installations à distance de F-Secure ............................................................122
4.4.4 Installation par stratégies..............................................................................129
4.4.5 Installations et mises à jour locales à l'aide de packages préconfigurés .....134
iv
4.5
Installation locale......................................................................................................139
4.5.1 Configuration système requise pour l'installation locale ...............................139
4.5.2 Instructions d'installation ..............................................................................141
4.6
Installation sur un hôte infecté .................................................................................142
4.7
Comment vérifier que les connexions de gestion fonctionnent................................143
Chapitre 5
Configuration de la protection contre les virus et les logiciels
espions144
5.1
Présentation : Objectif de l'utilisation de la protection contre les virus et les logiciels espions146
5.2
Configuration des mises à jour automatiques ..........................................................147
5.2.1 Fonctionnement des mises à jour automatiques ..........................................148
5.2.2 Paramètres de configuration des mises à jour automatiques.......................148
5.2.3 Configuration des mises à jour automatique à partir de Policy Manager Server
149
5.2.4 Configuration de Policy Manager Proxy .......................................................150
5.2.5 Configuration des clients de sorte qu'ils téléchargent des mises à jour entre eux
152
5.3
Configuration de l'analyse en temps réel .................................................................153
5.3.1 Paramètres de configuration de l'analyse en temps réel..............................153
5.3.2 Activation de l'analyse en temps réel pour l'ensemble du domaine .............156
5.3.3 Activation forcée de l'analyse en temps réel sur tous les hôtes ...................157
5.3.4 Exclusion du fichier .pst de Microsoft Outlook de l'analyse en temps réel ...158
5.4
Configuration du contrôle du système......................................................................159
5.4.1 Paramètres de configuration du contrôle du système ..................................159
5.4.2 Requêtes serveur du contrôle de système (DeepGuard 2.0) .......................161
5.5
Configuration de la recherche de rootkits ................................................................161
5.5.1 Paramètres de configuration de la recherche de rootkits .............................162
5.5.2 Lancement de la recherche de rootkits dans l'ensemble du domaine..........162
5.6
Configuration de l'analyse du courrier électronique .................................................163
5.6.1 Paramètres de configuration de l'analyse du courrier électronique..............163
5.6.2 Activation de l'analyse du courrier électronique pour les messages entrants et
sortants166
5.7
Configuration de l'analyse du trafic Web (HTTP) .....................................................168
5.7.1 Paramètres de configuration de l'analyse HTTP ..........................................168
v
5.7.2
5.7.3
Activation de l'analyse du trafic Web pour l'ensemble du domaine..............169
Exclusion d'un site Web de l'analyse HTTP .................................................169
5.8
Configuration de la recherche de logiciels espions..................................................171
5.8.1 Paramètres de contrôle des logiciels espions ..............................................172
5.8.2 Configuration du contrôle des logiciels espions pour l'ensemble du domaine ...
177
5.8.3 Lancement de la recherche de logiciels espions dans l'ensemble du domaine .
179
5.8.4 Autorisation de l'utilisation d'un composant de logiciel espion ou de riskware...
180
5.9
Interdiction de modification des paramètres par les utilisateurs ..............................181
5.9.1 Marquage de tous les paramètres de protection antivirus comme finaux ....181
5.10 Configuration d'envoi d'alertes de F-Secure Client Security ....................................182
5.10.1 Configuration de F-Secure Client Security pour prévoir l'envoi d'alertes de virus
à une adresse électronique183
5.10.2 Désactivation des fenêtres indépendantes d'alerte de F-Secure Client Security
184
5.11 Surveillance des virus sur le réseau ........................................................................185
5.12 Test de la protection antivirus ..................................................................................185
Chapitre 6
Configuration de la protection Internet
187
6.1
Présentation : Objectif de l'utilisation de la protection Internet.................................188
6.1.1 Niveaux de sécurité globale de pare-feu ......................................................189
6.1.2 Principes d'élaboration des niveaux de sécurité ..........................................191
6.2
Configuration des niveaux et règles de sécurité de la protection Internet ...............192
6.2.1 Sélection d'un niveau de sécurité actif pour un poste de travail...................192
6.2.2 Configuration d'un niveau de sécurité par défaut pour les hôtes gérés .......193
6.2.3 Ajout d'un nouveau niveau de sécurité pour un domaine particulier ............194
6.3
Configuration de la quarantaine réseau ...................................................................198
6.3.1 Paramètres de quarantaine réseau ..............................................................198
6.3.2 Activation de la quarantaine réseau à l'échelle du domaine ........................198
6.3.3 Réglage de la quarantaine réseau ...............................................................199
6.4
Configuration des alertes de règle de la protection Internet ....................................200
6.4.1 Ajout d'une nouvelle règle de la protection Internet avec alerte ...................200
6.5
Configuration du contrôle des applications ..............................................................204
vi
6.5.1
6.5.2
6.5.3
6.5.4
6.5.5
Paramètres de configuration du contrôle des applications...........................206
Première configuration du contrôle des applications....................................207
Création d'une règle pour une application inconnue au niveau racine .........209
Modification d'une règle de contrôle des applications existante...................211
Désactivation des fenêtres contextuelles de contrôle des applications........212
6.6
Utilisation d'alertes pour vérifier le fonctionnement de la protection Internet ...........213
6.7
Configuration de la prévention des intrusions ..........................................................214
6.7.1 Paramètres de configuration de la prévention des intrusions.......................215
6.7.2 Configuration d'IPS pour les ordinateurs de bureau et les portables ...........217
Chapitre 7
Comment vérifier que l'environnement est protégé
219
7.1
Présentation .............................................................................................................220
7.2
Vérification de l'état de protection dans l'onglet Attaque..........................................220
7.3
Comment vérifier que tous les hôtes utilisent la dernière stratégie..........................220
7.4
Comment vérifier que le serveur utilise les définitions de virus les plus récentes ...221
7.5
Comment vérifier que les hôtes ont les définitions de virus les plus récentes .........221
7.6
Comment vérifier qu'aucun hôte n'est déconnecté ..................................................222
7.7
Visualisation des rapports d'analyse ........................................................................222
7.8
Affichage des alertes................................................................................................223
7.9
Création d'un rapport d'infection hebdomadaire ......................................................224
7.10 Surveillance d'une attaque réseau potentielle..........................................................225
Chapitre 8
Mise à jour du logiciel
226
8.1
Présentation .............................................................................................................227
8.1
Utilisation de l'éditeur d'installation ..........................................................................227
Chapitre 9
9.1
Opérations sur les hôtes locaux
231
Présentation .............................................................................................................232
9.2
Recherche manuelle de virus de fichier ...................................................................232
9.3
Affichage du rapport d'analyse le plus récent sur un hôte local ...............................233
9.4
Ajout d'une analyse planifiée à partir d'un hôte local ...............................................233
9.5
Consignation et emplacement des fichiers journaux sur les hôtes locaux...............234
9.5.1 Le fichier LogFile.log ....................................................................................235
9.5.2 Consignation de paquets..............................................................................235
vii
9.5.3
9.5.4
9.6
Le fichier Action.log ......................................................................................236
Autres fichiers journaux ................................................................................238
Connexion à F-Secure Policy Manager et importation d'un fichier de stratégie
manuellement239
9.7
Suspension des téléchargements et mises à jour....................................................240
9.8
Autoriser les utilisateurs à décharger des produits F-Secure ..................................240
Chapitre 10 Informations sur les virus
242
10.1 Informations et outils relatifs aux programmes malveillants sur les pages Web F-Secure243
10.2 Comment envoyer un échantillon de virus à F-Secure ............................................244
10.2.1 Comment préparer un échantillon de virus ?................................................244
10.2.2 Quels fichiers envoyer ? ...............................................................................245
10.2.3 Comment envoyer l'échantillon de virus ? ....................................................247
10.2.4 Dans quelle langue ?....................................................................................248
10.2.5 Temps de réponse........................................................................................248
10.3 Que faire en cas d'apparition d'un nouveau virus ? .................................................248
Chapitre 11 Configuration du plug-in Cisco NAC
251
11.1 Introduction ..............................................................................................................252
11.2 Installation du plug-in Cisco NAC.............................................................................252
11.2.1 Importations de définitions d'attributs de validation de posture ....................253
11.3 Attributs à utiliser pour un jeton de posture d'application.........................................253
Chapitre 12 Fonctions avancées : Protection contre les virus et les
logiciels espions256
12.1 Présentation .............................................................................................................257
12.2 Configuration d'une analyse planifiée ......................................................................257
12.3 Paramètres du contrôle du système en mode avancé.............................................259
12.3.1 Notification d'un utilisateur d'un événement de refus ...................................259
12.3.2 Permettre à un administrateur d'autoriser ou de refuser des événements
provenant de programmes d'autres utilisateurs260
12.3.3 Autoriser ou refuser automatiquement des événements requis par une
application spécifique261
12.4 Configuration de Policy Manager Proxy...................................................................262
viii
12.5 Configuration des mises à jour automatiques sur les hôtes à partir du proxy antivirus .
263
12.6 Configuration d'un hôte pour la gestion SNMP ........................................................264
12.7 Exclure une application de l'analyseur du trafic Web...............................................264
Chapitre 13 Fonctions avancées : Protection Internet
266
13.1 Présentation .............................................................................................................267
13.2 Gestion à distance des propriétés de la protection Internet.....................................267
13.2.1 Consignation de paquets..............................................................................267
13.2.2 Interface approuvée......................................................................................268
13.2.3 Filtrage de paquets.......................................................................................269
13.3 Configuration de la sélection automatique du niveau de sécurité............................269
13.4 Dépannage de problèmes de connexion .................................................................272
13.5 Ajout de nouveaux services .....................................................................................273
13.5.1 Création d'un nouveau service Internet basé sur le port HTTP par défaut ..274
13.6 Installer Dialup Control.............................................................................................283
13.6.1 Autoriser et bloquer des numéros de téléphone...........................................283
13.6.2 Enregistrement des appels...........................................................................284
Appendix A Modification de PRODSETT.INI
286
A.1
Présentation ............................................................................................................ 287
A.2
Paramètres configurables dans Prodsett.ini ............................................................287
Appendix B Messages d'alerte et d'erreur de l'analyse du courrier
électronique305
B.1
Présentation ............................................................................................................ 306
Appendix C Produits détectés ou supprimés lors de l'installation du client
311
C.1 Présentation ............................................................................................................ 312
Glossaire
318
Support technique
334
ix
Présentation ..................................................................................................................... 335
Web Club .........................................................................................................................335
Descriptions de virus sur le Web ......................................................................................335
Support technique avancé ...............................................................................................335
Formation technique aux produits F-Secure ....................................................................337
Programme de formation 337
Contacts 337
x
A PROPOS DE CE GUIDE
Présentation ............................................................................... 11
Documentation complémentaire................................................ 13
10
11
Présentation
Ce manuel décrit la configuration et les opérations que vous pouvez
effectuer avec l'interface utilisateur du mode antivirus de F-Secure Policy
Manager et fournit les informations dont vous avez besoin pour
commencer l'administration centralisée d'applications F-Secure Client
Security.
Le Guide de l'administrateur de F-Secure Client Security contient les
chapitres suivants.
Chapitre 1. Introduction. Décrit les composants de base de F-Secure
Client Security et les principales fonctions de F-Secure Policy Manager.
Chapitre 2. Installation de F-Secure Policy Manager. Instructions
d'installation de F-Secure Policy Manager Server et de la console.
Chapitre 3. Introduction à l'interface utilisateur du mode antivirus de
F-Secure Policy Manager. Décrit les composants de l'interface utilisateur
du mode antivirus de F-Secure Policy Manager.
Chapitre 4. Configuration du réseau géré. Explique comment planifier et
créer le réseau géré de manière centrale.
Chapitre 5. Configuration de la protection contre les virus et les logiciels
espions. Explique comment configurer les mises à jours de définitions de
virus, l'analyse en temps réel et l'analyse du courrier électronique.
Chapitre 6. Configuration de la protection Internet. Explique comment
configurer les niveaux et règles de sécurité, le contrôle des applications
et le système de prévention des intrusions (IPS).
Chapitre 7. Comment vérifier que l'environnement est protégé. Fournit
une liste de contrôle concernant la surveillance du domaine et la façon de
d'assurer que le réseau est protégé.
Chapitre 8. Mise à jour du logiciel. Contient des instructions sur la mise
à niveau du logiciel avec F-Secure Policy Manager.
Chapitre 9. Opérations sur les hôtes locaux. Fournit des informations
sur les tâches d'administration, telles que la planification locale d'une
analyse et la collecte d'informations à partir des fichiers journaux locaux.
12
Chapitre 10. Informations sur les virus. Explique où obtenir des
informations supplémentaires sur les virus et comment envoyer un
échantillon de virus à F-Secure.
Chapitre 11. Configuration du plug-in Cisco NAC. Décrit l'installation et
la configuration d'un support NAC (Network Access Control) Cisco.
Chapitre 12. Fonctions avancées : Protection contre les virus et les
logiciels espions. Couvre les fonctions avancées de protection antivirus,
telles que l'analyse planifiée, l'utilisation du proxy antivirus et la gestion
basée sur SNMP.
Chapitre 13. Fonctions avancées : Protection Internet. Couvre les
fonctions de protection Internet avancées, telles que la vérification des
ports et de l'IP avec le contrôle des applications, l'ajout de nouveaux
services et le dépannage des problèmes de connexion.
Annexe A. Modification de PRODSETT.INI. Contient des informations
concernant la modification de PRODSETT.INI, fichier qui indique au
programme d'installation les modules logiciels à installer sur les postes de
travail.
Annexe B. Messages d'alerte et d'erreur de l'analyse du courrier
électronique. Décrit les messages d'alerte et d'erreur que l'analyse du
courrier électronique peut générer.
Annexe C. Produits détectés ou supprimés lors de l'installation du client.
Répertorie tous les produits que l'utilisateur est invité à installer ou qui ne
sont pas installés automatiquement lors de l'installation de F-Secure
Client Security.
Glossaire — Définition des termes
Support technique — Web Club et contacts pour obtenir de l'aide.
A propos de F-Secure Corporation — Présentation de la société et de ses
produits.
13
Documentation complémentaire
Aide en ligne de F-Secure Policy Manager
L'aide en ligne de F-Secure Policy Manager contient des informations
sur les interfaces utilisateur tant en mode antivirus qu'en mode avancé.
L'aide en ligne est accessible à partir du menu Aide en
sélectionnantSommaire de l'aide ou en appuyant sur F1.
Des informations concernant l'interface utilisateur en mode antivirus de
F-Secure Policy Manager sont accessibles sous F-Secure Client Security
Administration dans l'arborescence de navigation.
Des informations concernant l'interface utilisateur du mode avancé de
F-Secure Policy Manager sont accessibles sous F-Secure Policy
Manager dans l'arborescence de navigation.
Aide en ligne de F-Secure Client Security
L'interface utilisateur locale de F-Secure Client Security s'accompagne
d'une aide en ligne contextuelle. Cette aide en ligne est accessible à
partir de l'interface utilisateur principale et des boîtes de dialogue
avancées en cliquant sur le bouton Aide ou en appuyant sur F1.
L'aide en ligne s'ouvre toujours sur une page contenant des informations
sur votre emplacement actuel dans l'interface utilisateur de F-Secure
Client Security. Le volet de gauche de l'aide en ligne permet de parcourir
rapidement l'aide au travers de l'arborescence et d'accéder à une
fonction de recherche.
14
Guide de l'administrateur de F-Secure Policy Manager
Pour plus d'informations sur l'administration d'autres produits logiciels
F-Secure avec F-Secure Policy Manager, reportez-vous au Guide de
l'administrateur de F-Secure Policy Manager. Ce dernier contient des
informations sur l'interface utilisateur en mode avancé et explique
comment configurer et gérer d'autres produits F-Secure. Il contient
également des informations relatives à F-Secure Management Agent et à
F-Secure Policy Manager Web Reporting.
Guide de l'administrateur de Proxy F-Secure Policy Manager
Pour plus d'informations sur l'installation et la maintenance des proxys
F-Secure Policy Manager, reportez-vous au Guide de l'administrateur de
Proxy F-Secure Policy Manager. Il contient des instructions détaillées sur
l'utilisation des proxys F-Secure Policy Manager en vue de distribuer des
mises à jour de produit avec plus d'efficacité.
1
Conventions utilisées dans les guides F-Secure
Cette section décrit les symboles, polices et termes utilisés dans ce
manuel.
Symboles
AVERTISSEMENT : Le symbole d’avertissement signale un
risque de destruction irréversible des données.
IMPORTANT : Le point d’exclamation signale des informations
importantes à prendre en compte.
REFERENCE : l’image d’un livre renvoie à un autre document
contenant des informations sur le même sujet.
REMARQUE : une remarque donne des informations
complémentaires à prendre en compte.
l
CONSEIL : un conseil donne des informations qui vous
permettront de réaliser une tâche avec plus de facilité ou de
rapidité.
⇒ Une flèche signale une procédure composée d’une seule étape.
Polices
La police Arial Gras (bleu) est utilisée pour les noms et les options de
menus, les boutons et autres éléments des boîtes de dialogue.
La police Arial Italique (bleu) est utilisée pour les références aux autres
chapitres de ce manuel ainsi que les titres de livres ou d’autres manuels.
La police Arial Italique (noir) est utilisée pour les noms de fichiers et de
dossiers, les titres des figures et des tableaux et les noms des
arborescences.
2
La police Courier New est utilisée pour les messages affichés à l'écran.
La police Courier New Gras est utilisée pour les informations que vous
devez taper.
Les PETITES MAJUSCULES (NOIR) sont utilisées pour les touches du clavier
ou combinaisons de touches.
La police Arial Souligné (bleu) est utilisée pour les liens sur l’interface
utilisateur.
La police Times New Roman Normal est utilisée pour les noms de
fenêtres et de boîtes de dialogue.
Document PDF
Ce manuel est fourni au format PDF (Portable Document Format). Il peut
être visualisé en ligne ou imprimé avec Adobe® Acrobat® Reader. Si
vous imprimez le manuel, imprimez-le en entier, y compris les mentions
de copyright et de disclaimer.
Pour plus d’informations
Rendez-vous sur le site de F-Secure à l’adresse suivante : http://
www.f-secure.com . Vous y trouverez notre documentation, des
formations, des fichiers à télécharger et des informations de contact pour
les services et le support technique.
Nous nous efforçons constamment d’améliorer notre documentation et
vos commentaires sont les bienvenus. Pour toute question, commentaire
ou suggestion concernant ce document ou tout autre document
F-Secure, veuillez nous contacter à l’adresse suivante :
documentation@f-secure.com.
1
INTRODUCTION
Présentation ................................................................................. 4
Composants et fonctions de F-Secure Client Security................. 4
Introduction à F-Secure Policy Manager .................................... 10
Terminologie de base ................................................................. 13
3
CHAPITRE 1
1.1
Présentation
Cette section décrit les principaux composants de F-Secure Client
Security et de F-Secure Policy Manager et fournit une introduction à la
gestion basée sur les stratégies.
1.2
Composants et fonctions de F-Secure Client
Security
F-Secure Client Security est utilisé pour protéger l'ordinateur des virus,
des vers, des logiciels espions, des rootkits et autres antiprogrammes,
ainsi que contre tout accès non autorisé à partir du réseau. F-Secure
Client Security est composé de la protection antivirus, de la protection
Internet et de la gestion des applications. Lors de l'installation de
F-Secure Client Security, vous pouvez sélectionner les composants à
installer.
1.2.1
Protection contre les virus et les logiciels espions
La protection antivirus et antispyware inclut plusieurs méthodes
d'analyse : Analyse en temps réel, analyse du courrier électronique,
analyse du trafic Web, recherche de rootkits et analyse manuelle. Il inclut
également le contrôle du système, des mises à jour automatiques, Agent
de mise à jour automatique F-Secure et le service d'informations sur les
virus.
Analyse en temps réel
La fonction d'analyse en temps réel offre une protection continue contre
les virus et logiciels espions lorsque les fichiers sont ouverts, copiés,
déplacés, renommés ou téléchargés à partir d'Internet.
L'analyse en temps réel fonctionne de manière transparente en tâche de
fond. Elle recherche la présence éventuelle de virus lorsque vous
accédez à des fichiers stockés sur disque dur, sur disquettes ou sur
lecteurs réseau. Si vous tentez d'accéder à un fichier infecté, l'analyse en
temps réel interrompt automatiquement l'exécution du virus. En fonction
4
5
de la stratégie de sécurité définie, le virus est supprimé du fichier ou un
message d'avertissement s'affiche. Pour plus d'informations,
reportez-vous à la section “Configuration de l'analyse en temps réel”, 153.
Analyse du courrier électronique
L'analyse du courrier électronique peut être utilisée pour analyser les
messages électroniques entrants et sortants et leurs pièces jointes. Elle
empêche les virus de pénétrer sur le réseau de l'entreprise et vous
empêche d'envoyer par mégarde des pièces jointes infectées. L'analyse
du courrier électronique peut être configurée pour éliminer les pièces
jointes infectées des messages entrants. Lorsqu'elle a détecté une
infection dans un message sortant, elle peut bloquer le trafic sortant
jusqu'à ce que le problème soit résolu. Pour plus d'informations,
reportez-vous à la section “Configuration de l'analyse du courrier
électronique”, 163.
Analyse du trafic Web (HTTP)
L'analyse du trafic Web protège les ordinateurs contre les virus
incorporés dans le trafic HTTP. Elle analyse les fichiers HTML, les fichiers
images, les applications téléchargées et les fichiers exécutables, et
supprime les virus automatiquement. Pour plus d'informations,
reportez-vous à la section “Configuration de l'analyse du trafic Web
(HTTP)”, 168.
Analyse des rootkits
Si vous souhaitez vous assurer qu'il n'existe aucun fichier, aucun
processus, aucune application ni aucun lecteur cachés sur votre
ordinateur, vous avez la possibilité d'analyser manuellement le système à
la recherche de rootkits. Pour plus d'informations, reportez-vous à la
section “Configuration de la recherche de rootkits”, 161.
CHAPITRE 1
Analyse manuelle
Vous pouvez utiliser l'analyse manuelle, par exemple après avoir installé
F-Secure Client Security, si vous craignez qu'un virus ou un logiciel
espion soit présent sur l'ordinateur ou si un virus a été détecté dans le
réseau local. Vous pouvez choisir d'analyser tous les fichiers ou
uniquement un certain type. Vous pouvez également décider de ce qu'il
faut faire du fichier infecté ; l'Assistant de nettoyage vous guidera dans ce
processus. Vous pouvez aussi utiliser la fonction Analyse planifiée pour
analyser automatiquement et régulièrement votre ordinateur, par exemple
toutes les semaines ou 1 ou 2 fois par mois.
Contrôle du système
Le contrôle du système est un nouveau système de prévention des
intrusions fondé sur un hôte qui analyse le comportement des fichiers et
des programmes. Il offre une couche supplémentaire de protection en
bloquant les virus, vers et autres codes malveillants qui essaient
d'effectuer des actions dangereuses sur votre ordinateur. Pour plus
d'informations, reportez-vous à la section “Configuration du contrôle du
système”, 159.
Mises à jour automatiques
La fonction Mises à jour automatiques assure la mise à jour permanente
des définitions de virus et de logiciels espions. Les mises à jour de
définitions de virus sont signées par F-Secure Anti-Virus Research Team.
Cette signature est basée sur un cryptage solide et le paquet ne peut pas
être modifié en cours de chemin.
Si les virus sont complexes, les mises à jour de définitions de virus
comprennent des outils d'éradication prenant la forme de fichiers
exécutables. L'intégrité du code exécutable fourni étant très importante,
les moteurs d'analyse F-Secure vérifient que tout le code de mise à jour
est signé par F-Secure Anti-Virus Research. Si cette intégrité est
compromise, le code n'est pas exécuté. Pour plus d'informations,
reportez-vous à la section “Configuration des mises à jour automatiques”,
147.
6
7
Agent de mise à jour automatique F-Secure
Grâce à l'Agent de mise à jour automatique F-Secure, vous pouvez
recevoir des mises à jour de définitions de virus ainsi que des
informations sans interrompre votre travail pour attendre le
téléchargement complet des fichiers depuis le Web. L'Agent de mise à
jour automatique F-Secure télécharge automatiquement les fichiers en
tâche de fond en utilisant une bande passante non utilisée par d'autres
applications Internet, ce qui vous permet d'être toujours sûr de bénéficier
des dernières mises à jour sans avoir à les rechercher sur le Web.
Si l'Agent de mise à jour automatique F-Secure est connecté en
permanence à Internet, il reçoit automatiquement les mises à jour de
définitions de virus après leur publication par F-Secure.
Lorsque l'Agent de mise à jour automatique F-Secure démarre, il se
connecte au serveur de mise à jour F-Secure. L'agent interroge
régulièrement le serveur pour savoir si de nouvelles données sont
disponibles. L'agent télécharge uniquement les parties de définitions de
virus qui ont changé depuis le dernier téléchargement. Si le transfert est
interrompu pour une raison quelconque, la session suivante démarre à
partir de l'endroit où la session précédente s'est arrêtée. Pour plus
d'informations, reportez-vous à la section “Configuration des mises à jour
automatiques”, 147.
Informations sur les virus
F-Secure Virus News vous avertit instantanément des événements
majeurs qui se produisent dans le monde en matière de sécurité. Le
service F-Secure Virus News est fourni avec Agent de mise à jour
automatique F-Secure. Pour plus d'informations, reportez-vous à l'aide en
ligne de F-Secure Client Security.
1.2.2
Protection Internet
La protection Internet comprend les modules Pare-feu, Contrôle des
applications et Système de prévention des intrusions (IPS). Ensemble,
ces composants peuvent être utilisés pour protéger votre ordinateur
contre les tentatives de connexion non autorisées, les attaques internes
et le vol d'informations, les applications malveillantes et d'autres
CHAPITRE 1
applications indésirables telles que les logiciels d'égal à égal. La
protection des stations de travail et des portables avec la protection
Internet F-Secure Client Security protège également l'ensemble du
réseau local, car les ordinateurs individuels ne peuvent pas être utilisés
comme porte d'accès au réseau.
La protection Internet offre différents niveaux de sécurité possibles selon
les besoins des utilisateurs, de leur mobilité, de la stratégie de sécurité de
l'entreprise et de l'expérience des utilisateurs.
Pare-feu
Le pare-feu fait partie intégrante de la protection Internet. Lorsque la
protection Internet est installée sur votre ordinateur, vous bénéficiez d'une
protection par pare-feu, même quand vous n'êtes pas connecté au
réseau local (par exemple, chez vous, lorsque vous vous connectez à
Internet via un fournisseur d'accès).
En règle générale, un pare-feu autorise ou refuse le trafic en fonction des
adresses locales ou distantes, des protocoles et des services utilisés et
de l'état actuel des connexions existantes. Il est également possible
d'émettre une alerte chaque fois qu'une règle est appelée ou que des
datagrammes interdits sont reçus, ce qui permet de visualiser plus
facilement le type de trafic circulant sur le système. Pour plus
d'informations, reportez-vous à la section “Configuration des niveaux et
règles de sécurité de la protection Internet”, 192.
Contrôle des applications
Le contrôle des applications peut servir à empêcher les applications non
autorisées d'accéder au réseau. En outre, le contrôle de lancement des
applications et le contrôle de manipulation des applications protègent les
ordinateurs contre les applications malveillantes qui tentent de lancer ou
d'utiliser d'autres applications sur l'ordinateur.
Le contrôle des applications offre à l'administrateur la possibilité de
contrôler l'utilisation du réseau et d'empêcher l'emploi d'applications qui
sont contraires à la stratégie de sécurité de l'entreprise. Ces mécanismes
permettent de faciliter la prévention de la plupart des attaques présentées
ci-dessus tout en renforçant les stratégies de sécurité mises en place.
Vous pouvez configurer différentes règles pour différentes applications :
les applications qui sont considérées comme fiables peuvent bénéficier
8
9
d'un accès libre ; les autres applications peuvent se voir refuser l'accès
ou c'est à l'utilisateur de décider si l'application peut établir une
connexion. Pour plus d'informations, reportez-vous à la section
“Configuration du contrôle des applications”, 204.
Système de prévention des intrusions
Le système de prévention des intrusions (IDS) peut être utilisé pour
détecter des schémas suspects dans le trafic réseau. Il peut aussi être
utilisé pour surveiller les virus qui tentent de s'attaquer aux ordinateurs du
réseau local. IDS enregistre les tentatives de connexion systématiques
effectuées depuis l'extérieur, qui sont souvent un signe que quelqu'un
tente de trouver des ports ouverts sur l'hôte. Le système de prévention
des intrusions bloque les paquets malveillants visant ce type de port sur
l'hôte. Pour plus d'informations, reportez-vous à la section “Configuration
de la prévention des intrusions”, 214.
1.2.3
Gestion des applications
Agent SNMP
F-Secure SNMP Agent est un agent d'extension SNMP Windows NT,
chargé et déchargé avec l'agent principal. Cet agent offre un
sous-ensemble des fonctionnalités de Policy Manager et sert
essentiellement à des fins d'alerte et de surveillance de statistiques.
F-Secure Management Agent
F-Secure Management Agent met en application les stratégies de
sécurité définies par l'administrateur sur les hôtes administrés. Il sert de
composant de configuration central sur les hôtes et, par exemple, il
interprète les fichiers de stratégie, envoie les demandes
d'auto-enregistrement et les informations sur l'état des hôtes à F-Secure
Policy Manager, et effectue des installations basées sur la stratégie.
Prise en charge NAC (Network Admission Control) Cisco
F-Secure Corporation participe au programme NAC (Network Admission
Control) animé par Cisco Systems®. NAC peut être utilisé pour
restreindre l'accès réseau des hôtes ayant des bases de données de
CHAPITRE 1
définitions de virus, ou des modules antivirus ou pare-feu trop anciens.
Pour plus d'informations, reportez-vous à la section “Configuration du
plug-in Cisco NAC”, 251.
1.3
Introduction à F-Secure Policy Manager
Cette section présente une brève introduction à F-Secure Policy
Manager. Pour plus d'informations, reportez-vous au Guide de
l'administrateur de F-Secure Policy Manager.
F-Secure Policy Manager offre un mode évolutif de gestion de la sécurité
de nombreuses applications sur différents systèmes d'exploitation, à
partir d'un emplacement centralisé. Utilisez ce produit pour mettre à jour
les logiciels de sécurité, gérer les configurations et gérer le personnel de
l'entreprise même s'il est important et itinérant.
F-Secure Policy Manager peut être utilisé pour :
„
définir des stratégies de sécurité ;
„
distribuer des stratégies de sécurité ;
„
installer des applications sur les systèmes locaux et distants ;
„
surveiller des activités de tous les systèmes dans l'entreprise afin
d'assurer la conformité avec les stratégies de l'entreprise et le
contrôle centralisé.
Une fois le système configuré, vous pouvez afficher des informations
d'état de l'ensemble du domaine géré en un seul et même endroit. De
cette façon, vous pouvez facilement vous assurer que l'ensemble du
domaine est protégé et modifier les paramètres de protection lorsqu'il y a
lieu. Vous pouvez également empêcher les utilisateurs de modifier les
paramètres de sécurité et être sûr que la protection est toujours à jour.
1.3.1
Principaux composants de F-Secure Policy Manager
La puissance de F-Secure Policy Manager repose sur l'architecture
d'administration F-Secure, qui offre une grande évolutivité pour le
personnel disséminé et itinérant.
10
11
F-Secure Policy Manager Console fournit une console de gestion
centralisée pour assurer la sécurité des hôtes administrés du réseau.
Cette console permet à l'administrateur d'organiser le réseau en unités
logiques pour partager les stratégies. Ces stratégies sont définies dans
F-Secure Policy Manager Console, puis distribuées aux stations de travail
par F-Secure Policy Manager Server. Cette console permet d'installer les
produits F-Secure à distance sur d'autres postes de travail sans aucune
intervention de l'utilisateur final.
F-Secure Policy Manager Console inclut deux interfaces utilisateur :
„
l’interface utilisateur en mode antivirus optimisée pour
l'administration de F-Secure Client Security et de F-Secure
Anti-Virus pour stations de travail. Ce manuel décrit l'interface en
mode antivirus.
„
L'interface utilisateur en mode avancé qui peut être utilisée pour
gérer d'autres produits F-Secure. L'interface utilisateur en mode
avancé est décrite dans le Guide de l'administrateur de Policy
Manager.
F-Secure Policy Manager Server est le référentiel des stratégies et des
packages logiciels distribués par l'administrateur, et des informations et
alertes d'état envoyées par les hôtes administrés. La communication
entre F-Secure Policy Manager Server et les hôtes administrés s'établit
via le protocole standard HTTP, qui assure un fonctionnement optimal
aussi bien sur les réseaux locaux (LAN) que sur les réseaux étendus
(WAN).
F-Secure Policy Manager Web Reporting est un système de rapports
graphiques d’entreprise basé sur le Web et inclus dans F-Secure Policy
Manager Server. Il permet de créer rapidement des rapports graphiques
basés sur les tendances passées et d'identifier les ordinateurs qui ne sont
pas protégés ou qui sont vulnérables aux attaques de nouveaux virus.
Pour plus d'informations, reportez-vous au Guide de l'administrateur de
F-Secure Policy Manager.
F-Secure Policy Manager Update Server et l'agent de mise à jour
automatique sont utilisés pour la mise à jour des définitions de virus et
logiciels espions sur les hôtes administrés. Agent de mise à jour
automatique F-Secure permet aux utilisateurs de recevoir des mises à
jour des bases de données de définitions de virus et d'autres informations
CHAPITRE 1
sans interrompre leur travail pour attendre le téléchargement complet des
fichiers depuis le Web. Il télécharge les fichiers automatiquement en
tâche de fond en utilisant la bande passante non utilisée par les autres
applications Internet.
1.3.2
Fonctions de F-Secure Policy Manager
Distribution des logiciels
„
Installation de produits F-Secure sur des hôtes à partir d'un
emplacement central et mise à jour de fichiers exécutables et
fichiers de données, y compris les mises à jour de définitions de
virus.
Configuration et gestion par stratégies
„
Configuration centralisée des stratégies de sécurité. Les
stratégies sont distribuées à partir de F-Secure Policy Manager
Server sur la station de travail de l'utilisateur. L'intégrité des
stratégies est assurée par l'utilisation de signatures numériques.
Gestion des événements
„
Rapports à l'Observateur d'événements (journaux locaux et
distants), agent SNMP, courrier électronique, fichiers de rapport
et création de statistiques des événements.
Gestion des performances
„
Création de rapports et gestion des statistiques et des données
relatives aux performances.
Gestion des tâches
„
Gestion de la détection de virus et autres tâches.
12
13
1.4
Terminologie de base
Hôte
Dans ce document, ce terme se réfère à un ordinateur qui est géré de
manière centralisée avec F-Secure Policy Manager.
Stratégie
Une stratégie de sécurité peut être définie comme l'ensemble des règles
précises édictées dans le but de définir les modalités d'administration, de
protection et de distribution des informations confidentielles et autres
ressources. L'architecture d'administration de F-Secure exploite les
stratégies configurées de manière centralisée par l'administrateur pour un
contrôle total de la sécurité dans un environnement d'entreprise.
Le flux d'informations entre F-Secure Policy Manager Console et les
hôtes est assuré par le transfert de fichiers de stratégie.
Pour plus d'informations, reportez-vous au Guide de l'administrateur de
F-Secure Policy Manager.
Domaine de stratégie
Les domaines de stratégie sont des groupes d'hôtes ou de
sous-domaines disposant d'une stratégie de sécurité similaire.
Transmission des stratégies
La transmission des stratégies simplifie la définition d'une stratégie
commune. Dans F-Secure Policy Manager Console, chaque domaine de
stratégie hérite automatiquement des paramètres de son domaine parent,
ce qui permet une administration aisée et efficace des réseaux de grande
taille. Vous pouvez modifier ces paramètres pour des hôtes ou des
domaines individuels. Lorsque vous modifiez les paramètres hérités d'un
domaine, ces modifications sont transmises à tous les hôtes et
sous-domaines contenus dans ce domaine.
La stratégie peut être davantage affinée pour des sous-domaines, voire
des hôtes individuels. La granularité de définitions de stratégie peut varier
considérablement d'une installation à l'autre. Certains administrateurs
CHAPITRE 1
peuvent ne vouloir définir que quelques stratégies différentes pour des
domaines étendus, tandis que d'autres préféreront associer les stratégies
directement à chaque hôte, obtenant ainsi la granularité la plus fine.
14
2
INSTALLATION DE
F-SECURE POLICY
MANAGER
Présentation ............................................................................... 16
Configuration requise ................................................................. 17
Procédure d'installation .............................................................. 20
Désinstallation de F-Secure Policy Manager.............................. 42
15
CHAPITRE 2
2.1
Présentation
Ce chapitre couvre les sujets suivants :
„
La configuration requise de F-Secure Policy Manager Server et
de F-Secure Policy Manager Console.
„
Les instructions d'installation de F-Secure Policy Manager
Console et Server sur le même ordinateur. L'installation de
F-Secure Policy Manager Console et Server s'effectue à partir du
CD F-Secure.
Pour plus d'informations sur d'autres scénarios d'installation,
ainsi que sur des problèmes de sécurité de serveur,
reportez-vous aux chapitres Installation de F-Secure Policy
Manager Console et Installation de F-Secure Policy Manager
Server dans le Guide de l'administrateur de F-Secure Policy
Manager.
Le programme d'installation de F-Secure Policy Manager installe
également F-Secure Policy Manager Web Reporting, composant
utilisé pour créer des rapports graphiques au format HTML sur l'état
du domaine géré. Pour plus d'informations sur le composant Web
Reporting, reportez-vous au chapitre « Web Reporting » dans le
Guide de l'administrateur de F-Secure Policy Manager.
16
17
2.2
Configuration requise
2.2.1
F-Secure Policy Manager Server
Pour installer F-Secure Policy Manager Server, votre système doit être
doté de la configuration minimale suivante :
Système
d’exploitation :
Microsoft Windows :
Microsoft Windows 2000 Server (SP4 ou
version ultérieure)
Windows 2003 Server (32 et 64 bits)
Windows 2008 Server (32 et 64 bits)
Linux :
Red Hat Enterprise Linux 3, 4 et 5
openSUSE Linux 10.3
SUSE Linux Enterprise Server 9 et 10
SUSE Linux Enterprise Desktop 10
Debian GNU Linux Etch 4.0
Ubuntu 8.04 Hardy
Processeur :
Processeur Intel Pentium III 450 MHz ou plus
rapide. La gestion de plus de 5 000 hôtes ou
l'utilisation du composant Web Reporting
requiert l'utilisation d'un processeur Intel
Pentium III 1 GHz ou plus rapide.
CHAPITRE 2
Mémoire :
256 Mo de RAM
Lorsque le composant Web Reporting est
activé, 512 Mo de RAM.
Espace disque
requis :
Espace disque requis : 200 Mo d'espace
disponible sur le disque dur (500 Mo ou plus
recommandés). La quantité d'espace requis
sur le disque dur dépend de la taille de
l'installation.
Outre la configuration décrite ci-dessus, il est
recommandé d'allouer environ 1 Mo par hôte
pour les alertes et les stratégies. Il est malaisé
de prévoir la quantité réelle d'espace occupé
sur le disque par chaque hôte, puisqu'elle
dépend de la manière dont les stratégies sont
utilisées ainsi que du nombre de fichiers
d'installation stockés.
Réseau :
Réseau 10 Mbits. La gestion de plus de 5 000
hôtes exige un réseau 100 Mbits.
18
19
2.2.2
F-Secure Policy Manager Console
Pour installer F-Secure Policy Manager Console, votre système doit être
doté de la configuration minimale suivante :
Système
d’exploitation :
Microsoft Windows :
Microsoft Windows 2000 Professionnel (SP4
ou version ultérieure)
Windows XP Professionnel (SP2 ou version
ultérieure)
Windows Vista (32 et 64 bits)
Windows 2000 Server SP4
Windows 2003 Server (32 et 64 bits).
Windows 2008 Server (32 et 64 bits).
Linux :
Red Hat Enterprise Linux 3, 4 et 5
openSUSE Linux 10.3
SUSE Linux Enterprise Server 9 et 10
SUSE Linux Enterprise Desktop 10
Debian GNU Linux Etch 4.0
Ubuntu 8.04 Hardy
Processeur :
Processeur Intel Pentium III 450 MHz ou plus
rapide. La gestion de plus de 5 000 hôtes
exige un processeur Pentium III 750 MHz ou
plus rapide.
Mémoire :
256 Mo de RAM. La gestion de plus de 5000
hôtes exige 512 Mo de RAM.
CHAPITRE 2
2.3
Espace disque
requis :
100 Mo d'espace disponible sur le disque dur.
Affichage :
Ecran 256 couleurs minimum d'une résolution
de 1 024 x 768 (recommandé : couleurs 32 bits
et résolution de 1 280 x 960 ou supérieure).
Réseau :
Interface de réseau Ethernet ou l'équivalent.
Il est conseillé d'utiliser un réseau à 10 Mbits
entre la console et le serveur. La gestion de
plus de 5 000 hôtes requiert une connexion à
100 Mbits entre la console et le serveur.
Procédure d'installation
Etape 1.
1. Insérez le CD-ROM F-Secure dans votre lecteur de CD-ROM.
2. Sélectionnez Professionnel. Cliquez sur Suivant pour continuer.
3. Sélectionnez F-Secure Policy Manager dans le menu Installation ou
mise à jour du logiciel de gestion.
20
21
Etape 2.
Prenez connaissance du contenu de l'écran d'accueil, puis suivez les
instructions relatives à l'installation. Sélectionnez ensuite la langue
d'installation dans le menu déroulant. Cliquez sur Suivant pour continuer.
CHAPITRE 2
Etape 3.
Prenez connaissance du contrat de licence. Si vous êtes d'accord,
cliquez sur J'accepte le contrat. Cliquez sur Suivant pour continuer.
22
23
Etape 4.
Sélectionnez les composants suivants à installer :
„
F-Secure Policy Manager Console
„
F-Secure Policy Manager Server
„
F-Secure Policy Manager Update Server et l'agent de mise à jour
automatique
„
F-Secure Installation Packages
Cliquez sur Suivant pour continuer.
CHAPITRE 2
Etape 5.
Choisissez le dossier de destination.
Nous vous recommandons d'utiliser le répertoire d'installation par défaut.
Utilisez la fonction Parcourir pour installer F-Secure Policy Manager
dans un autre répertoire.
Cliquez sur Suivant pour continuer.
24
25
Etape 6.
Le programme d'installation demande confirmation en présence de
l'installation précédente de F-Secure Policy Manager.
Cette boîte de dialogue s'affiche uniquement si l'installation n'a pas
détecté une installation précédente de F-Secure Policy Manager
Server sur l'ordinateur.
1. Si Oui, sélectionnez J'ai une installation existante de F-Secure Policy
Manager. Saisissez le chemin du répertoire de communication du
programme F-Secure Policy Manager installé. Le contenu de ce
répertoire est copié sous le <répertoire d'installation du serveur>\
répertoire de communication (répertoire commdir\ sous le répertoire
d'installation de F-Secure Policy Manager Server ), et ce répertoire
sera utilisé par F-Secure Policy Manager Server comme référentiel.
Vous pouvez utiliser le répertoire commdir précédent comme
sauvegarde, où vous pouvez le supprimer une fois que vous avez
vérifié que F-Secure Policy Manager Server est correctement installé.
2. Si Non, sélectionnez Je n'ai pas d'installation existante de F-Secure
Policy Manager.
CHAPITRE 2
Cette option n'exige pas la présence d'un répertoire de
communication antérieur. Un répertoire de communication vide sera
créé à l'emplacement par défaut (dans le répertoire d'installation de
<F-Secure Policy Manager 5>\commdir).
Cliquez sur Suivant pour continuer.
Etape 7.
Indiquez si vous souhaitez conserver les paramètres existants ou les
modifier.
Cette boîte de dialogue s'affiche uniquement si une installation
précédente de F-Secure Policy Manager Server a été détectée sur
l'ordinateur.
„
Par défaut, le programme d'installation conserve les paramètres
existants. Sélectionnez cette option si vous avez manuellement
mis à jour le fichier de configuration de F-Secure Policy Manager
Server (HTTPD.conf). Cette option conserve automatiquement
les ports d'administration, d'hôte et de génération de rapports
Web existants
„
Si vous souhaitez changer les ports d'une installation précédente,
sélectionnez l'option Modifier les paramètres. Cette option
remplace le fichier HTTPD.conf et restaure les valeurs par défaut
des paramètres.
26
27
Cliquez sur Suivant pour continuer.
Etape 8.
Sélectionnez les modules de F-Secure Policy Manager Server à activer :
„
Le module Hôte est utilisé pour la communication avec les hôtes.
Le port par défaut est 80.
„
Le module Administration est utilisé pour la communication avec
F-Secure Policy Manager Console. Le port HTTP par défaut est
8080.
Si vous voulez modifier le port de communication par
défaut, vous devez également modifier le paramètre
Numéro de port HTTP dans F-Secure Policy Manager
Console.
Par défaut, l'accès au module Administration est restreint à
l'ordinateur local. C'est le mode d'utilisation du produit le plus
sécurisé.
CHAPITRE 2
En cas de connexion via un réseau, il est conseillé d'envisager de
sécuriser la communication à l'aide de F-Secure SSH.
Pour les environnements nécessitant une sécurité
maximale, reportez-vous à la section Installation de
F-Secure Policy Manager dans des environnements à
haute sécurité dans le Guide de l'administrateur de
F-Secure Policy Manager.
„
Le module Web Reporting est utilisé pour la communication avec
F-Secure Policy Manager Web Reporting. Indiquez si vous
souhaitez l'activer. Web Reporting se connecte au module
d'administration via un socket local pour rechercher les données
du serveur. Le port par défaut est 8081.
Par défaut, l'accès aux rapports Web est également autorisé
depuis les autres ordinateurs. Si vous souhaitez uniquement un
accès depuis cet ordinateur, sélectionnez Restreindre l'accès à
l'ordinateur local.
Cliquez sur Suivant pour continuer.
28
29
Etape 9.
Spécifiez l'adresse de F-Secure Policy Manager Server, ainsi que le
numéro du port d'administration. Cliquez sur Suivant pour continuer.
Selon la méthode d'installation choisie, cette fenêtre n'est pas
toujours affichée.
CHAPITRE 2
Etape 10.
Sélectionnez le(s) module(s) d'installation de produits dans la liste des
modules disponibles (si vous avez activé l'option Packages d'installation
F-Secure à l'Etape 4. , 23). Cliquez sur Suivant.
30
31
Etape 11.
Examinez les modifications que le programme d'installation va apporter.
Cliquez sur Démarrer pour lancer le service.
CHAPITRE 2
Etape 12.
Lorsque le programme d'installation est terminé, il affiche tous les
composants dont l'installation a abouti.
32
33
Etape 13.
Cliquez sur Terminer pour terminer l'installation de F-Secure Policy
Manager Server. Vous devez ensuite exécuter F-Secure Policy Manager
Console pour la première fois.
CHAPITRE 2
Etape 14.
Il est important d'exécuter F-Secure Policy Manager Console après
l'installation, certaines propriétés de connexion étant collectées lors de
son démarrage initial.
Le raccourci se trouve sous DémarrerÆProgrammesÆF-Secure Policy
Manager ConsoleÆF-Secure Policy Manager Console. Lorsque
l'application F-Secure Policy Manager Console est exécutée pour la
première fois, l'Assistant d'installation de la console collecte les
informations requises pour créer une connexion initiale au serveur.
La première page de l'Assistant d'installation de F-Secure Policy Manager
Console résume le processus d'installation. Cliquez sur Suivant pour
continuer.
34
35
Etape 15.
Sélectionnez le mode d'utilisation correspondant à vos besoins :
„
Mode Administrateur : active toutes les fonctions
d'administration.
„
Mode Lecture seule : permet de consulter les données
d'administration, mais pas d'apporter des modifications. Si vous
sélectionnez le mode Lecture seule, vous ne pourrez pas
administrer les hôtes. Pour passer en mode Administrateur, vous
devrez disposer des clés d'administration admin.pub et
admin.prv. Si ces clés n'existent pas, elles seront créées plus tard
dans le processus d'installation.
Cliquez sur Suivant pour continuer.
CHAPITRE 2
Etape 16.
Saisissez l'adresse du serveur F-Secure Policy Manager Server utilisé
pour la communication avec les hôtes gérés.
36
37
Etape 17.
Entrez le chemin d'accès au répertoire où vous souhaitez stocker les
fichiers de clé privée et de clé publique de l'administrateur. Par défaut, les
fichiers de clé sont enregistrés dans le répertoire d'installation de
F-Secure Policy Manager Console.
Program Files\F-Secure\Administrator.
Cliquez sur Suivant pour continuer.
Si la paire de clés n'existe pas encore, elle sera créée plus tard
dans le processus de configuration.
CHAPITRE 2
Etape 18.
Déplacez votre curseur dans la fenêtre afin d'initialiser le facteur aléatoire
utilisé par le générateur du jeu de clés d'administration. L'utilisation des
déplacements de la souris assure que le facteur de l'algorithme de
génération de jeu de clés est suffisamment aléatoire. Lorsque l'indicateur
d'avancement atteint 100 %, la boîte de dialogue Phrase de cryptage
s'affiche automatiquement.
38
39
Etape 19.
Entrez une phrase de cryptage qui protège votre clé privée
d'administration. Confirmez cette phrase dans la zone Confirmer la
phrase de cryptage. Cliquez sur Suivant.
Etape 20.
Cliquez sur Terminer pour terminer le processus de configuration.
CHAPITRE 2
F-Secure Policy Manager Console génère la paire de clés de gestion.
Pour plus d'informations sur la sauvegarde de la clé admin.pub,
reportez-vous au chapitre Maintenance de F-Secure Policy
Manager Server dans le Guide de l'administrateur de F-Secure
Policy Manager.
Etape 21.
L'assistant d'installation crée le groupe d'utilisateurs FSPM users.
L'utilisateur qui avait ouvert une session et qui a procédé à l'installation
est automatiquement ajouté à ce groupe. Pour autoriser un autre
utilisateur à exécuter F-Secure Policy Manager, vous devez l'ajouter
manuellement au groupe d'utilisateur FSPM users.
40
41
Etape 22.
Après la génération de la paire de clés, F-Secure Policy Manager
Console démarre.
A ce stade, il est possible de poursuivre par la création des domaines de
stratégie et l'installation des hôtes. Pour plus d'informations,
reportez-vous aux sections “Création de la structure du domaine”, 114 et
“Ajout d'hôtes”, 116.
Si vous décidez de quitter F-Secure Policy Manager Console, puis
souhaitez vous reconnecter ultérieurement, reportez-vous à la section
“Première connexion”, 110.
Si vous souhaitez vous familiariser avec l'interface utilisateur de F-Secure
Policy Manager Console, reportez-vous à la section “Introduction à
l'interface utilisateur du mode antivirus de F-Secure Policy Manager”, 43.
CHAPITRE 2
Modification du chemin d'accès au navigateur Web
F-Secure Policy Manager Console obtient le chemin d'accès au
navigateur Web par défaut pendant l'installation. Si vous voulez modifier
ce chemin d'accès, ouvrez le menu Outils et choisissez l'option
Préférences.
Cliquez sur l'onglet Emplacements et entrez le nouveau chemin d'accès
au fichier.
2.4
Désinstallation de F-Secure Policy Manager
Pour désinstaller F-Secure Policy Manager Console et Server (ou
d'autres composants de F-Secure Policy Manager), procédez comme
suit :
1. Cliquez sur le menu Démarrer de Windows et accédez au Panneau
de configuration. Cliquez sur Ajout/Suppression de programmes.
2. Choisissez le composant à désinstaller (F-Secure Policy Manager
Console ou Server), puis cliquez sur le bouton Ajouter/Supprimer.
3. La boîte de dialogue Désinstallation de F-Secure s'affiche. Cliquez
sur Démarrer pour démarrer la désinstallation.
4. Au terme de la désinstallation, cliquez sur Fermer.
5. Recommencez les étapes 2 à 4, si vous souhaitez désinstaller
d'autres composants de F-Secure Policy Manager.
6. Une fois que vous avez désinstallé les composants, quittez Ajout/
Suppression de programmes.
7. Il est recommandé de réamorcer l'ordinateur après la désinstallation.
Le redémarrage est nécessaire pour nettoyer les fichiers restant sur
l'ordinateur après la désinstallation et avant les installations
subséquentes des mêmes produits F-Secure.
42
3
INTRODUCTION À
L'INTERFACE
UTILISATEUR DU MODE
ANTIVIRUS DE
F-SECURE POLICY
MANAGER
Présentation ............................................................................... 44
Onglet Domaines de stratégie.................................................... 45
Onglets de gestion...................................................................... 45
Barre d'outils............................................................................... 99
Commandes des menus........................................................... 100
Transmission des paramètres par héritage .............................. 104
43
CHAPITRE 3
3.1
Présentation
Cette section présente l'interface utilisateur du mode antivirus de
F-Secure Policy Manager. Elle décrit également certaines fonctions
génériques et certains éléments visuels utilisés dans l'interface utilisateur
pour indiquer comment fonctionne la transmission des paramètres par
héritage.
F-Secure Policy Manager inclut également une autre interface
utilisateur, l'interface utilisateur en mode avancé. Il permet de gérer
des produits autres que F-Secure Client Security et F-Secure
Anti-Virus pour les stations de travail et les serveurs. Il est
également utilisé lorsque vous devez modifier les paramètres
avancés de F-Secure Client Security. Vous pouvez basculer entre
les deux modes en sélectionnant Mode avancé ou Mode antivirus
dans le menu Affichage. Pour plus d'informations sur l'interface
utilisateur en mode avancé, reportez-vous au Guide de
l'administrateur de F-Secure Policy Manager.
Les principaux composants de l'interface utilisateur en mode antivirus de
F-Secure Policy Manager sont les suivants :
„
L'onglet Domaines de stratégie, qui affiche la structure des
domaines de stratégie gérés.
„
Les onglets de gestion : Résumé, Attaque , Paramètres , Etat,
Alertes, Rapports, Installation et Opérations qui peuvent être
utilisés pour configurer et surveiller F-Secure Client Security
installé sur les hôtes ainsi que pour effectuer des opérations.
„
Affichage des messages, en bas de la fenêtre affichant des
messages d'information de Policy Manager, par exemple lorsque
les définitions de virus ont été mises à jour sur le serveur.
44
45
3.2
Onglet Domaines de stratégie
Dans l'onglet Domaines de stratégie, vous pouvez effectuer les
opérations suivantes :
„
Ajouter un nouveau domaine de stratégie en cliquant sur l'icône
de la barre d'outils. Vous ne pouvez créer un nouveau
domaine de stratégie que si vous avez sélectionné un domaine
parent.
„
Ajouter un nouvel hôte en cliquant sur l'icône
„
Rechercher un hôte.
„
Afficher les propriétés d'un domaine ou d'un hôte. Les noms
attribués à chaque hôte et domaine doivent être sans ambiguïté.
„
Importer des hôtes auto-enregistrés.
„
Détecter automatiquement des hôtes d'un domaine Windows.
„
Supprimer des hôtes ou des domaines.
„
Déplacer des hôtes ou des domaines à l'aide des fonctions
Couper et Coller.
„
Exporter un fichier de stratégie.
.
Une fois un domaine ou un hôte sélectionné, vous pouvez accéder à ces
options dans le menu Edition. Vous pouvez également y accéder en
cliquant avec le bouton droit de la souris sur l'hôte ou le domaine. Les
fonctions Autodécouvrir et Importer des hôtes auto-enregistrés sont
également disponibles dans l'onglet Installation.
Les domaines désignés dans ces commandes ne sont pas des
domaines Windows NT ni DNS. Les domaines de stratégie sont
des groupes d'hôtes ou de sous-domaines disposant d'une
stratégie de sécurité similaire.
3.3
Onglets de gestion
Cette section décrit les onglets de gestion (Résumé, Attaque,
Paramètres, Etat, Alertes, Rapports, Installation et Opérations), ainsi que
les différentes pages de chacun de ces onglets.
CHAPITRE 3
3.3.1
Onglet Résumé
Figure 3-1 Onglet Résumé
L'onglet Résumé est conçu pour afficher les informations les plus
importantes concernant le ou les domaines ou hôtes sélectionnés.
Lorsqu'un domaine est sélectionné, l'onglet Résumé affiche des
informations sur l'ensemble du domaine. Lorsqu'un hôte individuel est
sélectionné, vous pouvez voir des informations détaillées concernant cet
hôte.
46
47
Si certains des paramètres affichés dans l'onglet Résumé exigent votre
attention ou une action immédiate, une icône s'affiche à côté de ces
paramètres. Les icônes s'interprètent comme suit :
Avertit d'une situation d'erreur exigeant votre
intervention. L'erreur ne peut pas être corrigée
automatiquement. L'icône s'affiche par exemple
lorsque les stratégies les plus récentes n'ont pas
été distribuées ou lorsque les définitions de virus
des hôtes ne sont pas à jour.
Avertit d'une situation pouvant exiger votre
intervention. La situation ne crée pas encore de
problèmes de sécurité, mais elle pourrait le faire
plus tard si le problème n'est pas résolu
maintenant. L'icône s'affiche par exemple
lorsque des hôtes sont déconnectés.
Pour plus d'informations sur l'utilisation de l'onglet Résumé pour vérifier
rapidement la protection du domaine, reportez-vous à la section
“Comment vérifier que l'environnement est protégé”, 219.
Les informations affichées dans l'onglet Résumé dépendent de ce qui est
sélectionné dans l'onglet Domaines de stratégie :
„
Lorsqu'un domaine est sélectionné, l'onglet Résumé affiche des
informations réparties en plusieurs sections comme suit : Policy
Manager, Domaine, Protection antivirus pour les postes de
travail, et Protection Internet.
„
Lorsqu'un hôte est sélectionné, les sections sont : Policy
Manager, Hôte, Protection antivirus et Protection Internet.
Ces sections sont décrites en détail ci-dessous.
Onglet Résumé lorsqu'un domaine est sélectionné
Lorsqu'un domaine est sélectionné dans l'onglet Domaines de stratégie,
les informations suivantes s'affichent dans l'onglet Résumé :
CHAPITRE 3
Policy Manager
Figure 3-2 Informations associées à Policy Manager sur l'onglet Résumé
Dans la section Policy Manager, vous pouvez :
„
Voir l'état actuel de distribution des stratégies sous Etat de la
distribution des stratégies (enregistrées/non enregistrées,
distribuées/non distribuées) et, si nécessaire, enregistrer les
données de stratégie et distribuer les nouvelles stratégies aux
hôtes.
„
Voir l'état des définitions de virus sur le serveur.
„
Voir l'état des définitions de logiciels espions sur le serveur.
„
Voir l'état des mises à jour du contrôle du système sur le serveur.
„
Voir le nombre de nouveaux hôtes auto-enregistrés. S'il y a de
nouveaux hôtes, vous pouvez les ajouter au domaine en cliquant
sur Ajouter ces hôtes à un domaine.
„
Découvrir automatiquement les hôtes d'un domaine Windows en
cliquant sur Autodécouvrir hôtes Windows.
48
49
Domaine
Figure 3-3 Informations associées aux domaines sur l'onglet Résumé
Dans la section Domaine, vous pouvez :
„
Voir le nombre d'hôtes ayant la stratégie la plus récente et
accéder à une synthèse de la mise à jour de cette stratégie en
cliquant sur Afficher la dernière mise à jour de stratégie des
hôtes. L'onglet Etat et la page Gestion centralisée s'affichent.
„
Voir le nombre d'hôtes déconnectés. Vous pouvez également
accéder à une liste détaillée affichant l'état de connexion des
hôtes en cliquant sur Afficher les hôtes déconnectés.... L'onglet
Etat et la page Gestion centralisée s'affichent.
„
Voir une synthèse des nouvelles alertes. Si vous souhaitez
obtenir des informations plus détaillées sur les alertes, vous
pouvez cliquer sur le lien Afficher les alertes par gravité pour
accéder à l'onglet Alertes.
La gravité des alertes est indiquée par les icônes suivantes :
Info.
Informations de fonctionnement normal
émises par un hôte.
Avertisseme
nt.
Avertissement émanant de l'hôte.
Erreur.
Erreur non fatale survenue sur l'hôte.
Erreur fatale.
Erreur fatale survenue sur l'hôte.
CHAPITRE 3
Alerte de
sécurité.
Incident lié à la sécurité survenu sur l'hôte.
Protection antivirus pour postes de travail
Figure 3-4 Informations associées à la protection antivirus sur l'onglet Résumé
Dans la section Protection antivirus pour postes de travail, vous pouvez :
„
Voir sur combien d'hôtes du domaine est installée la protection
antivirus.
„
Voir sur combien d'hôtes du domaine l'analyse en temps réel est
activée. Si vous souhaitez voir sur quels hôtes elle est activée ou
non, cliquez sur Afficher la protection globale des hôtes... pour
accéder à des informations plus détaillées sur l'onglet Etat et la
page Protection globale.
„
Voir combien d'infections ont été détectées dans le domaine. Si
vous souhaitez voir des informations d'infection spécifiques à
l'hôte, cliquez sur Afficher l'état d'infection des hôtes pour
accéder à l'onglet Etat et à la page Protection globale.
„
Voir combien d'hôtes disposent des définitions de virus les plus
récentes et voir si les définitions de virus de certains hôtes sont
récentes ou obsolètes.
„
Récente signifie que les définitions de virus sont les plus
récentes.
„
Obsolète signifie que les définitions de virus sont plus
anciennes que la limite de temps configurée.
Si F-Secure Anti-Virus 5.40 est installé sur certains hôtes, la
version des définitions de virus de ces hôtes est marquée
« unknown » (inconnue).
50
51
Si vous devez mettre à jour les définitions de virus sur certains
hôtes, cliquez sur Mettre à jour les définitions de virus pour
accéder à l'onglet Opérations.
Protection Internet
Figure 3-5 Informations associées à la protection Internet sur l'onglet Résumé
Dans la section Protection Internet, vous pouvez :
„
Voir sur combien d'hôtes du domaine est installé la protection
Internet.
„
Voir l'attaque récente la plus courante et quel pourcentage du
domaine a été affecté. Si vous souhaitez obtenir des informations
plus détaillées sur les attaques les plus récentes, vous pouvez
cliquer sur le lien Afficher l'état de la protection Internet pour
accéder à l'onglet Etat et à la page Protection Internet.
Onglet Résumé lorsqu'un hôte est sélectionné
Lorsqu'un hôte est sélectionné dans l'onglet Domaines de stratégie,
l'onglet Résumé affiche des informations plus détaillées dans la section
Hôte :
Hôte
Figure 3-6 Informations associées aux hôtes sur l'onglet Résumé
CHAPITRE 3
Dans la section Hôte, vous pouvez :
„
Voir le nom de l'hôte sélectionné, affiché en regard de Identité de
l'ordinateur. Vous pouvez également accéder à des informations
plus détaillées sur l'hôte en cliquant sur Afficher les propriétés de
l'hôte. L'onglet Etat et la page Propriétés d'hôte s'affichent.
„
Voir quel est le protocole actif (HTTP ou Partage de fichiers),
l'adresse de Policy Manager Server auquel est connecté l'hôte,
ainsi que la date et l'heure de la dernière connexion.
„
Voir si le fichier de stratégie utilisé par l'hôte est le plus récent ou
non.
„
Voir si l'hôte est déconnecté ou non.
„
Voir une synthèse des nouvelles alertes. Si vous souhaitez
obtenir des informations plus détaillées sur les alertes, cliquez
sur Afficher les alertes par gravité pour accéder à l'onglet Alertes.
Protection antivirus pour postes de travail
Outre les informations décrites dans la section “Protection antivirus pour
postes de travail”, 50, la section Protection antivirus pour postes de travail
affiche également le numéro de version des définitions de virus.
Protection Internet
Outre les informations décrites sous “Protection Internet”, 51, la section
Protection Internet affiche également le niveau de sécurité de la
protection Internet actuellement sélectionné sur l'hôte.
52
53
3.3.2
Onglet Attaque
Figure 3-7 Onglet Attaque
La section Informations de sécurité affiche des informations sur la
sécurité de F-Secure. Les informations de sécurité concernent
généralement l'apparition de nouveaux virus, et elles indiquent la version
des définitions de virus requise sur les hôtes pour assurer une protection
efficace contre ce nouveau virus. Il peut également s'agir d'informations
plus génériques concernant diverses menaces à la sécurité.
La section Informations de sécurité indique combien de vos hôtes sont
protégés, et précise si la protection est disponible sur Policy Manager
Server. Si la protection n'est actuellement pas disponible, Policy Manager
Server la télécharge automatiquement à partir de F-Secure dès qu'il est
disponible.
CHAPITRE 3
Les informations de sécurité indiquent le niveau d'alerte de la menace à
la sécurité :
Niveau
Description
1
Alerte du niveau le plus élevé. Épidémie
mondiale d'un nouveau virus dangereux.
2
Nouveau virus provoquant d'importantes
infections. Pourrait être local, associé à une
région spécifique.
3
Nouvelle technique ou nouvelle plate-forme de
virus trouvée. Pas nécessairement susceptible
d'être rencontrée
[pas de numéro]
Il n'y a actuellement pas d'alerte pour ce virus.
La section Dernières informations détaillées sur la sécurité, présente des
informations détaillées sur les virus sélectionnés. Vous pouvez même
obtenir plus de détails avec votre navigateur Web en cliquant sur le lien
proposé.
54
55
Le tableau dans la section Dernières informations détaillées sur la
sécurité répertorie tous les hôtes dans le domaine actuellement
sélectionné. Pour chaque hôte, les informations suivantes sont fournies :
„
La colonne Protégé indique si l'hôte est protégé contre le virus
auquel il est fait référence dans les informations actuellement
sélectionnées.
„
La colonne Déconnecté indique si l'hôte est actuellement
connecté ou déconnecté.
„
Les zones Version des définitions de virus, Définitions de virus
mises à jour et Dernière connexion au serveur présentent
d'autres informations relatives aux mises à jour automatiques.
„
Delta de mise à jour est l'écart de temps entre la dernière mise à
jour des définitions de virus sur l'hôte et la dernière fois que l'hôte
a envoyé des statistiques à F-Secure Policy Manager.
Notez que certaines colonnes peuvent être masquées. Pour
afficher des colonnes masquées, cliquez avec le bouton droit sur
un en-tête de colonne.
Si un hôte est déconnecté, il est probablement hors tension. Si de tels les
hôtes sont affichés comme étant non protégés, vous pouvez
probablement ne pas en tenir compte puisqu'ils mettront
automatiquement à jour les définitions de virus et de logiciels espions dès
leur remise sous tension.
Delta de mise à jour indique l'état de fonctionnement des mises à jour
automatiques de l'hôte lorsque ce dernier a envoyé des statistiques à
F-Secure Policy Manager Server pour la dernière fois. Si vous avez un
hôte affiché comme étant non protégé, mais affiche une faible valeur
dans la colonne Delta de mise à jour, l'hôte est probablement ok et peut
être ignoré.
CHAPITRE 3
3.3.3
Onglet Paramètres
L'onglet Paramètres contient 12 pages servant à configurer les
composants de F-Secure Client Security. Elles sont décrites brièvement
ci-dessous. Vous trouverez plus de détails sur les valeurs que vous
pouvez sélectionner sur chaque page ainsi que des exemples pratiques
de configuration aux sections “Configuration de la protection contre les
virus et les logiciels espions”, 144 et “Configuration de la protection
Internet”, 187.
Pour plus d'informations sur les symboles de verrouillage et autres
éléments affichés sur toutes les pages Paramètres, voir “Transmission
des paramètres par héritage”, 104.
Menu contextuel des pages Paramètres
En cliquant avec le bouton droit sur un paramètre des pages de l'onglet
Paramètres, vous pouvez accéder à un menu contextuel contenant les
options suivantes :
Effacer
Cette option efface un paramètre redéfini au
niveau actuel.
56
57
Forcer la valeur
L'option Forcer la valeur n'est disponible que si
un domaine de stratégie est sélectionné. Vous
pouvez forcer le paramètre du domaine actuel
à être également actif dans tous les
sous-domaines et sur tous les hôtes. En
pratique, cette action efface le paramètre
correspondant dans tous les sous-domaines et
les hôtes sous le domaine actuel, afin de leur
permettre d'hériter de la valeur actuelle.
Utilisez cette option avec prudence : toutes les
valeurs définies dans le sous-domaine ou les
hôtes sous le domaine sélectionné sont
effacées et il est impossible de les rétablir.
CHAPITRE 3
Afficher les valeurs
du domaine
L'option Afficher les valeurs du domaine n'est
disponible que si un domaine de stratégie est
sélectionné. Elle permet d'afficher la liste de
tous les domaines de stratégie et des hôtes
sous le domaine de stratégie sélectionné, ainsi
que la valeur de la zone sélectionnée.
Cliquez sur le nom d'un domaine ou d'un hôte
pour le sélectionner dans l'onglet Domaines de
stratégie. Il est possible d'ouvrir simultanément
plusieurs boîtes de dialogue de valeurs de
domaine.
Localiser en mode
avancé
Cette option est destinée aux utilisateurs
avancés. Elle vous mène à l'interface
utilisateur en mode avancé et y sélectionne le
paramètre.
58
59
Mises à jour automatiques
Figure 3-8 Paramètres > Onglet Mises à jour automatiques
Mises à jour automatiques
Dans la section Mises à jour automatiques, vous pouvez :
„
Activer ou désactiver les mises à jour automatiques. Notez que la
désactivation de ce paramètre annule pour l'hôte toutes les
possibilités d'obtenir des mises à jour automatiques.
„
Spécifier l'intervalle d'interrogation des mises à jour en
provenance de F-Secure Policy Manager Server.
„
Voir une liste de serveurs proxy Policy Manager. Vous pouvez
également ajouter de nouveaux serveurs à la liste, supprimer des
serveurs de la liste et modifier leurs adresses et priorités.
„
Choisir si un proxy HTTP peut être utilisé et est spécifié l'adresse
du proxy HTTP.
„
Choisir si les clients doivent télécharger des mises à jour entre
eux, en plus de celles fournies sur les serveurs ou les proxys.
CHAPITRE 3
Neighborcast
Neighborcast permet aux clients de télécharger des mises à jour entre
eux, ainsi qu'à partir de tout serveur ou proxy disponible. Dans cette
section, vous pouvez :
„
Désigner un client qui distribuera les mises à jour aux autres
clients.
„
Désigner un client qui téléchargera les mises à jour depuis
d'autres clients qui distribuent des mises à jour.
„
Choisir le port à utiliser.
Informations de sécurité
Dans la section Informations de sécurité, vous pouvez choisir si le client
doit sécuriser les informations ou non.
Pour des exemples de configuration et plus d'informations, reportez-vous
à la section “Configuration des mises à jour automatiques”, 147.
60
61
Analyse en temps réel
Figure 3-9 Page Paramètres > Analyse en temps réel
Généralités
Dans la section Généralités, vous pouvez activer ou désactiver l'analyse
en temps réel.
CHAPITRE 3
Analyse des fichiers
Dans la section Fichiers à analyser, vous pouvez :
„
Sélectionner quels fichiers seront analysés et définir les
extensions incluses.
„
Sélectionner si l'analyse en temps réel est exécutée également à
l'intérieur des fichiers compressés.
„
Sélectionner si certaines extensions seront exclues de l'analyse
et définir lesquelles.
„
Sélectionner si les utilisateurs peuvent exclure des objets de
l'analyse en temps réel.
„
Sélectionner si des lecteurs réseau sont inclus dans l'analyse en
temps réel.
„
Sélectionner si les fichiers sont analysés lorsqu'ils sont créés ou
modifiés.
„
Définir l'action à effectuer lorsqu'un fichier infecté est détecté.
Pour des exemples de configuration, une explication des options Action
en cas d'infection et d'autres informations, reportez-vous à la section
“Configuration de l'analyse en temps réel”, 153
Recherche de logiciels espions lors d'accès aux fichiers
Dans la section Recherche de logiciels espions lors d'accès aux fichiers,
vous pouvez :
„
Activer ou désactiver l'analyse en temps réel pour logiciels
espions.
„
Sélectionner l'action à effectuer en cas de découverte d'un
logiciel espion.
„
Refuser ou autoriser l'accès à un logiciel espion.
„
Sélectionner si les alertes de détection de logiciels espions sont
présentées aux utilisateurs.
„
Accéder à d'autres options de recherche de logiciels espions en
cliquant sur le lien Configurer d'autres options de recherche
de logiciels espions en mode avancé.
62
63
Pour des exemples de configuration, une explication des options Action
sur les logiciels espions et d'autres informations, reportez-vous à la
section “Configuration de la recherche de logiciels espions”, 171
Contrôle du système
Dans la section Contrôle du système, vous pouvez :
„
Activer ou désactiver le contrôle du système.
„
Sélectionner l’action à effectuer lorsqu’une tentative de
modification du système est détectée.
„
Sélectionner si ActiveX est interdit d'exécution sur les hôtes
administrés.
„
Sélectionner si une requête doit être envoyée à un serveur
distant pour améliorer la précision de la détection.
Pour un exemple de configuration, une explication des options Action sur
les tentatives de modification du système et d'autres informations,
reportez-vous à la section “Configuration du contrôle du système”, 159
Analyse du secteur d'amorçage
Dans la section Analyse du secteur d'amorçage, vous pouvez :
„
Activer ou désactiver l'analyse en temps réel pour les secteurs
d'amorçage des disquettes.
„
Sélectionner si les secteurs d'amorçage sont analysés au
démarrage.
„
Sélectionner l'action à effectuer lorsqu'une infection est détectée.
Dans la liste déroulante Action en cas d'infection, vous pouvez
sélectionner l'action que devra exécuter F-Secure Client Security lors de
la détection d'un secteur d'amorçage infecté.
CHAPITRE 3
Sélectionnez l'une des actions suivantes :
Action
Définition
Interroger l'utilisateur Démarre l'Assistant de nettoyage F-Secure
après analyse
lorsqu'un secteur d'amorçage infecté est détecté
sur une disquette.
Nettoyer
automatiquement
Nettoie automatiquement le secteur d'amorçage
lorsqu'un virus est détecté.
Avertir uniquement
Indique qu'un virus a été détecté et vous
empêche d'accéder à l'objet infecté. Cette
option se contente de vous signaler la présence
du virus. Elle n'entreprend aucune action à son
encontre.
64
65
Analyse manuelle
Figure 3-10 Paramètres > Analyse manuelle
Analyse manuelle de fichiers
La section Analyse manuelle des fichiers offre les options suivantes pour
la sélection des éléments à analyser :
„
Tous les fichiers
Tous les fichiers sont analysés, quelle que soit leur extension.
Cette option est déconseillée car elle risque de ralentir
considérablement les performances du système.
„
Fichiers avec ces extensions :
CHAPITRE 3
Seuls les fichiers portant les extensions définies sont analysés.
Pour indiquer des fichiers sans extension, tapez « . » Vous
pouvez également utiliser le caractère générique « ? » pour
représenter une lettre quelconque. Séparez chaque extension de
fichier par un espace.
„
Analyser les fichiers compressés
Cochez cette case pour analyser les fichiers compressés, tels
que les fichiers ZIP, ARJ, LZH, RAR, CAB, TAR, BZ2, GZ, JAR et
TGZ. L'analyse de fichiers compressés volumineux sollicite de
nombreuses ressources système et risque donc de ralentir le
système.
„
Activer les extensions exclues
Vous pouvez spécifier si certains fichiers ne doivent pas être
analysés et entrer les extensions à exclure de l'analyse dans le
champ Extensions exclues (voir aussi “Traitement des extensions
de fichiers”, 156).
„
Activer les objets exclus
Lorsque l'option Activer les objets exclus est sélectionnée, les
utilisateurs peuvent spécifier des fichiers ou dossiers individuels
qui ne seront pas analysés.
Dans la liste déroulante Action en cas d'infection, vous pouvez
sélectionner l'action que devra exécuter F-Secure Client Security lors de
la détection d'un fichier infecté.
Sélectionnez l'une des actions suivantes :
Action
Définition
Interroger l'utilisateur Lance l'Assistant de nettoyage F-Secure
après analyse
lorsqu’un fichier infecté est détecté.
Nettoyer
automatiquement
Nettoie le fichier automatiquement lorsqu'un
virus est détecté.
66
67
Action
Définition
Renommer
automatiquement
Renomme le fichier automatiquement lorsqu'un
virus est détecté.
Supprimer
automatiquement
Supprime le fichier automatiquement lorsqu'un
virus est détecté. Notez que cette option
supprime également l'objet infecté par le virus.
Cette option est donc déconseillée.
Avertir uniquement
Indique qu'un virus a été détecté et vous
empêche d'ouvrir l'objet infecté. Cette option se
contente de vous signaler la présence du virus.
Elle n'entreprend aucune action à son encontre.
Recherche manuelle de logiciels espions
Dans la section Recherche manuelle de logiciels espions, vous pouvez :
„
Activer ou désactiver la recherche manuelle de logiciels espions
pendant une analyse antivirus.
„
Sélectionner l'action à effectuer en cas de découverte d'un
logiciel espion.
„
Accéder aux paramètres de cibles de recherche manuelle de
logiciels espions en cliquant sur le lien Configurer les cibles de
recherche manuelle de logiciels espions en mode avancé.
Pour des exemples de configuration, une explication des options Action
sur les logiciels espions et d'autres informations, reportez-vous à la
section “Configuration de la recherche de logiciels espions”, 171
Analyse des rootkits
Dans la section Analyse des rootkits, vous pouvez :
„
Activer ou désactiver l'analyse des rootkits.
„
Inclure ou exclure l'analyse des rootkits dans l'analyse complète
de l'ordinateur.
„
Spécifier si les éléments suspects détectés doivent être affichés
dans l'assistant de nettoyage et dans le rapport d'analyse après
une vérification complète de l'ordinateur.
CHAPITRE 3
Pour des exemples de configuration et plus d'informations, reportez-vous
à la section “Configuration de la recherche de rootkits”, 161.
Analyse planifiée
Le lien Configurer la recherche planifiée en mode avancé donne
accès à l'interface utilisateur en mode avancé de F-Secure Policy
Manager Console, où la recherche planifiée peut être configurée. Pour
plus d'informations, reportez-vous à la section “Configuration d'une
analyse planifiée”, 257.
Analyse manuelle du secteur d'amorçage
Dans la section Analyse manuelle du secteur d'amorçage, vous pouvez :
„
Activer ou désactiver l'analyse manuelle des secteurs
d'amorçage des disquettes.
„
Sélectionner l'action à effectuer lorsqu'une infection est détectée.
68
69
Contrôle des logiciels espions
Figure 3-11 Paramètres > Contrôle des logiciels espions
Recherche de logiciels espions lors d'accès aux fichiers
Cette section contient les mêmes paramètres de recherche de logiciels
espions que la section Recherche de logiciels lors d'accès aux fichiers
dans la page Paramètres > Analyse en temps réel. Pour plus
d'informations, reportez-vous à la section “Recherche de logiciels espions
lors d'accès aux fichiers”, 62.
CHAPITRE 3
Recherche manuelle de logiciels espions
Cette section contient les mêmes paramètres de recherche de logiciels
espions que la section Recherche manuelle de logiciels espions de la
page Paramètres > Recherche manuelle. Pour plus d'informations,
reportez-vous à la section “Recherche manuelle de logiciels espions”, 67.
Applications exclues de la recherche manuelle
La table Applications exclues de la recherche de logiciels espions affiche
la liste des logiciels espions et des riskwares dont les administrateurs ont
autorisé l'exécution sur les hôtes.
Logiciels espions et riskwares rapportés par les hôtes
La table Logiciel espion et riskware signalés par les hôtes affiche les
logiciels espions et riskwares que les hôtes ont signalé et ceux mis en
quarantaine sur l'hôte ou les hôtes. La table affiche le type et la gravité (le
score TAC, reportez-vous au Glossaire) pour chaque application logicielle
espion ou riskware détectée. Tout logiciel espion ou riskware ayant l'état
Potentiellement actif a été autorisé de s'exécuter sur l'hôte par
l'administrateur.
Le paramètre Modifier la recherche de logiciels espions pour mettre
automatiquement en quarantaine tous les nouveaux logiciels
espions modifie les paramètres de recherche de logiciels espions en
temps réel et manuelle de façon que tous les logiciels espions qui ne sont
pas explicitement autorisés par l'administrateur sont interdits d'exécution.
Pour plus d'informations sur la recherche de logiciels espions et pour des
exemples de configuration, reportez-vous à la section “Configuration de
la recherche de logiciels espions”, 171.
70
71
Analyse du courrier électronique
Figure 3-12 Page Paramètres > Analyse du courrier électronique
Cette page comporte des paramètres distincts pour l'analyse des
messages entrants et sortants. Les paramètres de la section Généralités
sont communs aux deux types de messages.
Analyse du courrier électronique entrant
Dans la section Analyse du courrier électronique entrant, vous pouvez :
„
Activer l'analyse du courrier entrant.
„
Sélectionner l'action à prendre si une pièce jointe entrante est
infectée.
„
Sélectionner l'action à prendre en cas d'échec de l'analyse.
„
Sélectionner l'action à prendre si des parties du message sont
déformées.
CHAPITRE 3
Analyse du courrier électronique sortant
Dans la section Analyse du courrier électronique sortant, vous pouvez :
„
Activer l'analyse du courrier sortant.
„
Sélectionner l'action à prendre si une pièce jointe sortante est
infectée.
„
Sélectionner l'action à prendre en cas d'échec de l'analyse.
„
Sélectionner l'action à prendre si des parties du message sont
déformées.
„
Choisir d'enregistrer les messages bloqués dans la boîte d'envoi
de l'utilisateur.
Généralités
Dans la section Généralités, vous pouvez :
„
Sélectionner si toutes les pièces jointes sont analysées ou
seulement certaines. Vous pouvez également ajouter de
nouvelles extensions à la liste Extensions incluses.
„
Sélectionner si l'analyse du courrier électronique porte également
sur les pièces jointes compressées.
„
Sélectionner si certaines extensions seront exclues de l'analyse
et définir lesquelles.
„
Sélectionner si la progression de l'analyse est affichée et définir
après combien de temps elle s'affiche.
„
Sélectionner si le rapport d'analyse est affiché lorsque des
messages infectés sont détectés ou lorsque l'analyse échoue.
Pour des exemples de configuration et plus d'informations, reportez-vous
à la section “Configuration de l'analyse du courrier électronique”, 163.
72
73
Analyse du trafic Web
Figure 3-13 Paramètres > Analyse du trafic Web
Généralités
Dans la section Généralités, vous pouvez activer ou désactiver l'analyse
HTTP.
Analyse HTTP
„
Sélectionner l'action à prendre en cas d'infection.
„
Sélectionner l'action à prendre en cas d'échec de l'analyse.
„
Choisir si les fichiers compressés doivent être inclus dans
l'analyse.
Sites HTTP approuvés
La table Sites HTTP approuvés affiche la liste des sites HTTP qui sont
définis comme étant approuvés. Les téléchargements effectués à partir
de ces sites ne sont pas analysés à la recherche de virus.
CHAPITRE 3
Pour plus d'informations sur l'analyse du trafic Web et pour des exemples
de configuration pratique, reportez-vous à la section “Configuration de
l'analyse du trafic Web (HTTP)”, 168.
Niveaux de sécurité du pare-feu
Figure 3-14 Paramètres > Niveaux de sécurité du pare-feu
74
75
Généralités
Dans la section Généralités, vous pouvez :
„
Sélectionner le niveau de sécurité de la protection Internet au
niveau de l'hôte. Pour plus d'informations, reportez-vous à la
section “Niveaux de sécurité globale de pare-feu”, 189.
„
Configurer la sélection automatique du niveau de sécurité en
cliquant sur Configurer la sélection automatique du niveau de
sécurité en mode avancé. L'interface utilisateur en mode Avancé
s'affiche. Pour plus d'informations, reportez-vous à la section
“Configuration de la sélection automatique du niveau de
sécurité”, 269.
„
Activer les règles de pare-feu du niveau de sécurité actuel à
appliquer aux paquets entrants et sortants en sélectionnant
Activer le moteur pare-feu. Pour plus d'informations,
reportez-vous à la section “Configuration des niveaux et règles
de sécurité de la protection Internet”, 192.
„
Activer l'utilisation de l'interface approuvée. Pour plus
d'informations, reportez-vous à la section “Interface approuvée”,
268.
„
Activer la fonction de contrôle des applications. Pour plus
d'informations, reportez-vous à la section “Configuration du
contrôle des applications”, 204.
Quarantaine réseau
Dans la section Quarantaine réseau, vous pouvez :
„
Activer la quarantaine réseau.
„
Spécifier l'âge des définitions de virus après lequel la quarantaine
réseau est activée.
„
Spécifier si la désactivation de l'analyse en temps réel sur l'hôte
active la quarantaine réseau.
Pour plus d'informations et pour voir un exemple de configuration,
reportez-vous à la section “Configuration de la quarantaine réseau”, 198.
CHAPITRE 3
Prévention d'intrusions
Dans la section Prévention des intrusions, vous pouvez :
„
Activer et désactiver la prévention des intrusions.
„
Sélectionner l'action en cas de paquet malveillant. Les options
sont :
„
Consigner et supprimer et Consigner sans supprimer.
„
Définir la gravité d'alerte centralisée.
„
Définir le niveau d'alerte et de performances.
Pour des exemples de configuration et plus d'informations, reportez-vous
à la section “Configuration de la prévention des intrusions”, 214.
Table des niveaux de sécurité du pare-feu (globale)
La table des niveaux de sécurité du pare-feu indique les niveaux de
sécurité disponibles globalement dans le système. La table des niveaux
de sécurité est la même pour tous les domaines de stratégie, mais
l'activation et la désactivation de niveaux de sécurité individuels peuvent
être effectuées au niveau de chaque domaine de stratégie.
Pour plus d'informations, reportez-vous à la section “Niveaux de sécurité
globale de pare-feu”, 189.
76
77
Règles de pare-feu
Figure 3-15 Paramètres > Règles de pare-feu
Table des règles de pare-feu
La page Règles de pare-feu contient la table des règles de pare-feu qui
répertorie les règles définies pour différents niveaux de sécurité. Vous
pouvez sélectionner le niveau de sécurité de la protection Internet dans le
menu déroulant Niveau de sécurité de protection Internet en cours de
modification. Lorsque le niveau de sécurité sélectionné est modifié, les
règles associées au nouveau niveau de sécurité s'affichent dans la table.
Lorsque le pare-feu de la protection Internet F-Secure est utilisé, les
règles de firewall sont vérifiées dans l'ordre où elles s'affichent dans la
table, de haut en bas. Pour les niveaux de sécurité avec mode de filtrage
« normal » (voir la page Niveaux de sécurité du pare-feu dans l'onglet
Paramètres), il est possible de définir des règles spécifiques des
domaines ou des hôtes. Lorsque l'option Autoriser les utilisateurs à définir
des nouvelles règles est sélectionnée, les utilisateurs finaux sont
CHAPITRE 3
également autorisés à définir de nouvelles règles pour le niveau de
sécurité en question. La table indique également l'emplacement de ces
règles.
La table des règles de pare-feu affiche les informations suivantes pour
chaque règle :
„
Si la règle est activée ou non.
„
Le nom et le commentaire associés à la règle.
„
Le type de règle (autoriser/refuser).
„
Le service et la direction associés : <= pour un service entrant,
=> pour un service sortant et
<=> pour un service bidirectionnel.
„
Les hôtes distants affectés.
„
Si l'envoi d'une alerte est activé.
„
Si la règle s'applique uniquement lorsqu'une liaison d'accès à
distance est utilisée.
Lorsque l'option Autoriser les utilisateurs à définir des nouvelles règles
est sélectionnée, les utilisateurs peuvent créer de nouvelles règles.
Pour aller à l'emplacement où se trouve la nouvelle règle des utilisateurs
dans la table des niveaux de sécurité prédéfinis, cliquez sur Spécifier un
nouvel emplacement. Vous pouvez utiliser les boutons Déplacer vers le
haut et Déplacer vers le bas pour aller à l'emplacement des règles des
utilisateurs dans la table.
En outre, le contrôle des applications sur l'hôte crée automatiquement
des règles pour les applications qui ont été autorisées. Les règles sont
placées juste avant la première règle « Refuser l'accès » dans la table de
règles, qui est la première règle de refus avec le service « Tout le trafic »
et l'hôte distant « Tout ». Les règles permettent les paquets entrants aux
applications serveur, et un pare-feu avec état autorise ensuite les paquets
de réponse sortants à partir des applications serveur. Les paquets
sortants des applications ordinaires doivent être autorisés par les règles
de la table des règles de pare-feu.
78
79
Pour plus d'informations sur la création et la modification de règles de
pare-feu, reportez-vous aux sections “Configuration des niveaux et règles
de sécurité de la protection Internet”, 192 et “Configuration des alertes de
règle de la protection Internet”, 200.
Services de pare-feu
Figure 3-16 Paramètres > Services de pare-feu
Un service (abréviation de service de réseau) correspond à un service
disponible sur le réseau, par exemple, le partage de fichier, l'accès distant
à la console ou la navigation sur le Web. Il est généralement décrit par le
protocole et le port qu'il utilise.
CHAPITRE 3
Table des services de pare-feu (globale)
La table des services de pare-feu affiche une liste de services définis pour
le pare-feu. Il est également possible de créer ou de permettre aux
utilisateurs finals de créer de nouveaux services pour le pare-feu. Pour
plus d'informations sur l'ajout et la modification de services de pare-feu,
reportez-vous à la section “Ajout de nouveaux services”, 273.
Vous pouvez également empêcher les utilisateurs d'ajouter de nouveaux
services en cochant la case Taille fixe sous la table. Lorsque cette
restriction est activée, les utilisateurs finals ne peuvent ni ajouter ni
supprimer de lignes dans les tables.
Contrôle des applications
Figure 3-17 Paramètres > Contrôle des applications
80
81
Règles d'application pour les applications connues
La page Contrôle des applications affiche la liste des applications
connues et des règles qui leur sont associées pour les tentatives de
connexion entrantes et sortantes.
Applications inconnues rapportées par les hôtes
La liste Applications rapportées par les hôtes répertorie les applications
que les hôtes ont signalées et pour lesquelles il n'existe pas encore de
règles.
Sur cette page, vous pouvez également :
„
Sélectionner l'action par défaut pour les applications clientes.
„
Sélectionner l'action par défaut pour les applications serveur.
„
Choisir si les nouvelles applications doivent vous être signalées
en cochant la case Répertorier les nouvelles applications
inconnues.
„
Sélectionner si le contrôle des applications doit ou non inviter
l'utilisateur quand le contrôle du système a déjà identifié
l'application comme étant approuvée.
Message pour les utilisateurs
La section Message pour les utilisateurs contient les options suivantes :
„
L'option Afficher les messages par défaut pour les applications
inconnues permet aux utilisateurs de voir les messages par
défaut en cas de tentatives de connexion par des applications
inconnues.
„
L'option Définir les messages par défaut ouvre la fenêtre Définir
les messages, où vous pouvez définir les messages affichés en
cas d'autorisation, refus, ou décision de l'utilisateur pour les
applications connues et inconnues.
Pour plus d'informations sur la configuration et l'utilisation du Contrôle
des applications ainsi que pour des exemples de configuration,
reportez-vous à la section “Configuration du contrôle des applications”,
204.
CHAPITRE 3
Envoi d'alertes
Figure 3-18 Paramètres > Envois d'alerte
Généralités
Dans la section Généralités, vous pouvez :
„
Sélectionner la langue de l'alerte.
Envoi d'alertes par courrier électronique
„
Définir l'adresse du serveur de messagerie (SMTP).
„
Définir l'adresse d'expéditeur et l'objet à utiliser lors de la
transmission d'alertes par courrier électronique.
Pour des informations sur la configuration de l'envoi d'alertes,
reportez-vous à la section “Envoi d'alertes par courrier électronique”, 82.
Transmission des alertes
La table Transmission des alertes permet de configurer la destination des
alertes d'une certaine gravité.
82
83
Pour des exemples de configuration de la transmission des alertes
antivirus, reportez-vous à la section “Configuration d'envoi d'alertes de
F-Secure Client Security”, 182.
Pour des exemples de configuration de la transmission d'alertes de
protection Internet, reportez-vous aux sections “Configuration des alertes
de règle de la protection Internet”, 200 et “Utilisation d'alertes pour vérifier
le fonctionnement de la protection Internet”, 213.
Gestion centralisée
Figure 3-19 Paramètres > Gestion centralisée
Généralités
La section Généralités contient les options suivantes :
„
Autoriser les utilisateurs à modifier tous les paramètres...
CHAPITRE 3
Cette option détermine comme non finals tous les paramètres
des interfaces utilisateur antivirus et avancée de F-Secure Policy
Manager, ce qui signifie que les utilisateurs sont autorisés à
modifier tous les paramètres.
„
N'autoriser aucun utilisateur à changer les paramètres
Cette option détermine comme finals tous les paramètres des
interfaces utilisateur antivirus et avancée de F-Secure Policy
Manager, ce qui signifie que les utilisateurs ne sont pas autorisés
à modifier tous les paramètres. Pour plus d'informations sur les
paramètres finals, reportez-vous à la section “Transmission des
paramètres par héritage”, 104.
„
Effacer tous les paramètres
Cette option rétablit les paramètres par défaut pour tous les
composants de F-Secure Client Security.
„
Autoriser les utilisateurs à suspendre tous les téléchargements et
mises à jour
Cette option définit si l'utilisateur est autorisé à suspendre
temporairement les communications réseau telles que
l'interrogation automatique de stratégies et l'envoi de statistiques
et de mises à jour automatiques.
Elle est utile pour les hôtes qui utilisent parfois une ligne d'accès
à distance lente.
„
Autoriser les utilisateurs à désinstaller les produits F-Secure
Lorsque cette option est désactivée, les utilisateurs ne peuvent
pas désinstaller les logiciels F-Secure de leur ordinateur. La
désinstallation exige toujours des droits administratifs. Cette
option s'applique à tous les systèmes d'exploitation Windows, y
compris Windows NT/2000/XP où l'utilisateur final possède des
droits d'administrateur.
Pour désinstaller le logiciel localement, il faut soit sélectionner
cette option, soit arrêter d'abord le service F-Secure
Management Agent avant de procéder à la désinstallation.
„
Autoriser l'utilisateur à décharger des produits
Les valeurs possibles sont : Toujours autorisé ; Autorisé sur les
installations autonomes seulement ; Non autorisé.
84
85
Cette option indique si l'utilisateur est autorisé à décharger
temporairement tous les produits F-Secure, par exemple pour
libérer de la mémoire pour un jeu ou une application similaire.
Notez que les fonctions principales des produits sont désactivées
aussi longtemps que le produit est déchargé et que l'ordinateur
devient donc vulnérable aux virus et aux attaques.
„
Définition de connexion lente
Cette variable définit quelles connexions réseau sont
considérées comme lentes. L'unité est le kilobit par seconde.
Notez que la vitesse nominale de la connexion n'est pas
significative, mais que la vitesse réelle de la connexion est
mesurée. La valeur par défaut (zéro) signifie que toutes les
connexions sont considérées comme rapides.
Paramètres de Policy Manager Server
„
Policy Manager Server
Adresse URL du serveur F-Secure Policy Manager Server.
„
Intervalle de récupération des packages entrants
Définit la fréquence à laquelle l'hôte essaie de récupérer les
packages entrants depuis le serveur Policy Manager Server, par
exemple les fichiers de stratégie de base. La valeur par défaut de
l'intervalle est fixée à 10 minutes.
„
Intervalle de mise à jour des packages sortants
Définit la fréquence à laquelle l'hôte tente d'envoyer au serveur
Policy Manager Server des nouvelles versions des informations
envoyées périodiquement, par exemple des statistiques. La
valeur par défaut de l'intervalle est fixée à 10 minutes.
CHAPITRE 3
3.3.4
Onglet Etat
Les différentes pages de l'onglet Etat affichent des informations détaillées
sur l'état de certains composants d'applications F-Secure Client Security
gérées de façon centralisée. Si vous sélectionnez un domaine dans
l'onglet Domaines de stratégie, l'onglet Etat affiche l'état de tous les hôtes
de ce domaine. Si un seul hôte est sélectionné, l'onglet Etat affiche l'état
de cet hôte.
En cliquant avec le bouton droit sur les en-têtes de colonne des pages
Etat, vous pouvez déterminer quelles colonnes doivent être affichées sur
cette page.
Menu contextuel de l'onglet Etat
Figure 3-20 Le menu contextuel que vous pouvez ouvrir en cliquant avec le
bouton droit sur une ligne
En cliquant avec le bouton droit sur une ligne des pages de l'onglet Etat,
vous pouvez accéder à un menu contextuel contenant les options
suivantes :
„
Copier comme texte copie les lignes actuellement sélectionnées
et les en-têtes de colonne de la table sous forme de texte.
„
Sélectionner tout sélectionne toutes les lignes du tableau.
„
L'option Sélectionner les hôtes dans l'arborescence du domaine
peut être utilisée pour sélectionner les hôtes et afficher leur
emplacement dans l'arborescence du domaine.
86
87
Protection globale
Figure 3-21 Page Etat > Protection globale
La page Protection globale affiche une synthèse de l'état de protection de
chaque hôte :
„
La date et l'heure de la dernière mise à jour des définitions de
virus
„
Version des définitions de virus
„
La date et l'heure de la dernière mise à jour des définitions de
virus sur des produits F-Secure Gateway (GW)
„
Version des définitions de virus sur les produits F-Secure
Gateway
„
La date et l'heure de la dernière mise à jour des définitions de
logiciels espions
„
Version de définitions de logiciels espions
„
La date et l'heure de la dernière mise à jour des définitions de
courrier indésirable sur des produits F-Secure Gateway (GW)
„
Version des définitions de courrier indésirable sur les produits
F-Secure Gateway
„
Si l'analyse en temps réel est activée ou non
„
Niveau de sécurité de la protection Internet actuellement utilisé
„
Si l'analyse du courrier électronique des messages entrants et
sortants est activée ou désactivée.
„
Delta de mise à jour, qui est l'écart de temps entre la dernière
CHAPITRE 3
mise à jour des définitions de virus sur l'hôte et la dernière fois
que l'hôte a envoyé des statistiques à F-Secure Policy Manager.
Les informations de date et de version des définitions de virus sont
également affichées pour les hôtes sur lesquels F-Secure Anti-Virus pour
serveurs Citrix, F-Secure Anti-Virus pour serveurs Windows, F-Secure
Internet Gatekeeper ou F-Secure Anti-Virus pour Microsoft Exchange
sont installés.
Protection anti-virus
Figure 3-22 Page Etat > Protection antivirus
La pageProtection antivirus affiche les informations suivantes :
„
Date de la dernière infection
„
Nom de la dernière infection
„
Dernier objet infecté
„
Dernière action après infection
„
Nombre total d'infections
88
89
Protection Internet
Figure 3-23 Page Etat > Protection Internet
La page Protection Internet affiche les informations suivantes :
„
Date et heure de la dernière attaque dans la colonne Horodatage
de la dernière attaque
„
Service de la dernière attaque
„
Source de la dernière attaque
„
Attaques récentes (vous pouvez trier cette colonne en cliquant
sur son en-tête)
„
Réinitialisation des attaques récentes
CHAPITRE 3
Logiciels installés
Figure 3-24 Etat > Logiciels installés
La page Logiciels installés affiche une synthèse des logiciels installés sur
les hôtes :
„
La version du logiciel F-Secure Client Security (ainsi que le
numéro de révision et d'éventuels correctifs)
„
Liste de correctifs anti-logiciels espions
„
Si la protection Internet est installée
„
Si l'analyse du courrier électronique est installée
„
Si l'analyse du trafic Web est installée
„
Si l'agent de mise à jour automatique est installé
„
Si le contrôle du système est installé
„
Version de Policy Manager Proxy
90
91
Gestion centralisée
Figure 3-25 Etat > Gestion centralisée
La page Gestion centralisée affiche une synthèse des informations liées à
la gestion centralisée :
„
Horodateur du fichier de stratégie.
„
Compteur du fichier de stratégie (numéro du fichier de stratégie
actuellement utilisé sur l'hôte).
„
La date à laquelle la dernière mise à jour des statistiques a été
envoyée à F-Secure Policy Manager
„
Si l'hôte est déconnecté (vous pouvez trier cette colonne en
cliquant sur son en-tête).
„
Le nombre de nouvelles alertes de sécurité.
„
Le nombre de nouvelles erreurs fatales.
CHAPITRE 3
Propriétés d’hôte
Figure 3-26 Etat > Propriétés d'hôte
La page Propriétés d'hôte affiche les informations suivantes pour chaque
hôte :
„
Le nom WINS de l'hôte.
„
L'adresse IP de l'hôte.
„
Le nom DNS de l'hôte.
„
Le système d'exploitation de l'hôte.
92
93
3.3.5
Onglet Alertes
Figure 3-27 Onglet Alertes
L'onglet Alertes affiche les alertes des hôtes et domaines sélectionnés. Il
peut également être utilisé pour gérer les rapports d'alerte.
L'onglet Alertes affiche les informations suivantes pour chaque alerte :
„
gravité (pour plus d'informations, reportez-vous à la section
“Affichage des alertes”, 223).
„
date et heure
„
description
„
hôte et l'utilisateur
„
produit sur lequel porte l'alerte.
CHAPITRE 3
Lorsque vous sélectionnez une alerte dans la liste, la partie inférieure de
la page affiche des informations spécifiques sur celle-ci : produit, gravité,
hôte émetteur, etc. Des alertes d'analyse de F-Secure Client Security
peuvent également avoir un rapport attaché. Ce report sera affiché dans
la partie inférieure de la page.
En cliquant sur Configurer la transmission des alertes, vous pouvez
accéder à l'onglet Paramètres et à la page Alertes, où vous pouvez
configurer la transmission d'alertes. Pour un exemple de configuration,
reportez-vous à la section “Configuration d'envoi d'alertes de F-Secure
Client Security”, 182.
Pour plus d'informations sur l'utilisation des alertes pour la surveillance
des virus et attaques, reportez-vous à la section “Affichage des alertes”,
223.
94
95
3.3.6
Onglet Rapports
Figure 3-28 Onglet Rapports
L'onglet Rapports affiche des rapports d'analyse antivirus des hôtes et
domaines sélectionnés. Il peut également être utilisé pour gérer les
rapports d'analyse.
L'onglet Rapports affiche les informations suivantes pour chaque rapport :
„
gravité
„
date et heure
„
description
„
hôte et l'utilisateur
„
produit concerné
Lorsqu'une ligne est sélectionnée dans la liste des rapports, le rapport
d'analyse correspondant s'affiche dans la partie inférieure de la page.
Pour plus d'informations sur l'utilisation des alertes pour la surveillance,
reportez-vous à la section “Visualisation des rapports d'analyse”, 222.
CHAPITRE 3
3.3.7
Onglet Installation
Figure 3-29 Onglet Installation
L'onglet Installation est le premier qui s'ouvre lorsque Policy Manager
Console est installé.
96
97
L'onglet Installation contient des raccourcis vers toutes les fonctions liées
à l'installation. Il affiche également une liste des packages d'installation
de logiciel disponibles.
Autodécouvrir
hôtes Windows...
La fonction de découverte automatique détecte
automatiquement les domaines et hôtes de
Windows, charge le logiciel d'installation et
importe de nouveaux hôtes dans
l'arborescence des domaines de stratégie.
Distribuer
l'installation aux
hôtes Windows...
L'installation de type « push » permet une
installation directe sur des hôtes Windows
spécifiques d'après leur adresse IP ou leur
nom d'hôte. Cette fonction permet d'installer le
logiciel sur les hôtes même s'ils n'apparaissent
pas dans la liste de domaines NT de l'écran
Autodécouvrir.
Importer des hôtes
auto-enregistrés...
Les hôtes envoient des messages
d'enregistrement automatique à F-Secure
Policy Manager lorsque le premier produit est
installé sur les hôtes. Ces nouveaux hôtes sont
intégrés dans la gestion des stratégies par leur
importation dans l'arborescence des domaines
de stratégie.
Packages
d'installation
L'écran Packages d'installation affiche les
modules d'installation disponibles et des
informations détaillées sur leur contenu.
En raison de modifications apportées dans Mises à jour
automatiques, les définitions de virus sur le serveur ne peuvent
plus être mises à jour manuellement en demandant l'opération
depuis Policy Manager Console.
Il est uniquement possible de les mettre à jour manuellement sur
Policy Manager Server à l'aide d'un outil spécial. Pour plus
d'informations, reportez-vous aux notes de publication.
CHAPITRE 3
3.3.8
Onglet Opérations
Figure 3-30 Onglet Opérations
L'onglet Opérations contient deux opérations :
Opération de mise à
jour des définitions
de virus
Cette opération permet d'ordonner aux hôtes
sélectionnés ou à tous les hôtes du domaine
sélectionné d'aller chercher immédiatement de
nouvelles définitions de virus.
Opération de
recherche de virus
et de logiciels
espions
Cette opération permet d'ordonner aux hôtes
sélectionnés ou à tous les hôtes du domaine
sélectionné de commencer immédiatement à
chercher des virus et des logiciels espions.
L'emploi de ces deux opérations est recommandé après l'apparition d'un
virus sur le réseau local. Pour plus d'informations, reportez-vous à la
section “Que faire en cas d'apparition d'un nouveau virus ?”, 248.
98
99
3.4
Barre d'outils
La barre d'outils contient des boutons pour les tâches de F-Secure Policy
Manager Console les plus courantes.
Enregistre les données de stratégie.
Distribue la stratégie.
Accède au domaine ou à l'hôte précédent dans
l'historique de sélection de l'arborescence.
Accède au domaine ou à l'hôte suivant dans
l'historique de sélection de l'arborescence.
Accède au domaine parent.
Coupe un hôte ou un domaine.
Colle un hôte ou un domaine.
Ajoute un domaine au domaine actuellement
sélectionné.
Ajoute un hôte au domaine actuellement
sélectionné.
Affiche la boîte de dialogue Propriétés d'un
domaine ou d'un hôte.
CHAPITRE 3
Démarre l'outil Autodécouvrir hôtes Windows.
De nouveaux hôtes vont être ajoutés au
domaine de stratégie actuellement
sélectionné.
Démarre l'installation distante sur les hôtes
Windows.
Importe des hôtes auto-enregistrés dans le
domaine actuellement sélectionné. Si cette
icône est verte, cela signifie que l'hôte a
envoyé une demande d'auto-enregistrement.
Affiche les packages d'installation disponibles.
Affiche toutes les alertes. L'icône est mise en
surbrillance s'il existe de nouvelles alertes.
Lorsque vous démarrez F-Secure Policy
Manager Console, l'icône est toujours mise en
surbrillance.
3.5
Commandes des menus
Menu
Commande
Action
Fichier
Nouvelle stratégie
Crée une instance de données de stratégie à
l'aide des paramètres par défaut de la base
d'informations de gestion (MIB). Cette option est
rarement utilisée car les données de stratégie
existantes sont généralement modifiées, puis
enregistrées à l'aide de l'option Enregistrer sous.
Ouvrir une stratégie
Ouvre les données d'une stratégie précédemment
enregistrée.
100
101
Modifier
Enregistrer les modifications
de stratégie
Enregistre les données de stratégie actuelles.
Enregistrer la stratégie sous
Enregistre les données de stratégie sous le nom
spécifié.
Distribuer les stratégies
Distribue les fichiers de stratégie.
Exporter le fichier de stratégie
de l'hôte
Exporte les fichiers de stratégie.
Quitter
Quitte F-Secure Policy Manager Console.
Couper
Coupe l'élément sélectionné.
Coller
Colle l'élément à l'emplacement sélectionné.
Supprimer
Supprime l'élément sélectionné.
Nouveau domaine de
stratégie
Ajoute un nouveau domaine.
Nouvel hôte
Ajoute un nouvel hôte.
Importer des hôtes
auto-enregistrés
Importe les hôtes qui ont envoyé une demande
d'auto-enregistrement.
Détecter automatiquement les
hôtes Windows
Importe des hôtes à partir de la structure de
domaine Windows.
Distribuer l'installation aux
hôtes Windows
Installe le logiciel à distance et importe les hôtes
définis par l'adresse IP ou le nom WINS.
Rechercher
Recherche une chaîne dans les propriétés de
l'hôte. La recherche est effectuée sur tous les
hôtes du domaine sélectionné.
CHAPITRE 3
Affichage
Propriétés de domaine/d'hôte
Affiche la page des propriétés de l'hôte ou du
domaine de stratégie sélectionné.
Barre d'outils
Affiche la barre d'outils.
Barre d'état
Affiche la barre d'état.
Info-bulles
Affiche les descriptions des boutons sur lesquels
vous placez le pointeur de la souris.
Editeurs de restriction
intégrés
Bascule entre l'éditeur de restriction intégré et la
boîte de dialogue des restrictions.
Volet Messages
Affiche ou masque le volet Messages en bas de
l'écran.
Ouvrir pour les nouveaux
messages
Affiche ou masque le volet Messages en bas de
l'écran.
Retour
Accède au domaine ou à l'hôte précédent dans
l'historique de sélection de l'arborescence.
Suivant
Accède au domaine ou à l'hôte suivant dans
l'historique de sélection de l'arborescence.
Domaine parent
Accède au domaine parent.
Toutes les alertes
Ouvre la page Alertes pour afficher toutes les
alertes.
Mode avancé
Active l'interface utilisateur en mode avancé.
Mode antivirus
Active l'interface utilisateur en mode antivirus, qui
est décrite dans le présent manuel.
Actualiser <Elément>
Permet d'actualiser manuellement l'affichage du
rapport, de l'état ou de l'alerte. L'option de menu
change selon la page sélectionnée.
102
103
Outils
Aide
Actualiser tout
Permet d'actualiser manuellement toutes les
données affectées par l'interface, soit : la
stratégie, l'état, les alertes, les rapports, les
packages d'installation et les demandes
d'auto-enregistrement.
Packages d'installation
Affiche dans une boîte de dialogue les
informations relatives aux packages d'installation.
Modifier la phrase de cryptage
Change la phrase de cryptage de connexion (la
phrase de cryptage protégeant la clé privée de
F-Secure Policy Manager Console).
Transmission des rapports
Vous permet de sélectionner les méthodes de
transmission de rapports, les domaines/hôtes et
les produits inclus dans les rapports.
Préférences
Définit les propriétés locales de F-Secure Policy
Manager Console. Ces propriétés concernent
uniquement l'installation locale de F-Secure Policy
Manager Console.
Sommaire
Affiche l'index de l'aide.
Web Club
Ouvre votre navigateur Web et établit une
connexion au Web Club de F-Secure Policy
Manager.
Contacts
Affiche les coordonnées des contacts de la
société F-Secure.
À propos de F-Secure Policy
Manager Console
Affiche les informations de version.
CHAPITRE 3
3.6
Transmission des paramètres par héritage
Cette section explique comment fonctionne l'héritage des paramètres et
comment les paramètres hérités et les paramètres redéfinis au niveau
actuel sont affichés dans l'interface utilisateur.
Les paramètres de F-Secure Policy Manager Console peuvent soit être
hérités d'un niveau supérieur dans la structure des domaines de
stratégie, soit avoir été changés au niveau actuel. Lorsqu'un paramètre
redéfini localement est effacé (en cliquant sur le lien Effacer qui lui
correspond), la valeur d'un niveau de domaine supérieur ou la valeur par
défaut du paramètre est rétablie.
Au besoin, les paramètres peuvent être définis comme finals, ce qui
signifie que les utilisateurs ne sont pas autorisés à les modifier. Le type
Final impose toujours la stratégie : la variable de stratégie remplace toute
valeur de l'hôte local et l'utilisateur final ne peut pas modifier cette valeur
tant que la restriction est de type Final. Si les paramètres n'ont pas été
définis comme étant finaux, les utilisateurs sont autorisés à les modifier.
104
105
3.6.1
Affichage de l'héritage de paramètres dans l'interface
utilisateur
Les paramètres hérités et les paramètres redéfinis au niveau actuel sont
affichés différemment dans l'interface utilisateur de Policy Manager :
Non hérité
Hérité
Un cadenas fermé signifie que l'utilisateur
ne peut pas changer ce paramètre parce
qu'il a été défini comme final.
Si le symbole est bleu, le paramètre a été
redéfini au niveau actuel. Si le symbole est
gris, le paramètre est hérité.
Un verrou ouvert signifie que l'utilisateur
est autorisé à modifier le paramètre au
niveau actuel.
Si le symbole est bleu, le paramètre a été
redéfini au niveau actuel. Si le symbole est
gris, le paramètre est hérité.
Effacer
Si le lien Effacer s'affiche à côté d'un
paramètre, le paramètre a été redéfini au
niveau actuel et peut être effacé. Lorsque
le paramètre est effacé, sa valeur par
défaut ou la valeur héritée est rétablie.
Si rien n'est affiché à côté d'un paramètre,
c'est que le paramètre est hérité.
CHAPITRE 3
3.6.2
Zones de texte :
Les valeurs héritées sont affichées en gris.
Les paramètres qui ne sont pas hérités sont
affichés en noir sur blanc.
Cases à cocher :
Les valeurs héritées sont affichées en grisé sur
fond gris.
Les valeurs qui ne sont pas héritées sont
affichées sur un fond blanc.
Verrouillage et déverrouillage simultanés de tous les
paramètres d'une page
Les liens suivants peuvent être utilisés pour verrouiller et déverrouiller
tous les paramètres d'une page :
Autoriser les
modifications
utilisateur
Déverrouille tous les paramètres auxquels est
associé un verrou sur la page actuelle. Après
cela, les utilisateurs peuvent modifier les
paramètres en question.
Interdire les
modifications
utilisateur
Verrouille tous les paramètres auxquels est
associé un verrou sur la page actuelle. Après
cela, les utilisateurs ne peuvent pas modifier
les paramètres en question.
Effacer tout...
Efface tous les paramètres qui ont été redéfinis
sur la page actuelle et rétablit les valeurs par
défaut ou héritées.
Pour plus d'informations sur le verrouillage et le déverrouillage de tous les
paramètres dans l'interface utilisateur de F-Secure Policy Manager, voir
aussi les sections “Gestion centralisée”, 83 et “Interdiction de modification
des paramètres par les utilisateurs”, 181.
Pour plus d'informations sur la transmission de valeurs forcées à des
sous-domaines et la visualisation des valeurs actuelles, reportez-vous à
la section “Menu contextuel des pages Paramètres”, 56.
106
107
3.6.3
Héritage des paramètres dans les tables
La table des niveaux de sécurité de pare-feu et la table des services de
pare-feu sont des tables dites « globales », ce qui signifie que tous les
ordinateurs du domaine utilisent les mêmes valeurs. Cependant,
différents sous-domaines et différents hôtes peuvent avoir des niveaux de
sécurité différents.
Dans les tables, les valeurs par défaut dérivées des bases MIB sont
affichées en gris. Les valeurs qui ont été modifiées au niveau actuel sont
affichées en noir.
4
CONFIGURATION DU
RÉSEAU GÉRÉ
Présentation ............................................................................. 109
Première connexion.................................................................. 110
Création de la structure du domaine ........................................ 114
Ajout d'hôtes............................................................................. 116
Installation locale...................................................................... 139
Installation sur un hôte infecté.................................................. 142
Comment vérifier que les connexions de gestion fonctionnent 143
108
109
4.1
Présentation
Ce chapitre indique comment planifier le réseau géré et précise les
meilleures approches de déploiement de F-Secure Client Security dans
différents types d'environnements.
F-Secure Policy Manager vous offre plusieurs manières de déployer
F-Secure Client Security dans votre entreprise :
„
Dans un domaine Windows, vous pouvez utiliser les fonctions
Autodécouvrir et Auto-enregistrement pour automatiser la
création du domaine géré.
„
S'il y a beaucoup d'ordinateurs tournant sous Unix ou Linux, ou
s'il existe également des serveurs à gérer, il est possible de tous
les connecter à F-Secure Policy Manager, et leurs applications
de sécurité peuvent être administrées à partir d'un endroit
centralisé.
Il existe également certains aspects à prendre en considération pour,
ensuite, exploiter au mieux la gestion centralisée des applications de
sécurité. Un de ces aspects est, par exemple, la planification minutieuse
de la structure du domaine géré.
Lors de la planification de la structure du domaine géré, envisagez de
regrouper dans le même sous-domaine les utilisateurs finaux ayant des
besoins de sécurité similaires et de regrouper les ordinateurs portables et
portatifs dans leurs propres sous-domaines. De cette manière, vous
définissez les paramètres de sécurité optimaux pour les ordinateurs
pouvant être connectés à différents réseaux ou utilisant des connexions
commutées, ainsi que pour les ordinateurs qui sont toujours connectés au
réseau de l'entreprise.
Ces aspects seront traités dans la section “Création de la structure du
domaine”, 114.
CHAPITRE 4
4.2
Première connexion
Cette section explique comment se connecter à F-Secure Policy Manager
Console et comment configurer les propriétés de connexion et les
préférences de communication.
4.2.1
Ouverture de session
Lorsque vous démarrez F-Secure Policy Manager Console, la boîte de
dialogue suivante s'ouvre. Cliquez sur Options pour développer la boîte
de dialogue et afficher davantage d'options.
Figure 4-1 F-Secure Policy Manager Console Boîte de dialogue d'ouverture de
session
Vous pouvez utiliser la boîte de dialogue pour sélectionner des
connexions définies. Chaque connexion a des préférences spécifiques,
ce qui simplifie la gestion de plusieurs serveurs avec une seule instance
de F-Secure Policy Manager Console.
Après la sélection de la connexion, entrez la phrase de cryptage de
F-Secure Policy Manager Console. Il s'agit de la phrase de cryptage
définie lors de l'installation du programme, et non de votre mot de passe
d'administrateur réseau.
Vous pouvez également démarrer le programme en mode Lecture seule,
auquel cas vous n'avez pas besoin d'entrer une phrase de cryptage. Le
cas échéant, cependant, vous ne pourrez effectuer aucune modification.
Notez qu'il est possible de copier des connexions existantes. Vous
pouvez ainsi définir aisément plusieurs connexions au même serveur, en
employant des paramètres légèrement différents en vue d'utilisations
110
111
diverses. Par exemple, vous pouvez utiliser une connexion existante
comme modèle, puis tester différents paramètres de connexion sur la
nouvelle copie, sans influer sur les paramètres d'origine.
Propriétés de connexion
La liaison au référentiel de données est définie comme l'URL HTTP de
F-Secure Policy Manager Server.
Figure 4-2 La boîte de dialogue Propriétés de connexion
Le champ Nom permet de définir le nom que portera la connexion dans le
champ Connexion : de la boîte de dialogue d'ouverture de session. Si le
champ Nom reste vide, l'URL ou le chemin d'accès s'affiche.
Les chemins des fichiers de clé publique et privée indiquent le jeu de clés
d'administration à utiliser pour l'environnement en question. Si les fichiers
de clés spécifiés n'existent pas, F-Secure Policy Manager Console
génère une nouvelle paire de clés.
CHAPITRE 4
Vérification des préférences de communication
Cliquez sur l'onglet Communication pour personnaliser les paramètres de
communication.
1. Pour modifier les intervalles d'interrogation, cliquez sur Options
d'intervalle d'interrogation. Dans la plupart des cas, vous pouvez
accepter les valeurs par défaut.
2. Etat de connexion de l'hôte contrôle quand les hôtes sont considérés
comme déconnectés de F-Secure Policy Manager. Tous les hôtes qui
n'ont pas contacté F-Secure Policy Manager Server dans l'intervalle
défini sont considérés comme déconnectés. Ces hôtes déconnectés
sont signalés par une icône de notification dans l'arborescence et
sont placés dans la liste Hôtes déconnectés de l'onglet Synthèse.
3. Notez qu'il est possible de définir un intervalle de moins d'un jour en
entrant un nombre à décimales dans le champ de saisie. Par
exemple, si vous entrez une valeur de 0,5, tous les hôtes qui n'ont
pas contacté le serveur dans les 12 heures sont considérés comme
déconnectés. Les valeurs inférieures à un jour ne servent
normalement qu'à des fins de dépannage. Dans un environnement
traditionnel, certains hôtes sont naturellement déconnectés du
serveur de temps à autre. Par exemple, les ordinateurs portables ne
pourront peut-être pas accéder quotidiennement au serveur, mais,
dans la plupart des cas, cette situation est normale.
112
113
4. Le choix du protocole de communication affecte les intervalles
d'interrogation par défaut. Vous devez modifier les paramètres de
communication selon l'environnement dans lequel vous travaillez. Si
vous ne souhaitez pas recevoir certaines informations
d'administration, vous pouvez désactiver complètement les
interrogations inutiles. Pour ce faire, décochez l'élément
d'interrogation à désactiver. L'option Désactiver toutes les
interrogations permet de désactiver l'ensemble des éléments
d'interrogation. Cependant, l'interrogation automatique ne doit être
désactivée qu'en cas de problèmes de performances. Que
l'interrogation automatique soit désactivée ou non, les opérations
d'actualisation manuelle peuvent servir à actualiser les informations
sélectionnées.
CHAPITRE 4
4.3
Création de la structure du domaine
Si vous souhaitez utiliser des stratégies de sécurité différentes pour
différents types d'hôtes (portables, ordinateurs de bureau, serveurs), pour
différents services de l'entreprise ou pour des utilisateurs ayant des
connaissances différentes en informatique, il est judicieux de planifier la
structure du domaine en fonction de ces critères. Cela facilitera la gestion
des hôtes.
Si vous avez conçu au préalable la structure du domaine de stratégie,
vous pouvez importer les hôtes directement dans cette structure. Si vous
souhaitez démarrer rapidement, vous pouvez également commencer par
importer tous les hôtes dans le domaine racine et créer la structure du
domaine plus tard, lorsque le besoin s'en fait sentir. Les hôtes peuvent
alors êtres coupés et collés dans leur nouveau domaine.
114
115
Figure 4-3 Exemple de structure de domaines de stratégie
Chaque domaine ou hôte de cette structure doit disposer d'un nom
unique.
Il est également possible de créer les différents bureaux nationaux en tant
que sous-domaines.
Figure 4-4 Exemple de structure de domaines de stratégie : bureaux nationaux
en tant que sous-domaines
Enfin, vous pouvez aussi regrouper les hôtes en sous-domaines en
fonction de la version de F-Secure Client Security installée. Vous pouvez,
par exemple, regrouper les hôtes sur lesquels F-Secure Client Security
6.x est installé dans un sous-domaine et les hôtes sur lesquels F-Secure
Client Security 7.x est installé dans un autre domaine.
CHAPITRE 4
4.3.1
Ajout de domaines et sous-domaines de stratégie
1. Dans le menu Edition, choisissez Nouveau domaine de stratégie
(après avoir sélectionné un domaine parent) ou cliquez sur
dans
la barre d'outils. Ou encore, vous pouvez appuyer sur les touches
CTRL et INSER. Le nouveau domaine de stratégie est un
sous-domaine du domaine parent sélectionné.
2. Vous êtes alors invité à entrer le nom de la stratégie de domaine. Une
icône représentant le domaine est créée sous l'onglet Domaines de
stratégie.
3. De la même façon, vous pouvez créer les sous-domaines :
sélectionnez le domaine créé, cliquez sur
dans la barre d'outils
et entrez un nom pour le nouveau sous-domaine.
4.4
Ajout d'hôtes
Les principales méthodes d'ajout d'hôtes dans votre domaine de
stratégie, selon le système d'exploitation utilisé, sont les suivantes :
„
Importez les hôtes directement à partir de votre domaine
Windows, puis installez F-Secure Client Security sur ceux-ci à
distance.
„
Importez des hôtes par auto-enregistrement après que F-Secure
Client Security y a été installé localement.
116
117
4.4.1
Domaines Windows
Dans un domaine Windows, la méthode la plus pratique pour ajouter des
hôtes dans votre domaine de stratégie consiste à importer ceux-ci en
sélectionnant la commande « Autodécouvrir hôtes Windows » sous
l'onglet Installation de F-Secure Policy Manager Console. Notez que cela
installe également F-Secure Client Security sur les hôtes importés. Pour
importer des hôtes à partir d'un domaine Windows, sélectionnez le
domaine cible, puis la commande Autodécouvrir hôtes Windows du menu
Edition. Cette commande ouvre la fenêtre Autodécouvrir hôtes Windows.
Sélectionnez les hôtes où vous souhaitez installer le logiciel et cliquez sur
Installer .
4.4.2
Hôtes auto-enregistrés
Dans les domaines Linux et dans les domaines où F-Secure Client
Security a été localement installé sur des hôtes, la méthode la plus
pratique pour importer des hôtes dans F-Secure Policy Manager Console
consiste à utiliser la fonction d'auto-enregistrement. Vous procédez à
cette opération uniquement après l'installation de F-Secure Client
Security sur les hôtes et après que ces derniers ont envoyé une demande
d'auto-enregistrement. F-Secure Client Security devra être installé à partir
d'un CD-ROM, à partir d'un script de connexion ou par une autre
méthode. Pour importer des hôtes auto-enregistrés, cliquez sur
ou
choisissez la commande Importer des hôtes auto-enregistrés du menu
Edition ou de la vue Installation. Une fois l'opération terminée, l'hôte est
ajouté à l'arborescence du domaine. Vous pouvez importer les hôtes
auto-enregistrés dans différents domaines en fonction d'autres critères,
comme l'adresse IP ou DNS des hôtes. Pour plus d'informations,
reportez-vous à la section “Règles d'importation pour
l'auto-enregistrement”, 119.
CHAPITRE 4
Figure 4-5 Boîte de dialogue Importer des hôtes auto-enregistrés > Onglet Hôtes
auto-enregistrés
La vue Auto-enregistrement présente les données envoyées par l'hôte
dans le message d'auto-enregistrement sous forme de tableau. Ces
données comprennent les propriétés d'auto-enregistrement
personnalisées éventuellement incluses dans le package d'installation
distante lors de l'installation (voir l'étape 6 de la section Utilisation du
fichier JAR d’installation distante personnalisé). Vous pouvez trier les
messages d'auto-enregistrement selon les valeurs de n'importe quelle
colonne. Pour ce faire, cliquez sur son en-tête dans le tableau. Il est
possible de modifier l'ordre des colonnes en les faisant glisser à
l'emplacement souhaité. La largeur des colonnes peut également être
modifiée. Le menu contextuel du tableau (cliquez avec le bouton droit de
la souris sur la barre d'en-tête du tableau) peut être utilisé pour spécifier
les propriétés d'auto-enregistrement à afficher dans le tableau.
118
119
Règles d'importation pour l'auto-enregistrement
Figure 4-6 Boîte de dialogue Importer des hôtes auto-enregistrés > Onglet
Règles d'importation
CHAPITRE 4
Vous pouvez définir les règles d’importation des hôtes auto-enregistrés à
partir de l'onglet Règles d’importation dans la fenêtre Importer des hôtes
auto-enregistrés. Les critères d'importation suivants peuvent être utilisés
dans les règles :
„
„
Nom WINS, Nom DNS, Nom DNS dynamique, Propriétés
personnalisées
„
L’astérisque (*) peut être utilisé comme caractère générique.
Il peut remplacer n'importe quel nombre de caractères. Par
exemple : test_hôte* ou *.exemple.com.
„
La casse n'est pas respectée.
Adresse IP, Adresse IP dynamique
„
Ces critères prennent en charge la correspondance exacte
d’adresse IP (par exemple : 192.1.2.3) ainsi que le
sous-domaine IP (par exemple, 10.15.0.0/16).
Vous pouvez masquer et afficher des colonnes de la table à l'aide du
menu contextuel qui apparaît lorsque vous cliquez avec le bouton droit de
la souris sur n'importe quel en-tête de colonne de la fenêtre Importer des
règles. Seules les valeurs contenues dans les colonnes actuellement
visibles sont utilisées comme critères de correspondance lors de
l’importation des hôtes dans le domaine de stratégie. Les valeurs
contenues dans les colonnes masquées sont ignorées.
Il est également possible d’ajouter de nouvelles propriétés
personnalisées à utiliser comme critères lors de l’importation des hôtes.
Les propriétés personnalisées peuvent également être utilisées pour
créer des packages d’installation indépendants pour différents services
devant être regroupés dans des domaines de stratégie spécifiques. Dans
ce cas, il est possible d'utiliser le nom du service comme propriété
personnalisée, puis de créer des règles d'importation qui utilisent le nom
des services comme critère d'importation. Notez que les noms de
propriété personnalisée masqués ne sont conservés en mémoire que
jusqu'à la fermeture de Policy Manager Console.
Pour ajouter une nouvelle propriété personnalisée :
120
121
1. Cliquez avec le bouton droit sur un en-tête de colonne et sélectionnez
Ajouter une propriété personnalisée. La boîte de dialogue Nouvelle
propriété personnalisée s'ouvre.
2. Saisissez le nom de la propriété personnalisée (par exemple, le nom
du service). Cliquez ensuite sur OK.
3. La nouvelle propriété personnalisée apparaît dans le tableau. Elle
peut désormais être utilisée comme critère d’importation dans de
nouvelles règles d'importation d’auto-enregistrement.
Pour créer une nouvelle règle d’importation d’auto-enregistrement :
4. Cliquez sur Ajouter dans l’onglet Règles d’importation. La boîte de
dialogue Sélectionner le domaine de stratégie de destination pour la
règle contenant les domaines et sous-domaines existants s'affiche.
5. Sélectionnez le domaine pour lequel vous créez la règle et cliquez
sur OK.
6. Vous pouvez désormais définir les critères d'importation.
Sélectionnez la ligne que vous venez de créer, cliquez dans la cellule
à renseigner, puis cliquez sur Modifier. Saisissez la valeur dans la
cellule.
Lors de l’importation d’hôtes auto-enregistrés, les règles sont vérifiées de
haut en bas. La première règle correspondante est appliquée. Il est
possible de changer l’ordre des règles en cliquant sur Déplacer vers le
bas ou Déplacer vers le haut.
Si vous voulez créer plusieurs règles pour un domaine, utilisez l'option
Cloner. Commencez par créer une règle pour le domaine. Sélectionnez
ensuite la ligne et cliquez sur Cloner. Vous pouvez désormais modifier
les critères dans la ligne dupliquée.
Lorsque vous voulez débuter l'importation, sélectionnez l'onglet Hôtes
auto-enregistrés et cliquez sur Importer. Les règles d’importation définies
seront validées avant le début de l’importation. Une fois l'importation des
hôtes terminée, une boîte de dialogue s'affiche. Elle répertorie le nombre
d'hôtes importés avec succès et le nombre d'échecs.
Notez qu’un ensemble de conditions vide est traité comme une
correspondance absolue.
CHAPITRE 4
Création manuelle d’hôtes
Pour créer manuellement un hôte, sélectionnez un domaine de stratégie
et choisissez Nouvel hôte dans le menu Edition ou cliquez sur le bouton
Ajouter un hôte. Vous pouvez également appuyer sur la touche INSER.
Cette opération est utile dans les cas suivants :
Apprentissage et test – Vous pouvez essayer un sous-ensemble des
fonctions de F-Secure Policy Manager Console sans installer de logiciel
en complément de F-Secure Policy Manager Console. Par exemple, vous
pouvez créer des domaines et hôtes tests, et essayer des fonctions
d'héritage de stratégie.
Définition anticipée de stratégie : vous pouvez définir et générer à
l'avance une stratégie pour un hôte avant d'installer le logiciel sur cet
hôte.
4.4.3
Installations à distance de F-Secure
La seule différence entre les fonctions Autodécouvrir hôtes Windows et
Distribuer l'installation aux hôtes Windows réside dans la manière dont
les hôtes de destination sont sélectionnés. La fonction de découverte
automatique examine les domaines NT, et l'utilisateur peut sélectionner
les hôtes de destination dans une liste. La fonction Distribuer l'installation
aux hôtes Windows permet pour sa part de définir directement les hôtes
de destination à l'aide d'adresses IP ou de noms d'hôte. Une fois les
hôtes de destination sélectionnés, les deux opérations d'installation
distante se déroulent de la même manière. Vous devez disposer de droits
d'administrateur pour utiliser ces méthodes d'installation.
Avant d'installer les hôtes
Avant de démarrer l'installation de F-Secure Client Security sur les hôtes,
vous devez vérifier l'absence d'applications antivirus ou pare-feu en
conflit pouvant y être installées.
Le programme d'installation de F-Secure reconnaît et supprime
automatiquement les produits en conflit. Consultez l'Annexe C. Produits
détectés ou supprimés lors de l'installation du client pour obtenir une liste
détaillée de ces produits.
122
123
Détecter automatiquement les hôtes Windows
Pour effectuer l'installation :
1. Sélectionnez le domaine de stratégie des hôtes sur lesquels vous
allez installer F-Secure Client Security.
2. Ouvrez le menu Edition et choisissez la commande Autodécouvrir
hôtes Windows. Vous pouvez aussi cliquer sur le bouton
.
3. Dans la liste des domaines NT, sélectionnez l'un des domaines puis
cliquez sur Actualiser.
La liste des hôtes est actualisée lorsque vous cliquez sur le bouton
Actualiser. Afin d'optimiser les performances, seules les
informations stockées en mémoire cache apparaissent à l'écran.
Avant de cliquer sur Actualiser, vous pouvez modifier les options de
découverte automatique suivantes :
Masquer les hôtes déjà administrés
Cochez la case Masquer les hôtes déjà administrés afin d'afficher
uniquement les hôtes ne disposant pas d'applications F-Secure.
Identifier les hôtes en détail (plus lent)
CHAPITRE 4
124
Cette option affiche tous les détails relatifs aux hôtes, comme les
versions du système d'exploitation et de F-Secure Management
Agent.
Identifier les noms d'hôtes et les commentaires uniquement (plus
rapide)
Cette option peut être utilisée lorsque tous les hôtes
n'apparaissent pas de façon détaillée ou que la récupération de
la liste prend trop de temps. Notez qu'il peut parfois s'écouler un
petit moment avant que le navigateur principal affiche un hôte
récemment installé sur le réseau.
4. Sélectionnez les hôtes sur lesquels effectuer l'installation. Pour
cocher les cases correspondantes, appuyez sur la BARRE
D'ESPACEMENT.
Vous pouvez sélectionner plusieurs hôtes en maintenant la touche
MAJ enfoncée et en effectuant l'une des actions suivantes :
„
cliquer sur plusieurs lignes d'hôtes ;
„
faire glisser la souris au-dessus de plusieurs lignes d'hôtes ;
„
utiliser les touches portant une flèche vers le haut ou vers le bas.
Vous pouvez également cliquer à l'aide du bouton droit de la souris.
Dans le menu contextuel de la liste des hôtes, utilisez l'une des
commandes suivantes :
„
Activer : active la case à cocher de l'hôte sélectionné (équivaut à
appuyer sur la BARRE D'ESPACEMENT).
„
Désactiver : désactive la case à cocher de l'hôte sélectionné
(équivaut à appuyer sur la BARRE D'ESPACEMENT).
„
Tout activer : active les cases à cocher de tous les hôtes du
domaine NT sélectionné.
„
Désactiver tout : désactive les cases à cocher de tous les hôtes
du domaine NT sélectionné.
Cliquez sur Installer pour continuer.
5. Une fois les hôtes de destination sélectionnés, passez à la section
“Installation distante après sélection de l’hôte de destination”, 126, où
vous trouverez des instructions sur l'installation à distance des
applications sur les hôtes.
125
Distribuer l'installation aux hôtes Windows
Pour effectuer l'installation :
1. Sélectionnez le domaine de stratégie des hôtes sur lesquels vous
allez installer F-Secure Client Security.
2. Ouvrez le menu Edition et choisissez la commande Distribuer
l'installation aux hôtes Windows. Vous pouvez également cliquer sur
le bouton
.
3. Entrez le nom des hôtes de destination sur lesquels démarrer
l'installation, puis cliquez sur Suivant pour continuer
Vous pouvez cliquer sur Parcourir afin de connaître la version de
F-Secure Management Agent sur les hôtes.
4. Une fois les hôtes de destination sélectionnés, passez à la section
“Installation distante après sélection de l’hôte de destination”, 126, où
vous trouverez des instructions sur l'installation à distance des
applications sur les hôtes.
CHAPITRE 4
Installation distante après sélection de l’hôte de destination
Pour exécuter à distance des packages d'installation après avoir
sélectionné les hôtes de destination :
1. Sélectionnez le package d'installation, puis cliquez sur Suivant pour
continuer.
2. Sélectionnez les produits à installer. Vous pouvez forcer la
réinstallation s'il existe déjà des applications portant le même numéro
de version. Cliquez sur Suivant pour continuer.
3. Acceptez la stratégie par défaut ou choisissez la stratégie d'hôte ou
de domaine à employer comme stratégie anonyme. Cliquez sur
Suivant pour continuer.
126
127
4. Choisissez le compte d'utilisateur et le mot de passe pour l'installation
distante.
Durant l'installation, la fonction d'installation distante doit disposer
des droits d'accès administrateur sur le poste de destination. Si le
compte que vous avez sélectionné ne dispose pas de droits
d'accès administrateur sur l'un des hôtes distants, le message
d'erreur « Accès refusé » apparaît pour l'hôte concerné, tandis que
l'installation se poursuit pour les autres hôtes.
Sélectionnez soit Ce compte (le compte actuel), soit Un autre
utilisateur.
Ce compte : lorsque vous sélectionnez cette option, vous disposez
des droits de sécurité du compte auquel vous êtes connecté. Utilisez
cette option dans les cas suivants :
a. Vous êtes déjà connecté en tant qu'administrateur de domaine.
b. Vous êtes connecté en tant qu'administrateur local avec un mot
de passe qui correspond à celui de l'administrateur local sur
l'hôte de destination.
Un autre utilisateur : entrez le compte et le mot de passe.
CHAPITRE 4
L'administrateur peut saisir n'importe quels compte et mot de passe
corrects d'administrateur de domaine afin d'effectuer l'installation
distante sur les hôtes sélectionnés.
En cas d'installation sur des domaines approuvés et non approuvés à
l'aide d'un compte de domaine, veillez à entrer le compte avec le
format DOMAINE\COMPTE.
Si vous employez un compte d'administrateur local, utilisez le format
COMPTE. N'ajoutez pas le nom d'hôte à celui du compte, faute de
quoi ce compte ne sera accepté que par l'hôte en question.
Lors de l'installation, si l'ordinateur de l'administrateur a ouvert des
connexions réseau avec l'ordinateur de destination à l'aide d'un
autre compte d'utilisateur, le message d'erreur NT 1219 (conflit
d'identification) s'affiche. Dans ce cas, fermez les connexions
actives avant de démarrer l'installation distante.
5. Prenez connaissance du résumé de l'installation. Pour démarrer
l'assistant d'installation distante, cliquez sur Démarrer.
L'assistant d'installation distante affiche une série de boîtes de
dialogue dans lesquelles vous devez répondre à des questions pour
permettre la réalisation de l'installation. Dans la dernière boîte de
dialogue, cliquez sur Terminer puis passez à l'étape suivante.
6. F-Secure Policy Manager installe F-Secure Management Agent et les
produits sélectionnés sur les hôtes. Durant ce processus, la ligne Etat
affiche l'avancement de la procédure. Vous pouvez à tout moment
cliquer sur le bouton Annuler pour interrompre l'installation.
Lorsque la mention terminé s'affiche dans la ligne Etat, l'opération est
terminée. Vous pouvez sélectionner le domaine dans lequel inclure
les nouveaux hôtes à l'aide des paramètres d'importation. Cliquez sur
Terminer. F-Secure Policy Manager Console place les nouveaux
hôtes dans le domaine sélectionné à l'étape 1, sauf si vous avez
entré un domaine différent dans cette boîte de dialogue. Vous pouvez
également décider de ne pas placer automatiquement les hôtes dans
un domaine. Les nouveaux hôtes enverront des demandes
d'auto-enregistrement et les hôtes peuvent être importés de cette
façon.
128
129
7. Après quelques minutes, le volet Affichage produit (volet de droite)
affiche la liste des produits installés. Pour consulter cette liste, cliquez
sur l'onglet Installation du volet Propriétés, ou sélectionnez le
domaine supérieur du volet Domaine de stratégie.
4.4.4
Installation par stratégies
Des fichiers de stratégie de base sont utilisés pour démarrer des
installations sur les hôtes où F-Secure Management Agent est déjà
installé. F-Secure Policy Manager Console crée un package d'installation
spécifique d'une opération, qu'il stocke sur F-Secure Policy Manager
Server, puis écrit une tâche d'installation dans les fichiers de stratégie de
base (une distribution de stratégie est donc nécessaire pour démarrer les
installations). Les fichiers de stratégie de base et le package d'installation
sont signés par la paire de clés d'administration, si bien que les hôtes
n'accepteront que des informations authentiques.
F-Secure Management Agent sur les hôtes récupère les nouvelles
stratégies depuis F-Secure Policy Manager Server et découvre la tâche
d’installation. F-Secure Management Agent récupère le package
d’installation spécifié dans les paramètres de la tâche à partir du serveur
et démarre le programme d’installation.
Au terme de l'installation, F-Secure Management Agent envoie le résultat
de l'opération au serveur, dans un fichier de stratégie incrémentiel.
F-Secure Policy Manager Console découvre les nouvelles informations
d'état et affiche les résultats.
La désinstallation s'effectue à l'aide des mêmes mécanismes de remise.
Utilisation de l'éditeur d'installation
L’éditeur d’installation doit être utilisé sur les hôtes sur lesquels F-Secure
Management Agent est installé. Pour accéder à cet éditeur, cliquez sur
l'onglet Stratégie du volet Propriétés, puis sélectionnez le nœud racine
(l'arborescence secondaire F-Secure). Alternativement, vous pouvez
cliquer sur l'onglet Installer du volet Propriétés. L'Editeur d'installation
s'affiche dans le volet Affichage produit.
CHAPITRE 4
Dans l'Editeur d'installation, l'administrateur sélectionne les produits à
installer sur l'hôte ou le domaine de stratégie actuellement sélectionné.
L'éditeur d'installation contient les informations suivantes relatives aux
produits installés sur l'hôte ou un domaine de stratégie de destination :
Nom du produit
Nom du produit déjà installé sur un hôte ou un
domaine ou qui peut être installé à l'aide d'un
package d'installation disponible.
Version installée
Numéro de version du produit. Si plusieurs
versions du produit sont installées, tous les
numéros de version correspondants
s'affichent. Pour les hôtes, il s'agit toujours d'un
numéro de version unique.
Version à installer
Numéros de version des packages
d'installation disponibles pour le produit.
Version actuelle
Version actuelle, en cours d'installation sur un
hôte ou un domaine.
Progression
Avancement de l'installation. Cette zone
affiche des informations différentes pour les
hôtes et pour les domaines.
130
131
Lorsqu'un hôte est sélectionné, la zone En cours affiche l'un des
messages suivants :
En cours
L'installation a démarré (et a été ajoutée aux
données de stratégie), mais l'hôte n'a pas
encore signalé le succès ou l'échec de
l'opération.
Echec
L'installation ou la désinstallation a échoué.
Cliquez sur le bouton de la zone En cours pour
afficher des informations d'état détaillées.
Terminé
L'installation ou la désinstallation est achevée.
Ce message disparaît lorsque vous fermez
l'éditeur d'installation.
(Zone vide)
Aucune opération n'est en cours. La zone
Version installée affiche le numéro de version
des produits actuellement installés.
Lorsqu'un domaine est sélectionné, la zone En cours contient l'une des
informations suivantes :
<nombre> hôtes
restants
<nombre> installations ont échoué. Nombre
d'hôtes restants et nombre d'installations qui
ont échoué. Cliquez sur le bouton de la zone
En cours pour afficher des informations d'état
détaillées.
Terminé
L'installation ou la désinstallation est achevée
sur tous les hôtes.
(Zone vide)
Aucune opération n'est en cours. La zone
Version installée affiche le numéro de version
des produits actuellement installés.
Lorsque tous les numéros de version requis sont sélectionnés, cliquez
sur Démarrer. L'éditeur d'installation démarre alors l'Assistant
d'installation, qui invite l'utilisateur à configurer les paramètres de
CHAPITRE 4
l'installation. L'éditeur d'installation prépare ensuite un package
personnalisé de distribution de l'installation pour chaque opération
d'installation. Le nouveau package est enregistré sur F-Secure Policy
Manager Server.
Le bouton Démarrer permet de démarrer les opérations
d'installation sélectionnées dans la zone Version à installer. Si vous
fermez l'éditeur d'installation sans cliquer sur le bouton Démarrer,
toutes les modifications sont annulées.
L'installation étant déclenchée par une stratégie, vous devez distribuer les
nouveaux fichiers de stratégie. Le fichier de stratégie contient une entrée
qui invite l'hôte à rechercher le package d'installation et à démarrer
l'installation.
Notez qu'une installation peut prendre énormément de temps, notamment
lorsqu'un hôte concerné n'est pas connecté au réseau lors de l'installation
ou si l'opération activée requiert que l'utilisateur redémarre son poste de
travail avant que l'installation soit terminée. Si les hôtes sont connectés
au réseau et qu'ils n'envoient ou ne reçoivent pas correctement les
fichiers de stratégie, cela signifie qu'il peut y avoir un problème important.
Il est possible que l'hôte ne confirme pas correctement la réception de
l'installation. Dans tous les cas, vous pouvez supprimer l'opération
d'installation de la stratégie en cliquant sur le bouton Tout arrêter. Toutes
les opérations d'installation définies pour le domaine de stratégie ou l'hôte
sélectionné seront alors annulées. Vous pouvez arrêter toutes les tâches
d'installation dans le domaine sélectionné et tous ses sous-domaines en
choisissant l'option Annuler de façon récurrente les installations pour les
sous-domaines et les hôtes dans la boîte de dialogue de confirmation.
Figure 4-7 Boîte de dialogue de confirmation d'annulation d'installation
132
133
Le bouton Tout arrêter est activé uniquement si une opération
d'installation est définie pour l'hôte ou le domaine actuel. Les opérations
définies pour les sous-domaines ne modifient pas son état. Le bouton
Tout arrêter supprime uniquement l'opération de la stratégie. Si un hôte
a déjà récupéré le fichier de stratégie précédent, il est possible qu'il tente
d'exécuter l'installation même si elle n'est plus visible dans l'éditeur
d'installation.
Désinstallation à distance
La désinstallation d'un produit peut s'exécuter aussi facilement qu'une
mise à jour. Le système crée un fichier de diffusion contenant uniquement
le logiciel nécessaire à la désinstallation du produit. Si ce dernier ne
prend pas en charge la désinstallation à distance, l'Editeur d'installation
n'affiche aucune option de désinstallation.
Si vous sélectionnez Réinstaller, la version actuelle sera à nouveau
installée. Utilisez cette option uniquement pour résoudre certains
problèmes. En règle générale, il n'est pas nécessaire de réinstaller un
produit.
F-Secure Management Agent
Lors de la désinstallation de F-Secure Management Agent, aucune
information statistique ne sera envoyée pour indiquer que l’installation a
réussi, car F-Secure Management Agent a été supprimé et ne peut
envoyer aucune information.
Si vous désinstallez par exemple F-Secure Anti-Virus et F-Secure
Management Agent :
1. Désinstallez F-Secure Anti-Virus
2. Attendez que F-Secure Policy Manager Console signale le succès ou
l'échec de la désinstallation.
3. Si F-Secure Anti-Virus a été désinstallé avec succès, désinstallez
F-Secure Management Agent.
CHAPITRE 4
4. Si la désinstallation de F-Secure Management Agent a échoué,
F-Secure Policy Manager Console affiche un rapport statistique de
l'échec. La réussite ne peut pas être signalée, mais elle se remarque
à la coupure des communications, le rapport final de F-Secure
Management Agent contenant la mention « en cours ».
4.4.5
Installations et mises à jour locales à l'aide de packages
préconfigurés
Vous pouvez exporter des packages pré-configurés dans un format JAR
ou MSI (programme d'installation Microsoft). Les packages MSI peuvent
être distribués, par exemple, en utilisant la stratégie de groupe Windows
dans l'environnement Active Directory.
La procédure d'exportation dans les deux formats est la même (voir
ci-dessous). Vous pouvez sélectionner le format de fichier pour le
package personnalisé dans la boîte de dialogue Exporter le package
d'installation (voir l'étape 4, ci-dessous).
Script de connexion sur les plates-formes Windows
L’authentification peut s’effectuer de deux manières : à l'aide d'un fichier
d'installation distante personnalisé ou à l'aide d'un fichier MSI
personnalisé.
Utilisation du fichier JAR d’installation distante personnalisé
1. Exécutez F-Secure Policy Manager Console.
2. Choisissez Packages d'installation dans le menu Outils. La boîte de
dialogue Packages d'installation s'affiche.
134
135
3. Sélectionnez le package d'installation contenant les produits à
installer, puis cliquez sur Exporter.
4. Spécifiez le format de fichier, JAR ou MSI, et l'emplacement où vous
souhaitez enregistrer le package d'installation personnalisé. Cliquez
sur Exporter.
5. Sélectionnez les produits que vous souhaitez installer (F-Secure
Management Agent sera installé par défaut). Cliquez sur Suivant
pour continuer.
6. Acceptez la stratégie par défaut ou choisissez la stratégie d'hôte ou
de domaine à employer comme stratégie anonyme. Cliquez sur
Suivant pour continuer.
CHAPITRE 4
7. Une page récapitulative présente les options choisies pour
l'installation. Prenez-en connaissance, puis cliquez sur Démarrer
pour accéder à l'Assistant d'installation.
8. F-Secure Policy Manager Console affiche l'Assistant d'installation
distante qui collecte toutes les informations d'installation nécessaires
pour les produits sélectionnés.
a. Lisez l'écran d'accueil de l'Assistant d'installation distante.
b. Entrez le code du produit que vous allez installer.
c.
Sélectionnez les composants à installer.
d. Entrez la langue du produit que vous allez installer.
e. Sélectionnez le type d'installation. Le choix par défaut,
Installation avec administration centralisée, est recommandé.
Vous pouvez également préparer un package pour un hôte
autonome.
f.
Entrez l'adresse de F-Secure Policy Manager Server.
g. Vous pouvez inclure autant de propriétés d'auto-enregistrement
personnalisées que vous le voulez dans le fichier d'installation.
Un hôte ajoute ces propriétés personnalisées au message
d'auto-enregistrement qu'il envoie à F-Secure Policy Manager
après l'installation locale. Ces propriétés spécifiques des clients
136
137
s'affichent avec les propriétés standard d'identification d'hôte de
la vue d'auto-enregistrement. Le nom de la propriété
personnalisée est utilisé comme nom de colonne, et sa valeur
comme valeur de cellule.
Vous pouvez par exemple utiliser des propriétés personnalisées
pour créer un fichier d'installation distinct destiné à des unités
d'exploitation différentes qui doivent être regroupées dans des
domaines de stratégie spécifiques. Le nom de la propriété peut
être Unité, sa valeur différant pour chaque fichier d'installation. Il
est désormais possible de distinguer les hôtes de chaque unité
dans la vue d'auto-enregistrement. Vous pouvez importer tous les
hôtes d'une unité dans leur domaine de destination à l'aide des
fonctions de tri des colonnes et de sélection multiple. Notez que
le domaine de destination peut être modifié directement depuis la
vue d'auto-enregistrement. Après quoi, les hôtes d'une autre
unité peuvent être importés dans le domaine de destination
approprié.
h. Sélectionnez l'action à exécuter si un logiciel entrant en conflit est
détecté lors de l'installation. Il est conseillé de sélectionner
l'option Désinstaller les produits conflictuels.
i.
Si un redémarrage s'impose après l'installation sur des
ordinateurs, précisez la façon dont il doit avoir lieu.
CHAPITRE 4
9. Lorsque vous atteignez la dernière page de l'assistant, cliquez sur
Terminer pour continuer.
10. Vous pouvez installer le package JAR exporté sur les hôtes en
exécutant l'outil ilaunchr.exe . L'outil ilaunchr.exe se trouve dans le
répertoire d'installation de Policy Manager Console sous le
répertoire...\Administrator\Bin. Pour ce faire :
a. Copiez ilaunchr.exe et le package JAR exporté à un
emplacement où le script de connexion peut accéder à ceux-ci.
b. Entrez la commande :
ilaunchr <nom de package>.jar
où <nom de package> est remplacé par le nom réel du package
JAR installé.
Lors de l'installation, l'utilisateur voit une boîte de dialogue
affichant l'avancement de l'installation. Si un redémarrage
s'impose après l'installation, un message invite l'utilisateur à
redémarrer l'ordinateur de la manière définie lors de l'exportation
du package d'installation.
Si vous souhaitez que l'installation s'exécute en mode silencieux,
utilisez la commande suivante :
ilaunchr <nom de package>.jar /Q
Dans ce cas, l'utilisateur peut être invité à redémarrer l'ordinateur
après l'installation, et si une erreur fatale se produit pendant
l'installation, un message s'affiche.
ILAUNCHR comporte les paramètres de ligne de commande
suivants :
/U — Aucune assistance. Aucun message ne s'affiche, même
lorsqu'une erreur fatale se produit.
/F — Installation forcée. Termine l'installation même si F-Secure
Management Agent est déjà installé.
Tapez ILAUNCHR /? à l’invite de commande afin d’afficher la totalité
de l’aide.
138
139
Fourniture du nom d'utilisateur et du mot de passe pour une
installation par script de connexion
Lorsque vous effectuez une installation sur Windows 2000 (ou version
plus récente), vous pouvez également utiliser les paramètres suivants :
/user:domaine\nom_utilisateur (variante : /
user:nom_utilisateur) — Spécifie le compte utilisateur et le nom
de domaine. Le nom de domaine est facultatif.
/password:secret (variante : /password:"secret avec
espaces") — Spécifie le mot de passe du compte utilisateur.
La fonctionnalité de l'utilitaire ilaunchr reste la même si aucun de ces
deux paramètres n'est fourni. Si un seul des paramètres est fourni,
ilaunchr renvoie un code d'erreur. Si les deux paramètres sont fournis,
Ilaunchr démarre le programme d'installation.
Exemple de la commande :
ILaunchr <fichier jar> /user:domaine\nom_utilisateur/
password:secret
4.5
Installation locale
Cette section comporte la configuration requise pour F-Secure Client
Security, ainsi que des informations sur la fourniture d’une copie du
fichier de clé Admin.pub sur les stations de travail.
4.5.1
Configuration système requise pour l'installation locale
Pour installer F-Secure Client Security, votre système doit être doté de la
configuration minimale suivante :
CHAPITRE 4
Pour Microsoft Vista :
Processeur :
Un processeur capable d'exécuter Micorsoft
Vista 32 ou 64 bits (processeur cadencé à
2 GHz ou plus rapide)
Système d'exploitation : Versions de Microsoft Vista RTM
Mémoire :
512 Mo de RAM ou plus (1 Go ou plus
recommandés)
Affichage :
Un écran capable d'afficher des couleurs 8
bits ou supérieures (16 bits recommandés)
Espace disque requis :
200 Mo d'espace disque disponible (300 Mo
recommandés)
Connexion Internet :
Vous devez être équipé d'une connexion
Internet pour valider votre abonnement et
recevoir les mises à jour
Navigateur Web :
Internet Explorer 7 ou une version ultérieure
140
141
Pour Microsoft Windows 2000 et Windows XP :
Processeur :
Intel Pentium III 600 MHz (1 GHz ou plus
rapide recommandé)
Système d'exploitation : Microsoft Windows 2000 Professionnel, SP 4
Microsoft Windows XP Édition familiale/
Professionnel (SP 2 requis pour un bon
fonctionnement)
4.5.2
Mémoire :
256 Mo de RAM (512 Mo recommandés)
Affichage :
Un écran capable d'afficher des couleurs 8
bits ou supérieures (16 bits recommandés)
Espace disque requis :
200 Mo d'espace disque disponible (300 Mo
recommandés)
Connexion Internet :
Vous devez être équipé d'une connexion
Internet pour valider votre abonnement et
recevoir les mises à jour
Navigateur Web :
Internet Explorer 7 ou une version ultérieure
Instructions d'installation
Les instructions d'installation de F-Secure Client Security se trouvent
dans le Guide de mise en route de F-Secure Client Security .
Fourniture d'une copie du fichier de clé Admin.pub aux postes
de travail
Lorsque vous configurez les postes de travail, vous devez y installer une
copie du fichier de clé Admin.pub (ou leur donner l'accès à ce fichier). Si
vous installez les produits F-Secure sur les stations de travail à distance à
l'aide de F-Secure Policy Manager, une copie du fichier de clé Admin.pub
y est automatiquement installée.
CHAPITRE 4
Par contre, si vous effectuez l'installation à partir d'un CD, vous devez
transférer manuellement une copie du fichier de clé Admin.pub sur les
stations de travail :
„
La méthode la plus avantageuse et la plus sûre consiste à copier
le fichier Admin.pub sur une disquette, puis à l'installer sur les
postes de travail à partir de cette disquette.
„
Vous pouvez également placer le fichier Admin.pub dans un
répertoire accessible à tous les hôtes qui seront configurés à
l'aide de produits F-Secure administrés à distance. Par défaut,
F-Secure Policy Manager Console place la clé publique dans la
racine du répertoire de communication.
„
Le répertoire où sont stockés les fichiers de clé publique et clé
privée de l'administrateur a été défini lors de l'installation. Pour
plus d'informations, reportez-vous à la section Etape 17. , 37.
Pour plus d'informations sur la sauvegarde de la clé admin.pub,
reportez-vous au chapitre Maintenance de F-Secure Policy Manager
Server dans le Guide de l'administrateur F-Secure Policy Manager.
4.6
Installation sur un hôte infecté
Si l'hôte sur lequel vous allez installer F-Secure Client Security est infecté
par une variante du virus Klez, exécutez l'outil d'élimination de Klez sur
l'hôte avant de démarrer l'installation. En effet, l'outil d'installation
Ilaunchr.exe ne peut pas fonctionner sur un ordinateur infecté par Klez.
Vous pouvez télécharger l'outil Klez à partir de l'adresse
ftp://ftp.europe.f-secure.com/anti-virus/tools/kleztool.zip
Le fichier kleztool.zip contient un fichier kleztool.txt dans lequel vous
trouverez les instructions relatives à l'exécution de Kleztool sur
l'ordinateur infecté. Lisez attentivement ces instructions avant de
continuer.
142
143
4.7
Comment vérifier que les connexions de gestion
fonctionnent
1. Cochez la case Etat de distribution des stratégies sous l'onglet
Résumé. Enregistrez et distribuez les stratégies si nécessaire.
2. Accédez à l'onglet Etat et sélectionnez la page Gestion centralisée.
Vérifiez la date, l'heure et le compteur du fichier de stratégies utilisé
actuellement.
5
CONFIGURATION DE LA
PROTECTION CONTRE
LES VIRUS ET LES
LOGICIELS ESPIONS
Présentation : Objectif de l'utilisation de la protection contre
les virus et les logiciels espions ................................... 146
Configuration des mises à jour automatiques .......................... 147
Configuration de l'analyse en temps réel ................................. 153
Configuration du contrôle du système...................................... 159
Configuration de la recherche de rootkits................................. 161
Configuration de l'analyse du courrier électronique ................. 163
Configuration de l'analyse du trafic Web (HTTP) ..................... 168
Configuration de la recherche de logiciels espions .................. 171
Interdiction de modification des paramètres par les utilisateurs......
181
Configuration d'envoi d'alertes de F-Secure Client Security .... 182
144
145
Surveillance des virus sur le réseau 185
Test de la protection antivirus 185
CHAPITRE 5
5.1
Présentation : Objectif de l'utilisation de la
protection contre les virus et les
logiciels espions
La protection contre les virus et les logiciels espions dans F-Secure Client
Security est composée de mises à jour automatiques, d'analyse
manuelle, d'analyse programmée, d'analyse en temps réel, de recherche
de logiciels espions, de contrôle du système, de recherche de rootkits,
d'analyse du courrier électronique, d'analyse du trafic Web, de la gestion
des apparitions de nouveaux virus et du service Informations sur les
virus. Ce chapitre contient des instructions générales de configuration et
quelques exemples de configuration pour chacun de ces services (sauf
les informations sur les virus et l'analyse manuelle, lesquelles sont
présentées dans la section “Analyse manuelle”, 65), ainsi que des
instructions concernant la configuration de la transmission d'alertes et le
test de la protection antivirus.
L'analyse planifiée est une fonction avancée décrite dans les sections
“Ajout d'une analyse planifiée à partir d'un hôte local”, 233 et
“Configuration d'une analyse planifiée”, 257.
La protection contre les virus et les logiciels espions protège les
ordinateurs contre les virus incorporés dans des fichiers, les logiciels
espions, les riskwares, les rootkits et les virus diffusés par des pièces
jointes de courrier électronique et dans du trafic Web. Les mises à jour
automatiques garantissent une protection contre les virus et les logiciels
espions toujours actualisée. Une fois que vous avez installé la protection
contre les virus et les logiciels espions, ainsi que les mises à jour
automatiques en diffusant les paramètres appropriés dans le cadre d'une
stratégie de sécurité, vous pouvez être sûr que le réseau géré est
protégé. Vous pouvez également surveiller les résultats d'analyse et
d'autres informations que les hôtes gérés renvoient à Policy Manager
Console.
146
147
Lorsqu'un virus est détecté sur un ordinateur, une des actions suivantes
est effectuée :
„
Le fichier infecté est nettoyé.
„
Le fichier infecté est renommé.
„
Le fichier infecté est supprimé.
„
Le fichier infecté est mis en quarantaine.
„
L'utilisateur est invité à décider de ce qu'il faut faire du fichier
infecté.
„
La pièce jointe ou le fichier infecté (dans une analyse du courrier
électronique) sont uniquement signalés.
„
La pièce jointe infectée (dans une analyse du courrier
électronique) est nettoyée, supprimée ou bloquée.
Ces actions sont décrites dans les sections “Paramètres de configuration
de l'analyse en temps réel”, 153 et “Paramètres de configuration de
l'analyse du courrier électronique”, 163.
5.2
Configuration des mises à jour automatiques
Cette section explique les différents paramètres de configuration
disponibles pour les mises à jour automatiques dans F-Secure Policy
Manager et fournit quelques exemples de configuration pratiques pour
des hôtes présentant des besoins de protection différents. Ces
instructions vous permettront de maintenir à jour les définitions de virus
sur les hôtes et de choisir la meilleure source pour les mises à jour en
fonction des besoins des utilisateurs.
CHAPITRE 5
5.2.1
Fonctionnement des mises à jour automatiques
L'agent de mise à jour automatique installé avec F-Secure Client Security
tente de télécharger les mises à jour automatiques à partir des sources
de mises à jour configurées dans l'ordre suivant :
a. Si des proxies Policy Manager sont utilisés dans le réseau de
l'entreprise, le client tente de se connecter à F-Secure Policy
Manager Server par l'intermédiaire de chaque proxy Policy
Manager à tour de rôle.
b. Si le client est configuré pour utiliser le proxy HTTP, il tente de
télécharger les mises à jour par le biais du proxy HTTP à partir de
F-Secure Policy Manager Server.
c.
Ensuite, le client tente de télécharger les mises à jour
directement depuis F-Secure Policy Manager Server.
d. Si des proxies Policy Manager sont utilisés dans le réseau de
l'entreprise, le client tente de se connecter au serveur de mise à
jour F-Secure par l'intermédiaire de chaque proxy Policy
Manager à tour de rôle.
e. Si le client est configuré pour utiliser le proxy HTTP, il tente de
télécharger les mises à jour par le biais du proxy HTTP à partir du
serveur de mise à jour F-Secure.
f.
Le client tente ensuite de télécharger les mises à jour
directement depuis le serveur de mise à jour de F-Secure.
Si F-Secure Client Security est configuré pour télécharger des
mises à jour Neighborcast, il pourra également télécharger des
mises à jour depuis d'autres installations de F-Secure Client
Security pour lesquelles l'option Neighborcast a été activée.
5.2.2
Paramètres de configuration des mises à jour
automatiques
Dans la page Mises à jour automatiques de l'onglet Paramètres, vous
pouvez spécifier si vous souhaitez que F-Secure Client Security reçoive
automatiquement des mises à jour de définitions de virus et de logiciels
espions.
148
149
Pour autoriser les mises à jour automatiques, cochez la case Activer les
mises à jour automatiques. Vous devriez toujours activer les mises à jour
automatiques.
Spécifiez l'intervalle d'interrogation des mises à jour dans le champ
Intervalle d'interrogation des mises à jour à partir de F-Secure Policy
Manager.
Policy Manager Proxy est une liste de serveurs Proxy F-Secure Policy
Manager disponibles. L'agent de mise à jour automatique installé avec
F-Secure Client Security se connecte à ceux-ci dans l'ordre de priorité
spécifié dans cette table.
Si vous souhaitez utiliser HTTP Proxy, sélectionnez A partir des
paramètres du navigateur ou Défini par l'utilisateur dans le menu
déroulant Utiliser le proxy HTTP. Spécifiez ensuite l'Adresse du proxy
HTTP.
5.2.3
Configuration des mises à jour automatique à partir de
Policy Manager Server
Lorsque l'administration est centralisée, tous les hôtes peuvent aller
chercher leurs mises à jour de définitions de virus et de logiciels espions
sur le Policy Manager Server. La configuration s'effectue comme suit :
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Mises à jour
automatiques.
3. Assurez-vous que l'option Activer les mises à jour automatiques est
sélectionnée.
4. Assurez-vous que l'intervalle d'interrogation défini dans Intervalle
d'interrogation des mises à jour à partir de F-Secure Policy Manager
convient à votre environnement.
5. Si vous souhaitez utiliser des proxies HTTP, vérifiez que les
paramètres Utiliser le proxy HTTP et Adresse du proxy HTTP
conviennent à votre environnement.
CHAPITRE 5
6. Si vous souhaitez empêcher les utilisateurs de changer ces
paramètres, cliquez sur le symbole de cadenas en regard des
paramètres.
5.2.4
7. Cliquez sur
pour enregistrer les données de stratégie.
8. Cliquez sur
pour diffuser la stratégie.
Configuration de Policy Manager Proxy
Proxy F-Secure Policy Manager est un nouveau produit, qu'il ne
faut pas confondre avec F-Secure Anti-Virus Proxy. Pour plus
d'informations sur Proxy F-Secure Policy Manager, reportez-vous
au Guide de l'administrateur de Proxy F-Secure Policy Manager.
Si chaque bureau d'une entreprise a son propre proxy Policy Manager, il
est souvent judicieux de configurer les portables que l'utilisateur emporte
d'un bureau à l'autre pour qu'ils utilisent un proxy Policy Manager comme
source de mise à jour principale. Dans cet exemple de configuration, on
suppose que les portables ont été importés dans un sous-domaine dans
l'onglet Domaines de stratégie, que les différents bureaux de l'entreprise
ont leurs propres serveurs proxy Policy Manager et que tous seront inclus
dans la liste des serveurs proxy Policy Manager.
1. Sélectionnez le sous-domaine dans lequel utiliser le Policy Manager
dans l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Mises à jour
automatiques.
3. Assurez-vous que l'option Activer les mises à jour automatiques est
sélectionnée.
4. La section Proxies de Policy Manager contient une liste des serveurs
proxy disponibles. Cliquez sur Ajouter pour ajouter de nouveaux
serveurs à la liste. La fenêtre Propriétés du serveur de Proxy
F-Secure Policy Manager s'ouvre.
5. Entrez un numéro de priorité dans la zone de texte Priorité de Policy
Manager Proxy. Ces numéros sont utilisés pour définir l'ordre dans
lequel les hôtes tentent de se connecter aux proxies Policy Manager.
150
151
Utilisez, par exemple, 10 pour le proxy Policy Manager situé dans le
bureau où l'hôte se trouve normalement et 20, 30 etc. pour les autres
proxies.
6. Saisissez l’URL de Proxy F-Secure Policy Manager dans la zone de
texte Adresse du serveur. Cliquez ensuite sur OK.
7. Répétez les étapes 5 et 6 pour ajouter les autres serveurs à la liste.
8. Une fois tous les proxys Policy Manager ajoutés à la liste, vérifiez que
l'ordre est correct. Au besoin, vous pouvez modifier l'ordre des
proxies en changeant leur numéro de priorité.
9. Si vous souhaitez empêcher les utilisateurs de changer ces
paramètres, cliquez sur le symbole de cadenas en regard des
paramètres.
10. Cliquez sur
pour enregistrer les données de stratégie.
11. Cliquez sur
pour diffuser la stratégie.
Les utilisateurs finaux peuvent également ajouter des proxies
Policy Manager à la liste via l'interface utilisateur locale ; l'hôte
utilise une combinaison de ces deux listes lors du téléchargement
des mises à jour de définitions de virus et de logiciels espions. Les
proxies Policy Manager ajoutés par les utilisateurs finaux sont
tentés avant ceux ajoutés par l'administrateur
CHAPITRE 5
5.2.5
Configuration des clients de sorte qu'ils téléchargent
des mises à jour entre eux
Vous pouvez configurer les clients Agent de mise à jour automatique
F-Secure de sorte qu'ils téléchargent les mises à jour entre eux, outre le
téléchargement depuis les serveurs ou proxys existants. Cette
fonctionnalité est appelée Neighborcast. De cette façon, le
téléchargement des mises à jour peut se faire à partir des sources
suivantes :
„
un F-Secure Policy Manager Server
„
un Proxy F-Secure Policy Manager
„
un proxy HTTP
„
un serveur de mise à jour F-Secure
„
un autre Agent de mise à jour automatique F-Secure (par
exemple F-Secure Client Security) avec l'option Neighborcast
activée.
Pour activer Neighborcast, procédez comme suit :
1. Sélectionnez Affichage > Mode antivirus pour passer au Mode
avancé.
2. Sélectionnez un domaine dans le volet Domaines de stratégie.
3. Cliquez sur l'onglet Paramètres.
Pour configurer des clients du domaine sélectionné, de sorte qu'ils
téléchargent des mises à jour depuis d'autres clients, sélectionnez
Client Neighborcast.
Pour configurer des clients du domaine sélectionné de sorte qu'ils
distribuent des mises à jour vers d'autres clients, sélectionnez
Serveur Neighborcast.
4. Pour modifier le port utilisé pour la fonction Neighborcast, saisissez
un nombre dans Port Neighborcast.
152
153
5.3
Configuration de l'analyse en temps réel
L'analyse en temps réel assure une protection permanente de l'ordinateur
en analysant les fichiers lors de tout accès, ouverture ou fermeture. Le
processus tourne en tâche de fond et est donc transparent pour
l'utilisateur une fois qu'il a été configuré.
5.3.1
Paramètres de configuration de l'analyse en temps réel
Pour activer l'analyse en temps réel, cochez la case Activer l'analyse en
temps réel. Pour désactiver l'analyse en temps réel, désactivez Activer
l'analyse en temps réel.
Les options suivantes sont disponibles pour la sélection des éléments à
analyser :
„
Tous les fichiers
Tous les fichiers sont analysés, quelle que soit leur extension.
Cette option est déconseillée pour un usage général, car elle
risque de ralentir considérablement les performances du
système.
„
Fichiers avec ces extensions :
Seuls les fichiers portant les extensions définies sont analysés.
Pour indiquer des fichiers sans extension, tapez « . » Vous
pouvez également utiliser le caractère générique « ? » pour
représenter une lettre quelconque. Séparez chaque extension de
fichier par un espace. Cette option est recommandée pour la
protection en temps réel.
De nouvelles extensions de fichiers sont automatiquement
ajoutées à la liste lors de la mise à jour de définitions de virus.
„
Analyser les fichiers compressés
Cochez cette case pour analyser les fichiers compressés, tels
que les fichiers ZIP, ARJ, LZH, RAR, CAB, TAR, BZ2, GZ, JAR
ou TGZ. L'analyse de fichiers compressés sollicite de
CHAPITRE 5
nombreuses ressources système et affecte les performances
système. Par conséquent, cette option s'accorde mal avec la
protection en temps réel.
„
Activer les extensions exclues
Vous pouvez spécifier si certains fichiers ne doivent pas être
analysés et entrer les extensions à exclure de l'analyse dans le
champ Extensions exclues. C'est surtout utile lorsque l'analyse
est définie sur Tous les fichiers.
„
Activer les objets exclus
Les objets exclus sont des fichiers ou dossiers individuels, qui
sont normalement définis localement. Ils peuvent également être
définis à partir de Policy Manager Console en cliquant avec le
bouton droit sur la case à cocher Activer les objets exclus et en
sélectionnant Localiser en mode avancé.
„
Analyser les lecteurs réseau
Cochez cette case pour analyser les fichiers auxquels vous
accédez sur les lecteurs réseau.
IMPORTANT : Dans F-Secure Client Security, le paramètre
Analyser les lecteurs réseau est désactivé par défaut.
„
Analyser les fichiers créés ou modifiés
Normalement, les fichiers sont analysés lorsqu'ils sont ouverts
pour lecture ou exécution. Lorsqu'un fichier est ouvert en écriture
ou qu'un nouveau fichier est créé, si ce paramètre est activé, le
fichier est également analysé lors de sa fermeture. Une fois ce
paramètre activé, les modifications se trouvant dans des
nouveaux fichiers ou des fichiers modifiés sont détectées
immédiatement après leur fermeture. Ce paramètre est activé par
défaut et nous vous conseillons de le laisser tel quel.
154
155
Dans la liste déroulante Action en cas d'infection, vous pouvez
sélectionner l'action que devra exécuter F-Secure Client Security lors de
la détection d'un fichier infecté. Sélectionnez l'une des actions suivantes :
Action
Définition
Interroger
l'utilisateur après
analyse
Lance l’Assistant de nettoyage F-Secure
lorsqu’un fichier infecté est détecté.
Nettoyer
automatiquement
Nettoie le fichier automatiquement lorsqu'un
virus est détecté.
Renommer
automatiquement
Renomme le fichier automatiquement
lorsqu'un virus est détecté.
Supprimer
automatiquement
Supprime le fichier automatiquement lorsqu'un
virus est détecté. Notez que cette option
supprime également le fichier infecté par le
virus. Cette option est donc déconseillée.
Avertir uniquement
Indique qu'un virus a été détecté et vous
empêche d'ouvrir l'objet infecté. Cette option
se contente de vous signaler la présence du
virus. Elle n'entreprend aucune action à son
encontre.
Mettre en
quarantaine
automatiquement
Place automatiquement le fichier infecté en
quarantaine.
CHAPITRE 5
Traitement des extensions de fichiers
F-Secure Client Security a une liste d'extensions incluses définies dans la
stratégie (ceci peut correspondre à « tous les fichiers »). Les
« extensions incluses » peuvent également faire partie d'une mise à jour
de définitions de virus. Ces extensions incluses sont d'abord combinées
par F-Secure Client Security, puis toutes les « extensions exclues » sont
supprimées de cette liste afin de déterminer la liste réelle des fichiers à
analyser. Cette procédure s'applique à l'analyse en temps réel, l'analyse
manuelle et l'analyse du courrier électronique.
Recherche de logiciels espions en temps réel
Pour plus d'informations sur la configuration de la recherche de logiciels
espions et pour des exemples cette configuration, reportez-vous à la
section “Configuration de la recherche de logiciels espions”, 171.
5.3.2
Activation de l'analyse en temps réel pour l'ensemble du
domaine
Dans cet exemple, l'analyse en temps réel est activée pour l'ensemble du
domaine.
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Analyse en
temps réel.
3. Cochez la case Analyse en temps réel activée.
4. Sélectionnez Fichiers avec ces extensions dans la liste déroulante
Fichiers à analyser .
5. Sélectionnez l'action à exécuter lorsqu'un fichier infecté est détecté
dans la liste déroulante Analyse des fichiers : action en cas
d'infection.
6. Vérifiez que les autres paramètres de cette page conviennent pour
votre système et modifiez-les au besoin. Pour plus d'informations sur
les autres paramètres d'analyse en temps réel, reportez-vous à la
section “Paramètres de configuration de l'analyse en temps réel”,
153.
156
157
5.3.3
7. Cliquez sur
pour enregistrer les données de stratégie.
8. Cliquez sur
pour diffuser la stratégie.
Activation forcée de l'analyse en temps réel sur tous les
hôtes
Dans cet exemple, l'analyse en temps réel est configurée de sorte que les
utilisateurs ne puissent pas la désactiver. Les hôtes restent ainsi protégés
dans toutes les circonstances.
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Analyse en
temps réel.
3. Cochez la case Analyse en temps réel activée.
4. Sélectionnez Fichiers avec ces extensions dans la liste déroulante
Fichiers à analyser .
5. Sélectionnez l'action à exécuter lorsqu'un fichier infecté est détecté
dans la liste déroulante Analyse des fichiers : action en cas
d'infection.
6. Vérifiez que les autres paramètres de cette page conviennent pour
votre système et modifiez-les au besoin. Pour plus d'informations sur
les autres paramètres d'analyse en temps réel, reportez-vous à la
section “Configuration de l'analyse en temps réel”, 153.
7. Cliquez sur Interdire les modifications utilisateur afin d'empêcher
les utilisateurs de désactiver l'analyse en temps réel sur leurs
ordinateurs. Un symbole de cadenas fermé s'affiche alors en regard
de tous les paramètres de cette page.
8. Cliquez sur
pour enregistrer les données de stratégie.
9. Cliquez sur
pour diffuser la stratégie.
CHAPITRE 5
5.3.4
Exclusion du fichier .pst de Microsoft Outlook de
l'analyse en temps réel
Si vous avez configuré une analyse en temps réel de tous les fichiers,
vous souhaiterez peut-être exclure le fichier .PST de Microsoft Outlook de
l'analyse afin de ne pas ralentir inutilement le système (les fichiers .PST
sont généralement très volumineux et longs à analyser). Le fichier .PST
est exclu de l'analyse pour l'ensemble du domaine, comme suit :
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Analyse en
temps réel.
3. Cochez la case Activer les extensions exclues.
4. Ajoutez l'extension PST dans la zone de texte Extensions exclues.
Notez que l'extension doit être ajoutée sans le point qui précède.
5. Si vous souhaitez empêcher les utilisateurs de changer ces
paramètres, cliquez sur le symbole de cadenas en regard des
paramètres.
6. Cliquez sur
pour enregistrer les données de stratégie.
7. Cliquez sur
pour diffuser la stratégie.
158
159
5.4
Configuration du contrôle du système
Le contrôle du système F-Secure est un nouveau système de prévention
contre les intrusions basé sur l'hôte qui analyse le comportement des
fichiers et des programmes. Il peut être utilisé pour bloquer les fenêtres
publicitaires indépendantes intempestives et pour protéger les
paramètres système importants, ainsi que les paramètres d'Internet
Explorer, de toute modification non souhaitée.
Si une application tente d'effectuer une action potentiellement
dangereuse, le système vérifie si elle est fiable. Les actions des
applications fiables sont autorisées et les actions des applications non
fiables sont bloquées.
Lorsque le contrôle du système est activé, vous pouvez configurer le
contrôle des applications de façon à ce qu'il demande aux utilisateurs
l’'action à effectuer lorsque le contrôle du système n'approuve pas une
application.
5.4.1
Paramètres de configuration du contrôle du système
Pour activer le contrôle du système, cochez la case Activer le contrôle du
système.
Vous pouvez sélectionner l'action à exécuter lorsqu'une tentative de
modification du système est détectée. Les actions possibles sont les
suivantes :
Action
Définition
Toujours demander
l’autorisation
Le contrôle du système demande aux
utilisateurs s'ils souhaitent autoriser ou bloquer
les actions surveillées, même lorsque
l'application est identifiée comme sûre.
CHAPITRE 5
Action
Définition
Demander en cas
de doute
Le contrôle du système demande aux
utilisateurs s'ils souhaitent autoriser ou bloquer
les actions surveillées uniquement si le
contrôle du système ne peut pas identifier
l'application comme sûre ou non sûre (option
par défaut).
Automatique : Ne
pas demander
Le contrôle du système bloque les applications
non sûres et autorise automatiquement les
applications sûres sans poser aucune question
à l’utilisateur.
Pour activer la protection ActiveX, cochez la case Interdire l’exécution de
tous les ActiveX. La protection ActiveX interdit aux navigateurs Web
d'exécuter des applications Web ActiveX. Certains sites Web peuvent
utiliser ActiveX pour installer des logiciels indésirables sur les ordinateurs.
Toutefois, certaines pages Web ne peuvent pas être affichées sans
contrôle ActiveX.
La protection ActiveX peut être activée uniquement lorsque le contrôle du
système est activé.
Sélectionnez Utiliser des requêtes serveur pour améliorer la précision de
la détection pour vérifier auprès des serveurs F-Secure quand le contrôle
du système détecte une application inconnue. Ceci améliore la précision
de la détection. Le contrôle du système peut également envoyer des
informations relatives aux fichiers vers F-Secure à des fins de recherche.
Toutes les informations envoyées sont anonymes et cryptées.
160
161
5.4.2
Requêtes serveur du contrôle de système (DeepGuard
2.0)
Sélectionnez Utiliser les requêtes serveur pour améliorer la précision de
détection pour vérifier auprès des serveurs F-Secure quand le contrôle du
système détecte une application inconnue. Nous vous recommandons
d'activer les requêtes serveur pour deux raisons :
„
un ordinateur avec requêtes serveur activées est mieux protégé.
Moins de temps s'écoule entre la détection d'une nouvelle
menace informatique et la protection contre cette menace.
„
un ordinateur avec requêtes serveur activées génére nettement
moins de boîtes de dialogue demandant si un processus inconnu
doit être autorisé à s'exécuter ou non. L'utilisateur a moins de
risques de prendre une décision qui pourrait mettre en péril la
sécurité de son ordinateur. L'utilisateur est aussi moins dérangé
dans son travail.
Que dois-je connaître à propos des requêtes serveur ?
Les requêtes serveur nécessitent un accès à internet pour fonctionner. Si
votre réseau n'autorise l'accès qu'à travers un proxy HTTP, définissez le
paramètre de proxy Agent de mises à jour automatiques HTTP dans votre
adresse de serveur proxy pour assurer le fonctionnement des requêtes
réseau. Pour définir le proxy Agent de mises à jour automatiques HTTP
voir “Mises à jour automatiques”, 59.
5.5
Configuration de la recherche de rootkits
La recherche de rootkits peut être utilisée pour rechercher des fichiers et
des lecteurs cachés par des rootkits. Les rootkits servent typiquement à
masquer les logiciels malveillants, tels que les logiciels espions, des
utilisateurs, des outils systèmes et des scanneurs antivirus traditionnels.
Les éléments cachés par des rootkits sont souvent infectés par des virus,
des vers ou des chevaux de Troie.
CHAPITRE 5
5.5.1
Paramètres de configuration de la recherche de rootkits
Sélectionnez Activer la recherche de rootkits pour activer la recherche de
fichiers et lecteurs cachés par des rootkits. Cette option permet
également aux utilisateurs de lancer des analyses locales rapides afin de
rechercher des rootkits et d’autres éléments cachés.
Sélectionnez Inclure la recherche de rootkits dans l'analyse complète de
l'ordinateur pour rechercher des éléments cachés par des rootkits lors de
l’exécution d’une analyse complète de l’ordinateur à partir de l’hôte local
ou lors du lancement d’une analyse manuelle à partir de la Policy
Manager Console.
Sélectionnez Afficher les éléments suspects après vérification complète
de l'ordinateur pour spécifier que les éléments suspects détectés doivent
être affichés dans l'assistant de nettoyage et dans le rapport d'analyse
après une analyse complète de l'ordinateur. Lorsque cette option est
sélectionnée, les rapports d’analyse afficheront si certains éléments
cachés par les rootkits ont été détectés sur les hôtes administrés.
5.5.2
Lancement de la recherche de rootkits dans l'ensemble
du domaine
Dans cet exemple, une recherche de rootkits est lancée dans l'ensemble
du domaine.
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Analyse
manuelle.
3. Dans la section Recherche de rootkits, assurez-vous de bien cocher
la case Activer la recherche de rootkits.
4. Cochez la case Afficher les éléments suspects après vérification
complète de l'ordinateur .
5. Vérifiez que les autres paramètres de cette page conviennent et
modifiez-les au besoin.
6. Accédez à l'onglet Opérations et cliquez sur le bouton Recherche de
virus et de logiciels espions. Vous devez distribuer la stratégie
pour lancer l'opération.
162
163
7. Cliquez sur
pour enregistrer les données de stratégie.
8. Cliquez sur
pour diffuser la stratégie.
9. Une fois la recherche terminée sur les hôtes locaux, vous pouvez
afficher les rapports d'analyse de l'onglet Rapports afin de voir si des
rootkits ont été détectés.
5.6
Configuration de l'analyse du courrier
électronique
L'analyse du courrier électronique peut être utilisée pour protéger les
messages électroniques entrants et sortants contre les virus. L'activation
de cette analyse en sortie vous évite en outre de diffuser sans le vouloir
des pièces jointes infectées. Cette section décrit les paramètres
d'analyse du courrier électronique et présente un exemple de
configuration pratique.
L'analyse du courrier électronique analyse tout le trafic POP, IMAP et
SMTP. Si le protocole SSL est utilisé, toutes les pièces jointes reçues via
SSL sont également analysées lors de leur stockage dans le cache du
courrier électronique mail local. Tous les fichiers envoyés sont traités par
l'analyse en temps réel.
5.6.1
Paramètres de configuration de l'analyse du courrier
électronique
Pour activer l'analyse des messages électroniques entrants et des pièces
jointes (trafic POP3), cochez la case Activer l'analyse du courrier entrant.
Pour activer l'analyse des messages électroniques sortants et des pièces
jointes (trafic SMTP), cochez la case Activer l'analyse du courrier sortant.
Vous pouvez sélectionner l'action à exécuter lorsqu'un message infecté
est détecté. Les actions possibles sont les suivantes :
CHAPITRE 5
Analyse du courrier électronique entrant
1. Action à la réception d'une pièce jointe infectée :
„
Nettoyer pièce jointe démarre l'Assistant de nettoyage chaque
fois qu'une pièce jointe infectée est détectée.
„
Supprimer pièce jointe supprime la pièce jointe.
„
Avertir uniquement ignore la pièce jointe mais la signale à
l'administrateur.
2. Action en cas d'échec de l'analyse :
„
Supprimer pièce jointe supprime la pièce jointe.
„
Avertir uniquement ignore la pièce jointe mais la signale à
l'administrateur.
3. Action si des parties de messages sont déformées :
„
Supprimer la partie de message supprime le message.
„
Avertir uniquement ignore la partie déformée mais la signale à
l'administrateur.
Analyse du courrier électronique sortant
1. Action à l'envoi d'une pièce jointe infectée :
„
Bloquer message électronique empêche d'envoyer le message
électronique.
„
Avertir uniquement ignore la pièce jointe mais la signale à
l'administrateur.
2. Action en cas d'échec de l'analyse :
„
Bloquer message électronique empêche d'envoyer le message
électronique.
„
Avertir uniquement ignore la pièce jointe mais la signale à
l'administrateur.
164
165
3. Action si des parties de messages sont déformées :
„
Supprimer la partie de message supprime le message.
„
Avertir uniquement ignore la partie déformée mais la signale à
l'administrateur.
AVERTISSEMENT : L'option Avertir uniquement est
dangereuse et ne doit pas être utilisée dans des conditions
normales.
Pour enregistrer les messages bloqués dans le dossier Boite d'envoi des
utilisateurs finaux, cochez la case Enregistrer les messages bloqués
dans la boîte d'envoi. L'utilisateur doit déplacer, supprimer ou modifier le
message bloqué dans sa boîte d'envoi pour pouvoir envoyer d'autres
messages.
Les options suivantes sont disponibles pour la sélection des éléments à
analyser :
„
Toutes les pièces jointes
Toutes les pièces jointes sont analysées, quelle que soit leur
extension.
„
Pièces jointes avec ces extensions :
Seules les pièces jointes portant les extensions définies sont
analysées. Pour indiquer des fichiers sans extension, tapez « . »
Vous pouvez également utiliser le caractère générique « ? » pour
représenter une lettre quelconque. Séparez chaque extension de
fichier par un espace.
„
Analyser les fichiers compressés
Cochez cette case pour analyser les pièces jointes compressées,
tels que les fichiers ZIP, ARJ, LZH, RAR, CAB, TAR, BZ2, GZ,
JAR et TGZ. L'analyse de pièces jointes compressées
volumineuses sollicite de nombreuses ressources système et
risque donc de ralentir le système.
„
Activer les extensions exclues
Vous pouvez spécifier les pièces jointes à ne pas analyser en
entrant les extensions de fichier appropriées dans le champ
Extensions exclues. Reportez-vous également à la section
“Traitement des extensions de fichiers”, 156.
CHAPITRE 5
Si vous souhaitez qu'une boîte de dialogue s'affiche lorsque des fichiers
volumineux sont analysés, cochez la case Indiquer l'avancement en cas
d'analyse de fichiers volumineux et définissez la limite de temps dans le
champ Indiquer l'avancement après.
Si vous souhaitez qu'un rapport s'affiche à la fin de l'analyse, cochez la
case Afficher le rapport si des infections sont détectées.
Pour plus d'informations sur les messages d'alerte virale et d'erreur
d'analyse qui peuvent s'afficher sur l'écran des utilisateurs finaux lorsque
l'analyse du courrier électronique est activée, reportez-vous à la section
“Messages d'alerte et d'erreur de l'analyse du courrier électronique”, 305
5.6.2
Activation de l'analyse du courrier électronique pour les
messages entrants et sortants
Dans cet exemple, l'analyse du courrier électronique est activée pour les
messages tant entrants que sortants.
Etape 1.
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Analyse du
courrier électronique.
Etape 2.
Configuration de l'analyse du courrier électronique
entrant
1. Sélectionnez Activer l'analyse du courrier entrant.
2. Sélectionnez l'action à exécuter dans la liste déroulante Action à la
réception d'une pièce jointe infectée. Pour obtenir des explications
sur les différentes actions, reportez-vous à la section “Paramètres de
configuration de l'analyse du courrier électronique”, 163.
3. Sélectionnez l'action à exécuter dans la liste déroulante Action en cas
d'échec de l'analyse.
4. Sélectionnez l'action à exécuter dans la liste déroulante Action si des
parties de messages sont déformées.
166
167
Etape 3.
Configuration de l'analyse du courrier électronique
sortant
1. Sélectionnez Activer l'analyse du courrier sortant.
2. Sélectionnez l'action à exécuter dans la liste déroulante Action à la
réception d'une pièce jointe infectée.
3. Sélectionnez l'action à exécuter dans la liste déroulante Action en cas
d'échec de l'analyse.
4. Sélectionnez l'action à exécuter dans la liste déroulante Action si des
parties de messages sont déformées.
Etape 4.
Vérification des paramètres généraux
Vérifiez que les autres paramètres de cette page conviennent pour votre
système et modifiez-les au besoin. Pour plus d'informations sur les autres
paramètres d'analyse du courrier électronique, reportez-vous à la section
“Configuration de l'analyse du courrier électronique”, 163.
Etape 5.
1. Cliquez sur
pour enregistrer les données de stratégie.
2. Cliquez sur
pour diffuser la stratégie.
CHAPITRE 5
5.7
Configuration de l'analyse du trafic Web (HTTP)
L'analyse du trafic Web peut être utilisée pour protéger l'ordinateur contre
des virus dans du trafic HTTP. Lorsqu'elle est activée, elle analyse les
fichiers HTML, les fichiers images, les applications ou les fichiers
exécutables téléchargés, ou d'autres types de fichiers téléchargés. Elle
supprime les virus automatiquement des téléchargements. Vous pouvez
également activer un panneau de notification présenté à l'utilisateur final
chaque fois que l'analyse du trafic Web bloque des virus dans le trafic
Web et des téléchargements.
Cette section décrit les paramètres d'analyse du trafic Web et présente
des exemples de configuration pratiques.
5.7.1
Paramètres de configuration de l'analyse HTTP
Pour activer l'analyse HTTP, cochez la case Activer l'analyse HTTP.
Dans la liste déroulante Action en cas d'infection, vous pouvez
sélectionner ce qu'il convient de faire lorsqu'une infection est détectée
dans du trafic HTTP. Les options disponibles sont les suivantes :
„
Bloquer bloque l'accès au fichier infecté.
„
Avertir uniquement ignore l'infection mais la signale à
l'administrateur.
Dans la liste déroulante Action en cas d'échec de l'analyse, vous pouvez
sélectionner ce qu'il convient de faire si un fichier dans du trafic HTTP ne
peut pas être analysé. Ce paramètre est utilisé, par exemple, lors du
traitement d'archives protégées par mot de passe. Les options
disponibles sont les suivantes :
„
Bloquer bloque le fichier qui n'a pas pu être analysé.
„
Avertir uniquement ignore le fichier joint mais le signale à
l'administrateur.
Cochez la case Analyser les fichiers compressés pour analyser les
fichiers compressés ZIP, ARJ, LZH, RAR, CAB, TAR, BZ2, GZ, JAR et
TGZ.
168
169
Vous pouvez spécifier une liste de serveurs approuvés dans la table Sites
HTTP approuvés. Le contenu des sites approuvés ne sera pas analysé à
la recherche de virus.
5.7.2
Activation de l'analyse du trafic Web pour l'ensemble du
domaine
Dans cet exemple, l'analyse en temps réel est activée pour l'ensemble du
domaine.
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Analyse
HTTP.
3. Cochez la case Activer l'analyse HTTP.
4. Vérifiez que Action en cas d'infection a la valeur Bloquer.
5. Vérifiez que Action en cas d'échec de l'analyse a la valeur Bloquer.
6. Vérifiez que les autres paramètres de cette page conviennent pour
votre système et modifiez-les au besoin.
5.7.3
7. Cliquez sur
pour enregistrer les données de stratégie.
8. Cliquez sur
pour diffuser la stratégie.
Exclusion d'un site Web de l'analyse HTTP
Vous pouvez exclure un site Web de l'analyse HTTP en les définissant
dans la table Sites approuvés. L'exclusion d'un site Web pourrait être
indiquée, par exemple, si le site contient du contenu à diffusion en continu
non reconnaissable, pouvant imposer des attentes prolongées à
l'utilisateur (voir le paramètre Dépassement du délai de téléchargement).
Dans cet exemple de configuration, l'ensemble d'un domaine
(www.example.com) et un sous-répertoire d'un autre domaine
(www.example2.com/news) sont exclus de l'analyse HTTP.
CHAPITRE 5
Etape 1.
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Analyse du
trafic Web.
Etape 2.
Exclusion d'un domaine de l'analyse HTTP
Pour exclure l'ensemble d'un domaine de l'analyse HTTP, entrez l'URL du
domaine dans la table Sites approuvés de la manière suivante :
1. Cliquez sur le bouton Ajouter sous la table Sites approuvés. Vous
créez ainsi une nouvelle ligne dans la table.
2. Cliquez sur la ligne que vous venez de créer afin qu'elle devienne
active et tapez http://*.example.com/*
Vous excluez ainsi tous les sous-domaines.
3. Cliquez sur le bouton Ajouter sous la table Sites approuvés . Vous
créez ainsi une ligne dans la table.
4. Cliquez sur la ligne que vous venez de créer afin qu'elle devienne
active et tapez http://example.com/*
Vos excluez ainsi le domaine de second niveau.
Etape 3.
Exclusion d'un sous-répertoire de l'analyse HTTP
Pour exclure un sous-répertoire de l'analyse HTTP, entrez l'URL du
domaine avec le chemin du répertoire dans la table Sites approuvés, de
la manière suivante :
1. Cliquez sur le bouton Ajouter sous la table Sites approuvés . Vous
créez ainsi une nouvelle ligne dans la table.
2. Cliquez sur la ligne que vous venez de créer afin qu'elle devienne
active, et tapez http://www.example2.com/news/*
Etape 4.
1. Cliquez sur
pour enregistrer les données de stratégie.
2. Cliquez sur
pour diffuser la stratégie.
170
171
5.8
Configuration de la recherche de logiciels espions
La recherche de logiciels espions protège les hôtes contre différents
types de logiciels espions, par exemple des analyseurs de données, des
outils de surveillance et des numéroteurs. En mode de gestion
centralisée, la recherche de logiciels espions peut être configurée, par
exemple, pour signaler à l'administrateur les éléments de logiciels
espions trouvés sur des hôtes ou pour mettre automatiquement en
quarantaine tous les éléments de logiciels espions trouvés. Il est
également possible de permettre l'utilisation de certaines applications de
logiciels espions en les spécifiant comme logiciels espions autorisés sur
la page Contrôle de logiciels espions.
Remarque à propos du nettoyage des logiciels espions et
des riskwares
La notion de logiciels est relativement vague et recoupe toute une
gamme de logiciels allant d'applications parfaitement légitimes aux virus/
chevaux de Troie. Certains logiciels espions peuvent être nécessaires à
l'exécution d'applications ordinaires, tandis que d'autres ne sont que des
antiprogrammes dont l'exécution doit être rigoureusement interdite et
rendue impossible. Par défaut, la recherche de logiciels espions de
F-Secure est configurée de manière à permettre l'exécution de tous les
logiciels espions. Vous pouvez vérifier s'il convient d'autoriser l'exécution
de certains logiciels espions avant de renforcer la sécurité et d'interdire
l'exécution de tous les nouveaux logiciels espions.
La recherche de logiciels espions détecte et signale également la
présence de riskwares. Les riskwares sont des programmes qui ne créent
pas de dommages intentionnellement, mais qui peuvent être dangereux,
s'ils sont mal utilisés, en particulier s'ils ne sont pas configurés
correctement. Les programmes de discussion instantanée (IRC) ou les
programmes de transfert de fichiers sont des exemples de programme de
ce type.
CHAPITRE 5
5.8.1
Paramètres de contrôle des logiciels espions
Recherche de logiciels lors d'accès aux fichiers
Pour activer la recherche de logiciels espions en temps réel, cochez la
case Rechercher des logiciels espions.
Dans la liste déroulante Action en cas d'infection, vous pouvez
sélectionner l'action à prendre si un logiciel espion est détecté.
Sélectionnez l'une des actions suivantes :
Action
Définition
Avertir uniquement
Le logiciel espion est uniquement signalé,
aucune action n'est effectuée.
Interroger l'utilisateur L'utilisateur est invité à indiquer ce qu'il souhaite
après analyse
faire avec le logiciel espion.
Une remarque au sujet de l'option Interroger
l'utilisateur après analyse :
Si Afficher des alertes aux utilisateurs a la valeur
Afficher en mode autonome seulement, et si
l'hôte fait l'objet d'une gestion centralisée, le
logiciel espion est uniquement signalé à
l'administrateur. L'utilisateur n'est pas interrogé
sur le logiciel espion.
Supprimer
automatiquement
Le logiciel espion est supprimé
automatiquement.
Mettre en
quarantaine
automatiquement
Le logiciel espion est mis en quarantaine.
Il est déconseillé de supprimer ou de mettre en
quarantaine les logiciels espions
automatiquement. Reportez-vous à la section
“Remarque à propos du nettoyage des logiciels
espions et des riskwares”, 171.
172
173
Pour empêcher les utilisateurs d'accéder à du logiciel espion mis en
quarantaine, cochez la case Refuser l'accès aux logiciels espions. Notez
que l'accès aux logiciels espions détectés est interdit par défaut.
Dans Afficher des alertes aux utilisateurs, vous pouvez choisir si les
dialogues de détection des logiciels espions trouvés sont affichés aux
utilisateurs. Les options sont :
„
Afficher en mode autonome seulement - Dans les
environnements gérés de manière centralisée, les dialogues de
détection des logiciels espions détectés par l'analyse en temps
réel ne sont pas présentés.
„
Toujours afficher- Les dialogues de détection des logiciels
espions détectés par l'analyse en temps réel sont toujours
présentés à l'utilisateur.
Le lien Configurer d'autres options de recherche de logiciels espions
en mode avancé donne accès à l'interface utilisateur en mode avancé de
F-Secure Policy Manager Console, où d'autres options de recherche de
logiciels espions peuvent être configurées.
Recherche manuelle de logiciels espions
Pour activer la recherche manuelle de logiciels espions, cochez la case
Rechercher les logiciels espions pendant la recherche manuelle de virus.
CHAPITRE 5
Dans la liste déroulante Action en cas d'infection, vous pouvez
sélectionner l'action à prendre si du logiciel espion est détecté.
Sélectionnez l'une des actions suivantes :
Action
Définition
Avertir uniquement
Le logiciel espion est uniquement signalé,
aucune action n'est effectuée.
Interroger l'utilisateur L'utilisateur est invité à indiquer ce qu'il souhaite
après analyse
faire avec le logiciel espion.
Supprimer
automatiquement
Le logiciel espion est supprimé
automatiquement.
Mettre en
quarantaine
automatiquement
Le logiciel espion est mis en quarantaine.
Le paramètre Afficher des alertes aux utilisateurs sur la page
Analyse en temps réel n'a pas d'effet sur la recherche manuelle de
logiciels espions.
Le lien Configurer les cibles de recherche manuelle de logiciels
espions en mode avancé vous donne accès à l'interface utilisateur en
mode avancé de F-Secure Policy Manager Console, où vous pouvez
configurer les cibles de recherche manuelle de logiciels espions.
Applications exclues de la recherche manuelle
Cette table affiche les logiciels espions et riskwares qui ont été autorisés
par l'administrateur.
174
175
Logiciels espions et riskwares rapportés par les hôtes
La table Logiciels espions et riskwares signalés par les hôtes contient les
informations suivantes :
Logiciels espions et riskwares rapportés par les hôtes
Nom du logiciel
espion ou riskware
Affiche le nom du logiciel espion ou du riskware
mis en quarantaine.
Type
Affiche le type de logiciel espion. Le type peut
être logiciel publicitaire, analyseur de données,
numéroteur, antiprogramme, outil de
surveillance, numéroteur pornographique,
riskware, vulnérabilité, ver, cookie (cookie de
suivi) ou élément divers.
Gravité
Affiche la gravité de l'élément de logiciel espion.
Il s'agit d'une valeur comprise entre 3 et 10.
Hôte
Affiche le nom de l'hôte sur lequel l'élément de
logiciel espion a été trouvé.
Etat du logiciel espion Affiche l'état actuel de l'élément de logiciel
espion. Les états sont les suivants :
Potentiellement actif - L'élément de logiciel
espion est toujours potentiellement actif sur
l'hôte. Aucune action n'a été prise sur l'hôte
contre l'élément de logiciel espion.
Supprimé - L'élément de logiciel espion a été
supprimé de l'hôte.
CHAPITRE 5
Logiciels espions et riskwares rapportés par les hôtes
Mis en quarantaine - L'élément de logiciel
espion a été mis en quarantaine sur l'hôte.
Actuellement en quarantaine - L'élément de
logiciel espion est actuellement en quarantaine
sur l'hôte.
Tampon horodateur
Affiche la date et l'heure de découverte de
l'élément de logiciel espion sur l'hôte.
Le Logiciel espion signalé par les hôtes sera nettoyé si vous exécutez
une recherche manuelle de logiciel espion sur les hôtes, mais aussi
lorsque le logiciel espion mis en quarantaine est supprimé
périodiquement sur les hôtes.
Traitement par défaut du logiciel espion
Si le paramètre Modifier la recherche de logiciels espions pour mettre
automatiquement en quarantaine tous les nouveaux logiciels espions est
sélectionné, tous les nouveaux logiciels espions qui ne sont pas
explicitement autorisés par l'administrateur sont automatiquement mis en
quarantaine. Cela s'applique à la recherche manuelle et en temps réel de
logiciels espions. Cela change les paramètres suivants :
„
Dans la section Recherche de logiciels lors d'accès aux fichiers,
le paramètre Action sur les logiciels espions prend la valeur
Supprimer automatiquement et mettre en quarantaine.
„
Dans la section Recherche manuelle de logiciels espions, le
paramètre Action sur les logiciels espions devient Supprimer
automatiquement et mettre en quarantaine.
„
Dans la page Contrôle des logiciels espions, le paramètre
Refuser l'accès aux logiciels espions est activé.
Cliquez sur le lien Modifier la recherche de logiciels espions
pour mettre automatiquement en quarantaine tous les
nouveaux logiciels espions lorsque vous êtes certain que
l'interdiction des logiciels espions n'aura pas d'incidence sur les
applications ordinaires et illégitimes dans votre entreprise.
176
177
5.8.2
Configuration du contrôle des logiciels espions pour
l'ensemble du domaine
Cet exemple indique comment configurer le contrôle des logiciels espions
de telle sorte qu'il soit transparent pour les utilisateurs finals et qu'il les
protège contre les logiciels espions et les cookies de suivi.
Lorsque vous configurez le contrôle des logiciels espions pour la
première fois, il convient d'utiliser un environnement de test restreint
composé d'hôtes sur lesquels sont installées les applications
normalement utilisées dans votre entreprise. À ce stade, vous pouvez
également autoriser certaines applications, si cela est nécessaire. Après
la phase de test, vous pouvez distribuer la stratégie à l'ensemble du
domaine géré.
Le contrôle des logiciels espions détecte les riskwares. Les riskwares
sont des programmes qui ne créent pas de dommages
intentionnellement, mais qui peuvent être dangereux, s'ils sont mal
utilisés, en particulier s'ils ne sont pas configurés correctement. Les
programmes de discussion instantanée (IRC) ou les programmes de
transfert de fichiers sont des exemples de programme de ce type. Si vous
souhaitez autoriser l’utilisation de ces programmes dans le domaine
administré, vous devez les inclure dans l’environnement de test et
permettre leur utilisation lors de la vérification et de la configuration des
règles relatives aux applications du tableau Logiciels espions et riskwares
signalés par les hôtes.
Etape 1.
Création d'un domaine de test et activation de la
recherche de logiciels espions
1. Créez un environnement de test avec quelques ordinateurs où
tournent les programmes normalement utilisés dans votre entreprise.
2. Importez ces hôtes dans le domaine géré de manière centralisée.
CHAPITRE 5
3. Accédez à l'onglet Paramètres et sélectionnez la page Analyse en
temps réel. Activez la recherche de logiciels espions sur les hôtes en
sélectionnant Rechercher des logiciels espions dans la section
Recherche de logiciels lors d'accès aux fichiers.
Vous pouvez également lancer une recherche manuelle de logiciels
espions sur les hôtes.
Etape 2.
4. Cliquez sur
pour enregistrer les données de stratégie.
5. Cliquez sur
pour diffuser la stratégie.
Vérifiez les logiciels espions et riskwares trouvés
1. Une liste des logiciels espions et riskwares qui ont été trouvés
pendant la recherche s'affiche dans la table Logiciels espions et
riskwares signalés par les hôtes. Vérifiez la liste des logiciels espions
et riskwares signalés. Si des applications sont nécessaires dans
votre entreprise, sélectionnez-les dans le tableau et cliquez sur
Autoriser l’application.
2. Une boîte de dialogue vous invitant à confirmer l'action s'ouvre.
Vérifiez les informations affichées dans la boîte de dialogue, puis si
vous souhaitez autoriser l'exécution du logiciel espion ou riskware sur
l'hôte ou le domaine, cliquez sur OK.
3. L'application sélectionnée sera placée dans le tableau Applications
exclues de la recherche de logiciels espions.
Etape 3.
Modification de la configuration de la recherche de
logiciels espions pour prévoir une mise en
quarantaine automatique
Configurez les paramètres Traitement par défaut des logiciels espions :
178
179
1. Si vous souhaitez être certain que les utilisateurs ne peuvent pas
autoriser l'exécution de logiciels espions ou de riskwares sur leur
ordinateur, assurez-vous que l'option Permettre aux utilisateurs
d'autoriser les logiciels espions a la valeur Non autorisé.
2. Configurez la recherche de logiciels espions de manière à prévoir la
mise en quarantaine automatique de tous les logiciels espions
détectés en cliquant sur le lien Modifier la recherche de logiciels
espions pour mettre automatiquement en quarantaine tous les
nouveaux logiciels espions. Cliquez sur Oui dans la boîte de
dialogue de confirmation.
3. Vérifiez que les paramètres de recherche de logiciels espions en
temps réel sont valides pour le domaine géré. Ils se trouvent dans la
section Recherche de logiciels lors d'accès aux fichiers.
4. Vérifiez que les paramètres de recherche manuelle de logiciels
espions sont valides pour le domaine géré. Ils se trouvent dans la
section Recherche manuelle de logiciels espions.
Etape 4.
Distribution de la stratégie
Distribuez une stratégie incluant les paramètres de traitement des
logiciels espions dans l'ensemble du domaine :
5.8.3
1. Cliquez sur
pour enregistrer les données de stratégie.
2. Cliquez sur
pour diffuser la stratégie.
Lancement de la recherche de logiciels espions dans
l'ensemble du domaine
Dans cet exemple, une recherche de logiciels espions est lancée dans
l'ensemble du domaine. Cette intervention nettoie partiellement la table
Logiciels espions et riskwares signalés par les hôtes.
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Analyse
manuelle.
CHAPITRE 5
3. Dans la section Recherche manuelle de logiciels espions,
sélectionnez Rechercher les logiciels espions pendant la recherche
manuelle de virus.
4. Comme la tâche d'analyse manuelle inclut également la recherche
manuelle de virus, vérifiez les paramètres dans la section Recherche
manuelle de virus, est modifiez-les si nécessaire.
5. Accédez à l'onglet Opérations et cliquez sur le bouton Recherche de
virus et de logiciels espions. Vous devez distribuer la stratégie
pour lancer l'opération.
5.8.4
6. Cliquez sur
pour enregistrer les données de stratégie.
7. Cliquez sur
pour diffuser la stratégie.
Autorisation de l'utilisation d'un composant de logiciel
espion ou de riskware
Dans cet exemple, l'utilisation d'un composant de logiciel espion ou de
riskware qui a été trouvé pendant la recherche de logiciels espions est
autorisée pour un hôte.
1. Dans l'onglet Domaines de stratégie, sélectionnez l'hôte pour lequel
vous souhaitez autoriser l'utilisation de logiciels espions ou de
riskwares.
2. Accédez à l'onglet Paramètres et sélectionnez la page Contrôle des
tels logiciels espions.
3. Sélectionnez le composant de logiciel espion dont vous souhaitez
autoriser l'utilisation dans le tableau Logiciels espions et riskwares
signalés par les hôtes, puis cliquez sur Autoriser l’application.
4. Une boîte de dialogue vous invitant à confirmer l'action s'ouvre.
Vérifiez les informations affichées dans la boîte de dialogue, puis si
vous souhaitez autoriser l'exécution de l'application sur l'hôte ou le
domaine, cliquez sur OK.
5. L'application sélectionnée sera placée dans le tableau Applications
exclues de la recherche de logiciels espions.
6. Cliquez sur
pour enregistrer les données de stratégie.
180
181
7. Cliquez sur
5.9
pour diffuser la stratégie.
Interdiction de modification des paramètres par
les utilisateurs
Si vous souhaitez faire en sorte que les utilisateurs ne puissent pas
modifier certains paramètres de protection antivirus, vous pouvez définir
ces paramètres comme étant finaux. Cela peut se faire de différentes
manières :
5.9.1
„
Si vous souhaitez empêcher les utilisateurs de changer un
paramètre défini, cliquez sur le symbole de cadenas qui lui
correspond.
„
Lorsque vous êtes dans une des pages de l'onglet Paramètres,
vous pouvez définir tous les paramètres comme étant finaux en
une fois en cliquant sur Interdire les modifications utilisateur. Ce
raccourci spécifique à la page concerne uniquement les
paramètres auxquels est associé un verrou et actionne tous les
verrous de la page en une fois.
„
Si vous souhaitez définir comme étant finaux tous les paramètres
de la protection antivirus et de la protection Internet, accédez à
l'onglet Paramètres et à la page Gestion centralisée, puis cliquez
sur Ne pas autoriser les utilisateurs à modifier des paramètres.
Cette opération marque également comme finaux les paramètres
du mode avancé.
Marquage de tous les paramètres de protection
antivirus comme finaux
Dans cet exemple, tous les paramètres de la protection antivirus sont
définis comme finaux.
CHAPITRE 5
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Gestion
centralisée.
3. Sélectionnez l'onglet Paramètres et sélectionnez la page Mises à jour
de définitions de virus.
4. Vérifiez que tous les paramètres de cette page sont corrects. Cliquez
sur Interdire les modifications utilisateur. Tous les paramètres de
cette page sont maintenant marqués comme finaux.
5. Sélectionnez la page Analyse en temps réel.
6. Vérifiez que tous les paramètres de cette page sont corrects. Puis
cliquez sur
Interdire les modifications utilisateur.
7. Sélectionnez la page Analyse manuelle.
8. Vérifiez que tous les paramètres de cette page sont corrects. Puis
cliquez sur
Interdire les modifications utilisateur.
9. Sélectionnez la page Analyse du courrier électronique.
10. Vérifiez que tous les paramètres de cette page sont corrects. Puis
cliquez sur
Interdire les modifications utilisateur.
5.10
11. Cliquez sur
pour enregistrer les données de stratégie.
12. Cliquez sur
pour diffuser la stratégie.
Configuration d'envoi d'alertes de F-Secure Client
Security
Cette section décrit comment configurer le produit de façon à envoyer les
alertes de virus à une adresse électronique et comment désactiver les
fenêtres indépendantes d'alerte.
182
183
5.10.1 Configuration de F-Secure Client Security pour prévoir
l'envoi d'alertes de virus à une adresse électronique
Dans cet exemple, toutes les alertes de sécurité générées par les clients
gérés F-Secure Client Security sont transmises au courrier électronique.
Etape 1.
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Envoi
d'alertes.
Etape 2.
Configuration de l'envoi d'alertes par courrier
électronique
Si l'envoi d'alertes par courrier électronique n'a pas encore été configuré,
vous pouvez le faire maintenant, de la manière suivante :
1. Entrez l'adresse du serveur SMTP dans le champ Adresse du
serveur de courrier électronique (SMTP).
Utilisez le format suivant :
<hôte>[:<port>] où « hôte » est le nom DNS ou l'adresse IP du
serveur SMTP et « port » le numéro de port du serveur SMTP.
2. Entrez l'adresse de l'expéditeur pour les messages d'alerte par
courrier électronique dans le champ Adresse de l'émetteur du
courrier électronique (De) : .
3. Entrez l'objet du message d'alerte dans le champ Objet du courrier
électronique : . Pour obtenir une liste des paramètres utilisables dans
l'objet du message, reportez-vous au texte d'aide MIB.
Etape 3.
Configuration de la transmission des alertes par
courrier électronique
Le tableau Transmission des alertes permet de configurer la destination
des différents types d'alertes.
CHAPITRE 5
1. Cochez la case Adresse électronique sur la ligne Alerte de sécurité.
La boîte de dialogue Adresses électroniques des destinataires (A)
s'ouvre.
2. Cochez la case Utiliser la même adresse pour tous les produits et
entrez l'adresse électronique dans le champ activé. Si vous souhaitez
envoyer les alertes à plusieurs adresses, séparez-les par des
virgules. Une fois terminé, cliquez sur OK.
3. Cliquez sur
pour enregistrer les données de stratégie.
4. Cliquez sur
pour diffuser la stratégie.
5.10.2 Désactivation des fenêtres indépendantes d'alerte de
F-Secure Client Security
Dans cet exemple, les alertes F-Secure Client Security sont configurées
de sorte qu'aucune fenêtre indépendante ne s'affiche sur l'écran des
utilisateurs.
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Envoi
d'alertes.
3. Désactivez les cases à cocher pour tous les produits dans la colonne
Interface utilisateur locale.
184
185
5.11
4. Cliquez sur
pour enregistrer les données de stratégie.
5. Cliquez sur
pour diffuser la stratégie.
Surveillance des virus sur le réseau
La meilleure façon de vérifier s'il y a des virus sur le réseau est de vérifier
la section Protection antivirus de l'onglet Résumé. Si cette section affiche
de nouvelles infections, vous pouvez accéder à des informations plus
détaillées en cliquant sur le lien Afficher l'état d'infection des hôtes.....
L'onglet Etat et la page Protection antivirus s'affichent, montrant les
détails de l'état d'infection de chaque hôte.
Vous pouvez également examiner les onglets Alertes et Rapports pour
afficher les rapports d'analyse des différents hôtes.
5.12
Test de la protection antivirus
Pour tester le bon fonctionnement de F-Secure Client Security, vous
pouvez utiliser un fichier de test spécial qui est détecté par F-Secure
Client Security comme s'il s'agissait d'un virus. Ce fichier (EICAR
Standard Anti-Virus Test) est également détecté par d'autres programmes
antivirus. Vous pouvez utiliser le fichier EICAR pour tester votre analyse
du courrier électronique. EICAR signifie European Institute of Computer
Anti-virus Research (Institut européen de recherche en matière
d'antivirus informatiques). La page d'informations Eicar se trouve à
l'adresse
http://www.europe.f-secure.com/virus-info/eicar_test_file.shtml
Vous pouvez tester votre protection antivirus comme suit :
1. Vous pouvez télécharger le fichier test EICAR à partir de l'adresse
http://www.europe.f-secure.com/virus-info/eicar_test_file.shtml
Vous pouvez également utiliser un éditeur de texte afin de créer le
fichier. Il ne doit contenir que la ligne suivante :
CHAPITRE 5
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS
-TEST-FILE!$H+H*
2. Enregistrez ce fichier sous n'importe quel nom avec l'extension .com
(par exemple, EICAR.COM). Assurez-vous d'enregistrer le fichier au
format ASCII MS-DOS standard. Notez également que le troisième
caractère de l'extension est un O majuscule et non un 0 (zéro).
3. Vous pouvez maintenant utiliser ce fichier pour voir comment il se
présente lorsque F-Secure Client Security détecte un virus.
Naturellement, ce fichier n'est pas un virus. Lorsqu'il est exécuté sans
protection, EICAR.COM affiche le texte
« EICAR-STANDARD-ANTIVIRUS-TEST-FILE! » et se ferme.
186
6
CONFIGURATION DE LA
PROTECTION INTERNET
Présentation : Objectif de l'utilisation de la protection Internet. 188
Configuration des niveaux et règles de sécurité de la protection
Internet ..................................................................................... 192
Configuration de la quarantaine réseau ................................... 198
Configuration des alertes de règle de la protection Internet..... 200
Configuration du contrôle des applications............................... 204
Utilisation d'alertes pour vérifier le fonctionnement de la protection
Internet ..................................................................................... 213
Configuration de la prévention des intrusions .......................... 214
187
CHAPITRE 6
6.1
188
Présentation : Objectif de l'utilisation de la
protection Internet
La protection Internet protège les ordinateurs contre les accès non
autorisés à partir d'Internet ainsi que contre les attaques provenant de
l'intérieur du réseau. Elle offre une protection contre le vol d'informations,
car elle permet d'empêcher et de détecter les tentatives d'accès non
autorisées. Elle protège également les utilisateurs contre les applications
malveillantes et offre une possibilité de contrôler l'utilisation du réseau et
d'empêcher l'utilisation d'applications gourmandes en bande passante.
Le composant pare-feu intégré dans la protection Internet permet de
restreindre le trafic en fonction des protocoles utilisés. La fonction
Contrôle des applications est conçue pour empêcher les programmes
malveillants d'envoyer des informations concernant l'ordinateur. Elle peut
servir à restreindre davantage le trafic en fonction des applications, des
adresses IP et des ports utilisés. Le système de prévention des intrusions
bloque les paquets malveillants visant ce type de port sur l'hôte.
La protection Internet contient sept niveaux de sécurité prédéfinis, avec
chacun son jeu de règles de pare-feu préconfigurées. Différents niveaux
de sécurité peuvent être affectés à différents utilisateurs selon, par
exemple, la stratégie de sécurité de l'entreprise, la mobilité de l'utilisateur,
l'emplacement et l'expérience de l'utilisateur. Pour obtenir des
explications détaillées sur les différents niveaux de sécurité,
reportez-vous à la section “Niveaux de sécurité globale de pare-feu”, 189.
189
6.1.1
Niveaux de sécurité globale de pare-feu
Les niveaux de sécurité globale de pare-feu qui existent dans la
protection Internet F-Secure sont les suivants :
Quarantaine réseau
Si la fonction Quarantaine réseau est activée,
ce niveau de sécurité est automatiquement
sélectionné lorsque les critères de quarantaine
réseau sur l'hôte sont remplis. Pour plus
d'informations, reportez-vous à la section
“Configuration de la quarantaine réseau”, 198.
Ce niveau de sécurité permet le
téléchargement de mises à jour automatiques
et des connexions à F-Secure Policy Manager
Server.
Bloquer tout
Ce niveau de sécurité bloque tout le trafic
réseau.
Mobile
Ce niveau de sécurité permet une navigation
normale sur le Web et le chargement de
fichiers (HTTP, HTTPS, FTP), ainsi que le trafic
de messagerie électronique et celui des
groupes de discussion Usenet. Les
programmes de cryptage, comme VPN et
SSH, sont également admis. Tout autre trafic
est interdit, et le trafic TCP entrant qui est
bloqué entraîne la génération d'alertes. Des
règles locales peuvent être ajoutées lorsqu'un
antiprogramme provoque une détection.
CHAPITRE 6
Accueil
Ce niveau de sécurité accepte tout le trafic
TCP entrant ainsi que le chargement de
fichiers via FTP. Tout autre trafic est interdit, et
le trafic TCP entrant qui est bloqué entraîne la
génération d'alertes. Des règles locales
peuvent être ajoutées pour autoriser d'autres
fonctionnalités réseau.
Bureau
Ce niveau de sécurité accepte tout le trafic
TCP entrant ainsi que le chargement de
fichiers via FTP. Par défaut, tout autre trafic est
bloqué, et seules les tentatives de connexion
dangereuses entraînent la génération
d'alertes. Des règles locales peuvent être
ajoutées pour autoriser d'autres fonctionnalités
réseau.
Strict
Ce niveau de sécurité permet la navigation sur
le Web sortante, le trafic de messagerie
électronique et celui des groupes de
discussion, les transferts de fichiers FTP et les
mises à jour distantes. Tout autre trafic est
bloqué, et les accès entrants
d'antiprogrammes et les tentatives de
connexion TCP entraînent la génération
d'alertes.
Normal
Ce niveau de sécurité permet tout le trafic
sortant et refuse certains services entrants
précis. Il est toujours possible d'ajouter des
règles via la fonction de contrôle des
applications, de manière à garantir le bon
fonctionnement de la plupart des applications
de réseau.
190
191
Désactivé
6.1.2
Ce niveau de sécurité autorise tout le trafic
réseau, entrant et sortant, et n'entraîne la
génération d'aucune alerte. La création de
règles locales est impossible.
Principes d'élaboration des niveaux de sécurité
Chaque niveau de sécurité possède un ensemble de règles de pare-feu
préconfigurées. En outre, vous pouvez créer de nouvelles règles pour
tous les niveaux de sécurité pour lesquels le Mode de filtrage Normal est
affiché dans la table Niveaux de sécurité du pare-feu. Les règles dans la
table Niveaux de sécurité du pare-feu sont lues de haut en bas.
Lorsque vous créez de nouveaux niveaux de sécurité, gardez à l'esprit le
principe général suivant pour la définition des règles de pare-feu
associées :
„
N'autorisez que les services requis et refusez tous les autres.
Cela réduit les risques en matière de sécurité. Par contre, vous
devez reconfigurer le pare-feu lorsque de nouveaux services sont
requis. Il s'agit malgré tout d'un inconvénient bien minime pour
bénéficier d'une sécurité optimale.
Le concept opposé (refuser les services suspects et autoriser tous les
autres) est inacceptable car personne ne peut dire avec certitude quels
services sont malveillants ou peuvent le devenir ultérieurement lorsqu'un
nouveau problème de sécurité est découvert.
Exemple de niveau de sécurité correct :
1. Règles de refus pour la plupart des services et hôtes malveillants
avec alerte en option.
2. Règles d'autorisation pour les services et les hôtes standard les plus
utilisés.
3. Règles de refus de services spécifiques pour lesquels vous souhaitez
une alerte (par exemple tentatives d'accès d'un cheval de Troie) avec
alerte.
4. Règles d'autorisation plus générales.
CHAPITRE 6
5. Refuser dans tous les autres cas.
6.2
Configuration des niveaux et règles de sécurité
de la protection Internet
Cette section explique comment définir et sélectionner les niveaux de
sécurité en fonction des besoins des utilisateurs. Dans les exemples de
configuration pratiques, on suppose que les hôtes gérés ont été importés
dans la structure du domaine créée au chapitre 4, ce qui signifie que, par
exemple, les portables et ordinateurs de bureau se trouvent dans leur
propre sous-domaine.
Lorsque vous activez un niveau de sécurité donné pour un domaine,
vérifiez que le niveau de sécurité est approprié pour le domaine en
question. Différents domaines peuvent avoir différents niveaux de
sécurité.
IMPORTANT : Lorsque vous changez un niveau de sécurité sur un
hôte, cliquez sur le symbole cadenas en regard du paramètre pour
vous assurer que le nouveau niveau de sécurité sera utilisé.
6.2.1
Sélection d'un niveau de sécurité actif pour un poste de
travail
Dans cet exemple, le niveau de sécurité Bureau est défini comme niveau
de sécurité actif pour les postes de travail dans le sous-domaine
Desktops/Eng..
Pour changer le niveau de sécurité de la protection Internet du
sous-domaine Desktops/Eng., procédez comme suit :
1. Sélectionnez le sous-domaine Desktops/Eng. dans l'onglet Domaines
de stratégie.
2. Sélectionnez l'onglet Paramètres et sélectionnez la fenêtre Niveaux
de sécurité du pare-feu. Le niveau de sécurité par défaut
actuellement inclus dans la stratégie apparaît dans la liste déroulante
Niveau de sécurité de protection Internet sur l'hôte.
192
193
3. Sélectionnez le niveau de sécurité Bureau dans la liste déroulante
Niveau de sécurité de protection Internet sur l'hôte.
4. Pour empêcher les utilisateurs de changer ces paramètres, cliquez
sur le symbole cadenas correspondant.
5. Cliquez sur
pour enregistrer les données de stratégie.
6. Cliquez sur
pour diffuser la stratégie.
Vous pouvez vérifier que le nouveau changement de niveau de sécurité
est devenu effectif en accédant à l'onglet Etat et en sélectionnant la
fenêtre Protection globale.
Si le niveau de sécurité sélectionné ne peut pas être utilisé pour
une raison quelconque, celui par défaut est utilisé à la place. Le
niveau de sécurité par défaut actuel est indiqué dans la table
Niveaux de sécurité globale de la page Niveaux de sécurité du
pare-feu.
6.2.2
Configuration d'un niveau de sécurité par défaut pour
les hôtes gérés
Le niveau de sécurité par défaut est un paramètre global et s'utilise
uniquement si celui sélectionné par ailleurs est désactivé.
Dans cet exemple, le niveau de sécurité Bureau est configuré comme
niveau par défaut pour tous les hôtes du domaine.
1. Sélectionnez le domaine Laptops/Eng. dans l'onglet Domaines de
stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Niveaux de
sécurité du pare-feu.
3. Dans la table Niveaux de sécurité du pare-feu, activez la case
d'option Par défaut sur la ligne Bureau.
CHAPITRE 6
4. Policy Manager vous invite à confirmer le changement de niveau de
sécurité pour tous les hôtes gérés. Cliquez sur OK.
6.2.3
5. Cliquez sur
pour enregistrer les données de stratégie.
6. Cliquez sur
pour diffuser la stratégie.
Ajout d'un nouveau niveau de sécurité pour un domaine
particulier
Dans cet exemple, un nouveau niveau de sécurité est créé avec deux
règles associées. Le nouveau niveau de sécurité est ajouté pour un
sous-domaine uniquement et les hôtes sont contraints à utiliser ce
nouveau niveau. Le sous-domaine en question contient des ordinateurs
utilisés uniquement pour la navigation sur Internet et qui ne sont pas
connectés au réseau de l'entreprise.
Pour ajouter un nouveau niveau de sécurité à affecter à un domaine
particulier, vous devez d'abord désactiver ce niveau de sécurité au niveau
racine, puis le réactiver au niveau inférieur approprié. La procédure est la
suivante :
Etape 1.
Création d'un niveau de sécurité
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Niveaux de
sécurité du pare-feu.
3. Cliquez sur Ajouter pour ajouter un nouveau niveau de sécurité. La
boîte de dialogue Niveau de sécurité - Description s'ouvre.
194
195
4. Entrez le nom à donner au nouveau niveau de sécurité, par exemple
Navigation. Vous pouvez également inclure une description dans la
zone de texte Description : . Cliquez sur Terminer.
Etape 2.
5. Cliquez sur
pour enregistrer les données de stratégie.
6. Cliquez sur
pour diffuser la stratégie.
Création de règles pour le nouveau niveau de
sécurité
Les options disponibles dans l'Assistant Règle utilisé dans cette
étape sont expliquées plus en détail dans la section “Ajout d'une
nouvelle règle de la protection Internet avec alerte”, 200.
Les règles associées au nouveau niveau de sécurité sont créées comme
suit :
1. Accédez à la page Règles de pare-feu.
2. Sélectionnez le niveau de sécurité de la protection Internet
Navigation que vous venez de créer. La table Règles de pare-feu est
vide lorsque ce niveau de sécurité est sélectionné, parce qu'il n'y a
pas encore de règles associées.
3. Cliquez sur Ajouter avant pour ajouter en début de liste une règle
autorisant le trafic HTTP sortant. La fenêtre Assistant Règles de
pare-feu s'ouvre.
4. Dans la fenêtre Type de règle, sélectionnez Autoriser.
5. Dans la fenêtre Hôtes distants, sélectionnez Tout hôte distant pour
appliquer la règle à toutes les connexions Internet.
6. Dans la fenêtre Services, sélectionnez :
„
HTTP dans la colonne Service pour appliquer la règle au trafic
HTTP ;
„
=> dans la colonne Direction pour appliquer la règle aux
connexions sortantes uniquement.
7. Dans la fenêtre Paramètres avancés, vous pouvez accepter les
valeurs par défaut.
CHAPITRE 6
196
8. Vérifiez la nouvelle règle dans la fenêtre Résumé. Vous pouvez
également ajouter un commentaire décrivant la règle, par exemple
« Autorisation du trafic HTTP sortant pour la navigation. ». Cliquez
sur Terminer.
9. Cliquez sur Ajouter après pour ajouter en fin de liste une règle
interdisant tout autre trafic dans les deux sens.
10. Dans la fenêtre Type de règle, sélectionnez Refuser.
11. Dans la fenêtre Hôtes distants, sélectionnez Tout hôte distant pour
appliquer la règle à toutes les connexions.
12. Dans la fenêtre Services, sélectionnez :
„
Tout le trafic dans la colonne Service pour appliquer la règle à
tout le trafic ;
„
Les deux dans la colonne Direction pour appliquer la règle aux
connexions entrantes et sortantes.
13. Dans la fenêtre Paramètres avancés, vous pouvez accepter les
valeurs par défaut.
14. Vérifiez la nouvelle règle dans la fenêtre Résumé. Vous pouvez
également ajouter un commentaire décrivant la règle. Par exemple,
« Refuser le reste ». Cliquez sur Terminer.
Etape 3.
Mise en application du nouveau niveau de sécurité
Pour mettre en application le nouveau niveau de sécurité dans le ou les
sous-domaines sélectionnés uniquement, vous devez commencer par le
désactiver au niveau Racine avant de l'activer à un niveau inférieur de la
hiérarchie des domaines de stratégie. La procédure est la suivante :
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Accédez à la page Niveaux de sécurité du pare-feu.
3. Désactivez le niveau de sécurité Navigation en désactivant la case
Activé correspondante dans la table Niveaux de sécurité du pare-feu.
4. Sélectionnez le sous-domaine dans lequel utiliser ce niveau de
sécurité dans l'onglet Domaines de stratégie.
5. Activez le niveau de sécurité Navigation en cochant la case Activé
correspondante dans la table Niveaux de sécurité du pare-feu.
197
6. Sélectionnez le nouveau niveau de sécurité comme niveau de
sécurité actif en le sélectionnant dans la liste déroulante Niveau de
sécurité de protection Internet sur l'hôte.
7. Cliquez sur
pour enregistrer les données de stratégie.
8. Cliquez sur
pour diffuser la stratégie.
CHAPITRE 6
6.3
Configuration de la quarantaine réseau
La quarantaine réseau est une fonction de protection Internet permettant
de restreindre l'accès au réseau des hôtes ayant d'anciennes définitions
de virus et/ou pour lesquels l'analyse en temps réel est désactivée. Leurs
droits d'accès normaux sont automatiquement rétablis après la mise à
jour des définitions de virus et/ou dès que l'analyse en temps réel est
réactivée.
Cette section décrit les paramètres de quarantaine réseau et contient un
exemple indiquant comment activer la fonction quarantaine réseau dans
le domaine géré. Une courte description précise également comment
configurer le niveau de sécurité Quarantaine réseau en ajoutant de
nouvelles règles de pare-feu (reportez-vous à la section “Réglage de la
quarantaine réseau”, 199).
6.3.1
Paramètres de quarantaine réseau
Les paramètres de quarantaine réseau se trouvent dans la page Niveaux
de sécurité du pare-feu. Dans la section Quarantaine réseau, vous
pouvez :
6.3.2
„
Activer ou de désactiver la quarantaine réseau.
„
Spécifiez les définitions de virus qui activent la quarantaine
réseau.
„
Spécifier si la désactivation de l'analyse en temps réel sur un
hôte active la quarantaine réseau.
Activation de la quarantaine réseau à l'échelle du
domaine
Pour activer la quarantaine réseau dans l'ensemble du domaine,
procédez comme suit :
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Niveaux de
sécurité du pare-feu.
198
199
3. Sélectionnez Activer la quarantaine réseau.
4. Spécifiez l'Age des définitions de virus pour activer la quarantaine
réseau.
5. Si vous souhaitez empêcher l'hôte d'accéder au réseau lorsque
l'analyse en temps réel est désactivée, sélectionnez Activer la
quarantaine réseau sur l'hôte si l'analyse en temps réel est
désactivée.
6.3.3
6. Cliquez sur
pour enregistrer les données de stratégie.
7. Cliquez sur
pour diffuser la stratégie.
Réglage de la quarantaine réseau
La quarantaine réseau est mise en œuvre en forçant les hôtes au niveau
de sécurité Quarantaine réseau, qui a un ensemble restreint de règles de
pare-feu. Vous pouvez ajouter de nouvelles règles Autoriser aux règles
de pare-feu dans le niveau de sécurité Quarantaine réseau pour autoriser
un accès réseau supplémentaire aux hôtes en quarantaine réseau. Vous
ne devriez pas imposer des restrictions d'accès supplémentaires car des
hôtes risqueraient ainsi de perdre la connectivité réseau.
CHAPITRE 6
6.4
Configuration des alertes de règle de la protection
Internet
Les alertes de règle de la protection Internet peuvent être utilisées pour
obtenir des notifications si certains types d'antiprogrammes tentent
d'accéder aux ordinateurs. Il est possible d'émettre une alerte chaque fois
qu'une règle est mise en action ou que des datagrammes interdits sont
reçus, ce qui permet de visualiser plus facilement le type de trafic
circulant sur le système.
Pour obtenir des alertes adéquates, le niveau de sécurité doit avoir la
« granularité » appropriée, c'est-à-dire disposer d'une règle pour chaque
type d'alerte souhaité. Concevoir des alertes à partir de règles
« élargies » génère de nombreuses alertes, d'où le risque de perdre des
informations stratégiques au milieu des nombreuses données sans
importance.
6.4.1
Ajout d'une nouvelle règle de la protection Internet avec
alerte
Dans cet exemple, une règle Refuser avec alerte est créée pour le trafic
ICMP sortant pour un sous-domaine particulier. Lorsque quelqu'un tente
d'envoyer une commande ping à l'ordinateur, une alerte est émise. A la
fin de cet exemple, la règle est testée en envoyant une commande ping à
l'un des ordinateurs du sous-domaine.
Cet exemple décrit également les différentes sélections que vous pouvez
effectuer lors de la création de nouvelles règles avec l'Assistant Règles
de pare-feu.
Etape 1.
1. Sélectionnez le sous-domaine pour lequel créer la règle dans l'onglet
Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Règles de
pare-feu.
200
201
3. Sélectionnez le niveau de sécurité de la protection Internet pour
lequel ajouter la nouvelle règle dans le menu déroulant Niveau de
sécurité de protection Internet en cours de modification. Toutes les
règles définies pour ce niveau de sécurité de la protection Internet
sont maintenant affichées dans la table.
4. Cliquez sur Ajouter avant pour ajouter la nouvelle règle en début de
liste. La fenêtre Assistant Règles de pare-feu s'ouvre.
Etape 2.
Type de règle
Sélectionnez Refuser pour refuser les connexions ICMP entrantes.
Etape 3.
Spécification des hôtes concernés
Choisissez si cette règle s'applique à toutes les connexions ou
uniquement aux connexions sélectionnées.
Vous pouvez au choix :
„
Cocher la case Tout hôte distant pour appliquer la règle à toutes
les connexions Internet.
„
Cocher la case Tous les hôtes sur les réseaux connectés
localement pour appliquer la règle à toutes les connexions
provenant du réseau local.
„
Cocher la case Hôtes distants spécifiés pour appliquer la règle à
une adresse IP, une plage d'adresses IP ou des adresses DNS.
Lorsque cette option est sélectionnée, vous pouvez spécifier les
adresses dans le champ de texte situé en dessous. Si vous
souhaitez spécifier plusieurs adresses ou des plages d'adresses,
séparez-les par des espaces.
Pour cette règle, sélectionnez Tout hôte distant.
Etape 4.
Choix du service refusé et de la direction de la règle
Dans la liste des services disponibles, sélectionnez le service auquel
cette règle s'appliquera. Si vous voulez que la règle s'applique à tous les
services, sélectionnez Tous en haut de la liste.
Vous pouvez sélectionner autant de services individuels que vous le
souhaitez dans cette fenêtre.
CHAPITRE 6
Pour les services choisis, sélectionnez la direction dans laquelle
s'applique la règle en cliquant sur la flèche dans la colonne Direction.
Continuez à cliquer pour faire défiler les options disponibles. Pour obtenir
des exemples, consultez le tableau ci-dessous.
Direction
Explication
<=>
Le service sera autorisé/refusé dans les deux
directions, qu'il provienne de votre ordinateur
ou qu'il s'y dirige.
<=
Le service sera autorisé/refusé s'il provient
des hôtes distants ou réseaux définis en
direction de votre ordinateur.
=>
Le service sera autorisé/refusé s'il provient de
votre ordinateur en direction des hôtes
distants ou réseaux définis.
Pour cette règle, sélectionnez :
Etape 5.
„
ICMP dans la liste déroulante Service.
„
<= dans la colonne Direction.
Définition des options avancées
1. Précisez si la règle s'applique uniquement lorsqu'une liaison à
distance est ouverte en activant ou en désactivant la case à cocher.
2. Sélectionnez le type d'alerte dans la liste déroulante Envoyer une
alerte. Pour cette règle, sélectionnez Alerte de sécurité.
3. Sélectionnez l'interruption d'alerte à envoyer dans la liste déroulante
Interruption d'alerte. Pour cette règle, sélectionnez Evénement
réseau : service entrant refusé.
4. Entrez un commentaire décrivant l'alerte dans le champ
Commentaire d'alerte . Ce commentaire s'affiche dans l'interface
locale de F-Secure Client Security.
5. Vous pouvez accepter les valeurs par défaut pour le reste des
champs de cette fenêtre.
202
203
Etape 6.
Vérification et acceptation de la règle
Vous pouvez maintenant vérifier la règle.
Vous pouvez également ajouter un commentaire décrivant la règle pour
vous aider à comprendre la fonction de la règle lorsqu'elle est affichée
dans la table Règles de pare-feu.
Si vous devez apporter un changement quelconque à la règle, cliquez sur
Précédent dans la règle.
Si vous êtes satisfait de la nouvelle règle, cliquez sur Terminer. La
nouvelle règle est ajoutée en haut de la liste des règles actives sur la
page Règles de pare-feu.
Etape 7.
Configuration de la transmission des alertes
1. Accédez à l'onglet Paramètres et sélectionnez la fenêtre Envoi
d'alertes.
2. Dans la sectionTransmission des alertes, assurez-vous que les
alertes de sécurité sont transmises à Policy Manager Console. Au
besoin, cochez la case Alerte de sécurité dans la colonne Policy
Manager Console.
Pour plus d'informations sur la configuration de la transmission des
alertes, reportez-vous au Guide de l'administrateur de FSecure Policy
Manager.
Etape 8.
Mise en application de la nouvelle règle
1. Assurez-vous que le sous-domaine correct est sélectionné dans
l'onglet Domaines de stratégie.
2. Sélectionnez la page Niveaux de sécurité du pare-feu dans l'onglet
Paramètres.
3. Définissez le niveau de sécurité pour lequel vous avez créé la règle
comme niveau de sécurité actif en le sélectionnant dans la liste
déroulante Niveau de sécurité de protection Internet sur l'hôte.
4. Cliquez sur
pour enregistrer les données de stratégie.
5. Cliquez sur
pour diffuser la stratégie.
CHAPITRE 6
Etape 9.
Test de la règle créée
Vous pouvez tester la règle que vous venez de créer en envoyant une
commande ping à l'un des hôtes gérés dans le sous-domaine à partir d'un
ordinateur situé en dehors de ce domaine. Cela fait, vous pouvez vérifier
que la règle fonctionne comme suit :
1. Sélectionnez le sous-domaine pour lequel vous avez créé la règle
dans l'onglet Domaines de stratégie.
2. Activez l'onglet Résumé et vérifiez si de nouvelles alertes de sécurité
sont affichées pour le domaine.
3. Pour afficher les détails des alertes, cliquez sur Afficher les alertes
par gravité. L'onglet Alertes s'affiche, présentant une liste détaillée
des alertes de sécurité.
6.5
Configuration du contrôle des applications
Le contrôle des applications permet une navigation en toute sécurité et
constitue une excellente défense contre les programmes malveillants.
C'est également un excellent outil pour éradiquer les chevaux de Troie
(pour une définition de ce terme et d'autres, consultez le “Glossaire”, 318)
et autres antiprogrammes réseau étant donné qu'il ne leur permet pas de
transmettre des informations sur le réseau.
Des règles de contrôle des applications peuvent être utilisées afin de
définir des restrictions plus spécifiques quant au trafic sur le réseau, en
plus des restrictions définies dans les règles de pare-feu. Les
autorisations au niveau des applications ne peuvent pas servir à autoriser
un trafic refusé par des règles de pare-feu statiques. Cependant, si vous
avez autorisé certains trafics réseau dans les règles statiques, vous
pouvez utiliser le contrôle des applications pour déterminer si une
application peut être autorisée à tirer profit de ces règles ou non. En
d'autres termes, vous pouvez créer une règle qui autorise le trafic et
limiter l'utilisation de cette règle à l'aide du contrôle des applications.
Lorsque le contrôle des applications est centralisé, l'administrateur peut
décider quels programmes accédant au réseau peuvent être utilisés sur
les postes de travail. Il est ainsi possible d'empêcher l'utilisation de
204
205
programmes qui vont à l'encontre de la stratégie de sécurité de
l'entreprise et de surveiller les programmes que les utilisateurs finaux
utilisent réellement.
Le principe fondamental lors de la configuration du contrôle des
applications est d'autoriser les applications nécessaires et de refuser les
autres.
De quelle façon le contrôle des applications et le contrôle du
système fonctionnent-ils ensemble ?
Lorsque le contrôle des applications détecte une tentative de connexion
sortante et qu’il est configuré pour inviter l’utilisateur à choisir si la
connexion est autorisée ou refusée, vous pouvez configurer le contrôle
des applications pour qu'il vérifie à partir du contrôle du système si la
connexion doit être autorisée ou non. Ceci réduit le nombre de fenêtres
indépendantes du contrôle des applications.
Exemple :
1. S’il y a une règle pour l’application qui tente d'ouvrir une connexion
sortante dans le tableau Règles d'application pour les applications
connues, le contrôle des applications autorise ou refuse la tentative
de connexion en fonction de cette règle.
2. S’il n’y a pas de règle pour l’application dans le tableau Règles
d'application pour les applications connues, le contrôle des
applications autorise ou refuse la tentative de connexion en fonction
de la liste Action par défaut pour les applications clientes
actuellement définie.
3. Si l'action définie par défaut est Inviter l'utilisateur à choisir et que le
paramètre Ne pas inviter pour les applications identifiées par le
contrôle du système est activé, le contrôle des applications vérifie à
partir du contrôle du système que la connexion sortante est autorisée.
Si le contrôle du système identifie maintenant l’application,
l’utilisateur final n’est pas invité à choisir et la connexion sortante est
autorisée.
4. Si le contrôle du système n’a pas identifié l’application, l’utilisateur est
invité à choisir si la connexion est autorisée ou refusée.
CHAPITRE 6
6.5.1
Paramètres de configuration du contrôle des
applications
La page Contrôle des applications contient les informations suivantes :
Règles d'application pour les applications connues
Application
Affiche le nom du fichier exécutable.
Faire office de client
(sortant)
Les actions possibles sont les suivantes :
Refuser, Autoriser, Décision utilisateur. Pour
obtenir des explications, voir plus bas.
Faire office de
serveur (entrant)
Les actions possibles sont les suivantes :
Refuser, Autoriser, Décision utilisateur. Pour
obtenir des explications, voir plus bas.
Description
Affiche la description interne du programme
exécutable, généralement le nom de
l'application. Vous pouvez également modifier
cette description.
Message
Affiche le message éventuellement associé à la
règle lors de sa création.
Editeur
Affiche l'éditeur de l'application.
Mises à jour
Affiche la description interne relative à la version
du programme exécutable.
Applications inconnues rapportées par les hôtes
Pour les applications inconnues, les informations affichées sont les
mêmes que pour les applications connues (voir ci-dessus), si ce n'est que
les applications inconnues n'ont pas encore de règles définies ni de
messages associés.
206
207
Vous pouvez déterminer ce qui se passe lorsque l'application essaie de
se connecter au réseau à l'aide des sélections Action par défaut pour les
applications clientes et Action par défaut pour les applications serveur.
Vous avez le choix entre les actions suivantes :
Action
Refuser
Refuse toutes les connexions de l'application au
réseau.
Autoriser
Autorise toutes les connexions de l'application
au réseau.
Décision utilisateur
L'utilisateur est invité à décider de ce qu'il doit
faire chaque fois que l'application se connecte
au réseau.
Si vous souhaitez laisser les utilisateurs finaux décider du choix à faire
lors des invites de connexion sortante, vous pouvez réduire le nombre de
fenêtres indépendantes qu'ils voient en sélectionnant le paramètre Ne
pas inviter pour les applications que le contrôle du système a identifiées .
Le contrôle des applications ne restreint pas les plug-ins dans des
navigateurs tels que Netscape ou Microsoft Internet Explorer. Tous les
plug-ins ont les mêmes capacités que le navigateur lui-même.
Cependant, conseillez aux utilisateurs finals de n'installer que les plug-ins
approuvés.
6.5.2
Première configuration du contrôle des applications
Lorsque vous configurez le contrôle des applications pour la première
fois, utilisez un petit environnement de test pour créer la liste des
applications autorisées, dans laquelle vous placez les applications
standard utilisées dans l'entreprise. Cette liste est distribuée à l'ensemble
du domaine géré dans le cadre d'une stratégie. La procédure est la
suivante :
CHAPITRE 6
Etape 1.
Création d'une liste d'applications connues
1. Créez un environnement de test avec, par exemple, deux ordinateurs
où tournent les programmes normalement utilisés dans votre
entreprise.
2. Importez ces hôtes dans le domaine géré de manière centralisée.
3. Sélectionnez Rapport dans la liste déroulante Envoyer des
notifications pour les nouvelles applications, de sorte que les
nouvelles applications apparaissent dans la liste Applications
inconnues rapportées par les hôtes.
4. Définissez les règles d'autorisation pour ces applications. Pour plus
d'informations, reportez-vous à la section “Création d'une règle pour
une application inconnue au niveau racine”, 209.
5. Une fois que vous avez des règles pour toutes les applications
nécessaires, ce jeu de règles peut être distribué comme stratégie à
l'ensemble du domaine géré.
Etape 2.
Configuration des paramètres de base du contrôle
des applications
Configurez ensuite les paramètres de base qui seront utilisés lors de
l'exécution du contrôle des applications.
1. Dans la liste déroulante Action par défaut pour les applications
clientes, sélectionnez l'action par défaut à exécuter lorsqu'une
application inconnue tente d'établir une connexion sortante.
2. Dans la liste déroulante Action par défaut pour les applications
serveur, sélectionnez l'action par défaut à exécuter lorsqu'une
application inconnue tente d'établir une connexion entrante.
3. Spécifiez que les nouvelles applications doivent être signalées à
l'administrateur en cochant la case Répertorier les nouvelles
applications inconnues. De cette manière, vous pouvez voir quels
types d'applications les utilisateurs tentent de lancer et, au besoin,
définir de nouvelles règles les concernant.
208
209
4. Spécifiez si les messages par défaut sont affichés sur l'écran des
utilisateurs lorsqu'une application inconnue tente d'établir une
connexion entrante ou sortante en sélectionnant ou en
désélectionnant la case Afficher les messages par défaut pour les
applications inconnues.
Etape 3.
Vérification et mise en application des paramètres
Le contrôle des applications peut être activé pour l'ensemble du domaine
comme suit :
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Sélectionnez la page Niveaux de sécurité du pare-feu dans l'onglet
Paramètres et assurez-vous que la case Activer le contrôle des
applications est cochée.
6.5.3
3. Cliquez sur
pour enregistrer les données de stratégie.
4. Cliquez sur
pour diffuser la stratégie.
Création d'une règle pour une application inconnue au
niveau racine
Dans cet exemple, vous allez créer une règle pour refuser l'utilisation
d'Internet Explorer 4. On suppose ici que cette application apparaît déjà
dans la liste Applications inconnues rapportées par les hôtes.
Etape 1.
Sélection des applications sur lesquelles porte la
règle
1. Accédez à l'onglet Paramètres et sélectionnez la page Contrôle des
applications.
2. Sélectionnez Internet Explorer 4.01 dans la table Applications
inconnues rapportées par les hôtes.
3. Cliquez sur Créer une ou plusieurs règles pour lancer l'Assistant de
règle de contrôle des applications.
CHAPITRE 6
Etape 2.
Sélection du type de règle d'application
1. Sélectionnez Refuser comme action à exécuter lorsque l'application
fait office de client et tente d'établir une connexion sortante.
2. Sélectionnez Refuser comme action à exécuter lorsque l'application
fait office de serveur et tente d'établir une connexion entrante.
Etape 3.
Sélection du message affiché aux utilisateurs
1. Indiquez si un message est affiché aux utilisateurs en cas de
tentative de connexion. Les options sont : Aucun message, Message
par défaut ou Message personnalisé.
„
Si vous avez choisi d'afficher le message par défaut, vous
pouvez vérifier les messages par défaut actuellement définis en
cliquant sur Définir des messages par défaut....
2. Si vous avez choisi Message personnalisé, la zone de texte du
message personnalisé s'active et vous pouvez taper le message de
votre choix.
„
Etape 4.
Vous pouvez dans ce cas utiliser un message personnalisé tel
que : “L'utilisation d'Internet Explorer 4 est interdite par la
stratégie de sécurité de l'entreprise. Utilisez un autre navigateur à
la place. »
Sélection de la cible de la règle
1. Sélectionnez le domaine ou l'hôte concerné par la règle parmi les
domaines et hôtes affichés dans la fenêtre.
„
Si l'hôte ou le domaine de destination a déjà une règle pour une
des applications affectées par la nouvelle règle, vous êtes invité à
confirmer si vous voulez continuer et écraser la règle existante
pour cet hôte.
„
Dans cet exemple, sélectionnez Racine.
2. Lorsque la règle est prête, cliquez sur Terminer. La nouvelle règle
s'affiche maintenant dans la table Règles d'application pour les
applications connues. La table Applications inconnues rapportées par
les hôtes a été actualisée.
210
211
Etape 5.
6.5.4
Mise en application de la nouvelle règle
1. Cliquez sur
pour enregistrer les données de stratégie.
2. Cliquez sur
pour diffuser la stratégie.
Modification d'une règle de contrôle des applications
existante
Dans cet exemple, la règle créée plus haut est modifiée pour permettre
l'utilisation temporaire d'Internet Explorer 4 à des fins de test dans un
sous-domaine appelé Ingénierie/Test.
Etape 1.
Sélection de la règle à modifier
1. Accédez à l'onglet Paramètres et sélectionnez la page Contrôle des
applications.
2. Sélectionnez la règle à modifier dans la table Règles d'application
pour les applications connues.
3. Cliquez sur Modifier pour lancer l'Assistant Règles de contrôle des
applications.
Etape 2.
Modification du type de règle d'application
1. Sélectionnez l'action à exécuter lorsque l'application fait office de
client et tente d'établir une connexion sortante. En l'occurrence,
sélectionnez Autoriser pour Faire office de client (sortant).
2. Sélectionnez l'action à exécuter lorsque l'application fait office de
serveur et tente d'établir une connexion entrante.
Etape 3.
Sélection du message affiché aux utilisateurs
Indiquez si un message est affiché aux utilisateurs en cas de tentative de
connexion.
CHAPITRE 6
Etape 4.
Sélection de la nouvelle cible de la règle
1. Sélectionnez le domaine ou l'hôte sur lequel porte la règle. Dans ce
cas, sélectionnez Ingénierie/Test.
„
Si l'hôte ou le domaine de destination dispose déjà d'une règle
pour une des applications affectées par la nouvelle règle, vous
êtes invité à confirmer si vous voulez continuer et écraser la règle
existante pour cet hôte.
2. Lorsque la règle est prête, cliquez sur Terminer. La règle modifiée
s'affiche maintenant dans la table Règles d'application pour les
applications connues. Il s'agit d'une copie de la règle d'origine, avec
les modifications que vous venez d'effectuer.
Etape 5.
6.5.5
Mise en application de la nouvelle règle
1. Cliquez sur
pour enregistrer les données de stratégie.
2. Cliquez sur
pour diffuser la stratégie.
Désactivation des fenêtres contextuelles de contrôle
des applications
Si vous souhaitez que le contrôle des applications soit entièrement
transparent vis-à-vis des utilisateurs finaux, vous devez désactiver toutes
les fenêtres contextuelles. La procédure est la suivante :
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Contrôle des
applications. Sur cette page, sélectionnez :
„
Autoriser dans la liste déroulante Action par défaut pour les
applications serveur.
„
Autoriser dans la liste déroulante Action par défaut pour les
applications clientes.
212
213
3. Lorsque vous créez des règles de contrôle des applications avec
l'Assistant Règles de contrôle des applications, sélectionnez :
„
Autoriser ou Refuser comme action en cas de tentative de
connexion entrante et sortante dans la boîte de dialogue Type de
règle d'application.
„
Aucun message dans la boîte de dialogue Message affiché pour
les utilisateurs.
4. Une fois ces modifications effectuées, enregistrez les données de
stratégie et distribuez la stratégie de manière à mettre en application
la nouvelle configuration.
6.6
Utilisation d'alertes pour vérifier le fonctionnement
de la protection Internet
Dans des conditions normales, vous ne devriez recevoir aucune alerte de
la protection Internet. Si, brusquement, vous commencez à recevoir de
nombreuses alertes, cela signifie qu'il y a soit une erreur de configuration,
soit un problème.
Lorsque vous configurez les alertes, rappelez-vous que vous devriez
avoir une règle par type d'alerte voulu. Concevoir des alertes à partir de
règles « élargies » génère de nombreuses alertes, d'où le risque de
perdre des informations stratégiques au milieu des nombreuses alertes
sans importance.
Vous pouvez également créer des règles spéciales que vous pouvez
utiliser pour tester le fonctionnement de la protection Internet. Cet
exemple crée une règle autorisant l'utilisation de commandes ping. Si
cette règle comprend une option d'alerte, elle peut être utilisée afin de
tester le fonctionnement du système d'alerte.
1. Accédez à l'onglet Paramètres et sélectionnez la page Règles de
pare-feu.
2. Sélectionnez le niveau de sécurité à utiliser à des fins de test.
3. Pour démarrer la création de la nouvelle règle, cliquez sur Ajouter
avant. L'Assistant Règle de pare-feu démarre.
CHAPITRE 6
4. Dans la fenêtre Type de règle, sélectionnez Autoriser.
5. Dans la fenêtre Hôtes distants, sélectionnez Tout hôte distant.
6. Dans la fenêtre Services, sélectionnez Ping dans la liste déroulante
Service et Les deux dans la liste déroulante Directions.
7. Dans la fenêtre Options avancées, sélectionnez les options
suivantes :
„
Alerte de sécurité dans la liste déroulante Envoyer une alerte.
„
Evénement réseau : service potentiellement dangereux autorisé
dans la liste déroulante Interruption d'alerte.
„
Vous pouvez aussi entrer un commentaire décrivant l'alerte dans
le champ Commentaire sur l'alerte.
8. Dans la fenêtre Résumé, vous pouvez vérifier que la règle est
correcte et entrer un commentaire décrivant la règle.
9. Cliquez sur
pour enregistrer les données de stratégie.
10. Cliquez sur
pour diffuser la stratégie.
11. Vous pouvez maintenant tester la règle en envoyant une commande
ping à l'un des hôtes gérés et en vérifiant qu'une alerte est créée et
affichée dans l'onglet Alertes.
6.7
Configuration de la prévention des intrusions
La prévention des intrusions surveille le trafic entrant et tente de détecter
d'éventuelles tentatives d'intrusion. Il peut aussi être utilisé pour surveiller
les virus qui tentent de s'attaquer aux ordinateurs du réseau local. La
prévention des intrusions analyse la charge (le contenu) et les données
d'en-tête des paquets IP et les compare aux schémas d'attaque connus.
Si les informations sont identiques ou similaires à l'un des schémas
d'attaque connus, la prévention des intrusions de détection des intrusions
crée une alerte et exécute l'action prévue lors de sa configuration.
214
215
6.7.1
Paramètres de configuration de la prévention des
intrusions
Les paramètres de configuration de la prévention des intrusions se
trouvent dans la section Prévention des intrusions de la page Niveaux de
sécurité du pare-feu.
Activer la prévention des intrusions
„
Si cette option est activée, la prévention des intrusions est
utilisée pour surveiller le trafic entrant et détecter d'éventuelles
tentatives d'intrusion. Dans le cas contraire, la prévention des
intrusions ne surveille pas le trafic.
Action en cas de paquet dangereux
„
Options disponibles :
„
Consigner et supprimer le paquet signifie que le paquet est
consigné dans le journal d'alertes avec ses données
d'en-tête (adresses IP, ports et protocole) et n'est pas
autorisé à franchir le composant de prévention des
intrusions.
„
Consigner sans supprimer le paquet signifie que le paquet
est consigné dans le journal d'alertes avec ses données
d'en-tête (adresses IP, ports et protocole), mais est autorisé à
franchir le composant de prévention des intrusions.
Gravité de l'alerte
„
Options disponibles : Pas d'alerte, Informations, Avertissement,
Alerte de sécurité.
„
Différentes gravités peuvent être associées aux tentatives
d'intrusion selon la façon dont l'administrateur ou l'utilisateur local
souhaite voir les messages.
CHAPITRE 6
Sensibilité de la détection
„
Ce paramètre a deux fonctions : il réduit le nombre d'alertes et a
une incidence sur les performances de l'ordinateur local.
„
En utilisant une petite valeur, vous réduisez le nombre de fausses
alertes.
„
10 = performances maximales du réseau, alertes minimales
„
50 = seuls 50 % (les plus importants et les plus malveillants)
des schémas IPS sont vérifiés et signalés en cas de
correspondance.
„
100 = tous les schémas préprogrammés sont vérifiés et
signalés en cas de correspondance.
„
Plus le nombre est petit, moins il y a de schémas vérifiés.
„
La valeur recommandée pour les utilisateurs privés est
100 %.
„
La valeur recommandée pour les ordinateurs de bureau est
25 %.
Qu'est-ce qu'une fausse alerte ?
Une fausse alerte est une alerte qui indique à tort que l'événement
correspondant s'est produit. Dans la protection F-Secure Client Security,
le texte de l'alerte l'indique généralement avec des mots tels que
« probable » ou « possible ». Les alertes de ce type devraient être
éliminées ou minimisées.
216
217
6.7.2
Configuration d'IPS pour les ordinateurs de bureau et
les portables
Dans cet exemple, l'IPS est activé pour tous les ordinateurs de bureau et
portables dans deux sous-domaines. On suppose que les ordinateurs de
bureau et les portables sont placés dans leurs propres sous-domaines,
Desktops/Eng et Laptops/Eng. On suppose que les ordinateurs de
bureau sont également protégés par le pare-feu de l'entreprise, si bien
que le niveau de performances d'alerte correspondant est moins élevé.
Les portables sont régulièrement connectés à des réseaux qui ne
peuvent pas être considérés comme sûrs, de sorte que le niveau de
performances d'alerte sélectionné est plus élevé.
Etape 1.
Configuration d'IPS pour les ordinateurs de bureau
1. Sélectionnez le sous-domaine Desktops/Eng dans l'onglet Domaines
de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Niveaux de
sécurité du pare-feu.
3. Cochez la case Activer la prévention des intrusions.
4. Sélectionnez Consigner sans supprimer le paquet dans la liste
déroulante Action en cas de paquet dangereux .
5. Sélectionnez Avertissement dans la liste déroulante Gravité de
l'alerte .
6. Sélectionnez 25% dans la liste déroulante Sensibilité de la détection .
Etape 2.
Configuration d'IPS pour les portables
1. Sélectionnez le sous-domaine Laptops/Eng. dans l'onglet Domaines
de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Niveaux de
sécurité du pare-feu.
3. Cochez la case Activer la prévention des intrusions.
4. Sélectionnez Consigner sans supprimer le paquet dans la liste
déroulante Action en cas de paquet dangereux .
CHAPITRE 6
5. Sélectionnez Avertissement dans la liste déroulante Gravité de
l'alerte .
6. Sélectionnez 100% dans la liste déroulante Niveau d'alerte et de
performances .
Etape 3.
Mise en application de la prévention des intrusions
1. Cliquez sur
pour enregistrer les données de stratégie.
2. Cliquez sur
pour diffuser la stratégie.
218
7
COMMENT VÉRIFIER QUE
L'ENVIRONNEMENT EST
PROTÉGÉ
Présentation ............................................................................. 220
Vérification de l'état de protection dans l'onglet Attaque .......... 220
Comment vérifier que tous les hôtes utilisent la dernière stratégie .
220
Comment vérifier que le serveur utilise les définitions de virus les
plus récentes ............................................................................ 221
Comment vérifier que les hôtes ont les définitions de virus les plus
récentes.................................................................................... 221
Comment vérifier qu'aucun hôte n'est déconnecté................... 222
Visualisation des rapports d'analyse ........................................ 222
Affichage des alertes ................................................................ 223
Création d'un rapport d'infection hebdomadaire....................... 224
Surveillance d'une attaque réseau potentielle.......................... 225
219
CHAPITRE 7
7.1
Présentation
Cette section contient une liste de vérifications à effectuer pour vous
assurer que l'environnement est protégé.
7.2
Vérification de l'état de protection dans l'onglet
Attaque
L'onglet Attaque fournit une nouvelle méthode pour contrôler si tous les
hôtes dans le domaine géré sont protégés contre les attaques de virus.
L'onglet Attaque constitue un emplacement centralisé où vous pouvez
voir les dernières informations sur les virus F-Secure et vérifier le
pourcentage des hôtes qui sont déjà protégés.
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Attaque. Il affiche une liste d'éléments de
F-Secure Virus News, et indique combien d'hôtes sont protégés
contre chaque virus. Lorsque vous sélectionnez un élément
d'informations, des informations détaillées sur ce virus s'affichent.
3. Dans la section Dernières informations détaillées sur la sécurité, vous
trouverez des informations sur chaque hôte dans le domaine
sélectionné. Vous pouvez également voir si l'hôte est actuellement
déconnecté et à quand remonte sa dernière connexion au serveur.
7.3
Comment vérifier que tous les hôtes utilisent la
dernière stratégie
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Cliquez sur l'onglet Résumé et vérifiez combien d'hôtes, sur
l'ensemble du domaine, ont la stratégie la plus récente.
3. Si aucun hôte ne dispose de la stratégie la plus récente, cliquez sur
Afficher la dernière mise à jour de stratégie des hôtes. L'onglet Etat et
la page Gestion centralisée s'affichent.
220
221
4. Dans la page Gestion centralisée, vous pouvez voir les hôtes qui
n'ont pas la stratégie la plus récente. Vous pouvez également
prendre connaissance des raisons pouvant expliquer cette situation :
par exemple, l'hôte est déconnecté ou a subi une erreur fatale.
7.4
Comment vérifier que le serveur utilise les
définitions de virus les plus récentes
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Cliquez sur l'onglet Résumé et vérifiez si les définitions de virus du
serveur sont les plus récentes ou non.
7.5
Comment vérifier que les hôtes ont les définitions
de virus les plus récentes
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Cliquez sur l'onglet Résumé et vérifiez le contenu de la section
Protection antivirus pour postes de travail en regard de Définitions de
virus.
3. Si les définitions de virus de certains hôtes ne sont plus à jour, vous
avez deux possibilités :
a. Vous pouvez sélectionner l'onglet Etat et consulter la page
Protection globale pour voir les hôtes ne disposant pas des
définitions de virus les plus récentes. Sélectionnez ensuite ces
hôtes sous l'onglet Domaines de stratégie, cliquez sur l'onglet
Opérations, puis sur le bouton Mettre à jour les définitions de
virus. Cette commande enjoint aux hôtes sélectionnés d'aller
chercher immédiatement de nouvelles définitions de virus.
b. Vous pouvez également cliquer sur le lien Mettre à jour les
définitions de virus. L'onglet Opérations s'affiche. Sous l'onglet
Opérations, cliquez sur Mettre à jour les définitions de virus.
Cette commande enjoint à tous les hôtes d'aller chercher
immédiatement de nouvelles définitions de virus.
CHAPITRE 7
7.6
222
Comment vérifier qu'aucun hôte n'est déconnecté
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Cliquez sur l'onglet Résumé et vérifiez le contenu de la section
Domaine en regard de Hôtes déconnectés.
3. Si certains hôtes sont déconnectés, cliquez sur Afficher les hôtes
déconnectés... L'onglet Etat et la page Gestion centralisée s'affichent.
4. Vérifiez les hôtes qui sont déconnectés et les raisons pouvant
expliquer cette situation.
Vous pouvez définir la période au terme de laquelle un hôte est
considéré comme déconnecté. Dans le menu Outils, sélectionnez
Préférences. Sélectionnez ensuite l'onglet Communications dans
la fenêtre Préférences. La section Connexion de l'hôte contient la
durée définie.
7.7
Visualisation des rapports d'analyse
Si vous souhaitez voir le rapport d'analyse de certains hôtes, procédez
comme suit :
1. Sélectionnez les hôtes sous l'onglet Domaines de stratégie.
2. Cliquez sur l'onglet Rapports.
3. Les données d'analyse des hôtes sélectionnés s'affichent dans la
table Rapports.
4. Sélectionnez un hôte en cliquant sur une ligne de la table. Le rapport
d'analyse correspondant de cet hôte s'affiche maintenant dans la vue
du rapport, dans la partie inférieure de la fenêtre.
Pour des instructions sur l'affichage du dernier rapport d'analyse
localement sur un hôte, reportez-vous à la section “Affichage du rapport
d'analyse le plus récent sur un hôte local”, 233.
223
7.8
Affichage des alertes
Les hôtes peuvent émettre des alertes et des rapports en cas de
problème avec un programme ou une opération. Il est bon de vérifier
régulièrement qu'il n'y a pas de nouvelles alertes et d'accuser réception
(et supprimer) les alertes dont vous avez déjà analysé les causes.
Lorsqu'une alerte est reçue, le bouton
s'allume. Pour afficher les
alertes, cliquez sur
. Vous pouvez également cliquer sur Afficher le
résumé des alertes... sous l'onglet Résumé. L'onglet Alertes s'affiche.
Toutes les alertes reçues s'affichent au format suivant :
Accep.
Cliquez sur le bouton Accep. pour accuser
réception d'une alerte. Si vous avez accusé
réception de toutes les alertes, ce bouton
Accep. s'affiche en grisé.
Gravité
Gravité du problème. Une icône est associée
à chaque niveau de gravité :
Info.
Informations de fonctionnement normal
émises par un hôte.
Avertisseme
nt.
Avertissement émanant de l'hôte.
Erreur.
Erreur non fatale survenue sur l'hôte.
Erreur fatale.
Erreur fatale survenue sur l'hôte.
Alerte de
sécurité.
Incident lié à la sécurité survenu sur l'hôte.
Date/Heure
Date et heure de l'alerte.
CHAPITRE 7
Description
Description du problème.
Hôte/
Utilisateur.
Nom de l'hôte/utilisateur.
Produit
Produit F-Secure à l'origine de l'alerte.
Lorsque vous sélectionnez une alerte dans la liste, le volet Affichage de
l'alerte, sous la table des alertes, affiche des informations détaillées sur
celle-ci.
Vous pouvez utiliser le bouton Accep. pour marquer les alertes que vous
avez vues et que vous prévoyez de résoudre.
Le résumé des alertes affiché sous l'onglet Résumé n'est pas
automatiquement actualisé ; vous pouvez cliquer sur
Actualiser le résumé des alertes pour actualiser l'affichage des alertes.
7.9
Création d'un rapport d'infection hebdomadaire
Lorsque vous souhaitez créer un rapport d'infection hebdomadaire (ou
tout autre rapport généré à intervalles réguliers), deux outils s'offrent à
vous :
„
F-Secure Policy Manager Web Reporting, outil Web avec
lequel vous pouvez générer une large variété de rapports
graphiques à partir d'informations d'alertes et d'état de F-Secure
Anti-Virus Client Security. Pour plus d'informations, reportez-vous
au chapitre Web Reporting du Guide de l'administrateur de
F-Secure Policy Manager.
„
F-Secure Policy Manager Reporting Option, outil conçu pour
surveiller le réseau géré. Il peut être installé sur tout poste de
travail. Il contient des modèles prédéfinis pour la création de
différents types de rapports. Pour plus d'informations,
reportez-vous au Guide de l'administrateur de F-Secure Policy
Manager Reporting Option.
224
225
7.10
Surveillance d'une attaque réseau potentielle
Si vous soupçonnez qu'une attaque réseau est en cours sur le réseau
local, vous pouvez surveiller la situation comme suit :
1. Sélectionnez Racine sous l'onglet Domaines de stratégie.
2. Cliquez sur l'onglet Résumé.
3. Vérifiez ce qui est affiché en regard de Dernière attaque la plus
courante. En cas d'attaque, vous pouvez accéder à des informations
plus détaillées en cliquant sur Afficher l'état de protection
Internet.... Vous accédez alors à l'onglet Etat et à la page Protection
Internet, où vous pouvez voir des informations détaillées sur les
dernières attaques sur les différents hôtes.
8
MISE À JOUR DU
LOGICIEL
Présentation ............................................................................. 227
Utilisation de l'éditeur d'installation........................................... 227
226
227
8.1
Présentation
Vous pouvez effectuer une mise à jour à distance du logiciel F-Secure
Anti-Virus déjà installé sur les hôtes à l'aide de l'éditeur d'installation. Cet
éditeur crée des tâches d'installation basées sur la stratégie que chaque
hôte du domaine exécutera après la prochaine mise à jour de la stratégie.
Il est également possible de mettre à niveau F-Secure Anti-Virus
Client Security en utilisant toute autre procédure d'installation
expliquée dans “Ajout d'hôtes”, 116.
8.1
Utilisation de l'éditeur d'installation
L'éditeur d'installation ne peut être utilisé que sur les hôtes équipés de
F-Secure Management Agent.
1. Pour accéder à cet éditeur, cliquez sur l'onglet Installation. Les
modules d'installation disponibles sont énumérés dans l'éditeur
d'installation, dans la partie inférieure de cet onglet.
2. Vous pouvez sélectionner les produits et versions de produits à
installer sur l'hôte ou le domaine de stratégie sélectionné en cliquant
sur la flèche vers le bas dans la colonne Version à installer .
Figure 8-1 Editeur d'installation
L'éditeur d'installation contient les informations suivantes relatives aux
produits installés sur l'hôte ou un domaine de stratégie de destination :
Nom de produit
Nom du produit déjà installé sur un hôte ou un
domaine ou qui peut être installé à l'aide d'un
package d'installation disponible.
CHAPITRE 8
Version installée
Numéro de version du produit. Si plusieurs
versions du produit sont installées, tous les
numéros de version correspondants
s'affichent. Pour les hôtes, il s'agit toujours d'un
numéro de version unique.
Version à installer
Numéros de version des packages
d'installation disponibles pour le produit.
Version actuelle
Version actuelle, en cours d'installation sur un
hôte ou un domaine.
En cours
Avancement de l'installation. Cette zone
affiche des informations différentes pour les
hôtes et pour les domaines.
Lorsqu'un hôte est sélectionné, la zone En cours affiche l'un des
messages suivants :
En cours
L'installation a démarré (et a été ajoutée aux
données de stratégie), mais l'hôte n'a pas
encore signalé le succès ou l'échec de
l'opération.
Echec
L'installation ou la désinstallation a échoué.
Cliquez sur le bouton de la zone En cours pour
afficher des informations d'état détaillées.
Terminé
L'installation ou la désinstallation est achevée.
Ce message disparaît lorsque vous fermez
l'éditeur d'installation.
(Zone vide)
Aucune opération n'est en cours. La zone
Version installée affiche le numéro de version
des produits actuellement installés.
228
229
Lorsqu'un domaine est sélectionné, la zone En cours contient l'une des
informations suivantes :
<nombre> hôtes
restants
<nombre> installations ont échoué. Nombre
d'hôtes restants et nombre d'installations qui
ont échoué. Cliquez sur le bouton de la zone
En cours pour afficher des informations d'état
détaillées.
Terminé
L'installation ou la désinstallation est achevée
sur tous les hôtes.
(Zone vide)
Aucune opération n'est en cours. La zone
Version installée affiche le numéro de version
des produits actuellement installés.
3. Lorsque tous les numéros de version requis sont sélectionnés,
cliquez sur Démarrer. L'éditeur d'installation démarre alors l'Assistant
d'installation, qui invite l'utilisateur à configurer les paramètres de
l'installation. L'éditeur d'installation prépare ensuite un package
personnalisé de distribution de l'installation pour chaque opération
d'installation. Le nouveau package est enregistré sur F-Secure Policy
Manager Server.
Le bouton Démarrer permet de démarrer les opérations
d'installation sélectionnées dans la zone Version à installer. Si vous
fermez l'éditeur d'installation sans cliquer sur le bouton Démarrer,
toutes les modifications sont annulées.
4. L'installation étant déclenchée par une stratégie, vous devez
distribuer les nouveaux fichiers de stratégie. Le fichier de stratégie
contient une entrée qui invite l'hôte à rechercher le package
d'installation et à démarrer l'installation.
Notez qu'une installation peut prendre énormément de temps,
notamment lorsqu'un hôte concerné n'est pas connecté au réseau
lors de l'installation ou si l'opération activée requiert que l'utilisateur
redémarre son poste de travail avant que l'installation soit terminée.
Si les hôtes sont connectés au réseau et qu'ils n'envoient ou ne
CHAPITRE 8
reçoivent pas correctement les fichiers de stratégie, cela signifie qu'il
peut y avoir un problème important. Il est possible que l'hôte ne
confirme pas correctement la réception de l'installation. Dans tous les
cas, vous pouvez supprimer l'opération d'installation de la stratégie
en cliquant sur le bouton Tout arrêter. Toutes les opérations
d'installation définies pour le domaine de stratégie ou l'hôte
sélectionné seront alors annulées. Vous pouvez arrêter toutes les
tâches d'installation dans le domaine sélectionné et tous ses
sous-domaines en choisissant l'option Annuler de façon récurrente
les installations pour les sous-domaines et les hôtes dans la boîte de
dialogue de confirmation.
Figure 8-2 Boîte de dialogue de confirmation d'annulation d'installation
Le bouton Tout arrêter est activé uniquement si une opération
d'installation est définie pour l'hôte ou le domaine actuel. Les
opérations définies pour les sous-domaines ne modifient pas son
état. Le bouton Tout arrêter supprime uniquement l'opération de la
stratégie. Si un hôte a déjà récupéré le fichier de stratégie précédent,
il est possible qu'il tente d'exécuter l'installation même si elle n'est
plus visible dans l'éditeur d'installation.
230
9
OPÉRATIONS SUR LES
HÔTES LOCAUX
Présentation .................................................................. 232
Recherche manuelle de virus de fichier .......................... 232
Affichage du rapport d'analyse le plus récent sur un hôte
local .............................................................................. 233
Ajout d'une analyse planifiée à partir d'un hôte local ....... 233
Consignation et emplacement des fichiers journaux sur les
hôtes locaux .................................................................. 234
Connexion à F-Secure Policy Manager et importation d'un
fichier de stratégie manuellement ................................... 239
Suspension des téléchargements et mises à jour ............ 240
Autoriser les utilisateurs à décharger des produits F-Secure .
240
231
CHAPITRE 9
9.1
Présentation
Ce chapitre explique comment effectuer certaines opérations et résoudre
des problèmes localement sur les hôtes. Ces opérations sont utiles
lorsque vous soupçonnez la présence d'un virus sur un hôte local ou
devez effectuer localement certaines tâches administratives.
9.2
Recherche manuelle de virus de fichier
Si vous pensez qu'un hôte est affecté par un virus ou si vous souhaitez
vous assurer qu'un virus a bien été éradiqué d'un hôte, vous pouvez
démarrer manuellement une recherche de virus sur l'ordinateur. Pour
analyser manuellement des fichiers, procédez comme suit :
1. Sélectionnez la page Protection contre les virus et les logiciels
espions.
2. Cliquez sur Analyser mon ordinateur.
3. Dans le menu contextuel qui s'affiche, sélectionnez Rechercher des
virus sur tous les disques durs.
4. L'Assistant Analyse apparaît. Il montre l'avancement et les
statistiques de l'analyse. Cliquez sur Arrêter pour interrompre
l'analyse à tout moment.
5. A la fin de l'analyse, un rapport est généré. Cliquez sur Afficher le
rapport pour visualiser le rapport dans votre navigateur Web.
Lorsque vous effectuez une analyse, F-Secure Client Security
utilise les paramètres d'analyse manuelle associés au niveau de
protection antivirus actuel.
Vous pouvez aussi consulter le rapport d'analyse dans la liste qui
apparaît sous l'onglet Rapports de Policy Manager.
232
233
9.3
Affichage du rapport d'analyse le plus récent sur
un hôte local
L'onglet Protection contre les virus et les logiciels espions de l'interface
utilisateur de F-Secure Client Security, affiche l'état du rapport d'analyse.
Si un rapport non lu est en attente, l'état suivant s'affiche : Nouveau
rapport disponible. Vous pouvez accéder au rapport en cliquant sur
Afficher....
Si vous avez lu le dernier rapport, l'état affiché est Aucun nouveau
rapport.
9.4
Ajout d'une analyse planifiée à partir d'un hôte
local
Une analyse planifiée est requise pour assurer l'intégrité de l'hôte.
Un hôte n'est exempt des virus connus qu'après une analyse
complète. Cette analyse doit être effectuée périodiquement.
Vous pouvez ajouter une analyse planifiée à partir de l'interface utilisateur
locale afin d'exécuter une analyse quotidienne, hebdomadaire ou
mensuelle. La procédure est la suivante :
1. Accédez à la page Protection contre les virus et les logiciels espions
et cliquez sur Paramètres avancés....
2. Dans la page Paramètres de protection antivirus avancés,
sélectionnez Protection contre les virus et les logiciels
espionsÆAnalyse planifiée.
3. Vous pouvez configurer F-Secure Client Security pour analyser votre
ordinateur à des moments spécifiques en cochant la case Activer
l'analyse planifiée.
CHAPITRE 9
4. Pour définir la planification de l'analyse, sélectionnez Quotidienne,
Hebdomadaire ou Mensuelle sous Analyse effectuée.
„
Sélectionnez Quotidienne pour effectuer l'analyse tous les jours à
l'heure programmée. Les jours de la semaine qui figurent à droite
sont tous sélectionnés et grisés.
„
Sélectionnez Hebdomadaire pour effectuer l'analyse toutes les
semaines, au jour et à l'heure programmés. Vous pouvez
sélectionner, à droite, autant de jours de la semaine que
souhaité. L'analyse sera réalisée chaque jour sélectionné.
„
Sélectionnez Mensuelle pour effectuer l'analyse tous les mois, à
la date et à l'heure programmées. Vous pouvez sélectionner
jusqu'à trois jours par mois durant lesquels l'analyse est
exécutée.
5. Sélectionnez l'heure de démarrage de l'analyse dans la liste
déroulante Heure de démarrage. Si vous souhaitez ne démarrer
l'analyse que lorsque l'ordinateur n'est pas utilisé, cochez la case Si
l'ordinateur est inutilisé pendant, puis sélectionnez la durée
d'inactivité dans la liste déroulante.
Pour savoir comment configurer l'analyse planifiée à partir de l'interface
utilisateur avancée de Policy Manager, reportez-vous à la section
“Configuration d'une analyse planifiée”, 257.
9.5
Consignation et emplacement des fichiers
journaux sur les hôtes locaux
A partir de l'interface utilisateur locale de F-Secure Client Security, vous
pouvez accéder à plusieurs fichiers journaux qui fournissent des données
sur le trafic du réseau.
234
235
9.5.1
Le fichier LogFile.log
LogFile.log contient toutes les alertes que F-Secure Client Security a
généré depuis son installation. Le fichier est associé à une taille
maximale qu'il ne peut pas dépasser. Logfile.log est géré par F-Secure
Management Agent et il se trouve sur tous les hôtes exécutant F-Secure
Management Agent.
Le fichier journal Logfile.log se trouve dans le répertoire %Program
Files%/CommonF-Secure et peut être ouvert dans un éditeur de texte
quelconque, tel que le Bloc-notes de Windows.
Vous pouvez également accéder au fichier LogFile.log à partir de
l'interface utilisateur locale :
1. Accédez à la page Paramètres avancés et sélectionnez Généralités
ÆGestion centralisée.
2. Cliquez sur Afficher le fichier journal.
9.5.2
Consignation de paquets
Le journal de paquets rassemble des informations complètes sur le trafic
réseau. Il est, cependant, désactivé par défaut. Si vous soupçonnez une
activité malveillante, vous pouvez activer ce journal afin de surveiller le
trafic réseau. La procédure est la suivante :
1. Cliquez sur Paramètres avancés.
2. Dans la page Paramètres de protection Internet avancés,
sélectionnez Protection Internet > Consignation.
3. Cliquez sur Démarrer la consignation
Sur cette page, vous pouvez également définir :
„
La durée de la consignation (en secondes)
„
La taille maximale du fichier journal.
La consignation est automatiquement interrompue après l'expiration
de la période définie, si le fichier journal a atteint sa taille maximale,
ou encore si vous cliquez sur Arrêter la consignation. Les journaux
de paquets sont répartis sur 10 fichiers différents. Par conséquent,
vous pouvez consulter les journaux précédents tandis que le
CHAPITRE 9
nouveau est généré. Le format du journal est binaire et compatible
avec le format tcpdump. Il peut être lu avec la visionneuse de journal
de paquets fournie par F-Secure ou avec une application courante de
consignation des paquets, telle que Wireshark.
4. Pour visualiser le fichier packetlog, cliquez deux fois dessus dans la
fenêtre.
Le journal de paquets consigne tous les types de trafic réseau
(informations relatives à l'acheminement, résolution de l'adresse
matérielle, etc.), y compris les protocoles requis par votre réseau local.
Ce trafic n'est généralement pas très utile et n'apparaît pas par défaut
dans la visionneuse de journal de paquets intégrée. Pour l'afficher, il suffit
de désélectionner la case Filtrer non IP.
Il est possible de désactiver la consignation de paquets à partir de
Policy Manager Console.
Les particuliers peuvent se servir de la consignation de paquets
pour recueillir des preuves de tentatives d'intrusion.
Le répertoire de consignation
Le répertoire de consignation est défini lors de l'installation de
l'application. Vous pouvez en changer en cliquant sur Parcourir.
9.5.3
Le fichier Action.log
Le journal des actions recueille continuellement des données sur les
actions du pare-feu. Il s'agit d'un fichier texte normal d'une taille maximale
de 10 Mo. Vous pouvez l'ouvrir avec n'importe quel éditeur de texte
acceptant des fichiers volumineux. Vous pouvez effacer et supprimer ce
fichier à tout moment. Vous pouvez donc facilement recommencer dans
un nouveau fichier si le fichier initial devient trop volumineux. Il est
possible d'afficher le journal des actions en cliquant sur le bouton
Afficher le journal des actions de la page Consignation.
Le journal des actions utilise le format unix standard syslog.
Exemples pratiques de lecture du journal des actions :
236
237
Changement de stratégie de pare-feu, par exemple changement de
niveau de sécurité :
07/16/03 15:48:01,success,general,daemon,Policy file has been
reloaded.
Ouverture d'une connexion locale, entrante ou sortante :
1
2
3
4
5
6
7
8
9
10
07/16/03
16:54:41
info
appl control
C:\WINNT\system32\services.exe
autoris
er
send
17
10.128.128.14
137
Les champs sont les suivants :
1. Date
5. Nom de l'application
8. Protocole
2. Heure
6. Action du contrôle des
applications
9. IP distante
3. Type
4. Raison interne
7. Action réseau
10. Port distant
Connexion de réception
Si l'application a ouvert une connexion d'écoute (LISTEN), elle agit
comme un serveur et les ordinateurs distants peuvent se connecter
au port dédié à cette connexion. Le journal des actions enregistre
également ces connexions.
1
2
3
4
5
6
7
8
9
10
07/15/03
16:48:00
info
appl control
unknown
autoriser
receive
17
10.128.129.146
138
Les champs sont les suivants :
1. Date
5. Nom de l'application
8. Protocole
2. Heure
9. IP distante
3. Type
6. Action du contrôle des
applications
4. Raison interne
7. Action réseau
10. Port distant
CHAPITRE 9
Entrée de règle dynamique
Si une application ouvre une connexion d'écoute que l'utilisateur
autorise, les règles statiques du pare-feu peuvent empêcher cette
connexion. C'est pourquoi une règle dynamique est utilisée pour
autoriser cette connexion sortante, juste pour la durée de la
connexion et pour cette application uniquement.
1
2
3
4
5
6
7
8
9
10
11
12
07/15/03
16:47:59
info
dynamic rule
added
0.0.0.0
255.255.255.0
0
65535
371
371
autorise
r
07/15/32
16:48:23
info
dynamic rule
removed
0.0.0.0
255.255.255.0
0
65535
371
371
autorise
r
Les champs sont les suivants :
1. Date
5. Action effectuée
2. Heure
6. IP de la plage d'IP
distantes
3. Type
d'alerte
4. Type de
règle
9.5.4
9. Fin de la plage de
ports
10. Port local source
7. Masque de réseau de la 11. Port local de
destination
plage d'IP distantes
8. Début de la plage de
ports
12. Action de la règle
(autoriser/refuser)
Autres fichiers journaux
Journal système local
Vous pouvez également accéder au journal système local en cliquant sur
le bouton Ouvrir l'Observateur d'événements de la page Paramètres
avancés de la gestion centralisée.
238
239
9.6
Connexion à F-Secure Policy Manager et
importation d'un fichier de stratégie manuellement
Si vous devez initialiser une connexion de l'hôte local à F-Secure Policy
Manager Server, procédez comme suit :
1. Accédez à la page Gestion centralisée, où vous pouvez voir la date et
l'heure de la dernière connexion à Policy Manager Server.
2. Cliquez sur Vérifier maintenant pour établir une nouvelle connexion.
Si vous devez importer manuellement un nouveau fichier de stratégie sur
un hôte, vous devez d'abord exporter une stratégie spécifique de l'hôte
depuis F-Secure Policy Manager Console avant de l'importer. La
procédure est la suivante :
Etape 1.
Dans F-Secure Policy Manager Console
1. Sélectionnez l'hôte sous l'onglet Domaines de stratégie.
2. Cliquez avec le bouton droit sur l'hôte sélectionné et choisissez
Exporter le fichier de stratégie de l'hôte dans le menu contextuel qui
apparaît.
3. Enregistrez le fichier de stratégie de l'hôte sur un support de transfert
de votre choix, par exemple une disquette.
Etape 2.
Dans l'interface utilisateur locale de F-Secure Client
Security
1. Cliquez sur Importer manuellement la stratégie....
2. Dans la fenêtre qui s'ouvre, localisez le fichier Policy.bpf à importer
dans l'hôte.
L'importation d'un fichier de stratégie sert essentiellement à des fins de
dépannage. Dans des conditions normales de fonctionnement, les
fichiers de stratégies sont toujours transférés automatiquement.
L'exportation et l'importation de stratégies peuvent servir à restaurer la
connexion à F-Secure Policy Manager si l'hôte géré a été déconnecté en
raison d'une stratégie mal configurée.
CHAPITRE 9
9.7
Suspension des téléchargements et mises à jour
Cette option est configurée depuis F-Secure Policy Manager Console.
Elle est utile pour les hôtes qui utilisent parfois une ligne commutée lente.
Lorsque cette option est activée, l'utilisateur peut suspendre
temporairement les communications réseau telles que l'interrogation
automatique de stratégies et l'envoi de statistiques et de mises à jour
automatiques.
1. Sélectionnez l'hôte sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Gestion
centralisée.
3. Cochez la case Autoriser les utilisateurs à suspendre tous les
téléchargements et mises à jour.
9.8
4. Cliquez sur
pour enregistrer les données de stratégie.
5. Cliquez sur
pour diffuser la stratégie.
Autoriser les utilisateurs à décharger des produits
F-Secure
Cette option est configurée depuis F-Secure Policy Manager Console.
Elle indique si l'utilisateur est autorisé à décharger temporairement tous
les produits F-Secure, par exemple pour libérer de la mémoire pour un
jeu ou des applications similaires.
Notez que les fonctions principales des produits sont désactivées
aussi longtemps que le produit est déchargé et que l'ordinateur
devient donc vulnérable aux virus et aux attaques.
1. Sélectionnez l'hôte sous l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et sélectionnez la page Gestion
centralisée.
3. Sélectionnez l'une des options du menu déroulant Autoriser
l'utilisateur à décharger des produits.
240
241
4. Cliquez sur
pour enregistrer les données de stratégie.
5. Cliquez sur
pour diffuser la stratégie.
10
INFORMATIONS SUR LES
VIRUS
Informations et outils relatifs aux programmes malveillants sur les
pages Web F-Secure................................................................ 243
Comment envoyer un échantillon de virus à F-Secure............. 244
Que faire en cas d'apparition d'un nouveau virus ?.................. 248
242
243
10.1
Informations et outils relatifs aux programmes
malveillants sur les pages Web F-Secure
Vous pouvez trouver une liste de sources d'informations relatives aux
programmes malveillants et aux outils utiles à l'adresse suivante :
http://www.f-secure.com/security_center/
Pour obtenir des informations relatives aux dernières menaces à la
sécurité, consultez les sources suivantes :
„
Le blog F-Secure :
http://www.f-secure.com/weblog/
„
Vous trouverez une liste répertoriant les points vulnérables à
l'adresse suivante :
http://www.f-secure.com/vulnerabilities/
„
Les menaces les plus récentes sont également annoncées sur
votre bureau par le biais de F-Secure Client Security sous la
forme d'informations F-Secure.
Avant de nous envoyer un échantillon, pensez à utiliser notre RescueCD.
Il s'agit d'un outil qui lance son propre système d'exploitation et qui est
capable de trouver des programmes malveillants qui ne peuvent pas être
détectés sous Windows. Il est disponible dans le Security Center :
http://www.f-secure.com/security_center/
Vous trouverez des instructions relatives à l'utilisation de RescueCD dans
le fichier téléchargé.
CHAPITRE 10
10.2
Comment envoyer un échantillon de virus à
F-Secure
Cette section est destinée aux utilisateurs expérimentés.
Cette section comporte les rubriques suivantes relatives à l'envoi d'un
échantillon de virus à F-Secure Security Lab :
„
Comment préparer un échantillon de virus ?
„
Quels fichiers envoyer ?
„
Comment envoyer un échantillon de virus ?
„
Dans quelle langue envoyer les questions et descriptions de
virus ?
10.2.1 Comment préparer un échantillon de virus ?
Tous les fichiers doivent être envoyés dans un fichier d'archivage ZIP.
Pour ce faire, vous pouvez télécharger une version d'essai du logiciel
WinZip à l'adresse
http://www.winzip.com/ . Un utilitaire InfoZIP gratuit est également
disponible à l'adresse
http://www.info-zip.org/pub/infozip/.
Toutes les archives ZIP doivent avoir un nom composé uniquement de
lettres ou de chiffres utilisés en anglais. Vous pouvez utiliser des noms de
fichiers longs.
Pour vous assurer que nous recevrons bien le fichier .zip, protégez ce
fichier avec le mot de passe infected (infecté). Sinon, tout autre
échantillon de programme malveillant, que vous tentez de nous envoyer,
risque d'être supprimé par un serveur intermédiaire par mesure de
sécurité. Cependant, un fichier protégé par un mot de passe (crypté) ne
peut pas être analysé et est considéré comme étant sûr. Vous trouverez
des instructions relatives à la méthode d'envoi d'un échantillon de virus à
l'adresse suivante :
244
245
http://support.f-secure.com/enu/home/virusproblem/samples/
index.shtml
10.2.2 Quels fichiers envoyer ?
Les virus ne sont pas tous du même type et ne peuvent donc pas tous
être envoyés de la même façon. Les paragraphes qui suivent indiquent
ce qu'il faut envoyer en fonction du type de virus :
1. Cheval de Troie ou autre antiprogramme (programme malveillant)
autonome
Si vous envoyez un échantillon d'antiprogramme suspect (ver, porte
dérobée, cheval de Troie, injecteur), spécifiez l'emplacement du
fichier sur le système infecté et la façon dont il a été lancé (Registre,
fichiers INI, Autoexec.bat, etc.). Une description de la source du
fichier est également utile.
2. Une fausse alarme d'un de nos produits antivirus
Si vous recevez un avis de détection raté ou incorrect, ou une fausse
alarme F-Secure Client Security, essayez de nous envoyer :
„
le fichier en question
„
le numéro de version de F-Secure Client Security
„
la date de la dernière mise à jour des définitions de virus
„
une description de la configuration du système
„
une description de la façon de reproduire le problème
„
le fichier du rapport d'analyse de F-Secure Client Security. Pour
obtenir des instructions relatives à la sauvegarde du fichier,
reportez-vous à la section suivante :
http://support.f-secure.com/enu/home/virusproblem/samples/
index.shtml
3. Un nouveau virus ou cheval de Troie
CHAPITRE 10
Si vous pensez qu'une infection inconnue s'est insinuée dans votre
ordinateur et qu'aucun programme antivirus ne la détecte,
envoyez-nous :
„
si vous exécutez Windows XP, le rapport msinfo32. Pour créer le
rapport, procédez comme suit :
i.
Sélectionnez Démarrer > Exécuter...
ii.
Saisissez msinfo32 et cliquez sur OK
iii. Lors de l'affichage du noeud Résumé système, sélectionnez
Fichier > Enregistrer.
„
certains fichiers de configuration Windows (WIN.INI,
SYSTEM.INI) et les fichiers de configuration DOS (Autoexec.bat,
Config.sys)
„
une exportation complète ou partielle du registre système
(préparée avec l'utilitaire Regedit inclus dans toutes les versions
de Windows)
„
le contenu du dossier \Menu Démarrer\Programmes\Démarrage\
4. Virus infectant des fichiers exécutables
Essayez de recueillir différents fichiers système infectés.
Généralement, 3 à 5 échantillons différents suffisent. Si possible,
ajoutez des copies saines de ces mêmes fichiers (provenant de
sauvegardes). Pour ce faire, utilisez deux répertoires dans votre
fichier zip, par exemple :
ORIGINAL\APPPEND.EXE
ORIGINAL\COMMAND.COM
INFECTED\APPEND.EXE
INFECTED\COMMAND.COM
5. Virus de macro
Envoyez une copie infectée du fichier NORMAL.DOT (le modèle
général) en plus des fichiers DOC infectés. Dans le cas de virus
Excel, envoyez le fichier PERSONAL.XLS, s'il existe, en plus des
fichiers XLS infectés. Si le virus de macro a également infecté
d'autres types de fichier, envoyez un échantillon de chaque type de
fichier.
6. Virus du secteur d'amorçage
246
247
Si l'infection touche un disque dur, employez l'utilitaire GetMBR pour
collecter des échantillons du secteur d'amorçage. Une fois le script
terminé, envoyez-nous le fichier mbr.dmp de la façon décrite dans ce
chapitre. GetMBR est téléchargeable sur notre site FTP :
ftp://ftp.f-secure.com/anti-virus/tools/getmbr.zip
Si l'infection se trouve sur une disquette, créez une image DCF de la
disquette infectée et envoyez-la nous. Vous pouvez télécharger
l'utilitaire DCF à partir de notre site ftp :
ftp://ftp.f-secure.com/anti-virus/tools/dcf53.zip
Vous pouvez également envoyer la disquette infectée par courrier à
notre bureau de Helsinki (voir l'adresse ci-dessous). Veuillez inclure
une description du problème. Notez que nous ne renvoyons pas les
disquettes.
7. Une infection ou une fausse alarme sur un CD-ROM
Si une infection ou une fausse alarme est relative à un CD-ROM,
vous pouvez envoyer ce dernier à nos bureaux finlandais. Pour
connaître l'adresse, voir ci-dessous.
Veuillez inclure une description du problème, ainsi qu'un rapport
F-Secure Client Security imprimé, si possible. Nous renverrons le
CD-ROM s'il n'est pas infecté.
10.2.3 Comment envoyer l'échantillon de virus ?
Vous pouvez nous envoyer les échantillons de trois façons différentes :
1. La plus répandue consiste à utiliser notre formulaire Web d'envoi.
Celui-ci vous donne toutes les informations dont nous avons besoin
pour traiter un échantillon. Il se trouve à l'adresse suivante :
http://www.f-secure.com/samples
2. Si la taille de l'échantillon est supérieure à 5 Mo, vous devez
télécharger l'échantillon sur notre site FTP à l'adresse suivante :
ftp://ftp.f-secure.com/incoming/
3. Si l'échantillon se trouve sur un support physique, par exemple un
CD, un DVD ou une clé USB, vous pouvez nous envoyer ce support à
l'adresse suivante :
CHAPITRE 10
Security Labs
F-Secure Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finlande
10.2.4 Dans quelle langue ?
Veuillez nous envoyer les descriptions détaillées du problème, les
symptômes ou vos questions, en anglais dans la mesure du possible.
10.2.5 Temps de réponse
Notre temps de réponse habituel est inférieure à 24 heures. Les cas
complexes peuvent être plus longs à étudier. Si vous n'obtenez pas de
réponse de notre part dans les jours ouvrables qui suivent, veuillez nous
renvoyer votre échantillon.
10.3
Que faire en cas d'apparition d'un nouveau
virus ?
Cette section contient une liste des actions à effectuer et des choses à ne
pas oublier en cas d'apparition d'un virus sur le réseau de l'entreprise.
1. Déconnectez immédiatement l'ordinateur infecté du réseau.
Si l'infection se répand, mettez le réseau hors service sans délai.
Bloquez le trafic sortant. Donnez instruction aux employés de
signaler immédiatement toute activité suspecte sur leur ordinateur.
2. Essayez d'identifier s'il s'agit d'une infection réelle ou d'une fausse
alarme potentielle.
Analysez l'ordinateur avec la dernière version de F-Secure Client
Security et les dernières mises à jour de définition de virus. Si
l'infection est identifiée avec précision, passez à l'étape 3. Si
248
249
l'infection est identifiée comme possible new virus (nouveau virus
possible), could be an image of a boot sector virus (pourrait être une
image d'un virus de secteur d'amorçage) etc., envoyez un échantillon
accompagné du rapport d'analyse F-Secure Client Security via l'outil
Web Submit Malware Sample se trouvant à l'adresse :
http://www.f-secure.com/samples
3. S'il s'agit d'une infection connue, accédez aux pages d'informations
sur les virus F-Secure pour obtenir une description de
l'antiprogramme.
Téléchargez des outils de nettoyage (s'ils sont disponibles) et
imprimez les instructions ad hoc. Si vous avez besoin d'une
assistance de désinfection, contactez le support via notre page Web
d'assistance : http://support.f-secure.com
Si vous avez besoin d'une aide d'urgence, indiquez-le dans votre
message.
4. S'il s'agit d'un nouveau virus, essayez de localiser un échantillon et
envoyez-le à F-Secure Security Labs via le formulaire Web d'envoi à
l'adresse suivante :
http://www.f-secure.com/samples
Fournissez autant d'informations que possible sur le problème. Il
importe de savoir combien d'ordinateurs sont touchés par le virus.
5. Si un ordinateur est infecté par un antiprogramme qui se répand sur
le réseau local, il est recommandé de mettre ce dernier hors service
jusqu'à ce que tous les ordinateurs infectés aient été nettoyés.
Le réseau ne peut être remis en service qu'après le nettoyage de
tous les ordinateurs, car une seule machine infectée peut réinfecter
l'ensemble du réseau en quelques minutes.
6. Attendez que le Security Labs vous envoie un rapport, puis suivez
attentivement les instructions de désinfection fournies.
Il est recommandé de sauvegarder les données importantes de
l'ordinateur infecté avant de le nettoyer. Cette sauvegarde ne sera
pas effectuée via le réseau ; utilisez des unités de sauvegarde
externes. Sauvegardez uniquement les fichiers de données, pas les
CHAPITRE 10
fichiers exécutables. Si vous devez restaurer la sauvegarde par la
suite, tous les fichiers restaurés devront être soumis à une vérification
d'infection.
7. Lorsqu'il vous est fourni une solution de nettoyage, testez-la sur un
seul ordinateur dans un premier temps. Si le nettoyage fonctionne,
vous pouvez ensuite l'appliquer à tous les ordinateurs infectés.
Analysez les ordinateurs nettoyés avec F-Secure Client Security et
les dernières mises à jour des définitions de virus pour vous assurer
qu'il ne reste aucun fichier infecté.
8. Ne réactivez le réseau qu'après le nettoyage de chacun des
ordinateurs infectés.
Si l'antiprogramme contenait des portes dérobées ou des capacités
de vol de données, il est vivement recommandé de changer les mots
de passe et noms d'accès pour toutes les ressources du réseau.
9. Informez le personnel de l'infection et mettez-le en garde contre
l'exécution de pièces jointes inconnues et la visite de sites Internet
suspects.
Vérifiez les paramètres de sécurité des logiciels installés sur les
postes de travail. Assurez-vous que les scanneurs du courrier
électronique et les pare-feux fonctionnent correctement sur les
serveurs. F-Secure Client Security est censé recevoir les mises à jour
automatiquement. Cependant, il est conseillé de vérifier
périodiquement le bon fonctionnement de ces mises à jour
automatiques.
10. Avertissez vos partenaires de l'infection et recommandez-leur
d'analyser leurs ordinateurs avec F-Secure Client Security et les
définitions de virus les plus récentes pour s'assurer qu'aucune
infection n'a quitté l'enceinte de votre réseau.
250
11
CONFIGURATION DU
PLUG-IN CISCO NAC
Introduction............................................................................... 252
Installation du plug-in Cisco NAC............................................. 252
Attributs à utiliser pour un jeton de posture d'application ......... 253
251
CHAPITRE 11
11.1
Introduction
F-Secure Corporation participe au programme NAC (Network Admission
Control) animé par Cisco Systems®. NAC peut être utilisé pour
restreindre l'accès réseau des hôtes ayant des bases de données de
définitions de virus, ou des modules antivirus ou pare-feu trop anciens.
Le plug-in F-SecureNAC-communique avec l'agent CTA (Cisco® Trust
Agent), un logiciel client sur les hôtes qui collecte les informations liées à
la sécurité à partir de l'hôte et communique ces données au serveur ACS
(Cisco Secure Access Control Server). Sur la base de ces données, une
stratégie d'accès appropriée est appliquée à l'hôte.
Pour plus d'informations sur NAC, visitez le site http://www.cisco.com/go/
nac/.
Le package d’installation pour F-Secure Client Security comporte une
option pour installer le plug-in Cisco NAC. Lorsque vous sélectionnez
cette option, l'agent CTA doit déjà être installé sur l'hôte. En outre, le
serveur ACS doit être configuré pour surveiller les attributs de sécurité
liés aux produits F-Secure.
11.2
Installation du plug-in Cisco NAC
Le plug-in Cisco NAC peut être installé sur les hôtes localement et à
distance.
252
253
Installations locales
1. Lors de l'installation de F-Secure Client Security localement,
sélectionnez Plug-in Cisco NAC dans la boîte de dialogue
Composants à installer.
Installations à distance
1. Lors de l'installation de F-Secure Client Security à distance,
sélectionnez Plug-in Cisco NAC dans la boîte de dialogue
Composants à installer.
Pour plus d'informations, reportez-vous à la documentation de
Cisco NAC.
11.2.1 Importations de définitions d'attributs de validation de
posture
Vous devez ajouter les définitions d'attributs de validation de posture
associées aux produits F-Secure dans le fichier des définitions d'attributs
de validation de posture Cisco Secure ACS. Pour cela, utilisez l'outil
CSUtil sur le serveur Cisco Secure ACS. Utilisez la commande suivante :
CSUtil.exe -addAVP fsnacpva.def
Le fichier fsnacpva.def se trouve sur le CD du produit F-Secure.
Pour plus d'informations sur CSUtil, reportez-vous à la
documentation de Cisco ACS.
11.3
Attributs à utiliser pour un jeton de posture
d'application
Pour configurer le serveur Cisco ACS de manière à surveiller les attributs
de sécurité associés aux produits F-Secure, procédez comme suit :
CHAPITRE 11
1. Cliquez sur le bouton External User Databases (Bases de données
d'utilisateurs externes) dans l'interface utilisateur du serveur Cisco
ACS. La page External User Databases (Bases de données
d'utilisateurs externes) s'ouvre.
2. Cliquez sur le lien Database Configuration (configuration de la base
de données). La page External User Databases Configuration
(configuration des bases de données d'utilisateurs externes) s'ouvre.
3. Cliquez sur le lien Network Admission Control (contrôle
d'admission au réseau).
4. Cliquez sur Configurer.
5. Sélectionnez Create New Local Policy (créer une nouvelle stratégie
locale).
6. Vous pouvez utiliser les attributs de sécurité F-Secure Client Security
suivants dans les règles des jetons de posture d'application :
254
255
Attributs de validation de posture pour antivirus
Nom d'attribut
Type
Exemple
Nom du logiciel
chaîne
F-Secure Antivirus
Version du logiciel
version
8.0.0.0
Dat-Date
date
[la date de la base de
données]
Protection-Activée
entier non signé
1= activé, 0=
désactivé
Attributs de validation de posture pour pare-feu
Nom d'attribut
Type
Exemple
Nom du logiciel
chaîne
F-SecureProtection
Internet
Version du logiciel
version
8.0.0.0
Protection-Activée
entier non signé
1= activé, 0=
désactivé
12
FONCTIONS AVANCÉES :
PROTECTION CONTRE
LES VIRUS ET LES
LOGICIELS ESPIONS
Présentation ............................................................................. 257
Configuration d'une analyse planifiée....................................... 257
Paramètres du contrôle du système en mode avancé ............. 259
Configuration de Policy Manager Proxy ................................... 262
Configuration des mises à jour automatiques sur les hôtes à partir
du proxy antivirus ..................................................................... 263
Configuration d'un hôte pour la gestion SNMP ........................ 264
Exclure une application de l'analyseur du trafic Web ............... 264
256
257
12.1
Présentation
Cette section contient des instructions relatives à certaines tâches
d'administration avancées de la protection antivirus, telles que la
configuration d'une analyse planifiée à partir de l'interface utilisateur en
mode avancé et la configuration du proxy Anti-Virus.
12.2
Configuration d'une analyse planifiée
Une tâche d'analyse planifiée peut être ajoutée à partir de l'interface
utilisateur en mode avancé de Policy Manager. Dans cet exemple, une
tâche d'analyse planifiée est ajoutée à une stratégie pour l'ensemble du
domaine de stratégie. L'analyse doit être effectuée chaque semaine, le
lundi à 20h00, à partir du 25 août 2003.
1. Ouvrez le menu Affichage et sélectionnez l'option Mode avancé.
L'interface utilisateur en mode avancé s'ouvre.
2. Sélectionnez Racine dans le volet Domaines de stratégie.
3. Sélectionnez l'onglet Stratégie dans le volet du milieu Propriétés.
4. Dans l'onglet Stratégie, sélectionnez :
F-Secure/F-Secure Antivirus
5. Dans le volet de droite Affichage produit, sélectionnez la page Table
de planification.
6. Les tâches planifiées actuellement définies s'affichent dans la section
Table de planification. Vous pouvez maintenant ajouter une analyse
planifiée comme nouvelle tâche.
7. Cliquez sur Ajouter. Une nouvelle ligne est ajoutée à la table de
planification.
8. Cliquez sur la cellule Nom de la ligne que vous venez de créer, puis
cliquez sur Modifier. La cellule Nom est maintenant activée et vous
pouvez entrer le nom à donner à la nouvelle tâche. Par exemple,
Analyse planifiée pour tous les hôtes.
CHAPITRE 12
9. Cliquez ensuite sur la cellule Paramètres de planification et cliquez
sur Modifier. Vous pouvez maintenant entrer les paramètres de
l'analyse planifiée. Pour planifier une analyse chaque semaine, le
lundi à 20h00, à partir du 25 août 2003, les paramètres sont les
suivants : '/t20:00 /b2003-08-25 /rweekly'
Lorsque la cellule Paramètres de planification est sélectionnée, les
paramètres que vous pouvez utiliser et les formats correspondants
s'affichent sous la forme d'un texte d'aide dans le volet Messages
(sous la table Tâches planifiées). Pour configurer des jours
ouvrables et des jours spécifiques, reportez-vous à “Exécution
d'analyses planifiées pour des jours ouvrables et des jours
spécifiques”, 259.
10. Sélectionnez le type de tâche en cliquant sur la cellule Type de tâche,
puis en cliquant sur Modifier. Dans la liste déroulante qui s'ouvre,
sélectionnez Analyse des lecteurs locaux.
11. La tâche d'analyse est maintenant prête pour la distribution.
12. Cliquez sur
pour enregistrer les données de stratégie.
13. Cliquez sur
pour diffuser la stratégie.
Pour savoir comment configurer l'analyse planifiée sur un hôte local à
partir de l'interface utilisateur locale, reportez-vous à la section “Ajout
d'une analyse planifiée à partir d'un hôte local”, 233.
258
259
Exécution d'analyses planifiées pour des jours ouvrables et
des jours spécifiques
Lorsque vous configurez une analyse planifiée hebdomadaire, vous
pouvez également définir des jours ouvrables spécifiques pour
l’exécution de l'analyse. De même, lorsque vous configurez une analyse
planifiée mensuelle, vous pouvez définir des jours spécifiques du mois
pour l’exécution de l’analyse. Pour ces analyses, vous pouvez utiliser le
paramètre '/Snn' :
„
Pour des analyses planifiées hebdomadaires, vous pouvez
utiliser '/rweekly' avec les paramètres '/s1 - /s7'. '/s1' signifie lundi
et '/s7' dimanche.
Par exemple, '/t18:00 /rweekly /s2 /s5' signifie que l'analyse est
exécutée chaque mardi et vendredi à 18 heures.
„
Pour des analyses planifiées hebdomadaires, vous pouvez
utiliser '/rweekly' avec les paramètres '/s1 - /s7'.
Par exemple, '/t18:00 /rmonthly /s5 /s20' signifie que l'analyse est
exécutée le 5 et le 20 de chaque mois, à 18 heures.
Les analyses planifiées hebdomadaires sont automatiquement
exécutées chaque lundi. Les analyses planifiées mensuelles sont
automatiquement exécutées le premier jour de chaque mois.
12.3
Paramètres du contrôle du système en mode
avancé
12.3.1 Notification d'un utilisateur d'un événement de refus
Pour avertir l'utilisateur lorsque le contrôle du système refuse
automatiquement un événement, procédez comme suit :
1. Ouvrez le menu Affichage et sélectionnez l'option Mode avancé.
L'interface utilisateur en mode avancé s'ouvre.
2. Sélectionnez Racine dans le volet Domaines de stratégie.
3. Sélectionnez l'onglet Stratégie dans le volet du milieu Propriétés.
CHAPITRE 12
4. Dans l'onglet Stratégie, sélectionnez :
F-Secure > F-Secure Contrôle du système > Paramètres > Afficher le
panneau de notification lors d'événements de refus
5. Sélectionnez Oui dans le volet Affichage produit.
6. Cliquez sur
pour enregistrer les données de stratégie.
7. Cliquez sur
pour diffuser la stratégie.
12.3.2 Permettre à un administrateur d'autoriser ou de refuser
des événements provenant de programmes d'autres
utilisateurs
Pour permettre à un utilisateur disposant de droits d'accès administrateur
d'autoriser ou de refuser un événement provoqué par une application
lancée par un autre utilisateur, procédez comme suit :
1. Ouvrez le menu Affichage et sélectionnez l'option Mode avancé.
L'interface utilisateur en mode avancé s'ouvre.
2. Sélectionnez Racine dans le volet Domaines de stratégie.
3. Sélectionnez l'onglet Stratégie dans le volet du milieu Propriétés.
4. Dans l'onglet Stratégie, sélectionnez :
F-Secure > F-Secure Contrôle du système > Paramètres > Contrôle
de l'administrateur local
5. Sélectionnez Tous les processus dans le volet Affichage produit.
6. Cliquez sur
pour enregistrer les données de stratégie.
7. Cliquez sur
pour diffuser la stratégie.
260
261
12.3.3 Autoriser ou refuser automatiquement des événements
requis par une application spécifique
Pour autoriser tous les événements d'une application sécurisée ou
refuser tous les événements d'une application qui ne doit pas être
utilisée, procédez comme suit :
1. Tout d'abord, vous devez calculer l'identificateur de hachage SHA-1
de l'application. Il existe trois calculateurs SHA-1 disponibles sur
Internet. Vous pouvez utiliser par exemple l'outil FCIV (File
Checksum Integrity Verifier) de Microsoft. Il se trouve à l'adresse
suivante :
http://support.microsoft.com/kb/841290
Un hachage SHA-1 identifie de façon unique la séquence
d'instructions qui définit un programme. Si une nouvelle version du
programme est disponible, vous devez répéter ce processus car le
nouveau programme aura un hachage SHA-1 différent.
2. Une fois le hachage de l'identificateur SHA-1 calculé, ouvrez le menu
Affichage et sélectionnez l'option Mode avancé. L'interface utilisateur
en mode avancé s'ouvre.
3. Sélectionnez Racine dans le volet Domaines de stratégie.
4. Sélectionnez l'onglet Stratégie dans le volet du milieu Propriétés.
5. Dans l'onglet Stratégie, sélectionnez :
F-Secure > F-Secure Contrôle du système > Paramètres >
Applications
6. Cliquez sur Ajouter pour ajouter une nouvelle règle.
7. Cliquez deux fois sur la nouvelle entrée de la colonne Hachage
SHA-1 et collez le hachage SHA-1 dans la cellule vide.
8. Cliquez deux fois sur la nouvelle entrée de la colonne Remarques et
saisissez une remarque. Cette remarque vous permettra de vous
souvenir de l'application identifiée par le hachage SHA-1.
CHAPITRE 12
9. Cliquez deux fois sur la nouvelle entrée de la colonne Approuvée :
„
Sélectionnez Oui pour autoriser tous les événements de
l'application
„
Sélectionnez Non pour refuser tous les événements de
l'application.
10. Cliquez deux fois sur la nouvelle entrée de la colonne Activée :
Sélectionnez Oui pour activer la règle.
11. Cliquez sur
pour enregistrer les données de stratégie.
12. Cliquez sur
pour diffuser la stratégie.
La règle d'application ne peut pas être écrasée localement par
l'utilisateur.
12.4
Configuration de Policy Manager Proxy
Proxy F-Secure Policy Manager offre une solution aux problèmes de
bande passante dans les installations distribuées de F-Secure Client
Security ou F-Secure Anti-Virus pour stations de travail en réduisant de
façon significative la charge des réseaux ayant des connexions lentes. Il
met en mémoire cache les mises à jour récupérées à partir du serveur de
mise à jour F-Secure central ou du F-Secure Policy Manager Server de
l'entreprise.
Proxy F-Secure Policy Manager se trouve sur le même réseau distant
que les hôtes qui l'emploient comme point de distribution des bases de
données. Il doit y avoir un Proxy F-Secure Policy Manager dans chaque
réseau derrière des lignes de réseau lentes.
Les hôtes exécutant F-Secure Client Security ou F-Secure Anti-Virus
pour stations de travail récupèrent les mises à jour de définitions de virus
via Proxy F-Secure Policy Manager. Proxy F-Secure Policy Manager
contacte F-Secure Policy Manager Server et le serveur de distribution de
F-Secure lorsque c'est nécessaire.
Les postes de travail des bureaux distants communiquent eux aussi avec
le serveur Policy Manager Server du siège central, mais cette
communication est limitée à l'administration des stratégies distantes, à la
262
263
surveillance d'état et aux alertes. Comme le trafic intense de mise à jour
de base de données est redirigé à travers Proxy F-Secure Policy
Manager dans le même réseau local, la connexion du réseau entre les
postes de travail gérés et F-Secure Policy Manager Server présente une
charge substantiellement plus légère.
Pour plus d'informations sur l'installation et la configuration du proxy
Policy Manager, reportez-vous au Guide de l'administrateur Proxy
F-Secure Policy Manager.
12.5
Configuration des mises à jour automatiques sur
les hôtes à partir du proxy antivirus
La liste de proxies Policy Manager par le biais desquels les hôtes
récupèrent les mises à jour peut être configurée dans l'onglet Paramètres
de Policy Manager. Cette opération est décrite dans la section
“Configuration de Policy Manager Proxy”, 150. Cependant, si vous devez
effectuer cette configuration à partir de l'interface utilisateur locale d'un
hôte géré, vous pouvez procéder comme suit :
1. Accédez à la page Mises à jour automatiques et cliquez sur
Paramètres avancés.
2. Sélectionnez Mises à jour automatiquesÆPolicy Manager Proxy.
La page Policy Manager Proxy permet de visualiser et modifier les
adresses à partir desquelles le F-Secure Client Security local obtient
les mises à jour automatiques.
Les adresses sont utilisées de haut en bas, c'est-à-dire que la
première adresse de la liste est utilisée par défaut.
3. Cliquez sur Ajouter pour ajouter le proxy à la liste.
4. Entrez le nom du premier Policy Manager Proxy dans le champ.
Cliquez ensuite sur OK.
5. Répétez cette opération pour chaque proxy que vous souhaitez
ajouter. Pour modifier l'ordre des serveurs, sélectionnez le serveur à
déplacer et cliquez sur les flèches haut et bas situées à droite pour le
déplacer.
CHAPITRE 12
6. Une fois que vous avez ajouté tous les proxies, cliquez sur OK.
12.6
Configuration d'un hôte pour la gestion SNMP
L'extension d'administration SNMP de F-Secure SNMP est un agent
d'extension SNMP Windows NT, chargé et déchargé avec l'agent
principal. Le service SNMP est lancé normalement au démarrage de
Windows de façon à ce que l'agent d'extension soit toujours chargé.
L'agent principal de Windows NT héberge les extensions et transmet les
requêtes à F-Secure Management Agent, à son tour responsable de leur
renvoi à la console d'administration dont elles sont issues. L’extension
d'administration SNMP de F-Secure peut être chargée même si aucun
module n’est chargé, ce qui lui permet de surveiller les activités de
F-Secure Management Agent indépendamment des autres modules de
F-Secure Management Agent.
Pour plus d'informations sur l'installation de F-Secure Management Agent
avec Support SNMP et sur la configuration de l'agent SNMP Master,
consultez le chapitre relatif au support SNMP dans le Guide de
l'administrateur de F-Secure Policy Manager.
12.7
Exclure une application de l'analyseur du trafic
Web
Si l'analyse du trafic Web provoque des problèmes dans un programme
répandu au sein de votre organisation, vous pouvez exclure cette
application de l'analyseur du trafic Web.
1. Activez l'interface utilisateur en Mode avancé. Cliquez sur Affichage>
Mode avancé .
2. Sélectionnez l'onglet Stratégie dans le volet Propriétés.
3. Dans l'onglet Stratégie, sélectionnez F-Secure Client Security >
Sélectionner un scanneur de protocoles > Applications approuvées >
Liste des processus approuvés.
264
265
4. Saisissez le nom du processus à exclure de l'analyseur de trafic Web.
Pour saisir plusieurs processus, séparez le nom de chaque
processus par une virgule. N'insérez aucun espace entre les noms de
processus.
Sous Windows, vous pouvez trouver le nom de processus
d'une application en utilisant l'explorateur de tâches Windows.
Par exemple, si vous voulez exclure les applications Notepad et
Skype de l'analyseur du trafic Web, vous devez saisir
notepad.exe,skype.exe
5. Cliquez sur
pour enregistrer les données de stratégie.
6. Cliquez sur
pour diffuser la stratégie.
13
FONCTIONS AVANCÉES :
PROTECTION INTERNET
Présentation ............................................................................. 267
Gestion à distance des propriétés de la protection Internet ..... 267
Configuration de la sélection automatique du niveau de sécurité ...
269
Dépannage de problèmes de connexion.................................. 272
Ajout de nouveaux services...................................................... 273
266
267
13.1
Présentation
Cette section couvre certaines fonctions avancées de la protection
Internet. Elle contient également certaines informations de dépannage.
13.2
Gestion à distance des propriétés de la protection
Internet
Cette section décrit la gestion à distance des propriétés de la protection
Internet.
13.2.1 Consignation de paquets
La consignation de paquets est un outil de débogage très utile pour
découvrir ce qui se passe sur le réseau local. C'est également un outil
puissant qui peut être utilisé abusivement par un utilisateur pour épier les
activités d'autres utilisateurs sur le réseau. Dans certains environnements
d'entreprise, l'administrateur devra donc désactiver la consignation de
paquets.
1. Ouvrez le menu Affichage et sélectionnez l'option Mode avancé.
L'interface utilisateur en mode avancé s'ouvre.
2. Sélectionnez Racine dans le volet Domaines de stratégie.
3. Sélectionnez l'onglet Stratégie dans le volet du milieu Propriétés.
4. Dans l'onglet Stratégie, sélectionnez :
\Protection Internet de F-Secure
5. Sélectionnez l'onglet Consignation dans le volet de droite Affichage
produit.
Cette variable montre normalement l'état de la consignation des paquets :
Désactivé signifiant qu'elle est désactivée, tandis que Activé indique que
la consignation est en cours sur l'hôte. Pour désactiver complètement la
consignation, assurez-vous qu'elle est définie sur Désactivé et cochez la
case Final. Distribuez la stratégie pour appliquer la modification.
CHAPITRE 13
Pour annuler cette modification par la suite, désactivez la case Final et
distribuez la nouvelle stratégie.
Utilisez cette variable avec prudence car, par exemple, si elle est
définie sur Activé pour l'ensemble du domaine, une session de
consignation sera lancée sur tous les hôtes concernés.
13.2.2 Interface approuvée
Le mécanisme d'interface approuvée est utilisé pour permettre l'utilisation
de l'hôte protégé par le pare-feu comme serveur de partage de
connexion. Les règles de pare-feu ne sont pas appliquées au trafic
traversant l'interface approuvée. Mal utilisée, cette fonction peut exposer
l'ordinateur hôte à toute forme d'attaque à partir du réseau : il est donc de
bonne pratique de désactiver ce mécanisme s'il n'est pas absolument
nécessaire.
L'interface approuvée s'active comme suit :
1. Ouvrez le menu Affichage et sélectionnez l'option Mode avancé.
L'interface utilisateur en mode avancé s'ouvre.
2. Sélectionnez le sous-domaine où vous souhaitez activer l'interface
approuvée dans le volet Domaines de stratégie.
3. Sélectionnez l'onglet Stratégie dans le volet du milieu Propriétés.
4. Dans l'onglet Stratégie, sélectionnez le chemin suivant :
\Protection Internet de F-Secure\Paramètres\Moteur
pare-feu\Autoriser interface approuvée
Sélectionnez Activé pour activer l'interface approuvée pour le
sous-domaine actuellement sélectionné. Cela permet aux utilisateurs
finals du sous-domaine de configurer une interface réseau comme
interface approuvée. Enregistrez et distribuez la stratégie pour appliquer
la modification.
268
269
13.2.3 Filtrage de paquets
Ce mécanisme de sécurité fondamental du pare-feu filtre tout le trafic
réseau IP en fonction des informations contenues dans les en-têtes de
protocole de chaque paquet. Vous pouvez activer ou désactiver le filtrage
des paquets à partir de l'onglet Avancé dans la section Paramètres de
protection du réseau. Sa désactivation est parfois nécessaire à des fins
de test, mais elle présente un risque pour la sécurité. Dans la plupart des
environnements d'entreprise, vous devrez donc vous assurer que le
filtrage des paquets est toujours activé. Cet état est contrôlé par la
variable :
1. Ouvrez le menu Affichage et sélectionnez l'option Mode avancé.
L'interface utilisateur en mode avancé s'ouvre.
2. Sélectionnez Racine dans le volet Domaines de stratégie.
3. Sélectionnez l'onglet Stratégie dans le volet du milieu Propriétés.
4. Dans l'onglet Stratégie, sélectionnez le chemin suivant :
\Protection Internet de F-Secure\Paramètres\Moteur pare-feu\Moteur
pare-feu
Pour faire en sorte que le filtrage des paquets soit toujours activé,
définissez cette variable sur Oui et cochez la case Final. N'oubliez pas de
distribuer la stratégie pour appliquer la modification.
13.3
Configuration de la sélection automatique du
niveau de sécurité
Dans cet exemple, la sélection automatique du niveau de sécurité est
configurée pour un sous-domaine qui contient uniquement des
ordinateurs portables de sorte que, lorsque les ordinateurs sont
connectés au réseau de l'entreprise, ils utilisent le niveau de sécurité
Bureau. Lorsqu'une connexion commutée est utilisée, le niveau de
sécurité est changé en Mobile.
CHAPITRE 13
Avant de commencer, vous devez connaître l'adresse IP du serveur DNS
et l'adresse de la passerelle par défaut, car ces informations sont
nécessaires pour définir les critères de sélection automatique du niveau
de sécurité.
Vous pouvez identifier ces adresses en émettant une commande
ipconfig -all
à l'invite de commande.
1. Ouvrez le menu Affichage et sélectionnez l'option Mode avancé.
L'interface utilisateur en mode avancé s'ouvre.
2. Sélectionnez le sous-domaine dans le volet Domaines de stratégie.
3. Sélectionnez l'onglet Stratégie dans le volet du milieu Propriétés.
4. Dans l'onglet Stratégie, sélectionnez le chemin suivant :
\F-Secure\Protection Internet de F-Secure
5. Dans le volet de droite Affichage produit, sélectionnez la page
Sélection automatique du niveau de sécurité.
6. Vérifiez que la sélection automatique du niveau de sécurité est
activée. Pour l'activer, sélectionnez l'option Modifiable par l'utilisateur
ou Contrôle total de l'administrateur dans la liste déroulante Mode
Sélection automatique.
7. Cliquez sur Ajouter pour ajouter le premier niveau de sécurité, en
l'occurrence Bureau.
270
271
8. Pour entrer des données dans une cellule, sélectionnez la cellule et
cliquez sur Modifier. Pour le niveau de sécurité Bureau, vous devez
ajouter les données suivantes :
„
Priorité : les règles sont contrôlées dans l'ordre défini par les
numéros de priorité, en commençant par le plus petit numéro.
„
Niveau de sécurité : entrez l'ID (composé du numéro et du nom)
du niveau de sécurité, par exemple : 40bureau.
„
Méthode 1 : sélectionnez Adresse IP du serveur DNS dans la
liste déroulante.
„
Argument 1 : entrez l'adresse IP de votre serveur DNS local, par
exemple : 10.128.129.1.
„
Méthode 2 : sélectionnez Adresse IP de la passerelle par défaut
dans la liste déroulante.
„
Argument 2 : entrez l'adresse IP de la passerelle par défaut. Par
exemple : 10.128.130.1.
Vous ne pouvez utiliser qu'un seul argument, par exemple une
adresse IP, dans le champ Argument.
Lorsqu'il existe plusieurs passerelles par défaut dans votre société
et que vous souhaitez les utiliser toutes dans le cadre de la
sélection automatique du niveau de sécurité, vous pouvez créer
une règle distincte pour chacune d'elles dans le tableau.
9. Le premier niveau de sécurité est maintenant prêt. Cliquez sur
Ajouter pour ajouter le deuxième niveau de sécurité, en l'occurrence
Mobile.
CHAPITRE 13
10. Pour entrer des données dans une cellule, sélectionnez la cellule et
cliquez sur Modifier. Pour le niveau de sécurité Mobile, vous devez
ajouter les données suivantes :
„
Priorité : les règles sont contrôlées dans l'ordre défini par les
numéros de priorité, en commençant par le plus petit numéro.
„
Niveau de sécurité : entrez l'ID du niveau de sécurité, par
exemple : 20mobile.
„
Méthode 1 : sélectionnez Accès à distance dans la liste
déroulante.
„
Argument 1 : ce champ peut rester vide.
„
Méthode 2 : sélectionnez Toujours dans la liste déroulante.
„
Argument 2 : ce champ peut rester vide.
11. La configuration est maintenant prête.
13.4
12. Cliquez sur
pour enregistrer les données de stratégie.
13. Cliquez sur
pour distribuer la stratégie.
Dépannage de problèmes de connexion
S'il y a des problèmes de connexion, si un hôte ne peut pas accéder à
Internet et si vous soupçonnez la protection Internet d'être à l'origine de
ces problèmes, vous pouvez utiliser la liste de contrôle suivante :
1. Vérifiez que l'ordinateur est correctement connecté. Vérifiez que le
problème ne provient pas du câble réseau.
2. Vérifiez qu'Ethernet est actif et fonctionne correctement.
3. Vérifiez que l'adresse DHCP est correcte. Pour ce faire, entrez la
commande
272
273
ipconfig
à l'invite de commande.
4. Ensuite, envoyez une commande ping à la passerelle par défaut.
Si vous n'en connaissez pas l'adresse, vous pouvez la trouver en
entrant la commande
ipconfig -all
à l'invite de commande. Ensuite, envoyez un ping à la passerelle par
défaut pour voir si elle répond.
5. Si la navigation Internet normale ne fonctionne pas, vous pouvez
essayer d'envoyer un ping à un serveur DNS.
6. Exécutez nslookup pour vous assurer que le service DNS fonctionne.
7. Vous pouvez également essayer d'échanger un ping avec une
adresse Web connue pour vous assurer que l'ordinateur distant n'est
pas hors service.
8. Ensuite, vérifiez si quelque chose a changé dans le domaine géré :
une nouvelle stratégie est-elle utilisée et cette stratégie contient-elle
des paramètres susceptibles de causer ces problèmes ?
9. Vérifiez dans les règles de pare-feu que les connexions HTTP
sortantes sont autorisées.
10. Vérifiez dans le contrôle des applications local que l'adresse IP à
laquelle l'utilisateur tente de se connecter n'a pas été
accidentellement ajoutée à la liste des adresses refusées.
11. Si rien d'autre n'y fait, déchargez les produits F-Secure ou mettez la
protection Internet en mode tout autoriser. Si le problème persiste, il
provient probablement du routage ou d'un autre composant dans
l'ordinateur auquel l'utilisateur tente de se connecter.
13.5
Ajout de nouveaux services
Un service (abréviation de service de réseau) correspond à un service
disponible sur le réseau, par exemple, le partage de fichier, l'accès distant
à la console ou la navigation sur le Web. Il est généralement décrit par le
protocole et le port qu'il utilise.
CHAPITRE 13
13.5.1 Création d'un nouveau service Internet basé sur le port
HTTP par défaut
Dans cet exemple, on suppose qu'un serveur Web tourne sur un
ordinateur et qu'il est configuré pour utiliser un port Web non standard. En
règle générale, un serveur Web utiliserait le port TCP/IP 80, mais dans ce
cas précis, il a été configuré de manière à utiliser le port 8000. Pour
autoriser les connexions entre ce serveur et les postes de travail, vous
allez devoir créer un service. Le service HTTP standard ne fonctionne
pas ici parce que nous n'utilisons plus le port HTTP standard. Ce
nouveau service est « Port HTTP 8000 »et il est basé sur le service
« HTTP »par défaut.
1. Sélectionnez le sous-domaine pour lequel vous souhaitez créer le
nouveau service dans l'onglet Domaines de stratégie.
2. Accédez à l'onglet Paramètres et ouvrez la page Services de
pare-feu. Cette page contient la Table des services de pare-feu.
3. Cliquez sur Ajouter pour démarrer l'Assistant des services de
pare-feu.
Etape 1.
Nom du service
1. Renseignez le champ Nom du service en attribuant un nom unique
au service. Deux services ne peuvent pas porter le même nom. Par
exemple, Port HTTP 8000.
2. Entrez un commentaire décrivant le service dans le champ
Commentaire sur le service. Le commentaire s'affichera dans la Table
des services de pare-feu.
274
275
Etape 2.
Numéro de protocole IP
Sélectionnez un numéro de protocole pour ce service dans la liste
déroulante Protocole. Vous pouvez sélectionner les protocoles les plus
fréquemment utilisés (TCP, UDP, ICMP). Si votre service utilise un autre
protocole, référez-vous à la table ci-dessous et entrez le numéro
approprié.
Dans cet exemple, sélectionnez TCP (6) dans la liste déroulante Numéro
de protocole IP : .
CHAPITRE 13
Nom du
protocole
Numéro
Nom complet
de
protocole
ICMP
1
Internet Control Message Protocol
IGMP
2
Internet Group Management Protocol
IPIP
4
IPIP Tunnels (IP in IP)
TCP
6
Transmission Control Protocol
EGP
8
Exterior Gateway Protocol
PUP
12
Xerox PUP routing protocol
UDP
17
User Datagram Protocol
IDP
22
Xerox NS Internet Datagram Protocol
IPV6
41
IP Version 6 encapsulation in IP version 4
RSVP
46
Resource Reservation Protocol
276
277
Etape 3.
GRE
47
Cisco Generic Routing Encapsulation (GRE)
Tunnel
ESP
50
Encapsulation Security Payload protocol
AH
51
Authentication Header protocol
PIM
103
Protocol Independent Multicast
COMP
108
Compression Header protocol
RAW
255
Raw IP packets
Ports émetteurs
Si votre service utilise le protocole TCP ou UDP, vous devez définir les
ports émetteurs couverts par le service. Le format de saisie des ports et
séries de ports est le suivant :
„
« >port » tous les ports supérieurs à port
„
« >=port » tous les ports égaux et supérieurs à port
„
« <port » tous les ports inférieurs à port
„
« <=port » tous les ports égaux ou inférieurs à port
„
« port », uniquement le port
„
« minport-maxport », minport et maxport plus tous les ports entre
minport et maxport. Notez qu'il n'y a pas d'espace de part et
d'autre du tiret.
Vous pouvez définir des combinaisons de ces éléments, séparées par
des virgules. Par exemple, les ports 10, 11, 12, 100, 101, 200 et
supérieurs à 1023 peuvent être définis sous la forme « 10-12, 100-101,
200, >1023 ».
CHAPITRE 13
Dans cet exemple, définissez le port émetteur comme >1023.
Etape 4.
Ports récepteurs
Si votre service utilise le protocole TCP ou UDP, vous devez définir les
ports récepteurs couverts par le service.
278
279
Dans cet exemple, définissez le port récepteur comme 8000.
Etape 5.
Numéro de classification
Sélectionnez un numéro de classification pour ce service dans la liste
déroulante. Vous pouvez accepter la valeur par défaut.
CHAPITRE 13
Etape 6.
Filtrage supplémentaire
Sélectionnez si un filtrage supplémentaire doit être appliqué au trafic
autorisé par le service que vous créez, outre le filtrage normal des
paquets et le filtrage dynamique.
280
281
Dans cet exemple, vous pouvez accepter la valeur par défaut, qui est
Désactivé.
Lorsque le service utilise le protocole TCP et que la fonction
Contrôle des applications n'est pas activée, vous pouvez
sélectionner Mode FTP actif dans le menu déroulant Filtrage
supplémentaire. Le mode FTP actif exige un traitement spécial de
la part du pare-feu, car les informations concernant le port à ouvrir
pour la connexion sont incluses dans les données transférées.
CHAPITRE 13
Etape 7.
Vérification et acceptation de la règle
1. Vous pouvez maintenant vérifier la règle. Si vous devez apporter un
changement quelconque à la règle, cliquez sur Précédent dans la
règle.
2. Cliquez sur Terminer pour fermer l'Assistant Règle. La règle que
vous venez de créer est maintenant affichée dans le Table des règles
de pare-feu.
Etape 8.
Mise en application de la nouvelle règle
Pour mettre en application ce nouveau service, vous devez créer une
nouvelle règle de protection Internet autorisant l'utilisation du service de
firewall HTTP 8000 dans le niveau de sécurité de la protection Internet
actuellement utilisé. Pour de plus amples informations sur la procédure à
suivre, reportez-vous à la section “Ajout d'une nouvelle règle de la
protection Internet avec alerte”, 200. Dans ce cas, vous pouvez
282
283
sélectionner le nouveau service dans la fenêtre Assistant Règle - Service
et vous ne devez définir aucune alerte dans la fenêtre Assistant Règle Options avancées.
13.6
Installer Dialup Control
Dialup Control vous permet de créer des listes de numéros de téléphone
autorisés et bloqués depuis le modem de liaison des utilisateurs.
Pour activer Dialup Control :
1. Sélectionner Afficher > Mode avancé pour passer au mode avancé
de l'interface utilisateur.
2. Depuis Stratégie Sélectionner l'onglet F-Secure > F-Secure Internet
Shield > Settings > Dialup Control > Dialup Control.
3. Sélectionner « activé » pour mettre en marche Dialup Control.
4. Cliquez sur
pour enregistrer les données de stratégie.
5. Cliquez sur
pour diffuser la stratégie.
13.6.1 Autoriser et bloquer des numéros de téléphone
Pour ajouter un nouveau numéro autorisé ou bloqué :
1. Sélectionner Afficher > Mode avancé pour passer au mode avancé
de l'interface utilisateur.
2. Depuis Stratégie Sélectionner l'onglet F-Secure > F-Secure Internet
Shield > Paramètres > Dialup Control > Numéros de téléphone.
3. Cliquez sur Ajouter.
4. Double-cliquez sur la nouvelle ligne dans la colonne Priorités pour
définir la priorité pour la règle.
Si deux règles correspondent à un numéro de téléphone, la règle
avec la priorité dont le numéro est le moins élevé s'applique,
c'est-à-dire qu'une règle avec une priorité de 1 écrasera une règle
avec une priorité de 3.
CHAPITRE 13
5. Double-cliquez sur la nouvelle ligne dans la colonne Numéro de
téléphone pour ajouter les numéros de téléphone auxquels la règle
s'applique. Vous pouvez utiliser les caractères suivants pour
appliquer une règle à de multiples numéros de téléphone.
Caractère
S'applique à:
Exemple
?
Correspond à tout chiffre
seul
1?3 correspond aux
numéros suivants : 103,
113, 123,133,143,
153,163,173,183,193.
*
Correspond à tout nombre
de chiffres
0800* correspond à tous
les numéros de téléphone
commençant par 0800
6. Sélectionner pour autoriser ou refuser d'autoriser ou empêcher le
modem d'appeler les numéros de téléphone correspondants.
7. Double-cliquez sur la nouvelle ligne dans la colonne Commentaire et
ajouter une description pour expliquer le but de la règle aux autres
T-TeleSec SDS Policy Manager utilisateurs.
8. Sélectionner Oui pour appliquer la nouvelle règle.
9. Cliquez sur
pour enregistrer les données de stratégie.
10. Cliquez sur
pour diffuser la stratégie.
13.6.2 Enregistrement des appels
Pour activer l'enregistrement des numéros composés :
1. Sélectionner Afficher > Mode avancé pour passer au mode avancé
de l'interface utilisateur.
2. Depuis Stratégie Sélectionner l'onglet F-Secure > F-Secure Internet
Shield > Paramètres > Dialup Control > Numéro d'enregistrement.
3. Sélectionner « activé » pour enregistrer les numéros que le modem
appelle.
284
285
4. Cliquez sur
pour enregistrer les données de stratégie.
5. Cliquez sur
pour diffuser la stratégie.
A
ANNEXE :
Modification de
PRODSETT.INI
Présentation ............................................................................. 287
Paramètres configurables dans Prodsett.ini............................. 287
286
287
A.1
Présentation
Le fichier Prodsett.ini indique au programme d'installation les modules à
installer, ainsi que leur emplacement d'installation (répertoires de
destination) sur les postes de travail. Cette annexe présente la liste des
paramètres pouvant être modifiés dans prodsett.ini.
AVERTISSEMENT : ne modifiez pas de paramètres de
prodsett.ini qui ne sont pas inclus dans cette annexe.
Dépendance entre les paramètres RequestInstallMode et
InstallMode :
Les paramètres RequestInstallMode ont préséance sur la sélection
des composants dont InstallMode=0.
A.2
Paramètres configurables dans Prodsett.ini
Vous pouvez modifier les paramètres suivants dans le fichier prodsett.ini.
[F-Secure common]
Paramètres communs
CD-Key=XXXX-XXXX-XXXX-XXXX-XXXX
Entrez la clé de CD du logiciel d'installation.
SetupLanguage=ENG
Langue d'installation appliquée.
Si le paramètre est vide ou défini sur « AUTO », la
langue d'installation est choisie automatiquement
au niveau de l'hôte en fonction des paramètres
régionaux système par défaut. Le choix est limité
au jeu de langues prises en charge (voir
SupportedLanguages).
SetupMode=1
1 = client réseau (valeur par défaut). Si
SetupMode=1, les paramètres de gestion
centralisée correspondant doivent être définis
dans la section [PMSUINST.DLL].
2 = mode d'installation autonome.
ANNEXE A
[F-Secure common]
Paramètres communs
SupportedLanguages=ENG FRA DEU FIN SVE
ITA
Liste des langues prises en charge par le logiciel
d'installation.
Vous pouvez réduire la palette de langues en
omettant les langues inutiles et en recompactant
le module.
Lorsque vous ajoutez la prise en charge d'une
nouvelle langue dans le logiciel, ajoutez cette
langue ici pour rendre le changement effectif.
InstallLanguages=ENG FRA DEU FIN SVE ITA
Liste des langues installées sur l'hôte. La valeur
de ce paramètre est généralement identique à
« SupportedLanguages ».
Vous pouvez réduire la palette de langues si vous
voulez que certaines langues dont vous n'avez
pas besoin ne soient pas installées.
Lorsque vous ajoutez la prise en charge d'une
nouvelle langue dans le logiciel, ajoutez cette
langue ici pour rendre le changement effectif pour
le logiciel installé.
Les fichiers linguistiques de la langue définie par
le paramètre SetupLanguage sont toujours
installés indépendamment du paramètre
InstallLanguages.
288
289
[F-Secure common]
Paramètres communs
SecurityPolicy=0 | 1 | 2
Les fichiers et dossiers installés en NTFS et les
clés de registre du produit sont protégés par les
autorisations de sécurité NT conformément à la
stratégie de sécurité définie (SecurityPolicy) :
0 = pas de stratégie particulière ; les fichiers et
dossiers héritent des autorisations de sécurité du
parent.
1 = stratégie moins stricte ; les fichiers et dossiers
sont protégés par des autorisations donnant un
accès complet aux utilisateurs autorisés et aux
administrateurs, et un accès en lecture seule à
tous les autres.
2 = stratégie stricte ; les fichiers et dossiers sont
protégés par des autorisations donnant un accès
complet aux administrateurs, un accès en
lecture-écriture aux utilisateurs avancés, un
accès en lecture seule aux utilisateurs et aucun
accès à tous les autres.
Remarque : lorsque SecurityPolicy = 1 ou 2, le
programme d'installation écrase les listes de
contrôle d'accès (ACL) des fichiers, dossiers et
clés de registre existant. Si vous avez
personnalisé la configuration des listes de
contrôle d'accès, par exemple, en y ajoutant des
utilisateurs, vous devez procéder à leur
reconfiguration après l'installation.
ANNEXE A
[Silent Setup]
Paramètres utilisés par l'installation
automatique
DestinationDirUnderProgramFiles=F-Secure
Chemin de destination par défaut. Ne modifiez
pas ce paramètre, à moins que votre entreprise
ne suive une stratégie d'installation spécifique.
Reboot=2
1 = Redémarrer automatiquement l'ordinateur
après l'installation. Attention : cette option
exécute un « redémarrage forcé » sur l'hôte sans
inviter l'utilisateur à enregistrer son travail.
N'utilisez cette option que si vous êtes
absolument sûr que ce type de redémarrage est
sans risque pour l'ordinateur de destination.
2 = Redémarrer après confirmation de l'utilisateur.
Remarque : cette option exécute un
« redémarrage normal » de l'hôte et donc, dans
certains cas, l'utilisateur peut retarder le
redémarrage et même l'empêcher complètement.
(valeur par défaut)
3 = Ne pas redémarrer l'ordinateur après
l'installation.
290
291
[FSMAINST.DLL]
Paramètres de F-Secure Management Agent
RequestInstallMode=1
Ce composant est systématiquement installé lors
de l'installation d'un client réseau. Il ne nécessite
pas la modification des paramètres
RequestInstallMode ni InstallMode.
ManagementKey=\\serveur\chemin\admin.pub
Emplacement de la clé publique de gestion.
ManagedStandAlone=
Paramètre significatif uniquement dans les
installations autonomes.
0 = Installations autonomes normales, aucun
fichier de stratégie ne peut être importé. (valeur
par défaut)
1 = L'administration des composants installés est
effectuée via des stratégies importées
manuellement.
win2000renamefiles=fsrec.2k|fsrec.sys;fsfilte
r.2k|fsfilter.sys;fsgk.2k|fsgk.sys
InstallFSPKIH=0
InstallNetworkProvider=0
InstallGINA=0
RedefineSettings=0
ServiceProviderMode=0
MibVersion=
GatekeeperVersion=
StatisticsFilterPattern1=
Ne modifiez pas ces paramètres !
ANNEXE A
[FSMAINST.DLL]
Paramètres de F-Secure Management Agent
UseOnlyUID=
0 = F-Secure Management Agent utilise
uniquement toutes les identités disponibles (nom
DNS, adresse IP, nom WINS, Identité unique)
pour s'identifier la première fois auprès du
F-Secure Policy Manager Server.
1 = F-Secure Management Agent utilise
uniquement son Identité unique pour s'identifier
auprès du F-Secure Policy Manager Server.
Debug=1
0 = Ne pas générer d'informations de débogage.
(valeur par défaut)
1 = Ecrire les informations de débogage dans le
journal de débogage pendant l'installation et la
désinstallation.
InstallMode=0 | 1
Ce composant est systématiquement installé lors
de l'installation d'un client réseau. Il ne nécessite
pas la modification des paramètres
RequestInstallMode ni InstallMode.
[PMSUINST.DLL]
Paramètres pour la prise en charge de
F-Secure Policy Manager
RequestInstallMode=0
Ce composant est systématiquement installé lors
de l'installation d'un client réseau. Il ne nécessite
pas la modification des paramètres
RequestInstallMode ni InstallMode.
FsmsServerUrl=http://fsmsserver
URL vers le F-Secure Policy Manager Server.
FsmsExtensionUri=/fsms/fsmsh.dll
Ne modifiez pas ce paramètre.
292
293
[PMSUINST.DLL]
Paramètres pour la prise en charge de
F-Secure Policy Manager
FsmsCommdirUri=/commdir
Ne modifiez pas ce paramètre.
Debug=1
0 = Ne pas générer d'informations de débogage.
(valeur par défaut)
1 = Ecrire les informations de débogage dans le
journal de débogage pendant l'installation et la
désinstallation.
InstallMode=0 | 1
Ce composant est systématiquement installé lors
de l'installation d'un client réseau. Il ne nécessite
pas la modification des paramètres
RequestInstallMode ni InstallMode.
ANNEXE A
[FSAVINST.DLL]
Paramètres pour F-Secure Client Security Protection antivirus
RequestInstallMode=1
0 = Installer ce composant tel que défini dans le
paramètre InstallMode.
1 = Installer si une version précédente de ce
composant est détectée ou si aucune version
n'est détectée (valeur par défaut).
2 = Installer ce composant si aucune version
existante n'est installée, ou si la même version ou
une version plus ancienne existe.
DeleteOldDirectory=0
0 = Si F-Secure Anti-Virus 4.x est installé sur
l'ordinateur, F-Secure Anti-Virus 5.x ne sera pas
installé et l'installation sera abandonnée. Ce
paramètre s'applique en mode d'installation
silencieuse uniquement (valeur par défaut).
1 = Si F-Secure Anti-Virus 4.x est installé sur
l'ordinateur, F-Secure Anti-Virus 5.x sera installé
et F-Secure Anti-Virus 4.x sera désinstallé. Le
répertoire d'installation de F-Secure Anti-Virus 4.x
et tous les fichiers (y compris dans tous les
sous-répertoires) seront supprimés. Ce
paramètre s'applique en mode d'installation
silencieuse uniquement.
InstallService_F-Secure AVP=1
0 = Ne pas installer AVP (NT4, Win2000, WinXP).
1 = Installer (valeur par défaut).
InstallService_F-Secure Libra=1
0 = Ne pas installer Libra (NT4, Win2000,
WinXP).
1 = Installer (valeur par défaut).
InstallService_F-Secure Orion=1
0 = Ne pas installer Orion (NT4, Win2000,
WinXP).
1 = Installer (valeur par défaut).
294
295
[FSAVINST.DLL]
Paramètres pour F-Secure Client Security Protection antivirus
EnableRealTimeScanning=1
0 = Désactiver l'analyse en temps réel
1 = Activer l'analyse en temps réel (valeur par
défaut)
Debug=1
0 = Ne pas générer d'informations de débogage.
(valeur par défaut)
1 = Ecrire les informations de débogage dans le
journal de débogage pendant l'installation et la
désinstallation.
InstallMode=0 | 1
0 = Ne pas installer ce composant. (valeur par
défaut)
1 = Installer ce composant, sauf si une version
plus récente existe déjà.
[FSSGSUP.DLL]
Paramètres du module de détection et
d'élimination des conflits
RequestInstallMode=1
Ce composant est systématiquement exécuté à
l'installation. Il ne nécessite pas la modification
des paramètres RequestInstallMode ni
InstallMode.
ANNEXE A
[FSSGSUP.DLL]
Paramètres du module de détection et
d'élimination des conflits
Debug=0 | 1
0 = Ne pas générer d'informations de débogage.
(valeur par défaut)
1 = Ecrire les informations de débogage dans le
journal de débogage pendant l'installation et la
désinstallation.
InstallMode=0 | 1
Ce composant est systématiquement exécuté à
l'installation. Il ne nécessite pas la modification
des paramètres RequestInstallMode ni
InstallMode.
SidegradeAction=0
0 = Supprimer automatiquement tous les conflits
détectés. (valeur par défaut)
1 = Annuler l'installation si un logiciel faisant
conflit est installé.
296
297
[MEHINST.DLL]
Paramètres pour la prise en charge de SNMP
RequestInstallMode=1
0 = Installer ce composant tel que défini dans le
paramètre InstallMode.
1 = Installer si une version précédente de ce
composant est détectée ou si aucune version
n'est détectée (valeur par défaut).
2 = Installer ce composant si aucune version
existante n'est installée, ou si la même version ou
une version plus ancienne existe.
Debug=0 | 1
0 = Ne pas générer d'informations de débogage.
(valeur par défaut)
1 = Ecrire les informations de débogage dans le
journal de débogage pendant l'installation et la
désinstallation.
InstallMode=0 | 1
0 = Ne pas installer ce composant. (valeur par
défaut)
1 = Installer ce composant, sauf si une version
plus récente existe déjà.
ANNEXE A
[ES_Setup.DLL]
Paramètres d'installation de l'analyse de
courrier électronique
RequestInstallMode=1
0 = Installer ce composant tel que défini dans le
paramètre InstallMode.
1 = Installer si une version précédente de ce
composant est détectée ou si aucune version
n'est détectée (valeur par défaut).
2 = Installer ce composant si aucune version
existante n'est installée, ou si la même version ou
une version plus ancienne existe.
Debug=0 | 1
0 = Ne pas générer d'informations de débogage.
(valeur par défaut)
1 = Ecrire les informations de débogage dans le
journal de débogage pendant l'installation et la
désinstallation.
InstallMode=0 | 1
0 = Ne pas installer ce composant. (valeur par
défaut)
1 = Installer ce composant, sauf si une version
plus récente existe déjà.
298
299
[FWESINST.DLL]
Paramètres pour le composant interne commun FWES.
RequestInstallMode=1
0 = Installer ce composant tel que défini dans le paramètre
InstallMode.
1 = Installer si une version précédente de ce composant est
détectée ou si aucune version n'est détectée (valeur par
défaut).
2 = Installer ce composant si aucune version existante n'est
installée, ou si la même version ou une version plus
ancienne existe.
Debug=0 | 1
0 = Ne pas générer d'informations de débogage. (valeur par
défaut)
1 = Ecrire les informations de débogage dans le journal de
débogage pendant l'installation et la désinstallation.
InstallMode=0 | 1
0 = Ne pas installer ce composant. (valeur par défaut)
1 = Installer ce composant, sauf si une version plus récente
existe déjà.
ANNEXE A
[FWINST.DLL]
Paramètres de F-Secure Client Security - Protection
Internet
RequestInstallMode=1
0 = Installer ce composant tel que défini dans le paramètre
InstallMode.
1 = Installer si une version précédente de ce composant est
détectée ou si aucune version n'est détectée (valeur par
défaut).
2 = Installer ce composant si aucune version existante n'est
installée, ou si la même version ou une version plus
ancienne existe.
Debug=0 | 1
0 = Ne pas générer d'informations de débogage. (valeur par
défaut)
1 = Ecrire les informations de débogage dans le journal de
débogage pendant l'installation et la désinstallation.
InstallMode=0 | 1
0 = Ne pas installer ce composant. (valeur par défaut)
1 = Installer ce composant, sauf si une version plus récente
existe déjà.
InstallDC=0 | 1
0 = Ne pas installer le contrôle d'accès à distance. (valeur
par défaut)
1 = Installer le contrôle d'accès à distance
InstallNetworkQuarantine=0 | 1
0 = Ne pas installer la quarantaine réseau. (valeur par
défaut)
1 = Installer la quarantaine réseau.
DisableWindowsFirewall=0 | 1
0 = Ne pas installer le pare-feu Windows (sur XP SP2 ou
versions ultérieures). (valeur par défaut)
1 = Désactiver le pare-feu Windows après l'installation de la
protection Internet.
300
301
[FSBWINST.DLL]
Paramètres de F-Secure Automatic Update Agent
RequestInstallMode=1
0 = Installer ce composant tel que défini dans le paramètre
InstallMode.
1 = Installer si une version précédente de ce composant est
détectée ou si aucune version n'est détectée (valeur par
défaut).
2 = Installer ce composant si aucune version existante n'est
installée, ou si la même version ou une version plus
ancienne existe.
InstallMode=0 | 1
0 = Ne pas installer ce composant. (valeur par défaut)
1 = Installer ce composant, sauf si une version plus récente
existe déjà.
[FSPSINST.DLL]
Paramètres pour F-Secure Client Security - Analyseur
de réseau
RequestInstallMode=1
0 = Installer ce composant tel que défini dans le paramètre
InstallMode.
1 = Installer si une version précédente de ce composant est
détectée ou si aucune version n'est détectée (valeur par
défaut).
2 = Installer ce composant si aucune version existante n'est
installée, ou si la même version ou une version plus
ancienne existe.
Debug=0 | 1
0 = Ne pas générer d'informations de débogage. (valeur par
défaut)
1 = Ecrire les informations de débogage dans le journal de
débogage pendant l'installation et la désinstallation.
InstallMode=0 | 1
0 = Ne pas installer ce composant. (valeur par défaut)
1 = Installer ce composant, sauf si une version plus récente
existe déjà.
ANNEXE A
[FSPSINST.DLL]
Paramètres pour F-Secure Client Security - Analyseur
de réseau
DisableScanningForApps=
Wget.exe,mplayer.exe
Désactiver l'analyse réseau pour certains exécutables.
C'est une liste de noms d'exécutables sans chemin d'accès,
séparée par des virgules.
Remarque : aucun espace n'est autorisé entre les éléments.
EnableHTTPScanning=1
0 = Analyse HTTP désactivée
1 = Analyse HTTP activée
StartImmediatelyForApps=
iexplore.exe,firefox.exe,
netscape.exe,opera.exe,
msimn.exe,outlook.exe, mozilla.exe
Ce paramètre définit les exécutables devant démarrer
immédiatement l'analyse HTTP. Les autres processus
passent en mode d'analyse uniquement après le premier
accès à un port de serveur externe 80.
C'est une liste de noms d'exécutables sans chemin d'accès,
utilisant la virgule comme séparateur.
Remarque : aucun espace n'est autorisé entre les éléments.
302
303
[FSNACINS.DLL]
Paramètres pour la prise en charge de NAC Cisco
RequestInstallMode=1
0 = Installer ce composant tel que défini dans le paramètre
InstallMode.
1 = Installer si une version précédente de ce composant est
détectée ou si aucune version n'est détectée (valeur par
défaut).
2 = Installer ce composant si aucune version existante n'est
installée, ou si la même version ou une version plus
ancienne existe.
CTAversion=1.0.55
CTAversion définit la version de l'agent d'approbation Cisco
inclus dans le package. Le package d'installation de l'agent
d'approbation Cisco peut être mis à jour en remplaçant le
fichier ctasetup.msi dans le répertoire où réside le fichier
prodsett.ini.
Debug=0 | 1
0 = Ne pas générer d'informations de débogage. (valeur par
défaut)
1 = Ecrire les informations de débogage dans le journal de
débogage pendant l'installation et la désinstallation.
InstallMode=0 | 1
0 = Ne pas installer ce composant. (valeur par défaut)
1 = Installer ce composant, sauf si une version plus récente
existe déjà.
ANNEXE A
304
B
ANNEXE :
Messages d'alerte et
d'erreur de l'analyse du
courrier électronique
Présentation ............................................................................. 306
305
ANNEXE B
B.1
306
Présentation
Cette section fournit une liste des messages d'alerte et d'erreur que
l'analyse du courrier électronique.
Echec de la session d'analyse du courrier électronique : erreur
système
ID du message : 602
Message : « La connexion au serveur <nom du serveur> a été
terminée par la fonction d'analyse du courrier électronique, en raison
d'une erreur système. La fonction d'analyse du courrier électronique
reste opérationnelle. »
Dysfonctionnement de l'analyse du courrier électronique : erreur
système
ID du message : 603
Message : « La fonction d'analyse du courrier électronique n'est pas
opérationnelle en raison d'une erreur grave. Si le problème persiste,
contactez l'administrateur système. »
Echec du filtrage des messages de l'analyse du courrier
électronique : erreur système
ID du message : 604
Message : « Impossible d'analyser un message en raison d'une
erreur du système de filtrage des messages. La session n'a pas été
annulée, mais le message concerné n'a pas été analysé. »
Echec de l'initialisation de l'analyse du courrier électronique
ID du message : 610
Message : « Echec de l'initialisation de la fonction d'analyse du
courrier électronique, motif : <pour obtenir la raison, voir ci-dessus> »
Alerte : virus dans une pièce jointe
ID du message : 620-623
Définition : Lorsqu'un virus est trouvé, il est traité en fonction de la
configuration avancée de F-Secure Anti-Virus Client Security. Les
options de traitement des virus sont : Avertir uniquement, nettoyer ou
éliminer.
307
Possibilités d'actions effectuées :
•
L'infection a uniquement été signalée.
•
La pièce jointe a été nettoyée.
•
La pièce jointe a été supprimée.
•
Le message électronique infecté a été bloqué.
Message :
Alerte : virus trouvé dans le courrier électronique.
Infection : <Nom du virus>
Pièce jointe : <Partie du message, fichier joint qui était
infecté>
Action : <Action effectuée>
Message <ID du message>
De : <En-tête de message : adresse enregistrée de
l'expéditeur>
A : <En-tête de message : adresse enregistrée du
destinataire>
Objet : <En-tête de message : Objet enregistré du message>
Alerte : courrier électronique déformé
ID du message : 630-633
Définition : Lorsqu'un message déformé est trouvé, il est traité en
fonction de la configuration avancée de F-Secure Anti-Virus Client
Security. Les options de traitement des messages déformés sont : La
partie déformée du message a uniquement été signalée, La partie
déformée du message a été supprimée, Le message électronique
déformé a été bloqué.
Possibilités d'actions effectuées :
•
La partie déformée du message a uniquement été signalée.
•
La partie déformée du message a été supprimée.
•
Le message électronique déformé a été bloqué.
ANNEXE B
Message :
Alerte : courrier électronique déformé.
Description : <description de la déformation.>
Partie du message : <partie du message déformée>
Action : <Action effectuée>
Message <ID du message>
De : <En-tête de message : adresse enregistrée de
l'expéditeur>
A : <En-tête de message : adresse enregistrée du
destinataire>
objet : <En-tête de message : Objet enregistré du message>
Echec de l'analyse d'une pièce jointe à un message électronique
ID du message : 640-643
Définition : Lorsqu'une analyse échoue, le message est traité en
fonction de la configuration définie dans la configuration avancée.
Les options de traitement d'un message qui ne peut être
correctement analysé sont : L'échec de l'analyse a uniquement été
signalé, La pièce jointe a été supprimée, Le message a été bloqué.
Raisons de l'échec de l'analyse :
•
Dépassement du délai d'analyse au niveau du fichier
•
Dépassement du délai d'analyse au niveau de la messagerie
•
Pièce jointe contenue dans un fichier zip protégé par mot de
passe
•
Erreur à l'analyse de la pièce jointe (espace disque insuffisant,
mémoire insuffisante, etc.)
Possibilités d'actions effectuées :
•
L'échec de l'analyse a uniquement été signalé.
•
La pièce jointe a été supprimée.
•
Le message a été bloqué.
308
309
Message :
Echec de l'analyse d'une pièce jointe à un message
électronique
Motif : <Description de l'échec de l'analyse.>
Pièce jointe : <Pièce jointe à l'origine de l'échec>
Action : <Action effectuée>
Message <ID du message>
De : <En-tête de message : adresse enregistrée de
l'expéditeur>
A : <En-tête de message : adresse enregistrée du
destinataire>
objet : <En-tête de message : Objet enregistré du message >
ANNEXE B
310
C
ANNEXE :
PRODUITS DÉTECTÉS OU
SUPPRIMÉS LORS DE
L'INSTALLATION DU
CLIENT
Présentation ............................................................................. 312
311
ANNEXE C
C.1
Présentation
Pendant le processus d'installation de F-Secure Client Security, ces
produits sont soit détectés de sorte que l'utilisateur puisse les désinstaller
manuellement, soit ils sont désinstallés automatiquement :
„
Agnitum Outpost Firewall Pro 1.0
„
AOL Safety and Security Center
„
avast! Antivirus
„
AVG Anti-Virus 7.0
„
AVG Free Edition
„
AVG Anti-Virus 7.0
„
AVG 7.5
„
Avira AntiVir PersonalEdition Classic
„
Avira AntiVir PersonalEdition Premium
„
Avira AntiVir Windows Workstation
„
Avira Premium Security Suite
„
BitDefender Antivirus v10
„
BitDefender Antivirus Plus v10
„
BitDefender 8 Free Edition
„
BitDefender 9 Internet Security
„
BitDefender Internet Security v10
„
BitDefender 9 Professional Plus
„
BitDefender 9 Standard
„
BitDefender Total Security 2008
„
Bsecure Internet Protection Services v.4.5
„
BullGuard 7.0
„
CA Anti-Virus
„
CA eTrust Antivirus
„
CA eTrust Antivirus
„
eTrust EZ Antivirus
„
EZ Firewall
312
313
„
CA Internet Security Suite
„
Pare-feu du client VPN Cisco
„
VirusScan de Dr Solomon
„
EarthLink Protection Control Center
„
EarthLink Protection Control Center
„
Logiciel EarthLink
„
EarthLink Toolbar
„
EMBARQ Toolbar (géré par EarthLink)
„
PC Antivirus
„
F-PROT Antivirus for Windows
„
FortiClient
„
F-Secure Anti-Spyware
„
F-Secure Anti-Virus Client Security
„
Produit F-Secure non compatible
„
F-Secure Anti-Spyware
„
Produit endommagé ou désinstallé de façon incomplète
„
Client F-Secure VPN+
„
G DATA AntiVirenKit (version allemande uniquement)
„
G DATA InternetSecurity (version allemande uniquement)
„
G DATA TotalCare (version allemande uniquement)
„
AntiVirenKit 2005
„
H+BEDV AntiVir Personal Edition
„
iProtectYou 7.09
„
Jiangmin Antivirus Software (version anglaise uniquement)
„
K7 TotalSecurity 2006
„
Kaspersky Anti-Spam Personal
„
Kaspersky Anti-Virus 6.0 (version anglaise uniquement)
„
Kaspersky Internet Security 6.0 (version anglaise uniquement)
„
Kaspersky Internet Security 6.0 (version anglaise uniquement)
„
Kaspersky(TM) Anti-Virus Personal 4.0
„
Kaspersky(TM) Anti-Virus Personal Pro 4.0
ANNEXE C
„
Kaspersky(TM) Anti-Virus Personal 4.5
„
Kaspersky Anti-Virus Personal Pro
„
Kaspersky Anti-Virus Personal
„
Kerio Personal Firewall
„
Kingsoft Internet Security (version anglaise uniquement)
„
McAfee SecurityCenter
„
McAfee VirusScan
„
McAfee VirusScan Enterprise
„
McAfee VirusScan Home Edition
„
McAfee Internet Security
„
McAfee Uninstall Wizard
„
McAfee Personal Firewall
„
McAfee Personal Firewall Plus
„
McAfee Privacy Service
„
McAfee SecurityCenter
„
McAfee SpamKiller
„
McAfee VirusScan
„
McAfee VirusScan
„
McAfee VirusScan Professional Edition
„
McAfee VirusScan
„
McAfee SecurityCenter
„
McAfee Total Protection
„
McAfee Browser Protection Service
„
McAfee Virus and Spyware Protection Service
„
McAfee Personal Firewall Express
„
McAfee Firewall Protection Service
„
McAfee Firewall
„
Windows Live OneCare
„
Agent NAI ePolicy Orchestrator
„
Agent NAI ePolicy Orchestrator
„
NIC v5.50
314
315
„
Norman Personal Firewall 1.42
„
Norman Virus Control
„
Système antivirus NOD32 (versions en anglais, français,
allemand, hongrois, roumain et espagnol, chinois simplifiée,
chinois traditionnel, tchéque, croate, italien, japonais,
néerlandais, polonais, portugais, russe et slovène uniquement)
„
PureSight Parental Control
„
Radialpoint Security Services
„
Radialpoint Servicepoint Agent 1.5.11
„
Sophos Anti-Virus
„
Sophos Anti-Virus
„
Sophos AutoUpdate
„
Sophos Remote Management System
„
Sunbelt Personal Firewall
„
Norton AntiVirus 2003
„
Norton AntiVirus 2005
„
Norton 360
„
Norton AntiVirus 2004 (Symantec Corporation)
„
Norton AntiVirus
„
Norton AntiVirus Corporate Edition
„
Norton Internet Security
„
Norton Internet Security 2005
„
Norton Internet Security 2006 (Symantec Corporation)
„
Norton Internet Security 2007
„
Norton Internet Security 2008
„
Norton Security Online
„
Norton SystemWorks 2004 Professional (Symantec Corporation)
„
Norton SystemWorks 2005 (Symantec Corporation)
„
Norton Personal Firewall (Symantec Corporation)
„
Norton Personal Firewall 2005
„
Symantec AntiVirus
„
Symantec AntiVirus
ANNEXE C
„
Symantec AntiVirus Client
„
Symantec Client Security
„
Symantec Client Security
„
Symantec Endpoint Protection
„
LiveUpdate 1.7 (Symantec Corporation)
„
LiveUpdate 1.80 (Symantec Corporation)
„
LiveUpdate 2.6 (Symantec Corporation)
„
LiveUpdate 1.6 (Symantec Corporation)
„
LiveUpdate
„
LiveUpdate 2.0 (Symantec Corporation)
„
LiveUpdate 3.3 (Symantec Corporation)
„
Panda Antivirus 2007
„
Panda Antivirus + Firewall 2007
„
Panda ClientShield
„
Panda Internet Security 2008
„
Panda Antivirus Platinum
„
Panda Platinum Internet Security
„
Panda Platinum 2005 Internet Security (version anglaise
uniquement)
„
Panda Platinum 2006 Internet Security
„
Panda Internet Security 2007
„
Panda Titanium Antivirus 2004
„
Panda Titanium Antivirus 2005 (versions en anglais, français et
anglais uniquement)
„
Panda Titanium 2006 Antivirus + Antispyware
„
Trend Micro Officescan (Windows 2000 uniquement)
„
Trend Micro OfficeScan Client
„
PC-cillin 2003
„
Trend Micro PC-cillin Internet Security 12
„
Trend Micro PC-cillin Internet Security 2005
„
Trend Micro PC-cillin Internet Security 2006
316
317
„
Trend Micro Internet Security
„
Trend Micro AntiVirus 2007
„
Trend Micro PC-cillin Internet Security 2007
„
Trend Micro Internet Security Pro
„
ZoneAlarm
„
ZoneAlarm Security Suite
„
ZoomTownInternetSecurity v.4.5
GLOSSAIRE
318
319
ActiveX
ActiveX est un ensemble de technologies de Microsoft activant le
contenu interactif pour le World Wide Web. Étant donné que les
paramètres de sécurité d'ActiveX dans Internet Explorer permettent
d'autoriser les pages Web à installer automatiquement les
commandes d'ActiveX en arrière-plan, ils peuvent représenter une
menace de sécurité importante. Les commandes d'ActiveX peuvent
accéder aux fichiers contenus sur votre disque dur.
Logiciel publicitaire
Un logiciel publicitaire est un logiciel espion regroupant des
informations personnelles et les envoyant à un publicitaire afin
d'afficher des fenêtres publicitaires lorsque vous naviguez sur
Internet. Un logiciel publicitaire suit généralement votre
comportement de navigation sur le Web et l'envoie à des tiers sans
votre autorisation ou sans que vous ne le sachiez.
Alerte
Message généré par un produit F-Secure en cas de problème avec
un programme ou une opération. Des alertes sont également
générées lorsqu'un virus est détecté. L'administrateur et l'utilisateur
peuvent définir les alertes à générer soit en définissant des règles de
firewall soit en activant ou en désactivant des alertes spécifiques.
L'acceptation ou le refus d'un paquet réseau spécifique, des paquets
comportant des indicateurs incorrects, des fragments trop petits ou
une fragmentation incorrecte constituent également des événements
générateurs d'alertes.
Application
Programme logiciel écrit pour un usage spécifique. Généralement,
les applications sont démarrées manuellement.
Contrôle des applications
Le contrôle des applications est une fonction de protection Internet de
F-Secure qui vérifie automatiquement si une application est autorisée
à se connecter à Internet à partir de votre ordinateur en contrôlant si
l'application figure dans la liste des logiciels sûrs (pré-approuvés) et
des logiciels malveillants connus (chevaux de Troie, etc.).
CHAPITRE D
Authentification
Acte de vérification de l'identité de quelqu'un.
Autorisation
Droit d'exécuter une action sur un objet. Il s'agit également de l'acte
de prouver ce droit.
Porte dérobée
Application ou extension malveillante qui ouvre une possibilité pour
un utilisateur distant d'accéder à l'ordinateur attaqué. Il s'agit très
souvent d'une application qui ouvre un ou plusieurs ports d'écoute et
attend des connexions de l'extérieur, mais il existe des variantes de
ce schéma. Nombre de virus, chevaux de Troie et vers installent des
portes dérobées pour perpétrer leurs méfaits.
Bit
Plus petite unité de taille de mémoire ; ces unités sont regroupées en
ensembles appelés « octets » organisés en schéma séquentiel pour
exprimer du texte, des nombres ou d'autres informations détaillées
reconnaissables par l'unité centrale de l'ordinateur.
Trafic de diffusion
Le trafic de diffusion provient d'un ordinateur spécifique et est envoyé
à l'ensemble d'un réseau ou d'un sous-réseau. Ce trafic utilise
généralement les mécanismes de diffusion du réseau local (p. ex.
Ethernet) et n'est pas transféré entre réseaux.
Détournement du navigateur
Une application qui tente de contrôler votre page de démarrage Web
ou d'autres sites Web susceptibles d'être consultés, est appelée un
programme tentant de détourner votre navigateur. Le programme
tentant de détourner votre navigateur essaie de vous amener à
consulter un site Web pour influer le trafic en vue d'augmenter les
revenus liés à la publicité.
Octet
Ensemble de bits représentant un seul caractère. Un octet comprend
8 bits.
320
321
Certificat
Voir Clé publique.
Client
Programme utilisé pour communiquer avec un programme serveur
installé sur un autre ordinateur et en obtenir des données.
Connexion
Raccourci pour « connexion réseau ». Ce terme désigne soit la
connexion entre l'ordinateur et le réseau, soit des connexions
individuelles établies avec des hôtes distants à partir de l'ordinateur
local ou à partir d'hôtes distants avec l'ordinateur local. Pour TCP, ce
terme équivaut à « connexion TCP » ; pour les autres protocoles
TCP/IP, il désigne tous les datagrammes appartenant à la même
session de communication.
Corrompu
Relatif à des données modifiées ou altérées sans l'autorisation ou
l'accord de l'utilisateur.
Analyse de données
L’analyse de données est un programme pouvant collecter des
informations personnelles sur votre navigation et utilisation des sites
Web, notamment des données regroupées à partir de formulaires
renseignés et soumis pour différents sites Web. L’analyse de
données est généralement exécutée sans que vous le sachiez.
DoS (refus de service)
Tentative explicite de pirates informatiques d'empêcher les
utilisateurs légitimes d'accéder à un service en interrompant les
connexions, en « inondant » un réseau ou en empêchant un individu
d'accéder au réseau.
Assistant de nettoyage
Une boîte de dialogue de l'interface utilisateur qui guide l'utilisateur
dans le nettoyage de virus. Cet assistant apparaît sur l'interface
utilisateur locale lorsqu'un virus est détecté.
CHAPITRE D
Nom de domaine
Nom unique qui identifie un site Internet (par exemple,
F-Secure.com).
DNS (système de nom de domaine)
DNS est la façon dont les noms de domaines Internet sont localisés
et convertis en adresses IP (Internet Protocol). Un nom de domaine
est un « pointeur » facile à retenir et menant à une adresse Internet.
Par exemple, l'adresse Internet www.un.domaine.org est un nom
DNS.
Analyse du courrier électronique
Analyse et nettoyage des messages électroniques afin d'éliminer les
virus et le contenu malveillants dans la pile réseau d'un hôte. Il vise à
éviter que des virus et tout autre contenu malveillant infecte le client
de messagerie électronique de l'hôte.
Observateur d'événements
Module qui tient à jour des fichiers journaux sur les événements de
programme, sécurité et système de votre ordinateur. Vous pouvez
utiliser l'observateur d'événements pour visualiser et gérer les
journaux d'événements, collecter des informations sur les problèmes
de matériel et de logiciel, ainsi que pour surveiller les événements de
sécurité Windows.
Extension
Raccourci pour : extension de fichier. L'extension de fichier est le
suffixe ajouté à un nom de fichier pour indiquer le type du fichier. Par
exemple, l'extension EXE indique que le fichier est exécutable.
Fausse alerte
Une fausse alerte est une alerte qui indique à tort que l'événement
correspondant s'est produit. Dans la protection F-Secure, le texte de
l'alerte l'indique généralement avec des mots tels que « probable »
ou « possible ». Les alertes de ce type devraient être éliminées ou en
nombre réduit.
322
323
Pare-feu
Combinaison de matériel et de logiciels qui fractionne un réseau en
deux zones ou plus pour des raisons de sécurité.
FTP
Méthode très répandue de transfert de fichiers entre deux sites
Internet.
Heuristique
Méthode exploratoire de résolution de problèmes utilisant des
techniques d'auto-apprentissage.
Application cachée
Les applications cachées ne sont pas visibles, le processus de
l’application et le fichier sont tous deux cachés pour les utilisateurs. Il
est possible qu’un rootkit masque l’application dans le gestionnaire
des tâches Windows.
Lecteur caché
Les lecteurs cachés ne sont pas visibles pour les utilisateurs.
Fichier caché
Les fichiers cachés ne sont pas visibles pour les utilisateurs. Il est
possible qu'un rootkit masque le fichier de la liste de fichiers
classique.
Processus caché
Les processus cachés ne sont pas visibles pour les utilisateurs. Il est
possible qu'un rootkit masque le processus dans le gestionnaire des
tâches Windows.
Hôte
Tout ordinateur en réseau qui met des services à disposition des
autres ordinateurs du réseau.
HTTP
Protocole utilisé entre un navigateur Web et un serveur afin de
demander un document et d'en transférer le contenu. Cette
spécification est utilisée et développée par le World Wide Web
Consortium.
CHAPITRE D
Système de prévention des intrusions (IPS)
Composant de protection Internet qui analyse le trafic réseau entrant
à la recherche de certains modèles indiquant qu'une attaque du
réseau est en cours et qui est capable de bloquer des intrusions.
IMAP
Internet Mail Application Protocol. Protocole semblable à POP, si ce
n'est que les messages électroniques sont généralement traités sur
le serveur au lieu d'être téléchargés sur le poste de travail.
IP
Internet Protocol. Protocole d'adressage des paquets TCP. Lorsque
des données sont envoyées avec TCP, IP est utilisé pour étiqueter le
paquet avec les adresses de l'expéditeur et du destinataire.
Adresse IP
Adresse utilisée par le protocole IP (Internet Protocol). Adresse
réseau unique composée de 4 chaînes numériques séparées par des
points. Cette structure est modifiée dans l'IPv6.
IPSec (protocole de sécurité IP)
(IETF) Protocole conçu afin d'obtenir une protection cryptographique
de qualité compatible avec l'IPv4 et l'IPv6. Les services de protection
offerts sont le contrôle de l'accès, l'intégrité en cas de rupture de
connexion, l'authentification de l'origine des données, un service
interdisant la relecture, la confidentialité (cryptage) et la
confidentialité limitée du trafic. Ces services sont proposés au niveau
de la couche IP, offrant ainsi une protection pour IP et/ou les
protocoles des couches supérieures.
FAI
Fournisseur d'accès à l'Internet. Organisme qui permet d'accéder à
Internet d'une façon ou d'une autre.
JAR
Java ARchive. Format de fichier permettant de regrouper de
nombreux fichiers afin d'en créer un seul.
324
325
Mode noyau
Partie du système d'exploitation Windows dans laquelle, entre autres,
les applications en mode utilisateur et les services emploient une API
pour interagir avec le matériel de l'ordinateur. Le mode noyau
contient également une interface avec le mode utilisateur et un
système de synchronisation de ses services et de coordination de
toutes les fonctions d'E/S. La mémoire du mode noyau est protégée
contre tout accès par le mode utilisateur.
LAN
(Local Area Network, ou réseau local) Réseau d'ordinateurs limité à
un site, généralement l'immeuble ou l'étage d'un immeuble. Un
protocole de réseau simple est parfois utilisé.
En-tête incorrect
En-tête de message électronique incorrect. Il s'agit généralement
d'un codage non standard du format MIME. La déformation est
causée par un ver, une personne malveillante ou une erreur dans le
client qui envoie le message. Un nombre en rapide croissance de
vers utilise des messages déformés pour se répandre.
Antiprogramme
Programmes ou fichiers développés dans le but de nuire. Cela
comprend les virus informatiques, les vers et les chevaux de Troie.
Mbit
Mégabit.
MIB
(Terminologie SNMP) Base des informations d'administration. Vous
trouverez des informations détaillées sur les MIB dans les documents
RFC1155-SMI, RFC1212-CMIB et RFC1213-MIB2.
CHAPITRE D
MIME
Multipurpose Internet Mail Extension, un système standard
d'identification du type de données contenu dans un fichier d'après
son extension. MIME est un protocole Internet qui permet d'envoyer
des fichiers binaires via l'Internet sous la forme de pièces jointes à
des messages électroniques. Ces fichiers comprennent : graphiques,
photos, son et vidéo ainsi que des documents texte formatés.
Trafic multidiffusion
Le trafic multidiffusion provient d'un hôte spécifique (généralement un
serveur) et est destiné à un groupe de multidiffusion. Dans IP
(Internet Protocol), les groupes correctement configurés utilisent les
adresses de réseau multidiffusion (comprises entre 224.0.0.0 et
239.255.255.255) définies pour IP. La gestion des membres du
groupe et le transfert du trafic multidiffusion sur les commutateurs et
routeurs sont assurés par IGMP (Internet Group Management
Protocol).
Masque de réseau
Cet élément décrit comment l'adresse IP est divisée entre la partie
réseau et la partie hôte.
Réseau
Plusieurs ordinateurs connectés entre eux afin de partager des
ressources. Plusieurs réseaux connectés entre eux constituent un
interréseau.
Paquet
Unité de données acheminée entre une origine et une destination sur
Internet. Lorsqu'un fichier (p. ex. un message électronique) est
envoyé d'un endroit à un autre sur Internet, il est fractionné en
paquets d'une taille appropriée pour assurer un routage efficace. Une
fois tous les paquets parvenus à destination, ils sont assemblés pour
reconstituer le fichier d'origine.
326
327
Consignation de paquets
La consignation de paquets est un outil servant à analyser le trafic
réseau, collecter des traces de comportement illicite, etc. Elle
consiste à copier dans un fichier la charge et les en-têtes de tout le
trafic réseau vu par un ordinateur, afin de le consulter ultérieurement.
La protection Internet enregistre les paquets dans le format tcpdump,
qui est lisible par la plupart des outils d'analyse de réseau.
Ping
Envoi de paquets ICMP et attente de paquets en réponse afin de
vérifier les connexions vers un ou plusieurs ordinateurs distants.
Stratégie
Une stratégie de sécurité peut être définie comme l'ensemble des
règles précises édictées dans le but de définir les modalités
d'administration, de protection et de distribution des informations
confidentielles et autres ressources. L'architecture d'administration
de F-Secure exploite les stratégies configurées de manière
centralisée par l'administrateur pour un contrôle total de la sécurité
dans un environnement d'entreprise.
Gestion par stratégies
Contrôle des opérations et configuration d'un système à l'aide de
stratégies.
POP
Post Office Protocol. Mode le plus courant de récupération des
messages électroniques d'un serveur de messagerie vers les postes
de travail des utilisateurs par des clients de messagerie tels
qu'Eudora, Netscape Messenger ou Pegasus.
Clé privée
Zone confidentielle de la clé dans un système de clé publique. Elle ne
peut être utilisée que par son propriétaire. Clé utilisée pour décrypter
des messages et créer des signatures numériques.
CHAPITRE D
Niveau de protection
Niveaux de protection préconfigurés définissant votre niveau de
sécurité. Ils sont automatiquement mis à jour pour garantir votre
protection contre les formes les plus récentes de programmes
malveillants et d'attaques via Internet.
Protocole
Raccourci de « protocole réseau » ; spécification formelle, détaillée
d'un format de communication. Le protocole sert à permettre à tous
les participants d'une communication de décoder et comprendre la
communication. Dans ce document, le terme réfère le plus souvent à
TCP/IP (Transmission Control Protocol/Internet Protocol) et à ses
sous-protocoles.
Clé publique
Partie de la clé largement diffusée (et non maintenue sécurisée) dans
un système de clé publique. Cette clé est utilisée pour le cryptage
(non pour le décryptage) ou la vérification des signatures. La clé
publique contient également d'autres informations sur l'objet,
l'émetteur, la durée de vie, etc.
Quarantaine
Les éléments mis en quarantaine sont isolés de sorte qu'ils ne
représentent plus une menace pour votre ordinateur.
La quarantaine contient toutes les applications détectées pendant
l'analyse et mises en quarantaine. Vous pouvez mettre de nouvelles
applications en quarantaine lorsque la Protection contre les virus et
les logiciels espions les détecte.
Facteur aléatoire
Valeur de facteur utilisée pour initialiser le générateur de nombres
aléatoires, mise à jour chaque fois qu'une application F-Secure est
fermée.
Programme à risque
Le riskware est un programme qui ne cause pas de dommage
intentionnellement, mais qui peut être dangereux s’il est utilisé à
mauvais escient, en particulier s'il n’est pas installé correctement.
Ces programmes regroupent par exemple les programmes de
328
329
dialogue en direct (IRC) ou encore des programmes destinés au
transfert de fichiers d'un ordinateur à l'autre via Internet. Si vous avez
installé ce programme de manière explicite, les risques sont
moindres. Si le riskware est installé à votre insu, il est fort probable
qu'il s'agisse d'une intention malveillante et il doit être supprimé. La
différence entre un programme à risque et un programme malveillant
se trouve dans le fait que le programme malveillant est conçu
spécifiquement pour nuire à votre ordinateur.
Rootkit
Les rootkits servent typiquement à masquer les logiciels malveillants
des utilisateurs, des outils systèmes et des systèmes d'analyse
antivirus. Tous les rootkits ne sont pas dangereux en soi mais ils sont
souvent utilisés pour masquer des virus, des vers, des chevaux de
Troie et des logiciels espions.
Serveur
Ordinateur ou composant logiciel qui fournit un type de service
spécifique au logiciel client.
Service
Un service (abréviation de service de réseau) correspond à un
service disponible sur le réseau, par exemple, le partage de fichier,
l'accès distant à la console ou la navigation sur le Web. Il est
généralement décrit par le protocole et le port qu'il utilise.
SMTP
Simple Mail Transfer Protocol. Protocole TCP utilisé pour transmettre
du courrier électronique entre les ordinateurs des utilisateurs finaux
et les serveurs de messagerie.
SNMP
Protocole de gestion de réseaux simples (Simple Network
Management Protocol). Protocole TCP/IP standard pour le contrôle et
la configuration des paramètres réseau et compteurs de répéteurs,
ponts, routeurs et autres périphériques connectés à un réseau LAN
(réseau local d'entreprise) ou WAN (réseau étendu). Dans F-Secure
Policy Manager, il sert à envoyer et contrôler des alertes et
statistiques.
CHAPITRE D
330
Logiciel espion
Un logiciel espion est un logiciel pistant les informations utilisateur et
les communiquant sans que vous le sachiez à des tiers via Internet.
Généralement, un logiciel espion collecte des informations sur votre
comportement de navigation à des fins de publicité, mais il peut
également transférer des informations ou fichiers personnels de votre
ordinateur, surveillez vos séquences de frappe au clavier ou modifier
la configuration de votre navigateur Web. Les applications de
logiciels espions peuvent être installées sur votre ordinateur sans
votre autorisation et à votre insu, lors de l'installation d'un autre
logiciel.
Sous-réseau
Section d'un réseau. Les ordinateurs situés dans le même
sous-réseau sont généralement proches les uns des autres
physiquement et ont des adresses IP qui commencent par les deux
ou trois mêmes chiffres.
Journal des événements système
Service qui enregistre les événements dans les journaux du système,
de la sécurité et des Application. Les événements F-Secure Client
Security sont enregistrés dans des journaux Application.
Résultat TAC
Le résultat TAC détermine la probabilité qu'une application soit un
antiprogramme, 1 étant la plus faible et 10 étant la plus forte. Le
produit ne vous signale pas les objets dont le résultat est inférieur à 2.
TCP/IP
(Transmission Control Protocol/Internet Protocol, ou protocole de
contrôle de transmission/protocole Internet) Ensemble de protocoles
définissant Internet. Initialement conçues pour le système
d'exploitation UNIX, des versions de TCP/IP sont désormais
disponibles pour la plupart des systèmes d'exploitation. Pour accéder
à Internet, votre ordinateur doit disposer du protocole TCP/IP.
331
Fichier texte
Tout fichier créé par un utilisateur et dont le contenu est destiné à être
interprété comme une séquence d'une ligne ou plus, composée de
caractères imprimables ASCII ou latins.
Cookie de suivi
Les cookies de suivi pistent votre comportement de navigation Web.
Ils peuvent collecter des informations sur les pages et publicités que
vous avez vues ou sur toute autre activité lors de la navigation.
Différents sites Web peuvent partager des cookies de suivi et chaque
site Web ayant le même cookie de suivi peut y lire et écrire de
nouvelles informations.
Cheval de Troie
Un cheval de Troie est généralement un programme exécutant des
actions destructives ou dangereuses. Les actions destructives
peuvent aller de l'effacement ou de la modification du contenu de
fichiers sur un disque dur à une destruction complète des données.
Un cheval de Troie indirect est un outil d’accès distant permettant à
un pirate de contrôler complètement le système infecté. Il peut
envoyer, recevoir et exécuter des fichiers, voire écouter et voir le
résultat sur votre ordinateur s'il dispose d'un microphone ou d'une
Webcam.
Trafic monodiffusion
Trafic entre un ordinateur spécifique et un autre ordinateur spécifique.
URL
(Localisateur uniforme de ressources) Méthode standard
d'identification de l'adresse d'une ressource Internet.
Mode Utilisateur
Zone protégée d'un système d'exploitation où les applications
utilisateur sont exécutées et qui fait appel au mode Noyau afin
d'activer les fonctions du système d'exploitation.
Virus
Programme qui se répand en se reproduisant.
CHAPITRE D
332
Définitions de virus
Utilisées pour détecter des virus. Chaque fois qu'un nouveau virus
est trouvé, la base de données doit être mise à jour afin que la
protection antivirus puisse le détecter.
VPN
Réseau privé virtuel. Réseau privé sécurisé qui utilise le réseau
Internet public existant.
WAN
(Wide Area Network, ou réseau étendu) Réseau ou interréseau qui
couvre une zone plus vaste que celle d'un immeuble ou d'un campus.
Ver
Programme capable de se répliquer par l'insertion de copies dans les
ordinateurs reliés en réseau.
333
Support technique
Présentation ............................................................................. 335
Web Club.................................................................................. 335
Support technique avancé........................................................ 335
Formation technique aux produits F-Secure ............................ 337
334
335
Présentation
Le support technique est disponible par courrier électronique et depuis le
site Web de F-Secure. Vous pouvez y accéder depuis les applications
F-Secure ou avec un navigateur Web.
Web Club
Le Web Club F-Secure propose une assistance aux utilisateurs des
produits F-Secure. Pour y accéder, choisissez la commande Web Club du
menu Aide de l'application F-Secure. A la première utilisation de cette
option, entrez le chemin d'accès et le nom de votre navigateur Web ainsi
que votre pays de résidence.
Pour vous connecter directement au Web Club depuis votre navigateur
Web, entrez l'adresse suivante :
http://www.f-secure.com/webclub/
Descriptions de virus sur le Web
F-Secure Corporation met régulièrement à jour une base de données
complète d'informations sur les virus informatiques sur son site Web.
Vous pouvez consulter cette base de données d'informations sur les virus
à partir du site :
http://www.f-secure.com/virus-info/.
Support technique avancé
Pour obtenir un support technique avancé, contactez le centre
d'assistance technique de F-Secure à l'adresse http://
support.f-secure.com/ ou contactez directement votre revendeur local
F-Secure.
336
Pour obtenir l'assistance technique de base, veuillez contacter votre
revendeur F-Secure.
Veuillez inclure les informations suivantes avec votre demande :
1. Nom et numéro de version de votre logiciel F-Secure (y compris le
numéro de révision).
2. Nom et numéro de version de votre système d'exploitation (y compris
le numéro de révision).
3. Description détaillée du problème, y compris tout message d'erreur
affiché par le programme, ainsi que tout détail susceptible de nous
aider à reproduire le problème.
Lorsque vous contactez F-Secure par téléphone, procédez comme suit
afin que nous puissions vous aider plus efficacement et gagner du
temps :
„
Tenez-vous à proximité de votre ordinateur afin de pouvoir suivre
les instructions fournies par le technicien ou apprêtez-vous à
noter les instructions.
„
Mettez l'ordinateur sous tension et, si possible, dans l'état où il se
trouvait lorsque le problème est survenu. Vous devriez pouvoir
reproduire le problème sur l'ordinateur avec un minimum
d'efforts.
Après l'installation du logiciel F-Secure, vous trouverez peut-être
un fichier ReadMe dans le dossier F-Secure (menu Démarrer >
Programmes de Windows). Ce fichier contient les informations les
plus récentes au sujet du produit.
337
Formation technique aux produits F-Secure
F-Secure fournit à ses distributeurs, revendeurs et clients une assistance,
des documents et des informations techniques qui leur permettent
d'utiliser correctement les produits et services de sécurité F-Secure. Des
formations peuvent également être fournies pas les partenaires de
formation certifiés de F-Secure. Ces outils et l'expérience de nos
partenaires leur permettent de se distinguer de la concurrence en offrant
une solution exclusive et puissante de sécurité en entreprise, tout en
obtenant des niveaux de satisfaction de la clientèle élevés et en
accroissant leur part de marché et leurs bénéfices.
Programme de formation
Pour plus d'informations sur les formations que nous proposons, accédez
à notre page Web consacrée aux formations techniques aux produits
F-Secure, à l'adresse suivante :
http://www.f-secure.com/products/training/
Les formations se donnent dans des locaux modernes et dotés de tous
les équipements requis. Toutes nos formations comprennent une partie
théorique et des exercices pratiques. Un examen de certification est
organisé au terme de chaque formation. Pour plus d'informations sur les
cours et les horaires, contactez votre bureau F-Secure local ou votre
partenaire de formation certifié F-Secure.
Contacts
Questions générales : Training@f-secure.com
Inscription : Training-Registration@f-secure.com
Commentaires : Training-Feedback@f-secure.com
A propos de F-Secure
Corporation
F-Secure Corporation protège les particuliers et les entreprises contre les
virus informatiques et les autres menaces qui se répandent par le biais
d'Internet et des réseaux de téléphonie mobile. Nous souhaitons devenir le
fournisseur de services de sécurité le plus fiable du marché. La vitesse de
notre réponse constitue l'un des éléments clés de cette réussite. Selon des
études indépendantes réalisées en 2004, 2005 et 2006, notre délai de
réponse aux nouvelles menaces est sensiblement plus court que celui de nos
principaux concurrents. Nos solutions primées s’adaptent aux stations de
travail, aux passerelles, aux serveurs et aux téléphones mobiles. Elles
incluent des antivirus et des pare-feu pour ordinateur de bureau, tous dotés
de solutions de prévention des intrusions, d'antispam et d'antispyware.
Fondée en 1988, la société F-Secure est cotée sur le marché boursier
d'Helsinki (Helsinki Exchanges) depuis 1999 et connaît une croissance
supérieure à tous ses concurrents cotés à la bourse. Son siège social se
trouve à Helsinki (Finlande) et la société possède des filiales dans le monde
entier. La protection F-Secure est également disponible comme service par le
biais des principaux fournisseurs de services Internet, tels que Deutsche
Telekom, France Telecom, PCCW et Charter Communications. F-Secure est
leader sur le marché mondial des solutions de protection pour téléphones
mobiles, distribuées par les opérateurs mobiles comme T-Mobile et
Swisscom, et par les fabricants comme Nokia. Retrouvez en temps réel les
dernières menaces virales sur le blog de F-Secure Data Security Lab, à
l'adresse suivante : http://www.f-secure.com/weblog/
2

Manuels associés