ESET ENDPOINT ANTIVIRUS

Transcription

1 ESET ENDPOINT ANTIVIRUS Guide de l'utilisateur Microsoft Windows 8 / 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Cliquez ici pour télécharger le plus récente version de ce document

2 ESET ENDPOINT ANTIVIRUS Copyright 2013 par ESET, spol. s r. o. ESET Endpoint Antivirus a été développé par ESET, spol. s r. o. Pour plus de détails, visitez Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système d'archivage ou transmise sous quelque forme ou par quelque moyen que ce soit, y compris sous forme électronique, mécanique, photocopie, enregistrement, numérisation ou autre sans l'autorisation écrite de l'auteur. ESET, spol. s r. o. se réserve le droit de changer les applications décrites sans préavis. Assistance à la clientèle Monde : RÉV

3 Contenu ESET Endpoint Antivirus Configuration...5 minimale requise 1.2 Prévention Installation Installation...8 standard 2.2 Installation...10 personnalisée 2.3 Entrée...13 du nom d'utilisateur et du mot de passe 2.4 Mise...13 à niveau à une version plus récente 2.5 Analyse...14 de l'ordinateur 3. Guide du débutant Présentation...15 de l'interface utilisateur 3.2 Que faire lorsque le programme ne fonctionne pas correctement Configuration...17 des mises à jour 3.4 Configuration...18 du serveur mandataire 3.5 Protection...19 des paramètres 4. Utiliser ESET Endpoint Antivirus...20 Système de détection d'intrusion au niveau de l'hôte...39 (HIPS) 4.2 Web...42 et messagerie Protection...43 de l'accès Web HTTP,...43 HTTPS Mode...44 actif pour les navigateurs Web Gestion...44 d'adresse URL Protection...45 du client de messagerie Filtre...46 POP3, POP3S Contrôle...47 de protocole IMAP, IMAPS Intégration...47 aux clients de messagerie Configuration de la protection du client de messagerie Suppression...49 d'infiltrations Filtrage...49 des protocoles Clients...49 Web et messagerie Applications...50 exclues Adresses...51 IP exclues Ajouter...51 une adresse IPv Ajouter...51 une adresse IPv Contrôle...52 de protocole SSL Certificats Certificats...52 approuvés Certificats...53 exclus Communication...53 SSL chiffrée 4.1 Ordinateur Mise...54 à jour du programme Protection...22 antivirus et antispyware Configuration...57 des mises à jour Protection...23 en temps réel du système de fichiers Profils...58 de mise à jour Supports...23 à analyser Configuration...58 avancée des mises à jour Date de l'analyse (analyse déclenchée par un Mode...58 de mise à jour événement) Serveur...59 mandataire Options...24 d'analyse avancée Connexion...59 au réseau local Niveaux...24 de nettoyage Création...60 de copies de mises à jour - miroir Quand faut-il modifier la configuration la Mise à...61 jour à partir du miroir protection...25 en temps réel Résolution des problèmes de miroir de mise à Vérification...25 de la protection en temps réel jour Que faire si la protection en temps réel ne Annulation...63 de la mise à jour fonctionne...25 pas Comment...64 créer des tâches de mise à jour Protection...26 des documents 4.4 Outils Analyse...26 de l'ordinateur Fichiers...66 journaux Type...27 d'analyse Maintenance...67 des journaux Analyse...27 intelligente Planificateur Analyse...27 personnalisée Création...70 de nouvelles tâches Cibles...27 à analyser Statistiques...71 de protection Profils...28 d'analyse Surveiller...72 l'activité Progression...28 de l'analyse ESET...72 SysInspector Analyse...29 au démarrage ESET...73 Live Grid Vérification automatique des fichiers de Fichiers...74 suspects démarrage Processus...75 en cours Exclusions...30 par chemin d'accès Quarantaine configuration...31 du moteur ThreatSense Soumission...77 de fichiers pour analyse Objets Alertes...78 et notifications Options Format...79 des messages Nettoyage Mises...79 à jour système Extension Diagnostics Limites Licences Autre Administration...81 à distance Une infiltration...35 est détectée Supports...36 amovibles 4.5 Interface...82 utilisateur Contrôle...37 de périphérique Graphiques Règles...37 du contrôle de périphérique Alertes...83 et notifications Ajout...38 de règles du contrôle de périphérique Configuration...84 avancée

4 Fenêtres...84 de notification masquées Configuration...85 de l'accès Menu...86 du programme Menu...87 contextuel Mode...87 présentation 5. Utilisateur chevronné Configuration...88 du serveur mandataire 5.2 Importation...88 et exportation des paramètres 5.3 Raccourcis...89 clavier 5.4 Ligne...89 de commande 5.5 ESET...91 SysInspector Introduction...91 à ESET SysInspector Lancement...91 de ESET SysInspector Interface...92 utilisateur et utilisation de l'application Contrôles...92 du programme Naviguer...93 dans ESET SysInspector Raccourcis...94 clavier Comparer Paramètres...97 de la ligne de commande Script...97 de service Génération...97 d'un script de service Structure...98 du script de service Exécution des scripts de service FAQ ESET SysInspector comme composant de ESET Endpoint Antivirus 5.6 ESET SysRescue Configuration requise Comment créer un CD de sauvetage Sélection de cible Paramètres Dossiers Antivirus ESET Paramètres avancés Protocole Internet Périphérique USB d'amorçage Graver Utilisation de ESET SysRescue Utilisation de ESET SysRescue Glossaire 6.1 Types d'infiltrations Virus Vers Chevaux de Troie Rootkits Logiciels publicitaires Logiciel espion Applications potentiellement dangereuses Applications potentiellement indésirables 6.2 Courriel Publicités Canulars Hameçonnage Reconnaissance des pourriels

5 1. ESET Endpoint Antivirus ESET Endpoint Antivirus constitue une nouvelle approche de la sécurité informatique véritablement intégrée. Elle utilise notamment la rapidité et la précision de la dernière version du moteur d'analyse ThreatSense pour protéger votre ordinateur. Il en résulte un système intelligent et constamment en alerte pour protéger votre ordinateur des attaques et des programmes malveillants. ESET Endpoint Antivirus est une solution de sécurité complète qui résulte d'un effort de longue haleine pour tenter d'allier protection maximale et encombrement minimal. Des technologies avancées basées sur l'intelligence artificielle, capables de bloquer de manière proactive la pénétration de virus, de logiciels espions, de chevaux de Troie, de vers, de logiciels publicitaires, de rootkits et d'autres attaques provenant d'internet, sans atténuer les performances ni perturber votre ordinateur. ESET Endpoint Antivirus est conçu principalement pour être utilisé sur les postes de travail d'un environnement de petite entreprise. Il peut être combiné à ESET Remote Administrator, ce qui vous permettra de gérer facilement tout nombre de postes de travail clients, d'appliquer les politiques et les règles, de surveiller la détection et d'effectuer une configuration à distance, à partir de tout ordinateur en réseau. 1.1 Configuration minimale requise Pour assurer le bon fonctionnement de ESET Endpoint Antivirus, la configuration système matérielle et logicielle minimale requise est la suivante : Microsoft Windows 2000, XP, NT4 (SP6) 400 MHz 32 bit (x86) / 64 bit (x64) 128 Mo de RAM de mémoire système 320 Mo d'espace disponible Super VGA (800 x 600) Microsoft Windows 8, 7, Vista, Home Server 1 GHz 32 bit (x86) / 64 bit (x64) 512 Mo de RAM de mémoire système 320 Mo d'espace disponible Super VGA (800 x 600) 1.2 Prévention Lorsque vous travaillez sur votre ordinateur et particulièrement lorsque vous naviguez sur Internet, gardez toujours à l'esprit qu'aucun antivirus au monde ne peut complètement éliminer le risque lié aux infiltrations et attaques. Pour bénéficier d'une protection maximale, il est essentiel d'utiliser le système antivirus correctement et de respecter quelques règles essentielles. Effectuer des mises à jour régulières Selon les statistiques de ESET Live Grid, des milliers de nouvelles infiltrations sont créées chaque jour pour contourner les dispositifs de sécurité existants et servir leurs auteurs, aux dépens des autres utilisateurs. Les spécialistes du laboratoire d'eset analysent ces menaces chaque jour et conçoivent des mises à jour pour améliorer continuellement le niveau de protection des utilisateurs du programme antivirus. Une mise à jour mal configurée réduit l'efficacité du programme. Pour plus d'information sur la configuration des mises à jour, voir la rubrique Configuration des mises à jour. Télécharger les correctifs de sécurité Les auteurs de programmes malveillants préfèrent exploiter diverses failles du système pour assurer une meilleure propagation du code malveillant. C'est pourquoi les sociétés qui commercialisent des logiciels recherchent activement l'apparition de nouvelles failles dans leurs applications pour concevoir les mises à jour de sécurité permettant d'éliminer régulièrement les menaces potentielles. Il est important de télécharger ces mises à jour de sécurité au moment de leur sortie. Ces mises à jour touchent, par exemple, le système d'exploitation de Windows ou le navigateur Internet Explorer. 5

6 Sauvegarder les données importantes Les concepteurs de programmes malveillants ne se soucient généralement pas des besoins des utilisateurs et l'activité de leurs programmes entraîne souvent un dysfonctionnement total du système d'exploitation et des dommages importants au niveau des données. Il est important de sauvegarder régulièrement vos données importantes et sensibles sur une source externe, telle que DVD ou disque dur externe. Ces précautions permettront de récupérer vos données beaucoup plus facilement et rapidement en cas de défaillance du système. Rechercher régulièrement les virus sur votre ordinateur Une analyse automatique régulière de votre ordinateur avec les paramètres adéquats peut permettre de supprimer les infiltrations qui ont pu être ignorées en raison d'anciennes mises à jour de signatures de virus. Suivre les règles de sécurité de base Cette règle est la plus utile et la plus efficace de toutes : soyez toujours prudent. Actuellement, de nombreuses infiltrations nécessitent l'intervention de l'utilisateur pour être exécutées et propagées. Si vous êtes prudent lorsque vous ouvrez de nouveaux fichiers, vous éviterez de perdre un temps et une énergie considérable à nettoyer votre ordinateur. Respectez les règles suivantes : ne consultez pas les sites Web suspects comportant de nombreuses fenêtres publicitaires et annonces clignotantes. soyez vigilant lorsque vous installez des logiciels gratuits, des ensembles de codec, etc. N'utilisez que des programmes sécurisés et ne consultez que les sites Web sécurisés. soyez prudent lorsque vous ouvrez les pièces jointes aux courriels, en particulier celles provenant de publipostage ou d'expéditeurs inconnus. n'utilisez pas de compte Administrateur pour le travail de tous les jours sur votre ordinateur. 6

7 2. Installation Une fois le programme d'installation lancé, l'assistant d'installation vous guidera dans le processus de configuration à effectuer. Important : Assurez-vous qu'aucun autre programme antivirus n'est installé sur votre ordinateur. Si plusieurs solutions antivirus sont installées sur un même ordinateur, elles peuvent entrer en conflit. Nous recommandons de désinstaller tout autre antivirus de votre système. Voir notre article sur la base de connaissances pour une liste des outils de désinstallation pour les logiciels antivirus communs (disponible en anglais et dans plusieurs autres langues). Tout d'abord, le programme vérifie si une version plus récente de ESET Endpoint Antivirus est disponible. Si une version plus récente est trouvée, vous en serez avisé dans la première étape du processus d'installation. Si vous sélectionnez l'option Télécharger et installer la nouvelle version, la nouvelle version sera téléchargée et l'installation continuera. Au cours de l'étape suivante, le Contrat de Licence pour l'utilisateur Final s'affiche. Veuillez le lire et cliquer sur Accepter pour confirmer votre acceptation du Contrat de Licence pour l'utilisateur Final. Après votre acceptation, l'installation continue selon deux scénarios possibles : 1. Si c'est la première fois que vous installez ESET Endpoint Antivirus sur cet ordinateur, la fenêtre ci-dessous s'affiche après votre acceptation du Contrat de Licence pour l'utilisateur Final. Vous pouvez choisir entre une Installation standard et une Installation personnalisée et continuer en conséquence. 2. Si vous installez ESET Endpoint Antivirus sur une version antérieure du logiciel, la fenêtre suivante vous permettra de choisir si vous voulez utiliser les paramètres actuels du programme pour la nouvelle installation. Si vous décochez la case Utiliser les paramètres actuels, vous devrez alors choisir entre les deux modes d'installation susmentionnés. 7

8 2.1 Installation standard Le mode d'installation standard comprend les options de configuration appropriées pour la majorité des utilisateurs. Ces paramètres garantissent excellent niveau de sécurité, simplicité d'installation et performance élevée du système. L'installation standard est le mode d'installation par défaut, donc l'option recommandée si vous n'avez encore aucune exigence particulière quant aux paramètres. Après avoir sélectionné le mode d'installation et avoir cliqué sur Suivant, vous serez invité à entrer votre nom d'utilisateur et votre mot de passe pour les mises à jour automatiques du programme. Ces mises à jour jouent un rôle important dans le maintien d'une protection continue du système. Entrez dans les champs correspondants, votre Nom d'utilisateur et Mot de passe, c.-à-d. les données d'authentification reçues après l'achat ou l'enregistrement du produit. Si vous n'avez pas accès à votre nom d'utilisateur et à votre mot de passe, cochez la case Définir les paramètres de mise à jour ultérieurement. Vous pourrez entrer votre nom d'utilisateur et votre mot de passe plus tard. La prochaine étape est la configuration de ESET Live Grid. Le système ESET Live Grid contribue à garantir qu'eset est immédiatement et continuellement informé des nouvelles infiltrations dans le but de protéger ses clients. Le système permet de soumettre de nouvelles menaces au laboratoire d'eset où elles seront alors analysées, traitées puis ajoutées à la base de signatures de virus. 8

9 Par défaut, l'option J'accepte de participer à ESET Live Grid est sélectionnée, ce qui activera cette fonctionnalité. L'étape suivante de l'installation est la configuration de la détection des applications potentiellement indésirables. Les applications potentiellement indésirables ne sont pas nécessairement malveillantes, mais peuvent souvent affecter le comportement du système d'exploitation. Voir le chapitre Applications potentiellement indésirables pour plus de détails. La dernière étape de l'installation standard consiste à confirmer l'installation en cliquant sur le bouton Installer. 9

10 2.2 Installation personnalisée Le mode d'installation personnalisée est destiné à des utilisateurs qui ont une certaine expérience de l'optimisation de programmes, et qui veulent modifier les paramètres avancés pendant l'installation. Après avoir choisi ce mode d'installation et avoir cliqué sur Suivant, vous serez invité à sélectionner une destination pour l'installation. Le programme s'installe, par défaut, dans le répertoire suivant : C:\Program Files\ESET\ESET Endpoint Antivirus\ Cliquez sur Parcourir pour changer la destination (cette option n'est pas recommandée). Entrez ensuite votre nom d'utilisateur et votre mot de passe. Cette étape est la même que dans l'installation standard (voir la sectioninstallation standard). Cliquez sur Suivant pour passer à la configuration de votre connexion Internet. Si vous utilisez un serveur mandataire, assurez-vous qu'il soit correctement configuré pour que les mises à jour du programme fonctionnent. Si vous n'êtes pas sûr d'utiliser un serveur mandataire pour la connexion à Internet, sélectionnez J'ignore si ma connexion Internet utilise un serveur mandataire. Utiliser les mêmes paramètres que pour Internet Explorer. (Recommandé), puis cliquez sur Suivant. Si vous n'utilisez pas de serveur mandataire, sélectionnez l'option Je n'utilise pas de serveur mandataire. Pour configurer les paramètres de votre serveur mandataire, sélectionnez J'utilise un serveur mandataire et cliquez sur Suivant. Entrez l'adresse IP ou l'adresse URL de votre serveur mandataire dans le champ Adresse. Dans le champ Port, précisez le port sur lequel le serveur mandataire accepte les connexions (3128 par défaut). Si le serveur mandataire exige une authentification, entrez un nom d'utilisateur et un mot de passe valides donnant accès à ce serveur. Les paramètres du serveur mandataire peuvent être copiés depuis Internet Explorer. Pour ce faire, cliquez sur le bouton 10

11 Appliquer et confirmez la sélection. Cette étape de l'installation vous permet de choisir de quelle façon les mises à jour automatiques du programme seront effectuées sur votre système. Cliquez sur Changer... pour accéder aux paramètres avancés. 11

12 Si vous ne voulez pas que les composants du programme soient mis à jour, sélectionnez Ne jamais mettre à jour les composants du programme. Sélectionnez l'option Demander avant de télécharger les composants du programme pour qu'une fenêtre de confirmation s'affiche chaque fois que le système tente de télécharger les composants du programme. Pour télécharger automatiquement les mises à niveau des composants du programme, sélectionnez l'option Toujours mettre à jour les composants du programme. REMARQUE : Le redémarrage du système est généralement nécessaire après la mise à jour des composants du programme. il est recommandé de sélectionner l'option Si nécessaire, redémarrer sans notification. La fenêtre d'installation suivante comprend l'option vous permettant de définir un mot de passe pour protéger les paramètres de votre programme. Sélectionnez l'option Protéger la configuration par mot de passe et entrez votre mot de passe dans les champs Nouveau mot de passe et Confirmation du nouveau mot de passe. Ce mot de passe sera requis pour changer les paramètres de ESET Endpoint Antivirus ou y accéder. Lorsque les deux champs de mot de passe correspondent, cliquez sur Suivant pour continuer. Les prochaines étapes de l'installation, Mise à jour automatique, ESET Live Grid et Détection des applications potentiellement indésirables sont les mêmes que dans le mode d'installation standard (voir la section Installation standard). Cliquez sur Installer dans la fenêtre Prêt à installer pour terminer l'installation. Une fois l'installation terminée, vous serez invité à activer votre produit. Voir la section Installation standard pour plus d'informations sur l'activation du produit. 12

13 2.3 Entrée du nom d'utilisateur et du mot de passe Le programme doit être mis à jour automatiquement pour assurer un fonctionnement optimal. Ce n'est possible que si le nom d'utilisateur et le mot de passe appropriés sont entrés dans Configuration des mises à jour. Si vous n'avez pas entré votre nom d'utilisateur et votre mot de passe durant l'installation, vous pouvez maintenant le faire. Appuyez sur CRTL+U et entrez les données reçues avec la licence du produit dans la fenêtre Détails de la licence. Lorsque vous entrez votre nom d'utilisateur et votre mot de passe, il est important de les entrer exactement comme ils sont écrits : le nom d'utilisateur et le mot de passe sont sensibles à la casse et le tiret, dans le nom d'utilisateur, est requis. Le mot de passe comprend dix caractères et est tout en minuscules. Nous n'utilisons pas la lettre L dans les mots de passe (nous utilisons plutôt le chiffre un (1)). Un «0» majuscule est le chiffre zéro (0) alors qu'un «o» minuscule est la lettre o, en minuscule. Il est recommandé de copier et de coller les données à partir du courriel d'inscription reçu pour assurer l'exactitude. 2.4 Mise à niveau à une version plus récente Les versions plus récentes de ESET Endpoint Antivirus sont diffusées afin d'apporter des améliorations ou de corriger des problèmes qui ne peuvent être réglés en mettant à jour automatiquement des modules du programme. La mise à niveau à une version plus récente peut être effectuée de plusieurs façons : 1. mise à niveau automatique par l'entremise de la mise à jour du programme : Puisque la mise à jour du programme est envoyée à tous les utilisateurs et qu'elle peut avoir certaines répercussions sur les configurations système, elle n'est émise qu'après une longue période de test pour assurer une mise à niveau sans heurts pour toutes les configurations système possibles. Si vous devez effectuer la mise à niveau vers une version plus récente, immédiatement après le lancement de cette dernière, utilisez l'une des méthodes indiquées cidessous. 2. Effectuer la mise à niveau manuelle en téléchargeant et en installant une version plus récente par-dessus l'installation antérieure. Au début de l'installation, vous pouvez choisir de conserver les paramètres actuels du programme en cochant la case Utiliser les paramètres actuels. 3. Effectuer la mise à niveau manuelle par déploiement automatique dans un environnement de réseau, par l'entremise de ESET Remote Administrator. 13

14 2.5 Analyse de l'ordinateur Après l'installation de ESET Endpoint Antivirus, vous devez effectuer une analyse de l'ordinateur visant à détecter tout code malveillant. Dans la fenêtre principale du programme, cliquez sur Analyse de l'ordinateur puis sur Analyse intelligente. Pour plus d'information sur l'analyse de l'ordinateur, consultez la section Analyse de l'ordinateur. 14

15 3. Guide du débutant Cette rubrique présente un aperçu initial de ESET Endpoint Antivirus et de ses paramètres de base. 3.1 Présentation de l'interface utilisateur La fenêtre principale de ESET Endpoint Antivirus est divisée en deux sections principales. La fenêtre principale, du côté droit, affiche l'information qui correspond à l'option sélectionnée à partir du menu principal de gauche. Voici une description des options disponibles dans le menu principal : État de la protection - Donne de l'information sur l'état de protection de ESET Endpoint Antivirus. Analyse de l'ordinateur - Permet de configurer et de démarrer l'analyse de l'ordinateur à la demande ou l'analyse intelligente. Mettre à jour - Affiche l'information sur les mises à jour à la base de données des signatures de virus. Configuration - Permet de régler le niveau de sécurité pour votre ordinateur, le Web et la messagerie,. Outils - Donne accès aux fichiers journaux, aux statistiques sur la protection, à la surveillance de l'activité, aux processus en cours d'exécution, au Planificateur, à la Quarantaine, à ESET SysInspector et à ESET SysRescue. Aide et assistance - Donne accès aux fichiers d'aide, à la Base de connaissances ESET, et à des liens permettant d'ouvrir une demande de service auprès de l'assistance à la clientèle. L'écran État de la protection vous informe du niveau actuel de sécurité et de protection de l'ordinateur. L'état vert Protection maximale indique que la protection maximale est assurée. La fenêtre d'état affichera également les fonctionnalités fréquemment utilisées dans ESET Endpoint Antivirus. L'information sur la date d'expiration du programme se trouve également là. 15

16 3.2 Que faire lorsque le programme ne fonctionne pas correctement Une marque verte s'affiche à côté de chaque module activé et fonctionnant correctement. Sinon, un point d'exclamation rouge ou une icône de notification orange s'affiche. Des renseignements supplémentaires sur le module s'affichent dans la partie supérieure de la fenêtre. Une suggestion de solution pour corriger le module est également affichée. Pour changer l'état de chacun des modules, cliquez sur Configuration dans le menu principal puis sur le module souhaité. L'icône rouge signale des problèmes critiques - la protection maximale de votre ordinateur n'est pas assurée. Les raisons possibles sont : la protection en temps réel du système de fichiers est désactivée; la base de données de virus est obsolète; le produit n'est pas activé; la licence du produit est expirée. L'icône orange indique que la protection de l'accès Web ou du client de messagerie est désactivée ou qu'il y a un problème de mise à jour du programme (la base de données des signatures de virus est obsolète et ne peut pas être mise à jour) ou la date d'expiration de la licence arrive à grands pas. Protection antivirus et antispyware désactivée - Ce problème est signalé par une icône rouge et une notification de sécurité à côté de l'élément Ordinateur. Vous pouvez réactiver la protection antivirus et antispyware en cliquant sur Démarrer tous les modules de protection antivirus et antispyware. Protection de l'accès Web désactivée - Ce problème est signalé par une icône orange avec un «i» et l'état Notification de sécurité. Vous pouvez réactiver la Protection de l'accès Web en cliquant sur la notification de sécurité puis en cliquant sur Activer la protection de l'accès Web. Votre licence arrivera bientôt à expiration - Ce problème est signalé par l'icône d'état de la protection qui porte un point d'exclamation. Une fois la licence expirée, le programme ne pourra plus se mettre à jour et l'icône de l'état de protection du logiciel tournera au rouge. Licence expirée - Ce problème est signalé par l'icône d'état de la protection qui tourne au rouge. Une fois la licence expirée, le programme ne pourra plus effectuer de mise à jour. Il est recommandé de suivre les instructions indiquées dans la fenêtre d'alerte pour renouveler votre licence. 16

17 Si vous ne pouvez régler un problème à l'aide des solutions suggérées, cliquez sur Aide et assistance pour accéder aux fichiers d'aide ou effectuer une recherche dans la Base de connaissances ESET. Si vous avez besoin d'aide, vous pouvez également soumettre une demande d'assistance à la clientèle d'eset. Les spécialistes d'eset répondront rapidement à vos questions et essaieront de trouver une solution à votre problème. 3.3 Configuration des mises à jour Mettre à jour la base des signatures de virus et les composants du programme sont des éléments importants pour assurer une protection totale contre les attaques des codes malveillants. Il faut donc accorder une grande attention à sa configuration et à son fonctionnement. Du menu principal, sélectionnez Mettre à jour puis cliquez sur Mettre à jour la base de données de signature des virus dans la fenêtre principale pour vérifier si une mise à jour plus récente de la base de données est disponible. Si le nom d'utilisateur et le mot de passe n'ont pas été entrés durant l' installation de ESET Endpoint Antivirus, vous serez invité à les entrer à ce moment-ci. 17

18 La fenêtre Configuration avancée (du menu principal, cliquez sur Configuration, dans le menu principal, puis sur Accéder à la configuration avancée... ou appuyez sur la touche F5 de votre clavier) contient d'autres options de mise à jour. Cliquez sur Mettre à jour dans l'arborescence de configuration avancée, à gauche. Le menu déroulant Serveur de mise à jour devrait être défini par défaut à Choisir automatiquement. Pour configurer les options avancées de mise à jour comme le mode de mise à jour, l'accès au serveur mandataire, les connexions par réseau local et la création de copies des signatures de virus, cliquez sur le bouton Configuration Configuration du serveur mandataire Si vous utilisez un serveur mandataire pour contrôler les connexions Internet sur un système utilisant ESET Endpoint Antivirus, ce serveur doit être indiqué dans la configuration avancée. Pour accéder à la fenêtre de configuration du serveur mandataire, appuyez sur la touche F5 pour ouvrir la fenêtre Configuration avancée et cliquez sur Outils > Serveur mandataire à partir de l'arborescence de la Configuration avancée. Sélectionnez l'option Utiliser le serveur mandataire puis saisissez les données appropriées dans les champs Serveur mandataire (adresse IP) et Port. Au besoin, sélectionnez l'option Le serveur mandataire exige une authentification puis saisissez le nom d'utilisateur et le mot de passe. Si cette information n'est pas disponible, vous pouvez tenter de détecter automatiquement les paramètres du serveur mandataire en cliquant sur le bouton Détecter le serveur mandataire. 18

19 REMARQUE : Les options du serveur mandataire peuvent varier selon les profils de mise à jour. Si tel est le cas, configurez les différents profils de mise à jour dans la Configuration avancée en cliquant sur Mettre à jour dans l'arborescence de la Configuration avancée. 3.5 Protection des paramètres Les paramètres de ESET Endpoint Antivirus peuvent être très importants, en fonction de votre politique de sécurité. Des modifications non autorisées pourraient mettre en danger la stabilité et la protection de votre système. Pour protéger par mot de passe les paramètres de configuration, cliquez, du menu principal, sur Configuration > Accéder à la configuration avancée... > Interface utilisateur > Configuration de l'accès, sélectionnez l'option Protection des paramètres par mot de passe et cliquez sur le bouton Définir le mot de passe... Entrez un mot de passe dans les champs Nouveau mot de passe et Confirmation du nouveau mot de passe et cliquez sur OK. Ce mot de passe sera requis pour toute modification à venir apportée aux paramètres de ESET Endpoint Antivirus. 19

20 4. Utiliser ESET Endpoint Antivirus Les options de configuration de ESET Endpoint Antivirus permettent de régler les niveaux de protection de votre ordinateur. Le menu Configuration contient les options suivantes : Ordinateur Web et messagerie Cliquez sur n'importe quel composant pour régler les paramètres avancées du module de protection correspondant. 20

21 La configuration de la protection de l'ordinateur vous permet d'activer ou de désactiver les composants suivants : Protection en temps réel du système de fichiers - Elle analyse tous les fichiers à la recherche de code malveillant au moment de l'ouverture, de la création ou de l'exécution de ces fichiers sur l'ordinateur. Protection des documents - La fonctionnalité de protection des documents analyse les documents Microsoft Office avant leur ouverture, comme les fichiers téléchargés automatiquement par Internet Explorer, tels que les éléments Microsoft ActiveX. Contrôle de périphérique - Ce module vous permet d'analyser, de bloquer ou de régler les filtres ou permissions étendus et de sélectionner la façon dont l'utilisateur peut accéder à un périphérique donné (CD/DVD/USB, etc.) et travailler avec celui-ci. HIPS - Le système HIPS surveille les événements qui se produisent dans le système d'exploitation et réagit à ces derniers, en fonction d'un ensemble personnalisé de règles. Mode présentation - Active ou désactive le Mode présentation. Un message d'avertissement s'affichera (risque potentiel à la sécurité) et la fenêtre principale s'affichera en orange après l'activation du Mode présentation. Protection Anti-Stealth - Assure la détection de programmes dangereux, comme les rootkits, qui sont à même de se cacher du système d'exploitation, ce qui les rend impossibles à détecter avec les techniques de test ordinaires. La configuration de la protection Web et messagerie permet d'activer ou de réactiver les composants suivants : Protection de l'accès Web - Si cette option est activée, tout le trafic HTTP ou HTTPS est analysé à la recherche de codes malveillants. La protection du client de messagerie surveille la communication effectuée par l'entremise des protocoles POP3 et IMAP. REMARQUE : la protection des documents s'affichera, une fois activée l'option (Accéder à la configuration avancée... (F5) > Ordinateur > Antivirus et antispyware > Protection des documents > Intégration dans le système). Après avoir cliqué sur Activé, la boîte de dialogue Désactiver temporairement la protection s'affichera. Cliquez sur OK pour désactiver le composant de sécurité sélectionné. Le menu déroulant Intervalle dans la fenêtre représente la période pendant laquelle tous les éléments sélectionnés de la protection seront désactivés. Pour réactiver la protection du composant de sécurité désactivé, cliquez sur Désactivé. REMARQUE : lorsque vous utilisez cette méthode pour désactiver la protection, tous les éléments désactivés de la protection seront réactivés après le redémarrage de l'ordinateur. On trouve également des options supplémentaires au bas de la fenêtre de configuration. Pour charger les paramètres de configuration à l'aide d'un fichier de configuration en.xml ou pour enregistrer les paramètres de configuration actuels, utilisez l'option Importer et exporter les paramètres... 21

22 4.1 Ordinateur Vous pourrez voir le module Ordinateur dans le volet Configuration, après avoir cliqué sur le titre Ordinateur. Il affiche un aperçu de tous les modules de protection. Pour désactiver temporairement des modules individuels, cliquez sur Désactiver, sous le module souhaité. Notez que cela peut réduire le niveau de protection de l'ordinateur. Pour accéder aux paramètres détaillés de chaque module, cliquez sur Configurer... Cliquez sur Modifier les exclusions pour ouvrir la fenêtre de configuration des exclusions qui permet d'exclure des fichiers et dossiers de l'analyse par la fonction d'analyse. Désactiver temporairement la protection antivirus et antispyware - Désactive tous les modules de protection antivirus et antispyware. La boîte de dialogue Désactiver temporairement la protection avec le menu déroulant Intervalle s'affichera. Un menu déroulant Intervalle indiquera la période pendant laquelle la protection sera désactivée. Cliquez sur OK pour confirmer. Configuration de l'analyse de l'ordinateur... - Cliquez pour régler les paramètres d'analyse à la demande (analyse lancée manuellement) Protection antivirus et antispyware Le module Protection antivirus et antispyware protège le système des attaques malveillantes en contrôlant les échanges de fichiers et de courrier, ainsi que les communications Internet. Si une menace comportant du code malveillant est détectée, le module Antivirus peut l'éliminer en la bloquant dans un premier temps, puis en nettoyant, en supprimant ou en mettant en quarantaine l'objet infecté. 22

23 Protection en temps réel du système de fichiers La protection en temps réel du système de fichiers contrôle tous les événements liés à l'antivirus dans le système. Elle analyse tous les fichiers à la recherche de code malveillant au moment où ces fichiers sont ouverts, créés ou exécutés sur votre ordinateur. La protection en temps réel du système de fichiers est lancée au démarrage du système. La protection en temps réel du système de fichiers vérifie tous les types de supports et est déclenchée par différents événements comme tenter d'accéder à un fichier. En raison des méthodes de détection de la technologie ThreatSense (décrites dans la rubrique configuration du moteur ThreatSense), la protection en temps réel du système de fichiers peut différer pour les fichiers nouvellement créés et les fichiers existants. Ainsi, pour les fichiers nouvellement créés, il est possible d'appliquer un niveau de contrôle plus approfondi. Pour ne laisser que le minimum d'empreinte système lorsque la protection en temps réel est utilisée, les fichiers ayant déjà été analysés ne seront pas analysés de nouveau (à moins qu'ils n'aient été modifiés). Les fichiers seront cependant immédiatement réanalysés après chaque mise à jour de la base de données des signatures de virus. Ce comportement est configuré à l'aide de l'optimisation intelligente. Si cette fonction est désactivée, tous les fichiers seront analysés chaque fois que l'ordinateur y accédera. Pour modifier cette option, appuyez sur la touche F5 pour ouvrir la fenêtre de Configuration avancée, puis cliquez sur Ordinateur > Antivirus et antispyware > Protection en temps réel du système de fichiers dans l'arborescence de Configuration avancée. Cliquez ensuite sur le bouton Configuration..., à côté de Configuration du moteur ThreatSense, cliquez sur Autre et sélectionnez ou désélectionnez l'option Activer l'optimisation intelligente. Par défaut, la protection en temps réel du système de fichier est lancée au démarrage du système d'exploitation et assure une analyse ininterrompue. Dans certains cas (par ex., en cas de conflit avec un autre analyseur en temps réel), il est possible d'arrêter la protection en temps réel du système de fichiers en désactivant l'option Lancer automatiquement la protection en temps réel du système de fichiers Supports à analyser Par défaut, tous les types de supports sont analysés pour y détecter la présence potentielle de menaces. Disques locaux - Contrôle tous les disques durs du système. Supports amovibles - Disquettes, CD/DVD, périphériques de stockage USB, etc. Lecteurs réseau - Tous les disques mappés. Il est recommandé de ne modifier ces paramètres par défaut que dans des cas particuliers, par exemple lorsque l'analyse de certains supports ralentit de manière significative les transferts de données. 23

24 Date de l'analyse (analyse déclenchée par un événement) Par défaut, tous les fichiers sont analysés lorsqu'ils sont ouverts, exécutés ou créés. Il est recommandé de conserver les paramètres par défaut, car ils offrent le niveau maximum de protection en temps réel pour votre ordinateur. Ouverture de fichier - Active ou désactive l'analyse des fichiers ouverts. Création de fichier - Active ou désactive l'analyse des fichiers créés ou modifiés. Exécution de fichier - Active ou désactive l'analyse des fichiers exécutés. Accès au support amovible - Active ou désactive l'analyse déclenchée par l'accès à un support amovible particulier offrant de l'espace de stockage Options d'analyse avancée D'autres options de configuration plus détaillées sont présentées sous Ordinateur > Antivirus et antispyware > Protection du système en temps réel > Configuration avancée. Autres paramètres ThreatSense pour les fichiers nouveaux et modifiés - Les fichiers nouvellement créés ou les fichiers modifiés ont une probabilité d'infection supérieure à celle des fichiers existants. C'est pour cette raison que le programme utilise des paramètres d'analyse supplémentaires pour vérifier ces fichiers. Outre les méthodes d'analyse basées sur les signatures, l'heuristique avancée est aussi utilisée, ce qui améliore sensiblement les taux de détection, car l'heuristique détecte les nouvelles menaces avant la diffusion de la mise à jour de la base de données des signatures de virus. En plus des fichiers nouvellement créés, l'analyse est aussi effectuée sur les fichiers à extraction automatique (.sfx) et les fichiers exécutables compressés par un compresseur d'exécutables (interne). Par défaut, les archives sont analysées jusqu'au dixième niveau d'imbrication et vérifiées indépendamment de leur taille réelle. Désactivez l'option Paramètres d'analyse d'archive par défaut pour modifier les paramètres d'analyse de l'archive. Autres paramètres ThreatSense pour les fichiers exécutés - Par défaut, l'heuristique avancée n'est pas utilisée lorsque des fichiers sont exécutés. Toutefois, dans certains cas, il peut être utile d'activer cette option (en cochant l'option Heuristique avancée à l'exécution du fichier). Notez que l'heuristique avancée peut ralentir l'exécution de certains programmes en raison de la plus grande utilisation des ressources système. Lorsque l'option Heuristique avancée à l'exécution de fichiers à partir de périphériques externes est activée, si vous voulez exclure des ports de support amovible (USB) de l'analyse par l'heuristique avancée lors de l'exécution des fichiers, cliquez sur Exceptions... pour ouvrir la fenêtre d'exclusion des supports amovibles. D'ici, vous pouvez personnaliser les paramètres en sélectionnant ou en désélectionnant les cases correspondant à chacun des ports Niveaux de nettoyage La protection en temps réel offre trois niveaux de nettoyage (pour y accéder, cliquez sur le bouton Configuration... dans la section Protection en temps réel du système de fichiers puis sur la branche Nettoyage). Pas de nettoyage - Les fichiers infectés ne seront pas nettoyés automatiquement. Le programme affiche alors une fenêtre d'avertissement et laisse l'utilisateur choisir une action. Ce niveau est conçu pour les utilisateurs expérimentés qui savent quoi faire avec chaque type d'infiltration. Nettoyage standard - Le programme tente de nettoyer ou de supprimer automatiquement tout fichier infecté sur la based'une action prédéfinie (selon le type d'infiltration). La détection et la suppression d'un fichier infecté sont signalées par un message d'information affiché dans l'angle inférieur droit de l'écran. S'il n'est pas possible de sélectionner automatiquement l'action appropriée, le programme proposera différentes actions de suivi. La même chose se produit lorsqu'une action prédéfinie n'a pas pu être menée à bien. Nettoyage strict - Le programme nettoie ou supprime tous les fichiers infectés (y compris les archives). Les seules exceptions sont les fichiers système. S'il n'est pas possible de les nettoyer, une fenêtre avertissement invite l'utilisateur à sélectionner une action. Avertissement : Si une archive contient un ou plusieurs fichiers infectés, elle peut être traitée de deux façons différentes. En mode standard (Nettoyage standard), toute l'archive sera supprimée si tous ses fichiers sont infectés. En mode Nettoyage strict, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient. 24

25 Quand faut-il modifier la configuration la protection en temps réel La protection en temps réel est le composant le plus essentiel de la sécurisation du système. Il faut être très attentif lorsqu'on modifie les paramètres de ce module. Il est recommandé de ne changer les paramètres de ce module que dans des cas précis. Par exemple, lorsqu'il y a conflit avec une autre application ou avec l'analyseur en temps réel d'un autre logiciel antivirus. Après l'installation de ESET Endpoint Antivirus, tous les paramètres sont optimisés pour garantir le niveau maximal de sécurité système pour les utilisateurs. Pour restaurer les paramètres par défaut, cliquez sur le bouton Défaut dans la partie inférieure droite de la fenêtre Protection en temps réel du système de fichiers (Configuration avancée > Ordinateur > Antivirus et antispyware > Protection en temps réel du système de fichiers) Vérification de la protection en temps réel Pour s'assurer que la protection en temps réel fonctionne et détecte bien les virus, utilisez un fichier de test d'eicar.com. Ce fichier de test est un fichier spécial inoffensif que détecteront tous les programmes antivirus. Le fichier a été créé par la société EICAR (European Institute for Computer Antivirus Research) pour tester la fonctionnalité des programmes antivirus. Vous pouvez le télécharger du site Que faire si la protection en temps réel ne fonctionne pas Dans cette rubrique, nous décrivons des problèmes qui peuvent survenir avec la protection en temps réel et la façon de les résoudre. La protection en temps réel est désactivée Si la protection en temps réel a été désactivée par mégarde par un utilisateur, elle doit être réactivée. Pour réactiver la protection en temps réel, accédez à Configuration dans la fenêtre principale du programme et cliquez sur Protection en temps réel du système de fichiers. Si la protection en temps réel n'est pas lancée au démarrage du système, cela découle généralement du fait que l'option Lancer automatiquement la protection en temps réel du système de fichiers est désélectionnée. Pour activer cette option, accédez à la Configuration avancée (touche F5) puis, cliquez sur Ordinateur > Antivirus et antispyware > Protection en temps réel du système de fichiers dans l'arborescence de Configuration avancée. Dans la section Configuration avancée au bas de la fenêtre, assurez-vous que la case Lancer automatiquement la protection en temps réel du système de fichiers est cochée. Si la protection en temps réel ne détecte pas et ne nettoie pas les infiltrations Assurez-vous qu'aucun autre programme antivirus n'est installé sur votre ordinateur. Si deux programmes de protection en temps réel sont activés en même temps, il peut y avoir conflit entre les deux. Nous recommandons de désinstaller tout autre antivirus de votre système. La protection en temps réel ne démarre pas Si la protection en temps réel n'est pas lancée au démarrage du système (et si l'option Lancer automatiquement la 25

26 protection en temps réel du système de fichiers est activée), le problème peut provenir de conflits avec d'autres programmes. Dans ce cas, veuillez communiquer avec les spécialistes de l'assistance à la clientèle d'eset Protection des documents La fonctionnalité de protection des documents analyse les documents Microsoft Office avant leur ouverture, comme les fichiers téléchargés automatiquement par Internet Explorer, tels que des éléments Microsoft ActiveX. L'option Intégration système active le système de protection. Pour modifier cette option, appuyez sur la touche F5 pour ouvrir la fenêtre Configuration avancée et cliquez sur Ordinateur > Antivirus et antispyware > Protection des documents dans l'arborescence de Configuration avancée. Une fois activée, la protection des documents peut être affichée dans la fenêtre principale de ESET Endpoint Antivirus, dans Configuration > Ordinateur. Elle est activée par des applications utilisant l'antivirus API de Microsoft (par ex., Microsoft Office 2000 et versions ultérieures, ou Microsoft Internet Explorer 5.0 et versions ultérieures) Analyse de l'ordinateur L'analyseur à la demande est un élément important de votre solution antivirus. Il permet d'analyser les fichiers et répertoires stockés sur votre ordinateur. Pour votre sécurité, il est essentiel que l'ordinateur soit analysé non seulement en cas de suspicion d'une infection, mais aussi régulièrement dans le cadre de mesures de sécurité routinières. Il est recommandé que vous exécutiez régulièrement des analyses approfondies de votre système pour détecter les virus qui n'auraient pas été capturés par la Protection en temps réel du système de fichiers au moment où ils ont été écrits sur le disque. Cela peut se produire si la Protection en temps réel du système de fichiers était désactivée à ce moment, si la base de données de virus était obsolète ou si le fichier n'a pas été détecté comme virus lorsqu'il a été enregistré sur le disque. Deux types d'analyse de l'ordinateur sont disponibles. L'analyse intelligente analyse rapidement le système sans exiger de reconfiguration des paramètres d'analyse. L'analyse personnalisée permet, quant à elle, de sélectionner l'un des profils d'analyse prédéfinis ainsi que de choisir les cibles particulières de l'analyse. Voir la section Progression de l'analyse pour plus de détails sur le processus d'analyse. Il est recommandé d'exécuter une analyse de l'ordinateur au moins une fois par mois. Cette analyse peut être configurée comme tâche planifiée dans Outils > Planificateur. 26

27 Type d'analyse Analyse intelligente L'analyse intelligente vous permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers infectés sans intervention de l'utilisateur. L'avantage de l'analyse intelligente est qu'elle est facile à utiliser et n'exige pas une configuration détaillée de l'analyse. Cette vérification analyse tous les fichiers sur les disques durs locaux et nettoie ou supprime automatiquement les infiltrations détectées. Le niveau de nettoyage est automatiquement réglé à sa valeur par défaut. Pour plus de détails sur les types de nettoyage, consultez la rubrique Nettoyage Analyse personnalisée L'analyse personnalisée est une solution optimale si vous souhaitez préciser des paramètres d'analyse tels que les cibles et les méthodes d'analyse. L'avantage de l'analyse personnalisée est la possibilité de configurer les paramètres de manière détaillée. Les configurations peuvent être enregistrées comme profils d'analyse définis par l'utilisateur, ce qui peut être utile pour effectuer régulièrement une analyse avec les mêmes paramètres. Pour sélectionner les cibles à analyser, sélectionnez Analyse de l'ordinateur > Analyse personnalisée puis sélectionnez une option à partir du menu déroulant Cibles à analyser ou de certaines cibles particulières dans la structure de l'arborescence. Une cible d'analyse peut aussi être indiquée en entrant le chemin du dossier ou des fichiers à inclure. Si vous ne voulez qu'analyser le système sans effectuer de nettoyage supplémentaire, sélectionnez l'option Analyser sans nettoyer. Vous pouvez aussi choisir parmi trois niveaux de nettoyage en cliquant sur Configuration... > Nettoyage. L'exécution des analyses personnalisées est appropriée pour les utilisateurs avancés ayant une expérience antérieure avec l'utilisation de programmes antivirus Cibles à analyser La fenêtre Cibles à analyser permet de définir les objets (mémoire, lecteurs, secteurs, fichiers et dossiers) dans lesquels rechercher des infiltrations. Le menu déroulant Cibles à analyser permet de sélectionner des cibles à analyser prédéfinies : Par paramètres de profil - Sélectionne les cibles dans le profil d'analyse sélectionné. Supports amovibles - Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD. Disques locaux - Sélectionne tous les disques durs du système. Lecteurs réseau - Sélectionne tous les disques réseau mappés. Aucune sélection - Annule toutes les sélections. Une cible d'analyse peut aussi être indiquée en entrant le chemin du dossier ou des fichiers à inclure dans l'analyse. Sélectionnez les cibles dans l'arborescence qui dresse la liste de tous les périphériques de l'ordinateur qui sont disponibles. Pour accéder rapidement à une cible d'analyse ou ajouter directement une cible souhaitée, entrez-la dans le champ vide sous la liste de dossiers. Cela n'est possible que si aucune cible n'a été sélectionnée dans l'arborescence et que le menu Cibles à analyser est défini à Aucune sélection. 27

28 Profils d'analyse Vos paramètres d'analyse préférés peuvent être enregistrés pour analyse future. Nous vous recommandons de créer un profil différent (avec différentes cibles et méthodes ainsi que d'autres paramètres d'analyse) pour chacune des analyses utilisées régulièrement. Pour créer un nouveau profil, ouvrez la fenêtre Configuration avancée (touche F5) et cliquez sur Ordinateur > Antivirus et antispyware > Analyse de l'ordinateur > Profils... La fenêtre Profils de configuration comprend le menu déroulant Profil sélectionné qui affiche les profils d'analyse existants, ainsi que l'option permettant d'en créer un nouveau. Pour vous aider à créer un profil d'analyse répondant à vos besoins, consultez la rubrique Configuration du moteur ThreatSense pour une description de chacun des paramètres de configuration de l'analyse. Exemple : Imaginez que vous vouliez créer votre propre profil d'analyse et que la configuration associée au profil Smart Scan vous convienne en partie, mais que vous ne voulez ni analyser les fichiers exécutables compressés par un compresseur d'exécutables ni les applications potentiellement dangereuses et que vous voulez également utiliser un nettoyage strict. Dans la fenêtre Profils de configuration, cliquez sur le bouton Ajouter... Entrez le nom du nouveau profil dans le champ Nom du profil et sélectionnez Analyse intelligente dans le menu déroulant Copier les paramètres depuis le profil. Adaptez ensuite les autres paramètres à vos besoins Progression de l'analyse La fenêtre de progression de l'analyse affiche l'état actuel de l'analyse ainsi que de l'information sur le nombre de fichiers contenant du code malveillant trouvés. REMARQUE : Il est normal que certains fichiers, comme les fichiers protégés par mot de passe ou les fichiers utilisés exclusivement par le système (généralement, les fichiers pagefile.sys et certains fichiers journaux), ne puissent pas être analysés. Progression de l'analyse - La barre de progression indique le pourcentage d'objets déjà analysés par rapport aux objets encore en attente d'analyse. Cette valeur est tirée du nombre total d'objets inclus dans l'analyse. Cible - Le nom de l'objet en cours d'analyse et son emplacement. Nombre de menaces - Indique le nombre total de menaces trouvées pendant l'analyse. Pause - Met l'analyse en pause. Reprendre - Cette option est visible seulement lorsque l'analyse est suspendue. Cliquez sur Reprendre pour reprendre l'analyse. Arrêter - Met fin à l'analyse. 28

29 Vers l'arrière-plan - Vous pouvez effectuer une autre analyse parallèle. L'analyse en cours d'exécution sera minimisée dans l'arrière-plan. Cliquez sur Amener à l'avant-plan pour amener une analyse à l'avant-plan et reprendre l'analyse. Faire défiler le journal de l'analyse - Si cette option est activée, le journal d'analyse défilera automatiquement lorsque de nouvelles entrées seront ajoutées afin que les entrées les plus récentes soient visibles. Activer l'arrêt après l'analyse - Active l'arrêt planifié du système, lorsque se termine l'analyse à la demande de l'ordinateur. Une boîte de dialogue de confirmation de l'arrêt s'ouvrira et se fermera après 60 secondes. Cliquez sur Annuler si vous voulez désactiver l'arrêt demandé Analyse au démarrage La vérification automatique des fichiers de démarrage sera effectuée au démarrage du système ou à la mise à jour de la base de données des signatures de virus. Cette analyse dépend de la configuration et des tâches du Planificateur. Les options pour l'analyse au démarrage font partie d'une tâche du planificateur axée sur le contrôle des fichiers de démarrage du système. Pour en modifier les paramètres, il faut aller dans Outils > Planificateur et cliquer sur Vérification automatique des fichiers de démarrage et sur le bouton Modifier... Une fenêtre Vérification automatique des fichiers de démarrage s'affichera ensuite (consultez le chapitre suivant pour plus de détails). Pour des instructions détaillées sur la création et la gestion des tâches dans le Planificateur, consultez la sectioncréation de nouvelles tâches. 29

30 Vérification automatique des fichiers de démarrage Le menu déroulant Niveau d'analyse précise la profondeur de l'analyse pour les fichiers exécutés au démarrage du système. Les fichiers sont classés en ordre ascendant, selon le nombre de fichiers à analyser : Seulement les fichiers les plus fréquemment utilisés (le plus petit nombre de fichiers analysés) Fichiers fréquemment utilisés Fichiers couramment utilisés Fichiers rarement utilisés Tous les fichiers enregistrés (le plus grand nombre de fichiers analysés) Deux groupes de niveaux d'analyse particuliers sont aussi inclus : Fichiers exécutés avant la connexion de l'utilisateur - Contient les fichiers enregistrés dans des emplacements qui permettent de les exécuter sans que l'utilisateur n'ait à ouvrir de session (comprend presque tous les emplacements de démarrage comme les services, les objets application d'assistance du navigateur, la notification winlogon, les entrées dans le planificateur de Windows, les dll connus, etc.). Fichiers exécutés après la connexion de l'utilisateur - Contient les fichiers enregistrés dans des emplacements qui ne permettent de les exécuter que lorsque l'utilisateur a ouvert une session. Comprend généralement les fichiers enregistrés dans le dossier HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) Les listes de fichiers à analyser sont fixes, pour chacun des groupes. Priorité de l'analyse - Le niveau de priorité à utiliser pour le début de l'analyse : Normal - Pour une charge système moyenne. Faible - Lorsque la charge système est faible. Minimale - Lorsque la charge système est la plus faible possible. Quand inactif - La tâche ne sera exécutée que lorsque le système sera inactif Exclusions par chemin d'accès Les exclusions permettent d'exclure des fichiers et des dossiers de l'analyse. Pour être certain que tous les objets sont analysés à la recherche de menaces, il est recommandé de ne pas modifier ces options. Cependant, il y a des cas où vous pourriez devoir exclure un objet. Par exemple, pour les entrées dans les grandes bases de données qui pourraient ralentir l'ordinateur lors de l'analyse ou pour des logiciels qui entrent en conflit avec l'analyse. Chemin - Chemin d'accès des fichiers et des dossiers exclus. Menace - Si un nom de menace est indiqué à côté d'un fichier exclus, cela signifie que le fichier ne peut être exclus que de l'analyse pour cette menace et non de l'analyse globale. De ce fait, si ce fichier devient ensuite infecté par d'autres 30

31 logiciels malveillants, ceux-ci seront détectés par le module antivirus. Ce type d'exclusion ne peut être utilisé que pour certains types d'infiltrations et peut être créé dans la fenêtre d'alerte indiquant l'infiltration (cliquez sur Afficher les options avancées puis sélectionnez Exclure de la détection) ou Configuration > Quarantaine à l'aide de l'option du menu contextuelrestaurer et exclure de la détection pour le fichier mis en quarantaine. Ajouter... - Exclut les objets de la détection. Modifier... - Permet de modifier les entrées sélectionnées. Retirer - Retire des entrées sélectionnées Pour exclure un objet de l'analyse : 1. Cliquez sur Ajouter..., 2. entrez le chemin d'un objet ou sélectionnez-le dans l'arborescence. Vous pouvez utiliser des caractères génériques pour couvrir un groupe de fichiers. Un point d'interrogation (?) représente un seul caractère variable tandis qu'un astérisque (*) représente une chaîne variable de zéro caractère ou plus. Exemples Si vous souhaitez exclure tous les fichiers d'un dossier, tapez le chemin d'accès de ce dossier et utilisez le masque «*. *». Pour exclure un lecteur complet, y compris tous les fichiers et sous-répertoires, utilisez le masque «D:\*». Si vous ne souhaitez exclure que les fichiers.doc, utilisez le masque «*.doc». Si le nom d'un fichier exécutable comporte un certain nombre de caractères variables dont vous ne connaissez que le premier (p. ex «D»), utilisez le format suivant : «D????.exe». Les points d'interrogation remplacent les caractères manquants (inconnus) configuration du moteur ThreatSense La technologie ThreatSense combine de nombreuses méthodes de détection de menaces complexes. Cette technologie proactive fournit également une protection durant les premières heures de propagation d'une nouvelle menace. Elle utilise une combinaison de plusieurs méthodes (analyse de code, émulation de code, signatures génériques, signatures de virus) qui se conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur d'analyse est capable de contrôler simultanément plusieurs flux de données, maximisant ainsi l'efficacité et le taux de détection. La technologie ThreatSense élimine également les rootkits. Les options de configuration de la technologie ThreatSense vous permettent également de préciser plusieurs paramètres d'analyse : les types de fichiers et extensions à analyser; la combinaison de plusieurs méthodes de détection; les niveaux de nettoyage, etc. Pour ouvrir la fenêtre de configuration, cliquez sur le bouton Configuration... situé dans toute fenêtre de configuration de module qui utilise la technologie ThreatSense (voir ci-dessous). Chaque scénario de sécurité peut exiger une configuration différente. Sachant cela, ThreatSense peut être configuré individuellement pour les modules de protection suivants : Protection en temps réel du système de fichiers, Protection des documents, Protection du client de messagerie, Protection de l'accès Web, Analyse de l'ordinateur. Les paramètres ThreatSense sont hautement optimisés pour chaque module et leur modification peut grandement affecter le fonctionnement du système. Par exemple, en modifiant les paramètres pour toujours analyser compacteurs exécutables ou pour autoriser l'heuristique avancée dans la protection en temps réel du système de fichiers, vous pouvez diminuer les performances du système (normalement, seuls les fichiers nouvellement créés sont analysés par ces méthodes). Il est recommandé de laisser inchangés les paramètres par défaut de ThreatSense pour tous les modules, à l'exception du module Analyse de l'ordinateur. 31

32 Objets La section Objets vous permet de définir quels éléments et fichiers de l'ordinateur seront analysés pour y détecter les infiltrations. Mémoire vive - Activez cette option pour détecter les menaces qui s'attaquent à la mémoire vive du système. Secteurs d'amorçage - Activez cette option pour analyser les secteurs d'amorçage visant à détecter la présence de virus dans l'enregistrement de démarrage principal. Fichiers courriel - Le programme prend en charge les extensions suivantes : DBX (Outlook Express) et EML. Archives - Le programme prend en charge les extensions suivantes : ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE et beaucoup d'autres. Archives à extraction automatique - Les archives à extraction automatique (SFX) n'ont pas besoin de programmes spécialisés (archiveurs) pour être décomprimées. Fichiers exécutables compressés par un compresseur d'exécutables - Après l'exécution, les fichiers exécutables compressés par un compresseur d'exécutables, contrairement aux archiveurs standards, se décompriment en mémoire. En plus des compacteurs statiques standards (UPX, yoda, ASPack, FSG, etc.), l'analyseur prend en charge beaucoup d'autres types de compacteurs (grâce à l'émulation de code) Options Utilisez la section Options pour choisir les méthodes utilisées lors de l'analyse du système pour y détecter des infiltrations. Les options suivantes sont disponibles : Heuristique - La méthode heuristique utilise un algorithme d'analyse de l'activité (malveillante) des programmes. Son principal avantage est sa capacité à identifier un code malveillant qui n'existait pas ou n'était pas inscrit dans la base de données antérieure des signatures de virus. L'inconvénient de cette méthode est la probabilité (très faible) de fausses alarmes. Heuristique avancée/adn/signatures intelligentes - La méthode heuristique avancée utilise un algorithme heuristique développé par ESET, optimisé pour la détection des vers d'ordinateur et les chevaux de Troie, et écrit dans un langage de programmation de haut niveau. Grâce à l'heuristique avancée, les capacités de détection du programme sont très élevées. Les signatures peuvent détecter et identifier les virus de façon fiable. Grâce au système de mise à jour automatique, de nouvelles signatures peuvent être disponibles dans les quelques heures de la découverte d'une menace. L'inconvénient des signatures est qu'elles ne détectent que les virus qu'elle connaissent (ou une version légèrement modifiée). Les applications potentiellement indésirables ne sont pas nécessairement malveillantes, mais elles sont susceptibles d'affecter les performances de votre ordinateur. Ces applications exigent généralement le consentement de l'utilisateur avant leur installation. Si elles sont présentes sur votre ordinateur, votre système se comportera différemment (par rapport à son état avant l'installation). Les changements les plus significatifs sont : l'apparition de nouvelles fenêtres qui n'existaient pas auparavant (fenêtres publicitaires, annonces); des processus cachés qui sont activés et exécutés; une plus grande utilisation des ressources système; la modification des résultats de recherche; le fait que l'application communique avec des serveurs distants. Applications potentiellement dangereuses - Les applications potentiellement dangereuses incluent les logiciels commerciaux légitimes. Elle comprend les programmes comme des outils d'accès à distance, les applications de craquage de mot de passe et les enregistreurs de frappe. Cette option est désactivée par défaut. ESET Live Grid - Grâce à la technologie de réputation d'eset, les informations sur les fichiers analysés sont vérifiées par rapport aux données du système d'avertissement anticipé en nuage ESET Live Grid pour améliorer la détection et la vitesse d'analyse. 32

33 Nettoyage Les paramètres de nettoyage déterminent le comportement de l'analyseur lors du nettoyage des fichiers infectés. Trois niveaux de nettoyage sont possibles : Pas de nettoyage - Les fichiers infectés ne seront pas nettoyés automatiquement. Le programme affiche alors une fenêtre d'avertissement et laisse l'utilisateur choisir une action. Ce niveau est conçu pour les utilisateurs expérimentés qui savent quoi faire avec chaque type d'infiltration. Nettoyage standard - Le programme tente de nettoyer ou de supprimer automatiquement tout fichier infecté sur la based'une action prédéfinie (selon le type d'infiltration). La détection et la suppression d'un fichier infecté sont signalées par un message d'information affiché dans l'angle inférieur droit de l'écran. S'il n'est pas possible de sélectionner automatiquement l'action appropriée, le programme proposera différentes actions de suivi. La même chose se produit lorsqu'une action prédéfinie n'a pas pu être menée à bien. Nettoyage strict - Le programme nettoie ou supprime tous les fichiers infectés (y compris les archives). Les seules exceptions sont les fichiers système. S'il n'est pas possible de les nettoyer, une fenêtre avertissement invite l'utilisateur à sélectionner une action. Avertissement : Si une archive contient un ou plusieurs fichiers infectés, elle peut être traitée de deux façons différentes. En mode standard (Nettoyage standard), toute l'archive sera supprimée si tous ses fichiers sont infectés. En mode Nettoyage strict, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient Extension L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette section de la configuration des paramètres ThreatSense vous permet de définir les types de fichiers à analyser. Par défaut, tous les fichiers sont analysés, quelle que soit leur extension. N'importe quelle extension peut être ajoutée à la liste des fichiers exclus de l'analyse. Si l'option Analyser tous les fichiers est désélectionnée, la liste change pour afficher les extensions de tous les fichiers actuellement analysés. Pour activer l'analyse de fichiers sans extension, activez l'option Analyser les fichiers sans extension. L'option Ne pas analyser les fichiers sans extension devient disponible lorsque l'option Analyser tous les fichiers est activée. L'exclusion de fichiers peut parfois être utile lorsque l'analyse de certains types de fichiers empêche le fonctionnement approprié du programme utilisant ces extensions. Par exemple, il peut être judicieux d'exclure les extensions.edb,.eml et.tmp lorsque vous utilisez les serveurs Microsoft Exchange. Les boutons Ajouter et Supprimer permettent d'autoriser ou d'empêcher l'analyse d'extensions de fichiers spécifiques. Lorsque vous entrez une Extension, le bouton Ajouter s'active pour permettre l'ajout de cette nouvelle extension à la liste. Sélectionnez sur une extension dans la liste puis sur cliquez sur Retirer pour la supprimer de la liste. Les symboles spéciaux * (astérisque) et? (point d'interrogation) peuvent être utilisés. L'astérisque remplace n'importe quelle chaîne de caractères, tandis que le point d'interrogation remplace n'importe quel autre caractère individuel. Vous devez faire attention lorsque vous indiquez les adresses exclues, car la liste ne doit contenir que des adresses sûres et 33

34 fiables. De même, assurez-vous d'employer correctement les symboles * et? dans cette liste. Cliquez sur le bouton Défaut et confirmez en cliquant sur Oui pour que les extensions par défaut soient analysées Limites La section Limites permet de préciser la taille maximale des objets et les niveaux d'imbrication des archives à analyser : Taille maximale de l'objet - Définit la taille maximale des objets à analyser. Le module antivirus donné n'analysera alors que les objets d'une taille inférieure à celle indiquée. Cette option ne devrait être modifiée que par des utilisateurs expérimentés ayant des raisons précises d'exclure de l'analyse des objets de plus grande taille. Valeur par défaut : illimité. Durée d'analyse maximale pour l'objet (en secondes) - Précise la valeur de temps maximale pour l'analyse d'un objet. Si la valeur de ce champ a été définie par l'utilisateur, le module antivirus cessera d'analyser un objet une fois ce temps écoulé, que l'analyse soit finie ou non. Valeur par défaut : illimité. Niveau d'imbrication des archives - Précise la profondeur maximale de l'analyse des archives. Valeur par défaut : 10. Taille maximale du fichier dans l'archive (octets) - Cette option permet de préciser la taille maximale des fichiers (après extraction) à analyser, contenus dans les archives. Valeur par défaut : illimité. Si, pour ces raisons, l'analyse d'une archive prend fin prématurément, cette dernière restera non vérifiée. Remarque : il n'est pas recommandé de modifier les valeurs par défaut. Dans des circonstances normales, il n'y a aucune raison de le faire Autre Vous pouvez configurer les options suivantes dans la section Autre : Consigner tous les objets - Si cette option est sélectionnée, le fichier journal affichera tous les fichiers analysés, même ceux qui ne sont pas infectés. Par exemple, si une infiltration est détectée dans une archive, le journal présente également les fichiers propres qu'elle contient. Activer l'optimisation intelligente - Lorsque l'optimisation Smart est activée, les paramètres les plus optimaux sont utilisés pour assurer le niveau d'analyse le plus efficient tout en conservant la vitesse d'analyse la plus élevée. Les différents modules de protection effectuent une analyse intelligente, utilisant pour ce faire différentes méthodes d'analyse et les appliquant à différents types de fichiers. Si l'optimisation Smart est activée, seuls les paramètres définis par l'utilisateur dans le moteur ThreatSense utilisé pour ces modules particuliers seront appliqués au moment de l'analyse. Au moment de configurer les paramètres du moteur ThreatSense pour une analyse de l'ordinateur, les options suivantes seront aussi offertes : Analyser les flux de données alternatifs (ADS) - Les flux de données alternatifs (ADS) utilisés par le système de fichiers NTFS sont des associations de fichiers et de dossiers que les techniques d'analyse ordinaires ne permettent pas de détecter. De nombreuses infiltrations tentent d'éviter la détection en se faisant passer pour des flux de données alternatifs. Exécuter les analyses en arrière-plan avec une priorité faible - Toute séquence d'analyse consomme une certaine quantité de ressources système. Si vous utilisez des programmes qui exigent beaucoup de ressources système, vous pouvez activer l'analyse en arrière-plan à faible priorité de manière à réserver des ressources pour vos applications. Conserver la date et l'heure du dernier accès - Activez cette option pour conserver la date et l'heure d'accès d'origine des fichiers analysés au lieu de la mettre à jour (par ex., pour l'utiliser avec des systèmes de sauvegarde de données). Faire défiler le journal - Cette option permet d'autoriser ou d'interdire le défilement du journal. Si cette option est sélectionnée, l'information défile vers le haut dans la fenêtre d'affichage. 34

35 Une infiltration est détectée Des infiltrations peuvent utiliser différents points d'entrée pour attaquer votre système, comme les pages Web, dossiers partagés, courriel ou périphériques amovibles (USB, disques externes, CD, DVD, disquettes, etc.). Comportement normal Comme exemple général de la façon dont les infiltrations sont traitées par ESET Endpoint Antivirus, les infiltrations peuvent être détectées en utilisant Protection en temps réel du système de fichiers, Protection de l'accès Web, Protection du client de messagerie, ou Analyse de l'ordinateur à la demande, Chacun de ces modules utilise le niveau de nettoyage standard et tenteront de nettoyer le fichier et de le mettre en quarantaine ou de mettre fin à la connexion. Une fenêtre de notification s'affiche dans la zone de notification, dans le coin inférieur droit de l'écran. Pour plus d'information sur les niveaux de nettoyage et le comportement, consultez la rubrique Nettoyage. Nettoyage et suppression Si aucune action n'est prédéfinie pour la protection en temps réel, vous serez invité à sélectionner une option dans une fenêtre d'avertissement. Les options Nettoyer, Supprimer et Aucune action sont généralement disponibles. Sélectionner Aucune action n'est pas recommandé puisque cela ne nettoiera pas les fichiers infectés. La seule exception concerne les situations où vous êtes sûr que le fichier est inoffensif et a été détecté par erreur. Utilisez le nettoyage si un fichier a été attaqué par un virus qui y a joint du code malveillant. Dans ce cas, tentez d'abord de nettoyer le fichier infecté pour le restaurer à son état d'origine. Si le fichier se compose uniquement de code malveillant, il sera alors supprimé. 35

36 Si un fichier infecté est «verrouillé» ou utilisé par un processus du système, il ne sera généralement supprimé qu'après avoir été déverrouillé (le plus souvent, après un redémarrage du système). Suppression de fichiers dans les archives En mode de nettoyage par défaut, l'archive entière n'est supprimée que si elle ne contient que des fichiers infectés et aucun fichier sain. Autrement dit, les archives ne sont pas supprimées si elles contiennent aussi des fichiers sains. Soyez cependant prudent si vous choisissez un nettoyage strict : dans ce mode, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient. Si votre ordinateur montre des signes d'une infection par un logiciel malveillant (ralentissement, blocages fréquents, etc.), il est recommandé d'effectuer les opérations suivantes : Ouvrir ESET Endpoint Antivirus et cliquer sur Analyse de l'ordinateur, Cliquez sur Analyse intelligente (pour plus d'information, se reporter à la rubrique Analyse intelligente). Lorsque l'analyse est terminée, consultez le journal pour connaître le nombre de fichiers analysés, infectés et nettoyés. Si vous ne souhaitez analyser qu'une certaine partie de votre disque, cliquez sur Analyse personnalisée et sélectionnez les cibles à analyser Supports amovibles ESET Endpoint Antivirus fournit une analyse automatique des supports amovibles (CD/DVD/USB/...). Ce module vous permet d'analyser le support inséré. Cela peut être utile si l'administrateur de l'ordinateur veut empêcher les utilisateurs d'utiliser des supports amovibles comportant un contenu non sollicité. Action à prendre après la connexion de périphériques externes - Sélectionnez l'action par défaut qui sera exécutée lorsqu'un support amovible (CD/DVD/USB) est inséré dans l'ordinateur. Si l'option Afficher les options d'analyse est sélectionnée, une notification s'affichera pour vous permettre de choisir une action voulue : Analyser maintenant - Une analyse de l'ordinateur à la demande du support amovible inséré sera effectuée. Analyser plus tard - Aucune action ne sera effectuée et la fenêtre Nouveau périphérique détecté sera fermée. Configurer... - Ouvre la section de configuration du support amovible. ESET Endpoint Antivirus comprend également la fonctionnalité de contrôle du périphérique qui offre la possibilité de définir des règles pour l'utilisation des périphériques externes sur un ordinateur particulier. Vous trouverez plus de détails sur le contrôle de périphérique dans la section Contrôle de périphérique. 36

37 4.1.3 Contrôle de périphérique ESET Endpoint Antivirus fournit un contrôle automatique des périphériques (CD/DVD/USB/...). Ce module vous permet d'analyser, de bloquer ou de régler les filtres ou permissions étendus et de sélectionner la façon dont l'utilisateur peut accéder à un périphérique donné et travailler avec celui-ci. Cela peut être utile si l'administrateur de l'ordinateur veut empêcher l'utilisation de périphériques comportant un contenu non sollicité par des utilisateurs. Périphériques externes pris en charge CD/DVD/Blu-ray Stockage USB Périphérique FireWire Périphérique d'acquisition d'images Imprimante USB Bluetooth Lecteur de carte Modem Port LPT/COM Les options de contrôle de périphérique peuvent être modifiées dans Configuration avancée (touche F5) > Contrôle de périphérique. Cocher la case à côté d'intégration dans le système active la fonctionnalité Contrôle de périphérique de ESET Endpoint Antivirus; vous devrez redémarrer votre ordinateur pour que cette modification prenne effet. Lorsque le Contrôle de périphérique est actif, Configurer les règles... devient active et vous permet d'ouvrir la fenêtre Éditeur des règles du contrôle de périphérique. Si le périphérique externe inséré entraîne l'application d'une règle existante qui Bloque l'accès au périphérique, une fenêtre de notification s'affichera alors dans le coin inférieur droit et l'accès au périphérique ne sera pas accordé Règles du contrôle de périphérique La fenêtre Éditeur des règles du contrôle de périphérique affiche les règles existantes et permet un contrôle précis des périphériques externes que les utilisateurs utilisent pour se connecter à l'ordinateur. Des périphériques particuliers peuvent être autorisés ou bloqués par utilisateur ou groupe d'utilisateurs, ainsi qu'en fonction de paramètres supplémentaires qui peuvent être précisés dans la configuration de la règle. La liste de règles contient plusieurs éléments descriptifs d'une règle comme le nom, le type de périphérique externe, l'action à effectuer après la connexion d'un périphérique externe à l'ordinateur et la gravité, tels que consignés dans le journal. Cliquez sur Ajouter ou Modifier pour gérer une règle. Cliquez sur Copier pour créer une nouvelle règle avec les options prédéfinies utilisées pour une autre règle sélectionnée. Les chaînes en XML qui s'affichent lorsque vous cliquez sur une règle peuvent être copiées dans le Bloc-notes pour aider les administrateurs de système à exporter ou à importer ces 37

38 données et à les utiliser, par exemple dans ESET Remote Administrator. En tenant la touche CTRL enfoncée et en cliquant simultanément sur les règles, vous pourrez en sélectionner plusieurs et effectuer des actions sur celles-ci, comme les supprimer ou les monter ou descendre dans la liste. La case Activé active ou désactive une règle; ce qui peut être utile si vous ne voulez pas supprimer définitivement la règle. Le contrôle est effectué par des règles triées dans un ordre qui en détermine la priorité, les règles plus prioritaires étant les premières. Vous pouvez cliquer à droite sur une règle pour afficher le menu contextuel. C'est ici que vous pouvez définir la verbosité (gravité) des entrées de journal portant sur les règles. Les entrées de journal peuvent être affichées à partir de la fenêtre principale de ESET Endpoint Antivirus dans Outils > Fichiers journaux Ajout de règles du contrôle de périphérique Une règle de contrôle des périphériques définit l'action qui sera effectuée lorsqu'un périphérique conforme aux critères énoncés dans la règle est branché à l'ordinateur. Entrez une description de la règle dans le champ Nom pour pouvoir l'identifier plus facilement. Cocher la case à côté de Activé active ou désactive cette règle, ce qui peut être utile si vous ne voulez pas supprimer définitivement la règle. Type de périphérique Choisissez le type de périphérique externe dans le menu déroulant (USB/Bluetooth/FireWire/etc.). Les types de périphériques sont tirés du système d'exploitation et peuvent être affichés dans le Gestionnaire de périphériques lorsqu'un périphérique est branché à l'ordinateur. Le type de périphérique Stockage optique indiqué dans le menu déroulant renvoie au stockage des données sur un support accessible par lecture optique (par exemple, les CD, DVD). Les périphériques de stockage incluent les disques externes ou les lecteurs conventionnels de cartes mémoires branchés à un port USB ou FireWire. Les numériseurs ou les appareils photos sont des exemples de périphériques d'acquisition d'images. Les lecteurs de cartes à puce comprennent les lecteurs de cartes à puce avec circuit intégré, comme les cartes SIM ou les cartes d'authentification. Droits L'accès aux appareils autres que de stockage peut être autorisé ou bloqué. À l'inverse, les règles connexes aux périphériques de stockage permettent de sélectionner l'un des droits suivants : Bloquer - L'accès au périphérique sera bloqué. Lecture seule - Seule la lecture à partir du périphérique sera autorisée. Lecture et écriture - L'accès complet au périphérique sera autorisé. À noter que seuls certains droits (actions) sont disponibles pour tous les types de périphériques. Si un périphérique comporte de l'espace de stockage, les trois actions seront disponibles. Pour les périphériques autres que de stockage, 38

39 seules deux actions sont disponibles (par exemple, l'action Lecture seule n'est pas disponible pour Bluetooth, ce qui signifie que le périphérique ne peut être qu'autorisé ou bloqué). D'autres paramètres peuvent être utilisés pour affiner les règles et les personnaliser en fonction de périphériques concrets. Aucun des paramètres n'est sensible à la casse : Fournisseur - Filtrage par nom du fournisseur ou ID. Modèle - Le nom donné au périphérique. Numéro de série - Les périphériques externes ont généralement leur propre numéro de série. Dans le cas des CD/ DVD, il s'agit du numéro de série du périphérique, non du lecteur de CD. Remarque : Si les trois descripteurs ci-dessus sont vides, la règle ne tiendra pas compte de ces champs au moment d'établir une correspondance. Conseil : pour connaître les paramètres d'un périphérique, créez une règle d'autorisation pour le type de périphérique approprié, puis connectez le périphérique à l'ordinateur avant de vérifier les détails du périphérique dans le journal de contrôle de périphérique. Les règles peuvent être restreintes à certains utilisateurs ou groupes d'utilisateurs en les ajoutant dans la liste des utilisateurs : Ajouter - Ouvre la boîte de dialogue Type d'objet : Utilisateurs ou groupes qui permet de sélectionner les utilisateurs voulus. Retirer - Retirer l'utilisateur sélectionné du filtre Système de détection d'intrusion au niveau de l'hôte (HIPS) Le Système de prévention des intrusions sur l'ordinateur hôte (HIPS) protège votre système des logiciels malveillants ou de toute activité indésirable qui tentent de modifier la sécurité de votre ordinateur. Il utilise, pour ce faire, une analyse comportementale évoluée combinée aux fonctionnalités de détection de filtrage du réseau utilisées dans la surveillance des processus en cours, fichiers et clés de registre. Le système HIPS diffère de la protection en temps réel du système de fichiers et ce n'est pas un pare-feu. Il surveille uniquement les processus en cours d'exécution au sein du système d'exploitation. Vous pouvez accéder à HIPS dans Configuration avancée (touche F5) en cliquant sur Ordinateur > HIPS. L'état HIPS (activé ou désactivé) est indiqué dans la fenêtre principale de ESET Endpoint Antivirus, dans le volet Configuration, du côté droit de la section Ordinateur. Les paramètres HIPS se trouvent dans la Configuration avancée (touche F5). Pour accéder à HIPS dans l'arborescence de Configuration avancée, cliquez sur Ordinateur > HIPS. L'état HIPS (activé ou désactivé) est indiqué dans la fenêtre principale de ESET Endpoint Antivirus, dans le volet Configuration, du côté droit de la section Ordinateur. Avertissement : seul un utilisateur d'expérience devrait apporter des modifications aux paramètres de HIPS. ESET Endpoint Antivirus comporte une technologie d'auto-défense intégrée qui empêche les logiciels malveillants de corrompre ou de désactiver votre protection antivirus et anti-logiciel espion pour que vous soyez toujours certain que votre système est en tout temps protégé. Les modifications apportées aux paramètres Activer HIPS et Activer Autodéfense prendront effet après le redémarrage du système d'exploitation Windows. Désactiver l'ensemble du système HIPS exigera également un redémarrage de l'ordinateur. Le filtrage peut être effectué selon l'un des quatre modes : Mode automatique avec règles - Les opérations sont activées, sauf les règles prédéfinies qui protègent votre système. Mode interactif - L'utilisateur sera invité à confirmer les opérations. Mode basé sur des règles personnalisées - Les opérations seront bloquées. Mode d'apprentissage - Les opérations sont activées et une règle est créée, après chaque opération. Les règles créées dans ce mode peuvent être affichées dans l'éditeur de règles, mais leur priorité sera inférieure aux règles créées manuellement ou en mode automatique. Une fois que vous aurez sélectionné le Mode d'apprentissage, vous pourrez alors cliquer sur l'option Aviser de l'expiration de mode d'apprentissage dans X jours. Une fois cette période terminée, le mode d'apprentissage sera de nouveau désactivé. La période dure, au maximum, 14 jours. Une fois cette période terminée, une fenêtre contextuelle s'ouvrira, fenêtre dans laquelle vous pouvez modifier les règles et sélectionner un mode de filtrage différent. Le système HIPS surveille les événements qui se produisent dans le système d'exploitation et réagit à ces derniers en fonction des règles utilisées par le Pare-feu personnel. Cliquez sur Configurer les règles... pour ouvrir la fenêtre de 39

40 gestion des règles HIPS. Cette fenêtre vous permet de sélectionner, de créer, de modifier ou de supprimer des règles. Dans l'exemple suivant, nous allons illustrer comment limiter le comportement non voulu d'applications : 1. Nommez la règle et sélectionnezbloquer dans le menu déroulant Action. 2. Ouvrez l'onglet Applications cibles. Laissez l'ongletapplications sources vide pour appliquer votre nouvelle règle à toutes les applications qui tentent d'effectuer une des opérations cochées dans la liste Opérations sur les applications de la liste Pour ces applications. 3. Sélectionnez Modifier l'état d'une autre application (toutes les opérations sont décrites dans l'aide sur le produit; pour y accéder, appuyez sur la touche F1 lorsque vous êtes dans la fenêtre, touche identique à celle que vous trouverez dans l'image ci-dessous). 4. Ajoutez une ou plusieurs applications à protéger. 5. Activez l'optionavertir l'utilisateur pour afficher une notification utilisateur chaque fois que la règle est appliquée. 6. Cliquez sur OK pour enregistrer la nouvelle règle. Une fenêtre de dialogue s'affiche chaque fois, si Demander est l'action par défaut. Elle permet à l'utilisateur de choisir de refuser ou d'autoriser l'opération. Si l'utilisateur ne choisit pas une action dans le temps donné, une nouvelle action sera sélectionnée, en fonction des règles. 40

41 La boîte de dialogue permet de créer une règle en fonction de toute nouvelle action détectée par le système HIPS puis de définir les conditions dans lesquelles autoriser ou refuser cette action. Pour définir les paramètres exacts, cliquez sur Afficher les options. Les règles créées de cette façon sont jugées équivalentes aux règles créées manuellement. Ainsi, la règle créée à partir d'une fenêtre de dialogue peut être moins précise que la règle qui a déclenché la fenêtre de dialogue. Ainsi, après la création d'une telle règle, la même opération pourra déclencher l'affichage de la même fenêtre. L'option Mémoriser temporairement cette action pour ce processus provoque la mémorisation de l'action (Autoriser / Refuser) à utiliser jusqu'à la modification des règles ou du mode de filtrage, une mise à jour du module HIPS ou le redémarrage du système. À l'issue de l'une de ces trois actions, les règles temporaires seront supprimées. 41

42 4.2 Web et messagerie La configuration Web et messagerie se trouve dans le volet Configuration que vous obtenez après avoir cliqué sur le titre Web et messagerie. Elle permet d accéder à des paramètres plus détaillés du programme. La connectivité Internet est un élément standard des ordinateurs personnels. Malheureusement, c'est aussi devenu le principal moyen de transférer et disséminer du code malveillant. C'est pourquoi il est essentiel que vous évaluiez attentivement la Protection de l'accès Web. La protection du client de messagerie offre le contrôle de la communication par courriel effectuée par l'entremise du protocole POP3. À l'aide du plugiciel pour votre client de messagerie, ESET Endpoint Antivirus assure le contrôle de toutes les communications utilisant le client de messagerie (POP3, MAPI, IMAP, HTTP). Désactiver - Désactive la protection Web/messagerie pour les clients de messagerie. Configurer... - Ouvre les paramètres de protection avancée pour la protection Web/messagerie/antipourriel. 42

43 4.2.1 Protection de l'accès Web La connectivité Internet est un élément standard des ordinateurs personnels. Malheureusement, c'est aussi devenu le principal moyen de transférer et disséminer du code malveillant. Protection de l'accès Web utilise la surveillance des communication entre les navigateurs Internet et les serveurs distants, conformément aux règles des protocoles HTTP et HTTPS (communications chiffrées). Le terme hameçonnage («phishing» en anglais) désigne une activité frauduleuse utilisant des techniques de piratage psychologique qui consistent à manipuler les utilisateurs pour obtenir des données confidentielles. Pour en savoir plus sur cette protection, consultez leglossaire. ESET Endpoint Antivirus prend en charge la protection anti-hameçonnage les pages Web connues contenant ce type de contenu seront toujours bloquées. Il est fortement recommandé d'activer la Protection de l'accès Web. Vous pouvez accéder à cette option à partir de la fenêtre principale de ESET Endpoint Antivirus en allant dans Configuration > Web et messagerie > Protection de l'accès Web HTTP, HTTPS Par défaut, ESET Endpoint Antivirus est configuré pour utiliser les normes de la plupart des navigateurs Internet. Vous pouvez toutefois modifier les options de configuration de l'analyseur HTTP dans Configuration avancée (touche F5) > Web et messagerie > Protection de l'accès Web > HTTP, HTTPS. Dans la fenêtre principale du Filtre HTTP, vous pouvez activer ou désactiver l'option Activer le contrôle HTTP. Vous pouvez également définir les numéros de port utilisés pour la communication HTTP. Par défaut, les numéros de ports 80 (HTTP), 8080 et 3128 (pour le serveur mandataire) sont prédéfinis. ESET Endpoint Antivirus prend en charge le contrôle de protocole HTTPS. La communication HTTPS utilise un canal chiffré pour transférer des données entre un serveur et un client. ESET Endpoint Antivirus vérifie les communications à l'aide des méthodes de chiffrement SSL (Secure Socket Layer) et TLS (Transport Layer Security). La vérification HTTPS peut être effectuée dans les modes suivants : Ne pas utiliser de contrôle de protocole HTTPS - Les communications chiffrées ne seront pas vérifiées. Utiliser le contrôle de protocole HTTPS pour les ports sélectionnés - La vérification HTTPS ne visera que les ports définis dans Ports utilisés par le protocole HTTP. Utiliser le contrôle de protocole HTTPS pour les ports sélectionnés - La vérification HTTPS ne visera que les ports définis dans la section Navigateurs et qui utilisent les ports définis dans Ports utilisés par le protocole HTTP. Le port 443 est défini par défaut. Les communications chiffrées ne sont pas analysées. Pour activer l'analyse des communications encryptées et visualiser la configuration de l'analyseur, allez jusqu'à l'option Contrôle de protocole SSL dans la section Configuration avancée, cliquez sur Web et messagerie > Filtrage des protocoles > SSL) et activez l'option Toujours analyser le protocole SSL. 43

44 Mode actif pour les navigateurs Web ESET Endpoint Antivirus contient également le sous-menu Mode actif qui définit le mode de contrôle des navigateurs Internet. Le mode actif est utile, car il examine les données transférées par l'ensemble des applications qui accèdent à Internet, qu'elles soient ou non marquées comme navigateurs Web (pour plus d'information, consultez la section Clients Web et messagerie). Si le mode Actif n'est pas activé, la communication à partir de ces applications sera contrôlée progressivement, par lots. La vérification des données est alors moins efficace, mais la compatibilité avec les applications répertoriées est meilleure. Si cela ne pose pas de problèmes, il est recommandé d'activer ce mode de vérification en cochant la case à côté de l'application voulue. Voici comment fonctionne le mode actif : lorsqu'une application contrôlée télécharge des données, ces dernières sont d'abord sauvegardées dans un fichier temporaire créé par ESET Endpoint Antivirus. L'application ne peut cependant pas accéder à ces données à ce moment. Une fois le téléchargement terminé, les données sont vérifiées pour y détecter la présence de codes malveillants. Si aucune infiltration n'est trouvée, les données sont alors envoyées à l'application. Ce processus offre un contrôle total sur les communications effectuées par des applications vérifiées. Si le mode passif est activé, les données sont envoyées à l'application par petites quantités pour éviter les temps d'arrêt Gestion d'adresse URL La section de gestion d'adresses URL vous permet de préciser les adresses HTTP à bloquer, à autoriser ou à exclure de la vérification. Les boutons Ajouter, Modifier, Supprimer et Exporter sont utilisés pour gérer les listes d'adresses. Les sites Web figurant dans la liste des adresses bloquées ne seront pas accessibles. Les sites Web figurant dans la liste des adresses exclues sont accessibles sans aucune analyse de code malveillant. Si vous sélectionnez l'option N'autoriser l'accès qu'aux adresses URL figurant dans la liste des adresses autorisées, seules les adresses figurant dans la liste des adresses autorisées sont accessibles, tandis que toutes les autres adresses HTTP sont bloquées. Si vous ajoutez une adresse URL à la Liste des adresses exclues du filtrage, l'adresse sera exclue de l'analyse. Vous pouvez aussi autoriser ou bloquer certaines adresses, en les ajoutant à la Liste des adresses autorisées ou à la Liste des adresses bloquées. Après avoir cliqué sur le bouton Listes..., la fenêtre Listes d'adresses HTTP/masques s'affichera et vous pourrez Ajouter ou Retirer des listes d'adresses. Pour pouvoir ajouter une adresse URL HTTPS à la liste, l'option Toujours analyser le protocole SSL doit être activée. Dans toutes les listes, vous pouvez utiliser les symboles spéciaux * (astérisque) et? (point d'interrogation). L'astérisque remplace n'importe quelle chaîne de caractères, tandis que le point d'interrogation remplace n'importe quel autre caractère individuel. Vous devez faire attention lorsque vous indiquez les adresses exclues, car la liste ne doit contenir que des adresses sûres et fiables. De même, assurez-vous d'employer correctement les symboles * et? dans cette liste. Pour activer une liste, sélectionnez l'option Liste active. Pour être informé lors de l'entrée d'une adresse à partir de la liste actuelle, activez l'option Aviser lors de l'application d'une adresse de la liste. 44

45 Ajouter.../À partir du fichier - Permet d'ajouter une adresse à la liste, soit manuellement (Ajouter), ou à partir d'un fichier texte simple (À partir du fichier). L'option À partir du fichier permet d'ajouter plusieurs adresses URL/masques enregistrés dans un fichier texte. Modifier... - Modifier manuellement des adresses, par ex., en ajoutant un masque («*» et «?»). Supprimer/Tout supprimer - Cliquez sur Retirer pour retirer l'adresse sélectionnée de la liste. Pour supprimer toutes les adresses, sélectionnez Tout retirer. Exporter... - Enregistre des adresses de la liste actuelle dans un simple fichier texte Protection du client de messagerie La protection de la messagerie offre le contrôle de la communication par courriel effectuée par l'entremise du protocole POP3. À l'aide du plugiciel pour Microsoft Outlook et d'autres clients de messagerie, ESET Endpoint Antivirus assure le contrôle de toutes les communications utilisant le client de messagerie (POP3, MAPI, IMAP, HTTP). Lorsqu'il examine les messages entrants, le programme utilise toutes les méthodes d'analyse avancée offertes par le moteur d'analyse ThreatSense. Autrement dit, la détection des programmes malveillants a lieu avant même que s'effectue la comparaison avec la base de données des signatures de virus. L'analyse des communications par l'entremise des protocoles POP3 et IMAP est indépendante du client de messagerie utilisé. Vous pouvez configurer les options de cette fonctionnalité dans Configuration avancée > Web et messagerie > Protection du client de messagerie. Configuration du moteur ThreatSense - La configuration avancée de l'analyseur de virus permet de configurer les cibles à analyser, les méthodes de détection, etc. Cliquez sur Configuration... pour afficher la fenêtre de configuration détaillée de l'analyseur de virus. Après la vérification du courriel, une notification avec le résultat de l'analyse peut être ajoutée au message. Vous pouvez également choisir d'ajouter une note aux messages reçus et lus, ainsi que d'ajouter une note aux messages envoyés. Bien sûr, il ne faut pas toujours se fier aveuglément aux étiquettes ajoutées aux messages car elles risquent d'être omises dans certains messages HTML problématiques ou même faussées par certains virus. Les étiquettes peuvent être ajoutées tant aux messages reçus ou lus que sortants (ou aux deux). Les options disponibles sont les suivantes : Jamais - Aucune balise de message ne sera ajoutée. Courriels infectés uniquement - Seuls les messages contenant un code malveillant seront marqués comme vérifiés (par défaut). Tout courriel analysé - Le programme ajoutera des messages à tout message analysé. Ajouter une note à l'objet des messages infectés reçus et lus - Cochez cette case si vous voulez que la protection de la messagerie ajoute un message d'avertissement de virus dans l'objet des courriels infectés. Cette fonctionnalité un filtrage simple, selon l'objet, des messages infectés (si ce filtrage est pris en charge par le programme de messagerie). 45

46 Elle augmente le niveau de crédibilité des messages pour le destinataire et, en cas de détection d'une infiltration, fournit de précieuses données sur le niveau de menace d'un message ou expéditeur donné. Texte ajouté à l'objet des messages infectés - Modifier ce texte si vous voulez modifier le format du préfixe d'objet d'un courriel infecté. Cette fonction remplacera l'objet du message «Hello» par une valeur de préfixe donnée «[virus]» dans le format suivant : «[virus] Hello». La variable %VIRUSNAME% représente la menace détectée Filtre POP3, POP3S Le protocole POP3 est le protocole le plus répandu pour la réception de messages dans un client de messagerie. ESET Endpoint Antivirus assure la protection de ce protocole, quel que soit le client de messagerie utilisé. Le module qui assure ce contrôle est automatiquement lancé au démarrage du système d'exploitation et reste ensuite actif en mémoire. Pour que le module fonctionne correctement, assurez-vous qu'il est activé - le contrôle de protocole POP3 est effectué automatiquement, sans devoir reconfigurer le client de messagerie. Par défaut, toute communication sur le port 110 est soumise à une analyse, mais d'autres ports de communication peuvent être ajoutés au besoin. Les numéros de ports multiples doivent être séparés par des virgules. Les communications chiffrées ne sont pas analysées. Pour activer l'analyse des communications encryptées et visualiser la configuration de l'analyseur, allez jusqu'à l'option Contrôle de protocole SSL dans la section Configuration avancée, cliquez sur Web et messagerie > Filtrage des protocoles > SSL) et activez l'option Toujours analyser le protocole SSL. Cette section permet de configurer le contrôle des protocole POP3 et POP3S. Activer le contrôle du courriel - Si cette option est activée, tout le trafic POP3 est analysé à la recherche de codes malveillants. Ports utilisés par le protocole POP3 - Liste des ports utilisés par le protocole POP3 (110, par défaut). ESET Endpoint Antivirus prend également en charge le contrôle de protocole POP3S. Ce type de communication utilise un canal chiffré pour transférer des données entre un serveur et un client. ESET Endpoint Antivirus vérifie les communications à l'aide des méthodes de chiffrement SSL (Secure Socket Layer) et TLS (Transport Layer Security). Ne pas utiliser de contrôle POP3S - Les communications chiffrées ne sont pas vérifiées. Utiliser le contrôle de protocole POP3S pour les ports sélectionnés - Cochez cette option pour ne permettre la vérification POP3S que pour les ports définis dans Ports utilisés par le protocole POP3S. Ports utilisés par le protocole POP3S - Liste des ports POP3S à contrôler (995 par défaut). 46

47 Contrôle de protocole IMAP, IMAPS Le protocole Internet Message Access Protocol (IMAP) est un autre protocole Internet utilisé pour la récupération des messages. IMAP offre quelques avantages par rapport à POP3 - de multiples clients peuvent se connecter simultanément à la même boîte aux lettres et conserver l'information sur l'état des messages, par ex., comme de savoir si le message a été lu ou non, si une réponse a été envoyée ou s'il a été supprimé. ESET Endpoint Antivirus assure la protection de ce protocole, quel que soit le client de messagerie utilisé. Le module qui assure ce contrôle est automatiquement lancé au démarrage du système d'exploitation et reste ensuite actif en mémoire. Pour que le module fonctionne correctement, assurez-vous qu'il est activé; le contrôle de protocole IMAP est effectué automatiquement, sans devoir reconfigurer le client de messagerie. Par défaut, toute communication sur le port 143 est soumise à une analyse, mais d'autres ports de communication peuvent être ajoutés au besoin. Les numéros de ports multiples doivent être séparés par des virgules. Les communications chiffrées ne sont pas analysées. Pour activer l'analyse des communications encryptées et visualiser la configuration de l'analyseur, allez jusqu'à l'option Contrôle de protocole SSL dans la section Configuration avancée, cliquez sur Web et messagerie > Filtrage des protocoles > SSL) et activez l'option Toujours analyser le protocole SSL Intégration aux clients de messagerie L'intégration de ESET Endpoint Antivirus dans les clients de messagerie augmente le niveau de protection active contre le code malveillant dans les courriels. Si votre client de messagerie est pris en charge, cette intégration peut être activée dans ESET Endpoint Antivirus. Si l'intégration est activée, la barre d'outils de ESET Endpoint Antivirus est insérée directement dans le client de messagerie pour ainsi offrir une protection plus efficace pour le courriel. Les paramètres d'intégration se trouvent dans la section Configuration > Accéder à la configuration avancée complète... > Web et messagerie > Protection du client de messagerie > Intégration du client de messagerie. Les clients de messagerie actuellement pris en charge sont Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail et Mozilla Thunderbird. Pour la liste complète des clients de messagerie et de leurs versions pris en charge, reportez-vous à l'article Base de connaissances d'eset. Cochez la case à côté de Désactiver la vérification au changement de contenu de la boîte aux lettres si vous constatez un ralentissement du système lors de l'utilisation du client de messagerie. Une telle situation peut se produire lors du téléchargement de messages à partir de Kerio Outlook Connector. 47

48 Même si l'intégration n'est pas activée, la communication par courriel est tout de même protégée par le module de protection du client de messagerie (POP3, IMAP) Configuration de la protection du client de messagerie Le module de protection du client de messagerie prend en charge les clients de messagerie suivants : Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail et Mozilla Thunderbird. La protection de la messagerie fonctionne comme un plugiciel pour ces programmes. L'avantage principal du contrôle par plugiciel est qu'il est indépendant du protocole utilisé. Ainsi, quand un client de messagerie reçoit un message chiffré, il le déchiffre et l'envoie à l'analyseur de virus. Messages à analyser Message reçu - Active ou désactive la vérification des messages reçus. Message envoyé - Active ou désactive la vérification des messages envoyés. Message lu - Active ou désactive la vérification des messages lus. Action à effectuer sur les messages infectés Aucune action - Si cette option est activée, le programme identifiera les messages infectés, les laissera tels quels et n'effectuera aucune action. Supprimer les messages - Le programme avertit l'utilisateur à propos des infiltrations et supprime le message. Déplacer le message vers le dossier Éléments supprimés - Les messages infectés seront automatiquement déplacés vers le dossier Éléments supprimés. Déplacer le message vers le dossier - Précise le dossier personnalisé dans lequel vous voulez déplacer le message infecté, une fois qu'il a été détecté. Autre Répéter l'analyse après la mise à jour - Active ou désactive la nouvelle analyse après la mise à jour de la base de données des signatures de virus. Accepter les résultats d'analyse des autres modules - Si cette option est activée, le module de protection de messages accepte les résultats d'analyse des autres modules de protection. 48

49 Suppression d'infiltrations En cas de réception d'un message infecté, une fenêtre d'alerte s'affiche. Cette fenêtre indique le nom de l'expéditeur, son adresse courriel et le nom de l'infiltration. La partie inférieure de la fenêtre présente les options disponibles pour l'objet détecté, soit Nettoyer, Supprimer ou Laisser. Dans la plupart des cas, il est recommandé de sélectionner Nettoyer ou Supprimer. Dans certaines situations, si vous voulez recevoir le fichier infecté, sélectionnez Laisser. Si l'option Nettoyage strict est activée, une fenêtre d'information sans option s'affichera Filtrage des protocoles La protection antivirus, pour les protocoles d'application, est fournie par le moteur d'analyse ThreatSense qui intègre toutes les techniques d'analyse avancée des logiciels malveillants. Le contrôle fonctionne automatiquement, indépendamment du navigateur Internet et du client de messagerie utilisés. Pour les communications chiffrées (SSL), voir Filtrage des protocoles > SSL. Intégration dans le système - Active le pilote pour la fonctionnalité de filtrage des protocoles de ESET Endpoint Antivirus. Activer le filtrage du contenu des protocoles d'application - Si cette option est activée, tout le trafic HTTP(S), POP3(S) et IMAP(S) sera vérifié par l'analyseur antivirus. REMARQUE : Présentée la première fois dans Windows Vista Service Pack 1 puis dans Windows 7, la nouvelle architecture de plateforme de filtrage (WFP, Windows Filtering Platform) est utilisée pour vérifier les communications réseau. Comme la technologie WFP utilise des techniques de surveillance spéciales, les options suivantes ne sont pas disponibles : Ports HTTP et POP3 - Limite l'acheminement du trafic vers le serveur mandataire interne uniquement pour les ports HTTP et POP3. Applications marquées comme navigateurs Web et clients de messagerie - Limite l'acheminement du trafic vers le serveur mandataire interne uniquement pour les applications marquées comme navigateurs Web et clients de messagerie (Web et messagerie > Filtrage des protocoles > Clients Web et messagerie). Ports et applications marqués comme navigateurs Web et clients de messagerie - Active tout le trafic des ports HTTP et POP3 ainsi que de toutes les communications des applications marquées comme navigateurs Internet et clients de messagerie vers le serveur mandataire interne Clients Web et messagerie REMARQUE : Présentée la première fois dans Windows Vista Service Pack 1 puis dans Windows 7, la nouvelle architecture de plateforme de filtrage (WFP, Windows Filtering Platform) est utilisée pour vérifier les communications réseau. Comme la technologie WFP utilise des techniques de surveillance spéciales, la section Clients Web et de messagerie n'est pas disponible. En raison du nombre considérable de codes malveillants qui circulent sur Internet, la sécurisation de la navigation sur Internet est un aspect très important de la protection des ordinateurs. Les faiblesses des navigateurs Web et les liens frauduleux contribuent à faciliter l'accès inaperçu des codes malveillants au système. C'est pour cette raison que ESET Endpoint Antivirus se concentre sur la sécurité des navigateurs Web. Chaque application qui accède au réseau peut être indiquée comme étant un navigateur Internet. La case à cocher offre deux états possibles : Non cochée - La communication entre les applications n'est filtrée que pour les ports spécifiés. Cochée - La communication est toujours filtrée (même si un autre port est défini). 49

50 Applications exclues Pour exclure du filtrage de contenu les communications envoyées par certaines applications sensibles au réseau, vous devez les sélectionner dans la liste. Les communications envoyées par ces applications par les protocoles HTTP/POP3/ IMAP ne seront pas vérifiées pour savoir si elles contiennent des menaces. Il est recommandé de n'utiliser cette option que pour les applications qui ne fonctionnent pas bien lorsque la communication fait l'objet d'une vérification. Les applications et services en cours d'exécution seront automatiquement disponibles ici. Cliquez sur le bouton Ajouter... pour sélectionner manuellement une application non affichée dans la liste de filtrage des protocoles. 50

51 Adresses IP exclues Les adresses inscrites dans cette liste d'adresses seront exclues du filtrage du contenu des protocoles. Les communications envoyées à ces adresses ou reçues de celles-ci par les protocoles HTTP/POP3/IMAP ne seront pas vérifiées pour savoir si elles contiennent des menaces. Il est recommandé de n'utiliser cette option que pour les adresses fiables. Ajouter une adresse IPv4/IPv6 - Cette option permet d'ajouter une adresse/page d'adresses/sous-réseau IP d'un point distant auquel la règle doit être appliquée. Retirer - Supprime des entrées de la liste Ajouter une adresse IPv4 Cette option permet d'ajouter l'adresse/la page d'adresses/le sous-réseau IP d'un point distant auquel la règle doit être appliquée. Internet Protocol version 4 est une ancienne version, mais elle reste la plus largement utilisée. Adresse unique - Ajoute l'adresse IP d'un ordinateur individuel à laquelle appliquer la règle (par exemple, ). Plage d'adresses - Entrez la première et la dernière adresse IP pour préciser une plage IP (de plusieurs ordinateurs) à laquelle appliquer la règle (par exemple de à ). Sous-réseau - Sous-réseau (groupe d'ordinateurs) défini par une adresse IP et un masque. Par exemple, est le masque réseau pour le préfixe /24, ce qui signifie que la plage d'adresses va de à Ajouter une adresse IPv6 Cette option permet d'ajouter une adresse ou un sous-réseau IPv6 d'un point distant auquel la règle doit être appliquée. C'est la version la plus récente du protocole Internet, appelée à remplacer l'ancienne version 4. Adresse unique - Ajoute l'adresse IP d'un ordinateur individuel auquel appliquer la règle (2001:718:1c01:16:214:22ff:fec9: ca5). Sous-réseau - Sous-réseau (groupe d'ordinateurs) défini par une adresse IP et un masque (par exemple, 2002: c0a8:6301:1::1/64). 51

52 Contrôle de protocole SSL ESET Endpoint Antivirus vous permet de vérifier les protocoles encapsulés dans le protocole SSL. Vous pouvez utiliser différents modes d'analyse pour les communications protégées par SSL à l'aide des certificats fiables, des certificats inconnus ou des certificats exclus de la vérification des communications protégées par SSL. Toujours analyser le protocole SSL - Sélectionnez cette option pour analyser toutes les communications protégées par des certificats exclus de la vérification. Si une nouvelle communication utilisant un certificat signé mais inconnu est établie, vous n'en serez pas avisé et la communication sera automatiquement filtrée. Lorsque vous accédez à un serveur en utilisant un certificat non fiable que vous avez marqué comme étant fiable (ajouté à la liste des certificats fiables), la communication avec le serveur est permise et le contenu du canal de communication est filtré. Interroger sur les sites non visités (possibilité de définir des exclusions) - Si vous accédez à un nouveau site protégé par SSL (dont le certificat est inconnu), une boîte de dialogue de sélection s'affichera. Ce mode vous permet de créer une liste de certificats SSL qui seront exclus de l'analyse. Ne pas analyser le protocole SSL - Si cette option est sélectionnée, le programme n'analysera pas les communications SSL. Appliquer les exceptions créées sur la base de certificats - Active l'utilisation d'exclusions précisées dans les certificats exclus et fiables pour l'analyse de la communication SSL. Cette option est disponible si vous sélectionnez Toujours analyser le protocole SSL. Bloquer les communications chiffrées à l'aide du protocole obsolète SSL v2 - Les communications utilisant la version antérieure du protocole SSL sont automatiquement bloquées Certificats Pour que la communication SSL fonctionne correctement dans vos navigateurs et clients de messagerie, il est essentiel d'ajouter le certificat racine pour ESET, spol s r.o. à la liste des certificats racines connus (éditeurs). Vous devriez donc activer l'option Ajouter le certificat racine aux navigateurs connus. Activez cette option pour ajouter automatiquement le certificat racine d'eset aux navigateurs connus (par ex., Opera, Firefox). Pour les navigateurs utilisant le magasin de certification système, le certificat sera automatiquement ajouté (par ex., Internet Explorer). Pour appliquer le certificat à des navigateurs non pris en charge, cliquez sur Afficher le certificat > Détails > Copier dans un fichier..., puis importez-le manuellement dans le navigateur. Dans certains cas, le certificat ne peut être vérifié à l'aide du magasin d'autorités de certification de racine de confiance (VeriSign, par ex.). Cela veut dire que le certificat été signé automatiquement par une personne (l'administrateur d'un serveur Web ou d'une petite entreprise, par ex.) et voir ce certificat comme étant un certificat fiable ne présente pas toujours de risque. Bon nombre de grandes entreprises (les banques, par ex.) utilisent un certificat signé par TRCA. Si l'option Interroger sur la validité du certificat (valeur par défaut) est sélectionnée, l'utilisateur sera invité à sélectionner une action à prendre lorsqu'une communication encryptée est établie. Une boîte de dialogue de sélection d'une action dans laquelle vous pouvez décider de marquer le certificat comme fiable ou exclus s'affichera. Dans les cas où le certificat ne fait pas partie de la liste TRCA, la fenêtre sera rouge. Si le certificat fait partie de la liste TRCA, la fenêtre sera verte. Vous pouvez sélectionner l'option Bloquer toute communication utilisant le certificat pour qu'elle mette toujours fin à une connexion encryptée à un site qui utilise un certificat non vérifié. Si le certificat est non valide ou incorrect, cela signifie qu'il est expiré ou a été auto-signé de façon incorrecte. Dans un tel cas, il est recommandé de bloquer la communication qui utilise le certificat Certificats approuvés En plus du magasin d'autorités de certification de racine de confiance (TRCA) où ESET Endpoint Antivirus conserve les certificats approuvés, vous pouvez créer une liste personnalisée de certificats approuvés qui pourra être affichée dans Configuration avancée (F5) > Web et messagerie > Filtrage des protocoles > SSL > Certificats > Certificats approuvés. ESET Endpoint Antivirus vérifiera le contenu des communications encryptées à l'aide des certificats de cette liste. Pour supprimer des éléments sélectionnés de la liste, cliquez sur le bouton Supprimer. Cliquez sur l'option Afficher (ou double-cliquez sur le certificat) pour consulter des informations sur le certificat. 52

53 Certificats exclus La section Certificats exclus contient des certificats jugés sûrs. Le contenu des communications cryptées utilisant les certificats inscrits sur cette liste ne feront pas l'objet d'une vérification visant à détecter les menaces. Il est recommandé de n'exclure que les certificats Web dont la sécurité est garantie et dont les communications utilisant ces certificats n'ont pas à être vérifiées. Pour supprimer des éléments sélectionnés dans la liste, cliquez sur le bouton Supprimer. Cliquez sur l'option Afficher (ou double-cliquez sur le certificat) pour consulter des informations sur le certificat Communication SSL chiffrée Si l'ordinateur est configuré pour l'analyse du protocole SSL, il se peut qu'une boîte de dialogue vous invitant à choisir une action s'affiche lorsque vous tentez d'établir une communication chiffrée (à l'aide d'un certificat inconnu). La boîte de dialogue contient les données suivantes : nom de l'application à l'origine de la communication et nom du certificat utilisé. Si le certificat ne figure pas dans le magasin d'autorités de certification de racine de confiance, il est considéré comme non fiable. Les actions suivantes sont disponibles pour les certificats : Oui - Le certificat est temporairement marqué comme fiable pour la session en cours; la fenêtre d'alerte ne s'affichera pas lors de la prochaine tentative d'utilisation du certificat. Oui, toujours - Marque le certificat comme fiable et l'ajoute à la liste des certificats fiables; aucune fenêtre d'alerte ne s'affiche pour les certificats fiables. Non - Marque le certificat comme non fiable pour la session en cours; la fenêtre d'alerte s'affichera lors de la prochaine tentative d'utilisation du certificat. 53

54 Exclure - Ajoute le certificat à la liste des certificats exclus; les données transférées sur le canal chiffré indiqué ne seront pas du tout vérifiées. 4.3 Mise à jour du programme La mise à jour régulière de ESET Endpoint Antivirus constitue la meilleure méthode pour obtenir le niveau maximal de sécurité pour votre ordinateur. Le module de mise à jour veille à ce que le programme soit toujours à jour de deux façons : en mettant à jour la base de données des signatures de virus et celle des composants système. En cliquant sur Mettre à jour dans la fenêtre principale du programme, vous pourrez obtenir l'état actuel des mises à jour, y compris la date et l'heure de la dernière mise à jour réussie et si une nouvelle mise à jour est requise. La fenêtre principale contient également la version de la base de données des signatures de virus. Cet indicateur numérique est un lien actif vers le site Web d'eset qui permet de voir toutes les signatures ajoutées pendant cette mise à jour. De plus, l'option Mettre à jour la base de données des signatures de virus permettant de lancer manuellement le processus de mise à jour est également disponible. Mettre à jour la base des signatures de virus et les composants du programme est un élément important pour assurer une protection totale contre les attaques des codes malveillants. Il faut donc accorder une grande attention à sa configuration et à son fonctionnement. Si vous n'avez pas entré les détails de votre licence pendant l'installation (nom d'utilisateur et mot de passe), vous pouvez les entrer au moment de la mise à jour afin d'accéder aux serveurs de mise à jour d'eset. REMARQUE: votre nom d'utilisateur et mot de passe vous seront fournis par ESET après l'achat de ESET Endpoint Antivirus. Dernière mise à jour réussie - Date de la dernière mise à jour. Assurez-vous qu'il s'agit d'une date récente indiquant que la base de données des signatures de virus est à jour. Version de la base des signatures de virus - Numéro de la base de données des signatures de virus, qui est également un lien actif vers le site Web d'eset répertoriant toutes les signatures. Cliquez pour afficher la liste de toutes les signatures ajoutées avec la mise à jour en question. 54

55 Processus de mise à jour Une fois que vous avez cliqué sur le bouton Mettre à jour la base des signatures de virus, le processus de téléchargement commence. Une barre de progression s'affiche indiquant le temps de téléchargement restant. Pour interrompre la mise à jour, cliquez sur Abandonner. Important : Dans des circonstances normales, lorsque les mises à jour sont téléchargées correctement, le message La base des signatures de virus est à jour s'affiche dans la fenêtre Mettre à jour. Si ce n'est pas le cas, le programme n'est pas à jour et est donc plus vulnérable à une infection. Assurez-vous de mettre à jour la base de données des signatures de virus dès que possible. Dans d'autres circonstances, l'un des messages d'erreur suivants s'affiche : La base de données des signatures de virus n'est plus à jour - Cette erreur apparaît après plusieurs tentatives infructueuses de mise à jour de la base de données des signatures de virus. Nous recommandons de vérifier les paramètres de mise à jour. La cause la plus courante de cette erreur est une entrée incorrecte des données d'authentification ou une configuration incorrecte des paramètres de connexion. 55

56 La notification précédente a trait aux deux messages suivants (Échec de mise à jour de la base de données des signatures de virus) sur les mises à jour infructueuses : 1. Nom d'utilisateur et/ou mot de passe incorrects - Le nom d'utilisateur et le mot de passe ont été entrés de façon incorrecte dans la configuration des mises à jour. Veuillez vérifier vos données d'authentification. La fenêtre Configuration avancée (du menu principal, cliquez sur Configuration, dans le menu principal, puis sur Accéder à la configuration avancée... ou appuyez sur la touche F5 de votre clavier) contient d'autres options de mise à jour. Cliquez sur Mettre à jour > Général Entrez un nom d'utilisateur et un mot de passe dans l'arborescence de Configuration avancée. 2. Une erreur s'est produite pendant le téléchargement des fichiers de mise à jour. - Des paramètres de connexion Internet incorrects sont une cause possible de cette erreur. Nous vous recommandons de vérifier votre connectivité à Internet (en ouvrant un site Web dans votre navigateur). Si le site Web ne s'ouvre pas, il est probable qu'aucune connexion à Internet ne soit établie ou que votre ordinateur ait des problèmes de connectivité. Consultez votre fournisseur de services Internet si vous ne disposez pas d'une connexion Internet active. 56

57 4.3.1 Configuration des mises à jour Vous pouvez accéder aux options de configuration des mises à jour à partir de l'arborescence de Configuration avancée (touche F5) en cliquant sur Mettre à jour. Général. La section permet de préciser l'information sur les sources des mises à jour, comme les serveurs de mise à jour et les données d'authentification donnant accès à ces serveurs. Par défaut, le menu déroulant Serveur de mise à jour est défini à Choisir automatiquement pour s'assurer que tous les fichiers de mise à jour sont automatiquement téléchargés du serveur ESET ayant le plus faible trafic réseau. Il est essentiel d'inscrire correctement tous les paramètres afin de télécharger correctement les mises à jour. Si un parefeu est utilisé, assurez-vous que le programme est autorisé à accéder à Internet (c.-à-d. communication HTTP). Le profil de mise à jour actuellement utilisé est affiché dans le menu déroulant Profil sélectionné. Cliquez sur Profils... pour créer un nouveau profil. La liste des serveurs de mise à jour disponibles est accessible par le menu déroulant Serveur de mise à jour. Le serveur de mise à jour est l'endroit où sont stockées les mises à jour. Si un serveur ESET est utilisé, laissez l'option par défaut Choisir automatiquement sélectionnée. Pour ajouter un nouveau serveur de mise à jour, cliquez sur Modifier... dans la section Mettre à jour les paramètres du profil sélectionné, puis cliquez sur le bouton Ajouter. Si un serveur local HTTP est utilisé - aussi appelé Miroir - le serveur de mise à jour doit être configuré comme suit : Si un serveur local HTTP utilisant SSL est utilisé - le serveur de mise à jour doit être configuré comme suit : L'authentification d'accès aux serveurs de mise à jour est fondée sur le nom d'utilisateur et le mot de passe qui ont été générés et envoyés à l'utilisateur après l'achat. En cas d'utilisation de serveur miroir local, la vérification dépendra de la configuration de ce dernier. Par défaut, aucune vérification n'est exigée : les champs Nom d'utilisateur et Mot de passe restent vides. Les préversions des mises à jour (l'option Mode test) sont des mises à jour ayant subi des tests internes approfondis, qui seront bientôt diffusées. Elles permettent d'accéder aux méthodes de détection et correctifs les plus récents. Le mode test peut cependant ne pas toujours être assez stable et ne DOIT PAS être utilisé sur les serveurs et postes de travail de production où une disponibilité et une stabilité maximales sont requises. La liste des modules actuels se trouve dans Aide et assistance > À propos de ESET Endpoint Antivirus. Il est recommandé que les utilisateurs ayant moins d'expérience laissent l'option Mettre à jour régulièrement cochée par défaut. Les utilisateurs en entreprise peuvent sélectionner l'option Mise à jour reportée pour effectuer une mise à jour à partir de serveurs de mise à jour particuliers offrant de nouvelles versions des bases de données de virus avec un retard d'au moins X heures, c'est-à-dire qu'ils téléchargeront des bases de données testées dans un environnement réel, donc jugées stables. Cliquez sur le bouton Configuration à côté de Configuration avancée des mises à jour pour afficher une fenêtre contenant les options de configuration avancée des mises à jour. 57

58 Si vous avez des problèmes de mise à jour, cliquez sur le bouton Effacer... pour vider le dossier contenant les fichiers temporaires de mise à jour. Ne pas afficher de notification de réussite de la mise à jour - Désactive la notification dans la barre d'état système, dans le coin inférieur droit de l'écran. Sélectionnez cette option si vous utilisez une application ou un jeu en mode plein écran. Veuillez noter que le Mode présentation désactivera toutes les notifications Profils de mise à jour Les profils de mise à jour peuvent être créés pour différentes configurations et tâches de mise à jour. Les propriétés des connexions Internet étant variables, la création de profils de mise à jour devient particulièrement utile pour les utilisateurs mobiles. Le menu déroulant Profil sélectionné affiche le profil actuellement sélectionné, soit Mon profil, par défaut. Pour créer un nouveau profil, cliquez sur le bouton Profils... puis sur le bouton Ajouter... et entrez votre propre nom de profil. Lors de création d'un nouveau profil, il est possible de Copier les paramètres depuis le profil. Dans la fenêtre de configuration du profil, vous pouvez préciser le serveur de mise à jour dans une liste de serveurs disponibles ou ajouter un nouveau serveur. La liste des serveurs de mise à jour existants est disponible dans le menu déroulant Serveurs de mise à jour. Pour ajouter un nouveau serveur de mise à jour, cliquez sur Modifier... dans la section Mettre à jour les paramètres du profil sélectionné, puis cliquez sur le bouton Ajouter Configuration avancée des mises à jour Pour afficher la Configuration avancée des mises à jour, cliquez sur le bouton Configuration... Les options de configuration avancée incluent la configuration du Mode de mise à jour, du serveur HTTP mandataire, du réseau local et du miroir Mode de mise à jour L'onglet Mode de mise à jour contient les options concernant la mise à jour des composants du programme. Le programme vous permet d'en contrôler le comportement lors de la mise à jour des composants du programme. Les mises à jour des composants du programme ajoutent de nouvelles fonctionnalités aux fonctionnalités existantes ou les modifie. Elle peut s'effectuer sans intervention de l'utilisateur ou après notification de ce dernier. Le redémarrage d'un ordinateur peut être exigé après la mise à jour des composants du programme. Dans la section Mettre à jour les composants du programme, trois options sont disponibles : Ne jamais mettre à jour les composants du programme - Aucune mise à jour des composants du programme ne sera effectuée. Cette option convient surtout aux serveurs car ces derniers ne doivent être redémarrés qu'en cas de maintenance. Toujours mettre à jour les composants du programme - Une mise à jour des composants du programme sera automatiquement téléchargée et installée. Notez que cela peut exiger le redémarrage du système. Demander avant de télécharger les composants du programme - L'option par défaut. Vous serez invité à confirmer ou à refuser les mises à jour des composants du programme lorsqu'elles sont disponibles. Après la mise à jour des composants du programme, il peut être nécessaire de redémarrer votre ordinateur pour ainsi assurer le fonctionnement complet de tous les modules. La section Redémarrer après une mise à jour des composants du programme vous permet de choisir l'une des trois options suivantes : Ne jamais redémarrer - Aucune demande de redémarrage du système ne sera affichée, même si elle est requise.. Notez que cela n'est pas recommandé, car l'ordinateur pourrait ne pas bien fonctionner jusqu'au prochain redémarrage. Proposer le redémarrage de l'ordinateur si nécessaire - L'option par défaut. Après la mise à jour de composants du programme, une demande de redémarrage s'affichera dans une boîte de dialogue. Si nécessaire, redémarrer l'ordinateur sans avertissement - Après la mise à jour des composants du programme, le redémarrage se fera automatiquement (si nécessaire). REMARQUE : La sélection des options les plus appropriées dépend des stations de travail sur lesquelles les paramètres seront appliqués. Notez qu'il existe des différences entre les postes de travail et les serveurs. P. ex., le redémarrage d'un serveur automatiquement après une mise à jour du programme peut causer de sérieux dommages. Si l'option Demander avant de télécharger une mise à jour est cochée, une notification s'affichera lorsqu'une nouvelle mise à jour sera disponible. Si la taille du fichier de mise à jour est supérieure à la valeur précisée dans Demander si un fichier de mise à jour a une taille supérieure à, le programme affichera une notification. 58

59 Serveur mandataire Pour accéder aux options de configuration du serveur mandataire pour un profil donné, cliquez sur Mettre à jour dans l'arborescence de Configuration avancée (touche F5) puis cliquez sur le bouton Configuration..., à la droite de Configuration avancée des mises à jour. Cliquez sur l'onglet Proxy HTTP et sélectionnez l'une des trois options suivantes : Utiliser les paramètres globaux de serveur mandataire Ne pas utiliser de serveur mandataire Connexion par serveur mandataire Sélectionner l'option Utiliser les paramètres globaux de serveur mandataire utilisera les options de configuration du serveur mandataire déjà précisées dans la branche Outils > Serveur mandataire de l'arborescence de Configuration avancée. Sélectionnez l'option Ne pas utiliser de serveur mandataire pour préciser qu'aucun serveur mandataire ne sera utilisé pour mettre ESET Endpoint Antivirus à jour. L'option Connexion par un serveur mandataire devrait être sélectionnée si : un serveur mandataire devrait être utilisé pour effectuer la mise à jour de ESET Endpoint Antivirus, un serveur différent du serveur mandataire indiqué dans les paramètres globaux (Outils > Serveur mandataire). Dans un tel cas, les paramètres devraient être indiqués ici : adresse du serveur mandataire, port de communication et nom d'utilisateur et mot de passe utilisés par le serveur mandataire, au besoin. Les paramètres du serveur mandataire n'ont pas été définis globalement, mais ESET Endpoint Antivirus se connectera à un serveur mandataire pour les mises à jour. Votre ordinateur est connecté à Internet par un serveur mandataire. Les paramètres utilisés sont ceux d'internet Explorer, pris au moment de l'installation du programme, mais s'ils sont ensuite modifiés (par exemple, si vous changez de FAI), vous devez vous assurer que les paramètres du serveur HTTP mandataire indiqués dans cette fenêtre sont appropriés. En l'absence de modification, le programme ne pourra pas se connecter aux serveurs de mise à jour. L'option par défaut pour le serveur mandataire est Utiliser les paramètres globaux du serveur mandataire. REMARQUE : Les données d'authentification, comme le nom d'utilisateur et le mot de passe, sont conçues pour permettre d'accéder au serveur mandataire. Ne remplissez ces champs que si un nom d'utilisateur et un mot de passe sont requis. Notez que ces champs ne sont pas ceux du mot de passe/nom d'utilisateur de ESET Endpoint Antivirus et ne doivent être indiqués que si vous savez que vous avez besoin d'un mot de passe pour accéder à Internet par l'entremise d'un serveur mandataire Connexion au réseau local Lors de la mise à jour depuis un serveur local sous le système d'exploitation NT, une authentification est exigée par défaut pour chaque connexion réseau. Dans la plupart des cas, un compte système local n'a pas suffisamment de droits pour accéder au dossier miroir (contenant des copies des fichiers de mise à jour). Dans ce cas, entrez un nom d'utilisateur et un mot de passe dans la section de configuration des mises à jour ou précisez le compte avec lequel le programme peut accéder au serveur de mise à jour (le miroir). Pour configurer un tel compte, cliquez sur l'onglet Réseau local. La Se connecter au réseau local comme offre les options Compte système (par défaut), Utilisateur actuel et Utilisateur spécifié. Sélectionnez l'option Compte système (par défaut) pour utiliser le compte système pour l'authentification. Normalement, aucune authentification ne sera effectuée si des données d'authentification ne sont pas inscrites dans la section de configuration des mises à jour. Pour s'assurer que le programme s'authentifie à l'aide du compte de l'utilisateur actuellement connecté, sélectionnez Utilisateur actuel. L'inconvénient de cette solution est que le programme est dans l'impossibilité de se connecter au serveur de mise à jour si aucun utilisateur n'est actuellement connecté. Sélectionnez Utilisateur spécifié si vous voulez que le programme utilise un compte utilisateur précisé pour l'authentification. Cette méthode doit être utilisée lorsque la connexion avec le compte système par défaut n'a pas fonctionné. À noter que le compte de l'utilisateur spécifié doit avoir le droit d'accès au dossier des fichiers de mise à jour du serveur local. Dans le cas contraire, le programme serait incapable d'établir une connexion et de télécharger les mises à jour. Avertissement: Si l'une des options Utilisateur actuel ou Utilisateur spécifié est sélectionnée, une erreur peut se produire si l'identité du programme est changée pour l'utilisateur souhaité. Il est recommandé d'entrer les données 59

60 d'authentification du réseau local dans la section de configuration des mises à jour. Dans cette section, les données d'authentification doivent être entrées comme suit : domain_name\user (si c'est un groupe de travail, entrez workgroup_name\name) et le mot de passe. La mise à jour de la version HTTP du serveur local n'exige aucune authentification. Sélectionnez l'option Déconnecter du serveur après la mise à jour si la connexion au serveur reste active même après le téléchargement des mises à jour Création de copies de mises à jour - miroir ESET Endpoint Antivirus permet de créer des copies des fichiers de mise à jour qui peuvent être utilisées pour mettre à jour les autres stations de travail se trouvant sur le réseau. Création de "miroir" - puisque les fichiers de mise à jour doivent être téléchargés à plusieurs reprises du serveur de mise à jour du fournisseur pour chacune des stations de travail, il serait pratique d'en conserver une copie dans l'environnement du réseau local. Les téléchargements seront alors centralisés sur le serveur miroir local puis distribués à toutes les stations de travail, ce qui évitera tout risque de surcharge potentielle du réseau. La mise à jour des postes de travail à partir d'un miroir optimise l'équilibre de la charge réseau et libère les bandes passantes des connexions Internet. Les options de configuration du serveur miroir local sont accessibles dans la section de configuration avancée des mises à jour (après avoir ajouté une clé de licence valide dans le gestionnaire de licences qui se trouve dans la section Configuration avancée des mises à jour de ESET Endpoint Antivirus). Pour accéder à cette section, appuyez sur la touche F5 et cliquez sur Mettre à jour dans l'arborescence de Configuration avancée, puis cliquez sur le bouton Configuration... à côté de Configuration avancée des mises à jour et sélectionnez l'onglet Miroir). La première étape de la configuration du miroir consiste à sélectionner l'option Créer un miroir de mise à jour. Cocher cette option active d'autres options de configuration du miroir, telles que la manière d'accéder aux fichiers de mise à jour et le chemin des fichiers miroir. Fournir les fichiers de mise à jour par le biais d'un serveur HTTP interne - Si cette option est activée, les fichiers de mise à jour seront tout simplement accessibles par l'entremise d'un serveur HTTP et aucun nom d'utilisateur ni mot de passe ne sera requis ici. Cliquer sur Configuration avancée... pour configurer les options étendues de miroir. Remarque : Le serveur HTTP exige Windows XP SP2 ou une version plus récente. Les méthodes d'activation du miroir sont décrites en détail dans la section Mise à jour à partir du miroir. Veuillez noter qu'il existe deux méthodes de base pour configurer le miroir - le dossier miroir des fichiers de mise à jour qui peut se présenter comme un fichier réseau partagé ou comme un serveur HTTP. Le dossier réservé aux fichiers de mise à jour du miroir peut être défini dans la section Dossier de stockage des fichiers miroir. Cliquez sur Dossier... pour naviguer jusqu'au dossier souhaité sur un ordinateur local ou un dossier réseau partagé. Si une autorisation pour le dossier indiqué est requise, les données d'authentification doivent être entrées dans les champs Nom d'utilisateur et Mot de passe. Si le dossier destination sélectionné se trouve sur un disque réseau utilisant le système d'exploitation Windows NT/2000/XP, le nom d'utilisateur et le mot de passe indiqués 60

61 doivent avoir les droits d'écriture pour ce dossier. Le nom d'utilisateur et le mot de passe doivent être entrés dans le format Domaine/Utilisateur ou Workgroup/Utilisateur. N'oubliez pas de fournir les mots de passe correspondants. Lors de la configuration du miroir, vous pouvez également préciser les différentes langues des copies de mises à jour à télécharger qui sont prises en charge par le serveur miroir configuré par l'utilisateur. La configuration de la langue de version est accessible dans la section Versions disponibles Mise à jour à partir du miroir Il existe deux méthodes de base pour configurer le miroir puisque le dossier miroir des fichiers de mise à jour peut se présenter comme un fichier réseau partagé ou comme un serveur HTTP. Accès au miroir au moyen d'un serveur HTTP interne La configuration par défaut, indiquée dans la configuration prédéfinie du programme. Pour accéder au miroir à l'aide du serveur HTTP, naviguez jusqu'à Configuration avancée des mises à jour (cliquez sur l'onglet Miroir) et sélectionnez l'option Créer un miroir de mise à jour. Dans la section Configuration avancée de l'onglet Miroir, vous pouvez préciser le port du serveur où le serveur HTTP écoutera, ainsi que le type d'authentification utilisé par le serveur HTTP. Ce port est configuré, par défaut, à L'option d'authentification définit la méthode d'authentification utilisée pour accéder aux fichiers de mise à jour. Les options suivantes sont disponibles : NONE, Basic et NTLM. Sélectionnez Basic pour utiliser le codage base64 avec l'authentification de base du nom d'utilisateur et mot de passe. L'option NTLM fournit un codage utilisant une méthode de codage fiable. L'utilisateur créé sur le poste de travail partageant les fichiers de mise à jour sera utilisé pour l'authentification. L'option par défaut est NONE. Elle autorise l'accès aux fichiers des mises à jour sans exiger d'authentification. Avertissement : L'accès aux fichiers de mise à jour à l'aide du serveur HTTP exige que le dossier miroir soit sur le même ordinateur que l'instance de ESET Endpoint Antivirus qui l'a créé. Ajoutez-le à votre Fichier de chaîne du certificat ou générez un certificat auto-signé si vous voulez utiliser un serveur HTTP prenant HTTPS (SSL) en charge. Les types suivants sont disponibles : ASN, PEM et PFX. Il est possible de télécharger les fichiers de mise à jour par l'entremise du protocole HTTPS, ce qui offre une plus grande sécurité. Il est presque impossible de retracer les transferts de données et les informations d'identification lorsque ce protocole est utilisé. L'option Type de clé privée est définie par défaut à Intégré (ce qui veut dire que l'option Type de clé privée est désactivée par défaut), ce qui signifie que la clé privée fait partie du fichier de chaîne du certificat sélectionné. Une fois la configuration du miroir terminée, il faut maintenant ajouter un nouveau serveur de mise à jour sur les postes de travail. Pour ce faire, suivez les étapes indiquées ci-dessous : 61

62 Ouvrez ESET Endpoint Antivirus Configuration avancée et cliquez sur Mettre à jour > Général. Cliquez sur Modifier à la droite du menu déroulant Serveur de mise à jour et ajoutez un nouveau serveur, dans l'un des formats suivants : (si SSL est utilisé) Sélectionnez, dans la liste Serveur de mise à jour, le serveur nouvellement ajouté. Accès au miroir par le partage des systèmes Un dossier partagé doit d'abord être créé sur un lecteur local ou réseau. Lors de la création du dossier pour le miroir, il est nécessaire d'octroyer le droit d'«écriture» à l'utilisateur qui va sauvegarder les fichiers dans le dossier et le droit de «lecture» aux utilisateurs qui vont utiliser le dossier miroir pour la mise à jour d'eset Endpoint Antivirus. Configurez ensuite l'accès au miroir dans la section Configuration avancée des mises à jour de l'onglet Miroir en désactivant l'option Fournir les fichiers de mise à jour par le biais d'un serveur HTTP interne. Cette option est activée par défaut lors de l'installation du programme. Si le dossier partagé se trouve sur un autre ordinateur du réseau, vous devez saisir des données d'authentification pour accéder à l'autre ordinateur. Pour saisir les données d'authentification, ouvrez Configuration avancée de ESET Endpoint Antivirus (touche F5) et cliquez sur Mettre à jour > Général. Cliquez sur le bouton Configuration... puis sur l'onglet Réseau local. Ce paramètre est le même que celui de la mise à jour, comme décrit dans la section Se connecter au réseau local. Une fois la configuration du miroir terminée, continuez avec les postes de travail en précisant \\UNC\CHEMIN comme serveur de mise à jour. Cette opération peut être effectuée à l'aide des opérations suivantes : Ouvrez Configuration avancée de ESET Endpoint Antivirus et cliquez sur Mettre à jour > Général. Cliquez sur Modifier..., à côté du serveur de mise à jour et ajoutez un nouveau serveur au format \\UNC\CHEMIN. Sélectionnez, dans la liste Serveur de mise à jour, le serveur nouvellement ajouté. REMARQUE: Pour un fonctionnement approprié, le chemin du dossier miroir doit être précisé comme chemin UNC. Les mises à jour à partir de lecteurs mappés pourraient ne pas fonctionner. La dernière section contrôle les composants du programme. Par défaut, les composants de programme ayant été téléchargés seront préparés pour ensuite être copiés sur le miroir local. Si la case à côté de Mettre à jour les composants du programme est cochée, il n'est pas nécessaire de cliquer sur Mettre à jour les composants, car les fichiers seront automatiquement copiés sur le miroir local lorsqu'ils seront disponibles. Consultez la section Mode de mise à jour pour plus de détails sur les mises à jour des composants du programme Résolution des problèmes de miroir de mise à jour Dans la plupart des cas, les problèmes lors d'une mise à jour depuis un serveur miroir découlent d'une ou de plusieurs des causes suivantes : une mauvaise spécification des options du dossier miroir, des données d'authentification incorrectes pour l'accès au dossier miroir, une mauvaise configuration des postes de travail qui cherchent à télécharger des fichiers de mise à jour du miroir ou une combinaison de ces raisons. Nous donnons ci-dessous un aperçu des problèmes les plus fréquents qui peuvent se produire lors d'une mise à jour depuis le miroir : ESET Endpoint Antivirus signale une erreur de connexion au serveur miroir - Probablement causée par un serveur de mise à jour incorrect (chemin réseau du dossier miroir) à partir duquel les postes de travail locaux téléchargent les mises à jour. Pour vérifier le dossier, cliquez sur Démarrer puis sur Exécuter avant d'entrer le nom du dossier et de cliquer sur OK. Le contenu du dossier doit s'afficher. ESET Endpoint Antivirus exige un nom d'utilisateur et un mot de passe - Probablement causée par l'entrée, dans la section mise à jour, de données d'authentification incorrectes (Nom d'utilisateur et Mot de passe). Le nom d'utilisateur et le mot de passe donnent accès au serveur de mise à jour, à partir duquel le programme se télécharge. Assurez-vous que les données d'authentification sont correctes et entrées dans le bon format. Par exemple, Domaine/Nom d'utilisateur ou Workgroup/Nom d'utilisateur, en plus des mots de passe correspondants. Si le serveur miroir est accessible à «Tous», cela ne veut pas dire que tout utilisateur est autorisé à y accéder. «Tous» ne veut pas dire tout utilisateur non autorisé, cela veut tout simplement dire que le dossier est accessible à tous les utilisateurs du domaine. Par conséquent, si le dossier est accessible à «Tous», un nom d'utilisateur du domaine et un mot de passe sont toujours nécessaires et doivent être entrés dans la configuration des mises à jour. ESET Endpoint Antivirus signale une erreur de connexion au serveur miroir - Le port de communication défini pour l'accès au miroir par HTTP est bloqué. 62

63 Annulation de la mise à jour Si vous soupçonnez qu'une nouvelle mise à jour de la base de données de virus peut être instable ou endommagée, vous pouvez retourner à la version antérieure et désactiver toutes les mises à jour pour une durée choisie. Vous pouvez également activer les mises à jour déjà désactivées. ESET Endpoint Antivirus effectue la sauvegarde et la restauration (appelée annulation) de la base de données de virus. Pour créer des images de la base de données de virus, laissez la case Créer une image instantanée des fichiers de mise à jour cochée. Le champ Nombre d'images instantanées stockées localement définit le nombre d'images antérieures de la base de données des virus stockées dans le système de fichiers de l'ordinateur. Si vous cliquez sur Annuler les modifications (Configuration avancée (touche F5) > Mettre à jour > Avancée), vous devrez sélectionner un intervalle dans le menu déroulant Suspendre les mises à jour représentant la durée pendant laquelle les mises à jour de la base de données des signatures de virus et des modules du programme seront suspendues. Sélectionnez Jusqu'à ce que la commande soit révoquée si vous voulez autoriser manuellement les mises à jour régulières. Nous ne recommandons pas de sélectionner cette option, puisqu'elle présente un risque potentiel au niveau de la sécurité. Si les annulations sont activées, le bouton Annuler les modifications indiquera Permettre les mises à jour. Aucune mise à jour ne sera permise pendant la durée sélectionnée à partir du menu déroulant Intervalle. La version de la base de données des signatures de virus sera rétablie à la plus ancienne image disponible et stockée comme image dans le système de fichiers de l'ordinateur local. Exemple : Disons que le numéro 6871 correspond à la version la plus récente de la base de données des signatures de virus. Les numéros 6870 et 6868 sont enregistrés comme des images de la base de données des signatures de virus. À noter que le numéro 6869 n'est pas disponible car, par exemple, l'ordinateur était éteint pendant une longue période. Si vous avez entré 2 (deux) dans le champ Nombre d'images instantanées stockées localement et cliquez sur Annuler les modifications, la version numéro 6868 de la base de données de signatures de virus sera restaurée. Veuillez cependant noter que ce processus peut prendre un certain temps. Vérifiez ensuite si la version de la base de données de signature de virus a été rétablie dans la fenêtre principale du programme ESET Endpoint Antivirus, section Mettre à jour. Les options de configuration du serveur miroir local sont accessibles après avoir ajouté une clé de licence valide dans le gestionnaire de licences qui se trouve dans la section Configuration avancée des mises à jour de ESET Endpoint Antivirus). Si vous utilisez votre poste de travail comme miroir, le Contrat de Licence pour l'utilisateur Final (CLUF) le plus récent doit avoir été accepté sur toutes les copies des mises à jour avant qu'elles puissent être créées comme copies des fichiers de mise à jour et utilisées pour mettre à jour les autres postes de travail sur le réseau. Si une nouvelle version du CLUF est disponible au moment de la mise à jour, une boîte de dialogue qui se fermera dans 60 secondes s'affichera à cette fin. Pour effectuer manuellement cette étape, cliquez sur Configurer... dans la section Licences de mise à jour des composants du programme de cette fenêtre. 63

64 4.3.2 Comment créer des tâches de mise à jour Les mises à jour peuvent être déclenchées manuellement en cliquant sur Mettre à jour la base des signatures de virus dans la principale fenêtre d'information qui s'affiche après avoir cliqué sur Mettre à jour dans le menu principal. Les mises à jour peuvent également être exécutées comme tâches planifiées. Pour configurer une tâche planifiée, cliquez sur Outils > Planificateur. Par défaut, les tâches suivantes sont activées dans ESET Endpoint Antivirus : Mise à jour automatique régulière Mise à jour automatique après une connexion commutée Mise à jour automatique après ouverture de session utilisateur Chaque tâche de mise à jour peut être modifiée en fonction de vos besoins. Outre les tâches de mise à jour par défaut, vous pouvez en créer des nouvelles avec vos propres paramètres. Pour plus d'information sur la création et la configuration des tâches de mise à jour, se reporter à la section Planificateur. 64

65 4.4 Outils Le menu Outils comprend des modules qui contribuent à simplifier l'administration du programme et offrent des options supplémentaires aux utilisateurs expérimentés. Ce menu comprend les outils suivants : Fichiers journaux Statistiques de protection Surveiller l'activité Processus en cours Planificateur Quarantaine ESET SysInspector Soumettre fichier pour analyse - Permet de soumettre un fichier suspect pour analyse aux laboratoires d'eset. La fenêtre de dialogue qui s'affiche après avoir cliqué sur cette option est décrite dans la section Soumission de fichiers pour analyse. ESET SysRescue - Lance l'assistant de création ESET SysRescue. 65

66 4.4.1 Fichiers journaux Les fichiers journaux contiennent tous les événements importants qui ont eu lieu et donnent un aperçu des menaces détectées. La consignation représente un puissant outil pour l'analyse système, la détection de menaces et le dépannage. Elle est toujours active en arrière-plan, sans interaction de l'utilisateur. Les données sont enregistrées en fonction des paramètres actifs de verbosité. Il est possible de consulter les messages texte et les journaux directement à partir de l'environnement de ESET Endpoint Antivirus ainsi que d'archiver les journaux. Les fichiers journaux sont accessibles à partir de la fenêtre principale du programme en cliquant sur Outils > Fichiers journaux. Sélectionnez le type de journal souhaité dans le menu déroulant Journal. Les journaux suivants sont disponibles : Menaces détectées - Le journal des menaces contient de l'information détaillée sur les infiltrations détectées par les modules de ESET Endpoint Antivirus. Cela inclut l'heure de détection, le nom de l'infiltration, l'emplacement, l'action exécutée et le nom de l'utilisateur connecté au moment où l'infiltration a été détectée. Double-cliquez sur une entrée du journal pour afficher ses détails dans une fenêtre séparée. Événements - Toutes les actions importantes exécutées par ESET Endpoint Antivirus sont enregistrées dans le journal des événements. Le journal des événements contient de l'information sur les événements qui se sont produits dans le programme. Il permet aux administrateurs système et aux utilisateurs de résoudre des problèmes. L'information qu'on y trouve peut souvent permettre de trouver une solution à un problème qui s'est produit dans le programme. Analyse de l'ordinateur - les résultats de toutes les analyses effectuées manuellement ou planifiées sont affichés dans cette fenêtre. Chaque ligne correspond à un seul contrôle d'ordinateur. Double-cliquez sur n'importe quelle entrée pour afficher les détails de l'analyse correspondante. HIPS - Contient des enregistrements de règles particulières ayant été marquées pour enregistrement. Ce protocole affiche l'application ayant appelé l'opération, le résultat (si la règle a été autorisée ou non) et le nom de la règle créée. Contrôle de périphérique - Contient les enregistrements connexes aux supports amovibles ou périphériques ayant été connectés à l'ordinateur. Seuls les périphériques liés à une règle de contrôle de périphérique particulière seront inscrits dans le fichier journal. Si un périphérique connecté ne satisfait pas les critères de la règle, aucune entrée journal ne sera créée à la connexion de ce périphérique. Vous pouvez aussi y voir différents détails, comme le type de périphérique, le numéro de série, le nom du fournisseur et la taille du support (si elle est disponible). 66

67 Vous pouvez copier les données affichées dans chacune des sections dans le Presse-papiers (en utilisant le raccourci clavier Ctrl + C), puis en sélectionnant l'entrée souhaitée et en cliquant sur Copier. Pour sélectionner plusieurs entrées, vous pouvez utiliser les touches CTRL et MAJ. Vous pouvez afficher le menu contextuel en cliquant à droite sur un enregistrement particulier. Les options suivantes sont disponibles dans le menu contextuel : Filtrer les dossiers du même type - Après avoir activé ce filtre, vous ne verrez que les enregistrements de même type (diagnostics, avertissements, etc.). Filtrer.../Trouver... - Lorsque vous aurez cliqué sur cette option, une fenêtre Filtrage des journaux s'ouvrira, fenêtre dans laquelle vous pourrez définir les critères de filtrage. Désactiver le filtrage - Efface tous les paramètres du filtre (comme décrit ci-dessus). Copier tout - Copie l'information sur tous les enregistrements affichés dans la fenêtre. Supprimer/Supprimer tout - Supprime les enregistrements sélectionnés ou tous les enregistrements affichés - cette action exige des privilèges administrateur. Exporter - Exporte l'information à propos des enregistrements, en format XML. Faire défiler le journal - Laissez cette option cochée pour activer le défilement automatique des anciens journaux et surveiller les journaux actifs, dans la fenêtre Fichiers journaux Maintenance des journaux Vous pouvez accéder à la configuration des fichiers journaux de ESET Endpoint Antivirus à partir de la fenêtre principale du programme. Cliquez sur Configuration > Accéder à la configuration avancée complète... > Outils > Fichiers journaux. La section fichiers journaux permet de définir la manière dont les journaux sont gérés. Le programme supprime automatiquement les anciens fichiers journaux pour gagner de l'espace disque. Vous pouvez préciser les options suivantes pour les fichiers journaux : Supprimer automatiquement les dossiers de plus de (jours) - Les entrées journaux âgées d'un nombre de jours supérieur au nombre de jours précisé seront automatiquement supprimées. Optimiser automatiquement les fichiers journaux - Si cette fonction est activée, les fichiers journaux seront automatiquement défragmentés si le pourcentage est supérieur à la valeur indiquée dans Si le nombre d'entrées inutilisées dépasse (%). Cliquez sur Optimiser maintenant pour lancer la défragmentation des journaux. Toutes les entrées journaux vides seront supprimées durant ce processus, ce qui améliorera la performance et la vitesse lors du traitement des journaux. Cette amélioration peut être notable, tout particulièrement lorsque les journaux contiennent un grand nombre d'entrées. Verbosité minimale des journaux - Précise le niveau minimal de verbosité des événements à consigner. Diagnostic- Consigne l'information requise pour affiner le programme et toutes les entrées préalables. Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que toutes les entrées préalables. Avertissements - Enregistre les erreurs critiques et les messages d'avertissement. Erreurs - Des erreurs comme «Erreur de téléchargement de fichier» et autres erreurs critiques seront enregistrées. Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus,, etc.). Cliquez sur Activer le protocole de texte pour stocker les journaux dans un autre format de fichier et hors de Fichiers journaux : Type - Si vous choisissez le format de fichier Ordinaire, les journaux seront stockés dans un fichier texte ; les données seront séparées par des tabulations. La même chose s'applique au format de fichier CSV séparé par des virgules. Si vous choisissez Événement, les journaux seront stockés dans le journal des événements de Windows (peut être visualisé à l'aide de la Visionneuse d'événements du Panneau de configuration) plutôt que dans un fichier. Dossier cible - Emplacement où seront stockés les fichiers (ne s'applique qu'aux options Ordinaire/CSV). Chaque section de journal a son propre fichier avec un nom de fichier prédéfini (par exemple virlog.txt pour la section Menaces détectées des fichiers journaux si vous utilisez des fichiers texte ordinaire pour stocker les journaux). Le bouton Supprimer les journaux efface tous les journaux stockés actuellement sélectionnés dans le menu déroulant Type. 67

68 4.4.2 Planificateur Le planificateur gère et lance les tâches planifiées qui ont été préalablement définies et configurées. Vous pouvez accéder au Planificateur à partir de la fenêtre principale de ESET Endpoint Antivirus, en cliquant sur Outils > Planificateur. Le Planificateur contient une liste de toutes les tâches planifiées avec leurs propriétés de configuration telles que la date prédéfinie, l'heure et le profil d'analyse utilisé. Le Planificateur à planifier les tâches suivantes : la mise à jour de la base de données des signatures de virus, les tâches d'analyse, le contrôle des fichiers de démarrage du système et la maintenance des journaux. Vous pouvez ajouter ou supprimer des tâches dans la fenêtre principale du Planificateur (cliquez sur Ajouter ou Supprimer, dans le bas). Cliquez avec le bouton droit en un point quelconque de la fenêtre du planificateur pour effectuer les actions suivantes : afficher de l'information détaillée, exécuter la tâche immédiatement, ajouter une nouvelle tâche et supprimer une tâche existante. Utilisez les cases à cocher au début de chaque entrée pour activer ou désactiver les tâches. Par défaut, les tâches planifiées suivantes s'affichent dans le Planificateur : Maintenance des journaux Mise à jour automatique régulière Mise à jour automatique après une connexion commutée Mise à jour automatique après ouverture de session utilisateur Vérification automatique des fichiers de démarrage (après ouverture de session utilisateur) Vérification automatique des fichiers de démarrage (après la mise à jour réussie de la base des signatures de virus) Pour modifier la configuration d'une tâche planifiée existante (tant par défaut que définie par l'utilisateur), cliquez avec le bouton droit sur la tâche, puis sur Modifier... ou sélectionnez la tâche que vous voulez modifier, puis cliquez sur le bouton Modifier... Ajouter une nouvelle tâche 1. Cliquez sur Ajouter au bas de la fenêtre. 2. Sélectionnez la tâche souhaitée dans le menu déroulant. 68

69 3. Entrez le nom de la tâche, puis sélectionnez l'une des options de périodicité suivantes : Une fois - La tâche ne sera exécutée qu'une fois, à la date et à l'heure définies. Plusieurs fois - La tâche sera exécutée à chaque intervalle de temps (en heures) précisé. Quotidiennement - La tâche sera exécutée chaque jour à l'heure indiquée. Chaque semaine - La tâche sera exécutée une ou plusieurs fois par semaine, à l'heure et au(x) jour(s) définis. Déclenchée par un événement - La tâche sera exécutée lorsque l'événement précisé se produira. 4. Selon l'option de périodicité choisie à l'étape précédente, l'une des boîtes de dialogue suivantes s'affichera : Une fois - La tâche sera exécutée à la date et l'heure prédéfinies. Plusieurs fois - La tâche sera exécutée à chaque intervalle précisé Quotidiennement - La tâche sera exécutée plusieurs fois, chaque jour, à l'heure indiquée. Chaque semaine - La tâche sera exécutée une ou plusieurs fois par semaine, à l'heure et au(x) jour(s) prédéfinis. 5. Si une tâche n'a pas pu être exécutée à l'heure définie, il est possible de préciser le moment où elle sera exécutée de nouveau : Attendre le prochain moment planifié Exécuter la tâche le plus rapidement possible Exécuter immédiatement la tâche si la durée depuis sa dernière exécution dépasse -- heures. 6. Dans la dernière étape, vous pouvez revoir la tâche à planifier. Cliquez sur Terminer pour appliquer la tâche. 69

70 Création de nouvelles tâches Pour créer une nouvelle tâche dans le Planificateur, cliquez sur le bouton Ajouter... ou cliquez à droite et sélectionnez Ajouter... dans le menu contextuel. Cinq types de tâches planifiées sont disponibles : Exécuter une application externe - Planifie l'exécution d'une application externe. Maintenance des journaux - Les fichiers journaux contiennent les restes des enregistrements supprimés. Cette tâche optimise les enregistrements dans les fichiers journaux de façon régulière, afin qu'ils puissent fonctionner de façon efficace. Contrôle des fichiers de démarrage du système - Vérifier les fichiers qui peuvent être exécutés au démarrage du système ou lors de l'ouverture de session. Créer un instantané de l'état de l'ordinateur - Crée un instantané de l'ordinateur ESET SysInspector - recueille de l'information détaillée sur les composants système (pilotes, applications, par ex.) et évalue le niveau de risque de chacun des composants. Analyse de l'ordinateur - Effectue une analyse des fichiers et dossiers de votre ordinateur. Mettre à jour - Planifie une tâche de mise à jour en mettant à jour la base de données des signatures de virus et celle des modules du programme. Puisque Mettre à jour est l'une des tâches planifiées les plus souvent utilisées, nous expliquerons comment ajouter une nouvelle tâche de mise à jour. Dans le menu déroulant Tâche planifiée, sélectionnez Mettre à jour. Cliquez sur Suivant et entrez le nom de la tâche dans le champ Nom de la tâche. Sélectionnez la fréquence de la tâche. Les options suivantes sont disponibles : Une fois, Plusieurs fois, Quotidiennement, Chaque semaine et Déclenchée par un événement. Utilisez l'option Ne pas exécuter la tâche si l'ordinateur est alimenté par batterie pour minimiser les ressources systèmes lorsqu'un portable est alimenté par batterie. Selon la fréquence sélectionnée, vous serez invité à choisir différents paramètres de mise à jour. On peut ensuite définir l'action à entreprendre si la tâche ne peut pas être effectuée ou terminée à l'heure planifiée. Les trois options suivantes sont disponibles : Attendre le prochain moment planifié Exécuter la tâche dès que possible Exécuter la tâche immédiatement si le temps écoulé depuis la dernière exécution dépasse l'intervalle spécifié (l'intervalle peut être défini immédiatement à l'aide de la zone de liste déroulante Intervalle minimum pour la tâche). La prochaine étape affiche une fenêtre de résumé complet de la tâche planifiée courante; l'option Exécuter la tâche avec des paramètres spécifiques doit être automatiquement activée. Cliquez sur le bouton Terminer. Une boîte de dialogue s'ouvre pour permettre de choisir le profil à utiliser pour la tâche planifiée. Vous pouvez préciser ici un profil primaire et un profil secondaire qui seront utilisés si la tâche ne peut s'exécuter à l'aide du profil primaire. Confirmez en cliquant sur OK de la fenêtre Profils de mise à jour. La nouvelle tâche planifiée sera ajoutée à la liste des tâches planifiées. 70

71 4.4.3 Statistiques de protection Pour afficher un graphique des données statistiques relatives aux modules de protection de ESET Endpoint Antivirus, cliquez sur Outils > Statistiques de la protection. Dans le menu déroulant Statistiques, sélectionnez le module de protection souhaité pour afficher le graphique et la légende correspondants. Si vous faites glisser le pointeur de la souris sur un élément de la légende, seules les données correspondant à celui-ci sont représentées dans le graphique. Les graphiques statistiques suivants sont disponibles : Protection antivirus et antispyware - Affiche le nombre d'objets infectés et nettoyés. Protection du système de fichiers - Affiche uniquement les objets lus ou écrits dans le système de fichiers. Protection du client de messagerie - Affiche uniquement les objets envoyés ou reçus par les clients de messagerie. Protection de l'accès Web - Affiche uniquement les objets téléchargés par des navigateurs Web. Vous pouvez voir, sous les graphiques des statistiques, le nombre total d'objets analysés, le denier objet analysé et la date et l'heure des statistiques. Cliquez sur Réinitialiser pour effacer toute l'information sur les statistiques. 71

72 4.4.4 Surveiller l'activité Pour voir l'activité actuelle du Système de fichiers sous forme graphique, cliquez sur Outils > Regarder l'activité. Au bas du graphique se trouve une chronologie qui enregistre l'activité du système de fichiers en temps réel sur la base de l'intervalle de temps sélectionné. Pour changer la durée, cliquez sur l'option Étape 1..., dans le bas de la fenêtre, du côté droit. Les options suivantes sont disponibles : Étape : 1 seconde (10 dernières minutes) - Le graphique est actualisé toutes les secondes et la chronologie couvre les 10 dernières minutes. Étape : 1 minute (24 dernières heures) - Le graphique est actualisé toutes les minutes et la chronologie couvre les 24 dernières heures. Étape : 1 heure (dernier mois) - Le graphique est actualisé toutes les heures et la chronologie couvre le dernier mois. Étape : 1 heure (mois sélectionné) - Le graphique est actualisé toutes les heures et la chronologie couvre les derniers X mois sélectionnés. L'axe vertical du Graphique d'activité du système de fichiers représente le nombre de données lues (en bleu) et écrites (en rouge). Les deux valeurs sont exprimées en Ko (kilo-octets/mo/go. Si vous faites glisser la souris sur les données lues ou écrites dans la légende sous le graphique, celui-ci n'affiche que les données relatives à ce type d'activité ESET SysInspector ESET SysInspector est une application qui inspecte complètement votre ordinateur et collige de l'information détaillée sur les composants système, tels que les pilotes et applications installés, les connexions réseau ou des entrées de registre importantes, et évalue le niveau de risque de chacun des composants. Ces données peuvent aider à déterminer la cause d'un comportement suspect du système pouvant être dû à une incompatibilité logicielle ou matérielle, ou à une infection par logiciel malveillant. La fenêtre SysInspector affiche les données suivantes sur les journaux créés : Heure - L'heure de création du journal. Commentaire - Une brève note. Utilisateur - Le nom de l'utilisateur ayant créé le journal. État - L'état de création du journal. 72

73 Les actions suivants sont disponibles : Comparer - Compare deux journaux existants. Créer... - Crée un journal. Patientez jusqu'à ce que le journal de ESET SysInspector soit prêt (État indiquant Créé). Retirer -Supprime des journaux sélectionnés de la liste. Après avoir cliqué à droite pour sélectionner un ou plusieurs journaux, les options suivantes s'afficheront, à partir du menu contextuel : Afficher - Ouvre le journal sélectionné dans ESET SysInspector (équivaut à double-cliquer sur un journal). Supprimer tout - Supprime tous les journaux. Exporter... - Exporte le journal vers un fichier.xml ou un fichier.xml zippé ESET Live Grid ESET Live Grid (la nouvelle génération de ESET ThreatSense.Net) est un système avancé d'alerte précoce contre les menaces émergentes basé sur la réputation. Utilisant la diffusion en temps réel de l'information liée aux menaces tirée du nuage, le laboratoire de virus d'eset garde les défenses à jour pour ainsi offrir un niveau constant de protection. L'utilisateur peut vérifier la réputation de processus en cours d'exécution et de fichiers directement à partir de l'interface du programme ou du menu contextuel avec informations supplémentaires disponibles à partir de ESET Live Grid. Deux options sont offertes : 1. Vous pouvez décider de ne pas activer le système ESET Live Grid. Vous ne perdrez aucune fonctionnalité du logiciel et vous continuerez à recevoir la meilleure protection que nous puissions vous offrir. 2. Vous pouvez configurer le système ESET Live Grid pour qu'il envoie des données anonymes concernant de nouvelles menaces et l'endroit où se trouve le code menaçant. Ce fichier peut être envoyé à ESET pour une analyse détaillée. En étudiant ces menaces, ESET améliore sa capacité à détecter les menaces. Le système ESET Live Grid recueille sur votre ordinateur des données concernant de nouvelles menaces détectées. Ces données comprennent un échantillon ou une copie du fichier dans lequel la menace est apparue, le chemin du fichier, le nom du fichier, la date et l'heure, le processus par lequel la menace est apparue sur votre ordinateur et de l'information sur le système d'exploitation de votre ordinateur. Par défaut, ESET Endpoint Antivirus est configuré pour soumettre les fichiers suspects pour une analyse détaillée dans le laboratoire d'eset. Les fichiers portant certaines extensions comme.doc ou.xls sont toujours exclus. Vous pouvez ajouter d'autres extensions à la liste d'exclusion, dont vous ou votre compagnie souhaitez éviter l'envoi. La menu de configuration de ESET Live Grid offre plusieurs options pour activer et désactiver le système ESET Live Grid qui sert à soumettre des fichiers suspects et des données statistiques anonymes aux laboratoires d'eset. On peut y accéder à partir de l'arborescence de Configuration avancée en cliquant sur Outils > ESET Live Grid. Participer à ESET Live Grid - Active ou désactive le système ESET Live Grid qui sert à soumettre des fichiers suspects et des données statistiques anonymes aux laboratoires d'eset. Ne pas soumettre de statistiques - Cochez cette option si vous ne voulez pas soumettre de données statistiques anonymes à partir du système ESET Live Grid à propos de votre ordinateur. Cette information porte sur les menaces nouvellement détectées, ce qui peut inclure le nom de l'infiltration, l'information sur la date et l'heure de détection, la version de ESET Endpoint Antivirus ainsi que de l'information sur la version du système d'exploitation de votre ordinateur et ses paramètres régionaux. Les statistiques sont normalement envoyées au serveur d'eset une ou deux fois par jour. Ne pas soumettre les fichiers - Les fichiers suspects ressemblant à des infiltrations par leur contenu ou leur comportement ne sont pas envoyés à ESET par l'entremise de la technologie ESET Live Grid. Configuration avancée... - Ouvre une fenêtre avec d'autres paramètres du système ESET Live Grid. Si vous avez déjà utilisé le système ESET Live Grid et l'avez désactivé, il est possible qu'il reste des paquets de données à envoyer. Même après la désactivation, ces paquets seront transmis à ESET à la prochaine occasion. Par la suite, cependant, aucun paquet ne sera créé. 73

74 Fichiers suspects L'onglet Fichier dans la Configuration avancée de ESET Live Grid vous permet de configurer comment les menaces seront soumises aux laboratoires d'eset pour analyse. Si vous trouvez un fichier suspect, vous pouvez le soumettre à notre laboratoire pour analyse. S'il contient une application malveillante, il sera ajouté à la prochaine mise à jour des signatures de virus. Filtre d'exclusion - Le filtre d'exclusion permet d'exclure certains fichiers/dossiers de la soumission. Les fichiers de la liste ne seront jamais envoyés aux laboratoires d'eset pour analyse, même s'ils contiennent du code suspect. Ainsi, il est utile d'exclure des fichiers qui peuvent comporter des données confidentielles, tels que des documents ou des feuilles de calcul. Les types de fichiers les plus courants sont exclus par défaut (.doc, etc.). Vous pouvez ajouter des fichiers à cette liste, au besoin. Adresse courriel du contact (facultative) - Votre adresse courriel peut également être incluse avec tout fichier suspect et pourra être utilisée pour communiquer avec vous si nous avons besoin de plus d'information pour l'analyse. Veuillez noter que vous ne recevrez pas de réponse d'eset sauf si d'autres renseignements sont requis. Dans cette section, vous pouvez aussi choisir si les fichiers et l'information statistique seront soumis par l'entremise d'eset Remote Administrator ou directement à ESET. Si vous voulez être certain que les fichiers suspects et l'information statistique sont remis à ESET, sélectionnez l'option Par la Console d'administration à distance (RA) ou directement à ESET. Les fichiers et les statistiques seront alors soumis par tous les moyens disponibles. La soumission de fichiers suspects par Remote Administrator envoie des fichiers et des statistiques au serveur d'administration à distance, ce qui en assurera la soumission subséquente aux laboratoires d'eset. Si l'option Directement à ESET est sélectionnée, le programme enverra directement tous les fichiers suspects et l'information statistique au laboratoire d'eset. Sélectionnez l'option Activer la journalisation pour créer un journal dans lequel enregistrer les fichiers et données statistiques soumis. L'envoi de fichiers ou de statistiques sera alors consigné dans le journal des événements. 74

75 4.4.7 Processus en cours Processus en cours affiche les programmes ou processus en cours d'exécution sur votre ordinateur et s'assure que ESET est continuellement avisé des nouvelles infiltrations, et ce, dès qu'elles se produisent. ESET Endpoint Antivirus donne de l'information détaillée sur les processus en cours d'exécution pour protéger les utilisateurs grâce à la technologie ESET Live Grid. Processus - Nom de l'image du programme ou du processus actuellement en cours d'exécution sur votre ordinateur. Vous pouvez aussi utiliser le Gestionnaire des tâches de Windows pour afficher tous les processus en cours d'exécution sur votre ordinateur. Vous pouvez ouvrir le Gestionnaire des tâches en cliquant à droite dans une zone vide de la barre des tâches, puis sur Gestionnaire des tâches, ou vous pouvez également appuyer sur les touches Ctrl+Maj+Esc de votre clavier. Niveau de risque - Le plus souvent, ESET Endpoint Antivirus affecte, grâce à la technologie ESET Live Grid, des niveaux de risque aux objets (fichiers, processus, clés de registre, etc.) à l'aide d'une série de règles heuristiques qui examinent les caractéristiques de chaque objet, puis pondèrent son potentiel d'activité nuisible. Sur la base de cette heuristique, un niveau de risque de 1 - Bon (vert) à 9 - Risqué (rouge) sera attribué aux objets. REMARQUE : les applications connues marquées Ok (vert) sont vraiment propres (ajoutées à la liste blanche) et seront exclues de l'analyse, puisque cela permettra d'améliorer la vitesse de l'analyse à la demande ou de la protection du système en temps réel sur votre ordinateur. Nombre d'utilisateurs - Le nombre d'utilisateurs qui utilisent une application donnée. Cette information est colligée par la technologie ESET Live Grid. Heure de découverte - Période depuis que l'application a été découverte par la technologie ESET Live Grid. REMARQUE :Lorsque l'application est marquée comme ayant un niveau de sécurité Inconnu (orange), elle ne contient pas obligatoirement de logiciels malveillants. C'est souvent simplement une nouvelle application. Si vous n'êtes pas certain du fichier, vous pouvez soumettre le fichier pour analyse aux laboratoires d'eset. Si le fichier se révèle être une application malveillante, sa détection sera ajoutée à l'une des mises à jour suivantes. Nom de l'application - Le nom d'un programme ou d'un processus donné. Ouvrir dans une nouvelle fenêtre - L'information sur les processus en cours s'affiche dans une nouvelle fenêtre. 75

76 En cliquant sur une application donnée indiquée au bas, l'information suivante s'affichera dans le bas de la fenêtre : Fichier - Emplacement d'une application sur votre ordinateur. Taille du fichier - La taille du fichier sera généralement indiquée en Ko (kilooctets) ou en Mo (mégaoctets). Description du fichier - Caractéristiques du fichier, en fonction de la description du système d'exploitation. Nom de la société - Nom du fournisseur ou du processus d'application. Version du fichier - Information de l'éditeur de l'application. Nom du produit - Nom de l'application et/ou nom de l'entreprise. REMARQUE : La vérification de la réputation peut également être effectuée sur des fichiers qui ne se comportent pas comme des programmes/processus en cours - marquez les fichiers à vérifier, cliquez à droite sur ceux-ci, puis dans le menu contextuel, sélectionnez Options avancées > Vérifier la réputation des fichiers à l'aide de ESET Live Grid Quarantaine La quarantaine vise principalement à stocker les fichiers infectés de façon sécuritaire. Ces fichiers doivent être mis en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont détectés par erreur par ESET Endpoint Antivirus. Vous pouvez choisir de mettre n'importe quel fichier en quarantaine. Il est conseillé de le faire si un fichier se comporte de façon suspecte, mais n'a pas été détecté par l'analyseur antivirus. Les fichiers en quarantaine peuvent ensuite être soumis pour analyse au laboratoire d'eset. Les fichiers stockés dans le dossier de quarantaine peuvent être visualisés dans un tableau indiquant la date et l'heure de mise en quarantaine, le chemin de l'emplacement d'origine du fichier infecté, sa taille en octets, la raison (par exemple, un objet ajouté par l'utilisateur) et le nombre de menaces (par exemple, s'il s'agit d'une archive contenant plusieurs infiltrations). 76

77 Mise de fichiers en quarantaine ESET Endpoint Antivirus met automatiquement les fichiers supprimés en quarantaine (si l'utilisateur n'a pas annulé cette option dans la fenêtre d'alerte). Au besoin, vous pouvez mettre manuellement en quarantaine tout fichier suspect en cliquant sur le bouton Quarantaine... Dans ce cas, le fichier d'origine ne sera pas supprimé de son emplacement initial. Il est également possible d'utiliser le menu contextuel à cette fin; il suffit de cliquer avec le bouton droit dans la fenêtre Quarantaine et de sélectionner Quarantaine... Restaurer depuis la quarantaine Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement d'origine. Pour ce faire, utilisez la fonctionnalité Restaurer du menu contextuel après avoir cliqué avec le bouton droit sur un fichier indiqué dans la fenêtre de quarantaine. Si un fichier est marqué comme application potentiellement indésirable, l'option Restaurer et exclure de l'analyse sera activée. Pour en savoir plus sur ce type d'application, consultez le glossaire Le menu contextuel offre également l'option Restaurer vers... qui permet de restaurer des fichiers vers un emplacement autre que celui d'où ils ont été supprimés. REMARQUE: Si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer, de l' exclure de l'analyse et de l'envoyer au service à la clientèle d'eset. Soumission d'un fichier de quarantaine Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été jugé infecté par erreur (par exemple, par l'analyse heuristique du code) et mis en quarantaine, envoyez ce fichier au laboratoire d'eset. Pour soumettre un fichier mis en quarantaine, cliquez sur ce dernier avec le bouton droit de la souris, puis, dans le menu contextuel, sélectionnez Soumettre pour analyse Soumission de fichiers pour analyse La boîte de dialogue de soumission de fichiers vous permet d'envoyer un fichier à ESET pour analyse. Elle se trouve dans Outils > Soumettre pour analyse. Si vous trouvez un fichier au comportement suspect sur votre ordinateur, vous pouvez le soumettre au laboratoire d'eset pour analyse. Si le fichier se révèle être une application malveillante, sa détection sera ajoutée à l'une des mises à jour suivantes. Vous pouvez également soumettre le fichier par courriel. Si vous préférez cette option, chiffrez le ou les fichiers avec WinRAR/ZIP, protégez l'archive avec le mot de passe «infected», puis envoyez-la à samples@eset.com. Pensez à utiliser un objet clair et compréhensible et fournissez le plus de détails possible sur le fichier (par ex., le site Web à partir duquel vous l'avez téléchargé). REMARQUE : Avant de soumettre un fichier à ESET, assurez-vous qu'il répond à un ou à plusieurs des critères suivants : le fichier n'est pas du tout détecté, le fichier est erronément détecté comme une menace. Vous ne recevrez pas de réponse, sauf si des informations complémentaires sont nécessaires pour l'analyse. Sélectionnez la description de la Raison de la soumission du fichier qui correspond le mieux à votre message dans le menu déroulant : Fichier suspect, Faux positif (fichier jugé infectés, mais qui ne l'est pas), et Autre. Fichier - Le chemin d'accès vers le fichier que vous voulez soumettre. Adresse courriel du contact - L'adresse courriel du contact est envoyée avec les fichiers suspects à ESET et peut être utilisée pour communiquer avec vous si des informations complémentaires sont nécessaires pour l'analyse. L'entrée de l'adresse courriel est facultative. Vous ne recevrez pas de réponse d'eset sauf si des informations complémentaires sont nécessaires pour l'analyse. Il en est ainsi parce que nos serveurs reçoivent, chaque jour, des dizaines de milliers de fichiers, ce qui nous empêche de répondre à l'ensemble des soumissions. 77

78 Alertes et notifications ESET Endpoint Antivirus prend en charge l'envoi de courriels, si un événement ayant le niveau de verbosité sélectionné se produit. Cliquez sur la case Envoyer des notifications d'événement par courriel pour activer cette fonctionnalité et les notifications par courriel. Serveur SMTP - Le serveur SMTP utilisé pour l'envoi de notifications. Remarque : ESET Endpoint Antivirus ne prend pas en charge les serveurs SMTP avec chiffrement SSL/TLS. Le serveur SMTP exige une authentification - Si le serveur SMTP exige une authentification, ces champs doivent être remplis avec un nom d'utilisateur et un mot de passe valides donnant accès au serveur SMTP. Adresse de l'expéditeur - Ce champ précise l'adresse de l'expéditeur qui sera affichée dans l'en-tête des notifications. Adresse du destinataire - Ce champ précise l'adresse du destinataire qui sera affichée dans l'en-tête des notifications. Envoyer les notifications d'événements aux ordinateurs du réseau local par le service Messenger - Cochez cette case pour envoyer des messages aux ordinateurs du réseau local par le service de messagerie Windows. Envoyer des notifications aux ordinateurs suivants (séparés par des virgules) - Entrer les noms des ordinateurs qui vont recevoir les notifications par le service de messagerie Windows. Intervalle entre les envois (en s) - Entrer le temps en secondes pour modifier l'intervalle entre les notifications envoyées par le réseau local Niveau de détails minimal des notifications - Précise le niveau minimal de verbosité des notifications à envoyer. Modifier le format... - Les communications entre le programme et l'utilisateur ou l'administrateur système distants se font par la messagerie ou le réseau local (au moyen du service de messagerie Windows ). Le format par défaut des messages d'alerte et des notifications est optimal dans la plupart des situations. Dans certaines situations, le format des messages doit être changé - cliquez sur Modifier le format... 78

79 Format des messages Ici, vous pouvez configurer le format des messages d'événement qui s'afficheront sur les ordinateurs distants. Les messages d'alerte et de notification de menace utilisent un format par défaut prédéfini. Il est déconseillé de modifier ce format. Toutefois, dans certaines circonstances (par exemple, si vous avez un système automatisé de traitement des messages), vous serez peut-être amené à modifier le format des messages. Les mots-clés (chaînes entourées de signes %) sont remplacés dans le message par les données réelles indiquées. Les mots-clés suivants sont disponibles : %TimeStamp% - Date et heure de l'événement. %Scanner% - Module concerné. %ComputerName% - Nom de l'ordinateur où l'alerte s'est produite. %ProgramName% - Programme ayant généré l'alerte. %InfectedObject% - Nom du fichier infecté, message infecté, etc. %VirusName% - Identification de l'infection. %ErrorDescription% - Description d'un événement autre qu'un virus. Les mots-clés %InfectedObject% et %VirusName% ne sont utilisés que dans les messages d'alerte de menace, tandis que le mot-clé %ErrorDescription% n'est utilisé que dans les messages d'événement. Utiliser les caractères alphabétiques locaux - Utilise l'encodage des caractères ANSI basé sur les paramètres régionaux de Windows pour convertir un courriel (par exemple, windows-1250). Si cette case n'est pas cochée, le message sera converti et encodé en format ACSII 7 bits (par exemple, «á» sera remplacé par «a» et un caractère inconnu en «?»). Utiliser l'encodage des caractères locaux - Le courriel source sera encodé dans le format Quoted Printable (QP) qui utilise les caractères ASCII et peut transmettre correctement par courriel les caractères nationaux spéciaux en format 8 bits (áéíóú) Mises à jour système La fonctionnalité Windows Update est un élément important de la protection des utilisateurs contre les logiciels malveillants. C'est pourquoi il est essentiel d'installer les mises à jour de Microsoft Windows dès qu'elles sont disponibles. ESET Endpoint Antivirus vous informe des mises à jour manquantes en fonction du niveau indiqué. Les niveaux suivants sont disponibles : Aucune mise à jour - Aucune mise à jour système ne sera proposée pour téléchargement. Mises à jour facultatives - Les mises à jour marquées comme étant de faible priorité et plus prioritaires sont proposées pour téléchargement. Mises à jour recommandées - Les mises à jour marquées comme étant communes et plus prioritaires sont proposées pour téléchargement. Mises à jour importantes - Les mises à jour marquées comme étant importantes et plus prioritaires sont proposées pour téléchargement. Mises à jour critiques - Seules les mises à jour critiques sont proposées pour téléchargement. Cliquez sur OK pour enregistrer les modifications. La fenêtre Mises à jour système s'affiche après vérification de l'état avec le serveur de mise à jour. Il se peut donc que les données de mise à jour système ne soient pas immédiatement disponibles après l'enregistrement des modifications Diagnostics Les diagnostics fournissent des vidages sur incident des processus d'eset (ekrn, par ex.). Si une application plante, un vidage sera généré. Il pourra aider les développeurs à déboguer et à corriger différents problèmes liés à ESET Endpoint Antivirus. Deux types de vidage sont disponibles : Vidage mémoire complet - Enregistre tout le contenu de la mémoire système, au moment où l'application s'est arrêtée inopinément. Un vidage complet de mémoire peut contenir des données liées aux processus en cours d'exécution au moment de la création du vidage mémoire. Minividage - Enregistre le plus petit ensemble d'information utile pouvant aider à identifier la raison pour laquelle l'application s'est arrêtée inopinément. Ce type de fichier de vidage peut être utile lorsque l'espace est limité. Cependant, en raison de l'information limitée incluse dans ce fichier, des erreurs n'ayant pas été causées directement par le menace en cours au moment du problème pourraient ne pas être découvertes lors d'une analyse de ce fichier. Sélectionnez Ne pas générer de vidage mémoire (par défaut) pour désactiver cette fonction. 79

80 Dossier cible - Dossier où sera généré le fichier de vidage, lors d'une panne. Cliquez sur Ouvrir le dossier... pour ouvrir ce répertoire dans une nouvelle fenêtre de l'explorateur Windows Licences La branche Licences vous permet de gérer les clés de licence pour ESET Endpoint Antivirus et d'autres produits d'eset comme ESET Remote Administrator, etc. Après l'achat, vous recevrez les clés de licence, ainsi que votre nom d'utilisateur et votre mot de passe. Pour Ajouter/Supprimer une clé de licence, cliquez sur le bouton correspondant dans la fenêtre du Licences. Le gestionnaire de licences est accessible à partir de l'arborescence de Configuration avancée en cliquant sur Outils > Licences. Une clé de licence est un fichier texte contenant de l'information sur le produit acheté : le propriétaire, le nombre de licences et la date d'expiration. La fenêtre du gestionnaire de licences permet à l'utilisateur de charger et de voir le contenu de la clé de licence à l'aide du bouton Ajouter. L'information contenue sera affichée dans la fenêtre du gestionnaire. Pour supprimer une clé de licence de la liste, sélectionnezretirer. Si une clé de licence est expirée et que vous voulez la renouveler, cliquez sur le bouton Commander ; vous serez dirigé vers le site Web de la boutique en ligne. 80

81 Administration à distance ESET Remote Administrator (ERA) est un puissant outil utilisé pour gérer la politique de sécurité et obtenir un aperçu de la sécurité globale d'un réseau. Il est particulièrement utile pour les grands réseaux. ERA augmente non seulement le niveau de sécurité, mais il offre une facilité d'utilisation tout en gérant ESET Endpoint Antivirus sur les postes de travail clients. On peut ainsi installer et configurer des applications, consulter les journaux, planifier les tâches de mise à jour et d'analyse, etc. La communication entre ESET Remote Administrator (ERAS) et les produits de sécurité d'eset exige une configuration appropriée aux deux extrémités. Les options de configuration de l'administration à distance sont accessibles à partir de la fenêtre principale de ESET Endpoint Antivirus. Cliquez sur Configuration > Accéder à la configuration avancée complète... > Outils > Administration à distance (Remote Administration). Activez l'administration à distance en sélectionnant l'option Connecter au serveur d'administration à distance. D'autres options sont également disponibles : Intervalle entre deux connexions au serveur (min.) - Ce champ précise à quelle fréquence le programme de sécurité d'eset se connecte à ERAS pour envoyer les données. Serveur principal, serveur secondaire - En temps normal, seul le serveur primaire doit être configuré. Si vous utilisez plusieurs serveurs ERA sur le réseau, vous pouvez choisir d'en ajouter un autre, soit une connexion secondaire au serveur ERA. Il sera alors utilisé comme solution de secours. Ainsi, si le serveur primaire devient inaccessible, la solution de sécurité d'eset communiquera alors automatiquement avec le serveur ERA secondaire. Il tentera, en même temps, de rétablir la connexion avec le serveur primaire. Une fois la connexion réactivée, votre solution de sécurité d'eset basculera automatiquement vers le serveur primaire. La configuration de deux profils de serveur d'administration à distance est plus adaptée pour les clients mobiles dont les clients se connectent tant à partir du réseau local que d'un réseau extérieur. Adresse du serveur - Précise l'adresse DNS ou l'adresse IP du serveur sur lequel fonctionne le ERAS. Port - Ce champ contient le port du serveur prédéfini utilisé pour la connexion. Il est recommandé de laisser le paramètre de port 2222, par défaut. Intervalle entre deux connexions au serveur (min.) - Fréquence à laquelle ESET Endpoint Antivirus se connectera au serveur ERA Server. Si la valeur est 0, les données sont envoyées toutes les 5 secondes. Le serveur d'administration à distance exige une authentification - Permet, si nécessaire, d'entrer un mot de passe pour la connexion au serveur ERA Server. Ne jamais se connecter à un serveur avec une communication non sécurisée - Sélectionnez cette case pour désactiver la connexion aux serveurs ERA acceptant un accès non authentifié (voir ERA Console > Options serveur > Sécurité > Activer l'accès non authentifié pour les clients). 81

82 Cliquez sur OK pour confirmer les modifications et appliquer les paramètres qu'utilise ESET Endpoint Antivirus pour se connecter au serveur ERA Server. 4.5 Interface utilisateur La section Interface utilisateur vous permet de configurer le comportement des éléments de l'interface graphique du programme (IUG). À l'aide de l'outil Graphiques, vous pouvez régler l'apparence visuelle du programme et les effets utilisés. En configurant les alertes et notifications, vous pouvez modifier le comportement des alertes de menaces détectées et les notifications système. Elles peuvent être personnalisées selon vos besoins. Si vous choisissez de ne pas afficher certaines notifications, elles seront affichées dans la zone Fenêtres de notification masquées. Ici, vous pouvez en vérifier l'état, afficher plus de détails ou les supprimer de la fenêtre. Pour profiter de la sécurité maximale de votre logiciel de sécurité, vous pouvez empêcher toute modification non autorisée en protégeant les paramètres par un mot de passe à l'aide de l'outil Configuration de l'accès. Le Menu contextuel s'affiche après avoir cliqué à droite sur l'objet sélectionné. Utilisez cet outil pour intégrer les éléments de contrôle de ESET Endpoint Antivirus dans le menu contextuel. Le Mode présentation est utile pour les utilisateurs qui veulent utiliser une application sans être interrompus par des fenêtres contextuelles, des tâches planifiées et tout composant qui pourrait utiliser le processeur et la mémoire vive Graphiques Les options de configuration de l'interface utilisateur incluses dans ESET Endpoint Antivirus permettent d'ajuster l'environnement de travail selon vos besoins. Vous pouvez accéder à ces options à partir de la branche Interface utilisateur > Graphiques de l'arborescence de Configuration avancée de ESET Endpoint Antivirus. Dans la section Éléments de l'interface utilisateur, l'option Interface utilisateur graphique devrait être désactivée si les éléments graphiques réduisent la performance de votre ordinateur ou causent d'autres problèmes. De même, il est possible que l'interface utilisateur graphique doive être désactivée pour les utilisateurs malvoyants car elle peut entrer en conflit avec des applications spéciales utilisées pour la lecture de textes affichés à l'écran. Pour désactiver l'écran de démarrage de ESET Endpoint Antivirus, désactivez l'option Afficher l'écran de démarrage. Si l'option Afficher les infobulles est activée, une brève description de l'option s'affichera lorsque le curseur sera placé sur celle-ci. L'option Sélectionner l'élément de contrôle actif forcera le système à surligner tout élément se trouvant dans la zone active du pointeur de la souris. L'élément surligné sera activé dès que vous cliquerez sur celui-ci, avec votre souris. Pour augmenter ou réduire la vitesse des effets animés, sélectionnez l'option Utiliser les commandes animées et faites glisser la barre du curseur Vitesse vers la gauche ou la droite. Pour pouvoir afficher les différentes opérations à l'aide des icônes animées, sélectionnez l'option Utiliser les icônes animées pour indiquer la progression. Si vous voulez que le programme émette un son lorsqu'un événement important se produit, sélectionnez Émettre un signal sonore. Veuillez notez qu'un son n'est émis que lorsqu'une analyse de l'ordinateur est en cours ou s'est terminée. 82

83 4.5.2 Alertes et notifications La section Alertes et notifications sous Interface utilisateur permet de configurer le mode de traitement des messages d'alerte et des notifications système (par ex., des messages indiquant la mise à jour réussie) par ESET Endpoint Antivirus. Vous pouvez également configurer la durée d'affichage et le niveau de transparence des notifications dans la barre d'état système (ne s'applique qu'aux systèmes prenant en charge ces notifications). La première option est Afficher les alertes. Lorsque cette option est désactivée, aucune fenêtre d'alerte ne s'affiche, ce qui ne convient qu'à un nombre limité de situations particulières. Il est recommandé à la majorité des utilisateurs de conserver l'option par défaut (activée). Pour fermer automatiquement les fenêtres d'alerte après un certain temps, sélectionnez l'option Fermer automatiquement la boîte de message après (en secondes). Si les fenêtres d'alerte ne sont pas fermées manuellement, elles le sont automatiquement, une fois le laps de temps écoulé. Les notifications sur le bureau et les infobulles sont des messages informatifs ne permettant ou n'exigeant aucune interaction avec l'utilisateur. Elles s'affichent dans la zone de notification, dans le coin inférieur droit de l'écran. Pour activer l'affichage des notifications sur le bureau, sélectionnez l'option Afficher les notifications sur le bureau. D'autres options détaillées, comme la durée d'affichage des notifications et la transparence de la fenêtre, peuvent être modifiées en cliquant sur le bouton Configurer les notifications... Pour prévisualiser le comportement des notifications, cliquez sur le bouton Aperçu. Pour configurer la durée d'affichage des infobulles, utilisez l'option Afficher les infobulles dans la barre des tâches (en sec.) et entrez l'intervalle voulu dans le champ adjacent. 83

84 L'option Afficher seulement les notifications exigeant une intervention de l'utilisateur permet d'activer ou de désactiver l'affichage des alertes et notifications n'exigeant aucune intervention de l'utilisateur. Sélectionnez Afficher seulement les notifications exigeant une intervention de l'utilisateur lorsque ces applications s'exécutent en mode plein écran pour supprimer toutes les notifications non interactives. Cliquez sur Configuration avancée... pour définir des options supplémentaires de configuration des Alertes et notifications Configuration avancée Du menu déroulant Verbosité minimale des événements à afficher, vous pouvez sélectionner le niveau de gravité de base des alertes et notifications à afficher. Diagnostic- Consigne l'information requise pour affiner le programme et toutes les entrées préalables. Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que toutes les entrées préalables. Avertissements - Enregistre les erreurs critiques et les messages d'avertissement. Erreurs - Des erreurs comme «Erreur de téléchargement de fichier» et autres erreurs critiques seront enregistrées. Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus,, etc.). La dernière fonctionnalité de cette section vous permet de configurer la destination des notifications dans un environnement multi-utilisateurs. Le champ Sur les systèmes multi-utilisateurs, afficher les notifications sur l'écran de l'utilisateur précise l'utilisateur qui recevra les notifications système et autres notifications pour les systèmes autorisant la connexion simultanée de multiples utilisateurs. Il s'agit généralement de l'administrateur système ou de l'administrateur réseau. Cette option est particulièrement utile pour les serveurs de terminaux, en autant que toutes les notifications système soient envoyées à l'administrateur Fenêtres de notification masquées Si l'option Ne plus afficher cette fenêtre a été activée pour une fenêtre de notification (alerte) déjà affichée, celle-ci figure dans la liste des fenêtres de notification masquées. Les actions désormais exécutées automatiquement s'affichent dans la colonne intitulée Confirmer. Afficher - Présente un aperçu des fenêtres de notification non affichées pour lesquelles une action automatique est configurée. Retirer - Supprime les éléments de la liste Boîtes de message masquées. Toutes les fenêtres de notification supprimées de la liste s'affichent de nouveau. 84

85 4.5.4 Configuration de l'accès Il est essentiel que ESET Endpoint Antivirus soit configuré correctement pour garantir la sécurité maximale du système. Tout changement inapproprié peut entraîner une perte de données importantes. Cette option se trouve dans le sousmenu Configuration de l'accès, sous Interface utilisateur dans l'arborescence de Configuration avancée. Pour éviter les modifications non autorisées, les paramètres de configuration de ESET Endpoint Antivirus peuvent être protégés par mot de passe. Protection des paramètres par mot de passe - Verrouille ou déverrouille les paramètres de configuration du programme. Cochez ou décochez la case pour ouvrir la fenêtre de configuration du mot de passe. Pour définir un mot de passe visant à protéger les paramètres de configuration, cliquez sur Définir le mot de passe... Demander des droits d'administrateur complets pour des comptes Administrateur limités - Sélectionnez cette option pour inviter l'utilisateur actuel (s'il ne possède pas les droits d'administration) à fournir un nom d'utilisateur et un mot de passe lorsqu'il modifie certains paramètres système (similaire au contrôle de compte d'utilisateur -UAC- dans Windows Vista). Ces modifications incluent la désactivation des modules de protection. Afficher la boîte de dialogue de l'expiration de la protection - Vous verrez l'invite si cette option est sélectionnée alors que la protection a été temporairement désactivée à partir du menu du programme ou de la section ESET Endpoint Antivirus > Configuration. Un menu déroulant Intervalle dans la fenêtre Désactiver temporairement la protection représente la période pendant laquelle tous les éléments sélectionnés de la protection seront désactivés. 85

86 4.5.5 Menu du programme Certaines des options et des fonctionnalités les plus importantes se trouvent dans le menu principal du programme. Fréquemment utilisé - Affiche les éléments les plus fréquemment utilisés de ESET Endpoint Antivirus. Vous pouvez accéder rapidement à ceux-ci, à partir du programme du menu. Désactiver temporairement la protection - Affiche la boîte de dialogue de confirmation qui désactive la protection antivirus et antispyware qui protège contre les attaques de système malveillantes en contrôlant les fichiers, le Web et les communications par courriel. Cochez la case Ne plus demander pour éviter la réapparition de ce message à l'avenir. Le menu déroulant Intervalle représente la période pendant laquelle toute la protection antivirus et antispyware sera désactivée. Configuration avancée... - Cochez cette option pour entrer dans l'arborescence de Configuration avancée. Il y a également d'autres façons de l'ouvrir, comme en appuyant sur la touche F5 ou en allant jusqu'à Configuration > Accéder à la configuration avancée... Fichiers journaux - Les fichiers journaux contiennent tous les événements importants qui ont eu lieu et donnent un aperçu des menaces détectées. Rétablir la disposition de fenêtre - Réinitialise la fenêtre de ESET Endpoint Antivirus à sa taille et position par défaut, à l'écran. À propos - Fournit de l'information sur le système, les détails à propos de la version installée de ESET Endpoint Antivirus et les modules du programme installés. Vous y trouverez aussi la date d'expiration de la licence. Et, dans le bas, on y trouve de l'information sur le système d'exploitation et les ressources système. 86

87 4.5.6 Menu contextuel Le menu contextuel s'affiche après avoir cliqué à droite sur l'objet sélectionné. Le menu indique toutes les options disponibles pour cet objet. Il est possible d'intégrer les éléments de contrôle de ESET Endpoint Antivirus dans le menu contextuel. D'autres options détaillées de configuration pour cette fonctionnalité sont disponibles dans l'arborescence de Configuration avancée sous Interface utilisateur > Menu contextuel. Intégrer au menu contextuel - Intègre les éléments de contrôle de ESET Endpoint Antivirus dans le menu contextuel. Les options suivantes sont disponibles dans le menu déroulant Type de menu : Complet (analyser d'abord) - Active toutes les options du menu contextuel; le menu principal affichera l'option Analyser avec ESET Endpoint Antivirus. Complet (nettoyer d'abord) - Active toutes les options du menu contextuel; le menu principal affichera l'option Nettoyer aveceset Endpoint Antivirus. Uniquement analyser - Seule l'option Analyser aveceset Endpoint Antivirus sera affichée dans le menu contextuel. Uniquement nettoyer - Seule l'option Nettoyer aveceset Endpoint Antivirus sera affichée dans le menu contextuel Mode présentation Mode présentation est une fonctionnalité destinée aux utilisateurs qui exigent une utilisation interrompue de leur logiciel, qui ne veulent pas être dérangés par des fenêtres contextuelles et veulent minimiser la charge sur l'uc. Mode présentation peut aussi être utilisé lors de présentations qui ne peuvent être interrompues par l'activité de l'antivirus. Une fois cette fonctionnalité activée, toutes les fenêtres contextuelles seront désactivées et l'activité du planificateur sera complètement arrêtée. La protection du système s'exécute toujours en arrière-plan, mais n'exige aucune interaction de l'utilisateur. Vous pouvez activer ou désactiver le Mode présentation dans la fenêtre principale du programme en cliquant sur Configuration > Ordinateur puis sur Activer sous Mode présentation dans l'arborescence de Configuration avancée complète (touche F5) en développant l'option Interface utilisateur, puis en cliquant sur Mode présentation et en cochant la case à côté de Activer le Mode présentation. Activer le Mode présentation entraîne un risque potentiel puisque l'icône de l'état de la protection dans la barre des tâches tournera à l'orange, en plus d'afficher un avertissement. Vous verrez également cet avertissement dans la fenêtre principale du programme, où Mode présentation activé en orange. En cochant la case Activer automatiquement le Mode présentation lorsque ces applications s'exécutent en mode plein écran, le Mode présentation démarrera dès que vous lancerez une application en plein écran et s'arrêtera automatiquement, dès que vous quitterez l'application. Cela est particulièrement utile pour lancer le Mode présentation directement, après le lancement d'un jeu, ainsi qu'ouvrir une application en plein écran ou démarrer une présentation. Vous pouvez également sélectionner l'option Désactiver automatiquement le Mode présentation après en cochant la case et en définissant la durée (la valeur par défaut est 1 minute). Cette option ne sera utilisée que si vous avez besoin du Mode présentation pour une durée précise et que vous voulez le désactiver automatiquement, par la suite. 87

88 5. Utilisateur chevronné 5.1 Configuration du serveur mandataire Dans les grands réseaux locaux, la connexion de votre ordinateur à Internet peut s'effectuer par l'intermédiaire d'un serveur mandataire. Si tel est le cas, les paramètres suivants doivent être modifiés. En l'absence de modification, le programme ne pourra pas effectuer de mise à jour automatique. Dans ESET Endpoint Antivirus, le serveur mandataire peut être configuré dans deux sections différentes de l'arborescence de configuration avancée. Vous pouvez tout d'abord configurer les paramètres du serveur mandataire dans Configuration avancée sous Outils > Serveur mandataire. La sélection du serveur mandataire à ce niveau définit les paramètres de serveur mandataire globaux pour l'ensemble de ESET Endpoint Antivirus. Les paramètres définis ici seront utilisés par tous les modules exigeant une connexion Internet. Pour préciser des paramètres de serveur mandataire à ce niveau, cochez la case Utiliser un serveur mandataire, puis entrez l'adresse du serveur mandataire dans le champ Serveur mandataire, ainsi que le numéro de Port de ce serveur mandataire. Si la communication avec le serveur mandataire exige une authentification, cochez la case Le serveur mandataire exige une authentification et entrez un nom d'utilisateur et un mot de passe valides dans les champs correspondants. Cliquez sur le bouton Détecter le serveur mandataire pour détecter et alimenter automatiquement les paramètres du serveur mandataire. Les paramètres définis dans Internet Explorer seront copiés. REMARQUE : Cette fonctionnalité ne récupère pas les données d'authentification (nom d'utilisateur et mot de passe) et vous devrez les entrer. Les paramètres du serveur mandataire peuvent aussi être définis dans la Configuration avancée des mises à jour (branche Mettre à jour de l'arborescence de Configuration avancée). Ce paramètre s'applique au profil de mise à jour donné et est recommandé pour les ordinateurs portables qui reçoivent souvent des mises à jour des signatures de virus de plusieurs endroits. Pour plus d'information sur ce paramètre, consultez la section Configuration avancée des mises à jour. 5.2 Importation et exportation des paramètres L'importation et l'exportation des configurations de ESET Endpoint Antivirus sont disponibles sous Configuration. L'importation et l'exportation utilisent tous deux des fichiers de type.xml. Ces fonctions sont utiles si vous devez faire une copie de sauvegarde de la configuration actuelle de ESET Endpoint Antivirus pour pouvoir l'utiliser par la suite. L'option d'exportation des paramètres est aussi pratique pour les utilisateurs qui veulent utiliser la configuration préférée de ESET Endpoint Antivirus sur plusieurs systèmes; ils peuvent alors importer facilement un fichier.xml pour transférer les paramètres voulus. Il est très facile d'importer une configuration. Dans la fenêtre principale du programme, cliquez sur Configuration > Importer et exporter les paramètres..., puis sélectionnez l'option Importer les paramètres. Entrez ensuite le chemin vers le fichier de configuration ou cliquez sur le bouton... pour parcourir les fichiers et trouver le fichier de configuration que vous voulez importer. La procédure d'exportation d'une configuration est très semblable à la procédure d'importation. Dans la fenêtre principale du programme, cliquez sur Configuration > Importer et exporter les paramètres... Sélectionnez l'option Exporter les paramètres et entrez le Nom de fichier du fichier de configuration (par ex., export.xml). Utilisez le navigateur pour sélectionner l'emplacement sur votre ordinateur où enregistrer le fichier de configuration. 88

89 5.3 Raccourcis clavier Raccourcis clavier pouvant être utilisés dans ESET Endpoint Antivirus : Ctrl + G Ctrl + I Ctrl + L Ctrl + S Ctrl + Q Ctrl + U Ctrl + R désactive l'interface utilisateur du produit ouvre la page de ESET SysInspector ouvre la page des fichiers journaux ouvre la page du Planificateur ouvre la page de la mise en quarantaine ouvre une boîte de dialogue dans laquelle définir le nom d'utilisateur et le mot de passe rétablit la fenêtre à sa taille et à sa position par défaut dans l'écran Pour une navigation plus facile dans le produit de sécurité ESET, les raccourcis clavier suivants peuvent être utilisés : F1 F5 Haut/Bas * TAB Esc ouvre les pages d'aide ouvre la configuration avancée permet de naviguer dans le produit par l'entremise des composants développe le nœud de l'arborescence de configuration avancée réduit le nœud de l'arborescence de configuration avancée déplace le curseur dans une fenêtre ferme la boîte de dialogue active 5.4 Ligne de commande Il est possible de lancer le module antivirus de ESET Endpoint Antivirus à partir de la ligne de commande, donc manuellement (avec la commande «ecls») ou à partir d'un fichier de traitement par lots («bat»). Utilisation de l'analyseur de ligne de commande d'eset: ecls [OPTIONS..] FILES.. Les paramètres et commutateurs suivants peuvent être utilisés lors de l'exécution de l'analyseur à la demande à partir de la ligne de commande : Options /base-dir=folder /quar-dir=folder /exclude=mask /subdir /no-subdir /max-subdir-level=level /symlink /no-symlink /ads /no-ads /log-file=file /log-rewrite /log-console /no-log-console /log-all /no-log-all /aind /auto charger les modules du DOSSIER DOSSIER de quarantaine exclure les fichiers correspondants à MASQUE de l'analyse analyser les sous-dossiers (valeur par défaut) ne pas analyser les sous-dossiers sous-niveau maximal de sous-dossiers dans les dossiers à analyser suivre les liens symboliques (valeur par défaut) ignorer les liens symboliques analyser ADS (valeur par défaut) ne pas analyser ADS consigner les résultats dans le FICHIER écraser le fichier de résultats (ajouter - valeur par défaut) consigner les résultats dans la console (valeur par défaut) ne pas consigner les résultats dans la console consigner également les fichiers nettoyés ne pas consigner les fichiers nettoyés (valeur par défaut) afficher l'indicateur d'activité analyser et nettoyer automatiquement tous les disques locaux Options de l'analyseur /files /no-files /memory /boots /no-boots /arch /no-arch analyser les fichiers (valeur par défaut) ne pas analyser les fichiers analyser la mémoire analyser les secteurs d'amorçage ne pas analyser les secteurs d'amorçage (valeur par défaut) analyser les archives (valeur par défaut) ne pas analyser les archives 89

90 /max-obj-size=size /max-arch-level=level /scan-timeout=limit /max-arch-size=size /max-sfx-size=size /mail /no-mail /mailbox /no-mailbox /sfx /no-sfx /rtp /no-rtp /adware /no-adware /unsafe /no-unsafe /unwanted /no-unwanted /pattern /no-pattern /heur /no-heur /adv-heur /no-adv-heur /ext=extensions /ext-exclude=extensions /clean-mode=mode /quarantine /no-quarantine analyser uniquement les fichiers plus petits que TAILLE Mo (valeur par défaut 0 = illimité) sous-niveau maximal d'archives à analyser dans les archives (archives imbriquées) analyser les archives pendant un maximum de LIMITE secondes n'analyser les fichiers contenus dans une archive que s'ils sont plus petits que TAILLE (valeur par défaut 0 = illimité) n'analyser les fichiers d'une archive à extraction automatique que s'ils sont plus petits que TAILLE Mo (valeur par défaut 0 = illimité) analyser les fichiers courriel (valeur par défaut) ne pas analyser les fichiers courriel analyser les boîtes aux lettres (valeur par défaut) ne pas analyser les boîtes aux lettres analyser les archives à extraction automatique (valeur par défaut) ne pas analyser les archives à extraction automatique analyser les fichiers exécutables compressés (valeur par défaut) ne pas analyser les fichiers exécutables compressés rechercher les anti-logiciels espions/logiciels publicitaires/à risque (valeur par défaut) ne pas rechercher les anti-logiciels espions/logiciels publicitaires/à risque rechercher les applications potentiellement dangereuses ne pas rechercher les applications potentiellement dangereuses (valeur par défaut) rechercher les applications potentiellement indésirables ne pas rechercher les applications potentiellement indésirables (valeur par défaut) utiliser les signatures (valeur par défaut) ne pas utiliser les signatures activer l'heuristique (valeur par défaut) désactiver l'heuristique activer l'heuristique avancée (valeur par défaut) désactiver l'heuristique avancée analyser uniquement les EXTENSIONS délimitées par un deux-points exclure de l'analyse les EXTENSIONS délimitées par un deux-points utiliser le MODE de nettoyage pour les objets infectés. Options disponibles : none (aucun), standard (par défaut), strict, rigorous (rigoureux), delete (supprimer) copier les fichiers infectés (si nettoyés) vers Quarantaine (complète l'action effectuée pendant le nettoyage) ne pas copier les fichiers infectés dans la quarantaine Options générales /help /version /preserve-time afficher l'aide et quitter afficher l'information sur la version et quitter conserver la date et l'heure du dernier accès Codes de sortie aucune menace détectée menace détectée et nettoyée certains fichiers ne peuvent pas être analysés (peuvent être des menaces) menace trouvée erreur REMARQUE : Un code de sortie supérieur à 100 indique un fichier non analysé, qui peut donc être infecté. 90

91 5.5 ESET SysInspector Introduction à ESET SysInspector ESET SysInspector est une application qui inspecte complètement l'ordinateur et affiche les données recueillies de façon exhaustive. Des données telles que les pilotes et applications installés, les connexions réseau ou les entrées de registre importantes peuvent vous aider à élucider un comportement suspect du système, qu'il soit dû à une incompatibilité logicielle ou matérielle, ou à une infection par logiciel malveillant. Il existe deux façons d'accéder à ESET SysInspector : à partir de la version intégrée dans les solutions ESET Security ou en téléchargeant la version autonome (SysInspector.exe) du site Web d'eset. Les deux versions offrent les mêmes fonctions et les mêmes contrôles de programme. La seule différence réside dans la façon dont les sorties sont gérées. Tant la version autonome que la version intégrée permettent d'exporter des instantanés du système vers un fichier. xml pour ensuite enregistrer le tout sur le disque. La version intégrée vous permettra cependant de stocker vos instantanés système directement dans Outils > ESET SysInspector (sauf ESET Remote Administrator). Veuillez laisser du temps à ESET SysInspector pour analyser votre ordinateur. Cela peut exiger de 10 secondes à quelques minutes selon la configuration matérielle de votre ordinateur, son système d'exploitation et le nombre d'applications installées Lancement de ESET SysInspector Pour lancer ESET SysInspector, exécutez simplement le fichier exécutable SysInspector.exe que vous avez téléchargé du site Web d'eset. Veuillez patienter pendant que l'application inspecte votre système, ce qui pourrait prendre quelques minutes selon le matériel et les données qui doivent être colligées. 91

92 5.5.2 Interface utilisateur et utilisation de l'application Pour des questions de clarté, la fenêtre principale est divisée en quatre principales sections : les Contrôles du programme situés dans le haut de la fenêtre principale, la fenêtre Navigation à gauche, la fenêtre Description à droite au centre et la fenêtre Détails à droite au bas de la fenêtre principale. La section État du journal énumère les paramètres de base d'un journal (filtres utilisés, type de filtre, journal résultat d'une comparaison, etc.) Contrôles du programme Cette section contient la description de tous les contrôles de programme disponibles dans ESET SysInspector. Fichier En cliquant sur Fichier, vous pouvez enregistrer l'état actuel de votre système à des fins d'investigation ultérieure ou ouvrir un journal enregistré précédemment. À des fins de diffusion, il est recommandé de générer un journal approprié pour envoi. Sous cette forme, le journal omettra tous les renseignements sensibles (nom d'utilisateur actuel, nom de l'ordinateur, privilèges utilisateurs actuels, variables d'environnement, etc.). REMARQUE : Vous pouvez ouvrir des rapports de ESET SysInspector précédemment stockés en les glissant-déplaçant vers la fenêtre principale. Arborescence Permet de développer ou de fermer tous les nœuds et d'exporter des sections sélectionnées vers le script de service. Liste Contient des fonctions permettant de faciliter la navigation dans le programme, ainsi que d'autres telles que la recherche de données en ligne. Aide Contient des renseignements sur l'application et ses fonctions. 92

93 Détail Ce paramètre setting influence l'information affichée dans la fenêtre principale pour la rendre plus facile à traiter. En mode de base, vous avez accès à l'information utilisée pour trouver des solutions à des problèmes courants de votre système. En mode Moyen, le programme affiche des détails moins utilisés. En mode Compte, ESET SysInspector affiche toute l'information nécessaire pour résoudre des problèmes très précis. Filtrage des éléments Le filtrage des éléments convient parfaitement pour rechercher des fichiers suspects ou des entrées de registre dans votre système. En réglant le curseur, vous pouvez filtrer les éléments en fonction de leur niveau de risque. Si le curseur est positionné tout à fait à gauche (Niveau de risque 1), tous les éléments sont affichés. En déplaçant le curseur vers la droite, le programme filtre tous les éléments présentant un risque inférieur au niveau de risque actuel, et n'affiche que ceux qui sont plus suspects que le niveau affiché. Lorsque le curseur est positionné tout à fait à droite, le programme n'affiche que les éléments nuisibles connus. Tous les éléments marqués comme risques de 6 à 9 peuvent constituer un risque pour la sécurité. Si vous n'utilisez pas certaines des solutions de sécurité d'eset, il est recommandé que vous analysiez votre système avec ESET Online Scanner si ESET SysInspector a détecté un tel élément. ESET Online Scanner est un service gratuit. REMARQUE : Vous pouvez rapidement déterminer le niveau de risque d'un élément en comparant sa couleur à celle du curseur Niveau de risque. Rechercher La fonction Rechercher permet de trouver rapidement un élément particulier à l'aide de son nom ou d'une partie de celui-ci. Les résultats de la demande de recherche s'affichent dans la fenêtre Description. Retour En cliquant sur la flèche Précédent ou Suivant, vous pouvez revenir aux données affichées précédemment dans la fenêtre Description. Vous pouvez utiliser la touche Retour arrière et la barre d'espace au lieu de cliquer sur Précédent et Suivant. Section d'état Affiche le nœud actuel dans la fenêtre Navigation. Important : Les éléments en surbrillance de couleur rouge sont inconnus, c'est pourquoi le programme les marque comme potentiellement dangereux. Si un élément s'affiche en rouge, cela ne signifie pas forcément que vous pouvez supprimer le fichier. Avant de supprimer des fichiers, assurez-vous qu'ils sont vraiment dangereux ou inutiles Naviguer dans ESET SysInspector ESET SysInspector divise plusieurs types de données en plusieurs sections de base appelées nœuds. Si des détails supplémentaires sont disponibles, vous pouvez les afficher en développant chaque nœud en sous-nœuds. Pour ouvrir ou réduire un nœud, double-cliquez sur son nom ou cliquez sur ou à côté de son nom. Tandis que vous parcourez l'arborescence des nœuds et sous-nœuds dans la fenêtre Navigation, il se peut que vous découvriez des détails pour chacun des nœuds affichés dans la fenêtre Description. Si vous parcourez les éléments de la fenêtre Description, il se peut que des détails supplémentaires sur chacun des éléments s'affichent dans la fenêtre Détails. Voici les descriptions des principaux nœuds de la fenêtre Navigation et les informations correspondantes dans les fenêtres Description et Détails. Processus en cours Ce nœud contient de l'information sur les applications et processus en cours d'exécution lors de la génération du rapport. Il se peut que la fenêtre Description affiche des détails supplémentaires pour chaque processus, tels que les bibliothèques dynamiques utilisées et leur emplacement dans le système, le nom du fournisseur de l'application, le niveau de risque du fichier. La fenêtre Détails contient des données supplémentaires sur les éléments sélectionnés dans la fenêtre Description, telles que la taille du fichier ou son hachage. REMARQUE : Un système d'exploitation comprend plusieurs composants noyaux importants fonctionnant 24 heures sur 24 et 7 jours sur 7 et qui assurent des fonctions de base et vitales pour d'autres applications utilisateur. Dans certains cas, de tels processus s'affichent dans l'outil ESET SysInspector avec le chemin d'accès du fichier commençant par \??\. Ces symboles permettent d'optimiser ces processus avant leur lancement; ils sont sûrs pour le système. 93

94 Connexions réseau La fenêtre Description contient la liste des processus et applications communiquant sur le réseau à l'aide du protocole sélectionné dans la fenêtre Navigation (TCP ou UDP), ainsi que l'adresse distante à laquelle l'application est connectée. Vous pouvez également vérifier les adresses IP des serveurs DNS. La fenêtre Détails contient des données supplémentaires sur les éléments sélectionnés dans la fenêtre Description, telles que la taille du fichier ou son hachage. Entrées de registre importantes Contient la liste des entrées de registre sélectionnées qui sont souvent liées à différents problèmes dans le système, telles que celles précisant les programmes à lancer au démarrage, des objets application d'assistance du navigateur (BHO), etc. Il se peut que la fenêtre Description indique les fichiers liés à des entrées de registre particulières. La fenêtre Détails peut également présenter des détails supplémentaires. Services La fenêtre Description contient la liste des fichiers enregistrés en tant que Services Windows. Vous pouvez contrôler la manière dont le démarrage du service est paramétré, ainsi que des détails du fichier dans la fenêtre Détails. Pilotes Liste des pilotes installés dans le système. Fichiers critiques La fenêtre Description affiche le contenu des fichiers critiques liés au système d'exploitation Microsoft Windows. Tâches du planificateur système Contient une liste des tâches déclenchées par le Planificateur de tâches de Windows à un intervalle/une heure spécifié. Informations système Contient des détails sur le matériel et les logiciels, ainsi que des données sur les variables d'environnement, les droits de l'utilisateur et les journaux d'événements système définis. Détails du fichier Liste des fichiers et des fichiers système importants dans le dossier Program Files. Des données précises sur les fichiers s'affichent dans les fenêtres Description et Détails. À propos Information sur la version de ESET SysInspector et la liste des modules du programme Raccourcis clavier Raccourcis clavier utilisables dans ESET SysInspector : Fichier Ctrl + O Ctrl + S Ouvre le journal existant Enregistre les journaux créés Générer Ctrl + G Ctrl + H Génère un instantané standard de l'état de l'ordinateur Génère un instantané de l'état de l'ordinateur pouvant également contenir de l'information sensible Filtrage des éléments 1, O 2 3 4, U Bon, les éléments présentant un niveau de risque de 1 à 9 s'affichent Bon, les éléments présentant un niveau de risque de 2 à 9 s'affichent Bon, les éléments présentant un niveau de risque de 3 à 9 s'affichent Inconnu, les éléments présentant un niveau de risque de 4 à 9 s'affichent Inconnu, les éléments présentant un niveau de risque de 5 à 9 s'affichent Inconnu, les éléments présentant un niveau de risque de 6 à 9 s'affichent

95 7, B Ctrl + 9 Ctrl + 0 Risqué, les éléments présentant un niveau de risque de 7 à 9 s'affichent Risqué, les éléments présentant un niveau de risque de 8 à 9 s'affichent Risqué, les éléments présentant un niveau de risque de 9 s'affichent Abaisse le niveau de risque Augmente le niveau de risque Mode de filtrage, niveau équivalent ou supérieur Mode de filtrage, niveau équivalent uniquement Affichage Ctrl + 5 Affichage par fournisseur, tous les fournisseurs Ctrl + 6 Affichage par fournisseur, uniquement Microsoft Ctrl + 7 Affichage par fournisseur, tous les autres fournisseurs Ctrl + 3 Affiche tous les détails Ctrl + 2 Affiche un niveau de détail moyen Ctrl + 1 Affichage de base Retour arrièrerevient un pas en arrière Barre Avance d'un pas d'espace Ctrl + W Développe l'arborescence Ctrl + Q Réduit l'arborescence Autres contrôles Ctrl + T Ctrl + P Ctrl+A Ctrl + C Ctrl + X Ctrl + B Ctrl + L Ctrl + R Ctrl + Z Ctrl + F Ctrl + D Ctrl + E Accède à l'emplacement d'origine de l'élément après sélection de celui-ci dans les résultats de la recherche Affiche des données de base sur un élément Affiche les données complètes sur un élément Copie l'arborescence des éléments actuelle Copie des éléments Recherche des données concernant les fichiers sélectionnés sur Internet Ouvre le dossier dans lequel se trouve le fichier sélectionné Ouvre l'entrée correspondante dans l'éditeur du registre Copie le chemin d'accès d'un fichier (si l'élément est lié à un fichier) Bascule vers le champ de recherche Ferme les résultats de la recherche Exécute le script de service Comparaison Ctrl + Alt + O Ctrl + Alt + R Ctrl + Alt + 1 Ctrl + Alt + 2 Ctrl + Alt + 3 Ctrl + Alt + 4 Ctrl + Alt + 5 Ctrl + Alt + C Ctrl + Alt + N Ctrl + Alt + P Ouvre le journal d'origine/comparatif Annule la comparaison Affiche tous les éléments N'affiche que les éléments ajoutés; le journal contient les éléments présents dans le journal actuel N'affiche que les éléments supprimés; le journal contient les éléments présents dans le journal précédent N'affiche que les éléments remplacés (fichiers inclus) N'affiche que les différences entre journaux Affiche la comparaison Affiche le journal actuel Affiche le journal précédent Divers F1 Alt + F4 Alt + Maj + F4 Ctrl + I Affiche l'aide Ferme le programme Ferme le programme sans demander de confirmation Consigne les statistiques 95

96 Comparer La fonctionnalité Comparer permet de comparer deux journaux. Elle génère un ensemble d'éléments non communs aux deux journaux. Elle est utile lorsque vous voulez conserver une trace des modifications apportées au système; un outil pratique pour détecter l'activité d'un code malveillant. Une fois lancée, l'application crée un journal qui s'affiche dans une nouvelle fenêtre. Accédez à Fichier > Enregistrer le journal pour enregistrer le journal dans un fichier. Vous pourrez ouvrir et afficher ces fichiers journaux plus tard. Pour ouvrir un journal existant, utilisez Fichier > Ouvrir journal. Dans la fenêtre principale du programme, ESET SysInspector affiche toujours un seul journal à la fois. L'avantage de la comparaison de deux journaux est que cela vous permet de visualiser un journal active et un journal enregistré dans un fichier. Pour comparer des journaux, utilisez l'option Fichier > Comparer les journaux, puis cliquez sur Sélectionner un fichier. Le journal sélectionné sera comparé au journal actif dans les fenêtres principales du programme. Le journal comparatif n'indiquera que les différences entre ces deux journaux. REMARQUE : Si vous comparez deux fichiers journaux, sélectionnez Fichier > Enregistrer le journal pour enregistrer le fichier en format ZIP, ce qui enregistrera les deux fichiers. Si vous ouvrez ce fichier plus tard, les journaux qu'il contient seront alors automatiquement comparés. À côté des éléments affichés, ESET SysInspector présente des symboles identifiant les différences entre les journaux comparés. Les éléments marqués du signe ne figurent que dans le journal actif et sont absents du journal comparatif ouvert. Les éléments marqués du signe ne figurent que dans le journal ouvert et sont absents du journal actif. Description de tous les symboles qui peuvent s'afficher à côté des éléments : Nouvelle valeur, absente du journal précédent. La section de l'arborescence contient de nouvelles valeurs. Valeur supprimée, présente uniquement dans le journal précédent. La section de l'arborescence contient des valeurs supprimées. La valeur ou le fichier a été modifié. La section de l'arborescence contient des valeurs ou fichiers modifiés. Le niveau de risque a augmenté; il était inférieur dans le journal précédent. Le niveau de risque a augmenté; il était inférieur dans le journal précédent. La section d'explication, dans le coin inférieur gauche, décrit tous les symboles et affiche les noms des journaux comparés. Tout journal comparatif peut être enregistré dans un fichier, puis ouvert ultérieurement. Exemple : Générez et enregistrez un journal consignant des données originales sur le système dans un fichier nommé précédent. xml. Une fois les modifications apportées au système, ouvrez ESET SysInspector et autorisez-le à générer un nouveau journal. Enregistrez-le dans un fichier nommé actuel.xml. Pour suivre les différences entre ces deux journaux, accédez à Fichier > Comparer les journaux. Le programme crée alors un journal comparatif montrant les différences entre les journaux. Vous pouvez obtenir le même résultat en utilisant l'option de ligne de commande suivante : SysIsnpector.exe actuel.xml précédent.xml 96